Version 2.1 by maros_bundzak on 2024/08/09 12:24
Show last authors
1 PROJEKTOVÝ ZÁMER
2 Vzor pre manažérsky výstup I-02
3 podľa vyhlášky MIRRI č. 401/2023 Z. z.
4 Povinná osoba Úrad verejného zdravotníctva SR
5 Názov projektu Podpora v oblasti kybernetickej a informačnej bezpečnosti ÚVZ SR
6 Zodpovedná osoba za
7 projekt
8 Ing. Jana Grňo Mikulášiová, manažér kybernetickej bezpečnosti
9 Realizátor projektu Úrad verejného zdravotníctva SR
10 Vlastník projektu Ing. Jana Grňo Mikulášiová, manažér kybernetickej bezpečnosti
11 Schvaľovanie dokumentu
12 Položka Meno a priezvisko Organizácia Pracovná pozícia Dátum
13 Podpis
14 (alebo elektronický
15 súhlas)
16 Vypracoval ÚVZ SR
17 ~1. HISTÓRIA DOKUMENTU
18 Verzia Dátum Zmeny Meno
19 1.0. 01.07.2024 Vypracovanie dokumentu
20 1.0 22.12.2023 Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.
21 2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE
22 V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií
23 prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a
24 ľudských zdrojov.
25 V súlade s Vyhláškou MIRRI SR č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke IT VS je
26 dokument Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu,
27 budúceho stavu a navrhovaného riešenia.
28 Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky obsahuje opis navrhovaného riešenia, architektúru
29 riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry
30 navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov,
31 prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Dodávané riešenie bude
32 v súlade so zákonom. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.
33 Hlavnou motiváciou je realizácia kyberbezpečnostných opatrení definovaných v Z.z. 69/2018 a v zákone o ISVS.
34 Prioritne jedná o tie opatrenia, ktoré vykazujú najväčší nesúlad s uvedenými právnymi normami a vyhláškou 362/2018 Z.
35 z.. V dôsledku realizácie týchto opatrení budú ÚVZ SR chránené v maximálnej možnej miere pred kybernetickým
36 incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku ÚVZ SR.
37 Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti, ktoré
38 sú obsahom projektu:
39 ~1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky
40 nového zákona o KB a príslušných vykonávacích predpisov,
41 2. Dopracovanú smernicu pre oblasti riadenia bezpečnosti prevádzky sietí a IS/APP,
42 3. Aktualizovanú SM-25 Smernica, ktorou sa upravuje práca s informačnými technológiami,
43 4. Nasadený nástroj na automatizáciu analýzy rizík a prehodnotenie a aktualizácia analýzy rizík podľa požiadaviek
44 nového zákona o KB,
45 5. Spracovávanie inventarizácie aktív a ich klasifikáciu s ohľadom na IS ÚVZ a dokumentovanie vzťahov a závislostí
46 medzi IS ÚVZ a ostatnými používanými systémami a aplikáciami na ÚVZ SR,
47 6. Prehodnotenú a spracovanú novú SOA (Security Operations Architecture) s ohľadom na novú legislatívu a jej plnenie
48 pre oblasť kybernetickej bezpečnosti,
49 Strana 2/13
50 7. Zavedenú kontrolu dodržiavania bezpečnostných politík zo strany zamestnancov, administrátorov a osôb
51 zastávajúcich niektorú z bezpečnostných rolí,
52 8. Implementovaný nástroj na detekciu kybernetických bezpečnostných incidentov, ktorý spĺňa všetky požiadavky
53 Vyhlášky § 17, ods. 03 a ods. 04,
54 9. Navrhnutý a zdokumentovaný efektívny spôsob kontroly pre účely zaručenia, že prevádzka, používanie a manažment
55 siete a informačného systému je v súlade s vnútornými predpismi a zmluvnými záväzkami,
56 10. Prehodnotenú a aktualizovanú smernicu v oblasti SM-51 Smernica Riadenie kontinuity procesov a činností a
57 spracované nové BCP/DRP plány potrebné na zabezpečenie kontinuity činností podľa nového zákona o KB,
58 ~11. Aktualizovaná SM-44 Smernica o klasifikácii informácií na Úrade verejného zdravotníctva Slovenskej republiky,
59 12. Zanalyzované existujúce prostredie ÚVZ SR s ohľadom na vzniknutý systém IS ÚVZ a vytvorené záznamy o
60 identifikovaných vzťahoch a súvislostiach,
61 13. Zanalyzovaný spôsob efektívnej realizácie monitoringu zariadení, činností, sietí, IS a APP v prostredí ÚVZ SR a
62 zabezpečenú podporu pre vybraté riešenie pri jeho nasadení a spustení do prevádzky.
63 Cieľom projektu je, aby po jeho realizácii naša inštitúcia dosiahla čo možno najväčší súlad s NIS2, Zákonom
64 o kyberbezpečnosti, ako aj Zákonom o ISVS.
65 2.1 Použité skratky a pojmy
66 SKRATKA/POJEM POPIS
67 KIB Kybernetická a informačná bezpečnosť
68 IT Informačné technológie
69 VS Verejná správa
70 ITVS Informačné technológie verejnej správy
71 NFP Nenávratný finančný príspevok
72 OP SK Operačný program SLovensko
73 ÚVZ SR Úrad verejného zdravotníctva SR
74 RÚVZ Regionálny úrad verejného zdravotníctva
75 MZ SR Ministerstvo zdravotníctva SR
76 NKIVS Národná koncepcia informatizácie verejnej správy
77 ZoBK Zákon o kybernetickej bezpečnosti
78 SOA Security Operations Architecture
79 SOC Security Operation Center
80 2.2 Konvencie pre typy požiadaviek (príklady)
81 Zvoľte si konvenciu pre označovanie požiadaviek, súborov, atd. Hlavné kategórie požiadaviek v zmysle katalógu požiadaviek,
82 rozdeľujeme na funkčné (funkcionálne), nefunkčné (kvalitatívne, výkonové a pod.). Podskupiny v hlavných kategóriách je možné
83 rozšíriť podľa potrieb projektu, napríklad:
84 Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu:
85 FRxx
86 • U – užívateľská požiadavka
87 • R – označenie požiadavky
88 • xx – číslo požiadavky
89 Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:
90 NRxx
91 • N – nefukčná požiadavka (NFR)
92 • R – označenie požiadavky
93 • xx – číslo požiadavky
94 Ostatné typy požiadaviek môžu byť ďalej definované objednávateľom/PM.
95 Strana 3/13
96 3. DEFINOVANIE PROJEKTU
97 3.1 Manažérske zhrnutie
98 Úrad verejného zdravotníctva SR ako prevádzkovateľ základnej služby zapísanej v registri prevádzkovateľov
99 základných služieb má povinnosti, ktoré vyplývajú zo ZoKB. Medzi základné povinnosti je prijatie a dodržiavanie
100 všeobecných bezpečnostných opatrení pre nasledovné oblasti:
101 ~1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky
102 nového zákona o KB a príslušných vykonávacích predpisov,
103 2. Dopracovanú smernicu pre oblasti riadenia bezpečnosti prevádzky sietí a IS/APP,
104 3. Aktualizovanú SM-25 Smernica, ktorou sa upravuje práca s informačnými technológiami,
105 4. Nasadený nástroj na automatizáciu analýzy rizík a prehodnotenie a aktualizácia analýzy rizík podľa požiadaviek
106 nového zákona o KB,
107 5. Spracovávanie inventarizácie aktív a ich klasifikáciu s ohľadom na IS ÚVZ a dokumentovanie vzťahov a závislostí
108 medzi IS ÚVZ a ostatnými používanými systémami a aplikáciami na ÚVZ SR,
109 6. Prehodnotenú a spracovanú novú SOA (Security Operations Architecture) s ohľadom na novú legislatívu a jej plnenie
110 pre oblasť kybernetickej bezpečnosti,
111 7. Zavedenú kontrolu dodržiavania bezpečnostných politík zo strany zamestnancov, administrátorov a osôb
112 zastávajúcich niektorú z bezpečnostných rolí,
113 8. Implementovaný nástroj na detekciu kybernetických bezpečnostných incidentov, ktorý spĺňa všetky požiadavky
114 Vyhlášky § 17, ods. 03 a ods. 04,
115 9. Navrhnutý a zdokumentovaný efektívny spôsob kontroly pre účely zaručenia, že prevádzka, používanie a manažment
116 siete a informačného systému je v súlade s vnútornými predpismi a zmluvnými záväzkami,
117 10. Prehodnotenú a aktualizovanú smernicu v oblasti SM-51 Smernica Riadenie kontinuity procesov a činností a
118 spracované nové BCP/DRP plány potrebné na zabezpečenie kontinuity činností podľa nového zákona o KB,
119 ~11. Aktualizovaná SM-44 Smernica o klasifikácii informácií na Úrade verejného zdravotníctva Slovenskej republiky,
120 12. Zanalyzované existujúce prostredie ÚVZ SR s ohľadom na vzniknutý systém IS ÚVZ a vytvorené záznamy o
121 identifikovaných vzťahoch a súvislostiach,
122 13. Zanalyzovaný spôsob efektívnej realizácie monitoringu zariadení, činností, sietí, IS a APP v prostredí ÚVZ SR a
123 zabezpečenú podporu pre vybraté riešenie pri jeho nasadení a spustení do prevádzky
124 Jednotlivé organizačné jednotky (OZ), teda regionálne úrady verejného zdravotníctva (ktorých je 36)
125 využívajú centrálny informačný systém (IS ÚVZ), tzn. že každá OZ, ak sa stane terčom kybernetického útoku,
126 ohrozuje fungovanie IS ÚVZ ako celku a môže spôsobiť odstavenie celého systému. V dôsledku toho je
127 nevyhnutné, aby navrhovaným systémov disponovalo nie len ÚVZ, ale aj všetky RÚVZ.
128 Zasielané udalosti sú v jednotlivých organizáciách na vstupe prijaté, označkované a parsované podľa
129 technológie. Následne sú buď vhodnými základnými pravidlami produktu a implementačnými pravidlami na mieru
130 spracované, aby bolo možné s nimi vytvárať potrebné navrhnuté scenáre. Ďalej sú uložené a vizualizované buď
131 prostredníctvom základných nástrojov, alebo v budúcnosti vyššou formou pomocou integračnej platformy. Implementácia
132 zahŕňa vytvorenie prístupových oprávnení v súlade s požiadavkami na viditeľnosť a spracovanie dát a následnú
133 vizualizáciu.
134 Prevádzkové informácie budú zobrazovať aktuálne informácie o stave logovaných ICT systémov jednotlivých
135 organizácií. Nad týmito logmi bude vykonané parsovanie a následne sa uložia do centrálneho dátového skladu, kde
136 bude možné s týmito dátami ďalej pracovať. Primárne sa jedná o nepretržitý zber logov a monitorovanie prevádzky ICT
137 technológií, systémov, aplikácií, stavu kybernetického a fyzického zabezpečenia a poskytovanie dát a informácií pre
138 riešenie odchýlok a nápravných opatrení. Všetky údaje uložené v dátovom sklade budú podrobené procesu sledovania a
139 vyhodnocovania podľa nižšie uvedených scenárov. Tým bude zabezpečené sledovanie jednotlivých systémov podľa
140 nariadenia NIS2. Jednotlivé zistenia budú automaticky evidované v systéme na riadenie bezpečnosti, ktorý riadi všetky
141 zistené riziká a navrhuje vhodné opatrenia. Takto evidované a riadené sledovanie logov povedie k včasnej detekcii rizík
142 a ich okamžitej náprave.
143 Z pohľadu kompletného zberu logov bude vyhodnocované:
144 - prihlasovanie a odhlasovanie ku všetkým účtom, vrátane neúspešných pokusov
145 - vykonanie a neúspešný pokus o vykonanie privilegovanej činnosti
146 - manipulácia a neúspešný pokus o manipuláciu s účtami, oprávneniami a právami
147 Strana 4/13
148 - neuskutočnenie činností v dôsledku nedostatku prístupových práv alebo oprávnení
149 - začatie a ukončenie činností technických aktív
150 - kritické a chybové hlásenia technických aktív
151 - prístup a neúspešný pokus o prístup k záznamom udalostí
152 - manipulácia a neúspešný pokus o manipuláciu so záznamami udalostí
153 - zmenu a neúspešný pokus o zmenu nastavení nástrojov na zaznamenávanie udalostí
154 - ďalšie činnosti používateľov, ktoré môžu mať vplyv na bezpečnosť regulovanej služby.
155 Výsledky projektu a cieľový stav (manažérske produkty)
156 Čiastková aktivita a) Organizácia KB,
157 Na základe zistených nedostatkov v oblasti riadenia kybernetickej a informačnej bezpečnosti v organizácii sa určuje
158 nasledovný cieľový stav:
159 Komplexná bezpečnostná dokumentácia bude novo vypracovaná, pričom zohľadňuje predchádzajúcu dokumentáciu a
160 jej aktualizácie vrátane rozsahu a metód dodržiavania všeobecných bezpečnostných opatrení.
161 Budú novo sa vyvinuté a implementované špecifické interné riadiace akty pre vybrané oblasti kybernetickej a informačnej
162 bezpečnosti.
163 Bude aktualizovaný stav bezpečnostného výboru organizácie.
164 Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy.
165 Čiastková činnosť b) Riadenie rizík KB,
166 Na základe zistených nedostatkov v oblasti riadenia rizík kybernetickej a informačnej bezpečnosti v organizácii sa určuje
167 nasledovný cieľový stav:
168 Všetky aktíva súvisiace so spracovaním informácií a centrálnym inventárnym záznamovým zariadením budú
169 identifikované ich hodnotou a s označením ich vlastníka, ktorý definuje ich požiadavky na dôvernosť, dostupnosť a
170 integritu (EAM).
171 Riadenie rizík bude automatizované pomocou nástroja, pozostávajúce z identifikácie zraniteľnosti, identifikácie hrozieb,
172 identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenia vlastníka rizika a implementácie organizačných a
173 technických bezpečnostných opatrení, funkčnej analýzy dopadov a pravidelného prehodnocovania identifikovaných rizík
174 v závislosti od aktualizácie prijatých bezpečnostných opatrení.
175 Bude implementovaný automatizovaný systém správy a registrácie pre inventarizáciu majetku (EAM/).
176 Bude implementovaný automatizovaný systém riadenia a registrácie pre katalogizáciu hrozieb.
177 Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení.
178 Čiastková činnosť c) Personálna bezpečnosť,
179 Na základe zistených nedostatkov v oblasti personálnej bezpečnosti v organizácii je stanovený nasledovný cieľový stav:
180 Bude vyvinutý postup na priradenie osoby k jednej z rolí zabezpečenia
181 Bude zavedený plán na rozvoj bezpečnostného povedomia a vzdelávania
182 Bude vyvinutá metóda hodnotenia účinnosti rozvojového plánu bezpečnostného povedomia
183 Budú určené pravidlá a postupy pri riešení porušení bezpečnostnej politiky
184 Budú zavedené postupy na ukončenie pracovného pomeru
185 Budú zavedené postupy pre prípady porušenia bezpečnostných politík
186 Bude vypracovaný a aktualizovaný akt vnútorného riadenia s bezpečnostnými zásadami pre koncových používateľov
187 Postupy a procesy, ktorými sa riadi personálna bezpečnosť organizácie, budú vypracované a implementované
188 prostredníctvom interného riadiaceho aktu.
189 Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s
190 prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD.
191 Čiastková aktivita k) Zaznamenávanie udalostí a monitoring sietí a IS,
192 Na základe zistených nedostatkov v oblasti zaznamenávania a monitorovania udalostí je stanovený nasledovný cieľový
193 stav:
194 Implementovaný bude centrálny log management systém pre zber a ukladanie logov z jednotlivých informačných
195 systémov s podporou napojenia na riadiace systémy a poskytovania potrebných podporných dát.
196 Bude vypracovaná dokumentácia metód monitorovania a fungovania systému správy log a centrálneho nástroja na
197 monitorovanie bezpečnosti a bude definovaný spôsob evidencie prevádzkových záznamov, ich vyhodnocovanie,
198 spôsoby hlásenia podozrivej činnosti, zodpovedné osoby a ďalšie povinnosti.
199 Strana 5/13
200 Vytvorí sa špecifikácia všetkých udalostí, ktoré sa musia zaznamenávať, a súvisiaca konfigurácia prvkov informačných
201 technológií verejnej správy vrátane dokumentácie rozsahu údajov zaznamenaných v protokolových súboroch.
202 Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou.
203 3.2 Ciele projektu
204 Do tabuliek nižšie doplniť CIEĽ /CIELE PROJEKTU, ich mapovanie na strategické ciele (napr. z NKIVS, KRIT a iných strategických
205 dokumentov) a súvisiace merateľné ukazovatele (KPI- key performance indicators). Ciele musia byť S.M.A.R.T. - konkrétne, merateľné,
206 dosiahnuteľné, relevantné, časovo ohraničené.
207 ID Názov cieľa Názov strategického cieľa Spôsob realizácie strategického cieľa
208 ... ... ...
209 ... ... ...
210 3.3 Merateľné ukazovatele (KPI)
211 ID ID/Názov
212 cieľa
213 Názov
214 ukazovateľa
215 (KPI)
216 Popis
217 ukazovateľa
218 Merná
219 jednotka
220 AS IS
221 merateľné
222 hodnoty
223 (aktuálne)
224 TO BE
225 Merateľné
226 hodnoty
227 (cieľové
228 hodnoty)
229 Spôsob ich
230 merania Pozn.
231 ... ... ... ... ... ... ... ...
232 ... ... ... ... ... ... ... ...
233 ... ... ... ... ... ... ... ...
234 Vysvetlivky k vyplneniu tabuľky:
235 • Vzory merateľných ukazovateľov pre projekt sú publikované v Checkliste pre agendu Merateľné ukazovatele/KPI
236 ([[https:~~/~~/www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html>>url:https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html||shape="rect"]] )
237 • AS IS merateľné ukazovatele – t. j. popíšte, aké merateľné ukazovatele máte teraz (vpíšte výsledky meraní – v merateľných
238 jednotkách) .
239 • TO BE merateľné ukazovatele – t. j. popíšte cieľové merateľné ukazovatele, ktoré chcete dosiahnuť.
240 • Odporúčame, aby váš budúci IS mal automatizovaný monitoring (na pravidelnej báze, napr. týždenne) vami stanovených
241 merateľných ukazovateľov – s cieľom, aby ste mohli riadiť službu, produkt, proces, ľudí
242 • V prípade financovania cez zdroje EÚ uvádzať aj Projektové merateľné ukazovatele z operačného programu (špecifické ciele,
243 merateľné ukazovatele atď).
244 .
245 3.4 Riziká a závislosti
246 Zoznam rizík a závislostí realizácie projektu:
247 Realizácia projektu na zabezpečenie kyberbezpečnosti financovaného z fondov EÚ môže čeliť viacerým rizikám.
248 ~1. Nedodržanie harmonogramu aktivít
249 Riziko spočíva v nedodržiavaní harmonogramu aktivít projektu, ktoré by vyústilo do oneskorenia projektu.
250 Opatrenia na elimináciu:
251 V rámci prípravy projektu bol harmonogram jednotlivých aktivít zostavený tak aby zodpovedal možnostiam žiadateľa.
252 Na elimináciu rizika nedodržania harmonogramu aktivít projektu je potrebné prijať niekoľko opatrení, ktoré zabezpečia
253 efektívne riadenie času a zdrojov. Tu sú niektoré z nich:
254 a) Dôkladné plánovanie:
255 - žiadateľ má vypracovaný detailný projektový plán so všetkými aktivitami, úlohami a milníkmi.
256 Strana 6/13
257 - žiadateľ využil osvedčené metódy plánovania, ako sú Ganttove diagramy alebo PERT (Program Evaluation and
258 Review Technique).
259 b) Realistické časové odhady:
260 - v rámci žiadosti boli stanoviné realistické časové rámce pre jednotlivé aktivity na základe skúseností a po porade s
261 odbornými konzultantmi,
262 - do riadenia a plánovania bol zapojený projektový tím, ktorý bude úlohy vykonávať, aby sa zabezpečila realistickosť
263 odhadov.
264 c) Identifikácia kritických ciest:
265 - žiadateľ určil kritické cesty (critical paths) v projekte, ktoré majú najväčší vplyv na celkový harmonogram.
266 - žiadateľ bude pravidelne sledovať postup na týchto kritických cestách a zabezpečí, aby nedošlo k žiadnym
267 oneskoreniam.
268 d) Rezervy na nepredvídané udalosti:
269 - žiadateľ v rámci stanovenia aktivity projektu zahrnúl do plánu časové rezervy (buffer times) na pokrytie
270 nepredvídaných udalostí alebo oneskorení.
271 - projektový a odborný tím žiadateľa je pripravený flexibilne prispôsobiť plán pri výskyte neočakávaných situácií.
272 e) Pravidelný monitoring a kontrola:
273 - žiadateľ bude mať v rámci realizácie projektu zavedený zavedený systém pravidelného monitorovania postupu
274 projektu a porovnávania s harmonogramom.
275 - súčasne budú používané softvérové nástroje na riadenie projektov, ktoré umožňujú sledovanie priebehu v reálnom
276 čase.
277 f) Efektívna komunikácia:
278 - žiadateľ má zavedené pravidelné stretnutia projektového tímu na hodnotenie postupu a riešenie problémov.
279 - žiadateľ zabezpečí udržiavať otvorenú a transparentnú komunikáciu medzi všetkými členmi tímu a zainteresovanými
280 stranami.
281 g) Riadenie rizík:
282 - žiadateĺ identifikoval potenciálne riziká, ktoré by mohli ovplyvniť harmonogram, a vypracovať plány na ich
283 zmiernenie.
284 - žiadateľ bude pravidelne aktualizovať rizikový register a prijímať preventívne opatrenia.
285 h) Dostatočné zdroje:
286 - žiadateľ má zabezpečené, aby mal projektový tím k dispozícii všetky potrebné zdroje vrátane personálu, technológií
287 a financií.
288 - žiadateľ bude riešiť prípadné nedostatky zdrojov čo najskôr, aby nedošlo k oneskoreniam.
289 i) Flexibilita a adaptabilita:
290 - žiadateľ je pripravený prispôsobiť harmonogram podľa aktuálnych podmienok a vývoja situácie.
291 - žiadateľ bude mať zavedené spolu s projektovými tímom procesy pre rýchlu reakciu na zmeny a úpravu plánov.
292 Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
293 2. Nedosiahnutie plánovaných hodnôt merateľných ukazovateľov
294 Hoci v rámci projektu sa nesledujú také merateľné ukazovatele, ktoré by boli merateľnými ukazovateľmi s príznakom,
295 žiadateľ si uvedomuje možné riziká súvisiace s nenaplnením merateľných ukazovateľov.
296 Opatrenia na elimináciu rizika:
297 Keďže merateľné ukazovatele sú odrazom úspešného naplnenia jednotlivých aktivít, prijímateľ prijal alebo prijme najmä
298 nasledovné opatrenia:
299 Prijímateľ dlhoročne realizuje projekty financované s fondov EÚ. Samotný projekt vyplýva z jeho dlhodobých plánov a
300 preto celé jeho nastavenie je podrobne analyzované vrátane nastavenia časového harmonogramu a cieľových hodnôt
301 Strana 7/13
302 merateľných ukazovateľov.Prijímateľ do realizácie projektu zapojil odborných zamestnancov spoločnosti, aby bolo
303 zaručené dosiahnutie plánovaných výsledkov.
304 Aby sa eliminovalo riziko nedosiahnutia plánovaných hodnôt merateľných ukazovateľov v rámci projektu, môžu byť
305 prijaté nasledujúce opatrenia:
306 a) Precízne plánovanie a nastavenie realistických cieľov:
307 - V projekte sú definované jasné a realistické ciele a merateľné ukazovatele (KPIs) na základe dôkladnej analýzy,
308 prípravy projektu a prieskumu trhu.
309 - Žiadateľ využil historické údaje a osvedčené metódy na stanovenie cieľov.
310 b) Pravidelný monitoring a hodnotenie:
311 - žiadateľ zavedie v rámci realizácie projektu systém pravidelného monitoringu a hodnotenia postupu dosahovania
312 cieľov.
313 - žiadateľ zavedie v rámci realizácie projektu mechanizmy na pravidelné správy a analýzy progresu.
314 c) Flexibilita a adaptabilita:
315 - projektový tím žiadateľa je pripravený prispôsobiť plány a stratégie na základe zistení z monitoringu.
316 - žiadateľ počs realizácie projektu zavedie procesy pre rýchlu reakciu na neočakávané udalosti alebo zmeny v
317 externom prostredí.
318 d) Zabezpečenie potrebných zdrojov:
319 - žiadateľ identifikoval a zabezpečil všetky potrebné zdroje vrátane finančných, ľudských a technologických potrebných
320 na úspešnú realizáciu projektu,
321 - žiadateľ bude pravidelne preverovať dostupnosť zdrojov a riešiť prípadné nedostatky.
322 e) Kvalitný projektový manažment:
323 - žiadateľ disponuje skúsenými a certifikovanými projektovými manažérmi, ktorý skúsenosti sú uvedené v časti 7.4.
324 ŽoNFP,
325 - žiadateľ bude využívať pri realizácii projektu osvedčené metodiky projektového riadenia, ako sú PRINCE2, PMI
326 alebo Agile.
327 f) Zapojenie všetkých zainteresovaných strán:
328 - žiadateľ prostredndíctvom projektového tímu zabezpečí, aby všetci zainteresovaní boli dostatočne informovaní a
329 zapojení do projektu.
330 - žiadateľ plánuje organizovať pravidelné stretnutia a konzultácie s projektovým tímom a relevantnými stranami na
331 získanie spätnej väzby a podpory pri realizácii projektu,
332 g) Rizikový manažment:
333 - Identifikovať potenciálne riziká spojené s dosahovaním ukazovateľov a vypracovať plány na ich zmiernenie.
334 - Pravidelne aktualizovať rizikový register a prijímať preventívne opatrenia.
335 h) Komunikácia a transparentnosť:
336 - Zabezpečiť otvorenú a transparentnú komunikáciu o postupoch a výsledkoch.
337 - Informovať tím a vedenie o aktuálnom stave a prípadných problémoch.
338 i) Kontrola a audit:
339 - Zaviesť interné a externé kontroly a audity na preverenie plnenia merateľných ukazovateľov.
340 - Implementovať odporúčania z auditov na zlepšenie procesov a výkonnosti.
341 Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
342 3. Nedostatky v dodávkach od externých dodávateľov
343 Nedodržiavanie termínov zo strany externých dodávateľov služieb a tovarov. Dodávateľ(lia) služieb a tovarov, ktorý
344 vzíde z procesu verejného obstarávania nebude dodržiavať harmonogram prác a dodávok, resp. bude v omeškaní.
345 Strana 8/13
346 Opatrenia na elimináciu rizika:
347 Projektový manažér bude pravidelne komunikovať s dodávateľom, konzultovať prípadné omeškania, hľadať riešenia. V
348 rámci realizácie projektu budú organizované pravidelné zasadnutia Riadiaceho výboru. Postihy za škody a omeškania
349 budú definované v rámci zmluvy o dodávke tovaru, resp. poskytnutí služieb. Ďalším opatrením je už dnes realizovaná
350 kontrola kvality externých dodávateľov zo strany žiadateľa. Súčasne bude žiadateľ starostlivo vyberať dodávateľov na
351 základe ich schopností a referencií. V rámci procesu verejného obstarávania budú zavedené jasné zmluvné podmienky
352 a dohodnúť si pravidelné kontroly plnenia záväzkov, vrátane finančných sankciíí. Žiadateľ bude sa bude usilovať o
353 diverzifikovanie dodávateľov, aby sa minimalizovala závislosť na jedinom zdroji. Podmienkou žiadateľa bude
354 implementovať osvedčené technológie a riešenia, ktoré sú už overené na trhu. Žiadateľ zároveň planuje investovať do
355 školení a certifikácií pre zamestnancov, aby mali potrebné zručnosti a vedomosti.
356 Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
357 Na základe vykonanej analýzy rizík ohrozujúcich úspešnú realizáciu projektu možno konštatovať, že menej ako
358 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú
359 realizáciu projektu.
360 4. SÚČASNÁ ARCHITEKTÚRA PREVÁDZKOVANÝCH IS
361 ÚVZ SR, ako aj jednotlivé RÚVZ spoločne používajú IS ÚVZ.
362 Strana 9/13
363 Strana 10/13
364 5. ROZPOČET A PRÍNOSY
365 Rozpočet projektu je detailne špecifikovaný v časti 11. Rozpočet projektu v rám ci predloženej ŽoNFP.
366 6. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU A METÓDA JEHO RIADENIA
367 Harmonogram projektu je uvedený v časti 9. Harmonogram realizácie aktivít predloženej ŽoNFP.
368 Projekt bude realizovaný metódou Waterfall:
369 Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní
370 postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu
371 realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný
372 postup a rozdelenie prác.
373 Objednávateľ projektu vypracuje funkčnú a technickú špecifikáciu,
374 Strana 11/13
375 Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z.,
376 ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah
377 všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou
378 PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia.
379 Pri akceptácii budú vyhotovované vopred definované akceptačné kritéria a požiadavky z katalógu funkčných
380 a nefunkčných požiadaviek vzťahujúce sa k jednotlivým míľnikom projektu.
381 Metóda riadenia "Waterfall" (vodopád) je jedným z najtradičnejších prístupov k riadeniu projektov v oblasti IT. Tento
382 model je lineárny a sekvenčný, čo znamená, že každá fáza projektu musí byť dokončená pred začiatkom ďalšej. Tieto
383 fázy sú nasledovné:
384 ~1. Požiadavky (Requirements):*
385 - V tejto počiatočnej fáze sú zhromaždené všetky požiadavky na systém. Ide o veľmi dôležitý krok, pretože chyby v
386 požiadavkách môžu mať vážne následky v neskorších fázach. Dokumentujú sa všetky požiadavky zákazníka, funkčné aj
387 nefunkčné, a výsledkom je detailná špecifikácia požiadaviek.
388 2. Analýza systému (System Design):
389 - Po dokončení zhromažďovania požiadaviek sa prejde k analýze systému a návrhu. Táto fáza zahŕňa vytvorenie
390 architektúry systému, technických špecifikácií a návrhu softvéru, ktorý bude schopný splniť všetky definované
391 požiadavky.
392 3. Implementácia (Implementation):
393 - Po schválení návrhu systému sa začne s implementáciou, teda s programovaním a kódovaním systému podľa
394 navrhnutých špecifikácií. Výsledkom tejto fázy je hotový softvér.
395 4. Integrácia a testovanie (Integration and Testing):
396 - V tejto fáze sa jednotlivé komponenty systému integrujú a testujú sa ako celok, aby sa overilo, či systém funguje
397 podľa očakávaní a splňuje všetky špecifikované požiadavky. Testovanie zahŕňa rôzne typy testov, vrátane funkčných,
398 integračných a systémových testov.
399 5. Nasadenie (Deployment):
400 - Po úspešnom testovaní sa systém nasadí do produkčného prostredia. Táto fáza môže zahŕňať aj školenie
401 používateľov a prípravu dokumentácie pre používateľov.
402 6. Údržba (Maintenance):
403 - Po nasadení systému začína fáza údržby, ktorá zahŕňa opravy chýb, aktualizácie a vylepšenia systému na základe
404 spätnej väzby od používateľov a meniace sa požiadavky.
405 Strana 12/13
406 Výhody Waterfall modelu:
407 - Jednoduchosť a jasná štruktúra:*Každá fáza má jasne definovaný začiatok a koniec.
408 - Dobre zdokumentovaný proces: Všetky požiadavky a kroky sú detailne zdokumentované.
409 - Jednoduché riadenie:*Jednoduché plánovanie a sledovanie pokroku projektu.
410 Waterfall model je ideálny pre projekty, kde sú požiadavky jasne definované a stabilné, a kde sa očakáva, že projekt
411 prebehne bez veľkých zmien. V súčasnosti sa však stále častejšie využívajú agilné prístupy, ktoré lepšie vyhovujú
412 dynamickým a meniacim sa požiadavkám projektov.
413 Kvantitatívne prínosy projektu:
414 • Zníženie nákladov spojených so sanáciou KBU/KBI
415 • Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI
416 Kvalitatívne prínosy projektu:
417 • Zníženie rizika KBI,
418 • Zvýšenie súladu s platnou legislatívou,
419 • Zvyšovanie úrovne kybernetickej a informačnej bezpečnosti,
420 • Zvýšenie detekcie KBI,
421 • Zvýšte spokojnosť a dôveru používateľov,
422 Popis cieľového stavu
423 Základné ciele projektu:
424 • Aktualizácia stratégie kybernetickej bezpečnosti,
425 • Aktualizácie bezpečnostnej politiky KB vrátane implementačnej dokumentácie, v súlade s Príloha –
426 Manažérske Produkty,
427 • Vykonávanie inventarizácie aktív, klasifikácie informácií a kategorizácie sietí a interných systémov,
428 • Stabilizácia riadenia rizík – aktualizácia analýzy rizík a analýzy dopadov a nasadenie nástroja Asset Inventory,
429 Threats, Risks and Measures (EAM/),
430 • Implementácia nástroja na zaznamenávanie a monitorovanie udalostí (Log Management)
431 • Implementácia auditu KB, procesu riadenia a kontroly dodržiavania predpisov.
432 7. PROJEKTOVÝ TÍM
433 Projektový tím je detailne popísaný v predloženej ŽoNFP, časť 7.5 Prevádzková kapacita žiadateľa.
434 ID Meno a Priezvisko Pozícia Oddelenie Rola v projekte
435 ~1. Doplniť meno
436 a priezvisko
437 Doplniť pozíciu (pracovné
438 zaradenie v línii) Doplniť názov org. útvaru Doplniť rolu v projekte
439 2. Doplniť meno a
440 priezvisko
441 Doplniť pozíciu (pracovné
442 zaradenie v línii) Doplniť názov org. útvaru Doplniť rolu v projekte
443 3. Doplniť meno a
444 priezvisko
445 Doplniť pozíciu (pracovné
446 zaradenie v línii) Doplniť názov org. útvaru Doplniť rolu v projekte
447 Vzor organizačnej štruktúry
448 Strana 13/13
449 8. VÝSLEDKY PROJEKTU
450 VÝSLEDKOM PROJEKTU JE ZABEZPEČENIE SÚLADU SO SMERNICOU NIS2 a Zákonom o kybernetickej
451 bezpečnosti Slovenskej republiky (Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti)
452 Realizáciou vyššie uvedenej aktivity, dosiahne žiadateľ súlad so Smernicou NIS2 a Zákonom o kybernetickej
453 bezpečnosti Slovenskej republiky (Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti). Tieto aktivity pokrývajú širokú
454 škálu oblastí vrátane bezpečnostnej politiky, správy rizík, ochrany proti škodlivému kódu, inventarizácie aktív,
455 bezpečnosti sietí a informačných systémov, kontroly prístupu, riadenia zraniteľností, monitoringu, kontinuity činností a
456 incident managementu.
457 Tu je prehľad, ako tieto aktivity pomáhajú dosiahnuť súlad:
458 ~1. Bezpečnostná politika a stratégia: Prehodnotenie a aktualizácia bezpečnostnej politiky a stratégie zabezpečuje, že
459 organizácia má správne nastavený rámec pre kybernetickú bezpečnosť v súlade s legislatívou.
460 2. Smernice a procesy : Aktualizácia a vytváranie nových smerníc pre rôzne oblasti kybernetickej bezpečnosti
461 zabezpečuje, že všetky činnosti sú vykonávané v súlade s novými požiadavkami Zákona a NIS2.
462 3. Riadenie rizík: Nasadenie nástrojov na automatizáciu analýzy rizík a aktualizácia analýzy rizík zabezpečuje, že riziká
463 sú riadne identifikované, hodnotené a riadené.
464 4. Inventarizácia aktív: Spracovanie inventarizácie aktív a ich klasifikácia pomáha organizácii identifikovať a spravovať
465 svoje informačné aktíva, čo je kľúčové pre ochranu citlivých informácií.
466 5. Log management: Implementácia nástrojov a procesov na detekciu a riadenie kybernetických bezpečnostných
467 incidentov zabezpečuje, že organizácia môže efektívne zvládať incidenty a minimalizovať ich dopad.
468 Realizácia týchto aktivít predstavuje komplexný prístup k dosiahnutiu súladu s NIS2 a Zákonom o kybernetickej
469 bezpečnosti, čím sa zabezpečuje ochrana kritickej infraštruktúry a citlivých informácií v súlade s aktuálnymi
470 požiadavkami.
471 9. PRÍLOHY
472 Príloha : Zoznam rizík a závislostí (Excel): [[https:~~/~~/www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality>>url:https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality||shape="rect"]]