Zmeny dokumentu projekt_2872_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/13 16:17

From 2.1 to 1.1 From 5.1 to 4.1

Z verzie 4.1

upravil jozef_petrik
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 2.1

upravil jozef_petrik
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)
Objekty (1 modified, 0 added, 0 removed)
- Confluence.Code.ConfluencePageClass[0]

Podrobnosti

Vlastnosti stránky

Obsah

@@ -1,161 +1,143 @@
--(% class="western" align="center" %)
--**PROJEKTOVÝ ZÁMER**
++(% style="margin-left: 1.27cm;" align="justify" %)
--(% class="western" align="center" %)
--**Vzor pre manažérsky výstup I-02**
++\\
--(% class="western" align="center" %)
--**podľa vyhlášky MIRRI č. 401/2023 Z. z.**
++(% align="center" %)
++**OPIS NAVRHOVANÉHO RIEŠENIA**
--Povinná osoba
--Regionálny úrad verejného zdravotníctva
--Názov projektu
--Podpora v oblasti kybernetickej a informačnej bezpečnosti RÚVZ
--Zodpovedná osoba za projekt
--Ing. Jana Grňo Mikulášiová, manažér kybernetickej bezpečnosti
--Realizátor projektu
--Úrad verejného zdravotníctva SR
--Vlastník projektu
--Ing. Jana Grňo Mikulášiová, manažér kybernetickej bezpečnosti
++\\
--Schvaľovanie dokumentu
--Položka
--Meno a priezvisko
--Organizácia
--Pracovná pozícia
--Dátum
--Podpis
--(alebo elektronický súhlas)
--Vypracoval
++V rámci predloženého projektu sú navrhované nasledovné riešenia:
--ÚVZ SR
  \\
++**Čiastková aktivita a) Organizácia KB,**
--~1. História DOKUMENTU
--Verzia
--Dátum
--Zmeny
--Meno
--1.0.
--01.07.2024
--Vypracovanie dokumentu
--
--1.0
--22.12.2023
--Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.
--
++Na základe zistených nedostatkov v oblasti riadenia kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:
++1. Komplexná bezpečnostná dokumentácia bude novo vypracovaná, pričom zohľadňuje predchádzajúcu dokumentáciu a jej aktualizácie vrátane rozsahu a metód dodržiavania všeobecných bezpečnostných opatrení.
++1. Budú novo sa vyvinuté a implementované špecifické interné riadiace akty pre vybrané oblasti kybernetickej a informačnej bezpečnosti.
++1. Bude aktualizovaný stav bezpečnostného výboru organizácie.
++1. Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy.
++
  \\
++**Čiastková činnosť b) Softvér na automatizované riadenie rizík KB,**
++
++Na základe zistených nedostatkov v oblasti riadenia rizík kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:
++
++1. Všetky aktíva súvisiace so spracovaním informácií a centrálnym inventárnym záznamovým zariadením budú identifikované ich hodnotou a s označením ich vlastníka, ktorý definuje ich požiadavky na dôvernosť, dostupnosť a integritu (EAM).
++
++1. Riadenie rizík bude automatizované pomocou nástroja, pozostávajúce z identifikácie zraniteľnosti, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenia vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, funkčnej analýzy dopadov a pravidelného prehodnocovania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení.
++
++1. Bude implementovaný automatizovaný systém správy a registrácie pre inventarizáciu majetku (EAM/).
++
++1. Bude implementovaný automatizovaný systém riadenia a registrácie pre katalogizáciu hrozieb.
++
++* Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení.
++
++- Sú identifikované všetky aktíva súvisiace so zariadením na spracovanie informácií a centrálne zaznamenávanie inventára týchto aktív podľa ich hodnoty a s určením ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu (EAM).
++
++- **Sú automatizovane pomocou nástroja riadené riziká** skladajúce sa z identifikácie zraniteľností, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenie vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácií prijatých bezpečnostných opatrení.
++
++- Je implementovaný automatizovaný riadiaci a evidenčný systém pre inventarizáciu aktív (EAM/GRC).
++
++- Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu hrozieb (GRC).
++
++- Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu rizík a opatrení (GRC).- predpokladaná prácnosť v človekodňoch: 80
++
  \\
--2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE
--V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.
++__Nástroj na riadenie zistených aktív a rizík bude poskytovať nasledujúce funkcionality:__
--V súlade s Vyhláškou MIRRI SR č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke IT VS je dokument Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.
--Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky obsahuje opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Dodávané riešenie bude v súlade so zákonom. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.
--Hlavnou motiváciou je realizácia kyberbezpečnostných opatrení definovaných v Z.z. 69/2018 a v zákone o ISVS.
--Prioritne jedná o tie opatrenia, ktoré vykazujú najväčší nesúlad s uvedenými právnymi normami a vyhláškou 362/2018 Z. z.. V dôsledku realizácie týchto opatrení budú ÚVZ SR chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku ÚVZ SR.
++-   Evidenciu aktív, rizík i hrozieb,
--Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti, ktoré sú obsahom projektu:
--
--~1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky nového zákona o KB a príslušných vykonávacích predpisov,
--2. Dopracovanú smernicu pre oblasti riadenia bezpečnosti prevádzky sietí a IS/APP,
--3. Aktualizovanú SM-25 Smernica, ktorou sa upravuje práca s informačnými technológiami,
--4. Nasadený nástroj na automatizáciu analýzy rizík a prehodnotenie a aktualizácia analýzy rizík podľa požiadaviek nového zákona o KB,
--5. Spracovávanie inventarizácie aktív a ich klasifikáciu s ohľadom na IS ÚVZ a dokumentovanie vzťahov a závislostí medzi IS ÚVZ a ostatnými používanými systémami a aplikáciami na ÚVZ SR,
--6. Prehodnotenú a spracovanú novú SOA (Security Operations Architecture) s ohľadom na novú legislatívu a jej plnenie pre oblasť kybernetickej bezpečnosti,
--7. Zavedenú kontrolu dodržiavania bezpečnostných politík zo strany zamestnancov, administrátorov a osôb zastávajúcich niektorú z bezpečnostných rolí,
--8. Implementovaný nástroj na detekciu kybernetických bezpečnostných incidentov, ktorý spĺňa všetky požiadavky Vyhlášky § 17, ods. 03 a ods. 04,
--9. Navrhnutý a zdokumentovaný efektívny spôsob kontroly pre účely zaručenia, že prevádzka, používanie a manažment siete a informačného systému je v súlade s vnútornými predpismi a zmluvnými záväzkami,
--10. Prehodnotenú a aktualizovanú smernicu v oblasti SM-51 Smernica Riadenie kontinuity procesov a činností a spracované nové BCP/DRP plány potrebné na zabezpečenie kontinuity činností podľa nového zákona o KB,
--~11. Aktualizovaná SM-44 Smernica o klasifikácii informácií na Úrade verejného zdravotníctva Slovenskej republiky,
--12. Zanalyzované existujúce prostredie ÚVZ SR s ohľadom na vzniknutý systém IS ÚVZ a vytvorené záznamy o identifikovaných vzťahoch a súvislostiach,
--13. Zanalyzovaný spôsob efektívnej realizácie monitoringu zariadení, činností, sietí, IS a APP v prostredí ÚVZ SR a zabezpečenú podporu pre vybraté riešenie pri jeho nasadení a spustení do prevádzky.
++-   Automatické hodnotenie a kalkulácia rizík a hrozieb,
--Cieľom projektu je, aby po jeho realizácii naša inštitúcia dosiahla čo možno najväčší súlad s NIS2, Zákonom o kyberbezpečnosti, ako aj Zákonom o ISVS.
++-   Zvládanie opatrení navrhnutá softvérovo,
--2.1 Použité skratky a pojmy
++-   Automatická detekcia znižovania rizík a rekvalifikácia pôvodných aktív a hrozieb,
--SKRATKA/POJEM
--POPIS
-- KIB
-- Kybernetická a informačná bezpečnosť
-- IT
-- Informačné technológie
-- VS
--Verejná správa
--ITVS
-- Informačné technológie verejnej správy
--NFP
-- Nenávratný finančný príspevok
--OP SK
--Operačný program SLovensko
--ÚVZ SR
-- Úrad verejného zdravotníctva SR
--RÚVZ
-- Regionálny úrad verejného zdravotníctva
--MZ SR
-- Ministerstvo zdravotníctva SR
--NKIVS
-- Národná koncepcia informatizácie verejnej správy
--ZoBK
--Zákon o kybernetickej bezpečnosti
--SOA
--Security Operations Architecture
--SOC
--Security Operation Center
++-   Automatické generovanie podkladov pre audit,
--2.2 Konvencie pre typy požiadaviek (príklady)
++-   Integrácia s ostatnými systémami pre automatické zakladanie aktív,
--Zvoľte si konvenciu pre označovanie požiadaviek, súborov, atd. Hlavné kategórie požiadaviek v zmysle katalógu požiadaviek, rozdeľujeme na funkčné (funkcionálne), nefunkčné (kvalitatívne, výkonové a pod.). Podskupiny v hlavných kategóriách  je možné rozšíriť podľa potrieb projektu, napríklad:
--Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu:
--FRxx
--    • U     – užívateľská požiadavka
--    • R     – označenie požiadavky
--    • xx    – číslo požiadavky
--Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:
--NRxx
--    • N    – nefukčná požiadavka (NFR)
--    • R     – označenie požiadavky
--    • xx    – číslo požiadavky
--Ostatné typy požiadaviek môžu byť ďalej definované objednávateľom/PM.
++-   Podpora štandardov ISO27001, KyBe (NIS2), TISAX, DORA,
++-   Generovanie dokumentov ZHR, POA a PZR pre audit,
++
++-   Notifikácia opatrení,
++
  \\
  \\
--3. DEFINOVANIE PROJEKTU
++**Čiastková činnosť c) Personálna bezpečnosť,**
--3.1 Manažérske zhrnutie
++Na základe zistených nedostatkov v oblasti personálnej bezpečnosti v organizácii je stanovený nasledovný cieľový stav:
--Úrad verejného zdravotníctva SR ako prevádzkovateľ základnej služby zapísanej v registri prevádzkovateľov základných služieb má povinnosti, ktoré vyplývajú zo ZoKB. Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti:
--
--~1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky nového zákona o KB a príslušných vykonávacích predpisov,
--2. Dopracovanú smernicu pre oblasti riadenia bezpečnosti prevádzky sietí a IS/APP,
--3. Aktualizovanú SM-25 Smernica, ktorou sa upravuje práca s informačnými technológiami,
--4. Nasadený nástroj na automatizáciu analýzy rizík a prehodnotenie a aktualizácia analýzy rizík podľa požiadaviek nového zákona o KB,
--5. Spracovávanie inventarizácie aktív a ich klasifikáciu s ohľadom na IS ÚVZ a dokumentovanie vzťahov a závislostí medzi IS ÚVZ a ostatnými používanými systémami a aplikáciami na ÚVZ SR,
--6. Prehodnotenú a spracovanú novú SOA (Security Operations Architecture) s ohľadom na novú legislatívu a jej plnenie pre oblasť kybernetickej bezpečnosti,
--7. Zavedenú kontrolu dodržiavania bezpečnostných politík zo strany zamestnancov, administrátorov a osôb zastávajúcich niektorú z bezpečnostných rolí,
--8. Implementovaný nástroj na detekciu kybernetických bezpečnostných incidentov, ktorý spĺňa všetky požiadavky Vyhlášky § 17, ods. 03 a ods. 04,
--9. Navrhnutý a zdokumentovaný efektívny spôsob kontroly pre účely zaručenia, že prevádzka, používanie a manažment siete a informačného systému je v súlade s vnútornými predpismi a zmluvnými záväzkami,
--10. Prehodnotenú a aktualizovanú smernicu v oblasti SM-51 Smernica Riadenie kontinuity procesov a činností a spracované nové BCP/DRP plány potrebné na zabezpečenie kontinuity činností podľa nového zákona o KB,
--~11. Aktualizovaná SM-44 Smernica o klasifikácii informácií na Úrade verejného zdravotníctva Slovenskej republiky,
--12. Zanalyzované existujúce prostredie ÚVZ SR s ohľadom na vzniknutý systém IS ÚVZ a vytvorené záznamy o identifikovaných vzťahoch a súvislostiach,
--13. Zanalyzovaný spôsob efektívnej realizácie monitoringu zariadení, činností, sietí, IS a APP v prostredí ÚVZ SR a zabezpečenú podporu pre vybraté riešenie pri jeho nasadení a spustení do prevádzky
++1. Bude vyvinutý postup na priradenie osoby k jednej z rolí zabezpečenia
++1. Bude zavedený plán na rozvoj bezpečnostného povedomia a vzdelávania
++1. Bude vyvinutá  metóda hodnotenia účinnosti rozvojového plánu bezpečnostného povedomia
++1. Budú určené  pravidlá a postupy pri riešení porušení bezpečnostnej politiky
++1. Budú zavedené postupy na ukončenie pracovného pomeru
++1. Budú zavedené postupy pre prípady porušenia bezpečnostných politík
++1. Bude vypracovaný a aktualizovaný  akt vnútorného riadenia s bezpečnostnými zásadami pre koncových používateľov
++1. Postupy a procesy, ktorými sa riadi personálna bezpečnosť organizácie, budú vypracované a implementované prostredníctvom interného riadiaceho aktu.
++1. Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD.
--Jednotlivé organizačné jednotky (OZ), teda regionálne úrady verejného zdravotníctva (ktorých je 36) využívajú centrálny informačný systém (IS ÚVZ), tzn. že každá OZ, ak sa stane terčom kybernetického útoku, ohrozuje fungovanie IS ÚVZ ako celku a môže spôsobiť odstavenie celého systému. V dôsledku toho je nevyhnutné, aby navrhovaným systémov disponovalo nie len ÚVZ, ale aj všetky RÚVZ.
++\\
--Zasielané udalosti sú v jednotlivých organizáciách na vstupe prijaté, označkované a parsované podľa technológie. Následne sú buď vhodnými základnými pravidlami produktu a implementačnými pravidlami na mieru spracované, aby bolo možné s nimi vytvárať potrebné navrhnuté scenáre. Ďalej sú uložené a vizualizované buď prostredníctvom základných nástrojov, alebo v budúcnosti vyššou formou pomocou integračnej platformy. Implementácia zahŕňa vytvorenie prístupových oprávnení v súlade s požiadavkami na viditeľnosť a spracovanie dát a následnú vizualizáciu.
++**Čiastková aktivita k) Softvér na zaznamenávanie udalostí a monitoring sietí a IS,**
--Prevádzkové informácie budú zobrazovať aktuálne informácie o stave logovaných ICT systémov jednotlivých organizácií. Nad týmito logmi bude vykonané parsovanie a následne sa uložia do centrálneho dátového skladu, kde bude možné s týmito dátami ďalej pracovať. Primárne sa jedná o nepretržitý zber logov a monitorovanie prevádzky ICT technológií, systémov, aplikácií, stavu kybernetického a fyzického zabezpečenia a poskytovanie dát a informácií pre riešenie odchýlok a nápravných opatrení. Všetky údaje uložené v dátovom sklade budú podrobené procesu sledovania a vyhodnocovania podľa nižšie uvedených scenárov. Tým bude zabezpečené sledovanie jednotlivých systémov podľa nariadenia NIS2. Jednotlivé zistenia budú automaticky evidované v systéme na riadenie bezpečnosti, ktorý riadi všetky zistené riziká a navrhuje vhodné opatrenia. Takto evidované a riadené sledovanie logov povedie k včasnej detekcii rizík a ich okamžitej náprave.
++Na základe zistených nedostatkov v oblasti zaznamenávania a monitorovania udalostí je stanovený nasledovný cieľový stav:
--Z pohľadu kompletného zberu logov bude vyhodnocované:
--- prihlasovanie a odhlasovanie ku všetkým účtom, vrátane neúspešných pokusov
++1. Implementovaný bude centrálny log management systém pre zber a ukladanie logov z jednotlivých informačných systémov s podporou napojenia na riadiace systémy a poskytovania potrebných podporných dát.
++
++1. Bude vypracovaná  dokumentácia metód monitorovania a fungovania systému správy log a centrálneho nástroja na monitorovanie bezpečnosti a bude definovaný  spôsob evidencie prevádzkových záznamov, ich vyhodnocovanie, spôsoby hlásenia podozrivej činnosti, zodpovedné osoby a ďalšie povinnosti.
++
++1. Vytvorí sa špecifikácia všetkých udalostí, ktoré sa musia zaznamenávať, a súvisiaca konfigurácia prvkov informačných technológií verejnej správy vrátane dokumentácie rozsahu údajov zaznamenaných v protokolových súboroch.
++
++* Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou.
++
++
++\\
++
++**Softvér na zaznamenávanie udalostí a monitoring sietí a IS bude spĺňať minimálne nasledovné požiadavky:**
++
++**LogManagement s neobmedzeným zberom logov vrátane HW**
++• Spracovanie udalostí z rôznych zdrojov logov naprieč výrobcami aplikácií, operačných systémov a sieťového hardvéru,
++• Možnosť dopísania parseru pre zariadenie aktuálne nepodporované výrobcom bez nutnosti spolupráce s výrobcom alebo dodávateľom (vr. subdodávateľov) ponúkaného systému,
++• Systém štandardizuje prijaté logy do jednotného formátu a logy sú parserované (rozdeľované) do príslušných políčok podľa ich typu,
++• Nad takto štandardizovanými dátami systém automaticky vytvára indexy pre rýchlejšie vyhľadávanie pre všetky polia štandardizovaného logu,
++• Všetky rozparsované položky prijaté systémom sú automaticky indexované. Nad všetkými položkami je možné ihneď vykonávať vyhľadávanie bez nutnosti dodatočného ručného indexovania administrátorom,
++• Systém nesmie umožniť mazanie alebo modifikovanie už uložených logov,
++• Konsolidácia logov na centrálnom mieste,
++• Jednoduché vyhľadávanie udalostí (ad hoc) bez nutnosti programovania,
++• Grafické znázornenie udalostí (grafy udalostí),
++• Grafické znázornenie TOP udalostí nad všetkými dátami za určité časové obdobie,
++• Automatické doplňovanie GeoIP informácií k udalostiam a ich grafické znázornenie na mape,
++• Automatické doplňovanie reverzných DNS záznamov k IP adresám,
++• V prípade preťaženia systému sú udalosti ukladané do vyrovnávacej pamäte,
++•  Unifikované vyhľadávanie naprieč všetkými typmi dát a zariadení,
++•  HW dimenzovaný na zber logov aspoň po dobu 12 mesiacov,
++ • HW vrátane virtualizačného riešenia,
++
++\\
++
++__**Zdôvodnenie nevyhnutnosti výdavku:**__
++
++Vo štvrtom štvrťroku 2024 nadobudne účinnosť nová legislatívna úprava premietajúca smernicu EÚ NIS2.
++\\__Nová povinnosť riadiť riziká dopadne na oveľa širší okruh subjektov, než tomu bolo doteraz. Pre tieto subjekty je určený systém zberu a riadenia logov s online vyhodnocovaním a napojením na systém riadenia rizík.__ Tým sa zabezpečí neustály prehľad o možných hrozbách, ich včasná identifikácia a zhodnotenie, ako aj návrh riešení pri riadení rizík. Toto riešenie popisuje možnosti pre vybudovanie centrálnej platformy, ktorá bude v prvej fáze zameraná na zber logov pomocou sofistikovaného nástroja, ich parsovanie a vyhodnocovanie na základe jednotlivých scenárov podľa nariadenia NIS2, aby sa zabezpečil bezpečný chod a včasná detekcia hrozieb všetkých organizácií. Systém bude obsahovať aj samotné riadenie aktív a rizík, aby detekované problémy boli automaticky zachytené v samostatnom systéme, kde prebehne ich vyhodnotenie. Riešenie bude realizované na výkonnom serveri tzv. „ALL in one box“. Dôležitou časťou inštalácie je konfigurácia technických aktív, aby zasielali relevantné záznamy.
++\\
++
++__**Jednotlivé organizačné jednotky (OZ), teda regionálne úrady verejného zdravotníctva (ktorých je 36) využívajú centrálny informačný systém (IS ÚVZ), tzn. že každá OZ, ak sa stane terčom kybernetického útoku, ohrozuje fungovanie IS ÚVZ ako celku a môže spôsobiť odstavenie celého systému. V dôsledku toho je nevyhnutné, aby navrhovaným systémov disponovalo nie len ÚVZ, ale aj všetky RÚVZ. **__
++\\Zasielané udalosti sú v jednotlivých organizáciách na vstupe prijaté, označkované a parsované podľa technológie. Následne sú buď vhodnými základnými pravidlami produktu a implementačnými pravidlami na mieru spracované, aby bolo možné s nimi vytvárať potrebné navrhnuté scenáre. Ďalej sú uložené a vizualizované buď prostredníctvom základných nástrojov, alebo v budúcnosti vyššou formou pomocou integračnej platformy. Implementácia zahŕňa vytvorenie prístupových oprávnení v súlade s požiadavkami na viditeľnosť a spracovanie dát a následnú vizualizáciu.
++\\Prevádzkové informácie budú zobrazovať aktuálne informácie o stave logovaných ICT systémov jednotlivých organizácií. Nad týmito logmi bude vykonané parsovanie a následne sa uložia do centrálneho dátového skladu, kde bude možné s týmito dátami ďalej pracovať. Primárne sa jedná o nepretržitý zber logov a monitorovanie prevádzky ICT technológií, systémov, aplikácií, stavu kybernetického a fyzického zabezpečenia a poskytovanie dát a informácií pre riešenie odchýlok a nápravných opatrení. Všetky údaje uložené v dátovom sklade budú podrobené procesu sledovania a vyhodnocovania podľa nižšie uvedených scenárov. Tým bude zabezpečené sledovanie jednotlivých systémov podľa nariadenia NIS2. Jednotlivé zistenia budú automaticky evidované v systéme na riadenie bezpečnosti, ktorý riadi všetky zistené riziká a navrhuje vhodné opatrenia. Takto evidované a riadené sledovanie logov povedie k včasnej detekcii rizík a ich okamžitej náprave.
++\\__Z pohľadu kompletného zberu logov bude vyhodnocované:__
++//- prihlasovanie a odhlasovanie ku všetkým účtom, vrátane neúspešných pokusov
  - vykonanie a neúspešný pokus o vykonanie privilegovanej činnosti
  - manipulácia a neúspešný pokus o manipuláciu s účtami, oprávneniami a právami
  - neuskutočnenie činností v dôsledku nedostatku prístupových práv alebo oprávnení
@@ -164,364 +164,371 @@
  - prístup a neúspešný pokus o prístup k záznamom udalostí
  - manipulácia a neúspešný pokus o manipuláciu so záznamami udalostí
  - zmenu a neúspešný pokus o zmenu nastavení nástrojov na zaznamenávanie udalostí
--- ďalšie činnosti používateľov, ktoré môžu mať vplyv na bezpečnosť regulovanej služby.
++- ďalšie činnosti používateľov, ktoré môžu mať vplyv na bezpečnosť regulovanej služby.//
++(% align="justify" %)
++\\
--Výsledky projektu a cieľový stav  (manažérske produkty)
--
--Čiastková aktivita a) Organizácia KB,
--Na základe zistených nedostatkov v oblasti riadenia kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:
--Komplexná bezpečnostná dokumentácia bude novo vypracovaná, pričom zohľadňuje predchádzajúcu dokumentáciu a jej aktualizácie vrátane rozsahu a metód dodržiavania všeobecných bezpečnostných opatrení.
--Budú novo sa vyvinuté a implementované špecifické interné riadiace akty pre vybrané oblasti kybernetickej a informačnej bezpečnosti.
--Bude aktualizovaný stav bezpečnostného výboru organizácie.
--Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy.
--
--Čiastková činnosť b) Riadenie rizík KB,
--Na základe zistených nedostatkov v oblasti riadenia rizík kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:
--Všetky aktíva súvisiace so spracovaním informácií a centrálnym inventárnym záznamovým zariadením budú identifikované ich hodnotou a s označením ich vlastníka, ktorý definuje ich požiadavky na dôvernosť, dostupnosť a integritu (EAM).
--Riadenie rizík bude automatizované pomocou nástroja, pozostávajúce z identifikácie zraniteľnosti, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenia vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, funkčnej analýzy dopadov a pravidelného prehodnocovania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení.
--Bude implementovaný automatizovaný systém správy a registrácie pre inventarizáciu majetku (EAM/).
--Bude implementovaný automatizovaný systém riadenia a registrácie pre katalogizáciu hrozieb.
--Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení.
--
--Čiastková činnosť c) Personálna bezpečnosť,
--Na základe zistených nedostatkov v oblasti personálnej bezpečnosti v organizácii je stanovený nasledovný cieľový stav:
--Bude vyvinutý postup na priradenie osoby k jednej z rolí zabezpečenia
--Bude zavedený plán na rozvoj bezpečnostného povedomia a vzdelávania
--Bude vyvinutá  metóda hodnotenia účinnosti rozvojového plánu bezpečnostného povedomia
--Budú určené  pravidlá a postupy pri riešení porušení bezpečnostnej politiky
--Budú zavedené postupy na ukončenie pracovného pomeru
--Budú zavedené postupy pre prípady porušenia bezpečnostných politík
--Bude vypracovaný a aktualizovaný  akt vnútorného riadenia s bezpečnostnými zásadami pre koncových používateľov
--Postupy a procesy, ktorými sa riadi personálna bezpečnosť organizácie, budú vypracované a implementované prostredníctvom interného riadiaceho aktu.
--Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD.
--
--Čiastková aktivita k) Zaznamenávanie udalostí a monitoring sietí a IS,
--Na základe zistených nedostatkov v oblasti zaznamenávania a monitorovania udalostí je stanovený nasledovný cieľový stav:
--Implementovaný bude centrálny log management systém pre zber a ukladanie logov z jednotlivých informačných systémov s podporou napojenia na riadiace systémy a poskytovania potrebných podporných dát.
--Bude vypracovaná  dokumentácia metód monitorovania a fungovania systému správy log a centrálneho nástroja na monitorovanie bezpečnosti a bude definovaný  spôsob evidencie prevádzkových záznamov, ich vyhodnocovanie, spôsoby hlásenia podozrivej činnosti, zodpovedné osoby a ďalšie povinnosti.
--Vytvorí sa špecifikácia všetkých udalostí, ktoré sa musia zaznamenávať, a súvisiaca konfigurácia prvkov informačných technológií verejnej správy vrátane dokumentácie rozsahu údajov zaznamenaných v protokolových súboroch.
--Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou.
++(% align="justify" %)
++\\
++(% align="justify" %)
++**Čiastková činnosť o) Audítorská a kontrolná činnosť,**
++
++(% align="justify" %)
++Na základe zistených nedostatkov v oblasti audítorských a kontrolných činností sa stanovuje nasledovný cieľový stav:
++
++1. Bude vypracovaný program hodnotenia bezpečnosti pre definované informačné technológie verejnej správy, hodnotenie zraniteľnosti a penetračné testy.
++1. Bude realizovaný audit kybernetickej bezpečnosti, ktorý sa vykonáva v súlade so zákonom o kybernetickej bezpečnosti a smernicou NIS2.
++1. Budú vykonávané pravidelné externé testy zraniteľnosti, penetračné testy v nevyhnutnom rozsahu.
++1. Automatizované nástroje budú implementované a používané na technickú podporu riadenia bezpečnosti a audítorských činností.
++1. Podporné nástroje pre správu budú naplnené údajmi o existencii a stave technických a aplikačných aktív automatizovaným a technickým spôsobom.
++1. Základ pre audítorské a kontrolné činnosti bude vytvorený technicky na základe skutočného prevádzkového stavu majetku s prípustným oneskorením do 10 minút.
++1. Dokumenty pre audítorské a kontrolné činnosti  budú vždy obsahovať technické diferenčné správy s presným vyznačením zmien vstupov z predchádzajúceho obdobia.
++1. Podporné nástroje pre správu minimalizujú ľudské chyby a maximálne využívajú napojenie existujúcich informácií o aktívach a používateľoch na technické zdroje – najmä MS Active Directory, API prístup do systému Log Management a importy výstupov zraniteľnosti.
++
  \\
++(% align="justify" %)
++Tieto bezpečnostné opatrenia budú realizované v zmysle schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. RÚVZ je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu.
--3.2 Ciele projektu
--Do tabuliek nižšie doplniť CIEĽ /CIELE PROJEKTU, ich mapovanie na strategické ciele (napr. z NKIVS, KRIT a iných strategických dokumentov) a súvisiace merateľné ukazovatele (KPI- key performance indicators). Ciele musia byť S.M.A.R.T. -  konkrétne, merateľné, dosiahnuteľné, relevantné, časovo ohraničené.
++\\
--ID
++\\
--Názov cieľa
--Názov strategického cieľa
--Spôsob realizácie strategického cieľa
--...
++(% class="" %)|(((
++(% align="center" %)
++Architektúra riešenia projektu na úrovni biznis vrstvy
++)))|(((
++(% align="center" %)
++**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný**
++)))
++(% class="" %)|(((
++(% align="center" %)
++Architektúra riešenia projektu na úrovni aplikačnej vrstvy
++)))|(((
++(% align="center" %)
++**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný**
++)))
++(% class="" %)|(((
++(% align="center" %)
++Architektúra riešenia projektu na úrovni dátovej vrstvy
++)))|(((
++(% align="center" %)
++**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný**
++)))
++(% class="" %)|(((
++(% align="center" %)
++Architektúra riešenia projektu na úrovni technologickej vrstvy
++)))|(((
++(% align="center" %)
++**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný**
++)))
++(% class="" %)|(((
++(% align="center" %)
++Infraštruktúra navrhovaného riešenia
++)))|(((
++(% align="center" %)
++**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný**
++)))
++(% class="" %)|(((
++(% align="center" %)
++Bezpečnostná architektúra
++)))|(((
++(% align="center" %)
++**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný**
++)))
++(% class="" %)|(((
++(% align="center" %)
++Špecifikácia údajov spracovaných v projekte, čistenie údajov
++)))|(((
++(% align="center" %)
++**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný**
++)))
++(% class="" %)|(((
++(% align="center" %)
++Závislosti na ostatné IS/Projekty
++)))|(((
++(% align="center" %)
++**Áno**
++)))
++(% class="" %)|(((
++(% align="center" %)
++Zdrojové kódy
++)))|(((
++(% align="center" %)
++**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný**
++)))
++(% class="" %)|(((
++(% align="center" %)
++Prevádzka a údržba výstupov projektu
++)))|(((
++(% align="center" %)
++**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný**
++)))
++(% class="" %)|(((
++(% align="center" %)
++Požiadavky na personál
++)))|(((
++(% align="center" %)
++**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný**
++)))
++(% class="" %)|(((
++(% align="center" %)
++Implementácia a preberanie výstupov projektu
++)))|(((
++(% align="center" %)
++**Áno**
++)))
--...
--...
--...
++(% align="justify" %)
--...
--...
++\\
--3.3 Merateľné ukazovatele (KPI)
++(% align="justify" %)
--ID
++\\
++(% align="center" %)
--ID/Názov cieľa
--Názov
--ukazovateľa (KPI)
--Popis
--ukazovateľa
--Merná jednotka
++\\
--AS IS
--merateľné hodnoty
--(aktuálne)
--TO BE
--Merateľné hodnoty
--(cieľové hodnoty)
--Spôsob ich merania
++(% align="center" %)
--Pozn.
  \\
--Vysvetlivky k vyplneniu tabuľky:
--    • Vzory merateľných ukazovateľov pre projekt sú publikované v Checkliste pre agendu Merateľné ukazovatele/KPI ([[https:~~/~~/www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html>>url:https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html||shape="rect"]] )
--    • AS IS merateľné ukazovatele – t. j. popíšte, aké merateľné ukazovatele máte teraz (vpíšte výsledky meraní – v merateľných jednotkách) .
--    • TO BE merateľné ukazovatele – t. j. popíšte cieľové merateľné ukazovatele, ktoré chcete dosiahnuť.
--    • Odporúčame, aby váš budúci IS mal automatizovaný monitoring (na pravidelnej báze, napr. týždenne) vami stanovených merateľných ukazovateľov – s cieľom, aby ste mohli riadiť službu, produkt, proces, ľudí
--    • V prípade financovania cez zdroje EÚ uvádzať aj Projektové merateľné ukazovatele z operačného programu (špecifické ciele, merateľné ukazovatele atď).
--.
--3.4 Riziká a závislosti
++(% align="center" %)
--Zoznam rizík a závislostí realizácie projektu:
--Realizácia projektu na zabezpečenie kyberbezpečnosti financovaného z fondov EÚ môže čeliť viacerým rizikám.
--
--~1. Nedodržanie harmonogramu aktivít
--Riziko spočíva v nedodržiavaní harmonogramu aktivít projektu, ktoré by vyústilo do oneskorenia projektu.
--
--Opatrenia na elimináciu:
--V rámci prípravy projektu bol harmonogram jednotlivých aktivít zostavený tak aby zodpovedal možnostiam žiadateľa.
--
--Na elimináciu rizika nedodržania harmonogramu aktivít projektu je potrebné prijať niekoľko opatrení, ktoré zabezpečia efektívne riadenie času a zdrojov. Tu sú niektoré z nich:
++\\
--a)  Dôkladné plánovanie:
--   - žiadateľ má vypracovaný detailný projektový plán so všetkými aktivitami, úlohami a milníkmi.
--   - žiadateľ využil osvedčené metódy plánovania, ako sú Ganttove diagramy alebo PERT (Program Evaluation and Review Technique).
++(% align="center" %)
--b) Realistické časové odhady:
--   -  v rámci žiadosti boli stanoviné realistické časové rámce pre jednotlivé aktivity na základe skúseností a po porade s odbornými konzultantmi,
--   - do riadenia a plánovania bol zapojený projektový tím, ktorý bude úlohy vykonávať, aby sa zabezpečila realistickosť odhadov.
++\\
--c) Identifikácia kritických ciest:
--   -  žiadateľ určil kritické cesty (critical paths) v projekte, ktoré majú najväčší vplyv na celkový harmonogram.
--   -  žiadateľ bude pravidelne sledovať postup na týchto kritických cestách a zabezpečí, aby nedošlo k žiadnym oneskoreniam.
++(% align="center" %)
--d)  Rezervy na nepredvídané udalosti:
--   -  žiadateľ v rámci stanovenia aktivity projektu zahrnúl do plánu časové rezervy (buffer times) na pokrytie nepredvídaných udalostí alebo oneskorení.
--   -  projektový a odborný tím žiadateľa je pripravený flexibilne prispôsobiť plán pri výskyte neočakávaných situácií.
++\\
--e) Pravidelný monitoring a kontrola:
--   -  žiadateľ bude mať v rámci realizácie projektu zavedený zavedený systém pravidelného monitorovania postupu projektu a porovnávania s harmonogramom.
--   -  súčasne budú používané softvérové nástroje na riadenie projektov, ktoré umožňujú sledovanie priebehu v reálnom čase.
++(% align="center" %)
--f)  Efektívna komunikácia:
--   -  žiadateľ má zavedené pravidelné stretnutia projektového tímu na hodnotenie postupu a riešenie problémov.
--   -  žiadateľ zabezpečí udržiavať otvorenú a transparentnú komunikáciu medzi všetkými členmi tímu a zainteresovanými stranami.
++\\
--g)  Riadenie rizík:
--   -  žiadateĺ identifikoval potenciálne riziká, ktoré by mohli ovplyvniť harmonogram, a vypracovať plány na ich zmiernenie.
--   - žiadateľ bude pravidelne aktualizovať rizikový register a prijímať preventívne opatrenia.
++(% align="center" %)
--h)  Dostatočné zdroje:
--   -  žiadateľ má zabezpečené, aby mal projektový tím k dispozícii všetky potrebné zdroje vrátane personálu, technológií a financií.
--   - žiadateľ bude riešiť prípadné nedostatky zdrojov čo najskôr, aby nedošlo k oneskoreniam.
++\\
--i)  Flexibilita a adaptabilita:
--    -  žiadateľ je pripravený prispôsobiť harmonogram podľa aktuálnych podmienok a vývoja situácie.
--    -  žiadateľ bude mať zavedené spolu s projektovými tímom procesy pre rýchlu reakciu na zmeny a úpravu plánov.
--
--Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
--
--
--2. Nedosiahnutie plánovaných hodnôt merateľných ukazovateľov
--Hoci v rámci projektu sa nesledujú také merateľné ukazovatele, ktoré by boli merateľnými ukazovateľmi s príznakom, žiadateľ si uvedomuje možné riziká súvisiace s nenaplnením merateľných ukazovateľov.
--
--Opatrenia na elimináciu rizika:
--Keďže merateľné ukazovatele sú odrazom úspešného naplnenia jednotlivých aktivít, prijímateľ prijal alebo prijme najmä nasledovné opatrenia:
--Prijímateľ dlhoročne realizuje projekty financované s fondov EÚ. Samotný projekt vyplýva z jeho dlhodobých  plánov a preto celé jeho nastavenie je podrobne analyzované vrátane nastavenia časového harmonogramu a cieľových hodnôt merateľných ukazovateľov.Prijímateľ do realizácie projektu zapojil odborných zamestnancov spoločnosti, aby bolo zaručené dosiahnutie plánovaných výsledkov.
--
--Aby sa eliminovalo riziko nedosiahnutia plánovaných hodnôt merateľných ukazovateľov v rámci projektu, môžu byť prijaté nasledujúce opatrenia:
++(% align="center" %)
--a) Precízne plánovanie a nastavenie realistických cieľov:
--   - V projekte sú definované jasné a realistické ciele a merateľné ukazovatele (KPIs) na základe dôkladnej analýzy, prípravy projektu a prieskumu trhu.
--   - Žiadateľ využil  historické údaje a osvedčené metódy na stanovenie cieľov.
++\\
--b) Pravidelný monitoring a hodnotenie:
--   - žiadateľ zavedie v rámci realizácie projektu systém pravidelného monitoringu a hodnotenia postupu dosahovania cieľov.
--   - žiadateľ zavedie v rámci realizácie projektu  mechanizmy na pravidelné správy a analýzy progresu.
++(% align="center" %)
--c) Flexibilita a adaptabilita:
--   -  projektový tím žiadateľa je pripravený prispôsobiť plány a stratégie na základe zistení z monitoringu.
--   - žiadateľ počs realizácie projektu zavedie procesy pre rýchlu reakciu na neočakávané udalosti alebo zmeny v externom prostredí.
++\\
--d) Zabezpečenie potrebných zdrojov:
--   - žiadateľ identifikoval a zabezpečil všetky potrebné zdroje vrátane finančných, ľudských a technologických potrebných na úspešnú realizáciu projektu,
--   -  žiadateľ bude pravidelne preverovať dostupnosť zdrojov a riešiť prípadné nedostatky.
++(% align="center" %)
--e) Kvalitný projektový manažment:
--   - žiadateľ disponuje skúsenými a certifikovanými projektovými manažérmi, ktorý skúsenosti sú uvedené v časti 7.4. ŽoNFP,
--   - žiadateľ  bude využívať pri realizácii projektu osvedčené metodiky projektového riadenia, ako sú PRINCE2, PMI alebo Agile.
++\\
--f) Zapojenie všetkých zainteresovaných strán:
--   -  žiadateľ prostredndíctvom projektového tímu zabezpečí, aby všetci zainteresovaní boli  dostatočne informovaní a zapojení do projektu.
--   -  žiadateľ plánuje organizovať pravidelné stretnutia a konzultácie s projektovým tímom a relevantnými stranami na získanie spätnej väzby a podpory pri realizácii projektu,
++(% align="center" %)
--g) Rizikový manažment:
--   - Identifikovať potenciálne riziká spojené s dosahovaním ukazovateľov a vypracovať plány na ich zmiernenie.
--   - Pravidelne aktualizovať rizikový register a prijímať preventívne opatrenia.
++\\
--h) Komunikácia a transparentnosť:
--   - Zabezpečiť otvorenú a transparentnú komunikáciu o postupoch a výsledkoch.
--   - Informovať tím a vedenie o aktuálnom stave a prípadných problémoch.
++(% align="center" %)
--i) Kontrola a audit:
--   - Zaviesť interné a externé kontroly a audity na preverenie plnenia merateľných ukazovateľov.
--   - Implementovať odporúčania z auditov na zlepšenie procesov a výkonnosti.
--
--Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
--
--
--3. Nedostatky v dodávkach od externých dodávateľov
--Nedodržiavanie termínov zo strany externých dodávateľov služieb a tovarov. Dodávateľ(lia) služieb a tovarov, ktorý vzíde z procesu verejného obstarávania nebude dodržiavať harmonogram prác a dodávok, resp. bude v omeškaní.
--
++\\
++(% align="center" %)
--Opatrenia na elimináciu rizika:
--Projektový manažér bude pravidelne komunikovať s dodávateľom, konzultovať prípadné omeškania, hľadať riešenia. V rámci realizácie projektu budú organizované pravidelné zasadnutia Riadiaceho výboru. Postihy za škody a omeškania budú definované v rámci zmluvy o dodávke tovaru, resp. poskytnutí služieb. Ďalším opatrením je už dnes realizovaná kontrola kvality externých dodávateľov zo strany žiadateľa. Súčasne bude žiadateľ starostlivo vyberať dodávateľov na základe ich schopností a referencií. V rámci procesu verejného obstarávania budú zavedené jasné zmluvné podmienky a dohodnúť si pravidelné kontroly plnenia záväzkov, vrátane finančných sankciíí.  Žiadateľ bude sa bude usilovať o diverzifikovanie dodávateľov, aby sa minimalizovala závislosť na jedinom zdroji. Podmienkou žiadateľa bude  implementovať osvedčené technológie a riešenia, ktoré sú už overené na trhu. Žiadateľ zároveň planuje investovať do školení a certifikácií pre zamestnancov, aby mali potrebné zručnosti a vedomosti.
--
--Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
--
--
--Na základe vykonanej analýzy rizík ohrozujúcich úspešnú realizáciu projektu možno konštatovať, že menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.
++\\
++
  \\
++(% align="center" %)
++**ZÁVISLOSTI NA OSTATNÝCH IS**
--4. Súčasná architektúra prevádzkovanýCH IS
++(% align="justify" %)
--ÚVZ SR, ako aj jednotlivé RÚVZ spoločne používajú IS ÚVZ.
++\\
++(% align="justify" %)
++
  \\
--[[image:attach:6.png||height="250"]]
++(% align="justify" %)
++ÚVZ SR, ako aj jednotlivé RÚVZ spoločne používajú IS ÚVZ. Všetky informácie sú spracúvané v IS ÚVZ, prístupovým bodom pre verejnosť je Portál úradov.
++(% align="justify" %)
++
  \\
++[[image:attach:1.png||height="250"]]
  \\
--[[image:attach:7.png||height="250"]]
  \\
--[[image:attach:8.png||height="250"]]
++[[image:attach:2.png||height="250"]]
++
  \\
--[[image:attach:9.png||thumbnail="true" height="250"]]
++\\
++(% align="center" %)
++**PROJEKTOVÝ PRÍSTUP**
--5. ROZPOČET A PRÍNOSY
++\\
--Rozpočet projektu je detailne špecifikovaný v časti 11. Rozpočet projektu v rám ci predloženej ŽoNFP.
  \\
++\\
--6. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA
++[[image:attach:4.png||width="300"]]
++\\
--Harmonogram projektu je uvedený v časti 9. Harmonogram realizácie aktivít predloženej ŽoNFP.
--Projekt bude realizovaný metódou Waterfall:
--Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.
++\\
--Objednávateľ projektu vypracuje funkčnú a technickú špecifikáciu,
++\\
--[[image:attach:10.png||thumbnail="true" height="250"]]
  \\
--Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia.
++\\
--Pri akceptácii budú vyhotovované vopred definované akceptačné kritéria a požiadavky z katalógu funkčných a nefunkčných požiadaviek vzťahujúce sa k jednotlivým míľnikom projektu.
++(% align="center" %)
--Metóda riadenia "Waterfall" (vodopád) je jedným z najtradičnejších prístupov k riadeniu projektov v oblasti IT. Tento model je lineárny a sekvenčný, čo znamená, že každá fáza projektu musí byť dokončená pred začiatkom ďalšej. Tieto fázy sú nasledovné:
++\\
--~1. Požiadavky (Requirements):*
--   - V tejto počiatočnej fáze sú zhromaždené všetky požiadavky na systém. Ide o veľmi dôležitý krok, pretože chyby v požiadavkách môžu mať vážne následky v neskorších fázach. Dokumentujú sa všetky požiadavky zákazníka, funkčné aj nefunkčné, a výsledkom je detailná špecifikácia požiadaviek.
++(% align="center" %)
--2. Analýza systému (System Design):
--   - Po dokončení zhromažďovania požiadaviek sa prejde k analýze systému a návrhu. Táto fáza zahŕňa vytvorenie architektúry systému, technických špecifikácií a návrhu softvéru, ktorý bude schopný splniť všetky definované požiadavky.
++\\
--3. Implementácia (Implementation):
--   - Po schválení návrhu systému sa začne s implementáciou, teda s programovaním a kódovaním systému podľa navrhnutých špecifikácií. Výsledkom tejto fázy je hotový softvér.
++(% align="center" %)
--4. Integrácia a testovanie (Integration and Testing):
--   - V tejto fáze sa jednotlivé komponenty systému integrujú a testujú sa ako celok, aby sa overilo, či systém funguje podľa očakávaní a splňuje všetky špecifikované požiadavky. Testovanie zahŕňa rôzne typy testov, vrátane funkčných, integračných a systémových testov.
++\\
--5. Nasadenie (Deployment):
--   - Po úspešnom testovaní sa systém nasadí do produkčného prostredia. Táto fáza môže zahŕňať aj školenie používateľov a prípravu dokumentácie pre používateľov.
++(% align="center" %)
--6. Údržba (Maintenance):
--   - Po nasadení systému začína fáza údržby, ktorá zahŕňa opravy chýb, aktualizácie a vylepšenia systému na základe spätnej väzby od používateľov a meniace sa požiadavky.
++\\
-- Výhody Waterfall modelu:
--- Jednoduchosť a jasná štruktúra:*Každá fáza má jasne definovaný začiatok a koniec.
--- Dobre zdokumentovaný proces: Všetky požiadavky a kroky sú detailne zdokumentované.
--- Jednoduché riadenie:*Jednoduché plánovanie a sledovanie pokroku projektu.
++(% align="center" %)
++\\
--Waterfall model je ideálny pre projekty, kde sú požiadavky jasne definované a stabilné, a kde sa očakáva, že projekt prebehne bez veľkých zmien. V súčasnosti sa však stále častejšie využívajú agilné prístupy, ktoré lepšie vyhovujú dynamickým a meniacim sa požiadavkám projektov.
++(% align="center" %)
++\\
--Kvantitatívne prínosy projektu:
--    • Zníženie nákladov spojených so sanáciou KBU/KBI
--    • Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI
--
--Kvalitatívne prínosy projektu:
--    • Zníženie rizika KBI,
--    • Zvýšenie súladu s platnou legislatívou,
--    • Zvyšovanie úrovne kybernetickej a informačnej bezpečnosti,
--    • Zvýšenie detekcie KBI,
--    • Zvýšte spokojnosť a dôveru používateľov,
--
--
--Popis cieľového stavu
--Základné ciele projektu:
--    • Aktualizácia stratégie kybernetickej bezpečnosti,
--    • Aktualizácie bezpečnostnej politiky KB vrátane implementačnej dokumentácie, v súlade s  Príloha – Manažérske Produkty,
--    • Vykonávanie inventarizácie aktív, klasifikácie informácií a kategorizácie sietí a interných systémov,
--    • Stabilizácia riadenia rizík – aktualizácia analýzy rizík a analýzy dopadov a nasadenie nástroja Asset Inventory, Threats, Risks and Measures (EAM/),
--    • Implementácia nástroja na zaznamenávanie a monitorovanie udalostí (Log Management)
--    • Implementácia auditu KB, procesu riadenia a kontroly dodržiavania predpisov.
++(% align="center" %)
  \\
--7. PROJEKTOVÝ TÍM
++(% align="center" %)
--Projektový tím je detailne popísaný v predloženej ŽoNFP, časť 7.5 Prevádzková kapacita žiadateľa.
++\\
++(% align="center" %)
--ID
--Meno a Priezvisko
--Pozícia
--Oddelenie
--Rola v projekte
--1.
--Doplniť meno a priezvisko
--Doplniť pozíciu (pracovné zaradenie v línii)
--Doplniť názov org. útvaru
--Doplniť rolu v projekte
--2.
--Doplniť meno a priezvisko
--Doplniť pozíciu (pracovné zaradenie v línii)
--Doplniť názov org. útvaru
--Doplniť rolu v projekte
--3.
--Doplniť meno a priezvisko
--Doplniť pozíciu (pracovné zaradenie v línii)
--Doplniť názov org. útvaru
--Doplniť rolu v projekte
++\\
--Vzor organizačnej štruktúry
++(% align="center" %)
--[[image:attach:11.png||height="250"]]
++\\
++(% align="center" %)
++
  \\
--[[image:attach:12.png||height="93"]]
++(% align="center" %)
++**IMPLEMENTÁCIA A PREBERANIE VÝSTUPOV**
++
  \\
--8. VÝSLEDKY PROJEKTU
++(% align="justify" %)
++Projekt bude realizovaný metódou Waterfall:
--VÝSLEDKOM PROJEKTU JE ZABEZPEČENIE SÚLADU SO SMERNICOU NIS2 a Zákonom o kybernetickej bezpečnosti Slovenskej republiky (Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti)
++(% align="justify" %)
++Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.
--Realizáciou vyššie uvedenej aktivity, dosiahne žiadateľ súlad so Smernicou NIS2 a Zákonom o kybernetickej bezpečnosti Slovenskej republiky (Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti). Tieto aktivity pokrývajú širokú škálu oblastí vrátane bezpečnostnej politiky, správy rizík, ochrany proti škodlivému kódu, inventarizácie aktív, bezpečnosti sietí a informačných systémov, kontroly prístupu, riadenia zraniteľností, monitoringu, kontinuity činností a incident managementu.
--Tu je prehľad, ako tieto aktivity pomáhajú dosiahnuť súlad:
++\\
--~1. Bezpečnostná politika a stratégia: Prehodnotenie a aktualizácia bezpečnostnej politiky a stratégie zabezpečuje, že organizácia má správne nastavený rámec pre kybernetickú bezpečnosť v súlade s legislatívou.
--2. Smernice a procesy : Aktualizácia a vytváranie nových smerníc pre rôzne oblasti kybernetickej bezpečnosti zabezpečuje, že všetky činnosti sú vykonávané v súlade s novými požiadavkami Zákona a NIS2.
--3. Riadenie rizík: Nasadenie nástrojov na automatizáciu analýzy rizík a aktualizácia analýzy rizík zabezpečuje, že riziká sú riadne identifikované, hodnotené a riadené.
--4. Inventarizácia aktív: Spracovanie inventarizácie aktív a ich klasifikácia pomáha organizácii identifikovať a spravovať svoje informačné aktíva, čo je kľúčové pre ochranu citlivých informácií.
--5. Log management: Implementácia nástrojov a procesov na detekciu a riadenie kybernetických bezpečnostných incidentov zabezpečuje, že organizácia môže efektívne zvládať incidenty a minimalizovať ich dopad.
--Realizácia týchto aktivít predstavuje komplexný prístup k dosiahnutiu súladu s NIS2 a Zákonom o kybernetickej bezpečnosti, čím sa zabezpečuje ochrana kritickej infraštruktúry a citlivých informácií v súlade s aktuálnymi požiadavkami.
--9. PRÍLOHY
++\\
--Príloha : Zoznam rizík a závislostí (Excel): [[https:~~/~~/www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html>>url:https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html||shape="rect"]]
--
++[[image:attach:5.png||thumbnail="true" height="250"]]
++
++
++\\
++
++
++\\
++
++
++\\
++
++(% align="justify" %)
++Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia.
++
++(% align="justify" %)
++Pri akceptácii budú vyhotovované vopred definované akceptačné kritéria a požiadavky z katalógu funkčných a nefunkčných požiadaviek vzťahujúce sa k jednotlivým míľnikom projektu.
++
++(% align="justify" %)
++Metóda riadenia "Waterfall" (vodopád) je jedným z najtradičnejších prístupov k riadeniu projektov v oblasti IT. Tento model je lineárny a sekvenčný, čo znamená, že každá fáza projektu musí byť dokončená pred začiatkom ďalšej.
++
++(% align="justify" %)
++__Tieto fázy sú nasledovné:__
++
++(% align="justify" %)
++~1. Požiadavky (Requirements):* - V tejto počiatočnej fáze sú zhromaždené všetky požiadavky na systém. Ide o veľmi dôležitý krok, pretože chyby v požiadavkách môžu mať vážne následky v neskorších fázach. Dokumentujú sa všetky požiadavky zákazníka, funkčné aj nefunkčné, a výsledkom je detailná špecifikácia požiadaviek.
++
++(% align="justify" %)
++2. Analýza systému (System Design): - Po dokončení zhromažďovania požiadaviek sa prejde k analýze systému a návrhu. Táto fáza zahŕňa vytvorenie architektúry systému, technických špecifikácií a návrhu softvéru, ktorý bude schopný splniť všetky definované požiadavky.
++
++(% align="justify" %)
++3. Implementácia (Implementation): - Po schválení návrhu systému sa začne s implementáciou, teda s programovaním a kódovaním systému podľa navrhnutých špecifikácií. Výsledkom tejto fázy je hotový softvér.
++
++(% align="justify" %)
++4. Integrácia a testovanie (Integration and Testing): - V tejto fáze sa jednotlivé komponenty systému integrujú a testujú sa ako celok, aby sa overilo, či systém funguje podľa očakávaní a splňuje všetky špecifikované požiadavky. Testovanie zahŕňa rôzne typy testov, vrátane funkčných, integračných a systémových testov.
++
++(% align="justify" %)
++5. Nasadenie (Deployment): - Po úspešnom testovaní sa systém nasadí do produkčného prostredia. Táto fáza môže zahŕňať aj školenie používateľov a prípravu dokumentácie pre používateľov.
++
++(% align="justify" %)
++6. Údržba (Maintenance): - Po nasadení systému začína fáza údržby, ktorá zahŕňa opravy chýb, aktualizácie a vylepšenia systému na základe spätnej väzby od používateľov a meniace sa požiadavky.
++
++(% align="justify" %)
++**Výhody Waterfall modelu**: - Jednoduchosť a jasná štruktúra: Každá fáza má jasne definovaný začiatok a koniec. - Dobre zdokumentovaný proces: Všetky požiadavky a kroky sú detailne zdokumentované. - Jednoduché riadenie:*Jednoduché plánovanie a sledovanie pokroku projektu. Waterfall model je ideálny pre projekty, kde sú požiadavky jasne definované a stabilné, a kde sa očakáva, že projekt prebehne bez veľkých zmien. V súčasnosti sa však stále častejšie využívajú agilné prístupy, ktoré lepšie vyhovujú dynamickým a meniacim sa požiadavkám projektov.
++
++(% align="justify" %)
++
++\\
++
++(% align="justify" %)
++**Kvantitatívne prínosy projektu:**
++
++* Zníženie nákladov spojených so sanáciou KBU/KBI,
++* Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI.
++
++(% align="justify" %)
++
++\\
++
++(% align="justify" %)
++**Kvalitatívne prínosy projektu:**
++
++* Zníženie rizika KBI,
++* Zvýšenie súladu s platnou legislatívou,
++* Zvyšovanie úrovne kybernetickej a informačnej bezpečnosti,
++* Zvýšenie detekcie KBI,
++* Zvýšenie spokojnosti a dôvery používateľov.
++
++(% align="justify" %)
++
++\\

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--155326504
++155326317

Zmeny dokumentu projekt_2872_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?