Zmeny dokumentu projekt_2872_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/13 16:17

From 6.1 to 6.2

Z verzie 6.2

upravil jozef_petrik
-

Zmeniť komentár: Update document after refactoring.

Do verzie 7.1

upravil Admin-metais MetaIS
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (3 modified, 0 added, 0 removed)

Podrobnosti

Vlastnosti stránky

Názov

@@ -1,1 +1,1 @@
--projektovy_zamer
++projekt_2872_Projektovy_zamer_detailny

Autor dokumentu

@@ -1,1 +1,1 @@
--projdoc:XWiki.jozef_petrik
++XWiki.metais@vicepremier\.gov\.sk

Obsah

@@ -1,10 +1,10 @@
--(% class="western" align="center" %)
++(% class="western" style="text-align:center" %)
  **PROJEKTOVÝ ZÁMER**
--(% class="western" align="center" %)
++(% class="western" style="text-align:center" %)
  **Vzor pre manažérsky výstup I-02**
--(% class="western" align="center" %)
++(% class="western" style="text-align:center" %)
  **podľa vyhlášky MIRRI č. 401/2023 Z. z.**
@@ -31,7 +31,6 @@
  ÚVZ SR
--\\
  ~1. História DOKUMENTU
@@ -42,15 +42,12 @@
 .0.
 .07.2024
  Vypracovanie dokumentu
--
--1.0
++\\1.0
 .12.2023
  Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.
--\\
--\\
 . ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE
  V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.
@@ -58,11 +58,10 @@
  V súlade s Vyhláškou MIRRI SR č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke IT VS je dokument Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.
  Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky obsahuje opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Dodávané riešenie bude v súlade so zákonom. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.
  Hlavnou motiváciou je realizácia kyberbezpečnostných opatrení definovaných v Z.z. 69/2018 a v zákone o ISVS.
--Prioritne jedná o tie opatrenia, ktoré vykazujú najväčší nesúlad s uvedenými právnymi normami a vyhláškou 362/2018 Z. z.. V dôsledku realizácie týchto opatrení budú ÚVZ SR chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku ÚVZ SR.
++Prioritne jedná o tie opatrenia, ktoré vykazujú najväčší nesúlad s uvedenými právnymi normami a vyhláškou 362/2018 Z. z.. V dôsledku realizácie týchto opatrení budú ÚVZ SR chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku ÚVZ SR.
  Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti, ktoré sú obsahom projektu:
--
--~1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky nového zákona o KB a príslušných vykonávacích predpisov,
++\\1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky nového zákona o KB a príslušných vykonávacích predpisov,
 . Dopracovanú smernicu pre oblasti riadenia bezpečnosti prevádzky sietí a IS/APP,
 . Aktualizovanú SM-25 Smernica, ktorou sa upravuje práca s informačnými technológiami,
 . Nasadený nástroj na automatizáciu analýzy rizík a prehodnotenie a aktualizácia analýzy rizík podľa požiadaviek nového zákona o KB,
@@ -124,9 +124,7 @@
      • xx    – číslo požiadavky
  Ostatné typy požiadaviek môžu byť ďalej definované objednávateľom/PM.
--\\
--\\
 . DEFINOVANIE PROJEKTU
@@ -133,8 +133,7 @@
 .1 Manažérske zhrnutie
  Úrad verejného zdravotníctva SR ako prevádzkovateľ základnej služby zapísanej v registri prevádzkovateľov základných služieb má povinnosti, ktoré vyplývajú zo ZoKB. Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti:
--
--~1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky nového zákona o KB a príslušných vykonávacích predpisov,
++\\1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky nového zákona o KB a príslušných vykonávacích predpisov,
 . Dopracovanú smernicu pre oblasti riadenia bezpečnosti prevádzky sietí a IS/APP,
 . Aktualizovanú SM-25 Smernica, ktorou sa upravuje práca s informačnými technológiami,
 . Nasadený nástroj na automatizáciu analýzy rizík a prehodnotenie a aktualizácia analýzy rizík podľa požiadaviek nového zákona o KB,
@@ -168,15 +168,13 @@
  Výsledky projektu a cieľový stav  (manažérske produkty)
--
--Čiastková aktivita a) Organizácia KB,
++\\Čiastková aktivita a) Organizácia KB,
  Na základe zistených nedostatkov v oblasti riadenia kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:
  Komplexná bezpečnostná dokumentácia bude novo vypracovaná, pričom zohľadňuje predchádzajúcu dokumentáciu a jej aktualizácie vrátane rozsahu a metód dodržiavania všeobecných bezpečnostných opatrení.
  Budú novo sa vyvinuté a implementované špecifické interné riadiace akty pre vybrané oblasti kybernetickej a informačnej bezpečnosti.
  Bude aktualizovaný stav bezpečnostného výboru organizácie.
  Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy.
--
--Čiastková činnosť b) Riadenie rizík KB,
++\\Čiastková činnosť b) Riadenie rizík KB,
  Na základe zistených nedostatkov v oblasti riadenia rizík kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:
  Všetky aktíva súvisiace so spracovaním informácií a centrálnym inventárnym záznamovým zariadením budú identifikované ich hodnotou a s označením ich vlastníka, ktorý definuje ich požiadavky na dôvernosť, dostupnosť a integritu (EAM).
  Riadenie rizík bude automatizované pomocou nástroja, pozostávajúce z identifikácie zraniteľnosti, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenia vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, funkčnej analýzy dopadov a pravidelného prehodnocovania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení.
@@ -183,8 +183,7 @@
  Bude implementovaný automatizovaný systém správy a registrácie pre inventarizáciu majetku (EAM/).
  Bude implementovaný automatizovaný systém riadenia a registrácie pre katalogizáciu hrozieb.
  Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení.
--
--Čiastková činnosť c) Personálna bezpečnosť,
++\\Čiastková činnosť c) Personálna bezpečnosť,
  Na základe zistených nedostatkov v oblasti personálnej bezpečnosti v organizácii je stanovený nasledovný cieľový stav:
  Bude vyvinutý postup na priradenie osoby k jednej z rolí zabezpečenia
  Bude zavedený plán na rozvoj bezpečnostného povedomia a vzdelávania
@@ -195,8 +195,7 @@
  Bude vypracovaný a aktualizovaný  akt vnútorného riadenia s bezpečnostnými zásadami pre koncových používateľov
  Postupy a procesy, ktorými sa riadi personálna bezpečnosť organizácie, budú vypracované a implementované prostredníctvom interného riadiaceho aktu.
  Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD.
--
--Čiastková aktivita k) Zaznamenávanie udalostí a monitoring sietí a IS,
++\\Čiastková aktivita k) Zaznamenávanie udalostí a monitoring sietí a IS,
  Na základe zistených nedostatkov v oblasti zaznamenávania a monitorovania udalostí je stanovený nasledovný cieľový stav:
  Implementovaný bude centrálny log management systém pre zber a ukladanie logov z jednotlivých informačných systémov s podporou napojenia na riadiace systémy a poskytovania potrebných podporných dát.
  Bude vypracovaná  dokumentácia metód monitorovania a fungovania systému správy log a centrálneho nástroja na monitorovanie bezpečnosti a bude definovaný  spôsob evidencie prevádzkových záznamov, ich vyhodnocovanie, spôsoby hlásenia podozrivej činnosti, zodpovedné osoby a ďalšie povinnosti.
@@ -203,7 +203,6 @@
  Vytvorí sa špecifikácia všetkých udalostí, ktoré sa musia zaznamenávať, a súvisiaca konfigurácia prvkov informačných technológií verejnej správy vrátane dokumentácie rozsahu údajov zaznamenaných v protokolových súboroch.
  Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou.
--\\
 .2 Ciele projektu
@@ -212,11 +212,9 @@
  ID
--\\
 .3 Merateľné ukazovatele (KPI)
--\\
  **__Základné ciele projektu:__**
@@ -227,10 +227,9 @@
  * Implementácia nástroja na zaznamenávanie a monitorovanie udalostí (Log Management)
  * Implementácia auditu KB, procesu riadenia a kontroly dodržiavania predpisov.
--\\
  Pozn.
--\\
++
  Vysvetlivky k vyplneniu tabuľky:
      • Vzory merateľných ukazovateľov pre projekt sú publikované v Checkliste pre agendu Merateľné ukazovatele/KPI ([[https:~~/~~/www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html>>url:https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html||shape="rect"]] )
@@ -243,14 +243,11 @@
  Zoznam rizík a závislostí realizácie projektu:
  Realizácia projektu na zabezpečenie kyberbezpečnosti financovaného z fondov EÚ môže čeliť viacerým rizikám.
--
--~1. Nedodržanie harmonogramu aktivít
++\\1. Nedodržanie harmonogramu aktivít
  Riziko spočíva v nedodržiavaní harmonogramu aktivít projektu, ktoré by vyústilo do oneskorenia projektu.
--
--Opatrenia na elimináciu:
++\\Opatrenia na elimináciu:
  V rámci prípravy projektu bol harmonogram jednotlivých aktivít zostavený tak aby zodpovedal možnostiam žiadateľa.
--
--Na elimináciu rizika nedodržania harmonogramu aktivít projektu je potrebné prijať niekoľko opatrení, ktoré zabezpečia efektívne riadenie času a zdrojov. Tu sú niektoré z nich:
++\\Na elimináciu rizika nedodržania harmonogramu aktivít projektu je potrebné prijať niekoľko opatrení, ktoré zabezpečia efektívne riadenie času a zdrojov. Tu sú niektoré z nich:
  a)  Dôkladné plánovanie:
     - žiadateľ má vypracovaný detailný projektový plán so všetkými aktivitami, úlohami a milníkmi.
@@ -287,18 +287,13 @@
  i)  Flexibilita a adaptabilita:
      -  žiadateľ je pripravený prispôsobiť harmonogram podľa aktuálnych podmienok a vývoja situácie.
      -  žiadateľ bude mať zavedené spolu s projektovými tímom procesy pre rýchlu reakciu na zmeny a úpravu plánov.
--
--Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
--
--
--2. Nedosiahnutie plánovaných hodnôt merateľných ukazovateľov
++\\Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
++\\\\2. Nedosiahnutie plánovaných hodnôt merateľných ukazovateľov
  Hoci v rámci projektu sa nesledujú také merateľné ukazovatele, ktoré by boli merateľnými ukazovateľmi s príznakom, žiadateľ si uvedomuje možné riziká súvisiace s nenaplnením merateľných ukazovateľov.
--
--Opatrenia na elimináciu rizika:
++\\Opatrenia na elimináciu rizika:
  Keďže merateľné ukazovatele sú odrazom úspešného naplnenia jednotlivých aktivít, prijímateľ prijal alebo prijme najmä nasledovné opatrenia:
  Prijímateľ dlhoročne realizuje projekty financované s fondov EÚ. Samotný projekt vyplýva z jeho dlhodobých  plánov a preto celé jeho nastavenie je podrobne analyzované vrátane nastavenia časového harmonogramu a cieľových hodnôt merateľných ukazovateľov.Prijímateľ do realizácie projektu zapojil odborných zamestnancov spoločnosti, aby bolo zaručené dosiahnutie plánovaných výsledkov.
--
--Aby sa eliminovalo riziko nedosiahnutia plánovaných hodnôt merateľných ukazovateľov v rámci projektu, môžu byť prijaté nasledujúce opatrenia:
++\\Aby sa eliminovalo riziko nedosiahnutia plánovaných hodnôt merateľných ukazovateľov v rámci projektu, môžu byť prijaté nasledujúce opatrenia:
  a) Precízne plánovanie a nastavenie realistických cieľov:
     - V projekte sú definované jasné a realistické ciele a merateľné ukazovatele (KPIs) na základe dôkladnej analýzy, prípravy projektu a prieskumu trhu.
@@ -335,11 +335,8 @@
  i) Kontrola a audit:
     - Zaviesť interné a externé kontroly a audity na preverenie plnenia merateľných ukazovateľov.
     - Implementovať odporúčania z auditov na zlepšenie procesov a výkonnosti.
--
--Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
--
--
--3. Nedostatky v dodávkach od externých dodávateľov
++\\Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
++\\\\3. Nedostatky v dodávkach od externých dodávateľov
  Nedodržiavanie termínov zo strany externých dodávateľov služieb a tovarov. Dodávateľ(lia) služieb a tovarov, ktorý vzíde z procesu verejného obstarávania nebude dodržiavať harmonogram prác a dodávok, resp. bude v omeškaní.
@@ -346,13 +346,9 @@
  Opatrenia na elimináciu rizika:
  Projektový manažér bude pravidelne komunikovať s dodávateľom, konzultovať prípadné omeškania, hľadať riešenia. V rámci realizácie projektu budú organizované pravidelné zasadnutia Riadiaceho výboru. Postihy za škody a omeškania budú definované v rámci zmluvy o dodávke tovaru, resp. poskytnutí služieb. Ďalším opatrením je už dnes realizovaná kontrola kvality externých dodávateľov zo strany žiadateľa. Súčasne bude žiadateľ starostlivo vyberať dodávateľov na základe ich schopností a referencií. V rámci procesu verejného obstarávania budú zavedené jasné zmluvné podmienky a dohodnúť si pravidelné kontroly plnenia záväzkov, vrátane finančných sankciíí.  Žiadateľ bude sa bude usilovať o diverzifikovanie dodávateľov, aby sa minimalizovala závislosť na jedinom zdroji. Podmienkou žiadateľa bude  implementovať osvedčené technológie a riešenia, ktoré sú už overené na trhu. Žiadateľ zároveň planuje investovať do školení a certifikácií pre zamestnancov, aby mali potrebné zručnosti a vedomosti.
--
--Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
--
--
--Na základe vykonanej analýzy rizík ohrozujúcich úspešnú realizáciu projektu možno konštatovať, že menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.
++\\Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
++\\\\Na základe vykonanej analýzy rizík ohrozujúcich úspešnú realizáciu projektu možno konštatovať, že menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.
--\\
 . Súčasná architektúra prevádzkovanýCH IS
@@ -359,21 +359,16 @@
  ÚVZ SR, ako aj jednotlivé RÚVZ spoločne používajú IS ÚVZ.
--\\
  [[image:attach:6.png||height="250"]]
--\\
--\\
  [[image:attach:7.png||height="250"]]
--\\
  [[image:attach:8.png||height="250"]]
--\\
  [[image:attach:9.png||thumbnail="true" height="250"]]
@@ -382,7 +382,6 @@
  Rozpočet projektu je detailne špecifikovaný v časti 11. Rozpočet projektu v rám ci predloženej ŽoNFP.
--\\
 . HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA
@@ -396,7 +396,6 @@
  [[image:attach:10.png||thumbnail="true" height="250"]]
--\\
  Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia.
@@ -434,16 +434,13 @@
  Kvantitatívne prínosy projektu:
      • Zníženie nákladov spojených so sanáciou KBU/KBI
      • Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI
--
--Kvalitatívne prínosy projektu:
++\\Kvalitatívne prínosy projektu:
      • Zníženie rizika KBI,
      • Zvýšenie súladu s platnou legislatívou,
      • Zvyšovanie úrovne kybernetickej a informačnej bezpečnosti,
      • Zvýšenie detekcie KBI,
      • Zvýšte spokojnosť a dôveru používateľov,
--
--
--Popis cieľového stavu
++\\\\Popis cieľového stavu
  Základné ciele projektu:
      • Aktualizácia stratégie kybernetickej bezpečnosti,
      • Aktualizácie bezpečnostnej politiky KB vrátane implementačnej dokumentácie, v súlade s  Príloha – Manažérske Produkty,
@@ -452,7 +452,6 @@
      • Implementácia nástroja na zaznamenávanie a monitorovanie udalostí (Log Management)
      • Implementácia auditu KB, procesu riadenia a kontroly dodržiavania predpisov.
--\\
 . PROJEKTOVÝ TÍM
@@ -484,11 +484,9 @@
  [[image:attach:11.png||height="250"]]
--\\
  [[image:attach:12.png||height="93"]]
--\\
 . VÝSLEDKY PROJEKTU

Zmeny dokumentu projekt_2872_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Tips

Moje posledné úpravy

Need help?