projekt_2894_Pristup_k_projektu_detailny

1. Komplexná bezpečnostná dokumentácia bude novo vypracovaná, pričom zohľadňuje predchádzajúcu dokumentáciu a jej aktualizácie vrátane rozsahu a metód dodržiavania všeobecných bezpečnostných opatrení.

14

1. Budú novo sa vyvinuté a implementované špecifické interné riadiace akty pre vybrané oblasti kybernetickej a informačnej bezpečnosti.

15

1. Bude aktualizovaný stav bezpečnostného výboru organizácie.

16

1. Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy.

\\

**Čiastková činnosť b) Softvér na automatizované riadenie rizík KB, **

21

22

Na základe zistených nedostatkov v oblasti riadenia rizík kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:

23

24

1. Všetky aktíva súvisiace so spracovaním informácií a centrálnym inventárnym záznamovým zariadením budú identifikované ich hodnotou a s označením ich vlastníka, ktorý definuje ich požiadavky na dôvernosť, dostupnosť a integritu (EAM).

25

1. Riadenie rizík bude automatizované pomocou nástroja, pozostávajúce z identifikácie zraniteľnosti, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenia vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, funkčnej analýzy dopadov a pravidelného prehodnocovania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení.

26

1. Bude implementovaný automatizovaný systém správy a registrácie pre inventarizáciu majetku (EAM/).

27

1. Bude implementovaný automatizovaný systém riadenia a registrácie pre katalogizáciu hrozieb.

28

29

* Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení.

30

* Sú identifikované všetky aktíva súvisiace so zariadením na spracovanie informácií a centrálne zaznamenávanie inventára týchto aktív podľa ich hodnoty a s určením ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu (EAM).

31

* **Sú automatizovane pomocou nástroja riadené riziká** skladajúce sa z identifikácie zraniteľností, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenie vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácií prijatých bezpečnostných opatrení.

32

* Je implementovaný automatizovaný riadiaci a evidenčný systém pre inventarizáciu aktív (EAM/GRC).

33

* Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu hrozieb (GRC).

34

* Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu rizík a opatrení (GRC).- predpokladaná prácnosť v človekodňoch: 80

\\

__Nástroj na riadenie zistených aktív a rizík bude poskytovať nasledujúce funkcionality:__

39

40

* Evidenciu aktív, rizík i hrozieb,

41

* Automatické hodnotenie a kalkulácia rizík a hrozieb,

42

* Zvládanie opatrení navrhnutá softvérovo,

43

* Automatická detekcia znižovania rizík a rekvalifikácia pôvodných aktív a hrozieb,

44

* Automatické generovanie podkladov pre audit,

45

* Integrácia s ostatnými systémami pre automatické zakladanie aktív,

46

* Podpora štandardov ISO27001, KyBe (NIS2), TISAX, DORA,

47

* Generovanie dokumentov ZHR, POA a PZR pre audit,

48

* Notifikácia opatrení,

\\

\\

**Čiastková činnosť c) Personálna bezpečnosť, **

55

56

Na základe zistených nedostatkov v oblasti personálnej bezpečnosti v organizácii je stanovený nasledovný cieľový stav:

57

58

1. Bude vyvinutý postup na priradenie osoby k jednej z rolí zabezpečenia

59

1. Bude zavedený plán na rozvoj bezpečnostného povedomia a vzdelávania

60

1. Bude vyvinutá metóda hodnotenia účinnosti rozvojového plánu bezpečnostného povedomia

61

1. Budú určené pravidlá a postupy pri riešení porušení bezpečnostnej politiky

62

1. Budú zavedené postupy na ukončenie pracovného pomeru

63

1. Budú zavedené postupy pre prípady porušenia bezpečnostných politík

64

1. Bude vypracovaný a aktualizovaný akt vnútorného riadenia s bezpečnostnými zásadami pre koncových používateľov

65

1. Postupy a procesy, ktorými sa riadi personálna bezpečnosť organizácie, budú vypracované a implementované prostredníctvom interného riadiaceho aktu.

66

1. Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD.

\\

**Čiastková aktivita k) Softvér na zaznamenávanie udalostí a monitoring sietí a IS, ** Na základe zistených nedostatkov v oblasti zaznamenávania a monitorovania udalostí je stanovený nasledovný cieľový stav:

71

72

1. Implementovaný bude centrálny log management systém pre zber a ukladanie logov z jednotlivých informačných systémov s podporou napojenia na riadiace systémy a poskytovania potrebných podporných dát.

73

1. Bude vypracovaná dokumentácia metód monitorovania a fungovania systému správy log a centrálneho nástroja na monitorovanie bezpečnosti a bude definovaný spôsob evidencie prevádzkových záznamov, ich vyhodnocovanie, spôsoby hlásenia podozrivej činnosti, zodpovedné osoby a ďalšie povinnosti.

74

1. Vytvorí sa špecifikácia všetkých udalostí, ktoré sa musia zaznamenávať, a súvisiaca konfigurácia prvkov informačných technológií verejnej správy vrátane dokumentácie rozsahu údajov zaznamenaných v protokolových súboroch.

75

76

* Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou.

**~ **

**Softvér na zaznamenávanie udalostí a monitoring sietí a IS bude spĺňať minimálne nasledovné požiadavky:**

81

82

**LogManagement s neobmedzeným zberom logov vrátane HW**

83

84

* Spracovanie udalostí z rôznych zdrojov logov naprieč výrobcami aplikácií, operačných systémov a sieťového hardvéru,

85

* Možnosť dopísania parseru pre zariadenie aktuálne nepodporované výrobcom bez nutnosti spolupráce s výrobcom alebo dodávateľom (vr. subdodávateľov) ponúkaného systému,

86

* Systém štandardizuje prijaté logy do jednotného formátu a logy sú parserované

87

88

(rozdeľované) do príslušných políčok podľa ich typu,

89

90

* Nad takto štandardizovanými dátami systém automaticky vytvára indexy pre rýchlejšie vyhľadávanie pre všetky polia štandardizovaného logu,

91

* Všetky rozparsované položky prijaté systémom sú automaticky indexované. Nad všetkými položkami je možné ihneď vykonávať vyhľadávanie bez nutnosti dodatočného ručného indexovania administrátorom,

92

* Systém nesmie umožniť mazanie alebo modifikovanie už uložených logov,

93

* Konsolidácia logov na centrálnom mieste,

94

* Jednoduché vyhľadávanie udalostí (ad hoc) bez nutnosti programovania,

95

* Grafické znázornenie udalostí (grafy udalostí),

96

* Grafické znázornenie TOP udalostí nad všetkými dátami za určité časové obdobie, • Automatické doplňovanie GeoIP informácií k udalostiam a ich grafické znázornenie na mape,

97

* Automatické doplňovanie reverzných DNS záznamov k IP adresám,

98

* V prípade preťaženia systému sú udalosti ukladané do vyrovnávacej pamäte,

99

* Unifikované vyhľadávanie naprieč všetkými typmi dát a zariadení,

100

* HW dimenzovaný na zber logov aspoň po dobu 12 mesiacov,

101

* HW vrátane virtualizačného riešenia,

102

103

**__Zdôvodnenie nevyhnutnosti výdavku:__**

104

105

Vo štvrtom štvrťroku 2024 nadobudne účinnosť nová legislatívna úprava premietajúca smernicu EÚ NIS2.

\\

__Nová povinnosť riadiť riziká dopadne na oveľa širší okruh subjektov, než tomu bolo doteraz.__

110

111

__Pre tieto subjekty je určený systém zberu a riadenia logov s online vyhodnocovaním a__ __napojením na systém riadenia rizík.__ Tým sa zabezpečí neustály prehľad o možných hrozbách, ich včasná identifikácia a zhodnotenie, ako aj návrh riešení pri riadení rizík. Toto riešenie popisuje možnosti pre vybudovanie centrálnej platformy, ktorá bude v prvej fáze zameraná na zber logov pomocou sofistikovaného nástroja, ich parsovanie a vyhodnocovanie na základe jednotlivých scenárov podľa nariadenia NIS2, aby sa zabezpečil bezpečný chod a včasná detekcia hrozieb všetkých organizácií. Systém bude obsahovať aj samotné riadenie aktív a rizík, aby detekované problémy boli automaticky zachytené v samostatnom systéme, kde prebehne ich vyhodnotenie. Riešenie bude realizované na výkonnom serveri tzv. „ALL in one box“. Dôležitou časťou inštalácie je konfigurácia technických aktív, aby zasielali relevantné záznamy.

\\

\\

**__Jednotlivé organizačné jednotky (OZ), teda regionálne úrady verejného zdravotníctva__ __(ktorých je 36) využívajú centrálny informačný systém (IS ÚVZ), tzn. že každá OZ, ak__ __sa stane terčom kybernetického útoku, ohrozuje fungovanie IS ÚVZ ako celku a môže__ __spôsobiť odstavenie celého systému. V dôsledku toho je nevyhnutné, aby navrhovaným__ __systémov disponovalo nie len ÚVZ, ale aj všetky RÚVZ. __**

\\

Zasielané udalosti sú v jednotlivých organizáciách na vstupe prijaté, označkované a parsované podľa technológie. Následne sú buď vhodnými základnými pravidlami produktu a implementačnými pravidlami na mieru spracované, aby bolo možné s nimi vytvárať potrebné navrhnuté scenáre. Ďalej sú uložené a vizualizované buď prostredníctvom základných nástrojov, alebo v budúcnosti vyššou formou pomocou integračnej platformy. Implementácia zahŕňa vytvorenie prístupových oprávnení v súlade s požiadavkami na viditeľnosť a spracovanie dát a následnú vizualizáciu.

\\

Prevádzkové informácie budú zobrazovať aktuálne informácie o stave logovaných ICT systémov jednotlivých organizácií. Nad týmito logmi bude vykonané parsovanie a následne sa uložia do centrálneho dátového skladu, kde bude možné s týmito dátami ďalej pracovať. Primárne sa jedná o nepretržitý zber logov a monitorovanie prevádzky ICT technológií, systémov, aplikácií, stavu kybernetického a fyzického zabezpečenia a poskytovanie dát a informácií pre riešenie odchýlok a nápravných opatrení. Všetky údaje uložené v dátovom sklade budú podrobené procesu sledovania a vyhodnocovania podľa nižšie uvedených scenárov. Tým bude zabezpečené sledovanie jednotlivých systémov podľa nariadenia NIS2. Jednotlivé zistenia budú automaticky evidované v systéme na riadenie bezpečnosti, ktorý riadi všetky zistené riziká a navrhuje vhodné opatrenia. Takto evidované a riadené sledovanie logov povedie k včasnej detekcii rizík a ich okamžitej náprave.

\\

__Z pohľadu kompletného zberu logov bude vyhodnocované:__

130

131

* //prihlasovanie a odhlasovanie ku všetkým účtom, vrátane neúspešných pokusov//

132

* //vykonanie a neúspešný pokus o vykonanie privilegovanej činnosti//

133

* //manipulácia a neúspešný pokus o manipuláciu s účtami, oprávneniami a právami//

134

* //neuskutočnenie činností v dôsledku nedostatku prístupových práv alebo oprávnení//

135

* //začatie a ukončenie činností technických aktív//

136

* //kritické a chybové hlásenia technických aktív//

137

* //prístup a neúspešný pokus o prístup k záznamom udalostí//

138

* //manipulácia a neúspešný pokus o manipuláciu so záznamami udalostí//

139

* //zmenu a neúspešný pokus o zmenu nastavení nástrojov na zaznamenávanie udalostí//

140

* //ďalšie činnosti používateľov, ktoré môžu mať vplyv na bezpečnosť regulovanej služby.//

\\

\\

**Čiastková činnosť o) Audítorská a kontrolná činnosť, **

147

148

Na základe zistených nedostatkov v oblasti audítorských a kontrolných činností sa stanovuje nasledovný cieľový stav:

149

150

1. Bude vypracovaný program hodnotenia bezpečnosti pre definované informačné technológie verejnej správy, hodnotenie zraniteľnosti a penetračné testy.

151

1. Bude realizovaný audit kybernetickej bezpečnosti, ktorý sa vykonáva v súlade so zákonom o kybernetickej bezpečnosti a smernicou NIS2.

152

1. Budú vykonávané pravidelné externé testy zraniteľnosti, penetračné testy v nevyhnutnom rozsahu.

153

1. Automatizované nástroje budú implementované a používané na technickú podporu riadenia bezpečnosti a audítorských činností.

154

1. Podporné nástroje pre správu budú naplnené údajmi o existencii a stave technických a aplikačných aktív automatizovaným a technickým spôsobom.

155

1. Základ pre audítorské a kontrolné činnosti bude vytvorený technicky na základe skutočného prevádzkového stavu majetku s prípustným oneskorením do 10 minút.

156

1. Dokumenty pre audítorské a kontrolné činnosti budú vždy obsahovať technické diferenčné správy s presným vyznačením zmien vstupov z predchádzajúceho obdobia.

157

1. Podporné nástroje pre správu minimalizujú ľudské chyby a maximálne využívajú napojenie existujúcich informácií o aktívach a používateľoch na technické zdroje – najmä MS Active Directory, API prístup do systému Log Management a importy výstupov zraniteľnosti.

\\

Tieto bezpečnostné opatrenia budú realizované v zmysle schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. RÚVZ je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu.

\\

\\

(% class="" %)|(((

Architektúra riešenia projektu na úrovni biznis vrstvy

169

)))|(((

170

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

171

172

**žiadateľa nerelevantný**

173

)))

174

(% class="" %)|(((

175

Architektúra riešenia projektu na úrovni aplikačnej vrstvy

176

)))|(((

177

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

178

179

**žiadateľa nerelevantný**

180

)))

181

(% class="" %)|(((

182

Architektúra riešenia projektu na úrovni dátovej vrstvy

183

)))|(((

184

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

185

186

**žiadateľa nerelevantný**

187

)))

188

(% class="" %)|(((

189

Architektúra riešenia projektu na úrovni technologickej vrstvy

190

)))|(((

191

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

192

193

**žiadateľa nerelevantný**

194

)))

195

(% class="" %)|(((

196

Infraštruktúra navrhovaného riešenia

197

)))|(((

198

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

199

200

**žiadateľa nerelevantný**

201

)))

202

(% class="" %)|(((

203

Bezpečnostná architektúra

204

)))|(((

205

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

206

207

**žiadateľa nerelevantný**

208

)))

209

(% class="" %)|(((

210

Špecifikácia údajov spracovaných v projekte, čistenie údajov

211

)))|(((

212

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

213

214

**žiadateľa nerelevantný**

215

)))

216

(% class="" %)|(((

217

Závislosti na ostatné IS/Projekty

)))|(((

**Áno**

)))

(% class="" %)|(((

Zdrojové kódy

)))|(((

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

225

226

**žiadateľa nerelevantný**

227

)))

228

(% class="" %)|(((

229

Prevádzka a údržba výstupov projektu

230

)))|(((

231

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

232

233

**žiadateľa nerelevantný**

234

)))

235

(% class="" %)|(((

236

Požiadavky na personál

237

)))|(((

238

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

239

240

**žiadateľa nerelevantný**

241

)))

242

(% class="" %)|(((

243

Implementácia a preberanie výstupov projektu

)))|(((

**Áno**

)))

**// //**

= {{id name="projekt_2894_Pristup_k_projektu_detailny-ZÁVISLOSTINAOSTATNÝCHIS"/}}ZÁVISLOSTI NA OSTATNÝCH IS =

**// //**

**// //**ÚVZ SR, ako aj jednotlivé RÚVZ spoločne používajú IS ÚVZ. Všetky informácie sú spracúvané v IS ÚVZ, prístupovým bodom pre verejnosť je Portál úradov.

255

256

[[image:attach:OBR01.jpg||height="250"]]

\\

[[image:attach:OBR02.jpg||height="250"]]

261

262

[[image:attach:OBR03.jpg||height="250"]]

263

264

[[image:attach:OBR04.jpg||thumbnail="true" height="250"]]

\\

= {{id name="projekt_2894_Pristup_k_projektu_detailny-IMPLEMENTÁCIAAPREBERANIEVÝSTUPOV"/}}IMPLEMENTÁCIA A PREBERANIE VÝSTUPOV =

**~ **

Projekt bude realizovaný metódou Waterfall:

273

274

Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

275

276

[[image:attach:OBR05.jpg||thumbnail="true" height="250"]]

\\

Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia.

281

282

Pri akceptácii budú vyhotovované vopred definované akceptačné kritéria a požiadavky z katalógu funkčných a nefunkčných požiadaviek vzťahujúce sa k jednotlivým míľnikom projektu.

283

284

Metóda riadenia "Waterfall" (vodopád) je jedným z najtradičnejších prístupov k riadeniu projektov v oblasti IT. Tento model je lineárny a sekvenčný, čo znamená, že každá fáza projektu musí byť dokončená pred začiatkom ďalšej.

285

286

__Tieto fázy sú nasledovné:__

287

288

1. Požiadavky (Requirements):* - V tejto počiatočnej fáze sú zhromaždené všetky požiadavky na systém. Ide o veľmi dôležitý krok, pretože chyby v požiadavkách môžu mať vážne následky v neskorších fázach. Dokumentujú sa všetky požiadavky zákazníka, funkčné aj nefunkčné, a výsledkom je detailná špecifikácia požiadaviek.

289

1. Analýza systému (System Design): - Po dokončení zhromažďovania požiadaviek sa prejde k analýze systému a návrhu. Táto fáza zahŕňa vytvorenie architektúry systému, technických špecifikácií a návrhu softvéru, ktorý bude schopný splniť všetky definované požiadavky.

290

1. Implementácia (Implementation): - Po schválení návrhu systému sa začne s implementáciou, teda s programovaním a kódovaním systému podľa navrhnutých špecifikácií. Výsledkom tejto fázy je hotový softvér.

291

1. Integrácia a testovanie (Integration and Testing): - V tejto fáze sa jednotlivé komponenty systému integrujú a testujú sa ako celok, aby sa overilo, či systém funguje podľa očakávaní a splňuje všetky špecifikované požiadavky. Testovanie zahŕňa rôzne typy testov, vrátane funkčných, integračných a systémových testov.

292

1. Nasadenie (Deployment): - Po úspešnom testovaní sa systém nasadí do produkčného prostredia. Táto fáza môže zahŕňať aj školenie používateľov a prípravu dokumentácie pre používateľov.

293

1. Údržba (Maintenance): - Po nasadení systému začína fáza údržby, ktorá zahŕňa opravy chýb, aktualizácie a vylepšenia systému na základe spätnej väzby od používateľov a meniace sa požiadavky.

294

295

**Výhody Waterfall modelu**: - Jednoduchosť a jasná štruktúra: Každá fáza má jasne definovaný začiatok a koniec. - Dobre zdokumentovaný proces: Všetky požiadavky a kroky sú detailne zdokumentované. - Jednoduché riadenie:*Jednoduché plánovanie a sledovanie pokroku projektu. Waterfall model je ideálny pre projekty, kde sú požiadavky jasne definované a stabilné, a kde sa očakáva, že projekt prebehne bez veľkých zmien. V súčasnosti sa však stále častejšie využívajú agilné prístupy, ktoré lepšie vyhovujú dynamickým a meniacim sa požiadavkám projektov.

**~ **

**Kvantitatívne prínosy projektu: **

300

301

* Zníženie nákladov spojených so sanáciou KBU/KBI

302

* Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI

\\

**Kvalitatívne prínosy projektu: **

307

308

* Zníženie rizika KBI,

309

* Zvýšenie súladu s platnou legislatívou,

310

* Zvyšovanie úrovne kybernetickej a informačnej bezpečnosti,

311

* Zvýšenie detekcie KBI,

312

* Zvýšte spokojnosť a dôveru používateľov,

\\

\\

\\

\\

\\

\\

\\

\\

\\

\\

\\

\\

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

= {{id name="projekt_2894_Pristup_k_projektu_detailny-IMPLEMENTÁCIAAPREBERANIEVÝSTUPOV"/}}IMPLEMENTÁCIA A PREBERANIE VÝSTUPOV =

**~ **

Projekt bude realizovaný metódou Waterfall:

367

368

Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

\\

\\

\\

\\

\\

\\

Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia.

383

384

Pri akceptácii budú vyhotovované vopred definované akceptačné kritéria a požiadavky z katalógu funkčných a nefunkčných požiadaviek vzťahujúce sa k jednotlivým míľnikom projektu.

385

386

Metóda riadenia "Waterfall" (vodopád) je jedným z najtradičnejších prístupov k riadeniu projektov v oblasti IT. Tento model je lineárny a sekvenčný, čo znamená, že každá fáza projektu musí byť dokončená pred začiatkom ďalšej.

387

388

__Tieto fázy sú nasledovné:__

389

390

1. Požiadavky (Requirements):* - V tejto počiatočnej fáze sú zhromaždené všetky požiadavky na systém. Ide o veľmi dôležitý krok, pretože chyby v požiadavkách môžu mať vážne následky v neskorších fázach. Dokumentujú sa všetky požiadavky zákazníka, funkčné aj nefunkčné, a výsledkom je detailná špecifikácia požiadaviek.

391

1. Analýza systému (System Design): - Po dokončení zhromažďovania požiadaviek sa prejde k analýze systému a návrhu. Táto fáza zahŕňa vytvorenie architektúry systému, technických špecifikácií a návrhu softvéru, ktorý bude schopný splniť všetky definované požiadavky.

392

1. Implementácia (Implementation): - Po schválení návrhu systému sa začne s implementáciou, teda s programovaním a kódovaním systému podľa navrhnutých špecifikácií. Výsledkom tejto fázy je hotový softvér.

393

1. Integrácia a testovanie (Integration and Testing): - V tejto fáze sa jednotlivé komponenty systému integrujú a testujú sa ako celok, aby sa overilo, či systém funguje podľa očakávaní a splňuje všetky špecifikované požiadavky. Testovanie zahŕňa rôzne typy testov, vrátane funkčných, integračných a systémových testov.

394

1. Nasadenie (Deployment): - Po úspešnom testovaní sa systém nasadí do produkčného prostredia. Táto fáza môže zahŕňať aj školenie používateľov a prípravu dokumentácie pre používateľov.

395

1. Údržba (Maintenance): - Po nasadení systému začína fáza údržby, ktorá zahŕňa opravy chýb, aktualizácie a vylepšenia systému na základe spätnej väzby od používateľov a meniace sa požiadavky.

396

397

**Výhody Waterfall modelu**: - Jednoduchosť a jasná štruktúra: Každá fáza má jasne definovaný začiatok a koniec. - Dobre zdokumentovaný proces: Všetky požiadavky a kroky sú detailne zdokumentované. - Jednoduché riadenie:*Jednoduché plánovanie a sledovanie pokroku projektu. Waterfall model je ideálny pre projekty, kde sú požiadavky jasne definované a stabilné, a kde sa očakáva, že projekt prebehne bez veľkých zmien. V súčasnosti sa však stále častejšie využívajú agilné prístupy, ktoré lepšie vyhovujú dynamickým a meniacim sa požiadavkám projektov.

**~ **

**Kvantitatívne prínosy projektu: **

402

403

* Zníženie nákladov spojených so sanáciou KBU/KBI

404

* Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI

405