I-02 Projektový zámer (projektovy_zamer)

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

44

45

46

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky obsahuje manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

== Použité skratky a pojmy ==

52

53

54

|**SKRATKA/POJEM**|**POPIS**

55

|Active Directory|Active Directory je implementácia adresárových služieb LDAP firmou Microsoft na použitie v systéme Microsoft Windows. Umožňuje administrátorom nastavovať politiku, inštalovať programy na mnoho počítačov alebo aplikovať kritické aktualizácie v celej organizačnej štruktúre. Active Directory svoje informácie a nastavenia ukladá v centrálnej organizovanej databáze.

56

|BIA|Business Impact Analysis - Analýza vplyvu (BIA) je základom celého procesu riadenia kontinuity podnikania (BCM). Pozostáva z techník a metód na posúdenie vplyvu narušenia dodávok kľúčových produktov alebo služieb organizácie a iných zainteresovaných strán na organizáciu a ich podporných kritických činností

57

|BCM|Business Continuity Management - Riadenie kontinuity podnikania je kompletný súbor procesov,

58

| |ktorý identifikuje potenciálne vplyvy , ktoré ohrozujú organizáciu z pohľadu kybernetickej bezpečnosti. Poskytuje schopnosť účinnej reakcie na vzniknutý kybernetický bezpečnostný incident

59

|CIRT|Cyber Incident Response Team/bezpečnostný tým

60

|Core|Jadro alebo centrum systému

61

|Ceretram|Oznamovanie prepravy rádioaktívneho materiálu

62

|DAC kábel|Direct attach copper kábel, slúži k pripojeniu aktívnych prvkov.

63

|DDoS|Distributed Denial of Service

64

|DDoS útok|Tzp hekerského útoku zahltením.

65

|Digitálny tachograf|ISVS MDSR

66

|DLP|Data loss prevention

67

|EDR riešenie|EDR (Endpoint Detection and Response) zlepšuje schopnosť identifikovať, monitorovať a reagovať na podozrivé aktivity na koncových zariadeniach, ako sú pracovné stanice, servery a mobilné zariadenia

68

|EPS|EPS (skratka pre Encapsulated PostScript) je univerzálny typ súboru, ktorý sa využíva pri posielaní dokumentov do tlačiarne

69

|Firewall|Sieťové zariadenie alebo softvér, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Extranet a Intranet) a kontrolovať tok dát medzi týmito sieťami

70

|Fabasoft|Registratúrny IS

71

|GDPR|Nariadenie EU 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov

72

|GOVNET|Government Network/štátna sieť

73

|HW|Hardware

74

|IB|Informačná bezpečnosť

75

|IS|Informačný systém

76

|IS VS|Informačný systém verejnej správy

77

|Inforeg|ISVS MDSR

78

|JISCD|Jednotný IS cestnej dopravy

79

|KB|Kybernetická bezpečnosť

80

|KIB|Kybernetická a informačná bezpečnosť

81

|LAN|Lokálna (vnútorná) počítačová sieť (Local Area Network)

82

|Log|Záznam činnosti

83

|MD SR|Ministerstvo dopravy SR

84

|MKB|Manažér kybernetickej bezpečnosti

85

|NDR|Network Detection and Response/sieťová detekcia a odozva siete

86

|NSDI|Národný systém dopravných informácií

87

|PZS|Poskytovateľ základnej služby – Ministerstvo dopravy SR

88

|SAP|Ekonomický IS

89

|SIEM|Systém pre zber a analýzu bezpečnostných udalostí vytváraných IT prostriedkami v reálnom čase (Security Information and Event Management)

90

|Spam|Spam je nevyžiadaná a hromadne rozosielaná správa

91

|sw|Softvér

92

|Switch|Prepínač (angl. switch) alebo sieťový prepínač (angl. network switch) je aktívny prvok počítačovej siete, ktorý spája jej jednotlivé časti. Prepínač slúži ako centrálny prvok v sieťach hviezdicovej topológie. V minulosti sa ako centrálny prvok v týchto sieťach používal rozbočovač (angl. hub).

93

|SW|Software

94

|TCP|Protokol riadenia prenosu (angl. Transmission Control Protocol)

95

|UPS|Zariadenie alebo systém, ktorý zabezpečuje plynulú dodávku elektriny pre zariadenia, ktoré nesmú byť neočakávane vypnuté.

96

|VPN|VPN je počítačová sieť na prepojenie počítačov na rôznych miestach internetu do jednej virtuálnej počítačovej siete.

== Konvencie pre typy požiadaviek (príklady) ==

N/A - neaplikuje sa

1. DEFINOVANIE PROJEKTU

108

109

110

== Manažérske zhrnutie ==

111

112

113

Projekt „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti na Ministerstve dopravy SR“ (ďalej aj „projekt“) bol vypracovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v rámci Ministerstva dopravy SR (ďalej aj „MD SR“) a zabezpečiť súlad so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) a umožniť poskytovanie základnej služby.

114

115

116

**Tab.č.1** Základná služba v zmysle Zoznamu základných služieb NBÚ SR (zdroj: [[https:~~/~~/www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/>>url:https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/]])

Hlavným cieľom projektu je „Zvýšenie miery ochrany informačných systémov MD SR voči potenciálnym kybernetickým incidentom“.

124

125

Tento cieľ bude naplnený realizáciu činností v oblasti informačnej a kybernetickej bezpečnosti, ktoré vychádzajú zo zistení auditu kybernetickej bezpečnosti realizovaného na Ministerstvo dopravy SR v roku 2021. Projekt je vo vecnom súlade s aktivitou programu Slovensko.

126

127

128

Predmetom projektu je:

129

130

* Implementácia softvérových a hardvérových nástrojov pre oblasť informačnej a kybernetickej bezpečnosti v nadväznosti na riziká identifikované v audite,

131

* Financovanie mzdových výdavkov Manažéra kybernetickej bezpečnosti.

132

133

134

Po implementácii projektu bude MD SR pripravené efektívnejšie riadiť informačnú a kybernetickú bezpečnosť (ďalej iba „IB“ a „KB“) a čeliť interným a externým hrozbám v oblasti IB a KB.

135

136

137

MD SR v súčasnosti nedisponuje dostatočnými finančnými, technologickými a personálnymi zdrojmi, aby mohlo vykonávať všetky potrebné aktivity v rozsahu požadovanom zákonom o KB.

138

139

140

Hlavnými beneficientom projektu je MD SR, a zamestnanci / užívatelia informačných systémov MD SR. Nepriamym beneficientom sú občania SR a subjekty komunikujúce s MD SR, resp. využívajúce agendové systémy MD SR. V dôsledku zavedených opatrení, ktoré zvýšia mieru ochrany informačných systémov bude minimalizovaný výpadok, resp. negatívny dopad bezpečnostných incidentov na riadnych chod MD SR a poskytovanie služieb občanom a podnikateľom.

141

142

Projekt je v súlade s Národnou koncepciou informatizácie verejnej správy 2021 a vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy.

143

144

145

Rozpočet projektu v zmysle aktuálnej CBA : 2 875 837 €

146

147

== Motivácia a rozsah projektu ==

148

149

Ministerstvo dopravy SR je ako prevádzkovateľ základnej služby (ďalej aj „PZS“) zapísané do registra prevádzkovateľov základnej služby. MD SR musí plniť povinnosti vyplývajúce zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej aj „zákona“) a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe.

150

151

152

Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale MD SR si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonaného auditu.

153

154

Z dôvodu prudkého nárastu kybernetických hrozieb je nevyhnutné vybudovanie dostatočných kapacít a zvýšenia spôsobilosti v oblasti kybernetickej bezpečnosti takým spôsobom, aby bola zaistená integrita, dôvernosť a dostupnosť informácií všetkých občanov SR. Ministerstvo dopravy Slovenskej republiky (ďalej ako „MD SR"), v súlade s ustanoveniami § 4 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti, ako organizácia, ktorá je správcom nadrezortného informačného systému vo svojej pôsobnosti zabezpečuje kybernetickú bezpečnosť informačných systémov. V súlade s ustanoveniami § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti je Ministerstvo dopravy Slovenskej republiky povinné plniť predmetné opatrenia. Týmito aspektami sú najmä monitorovanie a analýza interného kybernetického prostredia, výmena informácií o kybernetických hrozbách, ako aj riešenie mimoriadnych situácií. Cieľom projektu je zaistenie kybernetickej ochrany v podmienkach rezortu v súlade s ustanoveniami zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o kybernetickej bezpečnosti"). Takto vybudovanie systémovej infraštruktúry, ktoré bude spĺňať požiadavky na moderné vysoko dostupné systémy s využitím pokročilých metód odhaľovania kybernetických ohrození, zároveň bude poskytovať podporu pre zákonom stanovené služby v oblasti prevencie kybernetických bezpečnostných incidentov, ako aj pre reaktívne služby definované zákonom o kybernetickej bezpečnosti. Zákon definuje preventívne služby ako služby, ktoré sa zameriavajú na prevenciu kybernetických bezpečnostných incidentov a to najmä:

155

156

* vytváraním bezpečnostného povedomia,

157

* monitorovaním a evidenciou kybernetických bezpečnostných incidentov,

158

* pripojením na jednotný informačný systém kybernetickej bezpečnosti,

159

* poskytovaním informácií a údajov do jednotného informačného systému kybernetickej bezpečnosti,

160

* prijímaním a zasielaním včasného varovania pred kybernetickými bezpečnostnými incidentmi prostredníctvom jednotného informačného systému kybernetickej bezpečnosti.

161

162

V zmysle ustanovení zákona sa reaktívne služby zameriavajú na riešenie kybernetických bezpečnostných incidentov a sú nimi najmä:

163

164

* výstrahy a varovania,

165

* detekcia kybernetických bezpečnostných incidentov,

166

* analýza kybernetických bezpečnostných incidentov,

167

* odozva, ohraničenie, riešenie a náprava následkov kybernetických bezpečnostných incidentov,

168

* asistencia pri riešení kybernetického bezpečnostného incidentu na mieste, pričom pod pojmom asistencia rozumie realizácia takých úkonov a činností počas riešenia kybernetických bezpečnostných hrozieb a incidentov, ktoré nevyžadujú priame zásahy do prostredia, kde boli hrozby alebo incidenty odhalené. Asistencia spočíva v konzultáciách na strane MD SR a dodávateľa tejto služby.

169

* reakcia na kybernetický bezpečnostný incident,

170

* podpora reakcií na kybernetické bezpečnostné incidenty,

171

* koordinácia reakcií na kybernetické bezpečnostné incidenty,

172

* návrh opatrení na zabránenie ďalšiemu pokračovaniu, šíreniu a opakovanému výskytu kybernetických bezpečnostných incidentov.

173

174

Predmetom projektu tak je vybudovanie kapacít a zvýšenie spôsobilosti, vybudovanie infraštruktúry, posilnenie kybernetickej bezpečnosti, zlepšenie procesov komunikácie, zberu dát, analýz, predchádzania incidentom, zrýchlenia riešenia kybernetických bezpečnostných incidentov, zvýšenia personálnej a znalostnej spôsobilosti

175

176

177

MD SR v roku 2021 realizovalo „Audit kybernetickej bezpečnosti“. Cieľom auditu kybernetickej bezpečnosti bolo overiť a posúdiť zhodu prijatých bezpečnostných opatrení a plnenie povinností podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosti sietí a informačných systémov prevádzkovateľa základnej služby, s požiadavkami podľa zákona, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti. Auditom kybernetickej bezpečnosti boli identifikované nedostatky pri zabezpečovaní kybernetickej bezpečnosti prevádzkovateľom základnej služby, s cieľom prijať opatrenia na ich odstránenie, nápravu alebo predchádzanie.

178

179

180

Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale MD SR si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonaného auditu.

181

182

Cieľom audítorských prác bolo vykonať overenie a posúdenie zhody prijatých bezpečnostných opatrení a plnenie povinností podľa Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „audit kybernetickej bezpečnosti“).

183

184

Predmetom auditu kybernetickej bezpečnosti bola nasledovná základná služba prevádzkovateľa základných služieb Ministerstvo dopravy a výstavby Slovenskej republiky:

185

186

* Informačný systém verejnej správy a príslušné informačné systémy a siete:

187

** JISCD

188

** NSDI – ukončená prevádzka

189

** Digitálny tachograf

** Inforeg

** CERETRAM

** Fabasoft

** SAP

Na základe zistení z vykonaného auditu je možné vyjadriť, že súčasná implementácia bezpečnostných opatrení je na 5% v súlade so zákonnými požiadavkami.

196

197

198

**Hlavné zistenia, ktoré sú predmetom riešenia v rámci predkladaného projektu:**

199

200

201

* Technické zraniteľnosti

202

** PZS nemá implementovaný nástroj na detegovanie zraniteľností,

203

204

205

* Riadenie bezpečnosti sietí

206

** PZS nemá zavedené kontrolné mechanizmy na sledovanie aktívnych spojení na hraniciach siete a systémoch základnej služby,

207

** PZS nemá zavedený jednotný postup prideľovania sieťových prestupov medzi systémami základnej služby a externými sieťami,

208

** PZS nemá dostatočne implementovanú segmentáciu sietí a neriadi prístup medzi jednotlivými segmentami jednotlivo,

* Riadenie prístupov

** PZS nemá zdokumentované prístupy do informačných systémov a nemá možnosť kontroly,

213

** PZS nevykonáva dohľad na aktivitami v informačných systémoch a nemá možnosť detekcie prípadných incidentov,

214

215

216

* Riešenie kybernetických incidentov

217

** PZS nemá definovaný ani zavedený aktuálny proces riešenia kybernetických bezpečnostných incidentov. Nie je definovaný pojem kybernetického bezpečnostného incidentu,

218

** PZS nemá technické ani personálne možnosti detekcie kybernetických bezpečnostných incidentov v sieťach a informačných systémoch. PZS nemá dostatočnú schopnosť vyhodnocovať a zaznamenávať kybernetické bezpečnostné incidenty a následne prijímať ochranné opatrenia,

* Monitoring bezpečnosti

223

** PZS nemá zavedený nástroj na detekciu kybernetických bezpečnostných incidentov.

**Realizované činnosti v rámci projektu**

228

229

V rámci projektu bude MD SR realizovať činnosti, ktoré sú nevyhnutné pre reakciu MD SR na výsledky auditu kybernetickej bezpečnosti realizovaného v roku 2021.

230

231

232

Hlavnými službami, ktoré budú v rámci projektu realizované na úrovni MD SR budú

233

234

* Zvýšenie monitorovacích, detekčných a reakčných schopnosti pre MD SR,

235

* riadenie rizík KIB,

236

* personálna bezpečnosť,

237

* riadenie prístupov,

238

* bezpečnosť pri prevádzke informačných systémov a sietí, NDR

239

* ochrana proti škodlivému kódu, SIEM

240

* sieťová a komunikačná bezpečnosť, NDR

241

* zaznamenávanie udalostí a monitorovanie, SIEM + XDR (na pracovných staniciach)

242

* fyzická bezpečnosť a bezpečnosť prostredia (mimo prvkov kritickej infraštruktúry v zmysle zákona č. 45/2011 Z. z. o kritickej infraštruktúre),

243

* riešenie kybernetických bezpečnostných incidentov, SIEM,

244

245

246

Monitorovacie, detekčné a reakčné schopnosti majú za cieľ aktívne odhaľovanie pripravovaných a prebiehajúcich bezpečnostných incidentov, ich riešenie, hlásenie vládnej jednotke CSIRTu a ďalšie spracovanie získaných informácii.

247

248

249

Projekt má za cieľ vybudovanie schopností preventívnych činností informačnej a kybernetickej bezpečnosti, ktoré pomôžu znižovať kybernetické riziko v rámci riadení bezpečnostných rizík. V súčasnosti v rámci personálnych výziev je potrebné riešiť jeden z najpálčivejších problémov súčasnej informačnej a kybernetickej bezpečnosti vo svete i v SR – katastrofálny nedostatok odborne zdatných pracovníkov v IT oblasti. Projekt je koncipovaný tak aby v prostredí MD SR vytvoril automatizované systémy, ktoré zmiernia tlak na nedostatok kvalifikovaného personálu.

250

251

252

Služby projektu nie sú typickými službami systémov typu ISVS, sprístupňujúce služby verejnosti. Jedná sa prevažne o interné služby poskytované dovnútra rezortu MD SR, ktoré majú ale veľký dosah na služby poskytované rezortom dopravy širokej aj odbornej verejnosti.

253

254

255

Projekt je primárne založený na oblastiach monitoringu kybernetických bezpečnostných incidentov a formách riešenia a odstraňovania kybernetických hrozieb:

256

257

258

* SIEM - Security Incident and Event Management

259

* Nákup HW a bezpečnostného SW pre potreby KIB

260

* Nástroje pre monitorovanie kritických webových aplikácii

261

* Nástroje pre analýzu sieťovej komunikácie (NDR)

262

* Nástroj pre prevenciu úniku dát a ochranu PC (XDR)

263

264

265

**SIEM - Security Incident and Event Management**

266

267

Audit identifikoval, že PZS nemá definovaný ani zavedený aktuálny proces riešenia kybernetických bezpečnostných incidentov, nemá technické možnosti detekcie kybernetických bezpečnostných incidentov v sieťach a informačných systémoch a rovnko nemá dostatočnú schopnosť vyhodnocovať a zaznamenávať kybernetické bezpečnostné incidenty a následne prijímať ochranné opatrenia. Z uvedeného dôvodu je navrhnutá implementácia SIEM - Security Incident and Event Management.

268

269

270

SIEM (Security Incident and Event Management) je špecializované riešenie, ktoré umožňuje zhromažďovať, korelovať a analyzovať udalosti zo všetkých možných vrstiev IT infraštruktúry a mnohých zariadení,. Vďaka tomuto nástroju máme centrálny prehľad o celej podnikovej infraštruktúre prostredníctvom monitorovania prebiehajúcich udalostí, zhromažďovania konkrétnych informácií zo všetkých prvkov infraštruktúry na všetkých úrovniach (operačný systém, aplikácie, databázy, sieťové prvky) a ich následného vyhodnocovania.

271

272

SIEM poskytuje rôzne funkcie akop sú:

273

274

* Zber logov a toku dát vrátane ich uloženia

275

* Detekciu potencionálnych hrozieb v reálnom čase

276

* Monitorovanie správania sa používateľov v sieti a analýzu podozrivých aktivít na sieti.

277

* Vyhodnocovanie vzorov správania sa „analýza správania útočníkov“

278

* Monitorovanie integrity súborov

279

* Detekciu hrozieb pre koncové body a včasné rozpoznávanie útokov

280

* Monitoring sieťovej prevádzky vrátane zisťovania potencionálnych podozrivých aktivít

281

* Reportovací nástroj s prednastavenými reportami a možnosťou vlastných reportov o stave bezpečnosti IT prostredia.

**Nástroje pre monitorovanie kritických webových aplikácii**

287

288

Audit identifikoval, že PZS nevykonáva dohľad na aktivitami v informačných systémoch a nemá možnosť detekcie prípadných incidentov. Z uvedeného dôvodu sú navrhnuté na implementáciu Nástroje pre monitorovanie kritických webových aplikácii.

289

290

291

Útoky zamerané na webové aplikácie sú stále sofistikovanejšie. Ich cieľom sú najmä dáta z webových aplikácií a firemných databáz, prevzatie kontroly nad obsahom, vzhľadom web stránky (**hacknutie stránky**) alebo spôsobenie jej nedostupnosti (**DDoS útok**). Nástroje na monitorovanie webových aplikácií umožnújú Online sledovať kritické webové aplikácie a hlásiť podozrivé správanie sa alebo priamo útoky na tieto aplikácie.

**Nástroje pre analýzu sieťovej komunikácie (NDR)**

296

297

Nakoľko audit identifikoval, že PZS nemá zavedené kontrolné mechanizmy na sledovanie aktívnych spojení na hraniciach siete a systémoch základnej služby, nie je zavedený jednotný postup prideľovania sieťových prestupov medzi systémami základnej služby a externými sieťami a rovnako nemá dostatočne implementovanú segmentáciu sietí a neriadi prístup medzi jednotlivými segmentami jednotlivo je navrhnutý na implementáciu Nástroj pre analýzu sieťovej komunikácie.

298

299

300

Nasadenie platformy NDR umožňuje sledovať a analyzovať sieťovú prevádzku v reálnom čase. Týmto spôsobom je možné detegovať a rýchlo reagovať na nebezpečné aktivity, čím sa zvyšuje bezpečnosť informačných systémov a zaisťuje nepretržitý chod služieb.

301

302

303

Riziká a hrozby, ktorým organizácia čelí, sú dramatické a ďaleko prekračujú náklady spojené s implementáciou platformy NDR. Zohľadnenie požiadaviek zákona o kybernetickej bezpečnosti nevyhnutne prináša potrebu na zabezpečenie primeraných nástrojov a opatrení na ochranu pred kybernetickými hrozbami. Nasadenie platformy NDR je dôležitým krokom v posilovaní kybernetickej bezpečnosti a ochrane kritických informačných systémov.

304

305

306

Systém pre analýzu sieťovej prevádzky NDR poskytuje nasledovné funkčné a bezpečnostné riešenia:

307

308

309

* Systém monitoruje sieťovú aktivitu v reálnom čase a identifikuje potenciálne kybernetické hrozby, bezpečnostné riziká a neštandardné správanie a v reálnom čase vytvára upozornenia - alerty.

310

* Systém analyzuje siete na základe zrkadlenej sieťovej prevádzky, nie len na základe štatistických protokolov typu NetFlow a zároveň monitoruje koncové stanice alebo ďalšie zariadenia v sieti.

311

* Systém analyzuje obsah dátových paketov v reálnom čase a detekuje protokol alebo aplikáciu na základe obsahu prevádzky prostredníctvom DPI (Deep Packet Inspection).

312

* Systém je schopný analyzovať sieť aj na základe spracovania štatistických protokolov a vyhodnocovať stav siete.

Spracovanie a ukladanie sieťových tokov

317

318

* Systém ukladá sieťové toky tak aby bolo možné robiť analýzu sieťovej komunikácie na úrovni jednotlivých tokov, vrátane vyhľadania informácií o aplikačných transakciách a ich metadátach, obsiahnutých v danom sieťovom toku.

Analýza aplikačných a systémových logov

323

324

* Systém je schopný zbierať a analyzovať aplikačné a systémové logy vo formáte syslog z dohľadovaných zariadení a identifikovať nebezpečné alebo potenciálne škodlivé aktivity.

325

326

327

V prípade kybernetického incidentu slúžia tieto nástroje na spätnú rekonštrukciu udalostí, ktoré k incidentu viedli. To zahŕňa analýzu zachytených paketov a komunikácie, čo môže pomôcť pri vyšetrovaní incidentov a pochopení, ako k nim došlo.

**Nástroj pre prevenciu úniku dát a ochranu PC (XDR)**

333

334

Audit konštatoval, že PZS nemá zdokumentované prístupy do informačných systémov a nemá možnosť kontroly a rovnako nemá zavedený nástroj na detekciu kybernetických bezpečnostných incidentov. Z uvedeného dôvodu je navrhnutý na implementáciu Nástroj pre prevenciu úniku dát a ochranu PC.

335

336

337

Ochrana pred hrozbami zvonku

338

339

XDR je zameraný na ochranu pred pokročilými hrozbami, ako sú malware, ransomware, botnetové útoky a ďalšie. Umožňuje zvýšiť ochranu dát aj pred externými hrozbami, keďže systém dokáže identifikovať a sledovať pohyb citlivých informácií v sieti a upozorniť v prípade podozrivej činnosti.

340

341

Súčasťou riešenia sú detailné analytické, diagnostické a detekčno-bezpečnostné funkcie nad všetkými existujúcimi koncovými zariadeniami z pohľadu vykonania detailného preverenia, analýzy a diagnostiky týchto zariadení na prípadnú prítomnosť infekcie malvérom a v prípade jeho identifikácie aj spoľahlivé a bezpečné odstránenie tak, aby následne mohla byť na tieto zariadenia nasadená rozšírená a najmä funkčná ochrana.

342

343

V rámci tejto aktivity sa požaduje rozšírenie licencií existujúceho AV riešenia na všetky koncové stanice a servery (cca 800 ks) a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Riešenie poskytuje prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, šifrovanie celých diskov, správu zraniteľností a patchov používaných aplikácií. Riešenie poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou.

**Nákup HW a bezpečnostného SW pre potreby KIB - kybernetickej a informačnej bezpečnosti**

349

350

Navrhované riešenia a aplikácie pre oblasť kybernetickej bezpečnosti predstavujú značnú záťaž na výpočtový výkon na analýzu veľkého množstva dát v reálnom čase, kvalitný hardvér s dostatočným výkonom je nevyhnutný na to, aby tieto nástroje fungovali efektívne a neznižovali rýchlosť a stabilitu siete. Rovnako bezpečnostné systémy musia byť neustále dostupné, aby dokázali chrániť pred hrozbami. Spoľahlivý hardvér s možnosťou redundancie znižuje riziko výpadkov a zabezpečuje nepretržitú ochranu.

**Schéma riešenej architektúry v rámci projektu.**

[[image:file:///C:/Users/lelkes/AppData/Local/Temp/msohtmlclip1/01/clip_image003.jpg]]

Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania opakovaného auditu kybernetickej bezpečnosti realizovaného v budúcnosti.

413

414

415

== Zainteresované strany/Stakeholderi ==

416

417

|ID|AKTÉR / STAKEHOLDER|(((

SUBJEKT

(názov / skratka)

)))|(((

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

Predmetom auditu kybernetickej bezpečnosti bola nasledovná základná služba prevádzkovateľa základných služieb Ministerstvo dopravy a výstavby Slovenskej republiky:

436

437

• Informačný systém verejnej správy a príslušné informačné systémy a siete:

• JISCD

• NSDI – ukončená prevádzka

442

443

• Digitalny tachograf

• Inforeg

• CERETRAM

• Fabasoft

== Ciele projektu ==

|ID|Názov cieľa|Názov strategického cieľa|Spôsob realizácie strategického cieľa

457

|C_01|Zvýšenie miery ochrany informačných systémov MD SR voči potenciálnym kybernetickým incidentom|Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe (Cieľ Národnej koncepcie informatizácie verejnej správy, cieľ 4.1)|(((

458

Cieľ bude naplnený realizáciou činností uvedených v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

459

460

Konkrétne nasadením SW a HW riešení uvádzaných v projekte

461

)))

462

|C_01|(((

463

Zvýšenie miery ochrany informačných systémov MD SR voči potenciálnym kybernetickým incidentom

464

465

466

)))|RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy (Cieľ Programu Slovensko a príslušnej výzvy)|(((

467

Cieľ bude naplnený realizáciou činností uvedených v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

468

469

Konkrétne nasadením SW a HW riešení uvádzaných v projekte

)))

== Merateľné ukazovatele (KPI) ==

474

475

476

|ID|ID/Názov cieľa|Názov

477

ukazovateľa (KPI)|Popis

478

ukazovateľa|Merná jednotka

|AS IS

merateľné hodnoty

(aktuálne)|TO BE

Merateľné hodnoty

(cieľové hodnoty)|Spôsob ich merania|Pozn.

484

|MU_01|C_01|Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov|(((

485

Merateľný ukazovateľ výstupu

486

487

(pozn. čas plnenia merateľného ukazovateľa ku koncu realizácie hlavných aktivít projektu)

488

)))|počet|0|1|V čase ukončenia projektu pri prevzatí výstupov projektu|(((

489

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických

490

491

služieb, produktov, procesov a zvyšovania vedomostnej úrovne v kontexte opatrení

492

493

smerujúcich k elektronickej bezpečnosti verejnej

správy.

)))

|MU_02|C_01|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

)))|(((

Výsledok

(pozn. čas plnenia merateľného ukazovateľa v rámci udržateľnosti projektu)

)))|počet|0|(((

1000000

)))|V čase udržateľnosti projektu, podľa aktuálneho počtu obyvateľov.|Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov: užívatelia IS MD SR

== Špecifikácia potrieb koncového používateľa ==

515

516

517

Z hľadiska projektu je koncovým používateľom MD SR, podriadené organizácie a jeho jednotliví zamestnanci / užívatelia informačných systémov. Špecifikáciu potrieb predstavujú výsledky auditu kybernetickej bezpečnosti realizovaného v roku 2021, resp. jeho hlavné zistenia:

**Hlavné zistenia:**

* Technické zraniteľnosti

523

** PZS nemá implementovaný nástroj na detegovanie zraniteľností,

524

525

526

* Riadenie bezpečnosti sietí

527

** PZS nemá zavedené kontrolné mechanizmy na sledovanie aktívnych spojení na hraniciach siete a systémoch základnej služby,

528

** PZS nemá zavedený jednotný postup prideľovania sieťových prestupov medzi systémami základnej služby a externými sieťami,

529

** PZS nemá dostatočne implementovanú segmentáciu sietí a neriadi prístup medzi jednotlivými segmentami jednotlivo,

* Riadenie prístupov

** PZS nemá zdokumentované prístupy do informačných systémov a nemá možnosť kontroly,

534

** PZS nevykonáva dohľad na aktivitami v informačných systémoch a nemá možnosť detekcie prípadných incidentov,

535

536

537

* Riešenie kybernetických incidentov

538

** PZS nemá definovaný ani zavedený aktuálny proces riešenia kybernetických bezpečnostných incidentov. Nie je definovaný pojem kybernetického bezpečnostného incidentu,

539

** PZS nemá technické ani personálne možnosti detekcie kybernetických bezpečnostných incidentov v sieťach a informačných systémoch. PZS nemá dostatočnú schopnosť vyhodnocovať a zaznamenávať kybernetické bezpečnostné incidenty a následne prijímať ochranné opatrenia,

540

541

542

* Monitoring bezpečnosti

543

** PZS nemá zavedený nástroj na detekciu kybernetických bezpečnostných incidentov.

544

545

546

Uvedené potreby sú riešené predkladaným projektom, resp. činnosťami, ktoré sú podrobne uvedené v časti Motivácia a rozsah projektu

547

548

549

== Riziká a závislosti ==

550

551

Zoznam a popis rizík spojených s projektom je uvedený v prílohe ZOZNAM RIZÍK a ZÁVISLOSTI uložený v Meta IS

== Stanovenie alternatív v biznisovej vrstve architektúry ==

556

557

558

Z pohľadu biznisovej vrstvy prichádzajú do úvahy nasledovné alternatívy:

559

560

1. **Ponechanie súčasného stavu**

561

562

Alternatíva znamená nerealizovanie projektu, to zn. neprijatie opatrení potrebných na zosúladenie stavu v oblasti informačnej a kybernetickej bezpečnosti s platnou legislatívou a rovnako nerealizovanie zistení a nápravných opatrení vyplývajúcich zo auditu kybernetickej bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.

563

564

1. **Čiastočná realizácia opatrení v rámci kybernetickej a informačnej bezpečnosti**

565

566

Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou. Realizované budú najmä opatrenia v oblasti riadenia rizík a personálnej bezpečnosti a realizáciu nápravných opatrení len v obmedzenej miere. Alternatíva neumožňuje implementáciu automatizovaných riešení (ako napr. SIEM a pod.)

567

568

569

1. **Plnohodnotná realizácia opatrení kybernetickej a informačnej bezpečnosti**

570

571

Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, odstránenie auditných zistení a realizáciu automatizovaných riešení a nasadenie SW a HW riešení vyplývajúcich z identifikovaných nápravných opatrení v rámci auditu kybernetickej bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.

572

573

574

== Multikriteriálna analýza ==

575

576

577

|(% rowspan="3" %)(((

BIZNIS VRSTVA

)))|(((

Kritérium A

Zosúladenie aktuálneho stavu so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (KO)

585

)))|Jedná sa o KO kritérium vychádzajúce zo základnej požiadavky súladu s legislatívou|X|X

|(((

Kritérium B

Odstránenie zistení vyplývajúcich z auditu kybernetickej bezpečnosti (KO)

590

)))|Jedná sa o KO kritérium vychádzajúce z nevyhnutnej potreby odstránenia zistení auditu kybernetickej bezpečnosti|X|X

|(((

Kritérium C

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

595

)))|Jedná sa o kritérium predstavujúce komplexné riešenie kybernetickej bezpečnosti prevádzkovateľa základnej služby|X|

**Vyhodnotenie MCA**

|Zoznam kritérií|Alt. 1|(((

Spôsob

dosiahnutia

)))|Alt. 2|(((

Spôsob

dosiahnutia

)))|Alt. 3|(((

Spôsob

dosiahnutia

)))

|(((

Kritérium A

Zosúladenie aktuálneho stavu so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (KO)

617

)))|nie|-|áno|Čiastočná realizácia opatrení v oblasti KB predstavuje realizáciu najmä metodickej a dokumentačnej časti opatrení KB. Z uvedeného dôvodu alternatíva naplní súlad so zákonom o KB.|áno|Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich zo zákona o KB.

|(((

Kritérium B

Odstránenie zistení vyplývajúcich z auditu kybernetickej bezpečnosti (KO)

622

)))|nie|-|čiastočne|Alternatíva 2 naplní kritérium B len čiastočne, nakoľko zistenia auditu, resp. nápravné opatrenia požadujú realizáciu automatizovaných / IT riešení, ktoré alternatíva 2 neponúka.|áno|Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich z auditu kybernetickej bezpečnosti.

|(((

Kritérium C

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

627

)))|nie|-|nie|-|áno|Plnohodnotná realizácia opatrení v oblasti KB predstavuje okrem iného aj nasadenie automatizovaných riešenie pre oblasť kybernetickej bezpečnosti.

== Stanovenie alternatív v aplikačnej vrstve architektúry ==

632

633

HW a SW komponenty, tiež služby a podpora, ktoré sú s nimi spojené, musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi, ktoré vychádzajú zo zistení realizovaného auditu a z požiadaviek zákona o KIB, zákona o ISVS a ďalších predpisov. Realizácia všetkých opatrení na úrovni MD SR, bude na úrovni kombinácie In-House riešenia a Outsourcingu.

== ==

== ==

== Stanovenie alternatív v technologickej vrstve architektúry ==

640

641

Technologická alternatíva nie je definovaná, nakoľko projekt umožňuje realizovať ľubovoľnú SW a HW technológiu. Konkrétnu technológiu navrhne úspešných uchádzač v rámci procesu verejného obstarávania.

1. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU)

647

648

649

Výstupom projektu budú:

650

651

* projektové výstupy podľa vyhlášky 401/2023 o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy relevantné pre predmetný typ projektu,

652

* nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej a informačnej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Implementácia softvérových a hardvérových nástrojov (1))

653

654

655

Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. časť 9 – Projektový tím).

656

657

658

1. NÁHĽAD ARCHITEKTÚRY

659

660

Predmetom projektu je riadenie informačnej a kybernetickej bezpečnosti a realizácia opatrení KIB definovaných najmä v zákonoch č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 69/2018 Z. z.“) a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS“).

661

662

Predmetom projektu sú primárne tie oblasti, kde žiadateľ identifikoval najvyššiu mieru rizika a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami vyplývajúcimi z vykonaného auditu kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.

663

664

Jednotlivé biznis funkcie (podaktivity výzvy realizované v rámci projektu) bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

665

666

667

[[image:file:///C:/Users/lelkes/AppData/Local/Temp/msohtmlclip1/01/clip_image005.png]]

668

669

Obr.1 Biznis funkcie / podaktivity projektu)

670

671

672

Za účelom zvýšenia úrovne zavedených postupov a opatrení týkajúcich sa kybernetickej a informačnej bezpečnosti (KIB) je potrebné konsolidovať existujúcu bezpečnostnú architektúru a vybudovať a implementovať nové bezpečnostné nástroje a procesy, a to najmä v nasledovných oblastiach:

673

674

* kybernetická ochrana a bezpečnostný monitoring a identifikácia bezpečnostných incidentov,

675

* riadenie bezpečnostných incidentov,

676

677

* ochrana proti externým hrozbám,

678

* ochrana dát, dátových prenosov a komunikácie,

679

* zvyšovanie bezpečnostného povedomia,

680

* implementácia bezpečnostných opatrení na zabezpečenie súladu so zákonom,

681

682

683

Služby a funkcie uvedené v tejto kapitole poskytujú z dôvodu, že sa jedná o projekt kybernetickej bezpečnosti len základné informácie a základný architektonický rámec riešenia, ktoré by malo byť implementované projektom. Budúce riešenie zabezpečenia informačnej a kybernetickej bezpečnosti sa bude skladať najmä z nasledovných funkcií:

684

685

686

* **Kybernetická ochrana a detekcia škodlivých aktivít a bezpečnostných incidentov:** Bezpečnostný monitoring IS, platforiem, aplikácií a používateľských činností a aktivít. Monitoring sietí, monitoring činností a aktivít privilegovaných používateľov. Analýza založená na big-data a machine learning algoritmoch.

687

* **Riadenie bezpečnostných incidentov:** Identifikácia a hlásenie bezpečnostných incidentov, registrácia, kategorizácia a klasifikácia bezpečnostných incidentov. Akceptácia bezpečnostných incidentov a určenie riešiteľov. Analýza a vyšetrovanie bezpečnostných incidentov a zber dôkazov. Riešenie bezpečnostných incidentov a obnova prevádzky, uzatvorenie bezpečnostných incidentov, vyhodnotenie bezpečnostných incidentov, zavedenie do KB DB, spätná väzba a poučenie sa z bezpečnostného incidentu.

688

* **Zvýšenie ochrany pred útokmi z externého prostredia: **Ochrana pred malware a ransomware, manažment bezpečnosti sietí, manažment bezpečnostných konfigurácií (implementácia systému pre jednotnú správu a deployment bezpečnostných politík a bezpečnostných konfigurácií).

689

* **Ochrana dát, dátových prenosov a komunikácie: **Bezpečnosť virtualizovaných prostredí, ochrana dát na úrovni databáz a dátových úložísk, ochrana dát na úrovni koncových zariadení. Proces bezpečnej výmeny informácií, riadenie SW záplat (Patch management), manažment zraniteľností.

690

* **Zvýšenie ochrany pred útokmi z externého prostredia: **Ochrana pred malware a ransomware. Manažment bezpečnosti sietí, manažment bezpečnostných konfigurácií.

691

692

693

Stručný náhľad budúcej IT architektúry (biznis, aplikačná, technologická) riešenia (high-level architektonický model je predmetom dokumentu I_03 PRÍSTUP-k-PROJEKTU).

694

695

Detailne spracované požiadavky (funkčné, nefunkčné, technické) sú vyplnené v dokumente I-02 BC/CBA, karta Katalóg požiadaviek.

696

697

698

**Potreba jednotlivých komponentov cieľovej architektúry vychádza z analýzy súčasného stavu bezpečnostnej a technickej architektúry prostredia MD SR, analýzy rizík a potreby naplnenia legislatívnych požiadaviek. Jednotlivé komponenty architektúry bližšie popisujeme v dokumente Prístup k projektu, kde uvádzame technickú špecifikáciu a požiadavky na jednotlivé komponenty, spoločne s motiváciou, zdôvodnením a účelom týchto komponentov.**

=== ===

== Prehľad e-Government komponentov ==

1.

11.

111. Prehľad koncových služieb – budúci stav:

709

710

Projekt nebuduje koncové služby.

1.

11.

111. Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav:

716

717

Projekt nebuduje/nerozvíja ISVS

1.

11.

111. Prehľad budovaných aplikačných služieb – budúci stav:

723

724

Projekt nebuduje aplikačné služby.

1.

11.

111. Prehľad integrácii ISVS na spoločné ISVS[[^^**~[1~]**^^>>path:#_ftn1]] a ISVS iných OVM alebo IS tretích strán

730

731

V rámci projektu nebude realizovaná integrácia.

1.

11.

111. Aplikačné služby na integráciu

737

738

Projekt nebuduje aplikačné služby.

1.

11.

111. Poskytovanie údajov z ISVS do IS CSRÚ

744

745

Projekt nebude poskytovať údaje do IS CSRÚ.

1.

11.

111. Konzumovanie údajov z IS CSRÚ

751

752

Projekt nebude konzumovať údaje z IS CSRÚ.

1.

11.

111. Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav:

758

759

Projekt neplánuje využívanie cloudových infraštruktúrnych služieb.

1. LEGISLATÍVA

Projekt nevyžaduje vykonanie legislatívnych zmien pre naplnenie jeho cieľov a dodanie výstup. Následná realizácia činností pre oblasť kybernetickej bezpečnosti predpokladá vypracovanie interných smerníc a postupov pre implementáciu opatrení pre oblasť kybernetickej bezpečnosti.

766

767

768

V tejto kapitole sú vymenované legislatívne normy, ktoré sa týkajú informačných technológií verejnej správy a agendy Ministerstva. Pri príprave projektu sme zohladňovali požiadavky predmetnej legilslatívy. Zoznam neobsahuje usmernenia a technické predpisy. Zoznam legislatívnych noriem v tomto dokumente iba orientačný.

769

770

771

Zákony a vyhlášky týkajúce sa eGovernmentu:

772

773

Zákon č. 272/2016 Z. z. o dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zmene a doplnení niektorých zákonov (zákon o dôveryhodných službách) v znení neskorších predpisov

774

775

Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

776

777

Zákon č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

778

779

Zákon č. 357/2015 Z. z. o finančnej kontrole a audite a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

780

781

Zákon č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov

782

783

Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe

784

785

Zákon č. 540/2001 Z. z. o štátnej štatistike

786

787

Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám (zákon o slobode informácií)

788

789

Zákon č. 177/2018 Z. z. o niektorých opatreniach na znižovanie administratívnej záťaže využívaním informačných systémov verejnej správy a o zmene a doplnení niektorých zákonov (zákon proti byrokracii)

790

791

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti

792

793

Zákon č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente),

794

795

Vyhláška ÚV SR č. 8/2014 Z. z., ktorou sa vykonávajú niektoré ustanovenia zákona o e-Governmente,

796

797

Zákon č. 351/2011 Z. z. o elektronických komunikáciách,

798

799

Zákon č. 45/2011 Z. z. o kritickej infraštruktúre,

800

801

Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu

802

803

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

804

805

Vyhláška Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 545/2021 Z. z., ktorou sa mení a dopĺňa vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 85/2020 Z. z. o riadení projektov v znení neskorších predpisov

806

807

Vyhláška Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 546/2021 Z. z., ktorou sa mení a dopĺňa vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy v znení neskorších predpisov

808

809

Vyhláška Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 547/2021 Z. z. o elektronizácii agendy verejnej správy

810

811

Vyhláška Národného bezpečnostného úradu č.362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

812

813

Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

1. ROZPOČET A PRÍNOSY

820

821

822

== Sumarizácia nákladov z OPSK a prínosov ==

|(% colspan="2" %)Náklady s DPH| |2 875 837 €|2 206 217 €|810 240 €

829

| |(% colspan="2" %)Všeobecný materiál|0 €|0 €|0 €

830

| |IT - CAPEX| |2 611 306 €|1 941 686 €|669 620 €

831

| | |Aplikácie|0 €|0 €|0 €

832

| | |SW|1 941 686 €|1 941 686 €|0 €

833

| | |HW|669 620 €|0 €|669 620 €

834

| |IT - OPEX| |140 620 €|0 €|140 620 €

835

| | |Aplikácie|0 €|0 €|0 €

836

| | |SW|0 €|0 €|0 €

837

| | |HW|140 620 €|0 €|140 620 €

838

| |(% colspan="2" %)Riadenie projektu|0 €|0 €|0 €

839

| |(% colspan="2" %)Výstupné náklady|264 531 €|264 531 €|0 €

840

|(% colspan="2" %)Prínosy| |3 542 827 €|2 102 827 €|1 440 000 €

841

| |(% colspan="2" %)Finančné prínosy|0 €|0 €|0 €

842

| | |Administratívne poplatky|0 €|0 €|0 €

843

| | |Ostatné daňové a nedaňové príjmy|0 €| |

844

| |(% colspan="2" %)Ekonomické prínosy|3 542 827 €|2 102 827 €|1 440 000 €

845

| | |Občania (€)|0 €|0 €|0 €

846

| | |Úradníci (€)|0 €|0 €|0 €

847

| | |Úradníci (FTE)|N/A|N/A|N/A

848

| | |Kvalitatívne prínosy|3 542 827 €|2 102 827 €|1 440 000 €

849

| |(% colspan="2" %)Nevyčíslené spoločenské prínosy| | |

850

| | |(% colspan="2" %)Zvýšená bezpečnosť systémov v kompetencii MD SR| |

851

| | |(% colspan="3" %)Zrýchlenie procesu vyšetrovania kybernetických útokov|

1. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

856

857

858

|ID|FÁZA/AKTIVITA|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))|POZNÁMKA

|1.|Prípravná fáza a Iniciačná fáza|07/2024|01/2025|

868

|2.|Realizačná fáza|01/2025|12/2026|

869

|2a|Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti|01/2026|10/2026|

870

|3.|Dokončovacia fáza|10/2026|12/2026|

871

|4.|Podpora prevádzky (SLA)|01/2027|12/2030|

872

873

874

**Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti**

875

876

877

**Projekt bude realizovaný metódou Waterfall**

878

879

Waterfall- vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

880

881

882

Objednávateľ projektu vypracuje **funkčnú špecifikáciu - detailnú** a **technickú špecifikáciu - rámcovú**.

//[[image:file:///C:/Users/lelkes/AppData/Local/Temp/msohtmlclip1/01/clip_image007.png||alt="/Users/admin/Desktop/Snímka obrazovky 2020-08-03 o 10.37.34.png"]]//

1. PROJEKTOVÝ TÍM

V rámci projektu je zostavený **Riadiaci výbor (RV),** v minimálnom zložení:

* Predseda RV

* Biznis vlastník

* Zástupca prevádzky

* Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)

902

* Projektový manažér objednávateľa (PM)

903

904

Zostavuje sa **Projektový tím objednávateľa**

905

906

* kľúčový používateľ,

* IT analytik,

* IT architekt,

* biznis vlastník,

* manažér kybernetickej a informačnej bezpečnosti,

911

* Projektový manažér,

|1.|TBD|TBD|Ministerstvo dopravy SR|Predseda RV

916

|2.|TBD|TBD|Ministerstvo dopravy SR|Člen RV

917

|3.|TBD|TBD|Ministerstvo dopravy SR|Člen RV

918

|4.|TBD|TBD|Dodávateľ|Člen RV

919

920

921

TBD – bude definované po schválení projektu

922

923

924

[[image:file:///C:/Users/lelkes/AppData/Local/Temp/msohtmlclip1/01/clip_image009.png]]

== PRACOVNÉ NÁPLNE ==

933

934

935

|**Projektová rola:**|(((

936

937

938

**PROJEKTOVÝ MANAŽÉR**

)))

|**Stručný popis:**|(((

943

* zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

944

945

946

* zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

947

948

949

* zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

950

)))

951

|**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**|(((

952

Zodpovedný za:

953

954

* Riadenie projektu podľa pravidiel stanovených vo Vyhláške 85/2020 Z.z.

955

* Riadenie prípravy, inicializácie a realizácie projektu

956

* Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii

957

* Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

958

* Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

959

* Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

960

* Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

961

* Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

962

* Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 85/2020 Z.z., Prílohy č.1

963

* Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1 na rokovanie RV

964

* Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

965

* Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

966

* Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

967

* Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

968

* Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

969

* Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

970

* Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

971

* Riadenie implementačných a prevádzkových aktivít v rámci projektov.

972

* Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

973

* Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

974

* Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

975

* Dodržiavanie metodík projektového riadenia,

976

* Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),

977

* Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr

)))

|**Odporúčané kvalifikačné predpoklady**|(((

982

* Certifikácia - Prince 2

983

* Certifikácia - PMI PMP

984

* Certifikácia – IPMA

985

* Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

)))

|**Projektová rola:**|(((

990

991

992

**KĽUČOVÝ POUŽIVATEĽ **(end user)

)))

|**Stručný popis:**|(((

997

* zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

998

999

1000

* zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.

1001

1002

1003

* Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov

1004

)))

1005

|**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**|(((

Zodpovedný za:

* Návrh a špecifikáciu funkčných a technických požiadaviek

1011

* Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

1012

* Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,

1013

* Špecifikáciu požiadaviek koncových používateľov na prínos systému

1014

* Špecifikáciu požiadaviek na bezpečnosť,

1015

* Návrh a definovanie akceptačných kritérií,

1016

* Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

1017

* Finálne odsúhlasenie používateľského rozhrania

1018

* Vykonanie akceptačného testovania (UAT)

1019

* Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

1020

* Finálny návrh na spustenie do produkčnej prevádzky,

1021

* Predkladanie požiadaviek na zmenu funkcionalít produktov

1022

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1023

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|**Projektová rola:**|(((

**IT ARCHITEKT**

)))

|**Stručný popis:**|(((

1037

* zodpovedá za návrh architektúry riešenia IS a implementáciu technológií predovšetkým z pohľadu udržateľnosti, kvality a nákladov, za riešenie architektonických cieľov projektu dizajnu IS a súlad s architektonickými princípmi.

1038

* vykonáva, prípadne riadi vysoko odborné tvorivé činnosti v oblasti návrhu IT. Študuje a stanovuje smery technického rozvoja informačných technológií, navrhuje riešenia na optimalizáciu a zvýšenie efektívnosti prostriedkov výpočtovej techniky. Navrhuje základnú architektúru informačných systémov, ich komponentov a vzájomných väzieb. Zabezpečuje projektovanie dizajnu, architektúry IT štruktúry, špecifikácie jej prvkov a parametrov, vhodnej softvérovej a hardvérovej infraštruktúry podľa základnej špecifikácie riešenia.

1039

* zodpovedá za spracovanie a správu projektovej dokumentácie a za kontrolu súladu implementácie s dokumentáciou. Môže tiež poskytovať konzultácie, poradenstvo a vzdelávanie v oblasti svojej špecializácie. IT architekt, projektant analyzuje, vytvára a konzultuje so zákazníkom riešenia na úrovni komplexných IT systémov a IT architektúr, najmä na úrovni aplikačného vybavenia, infraštruktúrnych systémov, sietí a pod. Zaručuje, že návrh architektúry a/alebo riešenia zodpovedá zmluvne dohodnutým požiadavkám zákazníka v zmysle rozsahu, kvality a ceny celej služby/riešenia.

1040

)))

1041

|**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**|(((

Zodpovedný za:

* Navrhovanie architektúry IT riešení s cieľom dosiahnuť najlepšiu efektivitu.

1047

* Transformovanie cieľov, prísľubov a zámerov projektu do tvorby reálnych návrhov a riešení.

1048

* Navrhovanie takých riešení, aby poskytovali čo najvyššiu funkčnosť a flexibilitu.

1049

* Posudzovanie vhodnosti navrhnutých riešení s ohľadom na požiadavky projektu.

1050

* Zodpovednosť za technické navrhnutie a realizáciu projektu.

1051

* Zodpovednosť za vytvorenie technickej IT dokumentácie a jej následná kontrola.

1052

* Zodpovednosť za definovanie integračných vzorov, menných konvencií, spôsobov návrhu a spôsobu programovania.

1053

* Definovanie architektúry systému, technických požiadaviek a funkčného modelu (Proof Of Concept.)

1054

* Vytvorenie požiadaviek na HW/SW infraštruktúru IS

1055

* Udržiavanie a rozvoj konzistentnej architektúry s dôrazom na architektúru aplikačnú, dátovú a infraštruktúru

1056

* Analýzu a odhad náročnosti technických požiadaviek na vytvorenie IS alebo vykonanie zmien v IS

1057

* Navrhovanie riešení zohľadňujúce architektonické štandardy, časové a zdrojové obmedzenia,

1058

* Navrhovanie dátových transformácií medzi dátovými skladmi a aplikáciami

1059

* Vyhodnocovanie implementačných alternatív z pohľadu celkovej IT architektúry

1060

* Ladenie dátových štruktúr za účelom dosiahnutia optimálneho výkonu

1061

* Prípravu akceptačných kritérií

1062

* Analýza nových nástrojov, produktov a technológií

1063

* Správa, rozvoj a dohľad nad dodržiavaním integračných štandardov

1064

* Priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane Detailného návrhu riešenia (DNR) z pohľadu analýzy a návrhu riešenia architektúry IS

1065

* Vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania

1066

* Vykonanie záťažových, výkonnostných a integračných testov a navrhnutie následných nápravných

1067

* Nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie nápravných opatrení

1068

* Participáciu na výkone bezpečnostných testov,

1069

* Participáciu na výkone UAT testov,

1070

* Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1071

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1072

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|**Odporúčané kvalifikačné predpoklady**|(((

1077

1078

1079

* Certifikácia - Togaf

1080

* Certifikácia – ArchiMate

1081

* Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

)))

|**Projektová rola:**|(((

**IT ANALYTIK**

)))

|**Stručný popis:**|(((

1095

* zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie. Podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení. Zodpovedá za výkon analýzy IS, koordináciu a dohľad nad činnosťou SW analytikov.

1096

* analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

1097

* Analytik informačných technológií pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu. Mapuje a analyzuje existujúce podnikateľské a procesné prostredie, analyzuje biznis požiadavky na informačný systém, špecifikuje požiadavky na informačnú podporu procesov, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní (akceptácie) používateľom.

1098

* Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

1099

* Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad).

1100

)))

1101

|**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**|(((

Zodpovedný za:

* Vykonanie analýzy procesných a ďalších požiadaviek a vytvorenie špecifikácie súčasného alebo budúceho užívateľa softwaru („zákazníka“) a následne navrhuje dizajn a programátorské riešenie.

1107

* Participáciu na vývoji nových, ale i vylepšovaní existujúcich aplikácií v rámci celého vývojového cyklu – systémová analýza, dizajn, kódovanie, užívateľské testovanie, implementácia, podpora, dokumentácia. Úzko spolupracuje aj s IT architektom.

1108

* Analýza potrieb zákazníka vrátane tvorby úplnej analytickej dokumentácie a vstupov do verejného obstarávania (VO).

1109

* Mapovanie požiadaviek do návrhu funkčných riešení.

1110

* Návrh a správa katalóg požiadaviek - registra požiadaviek riešenia

1111

* Analýza funkčných a nefunkčných požiadaviek,

1112

* Návrh fyzického a logického modelu,

1113

* Návrh testovacích scenárov,

1114

* V priebehu implementácie robí dohľad nad zhodou výstupov s pôvodným analytickým zadaním.

1115

* Zodpovednosť za dodržovanie správnej metodiky pri postupe analýzy

1116

* Definovanie akceptačných kritérií v projekte

1117

* Odsúhlasenie opisu produktov, ktoré predstavujú vstupy alebo výstupy (priebežné alebo konečné) úloh dodávateľov, alebo ktoré ich priamo ovplyvňujú a zabezpečovať akceptáciu produktov po ich dokončení

1118

* Priraďuje priority a poskytuje stanoviská používateľov na rozhodnutia Riadiaceho výboru projektu – k realizácii zmenových požiadaviek

1119

* Poskytuje merania aktuálneho stavu pre potreby porovnania s výsledkami projektu vzhľadom na realizáciu prínosov

1120

* Rieši požiadavky používateľov a konflikty iných priorít

1121

* Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1122

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1123

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|**Odporúčané kvalifikačné predpoklady**|(((

1128

1129

1130

* Certifikácia - OMG-Certified UML (Unified Modeling Language) alebo ekvivalent

1131

* Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

)))

|**Poznámka**|(((

)))

|**Projektová rola:**|(((

1143

1144

1145

**VLASTNÍK PROCESOV **(biznis vlastník)

)))

|**Stručný popis:**|(((

1150

* zodpovedá za proces - jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi. Kľúčová rola na strane zákazníka (verejného obstarávateľa), ktorá schvaľuje biznis požiadavky a zodpovedá za výsledné riešenie, prínos požadovanú hodnotu a naplnenie merateľných ukazovateľov. Úlohou tejto roly je definovať na užívateľa orientované položky (user-stories), ktoré budú zaradzované a prioritizované v produktovom zásobníku. Zodpovedá za priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane DNR z pohľadu analýzy a návrhu riešenia aplikácii IS.

1151

1152

1153

* zodpovedný za schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu. Definuje očakávania na kvalitu projektu, kvalitu projektových produktov, prínosy pre koncových používateľov a požiadavky na bezpečnosť. Definuje merateľné výkonnostné ukazovatele projektov a prvkov. Vlastník procesov schvaľuje akceptačné kritériá, rozsah a kvalitu dodávaných projektových výstupov pri dosiahnutí platobných míľnikov, odsúhlasuje spustenie výstupov projektu do produkčnej prevádzky a dostupnosť ľudských zdrojov alokovaných na realizáciu projektu.

1154

)))

1155

|**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**|(((

1156

Zodpovedný za:

1157

1158

* Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov.

1159

1160

* Spoluprácu pri riešení odpovedí na otvorené otázky a riziká projektu.

1161

1162

* Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej)

1163

1164

* Riešenie problémov a požiadaviek v spolupráci s odbornými garantmi,

1165

* Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek

1166

1167

* Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu

1168

* Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť,

1169

* Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,

1170

* Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu (BC/CBA)

1171

* Schválenie akceptačných kritérií,

1172

* Riešenie problémov používateľov

1173

* Akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,

1174

* Vykonanie UX a UAT testovania

1175

* Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,

1176

* Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

1177

* Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch.

1178

* Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a prioritizácii

1179

* Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd,

1180

* Okrem zvažovaní rizík prevádzkových alebo podporných procesov súčasne vlastník napomáha identifikovať príležitosti,

1181

* Zlepšovanie a optimalizáciu procesov v spolupráci s ďalšími prepojenými vlastníkmi procesov a manažérom kvality,

1182

* Odsúhlasenie akceptačných protokolov zmenových konaní

1183

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1184

* plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|**Projektová rola:**|(((

1191

1192

1193

**MANAŽER KYBERNETICKEJ BEZPEČNOSTI (KIB) a IT BEZPEČNOSTI (ITB)**

)))

|**Stručný popis:**|(((

1198

* zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

1199

* koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti

1200

1201

1202

**PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KIB a ITB:**

1203

1204

1. neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných.

1205

1. rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle:

1206

1207

1. § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

1208

1. ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

1209

)))

1210

|**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**|(((

1211

Zodpovedný za:

1212

1213

* špecifikovanie štandardov, princípov a stratégií v oblasti ITB a KIB,

1214

* ak je projekt primárne zameraný na problematiku ITB a KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na ITB a KIB,

1215

* špecifikovanie požiadaviek na ITB a KIB, kontroluje ich implementáciu v realizovanom projekte,

1216

* špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

1217

* špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť ITB a KIB,

1218

* špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

1219

* špecifikovanie požiadaviek na školenia pre oblasť ITB a KIB,

1220

* špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť ITB a KIB,

1221

* špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na ITB a KIB,

1222

* realizáciu posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

1223

* špecifikovanie požiadaviek na ITB a KIB, bezpečnostný projekt a riadenie prístupu,

1224

* špecifikovanie požiadaviek na testovanie z hľadiska ITB a KIB, realizáciu kontroly zapracovania a retestu,

1225

* špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť ITB a KIB, ako aj v zmysle "best practies",

1226

* špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s ITB a KIB kontroluje ich implementáciu v realizovanom projekte,

1227

* špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu ITB a KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

1228

* špecifikáciu požiadaviek na bezpečnosť IT a KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

1229

* špecifikáciu akceptačných kritérií za oblasť ITB a KIB,

1230

* špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na ITB a KIB,

1231

* poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť ITB a KIB,

1232

* získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1233

* špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,

1234

* konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska ITB a KIB,

1235

* špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť ITB a KIB,

1236

* realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť ITB a KIB

1237

* realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

1238

* realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

1239

* realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť ITB a KIB,

1240

* realizáciu kontroly zameranú na implementovaný proces v priamom súvise s ITB a KIB,

1241

* realizáciu kontroly súladu s planou legislatívou v oblasti ITB a KIB (obsahuje aj kontrolu leg. požiadaviek)

1242

* realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

1243

* poskytovanie konzultácií a súčinnosti pre problematiku ITB a KIB,

1244

* získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1245

* aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1246

* plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

1. ODKAZY

N/A