Wiki zdrojový kód pre projekt_2894_Pristup_k_projektu_detailny
Naposledy upravil Admin-metais MetaIS 2024/11/13 15:35
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | = {{id name="projekt_2894_Pristup_k_projektu_detailny-OPISNAVRHOVANÉHORIEŠENIA"/}}OPIS NAVRHOVANÉHO RIEŠENIA = | ||
| 2 | |||
| 3 | **~ ** | ||
| 4 | |||
| 5 | V rámci predloženého projektu sú navrhované nasledovné riešenia: | ||
| 6 | |||
| 7 | **~ ** | ||
| 8 | |||
| 9 | **Čiastková aktivita a) Organizácia KB, ** | ||
| 10 | |||
| 11 | Na základe zistených nedostatkov v oblasti riadenia kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav: | ||
| 12 | |||
| 13 | 1. Komplexná bezpečnostná dokumentácia bude novo vypracovaná, pričom zohľadňuje predchádzajúcu dokumentáciu a jej aktualizácie vrátane rozsahu a metód dodržiavania všeobecných bezpečnostných opatrení. | ||
| 14 | 1. Budú novo sa vyvinuté a implementované špecifické interné riadiace akty pre vybrané oblasti kybernetickej a informačnej bezpečnosti. | ||
| 15 | 1. Bude aktualizovaný stav bezpečnostného výboru organizácie. | ||
| 16 | 1. Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy. | ||
| 17 | |||
| 18 | |||
| 19 | **Čiastková činnosť b) Softvér na automatizované riadenie rizík KB, ** | ||
| 20 | |||
| 21 | Na základe zistených nedostatkov v oblasti riadenia rizík kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav: | ||
| 22 | |||
| 23 | 1. Všetky aktíva súvisiace so spracovaním informácií a centrálnym inventárnym záznamovým zariadením budú identifikované ich hodnotou a s označením ich vlastníka, ktorý definuje ich požiadavky na dôvernosť, dostupnosť a integritu (EAM). | ||
| 24 | 1. Riadenie rizík bude automatizované pomocou nástroja, pozostávajúce z identifikácie zraniteľnosti, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenia vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, funkčnej analýzy dopadov a pravidelného prehodnocovania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení. | ||
| 25 | 1. Bude implementovaný automatizovaný systém správy a registrácie pre inventarizáciu majetku (EAM/). | ||
| 26 | 1. Bude implementovaný automatizovaný systém riadenia a registrácie pre katalogizáciu hrozieb. | ||
| 27 | |||
| 28 | * Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení. | ||
| 29 | * Sú identifikované všetky aktíva súvisiace so zariadením na spracovanie informácií a centrálne zaznamenávanie inventára týchto aktív podľa ich hodnoty a s určením ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu (EAM). | ||
| 30 | * **Sú automatizovane pomocou nástroja riadené riziká** skladajúce sa z identifikácie zraniteľností, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenie vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácií prijatých bezpečnostných opatrení. | ||
| 31 | * Je implementovaný automatizovaný riadiaci a evidenčný systém pre inventarizáciu aktív (EAM/GRC). | ||
| 32 | * Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu hrozieb (GRC). | ||
| 33 | * Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu rizík a opatrení (GRC).- predpokladaná prácnosť v človekodňoch: 80 | ||
| 34 | |||
| 35 | |||
| 36 | __Nástroj na riadenie zistených aktív a rizík bude poskytovať nasledujúce funkcionality:__ | ||
| 37 | |||
| 38 | * Evidenciu aktív, rizík i hrozieb, | ||
| 39 | * Automatické hodnotenie a kalkulácia rizík a hrozieb, | ||
| 40 | * Zvládanie opatrení navrhnutá softvérovo, | ||
| 41 | * Automatická detekcia znižovania rizík a rekvalifikácia pôvodných aktív a hrozieb, | ||
| 42 | * Automatické generovanie podkladov pre audit, | ||
| 43 | * Integrácia s ostatnými systémami pre automatické zakladanie aktív, | ||
| 44 | * Podpora štandardov ISO27001, KyBe (NIS2), TISAX, DORA, | ||
| 45 | * Generovanie dokumentov ZHR, POA a PZR pre audit, | ||
| 46 | * Notifikácia opatrení, | ||
| 47 | |||
| 48 | |||
| 49 | |||
| 50 | **Čiastková činnosť c) Personálna bezpečnosť, ** | ||
| 51 | |||
| 52 | Na základe zistených nedostatkov v oblasti personálnej bezpečnosti v organizácii je stanovený nasledovný cieľový stav: | ||
| 53 | |||
| 54 | 1. Bude vyvinutý postup na priradenie osoby k jednej z rolí zabezpečenia | ||
| 55 | 1. Bude zavedený plán na rozvoj bezpečnostného povedomia a vzdelávania | ||
| 56 | 1. Bude vyvinutá metóda hodnotenia účinnosti rozvojového plánu bezpečnostného povedomia | ||
| 57 | 1. Budú určené pravidlá a postupy pri riešení porušení bezpečnostnej politiky | ||
| 58 | 1. Budú zavedené postupy na ukončenie pracovného pomeru | ||
| 59 | 1. Budú zavedené postupy pre prípady porušenia bezpečnostných politík | ||
| 60 | 1. Bude vypracovaný a aktualizovaný akt vnútorného riadenia s bezpečnostnými zásadami pre koncových používateľov | ||
| 61 | 1. Postupy a procesy, ktorými sa riadi personálna bezpečnosť organizácie, budú vypracované a implementované prostredníctvom interného riadiaceho aktu. | ||
| 62 | 1. Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD. | ||
| 63 | |||
| 64 | |||
| 65 | **Čiastková aktivita k) Softvér na zaznamenávanie udalostí a monitoring sietí a IS, ** Na základe zistených nedostatkov v oblasti zaznamenávania a monitorovania udalostí je stanovený nasledovný cieľový stav: | ||
| 66 | |||
| 67 | 1. Implementovaný bude centrálny log management systém pre zber a ukladanie logov z jednotlivých informačných systémov s podporou napojenia na riadiace systémy a poskytovania potrebných podporných dát. | ||
| 68 | 1. Bude vypracovaná dokumentácia metód monitorovania a fungovania systému správy log a centrálneho nástroja na monitorovanie bezpečnosti a bude definovaný spôsob evidencie prevádzkových záznamov, ich vyhodnocovanie, spôsoby hlásenia podozrivej činnosti, zodpovedné osoby a ďalšie povinnosti. | ||
| 69 | 1. Vytvorí sa špecifikácia všetkých udalostí, ktoré sa musia zaznamenávať, a súvisiaca konfigurácia prvkov informačných technológií verejnej správy vrátane dokumentácie rozsahu údajov zaznamenaných v protokolových súboroch. | ||
| 70 | |||
| 71 | * Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou. | ||
| 72 | |||
| 73 | **~ ** | ||
| 74 | |||
| 75 | **Softvér na zaznamenávanie udalostí a monitoring sietí a IS bude spĺňať minimálne nasledovné požiadavky:** | ||
| 76 | |||
| 77 | **LogManagement s neobmedzeným zberom logov vrátane HW** | ||
| 78 | |||
| 79 | * Spracovanie udalostí z rôznych zdrojov logov naprieč výrobcami aplikácií, operačných systémov a sieťového hardvéru, | ||
| 80 | * Možnosť dopísania parseru pre zariadenie aktuálne nepodporované výrobcom bez nutnosti spolupráce s výrobcom alebo dodávateľom (vr. subdodávateľov) ponúkaného systému, | ||
| 81 | * Systém štandardizuje prijaté logy do jednotného formátu a logy sú parserované | ||
| 82 | |||
| 83 | (rozdeľované) do príslušných políčok podľa ich typu, | ||
| 84 | |||
| 85 | * Nad takto štandardizovanými dátami systém automaticky vytvára indexy pre rýchlejšie vyhľadávanie pre všetky polia štandardizovaného logu, | ||
| 86 | * Všetky rozparsované položky prijaté systémom sú automaticky indexované. Nad všetkými položkami je možné ihneď vykonávať vyhľadávanie bez nutnosti dodatočného ručného indexovania administrátorom, | ||
| 87 | * Systém nesmie umožniť mazanie alebo modifikovanie už uložených logov, | ||
| 88 | * Konsolidácia logov na centrálnom mieste, | ||
| 89 | * Jednoduché vyhľadávanie udalostí (ad hoc) bez nutnosti programovania, | ||
| 90 | * Grafické znázornenie udalostí (grafy udalostí), | ||
| 91 | * Grafické znázornenie TOP udalostí nad všetkými dátami za určité časové obdobie, • Automatické doplňovanie GeoIP informácií k udalostiam a ich grafické znázornenie na mape, | ||
| 92 | * Automatické doplňovanie reverzných DNS záznamov k IP adresám, | ||
| 93 | * V prípade preťaženia systému sú udalosti ukladané do vyrovnávacej pamäte, | ||
| 94 | * Unifikované vyhľadávanie naprieč všetkými typmi dát a zariadení, | ||
| 95 | * HW dimenzovaný na zber logov aspoň po dobu 12 mesiacov, | ||
| 96 | * HW vrátane virtualizačného riešenia, | ||
| 97 | |||
| 98 | **__Zdôvodnenie nevyhnutnosti výdavku:__** | ||
| 99 | |||
| 100 | Vo štvrtom štvrťroku 2024 nadobudne účinnosť nová legislatívna úprava premietajúca smernicu EÚ NIS2. | ||
| 101 | |||
| 102 | |||
| 103 | __Nová povinnosť riadiť riziká dopadne na oveľa širší okruh subjektov, než tomu bolo doteraz.__ | ||
| 104 | |||
| 105 | __Pre tieto subjekty je určený systém zberu a riadenia logov s online vyhodnocovaním a__ __napojením na systém riadenia rizík.__ Tým sa zabezpečí neustály prehľad o možných hrozbách, ich včasná identifikácia a zhodnotenie, ako aj návrh riešení pri riadení rizík. Toto riešenie popisuje možnosti pre vybudovanie centrálnej platformy, ktorá bude v prvej fáze zameraná na zber logov pomocou sofistikovaného nástroja, ich parsovanie a vyhodnocovanie na základe jednotlivých scenárov podľa nariadenia NIS2, aby sa zabezpečil bezpečný chod a včasná detekcia hrozieb všetkých organizácií. Systém bude obsahovať aj samotné riadenie aktív a rizík, aby detekované problémy boli automaticky zachytené v samostatnom systéme, kde prebehne ich vyhodnotenie. Riešenie bude realizované na výkonnom serveri tzv. „ALL in one box“. Dôležitou časťou inštalácie je konfigurácia technických aktív, aby zasielali relevantné záznamy. | ||
| 106 | |||
| 107 | |||
| 108 | |||
| 109 | **__Jednotlivé organizačné jednotky (OZ), teda regionálne úrady verejného zdravotníctva__ __(ktorých je 36) využívajú centrálny informačný systém (IS ÚVZ), tzn. že každá OZ, ak__ __sa stane terčom kybernetického útoku, ohrozuje fungovanie IS ÚVZ ako celku a môže__ __spôsobiť odstavenie celého systému. V dôsledku toho je nevyhnutné, aby navrhovaným__ __systémov disponovalo nie len ÚVZ, ale aj všetky RÚVZ. __** | ||
| 110 | |||
| 111 | |||
| 112 | Zasielané udalosti sú v jednotlivých organizáciách na vstupe prijaté, označkované a parsované podľa technológie. Následne sú buď vhodnými základnými pravidlami produktu a implementačnými pravidlami na mieru spracované, aby bolo možné s nimi vytvárať potrebné navrhnuté scenáre. Ďalej sú uložené a vizualizované buď prostredníctvom základných nástrojov, alebo v budúcnosti vyššou formou pomocou integračnej platformy. Implementácia zahŕňa vytvorenie prístupových oprávnení v súlade s požiadavkami na viditeľnosť a spracovanie dát a následnú vizualizáciu. | ||
| 113 | |||
| 114 | |||
| 115 | Prevádzkové informácie budú zobrazovať aktuálne informácie o stave logovaných ICT systémov jednotlivých organizácií. Nad týmito logmi bude vykonané parsovanie a následne sa uložia do centrálneho dátového skladu, kde bude možné s týmito dátami ďalej pracovať. Primárne sa jedná o nepretržitý zber logov a monitorovanie prevádzky ICT technológií, systémov, aplikácií, stavu kybernetického a fyzického zabezpečenia a poskytovanie dát a informácií pre riešenie odchýlok a nápravných opatrení. Všetky údaje uložené v dátovom sklade budú podrobené procesu sledovania a vyhodnocovania podľa nižšie uvedených scenárov. Tým bude zabezpečené sledovanie jednotlivých systémov podľa nariadenia NIS2. Jednotlivé zistenia budú automaticky evidované v systéme na riadenie bezpečnosti, ktorý riadi všetky zistené riziká a navrhuje vhodné opatrenia. Takto evidované a riadené sledovanie logov povedie k včasnej detekcii rizík a ich okamžitej náprave. | ||
| 116 | |||
| 117 | |||
| 118 | __Z pohľadu kompletného zberu logov bude vyhodnocované:__ | ||
| 119 | |||
| 120 | * //prihlasovanie a odhlasovanie ku všetkým účtom, vrátane neúspešných pokusov// | ||
| 121 | * //vykonanie a neúspešný pokus o vykonanie privilegovanej činnosti// | ||
| 122 | * //manipulácia a neúspešný pokus o manipuláciu s účtami, oprávneniami a právami// | ||
| 123 | * //neuskutočnenie činností v dôsledku nedostatku prístupových práv alebo oprávnení// | ||
| 124 | * //začatie a ukončenie činností technických aktív// | ||
| 125 | * //kritické a chybové hlásenia technických aktív// | ||
| 126 | * //prístup a neúspešný pokus o prístup k záznamom udalostí// | ||
| 127 | * //manipulácia a neúspešný pokus o manipuláciu so záznamami udalostí// | ||
| 128 | * //zmenu a neúspešný pokus o zmenu nastavení nástrojov na zaznamenávanie udalostí// | ||
| 129 | * //ďalšie činnosti používateľov, ktoré môžu mať vplyv na bezpečnosť regulovanej služby.// | ||
| 130 | |||
| 131 | |||
| 132 | |||
| 133 | **Čiastková činnosť o) Audítorská a kontrolná činnosť, ** | ||
| 134 | |||
| 135 | Na základe zistených nedostatkov v oblasti audítorských a kontrolných činností sa stanovuje nasledovný cieľový stav: | ||
| 136 | |||
| 137 | 1. Bude vypracovaný program hodnotenia bezpečnosti pre definované informačné technológie verejnej správy, hodnotenie zraniteľnosti a penetračné testy. | ||
| 138 | 1. Bude realizovaný audit kybernetickej bezpečnosti, ktorý sa vykonáva v súlade so zákonom o kybernetickej bezpečnosti a smernicou NIS2. | ||
| 139 | 1. Budú vykonávané pravidelné externé testy zraniteľnosti, penetračné testy v nevyhnutnom rozsahu. | ||
| 140 | 1. Automatizované nástroje budú implementované a používané na technickú podporu riadenia bezpečnosti a audítorských činností. | ||
| 141 | 1. Podporné nástroje pre správu budú naplnené údajmi o existencii a stave technických a aplikačných aktív automatizovaným a technickým spôsobom. | ||
| 142 | 1. Základ pre audítorské a kontrolné činnosti bude vytvorený technicky na základe skutočného prevádzkového stavu majetku s prípustným oneskorením do 10 minút. | ||
| 143 | 1. Dokumenty pre audítorské a kontrolné činnosti budú vždy obsahovať technické diferenčné správy s presným vyznačením zmien vstupov z predchádzajúceho obdobia. | ||
| 144 | 1. Podporné nástroje pre správu minimalizujú ľudské chyby a maximálne využívajú napojenie existujúcich informácií o aktívach a používateľoch na technické zdroje – najmä MS Active Directory, API prístup do systému Log Management a importy výstupov zraniteľnosti. | ||
| 145 | |||
| 146 | |||
| 147 | Tieto bezpečnostné opatrenia budú realizované v zmysle schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. RÚVZ je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu. | ||
| 148 | |||
| 149 | |||
| 150 | |||
| 151 | |((( | ||
| 152 | Architektúra riešenia projektu na úrovni biznis vrstvy | ||
| 153 | )))|((( | ||
| 154 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 155 | |||
| 156 | **žiadateľa nerelevantný** | ||
| 157 | ))) | ||
| 158 | |((( | ||
| 159 | Architektúra riešenia projektu na úrovni aplikačnej vrstvy | ||
| 160 | )))|((( | ||
| 161 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 162 | |||
| 163 | **žiadateľa nerelevantný** | ||
| 164 | ))) | ||
| 165 | |((( | ||
| 166 | Architektúra riešenia projektu na úrovni dátovej vrstvy | ||
| 167 | )))|((( | ||
| 168 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 169 | |||
| 170 | **žiadateľa nerelevantný** | ||
| 171 | ))) | ||
| 172 | |((( | ||
| 173 | Architektúra riešenia projektu na úrovni technologickej vrstvy | ||
| 174 | )))|((( | ||
| 175 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 176 | |||
| 177 | **žiadateľa nerelevantný** | ||
| 178 | ))) | ||
| 179 | |((( | ||
| 180 | Infraštruktúra navrhovaného riešenia | ||
| 181 | )))|((( | ||
| 182 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 183 | |||
| 184 | **žiadateľa nerelevantný** | ||
| 185 | ))) | ||
| 186 | |((( | ||
| 187 | Bezpečnostná architektúra | ||
| 188 | )))|((( | ||
| 189 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 190 | |||
| 191 | **žiadateľa nerelevantný** | ||
| 192 | ))) | ||
| 193 | |((( | ||
| 194 | Špecifikácia údajov spracovaných v projekte, čistenie údajov | ||
| 195 | )))|((( | ||
| 196 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 197 | |||
| 198 | **žiadateľa nerelevantný** | ||
| 199 | ))) | ||
| 200 | |((( | ||
| 201 | Závislosti na ostatné IS/Projekty | ||
| 202 | )))|((( | ||
| 203 | **Áno** | ||
| 204 | ))) | ||
| 205 | |((( | ||
| 206 | Zdrojové kódy | ||
| 207 | )))|((( | ||
| 208 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 209 | |||
| 210 | **žiadateľa nerelevantný** | ||
| 211 | ))) | ||
| 212 | |((( | ||
| 213 | Prevádzka a údržba výstupov projektu | ||
| 214 | )))|((( | ||
| 215 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 216 | |||
| 217 | **žiadateľa nerelevantný** | ||
| 218 | ))) | ||
| 219 | |((( | ||
| 220 | Požiadavky na personál | ||
| 221 | )))|((( | ||
| 222 | **V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre** | ||
| 223 | |||
| 224 | **žiadateľa nerelevantný** | ||
| 225 | ))) | ||
| 226 | |((( | ||
| 227 | Implementácia a preberanie výstupov projektu | ||
| 228 | )))|((( | ||
| 229 | **Áno** | ||
| 230 | ))) | ||
| 231 | |||
| 232 | **// //** | ||
| 233 | |||
| 234 | = {{id name="projekt_2894_Pristup_k_projektu_detailny-ZÁVISLOSTINAOSTATNÝCHIS"/}}ZÁVISLOSTI NA OSTATNÝCH IS = | ||
| 235 | |||
| 236 | **// //** | ||
| 237 | |||
| 238 | **// //**ÚVZ SR, ako aj jednotlivé RÚVZ spoločne používajú IS ÚVZ. Všetky informácie sú spracúvané v IS ÚVZ, prístupovým bodom pre verejnosť je Portál úradov. | ||
| 239 | |||
| 240 | [[image:attach:OBR01.jpg||height="250"]] | ||
| 241 | |||
| 242 | |||
| 243 | [[image:attach:OBR02.jpg||height="250"]] | ||
| 244 | |||
| 245 | [[image:attach:OBR03.jpg||height="250"]] | ||
| 246 | |||
| 247 | [[image:attach:OBR04.jpg||thumbnail="true" height="250"]] | ||
| 248 | |||
| 249 | |||
| 250 | = {{id name="projekt_2894_Pristup_k_projektu_detailny-IMPLEMENTÁCIAAPREBERANIEVÝSTUPOV"/}}IMPLEMENTÁCIA A PREBERANIE VÝSTUPOV = | ||
| 251 | |||
| 252 | **~ ** | ||
| 253 | |||
| 254 | Projekt bude realizovaný metódou Waterfall: | ||
| 255 | |||
| 256 | Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác. | ||
| 257 | |||
| 258 | [[image:attach:OBR05.jpg||thumbnail="true" height="250"]] | ||
| 259 | |||
| 260 | |||
| 261 | Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia. | ||
| 262 | |||
| 263 | Pri akceptácii budú vyhotovované vopred definované akceptačné kritéria a požiadavky z katalógu funkčných a nefunkčných požiadaviek vzťahujúce sa k jednotlivým míľnikom projektu. | ||
| 264 | |||
| 265 | Metóda riadenia "Waterfall" (vodopád) je jedným z najtradičnejších prístupov k riadeniu projektov v oblasti IT. Tento model je lineárny a sekvenčný, čo znamená, že každá fáza projektu musí byť dokončená pred začiatkom ďalšej. | ||
| 266 | |||
| 267 | __Tieto fázy sú nasledovné:__ | ||
| 268 | |||
| 269 | 1. Požiadavky (Requirements):* - V tejto počiatočnej fáze sú zhromaždené všetky požiadavky na systém. Ide o veľmi dôležitý krok, pretože chyby v požiadavkách môžu mať vážne následky v neskorších fázach. Dokumentujú sa všetky požiadavky zákazníka, funkčné aj nefunkčné, a výsledkom je detailná špecifikácia požiadaviek. | ||
| 270 | 1. Analýza systému (System Design): - Po dokončení zhromažďovania požiadaviek sa prejde k analýze systému a návrhu. Táto fáza zahŕňa vytvorenie architektúry systému, technických špecifikácií a návrhu softvéru, ktorý bude schopný splniť všetky definované požiadavky. | ||
| 271 | 1. Implementácia (Implementation): - Po schválení návrhu systému sa začne s implementáciou, teda s programovaním a kódovaním systému podľa navrhnutých špecifikácií. Výsledkom tejto fázy je hotový softvér. | ||
| 272 | 1. Integrácia a testovanie (Integration and Testing): - V tejto fáze sa jednotlivé komponenty systému integrujú a testujú sa ako celok, aby sa overilo, či systém funguje podľa očakávaní a splňuje všetky špecifikované požiadavky. Testovanie zahŕňa rôzne typy testov, vrátane funkčných, integračných a systémových testov. | ||
| 273 | 1. Nasadenie (Deployment): - Po úspešnom testovaní sa systém nasadí do produkčného prostredia. Táto fáza môže zahŕňať aj školenie používateľov a prípravu dokumentácie pre používateľov. | ||
| 274 | 1. Údržba (Maintenance): - Po nasadení systému začína fáza údržby, ktorá zahŕňa opravy chýb, aktualizácie a vylepšenia systému na základe spätnej väzby od používateľov a meniace sa požiadavky. | ||
| 275 | |||
| 276 | **Výhody Waterfall modelu**: - Jednoduchosť a jasná štruktúra: Každá fáza má jasne definovaný začiatok a koniec. - Dobre zdokumentovaný proces: Všetky požiadavky a kroky sú detailne zdokumentované. - Jednoduché riadenie:*Jednoduché plánovanie a sledovanie pokroku projektu. Waterfall model je ideálny pre projekty, kde sú požiadavky jasne definované a stabilné, a kde sa očakáva, že projekt prebehne bez veľkých zmien. V súčasnosti sa však stále častejšie využívajú agilné prístupy, ktoré lepšie vyhovujú dynamickým a meniacim sa požiadavkám projektov. | ||
| 277 | |||
| 278 | **~ ** | ||
| 279 | |||
| 280 | **Kvantitatívne prínosy projektu: ** | ||
| 281 | |||
| 282 | * Zníženie nákladov spojených so sanáciou KBU/KBI | ||
| 283 | * Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI | ||
| 284 | |||
| 285 | |||
| 286 | **Kvalitatívne prínosy projektu: ** | ||
| 287 | |||
| 288 | * Zníženie rizika KBI, | ||
| 289 | * Zvýšenie súladu s platnou legislatívou, | ||
| 290 | * Zvyšovanie úrovne kybernetickej a informačnej bezpečnosti, | ||
| 291 | * Zvýšenie detekcie KBI, | ||
| 292 | * Zvýšte spokojnosť a dôveru používateľov, | ||
| 293 | |||
| 294 | |||
| 295 | |||
| 296 | |||
| 297 | |||
| 298 | |||
| 299 | |||
| 300 | |||
| 301 | |||
| 302 | |||
| 303 | |||
| 304 | |||
| 305 | |||
| 306 | |||
| 307 | **~ ** | ||
| 308 | |||
| 309 | **~ ** | ||
| 310 | |||
| 311 | **~ ** | ||
| 312 | |||
| 313 | **~ ** | ||
| 314 | |||
| 315 | **~ ** | ||
| 316 | |||
| 317 | **~ ** | ||
| 318 | |||
| 319 | **~ ** | ||
| 320 | |||
| 321 | **~ ** | ||
| 322 | |||
| 323 | **~ ** | ||
| 324 | |||
| 325 | **~ ** | ||
| 326 | |||
| 327 | **~ ** | ||
| 328 | |||
| 329 | = {{id name="projekt_2894_Pristup_k_projektu_detailny-IMPLEMENTÁCIAAPREBERANIEVÝSTUPOV"/}}IMPLEMENTÁCIA A PREBERANIE VÝSTUPOV = | ||
| 330 | |||
| 331 | **~ ** | ||
| 332 | |||
| 333 | Projekt bude realizovaný metódou Waterfall: | ||
| 334 | |||
| 335 | Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác. | ||
| 336 | |||
| 337 | |||
| 338 | |||
| 339 | |||
| 340 | |||
| 341 | |||
| 342 | |||
| 343 | Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia. | ||
| 344 | |||
| 345 | Pri akceptácii budú vyhotovované vopred definované akceptačné kritéria a požiadavky z katalógu funkčných a nefunkčných požiadaviek vzťahujúce sa k jednotlivým míľnikom projektu. | ||
| 346 | |||
| 347 | Metóda riadenia "Waterfall" (vodopád) je jedným z najtradičnejších prístupov k riadeniu projektov v oblasti IT. Tento model je lineárny a sekvenčný, čo znamená, že každá fáza projektu musí byť dokončená pred začiatkom ďalšej. | ||
| 348 | |||
| 349 | __Tieto fázy sú nasledovné:__ | ||
| 350 | |||
| 351 | 1. Požiadavky (Requirements):* - V tejto počiatočnej fáze sú zhromaždené všetky požiadavky na systém. Ide o veľmi dôležitý krok, pretože chyby v požiadavkách môžu mať vážne následky v neskorších fázach. Dokumentujú sa všetky požiadavky zákazníka, funkčné aj nefunkčné, a výsledkom je detailná špecifikácia požiadaviek. | ||
| 352 | 1. Analýza systému (System Design): - Po dokončení zhromažďovania požiadaviek sa prejde k analýze systému a návrhu. Táto fáza zahŕňa vytvorenie architektúry systému, technických špecifikácií a návrhu softvéru, ktorý bude schopný splniť všetky definované požiadavky. | ||
| 353 | 1. Implementácia (Implementation): - Po schválení návrhu systému sa začne s implementáciou, teda s programovaním a kódovaním systému podľa navrhnutých špecifikácií. Výsledkom tejto fázy je hotový softvér. | ||
| 354 | 1. Integrácia a testovanie (Integration and Testing): - V tejto fáze sa jednotlivé komponenty systému integrujú a testujú sa ako celok, aby sa overilo, či systém funguje podľa očakávaní a splňuje všetky špecifikované požiadavky. Testovanie zahŕňa rôzne typy testov, vrátane funkčných, integračných a systémových testov. | ||
| 355 | 1. Nasadenie (Deployment): - Po úspešnom testovaní sa systém nasadí do produkčného prostredia. Táto fáza môže zahŕňať aj školenie používateľov a prípravu dokumentácie pre používateľov. | ||
| 356 | 1. Údržba (Maintenance): - Po nasadení systému začína fáza údržby, ktorá zahŕňa opravy chýb, aktualizácie a vylepšenia systému na základe spätnej väzby od používateľov a meniace sa požiadavky. | ||
| 357 | |||
| 358 | **Výhody Waterfall modelu**: - Jednoduchosť a jasná štruktúra: Každá fáza má jasne definovaný začiatok a koniec. - Dobre zdokumentovaný proces: Všetky požiadavky a kroky sú detailne zdokumentované. - Jednoduché riadenie:*Jednoduché plánovanie a sledovanie pokroku projektu. Waterfall model je ideálny pre projekty, kde sú požiadavky jasne definované a stabilné, a kde sa očakáva, že projekt prebehne bez veľkých zmien. V súčasnosti sa však stále častejšie využívajú agilné prístupy, ktoré lepšie vyhovujú dynamickým a meniacim sa požiadavkám projektov. | ||
| 359 | |||
| 360 | **~ ** | ||
| 361 | |||
| 362 | **Kvantitatívne prínosy projektu: ** | ||
| 363 | |||
| 364 | * Zníženie nákladov spojených so sanáciou KBU/KBI | ||
| 365 | * Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI | ||
| 366 | |||
| 367 | |||
| 368 | **Kvalitatívne prínosy projektu: ** | ||
| 369 | |||
| 370 | * Zníženie rizika KBI, | ||
| 371 | * Zvýšenie súladu s platnou legislatívou, | ||
| 372 | * Zvyšovanie úrovne kybernetickej a informačnej bezpečnosti, | ||
| 373 | * Zvýšenie detekcie KBI, | ||
| 374 | * Zvýšte spokojnosť a dôveru používateľov, | ||
| 375 | |||
| 376 |