projekt_2798_Projektovy_zamer_detailny

= {{id name="projekt_2798_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

122

123

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

124

125

126

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky obsahuje manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

**~ **

== {{id name="projekt_2798_Projektovy_zamer_detailny-Použitéskratkyapojmy"/}}Použité skratky a pojmy ==

|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

|(((

Active Directory

)))|(((

Active Directory je implementácia adresárových služieb [[LDAP>>url:https://sk.wikipedia.org/wiki/LDAP||shape="rect"]] firmou [[Microsoft>>url:https://sk.wikipedia.org/wiki/Microsoft||shape="rect"]] na použitie v systéme [[Microsoft Windows>>url:https://sk.wikipedia.org/wiki/Microsoft_Windows||shape="rect"]]. Umožňuje administrátorom nastavovať politiku, inštalovať programy na mnoho počítačov alebo aplikovať kritické aktualizácie v celej organizačnej štruktúre. Active Directory svoje informácie a nastavenia ukladá v centrálnej organizovanej databáze.

)))

|(((

BIA

)))|(((

Business Impact Analysis - Analýza vplyvu (BIA) je základom celého procesu riadenia kontinuity podnikania (BCM). Pozostáva z techník a metód na posúdenie vplyvu narušenia dodávok kľúčových produktov alebo služieb organizácie a iných zainteresovaných strán na organizáciu a ich podporných kritických činností

)))

|(((

BCM

)))|(((

Business Continuity Management - Riadenie kontinuity podnikania je kompletný súbor procesov,

151

152

ktorý identifikuje potenciálne vplyvy , ktoré ohrozujú organizáciu z pohľadu kybernetickej bezpečnosti. Poskytuje schopnosť účinnej reakcie na vzniknutý kybernetický bezpečnostný incident

)))

|(((

Core

)))|(((

Next Generation Firewall

)))

|(((

DAC kábel

)))|(((

Direct attach copper kábel, slúži k pripojeniu aktívnych prvkov.

)))

|(((

EDR riešenie

)))|(((

EDR (Endpoint Detection and Response) zlepšuje schopnosť identifikovať, monitorovať a reagovať na podozrivé aktivity na koncových zariadeniach, ako sú pracovné stanice, servery a mobilné zariadenia

)))

|(((

EPS

)))|(((

EPS (skratka pre Encapsulated PostScript) je univerzálny [[typ súboru>>url:https://sk.wikipedia.org/wiki/Typ_s%C3%BAboru||shape="rect"]], ktorý sa využíva pri posielaní dokumentov do tlačiarne

)))

|(((

Firewall

)))|(((

Sieťové zariadenie alebo softvér, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Extranet a Intranet) a kontrolovať tok dát medzi týmito sieťami

)))

|(((

GDPR

)))|(((

Nariadenie EU 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov

)))

|(((

HW

)))|(((

Hardvér

)))

|(((

LAN

)))|(((

Lokálna (vnútorná) počítačová sieť (Local Area Network)

)))

|(((

Log

)))|(((

Záznam činnosti

)))

|(((

MKB

)))|(((

Manažér kybernetickej bezpečnosti

)))

|(((

PZS

)))|(((

Poskytovateľ základnej služby – Mesto Senec

)))

|(((

SIEM

)))|(((

Systém pre zber a analýzu bezpečnostných udalostí vytváraných IT prostriedkami v reálnom čase (Security Information and Event Management)

)))

|(((

Spam

)))|(((

Spam je nevyžiadaná a hromadne rozosielaná správa

)))

|(((

sw

)))|(((

Softvér

)))

|(((

Switch

)))|(((

Prepínač ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] switch) alebo sieťový prepínač (angl. network switch) je aktívny prvok [[počítačovej siete>>url:https://sk.wikipedia.org/wiki/Po%C4%8D%C3%ADta%C4%8Dov%C3%A1_sie%C5%A5||shape="rect"]], ktorý spája jej jednotlivé časti. Prepínač slúži ako centrálny prvok v sieťach [[hviezdicovej topológie>>url:https://sk.wikipedia.org/wiki/Hviezdicov%C3%A1_sie%C5%A5||shape="rect"]]. V minulosti sa ako centrálny prvok v týchto sieťach používal [[rozbočovač>>url:https://sk.wikipedia.org/wiki/Rozbo%C4%8Dova%C4%8D_(ethernet)||shape="rect"]] ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] hub).

)))

|(((

TCP

)))|(((

Protokol riadenia prenosu (angl. Transmission Control Protocol)

)))

|(((

UPS

)))|(((

Zariadenie alebo systém, ktorý zabezpečuje plynulú dodávku elektriny pre zariadenia, ktoré nesmú byť neočakávane vypnuté.

)))

|(((

VPN

)))|(((

VPN je počítačová sieť na prepojenie počítačov na rôznych miestach internetu do jednej virtuálnej počítačovej siete.

)))

== {{id name="projekt_2798_Projektovy_zamer_detailny-Konvenciepretypypožiadaviek(príklady)"/}}Konvencie pre typy požiadaviek (príklady) ==

N/A

**// //**

= {{id name="projekt_2798_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

255

256

257

== {{id name="projekt_2798_Projektovy_zamer_detailny-Manažérskezhrnutie"/}}Manažérske zhrnutie ==

258

259

260

Projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti v meste Senec“ (ďalej len „projekt“) bol vypracovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v meste Senec a zabezpečiť súlad so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) a umožniť poskytovanie základnej služby.

261

262

263

**Tab.č.1** Základná služba v zmysle Zoznamu základných služieb NBÚ SR (zdroj: [[https:~~/~~/www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/>>url:https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/||shape="rect"]])

|(((

**Základná služba**

)))|(((

**IČO**

)))|(((

**Prevádzkovateľ základnej služby**

)))|(((

**Sektor**

)))|(((

**Podsektor**

)))|(((

**Ústredný orgán**

)))

|(((

Správcovia a prevádzkovatelia sietí a informačných systémov verejnej správy v pôsobnosti povinnej osoby podľa zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.

)))|(((

305065

)))|(((

Mesto Senec

)))|(((

Verejná správa

)))|(((

Informačné systémy verejnej správy

288

)))|(((

289

Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky

)))

Hlavným cieľom projektu je „Zvýšenie miery ochrany informačných systémov mesta voči potenciálnym kybernetickým incidentom“.

294

295

Tento cieľ bude naplnený realizáciu činností v oblasti informačnej a kybernetickej bezpečnosti, ktoré vychádzajú zo zistení Auditu kybernetickej bezpečnosti realizovaného v Meste Senec v roku 2024.

296

297

Predmetom projektu je:

298

299

* Tvorba bezpečnostnej dokumentácie a metodiky – dopracovanie dokumentácie kybernetickej bezpečnosti v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a v zmysle Vyhlášky NBÚ SR č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v zmysle výsledkov Auditu kybernetickej bezpečnosti,

300

* Implementácia softvérových a hardvérových nástrojov pre oblasť informačnej a kybernetickej bezpečnosti v nadväznosti na riziká identifikované v audite,

301

* Financovanie mzdových výdavkov Manažéra kybernetickej bezpečnosti.

302

303

Po implementácii projektu bude mesto pripravené efektívnejšie riadiť informačnú a kybernetickú bezpečnosť (ďalej iba „IB“ a „KB“) a čeliť interným a externým hrozbám v oblasti IB a KB.

304

305

Mesto v súčasnosti nedisponuje dostatočnými finančnými, technologickými a personálnymi zdrojmi, aby mohlo vykonávať všetky potrebné aktivity v rozsahu požadovanom zákonom o KB.

306

307

Hlavnými beneficientom projektu je MsÚ Senec a jeho jednotliví pracovníci, resp. užívatelia informačných systémov mesta. Nepriamym beneficientom sú obyvatelia mesta a subjekty komunikujúce s MsÚ. V dôsledku zavedených opatrení, ktoré zvýšia mieru ochrany informačných systémov bude minimalizovaný výpadok, resp. negatívny dopad bezpečnostných incidentov na riadnych chod úradu a poskytovanie služieb občanom a podnikateľom.

308

309

Predpokladaný rozpočet projektu: **365 701,18 €**

**~ **

**~ **

== {{id name="projekt_2798_Projektovy_zamer_detailny-Motiváciaarozsahprojektu"/}}Motivácia a rozsah projektu ==

317

318

Mesto Senec je ako poskytovateľ základnej služby zapísané do registra prevádzkovateľov základnej služby. Mesto musí plniť povinnosti vyplývajúce zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej aj „zákona“) a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe.

319

320

Mesto v roku 2024 realizovalo „Audit kybernetickej bezpečnosti“. Predmetom auditu bolo posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov pre jednotlivé siete a informačné systémy a pre tie, ktoré podporujú poskytovanie základnej služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom.

321

322

Auditom sa identifikovali nedostatky pri zabezpečovaní kybernetickej bezpečnosti s cieľom prijať opatrenia na ich odstránenie a nápravu, a na predchádzanie kybernetických bezpečnostných incidentov.

323

324

Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale mesto si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonaného auditu.

325

326

Audit zistil priestor na zlepšenie prevažne v oblastiach:

327

328

* Obsah a štruktúra bezpečnostnej dokumentácie,

329

* Klasifikácia informácií a kategorizácia sietí a IS,

330

* Riadenie rizík,

331

* Personálna bezpečnosť,

332

* Riadenie KB s tretími stranami,

333

* Architektúra siete,

334

* Incident Manažment,

335

* Kontinuita základnej služby a Riadenie súladu,

336

* Audit a kontrolné činnosti.

**Hlavné zistenia:**

* Obsah a štruktúra bezpečnostnej dokumentácie,

342

** Rozsah a štruktúra bezpečnostnej dokumentácie čiastočne vychádza z odporučenia členenia politík v zmysle Prílohy č. 2 k vyhláške č. 362/2018 Z. z. ZoKB,

343

** Časť dokumentácie je nevydaná, zatiaľ v draftovej forme. Dokumentované informácie sú poskytované zamestnancom na intranete spoločnosti.,

344

* Stratégia kybernetickej bezpečnosti

345

** Sú čiastočne vypracované politiky (KB-K1-2-Bezp.politika) oblastí podľa Prílohy 1 B vyhlášky 362/2018 Z. z. a sú čiastočne personalizované role pre implementáciu a aktualizovanie bezpečnostných politík,

346

** Je vo fáze budovania rámec riadenia bezpečnostnej dokumentácie pre celú organizáciu,

347

* Klasifikácia informácií a kategorizácia sietí a informačných systémov

348

** Nie je vypracovaná metodika pre klasifikáciu informácií, kategorizácií sietí a informačných systémov v súlade s klasifikačnou schémou podľa vyhlášky č. 362/2018.

349

* Riadenie rizík KB

350

** Je čiastočne zavedený a riadený register informačných aktív,

351

** Nie je vypracovaná metodika riadenia rizík,

352

** Nie je vypracovaná analýza rizík podľa definovanej metodiky,

353

** PZS ako súčasť rizík neanalyzuje riziká tretích strán pred podpisom zmluvy s dodávateľom,

354

* Personálna bezpečnosť

355

** PZS nemá formalizované a vypracované postupy pri zaradení osoby do niektorých z bezpečnostných rolí. (RACI matica zodpovedností). Nie je vypracovaný plán rozvoja bezpečnostného povedomia a pravidelného vzdelávania zamestnancov, administrátorov, osôb zastávajúcich niektorú z bezpečnostných rolí a dodávateľov,

356

** Nie Je zavedené hodnotenie účinnosti plánu rozvoja bezpečnostného povedomia,

357

* Riadenie prístupov

358

** Jednotlivé akcie na úrovni pridania/ zmeny/ odstránenia nie sú dohladatelné. Nie je Tiketovací systém s možnosťou tracebility,

359

* Riadenie KB s tretími stranami

360

** Pred podpisom zmluvy s treťou stranou sa neanalyzujú a nevyhodnocujú riziká dodávateľov.

361

** Nie sú pravidelne analyzované zmluvné vzťahy s tretími stranami a aktualizované v zmysle požiadaviek vyhlášky č. 362/2018.

362

** Nie sú s vybranými dodávateľmi podpísané zmluvy o opatreniach a notifikačných povinnostiach.

363

* Riadenie bezpečnosti prevádzky sietí a IS

364

** PZS nemá formálne zavedený proces riadenie zmien, riadenie kapacít.

365

* Technické zraniteľnosti

366

** Nie je formálne definovaný zoznam kontrolných mechanizmov v oblasti technických zraniteľností a ich implementácie do prostredia spoločnosti,

367

** Nie Je zavedený proces Vulnerability manažment implementáciou technických riešení pre riadenie zraniteľností,

368

** Neexistuje register výnimiek, ktorý dokumentuje akceptáciu rizík z neaplikovania bezpečnostných aktualizácií.

369

* Sieťová a komunikačná bezpečnosť

370

** PZS nemá vybudovanú vysoko dostupnú sieťovú infraštruktúru

371

* Požiadavky na akvizíciu, vývoj a údržbu sietí a IS

372

** PZS priamo nevykonáva SW development. Požiadavky sú prenášané na dodávateľov App,

373

* Zaznamenávanie udalostí a monitorovanie sietí a IS

374

** Nie je zabezpečená schopnosť detekcie udalostí a následných incidentov v infraštruktúre pomocou bezpečnostného sieťového monitoringu.

375

** Nie je definovaný a formalizovaný zoznam kontrolných mechanizmov v oblasti monitorovania a testovania bezpečnosti a ich implementácia do prostredia spoločnosti.

376

** Zamestnanci IKT nevyhodnocujú prevádzkové záznamy automatizovaným spôsobom. Nie je formalizovaná rola pre analýzu bezpečnostných eventov a incidentov ani frekvencia a rozsah analyzovania bezpečnostných udalostí.

377

** Nie je vypracovaný Logovací štandard, nie je vybudovaná forenzná infraštruktúra, nie je zavedený automatizovaný nástroj pre detekciu kybernetických udalostí a incidentov.

378

** Nie je konštituovaný Response tím.

379

* Riešenie kybernetických incidentov

380

** Nie je vytvorená smernica na incident manažment. Nie je zavedený register Incidentov,

381

** Nie je formálne definovaný spôsob a miesto pre evidenciu bezpečnostných incidentov a kompletnej histórie aktivít pri ich riešení,

382

** Nie sú personalizované role v oblasti riadenia kybernetických bezpečnostných incidentov,

383

** Nie sú definované postupy reakcie pre základné vektory útokov,

384

* Kryptografia

385

** Notebooky nie sú kryptované.

386

** Nie je definovaná metóda pre posielanie dokumentov klasifikovaných ako Chránené a Prísne Chránené cez mailovú komunikáciu.

387

** Zálohy nie sú kryptované.

388

* Kontinuita základnej služby.

389

** Nie je zabezpečená kontinuity činnosti pri výskyte bezpečnostného incidentu. Nie sú definované základné krízy, havarijné scenáre pre základnú službu a jej komponenty,

390

** Nie je vypracovaná stratégia a vzorový krízový plán na zabezpečenie kontinuity základnej služby, siete a informačného systému po narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu,

391

** Nie sú definované jednotlivé požiadavky na RTO, RPO, ktoré by slúžili ako podklad k backup politike a vypracovaniu biznis kontinuity plánov,

392

** Nie sú vypracované reálne plány obnovy kritických systémov (BCP) pre jednotlivé krízy. Nie sú personalizované a školené kontinuity tímy a minimálne raz do roka preukázateľne testované BCT. Záložné zdroje nezodpovedajú požiadavkám na primeranú biznis kontinuitu,

393

* Riadenie súladu, audit a kontrolné činnosti

394

** Nie je zavedený proces interného auditu pre rozsah informačnej bezpečnosti, kybernetickej bezpečnosti a PRIVACY. Nie je personalizovaná rola interný audítor. Nie je vypracovaný plán interných auditov.

395

** Nie je vykonávaná kontrolná činnosť a nie sú zápisy o výkone auditov vrátane definovania a plnenia nápravných a preventívnych opatrení.

396

* Bezpečnostné opatrenia

397

** Bezpečnostné opatrenia sa doposiaľ neprijímajú a nerealizujú na základe analýzy rizík kybernetickej bezpečnosti, ktorá určuje pravdepodobnosť vzniku škodlivej udalosti.

398

399

**Realizované činnosti v rámci projektu**

400

401

V rámci projektu bude mesto realizovať činnosti, ktoré predstavujú reakciu mesta na výsledky auditu kybernetickej bezpečnosti realizovaného v roku 2024 a sú delené do troch hlavných oblastí, konkrétne predstavujú tvorbu **(1) bezpečnostnej dokumentácie a metodiky, (2) implementáciu softvérových a hardvérových nástrojov**, **(3) činnosti manažéra kybernetickej bezpečnosti**.

402

403

404

V rámci projektu budú realizované nasledovné činnosti definované vo výzve na predkladanie žiadostí o poskytnutie NFP:

405

406

* Vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení;

407

* vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti;

408

* vypracovanie štatútu bezpečnostného výboru;

409

* Identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu;

410

* riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení;

411

* vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti.

412

* Vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík;

413

* vypracovanie alebo aktualizácia interného riadiaceho aktu s bezpečnostnými zásadami pre koncových používateľov;

414

* vypracovanie a implementácia postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu.

415

* Vypracovanie a implementácia zásad riadenia prístupov osôb k sieti a informačnému systému;

416

* vypracovanie a implementácia postupov a procesov upravujúcich riadenie prístupov organizácie.

417

* Vypracovanie analýzy rizík tretích strán a celého dodávateľského reťazca, vrátane analýzy politických rizík;

418

* analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou;

419

* vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu s návrhom potrebných úprav na zabezpečenie súladu so zákonom KB;

420

* vypracovanie a implementácia interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

421

* Zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov;

422

* implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov,

423

* Zavedenie, implementácia alebo aktualizácia nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí, prípadne obstaranie tejto funkcionality ako externej služby;

424

* vypracovanie a implementácia interného riadiaceho aktu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat;

425

* implementácia nástroja na centrálne riadenie a aplikovanie bezpečnostných záplat a pod.

426

* Vypracovanie interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu;

427

* implementácia alebo aktualizácia nástrojov na ochranu, ktoré okrem iného vykonávajú kontrolu prístupu k digitálnemu obsahu, pravidelné kontroly úložísk vrátane cloudových riešení, zabraňujú prístupu neoprávnených používateľov filtrovaním obsahu a zamedzením odinštalovať alebo zakázať funkcie systému na ochranu proti škodlivému kódu;

428

* vypracovanie a implementácia pravidiel súvisiace s ochranou proti škodlivému kódu;

429

* implementácia centralizovaného systému riešenia ochrany pred škodlivým kódom s pravidelným monitorovaním vrátane detekcie inštalácie nelegálneho obsahu alebo škodlivého softvéru prostredníctvom automatizovaných nástrojov.

430

* Implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel;

431

* zavedenie bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a vzdialený prístup,

432

* vytvorenie alebo aktualizácia dokumentácie počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov;

433

* realizácia/aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie;

434

* Implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov;

435

* implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM);

436

* vypracovanie dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností;

437

* špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané a konfigurácia prvkov informačných technológií verejnej správy, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov;

438

* Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností;

439

* implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí;

440

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;

441

* Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu;

442

* vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;

443

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

444

* vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

445

* implementácia systému zálohovania.

446

* obstaranie prvého alebo opakovaného auditu kybernetickej bezpečnosti v súlade so zákonom o KB;

447

448

449

Tieto činnosti budú naplnené podaktivitami (1), (2) a (3):

450

451

452

**Tvorba bezpečnostnej dokumentácie a metodiky (1)**

453

454

Potreba aktualizácie vyplýva z výsledkov auditu kybernetickej bezpečnosti, v rámci ktorého bola identifikovaná potreba rozšírenia bezpečnostnej dokumentácie kybernetickej bezpečnosti.

455

456

Aktuálny rozsah a štruktúra bezpečnostnej dokumentácie čiastočne vychádza z odporúčania členenia politík v zmysle zákona o KB. Dokumentácia je čiastočne zavedená a udržiavaná. Procesy sú čiastočne personalizované. Nie je vykonávané pravidelné preskúmavanie a aktualizácia dokumentovaných informácií po zásadných zmenách. Časť dokumentácie je nevydaná, zatiaľ v draftovej forme. Sú čiastočne vypracované politiky oblastí a čiastočne personalizované role pre implementáciu a aktualizovanie bezpečnostných politík.

457

458

459

**Implementácia softvérových a hardvérových nástrojov (2) **(podrobný popis je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva) bude pozostávať z nasledovných komponentov:

460

461

=== {{id name="projekt_2798_Projektovy_zamer_detailny-"/}} ===

462

463

=== {{id name="projekt_2798_Projektovy_zamer_detailny-Nástrojnacentrálnymanažmentlogov"/}}Nástroj na centrálny manažment logov ===

464

465

V zmysle zistení auditu kybernetickej bezpečnosti sa zaznamenávanie udalostí a monitorovanie sietí a IS neuskutočňuje implementáciou centrálneho nástroja pre centrálnych sieťových prvkov a serverov, služieb prístupných do externých sietí a kritických interných serverov a služieb.

466

467

Z uvedeného dôvodu je v rámci projektu navrhnuté implementovať centrálny manažment logov, tak aby spĺňal legislatívne požiadavky, požiadavky na dostupnosť, výkonnosť a aby poskytoval dostatočnú úložnú kapacitu pre zbierané logy.

468

469

=== {{id name="projekt_2798_Projektovy_zamer_detailny-InternýHelpdesk"/}}Interný Helpdesk ===

470

471

V zmysle zistení auditu kybernetickej bezpečnosti riešenie kybernetických bezpečnostných incidentov nepozostáva z monitorovania a analyzovania udalostí v sieťach a informačných systémoch, nepozostáva z detekcie, zberu a vyhodnocovania informácií o kybernetických bezpečnostných incidentoch. Proces detekcie KB incidentov sa nezabezpečuje prostredníctvom nástroja na detekciu KB incidentov.

472

473

Z uvedeného dôvodu je navrhnuté v rámci projektu zavedenie interného helpdesku, ktorý bude využiteľný nielen ako centrálne úložisko požiadaviek klientov s možnosťou sledovania riešenia každej požiadavky, ale umožní aj centralizovaný zber bezpečnostných incidentov.

474

475

**Prevádzkový monitoring**

476

477

V zmysle zistení auditu kybernetickej bezpečnosti v rámci sieťovej a komunikačnej bezpečnosti nie sú zabezpečené monitorovacie mechanizmy. Rovnako nie je zabezpečená schopnosť detekcie udalostí a následných incidentov v infraštruktúre pomocou bezpečnostného sieťového monitoringu. Z uvedeného dôvodu je navrhnutý komponent „prevádzkový monitoring“.

478

479

**Nástroj na ochranu proti škodlivému kódu**

480

481

Pre potreby Mesta Senec bude potrebná kompletná ochrana koncových zariadení, cloudových aplikácií a e‑mailov. Multiplatformové riešenie s jednoduchou cloudovou alebo lokálnou správou, zabezpečením súborových serverov, pokročilou ochranou pred hrozbami a šifrovaním celého disku.

482

483

**Nástroj na centrálny manažment siete**

484

485

V zmysle zistení auditu kybernetickej bezpečnosti nie je zabezpečený sieťový monitoring. Z uvedeného dôvodu je v rámci projektu navrhnutý na nasadenie nástroj na centrálny manažment siete, ktorý by poskytol centralizovaný pohľad na celú sieť s viditeľnosťou všetkých sieťových zariadení bez nutnosti integrácie viacerých aplikácií.

486

487

488

**Aktualizácia / upgrade sieťovej vrstvy**

489

490

Vykonaný audit konštatoval skutočnosť, že mesto nemá vytvorenú bezpečnostná segmentácia siete a navrhuje vytvoriť bezpečnostnú segmentáciu vo vyhradených segmentoch siete pre testovanie IS a zálohovanie IS. Z uvedeného dôvodu je v rámci projektu navrhnutý upgrade sieťovej vrstvy, na základe ktoré bude možné zrealizovať segmentáciu siete v zmysle plánu implementácie opatrení vyplývajúcich z realizovaného auditu. Upgrade sieťovej vrstvy okrem iného umožní detekciu a prevenciu prienikov, identifikáciu nezvyčajných mechanizmov útokov alebo proaktívne blokovanie škodlivej sieťovej prevádzky. Podrobný popis aktualizácie sieťovej vrstvy je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.

491

492

493

**Aktualizácia / upgrade serverovej infraštruktúry**

494

495

Vykonaný audit konštatuje potrebu výmeny nepodporovanej infraštruktúry. Uvedená infraštruktúra predstavuje nedostatočnú kapacitu pre implementáciu navrhnutých riešení kybernetickej bezpečnosti a sťažujúce vypracovanie plánov kontinuity. Z uvedeného dôvodu je v rámci projektu navrhnutý taký upgrade serverovej infraštruktúry, ktorý bude poskytovať možnosť vysokej dostupnosti, ci už formou zabezpečenia klastrového prostredia, ale aj za účelom poskytnutia výpočtovej kapacity pre implementáciu systému zálohovania, čím bude možné zároveň vypracovať relevantné plány kontinuity prevádzky a tým zvýšiť úroveň kybernetickej bezpečnosti. Podrobný popis aktualizácie serverovej infraštruktúry je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.

496

497

498

Podrobný popis vrátane špecifikácie je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva.

499

500

501

**Činnosti manažéra pre informačnú a kybernetickú bezpečnosť (3) **– manažér bude zodpovedný za implementáciu dokumentácie, metodík a činností uvedených v bodoch (1) a (2).

**~ **

**~ **

**~ **

**~ **

**~ **

Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania opakovaného auditu kybernetickej bezpečnosti realizovaného v budúcnosti.

515

516

517

== {{id name="projekt_2798_Projektovy_zamer_detailny-Zainteresovanéstrany/Stakeholderi"/}}Zainteresované strany/Stakeholderi ==

|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

(názov / skratka)

)))|(((

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

|(((

1.

)))|(((

Mesto Senec

)))|(((

Mesto Senec

)))|(((

Vlastník procesu

)))|(((

isvs_14411 IS SAMO

isvs_14412 ESMAO

isvs_14413 ESONA

isvs_14414 UKOM

isvs_14415 MP Manager

isvs_14416 SMARTMAP

isvs_14417 AOZP

isvs_14418 VEMA

)))

|(((

2.

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

)))|(((

MIRRI SR

)))|(((

Garant eGovernmentu

)))|(((

-

)))

== {{id name="projekt_2798_Projektovy_zamer_detailny-Cieleprojektu"/}}Ciele projektu ==

|(((

ID

)))|(((

Názov cieľa

)))|(((

Názov strategického cieľa

583

)))|(((

584

Spôsob realizácie strategického cieľa

)))

|(((

C_01

)))|(((

Zvýšenie miery ochrany informačných systémov mesta voči potenciálnym kybernetickým incidentom

590

)))|(((

591

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe (Cieľ Národnej koncepcie informatizácie verejnej správy, cieľ 4.1)

592

)))|(((

593

Cieľ bude naplnený realizáciou činností uvedených v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

594

595

Konkrétne, vypracovaním a aktualizáciou dokumentácie a metodík kybernetickej bezpečnosti a nasadením SW a HW riešení uvádzaných v projekte

)))

|(((

C_01

)))|(((

Zvýšenie miery ochrany informačných systémov mesta voči potenciálnym kybernetickým incidentom

)))|(((

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy (Cieľ Programu Slovensko a príslušnej výzvy)

605

)))|(((

606

Cieľ bude naplnený realizáciou činností uvedených v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

607

608

Konkrétne, vypracovaním a aktualizáciou dokumentácie a metodík kybernetickej bezpečnosti a nasadením SW a HW riešení uvádzaných v projekte.

)))

**~ **

== {{id name="projekt_2798_Projektovy_zamer_detailny-Merateľnéukazovatele(KPI)"/}}Merateľné ukazovatele (KPI) ==

|(((

ID

)))|(((

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

)))

|(((

MU_01

)))|(((

C_01

)))|(((

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

648

)))|(((

649

Merateľný ukazovateľ výstupu

650

651

(pozn. čas plnenia merateľného ukazovateľa ku koncu realizácie hlavných aktivít projektu)

)))|(((

počet

)))|(((

0

)))|(((

1

)))|(((

V čase ukončenia projektu pri prevzatí výstupov projektu

660

)))|(((

661

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov: Mesto Senec

)))

|(((

MU_02

)))|(((

C_01

)))|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

// //

)))|(((

Výsledok

(pozn. čas plnenia merateľného ukazovateľa v rámci udržateľnosti projektu)

)))|(((

počet

)))|(((

0

)))|(((

18 877

(zdroj: Štatistický úrad SR)

684

)))|(((

685

V čase udržateľnosti projektu, podľa aktuálneho počtu obyvateľov.

686

)))|(((

687

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov: obyvatelia mesta Senec

)))

== {{id name="projekt_2798_Projektovy_zamer_detailny-Špecifikáciapotriebkoncovéhopoužívateľa"/}}Špecifikácia potrieb koncového používateľa ==

693

694

Z hľadiska projektu je koncovým používateľom Mesto Senec, resp. mestský úrad a jeho jednotlivých pracovníci. Špecifikáciu potrieb predstavujú výsledky auditu kybernetickej bezpečnosti realizovaného v roku 2024, resp. jeho hlavné zistenia.

695

696

Hlavné zistenia: viď. Motivácia a rozsah projektu

697

698

Uvedené potreby sú riešené predkladaným projektom, resp. činnosťami, ktoré sú podrobne uvedené v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

699

700

701

== {{id name="projekt_2798_Projektovy_zamer_detailny-Rizikáazávislosti"/}}Riziká a závislosti ==

702

703

Zoznam a popis rizík spojených s projektom je uvedený v prílohe ZOZNAM RIZÍK a ZÁVISLOSTI

**~ **

== {{id name="projekt_2798_Projektovy_zamer_detailny-Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}Stanovenie alternatív v biznisovej vrstve architektúry ==

709

710

711

Z pohľadu biznisovej vrstvy prichádzajú do úvahy nasledovné alternatívy:

712

713

714

1. **Ponechanie súčasného stavu**

715

716

Alternatíva znamená nerealizovanie projektu, to zn. neprijatie opatrení potrebných na zosúladenie stavu v oblasti informačnej a kybernetickej bezpečnosti s platnou legislatívou a rovnako nerealizovanie zistení a nápravných opatrení vyplývajúcich z auditu kybernetickej bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.

717

718

719

1. **Čiastočná realizácia opatrení v rámci kybernetickej bezpečnosti**

720

721

Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou. Realizované budú najmä opatrenia v oblasti metodiky a tvorby dokumentácie. Uvedená alternatíva (z dôvodu nedostatku finančných prostriedkov) neumožní odstránenie zistení auditu KB a realizáciu nápravných opatrení len v obmedzenej miere. Alternatíva neumožňuje implementáciu technických riešení navrhnutých v projekte.

722

723

724

1. **Plnohodnotná realizácia opatrení kybernetickej bezpečnosti**

725

726

Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, odstránenie auditných zistení a realizáciu automatizovaných riešení a nasadenie SW a HW riešení vyplývajúcich z identifikovaných nápravných opatrení v rámci auditu kybernetickej bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.

727

728

729

== {{id name="projekt_2798_Projektovy_zamer_detailny-Multikriteriálnaanalýza"/}}Multikriteriálna analýza ==

|(((

**// //**

)))|(((

KRITÉRIUM

)))|(((

ZDÔVODNENIE KRIÉRIA

)))|(((

Mesto Senec

)))|(((

MIRRI SR

)))

|(% rowspan="3" %)(((

BIZNIS VRSTVA

// //

)))|(((

Kritérium A

Zosúladenie aktuálneho stavu so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (KO)

750

)))|(((

751

Jedná sa o KO kritérium vychádzajúce zo základnej požiadavky súladu s legislatívou

)))|(((

X

)))|(((

X

)))

|(((

Kritérium B

Odstránenie zistení vyplývajúcich z auditu kybernetickej bezpečnosti (KO)

761

)))|(((

762

Jedná sa o KO kritérium vychádzajúce z nevyhnutnej potreby odstránenia zistení auditu kybernetickej bezpečnosti

)))|(((

X

)))|(((

X

)))

|(((

Kritérium C

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

772

)))|(((

773

Jedná sa o kritérium predstavujúce komplexné riešenie kybernetickej bezpečnosti prevádzkovateľa základnej služby

)))|(((

X

)))|(((

)))

**Vyhodnotenie MCA**

|(((

Zoznam kritérií

)))|(((

Alt. 1

)))|(((

Spôsob

dosiahnutia

)))|(((

Alt. 2

)))|(((

Spôsob

dosiahnutia

)))|(((

Alt. 3

)))|(((

Spôsob

dosiahnutia

)))

|(((

Kritérium A

Zosúladenie aktuálneho stavu so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (KO)

)))|(((

nie

)))|(((

-

)))|(((

áno

)))|(((

Čiastočná realizácia opatrení v oblasti KB predstavuje realizáciu najmä metodickej a dokumentačnej časti opatrení KB. Z uvedeného dôvodu alternatíva naplní súlad so zákonom o KB.

)))|(((

áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich zo zákona o KB.

)))

|(((

Kritérium B

Odstránenie zistení vyplývajúcich z auditu kybernetickej bezpečnosti (KO)

)))|(((

nie

)))|(((

-

)))|(((

čiastočne

)))|(((

Alternatíva 2 naplní kritérium B len čiastočne, nakoľko zistenia auditu, resp. nápravné opatrenia požadujú realizáciu automatizovaných / IT riešení, ktoré alternatíva 2 neponúka.

)))|(((

áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich z auditu kybernetickej bezpečnosti.

)))

|(((

Kritérium C

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

)))|(((

nie

)))|(((

-

)))|(((

nie

)))|(((

-

)))|(((

áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje okrem iného aj nasadenie automatizovaných riešenie pre oblasť kybernetickej bezpečnosti.

)))

== {{id name="projekt_2798_Projektovy_zamer_detailny-Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}Stanovenie alternatív v aplikačnej vrstve architektúry ==

858

859

HW a SW komponenty, tiež služby a podpora, ktoré sú s nimi spojené, musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi, ktoré vychádzajú zo zistení realizovaného auditu a z požiadaviek zákona o KIB, zákona o ISVS a ďalších predpisov. Realizácia všetkých opatrení na úrovni mesta, bude na úrovni kombinácie In-House riešenia a Outsourcingu.

860

861

== {{id name="projekt_2798_Projektovy_zamer_detailny-Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}Stanovenie alternatív v technologickej vrstve architektúry ==

862

863

Technologická alternatíva nie je definovaná, nakoľko projekt umožňuje realizovať ľubovoľnú SW a HW technológiu. Konkrétnu technológiu navrhne úspešných uchádzač v rámci procesu verejného obstarávania.

**~ **

= {{id name="projekt_2798_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

870

871

872

Výstupom projektu budú:

873

874

* projektové výstupy podľa vyhlášky 401/2023 o riadení projektov relevantné pre predmetný typ projektu,

875

* vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Tvorba bezpečnostnej dokumentácie a metodiky (1)),

876

* nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Implementácia softvérových a hardvérových nástrojov (2))

877

878

Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. časť 9 – Projektový tím).

**~ **

= {{id name="projekt_2798_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY =

883

884

Predmetom projektu je riadenie informačnej a kybernetickej bezpečnosti a realizácia opatrení KIB definovaných najmä v zákonoch č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 69/2018 Z. z.“) a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS“).

885

886

Predmetom projektu sú primárne tie oblasti, kde žiadateľ identifikoval najvyššiu mieru rizika a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami vyplývajúcimi z vykonaného auditu kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.

887

888

Jednotlivé biznis funkcie (podaktivity výzvy realizované v rámci projektu) bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

889

890

[[image:attach:image-2024-7-3_11-30-24.png||width="681"]]

891

892

Obr.1 Biznis funkcie / podaktivity projektu

893

894

895

Aplikačnú architektúru projektu tvoria nasledovné riešenia pre oblasť informačnej a kybernetickej bezpečnosti:

896

897

[[image:attach:image-2024-7-3_11-30-51.png||width="685"]]

898

899

Obrázok 2 Model aplikačnej architektúry

900

901

=== {{id name="projekt_2798_Projektovy_zamer_detailny-Nástrojnacentrálnymanažmentlogov"/}}Nástroj na centrálny manažment logov ===

902

903

V zmysle zistení auditu kybernetickej bezpečnosti sa zaznamenávanie udalostí a monitorovanie sietí a IS neuskutočňuje implementáciou centrálneho nástroja pre centrálnych sieťových prvkov a serverov, služieb prístupných do externých sietí a kritických interných serverov a služieb.

904

905

Z uvedeného dôvodu je v rámci projektu navrhnuté implementovať centrálny manažment logov, tak aby spĺňal legislatívne požiadavky, požiadavky na dostupnosť, výkonnosť a aby poskytoval dostatočnú úložnú kapacitu pre zbierané logy.

906

907

=== {{id name="projekt_2798_Projektovy_zamer_detailny-InternýHelpdesk"/}}Interný Helpdesk ===

908

909

V zmysle zistení auditu kybernetickej bezpečnosti riešenie kybernetických bezpečnostných incidentov nepozostáva z monitorovania a analyzovania udalostí v sieťach a informačných systémoch, nepozostáva z detekcie, zberu a vyhodnocovania informácií o kybernetických bezpečnostných incidentoch. Proces detekcie KB incidentov sa nezabezpečuje prostredníctvom nástroja na detekciu KB incidentov.

910

911

Z uvedeného dôvodu je navrhnuté v rámci projektu zavedenie interného helpdesku, ktorý bude využiteľný nielen ako centrálne úložisko požiadaviek klientov s možnosťou sledovania riešenia každej požiadavky, ale umožní aj centralizovaný zber bezpečnostných incidentov.

912

913

**Prevádzkový monitoring**

914

915

V zmysle zistení auditu kybernetickej bezpečnosti v rámci sieťovej a komunikačnej bezpečnosti nie sú zabezpečené monitorovacie mechanizmy. Rovnako nie je zabezpečená schopnosť detekcie udalostí a následných incidentov v infraštruktúre pomocou bezpečnostného sieťového monitoringu. Z uvedeného dôvodu je navrhnutý komponent „prevádzkový monitoring“.

916

917

**Nástroj na ochranu proti škodlivému kódu**

918

919

Pre potreby Mesta Senec bude potrebná kompletná ochrana koncových zariadení, cloudových aplikácií a e‑mailov. Multiplatformové riešenie s jednoduchou cloudovou alebo lokálnou správou, zabezpečením súborových serverov, pokročilou ochranou pred hrozbami a šifrovaním celého disku.

920

921

**Nástroj na centrálny manažment siete**

922

923

V zmysle zistení auditu kybernetickej bezpečnosti nie je zabezpečený sieťový monitoring. Z uvedeného dôvodu je v rámci projektu navrhnutý na nasadenie nástroj na centrálny manažment siete, ktorý by poskytol centralizovaný pohľad na celú sieť s viditeľnosťou všetkých sieťových zariadení bez nutnosti integrácie viacerých aplikácií.

924

925

=== {{id name="projekt_2798_Projektovy_zamer_detailny-Podrobnýpopiskomponentovjeuvedenývdokument–Prístupkprojektu,kap.4.2Aplikačnávrstva."/}}Podrobný popis komponentov je uvedený v dokument – Prístup k projektu, kap. 4.2 Aplikačná vrstva. ===

== {{id name="projekt_2798_Projektovy_zamer_detailny-Prehľade-Governmentkomponentov"/}}Prehľad e-Government komponentov ==

930

931

=== {{id name="projekt_2798_Projektovy_zamer_detailny-5.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}5.1.1 Prehľad koncových služieb – budúci stav: ===

932

933

Projekt nebuduje koncové služby.

934

935

=== {{id name="projekt_2798_Projektovy_zamer_detailny-5.1.2Prehľadbudovaných/rozvíjanýchISVSvprojekte–budúcistav:"/}}5.1.2 Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ===

936

937

Projekt nebuduje/nerozvíja ISVS

938

939

=== {{id name="projekt_2798_Projektovy_zamer_detailny-5.1.3Prehľadbudovanýchaplikačnýchslužieb–budúcistav:"/}}5.1.3 Prehľad budovaných aplikačných služieb – budúci stav: ===

940

941

Projekt nebuduje aplikačné služby.

942

943

=== {{id name="projekt_2798_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS[1]aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4 Prehľad integrácii ISVS na spoločné ISVS{{id name="_ftnref1"/}}^^**[1]**^^ a ISVS iných OVM alebo IS tretích strán ===

944

945

V rámci projektu nebude realizovaná integrácia.

946

947

=== {{id name="projekt_2798_Projektovy_zamer_detailny-5.1.5Aplikačnéslužbynaintegráciu"/}}5.1.5 Aplikačné služby na integráciu ===

948

949

Projekt nebuduje aplikačné služby.

950

951

=== {{id name="projekt_2798_Projektovy_zamer_detailny-5.1.6PoskytovanieúdajovzISVSdoISCSRÚ"/}}5.1.6 Poskytovanie údajov z ISVS do IS CSRÚ ===

952

953

Projekt nebude poskytovať údaje do IS CSRÚ.

954

955

=== {{id name="projekt_2798_Projektovy_zamer_detailny-5.1.7KonzumovanieúdajovzISCSRÚ"/}}5.1.7 Konzumovanie údajov z IS CSRÚ ===

956

957

Projekt nebude konzumovať údaje z IS CSRÚ.

958

959

=== {{id name="projekt_2798_Projektovy_zamer_detailny-5.1.8Prehľadplánovanéhovyužívaniainfraštruktúrnychslužieb(cloudovýchslužieb)–budúcistav:"/}}5.1.8 Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: ===

960

961

Projekt neplánuje využívanie cloudových infraštruktúrnych služieb.

**~ **

= {{id name="projekt_2798_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6. LEGISLATÍVA =

967

968

Projekt nevyžaduje vykonanie legislatívnych zmien pre naplnenie jeho cieľov a dodanie výstup. Následná realizácia činností pre oblasť kybernetickej bezpečnosti predpokladá vypracovanie interných smerníc a postupov pre implementáciu opatrení pre oblasť kybernetickej bezpečnosti.

969

970

= {{id name="projekt_2798_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7. ROZPOČET A PRÍNOSY =

971

972

973

== {{id name="projekt_2798_Projektovy_zamer_detailny-Sumarizácianákladovaprínosov"/}}Sumarizácia nákladov a prínosov ==

|(((

Náklady

)))|(((

Tvorba bezpečnostnej dokumentácie a metodiky (1)

980

)))|(((

981

Implementácia softvérových a hardvérových nástrojov (2)

982

)))

983

|(((

984

**Všeobecný materiál**

)))|(((

)))|(((

)))

|(((

**IT - CAPEX**

)))|(((

)))|(((

)))

|(((

Práce/služby

)))|(((

44 800,00

)))|(((

56 940,00 €

)))

|(((

Aplikácie

)))|(((

// //

)))|(((

)))

|(((

SW

)))|(((

// //

)))|(((

54 744,00 €

)))

|(((

HW (vrátane licencií)

)))|(((

// //

)))|(((

164 412,80

)))

|(((

Mzdové výdavky - MKB

)))|(((

// //

)))|(((

20 880,00 €

)))

|(((

Paušálna sadzba – nepriame výdavky

)))|(((

// //

)))|(((

23 924,38 €

)))

|(((

**IT - OPEX- prevádzka**

)))|(((

)))|(((

)))

|(((

Aplikácie

)))|(((

// //

)))|(((

8.000,00

)))

|(((

SW

)))|(((

)))|(((

)))

|(((

HW

)))|(((

)))|(((

15.000,00

)))

|(((

**Prínosy**

)))|(((

)))|(((

)))

|(((

**Finančné prínosy**

)))|(((

)))|(((

)))

|(((

Administratívne poplatky

)))|(((

)))|(((

)))

|(((

Ostatné daňové a nedaňové príjmy

)))|(((

)))|(((

)))

|(((

**Ekonomické prínosy**

)))|(((

)))|(((

)))

|(((

Občania (€)

)))|(((

)))|(((

)))

|(((

Úradníci (€)

)))|(((

)))|(((

)))

|(((

Úradníci (FTE)

)))|(((

)))|(((

)))

|(((

**Kvalitatívne prínosy**

)))|(((

)))|(((

)))

|(((

)))|(((

// //

)))|(((

// //

)))

**~ **

= {{id name="projekt_2798_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUAMETÓDAJEHORIADENIA"/}}8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU A METÓDA JEHO RIADENIA =

|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))|(((

POZNÁMKA

)))

|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

06/2024

)))|(((

03/2025

)))|(((

)))

|(((

2.

)))|(((

Realizačná fáza

)))|(((

04/2025

)))|(((

03/2027

)))|(((

)))

|(((

2a

)))|(((

Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

)))|(((

04/2025

)))|(((

03/2027

)))|(((

)))

|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

03/2027

)))|(((

05/2027

)))|(((

)))

|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

06/2027

)))|(((

05/2032

)))|(((

)))

**Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti**

**~ **

**Projekt bude realizovaný metódou Waterfall**

1222

1223

Waterfall- vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

1224

1225

1226

Objednávateľ projektu vypracuje **funkčnú špecifikáciu - detailnú** a **technickú špecifikáciu - rámcovú**.

1227

1228

// [[image:attach:image-2024-7-3_11-31-38.png||width="582"]]//

// //

// //

**~ **

= {{id name="projekt_2798_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM =

1240

1241

1242

V rámci projektu je zostavený **Riadiaci výbor (RV),** v minimálnom zložení:

* Predseda RV

* Biznis vlastník

* Zástupca prevádzky

* Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)

1248

* Projektový manažér objednávateľa (PM)

1249

1250

Zostavuje sa **Projektový tím objednávateľa**

1251

1252

* kľúčový používateľ,

* IT analytik,

* IT architekt,

* biznis vlastník,

* manažér kybernetickej a informačnej bezpečnosti,

|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

|(((

1.

)))|(((

)))|(((

Primátor

)))|(((

Mesto Senec

)))|(((

Predseda RV

)))

|(((

2.

)))|(((

)))|(((

IT manažér mesta

)))|(((

Mesto Senec

)))|(((

Člen RV

)))

|(((

3.

)))|(((

)))|(((

Manažér kybernetickej bezpečnosti / vlastník procesov

)))|(((

Mesto Senec

)))|(((

Člen RV

)))

|(((

4.

)))|(((

)))|(((

IT architekt / it analytik

)))|(((

Dodávateľ

)))|(((

Člen RV

)))

== {{id name="projekt_2798_Projektovy_zamer_detailny-PRACOVNÉNÁPLNE"/}} PRACOVNÉ NÁPLNE ==

|(((

**Projektová rola:**

)))|(((

**~ **

**PROJEKTOVÝ MANAŽÉR**

)))

|(((

**Stručný popis:**

)))|(((

· zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

1333

1334

1335

· zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

1336

1337

1338

· zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

1339

)))

1340

|(((

1341

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Riadenie projektu podľa pravidiel stanovených vo Vyhláške 85/2020 Z.z.

1346

1347

· Riadenie prípravy, inicializácie a realizácie projektu

1348

1349

· Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii

1350

1351

· Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

1352

1353

· Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

1354

1355

· Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

1356

1357

· Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1358

1359

· Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

1360

1361

· Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 85/2020 Z.z., Prílohy č.1

1362

1363

· Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1 na rokovanie RV

1364

1365

· Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

1366

1367

· Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

1368

1369

· Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

1370

1371

· Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

1372

1373

· Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

1374

1375

· Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

1376

1377

· Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

1378

1379

· Riadenie implementačných a prevádzkových aktivít v rámci projektov.

1380

1381

· Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

1382

1383

· Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

1384

1385

· Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

1386

1387

· Dodržiavanie metodík projektového riadenia,

1388

1389

· Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),

1390

1391

· Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr

)))

|(((

**Odporúčané kvalifikačné predpoklady**

1397

)))|(((

1398

· Certifikácia - Prince 2

1399

1400

· Certifikácia - PMI PMP

1401

1402

· Certifikácia – IPMA

1403

1404

· Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

)))

|(((

**Projektová rola:**

)))|(((

**~ **

**KĽUČOVÝ POUŽIVATEĽ **(end user)

)))

|(((

**Stručný popis:**

)))|(((

· zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

1421

1422

1423

· zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.

1424

1425

1426

· Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov

1427

)))

1428

|(((

1429

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Návrh a špecifikáciu funkčných a technických požiadaviek

1436

1437

· Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

1438

1439

· Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,

1440

1441

· Špecifikáciu požiadaviek koncových používateľov na prínos systému

1442

1443

· Špecifikáciu požiadaviek na bezpečnosť,

1444

1445

· Návrh a definovanie akceptačných kritérií,

1446

1447

· Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

1448

1449

· Finálne odsúhlasenie používateľského rozhrania

1450

1451

· Vykonanie akceptačného testovania (UAT)

1452

1453

· Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

1454

1455

· Finálny návrh na spustenie do produkčnej prevádzky,

1456

1457

· Predkladanie požiadaviek na zmenu funkcionalít produktov

1458

1459

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1460

1461

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|(((

**Projektová rola:**

)))|(((

**~ **

**IT ARCHITEKT**

)))

|(((

**Stručný popis:**

)))|(((

· zodpovedá za návrh architektúry riešenia IS a implementáciu technológií predovšetkým z pohľadu udržateľnosti, kvality a nákladov, za riešenie architektonických cieľov projektu dizajnu IS a súlad s architektonickými princípmi.

1480

1481

· vykonáva, prípadne riadi vysoko odborné tvorivé činnosti v oblasti návrhu IT. Študuje a stanovuje smery technického rozvoja informačných technológií, navrhuje riešenia na optimalizáciu a zvýšenie efektívnosti prostriedkov výpočtovej techniky. Navrhuje základnú architektúru informačných systémov, ich komponentov a vzájomných väzieb. Zabezpečuje projektovanie dizajnu, architektúry IT štruktúry, špecifikácie jej prvkov a parametrov, vhodnej softvérovej a hardvérovej infraštruktúry podľa základnej špecifikácie riešenia.

1482

1483

· zodpovedá za spracovanie a správu projektovej dokumentácie a za kontrolu súladu implementácie s dokumentáciou. Môže tiež poskytovať konzultácie, poradenstvo a vzdelávanie v oblasti svojej špecializácie. IT architekt, projektant analyzuje, vytvára a konzultuje so zákazníkom riešenia na úrovni komplexných IT systémov a IT architektúr, najmä na úrovni aplikačného vybavenia, infraštruktúrnych systémov, sietí a pod. Zaručuje, že návrh architektúry a/alebo riešenia zodpovedá zmluvne dohodnutým požiadavkám zákazníka v zmysle rozsahu, kvality a ceny celej služby/riešenia.

1484

)))

1485

|(((

1486

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Navrhovanie architektúry IT riešení s cieľom dosiahnuť najlepšiu efektivitu.

1493

1494

· Transformovanie cieľov, prísľubov a zámerov projektu do tvorby reálnych návrhov a riešení.

1495

1496

· Navrhovanie takých riešení, aby poskytovali čo najvyššiu funkčnosť a flexibilitu.

1497

1498

· Posudzovanie vhodnosti navrhnutých riešení s ohľadom na požiadavky projektu.

1499

1500

· Zodpovednosť za technické navrhnutie a realizáciu projektu.

1501

1502

· Zodpovednosť za vytvorenie technickej IT dokumentácie a jej následná kontrola.

1503

1504

· Zodpovednosť za definovanie integračných vzorov, menných konvencií, spôsobov návrhu a spôsobu programovania.

1505

1506

· Definovanie architektúry systému, technických požiadaviek a funkčného modelu (Proof Of Concept.)

1507

1508

· Vytvorenie požiadaviek na HW/SW infraštruktúru IS

1509

1510

· Udržiavanie a rozvoj konzistentnej architektúry s dôrazom na architektúru aplikačnú, dátovú a infraštruktúru

1511

1512

· Analýzu a odhad náročnosti technických požiadaviek na vytvorenie IS alebo vykonanie zmien v IS

1513

1514

· Navrhovanie riešení zohľadňujúce architektonické štandardy, časové a zdrojové obmedzenia,

1515

1516

· Navrhovanie dátových transformácií medzi dátovými skladmi a aplikáciami

1517

1518

· Vyhodnocovanie implementačných alternatív z pohľadu celkovej IT architektúry

1519

1520

· Ladenie dátových štruktúr za účelom dosiahnutia optimálneho výkonu

1521

1522

· Prípravu akceptačných kritérií

1523

1524

· Analýza nových nástrojov, produktov a technológií

1525

1526

· Správa, rozvoj a dohľad nad dodržiavaním integračných štandardov

1527

1528

· Priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane Detailného návrhu riešenia (DNR) z pohľadu analýzy a návrhu riešenia architektúry IS

1529

1530

· Vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania

1531

1532

· Vykonanie záťažových, výkonnostných a integračných testov a navrhnutie následných nápravných

1533

1534

· Nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie nápravných opatrení

1535

1536

· Participáciu na výkone bezpečnostných testov,

1537

1538

· Participáciu na výkone UAT testov,

1539

1540

· Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1541

1542

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1543

1544

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|(((

**Odporúčané kvalifikačné predpoklady**

)))|(((

· Certifikácia - Togaf

1554

1555

· Certifikácia – ArchiMate

1556

1557

· Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

)))

|(((

**Projektová rola:**

)))|(((

**~ **

**IT ANALYTIK**

)))

|(((

**Stručný popis:**

)))|(((

· zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie. Podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení. Zodpovedá za výkon analýzy IS, koordináciu a dohľad nad činnosťou SW analytikov.

1576

1577

· analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

1578

1579

· Analytik informačných technológií pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu. Mapuje a analyzuje existujúce podnikateľské a procesné prostredie, analyzuje biznis požiadavky na informačný systém, špecifikuje požiadavky na informačnú podporu procesov, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní (akceptácie) používateľom.

1580

1581

· Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

1582

1583

· Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad).

1584

)))

1585

|(((

1586

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Vykonanie analýzy procesných a ďalších požiadaviek a vytvorenie špecifikácie súčasného alebo budúceho užívateľa softwaru („zákazníka“) a následne navrhuje dizajn a programátorské riešenie.

1593

1594

· Participáciu na vývoji nových, ale i vylepšovaní existujúcich aplikácií v rámci celého vývojového cyklu – systémová analýza, dizajn, kódovanie, užívateľské testovanie, implementácia, podpora, dokumentácia. Úzko spolupracuje aj s IT architektom.

1595

1596

· Analýza potrieb zákazníka vrátane tvorby úplnej analytickej dokumentácie a vstupov do verejného obstarávania (VO).

1597

1598

· Mapovanie požiadaviek do návrhu funkčných riešení.

1599

1600

· Návrh a správa katalóg požiadaviek - registra požiadaviek riešenia

1601

1602

· Analýza funkčných a nefunkčných požiadaviek,

1603

1604

· Návrh fyzického a logického modelu,

1605

1606

· Návrh testovacích scenárov,

1607

1608

· V priebehu implementácie robí dohľad nad zhodou výstupov s pôvodným analytickým zadaním.

1609

1610

· Zodpovednosť za dodržovanie správnej metodiky pri postupe analýzy

1611

1612

· Definovanie akceptačných kritérií v projekte

1613

1614

· Odsúhlasenie opisu produktov, ktoré predstavujú vstupy alebo výstupy (priebežné alebo konečné) úloh dodávateľov, alebo ktoré ich priamo ovplyvňujú a zabezpečovať akceptáciu produktov po ich dokončení

1615

1616

· Priraďuje priority a poskytuje stanoviská používateľov na rozhodnutia Riadiaceho výboru projektu – k realizácii zmenových požiadaviek

1617

1618

· Poskytuje merania aktuálneho stavu pre potreby porovnania s výsledkami projektu vzhľadom na realizáciu prínosov

1619

1620

· Rieši požiadavky používateľov a konflikty iných priorít

1621

1622

· Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1623

1624

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1625

1626

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|(((

**Odporúčané kvalifikačné predpoklady**

)))|(((

· Certifikácia - OMG-Certified UML (Unified Modeling Language) alebo ekvivalent

1636

1637

· Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

)))

|(((

**Poznámka**

)))|(((

)))

|(((

**Projektová rola:**

)))|(((

**~ **

**VLASTNÍK PROCESOV **(biznis vlastník)

)))

|(((

**Stručný popis:**

)))|(((

· zodpovedá za proces - jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi. Kľúčová rola na strane zákazníka (verejného obstarávateľa), ktorá schvaľuje biznis požiadavky a zodpovedá za výsledné riešenie, prínos požadovanú hodnotu a naplnenie merateľných ukazovateľov. Úlohou tejto roly je definovať na užívateľa orientované položky (user-stories), ktoré budú zaradzované a prioritizované v produktovom zásobníku. Zodpovedá za priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane DNR z pohľadu analýzy a návrhu riešenia aplikácii IS.

1663

1664

1665

· zodpovedný za schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu. Definuje očakávania na kvalitu projektu, kvalitu projektových produktov, prínosy pre koncových používateľov a požiadavky na bezpečnosť. Definuje merateľné výkonnostné ukazovatele projektov a prvkov. Vlastník procesov schvaľuje akceptačné kritériá, rozsah a kvalitu dodávaných projektových výstupov pri dosiahnutí platobných míľnikov, odsúhlasuje spustenie výstupov projektu do produkčnej prevádzky a dostupnosť ľudských zdrojov alokovaných na realizáciu projektu.

1666

)))

1667

|(((

1668

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov.

1673

1674

· Spoluprácu pri riešení odpovedí na otvorené otázky a riziká projektu.

1675

1676

· Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej)

1677

1678

· Riešenie problémov a požiadaviek v spolupráci s odbornými garantmi,

1679

1680

· Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek

1681

1682

· Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu

1683

1684

· Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť,

1685

1686

· Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,

1687

1688

· Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu (BC/CBA)

1689

1690

· Schválenie akceptačných kritérií,

1691

1692

· Riešenie problémov používateľov

1693

1694

· Akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,

1695

1696

· Vykonanie UX a UAT testovania

1697

1698

· Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,

1699

1700

· Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

1701

1702

· Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch.

1703

1704

· Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a prioritizácii

1705

1706

· Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd,

1707

1708

· Okrem zvažovaní rizík prevádzkových alebo podporných procesov súčasne vlastník napomáha identifikovať príležitosti,

1709

1710

· Zlepšovanie a optimalizáciu procesov v spolupráci s ďalšími prepojenými vlastníkmi procesov a manažérom kvality,

1711

1712

· Odsúhlasenie akceptačných protokolov zmenových konaní

1713

1714

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1715

1716

· plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|(((

**Projektová rola:**

)))|(((

**~ **

**MANAŽER KYBERNETICKEJ BEZPEČNOSTI (KIB) a IT BEZPEČNOSTI (ITB)**

**~ **

)))

|(((

**Stručný popis:**

)))|(((

· zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

1735

1736

· koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti

1737

1738

1739

**PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KIB a ITB:**

1740

1741

1) neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných.

1742

1743

2) rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle:

1744

1745

a) § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

1746

1747

b) ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

1748

)))

1749

|(((

1750

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· špecifikovanie štandardov, princípov a stratégií v oblasti ITB a KIB,

1755

1756

· ak je projekt primárne zameraný na problematiku ITB a KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na ITB a KIB,

1757

1758

· špecifikovanie požiadaviek na ITB a KIB, kontroluje ich implementáciu v realizovanom projekte,

1759

1760

· špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

1761

1762

· špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť ITB a KIB,

1763

1764

· špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

1765

1766

· špecifikovanie požiadaviek na školenia pre oblasť ITB a KIB,

1767

1768

· špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť ITB a KIB,

1769

1770

· špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na ITB a KIB,

1771

1772

· realizáciu posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

1773

1774

· špecifikovanie požiadaviek na ITB a KIB, bezpečnostný projekt a riadenie prístupu,

1775

1776

· špecifikovanie požiadaviek na testovanie z hľadiska ITB a KIB, realizáciu kontroly zapracovania a retestu,

1777

1778

· špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť ITB a KIB, ako aj v zmysle "best practies",

1779

1780

· špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s ITB a KIB kontroluje ich implementáciu v realizovanom projekte,

1781

1782

· špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu ITB a KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

1783

1784

· špecifikáciu požiadaviek na bezpečnosť IT a KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

1785

1786

· špecifikáciu akceptačných kritérií za oblasť ITB a KIB,

1787

1788

· špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na ITB a KIB,

1789

1790

· poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť ITB a KIB,

1791

1792

· získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1793

1794

· špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,

1795

1796

· konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska ITB a KIB,

1797

1798

· špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť ITB a KIB,

1799

1800

· realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť ITB a KIB

1801

1802

· realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

1803

1804

· realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

1805

1806

· realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť ITB a KIB,

1807

1808

· realizáciu kontroly zameranú na implementovaný proces v priamom súvise s ITB a KIB,

1809

1810

· realizáciu kontroly súladu s planou legislatívou v oblasti ITB a KIB (obsahuje aj kontrolu leg. požiadaviek)

1811

1812

· realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

1813

1814

· poskytovanie konzultácií a súčinnosti pre problematiku ITB a KIB,

1815

1816

· získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1817

1818

· aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1819

1820

· plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

= {{id name="projekt_2798_Projektovy_zamer_detailny-10.ODKAZY"/}}10. ODKAZY =

1826

1827