projekt_3031_Projektovy_zamer_detailny

= {{id name="projekt_3031_Projektovy_zamer_detailny-2ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2 ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

124

125

V súlade s Vyhláškou č. 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

126

127

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky obsahuje manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

128

129

== {{id name="projekt_3031_Projektovy_zamer_detailny-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

(% class="" %)|(((

**SKRATKA/POJEM**

)))|(((

**POPIS**

)))

(% class="" %)|(((

EDR

)))|(((

Endpoint Detection and Response

)))

(% class="" %)|(((

GOVNET

)))|(((

Privátna sieť prevádzkované pre vládne inštitúcie organizáciou NASES

)))

(% class="" %)|(((

HW

)))|(((

Hardvér

)))

(% class="" %)|(((

IKT

)))|(((

Informačno-komunikačné technológie (organizácie)

)))

(% class="" %)|(((

IS

)))|(((

Informačný systém

)))

(% class="" %)|(((

METAIS

)))|(((

Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

)))

(% class="" %)|(((

MIRRI SR

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky

)))

(% class="" %)|(((

NBÚ

)))|(((

Národný bezpečnostný úrad

)))

(% class="" %)|(((

OVM

)))|(((

Orgány verejnej moci

)))

(% class="" %)|(((

PPA

)))|(((

Pôdohospodárska platobná agentúra

)))

(% class="" %)|(((

SD

)))|(((

Service Desk

)))

(% class="" %)|(((

SIEM

)))|(((

Security information and event management

)))

(% class="" %)|(((

SLA

)))|(((

Service Level Agreement – dohoda/zmluva o parametroch poskytovania služby

)))

(% class="" %)|(((

SOAR

)))|(((

Security orchestration, automation and response

)))

(% class="" %)|(((

SPF

)))|(((

Slovenský pozemkový fond

)))

(% class="" %)|(((

SW

)))|(((

Softvér

)))

(% class="" %)|(((

XDR

)))|(((

Extended Detection and Response

220

)))

221

222

Tabuľka 1 Zoznam skratiek

223

224

= {{id name="projekt_3031_Projektovy_zamer_detailny-3DEFINOVANIEPROJEKTU"/}}3 DEFINOVANIE PROJEKTU =

225

226

== {{id name="projekt_3031_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}3.1 Manažérske zhrnutie ==

227

228

Tento projekt je vypracovaný v súlade s vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy.

229

230

Realizátorom projektu je Slovenský pozemkový fond, ktorý bol zriadený zákonom č. 330/1991 Zb. o pozemkových úpravách, usporiadaní pozemkového vlastníctva, pozemkových úradoch, pozemkovom fonde a o pozemkových spoločenstvách v znení neskorších predpisov a nie je zriadený na podnikanie.

231

232

Fond svoju činnosť vykonáva podľa vyššie citovaného zákona a osobitných predpisov (napr. zák. č. 229/1991 Zb. o úprave vlastníckych vzťahov k pôde a inému poľnohospodárskemu majetku v znení neskorších predpisov, zák. č. 180/1995 Z.z. o niektorých opatreniach na usporiadanie vlastníctva k pozemkom, zák. č. 181/1995 Z.z. o pozemkových spoločenstvách v znení neskorších predpisov, zák. č. 503/2003 Z.z. o navrátení vlastníctva k pozemkom v znení neskorších predpisov, zák. č. 161/2005 Z.z. o navrátení vlastníctva k nehnuteľným veciam cirkvám a náboženským spoločnostiam a o prechode vlastníctva k niektorým nehnuteľnostiam v znení neskorších predpisov) vo verejnom záujme a z tejto činnosti mu vznikajú práva a záväzky. Fond je právnickou osobou, ktorá sa zapisuje sa do obchodného registra, deň zápisu je 19.08.1991. SPF vykonáva svoju činnosť vo verejnom záujme.

233

234

V súlade s § 29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“) prebehol v rámci SPF audit kybernetickej bezpečnosti. Predkladaný projekt nadväzuje na vykonaný audit a jeho cieľom je zabezpečiť realizáciu opatrení v nadväznosti zistenia auditu kybernetickej bezpečnosti.

\\

Projektom budú dosiahnuté nasledovné kvantitatívne ako aj kvalitatívne prínosy. Kvantitatívne prínosy v rámci navrhovaného projektu spočívajú v znížení nákladov súvisiacich s odstraňovaním kybernetických incidentov.

\\

Kvalitatívne prínosy v rámci navrhovaného projektu sú:

243

244

* Zníženie miery rizika vzniku kybernetického incidentu.

245

* Zvýšenie miery súladu s platnou legislatívou.

246

* Zvýšenie úrovne kybernetickej a informačnej bezpečnosti.

247

* Zvýšenie detekcie kybernetických bezpečnostných incidentov.

248

* Zvýšená dôvera používateľov.

249

250

Časový harmonogram projektu je nastavený na 18 mesiacov a finálnym termínom dokončenia do 31.12.2025. Začiatok projektu je naplánovaný od 07/2024 a má byť ukončený najneskôr do 12/2025. Následne v rámci prevádzky bude prebiehať podpora prevádzky. Podporné aktivity budú zabezpečované počas celých 18 mesiacov od začiatku trvania projektu.

251

252

Rámcový rozpočet projektu je stanovený na sumu 965 400 EUR s DPH, pričom cena vychádza z prieskumu trhu a projektov s obdobnými požiadavkami.

253

254

Projekt bude financovaný́ z rozpočtových prostriedkov SPF.

255

256

Projekt je v súlade s nasledovným typom aktivity: Podpora včasnej detekcie a zvýšenie schopnosti reakcie na kybernetické bezpečnostné incidenty a na adaptáciu najmodernejších technológií, na zvýšenie odolnosti základných služieb pred kybernetickými hrozbami, vrátane podpory inovatívnych produktov a služieb až po úroveň TRL 9 s definovanou hlavnou aktivitou: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

257

258

== {{id name="projekt_3031_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2 Motivácia a rozsah projektu ==

259

260

V nasledujúcej časti sú popísané oblasti motivácie a rozsahu navrhovaného projektu.

261

262

=== {{id name="projekt_3031_Projektovy_zamer_detailny-3.2.1Problém,ktorýbuderealizáciouprojektuodstránený"/}}3.2.1 Problém, ktorý bude realizáciou projektu odstránený ===

263

264

V období v dňoch od 03.10.2023 do 15.11.2023 bol rámci SPF vykonaný audit kybernetickej bezpečnosti. Cieľom auditu kybernetickej bezpečnosti bolo overiť a posúdiť zhodu prijatých bezpečnostných opatrení a plnenie povinností podľa zákona č. 69/2018 Z. z. a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosti sietí a informačných systémov prevádzkovateľa základnej služby, s požiadavkami podľa zákona, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti. Auditom kybernetickej bezpečnosti sa ďalej identifikovali nedostatky pri zabezpečovaní kybernetickej bezpečnosti prevádzkovateľom základnej služby, s cieľom prijať opatrenia na ich odstránenie, nápravu alebo predchádzanie.

265

266

Počas auditu bol identifikovaný nesúlad voči požiadavkám zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a súvisiacich vyhláškach. Výsledky auditu overenia súladu prevádzkovateľa základnej služby s požiadavkami zákona č. 69/2018 Z. z. a vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška č. 362/2018 Z. z.“) sú uvedené v nasledujúcej tabuľke:

(% class="" %)|(((

Počet súladov

)))|(((

28

)))|(((

9%

)))

(% class="" %)|(((

Počet čiastočných súladov:

)))|(((

174

)))|(((

58%

)))

(% class="" %)|(((

Počet nesúladov:

)))|(((

97

)))|(((

33%

)))

(% class="" %)|(((

Počet vyhodnotených:

)))|(((

**299**

)))|(((

**100%**

)))

Tabuľka 2 Vyhodnotenie súladov kyber auditu

298

299

Ako preukazuje vyššie uvedená tabuľka z celkového počtu vyhodnotených povinností len v 9% poviností bol preukázaný súlad so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a súvisiacich vyhláškach. Akčný plán, ktorý tvorí prílohu k správe z auditu definuje kritické, vysoké a stredné opatrenia, ktoré budú naplnené aj reliazáciou tohto projektu a rovnako navrhovaný hafmonogram. Akčný plán z dôvodu jeho citlivosti a dôvernosti netvorí prílohu projektovej dokumentácie.

300

301

=== {{id name="projekt_3031_Projektovy_zamer_detailny-3.2.2Biznisprocesy,ktorésúpredmetomprojektu"/}}3.2.2 Biznis procesy, ktoré sú predmetom projektu ===

302

303

Z pohľadu biznis procesov, účelom fondu je predovšetkým realizácia nasledovných aktivít:

304

305

* bezodplatný prevod z vlastníctva štátu do vlastníctva oprávnených osôb (reštituentov) nehnuteľnosti z dôvodu poskytovania reštitučných náhrad;

306

* bezodplatný prevod z vlastníctva štátu do vlastníctva cirkví a náboženských spoločností nehnuteľnosti odňaté v rozpore so zásadami demokratickej spoločnosti po preukázaní zákonom stanovených podmienok;

307

* odplatný prevod majetku na účely privatizácie;

308

* odplatný prevod nehnuteľností vo vlastníctve štátu na účely výstavby alebo ťažby;

309

* odplatný prevod nehnuteľností vo vlastníctve nezistených vlastníkov z dôvodov taxatívne uvedených v §19 ods. 3 zákona č. 180/1995 Z. z.;

310

* zámena a predaj pozemkov vo vlastníctve štátu, ako aj nadobúdanie pozemkov do vlastníctva štátu z dôvodov uvedených v nariadení vlády;

311

* predaj pozemkov a poskytovanie náhradných pozemkov na účely usporiadania vlastníctva v zriadených záhradných osadách;

312

* predaj pozemkov v pozemkových spoločenstvách (zákon č. 97/2013 Z.z.);

313

* zriaďovanie vecného bremena k pozemkom vo vlastníctve SR (§151n a nasl. Občiansky zákonník), a vo vlastníctve neznámych vlastníkov (§19 ods. 4 z. č. 180/1995 Z.z.);

314

* predaj pozemkov vo vlastníctve štátu podľa osobitných predpisov (priem. parky, významné investície);

315

* prenájom nehnuteľností na účely poľnohospodárstva alebo lesného hospodárstva, prípadne dočasne aj na iný účel podľa nariadenia vlády.

316

317

=== {{id name="projekt_3031_Projektovy_zamer_detailny-3.2.3Informácieooblasti(OBSAH/AGENDA/ŽIVOTNÁSITUÁCIA),ktorýmsaprojektvenuje"/}}3.2.3 Informácie o oblasti (OBSAH / AGENDA / ŽIVOTNÁ SITUÁCIA), ktorým sa projekt venuje ===

318

319

Z pohľadu životných situácií sa projekt venuje nasledovnej životnej situácii:

(% class="" %)|(((

**~ **

)))|(((

**Kód v číselníku (MetaIS)**

)))|(((

**Názov**

)))

(% class="" %)|(((

**Okruh životnej situácie**

)))|(((

B01

)))|(((

Podpora podnikania

)))

(% class="" %)|(((

**Životná situácia**

)))|(((

037

)))|(((

Využívanie a ochrana pôdy

341

)))

342

343

Tabuľka 3 Zoznam projektom zlepšovaných životných situácií

344

345

Výnos MF SR č. 478/2010 Z. z. o základnom číselníku úsekov verejnej správy a agend verejnej správy nedefinoval pre samotný SPF žiaden úsek. Avšak pre tento projekt je relevantný úsek U00067 Pozemkové úpravy a ochrana poľnohospodárskej pôdy. Tento úsek je takto naďalej vedený aj v centrálnom metainformačnom systéme verejnej správy (MetaIS) a to v súlade so zákonom o informačných technológiách vo verejnej správe č. 95/2019 Z. z. Úsek U00067 pozostáva z veľkého počtu agend, pričom agendy priamo relevantná pre projekt je uvedená v tabuľke nižšie. Ostatné agendy nie sú pre projekt relevantné, alebo sú relevantné len nepriamo.

346

347

(% class="" %)|(((

348

**Kód v číselníku (MetaIS)**

349

)))|(((

350

**Názov agendy verejnej správy**

351

)))|(((

352

**Právny predpis, ktorým je agenda verejnej správy ustanovená**

)))

(% class="" %)|(((

A0000915

)))|(((

Organizovanie vykonávania pozemkových úprav

358

)))|(((

359

Zákon č. 330/1991 Z. z. o pozemkových úpravách, usporiadaní pozemkového vlastníctva, pozemkových úradoch, pozemkovom fonde a o pozemkových spoločenstvách

)))

(% class="" %)|(((

A0000920

)))|(((

Rozhodovanie o navrátení vlastníctva k pozemkom

365

)))|(((

366

Zákon č. 330/1991 Z. z. o pozemkových úpravách, usporiadaní pozemkového vlastníctva, pozemkových úradoch, pozemkovom fonde a o pozemkových spoločenstvách

367

)))

368

369

Tabuľka 4 Zoznam agend relevantných pre projekt

370

371

=== {{id name="projekt_3031_Projektovy_zamer_detailny-3.2.4ROZSAHPROJEKTU"/}}3.2.4 ROZSAH PROJEKTU ===

372

373

Realizátorom projektu je Slovenský pozemkový fond, ktorý bol zriadený zákonom č. 330/1991 Zb. o pozemkových úpravách, usporiadaní pozemkového vlastníctva, pozemkových úradoch, pozemkovom fonde a o pozemkových spoločenstvách v znení neskorších predpisov a nie je zriadený na podnikanie.

374

375

Projekt sa zameriava na oblasti, kde SPF identifikovalo najvyššiu mieru rizika a najvyššie dopady vyplývajúce z vykonaného auditu kybernetickej bezpečnosti v súlade s § 29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Pri výbere opatrení SPF vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.

376

377

Súčasťou projektu sú nasledovné opatrenia vyplývajúce zo zrealizovaného auditu kybernetickej bezpečnosti:

(% class="" %)|(((

**Oblasť opatrení**

)))|(((

**Výstup projektu**

)))

(% class="" %)|(((

Organizácia kybernetickej a informačnej bezpečnosti

386

)))|(((

387

- Aktualizovaná bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení

388

389

- Vypracovaná Stratégia a súvisiace bezpečnostné politiky

)))

(% class="" %)|(((

Riadenie rizík

)))|(((

- Identifikované informačné aktíva a implementovaný systém pre inventarizáciu aktív

395

396

- Aktualizovaná metodika riadenia rizík nie je jednoznačná

397

398

- Spracovaná analýza rizík

399

)))

400

(% class="" %)|(((

401

Personálna bezpečnosť

402

)))|(((

403

- Vypracovaný plán rozvoja bezpečnostného vzdelávania

)))

(% class="" %)|(((

\\

Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

409

)))|(((

410

- Vypracovaná analýzy rizík tretích strán a celého dodávateľského reťazca;

411

412

- Vypracovaná analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou;

413

414

- Vypracovaný interný riadiaceho aktu upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

415

)))

416

(% class="" %)|(((

417

Bezpečnosť pri prevádzke informačných

systémov a sietí

)))|(((

- Vypracovaný interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov;

422

)))

423

(% class="" %)|(((

424

Hodnotenie zraniteľností

425

426

a bezpečnostné aktualizácie

427

)))|(((

428

- Vypracovaný interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.

429

)))

430

(% class="" %)|(((

431

Sieťová a komunikačná bezpečnosť

432

)))|(((

433

- Vypracovaná kategorizácie sieti

434

435

- Vypracovaná aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie;

436

)))

437

(% class="" %)|(((

438

Zaznamenávanie udalostí

a monitorovanie

)))|(((

- Implementovaný SIEM

- Implementovaný XDR

)))

(% class="" %)|(((

Riešenie kybernetických bezpečnostných incidentov

448

)))|(((

449

- Vypracovaný interný riadiaci akt obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;

450

)))

451

(% class="" %)|(((

452

Kryptografické opatrenia

453

)))|(((

454

- Vypracovaný interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania, vrátane vypracovania a dokumentácie systému správy kryptografických kľúčov a certifikátov

)))

(% class="" %)|(((

Kontinuita prevádzky

)))|(((

- Vypracovaný interný riadiaci akt obsahujúceho a upravujúci kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie.

460

)))

461

(% class="" %)|(((

462

Audit a kontrolné činnosti

463

)))|(((

464

- Vypracovaný program posúdenia bezpečnosti na definované informačné technológie verejnej správy, hodnotenia zraniteľností a penetračných testov.

465

)))

466

467

Tabuľka 5 Odporúčania na realizáciu

//

//

=== {{id name="projekt_3031_Projektovy_zamer_detailny-3.2.5MOTIVÁCIAPROJEKTU"/}}3.2.5 MOTIVÁCIA PROJEKTU ===

473

474

SPF externým spôsobom realizoval audit kybernetickej bezpečnosti, ktorý mal preukázať správne prijatie opatrení vyplývajúcich z predchádzajúceho auditu. Audit však preukázal významné nedostatky, čo je s ohľadom na budúce zaradenie SPF medzi poskytovateľov základnej služby, akútnym problémom. Hlavnou motívaciou projektu je teda relizovanie nápravných opatrení a prostredníctvom nich zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti v rámci SPF.

(% class="" %)|(((

**Aktér**

)))|(((

**Cieľ**

)))|(((

**Požiadavka**

)))|(((

**Obmedzenie**

)))

(% class="" %)|(((

Slovenský pozemkový fond

487

)))|(((

488

Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti v prostredí Slovenského pozemkového fondu.

\\

Zaradenie Slovenského pozemkového fondu medzi poskytovateľov základnej služby.

\\

)))|(((

Realizácia opatrení v nadväznosti na nedostatky vyplývajúce z auditu kybernetickej bezpečnosti.

\\

\\

)))|(((

Doteraz chýbajúca finančná podpora pre zavedenie opatrení.

503

)))

504

(% class="" %)|(((

505

Národný bezpečnostný úrad

506

)))|(((

507

Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti v SR.

508

)))|(((

509

Kybernetická bezpečnosť ako základná súčasť verejnej správy.

)))|(((

-

)))

(% class="" %)|(((

MIIRI SR

)))|(((

Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti vo verejnej správe.

517

)))|(((

518

Kybernetická bezpečnosť ako základná súčasť verejnej správy.

)))|(((

-

)))

Tabuľka 6 Aktéri projektu, ich ciele, požiadavky a obmedzenia

524

525

[[image:attach:image-2024-9-18_15-20-54-1.png]]

526

527

Schéma 1 Schéma 1: Motivácia stakeholderov projektu

528

529

Motiváciou je zároveň predísť možnému kybernetickému incidentu, ktorý by mohol mať závažné dopady, ako preukazuje vyhodnotenie identifikačných kritérií pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov podľa vyhlášky NBÚ č. 165/2018 Z. z., ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov:

530

531

(% class="" %)|(((

532

**Dopad kybernetického bezpečnostného incidentu v závislosti**

)))|(((

**Kategória**

)))|(((

**Vysvetlenie**

)))

(% class="" %)|(((

§ 24 ods. 2 písm. a) zákona 69/2018 Z.z.

540

541

Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.

\\

)))|(((

I.

)))|(((

Oblasť, ktorú navrhovaný projekt adresuje, sa dotýka:

350 zamestnancov

30 500 občanov, ktorí uskutočnili podanie

552

553

110 000 občanov, ktorí navštívili stránku SPF

554

)))

555

(% class="" %)|(((

556

§ 24 ods. 2 písm. b) zákona 69/2018 Z.z.

557

558

Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)

a

§ 24 ods. 2 písm. c) zákona

563

564

Geografické rozšírenie kybernetického bezpečnostného incidentu. § 24 ods. 2 písm. b) zákona 69/2018 Z.z.

\\

)))|(((

I.

)))|(((

Pri predpokladanom závažnom kybernetickom incidente v trvaní 7 pracovných dní, by obmedzenie prevádzky bolo v rozsahu 19 600 hodín v rámci celej SR. (350 zamestnancov x 7 dní x 8 hodín)

571

)))

572

(% class="" %)|(((

573

§ 24 ods. 2 písm. d) zákona 69/2018 Z.z.

574

575

Stupeň narušenia fungovania základnej služby.

)))|(((

III.

)))|(((

V prípade nefunkčnosti informačných systémov nie je k dispozícii náhradné riešenie.

580

)))

581

(% class="" %)|(((

582

§ 24 ods. 2 písm. e) zákona 69/2018 Z.z.

583

584

Rozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu.

)))|(((

I.

)))|(((

Incident by spôsobil hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 250 000 eur.

589

)))

590

591

Tabuľka 7 Dopad kybernetického bezpečnostného incidentu v závislosti

592

593

== {{id name="projekt_3031_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholderi"/}}3.3 Zainteresované strany/Stakeholderi ==

(% class="" %)|(((

**ID**

)))|(((

**AKTÉR / STAKEHOLDER**

)))|(((

**SUBJEKT**

**(názov / skratka)**

)))|(((

**ROLA**

**(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)**

607

)))|(((

608

**Informačný systém**

609

610

**(MetaIS kód a názov ISVS)**

)))

(% class="" %)|(((

1.

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

)))|(((

MIRRI

)))|(((

Gestor zákona č. 95/2019 Z. z.

)))|(((

Nerelevantné

)))

(% class="" %)|(((

2.

)))|(((

Národný bezpečnostný úrad

)))|(((

NBÚ

)))|(((

Gestor zákona č. 69/2018 Z. z.

)))|(((

Nerelevantné

)))

(% class="" %)|(((

3.

)))|(((

Slovenský pozemkový fond

)))|(((

GR ZVJS

)))|(((

Biznis vlastník

)))|(((

Nerelevantné

)))

(% class="" %)|(((

5.

)))|(((

Organizačné útvary v rámci SPF

)))|(((

N/A

)))|(((

Kľúčový používateľ

)))|(((

Nerelevantné

)))

Tabuľka 8 Zainteresované strany

658

659

== {{id name="projekt_3031_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}3.4 Ciele projektu ==

(% class="" %)|(((

**ID**

)))|(((

**Názov cieľa**

)))|(((

**Názov strategického cieľa**

667

)))|(((

668

**Spôsob realizácie strategického cieľa**

)))

(% class="" %)|(((

01

)))|(((

Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti v prostredí Slovenského pozemkového fondu

674

)))|(((

675

Národná stratégia Kybernetickej bezpečnosti na roky 2021 – 2025:

676

677

4.1 Dôveryhodný štát pripravený na hrozby

678

679

4.4 Kybernetická bezpečnosť ako základná súčasť verejnej správy

680

)))|(((

681

zavedením funkčných procesov riadenia rizík kybernetickej bezpečnosti,

682

683

kontinuálne posilňovaním technických, organizačných a personálnych kapacít pre detekciu a riešenie kybernetických bezpečnostných incidentov na národnej úrovni a v rámci jednotlivých sektorov, vrátane kritickej infraštruktúry,

684

685

rozvojom schopností v oblasti detekcie a zberu bezpečnostne relevantných udalostí v národnom kybernetickom priestore, ako aj rozvoj schopností v oblasti vyhodnocovania udalostí a detekcie incidentov modernými technikami v národnom kybernetickom priestore uplatňovaním systematického prístupu ku kybernetickej bezpečnosti založeného na analýze a riadení rizík v každej dôležitej oblasti, pričom každá analýza musí vychádzať z plánu a metodiky jednotnej analýzy a riadenia rizík, zvýšením ochrany prevádzkovateľov základných služieb vo verejnej správe z hľadiska kybernetickej bezpečnosti tak, aby ich audit a pravidelné kontroly vykonávaných opatrení trvalo preukazovali pozitívny trend zlepšovania stavu kybernetickej bezpečnosti vo verejnej správe,

686

687

poskytovaním bezpečných a dostupných elektronických služieb štátu každému občanovi s umožnením plnohodnotného rovného využitia elektronických nástrojov,

688

)))

689

690

Tabuľka 9 Ciele projektu

691

692

== {{id name="projekt_3031_Projektovy_zamer_detailny-3.5Merateľnéukazovatele(KPI)"/}}3.5 Merateľné ukazovatele (KPI) ==

(% class="" %)|(((

**ID**

)))|(((

**ID/Názov cieľa**

)))|(((

**Názov

ukazovateľa (KPI)**

)))|(((

**Popis

ukazovateľa**

)))|(((

**Merná jednotka

\\**

)))|(((

**AS IS

merateľné hodnoty

(aktuálne)**

)))|(((

**TO BE

Merateľné hodnoty

(cieľové hodnoty)**

)))|(((

**Spôsob ich merania**

)))|(((

**Pozn.**

)))

(% class="" %)|(((

PO095 / PSKPSOI12

)))|(((

01 Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti

\\

)))|(((

Verejné inštitúcie podporované v

728

729

rozvoji kybernetických služieb,

produktov a procesov

)))|(((

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.

)))|(((

verejné inštitúcie

)))|(((

0

)))|(((

1

)))|(((

Meta IS

)))|(((

N/A

)))

(% class="" %)|(((

PR017 / PSKPRCR11

)))|(((

01 Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti

\\

)))|(((

Používatelia nových a vylepšených

753

754

verejných digitálnych služieb,produktov a procesov

755

)))|(((

756

Počet používateľov nových a vylepšených

757

758

verejných digitálnych služieb,produktov a procesov

)))|(((

používatelia / rok

)))|(((

0

)))|(((

350

)))|(((

Meta IS

)))|(((

N/A

)))

Tabuľka 10 KPIs projektu

772

773

== {{id name="projekt_3031_Projektovy_zamer_detailny-3.6Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.6 Špecifikácia potrieb koncového používateľa ==

Neaplikuje sa

== {{id name="projekt_3031_Projektovy_zamer_detailny-3.7Rizikáazávislosti"/}}3.7 Riziká a závislosti ==

(% class="" %)|(((

**NÁZOV

RIZIKA a ZÁVISLOSTI**

782

)))|(((

783

**POPIS

784

RIZIKA a ZÁVISLOSTI**

)))|(((

**TYP KATEGÓRIE

\\**

)))|(((

**DOPORUČENÉ RIEŠENIE

790

MITIGAČNÉ OPATRENIE

791

(návrh riešenia rizika / závislosti)**

)))

(% class="" %)|(((

Harmonogram projektu

)))|(((

Projekt nebude realizovaný v nastavenom časovom harmonograme. S tým súvisí aj riziko schopnosť dodávateľa dodať požadované tovary a služby načas

)))|(((

časové

)))|(((

Realizácia projektu bude riadená Riadiacim výborom projektu, ktorý bude zabezpečovať koordináciu projektu. Harmonogram projektu bol stanovený tak, aby umožnil riešiť prípadné problémy pri nasadení riešenia.

)))

(% class="" %)|(((

Implementačný tím

)))|(((

Implementačný tím nebude mať dostatočnú kapacitu, vedomosti a schopnosti

)))|(((

organizačné

)))|(((

Dodávateľ a interné implementačné tímy musia preukázať dostatočnú kapacitu, vedomosti a schopnosti pre realizáciu projektu a jeho výstupov.

810

)))

811

(% class="" %)|(((

812

Nedostatočné výstupy projektu

813

)))|(((

814

Riešenie nebude realizované v dostatočnej kvalite

)))|(((

organizačné

)))|(((

Výstupy manažérskych produktov pre riadenie projektu budú v súlade s dokumentom „Metodika riadenia QAMPR.

819

)))

820

(% class="" %)|(((

821

Nedostatočná spolupráca žiadateľa s dodávateľom

822

)))|(((

823

Z dôvodu nedostatočnej komunikácie alebo nedostatočnej dokumentácie nebude zabezpečené úpsešné zavedenie obstarávaných technológií

)))|(((

organizačné

)))|(((

Realizácia projektu bude riadená Riadiacim výborom projektu, ktorý bude zabezpečovať koordináciu projektu.

828

)))

829

830

Tabuľka 11 Riziká a závislosti

831

832

== {{id name="projekt_3031_Projektovy_zamer_detailny-3.8Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.8 Stanovenie alternatív v biznisovej vrstve architektúry ==

833

834

Identifikovaným problémom je nízka miera súladu so zákonom č. 69/2018 Z.z. Keďže sa jedná o nesplnenie zákonných požiadaviek na biznisovej vrstve architektúry existuje len jedna možnosť, a to prijať opatrenia na splnenie zákonných požiadaviek. Napriek tomu nižšie sú načrtnuté 3 alternatívy na biznisovej vrstve.

835

836

[[image:attach:image-2024-9-18_15-21-23-1.png]]

837

838

Schéma 2 Zvažované biznis alternatívy

(% class="" %)|(((

**Alternatíva**

)))|(((

**Stručný popis**

)))

(% class="" %)|(((

Alternatíva 1

)))|(((

Prvou alternatívou je ponechanie súčasného stavu, t.j. bez intervencie a zabezpečenia súladu so zákonom č. 69/2018 Z.z..

)))

(% class="" %)|(((

Alternatíva 2

)))|(((

Vypracovanie a aktualizácia bezpečnostnej dokumentácie na základe zistení z vykonaného auditu kybernetickej bezpečnosti. V rámci druhej alternatívy by sa jednalo o vytvorenie chýbajúcej a aktualizáciu už vytvorenej ale nedostatočnej bezpečnostnej dokumentácie na základe zistení z vykonaného auditu kybernetickej bezpečnosti v súlade s legislatívnymi požiadavkami vyhlášky č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

)))

(% class="" %)|(((

Alternatíva 3

)))|(((

Tretia alternatíva zahŕňa vytvorenie chýbajúcej a aktualizáciu už vytvorenej ale nedostatočnej bezpečnostnej dokumentácie na základe zistení z vykonaného auditu kybernetickej bezpečnosti v súlade s legislatívnymi požiadavkami vyhlášky č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení a zároveň bude realizované zvýšenie úrovne kybernetickej a informačnej bezpečnosti prostredníctvom implementácie nástrojov XDR a SIEM.

859

)))

860

861

Tabuľka 12 Popis alternatív

862

863

== {{id name="projekt_3031_Projektovy_zamer_detailny-3.9Multikriteriálnaanalýza"/}}3.9 Multikriteriálna analýza ==

(% class="" %)|(((

\\

)))|(((

**KRITÉRIUM**

)))|(((

**ZDÔVODNENIE KRIÉRIA**

)))|(((

**STAKEHOLDER**

**1**

)))|(((

**STAKEHOLDER**

**2**

)))|(((

**STAKEHOLDER**

**3**

)))

(% class="" %)|(% rowspan="3" %)(((

BIZNIS VRSTVA

\\

)))|(((

Kritérium A Zabezpečenie súladu s platnou legislatívou (KO)

890

)))|(((

891

Keďže audit kybernetickej bezpečnosti identifikoval významné nedostatky, je nevyhnutné prijať v čo najkratšom čase príslušné opatrenia

)))|(((

X

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Kritérium B Vytvorenie predpokladov pre splnenie požiadaviek kladených na PZS (KO)

901

)))|(((

902

Cieľom je zaradenie SPF medzi PZS (aj v súvislosti s novelou zákona 69/2018, s čím súvisia ďalšie povinnosti vzťahujúce sa na PZS

)))|(((

X

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Kritérium C Zamedzenie kybernetickým incidentom (KO)

912

)))|(((

913

Okrem prijatia opatrení vo vzťahu k dokumentácii, riadiacim aktom a metodikám, je nevyhnutné predísť aj rizikám súvisiacim s chýbajúcimi nástrojmi ochrany pre kybernetickými incidentmi

)))|(((

X

)))|(((

X

)))|(((

X

)))

Tabuľka 13 Kritéria pre MCA

**Vyhodnotenie MCA**

(% class="" %)|(((

**Zoznam kritérií**

)))|(((

**Alternatíva**

**1**

)))|(((

**Spôsob**

**dosiahnutia**

)))|(((

**Alternatíva 2**

)))|(((

**Spôsob**

**dosiahnutia**

)))|(((

**Alternatíva 3**

)))|(((

**Spôsob**

**dosiahnutia**

)))

(% class="" %)|(((

Kritérium A

)))|(((

nie

)))|(((

\\

)))|(((

áno

)))|(((

Alternatíva umožní zavedenie opatrení s cieľom zabezpečiť súlad s legislatívou

)))|(((

áno

)))|(((

Alternatíva umožní zavedenie opatrení s cieľom zabezpečiť súlad s legislatívou

)))

(% class="" %)|(((

Kritérium B

)))|(((

nie

)))|(((

\\

)))|(((

áno

)))|(((

Alternatíva umožní vytvoriť podmienky pre zaradenie SPF medzi PZS

)))|(((

áno

)))|(((

Alternatíva umožní vytvoriť podmienky pre zaradenie SPF medzi PZS

)))

(% class="" %)|(((

Kritérium C

)))|(((

nie

)))|(((

\\

)))|(((

nie

)))|(((

\\

)))|(((

áno

)))|(((

Alternatíva umožní predchádzať kybernetickým incidentom prostredníctvom zavedenia nástrojov XDR a SIEM

993

)))

994

995

Tabuľka 14 Vyhodnotenie MCA

996

997

== {{id name="projekt_3031_Projektovy_zamer_detailny-3.10Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.10 Stanovenie alternatív v aplikačnej vrstve architektúry ==

998

999

Nie je relevantné pre projekt, nerealizuje sa nový ani sa nemení existujúci ISVS

1000

1001

== {{id name="projekt_3031_Projektovy_zamer_detailny-3.11Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.11 Stanovenie alternatív v technologickej vrstve architektúry ==

1002

1003

Alternatívy na úrovni technologickej architektúry reflektujú alternatívy vypracované na základe „nadradenej“ architektonickej aplikačnej vrstvy. Vzhľadom na to, že ide o implementáciu nástrojov na zvýšenie kybernetickej a informačnej bezpečnosti, je nutné tieto nástroje inštalovať, resp. implementovať v existujúcom technologickom prostredí a zariadeniach. Z tohto dôvodu je ekonomicky nevýhodné uvažovať s ďalšími alternatívami na technologickej vrstve architektúry.

1004

1005

= {{id name="projekt_3031_Projektovy_zamer_detailny-4POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4 POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

(% class="" %)|(((

**Výstup projektu**

)))

(% class="" %)|(((

- Aktualizovaná bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení

1012

1013

- Vypracovaná Stratégia a súvisiace bezpečnostné politiky

1014

)))

1015

(% class="" %)|(((

1016

- Identifikované informačné aktíva a implementovaný systém pre inventarizáciu aktív

1017

1018

- Aktualizovaná metodika riadenia rizík nie je jednoznačná

1019

1020

- Spracovaná analýza rizík

1021

)))

1022

(% class="" %)|(((

1023

- Vypracovaný plán rozvoja bezpečnostného vzdelávania

1024

)))

1025

(% class="" %)|(((

1026

- Vypracovaná analýzy rizík tretích strán a celého dodávateľského reťazca;

1027

1028

- Vypracovaná analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou;

1029

1030

- Vypracovaný interný riadiaceho aktu upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

1031

)))

1032

(% class="" %)|(((

1033

- Vypracovaný interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov;

1034

)))

1035

(% class="" %)|(((

1036

- Vypracovaný interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.

1037

)))

1038

(% class="" %)|(((

1039

- Vypracovaná kategorizácie sieti

1040

1041

- Vypracovaná aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie;

1042

)))

1043

(% class="" %)|(((

1044

- Implementovaný SIEM-SOAR

- Implementovaný XDR

)))

(% class="" %)|(((

- Vypracovaný interný riadiaci akt obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;

1050

)))

1051

(% class="" %)|(((

1052

- Vypracovaný interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania, vrátane vypracovania a dokumentácie systému správy kryptografických kľúčov a certifikátov

1053

)))

1054

(% class="" %)|(((

1055

- Vypracovaný interný riadiaci akt obsahujúceho a upravujúci kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie.

1056

)))

1057

(% class="" %)|(((

1058

- Vypracovaný program posúdenia bezpečnosti na definované informačné technológie verejnej správy, hodnotenia zraniteľností a penetračných testov.

1059

)))

1060

1061

Tabuľka 15 Výstupy projektu

1062

1063

= {{id name="projekt_3031_Projektovy_zamer_detailny-5NÁHĽADARCHITEKTÚRY"/}}5 NÁHĽAD ARCHITEKTÚRY =

1064

1065

== {{id name="projekt_3031_Projektovy_zamer_detailny-5.1Biznisarchitektúra"/}}5.1 Biznis architektúra ==

1066

1067

Predmetom projektu nie sú biznis procesy ani biznis služby zabezpečované SPF. High level biznis architektúra je zobrazená na nasledujúcej schéme.

1068

1069

[[image:attach:image-2024-9-18_15-21-44-1.png]]

1070

1071

Schéma 3 Biznis architektúra

1072

1073

== {{id name="projekt_3031_Projektovy_zamer_detailny-5.2Aplikačnáarchitektúra"/}}5.2 Aplikačná architektúra ==

1074

1075

Predmetom projektu nie je zmena aplikačnej architektúry. Aplikačnú architektúru SPF tvoria:

\\

1. **Kanály / Prístupové body**

* Webový portál

* Intranet

\\

1. **Informačné systémy pre podporu koncových procesov**

1087

1088

Do tejto skupiny zaraďujeme informačné systémy slúžiace pre podporu hlavných agendových / koncových procesov slovenského pozemkového fondu (prenájmy, ROEP, prevody, reštitúcie, ...):

1089

1090

* Geografický informačný systém

* Depozit

* Právne akty

\\

1. **Informačné systémy pre podporu podporných procesov**

1097

1098

Do tejto skupiny zaraďujeme informačné systémy slúžiace na podporu ekonomických, účtovníckych a HR procesov:

1099

1100

* Zverejňovanie objednávok a faktúr

1101

* Účtovnícky program - ekonomický informačný systém

1102

* Human

1103

* Dochádzkový terminál

* Intranetový portál

\\

1. **Externé / Podporné informačné systémy**

1109

1110

Tieto systémy rozdeľujeme na externé / podporné informačné systémy integrované na informačné systémy Slovenského pozemkového fondu alebo informačné systémy, ktoré nie sú integrované, ale sú používané pri vykonávaní rôznych procesov Slovenského pozemkového fondu:

1111

1112

* Katasterportal, Štátna pokladnica, Pošta, ÚPVS, Obchodný vestník MSSR, Finstat, Centrálny register zmlúv, OverSi

1113

1114

**~ [[image:attach:image-2024-9-18_15-22-3-1.png]]**

1115

1116

Schéma 4 Aplikačná architektúra

1117

1118

== {{id name="projekt_3031_Projektovy_zamer_detailny-5.3Technologickáarchitektúra"/}}5.3 Technologická architektúra ==

1119

1120

**Predmetom projektu nie je zmena technologickej architektúry**. Technologická architektúra SPF v súčasnosti zahŕňa:

1121

1122

* Celkový počet virtuálnych serverov vo virtuálnom prostredí - 72 virtuálnych servrov + 31 testovacích staníc pre dané servre

1123

* Celkový počet sieťových aktívnych prvkov - 30 aktívnych sieťových - prvkov

1124

* Celkový počet fyzických serverov (mimo virtuálneho prostredia) - 3 aktívne + 1 s Windows 10 na zálohovanie, a 3 vypnute

1125

* Dostupná kapacita diskových polí - 80TB pre VM servre, 30TB pre VM vitual PC, 50TB NAS1, 50TB NAS2, 20TB zálohovací server GR1

1126

* Celkový počet pracovných staníc - 506

1127

* Celkový počet lokalít infraštruktúry - 21

1128

1129

Projekt nepredpokladá nákup HW vybavenia pre používateľov IS SPF. Schéma nižšie preukazuje spôsob riešenia technologickej architektúry v prostredí SPF, kedy časť aplikácií využíva infraštruktúrne služby vládneho cloudu a časť aplikácií infraštruktúru SPF. Zakreslené sú aj nové prvky, týkajúce sa bezpečnostnej architektúry v rámci infraštruktúrnych služieb SPF.

1130

1131

[[image:attach:image-2024-9-18_15-22-26-1.png]]

1132

1133

Schéma 5 Technologická architektúra – budúci stav

1134

1135

== {{id name="projekt_3031_Projektovy_zamer_detailny-5.4Bezpečnostnáarchitektúra"/}}5.4 Bezpečnostná architektúra ==

1136

1137

Navrhovaná bezpečnostná architektúra je v súlade s nasledovnými legislatívnymi normami:

1138

1139

* Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov,

1140

* Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov,

1141

* Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy,

1142

* Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy,

1143

* Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov,

1144

* Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

\\

Predmetom projektu sú nasledovné prvky bezpečnostnej architektúry:

1149

1150

* Vypracovanie a aktualizácia dokumentácie na základe zistení auditu KB:

(% class="" %)|(((

**Oblasť opatrení**

)))|(((

**Výstup projektu**

)))

(% class="" %)|(((

**~ **

Organizácia kybernetickej a informačnej bezpečnosti

1161

)))|(((

1162

§ Aktualizovaná bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení

1163

1164

§ Vypracovaná Stratégia a súvisiace bezpečnostné politiky

)))

(% class="" %)|(((

Riadenie rizík

)))|(((

§ Identifikované informačné aktíva a implementovaný systém pre inventarizáciu aktív

1170

1171

§ Aktualizovaná metodika riadenia rizík nie je jednoznačná

1172

1173

§ Spracovaná analýza rizík

1174

)))

1175

(% class="" %)|(((

1176

Personálna bezpečnosť

1177

)))|(((

1178

§ Vypracovaný plán rozvoja bezpečnostného vzdelávania

)))

(% class="" %)|(((

\\

Riadenie kybernetickej a informačnej bezpečnosti vo

1184

1185

vzťahoch s tretími stranami

1186

)))|(((

1187

§ Vypracovaná analýzy rizík tretích strán a celého dodávateľského reťazca;

1188

1189

§ Vypracovaná analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou;

1190

1191

§ Vypracovaný interný riadiaceho aktu upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

1192

)))

1193

(% class="" %)|(((

1194

Bezpečnosť pri prevádzke informačných

systémov a sietí

)))|(((

§ Vypracovaný interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov;

1199

)))

1200

(% class="" %)|(((

1201

Hodnotenie zraniteľností

1202

1203

a bezpečnostné aktualizácie

1204

)))|(((

1205

§ Vypracovaný interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.

1206

)))

1207

(% class="" %)|(((

1208

Sieťová a komunikačná bezpečnosť

1209

)))|(((

1210

§ Vypracovaná kategorizácie sieti

1211

1212

§ Vypracovaná aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie;

1213

)))

1214

(% class="" %)|(((

1215

Riešenie kybernetických bezpečnostných incidentov

1216

)))|(((

1217

§ Vypracovaný interný riadiaci akt obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;

1218

)))

1219

(% class="" %)|(((

1220

Kryptografické opatrenia

1221

)))|(((

1222

§ Vypracovaný interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania, vrátane vypracovania a dokumentácie systému správy kryptografických kľúčov a certifikátov

)))

(% class="" %)|(((

Kontinuita prevádzky

)))|(((

§ Vypracovaný interný riadiaci akt obsahujúceho a upravujúci kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie.

1228

)))

1229

(% class="" %)|(((

1230

Audit a kontrolné činnosti

1231

)))|(((

1232

§ Vypracovaný program posúdenia bezpečnosti na definované informačné technológie verejnej správy, hodnotenia zraniteľností a penetračných testov.

1233

)))

1234

1235

Tabuľka 16 Zoznam opatrení

1236

1237

* SIEM-SOAR. Správa bezpečnostných informácií a udalostí (SIEM) s nadväznou orchestráciou a automatizáciou riešení na vzniknuté incidenty (SOAR).Riešenie pre aktívny zber dát z monitorovaných zariadení a aplikácií v reálnom čase so schopnosťou ich analyzovania a identifikácie správania typického pre narušenie bezpečnosti s následnou automatizáciou bezpečnostných operácií a procesov reakcie na incidenty počas ich riešenia. Podrobný popis požiadaviek na SIEM-SOAR je uvedený v katalógu požiadaviek.

\\

3) XDR –viacvrstvové integrované riešenie zabezpečenia koncových bodov, ktoré nepretržite monitoruje používateľské zariadenia. Riešenie umožní zhromažďovať údaje pomocou automatických reakcií založených na pravidlách. Platforma XDR zaznamenáva a vzdialene ukladá správanie koncových zariadení na úrovni systému. Potom ich analyzuje s cieľom odhaliť akúkoľvek podozrivú aktivitu a poskytnúť rôzne možnosti reakcie a obrany. Riešenie umožní detekciu nevyžiadanej aktivity na koncových staniciach, funkcionalitu monitoringu prevádzky na koncových zariadeniach, skenovanie koncových zariadení ako aj funkcionalitu centrálneho nastavovania bezpečnostných pravidiel a politík pre koncové zariadenia. Podrobný popis požiadaviek na XDR je uvedený v katalógu požiadaviek.

1242

1243

= {{id name="projekt_3031_Projektovy_zamer_detailny-6LEGISLATÍVA"/}}6 LEGISLATÍVA =

1244

1245

Pre naplnenie cieľov a dodanie výstupov projektu nie sú potrebné zmeny v oblasti legislatívy.

1246

1247

= {{id name="projekt_3031_Projektovy_zamer_detailny-7ROZPOČETAPRÍNOSY"/}}7 ROZPOČET A PRÍNOSY =

1248

1249

Rozpočet projektu bol stanovený na základe premenných parametrov, ktorými boli nasledovné údaje:

1250

1251

* Celkový počet virtuálnych serverov vo virtuálnom prostredí - 72 virtuálnych servrov + 31 testovacích staníc pre dané servre

1252

* Celkový počet sieťových aktívnych prvkov - 30 aktívnych sieťových - prvkov

1253

* Celkový počet fyzických serverov (mimo virtuálneho prostredia) - 3 aktívne + 1 s Windows 10 na zálohovanie, a 3 vypnute

1254

* Dostupná kapacita diskových polí - 80TB pre VM servre, 30TB pre VM vitual PC, 50TB NAS1, 50TB NAS2, 20TB zálohovací server GR1

1255

* Celkový počet pracovných staníc – do 500

1256

* Celkový počet lokalít infraštruktúry – 21

1257

1258

Na základe týchto parametrov ako poznania obdobných projektov kybernetickej bezpečnosti bol definovaný nasledovný rozpočet projektu:

1259

1260

(% class="" %)|(% colspan="8" %)(((

1261

**Implementačný projekt**

)))

(% class="" %)|(((

**P.Č.**

)))|(((

**Položka**

)))|(((

**Počet**

)))|(((

**Merná jednotka**

)))|(((

**Jednotková cena**

)))|(% colspan="2" %)(((

1274

**Cena celkom bez DPH**

1275

)))|(((

1276

**Cena celkom s DPH**

)))

(% class="" %)|(((

1

)))|(((

Licencie SOAR

)))|(((

60

)))|(((

ks

)))|(((

5 727 €

)))|(% colspan="2" %)(((

343 620 €

)))|(((

412 344 €

)))

(% class="" %)|(((

2

)))|(((

Licencie SIEM

)))|(((

60

)))|(((

ks

)))|(((

408 €

)))|(% colspan="2" %)(((

24 480 €

)))|(((

29 376 €

)))

(% class="" %)|(((

3

)))|(((

Licencie NDR

)))|(((

60

)))|(((

ks

)))|(((

714 €

)))|(% colspan="2" %)(((

42 840 €

)))|(((

51 408 €

)))

(% class="" %)|(((

4

)))|(((

Licencie EDR

)))|(((

60

)))|(((

ks

)))|(((

376 €

)))|(% colspan="2" %)(((

22 560 €

)))|(((

27 072 €

)))

(% class="" %)|(((

5

)))|(((

HA riešenie

)))|(((

1

)))|(((

projekt

)))|(((

48 500 €

)))|(% colspan="2" %)(((

48 500 €

)))|(((

58 200 €

)))

(% class="" %)|(((

6

)))|(((

Analýza

)))|(((

150

)))|(((

MDs

)))|(((

500 €

)))|(% colspan="2" %)(((

75 000 €

)))|(((

90 000 €

)))

(% class="" %)|(((

7

)))|(((

Implementácia

)))|(((

450

)))|(((

MDs

)))|(((

500 €

)))|(% colspan="2" %)(((

225 000 €

)))|(((

270 000 €

)))

(% class="" %)|(((

8

)))|(((

Dokumentácia

)))|(((

20

)))|(((

MDs

)))|(((

500 €

)))|(% colspan="2" %)(((

10 000 €

)))|(((

12 000 €

)))

(% class="" %)|(((

9

)))|(((

Zaškolenie

)))|(((

25

)))|(((

MDs

)))|(((

500 €

)))|(% colspan="2" %)(((

12 500 €

)))|(((

15 000 €

)))

(% class="" %)|(% colspan="6" %)(((

**SPOLU**

)))|(((

**804 500 €**

)))|(((

**965 400 €**

)))

(% class="" %)|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

\\

Následná prevádzková podpora bola stanovená ako 10% ceny projektu v rovnomernom rozložení na prevádzku a rozvoj:

\\

\\

\\

(% class="" %)|(% colspan="7" %)(((

1449

**Prevádzka a podpora na 1 rok**

)))

(% class="" %)|(((

**P.Č.**

)))|(((

**Položka**

)))|(((

**Počet**

)))|(((

**~ Merná jednotka**

)))|(((

**Jednotková cena**

)))|(((

**Cena celkom bez DPH**

1463

)))|(((

1464

**cena celkom s DPH**

)))

(% class="" %)|(((

1

)))|(((

Prevádzka, podpora a vendor support

)))|(((

12

)))|(((

Mesiac

)))|(((

3 352,08 €

)))|(((

40 225 €

)))|(((

48 270 €

)))

(% class="" %)|(((

2

)))|(((

Rozvoj

)))|(((

12

)))|(((

Mesiac

)))|(((

3 352,08 €

)))|(((

40 225 €

)))|(((

48 270 €

)))

(% class="" %)|(% colspan="5" %)(((

**SPOLU**

)))|(((

**80 450 €**

)))|(((

**96 540,00 €**

)))

= {{id name="projekt_3031_Projektovy_zamer_detailny-8HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}8 HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =

(% class="" %)|(((

**ID**

)))|(((

**FÁZA/AKTIVITA**

)))|(((

**ZAČIATOK**

**(odhad termínu)**

)))|(((

**KONIEC**

**(odhad termínu)**

)))|(((

**POZNÁMKA**

)))

(% class="" %)|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

01/2024

)))|(((

10/2024

)))|(((

\\

)))

(% class="" %)|(((

2.

)))|(((

Realizačná fáza

)))|(((

10/2024

)))|(((

03/2026

)))|(((

\\

)))

(% class="" %)|(((

2a

)))|(((

Analýza a Dizajn

)))|(((

// //

)))|(((

// //

)))|(((

\\

)))

(% class="" %)|(((

2b

)))|(((

Nákup technických prostriedkov, programových prostriedkov a služieb

)))|(((

11/2024

)))|(((

04/2025

)))|(((

Implementácia XDR a SIEM

)))

(% class="" %)|(((

2c

)))|(((

Implementácia a testovanie

)))|(((

11/2024

)))|(((

08/2025

)))|(((

\\

)))

(% class="" %)|(((

2d

)))|(((

Nasadenie a PIP

)))|(((

08/2025

)))|(((

01/2026

)))|(((

\\

)))

(% class="" %)|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

02/2026

)))|(((

02/2026

)))|(((

\\

)))

(% class="" %)|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

03/2026

)))|(((

02/2029

)))|(((

\\

)))

Tabuľka 17 Harmonogram projektu

1611

1612

= {{id name="projekt_3031_Projektovy_zamer_detailny-9PROJEKTOVÝTÍM"/}}9 PROJEKTOVÝ TÍM =

1613

1614

Pre potreby riadenia projektu bude vytvorený riadiaci výbor projektu a vytvorený projektový tím prijímateľa. Riadiaci výbor projektu budú tvoriť minimálne nasledovní členovia, pričom na rokovania riadiaceho výboru budú podľa potreby prizývané iné osoby:

\\

(% class="" %)|(((

**ID**

)))|(((

**Meno a Priezvisko**

)))|(((

**Pozícia**

)))|(((

**Oddelenie**

)))|(((

**Rola v projekte**

)))

(% class="" %)|(((

**1.**

)))|(((

Tbc

)))|(((

Námestník GR

)))|(((

tbc

)))|(((

Predseda RV

)))

(% class="" %)|(((

**2.**

)))|(((

Tbc

)))|(((

Riaditeľ OIKT

)))|(((

tbc

)))|(((

Podpredseda RV - zástupca vlastníkov procesov

)))

(% class="" %)|(((

**3.**

)))|(((

Tbc

)))|(((

Manažér KB

)))|(((

tbc

)))|(((

zástupca kľúčových používateľov

)))

(% class="" %)|(((

**4.**

)))|(((

Tbc

)))|(((

tajomník RV

)))|(((

tbc

)))|(((

za SPF (bez hlasovacieho práva)

)))

(% class="" %)|(((

**5.**

)))|(((

tbc

)))|(((

projektový manažér

)))|(((

tbc

)))|(((

Projektový manažér za SPF (bez hlasovacieho práva)

1683

)))

1684

1685

Tabuľka 18 Zloženie riadiaceho výboru

1686

1687

Mená pre jednotlivé pozície projektového tímu budú doplnené pred zahájením realizačnej fázy projektu, na základe rozhodnutia riadiaceho výboru na základe návrhu projektového manažéra.

\\

== {{id name="projekt_3031_Projektovy_zamer_detailny-9.1PRACOVNÉNÁPLNE"/}}9.1 PRACOVNÉ NÁPLNE ==

1692

1693

Predseda RV - Hlavným záujmom a zodpovednosťou predsedu Riadiaceho výboru projektu je:

1694

1695

1. zastupovať záujmy prijímateľa v projekte,

1696

1. kontrolovať súlad projektu a projektových cieľov so strategickými cieľmi,

1697

1. zabezpečiť a udržať finančné krytie (rozpočet) realizácie projektu,

1698

1. zabezpečiť nákladovo prijateľný prístup v projekte,

\\

Podpredseda RV – zástupca vlastníkov procesov - Hlavným záujmom a zodpovednosťou zástupcu vlastníkov procesov (biznis vlastník) je:

1703

1704

1. schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,

1705

1. definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľov a požiadaviek na bezpečnosť,

1706

1. definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,

1707

1. schválenie akceptačných kritérií,

1708

1. akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,

1709

1. odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,

1710

1. dostupnosť ľudských zdrojov alokovaných na realizáciu projektu

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**PROJEKTOVÝ MANAŽÉR**

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

\\

· zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

\\

· zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

1731

)))

1732

(% class="" %)|(((

1733

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Riadenie projektu podľa pravidiel stanovených vo Vyhláške 85/2020 Z.z.

1738

1739

· Riadenie prípravy, inicializácie a realizácie projektu

1740

1741

· Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii

1742

1743

· Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

1744

1745

· Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

1746

1747

· Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

1748

1749

· Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1750

1751

· Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

1752

1753

· Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 85/2020 Z.z., Prílohy č.1

1754

1755

· Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1 na rokovanie RV

1756

1757

· Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

1758

1759

· Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

1760

1761

· Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

1762

1763

· Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

1764

1765

· Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

1766

1767

· Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

1768

1769

· Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

1770

1771

· Riadenie implementačných a prevádzkových aktivít v rámci projektov.

1772

1773

· Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

1774

1775

· Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

1776

1777

· Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

1778

1779

· Dodržiavanie metodík projektového riadenia,

1780

1781

· Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),

1782

1783

· Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr

\\

)))

(% class="" %)|(((

**Odporúčané kvalifikačné predpoklady**

1789

)))|(((

1790

· Certifikácia - Prince 2

1791

1792

· Certifikácia - PMI PMP

1793

1794

· Certifikácia - IPMA

1795

1796

Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

)))

(% class="" %)|(((

**Poznámka**

)))|(((

\\

V prípade, ak v projektom tíme NIE SÚ vytvorené projektové role **Manažér zmien** (Change manager) a **Implementačný manažér** (Release manager), tak rozsah a povinnosti týchto rolí vykonáva rola **Projektový manažér**

**~ **

)))

Tabuľka 19 Popis pozície projektový manažér

(% class="" %)|(((

**Projektová rola:**

)))|(((

**KĽUČOVÝ POUŽIVATEĽ **(end user)

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

\\

· zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.

\\

· Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov

1827

)))

1828

(% class="" %)|(((

1829

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

\\

Zodpovedný za:

· Návrh a špecifikáciu funkčných a technických požiadaviek

1836

1837

· Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

1838

1839

· Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,

1840

1841

· Špecifikáciu požiadaviek koncových používateľov na prínos systému

1842

1843

· Špecifikáciu požiadaviek na bezpečnosť,

1844

1845

· Návrh a definovanie akceptačných kritérií,

1846

1847

· Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

1848

1849

· Finálne odsúhlasenie používateľského rozhrania

1850

1851

· Vykonanie akceptačného testovania (UAT)

1852

1853

· Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

1854

1855

· Finálny návrh na spustenie do produkčnej prevádzky,

1856

1857

· Predkladanie požiadaviek na zmenu funkcionalít produktov

1858

1859

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1860

1861

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

Tabuľka 20 Popis pozície kľúčový používateľ

(% class="" %)|(((

**Projektová rola:**

)))|(((

**MANAŽER KYBERNETICKEJ BEZPEČNOSTI (KIB) a IT BEZPEČNOSTI (ITB)**

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

1877

1878

· koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti

\\

**PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KIB a ITB:**

1883

1884

1) neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných.

1885

1886

2) rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle:

1887

1888

a) § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

1889

1890

b) ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

1891

)))

1892

(% class="" %)|(((

1893

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· špecifikovanie štandardov, princípov a stratégií v oblasti ITB a KIB,

1898

1899

· ak je projekt primárne zameraný na problematiku ITB a KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na ITB a KIB,

1900

1901

· špecifikovanie požiadaviek na ITB a KIB, kontroluje ich implementáciu v realizovanom projekte,

1902

1903

· špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

1904

1905

· špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť ITB a KIB,

1906

1907

· špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

1908

1909

· špecifikovanie požiadaviek na školenia pre oblasť ITB a KIB,

1910

1911

· špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť ITB a KIB,

1912

1913

· špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na ITB a KIB,

1914

1915

· realizáciu posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

1916

1917

· špecifikovanie požiadaviek na ITB a KIB, bezpečnostný projekt a riadenie prístupu,

1918

1919

· špecifikovanie požiadaviek na testovanie z hľadiska ITB a KIB, realizáciu kontroly zapracovania a retestu,

1920

1921

· špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť ITB a KIB, ako aj v zmysle "best practies",

1922

1923

· špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s ITB a KIB kontroluje ich implementáciu v realizovanom projekte,

1924

1925

· špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu ITB a KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

1926

1927

· špecifikáciu požiadaviek na bezpečnosť IT a KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

1928

1929

· špecifikáciu akceptačných kritérií za oblasť ITB a KIB,

1930

1931

· špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na ITB a KIB,

1932

1933

· poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť ITB a KIB,

1934

1935

· získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1936

1937

· špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,

1938

1939

· konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska ITB a KIB,

1940

1941

· špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť ITB a KIB,

1942

1943

· realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť ITB a KIB

1944

1945

· realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

1946

1947

· realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

1948

1949

· realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť ITB a KIB,

1950

1951

· realizáciu kontroly zameranú na implementovaný proces v priamom súvise s ITB a KIB,

1952

1953

· realizáciu kontroly súladu s planou legislatívou v oblasti ITB a KIB (obsahuje aj kontrolu leg. požiadaviek)

1954

1955

· realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

1956

1957

· poskytovanie konzultácií a súčinnosti pre problematiku ITB a KIB,

1958

1959

· získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1960

1961

· aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1962

1963

· plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

1964

)))

1965

1966

Tabuľka 21 Popis pozície manažér kyber bezpečnosti

1967

1968

= {{id name="projekt_3031_Projektovy_zamer_detailny-10ODKAZY"/}}10 ODKAZY =

1969