PROJEKTOVÝ ZÁMER

Manažérsky výstup  I-02

 podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1.     História DOKUMENTU

1.1        Použité skratky a pojmy

2.     DEFINOVANIE PROJEKTU

2.1        Manažérske zhrnutie

Projektovým zámerom je zvýšenie úrovne kybernetickej bezpečnosti všetkých IKT prostriedkov a informačných systémov Ústredného kontrolného skúšobného ústavu poľnohospodárskeho v Bratislave ako prevádzkovateľa základnej služby. Medzi tieto informačné systémy sa radí v prvom rade Centrálny údajový repozitár prevádzkovaný v privátnej časti vládneho cloudu so zaradením do tretej kategórie podľa vyhlášky  č. 179/2020 Z. z.  ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy  a zákona 69/2018 Z. z. o kybernetickej bezpečnosti. Okrem uvedeného informačného systému je plánované pokrytie novým kyberbezpečnostným riešením aj  pre Harmonizovaný  registračno - informačný systém, ktorého delimitácia z Ministerstva pôdohospodárstva a rozvoja vidieka SR do gescie našej podradenej organizácie je v progrese. Cieľom projektu je ďalej zastrešenie všetkých koncových bodov informačných aktív organizácie rozšírenou detekciou a reakciou do zjednotenej platformy pre bezpečnostné incidenty poskytujúce  holistický a efektívny spôsob ochrany pred pokročilými kybernetickými útokmi a reakcie na takéto útoky. Súčasne je cieľom projektu zastrešenie ďalších IKT prostriedkov ako interných serverov organizácie vrátane služobných mobilných zariadení a profesných tabletov.

Projekt vychádza z identifikovaných nezhôd kybernetického auditu a odporúčaní auditnej autority.

Indikatívna výška finančných prostriedkov určených na realizáciu projektu: 250 508,53€

Časový horizont realizácie projektu: 28.02.2025

Pre dosiahnutie zvýšenia úrovne kybernetickej bezpečnosti všetkých IKT prostriedkov a informačných systémov Ústredný kontrolný a skúšobný ústav poľnohospodársky v Bratislave ako prevádzkovateľ základnej služby využíva dopytový projekt v rámci výzvy:

2.2        Motivácia a rozsah projektu

Projekt rieši najmä vystavenie organizácie viacerým rizikám a hrozbám. Implementáciou projektu budú vyriešené nasledovné riziká:

1. Nedostatočná detekcia pokročilých hrozieb:

Riziko: Bez EDR/XDR riešení môže byť ťažšie detekovať pokročilé a sofistikované hrozby, ako sú APT (Advanced Persistent Threats) alebo zero-day útoky.

Dôsledky: Útočníci môžu preniknúť do systému a zostať neodhalení dlhší čas, čo môže viesť k  škodám, hlavne pri prevádzke základnej služby Centrálny údajový repozitár

1. Neschopnosť rýchlo reagovať na incidenty:

Riziko: Bez EDR/XDR riešení môže byť reakcia na bezpečnostné incidenty pomalá a neefektívna.

Dôsledky: Dlhší čas na reakciu môže umožniť útočníkom spôsobiť väčšie škody a komplikovať obnovu systémov.

1. Zvýšená zraniteľnosť voči malvéru a ransomvéru:

Riziko: Aktuálne aplikované ochranné systémy nie sú dostatočné na zastavenie nových a vyvíjajúcich sa malvérových hrozieb.

Dôsledky: Infekcia malvérom alebo ransomvérom môže viesť k strate alebo šifrovaniu dôležitých dát, finančným stratám a poškodeniu reputácie.

1. Vyššie riziko úspešných phishingových útokov:

Riziko: Bez pokročilých funkcií EDR/XDR môže byť ťažšie odhaliť a blokovať phishingové útoky, ktoré môžu ohroziť bezpečnosť citlivých údajov.

Dôsledky: Phishingové útoky môžu viesť k kompromitácii účtov a ďalším bezpečnostným incidentom.

1. Obmedzená viditeľnosť a monitoring koncových bodov:

Riziko: Bez EDR/XDR riešení môže byť ťažké získať úplný prehľad o všetkých koncových bodoch v sieti a ich bezpečnostnom stave.

Dôsledky: Nedostatočný monitoring môže poskytnúť útočníkom využitie slabých miest v koncových bodoch na prienik do siete.

1. Neschopnosť korelovať udalosti a analyzovať hrozby:

Riziko: Tradičné systémy môžu mať obmedzenú schopnosť analyzovať a korelovať bezpečnostné udalosti naprieč celou sieťou.

Dôsledky: Neschopnosť spojiť jednotlivé udalosti môže viesť k prehliadnutiu komplexných útokov a hrozieb.

1. Zvýšené riziko straty citlivých údajov:

Riziko: Bez adekvátnej detekcie a reakcie môžu útočníci získať prístup k citlivým údajom, čo môže viesť k ich strate alebo zneužitiu.

Dôsledky: Strata alebo únik citlivých údajov môže viesť k právnym sankciám, finančným stratám a poškodeniu dôvery subjektov využívajúcich základnú službu Centrálny údajový repozitár.

1. Vyššie náklady na zotavenie po útoku:

Riziko: Bez rýchlej detekcie a reakcie môžu byť škody spôsobené útokmi väčšie a náklady na obnovu systémov a dát vyššie.

Dôsledky: Náklady na opravy, obnovu a možnú kompenzáciu subjektov využívajúcich služby organizácie môžu výrazne narásť.

1. Strata dôvery a reputácie:

Riziko: Neúspešná ochrana pred kybernetickými útokmi môže poškodiť dôveru zákazníkov a partnerov.

Dôsledky: Poškodená reputácia môže viesť k strate zákazníkov a príjmov.

1. Nesúlad s regulačnými požiadavkami:

Riziko: Mnohé odvetvia vyžadujú dodržiavanie prísnych bezpečnostných noriem a predpisov.

Dôsledky: Nedodržiavanie regulačných požiadaviek môže viesť k právnym sankciám a pokutám.

Implementácia EDR/XDR riešení môže výrazne znížiť tieto riziká tým, že poskytuje pokročilú detekciu a reakciu na hrozby, zvyšuje viditeľnosť a kontrolu nad koncovými bodmi a umožňuje rýchlu a efektívnu reakciu na bezpečnostné incidenty.

Rámec a požiadavky na zabezpečenie kybernetickej bezpečnosti definuje Zákon 69/2018 Z.z o kybernetickej bezpečnosti.

V súlade so stanovenými požiadavkami je cieľom projektu vo forme Nasadenie XDR (Extended Detection and Response) zabezpečenie nasledovných požiadaviek:

Rýchla reakcia

Rozsiahlejšia detekcia

Integrácia dát

Zhodnotenie a reportovanie

Rýchla reakcia: Jedným so základných princípov XDR riešení je ich schopnosť rýchlej reakcie na identifikované hrozby. Rýchlosť zamedzenia a minimalizovania škôd spôsobených útokmi je kľúčová a organizácia splní požiadavky na rýchlu reakciu a obnovu stanovenú zákonom o kybernetickej bezpečnosti.

Rozsiahlejšia detekcia: XDR riešenie umožňuje sledovanie a detekciu hrozieb nielen na úrovni konkrétnych bodov v sieti alebo zariadení, ale aj cez viaceré vrstvy infraštruktúry. To znamená, že organizácia získa komplexnejší prehľad o potenciálnych hrozbách a môže sa lepšie pred kybernetickými útokmi.

Integrácia dát: Organizácia by mala byť schopná efektívne zhromažďovať, spracovávať a analyzovať údaje o kybernetických hrozbách. XDR riešenia sú navrhnuté tak, aby agregovali informácie z viacerých zdrojov a poskytovali komplexný pohľad na kybernetické aktivity.

Zhodnotenie a reportovanie: Podľa zákona by organizácie mali byť schopné zhodnotiť svoje kybernetické riziká a pravidelne hlásiť ich stav. XDR platformy môžu byť užitočné pri poskytovaní informácií potrebných na zhodnotenie rizík a prípravu správ o kybernetickej bezpečnosti.

Pokročilá analýza: XDR platformy často využívajú pokročilú analýzu dát a umelej inteligencie na identifikáciu neobvyklých vzorov a anomálií, čo môže pomôcť organizáciám objavovať aj pokročilé hrozby, ktoré by mohli byť ťažké detegovať pomocou tradičných nástrojov.

Zvýšené požiadavky na bezpečnosť: Zákon o kybernetickej bezpečnosti môže stanoviť vysoké požiadavky na bezpečnosť a ochranu dát. XDR platformy môžu byť schopné poskytnúť vyšší stupeň ochrany a zabezpečenia, ktorý je potrebný na plnenie týchto požiadaviek.

Nasadenie XDR platformy pomôže zabezpečiť plnenie požiadaviek stanovených v zákone 69/2018 o kybernetickej bezpečnosti, poskytujúc účinné nástroje na ochranu pred kybernetickými hrozbami a zabezpečenie bezpečnosti informačných systémov.

Detailnejším predmetom realizácie je implementácia produktového balíka bezpečnostných riešení na ochranu koncových pracovných staníc, serverov a mobilných zariadení, ktorý obsahuje viacvrstvovú antivírusovú ochranu, technológiu automatickej analýzy podozrivých súborov v cloudovom sandboxe výrobcu, pokročilú vrstvu ochrany v podobe XDR nástroja na detekciu a reakciu, šifrovanie celých diskov, správu zraniteľností a patchov aplikácií tretích strán, ochranu poštových serverov/mailboxov, ochranu cloudového prostredia Microsoft365/Google Workspace, nástroj na 2-faktorovú autentifikáciu, a možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení.

V zmysle prílohy č.8 Výzvy sa projekt zaoberá nasledujúcimi podaktivitami:

1. g) Hodnotenie zraniteľností a bezpečnostné aktualizácie 

• Zavedenie, implementácia alebo aktualizácia nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí, prípadne obstaranie tejto funkcionality ako externej služby;
• vypracovanie a implementácia interného riadiaceho aktu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat;
• implementácia nástroja na centrálne riadenie a aplikovanie bezpečnostných záplat a pod.

1. h) Ochrana proti škodlivému kódu

• Vypracovanie interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu; implementácia alebo
• aktualizácia nástrojov na ochranu, ktoré okrem iného vykonávajú kontrolu prístupu k digitálnemu obsahu, pravidelné kontroly úložísk vrátane cloudových riešení, zabraňujú prístupu neoprávnených používateľov filtrovaním obsahu a zamedzením odinštalovať alebo zakázať funkcie systému na ochranu proti škodlivému kódu;
• vypracovanie a implementácia pravidiel súvisiace s ochranou proti škodlivému kódu; 
• implementácia centralizovaného systému riešenia ochrany pred škodlivým kódom s pravidelným monitorovaním vrátane detekcie inštalácie nelegálneho obsahu alebo škodlivého softvéru prostredníctvom automatizovaných nástrojov.

1. i) Sieťová a komunikačná bezpečnosť

• Implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel;
• zavedenie bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a vzdialený prístup, napríklad implementáciou dvojfaktorovej autentizácie alebo kryptografických prostriedkov; vytvorenie alebo aktualizácia dokumentácie počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov;
• realizácia/aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie;
• vypracovanie a implementácia interného riadiaceho aktu upravujúceho pravidlá sieťovej a komunikačnej bezpečnosti;
• implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov;
• implementácia sond detekcie a prevencie prieniku, najmä na serveroch podporujúcich základné služby informačných technológií verejnej správy.

Presné rozpracovanie týchto podaktivít v rámci projektu je uvedené v Prístupe k projektu v časti 3 Architektúra riešenia projektu.

Dôležitosť kybernetickej bezpečnosti a potenciálny dopad kybernetických incidentov.

Dopad prípadného kybernetického incidentu (najhoršieho možného scenára a dopadov na inštitúciu) v závislosti podľa § 24 ods. 2, písm. a) až e) zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v závislosti od kategórie bezpečnostného incidentu.

2.3        Zainteresované strany/Stakeholderi

Zoznam subjektov, ktoré sa zúčastňujú projektu:

2.4        Ciele projektu

V tabuľke sa nachádza cieľ projektu:

2.5        Merateľné ukazovatele (KPI)

V tabuľke sa nachádzajú merateľné ukazovatele projektu v zmysle prílohy č. 4 k Výzve:

3.     Alternatívy

3.1        Stanovenie alternatív a multikriteriálna analýza

V projekte boli identifikované alternatívne riešenia zvýšenia kybernetickej bezpečnosti:

1. XDR (Extended Detection and Response)

Rozšírená detekcia a reakcia (XDR) je zjednotená platforma pre bezpečnostné incidenty, ktorá používa umelú inteligenciu a automatizáciu. Poskytuje organizáciám holistický a efektívny spôsob ochrany pred pokročilými kybernetickými útokmi a reakcie na takéto útoky. Platformy XDR koordinujú detekciu kybernetických útokov a reakcie v rámci celého digitálneho priestoru organizácie. Pomáhajú rýchlo zastaviť kybernetické útoky tak, že plynule konsolidujú rôzne nástroje zabezpečenia na jednej platforme, pričom odstraňujú tradičné bezpečnostné prekážky na zlepšenie  ochrany pred kybernetickými hrozbami.

1. Systémy prevencie prienikov (IPS/IDS)

IDS (Intrusion Detection Systems) monitorujú sieťovú premávku a analyzujú obsah paketov (hlavičky aj dáta). Ak paket zodpovedá konkrétnym vzorom, IDS upozorní administrátora na možné narušenie bezpečnosti.

IPS (Intrusion Prevention Systems) sú aktívne zariadenia, ktoré sú umiestnené priamo medzi odosielateľa a prijímateľa sieťovej komunikácie. Ich úlohou je skenovať komunikáciu v reálnom čase a pri detekcii nechcenej komunikácie vykonávať rôzne kroky:

Upozorniť správcu na bezpečnostný problém.

Zahodiť škodlivé alebo podozrivé pakety.

Blokovať komunikáciu z danej IP adresy odosielateľa.

Obnoviť spojenie

1. Bezpečnostné informácie a riadenie udalostí (SIEM)

SIEM (Security Information and Event Management) je riešenie zabezpečenia, ktoré zhromažďuje údaje a analyzuje aktivitu na podporu ochrany organizácií pred bezpečnostnými hrozbami. SIEM kombinuje správu informácií o zabezpečení (SIM) a správu udalostí zabezpečenia (SEM) do jedného systému správy zabezpečenia. Jeho funkcie zahŕňajú spravovanie denníkov, koreláciu udalostí a monitorovanie incidentov. Pomáha organizáciám rýchlo reagovať na potenciálne kybernetické útoky a dodržiavať požiadavky na súlad.

1. Systémy pre riadenie zraniteľností (Vulnerability Management Systems)

Riadenie zraniteľností (VMS) - Jeho cieľom je odhaliť a spravovať zraniteľnosti v IT infraštruktúre. Faktory, ktoré sa pri riadení zraniteľností zohľadňujú:

Stanovenie priorít: Nie je efektívne riešiť všetky zraniteľnosti naraz. Stanovenie priorít je kľúčové. Okrem systému hodnotenia zraniteľností (CVSS) sa zohľadňujú aj faktory, ako je spravodajstvo o hrozbách, zneužiteľnosť a typ systému.

Customizovaný reporting: Flexibilný reporting umožňuje prispôsobiť výstupy rôznym skupinám používateľov, čím sa zabezpečí, že informácie budú nielen prístupné, ale aj zmysluplné pre zamýšľaných príjemcov.

Kontrola compliance: Okrem zraniteľností je dôležité kontrolovať aj nesprávnu konfiguráciu systémov. VMS umožňuje automatizovanú kontrolu zhody s rôznymi bezpečnostnými normami.

1. Deception Technology

Deception technology je kategória kybernetických obranných mechanizmov, ktoré poskytujú včasný varovný signál potenciálnych kybernetických útokov a upozorňujú organizácie na neoprávnenú aktivitu. Tieto produkty dokážu detekovať, analyzovať a brániť sa proti zero-day a pokročilým útokom, často v reálnom čase. Deception technology sa snaží zmietať útočníka, identifikovať ho a následne ho poraziť. Berie do úvahy pohľad ľudských útočníkov a ich metódy na využívanie a prenikanie do sietí za účelom identifikácie a exfiltrácie údajov. Integruje sa s existujúcimi technológiami, aby poskytla nový pohľad na interné siete a zdieľala vysoko pravdepodobné varovania a informácie o hrozbách s existujúcou infraštruktúrou.

Deception technology automatizuje vytváranie pasívnych lapačov (nástrah) a návnad, ktoré sú strategicky integrované medzi existujúce IT zdroje. Tieto lapače poskytujú ďalšiu vrstvu ochrany proti útočníkom, ktorí prenikli do siete. Lapače môžu byť IT zariadenia, ktoré používajú skutočný licencovaný operačný systém alebo emulujú rôzne zariadenia, ako sú lekárske prístroje, bankomaty, predajné systémy, prepínače, routery a ďalšie.

Návnady sú obvykle reálne IT zdroje, ako sú rôzne typy súborov, umiestnené na skutočných IT zariadeniach.

Cieľom je presne zistiť úmysel útočníka a jeho taktiky, techniky a postupy. Tieto informácie umožňujú efektívnu reakciu zo strany platformy deception technology.

1. Zero Trust Architecture

Zero Trust Architecture (ZTA) je prístup k stratégii, návrhu a implementácii IT systémov, ktorý sa snaží zabezpečiť organizáciu bez ohľadu na polohu alebo vlastníctvo siete. Namiesto ochrany iba perimetra korporátnej siete, Zero Trust chráni každý súbor, e-mail a sieť tým, že overuje každú identitu a zariadenie. Tento prístup je tiež označovaný ako “bezperimetrická bezpečnosť”.

1. Multi-Factor Authentication (MFA) - Multifaktorová autentifikácia
2. Šifrovanie dát
3. Endpoint Protection Platforms (EPP)

Endpoint Protection Platforms (EPP) sú komplexné bezpečnostné riešenia inštalované na koncových zariadeniach s cieľom predchádzať hrozbám. Ich funkcie zahŕňajú blokovanie malvéru, katalógovanie a virtuálne záplaty zraniteľností, prevenciu laterálneho pohybu a detekciu podozrivých aktivít pomocou analýzy správania a indikátorov kompromitácie.

1. Bezpečnostné školenia a informovanosť

V nasledujúcej tabuľke sa nachádza popis kritérií:

Vyhodnotenie MCA:

Popis vyhodnotenia:

Porovnanie s návrhom  - alternatíva č.1 EDR / XDR:

1. Systémy prevencie prienikov (IPS/IDS):

Negatíva: IPS/IDS môžu byť finančne náročné na implementáciu a údržbu. Taktiež generujú veľké množstvo falošných pozitív, čo vyžaduje vysokú úroveň odborných znalostí na ich správnu konfiguráciu a analýzu.

Prečo EDR/XDR: EDR/XDR riešenia sú často integrované a poskytujú lepšiu viditeľnosť nad koncovými bodmi a reakciou na incidenty v reálnom čase. Znižujú tiež počet falošných pozitív prostredníctvom pokročilých analýz a korelácie údajov

1. Bezpečnostné informácie a riadenie udalostí (SIEM):

Negatíva: SIEM riešenia môžu byť extrémne drahé a vyžadujú značné investície do ľudských zdrojov na monitorovanie a analýzu bezpečnostných incidentov.

Prečo EDR/XDR: EDR/XDR riešenia sú často menej komplexné na nasadenie a údržbu v porovnaní so SIEM a poskytujú špecializované funkcie pre ochranu koncových bodov a rozšírenú detekciu a reakciu bez nutnosti veľkých investícií do analytických kapacít.

1. Systémy pre riadenie zraniteľností (Vulnerability Management Systems):

Negatíva: Tieto systémy sa zameriavajú iba na identifikáciu zraniteľností, ale neposkytujú ochranu alebo detekciu aktívnych útokov.

Prečo EDR/XDR: EDR/XDR poskytujú aktívnu detekciu a reakciu na hrozby, čo je dôležité pre ochranu koncových bodov pred skutočnými útokmi, nielen zistenie potenciálnych zraniteľností.

1. Deception Technology:

Negatíva: Deception Technology môže byť zložité na implementáciu a môže byť nákladné, pričom efektívnosť závisí na schopnosti útočníka identifikovať tieto falošné ciele.

Prečo EDR/XDR: EDR/XDR riešenia poskytujú priamejšiu ochranu a detekciu hrozieb, bez nutnosti zavádzania komplexných falošných scenárov.

1. Zero Trust Architecture:

Negatíva: Implementácia Zero Trust Architecture môže byť veľmi nákladná a časovo náročná, vyžadujúca úplnú revíziu existujúcich systémov a politík.

Prečo EDR/XDR: EDR/XDR riešenia môžu byť integrované do existujúcich architektúr s menšími nákladmi a časovou investíciou, pričom stále poskytujú pokročilé funkcie detekcie a reakcie na hrozby.

1. Multi-Factor Authentication (MFA):

Negatíva: MFA rieši iba autentizáciu a neposkytuje ochranu pred útokmi, ktoré môžu obísť autentizačné mechanizmy.

Prečo EDR/XDR: EDR/XDR riešenia poskytujú komplexnú ochranu koncových bodov vrátane detekcie a reakcie na rôzne typy hrozieb, nielen zabezpečenie prístupu.

1. Šifrovanie dát:

Negatíva: Šifrovanie chráni dáta v prenose a v pokoji, ale neposkytuje ochranu pred samotnými útokmi alebo detekciu hrozieb.

Prečo EDR/XDR: EDR/XDR riešenia ponúkajú proaktívnu detekciu a reakciu na hrozby, čím chránia systémy pred útokmi, ktoré by mohli viesť k kompromitácii údajov.

1. Endpoint Protection Platforms (EPP):

Negatíva: EPP riešenia sú zamerané na prevenciu škodlivého softvéru a nemusia obsahovať pokročilé funkcie detekcie a reakcie na hrozby, ktoré EDR/XDR poskytujú.

Prečo EDR/XDR: EDR/XDR poskytujú širšiu funkcionalitu vrátane monitorovania, detekcie a reakcie na hrozby v reálnom čase, čím poskytujú komplexnejšiu ochranu.

1. Bezpečnostné školenia a informovanosť:

Negatíva: Hoci školenia zvyšujú povedomie, neposkytujú technickú ochranu pred útokmi. Navyše, ich efektivita závisí na pravidelnosti a kvalite školení.

Prečo EDR/XDR: EDR/XDR riešenia poskytujú technickú ochranu a automatizovanú detekciu hrozieb, čím dopĺňajú školenia a zvyšujú celkovú úroveň zabezpečenia.

Každá z týchto alternatív má svoje výhody, ale EDR/XDR riešenia poskytujú integrovaný a komplexný prístup k detekcii a reakcii na hrozby, čo je kľúčové pre moderné bezpečnostné prostredie.

3.2        Opis obmedzení, predpokladov, tolerancií

Integrácia s existujúcimi systémami, nástrojmi a infraštruktúrou organizácie (ESET mail security, Eset protect, Eset server protect).

4.     POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

Po ukončení projektu budú dodané projektové výstupy podľa vyhlášky 401/2023 o riadení projektov (vrátane zdrojových kódov):

Vysvetlivky:

* Architektonické diagramy a pohľady, vrátane architektonického modelu aj vo formáte The Open Group ArchiMate Model Exchange File Format.

5.     NÁHĽAD ARCHITEKTÚRY

Popis budúceho riešenia z pohľadu biznis/aplikačnej/technologickej architektúry sa nachádza v Prístupe k projektu. Navrhované riešenie, ktoré vychádza z výsledku MCA analýzy je nasadenie EDR / XDR riešenia do vládneho cloudu,kde ÚKSÚP prevádzkuje svoje isvs a na koncové zariadenia. Toto riešenie nezasiahne významne do súčasnej architektúry. Súčasná technologická architektúra je zhodná s budúcou technologickou architektúrou, okrem nového prvku „XDR Cloud“, ktorý predstavuje v zobrazení architektúry nasadené riešenie úspešného dodávateľa riešenia EDR/XDR.

Náhľad architektúry v tomto výstupe I-02 Projektový zámer by mal byť v súlade s výstupom M-06 - aktualizáciou evidencie e-Government komponentov v centrálnom metainformačnom systéme verejnej správy (MetaIs) a komponenty, ktorých sa projekt týka by mali mať upravenú evidenciu ich stavu a fázu ich životného cyklu. Týmto projektom sa nevytvára nový isvs, ani sa nemení štruktúra e-Government komponentov v centrálnom metainformačnom systéme verejnej správy (MetaIs), ani nemení ich stavu a fázu ich životného cyklu.

6.     ROZPOČET A PRÍNOSY

6.1        Detailný popis nákladov a prínosov

PHZ pre dodanie riešenia externou organizáciou – úspešným uchádzačom vo verejnom obstarávaní: 220 035,70 EUR s DPH

6.2        Postup a spôsob nacenenia projektu

Postup nacenenia bol nasledovný:

• Na základe opisu požadovaného dial sa určila PHZ formou oslovenia subjektov
• Určili na interné náklady:
  • Určil sa interný tím, ktorý bude pracovať na hlavných aktivitách a podporných aktivitách
  • Určil sa harmonogram projektu, ktorý definuje časový rozsah spolupráce tímu
  • Na základe mzdovej politiky sa vypočítala sadzba za hodinu pre člena tímu
• Stanovil sa výdavok na podporné aktivity v sume stanovenej výzvou na 7% z priamych výdavkov

7.     HARMONOGRAM PROJEKTU

Highlevel harmonogram projektu:

Projekt bude realizovaný metódou Waterfall:

Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

Objednávateľ projektu vypracuje funkčnú a technickú špecifikáciu,

8.     Návrh organizačného zabezpečenia projektu

Riadiaci výbor (RV) projektu sa zostavuje  v zložení:

• Predseda RV: Ing. Vladimír Urmanič
• Biznis vlastník a manažér KB: Bc. Stanislav Balko
• Zástupca prevádzky: Ing. Marek Molnár
• Projektový manažér objednávateľa (PM): Soňa Molnárová

Projektový tím objednávateľa sa zostavuje v zložení:

• kľúčový používateľ a manažér KB,
• IT analytik
• biznis vlastník,
• finančný manažér,
• projektový manažér.

8.1        PRACOVNÉ NÁPLNE

Určenie zodpovednosti členov Riadiaceho výboru:

1. Hlavným záujmom a zodpovednosťou predsedu Riadiaceho výboru projektu je:
2. a) zastupovať záujmy objednávateľa v projekte,
3. b) kontrolovať súlad projektu a projektových cieľov so strategickými cieľmi,
4. c) zabezpečiť a udržať finančné krytie (rozpočet) realizácie projektu,
5. d) zabezpečiť nákladovo prijateľný prístup v projekte,

1. Hlavným záujmom a zodpovednosťou zástupcu vlastníka procesu objednávateľa (biznis vlastník) alebo vlastníkov procesov objednávateľa je:
2. a) schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,
3. b) definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľov a požiadaviek na bezpečnosť,
4. c) definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,
5. d) schválenie akceptačných kritérií,
6. e) akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,
7. f) odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,
8. g) dostupnosť ľudských zdrojov alokovaných na realizáciu projektu

1. Hlavným záujmom a zodpovednosťou zástupcu kľúčových používateľov objednávateľa (end user), ktorí reprezentuje záujmy budúcich používateľov projektových produktov alebo projektových výstupov je:
2. a) návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť,
3. b) návrh a definovanie akceptačných kritérií,
4. c) akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky,
5. d) predkladanie požiadaviek na zmenu funkcionalít produktov,

Pôsobnosť, úlohy Riadiaceho výboru a ďalšie zodpovednosti členov Riadiaceho výboru určuje Štatút riadiaceho výboru.

Pracovné náplne projektový tím:

PROJEKTOVÝ MANAŽÉR

Zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

Zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

Zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

BIZNIS VLASTNÍK (VLASTNÍK PROCESOV)

Zodpovedá za proces - jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi. Kľúčová rola na strane zákazníka (verejného obstarávateľa), ktorá schvaľuje biznis požiadavky a zodpovedá za výsledné riešenie, prínos požadovanú hodnotu a naplnenie merateľných ukazovateľov. Úlohou tejto roly je definovať na užívateľa orientované položky (user-stories), ktoré budú zaradzované a prioritizované v produktovom zásobníku. Zodpovedá za priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane DNR z pohľadu analýzy a návrhu riešenia aplikácii IS.

Zodpovedný za schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu. Definuje očakávania na kvalitu projektu, kvalitu projektových produktov, prínosy pre koncových používateľov a požiadavky na bezpečnosť. Definuje merateľné výkonnostné ukazovatele projektov a prvkov. Vlastník procesov schvaľuje  akceptačné kritériá, rozsah a kvalitu dodávaných projektových výstupov pri dosiahnutí platobných míľnikov, odsúhlasuje spustenie výstupov projektu do produkčnej prevádzky a dostupnosť ľudských zdrojov alokovaných na realizáciu projektu.

KĽUČOVÝ POUŽIVATEĽ (end user) a manažér KB

Zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.

Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov.

IT ANALYTIK

Zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie. Podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení. Zodpovedá za výkon analýzy IS, koordináciu a dohľad nad činnosťou SW analytikov.

analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

Analytik informačných technológií pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu. Mapuje a analyzuje existujúce podnikateľské a procesné prostredie, analyzuje biznis požiadavky na informačný systém, špecifikuje požiadavky na informačnú podporu procesov, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní (akceptácie) používateľom.

Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad).

FINANČNÝ MANAŽÉR

Zodpovedá za čerpanie finančných prostriedkov pre dosiahnutie cieľov projektu podľa zmluvy o poskytnutí NFP.

Styk s bankovými inštitúciami a zabezpečenie obchodných procesov z ekonomického hľadiska.

Správne finančné riadenie projektu v súlade so schválenou žiadosťou o NFP, resp. Zmluvou o poskytnutí NFP, s platným systémom finančného riadenia a systémom riadenia EŠIF, a platnými právnymi predpismi SR a EK, usmerneniami a pokynmi RO OPII súvisiacimi s čerpaním fondov EÚ.

9.     Zoznam rizík a závislostí

9.1        Riziká a závislosti

Zoznam rizík a závislostí sa nachádza v prílohe č.1.

10. ODKAZY

Doplniť odkazy na už existujúce produkty v maximálnej miere – vyhnúť sa duplikovaným informáciám.

11. PRÍLOHY

Príloha č.1: Zoznam rizík a závislostí