projektovy_zamer

= {{id name="projekt_2921_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

115

116

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

\\

V súlade s Vyhláškou MIRRI SR č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke IT VS je dokument Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

121

122

Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky obsahuje opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Dodávané riešenie bude v súlade so zákonom. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.

123

124

Hlavnou motiváciou je realizácia kyberbezpečnostných opatrení definovaných v Z.z. 69/2018 a v zákone o ISVS.

125

126

Prioritne jedná o tie opatrenia, ktoré vykazujú najväčší nesúlad s uvedenými právnymi normami a vyhláškou 362/2018 Z. z.. V dôsledku realizácie týchto opatrení budú ÚVZ SR chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku ÚVZ SR.

\\

Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti, ktoré sú obsahom projektu:

\\

1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky nového zákona o KB a príslušných vykonávacích predpisov,

135

1. Dopracovanú smernicu pre oblasti riadenia bezpečnosti prevádzky sietí a IS/APP,

136

1. Aktualizovanú SM-25 Smernica, ktorou sa upravuje práca s informačnými technológiami,

137

1. Nasadený nástroj na automatizáciu analýzy rizík a prehodnotenie a aktualizácia analýzy rizík podľa požiadaviek nového zákona o KB,

138

1. Spracovávanie inventarizácie aktív a ich klasifikáciu s ohľadom na IS ÚVZ a dokumentovanie vzťahov a závislostí medzi IS ÚVZ a ostatnými používanými systémami a aplikáciami na ÚVZ SR,

139

1. Prehodnotenú a spracovanú novú SOA (Security Operations Architecture) s ohľadom na novú legislatívu a jej plnenie pre oblasť kybernetickej bezpečnosti,

140

1. Zavedenú kontrolu dodržiavania bezpečnostných politík zo strany zamestnancov, administrátorov a osôb zastávajúcich niektorú z bezpečnostných rolí,

141

1. Implementovaný nástroj na detekciu kybernetických bezpečnostných incidentov, ktorý spĺňa všetky požiadavky Vyhlášky § 17, ods. 03 a ods. 04,

142

1. Navrhnutý a zdokumentovaný efektívny spôsob kontroly pre účely zaručenia, že prevádzka, používanie a manažment siete a informačného systému je v súlade s vnútornými predpismi a zmluvnými záväzkami,

143

1. Prehodnotenú a aktualizovanú smernicu v oblasti SM-51 Smernica Riadenie kontinuity procesov a činností a spracované nové BCP/DRP plány potrebné na zabezpečenie kontinuity činností podľa nového zákona o KB,

144

1. Aktualizovaná SM-44 Smernica o klasifikácii informácií na Úrade verejného zdravotníctva Slovenskej republiky,

145

1. Zanalyzované existujúce prostredie ÚVZ SR s ohľadom na vzniknutý systém IS ÚVZ a vytvorené záznamy o identifikovaných vzťahoch a súvislostiach,

146

1. Zanalyzovaný spôsob efektívnej realizácie monitoringu zariadení, činností, sietí, IS a APP v prostredí ÚVZ SR a zabezpečenú podporu pre vybraté riešenie pri jeho nasadení a spustení do prevádzky.

\\

Cieľom projektu je, aby po jeho realizácii naša inštitúcia dosiahla čo možno najväčší súlad s NIS2, Zákonom o kyberbezpečnosti, ako aj Zákonom o ISVS.

**~ **

== {{id name="projekt_2921_Projektovy_zamer_detailny-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

155

156

(% class="wrapped" %)

|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

|(((

KIB

)))|(((

Kybernetická a informačná bezpečnosť

)))

|(((

IT

)))|(((

Informačné technológie

)))

|(((

VS

)))|(((

Verejná správa

)))

|(((

ITVS

)))|(((

Informačné technológie verejnej správy

)))

|(((

NFP

)))|(((

Nenávratný finančný príspevok

)))

|(((

OP SK

)))|(((

Operačný program Slovensko

)))

|(((

ÚVZ SR

)))|(((

Úrad verejného zdravotníctva SR

)))

|(((

RÚVZ

)))|(((

Regionálny úrad verejného zdravotníctva

)))

|(((

MZ SR

)))|(((

Ministerstvo zdravotníctva SR

)))

|(((

NKIVS

)))|(((

Národná koncepcia informatizácie verejnej správy

)))

|(((

ZoBK

)))|(((

Zákon o kybernetickej bezpečnosti

)))

|(((

SOA

)))|(((

Security Operations Architecture

)))

|(((

SOC

)))|(((

Security Operation Center

)))

\\

== {{id name="projekt_2921_Projektovy_zamer_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}2.2 Konvencie pre typy požiadaviek (príklady) ==

231

232

Zvoľte si konvenciu pre označovanie požiadaviek, súborov, atd. Hlavné kategórie požiadaviek v zmysle katalógu požiadaviek, rozdeľujeme na funkčné (funkcionálne), nefunkčné (kvalitatívne, výkonové a pod.). Podskupiny v hlavných kategóriách je možné rozšíriť podľa potrieb projektu, napríklad:

233

234

**Funkcionálne (používateľské) požiadavky **majú nasledovnú konvenciu:

**FRxx**

* U – užívateľská požiadavka

239

* R – označenie požiadavky

240

* xx – číslo požiadavky

241

242

**Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky** majú nasledovnú konvenciu:

**NRxx**

* N – nefukčná požiadavka (NFR)

247

* R – označenie požiadavky

248

* xx – číslo požiadavky

249

250

Ostatné typy požiadaviek môžu byť ďalej definované objednávateľom/PM.

251

252

= {{id name="projekt_2921_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

253

254

== {{id name="projekt_2921_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}3.1 Manažérske zhrnutie ==

255

256

Úrad verejného zdravotníctva SR ako prevádzkovateľ základnej služby zapísanej v registri prevádzkovateľov základných služieb má povinnosti, ktoré vyplývajú zo ZoKB. Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti:

257

258

1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky nového zákona o KB a príslušných vykonávacích predpisov,

259

1. Dopracovanú smernicu pre oblasti riadenia bezpečnosti prevádzky sietí a IS/APP,

260

1. Aktualizovanú SM-25 Smernica, ktorou sa upravuje práca s informačnými technológiami,

261

1. Nasadený nástroj na automatizáciu analýzy rizík a prehodnotenie a aktualizácia analýzy rizík podľa požiadaviek nového zákona o KB,

262

1. Spracovávanie inventarizácie aktív a ich klasifikáciu s ohľadom na IS ÚVZ a dokumentovanie vzťahov a závislostí medzi IS ÚVZ a ostatnými používanými systémami a aplikáciami na ÚVZ SR,

263

1. Prehodnotenú a spracovanú novú SOA (Security Operations Architecture) s ohľadom na novú legislatívu a jej plnenie pre oblasť kybernetickej bezpečnosti,

264

1. Zavedenú kontrolu dodržiavania bezpečnostných politík zo strany zamestnancov, administrátorov a osôb zastávajúcich niektorú z bezpečnostných rolí,

265

1. Implementovaný nástroj na detekciu kybernetických bezpečnostných incidentov, ktorý spĺňa všetky požiadavky Vyhlášky § 17, ods. 03 a ods. 04,

266

1. Navrhnutý a zdokumentovaný efektívny spôsob kontroly pre účely zaručenia, že prevádzka, používanie a manažment siete a informačného systému je v súlade s vnútornými predpismi a zmluvnými záväzkami,

267

1. Prehodnotenú a aktualizovanú smernicu v oblasti SM-51 Smernica Riadenie kontinuity procesov a činností a spracované nové BCP/DRP plány potrebné na zabezpečenie kontinuity činností podľa nového zákona o KB,

268

1. Aktualizovaná SM-44 Smernica o klasifikácii informácií na Úrade verejného zdravotníctva Slovenskej republiky,

269

1. Zanalyzované existujúce prostredie ÚVZ SR s ohľadom na vzniknutý systém IS ÚVZ a vytvorené záznamy o identifikovaných vzťahoch a súvislostiach,

270

1. Zanalyzovaný spôsob efektívnej realizácie monitoringu zariadení, činností, sietí, IS a APP v prostredí ÚVZ SR a zabezpečenú podporu pre vybraté riešenie pri jeho nasadení a spustení do prevádzky

\\

**Jednotlivé organizačné jednotky (OZ), teda regionálne úrady verejného zdravotníctva (ktorých je 36) využívajú centrálny informačný systém (IS ÚVZ), tzn. že každá OZ, ak sa stane terčom kybernetického útoku, ohrozuje fungovanie IS ÚVZ ako celku a môže spôsobiť odstavenie celého systému. V dôsledku toho je nevyhnutné, aby navrhovaným systémov disponovalo nie len ÚVZ, ale aj všetky RÚVZ.**

275

276

Zasielané udalosti sú v jednotlivých organizáciách na vstupe prijaté, označkované a parsované podľa technológie. Následne sú buď vhodnými základnými pravidlami produktu a implementačnými pravidlami na mieru spracované, aby bolo možné s nimi vytvárať potrebné navrhnuté scenáre. Ďalej sú uložené a vizualizované buď prostredníctvom základných nástrojov, alebo v budúcnosti vyššou formou pomocou integračnej platformy. Implementácia zahŕňa vytvorenie prístupových oprávnení v súlade s požiadavkami na viditeľnosť a spracovanie dát a následnú vizualizáciu.

277

278

Prevádzkové informácie budú zobrazovať aktuálne informácie o stave logovaných ICT systémov jednotlivých organizácií. Nad týmito logmi bude vykonané parsovanie a následne sa uložia do centrálneho dátového skladu, kde bude možné s týmito dátami ďalej pracovať. Primárne sa jedná o nepretržitý zber logov a monitorovanie prevádzky ICT technológií, systémov, aplikácií, stavu kybernetického a fyzického zabezpečenia a poskytovanie dát a informácií pre riešenie odchýlok a nápravných opatrení. Všetky údaje uložené v dátovom sklade budú podrobené procesu sledovania a vyhodnocovania podľa nižšie uvedených scenárov. Tým bude zabezpečené sledovanie jednotlivých systémov podľa nariadenia NIS2. Jednotlivé zistenia budú automaticky evidované v systéme na riadenie bezpečnosti, ktorý riadi všetky zistené riziká a navrhuje vhodné opatrenia. Takto evidované a riadené sledovanie logov povedie k včasnej detekcii rizík a ich okamžitej náprave.

\\

Z pohľadu kompletného zberu logov bude vyhodnocované:

283

284

* prihlasovanie a odhlasovanie ku všetkým účtom, vrátane neúspešných pokusov

285

* vykonanie a neúspešný pokus o vykonanie privilegovanej činnosti

286

* manipulácia a neúspešný pokus o manipuláciu s účtami, oprávneniami a právami

287

* neuskutočnenie činností v dôsledku nedostatku prístupových práv alebo oprávnení

288

* začatie a ukončenie činností technických aktív

289

* kritické a chybové hlásenia technických aktív

290

* prístup a neúspešný pokus o prístup k záznamom udalostí

291

* manipulácia a neúspešný pokus o manipuláciu so záznamami udalostí

292

* zmenu a neúspešný pokus o zmenu nastavení nástrojov na zaznamenávanie udalostí

293

* ďalšie činnosti používateľov, ktoré môžu mať vplyv na bezpečnosť regulovanej služby.

\\

**__Motivácia a rozsah projektu:__**

298

299

Projekt je motivovaný súčasný stavom kybernetickej bezpečnosti, ktorý nie je vyhovujúci. Motiváciou projektu je zabezpečiť súlade kybernetickej bezpečnosti u žiadateľa v zmysle Zákona o kybernetickej bezpečnosti a smernice NIS2. Rozsah projektu je detailnej uvedený v nasledovnej kapitole - Výsledky projektu a cieľový stav .

\\

**__Zainteresované strany/ Stakeholderi:__**

304

305

V rámci predloženého projektu sú zainteresovanými stranami žiadateľ, ktorý obstaráva riešenie kybernetickej bezpečnosti na trhu prostredníctvom zdrojov EÚ. Zainteresovanou stranou bude aj budúci dodávateľ riešenia, ktorý vzíde ako víťaz verejného obstarávania. Uvedené aktivity budú realizované pod dohľadom Úradu verejného zdravotníctva, ako strešnej organizácie.

**

**

\\

**Čiastková aktivita a) Organizácia KB,**

313

314

Na základe zistených nedostatkov v oblasti riadenia kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:

315

316

Komplexná bezpečnostná dokumentácia bude novo vypracovaná, pričom zohľadňuje predchádzajúcu dokumentáciu a jej aktualizácie vrátane rozsahu a metód dodržiavania všeobecných bezpečnostných opatrení.

317

318

Budú novo sa vyvinuté a implementované špecifické interné riadiace akty pre vybrané oblasti kybernetickej a informačnej bezpečnosti.

319

320

Bude aktualizovaný stav bezpečnostného výboru organizácie.

321

322

Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy.

\\

**Čiastková činnosť b) Riadenie rizík KB**,

327

328

Na základe zistených nedostatkov v oblasti riadenia rizík kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:

329

330

Všetky aktíva súvisiace so spracovaním informácií a centrálnym inventárnym záznamovým zariadením budú identifikované ich hodnotou a s označením ich vlastníka, ktorý definuje ich požiadavky na dôvernosť, dostupnosť a integritu (EAM).

331

332

Riadenie rizík bude automatizované pomocou nástroja, pozostávajúce z identifikácie zraniteľnosti, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenia vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, funkčnej analýzy dopadov a pravidelného prehodnocovania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení.

333

334

Bude implementovaný automatizovaný systém správy a registrácie pre inventarizáciu majetku (EAM/).

335

336

Bude implementovaný automatizovaný systém riadenia a registrácie pre katalogizáciu hrozieb.

337

338

Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení.

\\

**Čiastková činnosť c) Personálna bezpečnosť**,

343

344

Na základe zistených nedostatkov v oblasti personálnej bezpečnosti v organizácii je stanovený nasledovný cieľový stav:

345

346

Bude vyvinutý postup na priradenie osoby k jednej z rolí zabezpečenia

347

348

Bude zavedený plán na rozvoj bezpečnostného povedomia a vzdelávania

349

350

Bude vyvinutá metóda hodnotenia účinnosti rozvojového plánu bezpečnostného povedomia

351

352

Budú určené pravidlá a postupy pri riešení porušení bezpečnostnej politiky

353

354

Budú zavedené postupy na ukončenie pracovného pomeru

355

356

Budú zavedené postupy pre prípady porušenia bezpečnostných politík

357

358

Bude vypracovaný a aktualizovaný akt vnútorného riadenia s bezpečnostnými zásadami pre koncových používateľov

359

360

Postupy a procesy, ktorými sa riadi personálna bezpečnosť organizácie, budú vypracované a implementované prostredníctvom interného riadiaceho aktu.

361

362

Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD.

\\

**Čiastková aktivita k) Zaznamenávanie udalostí a monitoring sietí a IS,**

367

368

Na základe zistených nedostatkov v oblasti zaznamenávania a monitorovania udalostí je stanovený nasledovný cieľový stav:

369

370

Implementovaný bude centrálny log management systém pre zber a ukladanie logov z jednotlivých informačných systémov s podporou napojenia na riadiace systémy a poskytovania potrebných podporných dát.

371

372

Bude vypracovaná dokumentácia metód monitorovania a fungovania systému správy log a centrálneho nástroja na monitorovanie bezpečnosti a bude definovaný spôsob evidencie prevádzkových záznamov, ich vyhodnocovanie, spôsoby hlásenia podozrivej činnosti, zodpovedné osoby a ďalšie povinnosti.

373

374

Vytvorí sa špecifikácia všetkých udalostí, ktoré sa musia zaznamenávať, a súvisiaca konfigurácia prvkov informačných technológií verejnej správy vrátane dokumentácie rozsahu údajov zaznamenaných v protokolových súboroch.

375

376

Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou.

\\

**__Merateľné ukazovatele projektu:__**

381

382

* Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov – 50

383

* Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov – 1

\\

**__Návrh organizačného zabezpečenia projektu:__**

388

389

Administratívne, odborné a prevádzkové kapacity žiadateľa:

\\

Z hľadiska interného riadenia projektu je odborné zabezpečenie stanované v Bezpečnostnej smernici.

394

395

Za kybernetickú bezpečnosť zodpovedajú:

396

397

generálny tajomník služobného úradu,

398

399

manažér kybernetickej bezpečnosti,

400

401

správca informačných technológií,

402

403

všetky oprávnené osoby v rozsahu svojich pracovných kompetencií, ktoré im vyplývajú z ich pracovnej náplne.

\\

Za zabezpečenie vypracovania bezpečnostnej dokumentácie v súlade o zákonom č. 69/2018 Z.z. a zabezpečenie implementácie bezpečnostných opatrení zodpovedá generálny tajomník služobného úradu.

\\

Za dodržiavanie interných bezpečnostných smerníc RÚVZ zodpovedajú všetci zamestnanci v rozsahu primeranom ich pracovnej pozícii a pracovnej náplne.

\\

__Generálny tajomník služobného úradu__

416

417

Je štatutárnym zástupcom RÚVZ ako prevádzkovateľa základnej služby.

418

419

Schvaľuje bezpečnostnú dokumentáciu RÚVZ vypracovanú v súlade so zákonom č. 69/2018 Z.z. a v rozsahu podľa vyhlášky č.362/2018 Z.z..

420

421

Poskytuje podporu a súčinnosť manažérovi KB pri riešení otázok súvisiacich s KB.

422

423

Vytvára podmienky pre efektívne presadzovanie zásad bezpečnostnej politiky a jej dodržiavanie zamestnancami RÚVZ.

424

425

V prípade vzniku závažných kybernetických incidentov v spolupráci s manažérom KB zasiela hlásenia o bezpečnostných incidentoch NBÚ SR.

\\

RÚVZ disponuje interným manažérom KIB

430

431

Vymenúva generálny tajomník služobného úradu. Pri výbere osoby manažéra KB prihliada predovšetkým na jeho odborné znalosti v oblasti IT so zameraním na otázky KB, najmä schopnosti odhaľovať zraniteľnosti informačných aktív a tiež na znalosti legislatívy v oblasti KB a štandardov pre ISVS. Je priamym podriadeným generálneho tajomníkovi služobného úradu; v zmysle zákona č. 69/2018 Z.z. a je oprávnený predkladať návrhy a oznamovať informácie v oblasti KB priamo generálnemu tajomníkovi služobného úradu. Má možnosť predkladať mu návrhy a oznamovať informácie v oblasti KB. Zabezpečuje aplikáciu bezpečnostných opatrení v systéme riadenia KB. Je nezávislý od riadenia prevádzky a vývoja služieb IT.

\\

Povinnosti:

vykonávať poučenie oprávnených osôb zamestnancov RÚVZ v oblasti KB,

438

439

riešiť a viesť evidenciu o kybernetických bezpečnostných incidentoch,

440

441

navrhovať preventívne opatrenia na opakovanie vyskytnuvším sa a predchádzanie novým bezpečnostným incidentom,

442

443

informovať generálneho tajomníka o výsledku revízie bezpečnostnej dokumentácie; predkladá návrhy na odstránenie zistených nedostatkov,

444

445

1x ročne vykonávať revíziu bezpečnostnej dokumentácie (kontrola súladu s aktuálnymi podmienkami súvisiacimi s výkonom základných služieb s platnou legislatívou – najmä zákonom č. 69/2018 Z.z. a vyhláškou 362/2018 Z.z.),

446

447

informovať generálneho tajomníka služobného úradu o výsledku revízie bezpečnostnej dokumentácie,

448

449

v závislosti na výsledku revízie bezpečnostnej dokumentácie alebo v prípade zmeny legislatívy súvisiacej s KB vykonávať aktualizáciu bezpečnostnej dokumentácie,

450

451

poskytovať súčinnosť RÚVZ v konaní s dodávateľmi služieb súvisiacich s prevádzkou základnej služby RÚVZ

452

453

poskytovať súčinnosť RÚVZ v konaní s NBÚ SR.

\\

__RÚVZ disponuje interným správcom IT__

Rozsah činností:

navrhuje a realizuje zmeny a technické riešenia s cieľom optimalizácie využitia IS,

462

463

vykonáva inštalácie programov a prostriedkov IT a aktualizácie programového vybavenia,

464

465

vykonáva kontrolu nainštalovaného programového vybavenia na pracovných staniciach a na základe zisteného stavu vypracováva konkrétny návrh na jeho prípadnú obnovu alebo legalizáciu,

466

467

vykonáva preventívne profylaktické prehliadky a zabezpečuje opravy HW,

468

469

vykonáva technickú podporu používateľom – oprávneným osobám,

470

471

zabezpečuje zálohovanie a archiváciu chránených údajov,

472

473

zabezpečuje spoľahlivú prevádzku programového vybavenia,

474

475

v prípade zlyhania alebo obmedzenia funkčnosti automatizovaného IS zabezpečuje jeho obnovu.

\\

Základné povinnosti:

vykonávať všetky činnosti súvisiace s plnením úloh správcu IT svedomito a odborne podľa svojich najlepších schopností a vedomostí,

482

483

pri plnení pracovných úloh postupovať v súlade s vnútornými predpismi RÚVZ,

484

485

zachovávať mlčanlivosť o všetkých skutočnostiach, s ktorými prichádza do styku pri plnení svojich povinností,

486

487

sledovať vývoj v oblasti IT a vzdelávať sa,

488

489

pri návrhu a budovaní technickej infraštruktúry informačných systémov zvažovať bezpečnostné hrozby pôsobiace na jednotlivé časti automatizovaných informačných systémov a závažnosť vplyvu na ich bezpečnosť a spoľahlivosť.

\\

Z hľadiska procesného riadenia projektu podľa vyhlášky č. 401/2023 Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky z 9. októbra 2023

494

495

o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy.

\\

__Administratívne kapacity žiadateľa:__

500

501

Žiadateľ má zabezpečené riadenie projektu externou formou, pričom má zadefinovaný minimálny rozsah prác, ktorý je nevyhnutný v rámci riadenia projektu:

\\

Cieľom projektového manažmentu je zabezpečenie kvalitné a odborné riadenie projektu presne podľa podmienok, ktoré stanovuje výzva, príručka pre prijímateľa a ktoré ustanovuje zmluva o NFP. Žiadateľ definoval rozsah prác, ktorý je nevyhnutný na dodržanie podmienok zmluvy o NFP do 6 oblastí, ktoré v sebe zahrňujú viaceré podoblasti:

506

507

* projektový manažment,

508

* monitorovanie projektu,

509

* finančné riadenie projektu,

510

* komunikácia s poskytovateľom,

511

* informovanie o projekte a komunikácia v zmysle Manuálu pre informovanie a komunikáciu pre Operačný program Slovensko

512

* všetky súvisiace úkony spojené so zabezpečením dodržiavania ustanovení Zmluvy o NFP.

\\

Úlohou administratívneho a projektového manažmentu bude riadenie projektu za účelom úspešnej realizácie projektu a plnenia všetkých povinností vyplývajúcich zo Zmluvy o poskytnutí NFP na úrovni projektových manažérov, finančných manažérov a ostatných zainteresovaných manažérov. Dodávateľ sa zaväzuje, že odberateľovi poskytne činnosti, a to najmä, no nie výlučne týkajúce sa :

\\

* kontroly plnenia časového plánu na úrovni podrobných čiastkových úloh v rámci jednotlivých aktivít projektu,

521

* kontroly plnenia čiastkových cieľov a míľnikov,

522

* zber údajov, archivácia a kontrola čiastkových výstupov,

523

* archivácia, prihlášok pre práva duševného vlastníctva a pod.,

524

* poskytovanie spätnej väzby konateľom žiadateľa,

525

* komunikácia s kľúčovými dodávateľmi projektu a získavanie aktuálnych informácii k dosahovaniu cieľov projektu,

526

* vypracovávanie podkladov a samotných dokumentov k žiadostiam o platbu, monitorovacím správam a kontrolám na mieste,

527

* komunikácia s RO a SO/RO a riešenie vznikajúcich problémov,

528

* informovanie o projekte a komunikácia v zmysle Manuálu pre informovanie a komunikáciu pre Operačný program Slovensko

* riadenie rizík

\\

Projektový tím sa skladá z nasledovný osôb a pozícií:

\\

Projektový manažér- jej činnosti pozostávajú najmä, no nie výlučne z nasledovných činnosti:

\\

Náplňou práce projektového manažéra bude riadenie aktivít prijímateľa, priebežný monitoring realizácie aktivít podľa stanoveného harmonogramu, koordinácia práce projektového tímu za prijímateľa, riešenie vzniknutých problémov a nezrovnalostí a zodpovednosť za správne realizovanie činností, dohľad nad aktivitami dodávateľa, pričom bude niesť zodpovednosť za koordináciu všetkých zúčastnených spolupracovníkov prijímateľa/partnera aktivity. Komunikácia bude prebiehať s ostatnými projektovými manažérmi, s koordinátorom odbornej aktivity a ostatnými internými administratívnymi spolupracovníkmi.

542

543

Jej úlohou bude najmä riadenie projektového tímu, kontrola dodržiavania časového harmonogramu projektu, kontrola kvality realizácie jednotlivých aktivít projektu, interný monitoring a vyhodnocovanie kvality a kvantity výstupov súvisiacich s projektom. Zároveň bude zodpovedná za prijímanie opatrení a odstraňovanie nedostatkov a rizík pri implementácii projektov. Uvedený pracovník zodpovedá za zabezpečenie plynulého chodu všetkých aktivít projektu počas celého obdobia realizácie od podpisu zmluvy o NFP medzi poskytovateľom a prijímateľom až po samotné ukončenie realizácie projektu vrátane komunikácie s riadiacim orgánom, s priamymi účastníkmi projektu (finančný manažér, asistent projektu ...), spracovanie, úprava a doplnenie časového harmonogramu aktivít projektu, dozorná činnosť nad plnením pracovnej činnosti riadiaceho tímu a ostatných účastníkov (cieľová skupina, dodávateľské služby), prijímanie opatrení na odstránenie nedostatkov a rizík pri implementácii projektu, príprava a spracovanie dokumentácie pre potreby verejného obstarávania. Finančné riadenie – zabezpečenie kompletnej projektovej dokumentácie k samotnému zúčtovanie žiadostí o platbu, spracovanie, úprava a doplnenie cashflow rozpočtu projektu, spracovanie úprava a doplnenie finančného harmonogramu projektu, aktívna spolupráca a komunikácia so zamestnancami finančného oddelenia prijímateľa projektu – kontrola čerpania finančných prostriedkov poskytnutých z fondov ŠR a EÚ v súlade so zmluvou o NFP; úhrady oprávnených nákladov, kontrola dodávateľsko-odberateľských vzťahov. Monitoring a publicita projektu – Príprava, spracovanie a predkladanie monitorovacích správ projektu, sledovanie merateľných ukazovateľov, vecného, finančného plnenia projektu a sledovanie plnenia podmienok pre publicitu a monitoring. Informovanie o projekte a komunikácia v zmysle Manuálu pre informovanie a komunikáciu pre Operačný program Slovensko.

\\

Finančný manažér, jej činnosti pozostáva najmä, no nie výlučne z nasledovných činnosti:

548

549

Náplňou práce finančného manažéra je zabezpečovať všetky náležitosti súvisiace s finančnou stránkou projektu, správne zaúčtovanie jednotlivých položiek v rámci projektu, zúčtovanie projektu smerom k poskytovateľovi NFP. Finančné riadenie projektu, podklady pre projektové účtovníctvo, nákladový controlling, zodpovednosť za finančné podklady pre monitorovanie a hodnotenie projektu. Riadenie správneho finančného fungovania projektu, vedenie účtovníctva, zabezpečovanie fakturácie, dohľad nad plynulým finančným tokom projektu a minimalizácia riziká výskytu neoprávnených nákladov a korekcii zo strany Poskytovateľa. Zodpovedá za spracovanie a včasné predkladanie žiadostí o platbu, vrátane úplnej podpornej dokumentácie a predkladá dokumentáciu v zmysle monitorovania podľa Príručky pre prijímateľa NFP sprostredkovateľského orgánu OP SK. Zodpovedá za čerpanie finančných prostriedkov v súlade s pokrokom v implementácii projektu a dosahovanými ukazovateľmi podľa zmluvy o poskytnutí NFP. Zodpovedá za styk s bankovými inštitúciami a zabezpečenie obchodných procesov z ekonomického hľadiska. V prípade potreby spolupracuje pri vypracovaní a realizovaní opatrení, ktoré vedú k dosiahnutiu úloh a cieľov projektu. Predkladá návrhy pre vypracovanie opatrení v oblasti finančného riadenia projektu a pod.; vedie účtovnú agendu, zodpovedá za vypracovanie miezd, zabezpečuje ucelené časti účtovného systému organizácie, evidenciu a účtovanie, inventarizáciu, spravovanie daní a poplatkov, vyhotovenie, triedenie a archiváciu účtovných dokladov; spracováva prvotnú ekonomickú agendu v rámci projektu pre zaúčtovanie ekonómom. Podľa potreby zabezpečuje komunikáciu s dodávateľmi a všetky úkony súvisiace s plnením dodávky v rámci subdodávateľských vzťahov projektu ako aj kontrola činnosti jednotlivých dodávateľov projektu. Zároveň zabezpečuje prípravu a vyhotovovanie monitorovacích správ, prípadne mimoriadnych monitorovacích správ. Taktiež zabezpečuje zastupovanie žiadateľa/prijímateľa v prípade kontroly zo strany Poskytovateľa. Zároveň zodpovedá za vyhotovovanie a finančné plánovanie projektu. Taktiež zodpovedá za komplexné riešenie poskytovania služieb risk managementu. Taktiež zabezpečuje monitoring dodržiavania merateľných ukazovateľov projektu, ku ktorým sa žiadateľ v rámci Zmluvy o NFP zaväzuje.

\\

\\

Asistent projektového manažéra, ktorej činnosť pozostáva najmä, no nie výlučne z nasledovných činnosti:

556

557

Náplňou práce uvedeného pracovníka bude administratívna podpora pre projektového manažéra a všetky úlohy spojené s riadnym plnený povinností projektového manažéra vyplývajúcich z náplne práce projektového manažéra a povinností vyplývajúcich zo zmluvy o NFP.

\\

Práca koordinátora projektu, ktorá pozostáva najmä, no nie výlučne z nasledovných činnosti:

562

563

Uvedený pracovník bude v rámci projektu zabezpečovať úlohu koordinátora medzi projektovými a finančným manažérom, ako aj ich asistentom a odborným pracovníkom. Zároveň bude dohliadať nad plnením aktivít v rámci časového harmonogramu a dodržiavania všetkých povinností v zmysle zmluvy o NFP. Primárnou úlohou bude koordinovať a kontrolovať činnosť projektových manažérov, finančných manažérov ako aj asistenta projektového manažéra a dozor nad plynulým a riadnym chodom projektu a projektových aktivít.

\\

Práca manažéra monitoringu, komunikácie a diseminácie výsledkov a výstupov projektu, ktorá pozostáva najmä, no nie výlučne z nasledovných činností:

568

569

Primárnou úlohou popísaného pracovníka bude zabezpečenie všetkých činností súvisiacich s monitoringom projektu, ako aj komunikácie či už s dodávateľmi v rámci projektu, pracovníkom pre verejné obstarávanie alebo SORO. Zároveň bude zabezpečovať diseminačné činnosti v oblasti propagácie a šírenia výsledkov a výstupov projektu.

\\

Všetky vyššie uvedené činnosti musia byť v súlade s aktuálne platným systémom finančného riadenia a systémom riadenia EŠIF, platnými právnymi predpismi SR a EK, usmerneniami a pokynmi poskytovateľa súvisiacimi s čerpaním fondov EÚ. Dodávateľ taktiež zabezpečuje realizáciu projektu v súlade so schváleným harmonogramom realizácie aktivít projektu. Dodávateľ bude tieto služby poskytovať osobne, telefonicky, písomne alebo prostredníctvom elektronickej pošty, podľa potrieb Odberateľa po vzájomnej dohode. Služby budú poskytované primárne zo sídla Poskytovateľa, avšak v prípade potreby aj na mieste určenom Odberateľom po predchádzajúcej dohode s Poskytovateľom. Dodávateľ je povinný zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel pri výkone vyššie uvedených činností.

\\

Rozsah prác je definovaný dĺžkou realizácie aktivít projektu a dobou udržateľnosti projektu.

\\

**__Alternatívy:__**

Voči navrhovanému riešeniu existujú alternatívne riešenia, avšak žiadateľ v zmysle princípu hospodárnosti, efektívnosti, účelnosti a nevyhnutnosti výdavkov považuje navrhované riešenie v projekte za najvhodnejšie. Nami posudzované alternatívne riešenia boli finančne náročnejšie a nekorešpondovali s rozpočtom, ktorý je v rámci ŽoNFP.

\\

**__Opis obmedzení, predpokladov, tolerancií:__**

588

589

Riešenia v oblasti kyberbezpečnosti sú navrhnuté s určitými obmedzeniami, predpokladmi a toleranciami, ktoré treba zohľadniť pri ich implementácii a používaní. Tieto faktory môžu ovplyvniť efektívnosť a účinnosť kyberbezpečnostných opatrení:

590

\\**1. Obmedzenia:**

591

592

* Technologické obmedzenia:~*~* Riešenia sú často závislé na hardvérových a softvérových technológiách, ktoré môžu byť limitované výkonom, kapacitou alebo kompatibilitou.

593

* Finančné obmedzenia: Rozpočty na kyberbezpečnosť sú často limitované, čo môže viesť k nedostatočným investíciám do pokročilých bezpečnostných riešení alebo k neschopnosti pokryť všetky oblasti rizika.

594

* Časové obmedzenia:*Implementácia kyberbezpečnostných riešení môže byť časovo náročná, čo je obmedzené dostupnými ľudskými a technologickými zdrojmi.

595

* ~*~*Regulačné a právne obmedzenia: Kyberbezpečnostné riešenia musia byť v súlade s platnými zákonmi a reguláciami, ktoré sa môžu líšiť podľa jurisdikcie a môžu obmedziť určité typy opatrení (napr. zber a spracovanie osobných údajov).

**2. Predpoklady:**

* Správne nastavenie politiky:~*~* Predpokladá sa, že organizácie majú zavedené politiky a postupy, ktoré podporujú implementáciu kyberbezpečnostných opatrení.

601

* Vzdelanie a informovanosť používateľov:~*~* Riešenia často predpokladajú, že používatelia sú dostatočne vzdelaní a informovaní o bezpečnostných postupoch, čo nie je vždy pravda.

602

* Spoľahlivosť dodávateľov a služieb:~*~* Predpokladá sa, že tretie strany, ako dodávatelia softvéru a služieb, dodržiavajú bezpečnostné štandardy a postupy, čo nemusí byť vždy prípad.

603

* ~*~*Existencia aktuálnych záloh:~*~* Mnoho bezpečnostných riešení predpokladá, že organizácia má aktuálne zálohy dát, ktoré môžu byť použité v prípade útoku.

**3. Tolerancie:**

* Falošne pozitívne a negatívne detekcie: Kyberbezpečnostné riešenia, najmä tie, ktoré sú zamerané na detekciu hrozieb, musia tolerovať určité množstvo falošne pozitívnych alebo negatívnych výsledkov, aby nedošlo k preťaženiu systémov alebo chybnej detekcii.

609

* Výkonové kompromisy: Niekedy je nutné tolerovať zníženie výkonu systémov v prospech vyššej bezpečnosti, napríklad kvôli šifrovaniu alebo monitorovaniu prevádzky.

610

* Užívateľská tolerancia: Riešenia musia zohľadňovať úroveň akceptácie zo strany užívateľov, čo môže obmedziť prísnosť implementovaných opatrení (napr. zložité heslá alebo dvojfaktorová autentifikácia).

611

* Riziková tolerancia: Organizácie musia určiť svoju úroveň akceptovateľného rizika, čo ovplyvní rozhodnutia o implementácii konkrétnych riešení a opatrení.

612

613

614

Pri návrhu a implementácii kyberbezpečnostných riešení je dôležité zohľadniť tieto obmedzenia, predpoklady a tolerancie, aby boli opatrenia účinné a efektívne v reálnom prostredí organizácie.

\\

\\

**__Opis požadovaných výstupov:__**

621

622

Žiadateľ po realizácii projektu bude mať zabezpečené nasledovné aktivity:

\\

1. Prehodnotenú SM-03 Bezpečnostná politika a stratégia Regionálneho úradu verejného zdravotníctva v Prievidzi so sídlom v Bojniciach s ohľadom na požiadavky nového zákona o KB a príslušných vykonávacích predpisov,

627

1. Dopracovanú smernicu pre oblasti riadenia bezpečnosti prevádzky sietí a IS/APP,

628

1. Aktualizovanú SM-25 Smernica, ktorou sa upravuje práca s informačnými technológiami,

629

1. Nasadený nástroj na automatizáciu analýzy rizík a prehodnotenie a aktualizácia analýzy rizík podľa požiadaviek nového zákona o KB,

630

1. Spracovávanie inventarizácie aktív a ich klasifikáciu s ohľadom na IS ÚVZ a dokumentovanie vzťahov a závislostí medzi IS ÚVZ a ostatnými používanými systémami a aplikáciami na ÚVZ SR a RÚVZ,

631

1. Prehodnotenú a spracovanú novú SOA (Security Operations Architecture) s ohľadom na novú legislatívu a jej plnenie pre oblasť kybernetickej bezpečnosti,

632

1. Zavedenú kontrolu dodržiavania bezpečnostných politík zo strany zamestnancov, administrátorov a osôb zastávajúcich niektorú z bezpečnostných rolí,

633

1. Implementovaný nástroj na detekciu kybernetických bezpečnostných incidentov, ktorý spĺňa všetky požiadavky Vyhlášky § 17, ods. 03 a ods. 04,

634

1. Navrhnutý a zdokumentovaný efektívny spôsob kontroly pre účely zaručenia, že prevádzka, používanie a manažment siete a informačného systému je v súlade s vnútornými predpismi a zmluvnými záväzkami,

635

1. Prehodnotenú a aktualizovanú smernicu v oblasti SM-51 Smernica Riadenie kontinuity procesov a činností a spracované nové BCP/DRP plány potrebné na zabezpečenie kontinuity činností podľa nového zákona o KB,

636

1. Aktualizovaná SM-44 Smernica o klasifikácii informácií na RÚVZ,

637

1. Zanalyzované existujúce prostredie ÚVZ SR s ohľadom na vzniknutý systém IS ÚVZ a vytvorené záznamy o identifikovaných vzťahoch a súvislostiach,

638

1. Zanalyzovaný spôsob efektívnej realizácie monitoringu zariadení, činností, sietí, IS a APP v prostredí ÚVZ SR a RÚVZ a zabezpečenú podporu pre vybraté riešenie pri jeho nasadení a spustení do prevádzky.

\\

Výsledky projektu a cieľový stav po realizácii projektu (manažérske produkty)

\\

**Čiastková aktivita a) Organizácia KB,**

647

648

Na základe zistených nedostatkov v oblasti riadenia kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:

649

650

Komplexná bezpečnostná dokumentácia bude novo vypracovaná, pričom zohľadňuje predchádzajúcu dokumentáciu a jej aktualizácie vrátane rozsahu a metód dodržiavania všeobecných bezpečnostných opatrení.

651

652

Budú novo sa vyvinuté a implementované špecifické interné riadiace akty pre vybrané oblasti kybernetickej a informačnej bezpečnosti.

653

654

Bude aktualizovaný stav bezpečnostného výboru organizácie.

655

656

Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy.

\\

**Čiastková činnosť b) Softvér na automatizované riadenie rizík KB,**

661

662

Na základe zistených nedostatkov v oblasti riadenia rizík kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:

663

664

Všetky aktíva súvisiace so spracovaním informácií a centrálnym inventárnym záznamovým zariadením budú identifikované ich hodnotou a s označením ich vlastníka, ktorý definuje ich požiadavky na dôvernosť, dostupnosť a integritu (EAM).

665

666

Riadenie rizík bude automatizované pomocou nástroja, pozostávajúce z identifikácie zraniteľnosti, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenia vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, funkčnej analýzy dopadov a pravidelného prehodnocovania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení.

667

668

Bude implementovaný automatizovaný systém správy a registrácie pre inventarizáciu majetku (EAM/).

669

670

Bude implementovaný automatizovaný systém riadenia a registrácie pre katalogizáciu hrozieb.

671

672

Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení.

\\

* Sú identifikované všetky aktíva súvisiace so zariadením na spracovanie informácií a centrálne zaznamenávanie inventára týchto aktív podľa ich hodnoty a s určením ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu (EAM).

677

* Sú automatizovane pomocou nástroja riadené riziká skladajúce sa z identifikácie zraniteľností, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenie vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácií prijatých bezpečnostných opatrení.

678

* Je implementovaný automatizovaný riadiaci a evidenčný systém pre inventarizáciu aktív (EAM/GRC).

679

* Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu hrozieb (GRC).

680

* Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu rizík a opatrení (GRC).- predpokladaná prácnosť v človekodňoch: 80

681

682

Nástroj na riadenie zistených aktív a rizík bude poskytovať nasledujúce funkcionality:

\\

* Evidenciu aktív, rizík i hrozieb,

687

* Automatické hodnotenie a kalkulácia rizík a hrozieb,

688

* Zvládanie opatrení navrhnutá softvérovo,

689

* Automatická detekcia znižovania rizík a rekvalifikácia pôvodných aktív a hrozieb,

690

* Automatické generovanie podkladov pre audit,

691

* Integrácia s ostatnými systémami pre automatické zakladanie aktív,

692

* Podpora štandardov ISO27001, KyBe (NIS2), TISAX, DORA,

693

* Generovanie dokumentov ZHR, POA a PZR pre audit,

694

* Notifikácia opatrení,

\\

**Čiastková činnosť c) Personálna bezpečnosť,**

699

700

Na základe zistených nedostatkov v oblasti personálnej bezpečnosti v organizácii je stanovený nasledovný cieľový stav:

701

702

Bude vyvinutý postup na priradenie osoby k jednej z rolí zabezpečenia

703

704

Bude zavedený plán na rozvoj bezpečnostného povedomia a vzdelávania

705

706

Bude vyvinutá metóda hodnotenia účinnosti rozvojového plánu bezpečnostného povedomia

707

708

Budú určené pravidlá a postupy pri riešení porušení bezpečnostnej politiky

709

710

Budú zavedené postupy na ukončenie pracovného pomeru

711

712

Budú zavedené postupy pre prípady porušenia bezpečnostných politík

713

714

Bude vypracovaný a aktualizovaný akt vnútorného riadenia s bezpečnostnými zásadami pre koncových používateľov

715

716

Postupy a procesy, ktorými sa riadi personálna bezpečnosť organizácie, budú vypracované a implementované prostredníctvom interného riadiaceho aktu.

717

718

Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD.

\\

**Čiastková aktivita k) Softvér na zaznamenávanie udalostí, monitoring sietí a IS,**

723

724

Na základe zistených nedostatkov v oblasti zaznamenávania a monitorovania udalostí je stanovený nasledovný cieľový stav:

725

726

Implementovaný bude centrálny log management systém pre zber a ukladanie logov z jednotlivých informačných systémov s podporou napojenia na riadiace systémy a poskytovania potrebných podporných dát.

727

728

Bude vypracovaná dokumentácia metód monitorovania a fungovania systému správy log a centrálneho nástroja na monitorovanie bezpečnosti a bude definovaný spôsob evidencie prevádzkových záznamov, ich vyhodnocovanie, spôsoby hlásenia podozrivej činnosti, zodpovedné osoby a ďalšie povinnosti.

729

730

Vytvorí sa špecifikácia všetkých udalostí, ktoré sa musia zaznamenávať, a súvisiaca konfigurácia prvkov informačných technológií verejnej správy vrátane dokumentácie rozsahu údajov zaznamenaných v protokolových súboroch.

731

732

Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou.

733

734

Softvér na zaznamenávanie udalostí a monitoring sietí a IS bude spĺňať minimálne nasledovné požiadavky:

735

736

LogManagement s neobmedzeným zberom logov vrátane HW

737

738

* Spracovanie udalostí z rôznych zdrojov logov naprieč výrobcami aplikácií, operačných systémov a sieťového hardvéru,

739

* Možnosť dopísania parseru pre zariadenie aktuálne nepodporované výrobcom bez nutnosti spolupráce s výrobcom alebo dodávateľom (vr. subdodávateľov) ponúkaného systému,

740

* Systém štandardizuje prijaté logy do jednotného formátu a logy sú parserované (rozdeľované) do príslušných políčok podľa ich typu,

741

* Nad takto štandardizovanými dátami systém automaticky vytvára indexy pre rýchlejšie vyhľadávanie pre všetky polia štandardizovaného logu,

742

* Všetky rozparsované položky prijaté systémom sú automaticky indexované. Nad všetkými položkami je možné ihneď vykonávať vyhľadávanie bez nutnosti dodatočného ručného indexovania administrátorom,

743

* Systém nesmie umožniť mazanie alebo modifikovanie už uložených logov,

744

* Konsolidácia logov na centrálnom mieste,

745

* Jednoduché vyhľadávanie udalostí (ad hoc) bez nutnosti programovania,

746

* Grafické znázornenie udalostí (grafy udalostí),

747

* Grafické znázornenie TOP udalostí nad všetkými dátami za určité časové obdobie,

748

* Automatické doplňovanie GeoIP informácií k udalostiam a ich grafické znázornenie na mape,

749

* Automatické doplňovanie reverzných DNS záznamov k IP adresám,

750

* V prípade preťaženia systému sú udalosti ukladané do vyrovnávacej pamäte,

751

* Unifikované vyhľadávanie naprieč všetkými typmi dát a zariadení,

752

* HW dimenzovaný na zber logov aspoň po dobu 12 mesiacov,

753

* HW vrátane virtualizačného riešenia,

\\

Nová povinnosť riadiť riziká dopadne na oveľa širší okruh subjektov, než tomu bolo doteraz, vrátane RÚVZ. Pre tieto subjekty je určený systém zberu a riadenia logov s online vyhodnocovaním a napojením na systém riadenia rizík. Tým sa zabezpečí neustály prehľad o možných hrozbách, ich včasná identifikácia a zhodnotenie, ako aj návrh riešení pri riadení rizík. Toto riešenie popisuje možnosti pre vybudovanie centrálnej platformy, ktorá bude v prvej fáze zameraná na zber logov pomocou sofistikovaného nástroja, ich parsovanie a vyhodnocovanie na základe jednotlivých scenárov podľa nariadenia NIS2, aby sa zabezpečil bezpečný chod a včasná detekcia hrozieb všetkých organizácií. Systém bude obsahovať aj samotné riadenie aktív a rizík, aby detekované problémy boli automaticky zachytené v samostatnom systéme, kde prebehne ich vyhodnotenie. Riešenie bude realizované na výkonnom serveri tzv. „ALL in one box“. Dôležitou časťou inštalácie je konfigurácia technických aktív, aby zasielali relevantné záznamy.

\\

Jednotlivé organizačné jednotky (OZ), teda regionálne úrady verejného zdravotníctva (ktorých je 36) využívajú centrálny informačný systém (IS ÚVZ), tzn. že každá OZ, ak sa stane terčom kybernetického útoku, ohrozuje fungovanie IS ÚVZ ako celku a môže spôsobiť odstavenie celého systému. V dôsledku toho je nevyhnutné, aby navrhovaným systémov disponovalo nie len ÚVZ, ale aj všetky RÚVZ.

\\

Zasielané udalosti sú v jednotlivých organizáciách na vstupe prijaté, označkované a parsované podľa technológie. Následne sú buď vhodnými základnými pravidlami produktu a implementačnými pravidlami na mieru spracované, aby bolo možné s nimi vytvárať potrebné navrhnuté scenáre. Ďalej sú uložené a vizualizované buď prostredníctvom základných nástrojov, alebo v budúcnosti vyššou formou pomocou integračnej platformy. Implementácia zahŕňa vytvorenie prístupových oprávnení v súlade s požiadavkami na viditeľnosť a spracovanie dát a následnú vizualizáciu.

\\

Prevádzkové informácie budú zobrazovať aktuálne informácie o stave logovaných ICT systémov jednotlivých organizácií. Nad týmito logmi bude vykonané parsovanie a následne sa uložia do centrálneho dátového skladu, kde bude možné s týmito dátami ďalej pracovať. Primárne sa jedná o nepretržitý zber logov a monitorovanie prevádzky ICT technológií, systémov, aplikácií, stavu kybernetického a fyzického zabezpečenia a poskytovanie dát a informácií pre riešenie odchýlok a nápravných opatrení. Všetky údaje uložené v dátovom sklade budú podrobené procesu sledovania a vyhodnocovania podľa nižšie uvedených scenárov. Tým bude zabezpečené sledovanie jednotlivých systémov podľa nariadenia NIS2. Jednotlivé zistenia budú automaticky evidované v systéme na riadenie bezpečnosti, ktorý riadi všetky zistené riziká a navrhuje vhodné opatrenia. Takto evidované a riadené sledovanie logov povedie k včasnej detekcii rizík a ich okamžitej náprave.

\\

Z pohľadu kompletného zberu logov bude vyhodnocované:

774

775

* prihlasovanie a odhlasovanie ku všetkým účtom, vrátane neúspešných pokusov

776

* vykopokus o vykonanie privilegovanej činnosti

777

* manipulácia a neúspešný pokus o manipuláciu s účtami, oprávneniami a právami

778

* neuskutočnenie činností v dôsledku nedostatku prístupových práv alebo oprávnení

779

* začatie a ukončenie činností technických aktív

780

* kritické a chybové hlásenia technických aktív

781

* prístup a neúspešný pokus o prístup k záznamom udalostí

782

* manipulácia a neúspešný pokus o manipuláciu so záznamami udalostí a neúspešný

783

* zmenu a neúspešný pokus o zmenu nastavení nástrojov na zaznamenávanie udalostí

784

* ďalšie činnosti používateľov, ktoré môžu mať vplyv na bezpečnosť regulovanej služby.

\\

**Čiastková činnosť o) Audítorská a kontrolná činnosť,**

789

790

Na základe zistených nedostatkov v oblasti audítorských a kontrolných činností sa stanovuje nasledovný cieľový stav:

791

792

Bude vypracovaný program hodnotenia bezpečnosti pre definované informačné technológie verejnej správy, hodnotenie zraniteľnosti a penetračné testy.

793

794

Bude realizovaný audit kybernetickej bezpečnosti, ktorý sa vykonáva v súlade so zákonom o kybernetickej bezpečnosti a smernicou NIS2.

795

796

Budú vykonávané pravidelné externé testy zraniteľnosti, penetračné testy v nevyhnutnom rozsahu.

797

798

Automatizované nástroje budú implementované a používané na technickú podporu riadenia bezpečnosti a audítorských činností.

799

800

Podporné nástroje pre správu budú naplnené údajmi o existencii a stave technických a aplikačných aktív automatizovaným a technickým spôsobom.

801

802

Základ pre audítorské a kontrolné činnosti bude vytvorený technicky na základe skutočného prevádzkového stavu majetku s prípustným oneskorením do 10 minút.

803

804

Dokumenty pre audítorské a kontrolné činnosti budú vždy obsahovať technické diferenčné správy s presným vyznačením zmien vstupov z predchádzajúceho obdobia.

805

806

Podporné nástroje pre správu minimalizujú ľudské chyby a maximálne využívajú napojenie existujúcich informácií o aktívach a používateľoch na technické zdroje – najmä MS Active Directory, API prístup do systému Log Management a importy výstupov zraniteľnosti.

\\

**__Opis rozpočtu:__**

811

812

(% class="wrapped" %)

|(((

1.1.1

)))|(((

Organizácia kybernetickej bezpečnosti

)))|(((

počet

)))|(((

1

)))|(((

33 000,00

)))|(((

\\

)))|(((

33 000,00

)))

|(((

1.1.2

)))|(((

Personálna bezpečnosť

)))|(((

počet

)))|(((

1

)))|(((

33 000,00

)))|(((

\\

)))|(((

33 000,00

)))

|(((

1.1.3

)))|(((

Audítorská a kontrolná činnosť

)))|(((

počet

)))|(((

1

)))|(((

33 000,00

)))|(((

\\

)))|(((

33 000,00

)))

\\

(% class="wrapped" %)

|(((

1.2.1

)))|(((

Softvér na zaznamenávanie udalostí a monitoring sietí a IS

)))|(((

počet

)))|(((

1

)))|(((

203 000,00

)))|(((

\\

)))|(((

203 000,00

)))

|(((

1.2.2

)))|(((

Softvér na automatizované riadenie rizík kybernetickej bezpečnosti

)))|(((

počet

)))|(((

1

)))|(((

118 000,00

)))|(((

\\

)))|(((

118 000,00

)))

\\

\\

Spolu

**420 000,00 €**

\\

\\

**__Detailný popis nákladov a prínosov:__**

**__ __**

**__Kvantitatívne prínosy projektu:__**

910

911

1. Zníženie nákladov spojených so sanáciou KBU/KBI

912

1. Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI

\\

**__Kvalitatívne prínosy projektu:__**

917

918

1. Zníženie rizika KBI,

919

1. Zvýšenie súladu s platnou legislatívou,

920

1. Zvyšovanie úrovne kybernetickej a informačnej bezpečnosti,

921

1. Zvýšenie detekcie KBI,

922

1. Zvýšte spokojnosť a dôveru používateľov,

\\

**__VÝSLEDKOM PROJEKTU JE ZABEZPEČENIE SÚLADU SO SMERNICOU NIS2 a Zákonom o kybernetickej bezpečnosti Slovenskej republiky (Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti)__**

927

928

Realizáciou vyššie uvedenej aktivity, dosiahne žiadateľ súlad so Smernicou NIS2 a Zákonom o kybernetickej bezpečnosti Slovenskej republiky (Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti). Tieto aktivity pokrývajú širokú škálu oblastí vrátane bezpečnostnej politiky, správy rizík, ochrany proti škodlivému kódu, inventarizácie aktív, bezpečnosti sietí a informačných systémov, kontroly prístupu, riadenia zraniteľností, monitoringu, kontinuity činností a incident managementu.

\\

**__Postup a spôsob nacenenia projektu:__**

933

934

Žiadateľ realizoval prieskum trhu, kde oslovil 3 spoločnosti, ktoré sú oprávnené dodávať predmet zákazky, pričom spôsobom nacenenia spočíval v ~,~,spriemerovaní“ troch cenových ponúk na každý logický celok. Týmto spôsobom bol vytvorený rozpočet projekt pre každú položku.

\\

**__Harmonogram projektu:__**

939

940

Celková dĺžka realizácie aktivít projektu (v mesiacoch, vrátane podporných aktivít): 12

941

942

Začiatok realizácie hlavných aktivít projektu: marec 2025

943

944

Ukončenie realizácie hlavných aktivít projektu: február 2026

945

946

Celková dĺžka realizácie hlavných aktivít projektu (v mesiacoch): 12

\\

== {{id name="projekt_2921_Projektovy_zamer_detailny-3.2Cieleprojektu"/}}3.2 Ciele projektu ==

951

952

Do tabuliek nižšie doplniť CIEĽ /CIELE PROJEKTU, ich mapovanie na strategické ciele (napr. z NKIVS, KRIT a iných strategických dokumentov) a súvisiace merateľné ukazovatele (KPI- key performance indicators). Ciele musia byť S.M.A.R.T. - konkrétne, merateľné, dosiahnuteľné, relevantné, časovo ohraničené.

953

954

(% class="wrapped" %)

|(((

ID

)))|(((

\\

\\

Názov cieľa

)))|(((

Názov strategického cieľa

965

)))|(((

966

Spôsob realizácie strategického cieľa

)))

|(((

...

)))|(((

\\

)))|(((

...

)))|(((

...

)))

|(((

...

)))|(((

\\

)))|(((

...

)))|(((

...

)))

== {{id name="projekt_2921_Projektovy_zamer_detailny-3.3Merateľnéukazovatele(KPI)"/}}3.3 Merateľné ukazovatele (KPI) ==

988

989

(% class="wrapped" %)

|(((

ID

)))|(((

\\

\\

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

\\

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

)))

|(((

...

)))|(((

\\

)))|(((

...

)))|(((

...

)))|(((

...

)))|(((

...

)))|(((

...

)))|(((

...

)))|(((

...

)))

|(((

...

)))|(((

\\

)))|(((

...

)))|(((

...

)))|(((

...

)))|(((

...

)))|(((

...

)))|(((

...

)))|(((

...

)))

|(((

...

)))|(((

\\

)))|(((

...

)))|(((

...

)))|(((

...

)))|(((

...

)))|(((

...

)))|(((

...

)))|(((

...

)))

\\

Vysvetlivky k vyplneniu tabuľky:

1081

1082

* Vzory merateľných ukazovateľov pre projekt sú publikované v Checkliste pre agendu Merateľné ukazovatele/KPI ([[https:~~/~~/www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html>>url:https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html||shape="rect"]] )

1083

* **AS IS merateľné ukazovatele** – t. j. popíšte, aké merateľné ukazovatele máte teraz (vpíšte výsledky meraní – v merateľných jednotkách) .

1084

* **TO BE merateľné ukazovatele** – t. j. popíšte cieľové merateľné ukazovatele, ktoré chcete dosiahnuť.

1085

* Odporúčame, aby váš budúci IS mal automatizovaný monitoring (na pravidelnej báze, napr. týždenne) vami stanovených merateľných ukazovateľov – s cieľom, aby ste mohli riadiť službu, produkt, proces, ľudí

1086

* V prípade financovania cez zdroje EÚ uvádzať aj Projektové merateľné ukazovatele z operačného programu (špecifické ciele, merateľné ukazovatele atď).

1087

1088

== {{id name="projekt_2921_Projektovy_zamer_detailny-3.4Rizikáazávislosti"/}}3.4 Riziká a závislosti ==

1089

1090

**Zoznam rizík a závislostí realizácie projektu:**

1091

1092

**Realizácia projektu na zabezpečenie kyberbezpečnosti financovaného z fondov EÚ môže čeliť viacerým rizikám.**

\\

**1. Nedodržanie harmonogramu aktivít**

1097

1098

Riziko spočíva v nedodržiavaní harmonogramu aktivít projektu, ktoré by vyústilo do oneskorenia projektu.

\\

__Opatrenia na elimináciu:__

1103

1104

V rámci prípravy projektu bol harmonogram jednotlivých aktivít zostavený tak aby zodpovedal možnostiam žiadateľa.

\\

Na elimináciu rizika nedodržania harmonogramu aktivít projektu je potrebné prijať niekoľko opatrení, ktoré zabezpečia efektívne riadenie času a zdrojov. Tu sú niektoré z nich:

\\

a) Dôkladné plánovanie:

1113

1114

* žiadateľ má vypracovaný detailný projektový plán so všetkými aktivitami, úlohami a milníkmi.

1115

* žiadateľ využil osvedčené metódy plánovania, ako sú Ganttove diagramy alebo PERT (Program Evaluation and Review Technique).

1116

1117

b) Realistické časové odhady:

1118

1119

* v rámci žiadosti boli stanoviné realistické časové rámce pre jednotlivé aktivity na základe skúseností a po porade s odbornými konzultantmi,

1120

* do riadenia a plánovania bol zapojený projektový tím, ktorý bude úlohy vykonávať, aby sa zabezpečila realistickosť odhadov.

1121

1122

c) Identifikácia kritických ciest:

1123

1124

* žiadateľ určil kritické cesty (critical paths) v projekte, ktoré majú najväčší vplyv na celkový harmonogram.

1125

* žiadateľ bude pravidelne sledovať postup na týchto kritických cestách a zabezpečí, aby nedošlo k žiadnym oneskoreniam.

1126

1127

d) Rezervy na nepredvídané udalosti:

1128

1129

* žiadateľ v rámci stanovenia aktivity projektu zahrnúl do plánu časové rezervy (buffer times) na pokrytie nepredvídaných udalostí alebo oneskorení.

1130

* projektový a odborný tím žiadateľa je pripravený flexibilne prispôsobiť plán pri výskyte neočakávaných situácií.

1131

1132

e) Pravidelný monitoring a kontrola:

1133

1134

* žiadateľ bude mať v rámci realizácie projektu zavedený zavedený systém pravidelného monitorovania postupu projektu a porovnávania s harmonogramom.

1135

* súčasne budú používané softvérové nástroje na riadenie projektov, ktoré umožňujú sledovanie priebehu v reálnom čase.

1136

1137

f) Efektívna komunikácia:

1138

1139

* žiadateľ má zavedené pravidelné stretnutia projektového tímu na hodnotenie postupu a riešenie problémov.

1140

* žiadateľ zabezpečí udržiavať otvorenú a transparentnú komunikáciu medzi všetkými členmi tímu a zainteresovanými stranami.

g) Riadenie rizík:

* žiadateĺ identifikoval potenciálne riziká, ktoré by mohli ovplyvniť harmonogram, a vypracovať plány na ich zmiernenie.

1145

* žiadateľ bude pravidelne aktualizovať rizikový register a prijímať preventívne opatrenia.

1146

1147

h) Dostatočné zdroje:

1148

1149

* žiadateľ má zabezpečené, aby mal projektový tím k dispozícii všetky potrebné zdroje vrátane personálu, technológií a financií.

1150

* žiadateľ bude riešiť prípadné nedostatky zdrojov čo najskôr, aby nedošlo k oneskoreniam.

1151

1152

i) Flexibilita a adaptabilita:

1153

1154

* žiadateľ je pripravený prispôsobiť harmonogram podľa aktuálnych podmienok a vývoja situácie.

1155

* žiadateľ bude mať zavedené spolu s projektovými tímom procesy pre rýchlu reakciu na zmeny a úpravu plánov.

\\

**Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.**

\\

**2. Nedosiahnutie plánovaných hodnôt merateľných ukazovateľov**

1164

1165

Hoci v rámci projektu sa nesledujú také merateľné ukazovatele, ktoré by boli merateľnými ukazovateľmi s príznakom, žiadateľ si uvedomuje možné riziká súvisiace s nenaplnením merateľných ukazovateľov.

\\

__Opatrenia na elimináciu rizika:__

1170

1171

Keďže merateľné ukazovatele sú odrazom úspešného naplnenia jednotlivých aktivít, prijímateľ prijal alebo prijme najmä nasledovné opatrenia:

1172

1173

Prijímateľ dlhoročne realizuje projekty financované s fondov EÚ. Samotný projekt vyplýva z jeho dlhodobých plánov a preto celé jeho nastavenie je podrobne analyzované vrátane nastavenia časového harmonogramu a cieľových hodnôt merateľných ukazovateľov.Prijímateľ do realizácie projektu zapojil odborných zamestnancov spoločnosti, aby bolo zaručené dosiahnutie plánovaných výsledkov.

\\

Aby sa eliminovalo riziko nedosiahnutia plánovaných hodnôt merateľných ukazovateľov v rámci projektu, môžu byť prijaté nasledujúce opatrenia:

\\

a) Precízne plánovanie a nastavenie realistických cieľov:

1182

1183

* V projekte sú definované jasné a realistické ciele a merateľné ukazovatele (KPIs) na základe dôkladnej analýzy, prípravy projektu a prieskumu trhu.

1184

* Žiadateľ využil historické údaje a osvedčené metódy na stanovenie cieľov.

1185

1186

b) Pravidelný monitoring a hodnotenie:

1187

1188

* žiadateľ zavedie v rámci realizácie projektu systém pravidelného monitoringu a hodnotenia postupu dosahovania cieľov.

1189

* žiadateľ zavedie v rámci realizácie projektu mechanizmy na pravidelné správy a analýzy progresu.

1190

1191

c) Flexibilita a adaptabilita:

1192

1193

* projektový tím žiadateľa je pripravený prispôsobiť plány a stratégie na základe zistení z monitoringu.

1194

* žiadateľ počs realizácie projektu zavedie procesy pre rýchlu reakciu na neočakávané udalosti alebo zmeny v externom prostredí.

1195

1196

1. d) Zabezpečenie potrebných zdrojov:

1197

1198

* žiadateľ identifikoval a zabezpečil všetky potrebné zdroje vrátane finančných, ľudských a technologických potrebných na úspešnú realizáciu projektu,

1199

* žiadateľ bude pravidelne preverovať dostupnosť zdrojov a riešiť prípadné nedostatky.

1200

1201

e) Kvalitný projektový manažment:

1202

1203

* žiadateľ disponuje skúsenými a certifikovanými projektovými manažérmi, ktorý skúsenosti sú uvedené v časti 7.4. ŽoNFP,

1204

* žiadateľ bude využívať pri realizácii projektu osvedčené metodiky projektového riadenia, ako sú PRINCE2, PMI alebo Agile.

1205

1206

f) Zapojenie všetkých zainteresovaných strán:

1207

1208

* žiadateľ prostredndíctvom projektového tímu zabezpečí, aby všetci zainteresovaní boli dostatočne informovaní a zapojení do projektu.

1209

* žiadateľ plánuje organizovať pravidelné stretnutia a konzultácie s projektovým tímom a relevantnými stranami na získanie spätnej väzby a podpory pri realizácii projektu,

1210

1211

g) Rizikový manažment:

1212

1213

* Identifikovať potenciálne riziká spojené s dosahovaním ukazovateľov a vypracovať plány na ich zmiernenie.

1214

* Pravidelne aktualizovať rizikový register a prijímať preventívne opatrenia.

1215

1216

h) Komunikácia a transparentnosť:

1217

1218

* Zabezpečiť otvorenú a transparentnú komunikáciu o postupoch a výsledkoch.

1219

* Informovať tím a vedenie o aktuálnom stave a prípadných problémoch.

i) Kontrola a audit:

* Zaviesť interné a externé kontroly a audity na preverenie plnenia merateľných ukazovateľov.

1224

* Implementovať odporúčania z auditov na zlepšenie procesov a výkonnosti.

\\

**Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.**

\\

**3. Nedostatky v dodávkach od externých dodávateľov**

1233

1234

Nedodržiavanie termínov zo strany externých dodávateľov služieb a tovarov. Dodávateľ(lia) služieb a tovarov, ktorý vzíde z procesu verejného obstarávania nebude dodržiavať harmonogram prác a dodávok, resp. bude v omeškaní.

\\

__Opatrenia na elimináciu rizika: __

1239

1240

Projektový manažér bude pravidelne komunikovať s dodávateľom, konzultovať prípadné omeškania, hľadať riešenia. V rámci realizácie projektu budú organizované pravidelné zasadnutia Riadiaceho výboru. Postihy za škody a omeškania budú definované v rámci zmluvy o dodávke tovaru, resp. poskytnutí služieb. Ďalším opatrením je už dnes realizovaná kontrola kvality externých dodávateľov zo strany žiadateľa. Súčasne bude žiadateľ starostlivo vyberať dodávateľov na základe ich schopností a referencií. V rámci procesu verejného obstarávania budú zavedené jasné zmluvné podmienky a dohodnúť si pravidelné kontroly plnenia záväzkov, vrátane finančných sankciíí. Žiadateľ bude sa bude usilovať o diverzifikovanie dodávateľov, aby sa minimalizovala závislosť na jedinom zdroji. Podmienkou žiadateľa bude implementovať osvedčené technológie a riešenia, ktoré sú už overené na trhu. Žiadateľ zároveň planuje investovať do školení a certifikácií pre zamestnancov, aby mali potrebné zručnosti a vedomosti.

1241

1242

Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.

1243

1244

**__Na základe vykonanej analýzy rizík ohrozujúcich úspešnú realizáciu projektu možno konštatovať, že menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu__**

1245

1246

= {{id name="projekt_2921_Projektovy_zamer_detailny-4.SÚČASTNÁARCHITEKTÚRAPREVÁDZKOVANÝCHIS"/}}4. SÚČASTNÁ ARCHITEKTÚRA PREVÁDZKOVANÝCH IS =

1247

1248

**__ÚVZ SR, ako aj jednotlivé RÚVZ spoločne používajú IS ÚVZ.__**

1249

1250

[[image:attach:4_obr1.png||height="400"]]

1251

1252

[[image:attach:4_obr2.png||height="400"]]

1253

1254

[[image:attach:4_obr4.png||height="400"]]

1255

1256

[[image:attach:4_obr3.png||height="400"]]

1257

1258

= {{id name="projekt_2921_Projektovy_zamer_detailny-5.ROZPOČETAPRÍNOSY"/}}5. ROZPOČET A PRÍNOSY =

1259

1260

**__Rozpočet projektu je detailne špecifikovaný v časti 11. Rozpočet projektu v rám ci predloženej ŽoNFP.__**

\\

= {{id name="projekt_2921_Projektovy_zamer_detailny-6.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}6. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =

1265

1266

**__Harmonogram projektu je uvedený v časti 9. Harmonogram realizácie aktivít predloženej ŽoNFP.__**

\\

**Projekt bude realizovaný metódou Waterfall:**

1271

1272

Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

\\

Objednávateľ projektu vypracuje funkčnú a technickú špecifikáciu,

1277

1278

// [[image:attach:6_obr1.png||height="400"]]//

// //

\\

Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia.

\\

Pri akceptácii budú vyhotovované vopred definované akceptačné kritéria a požiadavky z katalógu funkčných a nefunkčných požiadaviek vzťahujúce sa k jednotlivým míľnikom projektu.

\\

Metóda riadenia "Waterfall" (vodopád) je jedným z najtradičnejších prístupov k riadeniu projektov v oblasti IT. Tento model je lineárny a sekvenčný, čo znamená, že každá fáza projektu musí byť dokončená pred začiatkom ďalšej. Tieto fázy sú nasledovné:

1295

\\1. Požiadavky (Requirements):*

1296

- V tejto počiatočnej fáze sú zhromaždené všetky požiadavky na systém. Ide o veľmi dôležitý krok, pretože chyby v požiadavkách môžu mať vážne následky v neskorších fázach. Dokumentujú sa všetky požiadavky zákazníka, funkčné aj nefunkčné, a výsledkom je detailná špecifikácia požiadaviek.

1297

\\2. Analýza systému (System Design):

1298

- Po dokončení zhromažďovania požiadaviek sa prejde k analýze systému a návrhu. Táto fáza zahŕňa vytvorenie architektúry systému, technických špecifikácií a návrhu softvéru, ktorý bude schopný splniť všetky definované požiadavky.

1299

\\3. Implementácia (Implementation):

1300

- Po schválení návrhu systému sa začne s implementáciou, teda s programovaním a kódovaním systému podľa navrhnutých špecifikácií. Výsledkom tejto fázy je hotový softvér.

1301

\\4. Integrácia a testovanie (Integration and Testing):

1302

- V tejto fáze sa jednotlivé komponenty systému integrujú a testujú sa ako celok, aby sa overilo, či systém funguje podľa očakávaní a splňuje všetky špecifikované požiadavky. Testovanie zahŕňa rôzne typy testov, vrátane funkčných, integračných a systémových testov.

1303

\\5. Nasadenie (Deployment):

1304

- Po úspešnom testovaní sa systém nasadí do produkčného prostredia. Táto fáza môže zahŕňať aj školenie používateľov a prípravu dokumentácie pre používateľov.

1305

\\6. Údržba (Maintenance):

1306

- Po nasadení systému začína fáza údržby, ktorá zahŕňa opravy chýb, aktualizácie a vylepšenia systému na základe spätnej väzby od používateľov a meniace sa požiadavky.

1307

\\

1308

1309

**Výhody Waterfall modelu**:

1310

1311

* Jednoduchosť a jasná štruktúra:*Každá fáza má jasne definovaný začiatok a koniec.

1312

* Dobre zdokumentovaný proces: Všetky požiadavky a kroky sú detailne zdokumentované.

1313

* Jednoduché riadenie:*Jednoduché plánovanie a sledovanie pokroku projektu.

1314

1315

1316

Waterfall model je ideálny pre projekty, kde sú požiadavky jasne definované a stabilné, a kde sa očakáva, že projekt prebehne bez veľkých zmien. V súčasnosti sa však stále častejšie využívajú agilné prístupy, ktoré lepšie vyhovujú dynamickým a meniacim sa požiadavkám projektov.

\\

**__Kvantitatívne prínosy projektu:__**

1321

1322

* Zníženie nákladov spojených so sanáciou KBU/KBI

1323

* Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI

\\

**__Kvalitatívne prínosy projektu:__**

1328

1329

* Zníženie rizika KBI,

1330

* Zvýšenie súladu s platnou legislatívou,

1331

* Zvyšovanie úrovne kybernetickej a informačnej bezpečnosti,

1332

* Zvýšenie detekcie KBI,

1333

* Zvýšte spokojnosť a dôveru používateľov,

\\

\\

**__Popis cieľového stavu__**

1340

1341

**__Základné ciele projektu:__**

1342

1343

* Aktualizácia stratégie kybernetickej bezpečnosti,

1344

* Aktualizácie bezpečnostnej politiky KB vrátane implementačnej dokumentácie, v súlade s Príloha – Manažérske Produkty,

1345

* Vykonávanie inventarizácie aktív, klasifikácie informácií a kategorizácie sietí a interných systémov,

1346

* Stabilizácia riadenia rizík – aktualizácia analýzy rizík a analýzy dopadov a nasadenie nástroja Asset Inventory, Threats, Risks and Measures (EAM/),

1347

* Implementácia nástroja na zaznamenávanie a monitorovanie udalostí (Log Management)

1348

* Implementácia auditu KB, procesu riadenia a kontroly dodržiavania predpisov.

\\

= {{id name="projekt_2921_Projektovy_zamer_detailny-7.PROJEKTOVÝTÍM"/}}7. PROJEKTOVÝ TÍM =

\\

**__Projektový tím je detailne popísaný v predloženej ŽoNFP, časť 7.5 Prevádzková kapacita žiadateľa.__**

\\

(% class="wrapped" %)

|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

|(((

1.

)))|(((

Doplniť meno a priezvisko

1376

)))|(((

1377

Doplniť pozíciu (pracovné zaradenie v línii)

1378

)))|(((

1379

Doplniť názov org. útvaru

1380

)))|(((

1381

Doplniť rolu v projekte

)))

|(((

2.

)))|(((

Doplniť meno a priezvisko

1387

)))|(((

1388

Doplniť pozíciu (pracovné zaradenie v línii)

1389

)))|(((

1390

Doplniť názov org. útvaru

1391

)))|(((

1392

Doplniť rolu v projekte

)))

|(((

3.

)))|(((

Doplniť meno a priezvisko

1398

)))|(((

1399

Doplniť pozíciu (pracovné zaradenie v línii)

1400

)))|(((

1401

Doplniť názov org. útvaru

1402

)))|(((

1403

Doplniť rolu v projekte

)))

\\

**Vzor organizačnej štruktúry**

1409

1410

[[image:attach:7_obr1.png||height="400"]]

1411

1412

[[image:attach:7_obr2.png||height="93"]]

\\

= {{id name="projekt_2921_Projektovy_zamer_detailny-8.VÝSLEDKYPROJEKTU"/}}8. VÝSLEDKY PROJEKTU =

1417

1418

VÝSLEDKOM PROJEKTU JE ZABEZPEČENIE SÚLADU SO SMERNICOU NIS2 a Zákonom o kybernetickej bezpečnosti Slovenskej republiky (Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti)

\\

Realizáciou vyššie uvedenej aktivity, dosiahne žiadateľ súlad so Smernicou NIS2 a Zákonom o kybernetickej bezpečnosti Slovenskej republiky (Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti). Tieto aktivity pokrývajú širokú škálu oblastí vrátane bezpečnostnej politiky, správy rizík, ochrany proti škodlivému kódu, inventarizácie aktív, bezpečnosti sietí a informačných systémov, kontroly prístupu, riadenia zraniteľností, monitoringu, kontinuity činností a incident managementu.

\\

__Tu je prehľad, ako tieto aktivity pomáhajú dosiahnuť súlad:__

\\

1. __Bezpečnostná politika a stratégia:__ Prehodnotenie a aktualizácia bezpečnostnej politiky a stratégie zabezpečuje, že organizácia má správne nastavený rámec pre kybernetickú bezpečnosť v súlade s legislatívou.

1431

1. __Smernice a procesy :__ Aktualizácia a vytváranie nových smerníc pre rôzne oblasti kybernetickej bezpečnosti zabezpečuje, že všetky činnosti sú vykonávané v súlade s novými požiadavkami Zákona a NIS2.

1432

1. __Riadenie rizík:__ Nasadenie nástrojov na automatizáciu analýzy rizík a aktualizácia analýzy rizík zabezpečuje, že riziká sú riadne identifikované, hodnotené a riadené.

1433

1. __Inventarizácia aktív:__ Spracovanie inventarizácie aktív a ich klasifikácia pomáha organizácii identifikovať a spravovať svoje informačné aktíva, čo je kľúčové pre ochranu citlivých informácií.

1434

1. __Log management:__ Implementácia nástrojov a procesov na detekciu a riadenie kybernetických bezpečnostných incidentov zabezpečuje, že organizácia môže efektívne zvládať incidenty a minimalizovať ich dopad.

\\

Realizácia týchto aktivít predstavuje komplexný prístup k dosiahnutiu súladu s NIS2 a Zákonom o kybernetickej bezpečnosti, čím sa zabezpečuje ochrana kritickej infraštruktúry a citlivých informácií v súlade s aktuálnymi požiadavkami.

1439

1440

(% class="wrapped" %)

1441

|(% colspan="2" %)(((

1442

Tabuľka č.1a - Zoznam povinných kapitol a príloh **projektového zámeru**: **Potrebné pre výzvu**

)))

|(((

Manažérske zhrnutie

)))|(((

**Áno**

)))

|(((

Motivácia a rozsah projektu

)))|(((

**Áno**

)))

|(((

Zainteresované strany/Stakeholderi

)))|(((

**Áno**

)))

|(((

Ciele projektu a merateľné ukazovatele

)))|(((

**Áno**

)))

|(((

Návrh organizačného zabezpečenia projektu

)))|(((

**Áno**

)))

|(((

Alternatívy

)))|(((

**Áno**

)))

|(((

Opis obmedzení, predpokladov, tolerancií

)))|(((

**Áno**

)))

|(((

Opis požadovaných výstupov

)))|(((

**Áno**

)))

|(((

Náhľad architektúry

)))|(((

**Áno, v závislosti od technického riešenia (pokiaľ budú predmetom projektu aj technické opatrenia)**

)))

|(((

Opis rozpočtu

)))|(((

**Áno**

)))

|(((

Detailný popis nákladov a prínosov

)))|(((

**Áno**

)))

|(((

Postup a spôsob nacenenia projektu

)))|(((

**Áno**

)))

|(((

Harmonogram projektu

)))|(((

**Áno**

)))

|(((

Zoznam rizík a závislostí

)))|(((

**Áno**

)))

\\

**Na základe vyššie uvedeného možno konštatovať, že príloha PROJEKTOVÝ ZÁMER je v súlade v požiadavkami uvedenými v Prílohe č. 8 Výzvy - Minimálne náležitosti manažérskych produktov – verejná správa**

1518

1519

= {{id name="projekt_2921_Projektovy_zamer_detailny-9.PRÍLOHY"/}}9. PRÍLOHY =

\\

**Príloha : **Zoznam rizík a závislostí tvorí samostatnú prílohu, ktoré je nahratá v metaIS.

1524

1525

\\