projekt_2924_Projektovy_zamer_detailny

= {{id name="projekt_2924_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

85

86

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

87

88

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky má obsahovať manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

89

90

== {{id name="projekt_2924_Projektovy_zamer_detailny-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

|(((

**SKRATKA/POJEM **

)))|(((

**POPIS **

)))

|(((

API

)))|(((

Application Programming Interface

)))

|(((

CPU

)))|(((

Centrálna procesorová jednotka

)))

|(((

GB

)))|(((

Gigabajt

)))

|(((

HDD

)))|(((

Hard drive

)))

|(((

HTTPS

)))|(((

Hypertext transfer protocol secure

)))

|(((

HW

)))|(((

Hardware

)))

|(((

IKT

)))|(((

Informačno komunikačné technológie

)))

|(((

IPS

)))|(((

Intrusion prevention systems

)))

|(((

ISVS

)))|(((

Informačný systém verejnej správy

)))

|(((

KaIB

)))|(((

Kybernetická a informačná bezpečnosť

)))

|(((

LAN

)))|(((

Miestna sieť

)))

|(((

MIRRI

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky

)))

|(((

MS

)))|(((

Microsoft

)))

|(((

NFP

)))|(((

Nenávratný finančný príspevok

)))

|(((

OS

)))|(((

Operačný systém

)))

|(((

PIP

)))|(((

Projektová iniciačná prevádzka

)))

|(((

RAM

)))|(((

Operačná pamäť

)))

|(((

REST

)))|(((

Representational State Transfer

)))

|(((

RV

)))|(((

Riadiaci výbor

)))

|(((

SMB

)))|(((

Server Message Block

)))

|(((

SNMP

)))|(((

Simple Network Management Protocol

)))

|(((

SPAN

)))|(((

Switched port analyzer

)))

|(((

SQL

)))|(((

Structured query language

)))

|(((

SSD

)))|(((

Solid state drive

)))

|(((

SSH

)))|(((

Secure shell

)))

|(((

SW

)))|(((

Software

)))

|(((

VM

)))|(((

Virtual machine

)))

|(((

VPN

)))|(((

Virtuálna privátna sieť

)))

|(((

WP

)))|(((

Work Packages

)))

== {{id name="projekt_2924_Projektovy_zamer_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}2.2 Konvencie pre typy požiadaviek (príklady) ==

244

245

Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu: FRxx

246

247

* U – užívateľská požiadavka

248

* R – označenie požiadavky

249

* xx – číslo požiadavky

250

251

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu: NRxx

252

253

* N – nefukčná požiadavka (NFR)

254

* R – označenie požiadavky

255

* xx – číslo požiadavky

256

257

Ostatné typy požiadaviek môžu byť ďalej definované PM.

258

259

= {{id name="projekt_2924_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

260

261

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}3.1 Manažérske zhrnutie ==

262

263

Mesto Skalica sa nachádza na západnom Slovensku, v severnej časti Trnavského kraja, v okrese Skalica. So svojou rozlohou 60,01 km2 je 38. najrozľahlejším mestom Slovenskej republiky a s hustotou 257,64 obyvateľov na km2 je 80. najhustejšie obývaným sídlom Slovenska. K 31.12.2023 žilo na jeho území spolu 15 461 obyvateľov. Z hľadiska veľkostnej kategorizácie sídiel sa Skalica radí medzi mestské, stredne veľké sídla, ktoré zároveň zohráva úlohu centra regiónu zabezpečujúceho vyššiu a špecifickú obslužnú infraštruktúru pre obyvateľov obcí okresu Skalica.

264

265

Skalica je zapísaná v registri organizácií, Inštitucionálny sektor 13130 – Miestna samospráva, s hlavnou činnosťou – 84110 – Všeobecná verejná správa.

266

267

Mesto Skalica je v zmysle platnej legislatívy zapísaná do registra prevádzkovateľov základnej služby ako správca a prevádzkovateľ sietí a informačných systémov verejnej správy v pôsobnosti povinnej osoby podľa zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov. S ohľadom na uvedené jej vyplývajú viaceré povinnosti, ktoré chce spĺňať s ohľadom na Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a tiež s ohľadom na Zákon č. 95/2019 o informačných technológiách vo verejnej správe a na ne nadväzujúcich vyhlášok.

268

269

Skalica si za účelom posúdenia splnenia podmienok legislatívy v oblasti informačnej a kybernetickej bezpečnosti nechala vypracovať audit kybernetickej bezpečnosti podľa § 29 zákona č. 69/2018 Z. z.. Výsledky auditu identifikovali viacero nedostatkov a zároveň poskytli ucelenú množinu návrhov nápravných opatrení zodpovedajúcich povahe poskytovaných služieb a potrebám mesta.

270

271

Z pohľadu prevádzky IKT je potrebné prijať organizačné, technické a bezpečnostné opatrenia k pokrytiu potrieb nepretržitej prevádzky na obdobie nasledujúcich minimálne piatich rokov vyplývajúcich z potrieb prevádzky mesta ako aj legislatívnych povinností, pod ktoré Skalica ako prevádzkovateľ základnej služby spadá.

272

273

Medzi navrhované technické riešenia projektu patria:

274

275

* Spracovanie povinnej dokumentácie a návrh procesov minimálne na úrovni požiadaviek zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a zákona č. 95/2019 Z. z. o informačných technológiách

276

* Implementácia mechanizmov pre potreby zabezpečenia infraštruktúry žiadateľa umiestnenej v cloude

277

* Riešenie centrálneho bezpečnostného manažmentu pre koncové stanice - centrálna správa a manažment koncových zariadení – XDR

278

* Nasadenie dvojfaktorovej autentifikácie

279

* Nasadenie nástroja na riadenie kybernetickej bezpečnosti v prostredí mesta Skalica

280

281

Okrem technických opatrení bude Skalica vykonávať koncepčne tiež organizačné, vzdelávacie a iné legislatívne opatrenia, ktoré umožnia naďalej rozvíjať a rozširovať úroveň zabezpečenia mesta z pohľadu kybernetickej a informačnej bezpečnosti v závislosti na zmenách či už legislatívy, technológií, zamestnancov a pod. V nadväznosti na uvedené sa bude žiadateľ snažiť dlhodobo zabezpečovať:

282

283

* Manažéra kybernetickej bezpečnosti

284

* Pravidelnú realizáciu školení informačnej bezpečnosti pre nových zamestnancov

285

* Pravidelné preškolenie pôvodných zamestnancov

286

* Pravidelné aktualizácie obstaraného SW

287

* Platnosť licencií a garancie služieb počas doby udržateľnosti projektu

288

289

V globále možno konštatovať, že realizácia projektu predstavuje jeden z najzásadnejších modernizačných krokov prevádzkovanej infraštruktúry IKT, umožní prijať také opatrenia a riešenia, ktoré odstránia resp. eliminujú najvážnejšie hrozby a zároveň umožnia pripraviť základnú platformu pre ďalšie technické a netechnické opatrenia v oblasti kybernetickej bezpečnosti. S ohľadom na uvedené boli pre potreby projektu vytipované práve tie časti, ktoré predstavujú najrizikovejšie oblasti z pohľadu fungovania mesta.

290

291

Pripravovaný projekt by mal byť realizovaný s podporou NFP v rámci Výzvy PSK-MIRRI-611-2024-DV-EFRR zameranej na podporu v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa, ktorá reflektuje na Prioritu 1P1 Veda, výskum a inovácie, Špecifický cieľ RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a Opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Oblasť - Kybernetická a informačná bezpečnosť). Realizácia projektu s podporou NFP je základom pre dosiahnutie požadovaného stavu v rozumnom časovom období nakoľko mesto Skalica nie je schopné vynaložiť dostatok finančných zdrojov v horizonte najbližších rokov z vlastných zdrojov tak, aby pokryla aspoň najzásadnejšie nedostatky v oblasti KaIB. Práve realizácia projektu umožní implementáciu zodpovedajúcich technológií a procesov, na ktorých bude možné následne zabezpečovať efektívne dosiahnutie súladu legislatívy v oblasti informačnej a kybernetickej bezpečnosti a možností mesta.

292

293

Indikatívna výška finančných prostriedkov určených na realizáciu projektu je: 351 468,84 € a bola stanovená ako aritmetický priemer cenových ponúk v rámci realizovaného predbežného prieskumu trhu.

294

295

Časový horizont realizácie projektu je stanovený v závislosti od určených hodnotiacich kôl predmetnej výzvy na MIRRI. Predpokladaný začiatok hlavných aktivít projektu je tak so zohľadnením procesu hodnotenia podaných projektov stanovený na 07/2025 – 08/2026. Časový harmonogram v navrhovanom rozsahu umožní elimináciu akýchkoľvek nepredvídaných komplikácií v rámci implementácie projektu.

296

297

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2 Motivácia a rozsah projektu ==

298

299

Prevádzkovateľ zabezpečuje všetky činnosti v zmysle zákona o obecnom zriadení a zodpovedá za činnosť mesta a mestských inštitúcií. Výpadok informačného systému mesta znamená znefunkčnenie mesta a tým znemožnenie plnenia povinností daných zákonom o obecnom zriadení. Dôležitosť informačnej a kybernetickej bezpečnosti je teda vysoká, čo je vyjadrené aj ako dopad potenciálneho kybernetického incidentu na mesto a spoločnosť ako takú. Vzhľadom na nám známe kybernetické útoky na mestské úrady považujeme za kľúčovú a nevyhnutnú časť kybernetickej bezpečnosti pravidelné prehodnocovanie rizík, monitoring systémov a následnú aktualizáciu bezpečnostných opatrení.

300

301

Žiadateľ je v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov zaradený do zoznamu prevádzkovateľov základných služieb v sektore verejná správa.

302

303

=== {{id name="projekt_2924_Projektovy_zamer_detailny-3.2.1Informácieooblastiachdotknutýchprojektom"/}}3.2.1 Informácie o oblastiach dotknutých projektom ===

304

305

Zoznam kľúčových identifikovaných informačných systémov, ktorých ohrozenie by malo významný vplyv na poskytovanie základnej služby, resp. by výskyt incidentu spôsobil vážny výpadok informačných systémov verejnej správy je nasledovný:

|(((

**Systém**

)))|(((

**Popis**

)))

|(((

ISS

)))|(((

Databázový systém pre Verejnú správu

)))

|(((

DISS

)))|(((

Prijatá a odoslaná elektronická pošta

322

)))

323

324

Mesto v súčasnosti disponuje manažérom kybernetickej a informačnej bezpečnosti. Pozícia manažéra kybernetickej a informačnej bezpečnosti je zabezpečovaná formou dohody o prácach vykonávaných mimo pracovného pomeru a bude zabezpečovaná tiež v rámci implementácie projektu. Zabezpečenie procesov implementácie technických riešení v oblasti IT má na starosti externý dodávateľ. Niektorí interní zamestnanci popri zabezpečovaní svojich kompetencií dohliadajú tiež na zabezpečenie chráneného priestoru, bezpečné uloženie nosičov dát, šifrovanie, prístup k IS cez heslá, detekciu prítomnosti škodlivého kódu, používanie legálneho softvéru, bezpečné mazanie osobných údajov z dátových nosičov, aktualizácie OS, programového vybavenia a pod.

325

326

Skalica v súčasnosti prevádzkuje svoju infraštruktúru v cloude poskytovateľa Slovanet, a.s. (IČO: 35 954 612).

327

328

Ide o poskytovanie infraštruktúry virtuálnych zdrojov ako služby - virtuálneho datacentra (ďalej ako „vDC“). Ide o súbor prostriedkov, ktoré sú stavebným kameňom pri tvorbe a prevádzke serverových inštancií. Skalica má nad týmito prostriedkami plnú kontrolu cez webový self-care portál. vDC je vlastná hardvérová a softvérová platforma Slovanetu umiestnená v serverhousingovom centre Slovanet v Bratislave a je prevádzkovaná ako „enterprise cloud“ s plnou redundanciou komponentov na zaistenie vysokej dostupnosti (High Availability), zahŕňajúcej výpočtový výkon, systémy na ukladanie dát aj sieťové komponenty. vDC je z bezpečnostného hľadiská chránená UTM firewallmi, ktoré zabezpečujú nasledovné funkcie: firewall, antivírus, prevenciu prienikov (IPS), antispam, antispyware, traffic shaping, virtuálnu privátnu sieť, Data Leak Prevention, Network Access Control a Application Control.

329

330

vDC slúži pre informačné systémy, ktoré Skalica využíva: knižnice, CoraISS, ASPI, mailserver, Oracle a SQL databázy, intranet, webserver, formulárový server, atď.

vDC sa skladá z:

V riešení sú zahrnuté licencie pre MS Windows Server, 2X aplikačná virtualizácia pre 60 konkurentných užívateľov vrátane terminálových licencií, MS SQL Express. V riešení nie sú zahrnuté licencie pre Oracle databázu.

336

337

Mesto Skalica v súčasnosti nedisponuje bezpečnostnou dokumentáciou, ktorá by zohľadňovala nároky na obsah a rozsah požadovaný zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti.

338

339

=== {{id name="projekt_2924_Projektovy_zamer_detailny-3.2.2Problémyabiznisprocesydotknutérealizáciouprojektu"/}}3.2.2 Problémy a biznis procesy dotknuté realizáciou projektu ===

340

341

Bezpečnosť aktív je jednou z prvoradých úloh žiadateľa a bezpečnostné mechanizmy, ktoré sú alebo budú implementované na ochranu aktív, musia mať takú bezpečnostnú úroveň, aby vyhoveli legislatívnym požiadavkám Slovenskej republiky, čo v súčasnosti nie je naplnené.

342

343

V globále možno zhrnúť, že príčiny aktuálneho stavu vyplývajú z kombinácie interných a externých faktorov, medzi ktoré možno spomenúť:

344

345

* Dlhoročný nekoncepčný prístup k riešeniu problematiky KaIB mesta

346

* Nedostatočná, resp. úplne absentujúca implementácia bezpečnostných nástrojov a technológií zabezpečujúcich ochranu kybernetického priestoru mesta

347

* Dlhodobý nedostatok finančných zdrojov alokovaných pre oblasť kybernetickej bezpečnosti

348

349

S ohľadom na posúdenie úrovne kybernetickej bezpečnosti zrealizoval žiadateľ audit kybernetickej bezpečnosti prostredníctvom certifikovaného audítora kybernetickej bezpečnosti, ktorý identifikovali viaceré oblasti, ktoré by mala Skalica vyriešiť za účelom zabezpečenia dostatočnej ochrany svojich systémov a tým pádom tiež svojich klientov. Práve na základe tohto hodnotenia žiadateľ identifikuje ako najzávažnejšie problémy kybernetickej bezpečnosti nasledovné oblasti:

350

351

**1) Nevyhovujúci stav bezpečnostnej dokumentácie**

352

353

Kompletná a aktuálna bezpečnostná dokumentácia je nevyhnutným základom pre efektívne riadenie informačnej a kybernetickej bezpečnosti každej organizácie. Tvorí základnú štruktúru pre ďalší rozvoj v tejto oblasti a implementáciu dodatočných bezpečnostných opatrení a technických bezpečnostných riešení. Práve bezpečnostná dokumentácia je nevyhnutným predpokladom pre prijímanie adekvátnych, efektívnych, vyvážených a optimálnych bezpečnostných opatrení. Túto skutočnosť si uvedomuje aj samotná samospráva a preto sa rozhodla pre jej dopracovanie a začlenenie tejto aktivity do predkladaného projektu.

354

355

**2) Zabezpečenie infraštruktúry žiadateľa v cloude**

356

357

Ako už bolo uvedené vyššie, žiadateľ prevádzkuje svoju infraštruktúru v cloude poskytovateľa Slovanet, a.s. (formou PaaS). To znamená, že fyzický HW, virtualizačná platforma, sieťová infraštruktúra a perimetrové zabezpečenie je vo vlastníctve poskytovateľa a prevádzkovaná aplikačná vrstva vo vlastníctve Skalice beží na tejto infraštruktúre. S ohľadom na uvedené, poskytovateľ cloudových služieb má zodpovednosť za bezpečnosť fyzickej infraštruktúry a platformy. Rovnako je poskytovateľ zodpovedný za bezpečnosť virtualizovaného prostredia a za izoláciu prostredí rôznych zákazníkov, aby v prostredí zdieľanej virtualizácie mohol používateľ virtuálneho prostredia mal garantovaný prístup iba k jeho prostriedkom. Okrem uvedených má poskytovateľ služby zodpovednosť tiež za zabezpečenie sieťovej bezpečnosti. O bezpečnosť middlewaru a OS sa stará poskytovateľ služby v kombinácii s mestom. Samotné zabezpečenie aplikačnej vrstvy a prístupu k údajom je už na strane samosprávy mesta Skalica. S ohľadom na uvedené sa žiadateľ rozhodol pre zahrnutie zabezpečenie svojej aplikačnej infraštruktúry v cloude medzi jedno z technických riešení predkladaného projektu.

358

359

**3) Absencia dvojfaktorovej autentifikácie**

360

361

Počet narušení bezpečnosti IKT prostredia sa v posledných rokoch značne znásobil. Problematickou oblasťou v podmienkach Mesta Skalica je tiež oblasť prístupu k jeho informačným aktívam zo strany zamestnancov a iných externistov protredníctvom VPN pripojenia. Tí sú v súčasnosti pre potreby prístupu k informačným zdrojom viazaní iba zadaním hesla, ktoré však tvorí významné bezpečnostné riziko. Uvedené je spôsobené najmä skutočnosťou, že zamestnanci majú tendenciu vytvárať jednoduché heslá, resp. v prípade zložitého hesla ho priebežne recyklujú v prípade viacerých prístupov. Absencia dvojfaktorovej autentifikácie sa preto začína čoraz viac prejavovať ako významná „diera“ v bezpečnosti IKT infraštruktúry žiadateľa.

362

363

**4) Absencia rozšírenej detekcie**

364

365

Organizácie dnes potrebujú lepší prehľad o svojich koncových bodoch, zariadeniach a sieti. Len tak môžu mať istotu, že nové hrozby, rizikové správanie zamestnancov a nechcené aplikácie neohrozia bezpečnosť ich kybernetického priestoru a ich dobré meno. V IT prostredí mesta Skalica v súčasnosti absentuje riešenie, ktoré by umožnilo jedinečnú detekciu na základe správania a reputácie, ktorá je pre bezpečnostné tímy úplne prehľadná. Takéto riešenie, ktoré by poskytlo spätnú väzbu v reálnom čase získanú z informácií o hrozbách by umožnilo značne zvýšiť úroveň zabezpečenia IT infraštruktúry mesta.

366

367

**5) Nedostatočná úroveň riadenia kybernetickej bezpečnosti**

368

369

Bezpečnostná dokumentácia je „živím“ dokumentom, ktorý si vyžaduje priebežné aktualizácie aby zodpovedala skutkovému stavu a platnej legislatíve. Absencia softvérového riešenia, ktoré by umožnilo jej priebežnú aktualizáciu a zároveň umožnilo tiež:

370

371

* Evidenciu rozpoznaných zraniteľností, vrátane ich vlastníkov

372

* Evidenciu rozpoznaných hrozieb

373

* Evidenciu opatrení potrebných na potlačenie zraniteľností

374

* Identifikáciu a ohodnotenie rizík na základe pravdepodobností hrozieb, uplatňovaných opatrení a dopadov na samosprávu a pod.

375

376

značne znižuje efektivitu výkonu kybernetickej bezpečnosti v podmienkach Mesta Skalica.

377

378

=== {{id name="projekt_2924_Projektovy_zamer_detailny-3.2.3Motivácianadosiahnutiebudúcehostavu"/}}3.2.3 Motivácia na dosiahnutie budúceho stavu ===

379

380

Návrh obsahu tohto projektu vychádza z potrieb resp. doporučených opatrení uvedených v audite kybernetickej bezpečnosti mesta Skalica. Implementácia navrhovaných technických opatrení v rámci projektu umožní v kombinácii s ďalšími aktivitami v oblasti informačnej a kybernetickej bezpečnosti, ktoré bude realizovať žiadateľ z vlastných zdrojov mimo projektu, dosiahnuť potrebnú úroveň informačnej a kybernetickej bezpečnosti vyžadovanú platnou legislatívou.

381

382

Cieľom projektu je vytvoriť trvalo udržateľné zabezpečenie produkčnej prevádzky infraštruktúry IKT, informačnej a kybernetickej bezpečnosti mesta, ktoré umožní eliminovať vysokú časť nedostatkov identifikovaných vykonaným auditom kybernetickej bezpečnosti a zabezpečiť tak vysoké požiadavky na bezpečnú prevádzku informačných systémov samosprávy. Navrhované technické riešenia nielen umožnia zvýšiť úroveň ochrany informačnej a kybernetickej bezpečnosti a bezpečnosti informačných systémov v podmienkach mesta, ale zároveň umožnia vytvoriť základnú platformu pre budovanie ďalších opatrení v budúcnosti, či už z prostriedkov žiadateľa alebo iných zdrojov.

383

384

S ohľadom na vyššie uvedené skutočnosti sa Skalica rozhodla pre implementovanie základných nástrojov v oblasti KaIB v nasledovnom rozsahu:

385

386

**1) Spracovanie povinnej dokumentácie a návrh procesov minimálne na úrovni požiadaviek zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a zákona č. 95/2019 Z. z. o informačných technológiách**

387

388

Výstupom pre objednávateľa bude spracovaná povinná dokumentácia v rozsahu požadovanom zákonom pre oblasti:

389

390

**//a) Organizácie kybernetickej bezpečnosti a informačnej bezpečnosti//**, pozostávajúcej z:

391

392

* Vypracovania a implementácie špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti

393

* Vypracovania/aktualizácie bezpečnostnej stratégie

394

* Vypracovania štatútu bezpečnostného výboru

395

* Vypracovania bezpečnostnej politiky

396

397

**//b) Riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,//** pozostávajúceho z:

398

399

* Identifikácie aktív súvisiacich so zariadeniami na spracovanie informácií a centrálneho zaznamenávania inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu

400

* Vykonania klasifikácie informácií a kategorizácia sietí a informačných systémov

401

* Implementácie systému pre inventarizáciu aktív

402

* Vypracovania interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti

403

* Vykonania riadenia rizík pozostávajúceho z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení

404

405

**//c) Personálnej bezpečnosti,//** pozostávajúcej z:

406

407

* Vypracovania interného riadiaceho aktu s bezpečnostnými zásadami pre koncových používateľov

408

* Vypracovania postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu

409

* Vypracovania postupov pri zaradení osoby do niektorých z bezpečnostných rolí

410

* Vypracovania postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu

411

* Vypracovania postupov pri porušení bezpečnostných politík

412

413

**//d) Riadenia prístupov,//** pozostávajúceho z:

414

415

* Vypracovania postupov a procesov upravujúcich riadenie prístupov organizácie

416

* Vypracovania zásad riadenia prístupov osôb k sieti a informačnému systému

417

418

**//e) Riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami//**, pozostávajúceho z:

419

420

* Vypracovania interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

421

422

**//f) Bezpečnosti pri prevádzke informačných systémov a sietí,//** pozostávajúcej z:

423

424

* Vypracovania interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov

425

426

**//g) Hodnotenia zraniteľností a bezpečnostných aktualizácií,//** pozostávajúceho z:

427

428

* Vypracovania interného riadiaceho aktu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat

429

430

**//h) Ochrany proti škodlivému kódu,//** pozostávajúcej z:

431

432

* Vypracovania interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu

433

434

**//i) Sieťovej a komunikačnej bezpečnosti,//** pozostávajúcej z:

435

436

* Vypracovania interného riadiaceho aktu upravujúceho pravidlá sieťovej a komunikačnej bezpečnosti

437

438

**//j) Akvizície, vývoja a údržby informačných sietí a informačných systémov,//** pozostávajúcej z:

439

440

* Vypracovania interného riadiaceho aktu upravujúceho požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na obstarávané, vyvíjané a udržiavané komponenty s digitálnymi prvkami

441

442

**//k) Zaznamenávania udalostí a monitorovania//**, pozostávajúceho z:

443

444

* Vypracovania dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností

445

* Vypracovania interného riadiaceho aktu, ktorý obsahuje a upravuje povinnosti definované platnou legislatívou pre oblasť zaznamenávanie udalostí a monitorovania.

446

447

**//l) Fyzickej bezpečnosti a bezpečnosti prostredia//**, pozostávajúceho z:

448

449

* Vypracovania interného riadiaceho aktu upravujúceho fyzickú bezpečnosť a bezpečnosť prostredia

450

451

**//m) Riešenia kybernetických bezpečnostných incidentov//**, pozostávajúceho z:

452

453

* Vypracovania interného riadiaceho aktu upravujúceho riešenia kybernetických bezpečnostných incidentov

454

455

**//n) Kryptografických opatrení//**, pozostávajúcich z:

456

457

* Definovania pravidiel využitia kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy na ochranu údajov pri ich prenose alebo uložení v rámci sietí a informačných systémov

458

* Vypracovania interného riadiaceho aktu upravujúceho systém správy kryptografických kľúčov a certifikátov

459

460

**//o) Kontinuity prevádzky//**, pozostávajúcej z:

461

462

* Vypracovania interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie

463

* Vykonania analýzy dopadov na informačné systémy a siete univerzity

464

* Vypracovania stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na informačné systémy a siete univerzity, najmä pre oblasť malvéru, ransomvéru, úniku údajov, rozsiahleho DDoS útoku

465

* Vypracovania postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie

466

467

**//p) Auditu, riadenia súladu a kontrolných činností,//** pozostávajúceho z:

468

469

* Vypracovania interného riadiaceho aktu pre oblasti auditu a kontrolných činností v oblasti informačnej a kybernetickej bezpečnosti

470

471

**2) Implementácia mechanizmov pre potreby zabezpečenia infraštruktúry žiadateľa umiestnenej v cloude**

472

473

Navrhované riešenie bude obsahovať súbor bezpečnostných prvkov, ktoré zvýšia odolnosť informačných systémom organizácie voči potenciálnym kyberútokom.

**Sandbox**

Navrhované je riešenie na ochranu pred zero-day škodlivým kódom, vírusmi a malvérom (na princípe sandboxu) vo forme HW zariadenia. Dodané riešenie musí byť plne a obojsmerne integrované s existujúcou firewall bránou NGFW a bezpečnou e-mailovou bránou, s plnou technickou podporou od výrobcu (na riešenie problémov). Úplnou integráciou sa rozumie natívna integrácia, ktorá umožňuje obojsmernú komunikáciu medzi bránou firewall/riešením AS&AV (antispam/antivirus) a platformou sandboxu (odovzdávanie súborov na kontrolu, odovzdávanie podrobných informácií o kontrole späť do brány firewall/poštovej brány.

Funkčné požiadavky:

* Podpora operačných systémov pre sandboxing: Windows 7, Windows 10, MacOS, Linux, Android, priemyselné riadiace systémy; výrobca udržiava a aktualizuje skenovací sandboxing OS

485

* Plnohodnotná, výrobcom podporovaná obojsmerná integrácia s modelom firewallu a ďalšími ponúkanými bezpečnostnými funkciami

486

* Schopnosť integrácie s internými systémami pomocou zdokumentovaného API

487

* Odchádzajúca komunikácia zo sandboxových obrazov musí smerovať na internet cez vyhradené sieťové rozhranie.

488

* Podpora režimu clusteringu na dosiahnutie vysokej dostupnosti a zlepšenia výkonu v budúcnosti

489

* Kontrola vzoriek založená na viacvrstvovej ochrane pred škodlivým kódom - kombinácia antivírusového skenovania založeného na signatúrach, emulácie kódu a kompletného sandboxu (spusteného v reálnom operačnom systéme) a umelej inteligencie (AI)/ strojového učenia (ML). Všetky tieto úrovne musia byť integrované do jedného zariadenia a spolupracovať.

490

* Možnosť vytvoriť, spustiť a na účely sandboxingu použiť vlastnú konfiguráciu operačného systému vrátane špecifických aplikácií zodpovedajúcich konfigurácii v chránenej sieti, ktorá bude naimportovaná do platformy Sandbox a používaná na kontrolu.

491

* Detailná konfigurácia politiky kontroly, kontrola v rôznych typoch OS, možnosť kontroly jedného súboru v rôznych operačných systémoch súčasne, možnosť definovať vybrané aplikácie v rôznych typoch OS.

492

* Ochrana proti detekcii spustenia v prostredí sandboxu ( anti evasion techniky)

493

* Všetky prvky ochrany sa musia poskytovať lokálne, nie ako cloudová služba (okrem prípadov, keď to právne predpisy nepovoľujú).

494

* Detekcia komunikácie s centrami C&C

495

* Podpora detekcie prístupu k kompromitovaným adresám URL

496

* Funkcia hlásenia nájdených problémov (Výsledné informácie musia obsahovať nielen stav čistého/škodlivého kódu, ale kompletné informácie vrátane podrobného popisu správania, zachytených paketov a v prípade prejavu škodlivého kódu v GUI aj snímky obrazovky alebo videozáznam), podpora hlásenia vo formáte MITRE ATT&CK pre analýzu SoC, podpora formátu STIX 2.0.

497

* Podpora kontroly najmenej týchto typov súborov a aplikácií: MS Office, Adobe Acrobat Reader, Adobe Flash Player, MS Internet Explorer, Mozilla Firefox, Google Chrome, Java, MS .NET Framework, Visual C++, Python; spustiteľné súbory, JAVA, PDF, dokumenty MS Office, bežné multimediálne formáty, ako sú .7z, .ace, .apk, .app, .arj, .bat, .bz2, . cab, .cmd, .dll, .dmg, .doc, .docm, .docx, .dot, .dotm, .dotx, .eml, .elf, .exe, .gz, .htm, html, .iqy, .iso, .jar, .js, .kgb, .lnk, .lzh,mach, .msi, .pdf, .pot, .potm, .potx, .ppam, . pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .rar, .rtf, .sldm, .sldx, .swf, .tar, .tgz, .upx, .rl, .vbs, WEBLink, .wsf, .xlam, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xz, .z, .zip

498

* Podpora reportovania v štandardných formátoch (HTML, CSV, PDF, XML, ...)

499

* Automatická aktualizácia databáz signatúr zistených hrozieb vrátane funkcie zdieľania týchto signatúr do ponúkanej platformy firewallov a iných bezpečnostných komponentov

500

* Priame obojsmerné prepojenie s ponúkanou platformou firewallov a iných bezpečnostných komponentov

501

* Podpora logovania do externých nástrojov a SIEM

502

* Podporované režimy nasadenia minimálne: pripojenie k bezpečnostným prvkom rovnakého výrobcu, režim sniffer (počúvanie a rekonštrukcia sieťovej prevádzky pre protokoly http, smtp, pop3, imap, ftp, mapi, im, smb), sanboxing súborov uložených na dostupných sieťových diskoch, prijímanie súborov pre sandboxing prostredníctvom API, podpora rozhraní typu ICAP.

503

504

505

Výkonnostné požiadavky:

506

507

508

* HW zariadenie používajúce proprietárny operačný systém na analýzu vzoriek

509

* 40 inštancií pre sandboxing OS Windows vrátane licencií Microsoft

510

* 4 inštancie pre sandboxing súborov pre prostredie MS Office

511

* Požadovaná sandbox priepustnosť súborov za hodinu: 2400

512

* Požadovaný počet užívateľov: min 900

513

* Fyzicke zariadenie, max 2U, rackové prevedenie

514

* Požadovaná priepustnosť statickej analýzy súborov za hodinu: 10000

515

* Požadovaná priepustnosť dynamickej analýzy súborov za hodinu: 600

516

517

518

Dodávateľ zabezpečí :

519

520

* Implementáciu a integráciu nástroja v existujúcom prostredí

521

* Potrebnú dokumentáciu ku infraštruktúre

**Mail relay**

Navrhované je riešenie na ochranu mailovej infraštruktúry voči útokom prostredníctvom mailov a integrovaná ochrana zabezpečuje trvalú ochranu vo či hrozbám typu Phising, malware, zero day hrozby, kompromitácia mailov a ochrana voči spamu.

Funkčné požiadavky:

* Podpora IPv4 i IPv6

533

* Podpora VLAN

534

* Podpora overovania SMTP pomocou protokolov LDAP, RADIUS, POP3 a IMAP

535

* Požadované funkcie AntiSpamu (výrobcom spravovaná vlastná funkcia AS s možnosťou kategorizovať adresy URL nájdené v e-mailoch), databáza IP reputácie výrobcu, graylisting, reputácia odosielateľa, behaviorálna analýza, analýza hlavičiek e-mailov, heuristická analýza e-mailov, podpora systémov tretích strán, skenovanie na základe Bayesovho prístupu, white a blacklisting, analýza obrázkov.

536

* Zabudovaná antivírusová ochrana pre poštovú prevádzku s ochranou v reálnom čase pred odchádzajúcim škodlivým softvérom. Databáza antivírusových signatúr musí byť udržiavaná výrobcom a automaticky aktualizovaná.

537

* Požadujeme plnu integraciu s platformou typu sandbox, ktorá je sučastou projektu (plnou integraciou sa rozumie uchovanie emailu vo fronte až do ukončenia kontroly na sandbox platforme. Výsledná akcia je zvolena aj na základe výsledku analýzy na sandbox platforme. Zároveň požadujeme obojsmernu komunikaciu medzi mailovou bránou a sandbox platformou, tj. priamo na mailovej bráne, musí byt možné dohladat detailne informacie o provedeni sandbox inspekcie)

538

* Možnosť obmedzenia v rámci relácie SMTP (počet správ od jedného klienta za určitý čas, maximálny počet spojení od jedného klienta za určitý čas, podpora reputácie koncového bodu, pripojenie k LDAP na overenie používateľa; možnosť obmedzenia počtu HELO/EHLO v rámci jednej relácie SMTP, možnosť obmedzenia počtu e-mailových správ v rámci relácie SMTP, možnosť obmedzenia počtu príjemcov v rámci príjemcov e-mailu, možnosť manipulácie s hlavičkou pošty (odstránenie hlavičky Received)

539

* Analýza PDF

540

* Plnohodnotná kontrola prichádzajúcej a odchádzajúcej komunikácie (rovnaké možnosti konfigurácie pre prichádzajúci a odchádzajúci smer)

541

* Granulárna konfigurácia pravidiel (pravidlá založené na IP adresách a/alebo doméne príjemcu, možnosť použitia wildcard znakov)

542

* možnosť používať zabudovanú geografickú databázu IP adries v rámci pravidiel (databázu spravuje výrobca)

543

* podpora karantény s používateľským prístupom umožňujúcim bežné činnosti

544

* podpora systémovéj karantény

545

* podpora externého úložiska (šifrovaná komunikácia, napr. SFTP)

546

* podpora TLS

547

* podpora S-MIME

548

* podpora DKIM, SPF a DMARC

549

* Možnosť odosielať/prijímať správy z virtuálnych adries (hostov)

550

* Podpora end-to-end šifrovania poštovej prevádzky bez potreby inštalácie softvéru na pracovných staniciach (napr. lokálne ukladanie šifrovaných správ s možnosťou bezpečného prevzatia správy prostredníctvom webového rozhrania)

551

* Podpora funkcií ochrany pred útokom typu DoS, Antispoofing, rate limiting, lokálne vyhodnotenie skóre odosielateľov (na základe nedávnej aktivity) s možnosťou nastavenia správania pre rôzne úrovne skóre.

552

* Podpora neutralizácie dokumentov v prílohách (odstránenie potenciálne nebezpečných prvkov v dokumente - makier, URL, ... - v dokumentoch MS Office a PDF) pri zachovaní pôvodného typu dokumentu

553

* Automatické odšifrovanie zašifrovaných dokumentov pomocou správcom preddefinovaného slovníka hesiel za účelom vykonania úplnej AV a AS kontroly

554

* Reakcia na zistenú hrozbu min.: pridanie tagu, pridanie hlavičky, presmerovanie e-mailu na iný SMTP server, odmietnutie, zahodenie, uloženie do karantény, prepísanie adresy príjemcu

555

* podpora opätovnej kontroly e-mailu v čase jeho prevzatia z karantény.

556

* ochrana pred škodlivými adresami URL (databáza škodlivých adries URL spravovaná výrobcom). Možnosť výberu nežiaducich webových kategórií (phishing, malware, obsah pre dospelých, ...)

557

* URL click protection (vložené URL je prepísané tak, aby bola kontrola URL vykonaná v momente kliknutia užívateľa na odkaz). Kontrola URL musí zahŕňať aj opatovnú kontrolu v Sandbox systéme, užívateľ musí byť notifikovaný o prebiehajúcej kontrole.

558

* ochrana proti útokom BEC (Business Email Compromise)

559

* architektúra MTA musí umožniť kontrolu e-mailu pred uložením do e-mailovej fronty

560

* Možnoť rozšírenia o AI analýzu obrázkov s kategorizáciou obsahu (drogy, zbrane, násilie, nahota a pod.)

561

* Plnohodnotná správa cez webové rozhranie (HTTP) a CLI (SSH)

562

* možnosť obmedziť administrátorské práva na zadefinované domény

563

* Integrované logovanie a reportovanie, vrátane monitoringu

564

* Podpora protokolov SNMP (v2c, v3) a syslog na integráciu do monitorovacieho systému ( súčasťou dodávky musí byť špecifický súbor MIB od výrobcu)

565

* podpora logovania na externý logovací server (syslog)

566

* podpora archivácie (prístup do archívu pomocou protokolu IMAP)

567

* Podpora rozhrania REST API na integráciu manažmentu do existujúcej infraštruktúry. Ak táto funkcia vyžaduje licenciu, musí byť zahrnutá.

568

* Certifikácia min. VBSpam, VB100 a Common Criteria

569

570

571

Výkonnostné požiadavky:

572

573

* 1vCPU, 4GB RAM, 300GB HDD, 100Mbps internet

574

* Podpora režimu vysokej dostupnosti (A-A, A-P). Ak sa vyžaduje licencia, musí byť súčasťou dodávky.

575

* požadujeme podporu pre aspoň 4 sieťové rozhrania

576

* podpora minimálnej kapacity disku 2x1TB

577

* možnosť nasadenia v režime brány (MTA) ale aj v transparetnom režime

578

* požadujeme podporu minimálne 4 sieťových rozhraní RJ45

579

* Riešenie nesmie byť obmedzené na počet chránených domén. V opačnom prípade musí byť súčastou dodávky podpora pre minimálne 100 emailových domén

580

* Počet politík založených na doméne [prichádzajúca alebo odchádzajúca komunikácia]: 400

581

* Počet politík založených na systéme [prichádzajúca alebo odchádzajúca komunikácia]: 1500

582

* Výkon smerovania emailov za hodinu: 250000

583

* Počet chránených mailboxov pri inštalácii v mode server: 400

584

585

586

Dodávateľ zabezpečí :

587

588

* Implementáciu a integráciu nástroja v existujúcom prostredí

589

* Potrebnú dokumentáciu ku infraštruktúre

**WEB-aplikačný firewall (WAF)**

594

595

596

Navrhované je riešenie na ochranu infraštruktúry webových aplikácií a API rozhraní voči útokom prostredníctvom neznámych spustiteľných kódov a zero day hrozbám. Zabezpečuje trvalú ochranu webových stránok a prezentovaných aplikácií voči internetovým používateľom.

Funkčné požiadavky:

* Virtual appliance Web Application Firewall. Riešenie musí chrániť pred bežnými hrozbami, ako sú napríklad tie, ktoré sú identifikované v OWASP TOP 10

603

* Podpora prevádzkových módov Reverse Proxy, Inline Transparent, True Transparent Proxy, Offline Sniffer (span port), WCCP

604

* Presmerovanie komunikácie je možné riešiť na úrovni: DNS záznamov, a aj na sieťovej úrovni (WCCP, port forward, routing, policy routing)

605

* Riešenie podporuje virtuálne hosty, SNI, umožňuje definíciu SSL/TLS enc. level a použitých SSL verzii

606

* Riešenie podporuje rewriting http host, url a aj http body.

607

* Podpora http cache-ing minimálne na základe parametrov: host, host status, url pattern, cookie

608

* Riešenie podporuje SSL/TLS inšpekciu ako aj SSL/TLS termináciu.

609

* Riešenie podporuje pasívne SSL dešifrovanie pomocou kópie SSL kľúča. V prípade potreby je možné neterminovať SSL na WAF, vykonať len dekryptovanie kópie komunikácie pomocou definovaného SSL kľúča, skontrolovať obsah a povoliť pôvodnú komunikáciu v prípade, ak nedošlo k narušeniu politík.

610

* Certifikácia FIPS 140-2 Level 1 a 2

611

* Riešenie umožňuje blokovanie IP aj blokovanie IP extrahovaných z http hlavičiek (napr. x-forwarded-for). Riešenie musí umožňovať blokovanie konkrétnych užívateľov na základe ich reputácie. Verejný obstarávateľ/objednávateľ požaduje tiež možnosť použiť L7 HTTP blocking, kedy je blokovaný len konkrétny HTTP request a nie celé TCP spojenie.

612

* Zariadenie je možné nasadiť v monitoring móde, v tomto prípade zariadenie neustále vyhodnocuje a kontroluje prechádzajúce spojenia, ale požiadavky nie sú blokované. Monitorovací mód je možné aplikovať granulárne na základe: IP, URL, PORT/PROTOCOL.

613

* Riešenie umožňuje zapojenie v móde High Availability (HA), verejný obstarávateľ/objednávateľ požaduje možnosť Active/Active aj Active/Passive konfigurácie HA. V rámci active-passive HA módu verejný obstarávateľ/objednávateľ požaduje možnosť vytvoriť cluster s min. 4 uzlami.

614

* Riešenie umožňuje kontrolu action message format v3.0(AMF3), xml, ajax , soap content inspection v tele HTTP, validáciu formátu pre xml 1.1 a xml 2.0.

615

* Riešenie obsahuje vlastný skener zraniteľností web aplikácií (vulnerability scanner).

616

* Riešenie obsahuje podporu skeneri tretích strán (Acunetix, IBM AppScan Standard, WhiteHat, HP WebInspect, Qualys).

617

* Riešenie podporuje LoadBalancing HTTP komunikácie, podporované sú nasledovné metódy: round robin, weighted round robin, least connections, URI hash, full URI hash, host hash, host domain hash, src IP hash. Session persistence je možná na základe: src IP, http header parameters, URL parameters, insert|rewrite|pertistent|embedded cookies, ASP|PHP|JSP|SSL session IDs.

618

* Podpora HTTP verzií HTTP/0.9, HTTP/1.0, HTTP/1.1, HTTP/2

619

* Pre inšpekciu HTTP/2 nie je potrebná konverzia na inú verziu.

620

* Podpora rôznych reštrikčných metód min. validácia znakovej sady, minimálna alebo maximálna dĺžka elementu, obsah elementu

621

* Reštrikčné metódy je možné aplikovať na základe IP, URL, HTTP header, HTTP response code, Content Type, Packet interval timeout, parameter, occurrence, access rate limit, signature violation, transatcion timeout a ich kombinácii.

622

* Riešenie umožňuje nastaviť obmedzenie file uploadov per URL na základe: file type, file size

623

* Riešenie umožňuje scan uploadovaných súborov pomocou vstavaného Antivirus engine-u

624

* Súčasťou vstavaného Antivirus engine-u musí byť aj analýza súborov v externom Sandboxe (Cloud alebo On-premise)

625

* Užívatelia môžu byt overovaní minimálne pomocou HTTP simple auth., HTML embedded forms a klientskeho SSL certifikátu HTML Form, HTTP Basic, Client SSL certificate, RSA securID.

626

* Podpora lokálnej databázy užívateľov, podpora LDAP, Radius, Kerberos, NTLM, 2FA (token). Riešenie musí umožňovať použitie auth. pool serverov (napr. Primárny LDAP server, Sekundárny LDAP server) pre overenie užívateľov.

627

* Riešenie musí podporovať negatívny aj pozitívny bezpečnostný model.

628

* Riešenie musí obsahovať Machine Learning pre detekciu hrozieb, anomálií vyhodnocovanie URL, parametrov, použitých HTTP metód, automatická konštrukcia matematických modelov pre detekciu abnormálnej komunikácie, porovnávanie anomálií voči predtrénovaným modelom, detekcia útokov. ML musí kontinuálne vyhodnocovať false-positive rate a v prípade prekročenia prahu iniciovať konštrukciu nového matematického modelu.

629

* Riešenie musí obsahovať Machine Learning pre detekciu škodlivých botov Bot detekčný model musí vyhodnocovať minimálne nasledovné dimenzie: TCP connections, HTTP requests, HTTP HEAD methods, HTTP error responses, HTTP requests without Referers, HTTP requests without User-Agent, HTTP requests with illegal HTTP version, HTML pages, JavaScript/CSS/XML/JSON resources, robots.txt, Seconds with throughput a Average duration with throughput

630

* V rámci mitigácie botov musí riešenie podporovať rôzne deception metódy a behaviorálnu analýzu min. vloženie linku do HTML response page a následná detekcia prístupu na tento link, monitorovanie klientov a detekcia: pohybu kurzoru, stlačenia kláves, skrolovanie, dotyk obrazovky, klik myšou a pod.

631

* Riešenie musí obsahovať databázu signatúr útokov na webové aplikácie a ich zraniteľnosti. Popis nových, prípadne zmenených signatúr, musí byt verejne dostupný.

632

* Riešenie musí byť schopné mitigovať útoky hrubou silou minimálne pomocou: Rate limiting na úrovni TCP/IP a HTTP/HTTPS (requests per sec, session cookies), Real browser enforcement. Uvedené spôsoby mitigácie je možné aplikovať per http host, URL, parameter, referer, cookie, header, src_ip, certificate a ich and/or kombinácie. Reakcia môže byt alert, deny, period block.

633

* Riešenie musí obsahovať ochranu proti cookie poisoning/tampering minimálne pomocou hashov uložených v session-tracking cookies. V prípade detekcie cookie poisoning musí byť možné nastaviť rôzne akcie, a to minimálne: alert, deny, period block alebo remove cookie.

634

* Aplikácia ochrany proti cookie poisoning per http host, URL, parameter, referer, header, src_ip, certificate a ich and/or kombinácie.

635

* Riešenie musí mať implementované vlastné Session cookies, ktoré sú previazané s aplikačnými session cookies (napr. JSESSIONID, TWIKISID …).

636

* Riešenie umožňuje logovať HTTP requesty, HTTP request packet payload (max. veľkosť je 4 KB payloadu). Packet payload logging je možné zapnúť globálne alebo pre jednotlivé typy útokov (signature detection, parameter validation, http constraints, xml, ip reputation, cookie poisoning ...).

637

* Riešenie musí umožňovať Agregovaný pohlaď na attack logy, agregácia minimálne na základe attack-type

638

* V prípade false-positive musí riešenie umožňovať pridanie výnimky per signature. Výnimky je možné definovať granulárne na základe and/or matching seq. pravidiel založených minimálne na nasledovných elementoch: http method, client IP, host, URI, full URL, parameter, cookie.

639

* Manuálne je možné pridávať výnimky priamo z attack logov alebo agregovaného pohľadu na attack logy

640

* Podpora detekcie SQL injection na základe signatúr a aj na základe syntax analýzy

641

* Politika je aplikovaná na virtuálny server a službu, t. j. pre rôzne aplikácie a servery je možné mať samostatné politiky, ktoré môžu zdieľať, alebo mať individuálne nastavenia bezpečnosti.

642

* Riešenie musí umožňovať vytvorenie vlastných signatúr.

643

* Riešenie musí podporovať management pomocou GUI, CLI, REST-API.

644

* Riešenie musí byť odporúčané v NSS LABS WAF teste s hodnotením 'recommended'

645

* Riešenie musí mať implementovanú ochranu klientov proti SSL MITM útokom (napr. pomocou HTTP public key pinning)

646

* Riešenie musí mať implementovaný statefull inspection firewall s možnosťou konfigurácie FW policies

647

* Riešenie musí mať implementovanú ochranu proti credential stuffing útokom. Databáza pre credential stuffing musí pochádzať priamo od výrobcu zariadenia

648

* Identifikácia zariadení klientov, priradenie unikátneho identifikátora pre každé zariadenie min. na základe: time zone, source IP, operating system, browser, language, CPU, color depth, resolution

649

* Riešenie musí byt schopné vyhodnocovať správanie jednotlivých zariadení a v prípade prekročenia definovaných hodnôt zablokovať ďalšiu komunikáciu z daného zariadenia.

650

* Riešenie musí obsahovať ochranu API rozhraní

651

* Možnosť vyžadovať overenie API kľúčov pomocou HTTP header alebo HTTP parameter v HTTP požiadavkách

652

* Rate limiting API požiadaviek min. možnosť definície počtu API volaní za časovú jednotku

653

* Validácia XML a JSON schém

654

* Validácia JSON data size, key a value hodnôt

655

* Možnosť limitovať JSON data size, key a value hodnoty

656

* Možnosť limitovať XML names, values, depth a dalšie atribúty

657

* Podpora XML a SOAP data formátov

658

* Podpora validácie na základe WSDL súborov

659

* Podpora WebSocket security pravidiel min. Decrypt, Sign Verify pre encryped SOAP msg. od klienta (request); Encrypt, Sign pre SOAP msg. od servra (response)

660

* Požaduje sa certifikácia ICSA Labs minimálne pre Web Application Firewalls

661

* Podpora kontajnerového manažéra Docker

662

663

664

Výkonnostné požiadavky:

665

666

667

* HTTP priepustnosť 100Mbps

668

* Podporovaná pamäť min 1024MB / max neobmedzene pre 64-bit, odporúčaná 8GB

669

* Podporovaný počet sieťových rozhraní max 10

670

671

672

Dodávateľ zabezpečí :

673

674

* Implementáciu a integráciu nástroja v existujúcom prostredí

675

* Potrebnú dokumentáciu ku infraštruktúre

**Analyzér sieťovej prevádzky**

680

681

682

Navrhované je riešenie ktoré zabezpečí výkonnú správu LOG protokolov, analytiku a reportovaciu

683

684

platformu, ktorá poskytuje jedinú konzolu na správu, automatizáciu a organizáciu operation činností.

Funkčné požiadavky:

* Systém pre ukladanie a koreláciu logov v sieti obstarávateľa.

690

* Systém musí byť plne kompatibilný s dodávanými riešeniami pre NGFW/UTM, Switche, 2FA AUTHENTICATION, Mailová ochrana, Sandbox riešenie

691

* Riešenie vo forme Virtual Appliance pre VMware, KVM alebo Hyper-V

692

* Možnosť škálovateľného navýšenia objemu spracovávaných logov pomocou licencií

693

* Možnosť škálovateľného navýšenia diskovej kapacity pomocou licencií

694

* Podpora SYSLOG, podpora šifrovaného prenosu dát/logov

695

* Riešenie musí obsahovať konfigurovateľné prehľady s drill down funkcionalitou

696

* Filtrovanie správ/logov na základe rôznych parametrov, ich kombinácií. Podpora AND, OR logiky pri vytváraní filtrov

697

* Možnosť ukladania definícií filtrov pre rýchle opätovné použitie

698

* Možnosť prehliadania logov v historickom alebo realtime režime

699

* Možnosť zobrazovania logov v RAW alebo štrukturovanom formáte

700

* Korelácia logov

701

* Možnosť automatického vytvárania incidentov

702

* Možnosť automatického vyšetrovania incidentov pomocou definovateľných playbookov

703

* Podpora Indication of Compromise - Systém musí obsahovať reputačné databázy nebezpečných IP/URL adries a musí vykonávať spätné prehľadávanie historických logov pri update reputačných DB za účelom detekcie napadnutia systémov a koncových staníc

704

* Podpora vytvárania reportov v formátoch PDF, HTML, CSV, XML

705

* Možnosť generovania reportov v pravidelných intervaloch

706

* Možnosť vytvárania vlastných požiadaviek voči databáze a ich použitie ako zdroj dát v reportoch

707

* Podpora SNMP

708

* Podpora REST API

709

* GUI a CLI administračné rozhranie dostupné pomocou HTTPS a SSH protokolov

710

* Podpora LDAP, RADIUS, Tacacs+ pre administrátorské účty

711

712

713

Výkonnostné požiadavky:

714

715

716

* Schopnosť spracovávať logy v objeme 10 GB/deň

717

* Počet virtuálnych sieťových rozhraní: min 1, max 4

718

719

720

Dodávateľ zabezpečí :

721

722

* Implementáciu a integráciu nástroja v existujúcom prostredí

723

* Potrebnú dokumentáciu ku infraštruktúre

724

725

**3) Riešenie centrálneho bezpečnostného manažmentu pre koncové stanice - centrálna správa a manažment koncových zariadení - XDR **

726

727

Navrhované je riešenie, ktoré umožní diaľkové nasadenie klientov na koncové zariadenia - 80 ks, zobrazovanie údajov o prevádzke na koncovej stanici v reálnom čase, centrálny provisioning klientov.

728

729

Riešenie umožní poskytovať informácie na koncovej stanici (verzia, OS, IP/MAC adresa, profil užívateľa), stav klientskej stanice, ako aj možnosť reportovať telemetriu na úrovni centrálnej správy. Riešenie bude kompatibilné s MS WIN, MacOS, iOS, Linux

730

731

Riešenie umožní jednoduché používateľské rozhranie centralizovaného manažmentu**.**

**~ **

**Výkonnostné požiadavky na manažment konzolu:**

736

737

* 8 vCPU, 12GB RAM, 150GB HDD

738

* 100Mbps internet

739

* 1 verejná IP adresa

740

741

742

Dodávateľ zabezpečí :

743

744

* Implementáciu a integráciu nástroja v existujúcom prostredí

745

* Potrebnú dokumentáciu ku infraštruktúre

746

747

**4) Nasadenie dvojfaktorovej autentifikácie**

748

749

Navrhované riešenie bude obsahovať súbor bezpečnostných prvkov, ktoré zvýšia odolnosť informačných systémom organizácie voči neoprávnenému prihláseniu k zdrojom infraštruktúry a dátam vlastníka. Užívatelia budú mať k dispozícii buď HW, alebo mobilné tokeny na overenie.

Funkčné požiadavky:

* Virtual appliance poskytujúci funkcionality pre manažment identít, Plnohodnotná AAA funkcionalita, Integrované funkcie AAA pre pripojenie z VPN.

756

* Podpora pre [30] používateľov

757

* Autorizácia prístupu do siete kombináciou minimálne nasledujúcich parametrov - identita (meno/heslo, certifikát) pripájajúceho sa používateľa, identita (MAC adresa, certifikát) pripájajúceho sa zariadenia, čas pripojenia do siete a spôsob pripojenia do siete (wifi/LAN/VPN).

758

* Podpora RADIUS, RADIUS CoA, RADIUS Accounting proxy s možnosťou úpravy atribútov a s možnosťou statického alebo dynamického vkladania hodnôt do atribútov

759

* Možnosť využitia Radius Accounting proxy v režime kedy je jeden Radius MSG pomocou proxy rozosielaný na viacero zariadení

760

* Podpora TACACS+ s možnosťou autorizácie príkazov alebo služieb

761

* Podpora viacerích databáz identít Lokálna DB, LDAP/Active Directory

762

* Možnosť automatického importovania užívateľov zo vzdialených LDAP serverov

763

* Podpora LDAP cez SSL.

764

* Podpora Kerberos

765

* Podpora EAP metód - EAP-MSCHAPv2, EAP-TLS, PEAP, EAP-GTC

766

* Podpora autentifikácie pre klientov nepodporujúcich 802.1x - MAB, Captive portal

767

* Podpora REST API pre väčšinu základných úkonov AAA platformy

768

* Logovanie činností, úspešných aj neúspešných pokusov o prihlásenie v reálnom čase.

769

* Podpora LAN a WLAN portálu pre hostí s HTTP/HTTPS autentizáciou. Možnosť vytvárania dočasných užívateľských účtov pre návštevníkov prostredníctvom prispôsobiteľného užívateľského rozhrania oddeleného od hlavného administratívneho rozhrania.

770

* Guest portál musí podporovať možnosť prihlasovania prostredníctvom účtov minimálne týchto sociálnych sietí – Linkedln, Facebook, Twitter, Google+. Portál musí umožňovať bohatú grafickú úpravu vrátane možnosti pridávania videí a ďalšieho dynamického obsahu. Možnosť samoobslužnej registrácie hosťa do siete so SMS alebo email overením.

771

* Podpora BYOD, možnosť bezpečnej registrácie súkromných zariadení do internej siete na základe užívateľských údajov z externej autentizačnej databázy ako napr. AD či LDAP. Užívateľ musí byť schopný jednoduchým užívateľským wizardom nainštalovať osobný certifikát na svoje súkromné zariadenie.

772

* Certifikačná autorita na vydávanie certifikátov pre súkromné zariadenia musí byť súčasťou AAA platformy.

773

* Podpora protokolu SCEP.

774

* Hostia alebo interní užívatelia musia mať možnosť prístupu do samoobslužného portálu na správu svojich nastavení alebo zmenu hesla.

775

* Podpora viacfaktorovej autentifikácie pomocou OTP tokenov

776

* Podpora HW aj SW tokenov

777

* Podpora SW tokenov pre mobilné platformy Android, iOS, Windows Mobile – min. 15 licencií

778

* Podpora OAUTH, SAML IdP

779

* Podpora SSO na základe informácií získaných z SAML, Windows Event Log, Radius Accounting a Syslog

780

* OATH OTP HW token riešenie - 15 ks

781

* Riešenie musí podporovať TOTP a HOTP

782

* Riešenie musí umožňovať správu tokenov (token management) z centrálneho AAA riešenia a zároveň aj z NGFW/UTM riešenia

783

* Riešenie musí podporovať platformy - min. iOS, Android, Windows Phone 8 a 8.1, Windows 10 a aj Windows Universal Platform

784

* Riešenie musí podporovať generovanie tokenov v mobile (metoda PUSH) s možnosťou ONE-TAP potvrdenia

785

* Riešenie musí byť možné chrániť prostredníctvom PIN kódu alebo otlačku prstov

786

* Podpora možnosti samovymazania pri brute-force útoku

787

* Zobrazovanie trvania jednorazového hesla

788

* Zobrazenie Sériového čísla

Dodávateľ zabezpečí :

793

794

* Implementáciu a integráciu nástroja v existujúcom prostredí

795

* Potrebnú dokumentáciu ku infraštruktúre

796

797

798

**5) Nasadenie nástroja na riadenie kybernetickej bezpečnosti v prostredí mesta Skalica**

799

800

Navrhované nástroj predstavuje SW riešenie pozostávajúce z nástrojov riadenia a hlásenia bezpečnostných incidentov v súlade so Zákonom a Vyhláškou o KB. Dodané SW riešenie umožní zjednodušenú správu a dohľad súladu s právnymi požiadavkami, ako aj automatizáciu správ a auditov pre účely automatizácie a orchestrácie bezpečnosti a udržiavania povedomia a základnej úrovne znalostí dotknutých 80 zamestnancov verejného obstarávateľa prostredníctvom dostupných vzdelávacích modulov. Riešenie umožní vykonávať automatizáciu činností, ktoré v oblasti informačnej bezpečnosti a kybernetickej bezpečnosti vyžaduje legislatívny rámec a to prostredníctvom automatizovaného overovania povinností a posudzovania zhody prijatých s legislatívnymi požiadavkami.

801

802

Systém bude slúžiť ako podporný nástroj pre interných zamestnancov, ktorí sú činní v oblasti informačnej a kybernetickej bezpečnosti. Funkcionalita SW pre inventarizáciu aktív a harmonizáciu procesov v oblasti informačnej bezpečnosti zároveň prispeje k zjednodušeniu procesov a činností pri výkone administratívy (napr. pri pravidelnej kontrole a/alebo aktualizácii katalógu rizík), pri riadení incidentov, správe bezpečnostných nástrojov a technológií.

Funkčné požiadavky:

* Riešenie obsahuje nástroje na riadenie a hlásenie incidentov v súlade s požiadavkami NIS2

809

* Evidencia incidentov, vrátane prehľadu incidentu s uvedením jeho detailov v minimálnom rozsahu, objavenie incidentu, miesto objavenia incidentu, stručný popis incidentu;

810

* Možnosť pripojenia dodatočných dôkazných informácií o incidente (napr. formou obrázku);

811

* Rozhranie pre komplexný manažment úloh riešenia bezpečnostného incidentu;

812

* Podpora procesov identifikácie, hodnotenia a riadenia kybernetických rizík pre účely prijímania vhodných bezpečnostných opatrení;

813

* Rozhranie karty rizík s podrobnými informáciami o riziku ako aj súvislosťami, ktoré sa na dané riziko viažu minimálne v rozsahu pravdepodobnosť, dopad/vplyv, vlastník rizika;

814

* Možnosť analýzy rizík vo väzbe na identifikované aktíva s možnosťou evidencie zraniteľností a hrozieb pre každé identifikované a evidované aktívum;

815

* Možnosť vedenia registra hrozieb potrebných pre analýzu rizík, stanovenie nápravných alebo preventívnych opatrení;

816

* Správa a dodržiavanie právnych a regulačných požiadaviek NIS2;

817

* Automatizácia správ a auditov informačnej bezpečnosti a kybernetickej bezpečnosti;

818

* Funkcia asistenta pre implementáciu silných politík v oblasti správy identít a prístupových práv vrátane viacfaktorovej autentifikácie a minimálneho oprávnenia;

819

* Automatizácia a orchestrácia bezpečnosti prostredníctvom automatizácie opakujúcich sa úloh a koordinácie rôznych bezpečnostných nástrojov a procesov na zvýšenie efektívnosti a reakčnej schopnosti;

820

* Rozhranie na vzdelávania a testovanie zamestnancov pre oblasť aktuálne platnej legislatívy v oblasti informačnej a kybernetickej bezpečnosti;

821

* Rozhranie pre školenia personálu v oblasti najlepších postupov v oblasti informačnej a kybernetickej bezpečnosti;

822

* Otvorené API rozhranie podľa štandardu WSDL

Výkonnostné požiadavky:

* CPU: 2 vCPU

* RAM: Minimálne 4 GB (odporúčaná 8GB)

831

* Úložisko: SSD s minimálne 128 GB voľného miesta (odporúčané 256GB)

832

* Sieťová konektivita: min 100Mbps

Dodávateľ zabezpečí :

837

838

* Implementáciu a integráciu nástroja v existujúcom prostredí

839

* Potrebnú dokumentáciu ku infraštruktúre

840

841

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholderi"/}}3.3 Zainteresované strany/Stakeholderi ==

|(((

**ID**

)))|(((

**AKTÉR / STAKEHOLDER**

)))|(((

**SUBJEKT**

)))|(((

**ROLA**

)))|(((

**Informačný systém**

)))

|(((

1.

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

)))|(((

MIRRI

)))|(((

Riadiaci orgán OP Slovensko/Poskytovateľ NFP

)))|(((

-

)))

|(((

2.

)))|(((

Mesto Skalica

)))|(((

Mesto Skalica

)))|(((

Vlastník procesu

)))|(((

isvs_14482

isvs_14481

isvs_12137

)))

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}3.4 Ciele projektu ==

|(((

**ID**

)))|(((

**Názov cieľa**

)))|(((

**Názov strategického cieľa**

890

)))|(((

891

**Spôsob realizácie strategického cieľa**

)))

|(((

C1

)))|(((

Zosúladenie bezpečnostnej dokumentácie s platnou legislatívou

897

)))|(((

898

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

899

900

901

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe (Cieľ Národnej koncepcie informatizácie verejnej správy, cieľ 4.1)

902

)))|(((

903

Dosiahnutie cieľa bude možné cez hlavnú aktivitu projektu, ktorou je „Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti“

)))

|(((

C2

)))|(((

Vytvoreniu efektívneho systému bezpečnostného monitoringu IKT prostredia

909

)))|(((

910

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

911

912

913

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe (Cieľ Národnej koncepcie informatizácie verejnej správy, cieľ 4.1)

914

)))|(((

915

Dosiahnutie cieľ bude možné cez hlavnú aktivitu projektu, ktorou je „Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti“

)))

|(((

C3

)))|(((

Celkové zvýšenie úrovne informačnej a kybernetickej bezpečnosti v podmienkach žiadateľa

921

)))|(((

922

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

923

924

925

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe (Cieľ Národnej koncepcie informatizácie verejnej správy, cieľ 4.1)

926

)))|(((

927

Dosiahnutie cieľ bude možné cez hlavnú aktivitu projektu, ktorou je „Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti“

928

)))

929

930

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.5Merateľnéukazovatele(KPI)"/}}** **3.5 Merateľné ukazovatele (KPI) ==

|(((

**ID**

)))|(((

**ID/Názov cieľa**

)))|(((

**Názov ukazovateľa (KPI)**

939

)))|(((

940

**Popis ukazovateľa**

)))|(((

**Merná jednotka**

)))|(((

**AS IS merateľné hodnoty (aktuálne)**

945

)))|(((

946

**TO BE Merateľné hodnoty (cieľové hodnoty)**

947

)))|(((

948

**Spôsob ich merania**

)))|(((

**Pozn.**

)))

|(((

PO095 / PSKPSOI12

)))|(((

C1; C2; C3; C4

)))|(((

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

958

)))|(((

959

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.

)))|(((

Verejné inštitúcie

)))|(((

0

)))|(((

1

)))|(((

Subjekty verejnej správy zapísané v štatistickom registri organizácií vedenom Štatistickým úradom SR, ktoré sú zaradené v sektore verejnej správy.

968

)))|(((

969

Realizácia projektu umožní rozvoj KaIB v 1 inštitúcii, ktorou je Mesto Skalica

)))

|(((

PR017 / PSKPRCR11

)))|(((

C1; C2; C3; C4

)))|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

977

)))|(((

978

Počet používateľov v oblasti KIB

)))|(((

Používatelia/rok

)))|(((

0

)))|(((

122

)))|(((

Databáza zamestnancov žiadateľa

987

)))|(((

988

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov je vyjadrený ako priemerný evidenčný počet zamestnancov ku koncu roka, zaokrúhlený na celé čísla nadol.

989

)))

990

991

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.6Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.6 Špecifikácia potrieb koncového používateľa ==

992

993

Koncovým užívateľom je v rámci projektu Mesto Skalica. Špecifikáciu potrieb koncového používateľa predstavujú závery auditu kybernetickej bezpečnosti, ktorý bol spracovaný v mesiacoch máj a jún 2024. Na hlavné problémy identifikované auditom reflektujú jednotlivé technické riešenia popísané v tomto projektovom zámere.

994

995

Uvedené potreby sú riešené predkladaným projektom, resp. činnosťami, ktoré sú podrobne uvedené v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

996

997

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.7Rizikáazávislosti"/}}3.7 Riziká a závislosti ==

998

999

Register rizík a závislostí tvorí samostatnú prílohu projektu. Zoznam rizík a závislostí reflektuje na riziká identifikované v čase prípravno-iniciačnej fázy projektu a počas implementácie projektu bude predmetom neustálej aktualizácie, tak aby reflektoval na skutkový stav.

1000

1001

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.8Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.8 Stanovenie alternatív v biznisovej vrstve architektúry ==

1002

1003

Pri koncipovaní biznisovej vrstvy architektúry boli porovnávané celkovo 3 variabilné alternatívy riešenia súčasného stavu. S ohľadom na vyššie popísané problémy vyvstali pri koncipovaní projektu 3 možné alternatívne riešenia:

1004

1005

**Alternatíva 1 - Zachovanie súčasného stavu architektúry**

1006

1007

Prvou alternatívou je zachovanie existujúceho stavu ochrany informačných systémov mesta. V prípade využitia tejto alternatívy by však nebola zabezpečená požadovaná úroveň zabezpečenia KaIB a ochrana informácií a informačných aktív samosprávy by bola rozpore s povinnosťami vyplývajúcimi zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

1008

1009

**Alternatíva 2 – Čiastočné zvýšenie úrovne kybernetickej a informačnej bezpečnosti**

1010

1011

Druhou alternatívou je aplikovanie iba čiastkových riešení KaIB mesta. S ohľadom na nedostatok finančných zdrojov samosprávy by bola táto alternatíva využitá v prípade nezískania prostriedkov z Programu Slovensko. V rámci tejto alternatívy by boli realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou a to prioritne opatrenia v oblasti governance KaIB. Uvedená alternatíva by však s ohľadom na disponibilné zdroje mesta neumožňovala realizáciu technologických odporúčaní, resp. len v obmedzenej miere. Alternatíva neumožňuje implementáciu mechanizmov pre potreby zabezpečenia infraštruktúry žiadateľa umiestnenej v cloude** a pod.**

1012

1013

**Alternatíva 3 – Vypracovanie komplexnej bezpečnostnej dokumentácie a komplexné vybudovanie technických riešení zabezpečenia KaIB mesta**

1014

1015

Tretia alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti a teda zosúladenie stavu riešenia KaIB s legislatívnymi požiadavkami. Táto alternatíva zahŕňa komplex technických a netechnických opatrení, ktoré reflektujú na odporúčania realizovaného auditu kybernetickej bezpečnosti mesta Skalica.

1016

1017

Ako najefektívnejšia bola vybraná Alternatíva č. 3, ktorá pokrýva procesy a požiadavky všetkých stakeholderov/aktérov a celú situáciu rieši komplexne.

1018

1019

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.9Multikriteriálnaanalýza"/}}3.9 Multikriteriálna analýza ==

|(((

//** **//

)))|(((

**KRITÉRIUM**

)))|(((

**ZDÔVODNENIE KRITÉRIA**

1028

)))|(((

1029

**STAKEHOLDER 1 - MIRRI**

1030

)))|(((

1031

**STAKEHOLDER 2 – Mesto Skalica**

1032

)))

1033

|(% rowspan="3" %)(((

BIZNIS VRSTVA

// //

)))|(((

**Kritérium A**

Zosúladenie bezpečnostnej dokumentácie s platnou legislatívou (KO)

1044

)))|(((

1045

Jedná sa o KO kritérium vychádzajúce zo základnej požiadavky súladu s legislatívou

)))|(((

X

)))|(((

X

)))

|(((

**Kritérium B**

Nasadenie HW a SW pre zvýšenie úrovne KaIB mesta (KO)

1055

)))|(((

1056

Jedná sa o KO kritérium vychádzajúce z nevyhnutnej potreby odstránenia zistení vyplývajúcich z auditu kybernetickej bezpečnosti

)))|(((

X

)))|(((

X

)))

|(((

**Kritérium C**

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

1066

)))|(((

1067

Jedná sa o kritérium predstavujúce komplexné riešenie kybernetickej bezpečnosti mesta

)))|(((

)))|(((

X

)))

**Vyhodnotenie MCA**

|(((

Zoznam kritérií

)))|(((

Alt. 1

)))|(((

Spôsob dosiahnutia

)))|(((

Alt. 2

)))|(((

Spôsob dosiahnutia

)))|(((

Alt. 3

)))|(((

Spôsob dosiahnutia

)))

|(((

**Kritérium A**

Zosúladenie bezpečnostnej dokumentácie s platnou legislatívou (KO)

)))|(((

Nie

)))|(((

Realizáciou alternatívy č. 1 nepríde k naplneniu KO kritéria

)))|(((

Áno

)))|(((

Realizácia alternatívy č. 2 umožní realizáciu governance KaIB v prostredí mesta a tým naplní súlad s platnou legislatívou.

)))|(((

Áno

)))|(((

Alternatíva č. 3 umožňuje komplexnú realizáciu opatrení v oblasti ochrany KaIB a teda tiež naplnenie požiadaviek súvisiacich s governance KaIB v zmysle platnej legislatívy

)))

|(((

**Kritérium B**

Nasadenie HW a SW pre zvýšenie úrovne KaIB mesta (KO)

)))|(((

Nie

)))|(((

Realizáciou alternatívy č. 1 nepríde k naplneniu KO kritéria

)))|(((

Áno -čiastočne

)))|(((

Realizácia alternatívy č. 2 umožní realizáciu čiastkových technických opatrení vedúcich k zvýšeniu úrovne KaIB mesta

)))|(((

Áno

)))|(((

Alternatíva č. 3 umožňuje komplexnú realizáciu opatrení v oblasti ochrany KaIB a teda umožní zrealizovať také technické riešenie, ktoré zvýši úroveň KaIB mesta

)))

|(((

**Kritérium C**

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

)))|(((

Nie

)))|(((

Realizáciou alternatívy č. 1 nepríde k naplneniu tohto kritéria

)))|(((

Nie

)))|(((

Realizáciou alternatívy č. 2 nepríde k realizovaniu automatizovaných riešení a teda k naplneniu tohto kritéria

)))|(((

Áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje okrem iného aj nasadenie automatizovaných riešenie pre oblasť kybernetickej bezpečnosti.

1142

)))

1143

1144

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.10Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.10 Stanovenie alternatív v aplikačnej vrstve architektúry ==

1145

1146

HW a SW komponenty, tiež služby a podpora, ktoré sú s nimi spojené, musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi, ktoré vychádzajú zo zistení a následných odporúčaní analýzy bezpečnosti a z požiadaviek zákona o KIB, zákona o ISVS a ďalších predpisov.

1147

1148

== {{id name="projekt_2924_Projektovy_zamer_detailny-3.11Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.11 Stanovenie alternatív v technologickej vrstve architektúry ==

1149

1150

Technologická alternatíva nie je definovaná, nakoľko projekt umožňuje realizovať ľubovoľnú SW a HW technológiu. Konkrétnu technológiu navrhne úspešných uchádzač v rámci procesu verejného obstarávania.

1151

1152

= {{id name="projekt_2924_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

1153

1154

Výstupom projektu budú:

1155

1156

* Projektové výstupy podľa vyhlášky 401/2023 o riadení projektov relevantné pre predmetný typ projektu,

1157

* Vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti. Podrobný zoznam je uvedený v časti Motivácia a rozsah projektu, časť 1.

1158

* Nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti. Podrobný zoznam je uvedený v časti Motivácia a rozsah projektu, časti 2 až 10

1159

1160

Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. časť 9 – Projektový tím).

1161

1162

= {{id name="projekt_2924_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY =

1163

1164

Podrobný popis architektúry je uvedený v dokumente Prístup k projektu. V tejto kapitole uvádzame len sumárny nákres architektúry.

1165

1166

[[image:attach:Architektura.png||height="400"]]

1167

1168

== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1Prehľade-Governmentkomponentov"/}}5.1 Prehľad e-Government komponentov ==

1169

1170

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}5.1.1 Prehľad koncových služieb – budúci stav: ===

1171

1172

Projekt nebuduje koncové služby.

1173

1174

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.2Prehľadbudovaných/rozvíjanýchISVSvprojekte–budúcistav:"/}}5.1.2 Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ===

1175

1176

Projekt nebuduje a ani nerozvíja ISVS

1177

1178

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.3Prehľadbudovanýchaplikačnýchslužieb–budúcistav:"/}}5.1.3 Prehľad budovaných aplikačných služieb – budúci stav: ===

1179

1180

Projekt nebuduje aplikačné služby.

1181

1182

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS1aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4 Prehľad integrácii ISVS na spoločné ISVS1 a ISVS iných OVM alebo IS tretích strán ===

1183

1184

V rámci projektu nebude realizovaná žiadna integrácia.

1185

1186

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.5Aplikačnéslužbynaintegráciu"/}}5.1.5 Aplikačné služby na integráciu ===

1187

1188

Projekt nebuduje aplikačné služby.

1189

1190

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.6PoskytovanieúdajovzISVSdoISCSRÚ"/}}5.1.6 Poskytovanie údajov z ISVS do IS CSRÚ ===

1191

1192

Projekt nebude poskytovať údaje do IS CSRÚ.

1193

1194

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.7KonzumovanieúdajovzISCSRÚ"/}}5.1.7 Konzumovanie údajov z IS CSRÚ ===

1195

1196

Projekt nebude konzumovať údaje z IS CSRÚ.

1197

1198

=== {{id name="projekt_2924_Projektovy_zamer_detailny-5.1.8Prehľadplánovanéhovyužívaniainfraštruktúrnychslužieb(cloudovýchslužieb)–budúcistav"/}}5.1.8 Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav ===

1199

1200

Projekt neplánuje využívanie cloudových infraštruktúrnych služieb.

1201

1202

= {{id name="projekt_2924_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6. LEGISLATÍVA =

1203

1204

Z pohľadu rozsahu projektu nie je pre jeho úspešnú implementáciu potrebná úprava legislatívnych noriem na úrovni zákonov, vyhlášok alebo všeobecne záväzných nariadení. Z pohľadu realizácie projektu bude však nevyhnutná úprava viacerých interných smerníc a dokumentov. Konkrétny rozsah je popísaný v rámci kapitoly 3.2 Motivácia a rozsah projektu. Upravené smernice a riadiaca dokumentácia bude tvoriť tiež samotný výstup projektu a ich spracovaním príde k úprave vnútorných procesov mesta vo vzťahu k zvýšeniu úrovne kybernetickej bezpečnosti a povedomia o nej. Projekt sa počas prípravy a tiež následne počas svojej implementácie bude riadiť príslušnou platnou legislatívou. Medzi najvýznamnejšie legislatívne dokumenty patria:

1205

1206

* Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov;

1207

* Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy v znení neskorších predpisov;

1208

* Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov;

1209

* Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení neskorších predpisov;

1210

* Vyhláška 401/2023 Z. z. Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy.

1211

1212

= {{id name="projekt_2924_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7. ROZPOČET A PRÍNOSY =

1213

1214

Celkový rozpočet projektu je vyčíslený na sumu 351 468,84 EUR s DPH, z čoho podporné aktivity projektu (riadenie projektu, informovanosť a publicita) boli stanovené v maximálnej výške 7 % z celkových priamych výdavkov. S ohľadom na deklarovanú výšku rozpočtu projektu (projekt do 1 000 000,00,- EUR) nebola spracovaná Analýza nákladov a prínosov.

1215

1216

Za účelom preukázania hospodárnosti výdavkov rozpočtu na realizáciu projektu vykonal žiadateľ prieskum trhových cien v rámci ktorého reflektovali na Výzvu o cenovú ponuku 3 potenciálny uchádzači. Prieskum trhu bol realizovaný v mesiaci jún 2024. Výška výdavkov súvisiaca s obstaraním jednotlivých položiek bola určená ako aritmetický priemer doručených ponúk. Žiadateľ sa rozhodol pre výkon prieskumu trhu z dôvodu čo možno najpresnejšieho stanovenia cien jednotlivých položiek rozpočtu. Kompletná dokumentácia z vykonaného prieskumu trhu je archivovaná u žiadateľa a je dostupná poskytovateľovi v prípade potreby na vyžiadanie.

1217

1218

== {{id name="projekt_2924_Projektovy_zamer_detailny-7.1Sumarizácianákladovaprínosov"/}}7.1 Sumarizácia nákladov a prínosov ==

|(((

**Náklady**

)))|(((

**Spracovanie Auditu kybernetickej bezpečnosti – už realizované**

1224

)))|(((

1225

**Spracovanie povinnej dokumentácie a návrh procesov minimálne na úrovni požiadaviek zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a zákona č. 95/2019 Z.z. o informačných technológiách **

1226

)))|(((

1227

**Implementácia mechanizmov pre potreby zabezpečenia infraštruktúry žiadateľa umiestnenej v cloude**

1228

)))|(((

1229

**Nasadenie dvojfaktorovej autentifikácie**

1230

)))|(((

1231

**Riešenie centrálneho bezpečnostného manažmentu pre koncové stanice - centrálna správa a manažment koncových zariadení - XDR**

1232

)))|(((

1233

**Nasadenie nástroja na riadenie kybernetickej bezpečnosti v prostredí mesta Skalica**

1234

)))

1235

|(((

1236

**Všeobecný materiál**

)))|(((

**0,00**

)))|(((

**0,00**

)))|(((

**0,00**

)))|(((

**0,00**

)))|(((

**0,00**

)))|(((

**0,00**

)))

|(((

**Paušálna sadzba na nepriame výdavky**

)))|(((

**3 832,22**

)))|(((

**3 832,22**

)))|(((

**3 832,22**

)))|(((

**3 832,21**

)))|(((

**3 832,21**

)))|(((

**3 832,21**

)))

|(((

**IT - CAPEX**

)))|(((

**6 000,00**

)))|(((

**34 339,59**

)))|(((

**204 523,59**

)))|(((

**9 943,59**

)))|(((

**50 057,19**

)))|(((

**23 611,59**

)))

|(((

Aplikácie

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))

|(((

SW

)))|(((

0,00

)))|(((

0,00

)))|(((

177 120,00

)))|(((

1 926,00

)))|(((

41 925,60

)))|(((

18 000,00

)))

|(((

HW

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

1 350,00

)))|(((

0,00

)))|(((

0,00

)))

|(((

Ostatné služby/práce

)))|(((

6 000,00

)))|(((

33 048,00

)))|(((

26 112,00

)))|(((

5 376,00

)))|(((

6 840,00

)))|(((

4 320,00

)))

|(((

Mzdové výdavky

)))|(((

0,00

)))|(((

1 291,59

)))|(((

1 291,59

)))|(((

1 291,59

)))|(((

1 291,59

)))|(((

1 291,59

)))

|(((

**IT - OPEX- prevádzka /rok**

)))|(((

**0,00**

)))|(((

**0,00**

)))|(((

**9 504,00**

)))|(((

**0,00**

)))|(((

**3 024,00**

)))|(((

**2 304,00**

)))

|(((

Aplikácie

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))

|(((

SW

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))|(((

0,00

)))

|(((

HW

)))|(((

0,00

)))|(((

0,00

)))|(((

9 504,00

)))|(((

0,00

)))|(((

3 024,00

)))|(((

2 304,00

)))

|(((

**Prínosy**

)))|(((

)))|(((

**~ **

)))|(((

)))|(((

)))|(((

**~ **

)))|(((

**~ **

)))

|(((

**Kvalitatívne prínosy**

)))|(((

)))|(((

// //

)))|(((

)))|(((

)))|(((

// //

)))|(((

// //

)))

|(((

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))

= {{id name="projekt_2924_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =

|(((

**ID**

)))|(((

**FÁZA/AKTIVITA**

)))|(((

**ZAČIATOK

(odhad termínu)**

)))|(((

**KONIEC

(odhad termínu)**

)))|(((

**POZNÁMKA**

)))

|(((

1.

)))|(((

Prípravná fáza

)))|(((

05/2024

)))|(((

06/2024

)))|(((

)))

|(((

2.

)))|(((

Iniciačná fáza

)))|(((

06/2024

)))|(((

06/2025

)))|(((

Iniciačná fáza zahŕňa aj realizáciu VO

)))

|(((

3.

)))|(((

Realizačná fáza

)))|(((

07/2025

)))|(((

08/2026

)))|(((

)))

|(((

3a

)))|(((

Analýza a Dizajn

)))|(((

07/2025

)))|(((

09/2025

)))|(((

)))

|(((

3b

)))|(((

Nákup technických prostriedkov, programových prostriedkov a služieb

)))|(((

07/2025

)))|(((

10/2025

)))|(((

**~ **

)))

|(((

3c

)))|(((

Implementácia a testovanie

)))|(((

10/2025

)))|(((

02/2026

)))|(((

)))

|(((

3d

)))|(((

Nasadenie a PIP

)))|(((

03/2026

)))|(((

06/2026

)))|(((

PIP - 3 mesiace po nasadení

)))

|(((

4.

)))|(((

Dokončovacia fáza

)))|(((

07/2026

)))|(((

08/2026

)))|(((

)))

|(((

5.

)))|(((

Podpora prevádzky (SLA)

)))|(((

08/2026

)))|(((

08/2031

)))|(((

)))

V rámci predmetného projektu sa plánuje riadenie systémom „WATERFALL“, ktorý sa javí ako vhodnejšia alternatíva k agilnému prístupu, nakoľko všetky projektové etapy bude pomerne jednoznačne možné identifikovať, ohraničiť a realizovať vo vzťahu k ich vecnej a časovej závislosti. V rámci ďalších fáz projektu, predovšetkým v Iniciačnej fáze budú upresnené jednotlivé etapy projektu a súslednosť pracovných balíkov „WPs“ a to v súlade s metodikou riadenia projektov PRINCE2.

1577

1578

= {{id name="projekt_2924_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM =

1579

1580

Najvyššia úroveň riadenia projektu bude zastúpená v zmysle metodiky riadenia projektov PRINCE2 Riadiacim výborom projektu „RV“, ktorý bude zasadať v nasledovnom zložení:

1581

1582

* Predseda Riadiaceho výboru

1583

* Projektový manažér

1584

* Vlastník procesov

1585

* Zástupca prevádzky (kľúčový používateľ)

1586

* Zástupca dodávateľa

1587

1588

Okrem RV bude v rámci projektu zriadený tiež projektový tím žiadateľa, ktorý bude zložený:

1589

1590

* Manažér kybernetickej a informačnej bezpečnosti

1591

* Kľúčový používateľ

1592

1593

Riadiaci výbor projektu v kooperácii s projektovým tímom bude zriadený pre účely usmerňovania a riadenia projektu ako celku. Projektový tím bude zodpovedať za celkový úspech projektu a bude zároveň nositeľom zodpovednosti a autority v rámci projektu. Okrem iného bude koordinovať činnosti publicity a informovanosti projektu a zdieľať informácie o projekte smerom k dotknutým osobám „stakeholderom“ a to počas celej doby trvania projektu a počas existencie projektového výboru samotného.

1594

1595

Riadiaci výbor bude schvaľovať najmä nasledovné:

1596

1597

* Hlavné plány projektu

1598

* Autorizovať prípadne odchýlky od dohodnutých plánov

1599

* Bude autorizovať ukončenie všetkých hlavných aktivít projektu (viď časový harmonogram)

1600

* Bude zodpovedať za zabezpečenie príslušných zdrojov projektu (aj vo vzťahu k dodávateľom)

1601

* Schvaľuje rolu Projektového manažéra

1602

* Zodpovedá za schválenie projektovej iniciačnej dokumentácie „PID“

1603

* Bude zodpovedať za celkové usmerňovanie projektu (sledovanie projektu v rámci tolerancií)

1604

* Bude prehodnocovať ukončené etapy a schvaľovať prechody do ďalších etáp (aplikovateľné práve na podmienky prístupu „waterfall“...

1605

* Na konci projektu bude zabezpečovať, aby boli produkty odovzdané uspokojivo

1606

* Bude zodpovedať za schválenie/akceptáciu výstupov a schválenie záverečnej správy (preberacie protokoly, akceptácia predmetu projektu...).

1607

1608

Projektový tím bude zabezpečovať samotnú realizáciu projektu v kooperácii s dodávateľom a pripravovať potrebné dokumenty k schváleniu riadiacim výborom.

|(((

**ID**

)))|(((

**Meno a Priezvisko**

)))|(((

**Pozícia**

)))|(((

**Oddelenie**

)))|(((

**Rola v projekte**

)))

|(((

1.

)))|(((

Mgr. Oľga Luptáková

)))|(((

Primátorka

)))|(((

Kancelária primátora

)))|(((

Predseda RV

)))

|(((

2.

)))|(((

Mgr. Juraj Spáčil

)))|(((

Vedúci

)))|(((

Oddelenie všeobecnej správy

1640

)))|(((

1641

Vlastník procesov/člen RV

)))

|(((

3.

)))|(((

Tibor Ružička

)))|(((

Informatik

)))|(((

Oddelenie všeobecnej správy

1651

)))|(((

1652

Zástupca prevádzky (kľúčový používateľ)/člen RV a člen projektového tímu

)))

|(((

4.

)))|(((

Vybratý v rámci VO

)))|(((

Zástupca dodávateľa

)))|(((

dodávateľ

)))|(((

Člen RV bez hlasovacieho práva

)))

|(((

5.

)))|(((

Vybratý v rámci VO

)))|(((

Projektový manažér

)))|(((

dodávateľ

)))|(((

Projektový manažér/člen RV bez hlasovacieho práva

)))

|(((

6.

)))|(((

Pavol Svrček

)))|(((

Manažér kybernetickej bezpečnosti

1682

)))|(((

1683

Oddelenie všeobecnej správy

1684

)))|(((

1685

Manažér kybernetickej a informačnej bezpečnosti (člen projektového tímu)

1686

)))

1687

1688

Schéma projektového tímu je znázornená nižšie.

1689

1690

[[image:attach:Projektovy_team_VZ.png||height="400"]]

1691

1692

== {{id name="projekt_2924_Projektovy_zamer_detailny-9.1Pracovnénáplne"/}}9.1 Pracovné náplne ==

|(((

**Projektová rola:**

)))|(((

**~ PROJEKTOVÝ MANAŽÉR**

)))

|(((

**Stručný popis:**

)))|(((

* zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

1703

* zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

1704

* zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

1705

)))

1706

|(((

1707

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

* Riadenie projektu podľa pravidiel stanovených vo Vyhláške 401/2023 Z.z.

1712

* Riadenie prípravy, inicializácie a realizácie projektu

1713

* Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii

1714

* Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

1715

* Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

1716

* Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

1717

* Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1718

* Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

1719

* Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 401/2023 Z.z., Prílohy č.1

1720

* Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1 na rokovanie RV

1721

* Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

1722

* Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

1723

* Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

1724

* Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

1725

* Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

1726

* Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

1727

* Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

1728

* Riadenie implementačných a prevádzkových aktivít v rámci projektov.

1729

* Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

1730

* Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

1731

* Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

1732

* Dodržiavanie metodík projektového riadenia,

1733

* Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),

1734

* Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr

1735

)))

1736

|(((

1737

**Odporúčané kvalifikačné predpoklady**

1738

)))|(((

1739

* Certifikácia - Prince 2

1740

* Certifikácia - PMI PMP

1741

* Certifikácia - IPMA

1742

* Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

)))

|(((

**Projektová rola:**

)))|(((

**~ KĽUČOVÝ POUŽIVATEĽ **(end user)

)))

|(((

**Stručný popis:**

)))|(((

* zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

1753

* zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.

1754

* Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov

1755

)))

1756

|(((

1757

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

* Návrh a špecifikáciu funkčných a technických požiadaviek

1762

* Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

1763

* Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,

1764

* Špecifikáciu požiadaviek koncových používateľov na prínos systému

1765

* Špecifikáciu požiadaviek na bezpečnosť,

1766

* Návrh a definovanie akceptačných kritérií,

1767

* Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

1768

* Finálne odsúhlasenie používateľského rozhrania

1769

* Vykonanie akceptačného testovania (UAT)

1770

* Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

1771

* Finálny návrh na spustenie do produkčnej prevádzky,

1772

* Predkladanie požiadaviek na zmenu funkcionalít produktov

1773

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1774

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|(((

**Projektová rola:**

)))|(((

**~ VLASTNÍK PROCESOV **(biznis vlastník)

)))

|(((

**Stručný popis:**

)))|(((

* zodpovedá za proces - jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi. Kľúčová rola na strane zákazníka (verejného obstarávateľa), ktorá schvaľuje biznis požiadavky a zodpovedá za výsledné riešenie, prínos požadovanú hodnotu a naplnenie merateľných ukazovateľov. Úlohou tejto roly je definovať na užívateľa orientované položky (user-stories), ktoré budú zaradzované a prioritizované v produktovom zásobníku. Zodpovedá za priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane DNR z pohľadu analýzy a návrhu riešenia aplikácii IS.

1787

* zodpovedný za schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu. Definuje očakávania na kvalitu projektu, kvalitu projektových produktov, prínosy pre koncových používateľov a požiadavky na bezpečnosť. Definuje merateľné výkonnostné ukazovatele projektov a prvkov. Vlastník procesov schvaľuje akceptačné kritériá, rozsah a kvalitu dodávaných projektových výstupov pri dosiahnutí platobných míľnikov, odsúhlasuje spustenie výstupov projektu do produkčnej prevádzky a dostupnosť ľudských zdrojov alokovaných na realizáciu projektu.

1788

)))

1789

|(((

1790

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

* Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov.

1795

* Spoluprácu pri riešení odpovedí na otvorené otázky a riziká projektu.

1796

* Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej)

1797

* Riešenie problémov a požiadaviek v spolupráci s odbornými garantmi,

1798

* Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek

1799

* Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu

1800

* Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť,

1801

* Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,

1802

* Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu (BC/CBA)

1803

* Schválenie akceptačných kritérií,

1804

* Riešenie problémov používateľov

1805

* Akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,

1806

* Vykonanie UX a UAT testovania

1807

* Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,

1808

* Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

1809

* Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch.

1810

* Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a prioritizácii

1811

* Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd,

1812

* Okrem zvažovaní rizík prevádzkových alebo podporných procesov súčasne vlastník napomáha identifikovať príležitosti,

1813

* Zlepšovanie a optimalizáciu procesov v spolupráci s ďalšími prepojenými vlastníkmi procesov a manažérom kvality,

1814

* Odsúhlasenie akceptačných protokolov zmenových konaní

1815

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1816

* plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|(((

**Projektová rola:**

)))|(((

**~ MANAŽÉR KYBERNETICKEJ BEZPEČNOSTI (KIB) a IT BEZPEČNOSTI (ITB)**

)))

|(((

**Stručný popis:**

)))|(((

* zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

1827

* koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti

1828

1829

**PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KIB a ITB:**

1830

1831

1. neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných.

1832

1. rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle:

1833

1834

a) § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

1835

1836

b) ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

1837

)))

1838

|(((

1839

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

* špecifikovanie štandardov, princípov a stratégií v oblasti ITB a KIB,

1844

* ak je projekt primárne zameraný na problematiku ITB a KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na ITB a KIB,

1845

* špecifikovanie požiadaviek na ITB a KIB, kontroluje ich implementáciu v realizovanom projekte,

1846

* špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

1847

* špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť ITB a KIB,

1848

* špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

1849

* špecifikovanie požiadaviek na školenia pre oblasť ITB a KIB,

1850

* špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť ITB a KIB,

1851

* špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na ITB a KIB,

1852

* realizáciu posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

1853

* špecifikovanie požiadaviek na ITB a KIB, bezpečnostný projekt a riadenie prístupu,

1854

* špecifikovanie požiadaviek na testovanie z hľadiska ITB a KIB, realizáciu kontroly zapracovania a retestu,

1855

* špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť ITB a KIB, ako aj v zmysle "best practies",

1856

* špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s ITB a KIB kontroluje ich implementáciu v realizovanom projekte,

1857

* špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu ITB a KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

1858

* špecifikáciu požiadaviek na bezpečnosť IT a KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

1859

* špecifikáciu akceptačných kritérií za oblasť ITB a KIB,

1860

* špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na ITB a KIB,

1861

* poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť ITB a KIB,

1862

* získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1863

* špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,

1864

* konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska ITB a KIB,

1865

* špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť ITB a KIB,

1866

* realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť ITB a KIB

1867

* realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

1868

* realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

1869

* realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť ITB a KIB,

1870

* realizáciu kontroly zameranú na implementovaný proces v priamom súvise s ITB a KIB,

1871

* realizáciu kontroly súladu s planou legislatívou v oblasti ITB a KIB (obsahuje aj kontrolu leg. požiadaviek)

1872

* realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

1873

* poskytovanie konzultácií a súčinnosti pre problematiku ITB a KIB,

1874

* získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1875

* aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1876

* plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

1877

)))

1878

1879

= {{id name="projekt_2924_Projektovy_zamer_detailny-10.ODKAZY"/}}10. ODKAZY =

N/A