projekt_2924_Projektovy_zamer_detailny

= {{id name="projekt_2924_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

86

87

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

88

89

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky má obsahovať manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

90

91

== {{id name="projekt_2924_Projektovy_zamer_detailny-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

(% class="" %)|(((

**SKRATKA/POJEM **

)))|(((

**POPIS **

)))

(% class="" %)|(((

API

)))|(((

Application Programming Interface

)))

(% class="" %)|(((

CPU

)))|(((

Centrálna procesorová jednotka

)))

(% class="" %)|(((

GB

)))|(((

Gigabajt

)))

(% class="" %)|(((

HDD

)))|(((

Hard drive

)))

(% class="" %)|(((

HTTPS

)))|(((

Hypertext transfer protocol secure

)))

(% class="" %)|(((

HW

)))|(((

Hardware

)))

(% class="" %)|(((

IKT

)))|(((

Informačno komunikačné technológie

)))

(% class="" %)|(((

IPS

)))|(((

Intrusion prevention systems

)))

(% class="" %)|(((

ISVS

)))|(((

Informačný systém verejnej správy

)))

(% class="" %)|(((

KaIB

)))|(((

Kybernetická a informačná bezpečnosť

)))

(% class="" %)|(((

LAN

)))|(((

Miestna sieť

)))

(% class="" %)|(((

MIRRI

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky

)))

(% class="" %)|(((

MS

)))|(((

Microsoft

)))

(% class="" %)|(((

NFP

)))|(((

Nenávratný finančný príspevok

)))

(% class="" %)|(((

OS

)))|(((

Operačný systém

)))

(% class="" %)|(((

PIP

)))|(((

Projektová iniciačná prevádzka

)))

(% class="" %)|(((

RAM

)))|(((

Operačná pamäť

)))

(% class="" %)|(((

REST

)))|(((

Representational State Transfer

)))

(% class="" %)|(((

RV

)))|(((

Riadiaci výbor

)))

(% class="" %)|(((

SMB

)))|(((

Server Message Block

)))

(% class="" %)|(((

SNMP

)))|(((

Simple Network Management Protocol

)))

(% class="" %)|(((

SPAN

)))|(((

Switched port analyzer

)))

(% class="" %)|(((

SQL

)))|(((

Structured query language

)))

(% class="" %)|(((

SSD

)))|(((

Solid state drive

)))

(% class="" %)|(((

SSH

)))|(((

Secure shell

)))

(% class="" %)|(((

SW

)))|(((

Software

)))

(% class="" %)|(((

VM

)))|(((

Virtual machine

)))

(% class="" %)|(((

VPN

)))|(((

Virtuálna privátna sieť

)))

(% class="" %)|(((

WP

)))|(((

Work Packages

)))

== {{id name="projekt_2924_Projektovy_zamer_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}2.2 Konvencie pre typy požiadaviek (príklady) ==

245

246

Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu: FRxx

247

248

* U – užívateľská požiadavka

249

* R – označenie požiadavky

250

* xx – číslo požiadavky

251

252

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu: NRxx

253

254

* N – nefukčná požiadavka (NFR)

255

* R – označenie požiadavky

256

* xx – číslo požiadavky

257

258

Ostatné typy požiadaviek môžu byť ďalej definované PM.

259

260

= {{id name="projekt_2924_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

261

262

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}3.1 Manažérske zhrnutie ==

263

264

Mesto Skalica sa nachádza na západnom Slovensku, v severnej časti Trnavského kraja, v okrese Skalica. So svojou rozlohou 60,01 km2 je 38. najrozľahlejším mestom Slovenskej republiky a s hustotou 257,64 obyvateľov na km2 je 80. najhustejšie obývaným sídlom Slovenska. K 31.12.2023 žilo na jeho území spolu 15 461 obyvateľov. Z hľadiska veľkostnej kategorizácie sídiel sa Skalica radí medzi mestské, stredne veľké sídla, ktoré zároveň zohráva úlohu centra regiónu zabezpečujúceho vyššiu a špecifickú obslužnú infraštruktúru pre obyvateľov obcí okresu Skalica.

265

266

Skalica je zapísaná v registri organizácií, Inštitucionálny sektor 13130 – Miestna samospráva, s hlavnou činnosťou – 84110 – Všeobecná verejná správa.

267

268

Mesto Skalica je v zmysle platnej legislatívy zapísaná do registra prevádzkovateľov základnej služby ako správca a prevádzkovateľ sietí a informačných systémov verejnej správy v pôsobnosti povinnej osoby podľa zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov. S ohľadom na uvedené jej vyplývajú viaceré povinnosti, ktoré chce spĺňať s ohľadom na Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a tiež s ohľadom na Zákon č. 95/2019 o informačných technológiách vo verejnej správe a na ne nadväzujúcich vyhlášok.

269

270

Skalica si za účelom posúdenia splnenia podmienok legislatívy v oblasti informačnej a kybernetickej bezpečnosti nechala vypracovať audit kybernetickej bezpečnosti podľa § 29 zákona č. 69/2018 Z. z.. Výsledky auditu identifikovali viacero nedostatkov a zároveň poskytli ucelenú množinu návrhov nápravných opatrení zodpovedajúcich povahe poskytovaných služieb a potrebám mesta.

271

272

Z pohľadu prevádzky IKT je potrebné prijať organizačné, technické a bezpečnostné opatrenia k pokrytiu potrieb nepretržitej prevádzky na obdobie nasledujúcich minimálne piatich rokov vyplývajúcich z potrieb prevádzky mesta ako aj legislatívnych povinností, pod ktoré Skalica ako prevádzkovateľ základnej služby spadá.

273

274

Medzi navrhované technické riešenia projektu patria:

275

276

* Spracovanie povinnej dokumentácie a návrh procesov minimálne na úrovni požiadaviek zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a zákona č. 95/2019 Z. z. o informačných technológiách

277

* Implementácia mechanizmov pre potreby zabezpečenia infraštruktúry žiadateľa umiestnenej v cloude

278

* Riešenie centrálneho bezpečnostného manažmentu pre koncové stanice - centrálna správa a manažment koncových zariadení – XDR

279

* Nasadenie dvojfaktorovej autentifikácie

280

* Nasadenie nástroja na riadenie kybernetickej bezpečnosti v prostredí mesta Skalica

281

282

Okrem technických opatrení bude Skalica vykonávať koncepčne tiež organizačné, vzdelávacie a iné legislatívne opatrenia, ktoré umožnia naďalej rozvíjať a rozširovať úroveň zabezpečenia mesta z pohľadu kybernetickej a informačnej bezpečnosti v závislosti na zmenách či už legislatívy, technológií, zamestnancov a pod. V nadväznosti na uvedené sa bude žiadateľ snažiť dlhodobo zabezpečovať:

283

284

* Manažéra kybernetickej bezpečnosti

285

* Pravidelnú realizáciu školení informačnej bezpečnosti pre nových zamestnancov

286

* Pravidelné preškolenie pôvodných zamestnancov

287

* Pravidelné aktualizácie obstaraného SW

288

* Platnosť licencií a garancie služieb počas doby udržateľnosti projektu

289

290

V globále možno konštatovať, že realizácia projektu predstavuje jeden z najzásadnejších modernizačných krokov prevádzkovanej infraštruktúry IKT, umožní prijať také opatrenia a riešenia, ktoré odstránia resp. eliminujú najvážnejšie hrozby a zároveň umožnia pripraviť základnú platformu pre ďalšie technické a netechnické opatrenia v oblasti kybernetickej bezpečnosti. S ohľadom na uvedené boli pre potreby projektu vytipované práve tie časti, ktoré predstavujú najrizikovejšie oblasti z pohľadu fungovania mesta.

291

292

Pripravovaný projekt by mal byť realizovaný s podporou NFP v rámci Výzvy PSK-MIRRI-611-2024-DV-EFRR zameranej na podporu v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa, ktorá reflektuje na Prioritu 1P1 Veda, výskum a inovácie, Špecifický cieľ RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a Opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Oblasť - Kybernetická a informačná bezpečnosť). Realizácia projektu s podporou NFP je základom pre dosiahnutie požadovaného stavu v rozumnom časovom období nakoľko mesto Skalica nie je schopné vynaložiť dostatok finančných zdrojov v horizonte najbližších rokov z vlastných zdrojov tak, aby pokryla aspoň najzásadnejšie nedostatky v oblasti KaIB. Práve realizácia projektu umožní implementáciu zodpovedajúcich technológií a procesov, na ktorých bude možné následne zabezpečovať efektívne dosiahnutie súladu legislatívy v oblasti informačnej a kybernetickej bezpečnosti a možností mesta.

293

294

Indikatívna výška finančných prostriedkov určených na realizáciu projektu je: 351 468,84 € a bola stanovená ako aritmetický priemer cenových ponúk v rámci realizovaného predbežného prieskumu trhu.

295

296

Časový horizont realizácie projektu je stanovený v závislosti od určených hodnotiacich kôl predmetnej výzvy na MIRRI. Predpokladaný začiatok hlavných aktivít projektu je tak so zohľadnením procesu hodnotenia podaných projektov stanovený na 07/2025 – 08/2026. Časový harmonogram v navrhovanom rozsahu umožní elimináciu akýchkoľvek nepredvídaných komplikácií v rámci implementácie projektu.

297

298

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2 Motivácia a rozsah projektu ==

299

300

Prevádzkovateľ zabezpečuje všetky činnosti v zmysle zákona o obecnom zriadení a zodpovedá za činnosť mesta a mestských inštitúcií. Výpadok informačného systému mesta znamená znefunkčnenie mesta a tým znemožnenie plnenia povinností daných zákonom o obecnom zriadení. Dôležitosť informačnej a kybernetickej bezpečnosti je teda vysoká, čo je vyjadrené aj ako dopad potenciálneho kybernetického incidentu na mesto a spoločnosť ako takú. Vzhľadom na nám známe kybernetické útoky na mestské úrady považujeme za kľúčovú a nevyhnutnú časť kybernetickej bezpečnosti pravidelné prehodnocovanie rizík, monitoring systémov a následnú aktualizáciu bezpečnostných opatrení.

301

302

Žiadateľ je v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov zaradený do zoznamu prevádzkovateľov základných služieb v sektore verejná správa.

303

304

=== {{id name="projekt_2924_Projektovy_zamer_detailny-3.2.1Informácieooblastiachdotknutýchprojektom"/}}3.2.1 Informácie o oblastiach dotknutých projektom ===

305

306

Zoznam kľúčových identifikovaných informačných systémov, ktorých ohrozenie by malo významný vplyv na poskytovanie základnej služby, resp. by výskyt incidentu spôsobil vážny výpadok informačných systémov verejnej správy je nasledovný:

(% class="" %)|(((

**Systém**

)))|(((

**Popis**

)))

(% class="" %)|(((

ISS

)))|(((

Databázový systém pre Verejnú správu

)))

(% class="" %)|(((

DISS

)))|(((

Prijatá a odoslaná elektronická pošta

324

)))

325

326

Mesto v súčasnosti disponuje manažérom kybernetickej a informačnej bezpečnosti. Pozícia manažéra kybernetickej a informačnej bezpečnosti je zabezpečovaná formou dohody o prácach vykonávaných mimo pracovného pomeru a bude zabezpečovaná tiež v rámci implementácie projektu. Zabezpečenie procesov implementácie technických riešení v oblasti IT má na starosti externý dodávateľ. Niektorí interní zamestnanci popri zabezpečovaní svojich kompetencií dohliadajú tiež na zabezpečenie chráneného priestoru, bezpečné uloženie nosičov dát, šifrovanie, prístup k IS cez heslá, detekciu prítomnosti škodlivého kódu, používanie legálneho softvéru, bezpečné mazanie osobných údajov z dátových nosičov, aktualizácie OS, programového vybavenia a pod.

327

328

Skalica v súčasnosti prevádzkuje svoju infraštruktúru v cloude poskytovateľa Slovanet, a.s. (IČO: 35 954 612).

329

330

Ide o poskytovanie infraštruktúry virtuálnych zdrojov ako služby - virtuálneho datacentra (ďalej ako „vDC“). Ide o súbor prostriedkov, ktoré sú stavebným kameňom pri tvorbe a prevádzke serverových inštancií. Skalica má nad týmito prostriedkami plnú kontrolu cez webový self-care portál. vDC je vlastná hardvérová a softvérová platforma Slovanetu umiestnená v serverhousingovom centre Slovanet v Bratislave a je prevádzkovaná ako „enterprise cloud“ s plnou redundanciou komponentov na zaistenie vysokej dostupnosti (High Availability), zahŕňajúcej výpočtový výkon, systémy na ukladanie dát aj sieťové komponenty. vDC je z bezpečnostného hľadiská chránená UTM firewallmi, ktoré zabezpečujú nasledovné funkcie: firewall, antivírus, prevenciu prienikov (IPS), antispam, antispyware, traffic shaping, virtuálnu privátnu sieť, Data Leak Prevention, Network Access Control a Application Control.

331

332

vDC slúži pre informačné systémy, ktoré Skalica využíva: knižnice, CoraISS, ASPI, mailserver, Oracle a SQL databázy, intranet, webserver, formulárový server, atď.

\\

vDC sa skladá z:

V riešení sú zahrnuté licencie pre MS Windows Server, 2X aplikačná virtualizácia pre 60 konkurentných užívateľov vrátane terminálových licencií, MS SQL Express. V riešení nie sú zahrnuté licencie pre Oracle databázu.

339

340

Mesto Skalica v súčasnosti nedisponuje bezpečnostnou dokumentáciou, ktorá by zohľadňovala nároky na obsah a rozsah požadovaný zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti.

341

342

=== {{id name="projekt_2924_Projektovy_zamer_detailny-3.2.2Problémyabiznisprocesydotknutérealizáciouprojektu"/}}3.2.2 Problémy a biznis procesy dotknuté realizáciou projektu ===

343

344

Bezpečnosť aktív je jednou z prvoradých úloh žiadateľa a bezpečnostné mechanizmy, ktoré sú alebo budú implementované na ochranu aktív, musia mať takú bezpečnostnú úroveň, aby vyhoveli legislatívnym požiadavkám Slovenskej republiky, čo v súčasnosti nie je naplnené.

345

346

V globále možno zhrnúť, že príčiny aktuálneho stavu vyplývajú z kombinácie interných a externých faktorov, medzi ktoré možno spomenúť:

347

348

* Dlhoročný nekoncepčný prístup k riešeniu problematiky KaIB mesta

349

* Nedostatočná, resp. úplne absentujúca implementácia bezpečnostných nástrojov a technológií zabezpečujúcich ochranu kybernetického priestoru mesta

350

* Dlhodobý nedostatok finančných zdrojov alokovaných pre oblasť kybernetickej bezpečnosti

351

352

S ohľadom na posúdenie úrovne kybernetickej bezpečnosti zrealizoval žiadateľ audit kybernetickej bezpečnosti prostredníctvom certifikovaného audítora kybernetickej bezpečnosti, ktorý identifikovali viaceré oblasti, ktoré by mala Skalica vyriešiť za účelom zabezpečenia dostatočnej ochrany svojich systémov a tým pádom tiež svojich klientov. Práve na základe tohto hodnotenia žiadateľ identifikuje ako najzávažnejšie problémy kybernetickej bezpečnosti nasledovné oblasti:

353

354

**1) Nevyhovujúci stav bezpečnostnej dokumentácie**

355

356

Kompletná a aktuálna bezpečnostná dokumentácia je nevyhnutným základom pre efektívne riadenie informačnej a kybernetickej bezpečnosti každej organizácie. Tvorí základnú štruktúru pre ďalší rozvoj v tejto oblasti a implementáciu dodatočných bezpečnostných opatrení a technických bezpečnostných riešení. Práve bezpečnostná dokumentácia je nevyhnutným predpokladom pre prijímanie adekvátnych, efektívnych, vyvážených a optimálnych bezpečnostných opatrení. Túto skutočnosť si uvedomuje aj samotná samospráva a preto sa rozhodla pre jej dopracovanie a začlenenie tejto aktivity do predkladaného projektu.

357

358

**2) Zabezpečenie infraštruktúry žiadateľa v cloude**

359

360

Ako už bolo uvedené vyššie, žiadateľ prevádzkuje svoju infraštruktúru v cloude poskytovateľa Slovanet, a.s. (formou PaaS). To znamená, že fyzický HW, virtualizačná platforma, sieťová infraštruktúra a perimetrové zabezpečenie je vo vlastníctve poskytovateľa a prevádzkovaná aplikačná vrstva vo vlastníctve Skalice beží na tejto infraštruktúre. S ohľadom na uvedené, poskytovateľ cloudových služieb má zodpovednosť za bezpečnosť fyzickej infraštruktúry a platformy. Rovnako je poskytovateľ zodpovedný za bezpečnosť virtualizovaného prostredia a za izoláciu prostredí rôznych zákazníkov, aby v prostredí zdieľanej virtualizácie mohol používateľ virtuálneho prostredia mal garantovaný prístup iba k jeho prostriedkom. Okrem uvedených má poskytovateľ služby zodpovednosť tiež za zabezpečenie sieťovej bezpečnosti. O bezpečnosť middlewaru a OS sa stará poskytovateľ služby v kombinácii s mestom. Samotné zabezpečenie aplikačnej vrstvy a prístupu k údajom je už na strane samosprávy mesta Skalica. S ohľadom na uvedené sa žiadateľ rozhodol pre zahrnutie zabezpečenie svojej aplikačnej infraštruktúry v cloude medzi jedno z technických riešení predkladaného projektu.

361

362

**3) Absencia dvojfaktorovej autentifikácie**

363

364

Počet narušení bezpečnosti IKT prostredia sa v posledných rokoch značne znásobil. Problematickou oblasťou v podmienkach Mesta Skalica je tiež oblasť prístupu k jeho informačným aktívam zo strany zamestnancov a iných externistov protredníctvom VPN pripojenia. Tí sú v súčasnosti pre potreby prístupu k informačným zdrojom viazaní iba zadaním hesla, ktoré však tvorí významné bezpečnostné riziko. Uvedené je spôsobené najmä skutočnosťou, že zamestnanci majú tendenciu vytvárať jednoduché heslá, resp. v prípade zložitého hesla ho priebežne recyklujú v prípade viacerých prístupov. Absencia dvojfaktorovej autentifikácie sa preto začína čoraz viac prejavovať ako významná „diera“ v bezpečnosti IKT infraštruktúry žiadateľa.

365

366

**4) Absencia rozšírenej detekcie**

367

368

Organizácie dnes potrebujú lepší prehľad o svojich koncových bodoch, zariadeniach a sieti. Len tak môžu mať istotu, že nové hrozby, rizikové správanie zamestnancov a nechcené aplikácie neohrozia bezpečnosť ich kybernetického priestoru a ich dobré meno. V IT prostredí mesta Skalica v súčasnosti absentuje riešenie, ktoré by umožnilo jedinečnú detekciu na základe správania a reputácie, ktorá je pre bezpečnostné tímy úplne prehľadná. Takéto riešenie, ktoré by poskytlo spätnú väzbu v reálnom čase získanú z informácií o hrozbách by umožnilo značne zvýšiť úroveň zabezpečenia IT infraštruktúry mesta.

369

370

**5) Nedostatočná úroveň riadenia kybernetickej bezpečnosti**

371

372

Bezpečnostná dokumentácia je „živím“ dokumentom, ktorý si vyžaduje priebežné aktualizácie aby zodpovedala skutkovému stavu a platnej legislatíve. Absencia softvérového riešenia, ktoré by umožnilo jej priebežnú aktualizáciu a zároveň umožnilo tiež:

373

374

* Evidenciu rozpoznaných zraniteľností, vrátane ich vlastníkov

375

* Evidenciu rozpoznaných hrozieb

376

* Evidenciu opatrení potrebných na potlačenie zraniteľností

377

* Identifikáciu a ohodnotenie rizík na základe pravdepodobností hrozieb, uplatňovaných opatrení a dopadov na samosprávu a pod.

378

379

značne znižuje efektivitu výkonu kybernetickej bezpečnosti v podmienkach Mesta Skalica.

380

381

=== {{id name="projekt_2924_Projektovy_zamer_detailny-3.2.3Motivácianadosiahnutiebudúcehostavu"/}}3.2.3 Motivácia na dosiahnutie budúceho stavu ===

382

383

Návrh obsahu tohto projektu vychádza z potrieb resp. doporučených opatrení uvedených v audite kybernetickej bezpečnosti mesta Skalica. Implementácia navrhovaných technických opatrení v rámci projektu umožní v kombinácii s ďalšími aktivitami v oblasti informačnej a kybernetickej bezpečnosti, ktoré bude realizovať žiadateľ z vlastných zdrojov mimo projektu, dosiahnuť potrebnú úroveň informačnej a kybernetickej bezpečnosti vyžadovanú platnou legislatívou.

384

385

Cieľom projektu je vytvoriť trvalo udržateľné zabezpečenie produkčnej prevádzky infraštruktúry IKT, informačnej a kybernetickej bezpečnosti mesta, ktoré umožní eliminovať vysokú časť nedostatkov identifikovaných vykonaným auditom kybernetickej bezpečnosti a zabezpečiť tak vysoké požiadavky na bezpečnú prevádzku informačných systémov samosprávy. Navrhované technické riešenia nielen umožnia zvýšiť úroveň ochrany informačnej a kybernetickej bezpečnosti a bezpečnosti informačných systémov v podmienkach mesta, ale zároveň umožnia vytvoriť základnú platformu pre budovanie ďalších opatrení v budúcnosti, či už z prostriedkov žiadateľa alebo iných zdrojov.

386

387

S ohľadom na vyššie uvedené skutočnosti sa Skalica rozhodla pre implementovanie základných nástrojov v oblasti KaIB v nasledovnom rozsahu:

388

389

**1) Spracovanie povinnej dokumentácie a návrh procesov minimálne na úrovni požiadaviek zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a zákona č. 95/2019 Z. z. o informačných technológiách**

390

391

Výstupom pre objednávateľa bude spracovaná povinná dokumentácia v rozsahu požadovanom zákonom pre oblasti:

392

393

**//a) Organizácie kybernetickej bezpečnosti a informačnej bezpečnosti//**, pozostávajúcej z:

394

395

* Vypracovania a implementácie špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti

396

* Vypracovania/aktualizácie bezpečnostnej stratégie

397

* Vypracovania štatútu bezpečnostného výboru

398

* Vypracovania bezpečnostnej politiky

399

400

**//b) Riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,//** pozostávajúceho z:

401

402

* Identifikácie aktív súvisiacich so zariadeniami na spracovanie informácií a centrálneho zaznamenávania inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu

403

* Vykonania klasifikácie informácií a kategorizácia sietí a informačných systémov

404

* Implementácie systému pre inventarizáciu aktív

405

* Vypracovania interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti

406

* Vykonania riadenia rizík pozostávajúceho z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení

407

408

**//c) Personálnej bezpečnosti,//** pozostávajúcej z:

409

410

* Vypracovania interného riadiaceho aktu s bezpečnostnými zásadami pre koncových používateľov

411

* Vypracovania postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu

412

* Vypracovania postupov pri zaradení osoby do niektorých z bezpečnostných rolí

413

* Vypracovania postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu

414

* Vypracovania postupov pri porušení bezpečnostných politík

415

416

**//d) Riadenia prístupov,//** pozostávajúceho z:

417

418

* Vypracovania postupov a procesov upravujúcich riadenie prístupov organizácie

419

* Vypracovania zásad riadenia prístupov osôb k sieti a informačnému systému

420

421

**//e) Riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami//**, pozostávajúceho z:

422

423

* Vypracovania interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

424

425

**//f) Bezpečnosti pri prevádzke informačných systémov a sietí,//** pozostávajúcej z:

426

427

* Vypracovania interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov

428

429

**//g) Hodnotenia zraniteľností a bezpečnostných aktualizácií,//** pozostávajúceho z:

430

431

* Vypracovania interného riadiaceho aktu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat

432

433

**//h) Ochrany proti škodlivému kódu,//** pozostávajúcej z:

434

435

* Vypracovania interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu

436

437

**//i) Sieťovej a komunikačnej bezpečnosti,//** pozostávajúcej z:

438

439

* Vypracovania interného riadiaceho aktu upravujúceho pravidlá sieťovej a komunikačnej bezpečnosti

440

441

**//j) Akvizície, vývoja a údržby informačných sietí a informačných systémov,//** pozostávajúcej z:

442

443

* Vypracovania interného riadiaceho aktu upravujúceho požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na obstarávané, vyvíjané a udržiavané komponenty s digitálnymi prvkami

444

445

**//k) Zaznamenávania udalostí a monitorovania//**, pozostávajúceho z:

446

447

* Vypracovania dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností

448

* Vypracovania interného riadiaceho aktu, ktorý obsahuje a upravuje povinnosti definované platnou legislatívou pre oblasť zaznamenávanie udalostí a monitorovania.

449

450

**//l) Fyzickej bezpečnosti a bezpečnosti prostredia//**, pozostávajúceho z:

451

452

* Vypracovania interného riadiaceho aktu upravujúceho fyzickú bezpečnosť a bezpečnosť prostredia

453

454

**//m) Riešenia kybernetických bezpečnostných incidentov//**, pozostávajúceho z:

455

456

* Vypracovania interného riadiaceho aktu upravujúceho riešenia kybernetických bezpečnostných incidentov

457

458

**//n) Kryptografických opatrení//**, pozostávajúcich z:

459

460

* Definovania pravidiel využitia kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy na ochranu údajov pri ich prenose alebo uložení v rámci sietí a informačných systémov

461

* Vypracovania interného riadiaceho aktu upravujúceho systém správy kryptografických kľúčov a certifikátov

462

463

**//o) Kontinuity prevádzky//**, pozostávajúcej z:

464

465

* Vypracovania interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie

466

* Vykonania analýzy dopadov na informačné systémy a siete univerzity

467

* Vypracovania stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na informačné systémy a siete univerzity, najmä pre oblasť malvéru, ransomvéru, úniku údajov, rozsiahleho DDoS útoku

468

* Vypracovania postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie

469

470

**//p) Auditu, riadenia súladu a kontrolných činností,//** pozostávajúceho z:

471

472

* Vypracovania interného riadiaceho aktu pre oblasti auditu a kontrolných činností v oblasti informačnej a kybernetickej bezpečnosti

473

474

**2) Implementácia mechanizmov pre potreby zabezpečenia infraštruktúry žiadateľa umiestnenej v cloude**

475

476

Navrhované riešenie bude obsahovať súbor bezpečnostných prvkov, ktoré zvýšia odolnosť informačných systémom organizácie voči potenciálnym kyberútokom.

\\

**Sandbox**

Navrhované je riešenie na ochranu pred zero-day škodlivým kódom, vírusmi a malvérom (na princípe sandboxu) vo forme HW zariadenia. Dodané riešenie musí byť plne a obojsmerne integrované s existujúcou firewall bránou NGFW a bezpečnou e-mailovou bránou, s plnou technickou podporou od výrobcu (na riešenie problémov). Úplnou integráciou sa rozumie natívna integrácia, ktorá umožňuje obojsmernú komunikáciu medzi bránou firewall/riešením AS&AV (antispam/antivirus) a platformou sandboxu (odovzdávanie súborov na kontrolu, odovzdávanie podrobných informácií o kontrole späť do brány firewall/poštovej brány.

\\

Funkčné požiadavky:

\\

* Podpora operačných systémov pre sandboxing: Windows 7, Windows 10, MacOS, Linux, Android, priemyselné riadiace systémy; výrobca udržiava a aktualizuje skenovací sandboxing OS

491

* Plnohodnotná, výrobcom podporovaná obojsmerná integrácia s modelom firewallu a ďalšími ponúkanými bezpečnostnými funkciami

492

* Schopnosť integrácie s internými systémami pomocou zdokumentovaného API

493

* Odchádzajúca komunikácia zo sandboxových obrazov musí smerovať na internet cez vyhradené sieťové rozhranie.

494

* Podpora režimu clusteringu na dosiahnutie vysokej dostupnosti a zlepšenia výkonu v budúcnosti

495

* Kontrola vzoriek založená na viacvrstvovej ochrane pred škodlivým kódom - kombinácia antivírusového skenovania založeného na signatúrach, emulácie kódu a kompletného sandboxu (spusteného v reálnom operačnom systéme) a umelej inteligencie (AI)/ strojového učenia (ML). Všetky tieto úrovne musia byť integrované do jedného zariadenia a spolupracovať.

496

* Možnosť vytvoriť, spustiť a na účely sandboxingu použiť vlastnú konfiguráciu operačného systému vrátane špecifických aplikácií zodpovedajúcich konfigurácii v chránenej sieti, ktorá bude naimportovaná do platformy Sandbox a používaná na kontrolu.

497

* Detailná konfigurácia politiky kontroly, kontrola v rôznych typoch OS, možnosť kontroly jedného súboru v rôznych operačných systémoch súčasne, možnosť definovať vybrané aplikácie v rôznych typoch OS.

498

* Ochrana proti detekcii spustenia v prostredí sandboxu ( anti evasion techniky)

499

* Všetky prvky ochrany sa musia poskytovať lokálne, nie ako cloudová služba (okrem prípadov, keď to právne predpisy nepovoľujú).

500

* Detekcia komunikácie s centrami C&C

501

* Podpora detekcie prístupu k kompromitovaným adresám URL

502

* Funkcia hlásenia nájdených problémov (Výsledné informácie musia obsahovať nielen stav čistého/škodlivého kódu, ale kompletné informácie vrátane podrobného popisu správania, zachytených paketov a v prípade prejavu škodlivého kódu v GUI aj snímky obrazovky alebo videozáznam), podpora hlásenia vo formáte MITRE ATT&CK pre analýzu SoC, podpora formátu STIX 2.0.

503

* Podpora kontroly najmenej týchto typov súborov a aplikácií: MS Office, Adobe Acrobat Reader, Adobe Flash Player, MS Internet Explorer, Mozilla Firefox, Google Chrome, Java, MS .NET Framework, Visual C++, Python; spustiteľné súbory, JAVA, PDF, dokumenty MS Office, bežné multimediálne formáty, ako sú .7z, .ace, .apk, .app, .arj, .bat, .bz2, . cab, .cmd, .dll, .dmg, .doc, .docm, .docx, .dot, .dotm, .dotx, .eml, .elf, .exe, .gz, .htm, html, .iqy, .iso, .jar, .js, .kgb, .lnk, .lzh,mach, .msi, .pdf, .pot, .potm, .potx, .ppam, . pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .rar, .rtf, .sldm, .sldx, .swf, .tar, .tgz, .upx, .rl, .vbs, WEBLink, .wsf, .xlam, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xz, .z, .zip

504

* Podpora reportovania v štandardných formátoch (HTML, CSV, PDF, XML, ...)

505

* Automatická aktualizácia databáz signatúr zistených hrozieb vrátane funkcie zdieľania týchto signatúr do ponúkanej platformy firewallov a iných bezpečnostných komponentov

506

* Priame obojsmerné prepojenie s ponúkanou platformou firewallov a iných bezpečnostných komponentov

507

* Podpora logovania do externých nástrojov a SIEM

508

* Podporované režimy nasadenia minimálne: pripojenie k bezpečnostným prvkom rovnakého výrobcu, režim sniffer (počúvanie a rekonštrukcia sieťovej prevádzky pre protokoly http, smtp, pop3, imap, ftp, mapi, im, smb), sanboxing súborov uložených na dostupných sieťových diskoch, prijímanie súborov pre sandboxing prostredníctvom API, podpora rozhraní typu ICAP.

\\

Výkonnostné požiadavky:

\\

* HW zariadenie používajúce proprietárny operačný systém na analýzu vzoriek

517

* 40 inštancií pre sandboxing OS Windows vrátane licencií Microsoft

518

* 4 inštancie pre sandboxing súborov pre prostredie MS Office

519

* Požadovaná sandbox priepustnosť súborov za hodinu: 2400

520

* Požadovaný počet užívateľov: min 900

521

* Fyzicke zariadenie, max 2U, rackové prevedenie

522

* Požadovaná priepustnosť statickej analýzy súborov za hodinu: 10000

523

* Požadovaná priepustnosť dynamickej analýzy súborov za hodinu: 600

\\

Dodávateľ zabezpečí :

528

529

* Implementáciu a integráciu nástroja v existujúcom prostredí

530

* Potrebnú dokumentáciu ku infraštruktúre

\\

**Mail relay**

\\

Navrhované je riešenie na ochranu mailovej infraštruktúry voči útokom prostredníctvom mailov a integrovaná ochrana zabezpečuje trvalú ochranu vo či hrozbám typu Phising, malware, zero day hrozby, kompromitácia mailov a ochrana voči spamu.

\\

Funkčné požiadavky:

* Podpora IPv4 i IPv6

545

* Podpora VLAN

546

* Podpora overovania SMTP pomocou protokolov LDAP, RADIUS, POP3 a IMAP

547

* Požadované funkcie AntiSpamu (výrobcom spravovaná vlastná funkcia AS s možnosťou kategorizovať adresy URL nájdené v e-mailoch), databáza IP reputácie výrobcu, graylisting, reputácia odosielateľa, behaviorálna analýza, analýza hlavičiek e-mailov, heuristická analýza e-mailov, podpora systémov tretích strán, skenovanie na základe Bayesovho prístupu, white a blacklisting, analýza obrázkov.

548

* Zabudovaná antivírusová ochrana pre poštovú prevádzku s ochranou v reálnom čase pred odchádzajúcim škodlivým softvérom. Databáza antivírusových signatúr musí byť udržiavaná výrobcom a automaticky aktualizovaná.

549

* Požadujeme plnu integraciu s platformou typu sandbox, ktorá je sučastou projektu (plnou integraciou sa rozumie uchovanie emailu vo fronte až do ukončenia kontroly na sandbox platforme. Výsledná akcia je zvolena aj na základe výsledku analýzy na sandbox platforme. Zároveň požadujeme obojsmernu komunikaciu medzi mailovou bránou a sandbox platformou, tj. priamo na mailovej bráne, musí byt možné dohladat detailne informacie o provedeni sandbox inspekcie)

550

* Možnosť obmedzenia v rámci relácie SMTP (počet správ od jedného klienta za určitý čas, maximálny počet spojení od jedného klienta za určitý čas, podpora reputácie koncového bodu, pripojenie k LDAP na overenie používateľa; možnosť obmedzenia počtu HELO/EHLO v rámci jednej relácie SMTP, možnosť obmedzenia počtu e-mailových správ v rámci relácie SMTP, možnosť obmedzenia počtu príjemcov v rámci príjemcov e-mailu, možnosť manipulácie s hlavičkou pošty (odstránenie hlavičky Received)

551

* Analýza PDF

552

* Plnohodnotná kontrola prichádzajúcej a odchádzajúcej komunikácie (rovnaké možnosti konfigurácie pre prichádzajúci a odchádzajúci smer)

553

* Granulárna konfigurácia pravidiel (pravidlá založené na IP adresách a/alebo doméne príjemcu, možnosť použitia wildcard znakov)

554

* možnosť používať zabudovanú geografickú databázu IP adries v rámci pravidiel (databázu spravuje výrobca)

555

* podpora karantény s používateľským prístupom umožňujúcim bežné činnosti

556

* podpora systémovéj karantény

557

* podpora externého úložiska (šifrovaná komunikácia, napr. SFTP)

558

* podpora TLS

559

* podpora S-MIME

560

* podpora DKIM, SPF a DMARC

561

* Možnosť odosielať/prijímať správy z virtuálnych adries (hostov)

562

* Podpora end-to-end šifrovania poštovej prevádzky bez potreby inštalácie softvéru na pracovných staniciach (napr. lokálne ukladanie šifrovaných správ s možnosťou bezpečného prevzatia správy prostredníctvom webového rozhrania)

563

* Podpora funkcií ochrany pred útokom typu DoS, Antispoofing, rate limiting, lokálne vyhodnotenie skóre odosielateľov (na základe nedávnej aktivity) s možnosťou nastavenia správania pre rôzne úrovne skóre.

564

* Podpora neutralizácie dokumentov v prílohách (odstránenie potenciálne nebezpečných prvkov v dokumente - makier, URL, ... - v dokumentoch MS Office a PDF) pri zachovaní pôvodného typu dokumentu

565

* Automatické odšifrovanie zašifrovaných dokumentov pomocou správcom preddefinovaného slovníka hesiel za účelom vykonania úplnej AV a AS kontroly

566

* Reakcia na zistenú hrozbu min.: pridanie tagu, pridanie hlavičky, presmerovanie e-mailu na iný SMTP server, odmietnutie, zahodenie, uloženie do karantény, prepísanie adresy príjemcu

567

* podpora opätovnej kontroly e-mailu v čase jeho prevzatia z karantény.

568

* ochrana pred škodlivými adresami URL (databáza škodlivých adries URL spravovaná výrobcom). Možnosť výberu nežiaducich webových kategórií (phishing, malware, obsah pre dospelých, ...)

569

* URL click protection (vložené URL je prepísané tak, aby bola kontrola URL vykonaná v momente kliknutia užívateľa na odkaz). Kontrola URL musí zahŕňať aj opatovnú kontrolu v Sandbox systéme, užívateľ musí byť notifikovaný o prebiehajúcej kontrole.

570

* ochrana proti útokom BEC (Business Email Compromise)

571

* architektúra MTA musí umožniť kontrolu e-mailu pred uložením do e-mailovej fronty

572

* Možnoť rozšírenia o AI analýzu obrázkov s kategorizáciou obsahu (drogy, zbrane, násilie, nahota a pod.)

573

* Plnohodnotná správa cez webové rozhranie (HTTP) a CLI (SSH)

574

* možnosť obmedziť administrátorské práva na zadefinované domény

575

* Integrované logovanie a reportovanie, vrátane monitoringu

576

* Podpora protokolov SNMP (v2c, v3) a syslog na integráciu do monitorovacieho systému ( súčasťou dodávky musí byť špecifický súbor MIB od výrobcu)

577

* podpora logovania na externý logovací server (syslog)

578

* podpora archivácie (prístup do archívu pomocou protokolu IMAP)

579

* Podpora rozhrania REST API na integráciu manažmentu do existujúcej infraštruktúry. Ak táto funkcia vyžaduje licenciu, musí byť zahrnutá.

580

* Certifikácia min. VBSpam, VB100 a Common Criteria

\\

Výkonnostné požiadavky:

585

586

* 1vCPU, 4GB RAM, 300GB HDD, 100Mbps internet

587

* Podpora režimu vysokej dostupnosti (A-A, A-P). Ak sa vyžaduje licencia, musí byť súčasťou dodávky.

588

* požadujeme podporu pre aspoň 4 sieťové rozhrania

589

* podpora minimálnej kapacity disku 2x1TB

590

* možnosť nasadenia v režime brány (MTA) ale aj v transparetnom režime

591

* požadujeme podporu minimálne 4 sieťových rozhraní RJ45

592

* Riešenie nesmie byť obmedzené na počet chránených domén. V opačnom prípade musí byť súčastou dodávky podpora pre minimálne 100 emailových domén

593

* Počet politík založených na doméne [prichádzajúca alebo odchádzajúca komunikácia]: 400

594

* Počet politík založených na systéme [prichádzajúca alebo odchádzajúca komunikácia]: 1500

595

* Výkon smerovania emailov za hodinu: 250000

596

* Počet chránených mailboxov pri inštalácii v mode server: 400

\\

Dodávateľ zabezpečí :

601

602

* Implementáciu a integráciu nástroja v existujúcom prostredí

603

* Potrebnú dokumentáciu ku infraštruktúre

\\

\\

**WEB-aplikačný firewall (WAF)**

\\

Navrhované je riešenie na ochranu infraštruktúry webových aplikácií a API rozhraní voči útokom prostredníctvom neznámych spustiteľných kódov a zero day hrozbám. Zabezpečuje trvalú ochranu webových stránok a prezentovaných aplikácií voči internetovým používateľom.

\\

Funkčné požiadavky:

\\

* Virtual appliance Web Application Firewall. Riešenie musí chrániť pred bežnými hrozbami, ako sú napríklad tie, ktoré sú identifikované v OWASP TOP 10

622

* Podpora prevádzkových módov Reverse Proxy, Inline Transparent, True Transparent Proxy, Offline Sniffer (span port), WCCP

623

* Presmerovanie komunikácie je možné riešiť na úrovni: DNS záznamov, a aj na sieťovej úrovni (WCCP, port forward, routing, policy routing)

624

* Riešenie podporuje virtuálne hosty, SNI, umožňuje definíciu SSL/TLS enc. level a použitých SSL verzii

625

* Riešenie podporuje rewriting http host, url a aj http body.

626

* Podpora http cache-ing minimálne na základe parametrov: host, host status, url pattern, cookie

627

* Riešenie podporuje SSL/TLS inšpekciu ako aj SSL/TLS termináciu.

628

* Riešenie podporuje pasívne SSL dešifrovanie pomocou kópie SSL kľúča. V prípade potreby je možné neterminovať SSL na WAF, vykonať len dekryptovanie kópie komunikácie pomocou definovaného SSL kľúča, skontrolovať obsah a povoliť pôvodnú komunikáciu v prípade, ak nedošlo k narušeniu politík.

629

* Certifikácia FIPS 140-2 Level 1 a 2

630

* Riešenie umožňuje blokovanie IP aj blokovanie IP extrahovaných z http hlavičiek (napr. x-forwarded-for). Riešenie musí umožňovať blokovanie konkrétnych užívateľov na základe ich reputácie. Verejný obstarávateľ/objednávateľ požaduje tiež možnosť použiť L7 HTTP blocking, kedy je blokovaný len konkrétny HTTP request a nie celé TCP spojenie.

631

* Zariadenie je možné nasadiť v monitoring móde, v tomto prípade zariadenie neustále vyhodnocuje a kontroluje prechádzajúce spojenia, ale požiadavky nie sú blokované. Monitorovací mód je možné aplikovať granulárne na základe: IP, URL, PORT/PROTOCOL.

632

* Riešenie umožňuje zapojenie v móde High Availability (HA), verejný obstarávateľ/objednávateľ požaduje možnosť Active/Active aj Active/Passive konfigurácie HA. V rámci active-passive HA módu verejný obstarávateľ/objednávateľ požaduje možnosť vytvoriť cluster s min. 4 uzlami.

633

* Riešenie umožňuje kontrolu action message format v3.0(AMF3), xml, ajax , soap content inspection v tele HTTP, validáciu formátu pre xml 1.1 a xml 2.0.

634

* Riešenie obsahuje vlastný skener zraniteľností web aplikácií (vulnerability scanner).

635

* Riešenie obsahuje podporu skeneri tretích strán (Acunetix, IBM AppScan Standard, WhiteHat, HP WebInspect, Qualys).

636

* Riešenie podporuje LoadBalancing HTTP komunikácie, podporované sú nasledovné metódy: round robin, weighted round robin, least connections, URI hash, full URI hash, host hash, host domain hash, src IP hash. Session persistence je možná na základe: src IP, http header parameters, URL parameters, insert|rewrite|pertistent|embedded cookies, ASP|PHP|JSP|SSL session IDs.

637

* Podpora HTTP verzií HTTP/0.9, HTTP/1.0, HTTP/1.1, HTTP/2

638

* Pre inšpekciu HTTP/2 nie je potrebná konverzia na inú verziu.

639

* Podpora rôznych reštrikčných metód min. validácia znakovej sady, minimálna alebo maximálna dĺžka elementu, obsah elementu

640

* Reštrikčné metódy je možné aplikovať na základe IP, URL, HTTP header, HTTP response code, Content Type, Packet interval timeout, parameter, occurrence, access rate limit, signature violation, transatcion timeout a ich kombinácii.

641

* Riešenie umožňuje nastaviť obmedzenie file uploadov per URL na základe: file type, file size

642

* Riešenie umožňuje scan uploadovaných súborov pomocou vstavaného Antivirus engine-u

643

* Súčasťou vstavaného Antivirus engine-u musí byť aj analýza súborov v externom Sandboxe (Cloud alebo On-premise)

644

* Užívatelia môžu byt overovaní minimálne pomocou HTTP simple auth., HTML embedded forms a klientskeho SSL certifikátu HTML Form, HTTP Basic, Client SSL certificate, RSA securID.

645

* Podpora lokálnej databázy užívateľov, podpora LDAP, Radius, Kerberos, NTLM, 2FA (token). Riešenie musí umožňovať použitie auth. pool serverov (napr. Primárny LDAP server, Sekundárny LDAP server) pre overenie užívateľov.

646

* Riešenie musí podporovať negatívny aj pozitívny bezpečnostný model.

647

* Riešenie musí obsahovať Machine Learning pre detekciu hrozieb, anomálií vyhodnocovanie URL, parametrov, použitých HTTP metód, automatická konštrukcia matematických modelov pre detekciu abnormálnej komunikácie, porovnávanie anomálií voči predtrénovaným modelom, detekcia útokov. ML musí kontinuálne vyhodnocovať false-positive rate a v prípade prekročenia prahu iniciovať konštrukciu nového matematického modelu.

648

* Riešenie musí obsahovať Machine Learning pre detekciu škodlivých botov Bot detekčný model musí vyhodnocovať minimálne nasledovné dimenzie: TCP connections, HTTP requests, HTTP HEAD methods, HTTP error responses, HTTP requests without Referers, HTTP requests without User-Agent, HTTP requests with illegal HTTP version, HTML pages, JavaScript/CSS/XML/JSON resources, robots.txt, Seconds with throughput a Average duration with throughput

649

* V rámci mitigácie botov musí riešenie podporovať rôzne deception metódy a behaviorálnu analýzu min. vloženie linku do HTML response page a následná detekcia prístupu na tento link, monitorovanie klientov a detekcia: pohybu kurzoru, stlačenia kláves, skrolovanie, dotyk obrazovky, klik myšou a pod.

650

* Riešenie musí obsahovať databázu signatúr útokov na webové aplikácie a ich zraniteľnosti. Popis nových, prípadne zmenených signatúr, musí byt verejne dostupný.

651

* Riešenie musí byť schopné mitigovať útoky hrubou silou minimálne pomocou: Rate limiting na úrovni TCP/IP a HTTP/HTTPS (requests per sec, session cookies), Real browser enforcement. Uvedené spôsoby mitigácie je možné aplikovať per http host, URL, parameter, referer, cookie, header, src_ip, certificate a ich and/or kombinácie. Reakcia môže byt alert, deny, period block.

652

* Riešenie musí obsahovať ochranu proti cookie poisoning/tampering minimálne pomocou hashov uložených v session-tracking cookies. V prípade detekcie cookie poisoning musí byť možné nastaviť rôzne akcie, a to minimálne: alert, deny, period block alebo remove cookie.

653

* Aplikácia ochrany proti cookie poisoning per http host, URL, parameter, referer, header, src_ip, certificate a ich and/or kombinácie.

654

* Riešenie musí mať implementované vlastné Session cookies, ktoré sú previazané s aplikačnými session cookies (napr. JSESSIONID, TWIKISID …).

655

* Riešenie umožňuje logovať HTTP requesty, HTTP request packet payload (max. veľkosť je 4 KB payloadu). Packet payload logging je možné zapnúť globálne alebo pre jednotlivé typy útokov (signature detection, parameter validation, http constraints, xml, ip reputation, cookie poisoning ...).

656

* Riešenie musí umožňovať Agregovaný pohlaď na attack logy, agregácia minimálne na základe attack-type

657

* V prípade false-positive musí riešenie umožňovať pridanie výnimky per signature. Výnimky je možné definovať granulárne na základe and/or matching seq. pravidiel založených minimálne na nasledovných elementoch: http method, client IP, host, URI, full URL, parameter, cookie.

658

* Manuálne je možné pridávať výnimky priamo z attack logov alebo agregovaného pohľadu na attack logy

659

* Podpora detekcie SQL injection na základe signatúr a aj na základe syntax analýzy

660

* Politika je aplikovaná na virtuálny server a službu, t. j. pre rôzne aplikácie a servery je možné mať samostatné politiky, ktoré môžu zdieľať, alebo mať individuálne nastavenia bezpečnosti.

661

* Riešenie musí umožňovať vytvorenie vlastných signatúr.

662

* Riešenie musí podporovať management pomocou GUI, CLI, REST-API.

663

* Riešenie musí byť odporúčané v NSS LABS WAF teste s hodnotením 'recommended'

664

* Riešenie musí mať implementovanú ochranu klientov proti SSL MITM útokom (napr. pomocou HTTP public key pinning)

665

* Riešenie musí mať implementovaný statefull inspection firewall s možnosťou konfigurácie FW policies

666

* Riešenie musí mať implementovanú ochranu proti credential stuffing útokom. Databáza pre credential stuffing musí pochádzať priamo od výrobcu zariadenia

667

* Identifikácia zariadení klientov, priradenie unikátneho identifikátora pre každé zariadenie min. na základe: time zone, source IP, operating system, browser, language, CPU, color depth, resolution

668

* Riešenie musí byt schopné vyhodnocovať správanie jednotlivých zariadení a v prípade prekročenia definovaných hodnôt zablokovať ďalšiu komunikáciu z daného zariadenia.

669

* Riešenie musí obsahovať ochranu API rozhraní

670

* Možnosť vyžadovať overenie API kľúčov pomocou HTTP header alebo HTTP parameter v HTTP požiadavkách

671

* Rate limiting API požiadaviek min. možnosť definície počtu API volaní za časovú jednotku

672

* Validácia XML a JSON schém

673

* Validácia JSON data size, key a value hodnôt

674

* Možnosť limitovať JSON data size, key a value hodnoty

675

* Možnosť limitovať XML names, values, depth a dalšie atribúty

676

* Podpora XML a SOAP data formátov

677

* Podpora validácie na základe WSDL súborov

678

* Podpora WebSocket security pravidiel min. Decrypt, Sign Verify pre encryped SOAP msg. od klienta (request); Encrypt, Sign pre SOAP msg. od servra (response)

679

* Požaduje sa certifikácia ICSA Labs minimálne pre Web Application Firewalls

680

* Podpora kontajnerového manažéra Docker

\\

Výkonnostné požiadavky:

\\

* HTTP priepustnosť 100Mbps

689

* Podporovaná pamäť min 1024MB / max neobmedzene pre 64-bit, odporúčaná 8GB

690

* Podporovaný počet sieťových rozhraní max 10

\\

Dodávateľ zabezpečí :

695

696

* Implementáciu a integráciu nástroja v existujúcom prostredí

697

* Potrebnú dokumentáciu ku infraštruktúre

\\

\\

**Analyzér sieťovej prevádzky**

\\

Navrhované je riešenie ktoré zabezpečí výkonnú správu LOG protokolov, analytiku a reportovaciu

708

709

platformu, ktorá poskytuje jedinú konzolu na správu, automatizáciu a organizáciu operation činností.

\\

Funkčné požiadavky:

* Systém pre ukladanie a koreláciu logov v sieti obstarávateľa.

716

* Systém musí byť plne kompatibilný s dodávanými riešeniami pre NGFW/UTM, Switche, 2FA AUTHENTICATION, Mailová ochrana, Sandbox riešenie

717

* Riešenie vo forme Virtual Appliance pre VMware, KVM alebo Hyper-V

718

* Možnosť škálovateľného navýšenia objemu spracovávaných logov pomocou licencií

719

* Možnosť škálovateľného navýšenia diskovej kapacity pomocou licencií

720

* Podpora SYSLOG, podpora šifrovaného prenosu dát/logov

721

* Riešenie musí obsahovať konfigurovateľné prehľady s drill down funkcionalitou

722

* Filtrovanie správ/logov na základe rôznych parametrov, ich kombinácií. Podpora AND, OR logiky pri vytváraní filtrov

723

* Možnosť ukladania definícií filtrov pre rýchle opätovné použitie

724

* Možnosť prehliadania logov v historickom alebo realtime režime

725

* Možnosť zobrazovania logov v RAW alebo štrukturovanom formáte

726

* Korelácia logov

727

* Možnosť automatického vytvárania incidentov

728

* Možnosť automatického vyšetrovania incidentov pomocou definovateľných playbookov

729

* Podpora Indication of Compromise - Systém musí obsahovať reputačné databázy nebezpečných IP/URL adries a musí vykonávať spätné prehľadávanie historických logov pri update reputačných DB za účelom detekcie napadnutia systémov a koncových staníc

730

* Podpora vytvárania reportov v formátoch PDF, HTML, CSV, XML

731

* Možnosť generovania reportov v pravidelných intervaloch

732

* Možnosť vytvárania vlastných požiadaviek voči databáze a ich použitie ako zdroj dát v reportoch

733

* Podpora SNMP

734

* Podpora REST API

735

* GUI a CLI administračné rozhranie dostupné pomocou HTTPS a SSH protokolov

736

* Podpora LDAP, RADIUS, Tacacs+ pre administrátorské účty

\\

Výkonnostné požiadavky:

\\

* Schopnosť spracovávať logy v objeme 10 GB/deň

745

* Počet virtuálnych sieťových rozhraní: min 1, max 4

\\

Dodávateľ zabezpečí :

750

751

* Implementáciu a integráciu nástroja v existujúcom prostredí

752

* Potrebnú dokumentáciu ku infraštruktúre

753

754

**3) Riešenie centrálneho bezpečnostného manažmentu pre koncové stanice - centrálna správa a manažment koncových zariadení - XDR **

755

756

Navrhované je riešenie, ktoré umožní diaľkové nasadenie klientov na koncové zariadenia - 80 ks, zobrazovanie údajov o prevádzke na koncovej stanici v reálnom čase, centrálny provisioning klientov.

757

758

Riešenie umožní poskytovať informácie na koncovej stanici (verzia, OS, IP/MAC adresa, profil užívateľa), stav klientskej stanice, ako aj možnosť reportovať telemetriu na úrovni centrálnej správy. Riešenie bude kompatibilné s MS WIN, MacOS, iOS, Linux

759

760

Riešenie umožní jednoduché používateľské rozhranie centralizovaného manažmentu**.**

**~ **

**Výkonnostné požiadavky na manažment konzolu:**

765

766

* 8 vCPU, 12GB RAM, 150GB HDD

767

* 100Mbps internet

768

* 1 verejná IP adresa

\\

Dodávateľ zabezpečí :

773

774

* Implementáciu a integráciu nástroja v existujúcom prostredí

775

* Potrebnú dokumentáciu ku infraštruktúre

776

777

**4) Nasadenie dvojfaktorovej autentifikácie**

778

779

Navrhované riešenie bude obsahovať súbor bezpečnostných prvkov, ktoré zvýšia odolnosť informačných systémom organizácie voči neoprávnenému prihláseniu k zdrojom infraštruktúry a dátam vlastníka. Užívatelia budú mať k dispozícii buď HW, alebo mobilné tokeny na overenie.

\\

Funkčné požiadavky:

\\

* Virtual appliance poskytujúci funkcionality pre manažment identít, Plnohodnotná AAA funkcionalita, Integrované funkcie AAA pre pripojenie z VPN.

788

* Podpora pre [30] používateľov

789

* Autorizácia prístupu do siete kombináciou minimálne nasledujúcich parametrov - identita (meno/heslo, certifikát) pripájajúceho sa používateľa, identita (MAC adresa, certifikát) pripájajúceho sa zariadenia, čas pripojenia do siete a spôsob pripojenia do siete (wifi/LAN/VPN).

790

* Podpora RADIUS, RADIUS CoA, RADIUS Accounting proxy s možnosťou úpravy atribútov a s možnosťou statického alebo dynamického vkladania hodnôt do atribútov

791

* Možnosť využitia Radius Accounting proxy v režime kedy je jeden Radius MSG pomocou proxy rozosielaný na viacero zariadení

792

* Podpora TACACS+ s možnosťou autorizácie príkazov alebo služieb

793

* Podpora viacerích databáz identít Lokálna DB, LDAP/Active Directory

794

* Možnosť automatického importovania užívateľov zo vzdialených LDAP serverov

795

* Podpora LDAP cez SSL.

796

* Podpora Kerberos

797

* Podpora EAP metód - EAP-MSCHAPv2, EAP-TLS, PEAP, EAP-GTC

798

* Podpora autentifikácie pre klientov nepodporujúcich 802.1x - MAB, Captive portal

799

* Podpora REST API pre väčšinu základných úkonov AAA platformy

800

* Logovanie činností, úspešných aj neúspešných pokusov o prihlásenie v reálnom čase.

801

* Podpora LAN a WLAN portálu pre hostí s HTTP/HTTPS autentizáciou. Možnosť vytvárania dočasných užívateľských účtov pre návštevníkov prostredníctvom prispôsobiteľného užívateľského rozhrania oddeleného od hlavného administratívneho rozhrania.

802

* Guest portál musí podporovať možnosť prihlasovania prostredníctvom účtov minimálne týchto sociálnych sietí – Linkedln, Facebook, Twitter, Google+. Portál musí umožňovať bohatú grafickú úpravu vrátane možnosti pridávania videí a ďalšieho dynamického obsahu. Možnosť samoobslužnej registrácie hosťa do siete so SMS alebo email overením.

803

* Podpora BYOD, možnosť bezpečnej registrácie súkromných zariadení do internej siete na základe užívateľských údajov z externej autentizačnej databázy ako napr. AD či LDAP. Užívateľ musí byť schopný jednoduchým užívateľským wizardom nainštalovať osobný certifikát na svoje súkromné zariadenie.

804

* Certifikačná autorita na vydávanie certifikátov pre súkromné zariadenia musí byť súčasťou AAA platformy.

805

* Podpora protokolu SCEP.

806

* Hostia alebo interní užívatelia musia mať možnosť prístupu do samoobslužného portálu na správu svojich nastavení alebo zmenu hesla.

807

* Podpora viacfaktorovej autentifikácie pomocou OTP tokenov

808

* Podpora HW aj SW tokenov

809

* Podpora SW tokenov pre mobilné platformy Android, iOS, Windows Mobile – min. 15 licencií

810

* Podpora OAUTH, SAML IdP

811

* Podpora SSO na základe informácií získaných z SAML, Windows Event Log, Radius Accounting a Syslog

812

* OATH OTP HW token riešenie - 15 ks

813

* Riešenie musí podporovať TOTP a HOTP

814

* Riešenie musí umožňovať správu tokenov (token management) z centrálneho AAA riešenia a zároveň aj z NGFW/UTM riešenia

815

* Riešenie musí podporovať platformy - min. iOS, Android, Windows Phone 8 a 8.1, Windows 10 a aj Windows Universal Platform

816

* Riešenie musí podporovať generovanie tokenov v mobile (metoda PUSH) s možnosťou ONE-TAP potvrdenia

817

* Riešenie musí byť možné chrániť prostredníctvom PIN kódu alebo otlačku prstov

818

* Podpora možnosti samovymazania pri brute-force útoku

819

* Zobrazovanie trvania jednorazového hesla

820

* Zobrazenie Sériového čísla

\\

\\

Dodávateľ zabezpečí :

827

828

* Implementáciu a integráciu nástroja v existujúcom prostredí

829

* Potrebnú dokumentáciu ku infraštruktúre

\\

**5) Nasadenie nástroja na riadenie kybernetickej bezpečnosti v prostredí mesta Skalica**

834

835

Navrhované nástroj predstavuje SW riešenie pozostávajúce z nástrojov riadenia a hlásenia bezpečnostných incidentov v súlade so Zákonom a Vyhláškou o KB. Dodané SW riešenie umožní zjednodušenú správu a dohľad súladu s právnymi požiadavkami, ako aj automatizáciu správ a auditov pre účely automatizácie a orchestrácie bezpečnosti a udržiavania povedomia a základnej úrovne znalostí dotknutých 80 zamestnancov verejného obstarávateľa prostredníctvom dostupných vzdelávacích modulov. Riešenie umožní vykonávať automatizáciu činností, ktoré v oblasti informačnej bezpečnosti a kybernetickej bezpečnosti vyžaduje legislatívny rámec a to prostredníctvom automatizovaného overovania povinností a posudzovania zhody prijatých s legislatívnymi požiadavkami.

836

837

Systém bude slúžiť ako podporný nástroj pre interných zamestnancov, ktorí sú činní v oblasti informačnej a kybernetickej bezpečnosti. Funkcionalita SW pre inventarizáciu aktív a harmonizáciu procesov v oblasti informačnej bezpečnosti zároveň prispeje k zjednodušeniu procesov a činností pri výkone administratívy (napr. pri pravidelnej kontrole a/alebo aktualizácii katalógu rizík), pri riadení incidentov, správe bezpečnostných nástrojov a technológií.

\\

Funkčné požiadavky:

\\

* Riešenie obsahuje nástroje na riadenie a hlásenie incidentov v súlade s požiadavkami NIS2

846

* Evidencia incidentov, vrátane prehľadu incidentu s uvedením jeho detailov v minimálnom rozsahu, objavenie incidentu, miesto objavenia incidentu, stručný popis incidentu;

847

* Možnosť pripojenia dodatočných dôkazných informácií o incidente (napr. formou obrázku);

848

* Rozhranie pre komplexný manažment úloh riešenia bezpečnostného incidentu;

849

* Podpora procesov identifikácie, hodnotenia a riadenia kybernetických rizík pre účely prijímania vhodných bezpečnostných opatrení;

850

* Rozhranie karty rizík s podrobnými informáciami o riziku ako aj súvislosťami, ktoré sa na dané riziko viažu minimálne v rozsahu pravdepodobnosť, dopad/vplyv, vlastník rizika;

851

* Možnosť analýzy rizík vo väzbe na identifikované aktíva s možnosťou evidencie zraniteľností a hrozieb pre každé identifikované a evidované aktívum;

852

* Možnosť vedenia registra hrozieb potrebných pre analýzu rizík, stanovenie nápravných alebo preventívnych opatrení;

853

* Správa a dodržiavanie právnych a regulačných požiadaviek NIS2;

854

* Automatizácia správ a auditov informačnej bezpečnosti a kybernetickej bezpečnosti;

855

* Funkcia asistenta pre implementáciu silných politík v oblasti správy identít a prístupových práv vrátane viacfaktorovej autentifikácie a minimálneho oprávnenia;

856

* Automatizácia a orchestrácia bezpečnosti prostredníctvom automatizácie opakujúcich sa úloh a koordinácie rôznych bezpečnostných nástrojov a procesov na zvýšenie efektívnosti a reakčnej schopnosti;

857

* Rozhranie na vzdelávania a testovanie zamestnancov pre oblasť aktuálne platnej legislatívy v oblasti informačnej a kybernetickej bezpečnosti;

858

* Rozhranie pre školenia personálu v oblasti najlepších postupov v oblasti informačnej a kybernetickej bezpečnosti;

859

* Otvorené API rozhranie podľa štandardu WSDL

\\

\\

Výkonnostné požiadavky:

\\

* CPU: 2 vCPU

* RAM: Minimálne 4 GB (odporúčaná 8GB)

871

* Úložisko: SSD s minimálne 128 GB voľného miesta (odporúčané 256GB)

872

* Sieťová konektivita: min 100Mbps

\\

\\

Dodávateľ zabezpečí :

879

880

* Implementáciu a integráciu nástroja v existujúcom prostredí

881

* Potrebnú dokumentáciu ku infraštruktúre

882

883

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholderi"/}}3.3 Zainteresované strany/Stakeholderi ==

(% class="" %)|(((

**ID**

)))|(((

**AKTÉR / STAKEHOLDER**

)))|(((

**SUBJEKT**

)))|(((

**ROLA**

)))|(((

**Informačný systém**

)))

(% class="" %)|(((

1.

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

)))|(((

MIRRI

)))|(((

Riadiaci orgán OP Slovensko/Poskytovateľ NFP

)))|(((

-

)))

(% class="" %)|(((

2.

)))|(((

Mesto Skalica

)))|(((

Mesto Skalica

)))|(((

Vlastník procesu

)))|(((

isvs_14482

isvs_14481

isvs_12137

)))

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}3.4 Ciele projektu ==

\\

(% class="" %)|(((

**ID**

)))|(((

**Názov cieľa**

)))|(((

**Názov strategického cieľa**

933

)))|(((

934

**Spôsob realizácie strategického cieľa**

)))

(% class="" %)|(((

C1

)))|(((

Zosúladenie bezpečnostnej dokumentácie s platnou legislatívou

940

)))|(((

941

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

\\

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe (Cieľ Národnej koncepcie informatizácie verejnej správy, cieľ 4.1)

946

)))|(((

947

Dosiahnutie cieľa bude možné cez hlavnú aktivitu projektu, ktorou je „Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti“

)))

(% class="" %)|(((

C2

)))|(((

Vytvoreniu efektívneho systému bezpečnostného monitoringu IKT prostredia

953

)))|(((

954

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

\\

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe (Cieľ Národnej koncepcie informatizácie verejnej správy, cieľ 4.1)

959

)))|(((

960

Dosiahnutie cieľ bude možné cez hlavnú aktivitu projektu, ktorou je „Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti“

)))

(% class="" %)|(((

C3

)))|(((

Celkové zvýšenie úrovne informačnej a kybernetickej bezpečnosti v podmienkach žiadateľa

966

)))|(((

967

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

\\

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe (Cieľ Národnej koncepcie informatizácie verejnej správy, cieľ 4.1)

972

)))|(((

973

Dosiahnutie cieľ bude možné cez hlavnú aktivitu projektu, ktorou je „Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti“

974

)))

975

976

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.5Merateľnéukazovatele(KPI)"/}}** **3.5 Merateľné ukazovatele (KPI) ==

\\

(% class="" %)|(((

**ID**

)))|(((

**ID/Názov cieľa**

)))|(((

**Názov ukazovateľa (KPI)**

986

)))|(((

987

**Popis ukazovateľa**

)))|(((

**Merná jednotka**

)))|(((

**AS IS merateľné hodnoty (aktuálne)**

992

)))|(((

993

**TO BE Merateľné hodnoty (cieľové hodnoty)**

994

)))|(((

995

**Spôsob ich merania**

)))|(((

**Pozn.**

)))

(% class="" %)|(((

PO095 / PSKPSOI12

)))|(((

C1; C2; C3; C4

)))|(((

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

1005

)))|(((

1006

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.

)))|(((

Verejné inštitúcie

)))|(((

0

)))|(((

1

)))|(((

Subjekty verejnej správy zapísané v štatistickom registri organizácií vedenom Štatistickým úradom SR, ktoré sú zaradené v sektore verejnej správy.

1015

)))|(((

1016

Realizácia projektu umožní rozvoj KaIB v 1 inštitúcii, ktorou je Mesto Skalica

)))

(% class="" %)|(((

PR017 / PSKPRCR11

)))|(((

C1; C2; C3; C4

)))|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

1024

)))|(((

1025

Počet používateľov v oblasti KIB

)))|(((

Používatelia/rok

)))|(((

0

)))|(((

122

)))|(((

Databáza zamestnancov žiadateľa

1034

)))|(((

1035

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov je vyjadrený ako priemerný evidenčný počet zamestnancov ku koncu roka, zaokrúhlený na celé čísla nadol.

1036

)))

1037

1038

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.6Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.6 Špecifikácia potrieb koncového používateľa ==

1039

1040

Koncovým užívateľom je v rámci projektu Mesto Skalica. Špecifikáciu potrieb koncového používateľa predstavujú závery auditu kybernetickej bezpečnosti, ktorý bol spracovaný v mesiacoch máj a jún 2024. Na hlavné problémy identifikované auditom reflektujú jednotlivé technické riešenia popísané v tomto projektovom zámere.

1041

1042

Uvedené potreby sú riešené predkladaným projektom, resp. činnosťami, ktoré sú podrobne uvedené v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

1043

1044

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.7Rizikáazávislosti"/}}3.7 Riziká a závislosti ==

1045

1046

Register rizík a závislostí tvorí samostatnú prílohu projektu. Zoznam rizík a závislostí reflektuje na riziká identifikované v čase prípravno-iniciačnej fázy projektu a počas implementácie projektu bude predmetom neustálej aktualizácie, tak aby reflektoval na skutkový stav.

1047

1048

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.8Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.8 Stanovenie alternatív v biznisovej vrstve architektúry ==

1049

1050

Pri koncipovaní biznisovej vrstvy architektúry boli porovnávané celkovo 3 variabilné alternatívy riešenia súčasného stavu. S ohľadom na vyššie popísané problémy vyvstali pri koncipovaní projektu 3 možné alternatívne riešenia:

1051

1052

**Alternatíva 1 - Zachovanie súčasného stavu architektúry**

1053

1054

Prvou alternatívou je zachovanie existujúceho stavu ochrany informačných systémov mesta. V prípade využitia tejto alternatívy by však nebola zabezpečená požadovaná úroveň zabezpečenia KaIB a ochrana informácií a informačných aktív samosprávy by bola rozpore s povinnosťami vyplývajúcimi zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

1055

1056

**Alternatíva 2 – Čiastočné zvýšenie úrovne kybernetickej a informačnej bezpečnosti**

1057

1058

Druhou alternatívou je aplikovanie iba čiastkových riešení KaIB mesta. S ohľadom na nedostatok finančných zdrojov samosprávy by bola táto alternatíva využitá v prípade nezískania prostriedkov z Programu Slovensko. V rámci tejto alternatívy by boli realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou a to prioritne opatrenia v oblasti governance KaIB. Uvedená alternatíva by však s ohľadom na disponibilné zdroje mesta neumožňovala realizáciu technologických odporúčaní, resp. len v obmedzenej miere. Alternatíva neumožňuje implementáciu mechanizmov pre potreby zabezpečenia infraštruktúry žiadateľa umiestnenej v cloude** a pod.**

1059

1060

**Alternatíva 3 – Vypracovanie komplexnej bezpečnostnej dokumentácie a komplexné vybudovanie technických riešení zabezpečenia KaIB mesta**

1061

1062

Tretia alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti a teda zosúladenie stavu riešenia KaIB s legislatívnymi požiadavkami. Táto alternatíva zahŕňa komplex technických a netechnických opatrení, ktoré reflektujú na odporúčania realizovaného auditu kybernetickej bezpečnosti mesta Skalica.

1063

1064

Ako najefektívnejšia bola vybraná Alternatíva č. 3, ktorá pokrýva procesy a požiadavky všetkých stakeholderov/aktérov a celú situáciu rieši komplexne.

1065

1066

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.9Multikriteriálnaanalýza"/}}3.9 Multikriteriálna analýza ==

\\

(% class="" %)|(((

//** **//

)))|(((

**KRITÉRIUM**

)))|(((

**ZDÔVODNENIE KRITÉRIA**

1076

)))|(((

1077

**STAKEHOLDER 1 - MIRRI**

1078

)))|(((

1079

**STAKEHOLDER 2 – Mesto Skalica**

1080

)))

1081

(% class="" %)|(% rowspan="3" %)(((

\\

\\

BIZNIS VRSTVA

// //

)))|(((

**Kritérium A**

Zosúladenie bezpečnostnej dokumentácie s platnou legislatívou (KO)

1093

)))|(((

1094

Jedná sa o KO kritérium vychádzajúce zo základnej požiadavky súladu s legislatívou

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

**Kritérium B**

Nasadenie HW a SW pre zvýšenie úrovne KaIB mesta (KO)

1104

)))|(((

1105

Jedná sa o KO kritérium vychádzajúce z nevyhnutnej potreby odstránenia zistení vyplývajúcich z auditu kybernetickej bezpečnosti

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

**Kritérium C**

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

1115

)))|(((

1116

Jedná sa o kritérium predstavujúce komplexné riešenie kybernetickej bezpečnosti mesta

)))|(((

\\

)))|(((

X

)))

\\

**Vyhodnotenie MCA**

(% class="" %)|(((

Zoznam kritérií

)))|(((

Alt. 1

)))|(((

Spôsob dosiahnutia

)))|(((

Alt. 2

)))|(((

Spôsob dosiahnutia

)))|(((

Alt. 3

)))|(((

Spôsob dosiahnutia

)))

(% class="" %)|(((

**Kritérium A**

Zosúladenie bezpečnostnej dokumentácie s platnou legislatívou (KO)

)))|(((

Nie

)))|(((

Realizáciou alternatívy č. 1 nepríde k naplneniu KO kritéria

)))|(((

Áno

)))|(((

Realizácia alternatívy č. 2 umožní realizáciu governance KaIB v prostredí mesta a tým naplní súlad s platnou legislatívou.

)))|(((

Áno

)))|(((

Alternatíva č. 3 umožňuje komplexnú realizáciu opatrení v oblasti ochrany KaIB a teda tiež naplnenie požiadaviek súvisiacich s governance KaIB v zmysle platnej legislatívy

)))

(% class="" %)|(((

**Kritérium B**

Nasadenie HW a SW pre zvýšenie úrovne KaIB mesta (KO)

)))|(((

Nie

)))|(((

Realizáciou alternatívy č. 1 nepríde k naplneniu KO kritéria

)))|(((

Áno -čiastočne

)))|(((

Realizácia alternatívy č. 2 umožní realizáciu čiastkových technických opatrení vedúcich k zvýšeniu úrovne KaIB mesta

)))|(((

Áno

)))|(((

Alternatíva č. 3 umožňuje komplexnú realizáciu opatrení v oblasti ochrany KaIB a teda umožní zrealizovať také technické riešenie, ktoré zvýši úroveň KaIB mesta

)))

(% class="" %)|(((

**Kritérium C**

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

)))|(((

Nie

)))|(((

Realizáciou alternatívy č. 1 nepríde k naplneniu tohto kritéria

)))|(((

Nie

)))|(((

Realizáciou alternatívy č. 2 nepríde k realizovaniu automatizovaných riešení a teda k naplneniu tohto kritéria

)))|(((

Áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje okrem iného aj nasadenie automatizovaných riešenie pre oblasť kybernetickej bezpečnosti.

1192

)))

1193

1194

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.10Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.10 Stanovenie alternatív v aplikačnej vrstve architektúry ==

1195

1196

HW a SW komponenty, tiež služby a podpora, ktoré sú s nimi spojené, musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi, ktoré vychádzajú zo zistení a následných odporúčaní analýzy bezpečnosti a z požiadaviek zákona o KIB, zákona o ISVS a ďalších predpisov.

1197

1198

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.11Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.11 Stanovenie alternatív v technologickej vrstve architektúry ==

1199

1200

Technologická alternatíva nie je definovaná, nakoľko projekt umožňuje realizovať ľubovoľnú SW a HW technológiu. Konkrétnu technológiu navrhne úspešných uchádzač v rámci procesu verejného obstarávania.

1201

1202

= {{id name="projekt_2924_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

1203

1204

Výstupom projektu budú:

1205

1206

* Projektové výstupy podľa vyhlášky 401/2023 o riadení projektov relevantné pre predmetný typ projektu,

1207

* Vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti. Podrobný zoznam je uvedený v časti Motivácia a rozsah projektu, časť 1.

1208

* Nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti. Podrobný zoznam je uvedený v časti Motivácia a rozsah projektu, časti 2 až 10

1209

1210

Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. časť 9 – Projektový tím).

1211

1212

= {{id name="projekt_2924_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY =

1213

1214

Podrobný popis architektúry je uvedený v dokumente Prístup k projektu. V tejto kapitole uvádzame len sumárny nákres architektúry.

1215

1216

[[image:attach:Architektura.png||height="400"]]

1217

1218

== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1Prehľade-Governmentkomponentov"/}}5.1 Prehľad e-Government komponentov ==

1219

1220

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}5.1.1 Prehľad koncových služieb – budúci stav: ===

1221

1222

Projekt nebuduje koncové služby.

1223

1224

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.2Prehľadbudovaných/rozvíjanýchISVSvprojekte–budúcistav:"/}}5.1.2 Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ===

1225

1226

Projekt nebuduje a ani nerozvíja ISVS

1227

1228

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.3Prehľadbudovanýchaplikačnýchslužieb–budúcistav:"/}}5.1.3 Prehľad budovaných aplikačných služieb – budúci stav: ===

1229

1230

Projekt nebuduje aplikačné služby.

1231

1232

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS1aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4 Prehľad integrácii ISVS na spoločné ISVS1 a ISVS iných OVM alebo IS tretích strán ===

1233

1234

V rámci projektu nebude realizovaná žiadna integrácia.

1235

1236

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.5Aplikačnéslužbynaintegráciu"/}}5.1.5 Aplikačné služby na integráciu ===

1237

1238

Projekt nebuduje aplikačné služby.

1239

1240

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.6PoskytovanieúdajovzISVSdoISCSRÚ"/}}5.1.6 Poskytovanie údajov z ISVS do IS CSRÚ ===

1241

1242

Projekt nebude poskytovať údaje do IS CSRÚ.

1243

1244

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.7KonzumovanieúdajovzISCSRÚ"/}}5.1.7 Konzumovanie údajov z IS CSRÚ ===

1245

1246

Projekt nebude konzumovať údaje z IS CSRÚ.

1247

1248

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.8Prehľadplánovanéhovyužívaniainfraštruktúrnychslužieb(cloudovýchslužieb)–budúcistav"/}}5.1.8 Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav ===

1249

1250

Projekt neplánuje využívanie cloudových infraštruktúrnych služieb.

1251

1252

= {{id name="projekt_2924_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6. LEGISLATÍVA =

1253

1254

Z pohľadu rozsahu projektu nie je pre jeho úspešnú implementáciu potrebná úprava legislatívnych noriem na úrovni zákonov, vyhlášok alebo všeobecne záväzných nariadení. Z pohľadu realizácie projektu bude však nevyhnutná úprava viacerých interných smerníc a dokumentov. Konkrétny rozsah je popísaný v rámci kapitoly 3.2 Motivácia a rozsah projektu. Upravené smernice a riadiaca dokumentácia bude tvoriť tiež samotný výstup projektu a ich spracovaním príde k úprave vnútorných procesov mesta vo vzťahu k zvýšeniu úrovne kybernetickej bezpečnosti a povedomia o nej. Projekt sa počas prípravy a tiež následne počas svojej implementácie bude riadiť príslušnou platnou legislatívou. Medzi najvýznamnejšie legislatívne dokumenty patria:

1255

1256

* Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov;

1257

* Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy v znení neskorších predpisov;

1258

* Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov;

1259

* Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení neskorších predpisov;

1260

* Vyhláška 401/2023 Z. z. Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy.

1261

1262

= {{id name="projekt_2924_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7. ROZPOČET A PRÍNOSY =

1263

1264

Celkový rozpočet projektu je vyčíslený na sumu 351 468,84 EUR s DPH, z čoho podporné aktivity projektu (riadenie projektu, informovanosť a publicita) boli stanovené v maximálnej výške 7 % z celkových priamych výdavkov. S ohľadom na deklarovanú výšku rozpočtu projektu (projekt do 1 000 000,00,- EUR) nebola spracovaná Analýza nákladov a prínosov.

1265

1266

Za účelom preukázania hospodárnosti výdavkov rozpočtu na realizáciu projektu vykonal žiadateľ prieskum trhových cien v rámci ktorého reflektovali na Výzvu o cenovú ponuku 3 potenciálny uchádzači. Prieskum trhu bol realizovaný v mesiaci jún 2024. Výška výdavkov súvisiaca s obstaraním jednotlivých položiek bola určená ako aritmetický priemer doručených ponúk. Žiadateľ sa rozhodol pre výkon prieskumu trhu z dôvodu čo možno najpresnejšieho stanovenia cien jednotlivých položiek rozpočtu. Kompletná dokumentácia z vykonaného prieskumu trhu je archivovaná u žiadateľa a je dostupná poskytovateľovi v prípade potreby na vyžiadanie.

1267

1268

== {{id name="projekt_2924_Projektovy_zamer_detailny-7.1Sumarizácianákladovaprínosov"/}}7.1 Sumarizácia nákladov a prínosov ==

(% class="" %)|(((

**Náklady**

)))|(((

**Spracovanie Auditu kybernetickej bezpečnosti – už realizované**

1274

)))|(((

1275

**Spracovanie povinnej dokumentácie a návrh procesov minimálne na úrovni požiadaviek zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a zákona č. 95/2019 Z.z. o informačných technológiách **

1276

)))|(((

1277

**Implementácia mechanizmov pre potreby zabezpečenia infraštruktúry žiadateľa umiestnenej v cloude**

1278

)))|(((

1279

**Nasadenie dvojfaktorovej autentifikácie**

1280

)))|(((

1281

**Riešenie centrálneho bezpečnostného manažmentu pre koncové stanice - centrálna správa a manažment koncových zariadení - XDR**

1282

)))|(((

1283

**Nasadenie nástroja na riadenie kybernetickej bezpečnosti v prostredí mesta Skalica**

1284

)))

1285

(% class="" %)|(((

1286

**Všeobecný materiál**

)))|(((

**0,00**

)))|(((

**0,00**

)))|(((

**0,00**

)))|(((

**0,00**

)))|(((

**0,00**

)))|(((

**0,00**

)))

(% class="" %)|(((

**Paušálna sadzba na nepriame výdavky**

)))|(((

**3 832,22**

)))|(((

**3 832,22**

)))|(((

**3 832,22**

)))|(((

**3 832,21**

)))|(((

**3 832,21**

)))|(((

**3 832,21**

)))

(% class="" %)|(((

**IT - CAPEX**

)))|(((

**6 000,00**

)))|(((

**34 339,59**

)))|(((

**204 523,59**

)))|(((

**9 943,59**

)))|(((

**50 057,19**

)))|(((

**23 611,59**

)))

(% class="" %)|(((

Aplikácie

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))

(% class="" %)|(((

SW

)))|(((

0,00

)))|(((

0,00

)))|(((

177 120,00

)))|(((

1 926,00

)))|(((

41 925,60

)))|(((

18 000,00

)))

(% class="" %)|(((

HW

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

1 350,00

)))|(((

0,00

)))|(((

0,00

)))

(% class="" %)|(((

Ostatné služby/práce

)))|(((

6 000,00

)))|(((

33 048,00

)))|(((

26 112,00

)))|(((

5 376,00

)))|(((

6 840,00

)))|(((

4 320,00

)))

(% class="" %)|(((

Mzdové výdavky

)))|(((

0,00

)))|(((

1 291,59

)))|(((

1 291,59

)))|(((

1 291,59

)))|(((

1 291,59

)))|(((

1 291,59

)))

(% class="" %)|(((

**IT - OPEX- prevádzka /rok**

)))|(((

**0,00**

)))|(((

**0,00**

)))|(((

**9 504,00**

)))|(((

**0,00**

)))|(((

**3 024,00**

)))|(((

**2 304,00**

)))

(% class="" %)|(((

Aplikácie

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))

(% class="" %)|(((

SW

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))

(% class="" %)|(((

HW

)))|(((

0,00

)))|(((

0,00

)))|(((

9 504,00

)))|(((

0,00

)))|(((

3 024,00

)))|(((

2 304,00

)))

(% class="" %)|(((

**Prínosy**

)))|(((

\\

)))|(((

**~ **

)))|(((

\\

)))|(((

\\

)))|(((

**~ **

)))|(((

**~ **

)))

(% class="" %)|(((

**Kvalitatívne prínosy**

)))|(((

\\

)))|(((

// //

)))|(((

\\

)))|(((

\\

)))|(((

// //

)))|(((

// //

)))

(% class="" %)|(((

\\

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))

= {{id name="projekt_2924_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =

(% class="" %)|(((

**ID**

)))|(((

**FÁZA/AKTIVITA**

)))|(((

**ZAČIATOK

(odhad termínu)**

)))|(((

**KONIEC

(odhad termínu)**

)))|(((

**POZNÁMKA**

)))

(% class="" %)|(((

1.

)))|(((

Prípravná fáza

)))|(((

05/2024

)))|(((

06/2024

)))|(((

\\

)))

(% class="" %)|(((

2.

)))|(((

Iniciačná fáza

)))|(((

06/2024

)))|(((

06/2025

)))|(((

Iniciačná fáza zahŕňa aj realizáciu VO

)))

(% class="" %)|(((

3.

)))|(((

Realizačná fáza

)))|(((

07/2025

)))|(((

08/2026

)))|(((

\\

)))

(% class="" %)|(((

3a

)))|(((

Analýza a Dizajn

)))|(((

07/2025

)))|(((

09/2025

)))|(((

\\

)))

(% class="" %)|(((

3b

)))|(((

Nákup technických prostriedkov, programových prostriedkov a služieb

)))|(((

07/2025

)))|(((

10/2025

)))|(((

**~ **

)))

(% class="" %)|(((

3c

)))|(((

Implementácia a testovanie

)))|(((

10/2025

)))|(((

02/2026

)))|(((

\\

)))

(% class="" %)|(((

3d

)))|(((

Nasadenie a PIP

)))|(((

03/2026

)))|(((

06/2026

)))|(((

PIP - 3 mesiace po nasadení

)))

(% class="" %)|(((

4.

)))|(((

Dokončovacia fáza

)))|(((

07/2026

)))|(((

08/2026

)))|(((

\\

)))

(% class="" %)|(((

5.

)))|(((

Podpora prevádzky (SLA)

)))|(((

08/2026

)))|(((

08/2031

)))|(((

\\

)))

V rámci predmetného projektu sa plánuje riadenie systémom „WATERFALL“, ktorý sa javí ako vhodnejšia alternatíva k agilnému prístupu, nakoľko všetky projektové etapy bude pomerne jednoznačne možné identifikovať, ohraničiť a realizovať vo vzťahu k ich vecnej a časovej závislosti. V rámci ďalších fáz projektu, predovšetkým v Iniciačnej fáze budú upresnené jednotlivé etapy projektu a súslednosť pracovných balíkov „WPs“ a to v súlade s metodikou riadenia projektov PRINCE2.

1627

1628

= {{id name="projekt_2924_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM =

1629

1630

Najvyššia úroveň riadenia projektu bude zastúpená v zmysle metodiky riadenia projektov PRINCE2 Riadiacim výborom projektu „RV“, ktorý bude zasadať v nasledovnom zložení:

1631

1632

* Predseda Riadiaceho výboru

1633

* Projektový manažér

1634

* Vlastník procesov

1635

* Zástupca prevádzky (kľúčový používateľ)

1636

* Zástupca dodávateľa

1637

1638

Okrem RV bude v rámci projektu zriadený tiež projektový tím žiadateľa, ktorý bude zložený:

1639

1640

* Manažér kybernetickej a informačnej bezpečnosti

1641

* Kľúčový používateľ

1642

1643

Riadiaci výbor projektu v kooperácii s projektovým tímom bude zriadený pre účely usmerňovania a riadenia projektu ako celku. Projektový tím bude zodpovedať za celkový úspech projektu a bude zároveň nositeľom zodpovednosti a autority v rámci projektu. Okrem iného bude koordinovať činnosti publicity a informovanosti projektu a zdieľať informácie o projekte smerom k dotknutým osobám „stakeholderom“ a to počas celej doby trvania projektu a počas existencie projektového výboru samotného.

1644

1645

Riadiaci výbor bude schvaľovať najmä nasledovné:

1646

1647

* Hlavné plány projektu

1648

* Autorizovať prípadne odchýlky od dohodnutých plánov

1649

* Bude autorizovať ukončenie všetkých hlavných aktivít projektu (viď časový harmonogram)

1650

* Bude zodpovedať za zabezpečenie príslušných zdrojov projektu (aj vo vzťahu k dodávateľom)

1651

* Schvaľuje rolu Projektového manažéra

1652

* Zodpovedá za schválenie projektovej iniciačnej dokumentácie „PID“

1653

* Bude zodpovedať za celkové usmerňovanie projektu (sledovanie projektu v rámci tolerancií)

1654

* Bude prehodnocovať ukončené etapy a schvaľovať prechody do ďalších etáp (aplikovateľné práve na podmienky prístupu „waterfall“...

1655

* Na konci projektu bude zabezpečovať, aby boli produkty odovzdané uspokojivo

1656

* Bude zodpovedať za schválenie/akceptáciu výstupov a schválenie záverečnej správy (preberacie protokoly, akceptácia predmetu projektu...).

1657

1658

Projektový tím bude zabezpečovať samotnú realizáciu projektu v kooperácii s dodávateľom a pripravovať potrebné dokumenty k schváleniu riadiacim výborom.

(% class="" %)|(((

**ID**

)))|(((

**Meno a Priezvisko**

)))|(((

**Pozícia**

)))|(((

**Oddelenie**

)))|(((

**Rola v projekte**

)))

(% class="" %)|(((

1.

)))|(((

Mgr. Oľga Luptáková

)))|(((

Primátorka

)))|(((

Kancelária primátora

)))|(((

Predseda RV

)))

(% class="" %)|(((

2.

)))|(((

Mgr. Juraj Spáčil

)))|(((

Vedúci

)))|(((

Oddelenie všeobecnej správy

1690

)))|(((

1691

Vlastník procesov/člen RV

)))

(% class="" %)|(((

3.

)))|(((

Tibor Ružička

)))|(((

Informatik

)))|(((

Oddelenie všeobecnej správy

1701

)))|(((

1702

Zástupca prevádzky (kľúčový používateľ)/člen RV a člen projektového tímu

)))

(% class="" %)|(((

4.

)))|(((

Vybratý v rámci VO

)))|(((

Zástupca dodávateľa

)))|(((

dodávateľ

)))|(((

Člen RV bez hlasovacieho práva

)))

(% class="" %)|(((

5.

)))|(((

Vybratý v rámci VO

)))|(((

Projektový manažér

)))|(((

dodávateľ

)))|(((

Projektový manažér/člen RV bez hlasovacieho práva

)))

(% class="" %)|(((

6.

)))|(((

Pavol Svrček

)))|(((

Manažér kybernetickej bezpečnosti

1732

)))|(((

1733

Oddelenie všeobecnej správy

1734

)))|(((

1735

Manažér kybernetickej a informačnej bezpečnosti (člen projektového tímu)

1736

)))

1737

1738

Schéma projektového tímu je znázornená nižšie.

1739

1740

[[image:attach:Projektovy_team_VZ.png||height="400"]]

1741

1742

== {{id name="projekt_2924_Projektovy_zamer_detailny-9.1Pracovnénáplne"/}}9.1 Pracovné náplne ==

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ PROJEKTOVÝ MANAŽÉR**

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

* zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

1753

* zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

1754

* zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

1755

)))

1756

(% class="" %)|(((

1757

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

* Riadenie projektu podľa pravidiel stanovených vo Vyhláške 401/2023 Z.z.

1762

* Riadenie prípravy, inicializácie a realizácie projektu

1763

* Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii

1764

* Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

1765

* Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

1766

* Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

1767

* Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1768

* Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

1769

* Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 401/2023 Z.z., Prílohy č.1

1770

* Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1 na rokovanie RV

1771

* Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

1772

* Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

1773

* Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

1774

* Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

1775

* Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

1776

* Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

1777

* Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

1778

* Riadenie implementačných a prevádzkových aktivít v rámci projektov.

1779

* Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

1780

* Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

1781

* Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

1782

* Dodržiavanie metodík projektového riadenia,

1783

* Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),

1784

* Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr

1785

)))

1786

(% class="" %)|(((

1787

**Odporúčané kvalifikačné predpoklady**

1788

)))|(((

1789

* Certifikácia - Prince 2

1790

* Certifikácia - PMI PMP

1791

* Certifikácia - IPMA

1792

* Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

)))

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ KĽUČOVÝ POUŽIVATEĽ **(end user)

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

* zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

1803

* zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.

1804

* Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov

1805

)))

1806

(% class="" %)|(((

1807

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

* Návrh a špecifikáciu funkčných a technických požiadaviek

1812

* Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

1813

* Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,

1814

* Špecifikáciu požiadaviek koncových používateľov na prínos systému

1815

* Špecifikáciu požiadaviek na bezpečnosť,

1816

* Návrh a definovanie akceptačných kritérií,

1817

* Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

1818

* Finálne odsúhlasenie používateľského rozhrania

1819

* Vykonanie akceptačného testovania (UAT)

1820

* Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

1821

* Finálny návrh na spustenie do produkčnej prevádzky,

1822

* Predkladanie požiadaviek na zmenu funkcionalít produktov

1823

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1824

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ VLASTNÍK PROCESOV **(biznis vlastník)

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

* zodpovedá za proces - jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi. Kľúčová rola na strane zákazníka (verejného obstarávateľa), ktorá schvaľuje biznis požiadavky a zodpovedá za výsledné riešenie, prínos požadovanú hodnotu a naplnenie merateľných ukazovateľov. Úlohou tejto roly je definovať na užívateľa orientované položky (user-stories), ktoré budú zaradzované a prioritizované v produktovom zásobníku. Zodpovedá za priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane DNR z pohľadu analýzy a návrhu riešenia aplikácii IS.

1838

* zodpovedný za schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu. Definuje očakávania na kvalitu projektu, kvalitu projektových produktov, prínosy pre koncových používateľov a požiadavky na bezpečnosť. Definuje merateľné výkonnostné ukazovatele projektov a prvkov. Vlastník procesov schvaľuje akceptačné kritériá, rozsah a kvalitu dodávaných projektových výstupov pri dosiahnutí platobných míľnikov, odsúhlasuje spustenie výstupov projektu do produkčnej prevádzky a dostupnosť ľudských zdrojov alokovaných na realizáciu projektu.

1839

)))

1840

(% class="" %)|(((

1841

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

* Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov.

1846

* Spoluprácu pri riešení odpovedí na otvorené otázky a riziká projektu.

1847

* Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej)

1848

* Riešenie problémov a požiadaviek v spolupráci s odbornými garantmi,

1849

* Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek

1850

* Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu

1851

* Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť,

1852

* Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,

1853

* Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu (BC/CBA)

1854

* Schválenie akceptačných kritérií,

1855

* Riešenie problémov používateľov

1856

* Akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,

1857

* Vykonanie UX a UAT testovania

1858

* Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,

1859

* Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

1860

* Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch.

1861

* Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a prioritizácii

1862

* Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd,

1863

* Okrem zvažovaní rizík prevádzkových alebo podporných procesov súčasne vlastník napomáha identifikovať príležitosti,

1864

* Zlepšovanie a optimalizáciu procesov v spolupráci s ďalšími prepojenými vlastníkmi procesov a manažérom kvality,

1865

* Odsúhlasenie akceptačných protokolov zmenových konaní

1866

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1867

* plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ MANAŽÉR KYBERNETICKEJ BEZPEČNOSTI (KIB) a IT BEZPEČNOSTI (ITB)**

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

* zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

1878

* koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti

1879

1880

**PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KIB a ITB:**

1881

1882

1. neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných.

1883

1. rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle:

1884

1885

a) § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

1886

1887

b) ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

1888

)))

1889

(% class="" %)|(((

1890

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

* špecifikovanie štandardov, princípov a stratégií v oblasti ITB a KIB,

1895

* ak je projekt primárne zameraný na problematiku ITB a KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na ITB a KIB,

1896

* špecifikovanie požiadaviek na ITB a KIB, kontroluje ich implementáciu v realizovanom projekte,

1897

* špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

1898

* špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť ITB a KIB,

1899

* špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

1900

* špecifikovanie požiadaviek na školenia pre oblasť ITB a KIB,

1901

* špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť ITB a KIB,

1902

* špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na ITB a KIB,

1903

* realizáciu posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

1904

* špecifikovanie požiadaviek na ITB a KIB, bezpečnostný projekt a riadenie prístupu,

1905

* špecifikovanie požiadaviek na testovanie z hľadiska ITB a KIB, realizáciu kontroly zapracovania a retestu,

1906

* špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť ITB a KIB, ako aj v zmysle "best practies",

1907

* špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s ITB a KIB kontroluje ich implementáciu v realizovanom projekte,

1908

* špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu ITB a KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

1909

* špecifikáciu požiadaviek na bezpečnosť IT a KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

1910

* špecifikáciu akceptačných kritérií za oblasť ITB a KIB,

1911

* špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na ITB a KIB,

1912

* poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť ITB a KIB,

1913

* získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1914

* špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,

1915

* konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska ITB a KIB,

1916

* špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť ITB a KIB,

1917

* realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť ITB a KIB

1918

* realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

1919

* realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

1920

* realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť ITB a KIB,

1921

* realizáciu kontroly zameranú na implementovaný proces v priamom súvise s ITB a KIB,

1922

* realizáciu kontroly súladu s planou legislatívou v oblasti ITB a KIB (obsahuje aj kontrolu leg. požiadaviek)

1923

* realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

1924

* poskytovanie konzultácií a súčinnosti pre problematiku ITB a KIB,

1925

* získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1926

* aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1927

* plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

1928

)))

1929

1930

= {{id name="projekt_2924_Projektovy_zamer_detailny-10.ODKAZY"/}}10. ODKAZY =

N/A