Wiki zdrojový kód pre projekt_2858_Pristup_k_projektu_detailny
Version 4.1 by luboslava_siroka on 2024/08/09 13:37
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | \\ | ||
| 2 | |||
| 3 | = {{id name="projekt_2858_Pristup_k_projektu_detailny-OPISNAVRHOVANÉHORIEŠENIA"/}}OPIS NAVRHOVANÉHO RIEŠENIA = | ||
| 4 | |||
| 5 | **~ ** | ||
| 6 | |||
| 7 | V rámci predloženého projektu sú navrhované nasledovné riešenia: | ||
| 8 | |||
| 9 | **~ ** | ||
| 10 | |||
| 11 | **Čiastková aktivita a) Organizácia KB, ** | ||
| 12 | |||
| 13 | Na základe zistených nedostatkov v oblasti riadenia kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav: | ||
| 14 | |||
| 15 | 1. Komplexná bezpečnostná dokumentácia bude novo vypracovaná, pričom zohľadňuje predchádzajúcu dokumentáciu a jej aktualizácie vrátane rozsahu a metód dodržiavania všeobecných bezpečnostných opatrení. | ||
| 16 | 1. Budú novo sa vyvinuté a implementované špecifické interné riadiace akty pre vybrané oblasti kybernetickej a informačnej bezpečnosti. | ||
| 17 | 1. Bude aktualizovaný stav bezpečnostného výboru organizácie. | ||
| 18 | 1. Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy. | ||
| 19 | |||
| 20 | \\ | ||
| 21 | |||
| 22 | **Čiastková činnosť b) Softvér na automatizované riadenie rizík KB, ** | ||
| 23 | |||
| 24 | Na základe zistených nedostatkov v oblasti riadenia rizík kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav: | ||
| 25 | |||
| 26 | 1. Všetky aktíva súvisiace so spracovaním informácií a centrálnym inventárnym záznamovým zariadením budú identifikované ich hodnotou a s označením ich vlastníka, ktorý definuje ich požiadavky na dôvernosť, dostupnosť a integritu (EAM). | ||
| 27 | 1. Riadenie rizík bude automatizované pomocou nástroja, pozostávajúce z identifikácie zraniteľnosti, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenia vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, funkčnej analýzy dopadov a pravidelného prehodnocovania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení. | ||
| 28 | 1. Bude implementovaný automatizovaný systém správy a registrácie pre inventarizáciu majetku (EAM/). | ||
| 29 | 1. Bude implementovaný automatizovaný systém riadenia a registrácie pre katalogizáciu hrozieb. | ||
| 30 | |||
| 31 | * Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení. | ||
| 32 | * Sú identifikované všetky aktíva súvisiace so zariadením na spracovanie informácií a centrálne zaznamenávanie inventára týchto aktív podľa ich hodnoty a s určením ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu (EAM). | ||
| 33 | * **Sú automatizovane pomocou nástroja riadené riziká** skladajúce sa z identifikácie zraniteľností, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenie vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácií prijatých bezpečnostných opatrení. | ||
| 34 | * Je implementovaný automatizovaný riadiaci a evidenčný systém pre inventarizáciu aktív (EAM/GRC). | ||
| 35 | * Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu hrozieb (GRC). | ||
| 36 | * Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu rizík a opatrení (GRC).- predpokladaná prácnosť v človekodňoch: 80 | ||
| 37 | |||
| 38 | \\ | ||
| 39 | |||
| 40 | __Nástroj na riadenie zistených aktív a rizík bude poskytovať nasledujúce funkcionality:__ | ||
| 41 | |||
| 42 | * Evidenciu aktív, rizík i hrozieb, | ||
| 43 | * Automatické hodnotenie a kalkulácia rizík a hrozieb, | ||
| 44 | * Zvládanie opatrení navrhnutá softvérovo, | ||
| 45 | * Automatická detekcia znižovania rizík a rekvalifikácia pôvodných aktív a hrozieb, | ||
| 46 | * Automatické generovanie podkladov pre audit, | ||
| 47 | * Integrácia s ostatnými systémami pre automatické zakladanie aktív, | ||
| 48 | * Podpora štandardov ISO27001, KyBe (NIS2), TISAX, DORA, | ||
| 49 | * Generovanie dokumentov ZHR, POA a PZR pre audit, | ||
| 50 | * Notifikácia opatrení, | ||
| 51 | |||
| 52 | \\ | ||
| 53 | |||
| 54 | \\ | ||
| 55 | |||
| 56 | **Čiastková činnosť c) Personálna bezpečnosť, ** | ||
| 57 | |||
| 58 | Na základe zistených nedostatkov v oblasti personálnej bezpečnosti v organizácii je stanovený nasledovný cieľový stav: | ||
| 59 | |||
| 60 | 1. Bude vyvinutý postup na priradenie osoby k jednej z rolí zabezpečenia | ||
| 61 | 1. Bude zavedený plán na rozvoj bezpečnostného povedomia a vzdelávania | ||
| 62 | 1. Bude vyvinutá metóda hodnotenia účinnosti rozvojového plánu bezpečnostného povedomia | ||
| 63 | 1. Budú určené pravidlá a postupy pri riešení porušení bezpečnostnej politiky | ||
| 64 | 1. Budú zavedené postupy na ukončenie pracovného pomeru | ||
| 65 | 1. Budú zavedené postupy pre prípady porušenia bezpečnostných politík | ||
| 66 | 1. Bude vypracovaný a aktualizovaný akt vnútorného riadenia s bezpečnostnými zásadami pre koncových používateľov | ||
| 67 | 1. Postupy a procesy, ktorými sa riadi personálna bezpečnosť organizácie, budú vypracované a implementované prostredníctvom interného riadiaceho aktu. | ||
| 68 | 1. Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD. | ||
| 69 | |||
| 70 | \\ | ||
| 71 | |||
| 72 | **Čiastková aktivita k) Softvér na zaznamenávanie udalostí a monitoring sietí a IS, ** Na základe zistených nedostatkov v oblasti zaznamenávania a monitorovania udalostí je stanovený nasledovný cieľový stav: | ||
| 73 | |||
| 74 | 1. Implementovaný bude centrálny log management systém pre zber a ukladanie logov z jednotlivých informačných systémov s podporou napojenia na riadiace systémy a poskytovania potrebných podporných dát. | ||
| 75 | 1. Bude vypracovaná dokumentácia metód monitorovania a fungovania systému správy log a centrálneho nástroja na monitorovanie bezpečnosti a bude definovaný spôsob evidencie prevádzkových záznamov, ich vyhodnocovanie, spôsoby hlásenia podozrivej činnosti, zodpovedné osoby a ďalšie povinnosti. | ||
| 76 | 1. Vytvorí sa špecifikácia všetkých udalostí, ktoré sa musia zaznamenávať, a súvisiaca konfigurácia prvkov informačných technológií verejnej správy vrátane dokumentácie rozsahu údajov zaznamenaných v protokolových súboroch. | ||
| 77 | |||
| 78 | * Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou. | ||
| 79 | |||
| 80 | **~ ** | ||
| 81 | |||
| 82 | **Softvér na zaznamenávanie udalostí a monitoring sietí a IS bude spĺňať minimálne nasledovné požiadavky:** | ||
| 83 | |||
| 84 | **LogManagement s neobmedzeným zberom logov vrátane HW** | ||
| 85 | |||
| 86 | * Spracovanie udalostí z rôznych zdrojov logov naprieč výrobcami aplikácií, operačných systémov a sieťového hardvéru, | ||
| 87 | * Možnosť dopísania parseru pre zariadenie aktuálne nepodporované výrobcom bez nutnosti spolupráce s výrobcom alebo dodávateľom (vr. subdodávateľov) ponúkaného systému, | ||
| 88 | * Systém štandardizuje prijaté logy do jednotného formátu a logy sú parserované | ||
| 89 | |||
| 90 | (rozdeľované) do príslušných políčok podľa ich typu, | ||
| 91 | |||
| 92 | * Nad takto štandardizovanými dátami systém automaticky vytvára indexy pre rýchlejšie vyhľadávanie pre všetky polia štandardizovaného logu, | ||
| 93 | * Všetky rozparsované položky prijaté systémom sú automaticky indexované. Nad všetkými položkami je možné ihneď vykonávať vyhľadávanie bez nutnosti dodatočného ručného indexovania administrátorom, | ||
| 94 | * Systém nesmie umožniť mazanie alebo modifikovanie už uložených logov, | ||
| 95 | * Konsolidácia logov na centrálnom mieste, | ||
| 96 | * Jednoduché vyhľadávanie udalostí (ad hoc) bez nutnosti programovania, | ||
| 97 | * Grafické znázornenie udalostí (grafy udalostí), | ||
| 98 | * Grafické znázornenie TOP udalostí nad všetkými dátami za určité časové obdobie, • Automatické doplňovanie GeoIP informácií k udalostiam a ich grafické znázornenie na mape, | ||
| 99 | * Automatické doplňovanie reverzných DNS záznamov k IP adresám, | ||
| 100 | * V prípade preťaženia systému sú udalosti ukladané do vyrovnávacej pamäte, | ||
| 101 | * Unifikované vyhľadávanie naprieč všetkými typmi dát a zariadení, | ||
| 102 | * HW dimenzovaný na zber logov aspoň po dobu 12 mesiacov, | ||
| 103 | * HW vrátane virtualizačného riešenia, | ||
| 104 | |||
| 105 | **__Zdôvodnenie nevyhnutnosti výdavku:__** | ||
| 106 | |||
| 107 | Vo štvrtom štvrťroku 2024 nadobudne účinnosť nová legislatívna úprava premietajúca smernicu EÚ NIS2. | ||
| 108 | |||
| 109 | \\ | ||
| 110 | |||
| 111 | __Nová povinnosť riadiť riziká dopadne na oveľa širší okruh subjektov, než tomu bolo doteraz.__ | ||
| 112 | |||
| 113 | __Pre tieto subjekty je určený systém zberu a riadenia logov s online vyhodnocovaním a__ __napojením na systém riadenia rizík.__ Tým sa zabezpečí neustály prehľad o možných hrozbách, ich včasná identifikácia a zhodnotenie, ako aj návrh riešení pri riadení rizík. Toto riešenie popisuje možnosti pre vybudovanie centrálnej platformy, ktorá bude v prvej fáze zameraná na zber logov pomocou sofistikovaného nástroja, ich parsovanie a vyhodnocovanie na základe jednotlivých scenárov podľa nariadenia NIS2, aby sa zabezpečil bezpečný chod a včasná detekcia hrozieb všetkých organizácií. Systém bude obsahovať aj samotné riadenie aktív a rizík, aby detekované problémy boli automaticky zachytené v samostatnom systéme, kde prebehne ich vyhodnotenie. Riešenie bude realizované na výkonnom serveri tzv. „ALL in one box“. Dôležitou časťou inštalácie je konfigurácia technických aktív, aby zasielali relevantné záznamy. | ||
| 114 | |||
| 115 | **__Jednotlivé organizačné jednotky (OZ), teda regionálne úrady verejného zdravotníctva__ __(ktorých je 36) využívajú centrálny informačný systém (IS ÚVZ), tzn. že každá OZ, ak__ __sa stane terčom kybernetického útoku, ohrozuje fungovanie IS ÚVZ ako celku a môže__ __spôsobiť odstavenie celého systému. V dôsledku toho je nevyhnutné, aby navrhovaným__ __systémov disponovalo nie len ÚVZ, ale aj všetky RÚVZ. __** | ||
| 116 | |||
| 117 | Zasielané udalosti sú v jednotlivých organizáciách na vstupe prijaté, označkované a parsované podľa technológie. Následne sú buď vhodnými základnými pravidlami produktu a implementačnými pravidlami na mieru spracované, aby bolo možné s nimi vytvárať potrebné navrhnuté scenáre. Ďalej sú uložené a vizualizované buď prostredníctvom základných nástrojov, alebo v budúcnosti vyššou formou pomocou integračnej platformy. Implementácia zahŕňa vytvorenie prístupových oprávnení v súlade s požiadavkami na viditeľnosť a spracovanie dát a následnú vizualizáciu. | ||
| 118 | |||
| 119 | Prevádzkové informácie budú zobrazovať aktuálne informácie o stave logovaných ICT systémov jednotlivých organizácií. Nad týmito logmi bude vykonané parsovanie a následne sa uložia do centrálneho dátového skladu, kde bude možné s týmito dátami ďalej pracovať. Primárne sa jedná o nepretržitý zber logov a monitorovanie prevádzky ICT technológií, systémov, aplikácií, stavu kybernetického a fyzického zabezpečenia a poskytovanie dát a informácií pre riešenie odchýlok a nápravných opatrení. Všetky údaje uložené v dátovom sklade budú podrobené procesu sledovania a vyhodnocovania podľa nižšie uvedených scenárov. Tým bude zabezpečené sledovanie jednotlivých systémov podľa nariadenia NIS2. Jednotlivé zistenia budú automaticky evidované v systéme na riadenie bezpečnosti, ktorý riadi všetky zistené riziká a navrhuje vhodné opatrenia. Takto evidované a riadené sledovanie logov povedie k včasnej detekcii rizík a ich okamžitej náprave. __Z pohľadu kompletného zberu logov bude vyhodnocované:__ | ||
| 120 | |||
| 121 | * //prihlasovanie a odhlasovanie ku všetkým účtom, vrátane neúspešných pokusov// | ||
| 122 | * //vykonanie a neúspešný pokus o vykonanie privilegovanej činnosti// | ||
| 123 | * //manipulácia a neúspešný pokus o manipuláciu s účtami, oprávneniami a právami// | ||
| 124 | * //neuskutočnenie činností v dôsledku nedostatku prístupových práv alebo oprávnení// | ||
| 125 | * //začatie a ukončenie činností technických aktív// | ||
| 126 | * //kritické a chybové hlásenia technických aktív// | ||
| 127 | * //prístup a neúspešný pokus o prístup k záznamom udalostí// | ||
| 128 | * //manipulácia a neúspešný pokus o manipuláciu so záznamami udalostí// | ||
| 129 | * //zmenu a neúspešný pokus o zmenu nastavení nástrojov na zaznamenávanie udalostí// | ||
| 130 | * //ďalšie činnosti používateľov, ktoré môžu mať vplyv na bezpečnosť regulovanej služby.// | ||
| 131 | |||
| 132 | **Čiastková činnosť o) Audítorská a kontrolná činnosť, ** | ||
| 133 | |||
| 134 | Na základe zistených nedostatkov v oblasti audítorských a kontrolných činností sa stanovuje nasledovný cieľový stav: | ||
| 135 | |||
| 136 | 1. Bude vypracovaný program hodnotenia bezpečnosti pre definované informačné technológie verejnej správy, hodnotenie zraniteľnosti a penetračné testy. | ||
| 137 | 1. Bude realizovaný audit kybernetickej bezpečnosti, ktorý sa vykonáva v súlade so zákonom o kybernetickej bezpečnosti a smernicou NIS2. | ||
| 138 | 1. Budú vykonávané pravidelné externé testy zraniteľnosti, penetračné testy v nevyhnutnom rozsahu. | ||
| 139 | 1. Automatizované nástroje budú implementované a používané na technickú podporu riadenia bezpečnosti a audítorských činností. | ||
| 140 | 1. Podporné nástroje pre správu budú naplnené údajmi o existencii a stave technických a aplikačných aktív automatizovaným a technickým spôsobom. | ||
| 141 | 1. Základ pre audítorské a kontrolné činnosti bude vytvorený technicky na základe skutočného prevádzkového stavu majetku s prípustným oneskorením do 10 minút. | ||
| 142 | 1. Dokumenty pre audítorské a kontrolné činnosti budú vždy obsahovať technické diferenčné správy s presným vyznačením zmien vstupov z predchádzajúceho obdobia. | ||
| 143 | 1. Podporné nástroje pre správu minimalizujú ľudské chyby a maximálne využívajú napojenie existujúcich informácií o aktívach a používateľoch na technické zdroje – najmä MS Active Directory, API prístup do systému Log Management a importy výstupov zraniteľnosti. | ||
| 144 | |||
| 145 | Tieto bezpečnostné opatrenia budú realizované v zmysle schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. RÚVZ je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu. | ||
| 146 | |||
| 147 | (% class="" %)|((( | ||
| 148 | Architektúra riešenia projektu na úrovni biznis vrstvy | ||
| 149 | )))|((( | ||
| 150 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 151 | |||
| 152 | **žiadateľa nerelevantný** | ||
| 153 | ))) | ||
| 154 | (% class="" %)|((( | ||
| 155 | Architektúra riešenia projektu na úrovni aplikačnej vrstvy | ||
| 156 | )))|((( | ||
| 157 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 158 | |||
| 159 | **žiadateľa nerelevantný** | ||
| 160 | ))) | ||
| 161 | (% class="" %)|((( | ||
| 162 | Architektúra riešenia projektu na úrovni dátovej vrstvy | ||
| 163 | )))|((( | ||
| 164 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 165 | |||
| 166 | **žiadateľa nerelevantný** | ||
| 167 | ))) | ||
| 168 | (% class="" %)|((( | ||
| 169 | Architektúra riešenia projektu na úrovni technologickej vrstvy | ||
| 170 | )))|((( | ||
| 171 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 172 | |||
| 173 | **žiadateľa nerelevantný** | ||
| 174 | ))) | ||
| 175 | (% class="" %)|((( | ||
| 176 | Infraštruktúra navrhovaného riešenia | ||
| 177 | )))|((( | ||
| 178 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 179 | |||
| 180 | **žiadateľa nerelevantný** | ||
| 181 | ))) | ||
| 182 | (% class="" %)|((( | ||
| 183 | Bezpečnostná architektúra | ||
| 184 | )))|((( | ||
| 185 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 186 | |||
| 187 | **žiadateľa nerelevantný** | ||
| 188 | ))) | ||
| 189 | (% class="" %)|((( | ||
| 190 | Špecifikácia údajov spracovaných v projekte, čistenie údajov | ||
| 191 | )))|((( | ||
| 192 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 193 | |||
| 194 | **žiadateľa nerelevantný** | ||
| 195 | ))) | ||
| 196 | (% class="" %)|((( | ||
| 197 | Závislosti na ostatné IS/Projekty | ||
| 198 | )))|((( | ||
| 199 | **Áno** | ||
| 200 | ))) | ||
| 201 | (% class="" %)|((( | ||
| 202 | Zdrojové kódy | ||
| 203 | )))|((( | ||
| 204 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 205 | |||
| 206 | **žiadateľa nerelevantný** | ||
| 207 | ))) | ||
| 208 | (% class="" %)|((( | ||
| 209 | Prevádzka a údržba výstupov projektu | ||
| 210 | )))|((( | ||
| 211 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 212 | |||
| 213 | **žiadateľa nerelevantný** | ||
| 214 | ))) | ||
| 215 | (% class="" %)|((( | ||
| 216 | Požiadavky na personál | ||
| 217 | )))|((( | ||
| 218 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 219 | |||
| 220 | **žiadateľa nerelevantný** | ||
| 221 | ))) | ||
| 222 | (% class="" %)|((( | ||
| 223 | Implementácia a preberanie výstupov projektu | ||
| 224 | )))|((( | ||
| 225 | **Áno** | ||
| 226 | ))) | ||
| 227 | |||
| 228 | **// //** | ||
| 229 | |||
| 230 | = {{id name="projekt_2858_Pristup_k_projektu_detailny-ZÁVISLOSTINAOSTATNÝCHIS"/}}ZÁVISLOSTI NA OSTATNÝCH IS = | ||
| 231 | |||
| 232 | ÚVZ SR, ako aj jednotlivé RÚVZ spoločne používajú IS ÚVZ. Všetky informácie sú spracúvané v IS ÚVZ, prístupovým bodom pre verejnosť je Portál úradov. | ||
| 233 | |||
| 234 | |||
| 235 | |||
| 236 | **~ [[image:attach:image-2024-8-9_13-35-48-1.png]]** | ||
| 237 | |||
| 238 | **~ ** | ||
| 239 | |||
| 240 | **~ [[image:attach:image-2024-8-9_13-36-33-1.png]]** | ||
| 241 | |||
| 242 | \\ | ||
| 243 | |||
| 244 | **[[image:attach:image-2024-8-9_13-36-43-1.png]]** | ||
| 245 | |||
| 246 | \\ | ||
| 247 | |||
| 248 | **[[image:attach:image-2024-8-9_13-36-56-1.png]]** | ||
| 249 | |||
| 250 | = {{id name="projekt_2858_Pristup_k_projektu_detailny-IMPLEMENTÁCIAAPREBERANIEVÝSTUPOV"/}}IMPLEMENTÁCIA A PREBERANIE VÝSTUPOV = | ||
| 251 | |||
| 252 | **~ ** | ||
| 253 | |||
| 254 | Projekt bude realizovaný metódou Waterfall: | ||
| 255 | |||
| 256 | Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác. | ||
| 257 | |||
| 258 | [[image:attach:image-2024-8-9_13-37-12-1.png]] | ||
| 259 | |||
| 260 | \\ | ||
| 261 | |||
| 262 | Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia. | ||
| 263 | |||
| 264 | Pri akceptácii budú vyhotovované vopred definované akceptačné kritéria a požiadavky z katalógu funkčných a nefunkčných požiadaviek vzťahujúce sa k jednotlivým míľnikom projektu. | ||
| 265 | |||
| 266 | Metóda riadenia "Waterfall" (vodopád) je jedným z najtradičnejších prístupov k riadeniu projektov v oblasti IT. Tento model je lineárny a sekvenčný, čo znamená, že každá fáza projektu musí byť dokončená pred začiatkom ďalšej. | ||
| 267 | |||
| 268 | __Tieto fázy sú nasledovné:__ | ||
| 269 | |||
| 270 | 1. Požiadavky (Requirements):* - V tejto počiatočnej fáze sú zhromaždené všetky požiadavky na systém. Ide o veľmi dôležitý krok, pretože chyby v požiadavkách môžu mať vážne následky v neskorších fázach. Dokumentujú sa všetky požiadavky zákazníka, funkčné aj nefunkčné, a výsledkom je detailná špecifikácia požiadaviek. | ||
| 271 | 1. Analýza systému (System Design): - Po dokončení zhromažďovania požiadaviek sa prejde k analýze systému a návrhu. Táto fáza zahŕňa vytvorenie architektúry systému, technických špecifikácií a návrhu softvéru, ktorý bude schopný splniť všetky definované požiadavky. | ||
| 272 | 1. Implementácia (Implementation): - Po schválení návrhu systému sa začne s implementáciou, teda s programovaním a kódovaním systému podľa navrhnutých špecifikácií. Výsledkom tejto fázy je hotový softvér. | ||
| 273 | 1. Integrácia a testovanie (Integration and Testing): - V tejto fáze sa jednotlivé komponenty systému integrujú a testujú sa ako celok, aby sa overilo, či systém funguje podľa očakávaní a splňuje všetky špecifikované požiadavky. Testovanie zahŕňa rôzne typy testov, vrátane funkčných, integračných a systémových testov. | ||
| 274 | 1. Nasadenie (Deployment): - Po úspešnom testovaní sa systém nasadí do produkčného prostredia. Táto fáza môže zahŕňať aj školenie používateľov a prípravu dokumentácie pre používateľov. | ||
| 275 | 1. Údržba (Maintenance): - Po nasadení systému začína fáza údržby, ktorá zahŕňa opravy chýb, aktualizácie a vylepšenia systému na základe spätnej väzby od používateľov a meniace sa požiadavky. | ||
| 276 | |||
| 277 | **Výhody Waterfall modelu**: - Jednoduchosť a jasná štruktúra: Každá fáza má jasne definovaný začiatok a koniec. - Dobre zdokumentovaný proces: Všetky požiadavky a kroky sú detailne zdokumentované. - Jednoduché riadenie:*Jednoduché plánovanie a sledovanie pokroku projektu. Waterfall model je ideálny pre projekty, kde sú požiadavky jasne definované a stabilné, a kde sa očakáva, že projekt prebehne bez veľkých zmien. V súčasnosti sa však stále častejšie využívajú agilné prístupy, ktoré lepšie vyhovujú dynamickým a meniacim sa požiadavkám projektov. | ||
| 278 | |||
| 279 | **~ ** | ||
| 280 | |||
| 281 | **Kvantitatívne prínosy projektu: ** | ||
| 282 | |||
| 283 | * Zníženie nákladov spojených so sanáciou KBU/KBI | ||
| 284 | * Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI | ||
| 285 | |||
| 286 | \\ | ||
| 287 | |||
| 288 | **Kvalitatívne prínosy projektu: ** | ||
| 289 | |||
| 290 | * Zníženie rizika KBI, | ||
| 291 | * Zvýšenie súladu s platnou legislatívou, | ||
| 292 | * Zvyšovanie úrovne kybernetickej a informačnej bezpečnosti, | ||
| 293 | * Zvýšenie detekcie KBI, | ||
| 294 | * Zvýšte spokojnosť a dôveru používateľov, | ||
| 295 | |||
| 296 | \\ |