Wiki zdrojový kód pre I-02 Projektový zámer (projektovy_zamer)
Version 2.1 by Marián Spišiak on 2025/02/25 13:02
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | **PROJEKTOVÝ ZÁMER** | ||
| 2 | |||
| 3 | **manažérsky výstup I-02** | ||
| 4 | |||
| 5 | **~ podľa vyhlášky MIRRI č. 401/2023 Z. z. ** | ||
| 6 | |||
| 7 | |||
| 8 | |Povinná osoba|Zvýšenie úrovne kybernetickej bezpečnosti DataCentra | ||
| 9 | |Názov projektu|DataCentrum | ||
| 10 | |Zodpovedná osoba za projekt|((( | ||
| 11 | Peter Holba / projektový manažér | ||
| 12 | |||
| 13 | Jaroslav Petrovský / manažér kybernetickej bezpečnosti | ||
| 14 | ))) | ||
| 15 | |Realizátor projektu|DataCentrum | ||
| 16 | |Vlastník projektu|DataCentrum | ||
| 17 | |||
| 18 | |||
| 19 | **Schvaľovanie dokumentu** | ||
| 20 | |||
| 21 | |Položka|Meno a priezvisko|Organizácia|Pracovná pozícia|Dátum|((( | ||
| 22 | Podpis | ||
| 23 | |||
| 24 | |||
| 25 | ))) | ||
| 26 | |Vypracoval|Peter Holba|DataCentrum|projektový manažér|10.02.2025| | ||
| 27 | |||
| 28 | |||
| 29 | 1. História DOKUMENTU | ||
| 30 | |||
| 31 | |Verzia|Dátum|Zmeny|Meno | ||
| 32 | |//0.1//|//14.01.2025//|//Vytvorenie dokumentu//| | ||
| 33 | |//1.0//|//10.02.2025//|Spracovaný dokument| | ||
| 34 | | | | | | ||
| 35 | |||
| 36 | |||
| 37 | 1. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE | ||
| 38 | |||
| 39 | V súlade s vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy v znení neskorších predpisov (ďalej aj ako „Vyhláška o riadení projektov“ alebo „Vyhláška č. 401/2023“) je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov. | ||
| 40 | |||
| 41 | |||
| 42 | Dokument je vypracovaný v súlade Výzvou na predkladanie Žiadostí o poskytnutie nenávratného finančného príspevku č. PSK-MIRRI-616-2024-DV-EFRR - Zvýšenie úrovne kybernetickej a informačnej bezpečnosti, ktorej cieľom je zvýšenie úrovne informačnej a kybernetickej bezpečnosti prostredníctvom | ||
| 43 | |||
| 44 | nákupu hardvéru a bezpečnostného softvéru. | ||
| 45 | |||
| 46 | |||
| 47 | 1. | ||
| 48 | 11. Použité skratky a pojmy | ||
| 49 | |||
| 50 | |SKRATKA/POJEM|POPIS | ||
| 51 | | EDR|Endpoint Detection and Response | ||
| 52 | | NDR|Network Detection and Response | ||
| 53 | | NBÚ|Národný bezpečnostný úrad | ||
| 54 | |MF SR|Ministerstvo financií SR | ||
| 55 | |MIRRI|Ministerstvo investícií, regionálneho rozvoja a informatizácie SR | ||
| 56 | |||
| 57 | |||
| 58 | 1. DEFINOVANIE PROJEKTU | ||
| 59 | |||
| 60 | |||
| 61 | 1. | ||
| 62 | 11. Manažérske zhrnutie | ||
| 63 | |||
| 64 | DataCentrum je kľúčovým poskytovateľom IT služieb a infraštruktúry pre široké spektrum verejných a súkromných organizácií. Ako správca kritických informačných systémov a poskytovateľ dátových služieb čelí neustále rastúcim kybernetickým hrozbám. Na zabezpečenie maximálnej ochrany citlivých údajov a na udržanie vysokej úrovne dôveryhodnosti poskytovaných služieb je nevyhnutné implementovať pokročilé bezpečnostné riešenia, ako sú Endpoint Detection and Response (EDR) a Network Detection and Response (NDR). Tieto nástroje umožňujú efektívne monitorovanie, identifikáciu a neutralizáciu kybernetických hrozieb v reálnom čase, čím znižujú riziko narušenia bezpečnosti a minimalizujú dopady potenciálnych incidentov. | ||
| 65 | |||
| 66 | |||
| 67 | Predložený projekt je priamou reakciou na rastúce riziká spojené s kybernetickými útokmi. Ako uvádza Správa o kybernetickej bezpečnosti v Slovenskej republike za rok 2023 (NBÚ) a dáta z predošlých kalendárnych rokov, počet kybernetických útokov má neustále stúpajúcu tendenciu. Medzi najvýznamnejšie kybernetické hrozby v Slovenskej republike patria útoky realizované metódami sociálneho inžinierstva, DDoS útoky, šírenie škodlivého softvéru (malvér), ako aj pokusy o neoprávnený prienik do systémov s cieľom zneužiť existujúce zraniteľnosti. Tieto riziká predstavujú vážnu hrozbu nielen pre prevádzkovateľov IT služieb, ale aj pre samotných užívateľov a ich údaje. | ||
| 68 | |||
| 69 | |||
| 70 | Cieľom projektu je vytvoriť robustné bezpečnostné prostredie, ktoré bude spĺňať nielen aktuálne požiadavky, ale aj dlhodobé strategické ciele v oblasti informačnej a kybernetickej bezpečnosti. Implementácia EDR a NDR technológií bude plne v súlade s cieľmi definovanými v Bezpečnostnej stratégii informačnej a kybernetickej bezpečnosti Slovenskej republiky a zohľadní aj požiadavky interných riadiacich smerníc DataCentra. Navyše, tento projekt pomôže zvýšiť pripravenosť organizácie na reakciu voči novým typom kybernetických útokov, zlepšiť procesy riadenia rizík a posilniť dôveru klientov v bezpečnosť poskytovaných služieb. | ||
| 71 | |||
| 72 | |||
| 73 | Výsledky projektu zároveň prispejú k optimalizácii bezpečnostných procesov, k zvýšeniu prevádzkovej odolnosti a k minimalizácii rizík spojených s manipuláciou citlivých údajov. Tento komplexný prístup k ochrane informačných systémov je kľúčom k efektívnej a spoľahlivej prevádzke DataCentra v čoraz náročnejšom digitálnom prostredí. | ||
| 74 | |||
| 75 | |||
| 76 | Realizácia projektu bude zabezpečená prostredníctvom kombinácie interných kapacít útvaru bezpečnosti a odboru prevádzky v súčinnosti s externými (dodávateľskými) prácami. V rámci projektu bude realizovaný nákup hardvéru a softvéru, pričom pôjde iba o tzv. krabicové riešenia s integračnými a konfiguračnými prácami bez potreby vlastného vývoja. | ||
| 77 | |||
| 78 | |||
| 79 | DataCentrum sa bude uchádzať o financovanie projektu primárne zo zdrojov Európskeho fondu regionálneho rozvoja (EFRR) prostredníctvom výzvy na predkladanie žiadosti o poskytnutie nenávratného finančného príspevku (NFP) „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti“ (kód PSKMIRRI-616-2024-DV-EFRR) (ďalej aj ako „Výzva“), ktorú vyhlásilo Ministerstvo investícií, regionálneho rozvoja a informatizácie SR ako riadiaci orgán v rámci opatrenia 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie, špecifického cieľa RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy. Predpokladaná celková výška rozpočtu projektu je 3 000 000 EUR s DPH. Bližšie údaje o finančnom rozdelení pre jednotlivé aktivity projektu sa nachádzajú v rozpočte projektu a analýze nákladov a prínosov (ďalej aj ako „CBA“). Realizačná fáza projektu je plánovaná na 36 mesiacov s predpokladaným začiatkom realizácie od 07/2025. | ||
| 80 | |||
| 81 | |||
| 82 | 1. | ||
| 83 | 11. Motivácia a rozsah projektu | ||
| 84 | |||
| 85 | |||
| 86 | **Motivácia projektu** | ||
| 87 | |||
| 88 | |||
| 89 | Digitálne prostredie čelí neustále rastúcim kybernetickým hrozbám, ktoré môžu mať vážne dôsledky pre organizácie spracúvajúce citlivé dáta. DataCentrum si uvedomuje potrebu posilnenia svojej kybernetickej bezpečnosti, aby zabezpečilo integritu, dostupnosť a dôvernosť údajov. Implementácia pokročilých bezpečnostných riešení, ako sú Endpoint Detection and Response (EDR) a Network Detection and Response (NDR), je nevyhnutná na ochranu infraštruktúry pred modernými hrozbami, minimalizáciu bezpečnostných incidentov a zvýšenie efektivity reakcie na kybernetické útoky. | ||
| 90 | |||
| 91 | |||
| 92 | **Rozsah projektu** | ||
| 93 | |||
| 94 | |||
| 95 | Projekt sa zameriava na zavedenie a konfiguráciu systémov EDR a NDR v rámci DataCentra. Nezahŕňa vývoj ani úpravu koncových služieb, ale skôr posilnenie ochrany existujúcej IT infraštruktúry. Projekt pokrýva analýzu aktuálneho bezpečnostného prostredia, výber a implementáciu vhodných technológií, integráciu do existujúcich bezpečnostných systémov a školenie personálu na efektívne využívanie nových nástrojov. | ||
| 96 | |||
| 97 | |||
| 98 | |||
| 99 | **Hlavný cieľ projektu** | ||
| 100 | |||
| 101 | |||
| 102 | Hlavným cieľom projektu je zvýšiť úroveň kybernetickej bezpečnosti v DataCentre prostredníctvom nasadenia pokročilých bezpečnostných systémov EDR a NDR, ktoré umožnia včasnú detekciu a efektívnu reakciu na kybernetické hrozby, čím sa minimalizujú potenciálne škody a riziká spojené s bezpečnostnými incidentmi. | ||
| 103 | |||
| 104 | |||
| 105 | **Špecifické ciele projektu** | ||
| 106 | |||
| 107 | |||
| 108 | * Implementácia systémov EDR a NDR – Zavedenie a konfigurácia bezpečnostných nástrojov na detekciu a reakciu na hrozby v koncových bodoch a sieťovej infraštruktúre. | ||
| 109 | * Zlepšenie detekcie kybernetických hrozieb – Zvýšenie schopnosti identifikovať a eliminovať bezpečnostné incidenty pred ich eskaláciou. | ||
| 110 | * Zníženie reakčného času na bezpečnostné incidenty – Automatizácia analýzy a reakčných procesov na kybernetické hrozby. | ||
| 111 | * Integrácia s existujúcimi bezpečnostnými systémami – Napojenie EDR a NDR na ďalšie bezpečnostné nástroje a SIEM riešenia pre efektívnejšiu správu incidentov. | ||
| 112 | * Školenie personálu a budovanie interných kapacít – Vzdelávanie IT a bezpečnostných tímov na efektívne využívanie implementovaných riešení. | ||
| 113 | * Pravidelná revízia a optimalizácia bezpečnostných opatrení – Zavedenie priebežných auditov a hodnotení efektivity bezpečnostných systémov na základe aktuálnych hrozieb. | ||
| 114 | |||
| 115 | |||
| 116 | **Výzvy v oblasti kybernetickej bezpečnosti, ktoré projekt rieši:** | ||
| 117 | |||
| 118 | |||
| 119 | * Pokročilé a cielené kybernetické útoky – Ochrana pred ransomvérom, phishingom a ďalšími sofistikovanými hrozbami. | ||
| 120 | * Nedostatok prehľadu o bezpečnostných udalostiach – Zlepšenie viditeľnosti a sledovania podozrivých aktivít v rámci infraštruktúry. | ||
| 121 | * Dlhý reakčný čas na incidenty – Zavedenie automatizovaných mechanizmov na detekciu a reakciu, čím sa skracuje doba riešenia bezpečnostných incidentov. | ||
| 122 | * Nedostatočná integrácia bezpečnostných nástrojov – Prepojenie EDR a NDR s existujúcimi bezpečnostnými riešeniami a monitorovacími systémami. | ||
| 123 | * Zvyšujúca sa sofistikovanosť útokov – Neustále prispôsobovanie bezpečnostných opatrení novým typom hrozieb. | ||
| 124 | * Závislosť od manuálnych procesov – Automatizácia bezpečnostných operácií na zvýšenie efektivity a zníženie rizika ľudskej chyby. | ||
| 125 | |||
| 126 | |||
| 127 | |||
| 128 | 1. | ||
| 129 | 11. Zainteresované strany/Stakeholderi | ||
| 130 | |||
| 131 | |||
| 132 | |ID|AKTÉR / STAKEHOLDER|((( | ||
| 133 | SUBJEKT | ||
| 134 | |||
| 135 | (názov / skratka) | ||
| 136 | )))|((( | ||
| 137 | ROLA | ||
| 138 | |||
| 139 | (vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.) | ||
| 140 | )))|((( | ||
| 141 | Informačný systém | ||
| 142 | |||
| 143 | (MetaIS kód a názov ISVS) | ||
| 144 | ))) | ||
| 145 | |1.|Ministerstvo financií SR|MF SR|zriaďovateľ DataCentra a užívateľ služieb|nerelevantné | ||
| 146 | |2.|DataCentrum|DataCentrum|Vlastník informačných aktív| | ||
| 147 | |3.|Ministerstvo investícií, regionálneho rozvoja a informatizácie SR|MIRRI|Garant eGovernmentu|nerelevantné | ||
| 148 | |4.|Verejnosť|Verejnosť|Občan konzument služieb|nerelevantné | ||
| 149 | |||
| 150 | |||
| 151 | |||
| 152 | 1. | ||
| 153 | 11. Ciele projektu | ||
| 154 | |||
| 155 | |ID|Názov cieľa|Názov strategického cieľa|Spôsob realizácie strategického cieľa | ||
| 156 | |1|Implementácia EDR a NDR systémov|Posilnenie kybernetickej bezpečnosti organizácie|Inštalácia a konfigurácia EDR/NDR nástrojov | ||
| 157 | |2|Monitorovanie a detekcia sieťových a endpoint hrozieb|Zlepšenie reakcie na kybernetické incidenty|Zriadenie systému včasného varovania | ||
| 158 | |3|Zníženie reakčného času na bezpečnostné incidenty|Zvýšenie efektívnosti procesov kybernetickej ochrany|Automatizácia analýzy incidentov pomocou EDR/NDR | ||
| 159 | |4|Vyškolenie tímu v používaní EDR a NDR systémov|Zvýšenie bezpečnostnej zdatnosti zamestnancov|Organizácia workshopov a praktických školení | ||
| 160 | |5|Pravidelná revízia a optimalizácia nasadených riešení|Neustála adaptácia na meniace sa hrozby|Zavedenie štvrťročných auditov kybernetickej bezpečnosti | ||
| 161 | |||
| 162 | |||
| 163 | 1. | ||
| 164 | 11. Merateľné ukazovatele (KPI) | ||
| 165 | |||
| 166 | |**ID/Názov cieľa**|**Názov ukazovateľa (KPI)**|**Popis ukazovateľa**|**Merná jednotka**|**AS IS merateľné hodnoty (aktuálne)**|**TO BE merateľné hodnoty (cieľové hodnoty)**|**Spôsob ich merania**|**Pozn.** | ||
| 167 | |1. Implementácia EDR a NDR systémov|Pokrytie infraštruktúry|Percento pokrytia endpointov a siete systémami EDR a NDR|%|0%|100%|Overenie implementácie na všetkých endpointoch| | ||
| 168 | | |Čas implementácie|Dĺžka implementácie systémov|Mesiace|0|6|Sledovanie projektového plánu| | ||
| 169 | |2. Monitorovanie a detekcia hrozieb|Detekcia hrozieb|Percento detegovaných známych hrozieb|%|0%|95%|Testovanie systému na reálnych dátach| | ||
| 170 | | |Falošné pozitívne výsledky|Percento falošne pozitívnych detekcií|%|-|< 10 %|Analýza výstupov z detekčného systému| | ||
| 171 | |3. Zníženie reakčného času|Priemerný reakčný čas|Priemerný čas na reakciu na kybernetické incidenty|Hodiny|10 hodín|5 hodín|Monitorovanie a analýza reakčných časov| | ||
| 172 | |4. Vyškolenie tímu|Počet vyškolených zamestnancov|Percento zamestnancov, ktorí absolvovali školenie|%|0%|100%|Evidencia účasti na školeniach| | ||
| 173 | | |Spokojnosť zamestnancov|Percento pozitívnej spätnej väzby zo školení|%|-|> 90 %|Dotazník po školení| | ||
| 174 | |5. Pravidelná revízia a optimalizácia|Počet implementovaných odporúčaní|Počet odporúčaní zavedených do praxe|Počet|0|≥ 3 odporúčania za audit|Kontrola implementácie záznamov z auditov| | ||
| 175 | | |Čas realizácie odporúčaní|Priemerný čas realizácie odporúčaní po audite|Dni|-|≤ 30 dní|Sledovanie priebehu implementácie| | ||
| 176 | |||
| 177 | |||
| 178 | 1. | ||
| 179 | 11. Špecifikácia potrieb koncového používateľa | ||
| 180 | |||
| 181 | Predmetný projekt je zameraný na zvýšenie úrovne kybernetickej bezpečnosti v rámci DataCentra prostredníctvom implementácie pokročilých bezpečnostných riešení, ako sú systémy Endpoint Detection and Response (EDR) a Network Detection and Response (NDR). Projekt sa nezameriava na vývoj ani úpravu koncových služieb, ale výlučne na zabezpečenie ochrany dát, infraštruktúry a procesov, ktoré sú kľúčové pre bezpečné fungovanie DataCentra. Cieľom je efektívne reagovať na kybernetické hrozby a minimalizovať bezpečnostné riziká bez zásahu do existujúceho nastavenia koncových služieb. | ||
| 182 | |||
| 183 | |||
| 184 | 1. | ||
| 185 | 11. Riziká a závislosti | ||
| 186 | |||
| 187 | Zoznam rizík a závislostí je detailne spracovaný v Prílohe č. 1 – Zoznam RIZÍK a ZÁVISLOSTÍ. | ||
| 188 | |||
| 189 | |||
| 190 | 1. | ||
| 191 | 11. Stanovenie alternatív v biznisovej vrstve architektúry | ||
| 192 | |||
| 193 | Pre projekt nasadenia systémov EDR (Endpoint Detection and Response) a NDR (Network Detection and Response) v DataCentre boli identifikované nasledovné alternatívy realizácie, pričom každá z nich predstavuje odlišný prístup k implementácii bezpečnostných opatrení a zohľadňuje rôzne faktory, ako sú náklady, efektivita a dostupné zdroje. | ||
| 194 | |||
| 195 | |||
| 196 | 1. | ||
| 197 | 11. | ||
| 198 | 111. **Alternatíva č. 1: Zachovanie súčasného stavu** | ||
| 199 | |||
| 200 | Táto alternatíva predpokladá ponechanie existujúceho bezpečnostného riešenia bez implementácie systémov EDR a NDR. Súčasné bezpečnostné opatrenia budú naďalej spravované v rámci aktuálnych možností a bez dodatočných investícií do nových technológií. Táto možnosť prináša minimálne počiatočné náklady, avšak môže predstavovať zvýšené riziko kybernetických hrozieb v dôsledku obmedzenej detekcie a odozvy na bezpečnostné incidenty. | ||
| 201 | |||
| 202 | |||
| 203 | **Hlavné výhody:** | ||
| 204 | |||
| 205 | * Žiadne dodatočné investičné náklady | ||
| 206 | * Zachovanie existujúcej infraštruktúry | ||
| 207 | * Minimálne narušenie prevádzkových procesov | ||
| 208 | |||
| 209 | |||
| 210 | **Hlavné nevýhody:** | ||
| 211 | |||
| 212 | * Zvýšené riziko kybernetických hrozieb | ||
| 213 | * Nedostatočná úroveň automatizácie a analytiky | ||
| 214 | * Nižšia schopnosť reagovať na incidenty v reálnom čase | ||
| 215 | *1. | ||
| 216 | *11. **Alternatíva č. 2: Realizácia výstupov spôsobom využitia externých kapacít** | ||
| 217 | |||
| 218 | V rámci tejto alternatívy by bol projekt realizovaný prostredníctvom externých poskytovateľov služieb, ktorí by zabezpečili nasadenie a správu systémov EDR a NDR. Týmto spôsobom by sa eliminovala potreba rozsiahlych interných investícií do infraštruktúry a personálu, pričom organizácia by využívala služby formou outsourcingu. | ||
| 219 | |||
| 220 | |||
| 221 | **Hlavné výhody:** | ||
| 222 | |||
| 223 | * Rýchle nasadenie riešenia | ||
| 224 | * Využitie expertízy a skúseností externých poskytovateľov | ||
| 225 | * Nižšia potreba interných kapacít a odborných znalostí | ||
| 226 | |||
| 227 | |||
| 228 | **Hlavné nevýhody:** | ||
| 229 | |||
| 230 | * Závislosť od externého dodávateľa | ||
| 231 | * Možné vyššie dlhodobé prevádzkové náklady | ||
| 232 | * Riziko spojené s externým spracovaním citlivých dát | ||
| 233 | |||
| 234 | |||
| 235 | 1. | ||
| 236 | 11. | ||
| 237 | 111. **Alternatíva č. 3: Realizácia projektu v plnom rozsahu** | ||
| 238 | |||
| 239 | Táto alternatíva zahŕňa plnú internú realizáciu nasadenia systémov EDR a NDR, vrátane vybudovania potrebnej infraštruktúry a zabezpečenia interných odborných kapacít na správu a údržbu systému. Tento prístup umožňuje plnú kontrolu nad bezpečnostnými riešeniami a ich konfiguráciou. | ||
| 240 | |||
| 241 | **Hlavné výhody:** | ||
| 242 | |||
| 243 | * Plná kontrola nad riešením a bezpečnostnými politikami | ||
| 244 | * Možnosť prispôsobenia systému špecifickým potrebám organizácie | ||
| 245 | * Dlhodobá návratnosť investícií bez závislosti od externých partnerov | ||
| 246 | |||
| 247 | |||
| 248 | **Hlavné nevýhody:** | ||
| 249 | |||
| 250 | * Potreba zabezpečenia odborných kapacít na správu systému | ||
| 251 | |||
| 252 | |||
| 253 | 1. | ||
| 254 | 11. Multikriteriálna analýza | ||
| 255 | |||
| 256 | V zmysle vyššie uvedených možných alternatív vyplýva, že ak chce Datacentrum zabezpečiť čo najvyšší súlad kybernetickej a informačnej bezpečnosti týchto služieb s legislatívnymi požiadavkami, je jediná akceptovateľná alternatíva č. 3. | ||
| 257 | |||
| 258 | Výber alternatív prebieha na úrovni biznis vrstvy prostredníctvom MCA, ktorá obsahuje ciele stakeholderov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov. | ||
| 259 | |||
| 260 | KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania | ||
| 261 | |||
| 262 | | |KRITÉRIUM|ZDÔVODNENIE KRIÉRIA|DataCetrum|MF SR|Verejnosť | ||
| 263 | |(% rowspan="4" %)((( | ||
| 264 | BIZNIS VRSTVA | ||
| 265 | |||
| 266 | |||
| 267 | )))|((( | ||
| 268 | Rozšírenie schopností bezpečnostného dohľadu a | ||
| 269 | |||
| 270 | detekcie KBI. | ||
| 271 | )))|Rýchla detekcia a následná reakcia na KBI je potrebná pre minimalizáciu následkov KBI|X| |X | ||
| 272 | |Zlepšenie koordinácie riešenia KBI.|Zlepšenie systému evidencie a riadenia KBI|X|X| | ||
| 273 | |Zlepšenie manažmentu zraniteľností kybernetickej Bezpečnosti DataCentra|Zlepšenie skenovania IT aktív v prístupových infraštruktúrach, riadenie záplat a aktualizácií|X| | | ||
| 274 | |Zlepšenie zabezpečenia sieťového rozhrania organizácii|Zlepšenie zabezpečenia infraštruktúry MF SR a prístupových infraštruktúr rezortných organizácií.|X|X|X | ||
| 275 | |||
| 276 | |||
| 277 | |||
| 278 | |||
| 279 | |||
| 280 | |||
| 281 | |||
| 282 | |||
| 283 | |Zoznam kritérií|((( | ||
| 284 | Alternatíva | ||
| 285 | |||
| 286 | 1 | ||
| 287 | )))|((( | ||
| 288 | Spôsob | ||
| 289 | |||
| 290 | dosiahnutia | ||
| 291 | )))|Alternatíva 2|((( | ||
| 292 | Spôsob | ||
| 293 | |||
| 294 | dosiahnutia | ||
| 295 | )))|Alternatíva 3|((( | ||
| 296 | Spôsob | ||
| 297 | |||
| 298 | dosiahnutia | ||
| 299 | ))) | ||
| 300 | |((( | ||
| 301 | Rozšírenie schopností bezpečnostného dohľadu a | ||
| 302 | |||
| 303 | detekcie KBI. | ||
| 304 | )))|nie| |áno| |áno| | ||
| 305 | |Zlepšenie koordinácie riešenia KBI.|nie| |nie| |áno| | ||
| 306 | |Zlepšenie manažmentu zraniteľností kybernetickej Bezpečnosti DataCentra|nie| |áno| |áno| | ||
| 307 | |Zlepšenie zabezpečenia sieťového rozhrania organizácii|nie| |nie| |áno| | ||
| 308 | |||
| 309 | Z vyššie uvedených informácii vyplýva, že najvýhodnejším riešením MCA pre splnenie cieľa projektu a teda zvýšenie kybernetickej bezpečnosti organizácie je biznis alternatíva 3, ktorá navrhuje realizovať všetky navrhované aktivity v plnom rozsahu. | ||
| 310 | |||
| 311 | |||
| 312 | 1. | ||
| 313 | 11. Stanovenie alternatív v aplikačnej vrstve architektúry | ||
| 314 | |||
| 315 | Na aplikačnej vrstve budú projektom riešené len aplikačné moduly/funkcionality, ktoré sú nevyhnutné pre dosiahnutie cieľov vybranej Alternatívy č. 3 | ||
| 316 | |||
| 317 | 1. | ||
| 318 | 11. Stanovenie alternatív v technologickej vrstve architektúry | ||
| 319 | |||
| 320 | Z hľadiska použitých technológií nie sú definované alternatívy. Požiadavky na technológie sú definované všeobecne tak, aby ľubovoľnú SW a HW technológia, ktorá splní definované požiadavky koncového používateľa, bolo možné použiť na realizáciu projektu. | ||
| 321 | |||
| 322 | 1. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) | ||
| 323 | |||
| 324 | |||
| 325 | |Aktivita (modul)|Stručný popis činností a výstupov | ||
| 326 | |Bezpečnostný dohľad a riadenie incidentov|((( | ||
| 327 | Bezpečnostný monitoring, analýza a detekcia KBI | ||
| 328 | |||
| 329 | * Rozšírenie kapacít a procesov bezpečnostného monitoringu, predovšetkým v oblasti technológie SIEM a súvisiacich procesných postupov, pre infraštruktúry Datacentra a prístupové systémy. | ||
| 330 | * Analýza zaznamenaných bezpečnostných udalostí | ||
| 331 | * Vytvorenie detekčných pravidiel („use-cases“) pre prístupové infraštruktúry. | ||
| 332 | |||
| 333 | Analýza prístupových infraštruktúr | ||
| 334 | |||
| 335 | * Vykonanie podrobnej analýzy perimetrov prístupových infraštruktúr a inventarizácia IT aktív. | ||
| 336 | * Výstupom bude inventarizačná databáza počítačových sietí a IT aktív | ||
| 337 | |||
| 338 | Evidencia a riadenie KBI | ||
| 339 | |||
| 340 | * Rozšírenie kapacít ticketovacieho systému a optimalizáciu procesov koordinácie riešenia bezpečnostných incidentov v rámci Datacentra. | ||
| 341 | ))) | ||
| 342 | |Zlepšenie monitoringu sieťových rozhraní|((( | ||
| 343 | Monitoring sieťových a mailových rozhraní | ||
| 344 | |||
| 345 | * V rámci tejto činnosti budú implementované sondy monitorujúce sieťovú a mailovú prevádzku ako aj servery a úložiská pre tieto dáta. | ||
| 346 | * Táto aktivita zahŕňa obstaranie a nasadenie technológie na monitoring sieťovej komunikácie. Výsledkom bude rozšírenie možností analýzy sieťovej prevádzky o sieťové toky v rámci prístupových infraštruktúr prostredníctvom špecializovaných sond na monitorovanie komunikácie. | ||
| 347 | ))) | ||
| 348 | |Zavedenie monitoringu a ochrany koncovvých bodov|((( | ||
| 349 | Monitoring a ochrana koncových bodov: | ||
| 350 | |||
| 351 | * V rámci tejto činnosti budú implementované agentské programy na koncové body monitorujúce prevádzku ako aj servery a úložiská pre tieto dáta a manažovanie agentov na koncových bodoch. | ||
| 352 | * Monitorovanie činností koncových bodov - Implementácia systému na zaznamenávanie aktivít (spustené procesy, súbory, registre, sieťové činnosti, USB médiá) - Zabezpečený prehľad o činnostiach koncových bodov a možnosť ich analýzy. | ||
| 353 | * Pravidlá pre hodnotenie správania koncových bodov - Definovanie pravidiel na detekciu podozrivého správania. Automatizované upozornenia na anomálie (napr. PowerShell zapisujúci na disk). | ||
| 354 | * Ochrana pred vírusmi a malware - Nasadenie antivírusového a anti-malware riešenia s detekciou v reálnom čase. Prevencia pred spustením škodlivých procesov a integrácia s Windows Security. | ||
| 355 | * Vzdialené vyšetrovanie incidentov - Implementácia nástrojov na získavanie údajov (smerovacia tabuľka, ARP, registre, súbory, prihlásení používatelia, analýza pamäte). Efektívne riešenie incidentov bez nutnosti fyzického zásahu. | ||
| 356 | * Detekcia indikátorov kompromitácie (IOC) - Využitie OpenIOC a YARA na analýzu podozrivých aktivít. Možnosť rýchlej identifikácie hrozieb na koncových bodoch | ||
| 357 | * Vzdialené riešenie bezpečnostných incidentov - Implementácia opatrení na mazanie súborov, úpravu registrov, odinštalovanie SW, izoláciu stanice. Rýchla a efektívna reakcia na incidenty bez fyzického prístupu | ||
| 358 | * Práva a prístupové oprávnenia (RBAC) - Konfigurácia detailného riadenia prístupových práv bezpečnostných špecialistov. Bezpečná správa systému s presne definovanými oprávneniami. | ||
| 359 | * Externý prístup pre odborníkov - Definovanie súboru alarmov a systémových funkcií dostupných pre externých expertov. Možnosť zapojenia špecialistov do riešenia bezpečnostných incidentov | ||
| 360 | * Detekcia zraniteľností aplikácií - Implementácia skenovania a reportovania o bezpečnostných nedostatkoch softvéru. Prehľad o zraniteľnostiach nainštalovaných aplikácií. | ||
| 361 | * Zber a analýza procesov na koncových bodoch - Kontinuálne monitorovanie spustených procesov a súborov na analýzu. Kompletný zoznam spustených súborov pre hĺbkovú bezpečnostnú kontrolu. | ||
| 362 | ))) | ||
| 363 | |||
| 364 | |||
| 365 | 1. NÁHĽAD ARCHITEKTÚRY | ||
| 366 | |||
| 367 | |||
| 368 | [[image:1740484896410-136.png]] | ||
| 369 | |||
| 370 | Novo-pridané komponenty NDR a EDR budú integrované s existujúcimi SIEM servermi v Datacentre. Ich monitoring, manažment a riadenie budú prevádzkované bezpečnostnými expertami z centra SOC a požaduje sa aj automatické zasielanie reportov pre CISO prípadne manažment Datacentra. | ||
| 371 | |||
| 372 | NDR a EDR systémy budú nesaditeľné nielen na interné systémy Datacentra, ale aj napr. systémy, ktoré Datacentrum spravuje prípadne systémy RPC. | ||
| 373 | |||
| 374 | |||
| 375 | |||
| 376 | |||
| 377 | 1. | ||
| 378 | 11. Prehľad e-Government komponentov | ||
| 379 | |||
| 380 | |||
| 381 | 1. | ||
| 382 | 11. | ||
| 383 | 111. Prehľad koncových služieb – budúci stav: | ||
| 384 | |||
| 385 | Projekt nemá vplyv na poskytovanie koncových služieb. Žiadne úpravy koncových služieb sa v rámci projektu nerealizujú. | ||
| 386 | |||
| 387 | |||
| 388 | 1. | ||
| 389 | 11. | ||
| 390 | 111. Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: | ||
| 391 | |||
| 392 | Projekt sa nevenuje budovaniu ani rozvoju informačných systémov ako takých. Prevádzka ISVS budú nepriamo podporované implementáciou licenčných riešení s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov. | ||
| 393 | |||
| 394 | |||
| 395 | 1. | ||
| 396 | 11. | ||
| 397 | 111. Prehľad budovaných aplikačných služieb – budúci stav: | ||
| 398 | |||
| 399 | Predmetom projektu nie je budovanie, ani rozširovanie nových koncových či aplikačných služieb, funkcionality systémov Datacentra, ani zmena evidovaných a poskytovaných údajov, ale zvýšenie úrovne kybernetickej a informačnej bezpečnosti v DataCentre. | ||
| 400 | |||
| 401 | 1. | ||
| 402 | 11. | ||
| 403 | 111. Prehľad integrácii ISVS na spoločné ISVS[[^^**~[1~]**^^>>path:#_ftn1]] a ISVS iných OVM alebo IS tretích strán | ||
| 404 | |||
| 405 | Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na integrácie na spoločné ISVS či ISVS iných OVM a IS tretích strán. | ||
| 406 | |||
| 407 | 1. | ||
| 408 | 11. | ||
| 409 | 111. Aplikačné služby na integráciu | ||
| 410 | |||
| 411 | |||
| 412 | Predmetom projektu nie je budovanie, ani rozširovanie nových koncových či aplikačných služieb, funkcionality systémov DataCentra, ani zmena evidovaných a poskytovaných údajov, ale zvýšenie úrovne kybernetickej a informačnej bezpečnosti. | ||
| 413 | |||
| 414 | |||
| 415 | 1. | ||
| 416 | 11. | ||
| 417 | 111. Poskytovanie údajov z ISVS do IS CSRÚ | ||
| 418 | |||
| 419 | Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na poskytovanie údajov do IS CSRÚ. | ||
| 420 | |||
| 421 | |||
| 422 | 1. | ||
| 423 | 11. | ||
| 424 | 111. Konzumovanie údajov z IS CSRÚ | ||
| 425 | |||
| 426 | |||
| 427 | Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na poskytovanie údajov do IS CSRÚ. | ||
| 428 | |||
| 429 | |||
| 430 | 1. | ||
| 431 | 11. | ||
| 432 | 111. Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: | ||
| 433 | |||
| 434 | |||
| 435 | Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na využívanie kapacít vládneho cloudu. | ||
| 436 | |||
| 437 | 1. LEGISLATÍVA | ||
| 438 | |||
| 439 | Realizácia projektu si nevyžaduje žiadne zmeny v oblasti legislatívy pre naplnenie cieľov a dodanie výstupov projektu. | ||
| 440 | |||
| 441 | |||
| 442 | * Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov | ||
| 443 | * Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov | ||
| 444 | * Vyhláška ÚPVII č. 78/2020 Z. z. o štandardoch ITVS | ||
| 445 | * Vyhláška MIRRI SR č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy | ||
| 446 | * Vyhláška ÚPVII č. 179/2020 Z. z. k bezpečnosti ITVS | ||
| 447 | * Vyhláška NBÚ č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení | ||
| 448 | |||
| 449 | 1. ROZPOČET A PRÍNOSY | ||
| 450 | |||
| 451 | Celkový predpokladaný rozpočet pre trvanie projektu je vo výške 3 000 000,00 EUR s DPH. | ||
| 452 | |||
| 453 | |||
| 454 | 1. | ||
| 455 | 11. Sumarizácia nákladov a prínosov | ||
| 456 | |||
| 457 | |(% colspan="3" %)** **|**Spolu**|Modul 1 | ||
| 458 | |**Náklady s DPH**|** **|** **|** 6 240 705 €**|** 6 240 705 €** | ||
| 459 | |** **|**Všeobecný materiál**|** **| - €| - € | ||
| 460 | |** **|**IT - CAPEX**|** **| 2 092 468 €| 2 092 468 € | ||
| 461 | |** **|** **|Aplikácie|// - €//|// - €// | ||
| 462 | |** **|** **|SW|// 1 942 843 €//|// 1 942 843 €// | ||
| 463 | |** **|** **|HW|// 149 624 €//|// 149 624 €// | ||
| 464 | |** **|**IT - OPEX**|** **| 4 148 237 €| 4 148 237 € | ||
| 465 | |** **|** **|Aplikácie|// - €//|// - €// | ||
| 466 | |** **|** **|SW|// 3 938 763 €//|// 3 938 763 €// | ||
| 467 | |** **|** **|HW|// 209 474 €//|// 209 474 €// | ||
| 468 | |** **|**Riadenie projektu**|** **| - €| - € | ||
| 469 | |** **|**Výstupné náklady**|** **| - €| - € | ||
| 470 | |**Prínosy**|** **|** **|** 41 513 090 €**|** 41 513 090 €** | ||
| 471 | |** **|**Finančné prínosy**|** **| - €| - € | ||
| 472 | |** **|** **|Administratívne poplatky|// - €//|// - €// | ||
| 473 | |** **|** **|Ostatné daňové a nedaňové príjmy|// - €//|// // | ||
| 474 | |** **|**Ekonomické prínosy**|** **| 41 513 090 €| 41 513 090 € | ||
| 475 | |** **|** **|Občania (€)|// - €//|// - €// | ||
| 476 | |** **|** **|Úradníci (€)|// - €//|// - €// | ||
| 477 | |** **|** **|Úradníci (FTE)|// N/A//|// N/A// | ||
| 478 | |** **|** **|Kvalitatívne prínosy|// 41 513 090 €//|// 41 513 090 €// | ||
| 479 | |||
| 480 | |||
| 481 | |||
| 482 | Detailný rozpočet sa nachádza v dokumente Analýza prínosov a nákladov (CBA), ktorý tvorí súčasť projektovej dokumentácie. | ||
| 483 | |||
| 484 | 1. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA | ||
| 485 | |||
| 486 | |||
| 487 | Časový harmonogram projektu je plánovaný na implementačno-realizačnú fázu(6 mesiacov) a následnú podporu prevádzky v trvaní 36mesiacov. Predbežný projektový harmonogram je nasledovný. | ||
| 488 | |||
| 489 | |||
| 490 | |ID|FÁZA/AKTIVITA|((( | ||
| 491 | ZAČIATOK | ||
| 492 | |||
| 493 | (odhad termínu) | ||
| 494 | )))|((( | ||
| 495 | KONIEC | ||
| 496 | |||
| 497 | (odhad termínu) | ||
| 498 | )))|POZNÁMKA | ||
| 499 | |1.|Prípravná fáza a Iniciačná fáza|07/2025|08/2025| | ||
| 500 | |2.|Realizačná fáza|08/2025|12/2025| | ||
| 501 | |2a|Analýza a Dizajn|08/2025|08/2025| | ||
| 502 | |2b|Nákup technických prostriedkov, programových prostriedkov a služieb|08/2025|09/2025|Obstaranie dodávateľa a licencií | ||
| 503 | |2c|Implementácia a testovanie|09/2025|10/2025| | ||
| 504 | |2d|Nasadenie|08/2025|11/2025| | ||
| 505 | |3.|Dokončovacia fáza|11/2025|12/2025| | ||
| 506 | |4.|Podpora prevádzky (SLA)|01/2026|12/2028|Licenčná podpora + SLA implementátora | ||
| 507 | |||
| 508 | |||
| 509 | Projekt bude riadený metódou „Waterfall“ metodológiou PRINCE2, keďže je možné vopred presne odhadnúť a naplánovať jednotlivé kroky. Dôraz bude kladený na systematické dodržiavanie stanoveného postupu počas vývoja a realizácie. Možnosti úprav počas priebehu projektu budú minimálne. | ||
| 510 | |||
| 511 | |||
| 512 | 1. PROJEKTOVÝ TÍM | ||
| 513 | |||
| 514 | |||
| 515 | |||
| 516 | |ID|Meno a Priezvisko|Pozícia|Oddelenie|Rola v projekte | ||
| 517 | |1.|Ing. Michal Majerčík|vedúci odboru prevádzky|Odboru prevádzky|Kľúčový používateľ | ||
| 518 | |2.|Peter Holba| |Oddelenie metodiky a riadenia projektov IS|IT Projektový manažér | ||
| 519 | |3.|Jaroslav Petrovský| |Útvar bezpečnosti|Manažér KB | ||
| 520 | |||
| 521 | |||
| 522 | |||
| 523 | |||
| 524 | 1. | ||
| 525 | 11. PRACOVNÉ NÁPLNE | ||
| 526 | |||
| 527 | Role a zodpovednosti RV, projektových manažérov a členov projektového tímu upravuje vyhláška 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. | ||
| 528 | |||
| 529 | Podrobné pracovné náplne, povinnosti projektového tímu a ich zodpovednosti budú predmetom menovacích dekrétov. | ||
| 530 | |||
| 531 | |||
| 532 | **Členmi riadiaceho výboru sú nasledovné role s definovanými zodpovednosťami:** | ||
| 533 | |||
| 534 | |||
| 535 | * | ||
| 536 | *1. | ||
| 537 | *11. Predseda RV: | ||
| 538 | * riadi a vedie RV | ||
| 539 | * zastupuje záujmy objednávateľa v projekte | ||
| 540 | * kontroluje súlad projektu a projektových cieľov so strategickými cieľmi | ||
| 541 | * zabezpečuje a udržiava finančné krytie (rozpočet) realizácie projektu | ||
| 542 | * zabezpečuje nákladovo prijateľný prístup v projekte. | ||
| 543 | |||
| 544 | === === | ||
| 545 | |||
| 546 | * | ||
| 547 | *1. | ||
| 548 | *11. IT Projektový manažér | ||
| 549 | * Riadenie prípravy, inicializácie a realizácie | ||
| 550 | * Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie | ||
| 551 | * Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov. | ||
| 552 | * Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou | ||
| 553 | |||
| 554 | 401/2023 Z.z. | ||
| 555 | |||
| 556 | * Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich | ||
| 557 | * Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov. | ||
| 558 | * Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie. | ||
| 559 | * Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom, | ||
| 560 | * Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV). | ||
| 561 | |||
| 562 | |||
| 563 | * | ||
| 564 | *1. | ||
| 565 | *11. Manažér KB | ||
| 566 | * Návrh a zavádzanie do praxe postupov, techník, nástrojov a pravidiel, ktoré maximalizujú efektivitu práce a kvalitatívne parametre vývoja softwaru/produktu/IS, resp. IT projektu. | ||
| 567 | * Definovanie akceptačných kritérií. | ||
| 568 | * Zabezpečenie súladu so štandardmi, normami, právnymi požiadavkami, požiadavkami užívateľov a prevádzkovateľov systémov. | ||
| 569 | * Akceptáciu splnenia vecných a kvalitatívnych požiadaviek v projekte svojím podpisom na akceptačnom protokole pri odovzdávaní jednotlivých fáz projektu/čiastkových projektov alebo pri odovzdávaní zmien vykonaných v rámci zmenových konaní. | ||
| 570 | * Aktívnu účasť rokovaniach a participáciu na riešení vecných požiadaviek členov projektového tímu. | ||
| 571 | * Definovanie postupov, navrhovanie a vyjadrovanie sa k plánom testov a testovacích scenárov. | ||
| 572 | * Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z. | ||
| 573 | |||
| 574 | |||
| 575 | * | ||
| 576 | *1. | ||
| 577 | *11. Manažér kvality | ||
| 578 | * Návrh a zavádzanie do praxe postupov, techník, nástrojov a pravidiel, ktoré maximalizujú efektivitu práce a kvalitatívne parametre vývoja softwaru/produktu/IS, resp. IT projektu | ||
| 579 | * Definovanie politiky kvality (stratégie kvality), meranie kvality, analýzu a spracovanie plánov kvality, | ||
| 580 | * Riadenie a monitorovanie dosahovania cieľov kvality, | ||
| 581 | * Špecifikáciu požiadaviek na kvalitu vyvíjaných funkcionalít systému | ||
| 582 | * Zabezpečenie súladu so štandardmi, normami, právnymi požiadavkami, požiadavkami užívateľov a prevádzkovateľov systémov, | ||
| 583 | * Kontrolu kvalitu plnenia vecných požiadaviek definovaných v Zmluve s dodávateľom alebo v požiadavkách na zmenu, | ||
| 584 | * Aktívnu účasť rokovaniach a participáciu na riešení vecných požiadaviek členov projektového tímu, | ||
| 585 | * Monitoring a vyhodnocovanie kvality údajov a návrh nápravných opatrení za účelom zabezpečenia správnosti a konzistentnosti údajov | ||
| 586 | |||
| 587 | |||
| 588 | * | ||
| 589 | *1. | ||
| 590 | *11. Špecialista na bezpečnosť IT | ||
| 591 | * identifikáciu potencionálnych hrozieb a elimináciu súčasných zraniteľností, | ||
| 592 | * vyhodnotenie informácií o hrozbách z interných a externých zdrojov za účelom monitorovania, | ||
| 593 | * zabezpečuje monitorovanie nových kritických zraniteľností, | ||
| 594 | * vyhodnocovanie zraniteľnosti, hrozieb a rizík | ||
| 595 | * bezpečnostné audity, testovanie možnosti prienikov | ||
| 596 | * dbá o včasnú eskaláciu problémov k manažmentu s primeranými informáciami o riziku a vplyve na organizáciu, | ||
| 597 | * vyhodnocuje zistenia vykonané externými stranami, vrátane posúdení zraniteľnosti a penetračných testov | ||
| 598 | |||
| 599 | |||
| 600 | * | ||
| 601 | *1. | ||
| 602 | *11. IT analytik | ||
| 603 | * Zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie. | ||
| 604 | * Analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému | ||
| 605 | * Pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu. | ||
| 606 | * Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. | ||
| 607 | * Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových štruktúr a ich väzieb, užívateľského rozhrania | ||
| 608 | * Spolupracuje na projektovaní a implementácii návrhov. | ||
| 609 | * Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad). | ||
| 610 | |||
| 611 | |||
| 612 | * | ||
| 613 | *1. | ||
| 614 | *11. Bezpečnostný architekt | ||
| 615 | * Zodpovedá za návrh architektúry riešenia IS a implementáciu technológií predovšetkým z pohľadu udržateľnosti, kvality a nákladov, za riešenie architektonických cieľov projektu dizajnu IS a súlad s architektonickými princípmi. | ||
| 616 | * tvorba základných princípov stratégie, návrhov, implementácie a prevádzky bezpečnostných opatrení | ||
| 617 | * definovanie požiadaviek na aplikačnú bezpečnosť, pre tvorbu dizajnu bezpečného SW, pre riadenie identity, logovanie a testovanie | ||
| 618 | * participovať, revidovať a akceptovať analytické dokumenty | ||
| 619 | * dohľad nad napĺňaním stratégie implementácie bezpečnostných opatrení, | ||
| 620 | * zhodnotiť rôzne alternatívy IT riešenia a odporučiť optimálne riešenie | ||
| 621 | |||
| 622 | |||
| 623 | * | ||
| 624 | *1. | ||
| 625 | *11. Kľúčový používateľ | ||
| 626 | * Zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu. | ||
| 627 | * Zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť. | ||
| 628 | * Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie | ||
| 629 | |||
| 630 | |||
| 631 | |||
| 632 | 1. ODKAZY | ||
| 633 | |||
| 634 | |||
| 635 | **Príloha : **Zoznam rizík a závislostí (Excel): | ||
| 636 | |||
| 637 | // // | ||
| 638 | |||
| 639 | Koniec dokumentu | ||
| 640 | |||
| 641 | |||
| 642 | |||
| 643 | |||
| 644 | ---- | ||
| 645 | |||
| 646 | [[~[1~]>>path:#_ftnref1]] Spoločné moduly podľa zákona č. 305/2013 e-Governmente |