Zmeny dokumentu projekt_2521_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/14 18:40

From 3.1 to 2.1

Z verzie 2.1

upravil silvia_cehlarikova
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 1.1

upravil silvia_cehlarikova
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)
Objekty (1 modified, 0 added, 0 removed)
- Confluence.Code.ConfluencePageClass[0]

Podrobnosti

Vlastnosti stránky

Obsah

@@ -1,1855 +1,0 @@
--**PROJEKTOVÝ ZÁMER**
--
--**Vzor pre manažérsky výstup  I-02**
--
--**~ podľa vyhlášky MIRRI č. 401/2023 Z. z. **
--
--\\
--
--(% class="wrapped" %)
--|(((
--Povinná osoba
--)))|(((
--Generálna prokuratúra Slovenskej republiky
--)))
--|(((
--Názov projektu
--)))|(((
--Riadenie kybernetickej bezpečnosti – I.
--)))
--|(((
--Zodpovedná osoba za projekt
--)))|(((
--Mgr. Peter Kuna, manažér kybernetickej a informačnej bezpečnosti
--)))
--|(((
--Realizátor projektu
--)))|(((
--Generálna prokuratúra Slovenskej republiky
--)))
--|(((
--Vlastník projektu
--)))|(((
--Mgr. Peter Kuna, manažér kybernetickej a informačnej bezpečnosti
--)))
--
--**~ **
--
--**Schvaľovanie dokumentu**
--
--(% class="wrapped" %)
--|(((
--Položka
--)))|(((
--Meno a priezvisko
--)))|(((
--Organizácia
--)))|(((
--Pracovná pozícia
--)))|(((
--Dátum
--)))|(((
--Podpis
--
--(alebo elektronický súhlas)
--)))
--|(((
--Vypracoval
--)))|(((
--\\
--)))|(((
--GPSR
--)))|(((
--\\
--)))|(((
--26.4.2024
--)))|(((
--\\
--)))
--
--**~ **
--
--= {{id name="projekt_2521_Projektovy_zamer_detailny-1.HistóriaDOKUMENTU"/}}1.     História DOKUMENTU =
--
--(% class="wrapped" %)
--|(((
--Verzia
--)))|(((
--Dátum
--)))|(((
--Zmeny
--)))|(((
--Meno
--)))
--|(((
--1.0
--)))|(((
--26.4.2024
--)))|(((
--Vytvorenie dokumentu
--)))|(((
--\\
--)))
--|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--
--**~ **
--
--= {{id name="projekt_2521_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2.     ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =
--
--V súlade s Vyhláškou č. 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.
--
--\\
--
--Účelom predkladaného dokumentu je súhrnný rámcový popis informácií o zmysle a dôvodoch realizácie projektu, odhadovaných prínosoch a nákladoch projektu, odôvodnení alokácie nevyhnutných zdrojov projektu, časovom rámci realizácie a odhadovaných rizikách projektu.
--
--\\
--
--Dokument je vypracovaný v rámci prípravno-iniciačnej fázy projektu v súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy.
--
--**~ **
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-2.1Použitéskratkyapojmy"/}}2.1        Použité skratky a pojmy ==
--
--\\
--
--(% class="wrapped" %)
--|(((
--**ID**
--)))|(((
--**SKRATKA**
--)))|(((
--**OPIS**
--)))
--|(((
--1.
--)))|(((
--CBA
--)))|(((
--Analýza prínosov a nákladov
--)))
--|(((
--2.
--)))|(((
--GPSR
--)))|(((
--Generálna prokuratúra Slovenskej republiky
--)))
--|(((
--3.
--)))|(((
--MCA
--)))|(((
--Multikriteriálna analýza
--)))
--|(((
--4.
--)))|(((
--MIRRI
--)))|(((
--Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
--)))
--|(((
--5.
--)))|(((
--NAC
--)))|(((
--Network Access Control
--)))
--|(((
--6.
--)))|(((
--NBÚ
--)))|(((
--Národný bezpečnostný úrad
--)))
--|(((
--7.
--)))|(((
--NDR
--)))|(((
--Network detection and response
--)))
--|(((
--8.
--)))|(((
--PAM
--)))|(((
--Privileged Access Management
--)))
--|(((
--9.
--)))|(((
--SIEM
--)))|(((
--Security Information and Event Management
--)))
--|(((
--10.
--)))|(((
--TCO
--)))|(((
--Total cost of ownership
--)))
--|(((
--11.
--)))|(((
--VO
--)))|(((
--Verejné obstarávanie
--)))
--|(((
--12.
--)))|(((
--XDR
--)))|(((
--Extended detection and response
--)))
--|(((
--13.
--)))|(((
--ZoKB
--)))|(((
--Zákon o kybernetickej bezpečnosti
--)))
--|(((
--14.
--)))|(((
--ŽoNFP
--)))|(((
--Žiadosť o nenávratný finančný príspevok
--)))
--
--\\
--
--\\
--
--
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}2.2        Konvencie pre typy požiadaviek (príklady) ==
--
--\\
--
--Hlavné kategórie požiadaviek v zmysle katalógu požiadaviek sú rozdelené na funkčné, nefunkčné a technické. Podskupiny v hlavných kategóriách je možné rozšíriť v závislosti od potrieb projektu, napríklad:
--
--**// //**
--
--Funkčné požiadavky používajú konvenciu:
--
--//RF_xxx//
--
--* //RF – funkčná požiadavka//
--* //xxx – číslo požiadavky//
--
--// //
--
--Nefunkčné a technické požiadavky používajú konvenciu:
--
--//RNF_xxx//
--
--* //RNF – nefunkčná požiadavka//
--* //xxx – číslo požiadavky//
--
--// //
--
--Ostatné typy požiadaviek môžu byť ďalej definované objednávateľom/PM.
--
--**// //**
--
--= {{id name="projekt_2521_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3.     DEFINOVANIE PROJEKTU =
--
--\\
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}3.1        Manažérske zhrnutie ==
--
--\\
--
--Tento projekt je vypracovaný v súlade s:
--
--* Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy;
--* Výzvou č. PSK-MIRRI-611-2024-DV-EFRR na predkladanie Žiadostí o poskytnutie nenávratného finančného príspevku so zameraním na „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa“.
--
--\\
--
--Generálna prokuratúra Slovenskej republiky (ďalej len „GPSR“) je najvyšším štátnym orgánom v sústave orgánov, ktoré tvoria prokuratúru Slovenskej republiky, je ich nadriadeným orgánom a má postavenie ústredného štátneho orgánu. Pôsobnosť GPSR vymedzuje zákon č.  153/2001 Z. z. o prokuratúre, zákon č. 154/2001 Z. z. o  prokurátoroch a právnych čakateľoch prokuratúry  a osobitné zákony, na základe ktorých GPSR najmä:
--
--1. zabezpečuje plnenie úloh patriacich do pôsobnosti generálneho prokurátora Slovenskej republiky,
--1. riadi, organizuje a kontroluje činnosť krajských prokuratúr a okresných prokuratúr,
--1. dozerá na jednotné uplatňovanie zákonov a ostatných všeobecne záväzných právnych predpisov krajskými prokuratúrami a okresnými prokuratúrami,
--1. vedie register trestov, ktorý obsahuje údaje a informácie
--
--\\
--
--GPSR je zároveň subjektom zaradeným v registri prevádzkovateľov základných služieb podľa zákona o kybernetickej bezpečnosti č. 69/2018 Z. z. v sektore Verejná správa ([[https:~~/~~/www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/>>url:https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/||shape="rect"]]). Základná prevádzkovaná služba: Správcovia a prevádzkovatelia sietí a informačných systémov verejnej správy v pôsobnosti povinnej osoby podľa zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.
--
--\\
--
--V súlade s § 29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“) prebiehal na GPSR v období od 6.9.2023 do 23.11.2023 audit kybernetickej bezpečnosti. Dňa 15.12.2023 bola GPSR odovzdaná finálna verzia záverečnej správy o výsledkoch auditu. V súlade s §29 ods. 5 GPSR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. **Tento projekt rieši vybrané návrhy a opatrenia na nápravu nesúladov, ktoré majú pre GPSR najvyššiu prioritu a zabezpečia zvýšenie úrovne kybernetickej a informačnej bezpečnosti.**
--
--\\
--
--Zároveň projektom budú dosiahnuté nasledovné kvantitatívne ako aj kvalitatívne prínosy.
--
--\\
--
--**Kvantitatívne prínosy v rámci navrhovaného projektu sú:**
--
--* Zníženie nákladov súvisiacich s odstraňovaním preventívnych kybernetických incidentov.
--* Zníženie nákladov súvisiacich s odstraňovaním reaktívnych kybernetických incidentov.
--
--\\
--
--**Kvalitatívne prínosy v rámci navrhovaného projektu sú:**
--
--* Zníženie miery rizika vzniku kybernetického incidentu.
--* Zvýšenie miery súladu s platnou legislatívou.
--* Zvýšenie úrovne kybernetickej a informačnej bezpečnosti.
--* Zvýšenie detekcie kybernetických bezpečnostných incidentov.
--* Zvýšená spokojnosť a dôvera používateľov.
--
--\\
--
--Časový harmonogram projektu je nastavený na 12 mesiacov a finálnym termínom dokončenia do 31.12.2025. Začiatok projektu je naplánovaný od 01/2025 a má byť ukončený najneskôr do 12/2025. Následne v rámci prevádzky bude prebiehať podpora prevádzky. Podporné aktivity budú zabezpečované počas celých 12 mesiacov od začiatku trvania projektu.
--
--// //
--
--(% class="wrapped" %)
--|(((
--**ID**
--)))|(((
--**FÁZA/AKTIVITA**
--)))|(((
--**ZAČIATOK**
--
--**(odhad termínu)**
--)))|(((
--**KONIEC**
--
--**(odhad termínu)**
--)))
--|(((
--**2.**
--)))|(((
--Realizačná fáza
--)))|(((
--01/2025
--)))|(((
--12/2025
--)))
--|(((
--**2b**
--)))|(((
--Nákup technických prostriedkov, programových prostriedkov a služieb
--)))|(((
--01/2025
--)))|(((
--12/2025
--)))
--
--\\
--
--Rámcový rozpočet projektu je stanovený na sumu 449 814,16 EUR s DPH:
--
--* Nákup technických prostriedkov, programových prostriedkov a služieb: 420 387,06 EUR
--** 013 – Softvér: 169 020,96 EUR
--** 518 – Ostatné služby (súvisiace s inštaláciou/nasadením softvéru a s dodaním dokumentácie): 251 366,10 EUR
--* Podporné aktivity: 29 427,10 EUR
--
--\\
--
--Projekt bude financovaný z Programu Slovensko:
--
--* špecifický cieľ RSO1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy,
--* opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie,
--* oblasť B. Kybernetická a informačná bezpečnosť.
--
--\\
--
--Projekt je v súlade s nasledovným typom aktivity**: Podpora včasnej detekcie a zvýšenie schopnosti reakcie na kybernetické bezpečnostné incidenty a na adaptáciu najmodernejších technológií, na zvýšenie odolnosti základných služieb pred kybernetickými hrozbami, vrátane podpory inovatívnych produktov a služieb až po úroveň TRL 9** s definovanou hlavnou aktivitou: **Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti**.
--
--\\
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2        Motivácia a rozsah projektu ==
--
--\\
--
--GPSR ako prevádzkovateľ základnej služby zapísanej v registri prevádzkovateľov základných služieb má povinnosti, ktoré vyplývajú zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti:
--
--1. organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,
--1. riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,
--1. personálnej bezpečnosti,
--1. riadenia prístupov,
--1. riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,
--1. bezpečnosti pri prevádzke informačných systémov a sietí,
--1. hodnotenia zraniteľností a bezpečnostných aktualizácií,
--1. ochrany proti škodlivému kódu,
--1. sieťovej a komunikačnej bezpečnosti,
--1. akvizície, vývoja a údržby informačných sietí a informačných systémov,
--1. zaznamenávania udalostí a monitorovania,
--1. fyzickej bezpečnosti a bezpečnosti prostredia,
--1. riešenia kybernetických bezpečnostných incidentov,
--1. kryptografických opatrení,
--1. kontinuity prevádzky,
--1. auditu, riadenia súladu a kontrolných činností.
--
--Tieto bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. GPSR je povinná preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu.
--
--V súlade s § 29 ZoKB prebiehal na GPSR v období od 6.9.2023 do 23.11.2023 audit kybernetickej bezpečnosti. Dňa 15.12.2023 bola GPSR odovzdaná finálna verzia záverečnej správy o výsledkoch auditu. V súlade s § 29 ods. 5 ZoKB GPSR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. Projektom budú financované oblasti, kde GPSR identifikovala najvyššiu mieru rizika a najvyššie dopady a kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami, vyplývajúce z vykonaného auditu kybernetickej bezpečnosti.
--
--\\
--
--Zároveň GPSR deklaruje, že **nemá** ku dňu predloženiu projektu a k podaniu ŽoNFP **zrealizované kompletne** **aktivity**. Konkrétne zistenia z auditu kybernetickej bezpečnosti v týchto oblastiach boli nasledovné:
--
--* Stratégia kybernetickej bezpečnosti: Bezpečnostná stratégia kybernetickej bezpečnosti na GPSR nie je prijatá a nebola predložená.
--* Bezpečnostné politiky kybernetickej bezpečnosti: Vydané bezpečnostné politiky nie sú upravené pre prostredie GPSR, implementované v praxi ani úplne z pohľadu požiadaviek zákona, chýbajú bezpečnostné politiky pre Riadenie vývoja a údržby, Pravidlá správania a dobrej praxe ako aj Riadenie súladu.
--* Inventarizácia aktív, klasifikácia informácií a kategorizácia sietí a informačných systémov: Nebol preukázaný centrálny proces riadenia aktív a kompletná evidencia informačných aktív, k nim prislúchajúcich komponentov a systémov. Klasifikácia informácií a kategorizácia sietí a informačných systémov nebola rozpracovaná na GPSR, ani implementovaná do praxe. V rámci evidencie sú zmiešané rôzne druhy aktív a realizácia ich klasifikácia a kategorizácie je nedostatočná.
--* Analýza rizík a analýza dopadov spolu, vrátane riadenia rizík: Proces riadenia rizík nie je zavedený, analýza rizík, analýza dopadov sa navykonáva, vlastníctvo rizík nie je určené.
--
--\\
--
--**Dotknutý IS VS**:
--
--* Projektom priamo nie sú ovplyvnené žiadne ISVS. Projekt zabezpečuje zvýšenie kybernetickej bezpečnosti v rámci organizácie.
--
--Dotknuté** úseky, agendy VS a životné situácie:**
--
--* Projekt zabezpečuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci organizácie, čím pokrýva kompletne všetky úseky, agendy a životné situácie realizované na GPSR.
--
--**Dotknuté prioritné osy v zmysle NKIVS:**
--
--* Prioritná os 4 – Kybernetická a informačná bezpečnosť
--
--**Dotknuté čiastkové ciele pre danú prioritnú os v zmysle NKIVS:**
--
--Prioritná os 4: Kybernetická a informačná bezpečnosť
--
--* Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe
--
--\\
--
--Projekt je vo vecnom súlade so Zlepšovaním technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy s oprávnenou hlavnou aktivitou Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti. Projektom budú adresované nasledovné merateľné ukazovatele projektu relevantné pre Program Slovensko:
--
--* PO095 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov:1
--* PR017 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov: 1 980
--
--Ukazovateľ PR017 uvádza počet všetkých zamestnancov GP SR, ktorí budú primárnou skupinou nových/vylepšených produktov a procesov realizovaných v rámci projektu.
--
--\\
--
--**Zainteresované osoby**
--
--* Fyzické osoby:
--** Občan
--** Zamestnanec GPSR
--
--* Právnické osoby
--** Podnikateľ
--** Generálna prokuratúra Slovenskej republiky
--** Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
--** Národný bezpečnostný úrad
--
--**Identifikované problémy súčasného stavu**
--
--Hlavným dôvodom realizácie projektu je nevyhovujúca úroveň kybernetickej bezpečnosti a potreba zavedenia nových opatrení definovaných legislatívou. Medzi hlavné identifikované problémy v oblasti bezpečnosti patria:
--
--* Nedostatočné pokrytie všetkých serverov pre riadenie privilegovaného prístupu všetkých používateľov.
--* Nedostatočný prehľad o pripájaných zariadeniach do siete GPSR vrátane krajských a okresných lokalít.
--* Nízka schopnosť organizácie identifikovať škodlivé aktivity a bezpečnostné incidenty, čím sa závažne zvyšuje rozsah dopadov;
--* Neaktuálne verzie kybernetických nástrojov (neplnia základné bezpečnostné funkcie, na čo boli určené).
--* Neaktuálna bezpečnostná dokumentácia na základe zistení z bezpečnostného auditu.
--
--**~ **
--
--**Hlavné ciele:**
--
--Hlavným cieľom projektu je **zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti** zavedením nových bezpečnostných opatrení:
--
--* Zvýšenie prijatých bezpečnostných opatrení v oblasti riadenia prístupov, sieťovej a komunikačnej bezpečnosti ako aj riešenie kybernetických bezpečnostných incidentov.
--* Zabezpečenie pravidelnej aktualizácie pre nové, ako aj už implementované bezpečnostné nástroje (bez pravidelnej aktualizácie neplnia základnú úlohu na čo boli určené napr. neaktuálna vírusová databáza).
--* Aktualizácia bezpečnostnej dokumentácie na základe zistení z vykonaného auditu bezpečnosti.
--
--[[image:attach:Motivation.png||width="700" align="center"]]
--
--(% style="text-align: center;" %)
--Obrázok 1: Model motivačnej architektúry
--
--**~ **
--
--**Aplikované princípy informatizácie VS (v zmysle NKIVS):**
--
--\\
--
--Princíp P6: Bezpečnosť
--
--* Optimálna úroveň bezpečnosti
--* Včasné riešenie bezpečnosti
--* Dostupnosť – odolnosť voči výpadkom
--
--**~ **
--
--**Rozsah projektu**
--
--**~ **
--
--(% class="wrapped" %)
--|(((
--**PARAMETER**
--)))|(((
--**POČETNOSŤ**
--
--**(za rok 2023)**
--)))
--|(((
--Celkový počet obyvateľov využívajúcich poskytované služby GPSR
--)))|(((
--5 424 687
--)))
--|(((
--Celkový počet spoločností využívajúcich poskytované služby GPSR
--)))|(((
--viac ako 500 000
--)))
--
--\\
--
--\\
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholderi"/}}3.3        Zainteresované strany/Stakeholderi ==
--
--\\
--
--(% class="wrapped" %)
--|(((
--**ID**
--)))|(((
--**AKTÉR / STAKEHOLDER**
--
--\\
--)))|(((
--**ROLA**
--
--(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. atď.)
--)))|(((
--**Informačný systém**
--
--(názov ISVS a MetaIS kód)
--)))
--|(((
--1.
--)))|(((
--Občan
--)))|(((
--Občan využívajúci služby GPSR
--)))|(% style="text-align: center;" %)(((
--N/A
--)))
--|(((
--2.
--)))|(((
--Podnikateľ
--)))|(((
--Podnikateľ využívajúci služby GPSR
--)))|(% style="text-align: center;" %)(((
--N/A
--)))
--|(((
--3.
--)))|(((
--Zamestnanec GPSR
--)))|(((
--Zamestnanec poskytujúci služby GPSR
--)))|(% style="text-align: center;" %)(((
--N/A
--)))
--|(((
--4.
--)))|(((
--Generálna prokuratúra Slovenskej republiky
--)))|(((
--Orgán štátnej správy, ktorý zodpovedá v rozsahu svojej pôsobnosti za zabezpečenie kybernetickej bezpečnosti tým, že prijíma a dodržiava vhodné a primerané bezpečnostné opatrenia.
--)))|(% style="text-align: center;" %)(((
--N/A
--)))
--|(((
--5.
--)))|(((
--Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
--)))|(((
--Ústredný orgán, ktorý zabezpečuje kybernetickú bezpečnosť.
--)))|(% style="text-align: center;" %)(((
--N/A
--)))
--|(((
--6.
--)))|(((
--Národný bezpečnostný úrad
--)))|(((
--Úrad zodpovedá za tvorbu a realizáciu štátnej politiky pre oblasti ochrany utajovaných skutočností, kybernetickej bezpečnosti, šifrovej služby a dôveryhodných služieb.
--)))|(% style="text-align: center;" %)(((
--N/A
--)))
--
--\\
--
--\\
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}3.4        Ciele projektu ==
--
--\\
--
--\\
--
--(% class="wrapped" %)
--|(((
--ID
--)))|(((
--\\
--
--\\
--
--Názov cieľa
--)))|(((
--Názov strategického cieľa
--)))|(((
--Spôsob realizácie strategického cieľa
--)))
--|(((
--1
--)))|(((
--Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti
--)))|(((
--Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe
--)))|(((
--Dodržanie legislatívnych požiadaviek, implementácia nových nástrojov
--)))
--
--**~ **
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-3.5Merateľnéukazovatele(KPI)"/}}3.5        Merateľné ukazovatele (KPI) ==
--
--\\
--
--(% class="wrapped" %)
--|(((
--ID
--)))|(((
--\\
--
--\\
--
--ID/Názov cieľa
--)))|(((
--Názov
--ukazovateľa (KPI)
--)))|(((
--Popis
--ukazovateľa
--)))|(((
--Merná jednotka
--\\
--)))|(((
--AS IS
--merateľné hodnoty
--(aktuálne)
--)))|(((
--TO BE
--Merateľné hodnoty
--(cieľové hodnoty)
--)))|(((
--Spôsob ich merania
--)))
--|(((
--1
--)))|(% rowspan="3" %)(((
--Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti
--)))|(((
--Zavedenie nových bezpečnostných opatrení v oblasti riadenia prístupov
--)))|(((
--Celkový pokrytý počet prevádzkovaných zariadení pre riadenie privilegovaných prístupov
--)))|(((
--ks
--)))|(((
--103
--)))|(((
--230
--)))|(((
--Overenie pokrytými licenciami
--)))
--|(((
--2
--)))|(((
--Zavedenie nových bezpečnostných opatrení v oblasti sieťovej a komunikačnej bezpečnosti
--)))|(((
--Celkový pokrytý počet zariadení pre overovanie prístupu zariadení
--)))|(((
--ks
--)))|(((
--0
--)))|(((
--2 300
--)))|(((
--Overenie pokrytými licenciami
--)))
--|(((
--3
--)))|(((
--Zavedenie nových bezpečnostných opatrení v oblasti kybernetických bezpečnostných incidentov
--)))|(((
--Celkový pokrytý počet koncových zariadení XDR riešením
--)))|(((
--ks
--)))|(((
--100
--)))|(((
--600
--)))|(((
--Overenie pokrytými licenciami
--)))
--
--\\
--
--\\
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-3.6Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.6        Špecifikácia potrieb koncového používateľa ==
--
--Projekt je zameraný na zvýšenie úrovne kybernetickej bezpečnosti v rámci celej GPSR. V rámci projektu nie sú budované ani upravované koncové služby, kde by vznikla potreba zisťovania potrieb koncového používateľa.
--
--\\
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-3.7Rizikáazávislosti"/}}3.7        Riziká a závislosti ==
--
--\\
--
--Riziká a závislostí sú spracované v Prílohe č. 1 – **Zoznam RIZÍK a ZÁVISLOSTÍ**.
--
--\\
--
--Zoznam rizík a závislostí reflektuje riziká v čase prípravno-iniciačnej fázy projektu.
--
--\\
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-3.8Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.8        Stanovenie alternatív v biznisovej vrstve architektúry ==
--
--\\
--
--Nižšie sa nachádzajú alternatívy, ktoré sú následne posudzované na základne kritérií v MCA.
--
--\\
--
--**Alternatívy riešenia**
--
--(% class="wrapped" %)
--|(((
--**Riešenie 1**
--)))|(((
--\\
--)))
--|(((
--Biznis alternatíva 1
--)))|(((
--Zachovanie súčasného stavu
--)))
--|(((
--Popis
--)))|(((
--Nebudú implementované žiadne zmeny súčasného stavu.
--)))
--|(((
--"Must have" kritériá pre
--
--aplikačnú vrstvu
--)))|(((
--N/A
--)))
--|(((
--"Nice to have" kritériá
--
--pre aplikačnú vrstvu
--)))|(((
--N/A
--)))
--|(((
--Alternatíva pre technologickú vrstvu
--)))|(((
--N/A
--)))
--
--\\
--
--(% class="wrapped" %)
--|(((
--**Riešenie 2**
--)))|(((
--\\
--)))
--|(((
--Biznis alternatíva 2
--)))|(((
--Aktualizácia bezpečnostnej dokumentácie na základe zistení z vykonaného auditu bezpečnosti
--)))
--|(((
--Popis
--)))|(((
--Alternatíva uvažuje s aktualizáciou vytvorenej bezpečnostnej dokumentácie na základe zistení z vykonaného auditu kybernetickej bezpečnosti v súlade s legislatívnymi požiadavkami vyhlášky č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
--)))
--|(((
--"Must have" kritériá pre
--
--aplikačnú vrstvu
--)))|(((
--Vzhľadom na to, že daná alternatíva nemá žiadny vplyv na aplikačnú vrstvu, neexistujú „Must have“ kritéria pre aplikačnú vrstvu.
--)))
--|(((
--"Nice to have" kritériá
--
--pre aplikačnú vrstvu
--)))|(((
--Vzhľadom na to, že daná alternatíva nemá žiadny vplyv na aplikačnú vrstvu, neexistujú „Nice to have“ kritéria pre aplikačnú vrstvu.
--)))
--|(((
--Alternatíva pre technologickú vrstvu
--)))|(((
--Vlastná infraštruktúra
--)))
--
--// //
--
--(% class="wrapped" %)
--|(((
--**Riešenie 3**
--)))|(((
--\\
--)))
--|(((
--Biznis alternatíva 3
--)))|(((
--Aktualizácia bezpečnostnej dokumentácie na základe zistení z vykonaného auditu bezpečnosti a optimálne zvýšenie úrovne kybernetickej a informačnej bezpečnosti
--)))
--|(((
--Popis
--)))|(((
--Alternatíva uvažuje s aktualizáciou vytvorenej bezpečnostnej dokumentácie na základe zistení z vykonaného auditu kybernetickej bezpečnosti v súlade s legislatívnymi požiadavkami vyhlášky č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
--
--Zároveň bude zvýšená úroveň kybernetickej a informačnej bezpečnosti v rezorte prokuratúry implementáciou nástrojov na riadenie PAM, NAC a XDR na vybrané zariadenia.
--)))
--|(((
--"Must have" kritériá pre
--
--aplikačnú vrstvu
--)))|(((
--V rámci existujúcich nástrojov na kybernetickú a informačnú bezpečnosť dôjde k rozšíreniu resp. k implementáciu nových nástrojov na:
--
--Implementácia nástroja na riadenie PAM
--
--Implementácia nástroja na riadenie NAC
--
--Implementácia nástroja na rozšírenú detekciu a reakciu XDR na vybrané zariadenia
--)))
--|(((
--"Nice to have" kritériá
--
--pre aplikačnú vrstvu
--)))|(((
--Alternatíva neuvažuje s Nice to have kritériami na aplikačnej vrstve.
--)))
--|(((
--Alternatíva pre technologickú vrstvu
--)))|(((
--Vlastná infraštruktúra
--)))
--
--// //
--
--(% class="wrapped" %)
--|(((
--**Riešenie 4**
--)))|(((
--\\
--)))
--|(((
--Biznis alternatíva 4
--)))|(((
--Aktualizácia bezpečnostnej dokumentácie na základe zistení z vykonaného auditu bezpečnosti a najvyššie zvýšenie úrovne kybernetickej a informačnej bezpečnosti
--)))
--|(((
--Popis
--)))|(((
--Alternatíva uvažuje s aktualizáciou vytvorenej bezpečnostnej dokumentácie na základe zistení z vykonaného auditu kybernetickej bezpečnosti v súlade s legislatívnymi požiadavkami vyhlášky č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
--
--Zároveň bude zvýšená úroveň kybernetickej a informačnej bezpečnosti v rezorte prokuratúry implementáciou nástrojov na riadenie PAM, NAC, XDR, SIEM, SOAR, Log management, NDR, Microsoft System Center, Dynatrace, EDR a ďalšie.
--)))
--|(((
--"Must have" kritériá pre
--
--aplikačnú vrstvu
--)))|(((
--V rámci existujúcich nástrojov na kybernetickú a informačnú bezpečnosť dôjde k rozšíreniu resp. k implementáciu nových nástrojov na:
--
--Implementácia nástroja na riadenie PAM
--
--Implementácia nástroja na riadenie NAC
--
--Implementácia nástroja na rozšírenú detekciu a reakciu XDR na všetky koncové zariadenia
--
--Implementácia nástroja SIEM
--
--Implementácia nástroja SOAR
--
--Implementácia nástroja Log management
--
--Implementácia nástroja Network detection and response
--
--Implementácia nástroja Microsoft System Center
--
--Implementácia nástroja Dynatrace
--
--Implementácia nástroja EDR
--)))
--|(((
--"Nice to have" kritériá
--
--pre aplikačnú vrstvu
--)))|(((
--Alternatíva neuvažuje s Nice to have kritériami na aplikačnej vrstve.
--)))
--|(((
--Alternatíva pre technologickú vrstvu
--)))|(((
--Vlastná infraštruktúra
--)))
--
--\\
--
--\\
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-3.9Multikriteriálnaanalýza"/}}3.9        Multikriteriálna analýza ==
--
--\\
--
--\\
--
--Definovanie MCA:
--
--(% class="wrapped" %)
--|(((
--**// //**
--)))|(((
--**KRITÉRIUM**
--)))|(((
--**Občan / Podnikateľ**
--)))|(((
--**GPSR**
--)))|(((
--**MIRRI/NBÚ**
--)))
--|(% rowspan="3" %)(((
--BIZNIS VRSTVA
--
--// //
--)))|(((
--Zabezpečenie zmien vyplývajúcich z legislatívy (KO)
--)))|(((
--\\
--)))|(((
--x
--)))|(((
--x
--)))
--|(((
--Zvýšenie úrovne kybernetickej a informačnej bezpečnosti (KO)
--)))|(((
--x
--)))|(((
--x
--)))|(((
--x
--)))
--|(((
--Dodržanie maximálnej výšky NFP (KO)
--)))|(((
--\\
--)))|(((
--x
--)))|(((
--\\
--)))
--
--Vyhodnotenie MCA
--
--(% class="wrapped" %)
--|(((
--**Zoznam kritérií**
--)))|(((
--**Alternatíva**
--
--**1**
--)))|(((
--**Spôsob**
--
--**dosiahnutia**
--)))
--|(((
--Zabezpečenie zmien vyplývajúcich z legislatívy (KO)
--)))|(((
--Nie
--)))|(((
--N/A
--)))
--|(((
--Zvýšenie úrovne kybernetickej a informačnej bezpečnosti (KO)
--)))|(((
--Nie
--)))|(((
--N/A
--)))
--|(((
--Dodržanie maximálnej výšky NFP (KO)
--)))|(((
--N/A
--)))|(((
--N/A
--)))
--
--\\
--
--(% class="wrapped" %)
--|(((
--**Zoznam kritérií**
--)))|(((
--**Alternatíva**
--
--**2**
--)))|(((
--**Spôsob**
--
--**dosiahnutia**
--)))
--|(((
--Zabezpečenie zmien vyplývajúcich z legislatívy (KO)
--)))|(((
--Áno
--)))|(((
--Projektom bude zabezpečená aktualizácia bezpečnostnej dokumentácie v súlade s požiadavkami legislatívy.
--)))
--|(((
--Zvýšenie úrovne kybernetickej a informačnej bezpečnosti (KO)
--)))|(((
--Nie
--)))|(((
--N/A
--)))
--|(((
--Dodržanie maximálnej výšky NFP (KO)
--)))|(((
--Áno
--)))|(((
--Aktualizácie bezpečnostnej dokumentácie v rozsahu svojich činností dodrží maximálnu výšku NFP stanovenú výzvou.
--)))
--
--\\
--
--(% class="wrapped" %)
--|(((
--**Zoznam kritérií**
--)))|(((
--**Alternatíva**
--
--**3**
--)))|(((
--**Spôsob**
--
--**dosiahnutia**
--)))
--|(((
--Zabezpečenie zmien vyplývajúcich z legislatívy (KO)
--)))|(((
--Áno
--)))|(((
--Projektom bude zabezpečená aktualizácia bezpečnostnej dokumentácie v súlade s požiadavkami legislatívy.
--)))
--|(((
--Zvýšenie úrovne kybernetickej a informačnej bezpečnosti (KO)
--)))|(((
--Áno
--)))|(((
--Projektom budú implementované resp. rozšírené nástroje na zvýšenie úrovne kybernetickej a informačnej bezpečnosti.
--)))
--|(((
--Dodržanie maximálnej výšky NFP (KO)
--)))|(((
--Áno
--)))|(((
--Výberom optimálnych nástrojov, kde GPSR identifikovala najvyššie dopady bezpečnostných incidentov dodrží maximálnu výšku NFP stanovenú výzvou.
--)))
--
--\\
--
--(% class="wrapped" %)
--|(((
--**Zoznam kritérií**
--)))|(((
--**Alternatíva**
--
--**4**
--)))|(((
--**Spôsob**
--
--**dosiahnutia**
--)))
--|(((
--Zabezpečenie zmien vyplývajúcich z legislatívy (KO)
--)))|(((
--Áno
--)))|(((
--Projektom bude zabezpečená aktualizácia bezpečnostnej dokumentácie v súlade s požiadavkami legislatívy.
--)))
--|(((
--Zvýšenie úrovne kybernetickej a informačnej bezpečnosti (KO)
--)))|(((
--Áno
--)))|(((
--Projektom budú implementované resp. rozšírené nástroje na zvýšenie úrovne kybernetickej a informačnej bezpečnosti.
--)))
--|(((
--Dodržanie maximálnej výšky NFP (KO)
--)))|(((
--Nie
--)))|(((
--Vzhľadom na rozsah implementovaných nástrojov a veľkosť organizácie rozpočet projektu nedodrží maximálnu výšku NFP stanovenú výzvou.
--)))
--
--\\
--
--V zmysle vyhodnotenia MCA bude ďalej riešená a posudzovaná biznis alternatíva č. 3: **Aktualizácia bezpečnostnej dokumentácie na základe zistení z vykonaného auditu bezpečnosti a optimálne zvýšenie úrovne kybernetickej a informačnej bezpečnosti**, ktorá spĺňa všetky stanovené kritéria, ktoré majú vplyv na projekt, ako aj celkové financovanie v súlade s výzvou č. PSK-MIRRI-611-2024-DV-EFRR.
--
--// //
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-3.10Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.10     Stanovenie alternatív v aplikačnej vrstve architektúry ==
--
--Na aplikačnej vrstve budú projektom riešené len aplikačné moduly/funkcionality, ktoré sú nevyhnutné pre dosiahnutie cieľov vybranej alternatívy č. 3.
--
--// //
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-3.11Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.11     Stanovenie alternatív v technologickej vrstve architektúry ==
--
--Alternatívy na úrovni technologickej architektúry reflektujú alternatívy vypracované na základe „nadradenej“ architektonickej aplikačnej vrstvy.
--
--\\
--
--Vzhľadom na to, že ide o implementáciu nástrojov na zvýšenie kybernetickej a informačnej bezpečnosti, je nutné tieto nástroje inštalovať, resp. implementovať v existujúcom technologickom prostredí a zariadeniach. Z tohto dôvodu je ekonomicky nevýhodné uvažovať s ďalšími alternatívami na technologickej vrstve architektúry.
--
--\\
--
--= {{id name="projekt_2521_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4.     POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU) =
--
--\\
--
--Pre implementované zmeny budú dodané nasledovné špecializované a manažérske produkty, ktoré budú kompletne pokrývať celý rozsah dodávky popísaný v biznis, aplikačnej a technologickej architektúre.
--
--\\
--
--Výstupy projektu
--
--(% class="wrapped" %)
--|(% colspan="2" %)(((
--**Realizačná fáza projektu**
--)))
--|(((
--**Hlavné aktivity**
--
--**~ **
--)))|(((
--**Špecializovaný produkt**
--)))
--|(((
--Nákup technických prostriedkov, programových prostriedkov a služieb
--)))|(((
--Obstaranie programových prostriedkov a služieb (R2-2)
--)))
--|(% colspan="2" %)(((
--**Dokončovacia fáza projektu**
--)))
--|(% colspan="2" %)(((
--**Manažérsky produkt**
--)))
--|(% colspan="2" %)(((
--M-02 Správa o dokončení projektu
--)))
--|(% colspan="2" %)(((
--M-02 Plán kontroly po odovzdaní projektu
--)))
--|(% colspan="2" %)(((
--M-02 Odporúčanie nadväzných krokov
--)))
--|(% colspan="2" %)(((
--M-02 Plán monitorovania a hodnotenia po odovzdaní projektu
--)))
--|(% colspan="2" %)(((
--**Služby projektového riadenia**
--)))
--|(% colspan="2" %)(((
--**Manažérsky produkt**
--)))
--|(% colspan="2" %)(((
--M-01 Plán etapy
--)))
--|(% colspan="2" %)(((
--M-02 Manažérske správy, plány, reporty, zoznamy a požiadavky
--)))
--|(% colspan="2" %)(((
--M-03 Akceptačný protokol
--)))
--|(% colspan="2" %)(((
--M-04 Audit kvality
--)))
--|(% colspan="2" %)(((
--M-05 Analýza nákladov a prínosov
--)))
--
--\\
--
--Predmetom dodaného výstupu Obstaranie programových prostriedkov a služieb (R2-2) musí byť:
--
--* Potrebné licencie na pokrytie zariadení pre jednotlivé implementované nástroje vrátane aktualizácie najmenej na 3 roky.
--* Služby súvisiace s návrhom, nasadením, migráciou a inštaláciou licencií na zariadenia v infraštruktúre GPSR.
--* Služby súvisiace s aktualizáciou, konfiguráciou parametrov serverov, sieťových a koncových zariadení v infraštruktúre GPSR.
--* Služby súvisiace s testovaním a ladením výkonnosti implementovaných nástrojov.
--* Dodanie a aktualizácia bezpečnostnej dokumentácie, projektového manažmentu a riadenia.
--
--\\
--
--= {{id name="projekt_2521_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5.     NÁHĽAD ARCHITEKTÚRY =
--
--\\
--
--Predmetom projektu je zvýšenie úrovne kybernetickej a informačnej bezpečnosti na GPSR. Kybernetická bezpečnosť je z pohľadu podnikovej architektúry prierezovou oblasťou a teda realizuje sa skrz všetky vrstvy architektúry.
--
--\\
--
--Na úrovni biznis vrstvy architektúry je to predovšetkým aktualizácia bezpečnostnej dokumentácie vrátane jej zavedenia do praxe:
--
--* Aktualizácia bezpečnostnej dokumentácie na základe zistení z realizovaného bezpečnostného auditu.
--* Vypracovanie bezpečnostnej stratégie kybernetickej bezpečnosti.
--* Vytvorenie bezpečnostných politík kybernetickej bezpečnosti.
--* Vykonanie inventarizácie aktív, klasifikácie informácií a kategorizácie sietí a informačných systémov.
--* Vykonanie analýzy rizík a analýzy dopadov vrátane riadenia rizík.
--
--\\
--
--Na úrovni aplikačnej a technologickej vrstve architektúry bude zabezpečené:
--
--* Zavedenie, implementácia alebo aktualizácia centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení.
--* Implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov.
--* Obstaranie služby monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov.
--* Implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.
--
--// //
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-5.1Prehľade-Governmentkomponentov"/}}5.1        Prehľad e-Government komponentov ==
--
--**__ __**
--
--Kapitola je spracovaná v dokumente I-03 Prístup k projektu.
--
--\\
--
--= {{id name="projekt_2521_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6.     LEGISLATÍVA =
--
--\\
--
--* Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.
--* Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
--* Vyhláška Národného bezpečnostného úradu č. 493/2022 Z. z o audite kybernetickej bezpečnosti.
--* Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.
--* Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.
--* Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
--* Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov.
--
--\\
--
--Realizácia projektu nepredpokladá legislatívne zmeny.
--
--= {{id name="projekt_2521_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7.     ROZPOČET A PRÍNOSY =
--
--\\
--
--V rámci ekonomickej analýzy je kladený dôraz predovšetkým na definovanie prínosov navrhovaného projektu a to ako kvalitatívnych, tak aj kvantitatívnych (finančné a ekonomické).
--
--\\
--
--**Kvantitatívne prínosy v rámci navrhovaného projektu sú:**
--
--* Zníženie nákladov súvisiacich s odstraňovaním preventívnych kybernetických incidentov.
--* Zníženie nákladov súvisiacich s odstraňovaním reaktívnych kybernetických incidentov.
--
--\\
--
--**Kvalitatívne prínosy v rámci navrhovaného projektu sú:**
--
--* Zníženie miery rizika vzniku kybernetického incidentu.
--* Zvýšenie miery súladu s platnou legislatívou.
--* Zvýšenie úrovne kybernetickej a informačnej bezpečnosti.
--* Zvýšenie detekcie kybernetických bezpečnostných incidentov.
--* Zvýšená spokojnosť a dôvera používateľov.
--
--= {{id name="projekt_2521_Projektovy_zamer_detailny-Parametrepreúčelyohodnoteniaprínosov"/}}Parametre pre účely ohodnotenia prínosov =
--
--**~ **
--
--Jednotlivé údaje sú z vybraných štatistických údajov, ak nie je uvedené inak – bližšie informácie k nižšie uvedeným parametrom a vysvetlenia k meraným procesom sú uvedené v CBA na záložke Faktory.
--
--\\
--
--Hrubý domáci produkt 2023: 122 156 200 000 €
--
--Priemerné ročné ekonomické škody kybernetických útokov v EÚ: 0,40% z HPD
--
--Štátny rozpočet 2023: 35 040 600 000 €
--
--Štátny rozpočet GPSR 2023: 128 200 000 €
--
--Pomer štátneho rozpočtu k HDP (Pomer štátneho rozpočtu k HDP rámcovo vyjadruje počet informačných systémov štátnej správy k počtu informačných systémov celkovo a teda aj nižší "attack surface"): 28,69%
--
--Priemerné ročné ekonomické škody kybernetických útokov vo verejnej správe: 140 162 400 €
--
--\\
--
--Počet preventívnych incidentov 2021: 1 375
--
--Počet reaktívnych incidentov 2021: 2 308
--
--Počet riešených incidentov 2021 (preventívne + reaktívne): 3 683
--
--Celkový počet incidentov 2021 (Prepočítaný celkový počet incidentov vo verejnej správe vzhľadom na odhad zachytených incidentov prostredníctvom štatistiky. Celkový počet incidentov vo verejnej správe je vyšší ako uvádza štatistika.): 9 208
--
--\\
--
--Počet preventívnych incidentov 2021 prepočítaný na GPSR podľa výšky štátneho rozpočtu: 5
--
--Počet reaktívnych incidentov 2021 prepočítaný na GPSR podľa výšky štátneho rozpočtu: 8
--
--Odhad detekcie incidentov v súčasnom stave: 40,00%
--
--Odhad detekcie incidentov v budúcom stave: 60,00%
--
--Priemerná spôsobená škoda incidentu vo verejnej správe: 15 223 €
--
--\\
--
--Podiel škôd, ktorým projekt zabráni pri preventívnych incidentoch: 50,00%
--
--Podiel škôd, ktorým projekt zabráni pri reaktívnych incidentoch: 10,00%
--
--\\
--
--\\
--
--**Opis rozpočtu projektu a detailný popis nákladov**
--
--\\
--
--\\
--
--Spôsob nacenenia rozpočtu projektu bol v súlade so zákonom č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov, ktorý v § 6 ustanovuje: „Predpokladaná hodnota zákazky sa určuje ako cena bez dane z pridanej hodnoty s cieľom ustanovenia postupu verejného obstarávania podľa finančných limitov. Verejný obstarávateľ a obstarávateľ určia predpokladanú hodnotu zákazky na základe údajov a informácií o zákazkách na rovnaký alebo porovnateľný predmet zákazky. Ak nemá verejný obstarávateľ alebo obstarávateľ údaje podľa druhej vety k dispozícii, určí predpokladanú hodnotu na základe údajov získaných prieskumom trhu s požadovaným plnením, prípravnou trhovou konzultáciou, použitím systému sledovania vývoja cien podľa § 13 ods. 2 písm. d) alebo na základe údajov získaných iným vhodným spôsobom. Predpokladaná hodnota zákazky je platná v čase odoslania oznámenia o vyhlásení verejného obstarávania alebo oznámenia použitého ako výzva na súťaž na uverejnenie; ak sa uverejnenie takého oznámenia nevyžaduje, predpokladaná hodnota je platná v čase začatia postupu zadávania zákazky“
--
--\\
--
--Pre účely výpočtu predpokladanej hodnoty zákazky bol uplatnený spôsob na základe údajov získaných prieskumom trhu výzvou/oslovením minimálne troch potenciálnych dodávateľov a ich následného predloženia cien alebo ponúk. Výsledkom cenového prieskumu je zistená priemerná cena s DPH za jednotlivé položky.
--
--\\
--
--Náklady projektu sú tvorené predovšetkým nakúpením softvérových nástrojov a ich implementáciou do prostredia GPSR:
--
--\\
--
--(% class="wrapped" %)
--|(((
--**Názov položky**
--)))|(((
--**Počet**
--)))|(((
--**Skupina nákladov**
--)))|(((
--**Cena celkom s DPH**
--)))
--|(((
--Aktualizácia bezpečnostnej dokumentácie
--
--Vytvorenie stratégie kybernetickej bezpečnosti
--
--Vytvorenie bezpečnostnej politiky kybernetickej bezpečnosti
--
--Vykonanie inventarizácie aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov
--
--Vykonanie analýzy rizík a analýzy dopadov spolu, vrátane riadenia rizík
--)))|(((
--1 komplet
--)))|(((
--518 – Ostatné služby
--)))|(((
--72 000,00 EUR
--)))
--|(((
--Licencie pre rozšírenie na celkový počet 230 serverov nástroja BeyondTrust Password Safe pre Manažment prístupu privilegovaných používateľov vrátane aktualizácie na 3Y
--)))|(((
--1 komplet
--)))|(((
--013 - Softvér
--)))|(((
--104 563,20 EUR
--)))
--|(((
--Služby spojené s implementáciou a nasadením nástroja na Manažment prístupu privilegovaných používateľov
--)))|(((
--\\
--
--1 komplet
--)))|(((
--518 – Ostatné služby
--)))|(((
--18 564,00 EUR
--)))
--|(((
--Licencie pre overenie prístupu zariadení do IT infraštruktúry nástroja Identity Services Engine na celkový počet 2 300 zariadení vrátane aktualizácie na 3Y
--)))|(((
--1 komplet
--)))|(((
--013 - Softvér
--)))|(((
--22 269,60 EUR
--)))
--|(((
--Služby spojené s implementáciou a nasadením overovania prístupu zariadení do IT infraštruktúry
--)))|(((
--1 komplet
--)))|(((
--518 – Ostatné služby
--)))|(((
--85 680,00 EUR
--)))
--|(((
--Licencie pre rozšírenie ESET PROTECT Enterprise pre ochranu celkovo 600 endpointov vrátane aktualizácie na 3Y
--)))|(((
--1 komplet
--)))|(((
--013 - Softvér
--)))|(((
--42 188,16 EUR
--)))
--|(((
--Migračné, implementačné a optimalizačné práce pre rozšírenie licencií ESET PROTECT Enterprise
--)))|(((
--1 komplet
--)))|(((
--518 – Ostatné služby
--)))|(((
--12 077,10 EUR
--)))
--|(((
--Technické školenie pre administrátorov na nástroj ESET Inspect v poslednej verzii v trvaní najmenej 2 školiacich dní.
--
--Technické školenie pre  administrátorov na nástroje ESET Protect v trvaní najmenej 1 školiaci deň.
--)))|(((
--1 komplet
--)))|(((
--518 – Ostatné služby
--)))|(((
--1 080,00 EUR
--)))
--|(((
--ESET služba monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov na obdobie 3 Y (nutná súčasť riešenia XDR pre správne fungovanie);
--)))|(((
--1 komplet
--)))|(((
--518 – Ostatné služby
--)))|(((
--61 965,00 EUR
--)))
--|(((
--Paušálna sadzba vo výške 7 % na nepriame výdavky podľa článku 54 písm. a) nariadenia o spoločných ustanoveniach
--)))|(((
--7%
--)))|(((
--907 - Paušálna sadzba
--)))|(((
--29 427,10 EUR
--)))
--|(((
--**Celková suma**
--)))|(((
--**~ **
--)))|(((
--**~ **
--)))|(((
--**449 814,16 EUR**
--)))
--
--\\
--
--Celkové náklady na vlastníctvo boli stanovené na základe Metodického pokynu k spracovaniu biznis case a cost benefit analýzy informačných technológií verejnej správy. Celkové náklady na implementáciu sú stanovené na sumu  449 814,16 EUR s DPH, ktoré sú vyčíslené  v druhom roku realizácie projektu T2. Podporné aktivity budú realizované v rozpočte projektu do maximálnej výšky 7%. Podporné aktivity budú využité maximálne do uvedeného rozpočtu na riadenie projektu a publicitu a informovanosť.
--
--(% style="text-align: center;" %)
--[[image:attach:TCO.png||align="center"]]Obrázok 2: Celkové náklady na vlastníctvo v budúcom stave
--
--\\
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-7.1Sumarizácianákladovaprínosov"/}}7.1        Sumarizácia nákladov a prínosov ==
--
--\\
--
--(% class="wrapped" %)
--|(((
--Náklady
--)))|(((
--449 814 €
--)))
--|(((
--**Všeobecný materiál**
--)))|(((
--\\
--)))
--|(((
--**IT - CAPEX**
--)))|(((
--169 021 €
--)))
--|(((
--Aplikácie
--)))|(((
--\\
--)))
--|(((
--SW
--)))|(((
--//169 021 €//
--)))
--|(((
--HW
--)))|(((
--\\
--)))
--|(((
--**IT - OPEX- prevádzka**
--)))|(((
--251 366 €
--)))
--|(((
--Aplikácie
--)))|(((
--\\
--)))
--|(((
--SW
--)))|(((
--//251 366 €//
--)))
--|(((
--HW
--)))|(((
--\\
--)))
--|(((
--Riadenie projektu
--)))|(((
--//29 427 €//
--)))
--|(((
--**Prínosy**
--)))|(((
--**613 723 €**
--)))
--|(((
--**Finančné prínosy**
--)))|(((
--\\
--)))
--|(((
--Administratívne poplatky
--)))|(((
--\\
--)))
--|(((
--Ostatné daňové a nedaňové príjmy
--)))|(((
--\\
--)))
--|(((
--**Ekonomické prínosy**
--)))|(((
--\\
--)))
--|(((
--Občania (€)
--)))|(((
--\\
--)))
--|(((
--Úradníci (€)
--)))|(((
--\\
--)))
--|(((
--Úradníci (FTE)
--)))|(((
--\\
--)))
--|(((
--**Kvalitatívne prínosy**
--)))|(((
--//613 723 €//
--)))
--
--\\
--
--Projekt je návratný v 8 roku od začatia poskytovania služieb (T8) s dosiahnutým šetrením na úrovni 613 723// // EUR za obdobie 10 rokov, ktoré sú počítané od tretieho roka od začatia realizácie.
--
--\\
--
--Návratnosť projektu (T): T8
--
--Pomer prínosov a nákladov (BCR): 1,1%
--
--Ekonomická vnútorná výnosová miera (EIRR): 12,2%
--
--Finančná čistá súčasná hodnota (FNPV): -433 645 EUR
--
--Ekonomická čistá súčasná hodnota (ENPV): 114 054 EUR
--
--\\
--
--Detailné informácie k TCO sú uvedené v samostatnej prílohe BC/CBA.
--
--\\
--
--= {{id name="projekt_2521_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}8.     HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =
--
--\\
--
--Časový harmonogram projektu je nastavený na 12 mesiacov a finálnym termínom dokončenia do 31.12.2025. Začiatok projektu je naplánovaný od 01/2025 a má byť ukončený najneskôr do 12/2025. Následne v rámci prevádzky bude prebiehať podpora prevádzky. Podporné aktivity budú zabezpečované počas celých 12 mesiacov od začiatku trvania projektu.
--
--// //
--
--(% class="wrapped" %)
--|(((
--**ID**
--)))|(((
--**FÁZA/AKTIVITA**
--)))|(((
--**ZAČIATOK**
--
--**(odhad termínu)**
--)))|(((
--**KONIEC**
--
--**(odhad termínu)**
--)))
--|(((
--**1.**
--)))|(((
--Prípravno - iniciačná fáza
--)))|(((
--04/2024
--)))|(((
--12/2024
--)))
--|(((
--**1a**
--)))|(((
--Realizácia verejného obstarávania
--)))|(((
--09/2024
--)))|(((
--11/2024
--)))
--|(((
--**1b**
--)))|(((
--Podpis zmluvy s dodávateľom
--)))|(((
--12/2024
--)))|(((
--12/2024
--)))
--|(((
--**2.**
--)))|(((
--Realizačná fáza
--)))|(((
--01/2025
--)))|(((
--12/2025
--)))
--|(((
--**2b**
--)))|(((
--Nákup technických prostriedkov, programových prostriedkov a služieb
--)))|(((
--01/2025
--)))|(((
--12/2025
--)))
--|(((
--**3.**
--)))|(((
--Dokončovacia fáza
--)))|(((
--12/2025
--)))|(((
--12/2025
--)))
--|(((
--**4.**
--)))|(((
--Podpora prevádzky (SLA)
--)))|(((
--01/2026
--)))|(((
--\\
--)))
--
--\\
--
--**~ **
--
--**Projekt bude realizovaný metódou Waterfall v súlade s **Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Waterfall prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu počas vývoja alebo realizácie projektu. Táto metóda je vhodná v projektoch, ktoré majú jasný cieľ a jasne definovateľný postup a rozdelenie prác. Realizácia projektu, vrátane implementácie a preberanie výstupov, bude prostredníctvom jedného inkrementu v súlade s vyššie definovanou vyhláškou.
--
--// [[image:attach:Riadenie.png||width="600" align="center"]]//
--
--(% style="text-align: center;" %)
--Obrázok 3: Príklad riadenia projektu
--
--\\
--
--= {{id name="projekt_2521_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9.     PROJEKTOVÝ TÍM =
--
--\\
--
--Zostavuje sa **Riadiaci výbor (ďalej len „RV“),** v minimálnom zložení:
--
--* Predseda RV
--* Biznis vlastník
--* Zástupca prevádzky
--* Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)
--* Projektový manažér objednávateľa (ďalej len „PM“)
--
--\\
--
--Určuje sa Projektový manažér verejného obstarávateľa (PM) a zostavuje sa Projektový tím v zložení:
--
--* Kľúčový používateľ,
--* Manažér kybernetickej a informačnej bezpečnosti.
--
--\\
--
--(% class="wrapped" %)
--|(((
--**ID**
--)))|(((
--**Meno a Priezvisko**
--)))|(((
--**Pozícia**
--)))|(((
--**Oddelenie**
--)))|(((
--**Rola v projekte**
--)))
--|(((
--**1.**
--)))|(((
--Bude definované
--)))|(((
--Bude definované
--)))|(((
--Bude definované
--)))|(((
--Kľúčový používateľ
--)))
--|(((
--**2.**
--)))|(((
--Mgr. Peter Kuna, PhD.,
--)))|(((
--Manažér kybernetickej a informačnej bezpečnosti
--)))|(((
--Manažér kybernetickej a informačnej bezpečnosti
--)))|(((
--Manažér kybernetickej a informačnej bezpečnosti
--)))
--
--[[image:attach:Org_struk.png||width="600" align="center"]]
--
--(% style="text-align: center;" %)
--Obrázok 4: Vzor organizačnej štruktúry
--
--\\
--
--== {{id name="projekt_2521_Projektovy_zamer_detailny-9.1PRACOVNÉNÁPLNE"/}}9.1         PRACOVNÉ NÁPLNE ==
--
--\\
--
--RV je riadiaci orgán projektu, ktorý zodpovedá najmä za splnenie stanovených cieľov projektu, rozhoduje o zmenách, ktoré majú zásadný význam a prejavujú sa hlavne dopadom na časový harmonogram a finančné prostriedky projektu. Reprezentuje najvyššiu akceptačnú autoritu projektu. Rokovací poriadok a štatút Riadiaceho výboru projektu upravuje najmä úlohy, zloženie a pôsobnosť RV, ako aj práva a povinnosti členov RV pri riadení a realizácii predmetného projektu.
--
--Projektový manažér riadi projekt, kvalitu a riziká projektu a zabezpečuje plnenie úloh uložených RV. Členovia projektového tímu zabezpečujú plnenie úloh uložených projektovým manažérom, alebo RV.
--
--Ďalšie povinnosti členov RV, projektového manažéra a členov projektového tímu sú uvedené vo Vyhláške č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy a v doplňujúcich vzoroch a šablónach zverejnených na webovom sídle MIRRI SR. Podrobné pracovné náplne, povinnosti projektového tímu a ich zodpovednosti budú predmetom menovacích dekrétov.
--
--Projektový manažér
--
--* Zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.
--* Zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.
--* Zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.
--
--\\
--
--Kľúčový používateľ
--
--* Zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.
--* Zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.
--* Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov.
--
--\\
--
--Manažér kybernetickej a informačnej bezpečnosti
--
--\\
--
--* Zodpovedá za dodržanie princípov a štandardov na kybernetickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.
--* Koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti.
--
--\\
--
--= {{id name="projekt_2521_Projektovy_zamer_detailny-10.ODKAZY"/}}10. ODKAZY =
--
--\\
--
--N/A
--
--\\
--
--= {{id name="projekt_2521_Projektovy_zamer_detailny-11.PRÍLOHY"/}}11. PRÍLOHY =
--
--\\
--
--**Príloha : **Zoznam rizík a závislostí (Excel)
--
--\\
--
--Koniec dokumentu
--
--\\

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--155321390
++155321389

Zmeny dokumentu projekt_2521_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?