Zmeny dokumentu projekt_2872_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/13 16:17

From 6.1 to 5.1

Z verzie 7.1

upravil Admin-metais MetaIS
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 6.1

upravil jozef_petrik
-

Zmeniť komentár: Renamed from projdoc:PD.projekt_2872_Projektovy_zamer_detailny.WebHome

Raw
Rendered

Súhrn

Vlastnosti stránky (3 modified, 0 added, 0 removed)

Podrobnosti

Vlastnosti stránky

Nadradený

...	...	@@ -1,1 +1,0 @@
1		-Dokumenty.projekt_2872.WebHome

Autor dokumentu

@@ -1,1 +1,1 @@
--XWiki.metais@vicepremier\.gov\.sk
++projdoc:XWiki.jozef_petrik

Obsah

@@ -1,10 +1,10 @@
--(% class="western" style="text-align:center" %)
++(% class="western" align="center" %)
  **PROJEKTOVÝ ZÁMER**
--(% class="western" style="text-align:center" %)
++(% class="western" align="center" %)
  **Vzor pre manažérsky výstup I-02**
--(% class="western" style="text-align:center" %)
++(% class="western" align="center" %)
  **podľa vyhlášky MIRRI č. 401/2023 Z. z.**
@@ -31,6 +31,7 @@
  ÚVZ SR
++\\
  ~1. História DOKUMENTU
@@ -41,12 +41,15 @@
 .0.
 .07.2024
  Vypracovanie dokumentu
--\\1.0
++
++1.0
 .12.2023
  Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.
++\\
++\\
 . ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE
  V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.
@@ -54,10 +54,11 @@
  V súlade s Vyhláškou MIRRI SR č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke IT VS je dokument Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.
  Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky obsahuje opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Dodávané riešenie bude v súlade so zákonom. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.
  Hlavnou motiváciou je realizácia kyberbezpečnostných opatrení definovaných v Z.z. 69/2018 a v zákone o ISVS.
--Prioritne jedná o tie opatrenia, ktoré vykazujú najväčší nesúlad s uvedenými právnymi normami a vyhláškou 362/2018 Z. z.. V dôsledku realizácie týchto opatrení budú ÚVZ SR chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku ÚVZ SR.
++Prioritne jedná o tie opatrenia, ktoré vykazujú najväčší nesúlad s uvedenými právnymi normami a vyhláškou 362/2018 Z. z.. V dôsledku realizácie týchto opatrení budú ÚVZ SR chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku ÚVZ SR.
  Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti, ktoré sú obsahom projektu:
--\\1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky nového zákona o KB a príslušných vykonávacích predpisov,
++
++~1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky nového zákona o KB a príslušných vykonávacích predpisov,
 . Dopracovanú smernicu pre oblasti riadenia bezpečnosti prevádzky sietí a IS/APP,
 . Aktualizovanú SM-25 Smernica, ktorou sa upravuje práca s informačnými technológiami,
 . Nasadený nástroj na automatizáciu analýzy rizík a prehodnotenie a aktualizácia analýzy rizík podľa požiadaviek nového zákona o KB,
@@ -119,7 +119,9 @@
      • xx    – číslo požiadavky
  Ostatné typy požiadaviek môžu byť ďalej definované objednávateľom/PM.
++\\
++\\
 . DEFINOVANIE PROJEKTU
@@ -126,7 +126,8 @@
 .1 Manažérske zhrnutie
  Úrad verejného zdravotníctva SR ako prevádzkovateľ základnej služby zapísanej v registri prevádzkovateľov základných služieb má povinnosti, ktoré vyplývajú zo ZoKB. Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti:
--\\1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky nového zákona o KB a príslušných vykonávacích predpisov,
++
++~1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky nového zákona o KB a príslušných vykonávacích predpisov,
 . Dopracovanú smernicu pre oblasti riadenia bezpečnosti prevádzky sietí a IS/APP,
 . Aktualizovanú SM-25 Smernica, ktorou sa upravuje práca s informačnými technológiami,
 . Nasadený nástroj na automatizáciu analýzy rizík a prehodnotenie a aktualizácia analýzy rizík podľa požiadaviek nového zákona o KB,
@@ -160,13 +160,15 @@
  Výsledky projektu a cieľový stav  (manažérske produkty)
--\\Čiastková aktivita a) Organizácia KB,
++
++Čiastková aktivita a) Organizácia KB,
  Na základe zistených nedostatkov v oblasti riadenia kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:
  Komplexná bezpečnostná dokumentácia bude novo vypracovaná, pričom zohľadňuje predchádzajúcu dokumentáciu a jej aktualizácie vrátane rozsahu a metód dodržiavania všeobecných bezpečnostných opatrení.
  Budú novo sa vyvinuté a implementované špecifické interné riadiace akty pre vybrané oblasti kybernetickej a informačnej bezpečnosti.
  Bude aktualizovaný stav bezpečnostného výboru organizácie.
  Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy.
--\\Čiastková činnosť b) Riadenie rizík KB,
++
++Čiastková činnosť b) Riadenie rizík KB,
  Na základe zistených nedostatkov v oblasti riadenia rizík kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:
  Všetky aktíva súvisiace so spracovaním informácií a centrálnym inventárnym záznamovým zariadením budú identifikované ich hodnotou a s označením ich vlastníka, ktorý definuje ich požiadavky na dôvernosť, dostupnosť a integritu (EAM).
  Riadenie rizík bude automatizované pomocou nástroja, pozostávajúce z identifikácie zraniteľnosti, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenia vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, funkčnej analýzy dopadov a pravidelného prehodnocovania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení.
@@ -173,7 +173,8 @@
  Bude implementovaný automatizovaný systém správy a registrácie pre inventarizáciu majetku (EAM/).
  Bude implementovaný automatizovaný systém riadenia a registrácie pre katalogizáciu hrozieb.
  Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení.
--\\Čiastková činnosť c) Personálna bezpečnosť,
++
++Čiastková činnosť c) Personálna bezpečnosť,
  Na základe zistených nedostatkov v oblasti personálnej bezpečnosti v organizácii je stanovený nasledovný cieľový stav:
  Bude vyvinutý postup na priradenie osoby k jednej z rolí zabezpečenia
  Bude zavedený plán na rozvoj bezpečnostného povedomia a vzdelávania
@@ -184,7 +184,8 @@
  Bude vypracovaný a aktualizovaný  akt vnútorného riadenia s bezpečnostnými zásadami pre koncových používateľov
  Postupy a procesy, ktorými sa riadi personálna bezpečnosť organizácie, budú vypracované a implementované prostredníctvom interného riadiaceho aktu.
  Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD.
--\\Čiastková aktivita k) Zaznamenávanie udalostí a monitoring sietí a IS,
++
++Čiastková aktivita k) Zaznamenávanie udalostí a monitoring sietí a IS,
  Na základe zistených nedostatkov v oblasti zaznamenávania a monitorovania udalostí je stanovený nasledovný cieľový stav:
  Implementovaný bude centrálny log management systém pre zber a ukladanie logov z jednotlivých informačných systémov s podporou napojenia na riadiace systémy a poskytovania potrebných podporných dát.
  Bude vypracovaná  dokumentácia metód monitorovania a fungovania systému správy log a centrálneho nástroja na monitorovanie bezpečnosti a bude definovaný  spôsob evidencie prevádzkových záznamov, ich vyhodnocovanie, spôsoby hlásenia podozrivej činnosti, zodpovedné osoby a ďalšie povinnosti.
@@ -191,6 +191,7 @@
  Vytvorí sa špecifikácia všetkých udalostí, ktoré sa musia zaznamenávať, a súvisiaca konfigurácia prvkov informačných technológií verejnej správy vrátane dokumentácie rozsahu údajov zaznamenaných v protokolových súboroch.
  Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou.
++\\
 .2 Ciele projektu
@@ -199,9 +199,11 @@
  ID
++\\
 .3 Merateľné ukazovatele (KPI)
++\\
  **__Základné ciele projektu:__**
@@ -212,9 +212,10 @@
  * Implementácia nástroja na zaznamenávanie a monitorovanie udalostí (Log Management)
  * Implementácia auditu KB, procesu riadenia a kontroly dodržiavania predpisov.
++\\
  Pozn.
--
++\\
  Vysvetlivky k vyplneniu tabuľky:
      • Vzory merateľných ukazovateľov pre projekt sú publikované v Checkliste pre agendu Merateľné ukazovatele/KPI ([[https:~~/~~/www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html>>url:https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html||shape="rect"]] )
@@ -227,11 +227,14 @@
  Zoznam rizík a závislostí realizácie projektu:
  Realizácia projektu na zabezpečenie kyberbezpečnosti financovaného z fondov EÚ môže čeliť viacerým rizikám.
--\\1. Nedodržanie harmonogramu aktivít
++
++~1. Nedodržanie harmonogramu aktivít
  Riziko spočíva v nedodržiavaní harmonogramu aktivít projektu, ktoré by vyústilo do oneskorenia projektu.
--\\Opatrenia na elimináciu:
++
++Opatrenia na elimináciu:
  V rámci prípravy projektu bol harmonogram jednotlivých aktivít zostavený tak aby zodpovedal možnostiam žiadateľa.
--\\Na elimináciu rizika nedodržania harmonogramu aktivít projektu je potrebné prijať niekoľko opatrení, ktoré zabezpečia efektívne riadenie času a zdrojov. Tu sú niektoré z nich:
++
++Na elimináciu rizika nedodržania harmonogramu aktivít projektu je potrebné prijať niekoľko opatrení, ktoré zabezpečia efektívne riadenie času a zdrojov. Tu sú niektoré z nich:
  a)  Dôkladné plánovanie:
     - žiadateľ má vypracovaný detailný projektový plán so všetkými aktivitami, úlohami a milníkmi.
@@ -268,13 +268,18 @@
  i)  Flexibilita a adaptabilita:
      -  žiadateľ je pripravený prispôsobiť harmonogram podľa aktuálnych podmienok a vývoja situácie.
      -  žiadateľ bude mať zavedené spolu s projektovými tímom procesy pre rýchlu reakciu na zmeny a úpravu plánov.
--\\Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
--\\\\2. Nedosiahnutie plánovaných hodnôt merateľných ukazovateľov
++
++Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
++
++
++2. Nedosiahnutie plánovaných hodnôt merateľných ukazovateľov
  Hoci v rámci projektu sa nesledujú také merateľné ukazovatele, ktoré by boli merateľnými ukazovateľmi s príznakom, žiadateľ si uvedomuje možné riziká súvisiace s nenaplnením merateľných ukazovateľov.
--\\Opatrenia na elimináciu rizika:
++
++Opatrenia na elimináciu rizika:
  Keďže merateľné ukazovatele sú odrazom úspešného naplnenia jednotlivých aktivít, prijímateľ prijal alebo prijme najmä nasledovné opatrenia:
  Prijímateľ dlhoročne realizuje projekty financované s fondov EÚ. Samotný projekt vyplýva z jeho dlhodobých  plánov a preto celé jeho nastavenie je podrobne analyzované vrátane nastavenia časového harmonogramu a cieľových hodnôt merateľných ukazovateľov.Prijímateľ do realizácie projektu zapojil odborných zamestnancov spoločnosti, aby bolo zaručené dosiahnutie plánovaných výsledkov.
--\\Aby sa eliminovalo riziko nedosiahnutia plánovaných hodnôt merateľných ukazovateľov v rámci projektu, môžu byť prijaté nasledujúce opatrenia:
++
++Aby sa eliminovalo riziko nedosiahnutia plánovaných hodnôt merateľných ukazovateľov v rámci projektu, môžu byť prijaté nasledujúce opatrenia:
  a) Precízne plánovanie a nastavenie realistických cieľov:
     - V projekte sú definované jasné a realistické ciele a merateľné ukazovatele (KPIs) na základe dôkladnej analýzy, prípravy projektu a prieskumu trhu.
@@ -311,8 +311,11 @@
  i) Kontrola a audit:
     - Zaviesť interné a externé kontroly a audity na preverenie plnenia merateľných ukazovateľov.
     - Implementovať odporúčania z auditov na zlepšenie procesov a výkonnosti.
--\\Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
--\\\\3. Nedostatky v dodávkach od externých dodávateľov
++
++Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
++
++
++3. Nedostatky v dodávkach od externých dodávateľov
  Nedodržiavanie termínov zo strany externých dodávateľov služieb a tovarov. Dodávateľ(lia) služieb a tovarov, ktorý vzíde z procesu verejného obstarávania nebude dodržiavať harmonogram prác a dodávok, resp. bude v omeškaní.
@@ -319,9 +319,13 @@
  Opatrenia na elimináciu rizika:
  Projektový manažér bude pravidelne komunikovať s dodávateľom, konzultovať prípadné omeškania, hľadať riešenia. V rámci realizácie projektu budú organizované pravidelné zasadnutia Riadiaceho výboru. Postihy za škody a omeškania budú definované v rámci zmluvy o dodávke tovaru, resp. poskytnutí služieb. Ďalším opatrením je už dnes realizovaná kontrola kvality externých dodávateľov zo strany žiadateľa. Súčasne bude žiadateľ starostlivo vyberať dodávateľov na základe ich schopností a referencií. V rámci procesu verejného obstarávania budú zavedené jasné zmluvné podmienky a dohodnúť si pravidelné kontroly plnenia záväzkov, vrátane finančných sankciíí.  Žiadateľ bude sa bude usilovať o diverzifikovanie dodávateľov, aby sa minimalizovala závislosť na jedinom zdroji. Podmienkou žiadateľa bude  implementovať osvedčené technológie a riešenia, ktoré sú už overené na trhu. Žiadateľ zároveň planuje investovať do školení a certifikácií pre zamestnancov, aby mali potrebné zručnosti a vedomosti.
--\\Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
--\\\\Na základe vykonanej analýzy rizík ohrozujúcich úspešnú realizáciu projektu možno konštatovať, že menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.
++
++Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
++
++
++Na základe vykonanej analýzy rizík ohrozujúcich úspešnú realizáciu projektu možno konštatovať, že menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.
++\\
 . Súčasná architektúra prevádzkovanýCH IS
@@ -328,16 +328,21 @@
  ÚVZ SR, ako aj jednotlivé RÚVZ spoločne používajú IS ÚVZ.
++\\
  [[image:attach:6.png||height="250"]]
++\\
++\\
  [[image:attach:7.png||height="250"]]
++\\
  [[image:attach:8.png||height="250"]]
++\\
  [[image:attach:9.png||thumbnail="true" height="250"]]
@@ -346,6 +346,7 @@
  Rozpočet projektu je detailne špecifikovaný v časti 11. Rozpočet projektu v rám ci predloženej ŽoNFP.
++\\
 . HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA
@@ -359,6 +359,7 @@
  [[image:attach:10.png||thumbnail="true" height="250"]]
++\\
  Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia.
@@ -396,13 +396,16 @@
  Kvantitatívne prínosy projektu:
      • Zníženie nákladov spojených so sanáciou KBU/KBI
      • Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI
--\\Kvalitatívne prínosy projektu:
++
++Kvalitatívne prínosy projektu:
      • Zníženie rizika KBI,
      • Zvýšenie súladu s platnou legislatívou,
      • Zvyšovanie úrovne kybernetickej a informačnej bezpečnosti,
      • Zvýšenie detekcie KBI,
      • Zvýšte spokojnosť a dôveru používateľov,
--\\\\Popis cieľového stavu
++
++
++Popis cieľového stavu
  Základné ciele projektu:
      • Aktualizácia stratégie kybernetickej bezpečnosti,
      • Aktualizácie bezpečnostnej politiky KB vrátane implementačnej dokumentácie, v súlade s  Príloha – Manažérske Produkty,
@@ -411,6 +411,7 @@
      • Implementácia nástroja na zaznamenávanie a monitorovanie udalostí (Log Management)
      • Implementácia auditu KB, procesu riadenia a kontroly dodržiavania predpisov.
++\\
 . PROJEKTOVÝ TÍM
@@ -442,9 +442,11 @@
  [[image:attach:11.png||height="250"]]
++\\
  [[image:attach:12.png||height="93"]]
++\\
 . VÝSLEDKY PROJEKTU

Zmeny dokumentu projekt_2872_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?