I-01 Projektový zámer – detailný (projektovy_zamer)

projekt_3001_Projektovy_zamer_detailny
PROJEKTOVY ZAMER
Vzor pre mana.ersky vystup I-02
pod.a vyhla.ky MIRRI .. 401/2023 Z. z.
Povinna osoba DataCentrum elektronizacie uzemnej samospravy Slovenska (DEUS)
Nazov projektu Kyberneticka bezpe.nos. pre samospravy SR do 6000 obyvate.ov prostrednictvom spravcu informa.neho systemu
DCOM
Zodpovedna osoba za
projekt
Ing. Peter Uhrik
Realizator projektu DataCentrum elektronizacie uzemnej samospravy Slovenska (DEUS)
Vlastnik projektu Katarina Le.kova, vykonna riadite.ka
Schva.ovanie dokumentu
Polo.ka Meno a priezvisko Organizacia Pracovna pozicia Datum Podpis
(alebo elektronicky suhlas)
Vypracoval Ing. Peter Uhrik DataCentrum elektronizacie uzemnej samospravy Slovenska (DEUS) 15.08.2024
1. Historia DOKUMENTU
Verzia Datum Zmeny Meno
1.0 15.08.2024 Inicialny dokument Ing. Peter Uhrik
2. U.EL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINICIE
V sulade s Vyhla.kou c.. 401/2023 Z.z. je dokument I-02 Projektovy zamer ur.eny na rozpracovanie detailnych informacii pripravy projektu, aby bolo
mo.ne rozhodnu. o pokra.ovani pripravy projektu, plane realizacie, alokovani rozpo.tu a .udskych zdrojov.
Dokument Projektovy zamer v zmysle vy..ie uvedenej vyhla.ky obsahuje mana.erske zhrnutie, rozsah, ciele a motivaciu na realizaciu projektu,
zainteresovane. strany, alternativy, navrh merate.nych ukazovate.ov, detailny opis po.adovanych projektovych vystupov, detailny opis obmedzeni,
predpokladov, tolerancii. a navrh organiza.neho zabezpe.enia projektu, detailny opis rozpo.tu projektu a jeho prinosov, nah.a. architektury a
harmonogram projektu so zoznamom rizik a zavislosti..
2.1 Pou.ite skratky a pojmy
SKRATKA/POJEM POPIS
HW Hardver
1.
IKT Informa.no-komunika.ne technologie (organizacie)
IS Informa.ny system
IT ROLA Rola, ktora definuje pristup do IS alebo definuje vyu.ivanie IT zdrojov
SD Service Desk
SLA Service Level Agreement . zmluva o podpore prevadzky, udr.be a rozvoji IS
SW Softver
NGFW Next Generation Firewall
IPS Intrusion Prevention System
DPH Da. z pridanej hodnoty
ATD Advanced Threat Detection
XDR/EDR Extended Detection and Response/Endpoint Detection and Response
WAF Web Apprilcation Firewall
PAM Privileged Access Management
NDR Network Detection and Response
AD server Active Directory (adresarova slu.ba)
CRZ Centralny register zmluv
DEUS DataCentrum elektronizacie uzemnej samospravy Slovenska
RV Riadiaci vybor projektu
ED Externi dodavatelia
SIEM Security Information and Event Management
NBU Narodny bezpe.nostny urad
MIRRI Ministerstvo investicii, regionalneho rozvoja a informatizacie SR
UHP Ministerstvo financii Slovenskej republiky . Utvar hodnoty za peniaze
ISO Informa.ny System Obce
3. DEFINOVANIE PROJEKTU
3.1 Mana.erske zhrnutie
Z h.adiska realizatora projektu bude projekt realizovany zdru.enim DEUS, ktore v zmysle ˜ 9a odsek 1 zakona .. 305/2013 Z.z. o elektronickej podobe
vykonu posobnosti organov verejnej moci (eGovernmente) vykonava .innosti spravcu a prevadzkovate.a IS DCOM. DEUS je zaujmove zdru.enie
pravnickych osob, ktoreho jedinymi .lenmi su Ministerstvo financii SR (.alej len .MF SRg) a Zdru.enie miest a obci Slovenska (.alej len .ZMOSg). DEUS
je .pecifickym poskytovate.om cloudovych slu.ieb typu SaaS pre subjekty MUS.
Informa.ny system DCOM je nadrezortny informa.ny system verejnej spravy, prostrednictvom ktoreho vykonavaju obce verejnu moc elektronicky.
Projekt je zamerany na posilnenie kybernetickej bezpe.nosti v dvoch oblastiach:
1.
2.
a.
b.
c.
Posilnenie infra.truktury ochrany dat obce v datovom centre a zabezpe.enie ochrany pred stale rastucimi kybernetickymi hrozbami
prostrednictvom upgrades a doplnenia centralnej infra.truktury. Implementaciou projektu sa zabezpe.i modernizacia a posilnenie bezpe.nostnej
zakladne infra.truktury IS DCOM. Projekt zarove. prinesie aktivny doh.ad, analyzu prevadzky a priebe.ny monitoring bezpe.nostnych stavov IS
DCOM. Celkovo sa tymto sposobom zvy.i urove. ochrany, a tym aj schopnos. efektivne reagova. na rozne typy kybernetickych incidentov.
Zvy.ena schopnos. detekcie a prevencie hrozieb zni.uje riziko kybernetickych incidentov a znefunk.nenia IS DCOM. Zvy.enie kybernetickej
bezpe.nosti predstavuje k.u.ovy prvok projektu. Hlavnym cie.om je zabezpe.i., .e IS DCOM a urady samosprav vyu.ivajucich IS DCOM budu
menej vystavene rizikam, ktore su spojene s rastucimi a sofistikovanej.imi kybernetickymi hrozbami. Roz.irenim kybernetickej bezpe.nosti na
vy..iu urove. zabezpe.ime ochranu aktiv a doveryhodnosti organizacie, .o je kriticke pre klientov. Zvy.ena kyberneticka bezpe.nos. je
k.u.ovym prinosom projektu a bude ma. .iroky dosah na bezpe.nos. miestnej samospravy. Nako.ko su.as.ou kybernetickej bezpe.nosti je
zachovanie vysokej dostupnosti zakladnej slu.by, su.as.ou tohto cie.a je aj zabezpe.enie komplexneho monitoringu nielen bezpe.nostnych
prvkov, ale aj v.etkych komponentov IS DCOM. Zabezpe.enim integrovaneho monitoringu od fyzickej a. po aplika.nu vrstvu bude DEUS
schopny efektivne identifikova. ohrozenia a zisti., .i sa jedna o ohrozenia dostupnosti sposobene prevadzkou samotneho IS DCOM, alebo .i sa
jedna o ohrozenie z dovodu historickeho, alebo prave prebiehajuceho bezpe.nostneho utoku.
Posilnenie bezpe.nosti na samotnych obciach. v zmysle zakona .. 69/2018 Z.z. o kybernetickej bezpe.nosti, je ka.da obec s po.tom obyvate.ov
viac ne. 1000 prevadzkovate.om zakladnej slu.by .tatu a je povinna dodr.iava. bezpe.nostne opatrenia pod.a ˜20 (1). Su to ulohy, procesy, role
a technologie v organiza.nej, personalnej a technickej oblasti, ktorych cie.om je zabezpe.enie kybernetickej bezpe.nosti po.as .ivotneho cyklu
sieti a informa.nych systemov. Predmetom projektu je nastavenie uloh, procesov, roli a technologii v organiza.nej, personalnej a technickej
oblasti, ktorych cie.om je zabezpe.enie kybernetickej bezpe.nosti. V zasade ide o opatrenia, ktore maju za cie. minimalizova. riziko vzniku
negativnej udalosti akymi su napriklad:
Naru.enie prevadzky siete alebo informa.neho systemu, ktore ohrozi integritu alebo dovernos. spracovavanych osobnych udajov,
uniku osobnych udajov v dosledku .oho mo.e vzniknu. .koda na zdravi, .i ujma na majetku,
obmedzenie vykonu, alebo ohrozenie posobnosti obce, najma s oh.adom na schopnos. zabezpe.enia bezpe.ia, verejneho poriadku
alebo zvladnutia mimoriadnej udalosti.
Ciele projektu:
Zvy.enie bezpe.nostneho .tandardu v oblasti kybernetickej a informa.nej bezpe.nosti pre obce do 6.000 obyvate.ov
Na minimalne 1000 obciach obciach do 6000 obyvate.ov vyu.ivajucich IS DCOM zabezpe.i. sulad s legislativnymi po.iadavkami KB kategorie I.
pod.a zakona .. 69/2018 Z. z. naprie. v.etkymi pou.ivanymi informa.nymi systemami a internymi procesmi.
Zvy.ovanie osvety a v.eobecneho povedomia o teme kybernetickej a informa.nej bezpe.nosti medzi zamestnancami a obyvate.mi samosprav
/obci.
Zvy.enie bezpe.nostneho .tandardu v oblasti kybernetickej a informa.nej bezpe.nosti IS DCOM v podobe procesneho, technickeho,
hardveroveho vybavenia, aplikacii, SW a tym aj bezpe.nosti samotnych obci.
Projekt bude realizovany v ramci:
.pecificky cie.: RSO1.2 Vyu.ivanie prinosov digitalizacie pre ob.anov, podniky, vyskumne organizacie a organy verejnej spravy
Hlavne aktivity projektu:
Analyza a dizajn
Nakup technickych prostriedkov, programovych prostriedkov a slu.ieb
Implementacia a testovanie
D..ka projektu: je planovana na 39 mesiacov.
Rozdelenie projektu na diel.ie su.asti zobrazuje nasledovna schema:
Odhadovane naklady: su 14 273 031,48 EUR s DPH.
3.2 Motivacia a rozsah projektu
3.2.1. Problem, ktory bude realizaciou projektu odstraneny
Kyberneticka a informa.na bezpe.nos. obci s menej ako 6 000 obyvate.mi .eli zna.nym vyzvam. Pod.a udajov NBU sa pri sektore .Verejna spravag,
podsektor .Informa.ne systemy verejnej spravyg, v ktorom sa nachadza najva..i po.et PZS situacia v oblasti kybernetickej bezpe.nosti dlhodobo nemeni.
Stale tu mo.no pozorova. a. kriticke zanedbavanie bezpe.nosti. Najma samospravy a men.i prevadzkovatelia si dostato.ne neuvedomuju dole.itos. temy
kybernetickej bezpe.nosti, k problematike pristupuju povrchne a zameriavaju sa skor na formalne aktivity. Celkove riadenie kybernetickej bezpe.nosti pri
PZS v tomto sektore .asto chyba, je chaoticke alebo .iastkove.
Medzi naj.astej.ie auditne zistenia v sektore Verejna sprava patria:
nebol preukazany system riadenia kybernetickej bezpe.nosti,
bezpe.nostna strategia kybernetickej bezpe.nosti ani .al.ia bezpe.nostna dokumentacia nebola predlo.ena,
mana.er kybernetickej bezpe.nosti nie je formalne menovany, je v konflikte zaujmov a ma nevhodne kumulovane zodpovednosti,
analyza rizik nie je zakotvena ako proces v internych predpisoch ani metodicky popisana, nevykonava sa,
v organizacii sa nachadzaju vysoko privilegovane u.ty, ktore su spolo.ne a nemaju definovanych vlastnikov a u.el,
v organizacii neexistuje definicia zava.neho kybernetickeho bezpe.nostneho incidentu, organizacia nevypracovala postupy a nema dostato.ne
schopnosti na detekciu, zvladanie a pou.enie sa z pripadnych incidentov.
V su.asnosti sa na obciach do 6000 obyvate.ov realizuju projekty kybernetickej bezpe.nosti ve.mi zriedka. Napriek mnohym zakonnym po.iadavkam
platnych najma pre obce nad 1000 obyvate.ov, ako poskytovate.ov zakladnej slu.by .tatu, je prakticky prinos tychto aktivit minimalny. Naj.astej.ie
dochadza len ku kopirovaniu existujucej dokumentacie, bez aplikacie realnej pridanej hodnoty pre .pecificku lokalnu potrebu a len vynimo.ne prebehne na
obci aj relevantne .kolenie KB pre zamestnancov. Ve.kou barierou realizacie vyznamnej.ich aktivit je najma nedostatok finan.nych zdrojov
a personalnych kapacit na obci. Povedomie o KB je tak na obciach minimalne.
Jednym z hlavnych problemov, ktory sposobuje vy..ie uvedene nedostatky je obmedzeny rozpo.et, .o znamena nedostatok finan.nych prostriedkov.
Tieto obce .asto nedisponuju dostato.nymi zdrojmi na zamestnanie odbornikov na kyberneticku bezpe.nos., .o vedie k nedostato.nemu povedomiu a
nedostato.nemu zdokonaleniu bezpe.nostnych postupov. Okrem toho, star.ie IT systemy a neaktualizovany softver predstavuju riziko, ke..e obce
nemaju prostriedky na modernizaciu svojej infra.truktury. Nedostatok odbornikov na kyberneticku bezpe.nos. a nedostato.ne povedomie mo.u zvy.ova.
riziko kybernetickych hrozieb, .o mo.e ohrozi. citlive udaje a informa.nu infra.trukturu obci. Preto je dole.ite venova. pozornos. tymto oblastiam a h.ada.
sposoby, ako zlep.i. kyberneticku a informa.nu bezpe.nos. obci tejto ve.kosti. Najvy..i kontrolny urad viackrat poukazal na to, .e obce samostatne bez
aktivnej podpory .tatu nemaju dostato.ne zdroje. Najma v men.ich obciach absentuje akako.vek infra.truktura Informa.nej a kybernetickej bezpe.nosti a
to hlavne z dovodu obmedzenych rozpo.tovych zdrojov. NKU opatovne kon.tatoval, .e obce opa. uviedli nedostatok finan.nych prostriedkov ako jednu z
vyznamnych barier pri realizacii akychko.vek opatreni kybernetickej a informa.nej bezpe.nosti. Projekt si stanovuje primarne za cie.ovu skupinu obce do
6000 obyvate.ov, ktore pod.a Vyhla.ky 179/2020 Z.z. spadaju do najni..ej kategorie I. no zarove. z poh.adu zdrojov su najviac poddimenzovane.
Rozdelenie obci na Slovensku pod.a ve.kosti a zapojenia do IS DCOM zobrazuje nasledovna tabu.ka a graf:
Po.et obci Z toho plny DCOM Z toho mimo DCOM
Skupina 199 obyvate.ov alebo menej 409 337 72
Skupina Od 200 do 499 obyvate.ov 710 548 162
Skupina Od 500 do 999 obyvate.ov 744 511 233
Skupina Od 1 000 do 5 999 obyvate.ov 932 545 387
Skupina nad 6000 obyvate.ov 132 20 112
Spolu 2927 1961 966
Graf po.tu obci pod.a ve.kostnej kategorie:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
Aby bolo mo.ne zabezpe.i. kyberneticku bezpe.nos. zapojenych obci je zarove. potrebne prija. opatrenia na urovni IS DCOM, ktory spada do III.
kategorie. DEUS je .pecifickym poskytovate.om cloudovych slu.ieb typu SaaS pre subjekty MUS, a to s vyu.itim IaaS a PaaS vladneho cloudu. IS DCOM
sp..a kriteria kybernetickej bezpe.nosti po.adovane zakonom. IS DCOM je poskytovany obciam ako SaaS slu.ba, to znamena, .e .iadne data, ktore su
spracovavane v IS DCOM nie su ulo.ene na lokalnych zariadeniach na obciach. Lokalne zariadenia v tomto pripade slu.i iba ako gterminalyg pre pristup
na centralne rie.enie. V kontexte uvedeneho je dole.ite zdorazni., .e viacero kritickych bezpe.nostnych prvkov centralneho rie.enia IS DCOM je na
hranici svojej .ivotnosti a podpory. V priebehu najbli..ieho obdobia bude nutne vykona. obnovu HW/SW komponentov. V ramci prostredia centralnej
infra.truktury zatia. neboli implementovane najmodernej.ie SW nastroje pre ochranu prostredia. Ich buducou implementaciou sa razantne zvy.i celkova
odolnos. systemu vo.i novym, sofistikovanym vektorom utoku. V su.asnosti je implementovany monitoring nad zakladnymi prvkami bezpe.nostnej
infra.truktury, ktory bol v minulosti plne posta.ujuci. Vzh.adom k narastajucej komplexnosti hrozieb a taktie. komplexnosti ochrannych nastrojov bude
potrebne tento monitoring povy.i. na omnoho sofistikovanej.iu urove. a zahrnu. do neho novo implementovane vrstvy ochrany.
Implementaciou novych rie.eni sa dosiahne stav, kde aj data obci, ktore spadaju do kategorie I budu chranene na urovni najvy..ich bezpe.nostnych
.tandardov vy.adovanych pre cely IS DCOM.
3.2.2. Biznis procesy, ktore su predmetom projektu
Z poh.adu biznis procesov uzemna samosprava realizuje vykon vybranych procesov .tatnej spravy (tzv. preneseny vykon .tatnej spravy) a zodpoveda za
metodicke riadenie a vykon procesov samospravy (tzv. originalne kompetencie). Z h.adiska originalnych kompetencii, sa opatrenia v oblasti kybernetickej
bezpe.nosti tykaju nasledovnych originalnych kompetencii:
vykonava ukony suvisiace s riadnym hospodarenim s hnute.nym a nehnute.nym majetkom obce a s majetkom vo vlastnictve .tatu prenechanym
obci do u.ivania,
zostavuje a schva.uje rozpo.et obce a zavere.ny u.et obce; vyhlasuje dobrovo.nu zbierku,
rozhoduje vo veciach miestnych dani a miestnych poplatkov a vykonava ich spravu,
usmer.uje ekonomicku .innos. v obci, a ak tak ustanovuje osobitny predpis, vydava suhlas, zavazne stanovisko, stanovisko alebo vyjadrenie k
podnikate.skej a inej .innosti pravnickych osob a fyzickych osob a k umiestneniu prevadzky na uzemi obce, vydava zavazne stanoviska k
investi.nej .innosti v obci,
utvara u.inny system kontroly a vytvara vhodne organiza.ne, finan.ne, personalne a materialne podmienky na jeho nezavisly vykon,
zabezpe.uje vystavbu a udr.bu a vykonava spravu miestnych komunikacii, verejnych priestranstiev, obecneho cintorina, kulturnych, .portovych a
.al.ich obecnych zariadeni, kulturnych pamiatok, pamiatkovych uzemi a pamatihodnosti obce,
zabezpe.uje verejnoprospe.ne slu.by, najma nakladanie s komunalnym odpadom a drobnym stavebnym odpadom, udr.iavanie .istoty v obci,
spravu a udr.bu verejnej zelene a verejneho osvetlenia, zasobovanie vodou, odvadzanie odpadovych vod, nakladanie s odpadovymi vodami zo
.ump a miestnu verejnu dopravu,
utvara a chrani zdrave podmienky a zdravy sposob .ivota a prace obyvate.ov obce, chrani .ivotne prostredie, ako aj utvara podmienky na
zabezpe.ovanie zdravotnej starostlivosti, na vzdelavanie, kulturu, osvetovu .innos., zaujmovu umelecku .innos., telesnu kulturu a .port,
plni ulohy na useku ochrany spotrebite.a a utvara podmienky na zasobovanie obce; spravuje trhoviska,
obstarava a schva.uje uzemnoplanovaciu dokumentaciu obci a zon, koncepciu rozvoja jednotlivych oblasti .ivota obce, obstarava a schva.uje
programy rozvoja byvania a spoluposobi pri utvarani vhodnych podmienok na byvanie v obci,
vykonava vlastnu investi.nu .innos. a podnikate.sku .innos. v zaujme zabezpe.enia potrieb obyvate.ov obce a rozvoja obce,
zaklada, zria.uje, zru.uje a kontroluje pod.a osobitnych predpisov svoje rozpo.tove a prispevkove organizacie, ine pravnicke osoby a zariadenia,
organizuje miestne referendum o dole.itych otazkach .ivota a rozvoja obce,
zabezpe.uje verejny poriadok v obci,
zabezpe.uje ochranu kulturnych pamiatok v rozsahu pod.a osobitnych predpisov a dba o zachovanie prirodnych hodnot,
plni ulohy na useku socialnej pomoci v rozsahu pod.a osobitneho predpisu,
vykonava osved.ovanie listin a podpisov na listinach,
vedie obecnu kroniku v .tatnom jazyku, pripadne aj v jazyku narodnostnej men.iny.
3.2.3. Informacie o oblasti (OBSAH / AGENDA / .IVOTNA SITUACIA), ktorym sa projekt venuje
Z poh.adu .ivotnych situacii sa projekt venuje nasledovnym .ivotnym situaciam:
Kod v .iselniku (MetaIS) Nazov
068 Da. za u.ivanie verejneho priestranstva
072 Miestny poplatok za komunalne odpady a drobne stavebne odpady
097 .port
051 Demokracia
058 U.as. na veciach verejnych
057 .tatisticke informacie
030 Zatvorenie podniku
073 Od.kodnenie
001 Dotacie
031 Odpadove hospodarstvo
093 Centra vo.neho .asu
025 Slu.by
074 Poplatky za verejne slu.by
035 Udr.ate.nos. a .al.ie dimenzie
064 Da. z nehnute.nosti
104 Zakladne umelecke .koly
069 Da. za vjazd a zotrvanie motoroveho vozidla v historickej .asti mesta
067 Da. za ubytovanie
094 Pred.kolske zariadenia
103 Zakladne .koly
005 Oznamovacie povinnosti po registracii podnikania
070 Dotacie
071 Dra.by, exekucie
034 Povolenia .ivotneho prostredia
020 Verejne obstaravanie
014 Ostatne dane
066 Da. za psa
016 Roz.irovanie podnikania
013 Miestne dane a poplatky
061 Vo.by
118 Uzavretie man.elstva / rozvod man.elstva
055 Slobodny pristup k informaciam, pristup k odtajnenym skuto.nostiam, archivy
112 Pomoc v hmotnej nudzi
160 Prenajom nehnute.nosti
109 Narodenie
166 Odpadove hospodarstvo
111 Zdravotne postihnutie a podpora socialneho za.lenenia fyzickej osoby s .a.kym zdravotnym postihnutim do spolo.nosti
167 Ochrana ovzdu.ia
175 Civilna ochrana
157 Kataster nehnute.nosti
153 Bytova politika
178 Po.iar, povode. a ine nebezpe.enstvo
165 Uzemne planovanie
176 Mestska policia
171 Po.ovnictvo a rybarstvo
003 Ina podpora, slobodny pristup k informaciam, pristup k odtajnenym skuto.nostiam, archivy
169 Ochrana prirody a krajiny
081 Cestna doprava a parkovanie
180 Kulturne aktivity
163 Stavebne konanie
117 Umrtie
119 Cirkev a nabo.enske spolo.nosti
121 Pamiatky a zbierky muzei a galerii
115 Socialne slu.by
173 Zvierata a rastliny
Tabu.ka .. 1 - Zoznam projektom zlep.ovanych .ivotnych situacii
Vynos MF SR .. 478/2010 Z. z. o zakladnom .iselniku usekov verejnej spravy a agend verejnej spravy nedefinoval pre samotny DEUS .iaden usek. Av.ak
pre DEUS a tento projekt su relevantne nasledovne useky:
Kod v .iselniku (MetaIS) Nazov useku
U00024 Dane a poplatky
U00055 Stavebny poriadok a uzemne planovanie okrem ekologickych aspektov
U00169 .tatna starostlivos. o mlade. a .port
U00165 Materske .koly, zakladne .koly, stredne .koly, zakladne umelecke .koly, jazykove .koly a .kolske zariadenia
U00176 Vz.ahy s cirkvami a nabo.enskymi spolo.nos.ami
U00223 Vnutorna sprava
U00097 .tatne symboly, heraldicky register
U00077 Regionalny rozvoj okrem koordinacie vyu.ivania finan.nych prostriedkov z fondov Europskej unie
U00059 Cestovny ruch
U00100 Zhroma..ovanie a zdru.ovanie vratane registracie niektorych pravnickych osob, o ktorych to ustanovi osobitny zakon
U00080 Verejny poriadok, bezpe.nos. osob a majetku
U00144 Podpora socialneho za.lenenia fyzickej osoby s .a.kym zdravotnym postihnutim do spolo.nosti
U00012 Ochrana spotrebite.a s vynimkou ochrany spotrebite.a pri poskytovani finan.nych slu.ieb
U00143 Socialne slu.by
U00157 Odpadove hospodarstvo
U00044 Cestna doprava
U00171 Ochrana pamiatkoveho fondu, kulturne dedi.stvo a knihovnictvo
U00149 Ochrana prirody a krajiny
U00154 Ochrana ovzdu.ia, ozonovej vrstvy a klimatickeho systemu Zeme
U00083 Bezpe.nos. a plynulos. cestnej premavky
U00122 Kontrola nad dodr.iavanim podmienok organizovania a priebehu dobrovo.nych dra.ieb
U00041 Hazardne hry
U00194 .tatna .tatistika
U00091 Evidencia obyvate.ov
U00098 Archivy a registratury
U00145 Pomoc v hmotnej nudzi
U00094 Civilna ochrana a krizove riadenie
U00057 Tvorba a uskuto..ovanie bytovej politiky
U00095 Ochrana pred po.iarmi
U00073 Rybarstvo v oblasti akvakultury a morskeho rybolovu
U00172 Umenie
U00046 Pozemne komunikacie
Tabu.ka .. 2 - Zoznam projektom zlep.ovanych usekov
Vy..ie uvedene useky pozostavaju z ve.keho po.tu agend, pri.om agendy priamo relevantne pre projekt su uvedene v tabu.ke ni..ie:
Kod v
.iselniku
(MetaIS)
Nazov useku
A0000224 Rozhodovanie vo veciach miestnych dani, miestnych poplatkov, verejnej davky, prijatia uveru alebo po.i.ky a vykonavanie ich spravy
A0000700 Evidovanie a zabezpe.enie ukladania uzemnych rozhodnuti, stavebnych povoleni, kolauda.nych rozhodnuti a inych opatreni
A0002454 Podporovanie organizovania .portovych podujati miestneho vyznamu
A0002352 Spracuvanie a poskytovanie informacii v oblasti vychovy a vzdelavania
A0000714 Spracovanie, schva.ovanie, zverejnenie a vyhodnotenie uzemneho planu
A0002594 Kontaktovanie sa s registrovanymi cirkvami a nabo.enskymi spolo.nos.ami
A0003185 Spristup.ovanie informacii z informa.nych systemov verejnej spravy
A0003156 S.a.nosti
A0001410 Ozna.ovanie budovy, zasadacej miestnosti a uradnej miestnosti organov obce erbom a vlajkou
A0003117 Pripomienkovanie, vyhodnocovanie, zverej.ovanie a spristup.ovanie nariadenia obce
A0003110 Zostavovanie, .erpanie, vykonavanie zmien a zverej.ovanie rozpo.tu obce
A0001171 Vypracuvanie programov rozvoja obci
A0000772 Podpora rozvoja cestovneho ruchu
A0003109 Zostavovanie a zverej.ovanie zavere.neho u.tu obce
A0001453 Zvolavanie verejneho zhroma.denia ob.anov
A0001201 Zabezpe.ovanie verejneho poriadku v obci
A0003157 Peti.ne pravo
A0001912 Zabezpe.ovanie vyhotovenia preukazu fyzickej osoby s .a.kym zdravotnym postihnutim, vyhotovenia preukazu fyzickej osoby s .a.kym
zdravotnym postihnutim so sprievodcom, parkovacieho preukazu
A0000048 Utvaranie podmienok na zasobovanie obce, ur.ovanie pravidiel .asu predaja v obchode, .asu prevadzky slu.ieb a spravovanie trhovisk
A0003097 Poskytovanie dotacii z rozpo.tu obce
A0001871 Poskytovanie finan.neho prispevku pri odkazanosti na pomoc inej osoby a finan.neho prispevku na prevadzku neverejnym
poskytovate.om socialnych slu.ieb
A0002243 Zabezpe.ovanie alebo umo..ovanie zberu a prepravy komunalnych odpadov a zabezpe.enie priestoru na odovzdavanie oddelenych
zlo.iek komunalnych odpadov ob.anmi v ramci separovaneho zberu
A0002237 Poskytovanie informacie o umiestneni a .innosti zariadeni na nakladanie s odpadmi dr.ite.ovi odpadu na uzemi obce
A0002380 Spracuvanie a poskytovanie informacii v oblasti vychovy a vzdelavania
A0000433 Schva.ovanie a ukladanie zmien cestovneho poriadku
A0000434 Ude.ovanie, zmena a od.atie dopravnej licencie
A0002541 Vydavanie zavaznych stanovisk a stanovisk k upravam uli.neho interieru, drobnej architektury, historickej zelene, verejneho osvetlenia
a reklamnych zariadeni
A0002082 Riadenie, vykonavanie a kontrola vykonu .tatnej spravy starostlivosti o .ivotne prostredie
A0000431 Povo.ovanie zriadenia autobusovej linky
A0003114 Hospodarenie a nakladanie s vlastnym majetkom a s vlastnymi prijmami obce
A0002203 Ur.ovanie podmienok a kontrola dodr.iavania povinnosti prevadzkovania malych zdrojov zne.is.ovania ovzdu.ia
A0001217 Odstra.ovanie vozidiel ponechanych na ceste vratane chodnika na naklady jeho prevadzkovate.a
A0001659 Kontrola dodr.iavania podmienok organizovania a priebehu dra.ieb
A0003183 Zadavanie zakaziek na dodanie tovaru, zakazky na uskuto.nenie stavebnych prac alebo na poskytnutie slu.ieb, zakazky na poskytnutie
slu.ieb a su.a. navrhov
A0000336 Rozhodovanie o udeleni individualnej licencie na useku hazardnych hier
A0000706 Obstaravanie, schva.ovanie, zmena a zverejnenie uzemnoplanovacej dokumentacie
A0000721 Ur.enie supisneho a orienta.neho .isla stavbam a vedenie ich evidencie
A0002777 Organiza.ne zabezpe.enie volieb
A0001302 Evidovanie hlaseni o uzavreti man.elstva, o rozvode man.elstva, o narodeni, respektive o umrti
A0001419 Umo..ovanie pristupu k archivnym dokumentom
A0001938 Vykonavanie poradenstva pri zabezpe.eni zakladnych .ivotnych podmienok a pomoci v hmotnej nudzi
A0001937 Rozhodovanie o jednorazovej davke v hmotnej nudzi
A0001344 Oboznamovanie sa s havarijnymi planmi podnikov a prevadzok a informovanie obyvate.stva o postupe pri mimoriadnej udalosti
A0000765 Zabezpe.ovanie obstaravania a schva.ovania programov rozvoja byvania a spoluposobenia pri utvarani vhodnych podmienok na byvanie v
obci
A0001383 Vypracovanie a vedenie dokumentacie ochrany pred po.iarmi obce
A0001104 Vydavanie rybarskych listkov a vedenie ich evidencie
A0002548 Vedenie evidencie pamiatkoveho fondu na uzemi obce
A0002581 Prijimanie oznamenia usporiadate.a o zamere usporiada. podujatie
A0000476 Vedenie technickej evidencie o pozemnych komunikaciach vo vlastnictve a sprave obce
A0000486 Poskytovanie udajov o zjazdnosti miestnych komunikacii a udajov z technickej evidencie miestnych komunikacii
A0000445 Zabezpe.ovanie vystavby, udr.by a vykonu spravy miestnych komunikacii
A0000444 Zabezpe.ovanie miestnej verejnej dopravy
A0001856 Tvorba komunitneho planu socialnych slu.ieb
A0001861 Poskytovanie alebo zabezpe.ovanie socialnej slu.by v noc.aharni, v nizkoprahovom dennom centre, v nizkoprahovom dennom centre pre
deti a rodinu, v zariadeni pre seniorov, v zariadeni opatrovate.skej slu.by, v dennom stacionari, opatrovate.skej slu.by, prepravnej slu.by,
od.ah.ovacej slu.by
A0001857 Utvaranie podmienok na podporu komunitneho rozvoja v oblasti poskytovania socialnych slu.ieb
Tabu.ka .. 3 - Zoznam agend relevantnych pre projekt
3.2.4. ROZSAH PROJEKTU
Z h.adiska subjektu sa projekt tyka DEUS. DEUS v zmysle ˜ 9a odsek 1 zakona .. 305/2013 Z.z. o elektronickej podobe vykonu posobnosti organov
verejnej moci (eGovernmente) vykonava .innosti spravcu a prevadzkovate.a IS DCOM. DEUS je zaujmove zdru.enie pravnickych osob, ktoreho jedinymi
.lenmi su Ministerstvo financii SR (.alej len .MF SRg) a Zdru.enie miest a obci Slovenska (.alej len .ZMOSg). Zakon o eGovernmente zarove. vymedzuje
IS DCOM ako nadrezortny informa.ny system verejnej spravy, ktory poskytuje obciam technicke a programove prostriedky na vykon verejnej moci
elektronicky, na prevadzkovanie ISVS v ich sprave a na zabezpe.enie zakladnych .innosti v oblasti elektronickeho vykonu vnutornych agend a prevadzku
ostatnych IS, ktore obec pou.iva.
System riadenia kybernetickej bezpe.nosti v Slovenskej republike ma nieko.ko vrstiev, ktore mo.eme rozdeli. na narodnu urove. a sektorovu urove.. Na
sektorovej urovni je pod.a zakona definovanych 11 sektorov a 25 podsektorov. Za ka.dy zo sektorov je zodpovedny ustredny organ (.alej len .ustredny
organg), ktory plni ulohy na urovni poskytovania po.adovanej su.innosti s uradom, spoluprace s inymi sektorovymi ustrednymi organmi a
prevadzkovate.mi zakladnych slu.ieb vo svojej posobnosti, budovani bezpe.nostneho povedomia, koordinovanej spoluprace na v.etkych stup.och
riadenia kybernetickej bezpe.nosti, aplikacie bezpe.nostnych opatreni, identifikacie zakladnej slu.by a prevadzkovate.a zakladnej slu.by a spoluprace so
zahrani.nou in.tituciou obdobneho zamerania. Projekt sa priamo dotyka sektoru Verejnej spravy a podsektorov Bezpe.nos. a Informa.ne systemy
verejnej spravy. V ka.dom sektore, na zaklade identifikacie pod.a zakona, vystupuju prevadzkovatelia zakladnych slu.ieb. Tito maju povinnosti,
vyplyvajuce zo zakona a to najma prija. a dodr.iava. zakonne vymedzene bezpe.nostne opatrenia, bezodkladne uradu hlasi. zava.ny kyberneticky
bezpe.nostny incident, rie.i. kyberneticke bezpe.nostne incidenty, zabezpe.ova. dokazy o kybernetickych bezpe.nostnych incidentoch, spolupracova. s
uradom a ustrednym organom, ako aj oznami. organom .innym v trestnom konani, ak bol spachany trestny .in v suvislosti s kybernetickym
bezpe.nostnym incidentom. Zdru.enie DEUS, ako aj obce su prevadzkovate.mi zakladnej slu.by.
Projekt kybernetickej bezpe.nosti pre samospravy do 6000 obyvate.ov bude realizovany v 3 .astiach:
1.
Projekt je rozdeleny do troch zakladnych .asti:
Infra.truktura ochrany dat obce v datovom centre.
Upgrade a doplnenie centralnej infra.truktury IS DCOM na softverovej a hardverovej urovni za u.elom:
udr.ania vysokej bezpe.nosti samotnej zakladnej slu.by poskytovanej IS DCOM.
minimalizovanie vypadkov poskytovanej slu.by z dovodu kybernetickeho utoku
vyznamneho zni.enia .asu obnovy systemu pri zava.nom KB incidente a nutnosti obnovy systemu zo zalohy (total recovery time IS DCOM)
Audit a kontrolne .innosti
obstaranie auditu kybernetickej bezpe.nosti v sulade so zakonom o KB pre IS DCOM
2. Zvy.enie kybernetickej bezpe.nosti obci v su.asnosti nezapojenych do IS DCOM do 6000 obyvate.ov
Pre zabezpe.enie informa.nej a kybernetickej bezpe.nosti tychto obci a ochranu dat je potrebne v prvom kroku realizova. migraciu obci do IS DCOM. Po
migracii by tieto obce mali prostrednictvom IS DCOM zabezpe.enu kompletnu agendu komunikacie cez elektronicku schranku obce, v.etky rozhodnutia
obce, v.etky da.ove informacie a rozhodnutia a mno.stvo inej agendy a integracii na centralne systemy verejnej spravy ako Register fyzickych osob,
socialna pois.ov.a, narodna evidencia vozidiel a podobne. V.etky tieto data budu u.ivate.om obci pristupne po dvojfaktorovej autorizacii . najskor cez
VPN a nasledne prostrednictvom aplika.nych roli v samotnej aplikacii. Okrem dat, ktore su evidovane v IS DCOM, maju obce citlivej.ie data evidovane u.
iba v systemoch pre spravu registratury a u.tovnictve. Ve.ka .as. dat zo spravy registratury je prostrednictvom integracii tie. synchronizovana do IS
DCOM za u.elom optimalnej spoluprace oboch systemov. Obec by tak prostrednictvom IS DCOM mala chranene v.etky kriticke data, ktore spravuje alebo
uchovava.
a) Migracia do IS DCOM
Migracia udajov suvisiacich so slu.bami samospravy poskytovanymi verejnosti
Asistencia pre obec/mesto po spusteni do produk.nej prevadzky
.kolenie novych pou.ivate.ov IS DCOM
Zabezpe.enie slu.ieb UPVS pre obce
In.talacia a konfiguracia backup systemu obce
b) Organizacia kybernetickej a informa.nej bezpe.nosti
Vypracovanie alebo aktualizacia bezpe.nostnej dokumentacie vratane rozsahu a sposobu plnenia v.eobecnych bezpe.nostnych opatreni;
vypracovanie a implementacia .pecifickych internych riadiacich aktov pre vybrane oblasti kybernetickej a informa.nej bezpe.nosti;
c) Riadenie rizik
Identifikacia v.etkych aktiv suvisiacich so zariadeniami na spracovanie informacii a centralne zaznamenavanie inventaru tychto aktiv pod.a ich
hodnoty vratane ur.enia ich vlastnika, ktory definuje po.iadavky na ich dovernos., dostupnos. a integritu;
riadenie rizik pozostavajuce z identifikacie zranite.nosti, identifikacie hrozieb, identifikacie a analyzy rizik s oh.adom na aktivum, ur.enie vlastnika
rizika, implementacie organiza.nych a technickych bezpe.nostnych opatreni, analyzy funk.neho dopadu a pravidelneho preskumavania
identifikovanych rizik v zavislosti od aktualizacie prijatych bezpe.nostnych opatreni;
vypracovanie a implementacia interneho riadiaceho aktu riadenia rizik kybernetickej a informa.nej bezpe.nosti.
d) Personalna bezpe.nos.
Vypracovanie postupov pri zaradeni osoby do niektorych z bezpe.nostnych roli, zavedenie planu rozvoja bezpe.nostneho povedomia a
vzdelavania, vypracovanie sposobov hodnotenia u.innosti planu rozvoja bezpe.nostneho povedomia, ur.enie pravidiel a postupov na rie.enie
pripadov poru.enia bezpe.nostnej politiky, zavedenie postupov pri skon.eni pracovnopravneho vz.ahu alebo ineho obdobneho vz.ahu,
zavedenie postupov pri poru.eni bezpe.nostnych politik;
vypracovanie alebo aktualizacia interneho riadiaceho aktu s bezpe.nostnymi zasadami pre koncovych pou.ivate.ov;
vypracovanie a implementacia postupov a procesov upravujucich personalnu bezpe.nos. organizacie prostrednictvom interneho riadiaceho aktu.
e) Riadenie pristupov
Vypracovanie a implementacia zasad riadenia pristupov osob k sieti a informa.nemu systemu;
vypracovanie a implementacia postupov a procesov upravujucich riadenie pristupov organizacie.
f) Riadenie kybernetickej a informa.nej bezpe.nosti vo vz.ahoch s tretimi stranami
Vypracovanie analyzy rizik tretich stran a celeho dodavate.skeho re.azca, vratane analyzy politickych rizik;
analyza a posudenie suladu v.etkych aktualnych zmluv s tretimi stranami so zakonom o KB a dobrou praxou;
vypracovanie navrhov dodatkov zmluv s tre.ou stranou spolu s navrhom potrebnych uprav na zabezpe.enie suladu so zakonom KB;
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho zasady kybernetickej a informa.nej bezpe.nosti vo vz.ahoch s tretimi
stranami.
g) Bezpe.nos. pri prevadzke informa.nych systemov a sieti
obstaranie slu.ieb pre potreby spravy prevadzkovej zalohy, kopie archiva.nej zalohy a kopie in.tala.nych medii, vratane ur.enia sposobu ich
ukladania
h) Hodnotenie zranite.nosti a bezpe.nostne aktualizacie
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho proces riadenia implementacie bezpe.nostnych aktualizacii a zaplat;
i) Ochrana proti .kodlivemu kodu
Vypracovanie interneho riadiaceho aktu s po.iadavkami na ur.enie zodpovednosti pou.ivate.ov, pravidiel pre in.talaciu a monitorovania
potencialnych ciest prieniku .kodliveho kodu;
vypracovanie a implementacia pravidiel suvisiace s ochranou proti .kodlivemu kodu;
j) Sie.ova a komunika.na bezpe.nos.
Implementacia nastrojov na ochranu integrity sieti, ktore zabezpe.uju riadenie bezpe.neho pristupu medzi vonkaj.imi a vnutornymi sie.ami,
implementacia segmentacie sieti, implementacia alebo obnova firewall-u, revizia firewall pravidiel;
vytvorenie alebo aktualizacia dokumentacie po.ita.ovej siete, ktora obsahuje evidenciu v.etkych miest prepojenia sieti vratane prepojeni s
externymi sie.ami, topologiu siete a vyu.itie IP rozsahov;
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho pravidla sie.ovej a komunika.nej bezpe.nosti;
k) Rie.enie kybernetickych bezpe.nostnych incidentov
Vypracovanie .tandardov a postupov rie.enia kybernetickych bezpe.nostnych incidentov, vratane definovania zodpovednosti zamestnancov a
.al.ich povinnosti;
vypracovanie planov a sposobov rie.enia kybernetickych bezpe.nostnych incidentov.
l) Kontinuita prevadzky
Vypracovanie strategie a krizovych planov prevadzky na zaklade analyzy vplyvov kybernetickeho bezpe.nostneho incidentu na zakladnu slu.bu;
vypracovanie interneho riadiaceho aktu obsahujuceho a upravujuceho kontinuitu prevadzky nasledkom kybernetickeho bezpe.nostneho incidentu
alebo inej krizovej situacie;
implementacia systemu zalohovania.
m) Samohodnotenie suladu opatreni obce s po.iadavkami kybernetickej bezpe.nosti
Podpora pre obce pri vypracovani prveho samohodnotenia obce
3. Zvy.enie kybernetickej bezpe.nosti obci zapojenych do IS DCOM do 6000 obyvate.ov
a) Organizacia kybernetickej a informa.nej bezpe.nosti
Vypracovanie alebo aktualizacia bezpe.nostnej dokumentacie vratane rozsahu a sposobu plnenia v.eobecnych bezpe.nostnych opatreni;
vypracovanie a implementacia .pecifickych internych riadiacich aktov pre vybrane oblasti kybernetickej a informa.nej bezpe.nosti;
b) Riadenie rizik
Identifikacia v.etkych aktiv suvisiacich so zariadeniami na spracovanie informacii a centralne zaznamenavanie inventaru tychto aktiv pod.a ich
hodnoty vratane ur.enia ich vlastnika, ktory definuje po.iadavky na ich dovernos., dostupnos. a integritu;
riadenie rizik pozostavajuce z identifikacie zranite.nosti, identifikacie hrozieb, identifikacie a analyzy rizik s oh.adom na aktivum, ur.enie vlastnika
rizika, implementacie organiza.nych a technickych bezpe.nostnych opatreni, analyzy funk.neho dopadu a pravidelneho preskumavania
identifikovanych rizik v zavislosti od aktualizacie prijatych bezpe.nostnych opatreni;
vypracovanie a implementacia interneho riadiaceho aktu riadenia rizik kybernetickej a informa.nej bezpe.nosti.
c) Personalna bezpe.nos.
Vypracovanie postupov pri zaradeni osoby do niektorych z bezpe.nostnych roli, zavedenie planu rozvoja bezpe.nostneho povedomia a
vzdelavania, vypracovanie sposobov hodnotenia u.innosti planu rozvoja bezpe.nostneho povedomia, ur.enie pravidiel a postupov na rie.enie
pripadov poru.enia bezpe.nostnej politiky, zavedenie postupov pri skon.eni pracovnopravneho vz.ahu alebo ineho obdobneho vz.ahu,
zavedenie postupov pri poru.eni bezpe.nostnych politik;
vypracovanie alebo aktualizacia interneho riadiaceho aktu s bezpe.nostnymi zasadami pre koncovych pou.ivate.ov;
vypracovanie a implementacia postupov a procesov upravujucich personalnu bezpe.nos. organizacie prostrednictvom interneho riadiaceho aktu.
d) Riadenie pristupov
Vypracovanie a implementacia zasad riadenia pristupov osob k sieti a informa.nemu systemu;
vypracovanie a implementacia postupov a procesov upravujucich riadenie pristupov organizacie.
e) Riadenie kybernetickej a informa.nej bezpe.nosti vo vz.ahoch s tretimi stranami
Vypracovanie analyzy rizik tretich stran a celeho dodavate.skeho re.azca, vratane analyzy politickych rizik;
analyza a posudenie suladu v.etkych aktualnych zmluv s tretimi stranami so zakonom o KB a dobrou praxou;
vypracovanie navrhov dodatkov zmluv s tre.ou stranou spolu s navrhom potrebnych uprav na zabezpe.enie suladu so zakonom KB;
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho zasady kybernetickej a informa.nej bezpe.nosti vo vz.ahoch s tretimi
stranami.
f) Bezpe.nos. pri prevadzke informa.nych systemov a sieti
obstaranie slu.ieb pre potreby spravy prevadzkovej zalohy, kopie archiva.nej zalohy a kopie in.tala.nych medii, vratane ur.enia sposobu ich
ukladania
g) Hodnotenie zranite.nosti a bezpe.nostne aktualizacie
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho proces riadenia implementacie bezpe.nostnych aktualizacii a zaplat;
h) Ochrana proti .kodlivemu kodu
Vypracovanie interneho riadiaceho aktu s po.iadavkami na ur.enie zodpovednosti pou.ivate.ov, pravidiel pre in.talaciu a monitorovania
potencialnych ciest prieniku .kodliveho kodu;
vypracovanie a implementacia pravidiel suvisiace s ochranou proti .kodlivemu kodu;
i) Sie.ova a komunika.na bezpe.nos.
Implementacia nastrojov na ochranu integrity sieti, ktore zabezpe.uju riadenie bezpe.neho pristupu medzi vonkaj.imi a vnutornymi sie.ami,
implementacia segmentacie sieti, implementacia alebo obnova firewall-u, revizia firewall pravidiel;
vytvorenie alebo aktualizacia dokumentacie po.ita.ovej siete, ktora obsahuje evidenciu v.etkych miest prepojenia sieti vratane prepojeni s
externymi sie.ami, topologiu siete a vyu.itie IP rozsahov;
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho pravidla sie.ovej a komunika.nej bezpe.nosti;
j) Rie.enie kybernetickych bezpe.nostnych incidentov
Vypracovanie .tandardov a postupov rie.enia kybernetickych bezpe.nostnych incidentov, vratane definovania zodpovednosti zamestnancov a
.al.ich povinnosti;
vypracovanie planov a sposobov rie.enia kybernetickych bezpe.nostnych incidentov.
k) Kontinuita prevadzky
Vypracovanie strategie a krizovych planov prevadzky na zaklade analyzy vplyvov kybernetickeho bezpe.nostneho incidentu na zakladnu slu.bu;
vypracovanie interneho riadiaceho aktu obsahujuceho a upravujuceho kontinuitu prevadzky nasledkom kybernetickeho bezpe.nostneho incidentu
alebo inej krizovej situacie;
implementacia systemu zalohovania.
l) Samohodnotenie suladu opatreni obce s po.iadavkami kybernetickej bezpe.nosti
Podpora pre obce pri vypracovani prveho samohodnotenia obce
Maximalny mo.ny po.et zapojenych obci do projektu uvadza nasledovna tabu.ka:
samosprava do 6000
obyvate.ov
SR DCOM Z toho do
projektu
Mimo
DCOM
Z toho do projektu
40%
Celkovo maximalne v projekte . kryte rozpo.tom
projektu
Minimalne
KPI projektu
Spolu 2795 1941 1455 854 350 1805 1000
1.
2.
3.
4.
5.
6.
7.
3.2.5. Motivacia stakeholderov projektu
Kyberneticka bezpe.nos. je s neustale rastucou digitalizaciou spolo.nosti jednou z najdole.itej.ich oblasti, ktora priamo ovplyv.uje fungovanie modernej
spolo.nosti. Aby bolo mo.ne ju efektivne riadi., potrebuje strategicke ukotvenie aj v ramci samospravy. Komplexny pristup ku kybernetickej bezpe.nosti s
jasnymi principmi a cie.mi nie len zaru.uje jasnu viziu, ale aj potvrdzuje jej dole.itos. v celom bezpe.nostnom systeme. Previazanie kybernetickej
bezpe.nosti s problematikou po.ita.ovej kriminality, kybernetickeho spravodajstva, kybernetickej obrany a kybernetickej diplomacie pod.iarkuje
multidimenzionalny presah kybernetickej bezpe.nosti do viacerych vyznamnych oblasti, ktore formuju kyberneticky. priestor.
D.a 7. januara 2021 bola vladou schvalena Narodna strategia kybernetickej bezpe.nosti na roky 2021 a. 2025 (.alej len gNarodna strategiah), ktora
zakotvila smerovanie Slovenskej republiky (.alej len .SRg) v oblasti kybernetickej bezpe.nosti. V Narodnej strategii su popisane principy, na ktorych stoji
system riadenia kybernetickej bezpe.nosti, ako aj hrozby, ktore vplyvaju na procesy a .innosti v oblasti kybernetickej bezpe.nosti a maju vyznamny dopad
na bezpe.nos. .tatu, ako aj jeho obyvate.ov. Ako reakcia na tieto hrozby Narodna strategia ur.ila strategicke ciele, na ktore je potrebne sa najbli..ich
minimalne 5 rokov zamera.:
Doveryhodny .tat pripraveny na hrozby
Efektivne odha.ovanie a objas.ovanie po.ita.ovej kriminality
Odolny. sukromny sektor
Kyberneticka bezpe.nos. ako zakladna su.as. verejnej spravy
Silne partnerstva
Vzdelani odbornici a vzdelana verejnos.
Vyskum a vyvoj v oblasti kybernetickej bezpe.nosti
Aby mohla by. Narodna strategia a jej ciele vykonate.ne, museli by. ur.ene konkretne ulohy a aktivity spolu s jasnymi zodpovednos.ami. Na tento u.el
slu.i Ak.ny plan Narodnej strategie kybernetickej bezpe.nosti na roky 2021 a. 2025 (.alej len gAk.ny planh), ktory tieto ulohy definuje, ur.uje zodpovedne
subjekty a takisto aj .asove horizonty pre jednotlive ulohy. Na narodnu strategiu, jej ciele a ak.ny plan nadvazuje ciel tohto narodneho projektu, ktorym je
zvy.enie urovne kybernetickej a informa.nej bezpe.nosti pre obce do 6 000 obyvate.ov v podobe technickych a organiza.nych opatreni a zabezpe.enie
suladu s legislativnymi po.iadavkami v oblasti kybernetickej bezpe.nosti.
V IS DCOM maju obce kompletnu agendu komunikacie cez elektronicku schranku obce, v.etky rozhodnutia obce, v.etky da.ove informacie a rozhodnutia
a mno.stvo inej agendy a integracii na centralne systemy verejnej spravy ako Register fyzickych osob, Socialna pois.ov.a, Narodna evidencia vozidiel a
podobne. V.etky tieto data su u.ivate.om obci pristupne po dvojfaktorovej autorizacii . najskor cez VPN a nasledne prostrednictvom aplika.nych roli v
samotnej aplikacii. Okrem dat, ktore su evidovane v IS DCOM, maju obce citlivej.ie data evidovane u. iba v systemoch pre spravu registratury a
u.tovnictve. Ve.ka .as. dat zo spravy registratury je prostrednictvom integracii tie. synchronizovana do IS DCOM za u.elom optimalnej spoluprace oboch
systemov. Z vy..ie uvedeneho je zrejme, .e najva..i objem chulostivych dat na obci (ur.ite vieme poveda. .e viac ako 80%) prevadzkuje obec v IS
DCOM. Na malych obciach sa v principe jedna o 100%. V.etky tieto fakty potvrdzuju, .e pokia. kvalitne ochranime centralnu infra.trukturu IS DCOM v
datovych centrach, ochranime tak vy.e 80% dat a IT prevadzky obci.
V zmysle zakona ..69/2018 Z.z. o kybernetickej bezpe.nosti, je ka.da obec s po.tom obyvate.ov viac ne. 1000 prevadzkovate.om zakladnej slu.by .tatu
a je povinna dodr.iava. bezpe.nostne opatrenia pod.a ˜20 (1). Su to ulohy, procesy, role a technologie v organiza.nej, personalnej a technickej oblasti,
ktorych cie.om je zabezpe.enie kybernetickej bezpe.nosti po.as .ivotneho cyklu sieti a informa.nych systemov. V zasade ide o opatrenia, ktore maju za
cie. minimalizova. riziko vzniku negativnej udalosti akymi su napriklad:
Naru.enie prevadzky siete alebo informa.neho systemu, ktore ohrozi integritu alebo dovernos. spracovavanych osobnych udajov,
Uniku osobnych udajov v dosledku .oho mo.e vzniknu. .koda na zdravi, .i ujma na majetku,
Obmedzenie vykonu, alebo ohrozenie posobnosti obce, najma s oh.adom na schopnos. zabezpe.enia bezpe.ia, verejneho poriadku alebo
zvladnutia mimoriadnej udalosti.
Zakon hovori explicitne o obciach nad 1000 obyvate.ov, a. 1863 obci na Slovensku, teda viac ne. 2/3 uzemia  ma menej ne. tisic obyvate.ov a spolu
tak v tychto obciach .ije viac ako 800 000 obyvate.ov. Z poh.adu kybernetickej bezpe.nosti data tychto ob.anov a obci nie su chranene vobec.
.truktura obci pod.a po.tu obyvate.ov a sposobu zabezpe.enia vykonu verejnej moci elektronicky
Po.et obci Z toho plny DCOM Z toho mimo DCOM
Skupina 199 obyvate.ov alebo menej 409 337 72
Skupina Od 200 do 499 obyvate.ov 710 548 162
Skupina Od 500 do 999 obyvate.ov 744 511 233
Skupina Od 1 000 do 5 999 obyvate.ov 932 545 387
Skupina nad 6000 obyvate.ov 132 20 112
Spolu 2927 1961 966
Cie.om aktivit projektu je vytvori. prostredie na narodnej urovni v ktorom bude mo.ne .o najefektivnej.ie zvy.ova. urove. kybernetickej bezpe.nosti pre
samospravy SR a ob.anov SR vyu.ivajucich elektronicke slu.by samosprav. Realizacia projektu prostrednictvom dopytovej vyzvy na predkladanie
.iadosti o NFP by bola neefektivna, nako.ko by nebolo mo.ne naplni. v.etky stanovene ciele predlo.eneho projektu, ktory bude ma. dopad na organizacie
samospravy naprie. celym uzemim SR. Upgrade monitoringu prevadzky vyznamne zlep.i aj monitorovanie a detekciu hrozieb a umo.ni organizacii lep.ie
tieto hrozby identifikova., analyzova. a v rychlom .ase prija. aktivne bezpe.nostne opatrenia pre ochranu a zachovanie integrity dovernych informacii,
ktore system spracovava. Implementaciou projektu sa vyznamne zni.i .as obnovy systemu (recovery time) v pripade zava.neho bezpe.nostneho
incidentu, .o predstavuje pre koncoveho u.ivate.a najva..i prinos projektu. Jedna sa tak o kontinualnu investiciu do modernizacie IS DCOM
a zabezpe.enie jeho vysokej ochrany v dynamicky sa meniacom prostredi kybernetickej bezpe.nosti.
Akteri projektu, ich ciele, po.iadavky a obmedzenia:
Akter Cie. Po.iadavka Obmedzenie
DEUS Zabezpe.i. infra.trukturu
ochrany dat obce v datovom
centre
Poskytovanie bezpe.nych a
doveryhodnych elektronickych
slu.ieb samospravy
Zni.enie rizika kybernetickych
utokov v ramci samospravy.
Realizacia projektu Kyberneticka bezpe.nos. pre samospravy SR do 6000
obyvate.ov prostrednictvom spravcu informa.neho systemu DCOM. Zamedzi.
riziku kybernetickych utokov a vypadku eSlu.ieb MUS.
Su.asne finan.ne zabezpe.enie DEUS
neumo..uje realizaciu projektu bez
financovania zo zdrojov EU.
Obec
(samo
sprav
a)
Zabezpe.i. infra.trukturu
ochrany dat obce v datovom
centre
Zabezpe.i. sulad
s nariadenim NIS2, resp.
zakonom .. 69/2018 Z.z.
Poskytovanie bezpe.nych a
doveryhodnych elektronickych
slu.ieb samospravy
Zni.enie rizika kybernetickych
utokov v ramci samospravy.
Realizacia projektu Kyberneticka bezpe.nos. pre samospravy SR do 6000
obyvate.ov prostrednictvom spravcu informa.neho systemu DCOM.
Chybajuce zdroje na zabezpe.enie
infra.truktury.
Dostupne finan.ne prostriedky su
smerovane na zabezpe.enie akutnych
potrieb samospravy.
ZMOS Zabezpe.i. infra.trukturu
ochrany dat obce v datovom
centre
Zabezpe.i. sulad
s nariadenim NIS2, resp.
zakonom .. 69/2018 Z.z.
Poskytovanie bezpe.nych a
doveryhodnych elektronickych
slu.ieb samospravy
Zni.enie rizika kybernetickych
utokov v ramci samospravy.
Realizacia projektu Kyberneticka bezpe.nos. pre samospravy SR do 6000
obyvate.ov prostrednictvom spravcu informa.neho systemu DCOM. Minimalizacia
administrativnej a finan.nej za.a.e na samospravu.
Chybajuce zdroje na zabezpe.enie
infra.truktury.
Dostupne finan.ne prostriedky su
smerovane na zabezpe.enie akutnych
potrieb samospravy.
MF
SR
Efektivne vynakladanie
zdrojov verejneho rozpo.tu
(.tatneho i samospravneho).
Zabezpe.enie kybernetickej bezpe.nosti pre samospravy SR do 6000 obyvate.ov
pri dodr.ani podmienky VfM
Vzh.adom na prebiehajuce krizy a deficit
v .tatnom rozpo.te su zdroje .tatneho
rozpo.tu vyrazne obmedzene.
MIRRI
SR
Zabezpe.i. kyberneticku
bezpe.nos. vo VS
Zabezpe.i. sulad
s nariadenim NIS2, resp.
zakonom .. 69/2018 Z.z.
Zni.enie rizika kybernetickych
utokov v ramci samospravy.
Poskytovanie podpory samosprave. Pre dosiahnutie cie.ov na narodnej urovni
je potrebny partner na urovni samospravy.
NBU Zabezpe.i. kyberneticku
bezpe.nos. vo VS
Zabezpe.i. sulad
s nariadenim NIS2, resp.
zakonom .. 69/2018 Z.z.
Zni.enie rizika kybernetickych
utokov v ramci samospravy.
Poskytovanie podpory samosprave. Pre dosiahnutie cie.ov na narodnej urovni
je potrebny partner na urovni samospravy.
Verejn
os.
Poskytovanie bezpe.nych a
doveryhodnych elektronickych
slu.ieb samospravy.
Zni.enie rizika kybernetickych
utokov v ramci samospravy.
Realizacia projektu Kyberneticka bezpe.nos. pre samospravy SR do 6000
obyvate.ov prostrednictvom spravcu informa.neho systemu DCOM. Minimalizacia
administrativnej a finan.nej za.a.e na samospravu.
N/A
Projekt je v sulade so strategickymi dokumentmi v oblasti kybernetickej bezpe.nosti a informatizacie samospravy, pri.om vychodiskovym ramcom pre
realizaciu projektu su dokumenty:
Narodna strategia kybernetickej bezpe.nosti na roky 2021 a. 2025, ktora zakotvila smerovanie Slovenskej republiky (.alej len .SRg) v oblasti
kybernetickej bezpe.nosti. V Narodnej strategii su popisane principy, na ktorych stoji system riadenia kybernetickej bezpe.nosti, ako aj hrozby,
ktore vplyvaju na procesy a .innosti v oblasti kybernetickej bezpe.nosti a maju vyznamny dopad na bezpe.nos. .tatu, ako aj jeho obyvate.ov.
Ak.ny plan realizacie Narodnej strategie kybernetickej bezpe.nosti na roky 2021 a. 2025. Cie.om Ak.neho planu je vytvori. uceleny koncept uloh
a aktivit v oblasti kybernetickej bezpe.nosti na najbli..ich 5 rokov. Navrhovane ulohy su adekvatne k potrebam naplnenia vizie a strategickych
cie.ov strategie a re.pektuju zakladne principy, ktore boli v strategii zakotvene.
Narodna koncepcia informatizacie verejnej spravy, definuje Informa.nu a kyberneticku bezpe.nos. ako jednu zo svojich priorit. Kyberneticka a
informa.na bezpe.nos. je horizontalna os, ktora nastavuje ciele v zaujme vybudovania ekosystemu, legislativneho, organiza.neho a technickeho
prostredia schopneho .eli. kybernetickym hrozbam
3.3 Zainteresovane strany/Stakeholderi
ID AKTER / STAKEHOLDER SUBJ
EKT
(nazov
/
skratk
a)
ROLA
(vlastnik procesu/ vlastnik dat/zakaznik/ u.ivate. c. .len timu at..)
Informa.ny
system
(MetaIS
kod a
nazov
ISVS)
1. Zamestnanec DEUS DEUS Spravca a prevadzkovate. nadrezortneho informa.neho systemu verejnej spravy, ktory poskytuje
samosprave technicke a programove prostriedky na vykon verejnej moci elektronicky, na prevadzkovanie
ISVS v ich sprave
IS DCOM
(isvs_6391)
2. Uradnik samospravy samos
prava
Pou.ivate. G2G elektronickych slu.ieb IS DCOM IS DCOM
(isvs_6391)
3. Zakladatelia zdru.enia DEUS ZMOS
/MF
SR
Governance DEUS N/A
4. Ministerstvo investicii,
regionalneho rozvoja a
informatizacie SR
MIRRI
SR
Posudzovate. projektu/ UO.S pre Informa.ne systemy verejnej spravy v oblasti kybernetickej bezpe.nosti N/A
5. Narodny bezpe.nostny urad NBU Riadi a koordinuje vykon .tatnej spravy v oblasti kybernetickej bezpe.nosti. N/A
6. Ob.ania/Podnikatelia Verejn
os.
Pou.ivate. G2C a G2B elektronickych slu.ieb IS DCOM IS DCOM
(isvs_6391)
7. Externi dodavatelia ED Dodavatelia N/A
3.4 Ciele projektu
ID
Nazov cie.a
Nazov strategickeho
cie.a
Sposob realizacie strategickeho cie.a
01 Zvy.enie a zlep.enie urovne
kybernetickej a informa.nej
bezpe.nosti v prostredi
samospravy
Narodna strategia
Kybernetickej
bezpe.nosti na roky
2021 . 2025:
4.1 Doveryhodny .tat
pripraveny na hrozby
4.4 Kyberneticka
bezpe.nos. ako
zakladna su.as.
verejnej spravy
- zavedenim funk.nych procesov riadenia rizik kybernetickej bezpe.nosti,
- kontinualne posil.ovanim technickych, organiza.nych a personalnych kapacit pre detekciu a
rie.enie kybernetickych bezpe.nostnych incidentov na narodnej urovni a v ramci jednotlivych sektorov,
vratane kritickej infra.truktury,
- rozvojom schopnosti v oblasti detekcie a zberu bezpe.nostne relevantnych udalosti v narodnom
kybernetickom priestore, ako aj rozvoj schopnosti v oblasti vyhodnocovania udalosti a detekcie
incidentov modernymi technikami v narodnom kybernetickom priestore
- uplat.ovanim systematickeho pristupu ku kybernetickej bezpe.nosti zalo.eneho na analyze a
riadeni rizik v ka.dej dole.itej oblasti, pri.om ka.da analyza musi vychadza. z planu a metodiky
jednotnej analyzy a riadenia rizik,
- zvy.enim ochrany prevadzkovate.ov zakladnych slu.ieb vo verejnej sprave z h.adiska
kybernetickej bezpe.nosti tak, aby ich audit a pravidelne kontroly vykonavanych opatreni trvalo
preukazovali pozitivny trend zlep.ovania stavu kybernetickej bezpe.nosti vo verejnej sprave,
- poskytovanim bezpe.nych a dostupnych elektronickych slu.ieb .tatu ka.demu ob.anovi s
umo.nenim plnohodnotneho rovneho vyu.itia elektronickych nastrojov.
3.5 Merate.ne ukazovatele (KPI)
ID
ID/Nazov cie.a
Nazov
ukazovate.a (KPI)
Popis
ukazovate.a
Mer
na
jedn
otka
AS
IS
mera
te.ne
hodn
oty
(aktu
alne)
TO
BE
Mera
te.ne
hodn
oty
(cie.o
ve
hodn
oty)
Sposob
ich
merania
P
o
z
n.
1.
RSO1.2 Vyu.ivanie prinosov
digitalizacie pre ob.anov, podniky,
vyskumne organizacie a organy
verejnej spravy
Po.et podporenych
obci - Menej rozvinuty
region (mimo BSK)
Zvy.enie bezpe.nostneho .tandardu v oblasti kybernetickej a informa.nej
bezpe.nosti pre obce do 6.000 obyvate.ov v podobe procesneho, technickeho,
hardveroveho vybavenia, aplikacii, SW - Menej rozvinuty region (mimo BSK) Po.
et
(ks)
0 990 Udaje
DEUS
/MS
projektu
...
2. RSO1.2 Vyu.ivanie prinosov
digitalizacie pre ob.anov, podniky,
vyskumne organizacie a organy
verejnej spravy
Po.et podporenych
obci - Menej rozvinuty
region (mimo BSK)
Zvy.enie bezpe.nostneho .tandardu v oblasti kybernetickej a informa.nej
bezpe.nosti pre obce do 6.000 obyvate.ov v podobe procesneho, technickeho,
hardveroveho vybavenia, aplikacii, SW - Menej rozvinuty region (mimo BSK) Po.
et
(ks)
0 10 Udaje
DEUS
/MS
projektu
...
3. RSO1.2 Vyu.ivanie prinosov
digitalizacie pre ob.anov, podniky,
vyskumne organizacie a organy
verejnej spravy
Po.et
implementovanych
centralnych HW rie.eni
pre zabezpe.enie KIB
Implementacia rie.enia centralnych HW komponentov kybernetickej a informa.nej
bezpe.nosti pre informa.ny system DCOM
Po.
et
(ks)
0 1 Udaje
DEUS
/MS
projektu
...
4. RSO1.2 Vyu.ivanie prinosov
digitalizacie pre ob.anov, podniky,
vyskumne organizacie a organy
verejnej spravy
Po.et
implementovanych
centralnych EDR
systemov
Implementacia softveroveho rie.enia vratane doh.adu pre oblas. endpoint
detection and response vratane in.talacie na koncove zariadenia spravovane
DEUSom Po.
et
(ks)
0 1 Udaje
DEUS
/MS
projektu
5. RSO1.2 Vyu.ivanie prinosov
digitalizacie pre ob.anov, podniky,
vyskumne organizacie a organy
verejnej spravy
Verejne in.titucie
podporovane v rozvoji
kybernetickych slu.ieb,
produktov a procesov
(viac rozvinute)
Po.et verejnych in.titucii, ktore su podporovane za u.elom rozvoja
a modernizacie kybernetickych slu.ieb, produktov, procesov a zvy.ovania
vedomostnej urovne napriklad v kontexte opatreni smerujucich k elektronickej
bezpe.nosti verejnej spravy. Medzi verejne in.titucie patria organy .tatnej spravy,
miestne organy verejnej spravy, organy na ni..ej ako celo.tatnej urovni alebo ine
typy subjektov verejnej spravy.
po.
et
0 10 Udaje
DEUS
/MS
projektu
6. RSO1.2 Vyu.ivanie prinosov
digitalizacie pre ob.anov, podniky,
vyskumne organizacie a organy
verejnej spravy
Verejne in.titucie
podporovane v rozvoji
kybernetickych slu.ieb,
produktov a procesov
(viac rozvinute)
Po.et verejnych in.titucii, ktore su podporovane za u.elom rozvoja
a modernizacie kybernetickych slu.ieb, produktov, procesov a zvy.ovania
vedomostnej urovne napriklad v kontexte opatreni smerujucich k elektronickej
bezpe.nosti verejnej spravy. Medzi verejne in.titucie patria organy .tatnej spravy,
miestne organy verejnej spravy, organy na ni..ej ako celo.tatnej urovni alebo ine
typy subjektov verejnej spravy.
po.
et
0 990 Udaje
DEUS
/MS
projektu
3.6 .pecifikacia potrieb koncoveho pou.ivate.a
Predmetom projektu nie je vyvoj alebo rozvoj ISVS/elektronickych slu.ieb, ktore maju graficke alebo ine pou.ivate.ske rozhranie a su ur.ene pre ob.anov
/podnikate.ov, .alej koncovych pou.ivate.ov. Pre koncoveho pou.ivate.a je nevyhnutne zabezpe.i. bezpe.ne a dostupne rie.enie eSlu.ieb MUS. Projekt
zabezpe.uje implementaciu technickej/bezpe.nostnej infra.truktury bez dopadu na biznisovu a aplika.nu .as. systemu, preto .iadne nove potreby
koncoveho pou.ivate.a nedefinuje.
3.7 Rizika a zavislosti
ID NAZOV RIZIKA a ZAVISLOSTI
POPIS / NASLEDOK
1 Nebude mo.ne naplni. v.etky kvalitativne
po.iadavky projektu.
Nebudu plne dosiahnute o.akavane benefity projektu.
2 Jednotlive komponenty projektu nebudu
vykazova. znamky 100% kompatibility.
Vzh.adom na vytvorenie ekosystemu je dole.ite, aby jednotlive prvky boli schopne komunikova.
vzajomne a mali rovnake vychodiskove po.iadavky na obojsmernu programovu komunikaciu.
3 Nedostupnos. komponentov novej
infra.truktury
Nedostupnos. komponentov novej infra.truktury, pripadne ich ve.mi dlhe dodacie lehoty mo.u ma.
negativny vplyv na termin ukon.enia projektu.
4 Projekt nebude realizovany a nasadeny
pod.a planu.
V pripade ome.kania dodavok projektu resp. v pripade ome.kania nasadenia vystupov projektu,
nebude mo.ne efektivne a v.as reagova. na bezpe.nostne incidenty.
5 Nepridelene finan.ne prostriedky Pred.asne ukon.enie projektu, pred..enie doby realizacie projektu.
6 Komplikacie s verejnym obstaravanim V pripade neskoreho vypisania VO, pripadne komplikacii v procese VO by bol ohrozeny za.iatok
implementa.nej fazy.
7 Neuplne po.iadavky Neuplne po.iadavky mo.u sposobi. pred..enie trvania projektu, navy.enie nakladov, z dovodu potreby
dodato.neho obstaravania komponentov.
8 Vysoke naklady na prevadzku Naklady na prevadzku budu vy..ie ako planovane. Prekro.enie planovanych nakladov na prevadzku.
Potreba dodato.nych finan.nych zdrojov.
9 Ohrozenie prevadzky a dostupnosti
systemu
Ohrozenie prevadzky a dostupnosti systemu z dovodu mo.nych kybernetickych utokov.
10 Nedostato.ne vyhodnotenie kvality Neodhalenie slabych miest v jednotlivych fazach implementacie projektu.
11 Nesu.innos. a nespo.ahlivos. dodavate.a Pred.asne ukon.enie projektu, alebo pred..enie doby realizacie projektu.
12 Nedostatok .udskych zdrojov Pred..enie doby realizacie projektu. Vystupy projektu budu dodane v nedostato.nej kvalite.
1.
1.
1.
Zoznam rizik a zavislosti tvori Prilohu .. 1 tohto dokumentu.
3.8 Stanovenie alternativ v biznisovej vrstve architektury
Nako.ko sa jedna o projekt, v ramci ktoreho nedochadza k budovaniu ani rozvoju ISVS, alternativy neboli stanovene g.tandardneh pod.a biznisovej vrstvy
architektury ale porovnavali sme 3 variantne alternativy rie.enia su.asneho stavu. Na zaklade identifikovaneho rozsahu problemu v projektovom zamere
boli stanovene tri rozne rie.enia. Ako najefektivnej.ia bola vybrana Alternativa .. 2 taka, kt. pokryva procesy a po.iadavky v.etkych stakeholderov
komplexne.
Zachovanie su.asneho stavu bez realizacie projektu - stav zostane nezmeneny (v kritickom re.ime), kedy pripadny kyberneticky/bezpe.nostny
incidentu mo.e vies. k nedostupnosti .asti alebo celeho rie.enia.
Realizacia Kyberneticka bezpe.nos. pre samospravy SR do 6000 obyvate.ov realizovana prostrednictvom spravcu informa.neho systemu DCOM
. realizaciou projektu sa zabezpe.i zvy.enie urovne kybernetickej a informa.nej bezpe.nosti IS DCOM a obci do 6000 obyvate.ov, zarove. sa
zvy.i spo.ahlivos. systemu a zabezpe.i podpora jednotlivych komponentov, prostrednictvom zabezpe.enia efektivneho obstarania, in.talacie a
.al.ej prevadzky zo strany DEUS, ktory v zmysle ˜ 9a odsek 1 zakona .. 305/2013 Z.z. o elektronickej podobe vykonu posobnosti organov
verejnej moci (eGovernmente) vykonava .innosti spravcu a prevadzkovate.a IS DCOM.
Kyberneticka bezpe.nos. realizovana obcami samostatne - alternativa predstavuje zabezpe.enia kybernetickej bezpe.nosti zo strany samotnych
obci. Samotne zabezpe.enie suladu s legislativnymi po.iadavkami KB kategorie I. pod.a zakona .. 69/2018 Z.z. naprie. v.etkymi pou.ivanymi
informa.nymi systemami a internymi procesmi by bolo vylu.ne na pleciach prislu.nej obce bez centralnej podpory. Zarove. zvy.enie urovne KIB
IS DCOM by bolo taktie. realizovane len .iasto.ne.
3.9 Multikriterialna analyza
Vyber alternativ prebieha prostrednictvom MCA zostavenej na zaklade kapitoly Motivacia, ktora obsahuje ciele stakeholderov, ich po.iadavky a
obmedzenia pre dosiahnutie uvedenych cie.ov.
Niektore (nie v.etky) kriteria mo.u by. ozna.ene ako KO kriteria. KO kriteria ozna.uju biznis po.iadavky na rie.enie, ktore su z h.adiska rozsahu
identifikovaneho problemu a motivacie nevyhnutne pre rie.enie problemu a v.etky akceptovate.ne alternativy ich tak musia naplni.. Alternativy, ktore
nesplnia v.etky KO kriteria, mo.u by. vylu.ene z .al.ieho posudzovania. KO kriteria nesmu by. technologicke (preferova. jednu formu technologickej
implementacie vo.i druhej).
KRITERIUM ZDOVODNENIE KRIERIA V
er
ej
n
o
s.
O
B
C
E/
Z
M
OS
D
E
US
M
F
SR
M
I
R
RI
/
N
BU
STA
NOV
ENE
ALT
ERN
ATI
VY
Kriterium A
(KO)
Zabezpe.i.
infra.trukturu
ochrany dat
obce v datovom
centre
Integrovany informa.ny system DCOM predstavuje k.u.ovy prostriedok pre elektronicku komunikaciu medzi obcami a mestami a ich
obyvate.mi. Pre dosiahnutie optimalnej ochrany dat je nevyhnutne ma. dostato.ne robustnu a spo.ahlivu infra.trukturu. Bez bezpe.nostnej
infra.truktury by mohlo dojs. k nedostato.nej dostupnosti systemu, bezpe.nostnym incidentom, uniku dat alebo vypadkom, .o by zava.ne
ovplyvnilo mo.nos. ob.anov a inych subjektov vyu.iva. elektronicke slu.by a komunikova. s verejnymi organmi. Zabezpe.enim potrebnej
infra.truktury pre IS DCOM sa teda zais.uje neodlu.ite.ny zaklad pre bezpe.nu elektronicku komunikaciu v ramci samospravy.
X X
Kriterium B
(KO) Zni.enie
rizika
kybernetickych
utokov v ramci
samospravy.
Zabezpe.enie dostato.nych bezpe.nostnych opatreni a mechanizmov je nevyhnutne na minimalizovanie rizika kybernetickych utokov, ktore by
mohli ohrozi. nielen integritu udajov, ale aj doveru verejnosti v spravu a ochranu ich informacii. Implementacia potrebnych bezpe.nostnych
opatreni sa stava k.u.ovou su.as.ou posil.ovania odolnosti informa.nych systemov samospravy vo.i kybernetickym hrozbam.
X X X X X
Kriterium C
(KO)
Zabezpe.i.
sulad
s nariadenim
NIS2, resp.
zakonom .. 69
/2018 Z.z.
Citlive udaje ob.anov a subjektov verejnej spravy vy.aduju osobitnu ochranu, aby sa predi.lo neopravnenemu pristupu, manipulacii alebo
uniku udajov. Implementacia prislu.nych bezpe.nostnych opatreni a postupov je preto nevyhnutna na zabezpe.enie integrity a dovernosti
udajov a na splnenie .tandardov ochrany osobnych udajov.
X X X X X
Kriterium D
(KO) Efektivne
vynakladanie
zdrojov
Efektivne hospodarenie so zdrojmi je k.u.ove pre ka.du organizaciu, vratane samospravy. Investicie do informa.nych technologii a
bezpe.nostnych opatreni by mali by. usmer.ovane tak, aby prina.ali maximalny prinos pri su.asnom minimalizovani nakladov. Efektivnym
vynakladanim finan.nych prostriedkov na implementaciu infra.truktury a bezpe.nostnych opatreni sa dosahuje optimalny pomer medzi
nakladmi a prinosmi.
X X X X X
Na zaklade stanovenych kriterii boli vyhodnotene stanovene alternativy. Sumar vyhodnotenia je uvedeny v nasledujucej tabu.ke:
Zozn
am
kriterii
Alter
nativ
A 1
Sposob
dosiahnutia
Alter
nati
va 2
Sposob
dosiahnutia
Alter
nativ
a 3
Sposob
dosiahnutia
Kriteri
um A
nie alternativa 1 je zachovanie
statusu quo bez realizacie
projektu
ano Implementaciou alternativy 2 sa zabezpe.i
infra.truktura pre spravne fungovanie IS DCOM v
ramci samospravy.
nie Implementaciou alternativy 3 sa nezabezpe.i
infra.truktura pre spravne fungovanie IS DCOM v
ramci samospravy.
Kriteri
um B
nie alternativa 1 je zachovanie
statusu quo bez realizacie
projektu
ano Realizaciou alternativy 2 sa zni.i riziko
kybernetickych utokov v ramci samospravy.
ano Realizaciou alternativy 3 sa zni.i riziko
kybernetickych utokov v ramci samospravy.
Kriteri
um C
nie alternativa 1 je zachovanie
statusu quo bez realizacie
projektu
ano Realizaciou alternativy 2 sa sa zabezpe.i naplnenie
v.etkych bezpe.nostnych po.iadaviek
nie Realizaciou alternativy 3 sa nezabezpe.i naplnenie
v.etkych bezpe.nostnych po.iadaviek.
Kriteri
um D
nie alternativa 1 je zachovanie
statusu quo bez realizacie
projektu
ano Realizaciou alternativy 2 sa zabezpe.i efektivne
vynakladanie zdrojov
nie Realizaciou alternativy 3 sa nezabezpe.i efektivne
vynakladanie zdrojov.
Na zaklade vyhodnotenia MCA analyzy vychadza Alternativa 2 ako jedina, ktora sp..a v.etky po.iadavky.
3.10 Stanovenie alternativ v aplika.nej vrstve architektury
Alternativy na zaklade aplika.nej vrstvy architektury neboli posudzovane nako.ko nedochadza k zmene na urovni aplika.nej vrstvy architektury.
3.11 Stanovenie alternativ v technologickej vrstve architektury
Vyber alternativy na urovni technologickej a bezpe.nostnej vrstvy architektury kopiruje vyber alternativy .. 2 na zaklade MCA. Naklady na udr.bu a
prevadzku projektu su uvedene v CBA analyze ako percentualny pomer z obstaravacej ceny diela.
4. PO.ADOVANE VYSTUPY (PRODUKT PROJEKTU)
Predmetom projektu nie je vyvoj softveroveho diela. Na dodr.anie .tandardov sa pou.ije M-04 Audit kvality zamerany na vystupy z inicia.nej, realiza.nej a
dokon.ovacej fazy projektu. Realizacia projektu bude pozostava. z uvedenych etap:
Analyza a dizajn
Nakup technickych prostriedkov, programovych prostriedkov a slu.ieb
Implementacia a testovanie,
DEUS bude pri implementacii postupova. v zmysle vyhla.ky 401/2023 Z.z.
4.1 Zabezpe.enie kybernetickej bezpe.nosti pre centralne prvky IS DCOM
1. HW vybavenie pre kyberneticku bezpe.nos.
Fyzicke servery pre potreby bezpe.nostneho monitoringu 4ks iba pre primarne DC pre prevadzkovanie virtualnych core FW, web aplika.nych FW
a ostatnych SW nastrojov pre zabezpe.enie kybernetickej bezpe.nosti uvedenych v kapitole 2 tohto dokumentu.
2. SW vybavenie pre kyberneticku bezpe.nos. pre datove centra
Core Firewally . 4 licencie
Web Applications Firewally 4 virtualne licencie
EDR - Endpoint Detection and Response
DNS firewall
PAM - system riadenia privilegovanych pristupov
NDR . Network Detection and Response
Antivirus pre centralne virtualne servery
Vulnerability management
Security Policy Automation
Automaticke penetra.ne testovanie - Nastroj na spu..anie automatickych penetra.nych testov nad centralnou infra.trukturou a nad koncovymi
zariadeniami
Nastroj na riadenie rizik spojenych s otvorenym zdrojovym kodom (OSS)
HW a SW vybavenie je bli..ie popisane v prilohe Projektoveho zameru . opise predmetu zakazky
3. Realizovany audit kybernetickej bezpe.nosti v sulade so zakonom o KB pre IS DCOM
4.2 Zabezpe.enie kybernetickej bezpe.nosti vykonom aktivit priamo na obciach
Vystupy projektu, ktore sa tykaju aktivit kybernetickej bezpe.nosti na obci do 6000 obyvate.ov:
a) Migracia do IS DCOM
Migracia SW suvisiacich s vnutornymi agendami obce/mesta (u.tovnictvo, mzdy a rozpo.ty, at..)
Migracia udajov suvisiacich so slu.bami samospravy poskytovanymi verejnosti
Asistencia pre obec/mesto po spusteni do produk.nej prevadzky
.kolenie novych pou.ivate.ov IS DCOM
Zabezpe.enie slu.ieb UPVS pre obce
In.talacia a konfiguracia backup systemu obce
b) Organizacia kybernetickej a informa.nej bezpe.nosti
Vypracovanie alebo aktualizacia bezpe.nostnej dokumentacie vratane rozsahu a sposobu plnenia v.eobecnych bezpe.nostnych opatreni;
vypracovanie a implementacia .pecifickych internych riadiacich aktov pre vybrane oblasti kybernetickej a informa.nej bezpe.nosti;
c) Riadenie rizik
Identifikacia v.etkych aktiv suvisiacich so zariadeniami na spracovanie informacii a centralne zaznamenavanie inventaru tychto aktiv pod.a ich
hodnoty vratane ur.enia ich vlastnika, ktory definuje po.iadavky na ich dovernos., dostupnos. a integritu;
riadenie rizik pozostavajuce z identifikacie zranite.nosti, identifikacie hrozieb, identifikacie a analyzy rizik s oh.adom na aktivum, ur.enie vlastnika
rizika, implementacie organiza.nych a technickych bezpe.nostnych opatreni, analyzy funk.neho dopadu a pravidelneho preskumavania
identifikovanych rizik v zavislosti od aktualizacie prijatych bezpe.nostnych opatreni;
vypracovanie a implementacia interneho riadiaceho aktu riadenia rizik kybernetickej a informa.nej bezpe.nosti.
d) Personalna bezpe.nos.
Vypracovanie postupov pri zaradeni osoby do niektorych z bezpe.nostnych roli, zavedenie planu rozvoja bezpe.nostneho povedomia a
vzdelavania, vypracovanie sposobov hodnotenia u.innosti planu rozvoja bezpe.nostneho povedomia, ur.enie pravidiel a postupov na rie.enie
pripadov poru.enia bezpe.nostnej politiky, zavedenie postupov pri skon.eni pracovnopravneho vz.ahu alebo ineho obdobneho vz.ahu,
zavedenie postupov pri poru.eni bezpe.nostnych politik;
vypracovanie alebo aktualizacia interneho riadiaceho aktu s bezpe.nostnymi zasadami pre koncovych pou.ivate.ov;
vypracovanie a implementacia postupov a procesov upravujucich personalnu bezpe.nos. organizacie prostrednictvom interneho riadiaceho aktu.
e) Riadenie pristupov
Vypracovanie a implementacia zasad riadenia pristupov osob k sieti a informa.nemu systemu;
vypracovanie a implementacia postupov a procesov upravujucich riadenie pristupov organizacie.
f) Riadenie kybernetickej a informa.nej bezpe.nosti vo vz.ahoch s tretimi stranami
Vypracovanie analyzy rizik tretich stran a celeho dodavate.skeho re.azca, vratane analyzy politickych rizik;
analyza a posudenie suladu v.etkych aktualnych zmluv s tretimi stranami so zakonom o KB a dobrou praxou;
vypracovanie navrhov dodatkov zmluv s tre.ou stranou spolu s navrhom potrebnych uprav na zabezpe.enie suladu so zakonom KB;
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho zasady kybernetickej a informa.nej bezpe.nosti vo vz.ahoch s tretimi
stranami.
g) Bezpe.nos. pri prevadzke informa.nych systemov a sieti
obstaranie slu.ieb pre potreby spravy prevadzkovej zalohy, kopie archiva.nej zalohy a kopie in.tala.nych medii, vratane ur.enia sposobu ich
ukladania
h) Hodnotenie zranite.nosti a bezpe.nostne aktualizacie
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho proces riadenia implementacie bezpe.nostnych aktualizacii a zaplat;
i) Ochrana proti .kodlivemu kodu
Vypracovanie interneho riadiaceho aktu s po.iadavkami na ur.enie zodpovednosti pou.ivate.ov, pravidiel pre in.talaciu a monitorovania
potencialnych ciest prieniku .kodliveho kodu;
vypracovanie a implementacia pravidiel suvisiace s ochranou proti .kodlivemu kodu;
j) Sie.ova a komunika.na bezpe.nos.
Implementacia nastrojov na ochranu integrity sieti, ktore zabezpe.uju riadenie bezpe.neho pristupu medzi vonkaj.imi a vnutornymi sie.ami,
implementacia segmentacie sieti, implementacia alebo obnova firewall-u, revizia firewall pravidiel;
vytvorenie alebo aktualizacia dokumentacie po.ita.ovej siete, ktora obsahuje evidenciu v.etkych miest prepojenia sieti vratane prepojeni s
externymi sie.ami, topologiu siete a vyu.itie IP rozsahov;
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho pravidla sie.ovej a komunika.nej bezpe.nosti;
k) Rie.enie kybernetickych bezpe.nostnych incidentov
Vypracovanie .tandardov a postupov rie.enia kybernetickych bezpe.nostnych incidentov, vratane definovania zodpovednosti zamestnancov a
.al.ich povinnosti;
vypracovanie planov a sposobov rie.enia kybernetickych bezpe.nostnych incidentov.
l) Kontinuita prevadzky
Vypracovanie strategie a krizovych planov prevadzky na zaklade analyzy vplyvov kybernetickeho bezpe.nostneho incidentu na zakladnu slu.bu;
vypracovanie interneho riadiaceho aktu obsahujuceho a upravujuceho kontinuitu prevadzky nasledkom kybernetickeho bezpe.nostneho incidentu
alebo inej krizovej situacie;
implementacia systemu zalohovania.
m) Samohodnotenie suladu opatreni obce s po.iadavkami kybernetickej bezpe.nosti
Podpora pre obce pri vypracovani prveho samohodnotenia obce
5. NAH.AD ARCHITEKTURY
Biznis architektura
Z poh.adu biznis procesov uzemna samosprava realizuje vykon vybranych procesov .tatnej spravy (tzv. preneseny vykon .tatnej spravy) a zodpoveda za
metodicke riadenie a vykon procesov samospravy (tzv. originalne kompetencie). .alej z h.adiska originalnych kompetencii, obec pri vykone samospravy
najma:
vykonava ukony suvisiace s riadnym hospodarenim s hnute.nym a nehnute.nym majetkom obce a s majetkom vo vlastnictve .tatu prenechanym
obci do u.ivania,
zostavuje a schva.uje rozpo.et obce a zavere.ny u.et obce; vyhlasuje dobrovo.nu zbierku,
rozhoduje vo veciach miestnych dani a miestnych poplatkov a vykonava ich spravu,
usmer.uje ekonomicku .innos. v obci, a ak tak ustanovuje osobitny predpis, vydava suhlas, zavazne stanovisko, stanovisko alebo vyjadrenie k
podnikate.skej a inej .innosti pravnickych osob a fyzickych osob a k umiestneniu prevadzky na uzemi obce, vydava zavazne stanoviska k
investi.nej .innosti v obci,
utvara u.inny system kontroly a vytvara vhodne organiza.ne, finan.ne, personalne a materialne podmienky na jeho nezavisly vykon,
zabezpe.uje vystavbu a udr.bu a vykonava spravu miestnych komunikacii, verejnych priestranstiev, obecneho cintorina, kulturnych, .portovych a
.al.ich obecnych zariadeni, kulturnych pamiatok, pamiatkovych uzemi a pamatihodnosti obce,
zabezpe.uje verejnoprospe.ne slu.by, najma nakladanie s komunalnym odpadom a drobnym stavebnym odpadom, udr.iavanie .istoty v obci,
spravu a udr.bu verejnej zelene a verejneho osvetlenia, zasobovanie vodou, odvadzanie odpadovych vod, nakladanie s odpadovymi vodami zo
.ump a miestnu verejnu dopravu,
utvara a chrani zdrave podmienky a zdravy sposob .ivota a prace obyvate.ov obce, chrani .ivotne prostredie, ako aj utvara podmienky na
zabezpe.ovanie zdravotnej starostlivosti, na vzdelavanie, kulturu, osvetovu .innos., zaujmovu umelecku .innos., telesnu kulturu a .port,
plni ulohy na useku ochrany spotrebite.a a utvara podmienky na zasobovanie obce; spravuje trhoviska,
obstarava a schva.uje uzemnoplanovaciu dokumentaciu obci a zon, koncepciu rozvoja jednotlivych oblasti .ivota obce,
obstarava a schva.uje programy rozvoja byvania a spoluposobi pri utvarani vhodnych podmienok na byvanie v obci,
vykonava vlastnu investi.nu .innos. a podnikate.sku .innos. v zaujme zabezpe.enia potrieb obyvate.ov obce a rozvoja obce,
zaklada, zria.uje, zru.uje a kontroluje pod.a osobitnych predpisov svoje rozpo.tove a prispevkove organizacie, ine pravnicke osoby a zariadenia,
organizuje miestne referendum o dole.itych otazkach .ivota a rozvoja obce,
zabezpe.uje verejny poriadok v obci,
zabezpe.uje ochranu kulturnych pamiatok v rozsahu pod.a osobitnych predpisov a dba o zachovanie prirodnych hodnot,
plni ulohy na useku socialnej pomoci v rozsahu pod.a osobitneho predpisu,
vykonava osved.ovanie listin a podpisov na listinach,
vedie obecnu kroniku v .tatnom jazyku, pripadne aj v jazyku narodnostnej men.iny.
IS DCOM umo..uje ob.anom komunikova. s obcou elektronicky, prostrednictvom tzv. elektronickej schranky. Verejnos. ma dispozicii elektronicke
komunika.ne rozhranie v podobe webovych stranok pre v.etkych 139 poskytovanych elektronickych slu.ieb. Ob.ania maju prostrednictvom weboveho
portalu DCOM pristup k elektronickych slu.bam, vratane sukromnej zony s informaciami o aktualnej a predchadzajucej komunikacii s obcou, .i mestom.
Zamestnanci uradov maju k dispozicii plne integrovane a navzajom prepojene rie.enia pre spracovanie agendy. Obce maju zarove. mo.nos.
prevadzkova. svoje webove stranky v prostredi datoveho centra (DCOM). Pracovnici obci, rovnako ako aj pracovnici technickej podpory maju pristup na
samostatny intranetovy portal.
Pou.ivate.ov systemu DCOM mo.no rozdeli. nasledovne:
Externi pou.ivatelia . anonymna alebo autentifikovana osoba, pristupujuca z externych verejnych sieti a vyu.ivajuca slu.by portalu dcom.sk.
Autentifikaciu externych pou.ivate.ov zabezpe.uje spolo.ny modul IAM UPVS.
Obyvatelia (fyzicke osoby)
Podnikatelia
Interni pou.ivatelia . autentifikovani pou.ivatelia pristupujuci z externych privatnych alebo verejnych sieti do back-office DCOM. Pou.ivate.ske u.ty,
opravnenia a autentifika.ne prostriedky internych pou.ivate.ov pre pristup k pou.ivate.skym rozhraniam DCOM su spravovane v IAM DCOM.
Reprezentant (uradnik) obce alebo mesta - autentifikovany zamestnanec obce alebo mesta, vyu.ivajuci slu.by IS DCOM
Pracovnik prevadzky - autentifikovany zamestnanec DEUS, dodavate.a DEUS, dodavate.a ISM, poskytujuci podporu prevadzky DCOM.
Schema biznis architektury je nasledovna
Z poh.adu biznis architektury nedojde implementaciou projektu k zmenam v porovnani AS IS a TO BE stavu.
Aplika.na architektura
Z poh.adu su.asnej architektury IS DCOM, tento poskytuje obciam a mestam potrebnu aplika.no-programovu podporu pri spracovani jednotlivych agend
samospravy. Informa.ny system DCOM zabezpe.uje tie. prepojenie informa.nych systemov samosprav s inymi Informa.nymi systemami verejnej spravy
(IS VS) a so zakladnymi registrami. V ramci obce zapojenej do IS DCOM, Informa.ny system obce (ISO) zabezpe.uje funkcie vnutornej spravy obce
minimalne v sulade s rozsahom zakladnych modulov ako su u.tovnictvo obce, finan.ny a rozpo.tovy system, banka a poklad.a, personalistika a mzdy,
registratura, sprava majetku obce a system pre zastupite.stvo, a IS DCOM zabezpe.uje agendu suvisiacu s obsluhou verejnosti. Tato .as. je prepojena na
UPVS a zabezpe.uje plnohodnotnu elektronicku komunikaciu. Prostrednictvom synchroniza.nej vrstvy datovej DCOM je rie.enie prepojene s registrami
verejnej spravy.
Architektura rie.enia DCOM vychadza z po.iadaviek efektivneho prevadzkovania systemov a aplikacii obci a miest, z po.iadaviek vy..ieho .tandardu
prevadzkovania aplikacii a z po.iadavky flexibilneho prisposobovania potrebam buducich aplikacii a modulom eGov. Rie.enie IS DCOM mo.no rozdeli. do
troch skupin . Front Office, Mid Office a Back Office. Informa.ny system obce je .as.ou Back Office.
Front Office . prezenta.na vrstva reprezentuje prezenta.nu vrstvu, ktora obsahuje interaktivne pou.ivate.ske rozhrania aplika.nych systemov pre
pou.ivate.ov IS DCOM. Front Office zabezpe.uje interakciu IS DCOM s externymi pou.ivate.mi, obsahuje interaktivne pou.ivate.ske rozhranie pre
ob.anov a podnikate.ov a je integrovany na UPVS. Prostrednictvom tejto vrstvy su spristupnene slu.by ob.anovi a referentovi obce v kompaktnej podobe.
Je komponovana s oh.adom na efektivitu jednotlivych konzumentov slu.ieb a prostrednictvom silnej personaliza.nej .rty, kladie doraz na rozdielny .tyl
prace jednotlivych roli (ob.an / pracovnik obce). Je adaptabilna pre pou.ivate.a a pod.a kontextu vybavovanej agendy sa prisposobuje a variuje od .tylu
prace v koncepte portalu, cez koncept vybavenia slu.by, a. po koncept prace v agendovom systeme.
Mid Office . procesno - integra.na vrstva. Vrstva Mid Office je reprezentovana procesno-integra.nou vrstvou, prostrednictvom ktorej sa realizuje
integra.ne a procesne riadenie. Komponenty BPM a Business Rules zastre.uju spravu procesov a dennej agendy. Integra.na platforma ESB zabezpe.uje
podpornu vrstvu pre integraciu systemov, orchestraciu slu.ieb a mana.ment slu.ieb pod.a principov SOA. Modul BAM zabezpe.uje sledovanie a
diagnostiku procesov, .o umo..uje naslednu optimalizaciu.
Back Office . Aplika.na vrstva, ktora zabezpe.uje interakciu s internymi pou.ivate.mi IS DCOM, uradnikmi obci. Back Office predstavuje aplika.nu vrstvu
tvorenu modulmi a komponentmi zabezpe.ujucimi vykon elektronickych slu.ieb samospravy prostrednictvom agendovych systemov a podpornych
systemov. Obsahuje vrstvu integracii na okolie IS DCOM, ako je napr. ISO, spravu konsolidovanej datovej vrstvy, spravu cloudovej vrstvy a hardverovej
vrstvy. Su.as.ou Back Office su Informa.ne systemy obci. Projekt DCOM poskytuje cloud platformu na prevadzku ISO modulov. Podporne moduly
zastre.uju procesy podpory a prevadzky IS DCOM. Podporne moduly su integrovane do rie.enia prostrednictvom integra.nej vrstvy formou
poskytovanych a konzumovanych slu.ieb.
Schema aplika.na architektura:
Z poh.adu aplika.nej architektury nedojde implementaciou projektu k zmenam v porovnani AS IS a TO BE stavu.
Technologicka architektura
Z poh.adu technologickej architektury IS DCOM, zakladom rie.enia je cloud infra.truktura zalo.ena na principoch ako su redundancia lokality,
redundancia funk.nosti, oddelenie sieti, obnovite.nos. funk.nosti, modularna infra.truktura a .tandardov pre datove centra a cloud infra.trukturu.
Infra.truktura pre prevadzku cloudu a aplikacii je vybudovana ako vysoko dostupna, prevadzkovana v dvoch nezavislych lokalitach a v pripade vypadku
primarnej lokality je poskytujuca aplikacie z druhej, zalo.nej lokality, bez zavislosti na dostupnosti komponentov a funkcii primarnej lokality. Cloud
platforma umo..uje poskytova. slu.by IaaS (infra.truktura ako slu.ba) pre prevadzku ISO balikov pre interne agendy obci. Pristup pou.ivate.ov
(pracovnikov obci a spravcov ISO) k slu.bam je .tandardny, je definovany sposob, akym su slu.by DCOM publikovane pre obce. Pracovnici obci
pristupuju predov.etkym z koncovych zariadeni (PC alebo notebooky) dodanych v ramci projektu DCOM alternativne cez privatnu komunika.nu sie.
budovanu DataCentrom v ramci projektu FINNET, alebo cez internet.
Koncove zariadenia obsahuju opera.ny system s potrebnym softverovym vybavenim konfigurovany, aktualizovany a spravovany centralnym systemom. Z
tychto pracovnych stanic DCOM je mo.ny aj alternativny pristup cez sie. internet prostrednictvom zabezpe.eneho komunika.neho kanalu. Tento stav sa
v priebehu projektu a udr.ate.nosti mo.e zmeni.. Nesmie tym v.ak utrpie. urove. bezpe.nosti samotneho IS DCOM. Z dlhodobeho poh.adu smeruje
architektura IS DCOM k rie.eniu, kde nebude potrebne vyu.iva. zabezpe.eny kanal formou VPN, ale bezpe.nos. bude rie.ena na urovni ako
infra.truktury tak aj aplikacie tak, aby bolo aplikaciu mo.ne pou.iva. ako uplne samostatnu SaaS slu.bu so svojimi vlastnymi bezpe.nostnymi rie.eniami.
Tymto postupom sa dlhodobo zru.i zavislo. na prevadzkovani HW DEUSom a implementuje sa pristup ginternetoveho bankovnictvag, teda dostupnosti
rie.enia z akehoko.vek po.ita.a pri zachovani po.adovanej bezpe.nosti.
Su.as.ou projektu je tie. doplnenie jednotlivych produktovych polo.iek pre potreby roz.irenia Bezpe.nostnej vrstvy. Polo.ky su vylistovane v zozname
uvedenom v dokumente BC/CBA na karte HW a licencie. Doplnenim jednotlivych polo.iek nedochadza k zmene architektury technologickej vrstvy.
Bezpe.nostna architektura
Navrh rie.enia bezpe.nostnej architektury reflektuje cie. projektu vytvori. prostredie na narodnej urovni v ktorom bude mo.ne .o najefektivnej.ie zvy.ova.
urove. kybernetickej bezpe.nosti pre samospravy SR a ob.anov SR vyu.ivajucich elektronicke slu.by samosprav. Predmetom projektu je implementacia
rie.enia ktore zabezpe.i dodr.anie minimalnej po.adovanej bezpe.nostnej urovne. Projekt kybernetickej bezpe.nosti pre samospravy do 6000 obyvate.ov
bude realizovany v dvoch .astiach:
I. Infra.truktura ochrany dat obce v datovom centre
IIa. Zvy.enie kybernetickej bezpe.nosti obci v su.asnosti nezapojenych do IS DCOM do 6000 obyvate.ov
IIb. Zvy.enie kybernetickej bezpe.nosti obci zapojenych do IS DCOM do 6000 obyvate.ov
I. Infra.truktura ochrany dat obce v datovom centre
Tato .as. projektu si dava za cie. poskytnu. maximalnu ochranu perimetru IS DCOM a zabezpe.i. tak maximalnu ochranu procesov a najma dat ob.anov
v.etkych obci, ktore v danom .ase vyu.ivaju kompletne rie.enie IS DCOM.
Navrh rie.enia:
Konzulta.ne prace pre podrobnu analyzu nutnych po.iadaviek na kyberneticku bezpe.nos. systemu DCOM, najma vzh.adom k po.iadavkam
vyplyvajucim z novej smernice EU NIS2
Nakup HW vybavenia pre zabezpe.enie nutnych po.iadaviek KB vyplyvajucich z analyzy
Nakup SW produktov pre zabezpe.enie nutnych po.iadaviek KB vyplyvajucich z analyzy
Implementa.ne prace spojene s realizaciou vy..ie uvedenych aktivit
Posilnenie interneho teamu bezpe.nostneho doh.adu pre zabezpe.enie udr.ate.nosti rie.enia a potrebne interne .kolenia
Vystupom .asti projektu zvy.enie bezpe.nosti IS DCOM bude dlhodobo udr.ate.ny a kyberneticky bezpe.ny informa.ny system DCOM.
Schema navrhovanej bezpe.nostnej architektury:
Popis jednotlivych blokov bezpe.nostnej architektury a po.iadaviek na jednotlive technologie, ktore budu obstarane:
HW
Iba 4ks vykonnych serverov, ktore sa zapoja do jedneho clustra, na ktorom do buducnosti budu be.a. v.etky bezpe.nostne SW rie.enia vratane
virtualnych core firewallov, web aplika.nych firewallov a v.etkych ostatnych SW aplikacii pre security. Tieto servery planujeme nakupi. iba do primarneho
DC. V ostatnych dvoch DC po.itame, .e security software nasadime na serveroch poskytnutych ako IaaS.
SW
Core Firewally . 4 licencie
Web Applications Firewally 4 virtualne licencie
Core aplika.ne FW a WAF planujeme nakupi. ako virtualne licencie pre primarne DC (Kop.ianska) a pre zalo.ne DC. To znamena, .e po.itame s jednym
HA parom pre primar aj pre backup, teda z ka.dej licencie po 4 kusy.
EDR - Endpoint Detection and Response
Rie.enie EDR (Endpoint Detection and Response) zabezpe.uje zber, korelaciu a analyzu udajov o udalostiach na endpointoch, vratane upozorneni a
reakcii na bezprostredne hrozby.
DNS firewall
DNS rekurzivny resolver s bezpe.nostnymi funkcionalitami, ktore zabezpe.uju ochranu DNS prekladu. DNS firewall zabezpe.uje ochranu vo.i cielenym
phishingovym utokom (targeted phishing), poskytuje slu.bu ochrany identit zamestnancov (identity protection) a alerting ich kompromitacie.
PAM - system riadenia privilegovanych pristupov
System riadenia privilegovanych pristupov a vytvarania nahravok a auditnej stopy. Rie.enie umo.ni automaticke pride.ovanie opravneni privilegovanych
pristupov ku kritickym systemom, a riadi .ivotny cyklus privilegovanych identity (vznik identity, priradenie prav, revizia prav a od.atie prav). Zarove.
rie.enie umo.ni riadi. a rotova. hesla k privilegovanym zdie.anym aj osobnym u.tom, aby sp..alo po.iadavky na komplexnos. a unikatnos.. Hesla si vie
u.ivate. vyzdvihnu. alebo sa vedia rie.enim priamo vlo.i. do relacie a u.ivate. ich nemusi zadava. zo svojej pracovnej stanice.
Rie.enie umo.ni pri citlivych relaciach alebo vyu.itia nad.tandardnych opravneni u.ivate.om schva.ovaci workflow emailom na zodpovednych
pracovnikov.
NDR . Network Detection and Response
Nastroj na analyzu sie.ovej prevadzky a bezpe.nostny monitoring v prostredi technologickej a klasickej siete, ktory okam.ite identifikuje bezpe.nostne
rizika. Jedna sa o system zlo.eny z HW/SW zariadeni, ktory monitoruje sie.ovu aktivitu v realnom .ase a identifikuje potencialne kyberneticke hrozby,
bezpe.nostne rizika a anomalne spravanie a vytvara o nich upozornenia v realnom .ase. NDR analyzuje sie. na zaklade zrkadlenej sie.ovej prevadzky zo
SPAN portov alebo TAPov a zarove. analyzuje obsah datovych paketov v realnom .ase a detekuje protokol alebo aplikaciu na zaklade obsahu prevadzky
prostrednictvom DPI (Deep Packet Inspection). NDR analyzuje sie. na zaklade spracovania .tatistickych protokolov typu NetFlow, IPFIX, NetStream,
Cisco NSEL a pripadne .al.ich. Network Detection and Response umo..uje spracovanie a ukladanie sie.ovych tokov vo formate, ktory umo..uje analyzu
sie.ovej komunikacie na urovni jednotlivych tokov, vratane vyh.adania informacii o aplika.nych transakciach a ich metadatach z L2 a. L7, obsiahnutych v
danom sie.ovom toku, zarove. umo..uje analyzu aplika.nych a systemovych logov. NDR bude zbiera. a analyzova. aplika.ne a systemove logy vo
formate syslog z monitorovanych zariadeni a identifikova. nebezpe.ne alebo potencialne .kodlive aktivity.
Antivirus pre centralne virtualne servery
V.etky centralne servery rie.enia IS DCOM budu zabezpe.ene antivirusovym programom, ktory zabezpe.i ochranu centralnych serverov IS DCOM
v rozsahu:
Ochrana pred ransomverom
Centralna sprava v.etkych chranenych serverov
Prevencia Zero-day hrozieb
Pokro.ila kontrola pamate
Sandboxing podozrivych vzoriek
Ochrana pred botnetmi
Ochrana pred malverom
Vulnerability management
Jedna sa o nastroj na automaticke spu..anie skenovania zranite.nosti a ziskavanie udajov. Rie.enie bude vykonava. automatizovane testovanie
zranite.nosti zariadeni a umo..ova. testovanie dynamicky pridelenych IP adries prostrednictvom slu.by DHCP. Taktie. bude monitorova. historiu tychto
adries a podava. spravy pomocou DNS alebo Host name. Konzola pre centralnu spravu a skener bude kompatibilna s opera.nymi systemami Windows a
Linux. Rie.enie bude podporova. hybridne nasadenie v roznych prostrediach, ako su fyzicke, virtualizovane a cloudove prostredia. Vulnerability
management bude umo..ova. automaticku aktualizaciu tagov v databaze aktiv na zaklade dynamickych ozna.eni. Taktie. bude podporova. automaticke
aktualizacie v.etkych softverovych komponentov celej architektury s najnov.imi dostupnymi verziami po.as celeho obdobia predplatneho. Rie.enie bude
umo..ova. centralizovanu spravu v.etkych najdenych aktivnych systemov a ich atributov, vratane verzii opera.neho systemu, aplikacii, otvorenych portov
TCP a UDP a sie.ovych protokolov. taktie. bude zah..a. definovanie statickych a dynamickych hierarchickych tagov na filtrovanie aktiv, testovanie a
vykazovanie vysledkov.
Su.as.ou vulnerability managementu bude podpora automatickeho zis.ovania aktiv s minimalnymi parametrami, ako su IP adresy, MAC adresy a nazvy
hostite.ov, aby sa predi.lo duplicite a zarove. bude podporova. centralnu spravu v geograficky rozptylenom nasadeni skenerov a podporova. pristup
zalo.eny na roznych rolach, vratane vlastnych roli. Rie.enie bude podporova. automatizaciu pracovnych postupov, ako je planovanie skenovania,
upozornenia na udalosti a zranite.nosti, ako aj generovanie a distribucia sprav. Planovane skenovanie bude podporova. opakovane skenovanie v ur.itych
.asovych intervaloch.
Su.as.ou rie.enia je podpora neinvazivnej aj invazivnej kontroly a umo.nenie pou.ivate.om upravi. vykon skenovania a vykonavanych kontrol.
Administrativne poverenia budu moc. by. pou.ite na h.bkove autentifikovane skenovanie, ktore kontroluje aktiva na .ir.i rozsah zranite.nosti alebo
poru.eni bezpe.nostnych politik.
1.
2.
3.
Rie.enie bude ozna.ova. nebezpe.ne kontroly a umo.ni pou.ivate.om ich vypnu. na zaklade jednotlivych skenov. Bude podporova. overene skenovanie
a integrova. sa so SIEM rie.enim a platformami na penetra.ne testovanie. Rie.enia bude zabezpe.ova. identifikaciu a spravu vynimiek zo zranite.nosti a
podporova. vytvaranie pou.ivate.om definovanych zranite.nosti a kontrol zranite.nosti. Rie.enie umo.ni pou.ivate.om definova. kritickos. aktiv, ktore sa
musi zoh.adni. v hodnoteni rizik, a poskytne viacero modelov hodnotenia rizik vratane vlastnych modelov.
Vulnerability management bude podporova. integraciu s produktmi na analyzu topologie siete a rizik, virtualnymi prostrediami a umo.ni stanovi. ciele
napravnych opatreni na zaklade roznych kriterii.
Security Policy Automation
Security Policy Automation je inovativne rie.enie navrhnute na centralizovanu a modernu spravu bezpe.nostnych politik na roznych sie.ovych
zariadeniach, vratane firewall systemov. Toto rie.enie poskytuje minimalne po.iadavky, ktore zah..aju dynamicke mapovanie topologie siete v realnom
.ase, segmentaciu politik, optimalizaciu a .istenie politik, monitorovanie a upozornenia v realnom .ase, rie.enie problemov s pripojenim a auditovanie
suladu s predpismi. Navy.e, rie.enie umo..uje automatizovanu spravu komplexnych infra.truktur, integraciu s roznymi systemami tretich stran a
poskytuje samoobslu.ny portal pre pou.ivate.ov. Security Policy Automation je efektivny nastroj pre spravu a zlep.enie kybernetickej bezpe.nosti v
komplexnych sie.ovych prostrediach.
Automaticke penetra.ne testovanie
Nastroj na spu..anie automatickych penetra.nych testov nad centralnou infra.trukturou a nad koncovymi zariadeniami. System vie automaticky alebo
manualne vybera. vhodne exploity a nastavenia pre objavene hostite.ske po.ita.e. System organizuje udaje pomocou back-endovej databazy a
automaticky sleduje hostite.ov, dokazy a informacie o tom, ako boli hostitelia kompromitovani. System poskytuje rychly a intuitivny sposob automatizacie
skupin uloh prostrednictvom funkcie nazyvanej re.azenie uloh. Umo..uje pou.ivate.om automatizova. alebo planova. ulohy, ako je napriklad exploitacia,
bruteforcing. System bude umo..ova. pou.ivate.om testova. 20000 po.ita.ov su.asne a vytvori. viac ako 500 relacii naraz. .al.ie po.iadavky na system
automatickeho penetra.neho testovania:
Nastroj na riadenie rizik spojenych s otvorenym zdrojovym kodom (OSS)
Nastroj na efektivne riadenie rizik spojenych s pou.ivanim otvoreneho zdrojoveho softveru, zabezpe.enie suladu s licen.nymi po.iadavkami a zlep.enie
celkovej bezpe.nosti svojich softverovych produktov. Jedna sa o nastroj na spravu softverovych komponentov automaticky skenuje kod a identifikuje
otvorene zdrojove komponenty, ich verzie a ich zavislosti.
OSS identifikuje zname bezpe.nostne zranite.nosti v skenovanych otvorenych zdrojovych komponentoch. Umo..uje tymto sposobom timom rychlo
reagova. na potencialne hrozby. Nastroj identifikuje licencie spojene s otvorenym zdrojovym kodom a pomaha organizaciam zabezpe.i., aby boli v sulade
s licen.nymi po.iadavkami zarove. umo..uje organizaciam vytvara. a uplat.ova. politiky tykajuce sa otvoreneho zdrojoveho kodu a automaticky
generova. upozornenia, ke. su tieto politiky poru.ene. Okrem povrchovej analyzy mo.e nastroj na spravu softverovych komponentov vykona. h.bkove
skenovanie kodu na zistenie skrytych zavislosti.
Nastroj na spravu softverovych komponentov sa mo.e integrova. do existujucich procesov kontinualnej integracie a kontinualneho dodavania, umo..ujuc
automaticke skenovanie po.as vyvoja a zarove. ponuka integraciu s mnohymi .al.imi nastrojmi a platformami, vratane nastrojov na spravu zranite.nosti,
repozitarov kodu a platformami DevOps.
Nastroj na spravu softverovych komponentov umo..uje organizaciam sledova. a spravova. rizika spojene s otvorenym zdrojovym kodom prostrednictvom
vizualnych dashboardov.
II. Realizacia aktivit kybernetickej bezpe.nosti na obci do 6000 obyvate.ov
Zadefinovanie 3 zakladnych segmentov obci vzh.adom k ich .pecifikam s oh.adom na rozne IS, ktore su na obciach vyu.ivane:
Segment: DCOM obce vyu.ivajuce slu.by registratury a u.tovnictva firiem plne integrovanych s IS DCOM a prevadzkovanych na infra.trukture
DCOM (najhlb.ia integracia);
Segment: DCOM obce vyu.ivajuce slu.by registratury a u.tovnictva partnerov, ktori prevadzkuju vlastne IS lokalne, ale su certifikovani na
prepojenie s IS DCOM;
Segment: DCOM obce bez certifikovanych partnerov, alebo bez identifikovanych prevadzkovate.ov (typicky segment najmen.ich obci, data su
ukladane v roznych nastrojoch).
1.
2.
Pre samospravu z poh.adu pripravovanej novely zakona o KB bude plati. delenie na obce a mesta.
KB obce : Vz.ahuju sa na .u minimalne bezpe.nostne opatrenia Kategorie I. pod.a zakona .. 69/2018 Z.z. a obec je povinna absolvova.
sebahodnotenie.
KB mesta: Vz.ahuju sa na neho minimalne bezpe.nostne opatrenia Kategorie I. a je povinne absolvova. audit KB. (predmetom projektu nie je
audit KB)
V ramci tejto .asti budu realizovane nasledovne aktivity kybernetickej bezpe.nosti na obci do 6000 obyvate.ov:
Odladenie procesu implementacie aktivit na jednotlivych typoch obci s cie.om potvrdenia ich u.ito.nosti a vyu.itia na obciach,
Automatizacia procesov, a vykon uloh tak, aby sa do projektu mohlo zapoji. maximum obci so zaujmom zabezpe.enia vlastnej KB a suladu so
zakonom o KB,
Konzulta.ne prace na jednotlivych typoch obci, pre zadefinovanie optimalnej sady opatreni KB pre ka.dy jednotlivy typ obce,
Vypracovanie .tandardov pre rollout v spolupraci s MIRRI, pre vyu.itie existujucich podkladov, materialov a vzorovej dokumentacie,
Rollout na jednotlive DCOM obce . kontrola procesov, aktualizacia dokumentacie, priprava na certifikaciu KB,
5.1 Preh.ad e-Government komponentov
5.1.1 Preh.ad koncovych slu.ieb . buduci stav:
Vzh.adom na charakter a rozsah projektu nebudu vysledkom projektu nove po.iadavky na koncove slu.by.
5.1.2 Preh.ad budovanych/rozvijanych ISVS v projekte . buduci stav:
Vzh.adom na charakter a rozsah projektu nebudu budovane ani rozvijane informa.ne systemy ako take. Budu nepriamo rozvijane implementaciou
licen.nych rie.eni s pozitivnym dopadom na urove. kybernetickej bezpe.nosti a prevadzku systemov poskytovate.a zakladnej slu.by.
5.1.3 Preh.ad budovanych aplika.nych slu.ieb . buduci stav:
Vzh.adom na charakter a rozsah projektu nebudu budovane aplika.ne slu.by ako take. Po.as realizacie projektu bude dop..ana hardverova infra.truktura
poskytovate.a zakladnej slu.by ako aj doplnene licen.ne proprietarne softvery s pozitivnym dopadom na urove. kybernetickej bezpe.nosti a prevadzku
systemov poskytovate.a zakladnej slu.by.
5.1.4 Preh.ad integracii ISVS na spolo.ne ISVS[1] a ISVS inych OVM alebo IS tretich stran
Vzh.adom na charakter a rozsah projektu nebudu vysledkom projektu nove po.iadavky na integracie na spolo.ne ISVS .i ISVS inych OVM a tretich stran.
5.1.5 Aplika.ne slu.by na integraciu
Vzh.adom na charakter a rozsah projektu nebudu vysledkom projektu nove po.iadavky na budovane aplika.ne slu.by a ich vyu.itie na integraciu na
spolo.ne moduly a ine ISVS alebo ich poskytovanie na externu integraciu ani nie je planovane vybudovanie cloudovych slu.ieb gsoftver ako slu.bag
(SaaS).
5.1.6 Poskytovanie udajov z ISVS do IS CSRU
Vzh.adom na charakter a rozsah projektu nebudu vysledkom projektu nove po.iadavky na poskytovanie udajov do CSRU.
5.1.7 Konzumovanie udajov z IS CSRU
Vzh.adom na charakter a rozsah projektu nebudu vysledkom projektu nove po.iadavky na konzumovanie udajov z CSRU.
5.1.8 Preh.ad planovaneho vyu.ivania infra.trukturnych slu.ieb (cloudovych slu.ieb) . buduci stav:
Vzh.adom na charakter a rozsah projektu nebudu vysledkom projektu nove po.iadavky na vyu.ivanie kapacit ktorejko.vek .asti vladneho cloudu.
6. LEGISLATIVA
Projekt nema .iadny legislativny dopad. Nove rie.enie musi by. v sulade s platnou legislativou a to najma:
Zakon .. 95/2019 Z.z. o informa.nych technologiach vo verejnej sprave Zakon .. 69/2018 Z.z. o kybernetickej bezpe.nosti
Zakon .. 45/2011 Z.z. o kritickej infra.trukture
Zakon .. 215/2004 Z. z. o ochrane utajovanych skuto.nosti a o zmene a doplneni niektorych zakonov v zneni neskor.ich predpisov,
Zakon .. 272/2016 Z. z. o doveryhodnych slu.bach pre elektronicke transakcie na vnutornom trhu a o zmene a doplneni niektorych zakonov
(zakon o doveryhodnych slu.bach),
Zakon .. 69/2018 Z. z. o kybernetickej bezpe.nosti a o zmene a doplneni niektorych zakonov
Vyhla.ka NBU .. 492/2022 Z. z. ktorou sa ustanovuju znalostne .tandardy v oblasti kybernetickej bezpe.nosti
Vyhla.ka Uradu podpredsedu vlady Slovenskej republiky pre investicie a informatizaciu .. 78/2020 Z. z. o .tandardoch pre informa.ne
technologie verejnej spravy
Vyhla.ka Uradu podpredsedu vlady Slovenskej republiky pre investicie a informatizaciu .. 179/2020 Z. z., ktorou sa ustanovuje sposob
kategorizacie a obsah bezpe.nostnych opatreni informa.nych technologii verejnej spravy
Vyhla.ka Uradu na ochranu osobnych udajov Slovenskej republiky .. 158/2018 Z. z. o postupe pri posudzovani vplyvu na ochranu osobnych
udajov
Nariadenie Europskeho parlamentu a Rady (EU) 2016/679 z 27. aprila 2016 o ochrane fyzickych osob pri spracuvani osobnych udajov a o
vo.nom pohybe takychto udajov, ktorym sa zru.uje smernica 95/46/ES (v.eobecne nariadenie o ochrane udajov)
Zakon .. 18/2018 Z. z. o ochrane osobnych udajov a o zmene a doplneni niektorych zakonov.
7. ROZPO.ET A PRINOSY
NAKLADY
Sumarizacia nakladov:
Sumarizacia nakladov a prinosov rie.enia za obdobie 10 rokov:
Interpretacia vysledkov:
Ekonomicka a finan.na efektivnos. projektu je v analyze prinosov nakladov hodnotena kvantitativne pomocou nasledujucich ukazovate.ov:
Pomer prinosov a nakladov (BCR): 4,03
Celkove naklady na rie.enie boli vypo.itane prostrednictvom UCP analyzy a zarove. PHZ oslovenim dodavate.ov. Vypo.itane naklady projektu cez UCP
analyzu a vy.ku rozpo.tu mo.eme rozdeli. nasledovne:
Rozpo.et projektu celkom
Externe slu.by 6 952 182,00 .
HW a licencie 5 122 944,40 .
Interne mzdove naklady 1 264 155,36 .
907 - Pau.alna sadzba na nepriame vydavky pod.a .lanku 54 pism. a) NSU 933 749,72 .
Projekt Celkom 14 273 031,48
.
Polo.ka Externe slu.by sa v zmysle CBA delia nasledovne
Implementa.ne prace pre centralnu infra.trukturu 951 268,42 .
Implementa.ne prace priamo na obciach 6 000 913,58 .
Pri vypo.te implementa.nych prac mo.eme po.ita. s tym, .e jednotkovy naklad na implementaciu kybernetickej bezpe.nosti je pre obec u. zapojenu v IS
DCOM 2781,6 EUR a pre obec, ktora po.as projektu iba vstupi do IS DCOM 5581,9. Tieto .isla vychadzaju z predbe.nych analyz celkovej nakladovosti
projektu a po.tu pripojenych obci.
V pripade, .e nebude realizovany plny po.et obci (1805) na ktore je stanoveny rozpo.et, bude linearne poni.eny rozpo.et projektu o nasobok men.ieho
po.tu pripojenych obci. To znamena, .e naklady na implementa.ne prace na obciach sa spravaju ako .isty variabilny naklad.
PRINOSY:
KVANTITATIVNE PRINOSY:
Kvantifikovanie prinosov v oblasti kybernetickej bezpe.nosti a informa.nych technologii mo.e by. zlo.ite, nako.ko tieto prinosy sa .asto prejavuju v
zavislosti od mnohych faktorov. V projekte boli kvantifikovane dve hlavne skupiny prinosov.
A. DCOM . zamedzenie vypadku elektronickych slu.ieb IS DCOM
B. Obec . Neobstaranie pripravy riadiacej dokumentacie obcou ale centralne DEUSom
A. DCOM . zamedzenie vypadku elektronickych slu.ieb IS DCOM
1.) Zni.enie % vypadku slu.ieb IS DCOM a s tym suvisiaceho .prestojag zamestnancov samospravy
% zni.enia vypadkov infra.truktury z dovodu vymeny a doplnenie niektorych k.u.ovych bezpe.nostnych komponentov infra.truktury.
Prinos sme vypo.itali ako rozdiel medzi nedostupnos.ou infra.truktury v AS-IS a TO-BE stave.
2.) Zamedzenie bezpe.nostneho incidentu
Pravdepodobnos. DDoS pod.a .tatistik nasadeneho vulnerability mana.ementu je na urovni 80% per rok. Prinos je vypo.itany ako rozdiel
pravdepodobnosti dopadov DDoS utoku *po.et pou.ivate.ov pou.ivajucich IS *%alokacia zamestnanca *priemerna d..ka trvania vypadku pri DDoS v hod.
* priemerna superhruba hodinova mzda. Model predpoklada s postupnym zavadzanim opatreni (HW a SW) do prevadzky. Pravdepodobnos. DDoS po
nasadeni opatreni je viac ako 7x ni..ia.
3.) Zamedzenie vypadku z dovodu bezpe.nostneho incidentu a nutneho recovery
Riziko dopadu ve.mi zava.neho incidentu pod.a VM je v su.asnosti 10%. Z praxe vyplyva, .e periodicita takehoto incidentu je 1x za obdobie 10 rokov. V
pripade zava.neho vypadku sa predpoklada vypadok v d..ke 3 mesiacov. Nasadenim rie.enia dojde k zni.eniu pravdepodobnosti dopadu zava.neho
incidentu o polovicu. Zarove. zmenou bezpe.nostnej architektury, zalohovania a zavedenim Business continuty mana.mentu a zmeny disaster recovery
dojde k zni.eniu doby obnovy z 60 prac. dni na 5 dni.
B. Obec . Neobstaranie jednotlivych opatreni obcou ale centralne DEUSom
1) Uspora z rozsahu pri verejnom obstaravani
Prinos je vypo.itany ako rozdiel medzi sumarom nakladov pri individualnom obstaravani obcou a sumou nakladov pri centralnom verejnom obstaravani.
Uspora pri centralnom verejnom obstaravani je na urovni 4%.
2) Uspora .asu zamestnanca OU (zamestnanec VO)
Cie.ova hodnota MU projektu je 1000 obci. Tu sme pou.ili aj pre vypo.et prinosu uspory .asu zamestnanca OU. Prinos uspory .asu zamestnanca VO
po.itame ako po.et obci* super hruba hod. mzda* po.et VO per obec *po.et hodin zamestnanca stravenych realizovanim 1 VO.
3) Uspora z centralnej pripravy riadiacej dokumentacie, ktora obsahuje o.i., metodiku a riadiace akty, pre obce do 6000 obyvate.ov
Prinos je vypo.itany ako uspora z centralnej pripravy riadiacej dokumentacie, ktora obsahuje o.i., metodiku a riadiace akty, pre obce do 6000 obyvate.ov.
Naklad na pripravy riadiacej dokumentacie KIB na zaklade priemeru predpokladanych nakladov na ISMS dokumentaciu v predlo.enych projektoch v ramci
DOP PSK-MIRRI-611-2024-DV-EFRR.
KVALITATIVNE PRINOSY:
Zvy.enie kybernetickej bezpe.nosti
Projekt prinesie zlep.enie ochrany samosprav a obci pred stale rastucimi kybernetickymi hrozbami. Upgrades a doplnenia centralnej infra.truktury
informa.neho systemu DCOM zabezpe.uju modernizaciu a posilnenie bezpe.nostnej zakladne. Projekt prispieva k posilneniu ochrany pred
kybernetickymi hrozbami a utokmi. Zvy.ena schopnos. detekcie a prevencie hrozieb pomaha minimalizova. riziko kybernetickych incidentov a
znefunk.nenia kritickych systemov. Zvy.enie kybernetickej bezpe.nosti predstavuje k.u.ovy prvok projektu. Hlavnym cie.om je zabezpe.i., .e organizacia
bude vystavena menej rizikam, ktore su spojene s rastucimi a sofistikovanej.imi kybernetickymi hrozbami. Su.asne kyberneticke hrozby neustale evolvuju
a stavaju sa .oraz zlo.itej.imi a nebezpe.nej.imi. Utoky sa objavuju na novych frontoch a vyu.ivaju nove techniky na prekonanie existujucich obrannych
mechanizmov. Tieto hrozby predstavuju zava.ne rizika pre organizaciu, ktore mo.u ma. va.ne dosledky na jej .innos. a poves.. V ramci projektu
investujeme do novych technologii, nastrojov a strategii, ktore organizacii umo.nia identifikova. a eliminova. tieto hrozby na najvy..ej urovni. Vytvorime
.ir.i a komplexnej.i pristup k kybernetickej bezpe.nosti, ktory zabezpe.i, .e organizacia bude dobre pripravena na kyberneticke hrozby v.etkych druhov.
Roz.irenim kybernetickej bezpe.nosti na najvy..iu urove. budeme ma. mo.nos. brani. sa najnaro.nej.im utokom a minimalizova. ich .kodlive u.inky.
Tym zabezpe.ime ochranu aktiv a dovernosti organizacie, .o je kriticke pre na.ich klientov, zamestnancov a partnerov. Zvy.ena kyberneticka bezpe.nos.
je k.u.ovym prinosom projektu a bude ma. .iroky dosah na bezpe.nos. a prosperitu organizacie.
Centralizovana podpora
Vytvorenie centralnych bezpe.nostnych rie.eni a slu.ieb prina.a vyhodu efektivnej a centralizovanej podpory v oblasti kybernetickej bezpe.nosti pre
obce. Toto znamena, .e obce si nebudu musie. jednotlivo zabezpe.ova. a spravova. komplexne bezpe.nostne opatrenia, .o by mohlo by. .asovo
naro.ne a nakladne. Tymto sposobom projekt zni.uje administrativne za.a.enie samosprav.
Rychlej.ia reakcia na hrozby
Implementacia technologickych rie.eni a automatizacia procesov v pracovisku SOC umo.ni rychlej.iu identifikaciu, analyzu a rie.enie kybernetickych
hrozieb. Tym sa zabezpe.i v.asna reakcia a minimalizacia potencialnych .kod. V ramci projektu budeme implementova. najmodernej.ie technologie a
nastroje, ktore umo.nia okam.ite rozpoznanie potencialnych hrozieb a ich priradenie do spravnych kategorii. Implementaciou projektu dojde k
okam.itej.om nasadeni potrebnych opatreni na minimalizaciu potencialnych .kod. To znamena, .e v.aka implemnetacii projektu budeme schopni
zareagova. na hrozby rychlej.ie a u.innej.ie. Vysledkom je nielen zni.enie rizika pre organizaciu, ale aj minimalizacia mo.nych .kod, ktore by taketo
hrozby mohli sposobi.. Zvy.ena rychlos. a efektivita reakcie na kyberneticke hrozby prinesie organizacii vyznamny prinos, a to v podobe zni.enia rizika
straty doveryhodnosti, finan.nych strat a po.kodenia poves.. Tymto sposobom sa projekt stava k.u.ovym opatrenim v oblasti kybernetickej bezpe.nosti a
ochrany organizacie pred hrozbami v dne.nom digitalnom svete.
H.bkova analyza hrozieb
Projekt zah..a zdokonalenie analytickych schopnosti pracoviska SOC, vratane analyzy malveru a sledovania spravania uto.nikov. Tym sa zvy.i
schopnos. odha.ova. sofistikovane hrozby a buduce kyberneticke utoky. H.bkova analyza je kriticka v identifikacii a porozumeni novym a komplexnym
hrozbam, ktore sa vyvijaju v kybernetickom prostredi. Prostrednictvom projektu investujeme do .kolenia na.ich expertov a do modernych nastrojov na
analyzu malveru, .o umo.ni ziska. hlb.i poh.ad do .truktury hrozieb a ich metod. Okrem toho, sledovanie spravania uto.nikov je .al.im vyznamnym
prvkom h.bkovej analyzy. S tymito nastrojmi sme schopni sledova., ako sa uto.nici pohybuju v na.ej sieti a ake kroky podnikaju na dosiahnutie svojich
cie.ov. Toto je k.u.ove pri rozpoznani sofistikovanych utokov, ktore mo.u by. skryte a .a.ko detekovate.ne tradi.nymi metodami. Zlep.ena schopnos.
h.bkovej analyzy hrozieb prinesie organizacii vyhody v podobe predchadzania novym, e.te neznamym utokom a rychlej.iemu vytvaraniu ochrannych
opatreni. Tymto sposobom projekt prispieva k dlhodobej.iemu zabezpe.eniu organizacie pred kybernetickymi hrozbami a zni.uje pravdepodobnos.
zava.nych incidentov.
Spolupraca a komunikacia
Zlep.ena spolupraca a komunikacia medzi roznymi timami v organizacii pomaha v.asnemu zdie.aniu informacii o hrozbach a koordinacii reakcii na
kyberneticke incidenty. Zlep.ena spolupraca znamena, .e timy zamerane na bezpe.nos., IT, a v.etky .al.ie prislu.ne oddelenia budu ma. jednoduch.i
pristup k informaciam o kybernetickych hrozbach. To umo.ni v.asne a rychle zdie.anie informacii o identifikovanych rizikach a aktualnych situaciach.
Tymto sposobom mo.eme predchadza. izolovanym silam a skrati. .as, ktory by inak bol strateny na vyh.adavanie dole.itych informacii. V pripade
kybernetickych incidentov, kedy ka.da sekunda zale.i, umo..uje tento projekt okam.itu komunikaciu a koordinaciu reakcii. Rozne timy su schopne
okam.ite reagova. na situacie, spolupracova. na naprave incidentu a obnovi. normalnu prevadzku bez neprimeraneho ome.kania. Spolupraca a
komunikacia su k.u.om k efektivnemu kybernetickemu bezpe.nostnemu procesu, a ich zdokonalenie v ramci tohto projektu posil.uje obranu organizacie
proti hrozbam. Zabezpe.uje to, .e organizacia je jednotnym timom, ktory je schopny reagova. na kyberneticke hrozby s jednotnym usilim, .o vedie k
zni.eniu rizika a minimalizacii .kod.
Proaktivita v reakcii na kyberneticke hrozby
Projekt umo..uje roz.irenie slu.ieb SOC o proaktivne opatrenia, .im sa organizacia stava menej zranite.nou vo.i novym hrozbam a utokom. Projekt
prispieva k zvy.eniu proaktivnych opatreni v oblasti kybernetickej bezpe.nosti a umo..uje organizacii lep.ie reagova. na nove hrozby a utoky.
Implementacia tohto projektu roz.iruje slu.by Security Operations Center (SOC) o proaktivne opatrenia, .o organizacii umo..uje aktivnej.ie reagova. na
kyberneticke hrozby. Proaktivita spo.iva v predvidavych krokoch, ktore organizacia vykonava, aby sa stala menej zranite.nou vo.i novym a rozvijajucim sa
hrozbam a utokom. Tu je nieko.ko k.u.ovych prinosov projektu:
Rychla identifikacia novych hrozieb
V.aka zdokonalenym nastrojom a schopnostiam v ramci SOC organizacia mo.e rychlej.ie identifikova. nove kyberneticke hrozby. S novymi technologiami
a analyzou spravania uto.nikov mo.eme odhali. aj rafinovanej.ie utoky, ktore by mohli uniknu. tradi.nym bezpe.nostnym systemom.
Projekt sa zabezpe.i, .e organizacia nebude iba pasivnym prijemcom informacii o hrozbach, ale aktivnym u.astnikom v boji proti nim. Tym sa DEUS
stane schopny predvida. a .eli. hrozbam s vy..ou efektivitou a doslednos.ou, .im sa posil.uje celkova kyberneticka bezpe.nos.. Celkovo projekt prispeje
k vytvoreniu moderneho a efektivneho systemu v.asnej reakcie na kyberneticke hrozby v oblasti verejnej spravy. Zvy.ena kyberneticka ochrana a
reaktivna schopnos. pomo.u minimalizova. rizika, ktore kyberneticky priestor predstavuje pre dole.ite informacie a slu.by, a to nielen v samosprave, ale aj
pre cely .tat.
8. HARMONOGRAM JEDNOTLIVYCH FAZ PROJEKTU a METODA
JEHO RIADENIA
Orienta.ny .asovy harmonogram:
HARMONOGRAM RoZDELENY NA ETAPY V ZMYSLE VYHLA.KY 401/2023 Z. z.:
ID FAZA/AKTIVITA ZA.IATOK
(odhad
terminu)
KONIEC
(odhad
terminu)
POZNAMKA
1. Pripravna a inicia.na faza 05/2024 10/2024 Vlastne kapacity DEUS. Predpokladom je, .e pripravna faza je ukon.ena s kladnym
vysledkom z riadiaceho vyboru.
Inicia.na faza kon.i vypisanim Verejneho obstarania.
2. Realiza.na faza 10/2024 12/2027 vlastne kapacity DEUS a dodavate.
2a Analyza a Dizajn 10/2024 9/2025 vlastne kapacity DEUS a dodavate.
2b Nakup technickych prostriedkov, programovych
prostriedkov a slu.ieb
10/2024 12/2026 vlastne kapacity DEUS a dodavate.
2c Implementacia a testovanie 09/2025 12/2027 vlastne kapacity DEUS a dodavate.
2d Nasadenie a PIP 09/2025 12/2027 vlastne kapacity DEUS a dodavate.
3. Dokon.ovacia faza 11/2027 12/2027 vlastne kapacity DEUS a dodavate.
Projekt Kyberneticka bezpe.nos. pre samospravy SR do 6000 obyvate.ov prostrednictvom spravcu informa.neho systemu DCOM bude v DEUS
realizovany metodou Waterfall.
Realizacia aktivit kybernetickej bezpe.nosti na obci do 6000 obyvate.ov bude prebieha. v dvoch fazach.
Pilot:
Pilotne nav.tevy pod.a jednotlivych kategorii obci a implementacia navrhovanych aktivit, pripadne upravy rozsahu pre celonarodny rollout najma:
odladenie procesu implementacie aktivit na jednotlivych typoch obci s cie.om potvrdenia ich u.ito.nosti a vyu.itia na obciach
automatizacia procesov, a vykon uloh tak, aby sa do projektu mohlo zapoji. maximum obci so zaujmom zabezpe.enia vlastnej KB a suladu so
zakonom o KB.
Konzulta.ne prace na jednotlivych typoch obci, pre zadefinovanie optimalnej sady opatreni KB pre ka.dy jednotlivy typ obce
Vypracovanie .tandardov pre rollout v spolupraci s MIRRI, pre vyu.itie existujucich podkladov, materialov a vzorovej dokumentacie
Rollout:
Rollout na jednotlive DCOM obce . kontrola procesov, aktualizacia dokumentacie, priprava na certifikaciu KB
Rollout podpory zvy.enia KB na obce, ktore nevyu.ivaju IS DCOM bude realizovany v dvoch krokoch:
migracia do IS DCOM
implementacia aktivit projektu KB
9. PROJEKTOVY TIM
Projekt sa bude riadi. v sulade s platnou legislativou v oblasti riadenia projektov IT. Pre potreby riadenia projektu bude vytvoreny riadiaci vybor projektu a
budu menovani .lenovia Riadiaceho vyboru projektu (.alej len .RVg), projektovy mana.er a .lenovia projektoveho timu.
Najvy..ou autoritou projektu je RV, ktory tvori:
predseda RV
zastupca vlastnikov procesov - zastupca predsedu RV (podpredseda RV)
zastupca k.u.ovych pou.ivate.ov
mana.er kybernetickej a informa.nej bezpe.nosti
Projektovy mana.er
zastupca dodavate.a
Zlo.enie riadiaceho vyboru:
ID MENO A PRIEZVISKO POZICIA ORGANIZA.NY UTVAR ROLA V PROJEKTE S UVEDENIM HLASOVACIEHO PRAVA
1. Ing. Katarina Le.kova vykonna riadite.ka DEUS Predseda RV (HP)
2. TBD TBD DEUS Zastupca predsedu RV (HP) - zastupca vlastnikov procesov
2. Ing. Peter Uhrik mana.er oddelenia IT DEUS Zastupca predsedu RV (HP) - zastupca vlastnikov procesov
3. TBD TBD DEUS Zastupca k.u.ovych pou.ivate.ov (HP)
4. TBD TBD DEUS Mana.er kybernetickej a informa.nej bezpe.nosti (HP)
5. TBD projektovy mana.er DEUS Zastupca dodavate.a
2. TBD projektovy mana.er NBU zastupca vlastnikov procesov
Zlo.enie projektoveho timu:
IT projektovy mana.er,
IT architekt,
IT analytik,
Vlastnik procesov,
K.u.ovy pou.ivate.,
.pecialista pre infra.trukturny/HW .pecialista,
Mana.er kybernetickej a informa.nej bezpe.nosti,
IT/IS konzultant,
Mana.er kvality,
Finan.ny mana.er,
.pecialista pre bezpe.nos. IT
Technik kybernetickej bezpe.nosti
.pecialista na publicitu
Architekt sie.ovej infra.truktury
ID MENO A PRIEZVISKO POZICIA ORGANIZA.NY UTVAR PROJEKTOVA ROLA
1. TBD IT projektovy mana.er DEUS IT projektovy mana.er
2. TBD IT architekt DEUS IT architekt
3. TBD IT analytik DEUS IT analytik
4. TBD Vlastnik procesov DEUS Vlastnik procesov
5. TBD K.u.ovy pou.ivate. DEUS K.u.ovy pou.ivate.
6. TBD .pecialista pre infra.trukturny/HW .pecialista DEUS .pecialista pre infra.trukturny/HW .pecialista
7. TBD Mana.er kybernetickej a informa.nej bezpe.nosti DEUS Mana.er kybernetickej a informa.nej bezpe.nosti
8. TBD IT/IS konzultant DEUS IT/IS konzultant
9. TBD Mana.er kvality DEUS Mana.er kvality
10. TBD Finan.ny mana.er DEUS Finan.ny mana.er
14. TBD Mana.er kvality NBU Mana.er kvality
15. TBD Finan.ny mana.er NBU Finan.ny mana.er
17. TBD Technik kybernetickej bezpe.nosti DEUS Technik kybernetickej bezpe.nosti
18. TBD .pecialista na publicitu DEUS .pecialista na publicitu
19. TBD Architekt sie.ovej infra.truktury DEUS Architekt sie.ovej infra.truktury
9.1 PRACOVNE NAPLNE
RV je riadiaci organ projektu, ktory zodpoveda najma za splnenie stanovenych cie.ov projektu, rozhoduje o zmenach, ktore maju zasadny vyznam a
prejavuju sa hlavne dopadom na .asovy harmonogram a finan.ne prostriedky projektu. Reprezentuje najvy..iu akcepta.nu autoritu projektu. Rokovaci
poriadok a .tatut Riadiaceho vyboru projektu upravuje najma ulohy, zlo.enie a posobnos. RV, ako aj prava a povinnosti .lenov RV pri riadeni a realizacii
predmetneho projektu.
Projektovy mana.er riadi projekt, kvalitu a rizika projektu a zabezpe.uje plnenie uloh ulo.enych RV. .lenovia projektoveho timu zabezpe.uju plnenie uloh
ulo.enych projektovym mana.erom, alebo RV.
.al.ie povinnosti .lenov RV, projektoveho mana.era a .lenov projektoveho timu su uvedene vo Vyhla.ke .. 401/2023 Z. z. a v dopl.ujucich vzoroch
a .ablonach zverejnenych na webovom sidle MIRRI SR.
Projektova rola: PROJEKTOVY MANA.ER
Detailny popis ozsahu
zodpovednosti,
povinnosti
a kompetencii:
- zodpoveda za ka.dodenne riadenie projektu v mene RV, za monitorovanie projektu, za planovanie aktivit, za informovanie o
projekte, at..,
- zodpoveda za ur.enie pravidiel, sposobov, metod a nastrojov riadenia projektu a ziskanie podpory RV pre riadenie,
planovanie a kontrolu projektu aefektivne vyu.ivanie projektovych zdrojov (.udskych a finan.nych),
- zodpoveda za splnenie v.etkych legislativnych po.iadaviek (pravne predpisy SR a EK), metodickych po.iadaviek suvisiacich
s implementaciou projektu a formalnu administraciu projektu suvisiacu s riadenim, organizovanim, finan.nym zu.tovanim,
sledovanim .iastkovych a celkovych vysledkov (monitorovanim) a hodnotenim vysledkov,
- integrovane riadi pripravu a uskuto.nenie projektu, nasadenie disponibilnych prostriedkov, zabezpe.uje koordinaciu
dodavate.ov a zhotovite.ov jednotlivych vystupov projektu, zabezpe.uje koordinaciu partnerov, .asovy priebeh a kvalitu
vystupov projektu, zmeny projektu a rie.i konflikty s okolim projektu,
- prijima rozhodnutia a riadi projekt tak, aby sa splnili stanovene ciele projektu a aby projekt dodaval dohodnute produkty v
dohodnutej kvalite, v .ase a v ramci rozpo.tu,
- zodpoveda RV za plnenie cie.ov projektu a celkovy postup prac v projekte,
- informuje RV o stave a priebehu projektu, predklada navrhy na zlep.enie,
- riadi strategicke a projektove rizika, vratane vyvojovych a rezervnych planov,
- zodpoveda za identifikovanie kritickych miest projektu a navrhovanie ciest k ich eliminacii,
- aktivne komunikuje s dodavate.om, zastupcom dodavate.a a projektovym mana.erom dodavate.a s cie.om zabezpe.i.
uspe.ne dodanie a nasadenie po.adovanych projektovych vystupov,
- zabezpe.uje kontrolu dodr.iavania a plnenia mi.nikov v zmysle zmluvy s dodavate.om,
- zabezpe.uje vecnu administraciu zu.tovania dodavate.skych faktur,
- predklada po.iadavky dodavate.a na rokovanie RV,
- zodpoveda za koordinaciu azabezpe.enie podkladov pre oddelenie komunika.ne pre potreby medializacie projektu,
- zodpoveda za informovanie zamestnancov a verejnosti o za.ati a ukon.eni projektu v zavislosti od jeho charakteru,
- zodpoveda za zabezpe.enie vypracovania, priebe.nej aktualizacie a verzionovania mana.erskej a .pecializovanej
dokumentacie a produktov,
- pripravuje a predklada stanovene dokumenty na schvalenie RV,
- navrhuje zaradi. projekt alebo jeho .as. do re.imu utajenia,
- zabezpe.uje permanentny doh.ad a zvy.enu mieru kontroly a ochrany tokov informacii pri realizacii utajovaneho projektu
alebo utajovanej .asti projektu,
- zodpoveda za vypracovanie po.iadaviek na zmenu, navrh ich prioritizacie a predkladanie zmenovych po.iadaviek na
rokovanie RV,
- zabezpe.uje podanie .iadosti o rozpo.tove opatrenie MF SR cez Rozpo.tovy informa.ny system na projekt IT pod.a potreby,
- zodpoveda za riadenie zmeny a pripadne po.adovane riadenie konfiguracii,
- navrhuje .lenov projektoveho timu po dohode s liniovym veducim a timovym mana.erom a tie. navrhuje rozsah ich
zodpovednosti a .innosti,
- organizuje, riadi, motivuje projektovy tim a deleguje ulohy .lenom projektoveho timu,
- hodnoti .lenov projektoveho timu,
- ude.uje pokyny na vykon .innosti projektovej kancelarie,
- pod.a potreby deleguje svoje povinnosti a prava na timovych mana.erov a koordinuje ich .innos.,
- plni ulohy timoveho mana.era (veduceho projektoveho timu), ak takato rola v projekte nie je obsadena . vi. .innos.
projektovej role .Timovy mana.erg,
- monitoruje vykonnos. projektu, to znamena, .e sleduje pokrok vo vybranych ukazovate.och (KPI) projektu a predklada ho na
schvalenie RV,
- zabezpe.uje evidenciu v informa.nych systemoch pre .tandardizovane procesy programove a projektoveho riadenia, napr.
IT monitorovaci system pre europske .trukturalne a investi.ne fondy,
- zodpoveda za publikovanie RV schvalenych projektovych vystupov v MetaIS chronologicky, z ka.dej fazy .ivotneho cyklu
projektu,
- zodpoveda za publikovanie zapisov RV v MetaIS,
- po.as celej doby realizacie projektu .tandardne zabezpe.uje nasledovne prierezove .innosti:
1. kontinualne zdovod.ovanie projektu, ktore zah..a posudenie, .i je projekt po.adovany a dosiahnute.ny, potrebne na
rozhodovanie o pokra.ovani vynakladania prostriedkov po.as v.etkych faz projektu, vypracovane aspo. po ukon.eni ka.dej
fazy projektu,
2. planovanie a operativne riadenie dodavania projektovych produktov,
3. riadenie rizik a zavislosti, ktore zah..a identifikaciu, hodnotenie a riadenie rizik, zavislosti a hrozieb na uspe.nu realizaciu
projektu,
- zabezpe.uje dodr.iavanie legislativno-metodickych zasad pre riadenie projektov,
- zodpoveda za formalnu administraciu projektu, riadenie centralneho ulo.iska projektovej dokumentacie DEUS, spravu a
archivaciu projektovej dokumentacie,
- sleduje dodr.iavanie internych riadiacich aktov.
Projektova rola: MANA.ER KVALITY
Stru.ny popis: - zodpoveda za uvodne nastavenie pravidiel riadenia kvality a za nasledne dodr.iavanie a kontrolu kvality,
- kontroluje, .i sa riadenie a proces zabezpe.enia kvality vykonava spravnym sposobom, v spravnom .ase
a spravnymi osobami,
- po.as celej doby realizacie projektu zabezpe.uje riadenie kvality projektovych vystupov a zhodu
projektovych vystupov s po.iadavkami definovanim merate.nych vykonnostnych parametrov na vytvaranie, overovanie
projektovych produktov, definovanie akcepta.nych kriterii, ktore su vhodne na po.adovany u.el,
- po.as celej doby realizacie projektu zodpoveda za priebe.ne vy.adovanie, hodnotenie a kontrolu kvality (vecnej aj
formalnej), za planovanie, zabezpe.ovanie, kontrolu, operativne riadenie, zlep.ovanie a vyhodnocovanie kvality
projektu,
- aktivne sa zu.ast.uje stretnuti projektoveho timu aspolupracuje na vypracovani mana.erskej a .pecializovanej
dokumentacie a produktov v minimalnom rozsahu ur.enom Prilohou ..1 tejto smernice,
- plni pokyny PM a dohody zo stretnuti projektoveho timu,
- spolupracuje s PM,
- zodpoveda sa PM,
- informuje PM o stave plnenia uloh, o zisteniach a o rizikach,
- sleduje a hodnoti kvalitativne ukazovatele projektovych vystupov,
- zabezpe.uje zhodnotenie kvality projektu zamerane na vystupy inicia.nej a realiza.nej fazy projektu
formou auditu na mieste, ktoreho vysledky spracuje v produkte M-04 Audit kvality.
Detailny popis ozsahu
zodpovednosti, povinnosti a
kompetencii
E navrh a zavadzanie do praxe postupov, technik, nastrojov a pravidiel, ktore maximalizuju efektivitu prace a
kvalitativne parametre vyvoja softwaru/produktu/IS, resp. IT projektu,
E definovanie politiky kvality (strategie kvality), meranie kvality, analyzu a spracovanie planov kvality,
E riadenie a monitorovanie dosahovania cie.ov kvality,
E .pecifikaciu po.iadaviek na kvalitu vyvijanych funkcionalit systemu,
E .pecifikaciu po.iadaviek pre .al.i rozvoj,
E definovanie akcepta.nych kriterii,
E zabezpe.enie suladu so .tandardmi, normami, pravnymi po.iadavkami, po.iadavkami u.ivate.ov a
prevadzkovate.ov systemov,
E posudenie BC/CBA . odovodenie projektu s katalogom funk.nych, nefunk.nych a technickych po.iadaviek,
E kontrolu kvality plnenia vecnych po.iadaviek definovanych v zmluve s dodavate.om alebo v po.iadavkach na
zmenu,
E akceptaciu splnenia vecnych a kvalitativnych po.iadaviek v projekte svojim podpisom na akcepta.nom protokole
pri odovzdavani jednotlivych faz projektu/.iastkovych projektov alebo pri odovzdavani zmien vykonanych v ramci
zmenovych konani,
E monitoring a vyhodnocovanie kvality udajov a navrh napravnych opatreni za u.elom zabezpe.enia spravnosti a
konzistentnosti udajov,
E definovanie postupov, navrhovanie a vyjadrovanie sa k planom testov a testovacich scenarov,
E analyzovanie vysledkov testovania,
E kontrolu plnenia projektovych uloh a .asoveho harmonogramu projektu,
E 15. kontrolu plnenia finan.neho planu projektu,
Projektova rola: K.U.OVY POU.IVATE.
Stru.ny popis: - reprezentuje zaujmy buducich koncovych pou.ivate.ov projektovych produktov alebo projektovych vystupov,
- poskytuje su.innos. pri spracovani interneho riadiaceho aktu upravujuceho prevadzku, servis a podporu IT,
- aktivne sa zu.ast.uje stretnuti projektoveho timu a spolupracuje na vypracovani mana.erskej a .pecializovanej
dokumentacie a produktov v minimalnom rozsahu ur.enom Prilohou ..1 tejto smernice,
- plni pokyny PM a dohody zo stretnuti projektoveho timu.
Detailny popis ozsahu
zodpovednosti, povinnosti a
kompetencii
E navrh a .pecifikaciu funk.nych, nefunk.nych a technickych po.iadaviek, potreby, obsahu, kvalitativnych a
kvantitativnych prinosov projektu, po.iadaviek koncovych pou.ivate.ov na prinos systemu a po.iadaviek na
bezpe.nos.,
E jednozna.nu .pecifikaciu po.iadaviek na jednotlive projektove vystupy (.pecializovane produkty a vystupy) z
poh.adu vecno-procesneho a legislativy,
E navrh a definovanie rizik, rozhrani a zavislosti,
E vykonanie pou.ivate.skeho testovania funk.neho pou.ivate.skeho rozhrania (UX testovania) a za finalne
odsuhlasenie pou.ivate.skeho rozhrania,
E navrh a definovanie akcepta.nych kriterii,
E akcepta.ne testovanie (UAT) a navrh na akceptaciu projektovych produktov alebo projektovych vystupov a
finalny navrh na spustenie do produk.nej prevadzky,
E 7. predkladanie po.iadaviek na zmenu funkcionalit produktov,
Projektova rola: PROJEKTOVA KANCELARIA (.PMOg)
Projektovou kancelariou je prislu.ny organiza.ny utvar v zmysle organiza.neho
poriadku , ktory zabezpe.uje podporu riadenia projektu, najma:
- administrativnu a technicku podporu v jednotlivych fazach
.ivotneho cyklu projektu,
- vypracovanie a odovzdanie menovacich dekretov a
odvolacich dekretov
pre predsedu RV, .lenov RV, PM a podpisanych predsedom
RV pre .lenov projektoveho timu a PMO,
- zabezpe.enie oboznamenia predsedu RV, .lenov RV, a
.lenov projektoveho timu s projektom, ich
ulohami a rozsahom ich zodpovednosti, at.. pod.a pokynu PM,
- organiza.ne zabezpe.enie zasadnuti RV, spracovanie
zapisov zo zasadnuti RV a zabezpe.enie ich
zverejnenia prostrednictvom MetaIS, ak je to potrebne,
- organiza.ne zabezpe.enie stretnuti realizovanych v ramci
projektu, spracovanie zapisov z tychto
stretnuti,
- vykonavanie uloh na zaklade pokynov PM,
- vypracovanie a aktualizacia zoznamov uloh, rizik, otvorenych
otazok a inych mana.erskych sprav,
reportov, zoznamov a po.iadaviek,
- organiza.ne zabezpe.enie pripomienkoveho konania
projektovej dokumentacie,
- spravu projektov, monitorovanie stavu projektu, udr.iavanie
aktualnosti ahodnovernosti udajov
o projektoch a pod.a potreby optimalizaciu projektov,
- pripravu informacii o stave realizacie projektu pod.a potreby,
- zhroma.denie, analyzovanie a vyhodnotenie poznatkov z
implementacie projektov a definovanie
ponau.enia za u.elom predchadzania a opakovania chyb z
minulosti,
- zabezpe.enie zverejnenia projektovych vystupov jednotlivych
faz .ivotneho cyklu projektu na centralnom
ulo.isku projektovej dokumentacie DEUS a v MetaIS, ak je to
potrebne,
- poskytuje su.innos. PM pri predkladani projektovych
produktov na posudenie ekonomickej vyhodnosti
a suladu s programovym riadenim MIRRI SR, ak je to potrebne,
- organizaciu procesov suvisiacich s vykazmi prace .lenov
projektovych timov jednotlivych projektov,
- vytvorenie a spravovanie centralneho ulo.iska projektovej
dokumentacie DEUS,
- vytvorenie komunika.nej platformy v ramci projektu a medzi
projektami navzajom,
- zabezpe.enie interakcie medzi zainteresovanymi stranami,
ich spokojnos. a realizaciu po.iadaviek
spojenych s implementaciou projektu,
- spolupracu s metodickou podporou projektoveho riadenia,
- zabezpe.enie ulo.enia originalov projektovej dokumentacie.
Projektova rola: MANA.ER KYBERNETICKEJ A INFORMA.NEJ BEZPE.NOSTI (.KIBg)
Stru.ny popis: - ma neobmedzeny aktivny pristup ku v.etkym projektovym dokumentom, nastrojom a vystupom projektu, v ktorych sa opisuje
predmet projektu z h.adiska jeho architektury, funkcii, procesov, mana.mentu informa.nej bezpe.nosti a sposobov spracuvania
dat, ako aj dat samotnych,
- ma spristupnene v.etky informacie o bezpe.nostnych opatreniach zavadzanych projektom v zmysle ˜ 20 zakona .. 69/2018 Z.
z. o kybernetickej bezpe.nosti a o zmene a doplneni niektorych zakonov v zneni neskor.ich predpisov a v zmysle ustanoveni
zakona .. 95/2019 Z. z. o informa.nych technologiach vo verejnej sprave a o zmene a doplneni niektorych zakonov v zneni
neskor.ich predpisov,
- zodpoveda za posudenie mo.nych alternativ realizacie projektu za oblas. IB a KB,
- zodpoveda za posudenie po.iadaviek agendy IB a KB na rozhrania a spolo.ne komponenty, na integracie a procesy konverzie a
migracie, identifikacia nesuladu a navrh rie.enia,
- poskytuje konzultacie a su.innos. pre problematiku IB a KB,
- poskytuje konzultacie pri tvorbe .ablon a vzorov dokumentacie pre oblas. IB a KB,
- poskytuje konzultacie a vykonava kontrolnu .innos. zameranu na obsah a komplexnos. dokumentacie z h.adiska IB a KB,
- dohliada na zosuladenie projektu s principmi definovanymi v internych riadiacich aktoch DEUS a dokumentoch tykajucich sa
bezpe.nosti DEUS,
- zabezpe.uje ziskavanie a spracovanie informacii nutnych pre plnenie uloh v oblasti IB a KB,
- aktivne sa zu.ast.uje stretnuti projektoveho timu a spolupracuje na vypracovani mana.erskej a .pecializovanej dokumentacie a
produktov v minimalnom rozsahu ur.enom Prilohou ..1 tejto smernice,
- plni pokyny PM a dohody zo stretnuti projektoveho timu.
Detailny popis
ozsahu
zodpovednosti,
povinnosti a
kompetencii
- zodpoveda. za s.pecifikovanie:
. s.tandardov, princi.pov a strate.gii. v oblasti informac.nej bezpec.nosti (.IBg) akybernetickej bezpec.nosti (.KBg) a ich dodrz.iavanie,
. funkc.ny.ch, nefunkc.ny.ch a technicky.ch poz.iadaviek na IB a KB a za ich analy.zu,
. poz.iadaviek na IB a KB, kontroluje ich implementa.ciu v realizovanom projekte,
. poz.iadaviek na bezpec.nost. vy.vojove.ho, testovacieho a produkc.ne.ho prostredia,
. poz.iadaviek na bezpec.nost. v ra.mci bezpec.nostnej vrstvy,
. poz.iadaviek na s.kolenia pre oblast. IB a KB,
. poz.iadaviek na bezpec.nostnu. architektu.ru ries.enia a technicku. infras.truktu.ru pre oblast. IB a KB,
. poz.iadaviek na dostupnost., za.lohovanie, archiva.ciu a obnovu IS vzt.ahuju.ce sa na IB a KB,
. poz.iadaviek na IB a KB, bezpec.nostny. projekt a riadenie pri.stupu,
. poz.iadaviek na opis vy.vojove.ho, testovacieho a produkc.ne.ho prostredia za oblast. IB a KB,
. poz.iadaviek na testovanie z hl.adiska IB a KB, realiza.ciu kontroly zapracovania a retestu,
. poz.iadaviek na obsah dokumenta.cie v zmysle legislati.vnych poz.iadaviek pre oblast. IB a KB, ako aj v zmysle "best practies",
. poz.iadavieknadodaniepotrebnejdokumenta.ciesu.visiacejsIBaKBkontrolujeichimplementa.ciu v realizovanom projekte,
. poz.iadaviek a konzulta.cie pri na.vrhu ries.enia za agendu IB a KB v ra.mci procesu .Mapovanie a analy.za technicky.ch
poz.iadaviek - detailny. na.vrh ries.enia (DNR)g,
. poz.iadavieknabezpec.nost. ITaKB vra.mci procesu "akcepta.cie, odovzdania a spra.vy zdrojovy.ch ko.dovg,
. akceptac.ny.ch krite.rii. za oblast. IB a KB,
. pravidiel pre publicitu a informovanost. s ohl.adom na IB a KB,
. podmienok na testovanie, reviduje vysledky a vystupy z testovania za oblast. IB a KB,
. poz.iadaviek na bezpec.nostny. projekt pre oblas.. IB a KB,
- zodpoveda. za realiza.ciu kontroly:
. zameranej na naplnenie poz.iadaviek definovany.ch v bezpec.nostnom projekte za oblast. IB a KB,
. zameranu. na spra.vnost. nastaveni. a konfigura.cii bezpec.nosti jednotlivy.ch prostredi.,
. zameranu. na realiza.ciu procesu posudzovania a komplexnosti bezpec.nostny.ch rizi.k, bezpec.nost. a kompletny. popis rozhrani.,
spra.vnu identifika.cia za.vislosti.,
. naplnenia definovany.ch poz.iadaviek pre oblast. IB a KB,
. zameranu. na implementovany. proces v priamom su.vise s IB a KB,
. su.ladu s platnou legislati.vou v oblasti IB a KB (obsahuje aj kontrolu legislati.vnych poz.iadaviek),
. zameranu. na zabezpec.enie procesu, interfejsov, integra.cii, kompletne.ho popisu rozhrani. a spoloc.ny.ch komponentov a
posu.denia z pohl.adu bezpec.nosti,
Projekt
ova
rola:
.LEN PROJEKTOVEHO TIMU
Stru.ny
popis:
- vykonava odbornu pracu v projekte a poskytuje odborne stanoviska a konzultacie za prislu.nu oblas.,
- aktivne sa zu.ast.uje odbornych stretnuti timu, ako aj konzultacii,
- zabezpe.uje vypracovanie, priebe.nu aktualizaciu a verzionovanie mana.erskej a .pecializovanej dokumentacie a produktov v minimalnom
rozsahu ur.enom Prilohou ..1 tejto smernice v su.innosti a pod.a pokynov timoveho mana.era a PM,
- plni ulohy ulo.ene timovym mana.erom a PM v po.adovanej kvalite a v stanovenych terminoch,
- plni dohody zo stretnuti projektoveho timu,
- odpo.tuje plnenie uloh timovemu mana.erovi a PM,
- predklada namety, podnety, po.iadavky a upozor.uje na problemy a rizika suvisiace s projektom timovemu mana.erovi a PM,
- spolupracuje s projektovym timom na strane dodavate.a,
- zodpoveda za splnenie v.etkych legislativnych po.iadaviek (pravne predpisy SR a EK) a metodickych a administrativnych po.iadaviek
suvisiacich s implementaciou projektu.
10. ODKAZY
Tato verzia neobsahuje odkazy, budu doplnene pri .al.ej aktualizacii.
11. PRILOHY
Priloha 1: Zoznam rizik a zavislosti
Priloha 2: Dokumentacia k stanoveniu PHZ pre HW/SW
Koniec dokumentu
[1] Spolo.ne moduly pod.a zakona .. 305/2013 e-Governmenteprojekt_3001_Projektovy_zamer_detailny
PROJEKTOVY ZAMER
Vzor pre mana.ersky vystup I-02
pod.a vyhla.ky MIRRI .. 401/2023 Z. z.
Povinna osoba DataCentrum elektronizacie uzemnej samospravy Slovenska (DEUS)
Nazov projektu Kyberneticka bezpe.nos. pre samospravy SR do 6000 obyvate.ov prostrednictvom spravcu informa.neho systemu
DCOM
Zodpovedna osoba za
projekt
Ing. Peter Uhrik
Realizator projektu DataCentrum elektronizacie uzemnej samospravy Slovenska (DEUS)
Vlastnik projektu Katarina Le.kova, vykonna riadite.ka
Schva.ovanie dokumentu
Polo.ka Meno a priezvisko Organizacia Pracovna pozicia Datum Podpis
(alebo elektronicky suhlas)
Vypracoval Ing. Peter Uhrik DataCentrum elektronizacie uzemnej samospravy Slovenska (DEUS) 15.08.2024
1. Historia DOKUMENTU
Verzia Datum Zmeny Meno
1.0 15.08.2024 Inicialny dokument Ing. Peter Uhrik
2. U.EL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINICIE
V sulade s Vyhla.kou c.. 401/2023 Z.z. je dokument I-02 Projektovy zamer ur.eny na rozpracovanie detailnych informacii pripravy projektu, aby bolo
mo.ne rozhodnu. o pokra.ovani pripravy projektu, plane realizacie, alokovani rozpo.tu a .udskych zdrojov.
Dokument Projektovy zamer v zmysle vy..ie uvedenej vyhla.ky obsahuje mana.erske zhrnutie, rozsah, ciele a motivaciu na realizaciu projektu,
zainteresovane. strany, alternativy, navrh merate.nych ukazovate.ov, detailny opis po.adovanych projektovych vystupov, detailny opis obmedzeni,
predpokladov, tolerancii. a navrh organiza.neho zabezpe.enia projektu, detailny opis rozpo.tu projektu a jeho prinosov, nah.a. architektury a
harmonogram projektu so zoznamom rizik a zavislosti..
2.1 Pou.ite skratky a pojmy
SKRATKA/POJEM POPIS
HW Hardver
1.
IKT Informa.no-komunika.ne technologie (organizacie)
IS Informa.ny system
IT ROLA Rola, ktora definuje pristup do IS alebo definuje vyu.ivanie IT zdrojov
SD Service Desk
SLA Service Level Agreement . zmluva o podpore prevadzky, udr.be a rozvoji IS
SW Softver
NGFW Next Generation Firewall
IPS Intrusion Prevention System
DPH Da. z pridanej hodnoty
ATD Advanced Threat Detection
XDR/EDR Extended Detection and Response/Endpoint Detection and Response
WAF Web Apprilcation Firewall
PAM Privileged Access Management
NDR Network Detection and Response
AD server Active Directory (adresarova slu.ba)
CRZ Centralny register zmluv
DEUS DataCentrum elektronizacie uzemnej samospravy Slovenska
RV Riadiaci vybor projektu
ED Externi dodavatelia
SIEM Security Information and Event Management
NBU Narodny bezpe.nostny urad
MIRRI Ministerstvo investicii, regionalneho rozvoja a informatizacie SR
UHP Ministerstvo financii Slovenskej republiky . Utvar hodnoty za peniaze
ISO Informa.ny System Obce
3. DEFINOVANIE PROJEKTU
3.1 Mana.erske zhrnutie
Z h.adiska realizatora projektu bude projekt realizovany zdru.enim DEUS, ktore v zmysle ˜ 9a odsek 1 zakona .. 305/2013 Z.z. o elektronickej podobe
vykonu posobnosti organov verejnej moci (eGovernmente) vykonava .innosti spravcu a prevadzkovate.a IS DCOM. DEUS je zaujmove zdru.enie
pravnickych osob, ktoreho jedinymi .lenmi su Ministerstvo financii SR (.alej len .MF SRg) a Zdru.enie miest a obci Slovenska (.alej len .ZMOSg). DEUS
je .pecifickym poskytovate.om cloudovych slu.ieb typu SaaS pre subjekty MUS.
Informa.ny system DCOM je nadrezortny informa.ny system verejnej spravy, prostrednictvom ktoreho vykonavaju obce verejnu moc elektronicky.
Projekt je zamerany na posilnenie kybernetickej bezpe.nosti v dvoch oblastiach:
1.
2.
a.
b.
c.
Posilnenie infra.truktury ochrany dat obce v datovom centre a zabezpe.enie ochrany pred stale rastucimi kybernetickymi hrozbami
prostrednictvom upgrades a doplnenia centralnej infra.truktury. Implementaciou projektu sa zabezpe.i modernizacia a posilnenie bezpe.nostnej
zakladne infra.truktury IS DCOM. Projekt zarove. prinesie aktivny doh.ad, analyzu prevadzky a priebe.ny monitoring bezpe.nostnych stavov IS
DCOM. Celkovo sa tymto sposobom zvy.i urove. ochrany, a tym aj schopnos. efektivne reagova. na rozne typy kybernetickych incidentov.
Zvy.ena schopnos. detekcie a prevencie hrozieb zni.uje riziko kybernetickych incidentov a znefunk.nenia IS DCOM. Zvy.enie kybernetickej
bezpe.nosti predstavuje k.u.ovy prvok projektu. Hlavnym cie.om je zabezpe.i., .e IS DCOM a urady samosprav vyu.ivajucich IS DCOM budu
menej vystavene rizikam, ktore su spojene s rastucimi a sofistikovanej.imi kybernetickymi hrozbami. Roz.irenim kybernetickej bezpe.nosti na
vy..iu urove. zabezpe.ime ochranu aktiv a doveryhodnosti organizacie, .o je kriticke pre klientov. Zvy.ena kyberneticka bezpe.nos. je
k.u.ovym prinosom projektu a bude ma. .iroky dosah na bezpe.nos. miestnej samospravy. Nako.ko su.as.ou kybernetickej bezpe.nosti je
zachovanie vysokej dostupnosti zakladnej slu.by, su.as.ou tohto cie.a je aj zabezpe.enie komplexneho monitoringu nielen bezpe.nostnych
prvkov, ale aj v.etkych komponentov IS DCOM. Zabezpe.enim integrovaneho monitoringu od fyzickej a. po aplika.nu vrstvu bude DEUS
schopny efektivne identifikova. ohrozenia a zisti., .i sa jedna o ohrozenia dostupnosti sposobene prevadzkou samotneho IS DCOM, alebo .i sa
jedna o ohrozenie z dovodu historickeho, alebo prave prebiehajuceho bezpe.nostneho utoku.
Posilnenie bezpe.nosti na samotnych obciach. v zmysle zakona .. 69/2018 Z.z. o kybernetickej bezpe.nosti, je ka.da obec s po.tom obyvate.ov
viac ne. 1000 prevadzkovate.om zakladnej slu.by .tatu a je povinna dodr.iava. bezpe.nostne opatrenia pod.a ˜20 (1). Su to ulohy, procesy, role
a technologie v organiza.nej, personalnej a technickej oblasti, ktorych cie.om je zabezpe.enie kybernetickej bezpe.nosti po.as .ivotneho cyklu
sieti a informa.nych systemov. Predmetom projektu je nastavenie uloh, procesov, roli a technologii v organiza.nej, personalnej a technickej
oblasti, ktorych cie.om je zabezpe.enie kybernetickej bezpe.nosti. V zasade ide o opatrenia, ktore maju za cie. minimalizova. riziko vzniku
negativnej udalosti akymi su napriklad:
Naru.enie prevadzky siete alebo informa.neho systemu, ktore ohrozi integritu alebo dovernos. spracovavanych osobnych udajov,
uniku osobnych udajov v dosledku .oho mo.e vzniknu. .koda na zdravi, .i ujma na majetku,
obmedzenie vykonu, alebo ohrozenie posobnosti obce, najma s oh.adom na schopnos. zabezpe.enia bezpe.ia, verejneho poriadku
alebo zvladnutia mimoriadnej udalosti.
Ciele projektu:
Zvy.enie bezpe.nostneho .tandardu v oblasti kybernetickej a informa.nej bezpe.nosti pre obce do 6.000 obyvate.ov
Na minimalne 1000 obciach obciach do 6000 obyvate.ov vyu.ivajucich IS DCOM zabezpe.i. sulad s legislativnymi po.iadavkami KB kategorie I.
pod.a zakona .. 69/2018 Z. z. naprie. v.etkymi pou.ivanymi informa.nymi systemami a internymi procesmi.
Zvy.ovanie osvety a v.eobecneho povedomia o teme kybernetickej a informa.nej bezpe.nosti medzi zamestnancami a obyvate.mi samosprav
/obci.
Zvy.enie bezpe.nostneho .tandardu v oblasti kybernetickej a informa.nej bezpe.nosti IS DCOM v podobe procesneho, technickeho,
hardveroveho vybavenia, aplikacii, SW a tym aj bezpe.nosti samotnych obci.
Projekt bude realizovany v ramci:
.pecificky cie.: RSO1.2 Vyu.ivanie prinosov digitalizacie pre ob.anov, podniky, vyskumne organizacie a organy verejnej spravy
Hlavne aktivity projektu:
Analyza a dizajn
Nakup technickych prostriedkov, programovych prostriedkov a slu.ieb
Implementacia a testovanie
D..ka projektu: je planovana na 39 mesiacov.
Rozdelenie projektu na diel.ie su.asti zobrazuje nasledovna schema:
Odhadovane naklady: su 14 273 031,48 EUR s DPH.
3.2 Motivacia a rozsah projektu
3.2.1. Problem, ktory bude realizaciou projektu odstraneny
Kyberneticka a informa.na bezpe.nos. obci s menej ako 6 000 obyvate.mi .eli zna.nym vyzvam. Pod.a udajov NBU sa pri sektore .Verejna spravag,
podsektor .Informa.ne systemy verejnej spravyg, v ktorom sa nachadza najva..i po.et PZS situacia v oblasti kybernetickej bezpe.nosti dlhodobo nemeni.
Stale tu mo.no pozorova. a. kriticke zanedbavanie bezpe.nosti. Najma samospravy a men.i prevadzkovatelia si dostato.ne neuvedomuju dole.itos. temy
kybernetickej bezpe.nosti, k problematike pristupuju povrchne a zameriavaju sa skor na formalne aktivity. Celkove riadenie kybernetickej bezpe.nosti pri
PZS v tomto sektore .asto chyba, je chaoticke alebo .iastkove.
Medzi naj.astej.ie auditne zistenia v sektore Verejna sprava patria:
nebol preukazany system riadenia kybernetickej bezpe.nosti,
bezpe.nostna strategia kybernetickej bezpe.nosti ani .al.ia bezpe.nostna dokumentacia nebola predlo.ena,
mana.er kybernetickej bezpe.nosti nie je formalne menovany, je v konflikte zaujmov a ma nevhodne kumulovane zodpovednosti,
analyza rizik nie je zakotvena ako proces v internych predpisoch ani metodicky popisana, nevykonava sa,
v organizacii sa nachadzaju vysoko privilegovane u.ty, ktore su spolo.ne a nemaju definovanych vlastnikov a u.el,
v organizacii neexistuje definicia zava.neho kybernetickeho bezpe.nostneho incidentu, organizacia nevypracovala postupy a nema dostato.ne
schopnosti na detekciu, zvladanie a pou.enie sa z pripadnych incidentov.
V su.asnosti sa na obciach do 6000 obyvate.ov realizuju projekty kybernetickej bezpe.nosti ve.mi zriedka. Napriek mnohym zakonnym po.iadavkam
platnych najma pre obce nad 1000 obyvate.ov, ako poskytovate.ov zakladnej slu.by .tatu, je prakticky prinos tychto aktivit minimalny. Naj.astej.ie
dochadza len ku kopirovaniu existujucej dokumentacie, bez aplikacie realnej pridanej hodnoty pre .pecificku lokalnu potrebu a len vynimo.ne prebehne na
obci aj relevantne .kolenie KB pre zamestnancov. Ve.kou barierou realizacie vyznamnej.ich aktivit je najma nedostatok finan.nych zdrojov
a personalnych kapacit na obci. Povedomie o KB je tak na obciach minimalne.
Jednym z hlavnych problemov, ktory sposobuje vy..ie uvedene nedostatky je obmedzeny rozpo.et, .o znamena nedostatok finan.nych prostriedkov.
Tieto obce .asto nedisponuju dostato.nymi zdrojmi na zamestnanie odbornikov na kyberneticku bezpe.nos., .o vedie k nedostato.nemu povedomiu a
nedostato.nemu zdokonaleniu bezpe.nostnych postupov. Okrem toho, star.ie IT systemy a neaktualizovany softver predstavuju riziko, ke..e obce
nemaju prostriedky na modernizaciu svojej infra.truktury. Nedostatok odbornikov na kyberneticku bezpe.nos. a nedostato.ne povedomie mo.u zvy.ova.
riziko kybernetickych hrozieb, .o mo.e ohrozi. citlive udaje a informa.nu infra.trukturu obci. Preto je dole.ite venova. pozornos. tymto oblastiam a h.ada.
sposoby, ako zlep.i. kyberneticku a informa.nu bezpe.nos. obci tejto ve.kosti. Najvy..i kontrolny urad viackrat poukazal na to, .e obce samostatne bez
aktivnej podpory .tatu nemaju dostato.ne zdroje. Najma v men.ich obciach absentuje akako.vek infra.truktura Informa.nej a kybernetickej bezpe.nosti a
to hlavne z dovodu obmedzenych rozpo.tovych zdrojov. NKU opatovne kon.tatoval, .e obce opa. uviedli nedostatok finan.nych prostriedkov ako jednu z
vyznamnych barier pri realizacii akychko.vek opatreni kybernetickej a informa.nej bezpe.nosti. Projekt si stanovuje primarne za cie.ovu skupinu obce do
6000 obyvate.ov, ktore pod.a Vyhla.ky 179/2020 Z.z. spadaju do najni..ej kategorie I. no zarove. z poh.adu zdrojov su najviac poddimenzovane.
Rozdelenie obci na Slovensku pod.a ve.kosti a zapojenia do IS DCOM zobrazuje nasledovna tabu.ka a graf:
Po.et obci Z toho plny DCOM Z toho mimo DCOM
Skupina 199 obyvate.ov alebo menej 409 337 72
Skupina Od 200 do 499 obyvate.ov 710 548 162
Skupina Od 500 do 999 obyvate.ov 744 511 233
Skupina Od 1 000 do 5 999 obyvate.ov 932 545 387
Skupina nad 6000 obyvate.ov 132 20 112
Spolu 2927 1961 966
Graf po.tu obci pod.a ve.kostnej kategorie:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
Aby bolo mo.ne zabezpe.i. kyberneticku bezpe.nos. zapojenych obci je zarove. potrebne prija. opatrenia na urovni IS DCOM, ktory spada do III.
kategorie. DEUS je .pecifickym poskytovate.om cloudovych slu.ieb typu SaaS pre subjekty MUS, a to s vyu.itim IaaS a PaaS vladneho cloudu. IS DCOM
sp..a kriteria kybernetickej bezpe.nosti po.adovane zakonom. IS DCOM je poskytovany obciam ako SaaS slu.ba, to znamena, .e .iadne data, ktore su
spracovavane v IS DCOM nie su ulo.ene na lokalnych zariadeniach na obciach. Lokalne zariadenia v tomto pripade slu.i iba ako gterminalyg pre pristup
na centralne rie.enie. V kontexte uvedeneho je dole.ite zdorazni., .e viacero kritickych bezpe.nostnych prvkov centralneho rie.enia IS DCOM je na
hranici svojej .ivotnosti a podpory. V priebehu najbli..ieho obdobia bude nutne vykona. obnovu HW/SW komponentov. V ramci prostredia centralnej
infra.truktury zatia. neboli implementovane najmodernej.ie SW nastroje pre ochranu prostredia. Ich buducou implementaciou sa razantne zvy.i celkova
odolnos. systemu vo.i novym, sofistikovanym vektorom utoku. V su.asnosti je implementovany monitoring nad zakladnymi prvkami bezpe.nostnej
infra.truktury, ktory bol v minulosti plne posta.ujuci. Vzh.adom k narastajucej komplexnosti hrozieb a taktie. komplexnosti ochrannych nastrojov bude
potrebne tento monitoring povy.i. na omnoho sofistikovanej.iu urove. a zahrnu. do neho novo implementovane vrstvy ochrany.
Implementaciou novych rie.eni sa dosiahne stav, kde aj data obci, ktore spadaju do kategorie I budu chranene na urovni najvy..ich bezpe.nostnych
.tandardov vy.adovanych pre cely IS DCOM.
3.2.2. Biznis procesy, ktore su predmetom projektu
Z poh.adu biznis procesov uzemna samosprava realizuje vykon vybranych procesov .tatnej spravy (tzv. preneseny vykon .tatnej spravy) a zodpoveda za
metodicke riadenie a vykon procesov samospravy (tzv. originalne kompetencie). Z h.adiska originalnych kompetencii, sa opatrenia v oblasti kybernetickej
bezpe.nosti tykaju nasledovnych originalnych kompetencii:
vykonava ukony suvisiace s riadnym hospodarenim s hnute.nym a nehnute.nym majetkom obce a s majetkom vo vlastnictve .tatu prenechanym
obci do u.ivania,
zostavuje a schva.uje rozpo.et obce a zavere.ny u.et obce; vyhlasuje dobrovo.nu zbierku,
rozhoduje vo veciach miestnych dani a miestnych poplatkov a vykonava ich spravu,
usmer.uje ekonomicku .innos. v obci, a ak tak ustanovuje osobitny predpis, vydava suhlas, zavazne stanovisko, stanovisko alebo vyjadrenie k
podnikate.skej a inej .innosti pravnickych osob a fyzickych osob a k umiestneniu prevadzky na uzemi obce, vydava zavazne stanoviska k
investi.nej .innosti v obci,
utvara u.inny system kontroly a vytvara vhodne organiza.ne, finan.ne, personalne a materialne podmienky na jeho nezavisly vykon,
zabezpe.uje vystavbu a udr.bu a vykonava spravu miestnych komunikacii, verejnych priestranstiev, obecneho cintorina, kulturnych, .portovych a
.al.ich obecnych zariadeni, kulturnych pamiatok, pamiatkovych uzemi a pamatihodnosti obce,
zabezpe.uje verejnoprospe.ne slu.by, najma nakladanie s komunalnym odpadom a drobnym stavebnym odpadom, udr.iavanie .istoty v obci,
spravu a udr.bu verejnej zelene a verejneho osvetlenia, zasobovanie vodou, odvadzanie odpadovych vod, nakladanie s odpadovymi vodami zo
.ump a miestnu verejnu dopravu,
utvara a chrani zdrave podmienky a zdravy sposob .ivota a prace obyvate.ov obce, chrani .ivotne prostredie, ako aj utvara podmienky na
zabezpe.ovanie zdravotnej starostlivosti, na vzdelavanie, kulturu, osvetovu .innos., zaujmovu umelecku .innos., telesnu kulturu a .port,
plni ulohy na useku ochrany spotrebite.a a utvara podmienky na zasobovanie obce; spravuje trhoviska,
obstarava a schva.uje uzemnoplanovaciu dokumentaciu obci a zon, koncepciu rozvoja jednotlivych oblasti .ivota obce, obstarava a schva.uje
programy rozvoja byvania a spoluposobi pri utvarani vhodnych podmienok na byvanie v obci,
vykonava vlastnu investi.nu .innos. a podnikate.sku .innos. v zaujme zabezpe.enia potrieb obyvate.ov obce a rozvoja obce,
zaklada, zria.uje, zru.uje a kontroluje pod.a osobitnych predpisov svoje rozpo.tove a prispevkove organizacie, ine pravnicke osoby a zariadenia,
organizuje miestne referendum o dole.itych otazkach .ivota a rozvoja obce,
zabezpe.uje verejny poriadok v obci,
zabezpe.uje ochranu kulturnych pamiatok v rozsahu pod.a osobitnych predpisov a dba o zachovanie prirodnych hodnot,
plni ulohy na useku socialnej pomoci v rozsahu pod.a osobitneho predpisu,
vykonava osved.ovanie listin a podpisov na listinach,
vedie obecnu kroniku v .tatnom jazyku, pripadne aj v jazyku narodnostnej men.iny.
3.2.3. Informacie o oblasti (OBSAH / AGENDA / .IVOTNA SITUACIA), ktorym sa projekt venuje
Z poh.adu .ivotnych situacii sa projekt venuje nasledovnym .ivotnym situaciam:
Kod v .iselniku (MetaIS) Nazov
068 Da. za u.ivanie verejneho priestranstva
072 Miestny poplatok za komunalne odpady a drobne stavebne odpady
097 .port
051 Demokracia
058 U.as. na veciach verejnych
057 .tatisticke informacie
030 Zatvorenie podniku
073 Od.kodnenie
001 Dotacie
031 Odpadove hospodarstvo
093 Centra vo.neho .asu
025 Slu.by
074 Poplatky za verejne slu.by
035 Udr.ate.nos. a .al.ie dimenzie
064 Da. z nehnute.nosti
104 Zakladne umelecke .koly
069 Da. za vjazd a zotrvanie motoroveho vozidla v historickej .asti mesta
067 Da. za ubytovanie
094 Pred.kolske zariadenia
103 Zakladne .koly
005 Oznamovacie povinnosti po registracii podnikania
070 Dotacie
071 Dra.by, exekucie
034 Povolenia .ivotneho prostredia
020 Verejne obstaravanie
014 Ostatne dane
066 Da. za psa
016 Roz.irovanie podnikania
013 Miestne dane a poplatky
061 Vo.by
118 Uzavretie man.elstva / rozvod man.elstva
055 Slobodny pristup k informaciam, pristup k odtajnenym skuto.nostiam, archivy
112 Pomoc v hmotnej nudzi
160 Prenajom nehnute.nosti
109 Narodenie
166 Odpadove hospodarstvo
111 Zdravotne postihnutie a podpora socialneho za.lenenia fyzickej osoby s .a.kym zdravotnym postihnutim do spolo.nosti
167 Ochrana ovzdu.ia
175 Civilna ochrana
157 Kataster nehnute.nosti
153 Bytova politika
178 Po.iar, povode. a ine nebezpe.enstvo
165 Uzemne planovanie
176 Mestska policia
171 Po.ovnictvo a rybarstvo
003 Ina podpora, slobodny pristup k informaciam, pristup k odtajnenym skuto.nostiam, archivy
169 Ochrana prirody a krajiny
081 Cestna doprava a parkovanie
180 Kulturne aktivity
163 Stavebne konanie
117 Umrtie
119 Cirkev a nabo.enske spolo.nosti
121 Pamiatky a zbierky muzei a galerii
115 Socialne slu.by
173 Zvierata a rastliny
Tabu.ka .. 1 - Zoznam projektom zlep.ovanych .ivotnych situacii
Vynos MF SR .. 478/2010 Z. z. o zakladnom .iselniku usekov verejnej spravy a agend verejnej spravy nedefinoval pre samotny DEUS .iaden usek. Av.ak
pre DEUS a tento projekt su relevantne nasledovne useky:
Kod v .iselniku (MetaIS) Nazov useku
U00024 Dane a poplatky
U00055 Stavebny poriadok a uzemne planovanie okrem ekologickych aspektov
U00169 .tatna starostlivos. o mlade. a .port
U00165 Materske .koly, zakladne .koly, stredne .koly, zakladne umelecke .koly, jazykove .koly a .kolske zariadenia
U00176 Vz.ahy s cirkvami a nabo.enskymi spolo.nos.ami
U00223 Vnutorna sprava
U00097 .tatne symboly, heraldicky register
U00077 Regionalny rozvoj okrem koordinacie vyu.ivania finan.nych prostriedkov z fondov Europskej unie
U00059 Cestovny ruch
U00100 Zhroma..ovanie a zdru.ovanie vratane registracie niektorych pravnickych osob, o ktorych to ustanovi osobitny zakon
U00080 Verejny poriadok, bezpe.nos. osob a majetku
U00144 Podpora socialneho za.lenenia fyzickej osoby s .a.kym zdravotnym postihnutim do spolo.nosti
U00012 Ochrana spotrebite.a s vynimkou ochrany spotrebite.a pri poskytovani finan.nych slu.ieb
U00143 Socialne slu.by
U00157 Odpadove hospodarstvo
U00044 Cestna doprava
U00171 Ochrana pamiatkoveho fondu, kulturne dedi.stvo a knihovnictvo
U00149 Ochrana prirody a krajiny
U00154 Ochrana ovzdu.ia, ozonovej vrstvy a klimatickeho systemu Zeme
U00083 Bezpe.nos. a plynulos. cestnej premavky
U00122 Kontrola nad dodr.iavanim podmienok organizovania a priebehu dobrovo.nych dra.ieb
U00041 Hazardne hry
U00194 .tatna .tatistika
U00091 Evidencia obyvate.ov
U00098 Archivy a registratury
U00145 Pomoc v hmotnej nudzi
U00094 Civilna ochrana a krizove riadenie
U00057 Tvorba a uskuto..ovanie bytovej politiky
U00095 Ochrana pred po.iarmi
U00073 Rybarstvo v oblasti akvakultury a morskeho rybolovu
U00172 Umenie
U00046 Pozemne komunikacie
Tabu.ka .. 2 - Zoznam projektom zlep.ovanych usekov
Vy..ie uvedene useky pozostavaju z ve.keho po.tu agend, pri.om agendy priamo relevantne pre projekt su uvedene v tabu.ke ni..ie:
Kod v
.iselniku
(MetaIS)
Nazov useku
A0000224 Rozhodovanie vo veciach miestnych dani, miestnych poplatkov, verejnej davky, prijatia uveru alebo po.i.ky a vykonavanie ich spravy
A0000700 Evidovanie a zabezpe.enie ukladania uzemnych rozhodnuti, stavebnych povoleni, kolauda.nych rozhodnuti a inych opatreni
A0002454 Podporovanie organizovania .portovych podujati miestneho vyznamu
A0002352 Spracuvanie a poskytovanie informacii v oblasti vychovy a vzdelavania
A0000714 Spracovanie, schva.ovanie, zverejnenie a vyhodnotenie uzemneho planu
A0002594 Kontaktovanie sa s registrovanymi cirkvami a nabo.enskymi spolo.nos.ami
A0003185 Spristup.ovanie informacii z informa.nych systemov verejnej spravy
A0003156 S.a.nosti
A0001410 Ozna.ovanie budovy, zasadacej miestnosti a uradnej miestnosti organov obce erbom a vlajkou
A0003117 Pripomienkovanie, vyhodnocovanie, zverej.ovanie a spristup.ovanie nariadenia obce
A0003110 Zostavovanie, .erpanie, vykonavanie zmien a zverej.ovanie rozpo.tu obce
A0001171 Vypracuvanie programov rozvoja obci
A0000772 Podpora rozvoja cestovneho ruchu
A0003109 Zostavovanie a zverej.ovanie zavere.neho u.tu obce
A0001453 Zvolavanie verejneho zhroma.denia ob.anov
A0001201 Zabezpe.ovanie verejneho poriadku v obci
A0003157 Peti.ne pravo
A0001912 Zabezpe.ovanie vyhotovenia preukazu fyzickej osoby s .a.kym zdravotnym postihnutim, vyhotovenia preukazu fyzickej osoby s .a.kym
zdravotnym postihnutim so sprievodcom, parkovacieho preukazu
A0000048 Utvaranie podmienok na zasobovanie obce, ur.ovanie pravidiel .asu predaja v obchode, .asu prevadzky slu.ieb a spravovanie trhovisk
A0003097 Poskytovanie dotacii z rozpo.tu obce
A0001871 Poskytovanie finan.neho prispevku pri odkazanosti na pomoc inej osoby a finan.neho prispevku na prevadzku neverejnym
poskytovate.om socialnych slu.ieb
A0002243 Zabezpe.ovanie alebo umo..ovanie zberu a prepravy komunalnych odpadov a zabezpe.enie priestoru na odovzdavanie oddelenych
zlo.iek komunalnych odpadov ob.anmi v ramci separovaneho zberu
A0002237 Poskytovanie informacie o umiestneni a .innosti zariadeni na nakladanie s odpadmi dr.ite.ovi odpadu na uzemi obce
A0002380 Spracuvanie a poskytovanie informacii v oblasti vychovy a vzdelavania
A0000433 Schva.ovanie a ukladanie zmien cestovneho poriadku
A0000434 Ude.ovanie, zmena a od.atie dopravnej licencie
A0002541 Vydavanie zavaznych stanovisk a stanovisk k upravam uli.neho interieru, drobnej architektury, historickej zelene, verejneho osvetlenia
a reklamnych zariadeni
A0002082 Riadenie, vykonavanie a kontrola vykonu .tatnej spravy starostlivosti o .ivotne prostredie
A0000431 Povo.ovanie zriadenia autobusovej linky
A0003114 Hospodarenie a nakladanie s vlastnym majetkom a s vlastnymi prijmami obce
A0002203 Ur.ovanie podmienok a kontrola dodr.iavania povinnosti prevadzkovania malych zdrojov zne.is.ovania ovzdu.ia
A0001217 Odstra.ovanie vozidiel ponechanych na ceste vratane chodnika na naklady jeho prevadzkovate.a
A0001659 Kontrola dodr.iavania podmienok organizovania a priebehu dra.ieb
A0003183 Zadavanie zakaziek na dodanie tovaru, zakazky na uskuto.nenie stavebnych prac alebo na poskytnutie slu.ieb, zakazky na poskytnutie
slu.ieb a su.a. navrhov
A0000336 Rozhodovanie o udeleni individualnej licencie na useku hazardnych hier
A0000706 Obstaravanie, schva.ovanie, zmena a zverejnenie uzemnoplanovacej dokumentacie
A0000721 Ur.enie supisneho a orienta.neho .isla stavbam a vedenie ich evidencie
A0002777 Organiza.ne zabezpe.enie volieb
A0001302 Evidovanie hlaseni o uzavreti man.elstva, o rozvode man.elstva, o narodeni, respektive o umrti
A0001419 Umo..ovanie pristupu k archivnym dokumentom
A0001938 Vykonavanie poradenstva pri zabezpe.eni zakladnych .ivotnych podmienok a pomoci v hmotnej nudzi
A0001937 Rozhodovanie o jednorazovej davke v hmotnej nudzi
A0001344 Oboznamovanie sa s havarijnymi planmi podnikov a prevadzok a informovanie obyvate.stva o postupe pri mimoriadnej udalosti
A0000765 Zabezpe.ovanie obstaravania a schva.ovania programov rozvoja byvania a spoluposobenia pri utvarani vhodnych podmienok na byvanie v
obci
A0001383 Vypracovanie a vedenie dokumentacie ochrany pred po.iarmi obce
A0001104 Vydavanie rybarskych listkov a vedenie ich evidencie
A0002548 Vedenie evidencie pamiatkoveho fondu na uzemi obce
A0002581 Prijimanie oznamenia usporiadate.a o zamere usporiada. podujatie
A0000476 Vedenie technickej evidencie o pozemnych komunikaciach vo vlastnictve a sprave obce
A0000486 Poskytovanie udajov o zjazdnosti miestnych komunikacii a udajov z technickej evidencie miestnych komunikacii
A0000445 Zabezpe.ovanie vystavby, udr.by a vykonu spravy miestnych komunikacii
A0000444 Zabezpe.ovanie miestnej verejnej dopravy
A0001856 Tvorba komunitneho planu socialnych slu.ieb
A0001861 Poskytovanie alebo zabezpe.ovanie socialnej slu.by v noc.aharni, v nizkoprahovom dennom centre, v nizkoprahovom dennom centre pre
deti a rodinu, v zariadeni pre seniorov, v zariadeni opatrovate.skej slu.by, v dennom stacionari, opatrovate.skej slu.by, prepravnej slu.by,
od.ah.ovacej slu.by
A0001857 Utvaranie podmienok na podporu komunitneho rozvoja v oblasti poskytovania socialnych slu.ieb
Tabu.ka .. 3 - Zoznam agend relevantnych pre projekt
3.2.4. ROZSAH PROJEKTU
Z h.adiska subjektu sa projekt tyka DEUS. DEUS v zmysle ˜ 9a odsek 1 zakona .. 305/2013 Z.z. o elektronickej podobe vykonu posobnosti organov
verejnej moci (eGovernmente) vykonava .innosti spravcu a prevadzkovate.a IS DCOM. DEUS je zaujmove zdru.enie pravnickych osob, ktoreho jedinymi
.lenmi su Ministerstvo financii SR (.alej len .MF SRg) a Zdru.enie miest a obci Slovenska (.alej len .ZMOSg). Zakon o eGovernmente zarove. vymedzuje
IS DCOM ako nadrezortny informa.ny system verejnej spravy, ktory poskytuje obciam technicke a programove prostriedky na vykon verejnej moci
elektronicky, na prevadzkovanie ISVS v ich sprave a na zabezpe.enie zakladnych .innosti v oblasti elektronickeho vykonu vnutornych agend a prevadzku
ostatnych IS, ktore obec pou.iva.
System riadenia kybernetickej bezpe.nosti v Slovenskej republike ma nieko.ko vrstiev, ktore mo.eme rozdeli. na narodnu urove. a sektorovu urove.. Na
sektorovej urovni je pod.a zakona definovanych 11 sektorov a 25 podsektorov. Za ka.dy zo sektorov je zodpovedny ustredny organ (.alej len .ustredny
organg), ktory plni ulohy na urovni poskytovania po.adovanej su.innosti s uradom, spoluprace s inymi sektorovymi ustrednymi organmi a
prevadzkovate.mi zakladnych slu.ieb vo svojej posobnosti, budovani bezpe.nostneho povedomia, koordinovanej spoluprace na v.etkych stup.och
riadenia kybernetickej bezpe.nosti, aplikacie bezpe.nostnych opatreni, identifikacie zakladnej slu.by a prevadzkovate.a zakladnej slu.by a spoluprace so
zahrani.nou in.tituciou obdobneho zamerania. Projekt sa priamo dotyka sektoru Verejnej spravy a podsektorov Bezpe.nos. a Informa.ne systemy
verejnej spravy. V ka.dom sektore, na zaklade identifikacie pod.a zakona, vystupuju prevadzkovatelia zakladnych slu.ieb. Tito maju povinnosti,
vyplyvajuce zo zakona a to najma prija. a dodr.iava. zakonne vymedzene bezpe.nostne opatrenia, bezodkladne uradu hlasi. zava.ny kyberneticky
bezpe.nostny incident, rie.i. kyberneticke bezpe.nostne incidenty, zabezpe.ova. dokazy o kybernetickych bezpe.nostnych incidentoch, spolupracova. s
uradom a ustrednym organom, ako aj oznami. organom .innym v trestnom konani, ak bol spachany trestny .in v suvislosti s kybernetickym
bezpe.nostnym incidentom. Zdru.enie DEUS, ako aj obce su prevadzkovate.mi zakladnej slu.by.
Projekt kybernetickej bezpe.nosti pre samospravy do 6000 obyvate.ov bude realizovany v 3 .astiach:
1.
Projekt je rozdeleny do troch zakladnych .asti:
Infra.truktura ochrany dat obce v datovom centre.
Upgrade a doplnenie centralnej infra.truktury IS DCOM na softverovej a hardverovej urovni za u.elom:
udr.ania vysokej bezpe.nosti samotnej zakladnej slu.by poskytovanej IS DCOM.
minimalizovanie vypadkov poskytovanej slu.by z dovodu kybernetickeho utoku
vyznamneho zni.enia .asu obnovy systemu pri zava.nom KB incidente a nutnosti obnovy systemu zo zalohy (total recovery time IS DCOM)
Audit a kontrolne .innosti
obstaranie auditu kybernetickej bezpe.nosti v sulade so zakonom o KB pre IS DCOM
2. Zvy.enie kybernetickej bezpe.nosti obci v su.asnosti nezapojenych do IS DCOM do 6000 obyvate.ov
Pre zabezpe.enie informa.nej a kybernetickej bezpe.nosti tychto obci a ochranu dat je potrebne v prvom kroku realizova. migraciu obci do IS DCOM. Po
migracii by tieto obce mali prostrednictvom IS DCOM zabezpe.enu kompletnu agendu komunikacie cez elektronicku schranku obce, v.etky rozhodnutia
obce, v.etky da.ove informacie a rozhodnutia a mno.stvo inej agendy a integracii na centralne systemy verejnej spravy ako Register fyzickych osob,
socialna pois.ov.a, narodna evidencia vozidiel a podobne. V.etky tieto data budu u.ivate.om obci pristupne po dvojfaktorovej autorizacii . najskor cez
VPN a nasledne prostrednictvom aplika.nych roli v samotnej aplikacii. Okrem dat, ktore su evidovane v IS DCOM, maju obce citlivej.ie data evidovane u.
iba v systemoch pre spravu registratury a u.tovnictve. Ve.ka .as. dat zo spravy registratury je prostrednictvom integracii tie. synchronizovana do IS
DCOM za u.elom optimalnej spoluprace oboch systemov. Obec by tak prostrednictvom IS DCOM mala chranene v.etky kriticke data, ktore spravuje alebo
uchovava.
a) Migracia do IS DCOM
Migracia udajov suvisiacich so slu.bami samospravy poskytovanymi verejnosti
Asistencia pre obec/mesto po spusteni do produk.nej prevadzky
.kolenie novych pou.ivate.ov IS DCOM
Zabezpe.enie slu.ieb UPVS pre obce
In.talacia a konfiguracia backup systemu obce
b) Organizacia kybernetickej a informa.nej bezpe.nosti
Vypracovanie alebo aktualizacia bezpe.nostnej dokumentacie vratane rozsahu a sposobu plnenia v.eobecnych bezpe.nostnych opatreni;
vypracovanie a implementacia .pecifickych internych riadiacich aktov pre vybrane oblasti kybernetickej a informa.nej bezpe.nosti;
c) Riadenie rizik
Identifikacia v.etkych aktiv suvisiacich so zariadeniami na spracovanie informacii a centralne zaznamenavanie inventaru tychto aktiv pod.a ich
hodnoty vratane ur.enia ich vlastnika, ktory definuje po.iadavky na ich dovernos., dostupnos. a integritu;
riadenie rizik pozostavajuce z identifikacie zranite.nosti, identifikacie hrozieb, identifikacie a analyzy rizik s oh.adom na aktivum, ur.enie vlastnika
rizika, implementacie organiza.nych a technickych bezpe.nostnych opatreni, analyzy funk.neho dopadu a pravidelneho preskumavania
identifikovanych rizik v zavislosti od aktualizacie prijatych bezpe.nostnych opatreni;
vypracovanie a implementacia interneho riadiaceho aktu riadenia rizik kybernetickej a informa.nej bezpe.nosti.
d) Personalna bezpe.nos.
Vypracovanie postupov pri zaradeni osoby do niektorych z bezpe.nostnych roli, zavedenie planu rozvoja bezpe.nostneho povedomia a
vzdelavania, vypracovanie sposobov hodnotenia u.innosti planu rozvoja bezpe.nostneho povedomia, ur.enie pravidiel a postupov na rie.enie
pripadov poru.enia bezpe.nostnej politiky, zavedenie postupov pri skon.eni pracovnopravneho vz.ahu alebo ineho obdobneho vz.ahu,
zavedenie postupov pri poru.eni bezpe.nostnych politik;
vypracovanie alebo aktualizacia interneho riadiaceho aktu s bezpe.nostnymi zasadami pre koncovych pou.ivate.ov;
vypracovanie a implementacia postupov a procesov upravujucich personalnu bezpe.nos. organizacie prostrednictvom interneho riadiaceho aktu.
e) Riadenie pristupov
Vypracovanie a implementacia zasad riadenia pristupov osob k sieti a informa.nemu systemu;
vypracovanie a implementacia postupov a procesov upravujucich riadenie pristupov organizacie.
f) Riadenie kybernetickej a informa.nej bezpe.nosti vo vz.ahoch s tretimi stranami
Vypracovanie analyzy rizik tretich stran a celeho dodavate.skeho re.azca, vratane analyzy politickych rizik;
analyza a posudenie suladu v.etkych aktualnych zmluv s tretimi stranami so zakonom o KB a dobrou praxou;
vypracovanie navrhov dodatkov zmluv s tre.ou stranou spolu s navrhom potrebnych uprav na zabezpe.enie suladu so zakonom KB;
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho zasady kybernetickej a informa.nej bezpe.nosti vo vz.ahoch s tretimi
stranami.
g) Bezpe.nos. pri prevadzke informa.nych systemov a sieti
obstaranie slu.ieb pre potreby spravy prevadzkovej zalohy, kopie archiva.nej zalohy a kopie in.tala.nych medii, vratane ur.enia sposobu ich
ukladania
h) Hodnotenie zranite.nosti a bezpe.nostne aktualizacie
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho proces riadenia implementacie bezpe.nostnych aktualizacii a zaplat;
i) Ochrana proti .kodlivemu kodu
Vypracovanie interneho riadiaceho aktu s po.iadavkami na ur.enie zodpovednosti pou.ivate.ov, pravidiel pre in.talaciu a monitorovania
potencialnych ciest prieniku .kodliveho kodu;
vypracovanie a implementacia pravidiel suvisiace s ochranou proti .kodlivemu kodu;
j) Sie.ova a komunika.na bezpe.nos.
Implementacia nastrojov na ochranu integrity sieti, ktore zabezpe.uju riadenie bezpe.neho pristupu medzi vonkaj.imi a vnutornymi sie.ami,
implementacia segmentacie sieti, implementacia alebo obnova firewall-u, revizia firewall pravidiel;
vytvorenie alebo aktualizacia dokumentacie po.ita.ovej siete, ktora obsahuje evidenciu v.etkych miest prepojenia sieti vratane prepojeni s
externymi sie.ami, topologiu siete a vyu.itie IP rozsahov;
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho pravidla sie.ovej a komunika.nej bezpe.nosti;
k) Rie.enie kybernetickych bezpe.nostnych incidentov
Vypracovanie .tandardov a postupov rie.enia kybernetickych bezpe.nostnych incidentov, vratane definovania zodpovednosti zamestnancov a
.al.ich povinnosti;
vypracovanie planov a sposobov rie.enia kybernetickych bezpe.nostnych incidentov.
l) Kontinuita prevadzky
Vypracovanie strategie a krizovych planov prevadzky na zaklade analyzy vplyvov kybernetickeho bezpe.nostneho incidentu na zakladnu slu.bu;
vypracovanie interneho riadiaceho aktu obsahujuceho a upravujuceho kontinuitu prevadzky nasledkom kybernetickeho bezpe.nostneho incidentu
alebo inej krizovej situacie;
implementacia systemu zalohovania.
m) Samohodnotenie suladu opatreni obce s po.iadavkami kybernetickej bezpe.nosti
Podpora pre obce pri vypracovani prveho samohodnotenia obce
3. Zvy.enie kybernetickej bezpe.nosti obci zapojenych do IS DCOM do 6000 obyvate.ov
a) Organizacia kybernetickej a informa.nej bezpe.nosti
Vypracovanie alebo aktualizacia bezpe.nostnej dokumentacie vratane rozsahu a sposobu plnenia v.eobecnych bezpe.nostnych opatreni;
vypracovanie a implementacia .pecifickych internych riadiacich aktov pre vybrane oblasti kybernetickej a informa.nej bezpe.nosti;
b) Riadenie rizik
Identifikacia v.etkych aktiv suvisiacich so zariadeniami na spracovanie informacii a centralne zaznamenavanie inventaru tychto aktiv pod.a ich
hodnoty vratane ur.enia ich vlastnika, ktory definuje po.iadavky na ich dovernos., dostupnos. a integritu;
riadenie rizik pozostavajuce z identifikacie zranite.nosti, identifikacie hrozieb, identifikacie a analyzy rizik s oh.adom na aktivum, ur.enie vlastnika
rizika, implementacie organiza.nych a technickych bezpe.nostnych opatreni, analyzy funk.neho dopadu a pravidelneho preskumavania
identifikovanych rizik v zavislosti od aktualizacie prijatych bezpe.nostnych opatreni;
vypracovanie a implementacia interneho riadiaceho aktu riadenia rizik kybernetickej a informa.nej bezpe.nosti.
c) Personalna bezpe.nos.
Vypracovanie postupov pri zaradeni osoby do niektorych z bezpe.nostnych roli, zavedenie planu rozvoja bezpe.nostneho povedomia a
vzdelavania, vypracovanie sposobov hodnotenia u.innosti planu rozvoja bezpe.nostneho povedomia, ur.enie pravidiel a postupov na rie.enie
pripadov poru.enia bezpe.nostnej politiky, zavedenie postupov pri skon.eni pracovnopravneho vz.ahu alebo ineho obdobneho vz.ahu,
zavedenie postupov pri poru.eni bezpe.nostnych politik;
vypracovanie alebo aktualizacia interneho riadiaceho aktu s bezpe.nostnymi zasadami pre koncovych pou.ivate.ov;
vypracovanie a implementacia postupov a procesov upravujucich personalnu bezpe.nos. organizacie prostrednictvom interneho riadiaceho aktu.
d) Riadenie pristupov
Vypracovanie a implementacia zasad riadenia pristupov osob k sieti a informa.nemu systemu;
vypracovanie a implementacia postupov a procesov upravujucich riadenie pristupov organizacie.
e) Riadenie kybernetickej a informa.nej bezpe.nosti vo vz.ahoch s tretimi stranami
Vypracovanie analyzy rizik tretich stran a celeho dodavate.skeho re.azca, vratane analyzy politickych rizik;
analyza a posudenie suladu v.etkych aktualnych zmluv s tretimi stranami so zakonom o KB a dobrou praxou;
vypracovanie navrhov dodatkov zmluv s tre.ou stranou spolu s navrhom potrebnych uprav na zabezpe.enie suladu so zakonom KB;
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho zasady kybernetickej a informa.nej bezpe.nosti vo vz.ahoch s tretimi
stranami.
f) Bezpe.nos. pri prevadzke informa.nych systemov a sieti
obstaranie slu.ieb pre potreby spravy prevadzkovej zalohy, kopie archiva.nej zalohy a kopie in.tala.nych medii, vratane ur.enia sposobu ich
ukladania
g) Hodnotenie zranite.nosti a bezpe.nostne aktualizacie
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho proces riadenia implementacie bezpe.nostnych aktualizacii a zaplat;
h) Ochrana proti .kodlivemu kodu
Vypracovanie interneho riadiaceho aktu s po.iadavkami na ur.enie zodpovednosti pou.ivate.ov, pravidiel pre in.talaciu a monitorovania
potencialnych ciest prieniku .kodliveho kodu;
vypracovanie a implementacia pravidiel suvisiace s ochranou proti .kodlivemu kodu;
i) Sie.ova a komunika.na bezpe.nos.
Implementacia nastrojov na ochranu integrity sieti, ktore zabezpe.uju riadenie bezpe.neho pristupu medzi vonkaj.imi a vnutornymi sie.ami,
implementacia segmentacie sieti, implementacia alebo obnova firewall-u, revizia firewall pravidiel;
vytvorenie alebo aktualizacia dokumentacie po.ita.ovej siete, ktora obsahuje evidenciu v.etkych miest prepojenia sieti vratane prepojeni s
externymi sie.ami, topologiu siete a vyu.itie IP rozsahov;
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho pravidla sie.ovej a komunika.nej bezpe.nosti;
j) Rie.enie kybernetickych bezpe.nostnych incidentov
Vypracovanie .tandardov a postupov rie.enia kybernetickych bezpe.nostnych incidentov, vratane definovania zodpovednosti zamestnancov a
.al.ich povinnosti;
vypracovanie planov a sposobov rie.enia kybernetickych bezpe.nostnych incidentov.
k) Kontinuita prevadzky
Vypracovanie strategie a krizovych planov prevadzky na zaklade analyzy vplyvov kybernetickeho bezpe.nostneho incidentu na zakladnu slu.bu;
vypracovanie interneho riadiaceho aktu obsahujuceho a upravujuceho kontinuitu prevadzky nasledkom kybernetickeho bezpe.nostneho incidentu
alebo inej krizovej situacie;
implementacia systemu zalohovania.
l) Samohodnotenie suladu opatreni obce s po.iadavkami kybernetickej bezpe.nosti
Podpora pre obce pri vypracovani prveho samohodnotenia obce
Maximalny mo.ny po.et zapojenych obci do projektu uvadza nasledovna tabu.ka:
samosprava do 6000
obyvate.ov
SR DCOM Z toho do
projektu
Mimo
DCOM
Z toho do projektu
40%
Celkovo maximalne v projekte . kryte rozpo.tom
projektu
Minimalne
KPI projektu
Spolu 2795 1941 1455 854 350 1805 1000
1.
2.
3.
4.
5.
6.
7.
3.2.5. Motivacia stakeholderov projektu
Kyberneticka bezpe.nos. je s neustale rastucou digitalizaciou spolo.nosti jednou z najdole.itej.ich oblasti, ktora priamo ovplyv.uje fungovanie modernej
spolo.nosti. Aby bolo mo.ne ju efektivne riadi., potrebuje strategicke ukotvenie aj v ramci samospravy. Komplexny pristup ku kybernetickej bezpe.nosti s
jasnymi principmi a cie.mi nie len zaru.uje jasnu viziu, ale aj potvrdzuje jej dole.itos. v celom bezpe.nostnom systeme. Previazanie kybernetickej
bezpe.nosti s problematikou po.ita.ovej kriminality, kybernetickeho spravodajstva, kybernetickej obrany a kybernetickej diplomacie pod.iarkuje
multidimenzionalny presah kybernetickej bezpe.nosti do viacerych vyznamnych oblasti, ktore formuju kyberneticky. priestor.
D.a 7. januara 2021 bola vladou schvalena Narodna strategia kybernetickej bezpe.nosti na roky 2021 a. 2025 (.alej len gNarodna strategiah), ktora
zakotvila smerovanie Slovenskej republiky (.alej len .SRg) v oblasti kybernetickej bezpe.nosti. V Narodnej strategii su popisane principy, na ktorych stoji
system riadenia kybernetickej bezpe.nosti, ako aj hrozby, ktore vplyvaju na procesy a .innosti v oblasti kybernetickej bezpe.nosti a maju vyznamny dopad
na bezpe.nos. .tatu, ako aj jeho obyvate.ov. Ako reakcia na tieto hrozby Narodna strategia ur.ila strategicke ciele, na ktore je potrebne sa najbli..ich
minimalne 5 rokov zamera.:
Doveryhodny .tat pripraveny na hrozby
Efektivne odha.ovanie a objas.ovanie po.ita.ovej kriminality
Odolny. sukromny sektor
Kyberneticka bezpe.nos. ako zakladna su.as. verejnej spravy
Silne partnerstva
Vzdelani odbornici a vzdelana verejnos.
Vyskum a vyvoj v oblasti kybernetickej bezpe.nosti
Aby mohla by. Narodna strategia a jej ciele vykonate.ne, museli by. ur.ene konkretne ulohy a aktivity spolu s jasnymi zodpovednos.ami. Na tento u.el
slu.i Ak.ny plan Narodnej strategie kybernetickej bezpe.nosti na roky 2021 a. 2025 (.alej len gAk.ny planh), ktory tieto ulohy definuje, ur.uje zodpovedne
subjekty a takisto aj .asove horizonty pre jednotlive ulohy. Na narodnu strategiu, jej ciele a ak.ny plan nadvazuje ciel tohto narodneho projektu, ktorym je
zvy.enie urovne kybernetickej a informa.nej bezpe.nosti pre obce do 6 000 obyvate.ov v podobe technickych a organiza.nych opatreni a zabezpe.enie
suladu s legislativnymi po.iadavkami v oblasti kybernetickej bezpe.nosti.
V IS DCOM maju obce kompletnu agendu komunikacie cez elektronicku schranku obce, v.etky rozhodnutia obce, v.etky da.ove informacie a rozhodnutia
a mno.stvo inej agendy a integracii na centralne systemy verejnej spravy ako Register fyzickych osob, Socialna pois.ov.a, Narodna evidencia vozidiel a
podobne. V.etky tieto data su u.ivate.om obci pristupne po dvojfaktorovej autorizacii . najskor cez VPN a nasledne prostrednictvom aplika.nych roli v
samotnej aplikacii. Okrem dat, ktore su evidovane v IS DCOM, maju obce citlivej.ie data evidovane u. iba v systemoch pre spravu registratury a
u.tovnictve. Ve.ka .as. dat zo spravy registratury je prostrednictvom integracii tie. synchronizovana do IS DCOM za u.elom optimalnej spoluprace oboch
systemov. Z vy..ie uvedeneho je zrejme, .e najva..i objem chulostivych dat na obci (ur.ite vieme poveda. .e viac ako 80%) prevadzkuje obec v IS
DCOM. Na malych obciach sa v principe jedna o 100%. V.etky tieto fakty potvrdzuju, .e pokia. kvalitne ochranime centralnu infra.trukturu IS DCOM v
datovych centrach, ochranime tak vy.e 80% dat a IT prevadzky obci.
V zmysle zakona ..69/2018 Z.z. o kybernetickej bezpe.nosti, je ka.da obec s po.tom obyvate.ov viac ne. 1000 prevadzkovate.om zakladnej slu.by .tatu
a je povinna dodr.iava. bezpe.nostne opatrenia pod.a ˜20 (1). Su to ulohy, procesy, role a technologie v organiza.nej, personalnej a technickej oblasti,
ktorych cie.om je zabezpe.enie kybernetickej bezpe.nosti po.as .ivotneho cyklu sieti a informa.nych systemov. V zasade ide o opatrenia, ktore maju za
cie. minimalizova. riziko vzniku negativnej udalosti akymi su napriklad:
Naru.enie prevadzky siete alebo informa.neho systemu, ktore ohrozi integritu alebo dovernos. spracovavanych osobnych udajov,
Uniku osobnych udajov v dosledku .oho mo.e vzniknu. .koda na zdravi, .i ujma na majetku,
Obmedzenie vykonu, alebo ohrozenie posobnosti obce, najma s oh.adom na schopnos. zabezpe.enia bezpe.ia, verejneho poriadku alebo
zvladnutia mimoriadnej udalosti.
Zakon hovori explicitne o obciach nad 1000 obyvate.ov, a. 1863 obci na Slovensku, teda viac ne. 2/3 uzemia  ma menej ne. tisic obyvate.ov a spolu
tak v tychto obciach .ije viac ako 800 000 obyvate.ov. Z poh.adu kybernetickej bezpe.nosti data tychto ob.anov a obci nie su chranene vobec.
.truktura obci pod.a po.tu obyvate.ov a sposobu zabezpe.enia vykonu verejnej moci elektronicky
Po.et obci Z toho plny DCOM Z toho mimo DCOM
Skupina 199 obyvate.ov alebo menej 409 337 72
Skupina Od 200 do 499 obyvate.ov 710 548 162
Skupina Od 500 do 999 obyvate.ov 744 511 233
Skupina Od 1 000 do 5 999 obyvate.ov 932 545 387
Skupina nad 6000 obyvate.ov 132 20 112
Spolu 2927 1961 966
Cie.om aktivit projektu je vytvori. prostredie na narodnej urovni v ktorom bude mo.ne .o najefektivnej.ie zvy.ova. urove. kybernetickej bezpe.nosti pre
samospravy SR a ob.anov SR vyu.ivajucich elektronicke slu.by samosprav. Realizacia projektu prostrednictvom dopytovej vyzvy na predkladanie
.iadosti o NFP by bola neefektivna, nako.ko by nebolo mo.ne naplni. v.etky stanovene ciele predlo.eneho projektu, ktory bude ma. dopad na organizacie
samospravy naprie. celym uzemim SR. Upgrade monitoringu prevadzky vyznamne zlep.i aj monitorovanie a detekciu hrozieb a umo.ni organizacii lep.ie
tieto hrozby identifikova., analyzova. a v rychlom .ase prija. aktivne bezpe.nostne opatrenia pre ochranu a zachovanie integrity dovernych informacii,
ktore system spracovava. Implementaciou projektu sa vyznamne zni.i .as obnovy systemu (recovery time) v pripade zava.neho bezpe.nostneho
incidentu, .o predstavuje pre koncoveho u.ivate.a najva..i prinos projektu. Jedna sa tak o kontinualnu investiciu do modernizacie IS DCOM
a zabezpe.enie jeho vysokej ochrany v dynamicky sa meniacom prostredi kybernetickej bezpe.nosti.
Akteri projektu, ich ciele, po.iadavky a obmedzenia:
Akter Cie. Po.iadavka Obmedzenie
DEUS Zabezpe.i. infra.trukturu
ochrany dat obce v datovom
centre
Poskytovanie bezpe.nych a
doveryhodnych elektronickych
slu.ieb samospravy
Zni.enie rizika kybernetickych
utokov v ramci samospravy.
Realizacia projektu Kyberneticka bezpe.nos. pre samospravy SR do 6000
obyvate.ov prostrednictvom spravcu informa.neho systemu DCOM. Zamedzi.
riziku kybernetickych utokov a vypadku eSlu.ieb MUS.
Su.asne finan.ne zabezpe.enie DEUS
neumo..uje realizaciu projektu bez
financovania zo zdrojov EU.
Obec
(samo
sprav
a)
Zabezpe.i. infra.trukturu
ochrany dat obce v datovom
centre
Zabezpe.i. sulad
s nariadenim NIS2, resp.
zakonom .. 69/2018 Z.z.
Poskytovanie bezpe.nych a
doveryhodnych elektronickych
slu.ieb samospravy
Zni.enie rizika kybernetickych
utokov v ramci samospravy.
Realizacia projektu Kyberneticka bezpe.nos. pre samospravy SR do 6000
obyvate.ov prostrednictvom spravcu informa.neho systemu DCOM.
Chybajuce zdroje na zabezpe.enie
infra.truktury.
Dostupne finan.ne prostriedky su
smerovane na zabezpe.enie akutnych
potrieb samospravy.
ZMOS Zabezpe.i. infra.trukturu
ochrany dat obce v datovom
centre
Zabezpe.i. sulad
s nariadenim NIS2, resp.
zakonom .. 69/2018 Z.z.
Poskytovanie bezpe.nych a
doveryhodnych elektronickych
slu.ieb samospravy
Zni.enie rizika kybernetickych
utokov v ramci samospravy.
Realizacia projektu Kyberneticka bezpe.nos. pre samospravy SR do 6000
obyvate.ov prostrednictvom spravcu informa.neho systemu DCOM. Minimalizacia
administrativnej a finan.nej za.a.e na samospravu.
Chybajuce zdroje na zabezpe.enie
infra.truktury.
Dostupne finan.ne prostriedky su
smerovane na zabezpe.enie akutnych
potrieb samospravy.
MF
SR
Efektivne vynakladanie
zdrojov verejneho rozpo.tu
(.tatneho i samospravneho).
Zabezpe.enie kybernetickej bezpe.nosti pre samospravy SR do 6000 obyvate.ov
pri dodr.ani podmienky VfM
Vzh.adom na prebiehajuce krizy a deficit
v .tatnom rozpo.te su zdroje .tatneho
rozpo.tu vyrazne obmedzene.
MIRRI
SR
Zabezpe.i. kyberneticku
bezpe.nos. vo VS
Zabezpe.i. sulad
s nariadenim NIS2, resp.
zakonom .. 69/2018 Z.z.
Zni.enie rizika kybernetickych
utokov v ramci samospravy.
Poskytovanie podpory samosprave. Pre dosiahnutie cie.ov na narodnej urovni
je potrebny partner na urovni samospravy.
NBU Zabezpe.i. kyberneticku
bezpe.nos. vo VS
Zabezpe.i. sulad
s nariadenim NIS2, resp.
zakonom .. 69/2018 Z.z.
Zni.enie rizika kybernetickych
utokov v ramci samospravy.
Poskytovanie podpory samosprave. Pre dosiahnutie cie.ov na narodnej urovni
je potrebny partner na urovni samospravy.
Verejn
os.
Poskytovanie bezpe.nych a
doveryhodnych elektronickych
slu.ieb samospravy.
Zni.enie rizika kybernetickych
utokov v ramci samospravy.
Realizacia projektu Kyberneticka bezpe.nos. pre samospravy SR do 6000
obyvate.ov prostrednictvom spravcu informa.neho systemu DCOM. Minimalizacia
administrativnej a finan.nej za.a.e na samospravu.
N/A
Projekt je v sulade so strategickymi dokumentmi v oblasti kybernetickej bezpe.nosti a informatizacie samospravy, pri.om vychodiskovym ramcom pre
realizaciu projektu su dokumenty:
Narodna strategia kybernetickej bezpe.nosti na roky 2021 a. 2025, ktora zakotvila smerovanie Slovenskej republiky (.alej len .SRg) v oblasti
kybernetickej bezpe.nosti. V Narodnej strategii su popisane principy, na ktorych stoji system riadenia kybernetickej bezpe.nosti, ako aj hrozby,
ktore vplyvaju na procesy a .innosti v oblasti kybernetickej bezpe.nosti a maju vyznamny dopad na bezpe.nos. .tatu, ako aj jeho obyvate.ov.
Ak.ny plan realizacie Narodnej strategie kybernetickej bezpe.nosti na roky 2021 a. 2025. Cie.om Ak.neho planu je vytvori. uceleny koncept uloh
a aktivit v oblasti kybernetickej bezpe.nosti na najbli..ich 5 rokov. Navrhovane ulohy su adekvatne k potrebam naplnenia vizie a strategickych
cie.ov strategie a re.pektuju zakladne principy, ktore boli v strategii zakotvene.
Narodna koncepcia informatizacie verejnej spravy, definuje Informa.nu a kyberneticku bezpe.nos. ako jednu zo svojich priorit. Kyberneticka a
informa.na bezpe.nos. je horizontalna os, ktora nastavuje ciele v zaujme vybudovania ekosystemu, legislativneho, organiza.neho a technickeho
prostredia schopneho .eli. kybernetickym hrozbam
3.3 Zainteresovane strany/Stakeholderi
ID AKTER / STAKEHOLDER SUBJ
EKT
(nazov
/
skratk
a)
ROLA
(vlastnik procesu/ vlastnik dat/zakaznik/ u.ivate. c. .len timu at..)
Informa.ny
system
(MetaIS
kod a
nazov
ISVS)
1. Zamestnanec DEUS DEUS Spravca a prevadzkovate. nadrezortneho informa.neho systemu verejnej spravy, ktory poskytuje
samosprave technicke a programove prostriedky na vykon verejnej moci elektronicky, na prevadzkovanie
ISVS v ich sprave
IS DCOM
(isvs_6391)
2. Uradnik samospravy samos
prava
Pou.ivate. G2G elektronickych slu.ieb IS DCOM IS DCOM
(isvs_6391)
3. Zakladatelia zdru.enia DEUS ZMOS
/MF
SR
Governance DEUS N/A
4. Ministerstvo investicii,
regionalneho rozvoja a
informatizacie SR
MIRRI
SR
Posudzovate. projektu/ UO.S pre Informa.ne systemy verejnej spravy v oblasti kybernetickej bezpe.nosti N/A
5. Narodny bezpe.nostny urad NBU Riadi a koordinuje vykon .tatnej spravy v oblasti kybernetickej bezpe.nosti. N/A
6. Ob.ania/Podnikatelia Verejn
os.
Pou.ivate. G2C a G2B elektronickych slu.ieb IS DCOM IS DCOM
(isvs_6391)
7. Externi dodavatelia ED Dodavatelia N/A
3.4 Ciele projektu
ID
Nazov cie.a
Nazov strategickeho
cie.a
Sposob realizacie strategickeho cie.a
01 Zvy.enie a zlep.enie urovne
kybernetickej a informa.nej
bezpe.nosti v prostredi
samospravy
Narodna strategia
Kybernetickej
bezpe.nosti na roky
2021 . 2025:
4.1 Doveryhodny .tat
pripraveny na hrozby
4.4 Kyberneticka
bezpe.nos. ako
zakladna su.as.
verejnej spravy
- zavedenim funk.nych procesov riadenia rizik kybernetickej bezpe.nosti,
- kontinualne posil.ovanim technickych, organiza.nych a personalnych kapacit pre detekciu a
rie.enie kybernetickych bezpe.nostnych incidentov na narodnej urovni a v ramci jednotlivych sektorov,
vratane kritickej infra.truktury,
- rozvojom schopnosti v oblasti detekcie a zberu bezpe.nostne relevantnych udalosti v narodnom
kybernetickom priestore, ako aj rozvoj schopnosti v oblasti vyhodnocovania udalosti a detekcie
incidentov modernymi technikami v narodnom kybernetickom priestore
- uplat.ovanim systematickeho pristupu ku kybernetickej bezpe.nosti zalo.eneho na analyze a
riadeni rizik v ka.dej dole.itej oblasti, pri.om ka.da analyza musi vychadza. z planu a metodiky
jednotnej analyzy a riadenia rizik,
- zvy.enim ochrany prevadzkovate.ov zakladnych slu.ieb vo verejnej sprave z h.adiska
kybernetickej bezpe.nosti tak, aby ich audit a pravidelne kontroly vykonavanych opatreni trvalo
preukazovali pozitivny trend zlep.ovania stavu kybernetickej bezpe.nosti vo verejnej sprave,
- poskytovanim bezpe.nych a dostupnych elektronickych slu.ieb .tatu ka.demu ob.anovi s
umo.nenim plnohodnotneho rovneho vyu.itia elektronickych nastrojov.
3.5 Merate.ne ukazovatele (KPI)
ID
ID/Nazov cie.a
Nazov
ukazovate.a (KPI)
Popis
ukazovate.a
Mer
na
jedn
otka
AS
IS
mera
te.ne
hodn
oty
(aktu
alne)
TO
BE
Mera
te.ne
hodn
oty
(cie.o
ve
hodn
oty)
Sposob
ich
merania
P
o
z
n.
1.
RSO1.2 Vyu.ivanie prinosov
digitalizacie pre ob.anov, podniky,
vyskumne organizacie a organy
verejnej spravy
Po.et podporenych
obci - Menej rozvinuty
region (mimo BSK)
Zvy.enie bezpe.nostneho .tandardu v oblasti kybernetickej a informa.nej
bezpe.nosti pre obce do 6.000 obyvate.ov v podobe procesneho, technickeho,
hardveroveho vybavenia, aplikacii, SW - Menej rozvinuty region (mimo BSK) Po.
et
(ks)
0 990 Udaje
DEUS
/MS
projektu
...
2. RSO1.2 Vyu.ivanie prinosov
digitalizacie pre ob.anov, podniky,
vyskumne organizacie a organy
verejnej spravy
Po.et podporenych
obci - Menej rozvinuty
region (mimo BSK)
Zvy.enie bezpe.nostneho .tandardu v oblasti kybernetickej a informa.nej
bezpe.nosti pre obce do 6.000 obyvate.ov v podobe procesneho, technickeho,
hardveroveho vybavenia, aplikacii, SW - Menej rozvinuty region (mimo BSK) Po.
et
(ks)
0 10 Udaje
DEUS
/MS
projektu
...
3. RSO1.2 Vyu.ivanie prinosov
digitalizacie pre ob.anov, podniky,
vyskumne organizacie a organy
verejnej spravy
Po.et
implementovanych
centralnych HW rie.eni
pre zabezpe.enie KIB
Implementacia rie.enia centralnych HW komponentov kybernetickej a informa.nej
bezpe.nosti pre informa.ny system DCOM
Po.
et
(ks)
0 1 Udaje
DEUS
/MS
projektu
...
4. RSO1.2 Vyu.ivanie prinosov
digitalizacie pre ob.anov, podniky,
vyskumne organizacie a organy
verejnej spravy
Po.et
implementovanych
centralnych EDR
systemov
Implementacia softveroveho rie.enia vratane doh.adu pre oblas. endpoint
detection and response vratane in.talacie na koncove zariadenia spravovane
DEUSom Po.
et
(ks)
0 1 Udaje
DEUS
/MS
projektu
5. RSO1.2 Vyu.ivanie prinosov
digitalizacie pre ob.anov, podniky,
vyskumne organizacie a organy
verejnej spravy
Verejne in.titucie
podporovane v rozvoji
kybernetickych slu.ieb,
produktov a procesov
(viac rozvinute)
Po.et verejnych in.titucii, ktore su podporovane za u.elom rozvoja
a modernizacie kybernetickych slu.ieb, produktov, procesov a zvy.ovania
vedomostnej urovne napriklad v kontexte opatreni smerujucich k elektronickej
bezpe.nosti verejnej spravy. Medzi verejne in.titucie patria organy .tatnej spravy,
miestne organy verejnej spravy, organy na ni..ej ako celo.tatnej urovni alebo ine
typy subjektov verejnej spravy.
po.
et
0 10 Udaje
DEUS
/MS
projektu
6. RSO1.2 Vyu.ivanie prinosov
digitalizacie pre ob.anov, podniky,
vyskumne organizacie a organy
verejnej spravy
Verejne in.titucie
podporovane v rozvoji
kybernetickych slu.ieb,
produktov a procesov
(viac rozvinute)
Po.et verejnych in.titucii, ktore su podporovane za u.elom rozvoja
a modernizacie kybernetickych slu.ieb, produktov, procesov a zvy.ovania
vedomostnej urovne napriklad v kontexte opatreni smerujucich k elektronickej
bezpe.nosti verejnej spravy. Medzi verejne in.titucie patria organy .tatnej spravy,
miestne organy verejnej spravy, organy na ni..ej ako celo.tatnej urovni alebo ine
typy subjektov verejnej spravy.
po.
et
0 990 Udaje
DEUS
/MS
projektu
3.6 .pecifikacia potrieb koncoveho pou.ivate.a
Predmetom projektu nie je vyvoj alebo rozvoj ISVS/elektronickych slu.ieb, ktore maju graficke alebo ine pou.ivate.ske rozhranie a su ur.ene pre ob.anov
/podnikate.ov, .alej koncovych pou.ivate.ov. Pre koncoveho pou.ivate.a je nevyhnutne zabezpe.i. bezpe.ne a dostupne rie.enie eSlu.ieb MUS. Projekt
zabezpe.uje implementaciu technickej/bezpe.nostnej infra.truktury bez dopadu na biznisovu a aplika.nu .as. systemu, preto .iadne nove potreby
koncoveho pou.ivate.a nedefinuje.
3.7 Rizika a zavislosti
ID NAZOV RIZIKA a ZAVISLOSTI
POPIS / NASLEDOK
1 Nebude mo.ne naplni. v.etky kvalitativne
po.iadavky projektu.
Nebudu plne dosiahnute o.akavane benefity projektu.
2 Jednotlive komponenty projektu nebudu
vykazova. znamky 100% kompatibility.
Vzh.adom na vytvorenie ekosystemu je dole.ite, aby jednotlive prvky boli schopne komunikova.
vzajomne a mali rovnake vychodiskove po.iadavky na obojsmernu programovu komunikaciu.
3 Nedostupnos. komponentov novej
infra.truktury
Nedostupnos. komponentov novej infra.truktury, pripadne ich ve.mi dlhe dodacie lehoty mo.u ma.
negativny vplyv na termin ukon.enia projektu.
4 Projekt nebude realizovany a nasadeny
pod.a planu.
V pripade ome.kania dodavok projektu resp. v pripade ome.kania nasadenia vystupov projektu,
nebude mo.ne efektivne a v.as reagova. na bezpe.nostne incidenty.
5 Nepridelene finan.ne prostriedky Pred.asne ukon.enie projektu, pred..enie doby realizacie projektu.
6 Komplikacie s verejnym obstaravanim V pripade neskoreho vypisania VO, pripadne komplikacii v procese VO by bol ohrozeny za.iatok
implementa.nej fazy.
7 Neuplne po.iadavky Neuplne po.iadavky mo.u sposobi. pred..enie trvania projektu, navy.enie nakladov, z dovodu potreby
dodato.neho obstaravania komponentov.
8 Vysoke naklady na prevadzku Naklady na prevadzku budu vy..ie ako planovane. Prekro.enie planovanych nakladov na prevadzku.
Potreba dodato.nych finan.nych zdrojov.
9 Ohrozenie prevadzky a dostupnosti
systemu
Ohrozenie prevadzky a dostupnosti systemu z dovodu mo.nych kybernetickych utokov.
10 Nedostato.ne vyhodnotenie kvality Neodhalenie slabych miest v jednotlivych fazach implementacie projektu.
11 Nesu.innos. a nespo.ahlivos. dodavate.a Pred.asne ukon.enie projektu, alebo pred..enie doby realizacie projektu.
12 Nedostatok .udskych zdrojov Pred..enie doby realizacie projektu. Vystupy projektu budu dodane v nedostato.nej kvalite.
1.
1.
1.
Zoznam rizik a zavislosti tvori Prilohu .. 1 tohto dokumentu.
3.8 Stanovenie alternativ v biznisovej vrstve architektury
Nako.ko sa jedna o projekt, v ramci ktoreho nedochadza k budovaniu ani rozvoju ISVS, alternativy neboli stanovene g.tandardneh pod.a biznisovej vrstvy
architektury ale porovnavali sme 3 variantne alternativy rie.enia su.asneho stavu. Na zaklade identifikovaneho rozsahu problemu v projektovom zamere
boli stanovene tri rozne rie.enia. Ako najefektivnej.ia bola vybrana Alternativa .. 2 taka, kt. pokryva procesy a po.iadavky v.etkych stakeholderov
komplexne.
Zachovanie su.asneho stavu bez realizacie projektu - stav zostane nezmeneny (v kritickom re.ime), kedy pripadny kyberneticky/bezpe.nostny
incidentu mo.e vies. k nedostupnosti .asti alebo celeho rie.enia.
Realizacia Kyberneticka bezpe.nos. pre samospravy SR do 6000 obyvate.ov realizovana prostrednictvom spravcu informa.neho systemu DCOM
. realizaciou projektu sa zabezpe.i zvy.enie urovne kybernetickej a informa.nej bezpe.nosti IS DCOM a obci do 6000 obyvate.ov, zarove. sa
zvy.i spo.ahlivos. systemu a zabezpe.i podpora jednotlivych komponentov, prostrednictvom zabezpe.enia efektivneho obstarania, in.talacie a
.al.ej prevadzky zo strany DEUS, ktory v zmysle ˜ 9a odsek 1 zakona .. 305/2013 Z.z. o elektronickej podobe vykonu posobnosti organov
verejnej moci (eGovernmente) vykonava .innosti spravcu a prevadzkovate.a IS DCOM.
Kyberneticka bezpe.nos. realizovana obcami samostatne - alternativa predstavuje zabezpe.enia kybernetickej bezpe.nosti zo strany samotnych
obci. Samotne zabezpe.enie suladu s legislativnymi po.iadavkami KB kategorie I. pod.a zakona .. 69/2018 Z.z. naprie. v.etkymi pou.ivanymi
informa.nymi systemami a internymi procesmi by bolo vylu.ne na pleciach prislu.nej obce bez centralnej podpory. Zarove. zvy.enie urovne KIB
IS DCOM by bolo taktie. realizovane len .iasto.ne.
3.9 Multikriterialna analyza
Vyber alternativ prebieha prostrednictvom MCA zostavenej na zaklade kapitoly Motivacia, ktora obsahuje ciele stakeholderov, ich po.iadavky a
obmedzenia pre dosiahnutie uvedenych cie.ov.
Niektore (nie v.etky) kriteria mo.u by. ozna.ene ako KO kriteria. KO kriteria ozna.uju biznis po.iadavky na rie.enie, ktore su z h.adiska rozsahu
identifikovaneho problemu a motivacie nevyhnutne pre rie.enie problemu a v.etky akceptovate.ne alternativy ich tak musia naplni.. Alternativy, ktore
nesplnia v.etky KO kriteria, mo.u by. vylu.ene z .al.ieho posudzovania. KO kriteria nesmu by. technologicke (preferova. jednu formu technologickej
implementacie vo.i druhej).
KRITERIUM ZDOVODNENIE KRIERIA V
er
ej
n
o
s.
O
B
C
E/
Z
M
OS
D
E
US
M
F
SR
M
I
R
RI
/
N
BU
STA
NOV
ENE
ALT
ERN
ATI
VY
Kriterium A
(KO)
Zabezpe.i.
infra.trukturu
ochrany dat
obce v datovom
centre
Integrovany informa.ny system DCOM predstavuje k.u.ovy prostriedok pre elektronicku komunikaciu medzi obcami a mestami a ich
obyvate.mi. Pre dosiahnutie optimalnej ochrany dat je nevyhnutne ma. dostato.ne robustnu a spo.ahlivu infra.trukturu. Bez bezpe.nostnej
infra.truktury by mohlo dojs. k nedostato.nej dostupnosti systemu, bezpe.nostnym incidentom, uniku dat alebo vypadkom, .o by zava.ne
ovplyvnilo mo.nos. ob.anov a inych subjektov vyu.iva. elektronicke slu.by a komunikova. s verejnymi organmi. Zabezpe.enim potrebnej
infra.truktury pre IS DCOM sa teda zais.uje neodlu.ite.ny zaklad pre bezpe.nu elektronicku komunikaciu v ramci samospravy.
X X
Kriterium B
(KO) Zni.enie
rizika
kybernetickych
utokov v ramci
samospravy.
Zabezpe.enie dostato.nych bezpe.nostnych opatreni a mechanizmov je nevyhnutne na minimalizovanie rizika kybernetickych utokov, ktore by
mohli ohrozi. nielen integritu udajov, ale aj doveru verejnosti v spravu a ochranu ich informacii. Implementacia potrebnych bezpe.nostnych
opatreni sa stava k.u.ovou su.as.ou posil.ovania odolnosti informa.nych systemov samospravy vo.i kybernetickym hrozbam.
X X X X X
Kriterium C
(KO)
Zabezpe.i.
sulad
s nariadenim
NIS2, resp.
zakonom .. 69
/2018 Z.z.
Citlive udaje ob.anov a subjektov verejnej spravy vy.aduju osobitnu ochranu, aby sa predi.lo neopravnenemu pristupu, manipulacii alebo
uniku udajov. Implementacia prislu.nych bezpe.nostnych opatreni a postupov je preto nevyhnutna na zabezpe.enie integrity a dovernosti
udajov a na splnenie .tandardov ochrany osobnych udajov.
X X X X X
Kriterium D
(KO) Efektivne
vynakladanie
zdrojov
Efektivne hospodarenie so zdrojmi je k.u.ove pre ka.du organizaciu, vratane samospravy. Investicie do informa.nych technologii a
bezpe.nostnych opatreni by mali by. usmer.ovane tak, aby prina.ali maximalny prinos pri su.asnom minimalizovani nakladov. Efektivnym
vynakladanim finan.nych prostriedkov na implementaciu infra.truktury a bezpe.nostnych opatreni sa dosahuje optimalny pomer medzi
nakladmi a prinosmi.
X X X X X
Na zaklade stanovenych kriterii boli vyhodnotene stanovene alternativy. Sumar vyhodnotenia je uvedeny v nasledujucej tabu.ke:
Zozn
am
kriterii
Alter
nativ
A 1
Sposob
dosiahnutia
Alter
nati
va 2
Sposob
dosiahnutia
Alter
nativ
a 3
Sposob
dosiahnutia
Kriteri
um A
nie alternativa 1 je zachovanie
statusu quo bez realizacie
projektu
ano Implementaciou alternativy 2 sa zabezpe.i
infra.truktura pre spravne fungovanie IS DCOM v
ramci samospravy.
nie Implementaciou alternativy 3 sa nezabezpe.i
infra.truktura pre spravne fungovanie IS DCOM v
ramci samospravy.
Kriteri
um B
nie alternativa 1 je zachovanie
statusu quo bez realizacie
projektu
ano Realizaciou alternativy 2 sa zni.i riziko
kybernetickych utokov v ramci samospravy.
ano Realizaciou alternativy 3 sa zni.i riziko
kybernetickych utokov v ramci samospravy.
Kriteri
um C
nie alternativa 1 je zachovanie
statusu quo bez realizacie
projektu
ano Realizaciou alternativy 2 sa sa zabezpe.i naplnenie
v.etkych bezpe.nostnych po.iadaviek
nie Realizaciou alternativy 3 sa nezabezpe.i naplnenie
v.etkych bezpe.nostnych po.iadaviek.
Kriteri
um D
nie alternativa 1 je zachovanie
statusu quo bez realizacie
projektu
ano Realizaciou alternativy 2 sa zabezpe.i efektivne
vynakladanie zdrojov
nie Realizaciou alternativy 3 sa nezabezpe.i efektivne
vynakladanie zdrojov.
Na zaklade vyhodnotenia MCA analyzy vychadza Alternativa 2 ako jedina, ktora sp..a v.etky po.iadavky.
3.10 Stanovenie alternativ v aplika.nej vrstve architektury
Alternativy na zaklade aplika.nej vrstvy architektury neboli posudzovane nako.ko nedochadza k zmene na urovni aplika.nej vrstvy architektury.
3.11 Stanovenie alternativ v technologickej vrstve architektury
Vyber alternativy na urovni technologickej a bezpe.nostnej vrstvy architektury kopiruje vyber alternativy .. 2 na zaklade MCA. Naklady na udr.bu a
prevadzku projektu su uvedene v CBA analyze ako percentualny pomer z obstaravacej ceny diela.
4. PO.ADOVANE VYSTUPY (PRODUKT PROJEKTU)
Predmetom projektu nie je vyvoj softveroveho diela. Na dodr.anie .tandardov sa pou.ije M-04 Audit kvality zamerany na vystupy z inicia.nej, realiza.nej a
dokon.ovacej fazy projektu. Realizacia projektu bude pozostava. z uvedenych etap:
Analyza a dizajn
Nakup technickych prostriedkov, programovych prostriedkov a slu.ieb
Implementacia a testovanie,
DEUS bude pri implementacii postupova. v zmysle vyhla.ky 401/2023 Z.z.
4.1 Zabezpe.enie kybernetickej bezpe.nosti pre centralne prvky IS DCOM
1. HW vybavenie pre kyberneticku bezpe.nos.
Fyzicke servery pre potreby bezpe.nostneho monitoringu 4ks iba pre primarne DC pre prevadzkovanie virtualnych core FW, web aplika.nych FW
a ostatnych SW nastrojov pre zabezpe.enie kybernetickej bezpe.nosti uvedenych v kapitole 2 tohto dokumentu.
2. SW vybavenie pre kyberneticku bezpe.nos. pre datove centra
Core Firewally . 4 licencie
Web Applications Firewally 4 virtualne licencie
EDR - Endpoint Detection and Response
DNS firewall
PAM - system riadenia privilegovanych pristupov
NDR . Network Detection and Response
Antivirus pre centralne virtualne servery
Vulnerability management
Security Policy Automation
Automaticke penetra.ne testovanie - Nastroj na spu..anie automatickych penetra.nych testov nad centralnou infra.trukturou a nad koncovymi
zariadeniami
Nastroj na riadenie rizik spojenych s otvorenym zdrojovym kodom (OSS)
HW a SW vybavenie je bli..ie popisane v prilohe Projektoveho zameru . opise predmetu zakazky
3. Realizovany audit kybernetickej bezpe.nosti v sulade so zakonom o KB pre IS DCOM
4.2 Zabezpe.enie kybernetickej bezpe.nosti vykonom aktivit priamo na obciach
Vystupy projektu, ktore sa tykaju aktivit kybernetickej bezpe.nosti na obci do 6000 obyvate.ov:
a) Migracia do IS DCOM
Migracia SW suvisiacich s vnutornymi agendami obce/mesta (u.tovnictvo, mzdy a rozpo.ty, at..)
Migracia udajov suvisiacich so slu.bami samospravy poskytovanymi verejnosti
Asistencia pre obec/mesto po spusteni do produk.nej prevadzky
.kolenie novych pou.ivate.ov IS DCOM
Zabezpe.enie slu.ieb UPVS pre obce
In.talacia a konfiguracia backup systemu obce
b) Organizacia kybernetickej a informa.nej bezpe.nosti
Vypracovanie alebo aktualizacia bezpe.nostnej dokumentacie vratane rozsahu a sposobu plnenia v.eobecnych bezpe.nostnych opatreni;
vypracovanie a implementacia .pecifickych internych riadiacich aktov pre vybrane oblasti kybernetickej a informa.nej bezpe.nosti;
c) Riadenie rizik
Identifikacia v.etkych aktiv suvisiacich so zariadeniami na spracovanie informacii a centralne zaznamenavanie inventaru tychto aktiv pod.a ich
hodnoty vratane ur.enia ich vlastnika, ktory definuje po.iadavky na ich dovernos., dostupnos. a integritu;
riadenie rizik pozostavajuce z identifikacie zranite.nosti, identifikacie hrozieb, identifikacie a analyzy rizik s oh.adom na aktivum, ur.enie vlastnika
rizika, implementacie organiza.nych a technickych bezpe.nostnych opatreni, analyzy funk.neho dopadu a pravidelneho preskumavania
identifikovanych rizik v zavislosti od aktualizacie prijatych bezpe.nostnych opatreni;
vypracovanie a implementacia interneho riadiaceho aktu riadenia rizik kybernetickej a informa.nej bezpe.nosti.
d) Personalna bezpe.nos.
Vypracovanie postupov pri zaradeni osoby do niektorych z bezpe.nostnych roli, zavedenie planu rozvoja bezpe.nostneho povedomia a
vzdelavania, vypracovanie sposobov hodnotenia u.innosti planu rozvoja bezpe.nostneho povedomia, ur.enie pravidiel a postupov na rie.enie
pripadov poru.enia bezpe.nostnej politiky, zavedenie postupov pri skon.eni pracovnopravneho vz.ahu alebo ineho obdobneho vz.ahu,
zavedenie postupov pri poru.eni bezpe.nostnych politik;
vypracovanie alebo aktualizacia interneho riadiaceho aktu s bezpe.nostnymi zasadami pre koncovych pou.ivate.ov;
vypracovanie a implementacia postupov a procesov upravujucich personalnu bezpe.nos. organizacie prostrednictvom interneho riadiaceho aktu.
e) Riadenie pristupov
Vypracovanie a implementacia zasad riadenia pristupov osob k sieti a informa.nemu systemu;
vypracovanie a implementacia postupov a procesov upravujucich riadenie pristupov organizacie.
f) Riadenie kybernetickej a informa.nej bezpe.nosti vo vz.ahoch s tretimi stranami
Vypracovanie analyzy rizik tretich stran a celeho dodavate.skeho re.azca, vratane analyzy politickych rizik;
analyza a posudenie suladu v.etkych aktualnych zmluv s tretimi stranami so zakonom o KB a dobrou praxou;
vypracovanie navrhov dodatkov zmluv s tre.ou stranou spolu s navrhom potrebnych uprav na zabezpe.enie suladu so zakonom KB;
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho zasady kybernetickej a informa.nej bezpe.nosti vo vz.ahoch s tretimi
stranami.
g) Bezpe.nos. pri prevadzke informa.nych systemov a sieti
obstaranie slu.ieb pre potreby spravy prevadzkovej zalohy, kopie archiva.nej zalohy a kopie in.tala.nych medii, vratane ur.enia sposobu ich
ukladania
h) Hodnotenie zranite.nosti a bezpe.nostne aktualizacie
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho proces riadenia implementacie bezpe.nostnych aktualizacii a zaplat;
i) Ochrana proti .kodlivemu kodu
Vypracovanie interneho riadiaceho aktu s po.iadavkami na ur.enie zodpovednosti pou.ivate.ov, pravidiel pre in.talaciu a monitorovania
potencialnych ciest prieniku .kodliveho kodu;
vypracovanie a implementacia pravidiel suvisiace s ochranou proti .kodlivemu kodu;
j) Sie.ova a komunika.na bezpe.nos.
Implementacia nastrojov na ochranu integrity sieti, ktore zabezpe.uju riadenie bezpe.neho pristupu medzi vonkaj.imi a vnutornymi sie.ami,
implementacia segmentacie sieti, implementacia alebo obnova firewall-u, revizia firewall pravidiel;
vytvorenie alebo aktualizacia dokumentacie po.ita.ovej siete, ktora obsahuje evidenciu v.etkych miest prepojenia sieti vratane prepojeni s
externymi sie.ami, topologiu siete a vyu.itie IP rozsahov;
vypracovanie a implementacia interneho riadiaceho aktu upravujuceho pravidla sie.ovej a komunika.nej bezpe.nosti;
k) Rie.enie kybernetickych bezpe.nostnych incidentov
Vypracovanie .tandardov a postupov rie.enia kybernetickych bezpe.nostnych incidentov, vratane definovania zodpovednosti zamestnancov a
.al.ich povinnosti;
vypracovanie planov a sposobov rie.enia kybernetickych bezpe.nostnych incidentov.
l) Kontinuita prevadzky
Vypracovanie strategie a krizovych planov prevadzky na zaklade analyzy vplyvov kybernetickeho bezpe.nostneho incidentu na zakladnu slu.bu;
vypracovanie interneho riadiaceho aktu obsahujuceho a upravujuceho kontinuitu prevadzky nasledkom kybernetickeho bezpe.nostneho incidentu
alebo inej krizovej situacie;
implementacia systemu zalohovania.
m) Samohodnotenie suladu opatreni obce s po.iadavkami kybernetickej bezpe.nosti
Podpora pre obce pri vypracovani prveho samohodnotenia obce
5. NAH.AD ARCHITEKTURY
Biznis architektura
Z poh.adu biznis procesov uzemna samosprava realizuje vykon vybranych procesov .tatnej spravy (tzv. preneseny vykon .tatnej spravy) a zodpoveda za
metodicke riadenie a vykon procesov samospravy (tzv. originalne kompetencie). .alej z h.adiska originalnych kompetencii, obec pri vykone samospravy
najma:
vykonava ukony suvisiace s riadnym hospodarenim s hnute.nym a nehnute.nym majetkom obce a s majetkom vo vlastnictve .tatu prenechanym
obci do u.ivania,
zostavuje a schva.uje rozpo.et obce a zavere.ny u.et obce; vyhlasuje dobrovo.nu zbierku,
rozhoduje vo veciach miestnych dani a miestnych poplatkov a vykonava ich spravu,
usmer.uje ekonomicku .innos. v obci, a ak tak ustanovuje osobitny predpis, vydava suhlas, zavazne stanovisko, stanovisko alebo vyjadrenie k
podnikate.skej a inej .innosti pravnickych osob a fyzickych osob a k umiestneniu prevadzky na uzemi obce, vydava zavazne stanoviska k
investi.nej .innosti v obci,
utvara u.inny system kontroly a vytvara vhodne organiza.ne, finan.ne, personalne a materialne podmienky na jeho nezavisly vykon,
zabezpe.uje vystavbu a udr.bu a vykonava spravu miestnych komunikacii, verejnych priestranstiev, obecneho cintorina, kulturnych, .portovych a
.al.ich obecnych zariadeni, kulturnych pamiatok, pamiatkovych uzemi a pamatihodnosti obce,
zabezpe.uje verejnoprospe.ne slu.by, najma nakladanie s komunalnym odpadom a drobnym stavebnym odpadom, udr.iavanie .istoty v obci,
spravu a udr.bu verejnej zelene a verejneho osvetlenia, zasobovanie vodou, odvadzanie odpadovych vod, nakladanie s odpadovymi vodami zo
.ump a miestnu verejnu dopravu,
utvara a chrani zdrave podmienky a zdravy sposob .ivota a prace obyvate.ov obce, chrani .ivotne prostredie, ako aj utvara podmienky na
zabezpe.ovanie zdravotnej starostlivosti, na vzdelavanie, kulturu, osvetovu .innos., zaujmovu umelecku .innos., telesnu kulturu a .port,
plni ulohy na useku ochrany spotrebite.a a utvara podmienky na zasobovanie obce; spravuje trhoviska,
obstarava a schva.uje uzemnoplanovaciu dokumentaciu obci a zon, koncepciu rozvoja jednotlivych oblasti .ivota obce,
obstarava a schva.uje programy rozvoja byvania a spoluposobi pri utvarani vhodnych podmienok na byvanie v obci,
vykonava vlastnu investi.nu .innos. a podnikate.sku .innos. v zaujme zabezpe.enia potrieb obyvate.ov obce a rozvoja obce,
zaklada, zria.uje, zru.uje a kontroluje pod.a osobitnych predpisov svoje rozpo.tove a prispevkove organizacie, ine pravnicke osoby a zariadenia,
organizuje miestne referendum o dole.itych otazkach .ivota a rozvoja obce,
zabezpe.uje verejny poriadok v obci,
zabezpe.uje ochranu kulturnych pamiatok v rozsahu pod.a osobitnych predpisov a dba o zachovanie prirodnych hodnot,
plni ulohy na useku socialnej pomoci v rozsahu pod.a osobitneho predpisu,
vykonava osved.ovanie listin a podpisov na listinach,
vedie obecnu kroniku v .tatnom jazyku, pripadne aj v jazyku narodnostnej men.iny.
IS DCOM umo..uje ob.anom komunikova. s obcou elektronicky, prostrednictvom tzv. elektronickej schranky. Verejnos. ma dispozicii elektronicke
komunika.ne rozhranie v podobe webovych stranok pre v.etkych 139 poskytovanych elektronickych slu.ieb. Ob.ania maju prostrednictvom weboveho
portalu DCOM pristup k elektronickych slu.bam, vratane sukromnej zony s informaciami o aktualnej a predchadzajucej komunikacii s obcou, .i mestom.
Zamestnanci uradov maju k dispozicii plne integrovane a navzajom prepojene rie.enia pre spracovanie agendy. Obce maju zarove. mo.nos.
prevadzkova. svoje webove stranky v prostredi datoveho centra (DCOM). Pracovnici obci, rovnako ako aj pracovnici technickej podpory maju pristup na
samostatny intranetovy portal.
Pou.ivate.ov systemu DCOM mo.no rozdeli. nasledovne:
Externi pou.ivatelia . anonymna alebo autentifikovana osoba, pristupujuca z externych verejnych sieti a vyu.ivajuca slu.by portalu dcom.sk.
Autentifikaciu externych pou.ivate.ov zabezpe.uje spolo.ny modul IAM UPVS.
Obyvatelia (fyzicke osoby)
Podnikatelia
Interni pou.ivatelia . autentifikovani pou.ivatelia pristupujuci z externych privatnych alebo verejnych sieti do back-office DCOM. Pou.ivate.ske u.ty,
opravnenia a autentifika.ne prostriedky internych pou.ivate.ov pre pristup k pou.ivate.skym rozhraniam DCOM su spravovane v IAM DCOM.
Reprezentant (uradnik) obce alebo mesta - autentifikovany zamestnanec obce alebo mesta, vyu.ivajuci slu.by IS DCOM
Pracovnik prevadzky - autentifikovany zamestnanec DEUS, dodavate.a DEUS, dodavate.a ISM, poskytujuci podporu prevadzky DCOM.
Schema biznis architektury je nasledovna
Z poh.adu biznis architektury nedojde implementaciou projektu k zmenam v porovnani AS IS a TO BE stavu.
Aplika.na architektura
Z poh.adu su.asnej architektury IS DCOM, tento poskytuje obciam a mestam potrebnu aplika.no-programovu podporu pri spracovani jednotlivych agend
samospravy. Informa.ny system DCOM zabezpe.uje tie. prepojenie informa.nych systemov samosprav s inymi Informa.nymi systemami verejnej spravy
(IS VS) a so zakladnymi registrami. V ramci obce zapojenej do IS DCOM, Informa.ny system obce (ISO) zabezpe.uje funkcie vnutornej spravy obce
minimalne v sulade s rozsahom zakladnych modulov ako su u.tovnictvo obce, finan.ny a rozpo.tovy system, banka a poklad.a, personalistika a mzdy,
registratura, sprava majetku obce a system pre zastupite.stvo, a IS DCOM zabezpe.uje agendu suvisiacu s obsluhou verejnosti. Tato .as. je prepojena na
UPVS a zabezpe.uje plnohodnotnu elektronicku komunikaciu. Prostrednictvom synchroniza.nej vrstvy datovej DCOM je rie.enie prepojene s registrami
verejnej spravy.
Architektura rie.enia DCOM vychadza z po.iadaviek efektivneho prevadzkovania systemov a aplikacii obci a miest, z po.iadaviek vy..ieho .tandardu
prevadzkovania aplikacii a z po.iadavky flexibilneho prisposobovania potrebam buducich aplikacii a modulom eGov. Rie.enie IS DCOM mo.no rozdeli. do
troch skupin . Front Office, Mid Office a Back Office. Informa.ny system obce je .as.ou Back Office.
Front Office . prezenta.na vrstva reprezentuje prezenta.nu vrstvu, ktora obsahuje interaktivne pou.ivate.ske rozhrania aplika.nych systemov pre
pou.ivate.ov IS DCOM. Front Office zabezpe.uje interakciu IS DCOM s externymi pou.ivate.mi, obsahuje interaktivne pou.ivate.ske rozhranie pre
ob.anov a podnikate.ov a je integrovany na UPVS. Prostrednictvom tejto vrstvy su spristupnene slu.by ob.anovi a referentovi obce v kompaktnej podobe.
Je komponovana s oh.adom na efektivitu jednotlivych konzumentov slu.ieb a prostrednictvom silnej personaliza.nej .rty, kladie doraz na rozdielny .tyl
prace jednotlivych roli (ob.an / pracovnik obce). Je adaptabilna pre pou.ivate.a a pod.a kontextu vybavovanej agendy sa prisposobuje a variuje od .tylu
prace v koncepte portalu, cez koncept vybavenia slu.by, a. po koncept prace v agendovom systeme.
Mid Office . procesno - integra.na vrstva. Vrstva Mid Office je reprezentovana procesno-integra.nou vrstvou, prostrednictvom ktorej sa realizuje
integra.ne a procesne riadenie. Komponenty BPM a Business Rules zastre.uju spravu procesov a dennej agendy. Integra.na platforma ESB zabezpe.uje
podpornu vrstvu pre integraciu systemov, orchestraciu slu.ieb a mana.ment slu.ieb pod.a principov SOA. Modul BAM zabezpe.uje sledovanie a
diagnostiku procesov, .o umo..uje naslednu optimalizaciu.
Back Office . Aplika.na vrstva, ktora zabezpe.uje interakciu s internymi pou.ivate.mi IS DCOM, uradnikmi obci. Back Office predstavuje aplika.nu vrstvu
tvorenu modulmi a komponentmi zabezpe.ujucimi vykon elektronickych slu.ieb samospravy prostrednictvom agendovych systemov a podpornych
systemov. Obsahuje vrstvu integracii na okolie IS DCOM, ako je napr. ISO, spravu konsolidovanej datovej vrstvy, spravu cloudovej vrstvy a hardverovej
vrstvy. Su.as.ou Back Office su Informa.ne systemy obci. Projekt DCOM poskytuje cloud platformu na prevadzku ISO modulov. Podporne moduly
zastre.uju procesy podpory a prevadzky IS DCOM. Podporne moduly su integrovane do rie.enia prostrednictvom integra.nej vrstvy formou
poskytovanych a konzumovanych slu.ieb.
Schema aplika.na architektura:
Z poh.adu aplika.nej architektury nedojde implementaciou projektu k zmenam v porovnani AS IS a TO BE stavu.
Technologicka architektura
Z poh.adu technologickej architektury IS DCOM, zakladom rie.enia je cloud infra.truktura zalo.ena na principoch ako su redundancia lokality,
redundancia funk.nosti, oddelenie sieti, obnovite.nos. funk.nosti, modularna infra.truktura a .tandardov pre datove centra a cloud infra.trukturu.
Infra.truktura pre prevadzku cloudu a aplikacii je vybudovana ako vysoko dostupna, prevadzkovana v dvoch nezavislych lokalitach a v pripade vypadku
primarnej lokality je poskytujuca aplikacie z druhej, zalo.nej lokality, bez zavislosti na dostupnosti komponentov a funkcii primarnej lokality. Cloud
platforma umo..uje poskytova. slu.by IaaS (infra.truktura ako slu.ba) pre prevadzku ISO balikov pre interne agendy obci. Pristup pou.ivate.ov
(pracovnikov obci a spravcov ISO) k slu.bam je .tandardny, je definovany sposob, akym su slu.by DCOM publikovane pre obce. Pracovnici obci
pristupuju predov.etkym z koncovych zariadeni (PC alebo notebooky) dodanych v ramci projektu DCOM alternativne cez privatnu komunika.nu sie.
budovanu DataCentrom v ramci projektu FINNET, alebo cez internet.
Koncove zariadenia obsahuju opera.ny system s potrebnym softverovym vybavenim konfigurovany, aktualizovany a spravovany centralnym systemom. Z
tychto pracovnych stanic DCOM je mo.ny aj alternativny pristup cez sie. internet prostrednictvom zabezpe.eneho komunika.neho kanalu. Tento stav sa
v priebehu projektu a udr.ate.nosti mo.e zmeni.. Nesmie tym v.ak utrpie. urove. bezpe.nosti samotneho IS DCOM. Z dlhodobeho poh.adu smeruje
architektura IS DCOM k rie.eniu, kde nebude potrebne vyu.iva. zabezpe.eny kanal formou VPN, ale bezpe.nos. bude rie.ena na urovni ako
infra.truktury tak aj aplikacie tak, aby bolo aplikaciu mo.ne pou.iva. ako uplne samostatnu SaaS slu.bu so svojimi vlastnymi bezpe.nostnymi rie.eniami.
Tymto postupom sa dlhodobo zru.i zavislo. na prevadzkovani HW DEUSom a implementuje sa pristup ginternetoveho bankovnictvag, teda dostupnosti
rie.enia z akehoko.vek po.ita.a pri zachovani po.adovanej bezpe.nosti.
Su.as.ou projektu je tie. doplnenie jednotlivych produktovych polo.iek pre potreby roz.irenia Bezpe.nostnej vrstvy. Polo.ky su vylistovane v zozname
uvedenom v dokumente BC/CBA na karte HW a licencie. Doplnenim jednotlivych polo.iek nedochadza k zmene architektury technologickej vrstvy.
Bezpe.nostna architektura
Navrh rie.enia bezpe.nostnej architektury reflektuje cie. projektu vytvori. prostredie na narodnej urovni v ktorom bude mo.ne .o najefektivnej.ie zvy.ova.
urove. kybernetickej bezpe.nosti pre samospravy SR a ob.anov SR vyu.ivajucich elektronicke slu.by samosprav. Predmetom projektu je implementacia
rie.enia ktore zabezpe.i dodr.anie minimalnej po.adovanej bezpe.nostnej urovne. Projekt kybernetickej bezpe.nosti pre samospravy do 6000 obyvate.ov
bude realizovany v dvoch .astiach:
I. Infra.truktura ochrany dat obce v datovom centre
IIa. Zvy.enie kybernetickej bezpe.nosti obci v su.asnosti nezapojenych do IS DCOM do 6000 obyvate.ov
IIb. Zvy.enie kybernetickej bezpe.nosti obci zapojenych do IS DCOM do 6000 obyvate.ov
I. Infra.truktura ochrany dat obce v datovom centre
Tato .as. projektu si dava za cie. poskytnu. maximalnu ochranu perimetru IS DCOM a zabezpe.i. tak maximalnu ochranu procesov a najma dat ob.anov
v.etkych obci, ktore v danom .ase vyu.ivaju kompletne rie.enie IS DCOM.
Navrh rie.enia:
Konzulta.ne prace pre podrobnu analyzu nutnych po.iadaviek na kyberneticku bezpe.nos. systemu DCOM, najma vzh.adom k po.iadavkam
vyplyvajucim z novej smernice EU NIS2
Nakup HW vybavenia pre zabezpe.enie nutnych po.iadaviek KB vyplyvajucich z analyzy
Nakup SW produktov pre zabezpe.enie nutnych po.iadaviek KB vyplyvajucich z analyzy
Implementa.ne prace spojene s realizaciou vy..ie uvedenych aktivit
Posilnenie interneho teamu bezpe.nostneho doh.adu pre zabezpe.enie udr.ate.nosti rie.enia a potrebne interne .kolenia
Vystupom .asti projektu zvy.enie bezpe.nosti IS DCOM bude dlhodobo udr.ate.ny a kyberneticky bezpe.ny informa.ny system DCOM.
Schema navrhovanej bezpe.nostnej architektury:
Popis jednotlivych blokov bezpe.nostnej architektury a po.iadaviek na jednotlive technologie, ktore budu obstarane:
HW
Iba 4ks vykonnych serverov, ktore sa zapoja do jedneho clustra, na ktorom do buducnosti budu be.a. v.etky bezpe.nostne SW rie.enia vratane
virtualnych core firewallov, web aplika.nych firewallov a v.etkych ostatnych SW aplikacii pre security. Tieto servery planujeme nakupi. iba do primarneho
DC. V ostatnych dvoch DC po.itame, .e security software nasadime na serveroch poskytnutych ako IaaS.
SW
Core Firewally . 4 licencie
Web Applications Firewally 4 virtualne licencie
Core aplika.ne FW a WAF planujeme nakupi. ako virtualne licencie pre primarne DC (Kop.ianska) a pre zalo.ne DC. To znamena, .e po.itame s jednym
HA parom pre primar aj pre backup, teda z ka.dej licencie po 4 kusy.
EDR - Endpoint Detection and Response
Rie.enie EDR (Endpoint Detection and Response) zabezpe.uje zber, korelaciu a analyzu udajov o udalostiach na endpointoch, vratane upozorneni a
reakcii na bezprostredne hrozby.
DNS firewall
DNS rekurzivny resolver s bezpe.nostnymi funkcionalitami, ktore zabezpe.uju ochranu DNS prekladu. DNS firewall zabezpe.uje ochranu vo.i cielenym
phishingovym utokom (targeted phishing), poskytuje slu.bu ochrany identit zamestnancov (identity protection) a alerting ich kompromitacie.
PAM - system riadenia privilegovanych pristupov
System riadenia privilegovanych pristupov a vytvarania nahravok a auditnej stopy. Rie.enie umo.ni automaticke pride.ovanie opravneni privilegovanych
pristupov ku kritickym systemom, a riadi .ivotny cyklus privilegovanych identity (vznik identity, priradenie prav, revizia prav a od.atie prav). Zarove.
rie.enie umo.ni riadi. a rotova. hesla k privilegovanym zdie.anym aj osobnym u.tom, aby sp..alo po.iadavky na komplexnos. a unikatnos.. Hesla si vie
u.ivate. vyzdvihnu. alebo sa vedia rie.enim priamo vlo.i. do relacie a u.ivate. ich nemusi zadava. zo svojej pracovnej stanice.
Rie.enie umo.ni pri citlivych relaciach alebo vyu.itia nad.tandardnych opravneni u.ivate.om schva.ovaci workflow emailom na zodpovednych
pracovnikov.
NDR . Network Detection and Response
Nastroj na analyzu sie.ovej prevadzky a bezpe.nostny monitoring v prostredi technologickej a klasickej siete, ktory okam.ite identifikuje bezpe.nostne
rizika. Jedna sa o system zlo.eny z HW/SW zariadeni, ktory monitoruje sie.ovu aktivitu v realnom .ase a identifikuje potencialne kyberneticke hrozby,
bezpe.nostne rizika a anomalne spravanie a vytvara o nich upozornenia v realnom .ase. NDR analyzuje sie. na zaklade zrkadlenej sie.ovej prevadzky zo
SPAN portov alebo TAPov a zarove. analyzuje obsah datovych paketov v realnom .ase a detekuje protokol alebo aplikaciu na zaklade obsahu prevadzky
prostrednictvom DPI (Deep Packet Inspection). NDR analyzuje sie. na zaklade spracovania .tatistickych protokolov typu NetFlow, IPFIX, NetStream,
Cisco NSEL a pripadne .al.ich. Network Detection and Response umo..uje spracovanie a ukladanie sie.ovych tokov vo formate, ktory umo..uje analyzu
sie.ovej komunikacie na urovni jednotlivych tokov, vratane vyh.adania informacii o aplika.nych transakciach a ich metadatach z L2 a. L7, obsiahnutych v
danom sie.ovom toku, zarove. umo..uje analyzu aplika.nych a systemovych logov. NDR bude zbiera. a analyzova. aplika.ne a systemove logy vo
formate syslog z monitorovanych zariadeni a identifikova. nebezpe.ne alebo potencialne .kodlive aktivity.
Antivirus pre centralne virtualne servery
V.etky centralne servery rie.enia IS DCOM budu zabezpe.ene antivirusovym programom, ktory zabezpe.i ochranu centralnych serverov IS DCOM
v rozsahu:
Ochrana pred ransomverom
Centralna sprava v.etkych chranenych serverov
Prevencia Zero-day hrozieb
Pokro.ila kontrola pamate
Sandboxing podozrivych vzoriek
Ochrana pred botnetmi
Ochrana pred malverom
Vulnerability management
Jedna sa o nastroj na automaticke spu..anie skenovania zranite.nosti a ziskavanie udajov. Rie.enie bude vykonava. automatizovane testovanie
zranite.nosti zariadeni a umo..ova. testovanie dynamicky pridelenych IP adries prostrednictvom slu.by DHCP. Taktie. bude monitorova. historiu tychto
adries a podava. spravy pomocou DNS alebo Host name. Konzola pre centralnu spravu a skener bude kompatibilna s opera.nymi systemami Windows a
Linux. Rie.enie bude podporova. hybridne nasadenie v roznych prostrediach, ako su fyzicke, virtualizovane a cloudove prostredia. Vulnerability
management bude umo..ova. automaticku aktualizaciu tagov v databaze aktiv na zaklade dynamickych ozna.eni. Taktie. bude podporova. automaticke
aktualizacie v.etkych softverovych komponentov celej architektury s najnov.imi dostupnymi verziami po.as celeho obdobia predplatneho. Rie.enie bude
umo..ova. centralizovanu spravu v.etkych najdenych aktivnych systemov a ich atributov, vratane verzii opera.neho systemu, aplikacii, otvorenych portov
TCP a UDP a sie.ovych protokolov. taktie. bude zah..a. definovanie statickych a dynamickych hierarchickych tagov na filtrovanie aktiv, testovanie a
vykazovanie vysledkov.
Su.as.ou vulnerability managementu bude podpora automatickeho zis.ovania aktiv s minimalnymi parametrami, ako su IP adresy, MAC adresy a nazvy
hostite.ov, aby sa predi.lo duplicite a zarove. bude podporova. centralnu spravu v geograficky rozptylenom nasadeni skenerov a podporova. pristup
zalo.eny na roznych rolach, vratane vlastnych roli. Rie.enie bude podporova. automatizaciu pracovnych postupov, ako je planovanie skenovania,
upozornenia na udalosti a zranite.nosti, ako aj generovanie a distribucia sprav. Planovane skenovanie bude podporova. opakovane skenovanie v ur.itych
.asovych intervaloch.
Su.as.ou rie.enia je podpora neinvazivnej aj invazivnej kontroly a umo.nenie pou.ivate.om upravi. vykon skenovania a vykonavanych kontrol.
Administrativne poverenia budu moc. by. pou.ite na h.bkove autentifikovane skenovanie, ktore kontroluje aktiva na .ir.i rozsah zranite.nosti alebo
poru.eni bezpe.nostnych politik.
1.
2.
3.
Rie.enie bude ozna.ova. nebezpe.ne kontroly a umo.ni pou.ivate.om ich vypnu. na zaklade jednotlivych skenov. Bude podporova. overene skenovanie
a integrova. sa so SIEM rie.enim a platformami na penetra.ne testovanie. Rie.enia bude zabezpe.ova. identifikaciu a spravu vynimiek zo zranite.nosti a
podporova. vytvaranie pou.ivate.om definovanych zranite.nosti a kontrol zranite.nosti. Rie.enie umo.ni pou.ivate.om definova. kritickos. aktiv, ktore sa
musi zoh.adni. v hodnoteni rizik, a poskytne viacero modelov hodnotenia rizik vratane vlastnych modelov.
Vulnerability management bude podporova. integraciu s produktmi na analyzu topologie siete a rizik, virtualnymi prostrediami a umo.ni stanovi. ciele
napravnych opatreni na zaklade roznych kriterii.
Security Policy Automation
Security Policy Automation je inovativne rie.enie navrhnute na centralizovanu a modernu spravu bezpe.nostnych politik na roznych sie.ovych
zariadeniach, vratane firewall systemov. Toto rie.enie poskytuje minimalne po.iadavky, ktore zah..aju dynamicke mapovanie topologie siete v realnom
.ase, segmentaciu politik, optimalizaciu a .istenie politik, monitorovanie a upozornenia v realnom .ase, rie.enie problemov s pripojenim a auditovanie
suladu s predpismi. Navy.e, rie.enie umo..uje automatizovanu spravu komplexnych infra.truktur, integraciu s roznymi systemami tretich stran a
poskytuje samoobslu.ny portal pre pou.ivate.ov. Security Policy Automation je efektivny nastroj pre spravu a zlep.enie kybernetickej bezpe.nosti v
komplexnych sie.ovych prostrediach.
Automaticke penetra.ne testovanie
Nastroj na spu..anie automatickych penetra.nych testov nad centralnou infra.trukturou a nad koncovymi zariadeniami. System vie automaticky alebo
manualne vybera. vhodne exploity a nastavenia pre objavene hostite.ske po.ita.e. System organizuje udaje pomocou back-endovej databazy a
automaticky sleduje hostite.ov, dokazy a informacie o tom, ako boli hostitelia kompromitovani. System poskytuje rychly a intuitivny sposob automatizacie
skupin uloh prostrednictvom funkcie nazyvanej re.azenie uloh. Umo..uje pou.ivate.om automatizova. alebo planova. ulohy, ako je napriklad exploitacia,
bruteforcing. System bude umo..ova. pou.ivate.om testova. 20000 po.ita.ov su.asne a vytvori. viac ako 500 relacii naraz. .al.ie po.iadavky na system
automatickeho penetra.neho testovania:
Nastroj na riadenie rizik spojenych s otvorenym zdrojovym kodom (OSS)
Nastroj na efektivne riadenie rizik spojenych s pou.ivanim otvoreneho zdrojoveho softveru, zabezpe.enie suladu s licen.nymi po.iadavkami a zlep.enie
celkovej bezpe.nosti svojich softverovych produktov. Jedna sa o nastroj na spravu softverovych komponentov automaticky skenuje kod a identifikuje
otvorene zdrojove komponenty, ich verzie a ich zavislosti.
OSS identifikuje zname bezpe.nostne zranite.nosti v skenovanych otvorenych zdrojovych komponentoch. Umo..uje tymto sposobom timom rychlo
reagova. na potencialne hrozby. Nastroj identifikuje licencie spojene s otvorenym zdrojovym kodom a pomaha organizaciam zabezpe.i., aby boli v sulade
s licen.nymi po.iadavkami zarove. umo..uje organizaciam vytvara. a uplat.ova. politiky tykajuce sa otvoreneho zdrojoveho kodu a automaticky
generova. upozornenia, ke. su tieto politiky poru.ene. Okrem povrchovej analyzy mo.e nastroj na spravu softverovych komponentov vykona. h.bkove
skenovanie kodu na zistenie skrytych zavislosti.
Nastroj na spravu softverovych komponentov sa mo.e integrova. do existujucich procesov kontinualnej integracie a kontinualneho dodavania, umo..ujuc
automaticke skenovanie po.as vyvoja a zarove. ponuka integraciu s mnohymi .al.imi nastrojmi a platformami, vratane nastrojov na spravu zranite.nosti,
repozitarov kodu a platformami DevOps.
Nastroj na spravu softverovych komponentov umo..uje organizaciam sledova. a spravova. rizika spojene s otvorenym zdrojovym kodom prostrednictvom
vizualnych dashboardov.
II. Realizacia aktivit kybernetickej bezpe.nosti na obci do 6000 obyvate.ov
Zadefinovanie 3 zakladnych segmentov obci vzh.adom k ich .pecifikam s oh.adom na rozne IS, ktore su na obciach vyu.ivane:
Segment: DCOM obce vyu.ivajuce slu.by registratury a u.tovnictva firiem plne integrovanych s IS DCOM a prevadzkovanych na infra.trukture
DCOM (najhlb.ia integracia);
Segment: DCOM obce vyu.ivajuce slu.by registratury a u.tovnictva partnerov, ktori prevadzkuju vlastne IS lokalne, ale su certifikovani na
prepojenie s IS DCOM;
Segment: DCOM obce bez certifikovanych partnerov, alebo bez identifikovanych prevadzkovate.ov (typicky segment najmen.ich obci, data su
ukladane v roznych nastrojoch).
1.
2.
Pre samospravu z poh.adu pripravovanej novely zakona o KB bude plati. delenie na obce a mesta.
KB obce : Vz.ahuju sa na .u minimalne bezpe.nostne opatrenia Kategorie I. pod.a zakona .. 69/2018 Z.z. a obec je povinna absolvova.
sebahodnotenie.
KB mesta: Vz.ahuju sa na neho minimalne bezpe.nostne opatrenia Kategorie I. a je povinne absolvova. audit KB. (predmetom projektu nie je
audit KB)
V ramci tejto .asti budu realizovane nasledovne aktivity kybernetickej bezpe.nosti na obci do 6000 obyvate.ov:
Odladenie procesu implementacie aktivit na jednotlivych typoch obci s cie.om potvrdenia ich u.ito.nosti a vyu.itia na obciach,
Automatizacia procesov, a vykon uloh tak, aby sa do projektu mohlo zapoji. maximum obci so zaujmom zabezpe.enia vlastnej KB a suladu so
zakonom o KB,
Konzulta.ne prace na jednotlivych typoch obci, pre zadefinovanie optimalnej sady opatreni KB pre ka.dy jednotlivy typ obce,
Vypracovanie .tandardov pre rollout v spolupraci s MIRRI, pre vyu.itie existujucich podkladov, materialov a vzorovej dokumentacie,
Rollout na jednotlive DCOM obce . kontrola procesov, aktualizacia dokumentacie, priprava na certifikaciu KB,
5.1 Preh.ad e-Government komponentov
5.1.1 Preh.ad koncovych slu.ieb . buduci stav:
Vzh.adom na charakter a rozsah projektu nebudu vysledkom projektu nove po.iadavky na koncove slu.by.
5.1.2 Preh.ad budovanych/rozvijanych ISVS v projekte . buduci stav:
Vzh.adom na charakter a rozsah projektu nebudu budovane ani rozvijane informa.ne systemy ako take. Budu nepriamo rozvijane implementaciou
licen.nych rie.eni s pozitivnym dopadom na urove. kybernetickej bezpe.nosti a prevadzku systemov poskytovate.a zakladnej slu.by.
5.1.3 Preh.ad budovanych aplika.nych slu.ieb . buduci stav:
Vzh.adom na charakter a rozsah projektu nebudu budovane aplika.ne slu.by ako take. Po.as realizacie projektu bude dop..ana hardverova infra.truktura
poskytovate.a zakladnej slu.by ako aj doplnene licen.ne proprietarne softvery s pozitivnym dopadom na urove. kybernetickej bezpe.nosti a prevadzku
systemov poskytovate.a zakladnej slu.by.
5.1.4 Preh.ad integracii ISVS na spolo.ne ISVS[1] a ISVS inych OVM alebo IS tretich stran
Vzh.adom na charakter a rozsah projektu nebudu vysledkom projektu nove po.iadavky na integracie na spolo.ne ISVS .i ISVS inych OVM a tretich stran.
5.1.5 Aplika.ne slu.by na integraciu
Vzh.adom na charakter a rozsah projektu nebudu vysledkom projektu nove po.iadavky na budovane aplika.ne slu.by a ich vyu.itie na integraciu na
spolo.ne moduly a ine ISVS alebo ich poskytovanie na externu integraciu ani nie je planovane vybudovanie cloudovych slu.ieb gsoftver ako slu.bag
(SaaS).
5.1.6 Poskytovanie udajov z ISVS do IS CSRU
Vzh.adom na charakter a rozsah projektu nebudu vysledkom projektu nove po.iadavky na poskytovanie udajov do CSRU.
5.1.7 Konzumovanie udajov z IS CSRU
Vzh.adom na charakter a rozsah projektu nebudu vysledkom projektu nove po.iadavky na konzumovanie udajov z CSRU.
5.1.8 Preh.ad planovaneho vyu.ivania infra.trukturnych slu.ieb (cloudovych slu.ieb) . buduci stav:
Vzh.adom na charakter a rozsah projektu nebudu vysledkom projektu nove po.iadavky na vyu.ivanie kapacit ktorejko.vek .asti vladneho cloudu.
6. LEGISLATIVA
Projekt nema .iadny legislativny dopad. Nove rie.enie musi by. v sulade s platnou legislativou a to najma:
Zakon .. 95/2019 Z.z. o informa.nych technologiach vo verejnej sprave Zakon .. 69/2018 Z.z. o kybernetickej bezpe.nosti
Zakon .. 45/2011 Z.z. o kritickej infra.trukture
Zakon .. 215/2004 Z. z. o ochrane utajovanych skuto.nosti a o zmene a doplneni niektorych zakonov v zneni neskor.ich predpisov,
Zakon .. 272/2016 Z. z. o doveryhodnych slu.bach pre elektronicke transakcie na vnutornom trhu a o zmene a doplneni niektorych zakonov
(zakon o doveryhodnych slu.bach),
Zakon .. 69/2018 Z. z. o kybernetickej bezpe.nosti a o zmene a doplneni niektorych zakonov
Vyhla.ka NBU .. 492/2022 Z. z. ktorou sa ustanovuju znalostne .tandardy v oblasti kybernetickej bezpe.nosti
Vyhla.ka Uradu podpredsedu vlady Slovenskej republiky pre investicie a informatizaciu .. 78/2020 Z. z. o .tandardoch pre informa.ne
technologie verejnej spravy
Vyhla.ka Uradu podpredsedu vlady Slovenskej republiky pre investicie a informatizaciu .. 179/2020 Z. z., ktorou sa ustanovuje sposob
kategorizacie a obsah bezpe.nostnych opatreni informa.nych technologii verejnej spravy
Vyhla.ka Uradu na ochranu osobnych udajov Slovenskej republiky .. 158/2018 Z. z. o postupe pri posudzovani vplyvu na ochranu osobnych
udajov
Nariadenie Europskeho parlamentu a Rady (EU) 2016/679 z 27. aprila 2016 o ochrane fyzickych osob pri spracuvani osobnych udajov a o
vo.nom pohybe takychto udajov, ktorym sa zru.uje smernica 95/46/ES (v.eobecne nariadenie o ochrane udajov)
Zakon .. 18/2018 Z. z. o ochrane osobnych udajov a o zmene a doplneni niektorych zakonov.
7. ROZPO.ET A PRINOSY
NAKLADY
Sumarizacia nakladov:
Sumarizacia nakladov a prinosov rie.enia za obdobie 10 rokov:
Interpretacia vysledkov:
Ekonomicka a finan.na efektivnos. projektu je v analyze prinosov nakladov hodnotena kvantitativne pomocou nasledujucich ukazovate.ov:
Pomer prinosov a nakladov (BCR): 4,03
Celkove naklady na rie.enie boli vypo.itane prostrednictvom UCP analyzy a zarove. PHZ oslovenim dodavate.ov. Vypo.itane naklady projektu cez UCP
analyzu a vy.ku rozpo.tu mo.eme rozdeli. nasledovne:
Rozpo.et projektu celkom
Externe slu.by 6 952 182,00 .
HW a licencie 5 122 944,40 .
Interne mzdove naklady 1 264 155,36 .
907 - Pau.alna sadzba na nepriame vydavky pod.a .lanku 54 pism. a) NSU 933 749,72 .
Projekt Celkom 14 273 031,48
.
Polo.ka Externe slu.by sa v zmysle CBA delia nasledovne
Implementa.ne prace pre centralnu infra.trukturu 951 268,42 .
Implementa.ne prace priamo na obciach 6 000 913,58 .
Pri vypo.te implementa.nych prac mo.eme po.ita. s tym, .e jednotkovy naklad na implementaciu kybernetickej bezpe.nosti je pre obec u. zapojenu v IS
DCOM 2781,6 EUR a pre obec, ktora po.as projektu iba vstupi do IS DCOM 5581,9. Tieto .isla vychadzaju z predbe.nych analyz celkovej nakladovosti
projektu a po.tu pripojenych obci.
V pripade, .e nebude realizovany plny po.et obci (1805) na ktore je stanoveny rozpo.et, bude linearne poni.eny rozpo.et projektu o nasobok men.ieho
po.tu pripojenych obci. To znamena, .e naklady na implementa.ne prace na obciach sa spravaju ako .isty variabilny naklad.
PRINOSY:
KVANTITATIVNE PRINOSY:
Kvantifikovanie prinosov v oblasti kybernetickej bezpe.nosti a informa.nych technologii mo.e by. zlo.ite, nako.ko tieto prinosy sa .asto prejavuju v
zavislosti od mnohych faktorov. V projekte boli kvantifikovane dve hlavne skupiny prinosov.
A. DCOM . zamedzenie vypadku elektronickych slu.ieb IS DCOM
B. Obec . Neobstaranie pripravy riadiacej dokumentacie obcou ale centralne DEUSom
A. DCOM . zamedzenie vypadku elektronickych slu.ieb IS DCOM
1.) Zni.enie % vypadku slu.ieb IS DCOM a s tym suvisiaceho .prestojag zamestnancov samospravy
% zni.enia vypadkov infra.truktury z dovodu vymeny a doplnenie niektorych k.u.ovych bezpe.nostnych komponentov infra.truktury.
Prinos sme vypo.itali ako rozdiel medzi nedostupnos.ou infra.truktury v AS-IS a TO-BE stave.
2.) Zamedzenie bezpe.nostneho incidentu
Pravdepodobnos. DDoS pod.a .tatistik nasadeneho vulnerability mana.ementu je na urovni 80% per rok. Prinos je vypo.itany ako rozdiel
pravdepodobnosti dopadov DDoS utoku *po.et pou.ivate.ov pou.ivajucich IS *%alokacia zamestnanca *priemerna d..ka trvania vypadku pri DDoS v hod.
* priemerna superhruba hodinova mzda. Model predpoklada s postupnym zavadzanim opatreni (HW a SW) do prevadzky. Pravdepodobnos. DDoS po
nasadeni opatreni je viac ako 7x ni..ia.
3.) Zamedzenie vypadku z dovodu bezpe.nostneho incidentu a nutneho recovery
Riziko dopadu ve.mi zava.neho incidentu pod.a VM je v su.asnosti 10%. Z praxe vyplyva, .e periodicita takehoto incidentu je 1x za obdobie 10 rokov. V
pripade zava.neho vypadku sa predpoklada vypadok v d..ke 3 mesiacov. Nasadenim rie.enia dojde k zni.eniu pravdepodobnosti dopadu zava.neho
incidentu o polovicu. Zarove. zmenou bezpe.nostnej architektury, zalohovania a zavedenim Business continuty mana.mentu a zmeny disaster recovery
dojde k zni.eniu doby obnovy z 60 prac. dni na 5 dni.
B. Obec . Neobstaranie jednotlivych opatreni obcou ale centralne DEUSom
1) Uspora z rozsahu pri verejnom obstaravani
Prinos je vypo.itany ako rozdiel medzi sumarom nakladov pri individualnom obstaravani obcou a sumou nakladov pri centralnom verejnom obstaravani.
Uspora pri centralnom verejnom obstaravani je na urovni 4%.
2) Uspora .asu zamestnanca OU (zamestnanec VO)
Cie.ova hodnota MU projektu je 1000 obci. Tu sme pou.ili aj pre vypo.et prinosu uspory .asu zamestnanca OU. Prinos uspory .asu zamestnanca VO
po.itame ako po.et obci* super hruba hod. mzda* po.et VO per obec *po.et hodin zamestnanca stravenych realizovanim 1 VO.
3) Uspora z centralnej pripravy riadiacej dokumentacie, ktora obsahuje o.i., metodiku a riadiace akty, pre obce do 6000 obyvate.ov
Prinos je vypo.itany ako uspora z centralnej pripravy riadiacej dokumentacie, ktora obsahuje o.i., metodiku a riadiace akty, pre obce do 6000 obyvate.ov.
Naklad na pripravy riadiacej dokumentacie KIB na zaklade priemeru predpokladanych nakladov na ISMS dokumentaciu v predlo.enych projektoch v ramci
DOP PSK-MIRRI-611-2024-DV-EFRR.
KVALITATIVNE PRINOSY:
Zvy.enie kybernetickej bezpe.nosti
Projekt prinesie zlep.enie ochrany samosprav a obci pred stale rastucimi kybernetickymi hrozbami. Upgrades a doplnenia centralnej infra.truktury
informa.neho systemu DCOM zabezpe.uju modernizaciu a posilnenie bezpe.nostnej zakladne. Projekt prispieva k posilneniu ochrany pred
kybernetickymi hrozbami a utokmi. Zvy.ena schopnos. detekcie a prevencie hrozieb pomaha minimalizova. riziko kybernetickych incidentov a
znefunk.nenia kritickych systemov. Zvy.enie kybernetickej bezpe.nosti predstavuje k.u.ovy prvok projektu. Hlavnym cie.om je zabezpe.i., .e organizacia
bude vystavena menej rizikam, ktore su spojene s rastucimi a sofistikovanej.imi kybernetickymi hrozbami. Su.asne kyberneticke hrozby neustale evolvuju
a stavaju sa .oraz zlo.itej.imi a nebezpe.nej.imi. Utoky sa objavuju na novych frontoch a vyu.ivaju nove techniky na prekonanie existujucich obrannych
mechanizmov. Tieto hrozby predstavuju zava.ne rizika pre organizaciu, ktore mo.u ma. va.ne dosledky na jej .innos. a poves.. V ramci projektu
investujeme do novych technologii, nastrojov a strategii, ktore organizacii umo.nia identifikova. a eliminova. tieto hrozby na najvy..ej urovni. Vytvorime
.ir.i a komplexnej.i pristup k kybernetickej bezpe.nosti, ktory zabezpe.i, .e organizacia bude dobre pripravena na kyberneticke hrozby v.etkych druhov.
Roz.irenim kybernetickej bezpe.nosti na najvy..iu urove. budeme ma. mo.nos. brani. sa najnaro.nej.im utokom a minimalizova. ich .kodlive u.inky.
Tym zabezpe.ime ochranu aktiv a dovernosti organizacie, .o je kriticke pre na.ich klientov, zamestnancov a partnerov. Zvy.ena kyberneticka bezpe.nos.
je k.u.ovym prinosom projektu a bude ma. .iroky dosah na bezpe.nos. a prosperitu organizacie.
Centralizovana podpora
Vytvorenie centralnych bezpe.nostnych rie.eni a slu.ieb prina.a vyhodu efektivnej a centralizovanej podpory v oblasti kybernetickej bezpe.nosti pre
obce. Toto znamena, .e obce si nebudu musie. jednotlivo zabezpe.ova. a spravova. komplexne bezpe.nostne opatrenia, .o by mohlo by. .asovo
naro.ne a nakladne. Tymto sposobom projekt zni.uje administrativne za.a.enie samosprav.
Rychlej.ia reakcia na hrozby
Implementacia technologickych rie.eni a automatizacia procesov v pracovisku SOC umo.ni rychlej.iu identifikaciu, analyzu a rie.enie kybernetickych
hrozieb. Tym sa zabezpe.i v.asna reakcia a minimalizacia potencialnych .kod. V ramci projektu budeme implementova. najmodernej.ie technologie a
nastroje, ktore umo.nia okam.ite rozpoznanie potencialnych hrozieb a ich priradenie do spravnych kategorii. Implementaciou projektu dojde k
okam.itej.om nasadeni potrebnych opatreni na minimalizaciu potencialnych .kod. To znamena, .e v.aka implemnetacii projektu budeme schopni
zareagova. na hrozby rychlej.ie a u.innej.ie. Vysledkom je nielen zni.enie rizika pre organizaciu, ale aj minimalizacia mo.nych .kod, ktore by taketo
hrozby mohli sposobi.. Zvy.ena rychlos. a efektivita reakcie na kyberneticke hrozby prinesie organizacii vyznamny prinos, a to v podobe zni.enia rizika
straty doveryhodnosti, finan.nych strat a po.kodenia poves.. Tymto sposobom sa projekt stava k.u.ovym opatrenim v oblasti kybernetickej bezpe.nosti a
ochrany organizacie pred hrozbami v dne.nom digitalnom svete.
H.bkova analyza hrozieb
Projekt zah..a zdokonalenie analytickych schopnosti pracoviska SOC, vratane analyzy malveru a sledovania spravania uto.nikov. Tym sa zvy.i
schopnos. odha.ova. sofistikovane hrozby a buduce kyberneticke utoky. H.bkova analyza je kriticka v identifikacii a porozumeni novym a komplexnym
hrozbam, ktore sa vyvijaju v kybernetickom prostredi. Prostrednictvom projektu investujeme do .kolenia na.ich expertov a do modernych nastrojov na
analyzu malveru, .o umo.ni ziska. hlb.i poh.ad do .truktury hrozieb a ich metod. Okrem toho, sledovanie spravania uto.nikov je .al.im vyznamnym
prvkom h.bkovej analyzy. S tymito nastrojmi sme schopni sledova., ako sa uto.nici pohybuju v na.ej sieti a ake kroky podnikaju na dosiahnutie svojich
cie.ov. Toto je k.u.ove pri rozpoznani sofistikovanych utokov, ktore mo.u by. skryte a .a.ko detekovate.ne tradi.nymi metodami. Zlep.ena schopnos.
h.bkovej analyzy hrozieb prinesie organizacii vyhody v podobe predchadzania novym, e.te neznamym utokom a rychlej.iemu vytvaraniu ochrannych
opatreni. Tymto sposobom projekt prispieva k dlhodobej.iemu zabezpe.eniu organizacie pred kybernetickymi hrozbami a zni.uje pravdepodobnos.
zava.nych incidentov.
Spolupraca a komunikacia
Zlep.ena spolupraca a komunikacia medzi roznymi timami v organizacii pomaha v.asnemu zdie.aniu informacii o hrozbach a koordinacii reakcii na
kyberneticke incidenty. Zlep.ena spolupraca znamena, .e timy zamerane na bezpe.nos., IT, a v.etky .al.ie prislu.ne oddelenia budu ma. jednoduch.i
pristup k informaciam o kybernetickych hrozbach. To umo.ni v.asne a rychle zdie.anie informacii o identifikovanych rizikach a aktualnych situaciach.
Tymto sposobom mo.eme predchadza. izolovanym silam a skrati. .as, ktory by inak bol strateny na vyh.adavanie dole.itych informacii. V pripade
kybernetickych incidentov, kedy ka.da sekunda zale.i, umo..uje tento projekt okam.itu komunikaciu a koordinaciu reakcii. Rozne timy su schopne
okam.ite reagova. na situacie, spolupracova. na naprave incidentu a obnovi. normalnu prevadzku bez neprimeraneho ome.kania. Spolupraca a
komunikacia su k.u.om k efektivnemu kybernetickemu bezpe.nostnemu procesu, a ich zdokonalenie v ramci tohto projektu posil.uje obranu organizacie
proti hrozbam. Zabezpe.uje to, .e organizacia je jednotnym timom, ktory je schopny reagova. na kyberneticke hrozby s jednotnym usilim, .o vedie k
zni.eniu rizika a minimalizacii .kod.
Proaktivita v reakcii na kyberneticke hrozby
Projekt umo..uje roz.irenie slu.ieb SOC o proaktivne opatrenia, .im sa organizacia stava menej zranite.nou vo.i novym hrozbam a utokom. Projekt
prispieva k zvy.eniu proaktivnych opatreni v oblasti kybernetickej bezpe.nosti a umo..uje organizacii lep.ie reagova. na nove hrozby a utoky.
Implementacia tohto projektu roz.iruje slu.by Security Operations Center (SOC) o proaktivne opatrenia, .o organizacii umo..uje aktivnej.ie reagova. na
kyberneticke hrozby. Proaktivita spo.iva v predvidavych krokoch, ktore organizacia vykonava, aby sa stala menej zranite.nou vo.i novym a rozvijajucim sa
hrozbam a utokom. Tu je nieko.ko k.u.ovych prinosov projektu:
Rychla identifikacia novych hrozieb
V.aka zdokonalenym nastrojom a schopnostiam v ramci SOC organizacia mo.e rychlej.ie identifikova. nove kyberneticke hrozby. S novymi technologiami
a analyzou spravania uto.nikov mo.eme odhali. aj rafinovanej.ie utoky, ktore by mohli uniknu. tradi.nym bezpe.nostnym systemom.
Projekt sa zabezpe.i, .e organizacia nebude iba pasivnym prijemcom informacii o hrozbach, ale aktivnym u.astnikom v boji proti nim. Tym sa DEUS
stane schopny predvida. a .eli. hrozbam s vy..ou efektivitou a doslednos.ou, .im sa posil.uje celkova kyberneticka bezpe.nos.. Celkovo projekt prispeje
k vytvoreniu moderneho a efektivneho systemu v.asnej reakcie na kyberneticke hrozby v oblasti verejnej spravy. Zvy.ena kyberneticka ochrana a
reaktivna schopnos. pomo.u minimalizova. rizika, ktore kyberneticky priestor predstavuje pre dole.ite informacie a slu.by, a to nielen v samosprave, ale aj
pre cely .tat.
8. HARMONOGRAM JEDNOTLIVYCH FAZ PROJEKTU a METODA
JEHO RIADENIA
Orienta.ny .asovy harmonogram:
HARMONOGRAM RoZDELENY NA ETAPY V ZMYSLE VYHLA.KY 401/2023 Z. z.:
ID FAZA/AKTIVITA ZA.IATOK
(odhad
terminu)
KONIEC
(odhad
terminu)
POZNAMKA
1. Pripravna a inicia.na faza 05/2024 10/2024 Vlastne kapacity DEUS. Predpokladom je, .e pripravna faza je ukon.ena s kladnym
vysledkom z riadiaceho vyboru.
Inicia.na faza kon.i vypisanim Verejneho obstarania.
2. Realiza.na faza 10/2024 12/2027 vlastne kapacity DEUS a dodavate.
2a Analyza a Dizajn 10/2024 9/2025 vlastne kapacity DEUS a dodavate.
2b Nakup technickych prostriedkov, programovych
prostriedkov a slu.ieb
10/2024 12/2026 vlastne kapacity DEUS a dodavate.
2c Implementacia a testovanie 09/2025 12/2027 vlastne kapacity DEUS a dodavate.
2d Nasadenie a PIP 09/2025 12/2027 vlastne kapacity DEUS a dodavate.
3. Dokon.ovacia faza 11/2027 12/2027 vlastne kapacity DEUS a dodavate.
Projekt Kyberneticka bezpe.nos. pre samospravy SR do 6000 obyvate.ov prostrednictvom spravcu informa.neho systemu DCOM bude v DEUS
realizovany metodou Waterfall.
Realizacia aktivit kybernetickej bezpe.nosti na obci do 6000 obyvate.ov bude prebieha. v dvoch fazach.
Pilot:
Pilotne nav.tevy pod.a jednotlivych kategorii obci a implementacia navrhovanych aktivit, pripadne upravy rozsahu pre celonarodny rollout najma:
odladenie procesu implementacie aktivit na jednotlivych typoch obci s cie.om potvrdenia ich u.ito.nosti a vyu.itia na obciach
automatizacia procesov, a vykon uloh tak, aby sa do projektu mohlo zapoji. maximum obci so zaujmom zabezpe.enia vlastnej KB a suladu so
zakonom o KB.
Konzulta.ne prace na jednotlivych typoch obci, pre zadefinovanie optimalnej sady opatreni KB pre ka.dy jednotlivy typ obce
Vypracovanie .tandardov pre rollout v spolupraci s MIRRI, pre vyu.itie existujucich podkladov, materialov a vzorovej dokumentacie
Rollout:
Rollout na jednotlive DCOM obce . kontrola procesov, aktualizacia dokumentacie, priprava na certifikaciu KB
Rollout podpory zvy.enia KB na obce, ktore nevyu.ivaju IS DCOM bude realizovany v dvoch krokoch:
migracia do IS DCOM
implementacia aktivit projektu KB
9. PROJEKTOVY TIM
Projekt sa bude riadi. v sulade s platnou legislativou v oblasti riadenia projektov IT. Pre potreby riadenia projektu bude vytvoreny riadiaci vybor projektu a
budu menovani .lenovia Riadiaceho vyboru projektu (.alej len .RVg), projektovy mana.er a .lenovia projektoveho timu.
Najvy..ou autoritou projektu je RV, ktory tvori:
predseda RV
zastupca vlastnikov procesov - zastupca predsedu RV (podpredseda RV)
zastupca k.u.ovych pou.ivate.ov
mana.er kybernetickej a informa.nej bezpe.nosti
Projektovy mana.er
zastupca dodavate.a
Zlo.enie riadiaceho vyboru:
ID MENO A PRIEZVISKO POZICIA ORGANIZA.NY UTVAR ROLA V PROJEKTE S UVEDENIM HLASOVACIEHO PRAVA
1. Ing. Katarina Le.kova vykonna riadite.ka DEUS Predseda RV (HP)
2. TBD TBD DEUS Zastupca predsedu RV (HP) - zastupca vlastnikov procesov
2. Ing. Peter Uhrik mana.er oddelenia IT DEUS Zastupca predsedu RV (HP) - zastupca vlastnikov procesov
3. TBD TBD DEUS Zastupca k.u.ovych pou.ivate.ov (HP)
4. TBD TBD DEUS Mana.er kybernetickej a informa.nej bezpe.nosti (HP)
5. TBD projektovy mana.er DEUS Zastupca dodavate.a
2. TBD projektovy mana.er NBU zastupca vlastnikov procesov
Zlo.enie projektoveho timu:
IT projektovy mana.er,
IT architekt,
IT analytik,
Vlastnik procesov,
K.u.ovy pou.ivate.,
.pecialista pre infra.trukturny/HW .pecialista,
Mana.er kybernetickej a informa.nej bezpe.nosti,
IT/IS konzultant,
Mana.er kvality,
Finan.ny mana.er,
.pecialista pre bezpe.nos. IT
Technik kybernetickej bezpe.nosti
.pecialista na publicitu
Architekt sie.ovej infra.truktury
ID MENO A PRIEZVISKO POZICIA ORGANIZA.NY UTVAR PROJEKTOVA ROLA
1. TBD IT projektovy mana.er DEUS IT projektovy mana.er
2. TBD IT architekt DEUS IT architekt
3. TBD IT analytik DEUS IT analytik
4. TBD Vlastnik procesov DEUS Vlastnik procesov
5. TBD K.u.ovy pou.ivate. DEUS K.u.ovy pou.ivate.
6. TBD .pecialista pre infra.trukturny/HW .pecialista DEUS .pecialista pre infra.trukturny/HW .pecialista
7. TBD Mana.er kybernetickej a informa.nej bezpe.nosti DEUS Mana.er kybernetickej a informa.nej bezpe.nosti
8. TBD IT/IS konzultant DEUS IT/IS konzultant
9. TBD Mana.er kvality DEUS Mana.er kvality
10. TBD Finan.ny mana.er DEUS Finan.ny mana.er
14. TBD Mana.er kvality NBU Mana.er kvality
15. TBD Finan.ny mana.er NBU Finan.ny mana.er
17. TBD Technik kybernetickej bezpe.nosti DEUS Technik kybernetickej bezpe.nosti
18. TBD .pecialista na publicitu DEUS .pecialista na publicitu
19. TBD Architekt sie.ovej infra.truktury DEUS Architekt sie.ovej infra.truktury
9.1 PRACOVNE NAPLNE
RV je riadiaci organ projektu, ktory zodpoveda najma za splnenie stanovenych cie.ov projektu, rozhoduje o zmenach, ktore maju zasadny vyznam a
prejavuju sa hlavne dopadom na .asovy harmonogram a finan.ne prostriedky projektu. Reprezentuje najvy..iu akcepta.nu autoritu projektu. Rokovaci
poriadok a .tatut Riadiaceho vyboru projektu upravuje najma ulohy, zlo.enie a posobnos. RV, ako aj prava a povinnosti .lenov RV pri riadeni a realizacii
predmetneho projektu.
Projektovy mana.er riadi projekt, kvalitu a rizika projektu a zabezpe.uje plnenie uloh ulo.enych RV. .lenovia projektoveho timu zabezpe.uju plnenie uloh
ulo.enych projektovym mana.erom, alebo RV.
.al.ie povinnosti .lenov RV, projektoveho mana.era a .lenov projektoveho timu su uvedene vo Vyhla.ke .. 401/2023 Z. z. a v dopl.ujucich vzoroch
a .ablonach zverejnenych na webovom sidle MIRRI SR.
Projektova rola: PROJEKTOVY MANA.ER
Detailny popis ozsahu
zodpovednosti,
povinnosti
a kompetencii:
- zodpoveda za ka.dodenne riadenie projektu v mene RV, za monitorovanie projektu, za planovanie aktivit, za informovanie o
projekte, at..,
- zodpoveda za ur.enie pravidiel, sposobov, metod a nastrojov riadenia projektu a ziskanie podpory RV pre riadenie,
planovanie a kontrolu projektu aefektivne vyu.ivanie projektovych zdrojov (.udskych a finan.nych),
- zodpoveda za splnenie v.etkych legislativnych po.iadaviek (pravne predpisy SR a EK), metodickych po.iadaviek suvisiacich
s implementaciou projektu a formalnu administraciu projektu suvisiacu s riadenim, organizovanim, finan.nym zu.tovanim,
sledovanim .iastkovych a celkovych vysledkov (monitorovanim) a hodnotenim vysledkov,
- integrovane riadi pripravu a uskuto.nenie projektu, nasadenie disponibilnych prostriedkov, zabezpe.uje koordinaciu
dodavate.ov a zhotovite.ov jednotlivych vystupov projektu, zabezpe.uje koordinaciu partnerov, .asovy priebeh a kvalitu
vystupov projektu, zmeny projektu a rie.i konflikty s okolim projektu,
- prijima rozhodnutia a riadi projekt tak, aby sa splnili stanovene ciele projektu a aby projekt dodaval dohodnute produkty v
dohodnutej kvalite, v .ase a v ramci rozpo.tu,
- zodpoveda RV za plnenie cie.ov projektu a celkovy postup prac v projekte,
- informuje RV o stave a priebehu projektu, predklada navrhy na zlep.enie,
- riadi strategicke a projektove rizika, vratane vyvojovych a rezervnych planov,
- zodpoveda za identifikovanie kritickych miest projektu a navrhovanie ciest k ich eliminacii,
- aktivne komunikuje s dodavate.om, zastupcom dodavate.a a projektovym mana.erom dodavate.a s cie.om zabezpe.i.
uspe.ne dodanie a nasadenie po.adovanych projektovych vystupov,
- zabezpe.uje kontrolu dodr.iavania a plnenia mi.nikov v zmysle zmluvy s dodavate.om,
- zabezpe.uje vecnu administraciu zu.tovania dodavate.skych faktur,
- predklada po.iadavky dodavate.a na rokovanie RV,
- zodpoveda za koordinaciu azabezpe.enie podkladov pre oddelenie komunika.ne pre potreby medializacie projektu,
- zodpoveda za informovanie zamestnancov a verejnosti o za.ati a ukon.eni projektu v zavislosti od jeho charakteru,
- zodpoveda za zabezpe.enie vypracovania, priebe.nej aktualizacie a verzionovania mana.erskej a .pecializovanej
dokumentacie a produktov,
- pripravuje a predklada stanovene dokumenty na schvalenie RV,
- navrhuje zaradi. projekt alebo jeho .as. do re.imu utajenia,
- zabezpe.uje permanentny doh.ad a zvy.enu mieru kontroly a ochrany tokov informacii pri realizacii utajovaneho projektu
alebo utajovanej .asti projektu,
- zodpoveda za vypracovanie po.iadaviek na zmenu, navrh ich prioritizacie a predkladanie zmenovych po.iadaviek na
rokovanie RV,
- zabezpe.uje podanie .iadosti o rozpo.tove opatrenie MF SR cez Rozpo.tovy informa.ny system na projekt IT pod.a potreby,
- zodpoveda za riadenie zmeny a pripadne po.adovane riadenie konfiguracii,
- navrhuje .lenov projektoveho timu po dohode s liniovym veducim a timovym mana.erom a tie. navrhuje rozsah ich
zodpovednosti a .innosti,
- organizuje, riadi, motivuje projektovy tim a deleguje ulohy .lenom projektoveho timu,
- hodnoti .lenov projektoveho timu,
- ude.uje pokyny na vykon .innosti projektovej kancelarie,
- pod.a potreby deleguje svoje povinnosti a prava na timovych mana.erov a koordinuje ich .innos.,
- plni ulohy timoveho mana.era (veduceho projektoveho timu), ak takato rola v projekte nie je obsadena . vi. .innos.
projektovej role .Timovy mana.erg,
- monitoruje vykonnos. projektu, to znamena, .e sleduje pokrok vo vybranych ukazovate.och (KPI) projektu a predklada ho na
schvalenie RV,
- zabezpe.uje evidenciu v informa.nych systemoch pre .tandardizovane procesy programove a projektoveho riadenia, napr.
IT monitorovaci system pre europske .trukturalne a investi.ne fondy,
- zodpoveda za publikovanie RV schvalenych projektovych vystupov v MetaIS chronologicky, z ka.dej fazy .ivotneho cyklu
projektu,
- zodpoveda za publikovanie zapisov RV v MetaIS,
- po.as celej doby realizacie projektu .tandardne zabezpe.uje nasledovne prierezove .innosti:
1. kontinualne zdovod.ovanie projektu, ktore zah..a posudenie, .i je projekt po.adovany a dosiahnute.ny, potrebne na
rozhodovanie o pokra.ovani vynakladania prostriedkov po.as v.etkych faz projektu, vypracovane aspo. po ukon.eni ka.dej
fazy projektu,
2. planovanie a operativne riadenie dodavania projektovych produktov,
3. riadenie rizik a zavislosti, ktore zah..a identifikaciu, hodnotenie a riadenie rizik, zavislosti a hrozieb na uspe.nu realizaciu
projektu,
- zabezpe.uje dodr.iavanie legislativno-metodickych zasad pre riadenie projektov,
- zodpoveda za formalnu administraciu projektu, riadenie centralneho ulo.iska projektovej dokumentacie DEUS, spravu a
archivaciu projektovej dokumentacie,
- sleduje dodr.iavanie internych riadiacich aktov.
Projektova rola: MANA.ER KVALITY
Stru.ny popis: - zodpoveda za uvodne nastavenie pravidiel riadenia kvality a za nasledne dodr.iavanie a kontrolu kvality,
- kontroluje, .i sa riadenie a proces zabezpe.enia kvality vykonava spravnym sposobom, v spravnom .ase
a spravnymi osobami,
- po.as celej doby realizacie projektu zabezpe.uje riadenie kvality projektovych vystupov a zhodu
projektovych vystupov s po.iadavkami definovanim merate.nych vykonnostnych parametrov na vytvaranie, overovanie
projektovych produktov, definovanie akcepta.nych kriterii, ktore su vhodne na po.adovany u.el,
- po.as celej doby realizacie projektu zodpoveda za priebe.ne vy.adovanie, hodnotenie a kontrolu kvality (vecnej aj
formalnej), za planovanie, zabezpe.ovanie, kontrolu, operativne riadenie, zlep.ovanie a vyhodnocovanie kvality
projektu,
- aktivne sa zu.ast.uje stretnuti projektoveho timu aspolupracuje na vypracovani mana.erskej a .pecializovanej
dokumentacie a produktov v minimalnom rozsahu ur.enom Prilohou ..1 tejto smernice,
- plni pokyny PM a dohody zo stretnuti projektoveho timu,
- spolupracuje s PM,
- zodpoveda sa PM,
- informuje PM o stave plnenia uloh, o zisteniach a o rizikach,
- sleduje a hodnoti kvalitativne ukazovatele projektovych vystupov,
- zabezpe.uje zhodnotenie kvality projektu zamerane na vystupy inicia.nej a realiza.nej fazy projektu
formou auditu na mieste, ktoreho vysledky spracuje v produkte M-04 Audit kvality.
Detailny popis ozsahu
zodpovednosti, povinnosti a
kompetencii
E navrh a zavadzanie do praxe postupov, technik, nastrojov a pravidiel, ktore maximalizuju efektivitu prace a
kvalitativne parametre vyvoja softwaru/produktu/IS, resp. IT projektu,
E definovanie politiky kvality (strategie kvality), meranie kvality, analyzu a spracovanie planov kvality,
E riadenie a monitorovanie dosahovania cie.ov kvality,
E .pecifikaciu po.iadaviek na kvalitu vyvijanych funkcionalit systemu,
E .pecifikaciu po.iadaviek pre .al.i rozvoj,
E definovanie akcepta.nych kriterii,
E zabezpe.enie suladu so .tandardmi, normami, pravnymi po.iadavkami, po.iadavkami u.ivate.ov a
prevadzkovate.ov systemov,
E posudenie BC/CBA . odovodenie projektu s katalogom funk.nych, nefunk.nych a technickych po.iadaviek,
E kontrolu kvality plnenia vecnych po.iadaviek definovanych v zmluve s dodavate.om alebo v po.iadavkach na
zmenu,
E akceptaciu splnenia vecnych a kvalitativnych po.iadaviek v projekte svojim podpisom na akcepta.nom protokole
pri odovzdavani jednotlivych faz projektu/.iastkovych projektov alebo pri odovzdavani zmien vykonanych v ramci
zmenovych konani,
E monitoring a vyhodnocovanie kvality udajov a navrh napravnych opatreni za u.elom zabezpe.enia spravnosti a
konzistentnosti udajov,
E definovanie postupov, navrhovanie a vyjadrovanie sa k planom testov a testovacich scenarov,
E analyzovanie vysledkov testovania,
E kontrolu plnenia projektovych uloh a .asoveho harmonogramu projektu,
E 15. kontrolu plnenia finan.neho planu projektu,
Projektova rola: K.U.OVY POU.IVATE.
Stru.ny popis: - reprezentuje zaujmy buducich koncovych pou.ivate.ov projektovych produktov alebo projektovych vystupov,
- poskytuje su.innos. pri spracovani interneho riadiaceho aktu upravujuceho prevadzku, servis a podporu IT,
- aktivne sa zu.ast.uje stretnuti projektoveho timu a spolupracuje na vypracovani mana.erskej a .pecializovanej
dokumentacie a produktov v minimalnom rozsahu ur.enom Prilohou ..1 tejto smernice,
- plni pokyny PM a dohody zo stretnuti projektoveho timu.
Detailny popis ozsahu
zodpovednosti, povinnosti a
kompetencii
E navrh a .pecifikaciu funk.nych, nefunk.nych a technickych po.iadaviek, potreby, obsahu, kvalitativnych a
kvantitativnych prinosov projektu, po.iadaviek koncovych pou.ivate.ov na prinos systemu a po.iadaviek na
bezpe.nos.,
E jednozna.nu .pecifikaciu po.iadaviek na jednotlive projektove vystupy (.pecializovane produkty a vystupy) z
poh.adu vecno-procesneho a legislativy,
E navrh a definovanie rizik, rozhrani a zavislosti,
E vykonanie pou.ivate.skeho testovania funk.neho pou.ivate.skeho rozhrania (UX testovania) a za finalne
odsuhlasenie pou.ivate.skeho rozhrania,
E navrh a definovanie akcepta.nych kriterii,
E akcepta.ne testovanie (UAT) a navrh na akceptaciu projektovych produktov alebo projektovych vystupov a
finalny navrh na spustenie do produk.nej prevadzky,
E 7. predkladanie po.iadaviek na zmenu funkcionalit produktov,
Projektova rola: PROJEKTOVA KANCELARIA (.PMOg)
Projektovou kancelariou je prislu.ny organiza.ny utvar v zmysle organiza.neho
poriadku , ktory zabezpe.uje podporu riadenia projektu, najma:
- administrativnu a technicku podporu v jednotlivych fazach
.ivotneho cyklu projektu,
- vypracovanie a odovzdanie menovacich dekretov a
odvolacich dekretov
pre predsedu RV, .lenov RV, PM a podpisanych predsedom
RV pre .lenov projektoveho timu a PMO,
- zabezpe.enie oboznamenia predsedu RV, .lenov RV, a
.lenov projektoveho timu s projektom, ich
ulohami a rozsahom ich zodpovednosti, at.. pod.a pokynu PM,
- organiza.ne zabezpe.enie zasadnuti RV, spracovanie
zapisov zo zasadnuti RV a zabezpe.enie ich
zverejnenia prostrednictvom MetaIS, ak je to potrebne,
- organiza.ne zabezpe.enie stretnuti realizovanych v ramci
projektu, spracovanie zapisov z tychto
stretnuti,
- vykonavanie uloh na zaklade pokynov PM,
- vypracovanie a aktualizacia zoznamov uloh, rizik, otvorenych
otazok a inych mana.erskych sprav,
reportov, zoznamov a po.iadaviek,
- organiza.ne zabezpe.enie pripomienkoveho konania
projektovej dokumentacie,
- spravu projektov, monitorovanie stavu projektu, udr.iavanie
aktualnosti ahodnovernosti udajov
o projektoch a pod.a potreby optimalizaciu projektov,
- pripravu informacii o stave realizacie projektu pod.a potreby,
- zhroma.denie, analyzovanie a vyhodnotenie poznatkov z
implementacie projektov a definovanie
ponau.enia za u.elom predchadzania a opakovania chyb z
minulosti,
- zabezpe.enie zverejnenia projektovych vystupov jednotlivych
faz .ivotneho cyklu projektu na centralnom
ulo.isku projektovej dokumentacie DEUS a v MetaIS, ak je to
potrebne,
- poskytuje su.innos. PM pri predkladani projektovych
produktov na posudenie ekonomickej vyhodnosti
a suladu s programovym riadenim MIRRI SR, ak je to potrebne,
- organizaciu procesov suvisiacich s vykazmi prace .lenov
projektovych timov jednotlivych projektov,
- vytvorenie a spravovanie centralneho ulo.iska projektovej
dokumentacie DEUS,
- vytvorenie komunika.nej platformy v ramci projektu a medzi
projektami navzajom,
- zabezpe.enie interakcie medzi zainteresovanymi stranami,
ich spokojnos. a realizaciu po.iadaviek
spojenych s implementaciou projektu,
- spolupracu s metodickou podporou projektoveho riadenia,
- zabezpe.enie ulo.enia originalov projektovej dokumentacie.
Projektova rola: MANA.ER KYBERNETICKEJ A INFORMA.NEJ BEZPE.NOSTI (.KIBg)
Stru.ny popis: - ma neobmedzeny aktivny pristup ku v.etkym projektovym dokumentom, nastrojom a vystupom projektu, v ktorych sa opisuje
predmet projektu z h.adiska jeho architektury, funkcii, procesov, mana.mentu informa.nej bezpe.nosti a sposobov spracuvania
dat, ako aj dat samotnych,
- ma spristupnene v.etky informacie o bezpe.nostnych opatreniach zavadzanych projektom v zmysle ˜ 20 zakona .. 69/2018 Z.
z. o kybernetickej bezpe.nosti a o zmene a doplneni niektorych zakonov v zneni neskor.ich predpisov a v zmysle ustanoveni
zakona .. 95/2019 Z. z. o informa.nych technologiach vo verejnej sprave a o zmene a doplneni niektorych zakonov v zneni
neskor.ich predpisov,
- zodpoveda za posudenie mo.nych alternativ realizacie projektu za oblas. IB a KB,
- zodpoveda za posudenie po.iadaviek agendy IB a KB na rozhrania a spolo.ne komponenty, na integracie a procesy konverzie a
migracie, identifikacia nesuladu a navrh rie.enia,
- poskytuje konzultacie a su.innos. pre problematiku IB a KB,
- poskytuje konzultacie pri tvorbe .ablon a vzorov dokumentacie pre oblas. IB a KB,
- poskytuje konzultacie a vykonava kontrolnu .innos. zameranu na obsah a komplexnos. dokumentacie z h.adiska IB a KB,
- dohliada na zosuladenie projektu s principmi definovanymi v internych riadiacich aktoch DEUS a dokumentoch tykajucich sa
bezpe.nosti DEUS,
- zabezpe.uje ziskavanie a spracovanie informacii nutnych pre plnenie uloh v oblasti IB a KB,
- aktivne sa zu.ast.uje stretnuti projektoveho timu a spolupracuje na vypracovani mana.erskej a .pecializovanej dokumentacie a
produktov v minimalnom rozsahu ur.enom Prilohou ..1 tejto smernice,
- plni pokyny PM a dohody zo stretnuti projektoveho timu.
Detailny popis
ozsahu
zodpovednosti,
povinnosti a
kompetencii
- zodpoveda. za s.pecifikovanie:
. s.tandardov, princi.pov a strate.gii. v oblasti informac.nej bezpec.nosti (.IBg) akybernetickej bezpec.nosti (.KBg) a ich dodrz.iavanie,
. funkc.ny.ch, nefunkc.ny.ch a technicky.ch poz.iadaviek na IB a KB a za ich analy.zu,
. poz.iadaviek na IB a KB, kontroluje ich implementa.ciu v realizovanom projekte,
. poz.iadaviek na bezpec.nost. vy.vojove.ho, testovacieho a produkc.ne.ho prostredia,
. poz.iadaviek na bezpec.nost. v ra.mci bezpec.nostnej vrstvy,
. poz.iadaviek na s.kolenia pre oblast. IB a KB,
. poz.iadaviek na bezpec.nostnu. architektu.ru ries.enia a technicku. infras.truktu.ru pre oblast. IB a KB,
. poz.iadaviek na dostupnost., za.lohovanie, archiva.ciu a obnovu IS vzt.ahuju.ce sa na IB a KB,
. poz.iadaviek na IB a KB, bezpec.nostny. projekt a riadenie pri.stupu,
. poz.iadaviek na opis vy.vojove.ho, testovacieho a produkc.ne.ho prostredia za oblast. IB a KB,
. poz.iadaviek na testovanie z hl.adiska IB a KB, realiza.ciu kontroly zapracovania a retestu,
. poz.iadaviek na obsah dokumenta.cie v zmysle legislati.vnych poz.iadaviek pre oblast. IB a KB, ako aj v zmysle "best practies",
. poz.iadavieknadodaniepotrebnejdokumenta.ciesu.visiacejsIBaKBkontrolujeichimplementa.ciu v realizovanom projekte,
. poz.iadaviek a konzulta.cie pri na.vrhu ries.enia za agendu IB a KB v ra.mci procesu .Mapovanie a analy.za technicky.ch
poz.iadaviek - detailny. na.vrh ries.enia (DNR)g,
. poz.iadavieknabezpec.nost. ITaKB vra.mci procesu "akcepta.cie, odovzdania a spra.vy zdrojovy.ch ko.dovg,
. akceptac.ny.ch krite.rii. za oblast. IB a KB,
. pravidiel pre publicitu a informovanost. s ohl.adom na IB a KB,
. podmienok na testovanie, reviduje vysledky a vystupy z testovania za oblast. IB a KB,
. poz.iadaviek na bezpec.nostny. projekt pre oblas.. IB a KB,
- zodpoveda. za realiza.ciu kontroly:
. zameranej na naplnenie poz.iadaviek definovany.ch v bezpec.nostnom projekte za oblast. IB a KB,
. zameranu. na spra.vnost. nastaveni. a konfigura.cii bezpec.nosti jednotlivy.ch prostredi.,
. zameranu. na realiza.ciu procesu posudzovania a komplexnosti bezpec.nostny.ch rizi.k, bezpec.nost. a kompletny. popis rozhrani.,
spra.vnu identifika.cia za.vislosti.,
. naplnenia definovany.ch poz.iadaviek pre oblast. IB a KB,
. zameranu. na implementovany. proces v priamom su.vise s IB a KB,
. su.ladu s platnou legislati.vou v oblasti IB a KB (obsahuje aj kontrolu legislati.vnych poz.iadaviek),
. zameranu. na zabezpec.enie procesu, interfejsov, integra.cii, kompletne.ho popisu rozhrani. a spoloc.ny.ch komponentov a
posu.denia z pohl.adu bezpec.nosti,
Projekt
ova
rola:
.LEN PROJEKTOVEHO TIMU
Stru.ny
popis:
- vykonava odbornu pracu v projekte a poskytuje odborne stanoviska a konzultacie za prislu.nu oblas.,
- aktivne sa zu.ast.uje odbornych stretnuti timu, ako aj konzultacii,
- zabezpe.uje vypracovanie, priebe.nu aktualizaciu a verzionovanie mana.erskej a .pecializovanej dokumentacie a produktov v minimalnom
rozsahu ur.enom Prilohou ..1 tejto smernice v su.innosti a pod.a pokynov timoveho mana.era a PM,
- plni ulohy ulo.ene timovym mana.erom a PM v po.adovanej kvalite a v stanovenych terminoch,
- plni dohody zo stretnuti projektoveho timu,
- odpo.tuje plnenie uloh timovemu mana.erovi a PM,
- predklada namety, podnety, po.iadavky a upozor.uje na problemy a rizika suvisiace s projektom timovemu mana.erovi a PM,
- spolupracuje s projektovym timom na strane dodavate.a,
- zodpoveda za splnenie v.etkych legislativnych po.iadaviek (pravne predpisy SR a EK) a metodickych a administrativnych po.iadaviek
suvisiacich s implementaciou projektu.
10. ODKAZY
Tato verzia neobsahuje odkazy, budu doplnene pri .al.ej aktualizacii.
11. PRILOHY
Priloha 1: Zoznam rizik a zavislosti
Priloha 2: Dokumentacia k stanoveniu PHZ pre HW/SW
Koniec dokumentu
[1] Spolo.ne moduly pod.a zakona .. 305/2013 e-Governmente