Zmeny dokumentu projekt_2721_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/07 10:13

From 4.1 to 3.1

Z verzie 9.1

upravil Admin-metais MetaIS
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 4.1

upravil michal_krupa1
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (3 modified, 0 added, 0 removed)
Prílohy (0 modified, 0 added, 6 removed)
Objekty (1 modified, 0 added, 0 removed)
- Confluence.Code.ConfluencePageClass[0]

Podrobnosti

Vlastnosti stránky

Nadradený

...	...	@@ -1,1 +1,0 @@
1		-Dokumenty.projekt_2721.WebHome

Autor dokumentu

@@ -1,1 +1,1 @@
--XWiki.metais@vicepremier\.gov\.sk
++projdoc:XWiki.michal_krupa1

Obsah

@@ -1,5 +1,6 @@
  **[[image:attach:image-2024-6-17_18-23-23.png||thumbnail="true" width="238"]]                                                             [[image:attach:image-2024-6-17_18-23-42.png||thumbnail="true" width="60"]]**
++\\
  **PROJEKTOVÝ ZÁMER**
@@ -7,6 +7,7 @@
  **podľa vyhlášky MIRRI č. 401/2023 Z. z.**
++\\
  (% class="wrapped" %)
  |(((
@@ -66,7 +66,7 @@
  )))|(((
 .6.2024
  )))|(((
--
++\\
  )))
  **~ **
@@ -99,12 +99,15 @@
  V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.
++\\
  Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky má obsahovať manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.
++\\
  == {{id name="projekt_2721_Projektovy_zamer_detailny-2.1Použitéskratkyapojmy"/}}2.1        Použité skratky a pojmy ==
++\\
  (% class="wrapped" %)
  |(((
@@ -218,9 +218,11 @@
  Verejná správa
  )))
++\\
  == {{id name="projekt_2721_Projektovy_zamer_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}2.2        Konvencie pre typy požiadaviek (príklady) ==
++\\
  **Funkcionálne (používateľské) požiadavky **majú nasledovnú konvenciu:
@@ -244,6 +244,7 @@
  = {{id name="projekt_2721_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3.    DEFINOVANIE PROJEKTU =
++\\
  == {{id name="projekt_2721_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}3.1        Manažérske zhrnutie ==
@@ -262,6 +262,7 @@
 . Nedostatočné povedomie u zamestnancov o kybernetických hrozbách a možných dopadoch kybernetických bezpečnostných incidentov;
 . Rýchly vývoj v oblasti kybernetických hrozieb a reaktívne správanie sa subjektov na tieto hrozby.
++\\
  Jednotlivé subjekty verejnej správy a samosprávy ako jej súčasti si sami zodpovedajú za zabezpečenie primeranej úrovne informačnej a kybernetickej bezpečnosti podľa platnej legislatívy a sú povinné na tieto účely prijímať opatrenia v rámci interných preventívnych činností. Zabezpečenie funkčného bezpečnostného monitoringu je v zodpovednosti každého prevádzkovateľa osobitne, a to až na úroveň interných sietí, serverov, služieb informačných systémov a samotných používateľov. Primárnym cieľom zlepšovania úrovne kybernetickej bezpečnosti je priblížiť sa stavu, v ktorom sú siete a informačné systémy schopné odolávať kybernetickým hrozbám na primeranom stupni spoľahlivosti. Mesto napriek svojim výrazným odborným a finančným limitom je samo zodpovedné za definovanie vlastnej úrovne informačnej a kybernetickej bezpečnosti. Zároveň zavedenie kvalitných bezpečnostných procesov a technológií si vyžaduje významné personálne a časové nároky.
@@ -273,12 +273,15 @@
 ) súlad s definovanými typmi oprávnených aktivít v rámci výzvy.
++\\
  Aktivita Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti k splneniu KPI „PO095 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov“ v počte 1 a „PR017 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov“ v počte 50 tým, že sa implementuje do prostredia mesta Veľký Krtíš riešenie  v oblasti, sieťovej a komunikačnej bezpečnosti, kontinuity prevádzky, sieťovej a komunikačnej bezpečnosti, bezpečnosti pri prevádzke informačných systémov a sietí, zaznamenávaní udalostí a monitorovaní, riešení kybernetických bezpečnostných incidentov, hodnotení zraniteľností a bezpečnostné aktualizácie, ochrane proti škodlivému kódu.
++\\
  == {{id name="projekt_2721_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2        Motivácia a rozsah projektu ==
++\\
  **Realizované aktivity z množiny oprávnených aktivít výzvy:**
@@ -289,78 +289,55 @@
 . vykonanú inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,
 . realizovanú analýzu rizík a analýzu dopadov spolu, vrátane riadenia rizík.
++\\
  Mesto Veľký Krtíš má vypracovaný dokument bezpečnostnej politiky kybernetickej bezpečnosti, ktorý však nepredstavuje ucelenú a systematicky aktualizovanú koncepciu. V zmysle samohodnotenia prevádzkovateľa základnej služby (mesta) vykonanej interným manažérom kybernetickej bezpečnosti bola konštatovaná vzájomne aktívna komunikácia a prístup medzi manažérom KB a štatutárom obce, no s výsledkom čiastočne naplnenej stratégie KB a jej cieľov.
++\\
  **Realizované podaktivity z množiny oprávnených podaktivít výzvy:**
--Organizácia kybernetickej a informačnej bezpečnosti
--
--1.
++1. Organizácia kybernetickej a informačnej bezpečnosti
 . Vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení;
 . vypracovanie bezpečnostného projektu informačného systému verejnej správy;
--
--Riadenie rizík
--
--1.
++1. Riadenie rizík
 . Identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu;
 . Riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení;
++1. Riadenie prístupov
++1. zavedenie, implementácia alebo aktualizácia centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení;
++1. Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami
++1. Vypracovanie analýzy rizík tretích strán a celého dodávateľského reťazca, vrátane analýzy politických rizík;
++1. Analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou;
++1. Vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu s návrhom potrebných úprav na zabezpečenie súladu so zákonom KB;
++1. Vypracovanie a implementácia interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.
++1. Bezpečnosť pri prevádzke informačných systémov a sietí
++1. implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení;
++1. Obstaranie služieb pre potreby správy prevádzkovej zálohy, kópie archivačnej zálohy a kópie inštalačných médií, vrátane určenia spôsobu ich ukladania, testov funkcionality dátových nosičov, testov obnovy, fyzického uloženia druhej kópie archivačnej zálohy v inom objekte a minimalizovania rizika poškodenia alebo zničenia dátových nosičov archivačných záloh vplyvom prírodných živlov alebo havárie;
++1. obstaranie služieb pre potreby správy prevádzkovej zálohy, kópie archivačnej zálohy a kópie inštalačných médií, vrátane určenia spôsobu ich ukladania, testov funkcionality dátových nosičov, testov obnovy, fyzického uloženia druhej kópie archivačnej zálohy v inom objekte a minimalizovania rizika poškodenia alebo zničenia dátových nosičov archivačných záloh vplyvom prírodných živlov alebo havárie.
++1. Hodnotenie zraniteľností a bezpečnostné aktualizácie
++1. Implementácia nepretržitého sledovania známych zraniteľností na serveroch a koncových staniciach
++1. Ochrana proti škodlivému kódu
++1. Vypracovanie interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu;
++1. Implementácia centralizovaného systému riešenia ochrany pred škodlivým kódom s pravidelným monitorovaním vrátane detekcie inštalácie nelegálneho obsahu alebo škodlivého softvéru prostredníctvom automatizovaných nástrojov;
++1. Sieťová a komunikačná bezpečnosť
++1. Zavedenie bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a vzdialený prístup, napríklad implementáciou dvojfaktorovej autentizácie alebo kryptografických prostriedkov;
++1. Realizácia/aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie;
++1. Implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov.
++1. Zaznamenávanie udalostí a monitorovanie
++1. Implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov;
++1. Kryptografické opatrenia
++1. Implementácia opatrení za účelom zabezpečenia autenticity a integrity súborov;
++1. Kontinuita prevádzky
++1. Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu;
++1. Vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;
++1. Vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
++1. Implementácia systému zálohovania;
++1. Audit, riadenie súladu a kontrolné činností.
++11. Obstaranie prvého alebo opakovaného auditu kybernetickej bezpečnosti v súlade so zákonom o KB;
++1. Obstaranie externých testov zraniteľností, penetračných testov a pod.
--Riadenie prístupov
++\\
--* zavedenie, implementácia alebo aktualizácia centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení;
--
--Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami
--
--* Vypracovanie analýzy rizík tretích strán a celého dodávateľského reťazca, vrátane analýzy politických rizík;
--* Analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou;
--* Vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu s návrhom potrebných úprav na zabezpečenie súladu so zákonom KB;
--* Vypracovanie a implementácia interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.
--
--Bezpečnosť pri prevádzke informačných systémov a sietí
--
--* implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení;
--* Obstaranie služieb pre potreby správy prevádzkovej zálohy, kópie archivačnej zálohy a kópie inštalačných médií, vrátane určenia spôsobu ich ukladania, testov funkcionality dátových nosičov, testov obnovy, fyzického uloženia druhej kópie archivačnej zálohy v inom objekte a minimalizovania rizika poškodenia alebo zničenia dátových nosičov archivačných záloh vplyvom prírodných živlov alebo havárie;
--* Obstaranie služieb pre potreby správy prevádzkovej zálohy, kópie archivačnej zálohy a kópie inštalačných médií, vrátane určenia spôsobu ich ukladania, testov funkcionality dátových nosičov, testov obnovy, fyzického uloženia druhej kópie archivačnej zálohy v inom objekte a minimalizovania rizika poškodenia alebo zničenia dátových nosičov archivačných záloh vplyvom prírodných živlov alebo havárie.
--
--Hodnotenie zraniteľností a bezpečnostné aktualizácie
--
--* Implementácia nepretržitého sledovania známych zraniteľností na serveroch a koncových staniciach
--
--Ochrana proti škodlivému kódu
--
--* Vypracovanie interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu;
--* Implementácia centralizovaného systému riešenia ochrany pred škodlivým kódom s pravidelným monitorovaním vrátane detekcie inštalácie nelegálneho obsahu alebo škodlivého softvéru prostredníctvom automatizovaných nástrojov;
--
--Sieťová a komunikačná bezpečnosť
--
--* Zavedenie bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a vzdialený prístup, napríklad implementáciou dvojfaktorovej autentizácie alebo kryptografických prostriedkov;
--* Realizácia/aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie;
--* Implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov.
--
--Zaznamenávanie udalostí a monitorovanie
--
--* Implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov;
--
--Kryptografické opatrenia
--
--* Implementácia opatrení za účelom zabezpečenia autenticity a integrity súborov;
--
--Kontinuita prevádzky
--
--* Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu;
--* Vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;
--* Vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
--* Implementácia systému zálohovania;
--
--Audit, riadenie súladu a kontrolné činností.
--
--*
--*1. Obstaranie prvého alebo opakovaného auditu kybernetickej bezpečnosti v súlade so zákonom o KB;
--* Obstaranie externých testov zraniteľností, penetračných testov a pod.
--
--
  (% class="wrapped" %)
  |(((
  **P.č.**
@@ -426,6 +426,7 @@
  -        Audit a kontrolné činnosti
++\\
  Ceny jednotlivých výdavkov premietnutých do rozpočtu boli získané na základe prieskumov trhu.
  )))
@@ -445,6 +445,7 @@
  §24 ods. 2 písm. e) – kategória: I,
  )))
++\\
  (% class="wrapped" %)
  |(((
@@ -505,7 +505,9 @@
  V prípade nefunkčnosti budú zasiahnutí zamestnanci obce, občania a podnikateľské subjekty, či iné organizácie. Incident môže spôsobiť hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 250 000 eur, či narušenie verejného poriadku, alebo verejnej bezpečnosti vo významnej časti okresu.
  )))
++\\
++\\
  == {{id name="projekt_2721_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholderi"/}}3.3        Zainteresované strany/Stakeholderi ==
@@ -547,7 +547,7 @@
  )))|(((
  Konzument elektronických služieb
  )))|(((
--
++\\
  )))
  |(((
 .
@@ -558,7 +558,7 @@
  )))|(((
  Spracovateľ elektronických služieb
  )))|(((
--
++\\
  )))
  |(((
 .
@@ -572,17 +572,21 @@
  ISVS a infraštruktúra
  )))
++\\
++\\
  == {{id name="projekt_2721_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}3.4        Ciele projektu ==
++\\
  (% class="wrapped" %)
  |(((
  ID
  )))|(((
--
++\\
++\\
  Názov cieľa
  )))|(((
@@ -606,13 +606,15 @@
  Žiadateľ je povinný stanoviť cieľové hodnoty merateľných ukazovateľov projektu pre každú vybranú hlavnú aktivitu projektu, špecifický cieľ a kategóriu regiónu osobitne v závislosti od výberu príkladov oprávnených hlavných aktivít projektu.
++\\
  (% class="wrapped" %)
  |(((
  ID
  )))|(((
--
++\\
++\\
  ID/Názov cieľa
  )))|(((
@@ -623,13 +623,13 @@
  ukazovateľa
  )))|(((
  Merná jednotka
--
++\\
  )))|(((
  AS IS
  merateľné hodnoty
  (aktuálne)
  )))|(((
--TO BE
++TO BE
  Merateľné hodnoty
  (cieľové hodnoty)
  )))|(((
@@ -652,6 +652,7 @@
  )))|(((
  )))|(((
++
  Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS
  )))|(((
  ...
@@ -682,7 +682,9 @@
  PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov
  )))
++\\
++\\
  == {{id name="projekt_2721_Projektovy_zamer_detailny-3.6Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.6        Špecifikácia potrieb koncového používateľa ==
@@ -692,12 +692,15 @@
  == {{id name="projekt_2721_Projektovy_zamer_detailny-3.7Rizikáazávislosti"/}}3.7        Riziká a závislosti ==
++\\
  Riziká a závislostí sú spracované v Prílohe č. 1 – Zoznam RIZÍK a ZÁVISLOSTI.
++\\
  == {{id name="projekt_2721_Projektovy_zamer_detailny-3.8Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.8        Stanovenie alternatív v biznisovej vrstve architektúry ==
++\\
  V rámci biznisovej vrstvy architektúry sme porovnávali 3 variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené tri rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 2, taká, kt. pokrýva procesy a požiadavky všetkých stakeholderov a k oblasti kybernetickej bezpečnosti v meste Veľký Krtíš pristupuje v takej granularite, ktorá zodpovedá hodnote chránených aktív.
@@ -707,18 +707,23 @@
  Alternatíva 1 spočíva v tom, že by neboli prijaté žiadne zmeny v oblasti monitoringu, spracovania a vyhodnocovania údajov z pohľadu kybernetickej bezpečnosti a realizácie preventívnych opatrení. V súčasnom stave by to znamenalo nedostatočné poznanie komunikácie v infraštruktúrnom prostredí obce, kumulovanie rizika vzniku bezpečnostného incidentu, tvorbu investičného dlhu na IKT a ohrozenie budúcej funkčnosti správy veci verejných v obci či poskytovania služieb občanom.
++\\
  Alternatíva 2 spočíva v simultánnom nasadení viacerých softvérových a hardvérových nástrojov na plošné zvýšenie úrovne kybernetickej bezpečnosti v krátkodobom časovom horizonte. Nakoľko je softvérové, hardvérové a infraštruktúrne prostredie z hľadiska KB bezpečné len do takej miery, do akej je zabezpečená jeho najzraniteľnejšia časť, považujeme centrálne plánovaný a komplexný prístup za najefektívnejší ako na biznis, aplikačnej aj technologickej vrstve.
++\\
  Alternatíva 3 spočíva v tom, že by nedošlo k zásadným zmenám v oblasti zberu, spracovania a vyhodnocovania bezpečnostných údajov a v oblasti preventívnych opatrení, rýchlosti detekcie a riešenia incidentov. Avšak jednotlivé riešenia, nástroje a technológie by boli budované postupne a agendy v oblasti KB a jednotlivé oblasti by boli zefektívňované postupnými krokmi, viacerými projektami rozloženými v čase.
++\\
  == {{id name="projekt_2721_Projektovy_zamer_detailny-3.9Multikriteriálnaanalýza"/}}3.9        Multikriteriálna analýza ==
++\\
  Výber alternatív prebieha prostredníctvom MCA zostavenej na základe kapitoly Motivácia a rozsah projektu, ktorá obsahuje ciele stakeholderov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov. Niektoré (nie všetky) kritériá, môžu byť označené ako KO kritériá. KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania. KO kritériá nesmú byť technologické (preferovať jednu formu technologickej implementácie voči druhej)
++\\
  Spracovanie MCA
@@ -757,12 +757,13 @@
  )))|(((
  X
  )))|(((
--
++\\
  )))|(((
--
++\\
  )))|(((
--
++\\
++\\
  X
  )))
@@ -775,12 +775,13 @@
  )))|(((
  X
  )))|(((
--
++\\
  )))|(((
--
++\\
  )))|(((
--
++\\
++\\
  X
  )))
@@ -793,12 +793,13 @@
  )))|(((
  X
  )))|(((
--
++\\
  )))|(((
--
++\\
  )))|(((
--
++\\
++\\
  X
  )))
@@ -809,18 +809,20 @@
  )))|(((
  Implementácia projektu bez narušenia poskytovania elektronických služieb.
  )))|(((
--
++\\
  )))|(((
  X
  )))|(((
  X
  )))|(((
--
++\\
++\\
  X
  )))
++\\
  Vyhodnotenie MCA
@@ -909,25 +909,31 @@
  Vzhľadom na rizikový harmonogram vyplývajúci z povahy alternatívy nemožno výpadok služieb vylúčiť.
  )))
++\\
  // //
  == {{id name="projekt_2721_Projektovy_zamer_detailny-3.10Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.10     Stanovenie alternatív v aplikačnej vrstve architektúry ==
++\\
  Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry. Ako najvýhodnejšiu z danej analýzy považujeme Alternatívu 2. Výber Aplikačnej architektúry reflektuje výber nadradenej biznis architektúry.
++\\
  == {{id name="projekt_2721_Projektovy_zamer_detailny-3.11Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.11     Stanovenie alternatív v technologickej vrstve architektúry ==
++\\
  Výber alternatívy na úrovni technologickej a bezpečnostnej vrstvy architektúry kopíruje výber alternatívy č. 2 na základe MCA. Riešenie predstavuje minimálny rozsah technologického a softvérového zlepšenia prostredia pre splnenie predpokladov kybernetického auditu a zabezpečenie dostatočnej ochrany prostredia s ohľadom na hodnotu chránených aktív.
  = {{id name="projekt_2721_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4.    POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU) =
++\\
  Dokumenty a metodické materiály vytvorené v oblasti bezpečnosti informačných technológií verejnej správy pre minimálne bezpečnostné opatrenia kategórie II. v súlade so Zákonom č. 95/2019 Z. z. o ITVS a zároveň so Zákonom č. 69/2018 Z. z. o KB a prislúchajúcich vyhlášok. Rozvetvené okruhy zákonmi požadovaných dokumentácií:
++\\
  Oblasť organizácia kybernetickej bezpečnosti:
@@ -935,6 +935,7 @@
  * Smernica - Bezpečnostná politika kybernetickej bezpečnosti a informačnej bezpečnosti redukovaná, TYP B (tzv. veľká politika, analytický vstup pre danú kategóriu), (Klasifikačný stupeň Interné),
  * Štatút bezpečnostného výboru, rokovací poriadok.
++\\
  Oblasť aktíva:
@@ -941,6 +941,7 @@
  * Smernica pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov, 5 príloh (Klasifikačný stupeň Interné),
  * Metodika pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov (Klasifikačný stupeň Interné).
++\\
  Oblasť incidenty:
@@ -947,6 +947,7 @@
  * Smernica - Riešenie bezpečnostných incidentov, 2 prílohy (Klasifikačný stupeň Interné),
  * Metodika - Riešenie bezpečnostných incidentov (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení zamestnanci pre riešenie bezpečnostných incidentov (vybraní administrátori, bezpečnostní špecialisti, audit, poverené ext. subjekty pre riešenie KBI).
++\\
  Oblasť Riadenie bezpečnosti prevádzky IS a IT, riadenie bezpečnosti sietí
@@ -956,6 +956,7 @@
  * Smernica správa a prevádzka informačných systémov a služieb, 2 prílohy redukovaná, TYP B (pohľad administrátora, Klasifikačný stupeň Interné),
  * Smernica pre riadenie zmien (Klasifikačný stupeň Interné).
++\\
  Oblasť tretie strany:
@@ -963,6 +963,7 @@
  * Smernica požiadavky pre tretie strany (smernica pre dodávateľov a zamestnancov zazmluvnených tretích strán, táto Smernica sa po úprave – spresnení požiadaviek na bezpečnosť oboma zmluvnými stranami - špecifikuje ako príloha ku Zmluve o zabezpečení plnenia bezpečnostných opatrení, Klasifikačný stupeň Interné),
  * Vzor zmluvy pre tretie strany podľa ZoKB Zmluva o zabezpečení plnenia bezpečnostných opatrení (táto zmluva buď nie je predmetom zverejnenia na CRZ, alebo jej príloha/prílohy týkajúce sa špecifických bezpečnostných opatrení (napr. vychádzajúcich z metodiky pre riadenie cloudových služieb, metodiky pre SSDLC, resp. smernice Požiadavky pre tretie strany (viď. vyššie)) sa nezverejňuje.
++\\
  Oblasť riadenie rizík:
@@ -970,6 +970,7 @@
  * Metodika Riadenie bezpečnostných rizík (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
  * Metodika Riadenie bezpečnostných rizík tretích strán (Klasifikačný stupeň Chránené, okruh oprávnených osôb), riadenie bezpečnostných rizík tretích strán, dotazník pre tretie strany (Klasifikačný stupeň Chránené, okruh oprávnených osôb).
++\\
  Oblasť špecifické (riadenie súladu a audit):
@@ -976,11 +976,13 @@
  * Smernica - Riadenie súladu a audit (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
  * Audit checklist redukovaný, TYP B (Kontrolné checklisty pre jednotlivé prípady, s ktorými sa pracuje pri vyhodnocovaní plnenia bezpečnostných opatrení – či už v rámci prostredia verejného obstarávateľa, alebo vyhodnocovania plnenia požiadaviek tretími stranami a pod., Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, zamestnanci OIT, BEZP Výbor, Poverení riadiaci zamestnanci).
++\\
  = {{id name="projekt_2721_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5.    NÁHĽAD ARCHITEKTÚRY =
  Služby a funkcie uvedené v tejto kapitole poskytujú z dôvodu, že sa jedná o projekt kybernetickej bezpečnosti len základné informácie a základný architektonický rámec riešenia, ktoré by malo byť implementované projektom. Budúce riešenie zabezpečenia informačnej a kybernetickej bezpečnosti sa bude skladať najmä z nasledovných funkcií a realizovaných činností:
++\\
  **Organizácia kybernetickej a informačnej bezpečnosti**
@@ -1046,6 +1046,7 @@
  * Vykonanie certifikovaného auditu kybernetickej bezpečnosti.
  * Vykonanie testov zraniteľností verejných IP adries a aj interných systémov. Vypracovanie výslednej správy s ohodnotením nájdených zraniteľností a s návrhom nápavy jednotlivých zraniteľností.
++\\
  Náhľad aplikačnej to be vrstvy architektúry
@@ -1055,6 +1055,7 @@
  [[image:attach:image-2024-6-17_18-26-39.png||width="632"]]
++\\
  Náhľad topológie siete
@@ -1091,7 +1091,7 @@
  )))|(((
  Ekonomický a administratívny chod inštitúcie
  )))|(((
--
++\\
  )))
  |(((
  isvs_14350
@@ -1104,7 +1104,7 @@
  )))|(((
    Agendový
  )))|(((
--
++\\
  )))
  |(((
  Isvs_14352
@@ -1117,7 +1117,7 @@
  )))|(((
  Ekonomický a administratívny chod inštitúcie
  )))|(((
--
++\\
  )))
  |(((
  isvs_14354
@@ -1130,7 +1130,7 @@
  )))|(((
    Prezentačný
  )))|(((
--
++\\
  )))
  |(((
  isvs_12783
@@ -1143,7 +1143,7 @@
  )))|(((
    Prezentačný
  )))|(((
--
++\\
  )))
  |(((
  Isvs_14355
@@ -1156,7 +1156,7 @@
  )))|(((
    Agendový
  )))|(((
--
++\\
  )))
  |(((
  Isvs_14356
@@ -1169,7 +1169,7 @@
  )))|(((
    Agendový
  )))|(((
--
++\\
  )))
  |(((
  Isvs_14357
@@ -1182,7 +1182,7 @@
  )))|(((
    Ekonomický a administratívny chod inštitúcie
  )))|(((
--
++\\
  )))
  |(((
  isvs_14358
@@ -1195,7 +1195,7 @@
  )))|(((
    Ekonomický a administratívny chod inštitúcie
  )))|(((
--
++\\
  )))
  |(((
  isvs_14359
@@ -1208,7 +1208,7 @@
  )))|(((
    Agendový
  )))|(((
--
++\\
  )))
  |(((
  isvs_14360
@@ -1221,7 +1221,7 @@
  )))|(((
  Ekonomický a administratívny chod inštitúcie
  )))|(((
--
++\\
  )))
  // //
@@ -1232,37 +1232,45 @@
  Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na koncové služby.
++\\
  === {{id name="projekt_2721_Projektovy_zamer_detailny-5.1.2Prehľadbudovaných/rozvíjanýchISVSvprojekte–budúcistav:"/}}5.1.2        Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ===
  Vzhľadom na charakter a rozsah projektu nebudú budované ani rozvíjané informačné systémy ako také. Budú nepriamo rozvíjané implementáciou licenčných riešení s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.
++\\
  === {{id name="projekt_2721_Projektovy_zamer_detailny-5.1.3Prehľadbudovanýchaplikačnýchslužieb–budúcistav:"/}}5.1.3        Prehľad budovaných aplikačných služieb – budúci stav: ===
  Vzhľadom na charakter a rozsah projektu nebudú budované aplikačné služby ako také. Počas realizácie projektu bude dopĺňaná hardvérová infraštruktúra poskytovateľa základnej služby ako aj doplnené licenčné proprietárne softvéry s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.
++\\
--=== {{id name="projekt_2721_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS[1]aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4        Prehľad integrácii ISVS na spoločné ISVS[[(% class="wikiinternallink" %)^^**~[1~]**^^>>path:#_ftn1||name="_ftnref1" shape="rect"]](%%) a ISVS iných OVM alebo IS tretích strán ===
++=== {{id name="projekt_2721_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS[1]aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4        Prehľad integrácii ISVS na spoločné ISVS[[^^**~[1~]**^^>>path:#_ftn1||name="_ftnref1" shape="rect"]] a ISVS iných OVM alebo IS tretích strán ===
  Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na integrácie na spoločné ISVS či ISVS iných OVM a tretích strán.
++\\
  === {{id name="projekt_2721_Projektovy_zamer_detailny-5.1.5Aplikačnéslužbynaintegráciu"/}}5.1.5        Aplikačné služby na integráciu ===
++\\
  Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na budované aplikačné služby a ich využitie na integráciu na spoločné moduly a iné ISVS alebo ich poskytovanie na externú integráciu ani nie je plánované vybudovanie cloudových služieb “softvér ako služba“ (SaaS).
++\\
  === {{id name="projekt_2721_Projektovy_zamer_detailny-5.1.6PoskytovanieúdajovzISVSdoISCSRÚ"/}}5.1.6        Poskytovanie údajov z ISVS do IS CSRÚ ===
  Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na poskytovanie údajov do CSRÚ.
++\\
  === {{id name="projekt_2721_Projektovy_zamer_detailny-5.1.7KonzumovanieúdajovzISCSRÚ"/}}5.1.7        Konzumovanie údajov z IS CSRÚ ===
  Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na konzumovanie údajov z CSRÚ.
++\\
  === {{id name="projekt_2721_Projektovy_zamer_detailny-5.1.8Prehľadplánovanéhovyužívaniainfraštruktúrnychslužieb(cloudovýchslužieb)–budúcistav:"/}}5.1.8        Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: ===
@@ -1272,6 +1272,7 @@
  Z pohľadu rozsahu projektu nie je pre jeho implementáciu potrebná úprava legislatívnych noriem na úrovni zákonov, vyhlášok alebo všeobecne záväzných nariadení. Naopak, výstupom projektu je viacero interných smerníc a riadiacich aktov popísaných v ostatných kapitolách, upravujúcich vnútorné procesy organizácie vo vzťahu k zvýšeniu úrovne kybernetickej bezpečnosti a povedomia o nej.
++\\
  Projekt sa v čase príprave a implementácie riadi príslušnou legislatívou, z ktorej je možné zdôrazniť najmä:
@@ -1281,8 +1281,9 @@
  = {{id name="projekt_2721_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7.    ROZPOČET A PRÍNOSY =
++\\
--(% class="relative-table wrapped" style="width:100.66%" %)
++(% class="wrapped relative-table" style="width: 100.66%;" %)
  |(((
  **Názov položky**
  )))|(((
@@ -1302,7 +1302,7 @@
 ,00 EUR
  )))
  |(((
--
++\\
  )))|(((
 komplet
  )))|(((
@@ -1320,7 +1320,7 @@
 ,00 EUR
  )))
  |(((
--
++\\
  )))|(((
 komplet
  )))|(((
@@ -1338,7 +1338,7 @@
 ,00 EUR
  )))
  |(((
--
++\\
  )))|(((
 komplet
  )))|(((
@@ -1365,7 +1365,7 @@
 ,00 EUR
  )))
  |(((
--
++\\
  )))|(((
 komplet
  )))|(((
@@ -1383,7 +1383,7 @@
 ,00 EUR
  )))
  |(((
--
++\\
  )))|(((
 komplet
  )))|(((
@@ -1410,7 +1410,7 @@
 ,20 EUR
  )))
  |(((
--
++\\
  )))|(((
 komplet
  )))|(((
@@ -1428,7 +1428,7 @@
 ,40 EUR
  )))
  |(((
--
++\\
  )))|(((
 komplet
  )))|(((
@@ -1446,7 +1446,7 @@
 ,00 EUR
  )))
  |(((
--
++\\
  )))|(((
 komplet
  )))|(((
@@ -1464,7 +1464,7 @@
 ,60 EUR
  )))
  |(((
--
++\\
  )))|(((
 komplet
  )))|(((
@@ -1482,7 +1482,7 @@
 ,00 EUR
  )))
  |(((
--
++\\
  )))|(((
 komplet
  )))|(((
@@ -1500,7 +1500,7 @@
 ,00 EUR
  )))
  |(((
--
++\\
  )))|(((
 komplet
  )))|(((
@@ -1554,9 +1554,11 @@
  **245 277,38 EUR**
  )))
++\\
  == {{id name="projekt_2721_Projektovy_zamer_detailny-7.1Sumarizácianákladovaprínosov"/}}7.1        Sumarizácia nákladov a prínosov ==
++\\
  (% class="wrapped" %)
  |(((
@@ -1567,22 +1567,22 @@
  |(((
  **Všeobecný materiál**
  )))|(((
--
++\\
  )))
  |(((
  **IT - CAPEX**
  )))|(((
--
++\\
  )))
  |(((
  Služby
  )))|(((
--116808,00
++110568,00
  )))
  |(((
  SW
  )))|(((
--85354,80
++65515,20
  )))
  |(((
  HW
@@ -1592,12 +1592,12 @@
  |(((
  **IT - OPEX- prevádzka**
  )))|(((
--
++\\
  )))
  |(((
  Aplikácie
  )))|(((
--
++\\
  )))
  |(((
  SW
@@ -1612,57 +1612,59 @@
  |(((
  **Prínosy**
  )))|(((
--
++\\
  )))
  |(((
  **Finančné prínosy**
  )))|(((
--
++\\
  )))
  |(((
  Administratívne poplatky
  )))|(((
--
++\\
  )))
  |(((
  Ostatné daňové a nedaňové príjmy
  )))|(((
--
++\\
  )))
  |(((
  **Ekonomické prínosy**
  )))|(((
--
++\\
  )))
  |(((
  Občania (€)
  )))|(((
--
++\\
  )))
  |(((
  Úradníci (€)
  )))|(((
--
++\\
  )))
  |(((
  Úradníci (FTE)
  )))|(((
--
++\\
  )))
  |(((
  **Kvalitatívne prínosy**
  )))|(((
--
++\\
  )))
  |(((
--
++\\
  )))|(((
  // //
  )))
++\\
  = {{id name="projekt_2721_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}8.    HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =
++\\
  Projekt bude dodávaný v 1 Inkremente z tohoto dôvodu uvádzame Harmonogram na úrovni 1 Etapy/ 1 Inkrementu.
@@ -1691,7 +1691,7 @@
  )))|(((
 /2024
  )))|(((
--
++\\
  )))
  |(((
 .
@@ -1702,7 +1702,7 @@
  )))|(((
 /2025
  )))|(((
--
++\\
  )))
  |(((
 a
@@ -1713,7 +1713,7 @@
  )))|(((
 /2025
  )))|(((
--
++\\
  )))
  |(((
 b
@@ -1757,14 +1757,16 @@
  )))|(((
 /2028
  )))|(((
--
++\\
  )))
++\\
  Projekt bude realizovaný metódou Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.
  = {{id name="projekt_2721_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9.    PROJEKTOVÝ TÍM =
++\\
  Zostavuje sa Riadiaci výbor (RV)**,** v minimálnom zložení:
@@ -1774,6 +1774,7 @@
  * Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)
  * Projektový manažér objednávateľa (PM)
++\\
  (% class="wrapped" %)
  |(((
@@ -1832,6 +1832,7 @@
  Zástupca dodávateľa
  )))
++\\
  Zostavuje sa Projektový tím objednávateľa
@@ -1839,6 +1839,7 @@
  * biznis vlastník
  * manažér kybernetickej a informačnej bezpečnosti (nepovinný člen)
++\\
  (% class="wrapped" %)
  |(((
@@ -1886,9 +1886,11 @@
  Projektový manažér
  )))
++\\
  == {{id name="projekt_2721_Projektovy_zamer_detailny-9.1PRACOVNÉNÁPLNE"/}}9.1         PRACOVNÉ NÁPLNE ==
++\\
  **Kľúčový používateľ**
@@ -1908,6 +1908,7 @@
  * Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT.
  * Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti.
++\\
  **Projektový manažér**
@@ -1918,6 +1918,7 @@
  * Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.
  * Zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je  hlavnou kontaktnou osobou pre zákazníka.
++\\
  = {{id name="projekt_2721_Projektovy_zamer_detailny-10.ODKAZY"/}}10. ODKAZY =
@@ -1925,13 +1925,17 @@
  = {{id name="projekt_2721_Projektovy_zamer_detailny-11.PRÍLOHY"/}}11. PRÍLOHY =
++\\
  Príloha 1: Zoznam rizík a závislostí
++\\
  Koniec dokumentu
++\\
++\\
  [[~[1~]>>path:#_ftnref1||name="_ftn1" shape="rect"]] Spoločné moduly podľa zákona č. 305/2013  e-Governmente

Snímka obrazovky 2024-06-17 o 18.25.03.png

Autor

...	...	@@ -1,1 +1,0 @@
1		-XWiki.michal_krupa1

Veľkosť

...	...	@@ -1,1 +1,0 @@
1		-71.2 KB

Obsah

image-2024-6-17_18-23-23.png

Autor

...	...	@@ -1,1 +1,0 @@
1		-XWiki.michal_krupa1

Veľkosť

...	...	@@ -1,1 +1,0 @@
1		-31.4 KB

Obsah

image-2024-6-17_18-23-42.png

Autor

...	...	@@ -1,1 +1,0 @@
1		-XWiki.michal_krupa1

Veľkosť

...	...	@@ -1,1 +1,0 @@
1		-9.1 KB

Obsah

image-2024-6-17_18-26-22.png

Autor

...	...	@@ -1,1 +1,0 @@
1		-XWiki.michal_krupa1

Veľkosť

...	...	@@ -1,1 +1,0 @@
1		-155.4 KB

Obsah

image-2024-6-17_18-26-39.png

Autor

...	...	@@ -1,1 +1,0 @@
1		-XWiki.michal_krupa1

Veľkosť

...	...	@@ -1,1 +1,0 @@
1		-212.8 KB

Obsah

image-2024-6-17_18-27-28.png

Autor

...	...	@@ -1,1 +1,0 @@
1		-XWiki.michal_krupa1

Veľkosť

...	...	@@ -1,1 +1,0 @@
1		-110.6 KB

Obsah

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--155323241
++155323555

Zmeny dokumentu projekt_2721_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?