Zmeny dokumentu projekt_2921_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/05 18:30

From 3.3 to 3.2

Z verzie 4.1

upravil Admin-metais MetaIS
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 3.3

upravil Admin-metais MetaIS
-

Zmeniť komentár: Renamed from xwiki:Dokumenty.projekt_2921.projekt_2921_Projektovy_zamer_detailny.WebHome

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)

Podrobnosti

Vlastnosti stránky

Obsah

@@ -4,6 +4,7 @@
  **~ podľa vyhlášky MIRRI č. 401/2023 Z. z. **
++\\
  (% class="wrapped" %)
  |(((
@@ -55,15 +55,15 @@
  |(((
  Vypracoval
  )))|(((
--
++\\
  )))|(((
  ÚVZ SR
  )))|(((
--
++\\
  )))|(((
--
++\\
  )))|(((
--
++\\
  )))
  **~ **
@@ -87,7 +87,7 @@
  )))|(((
  //Vypracovanie dokumentu//
  )))|(((
--
++\\
  )))
  |(((
  //1.0//
@@ -96,16 +96,16 @@
  )))|(((
  //Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.//
  )))|(((
--
++\\
  )))
  |(((
--
++\\
  )))|(((
--
++\\
  )))|(((
--
++\\
  )))|(((
--
++\\
  )))
  **~ **
@@ -114,6 +114,7 @@
  V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.
++\\
  V súlade s Vyhláškou MIRRI SR č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke IT VS je dokument Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.
@@ -121,11 +121,13 @@
  Hlavnou motiváciou je realizácia kyberbezpečnostných opatrení definovaných v Z.z. 69/2018 a v zákone o ISVS.
--Prioritne jedná o tie opatrenia, ktoré vykazujú najväčší nesúlad s uvedenými právnymi normami a vyhláškou 362/2018 Z. z.. V dôsledku realizácie týchto opatrení budú ÚVZ SR chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku ÚVZ SR.
++Prioritne jedná o tie opatrenia, ktoré vykazujú najväčší nesúlad s uvedenými právnymi normami a vyhláškou 362/2018 Z. z.. V dôsledku realizácie týchto opatrení budú ÚVZ SR chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku ÚVZ SR.
++\\
  Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti, ktoré sú obsahom projektu:
++\\
 . Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky nového zákona o KB a príslušných vykonávacích predpisov,
 . Dopracovanú smernicu pre oblasti riadenia bezpečnosti prevádzky sietí a IS/APP,
@@ -141,6 +141,7 @@
 . Zanalyzované existujúce prostredie ÚVZ SR s ohľadom na vzniknutý systém IS ÚVZ a vytvorené záznamy o identifikovaných vzťahoch a súvislostiach,
 . Zanalyzovaný spôsob efektívnej realizácie monitoringu zariadení, činností, sietí, IS a APP v prostredí ÚVZ SR a zabezpečenú podporu pre vybraté riešenie pri jeho nasadení a spustení do prevádzky.
++\\
  Cieľom projektu je, aby po jeho realizácii naša inštitúcia dosiahla čo možno najväčší súlad s NIS2, Zákonom o kyberbezpečnosti, ako aj Zákonom o ISVS.
@@ -220,6 +220,7 @@
  Security Operation Center
  )))
++\\
  == {{id name="projekt_2921_Projektovy_zamer_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}2.2 Konvencie pre typy požiadaviek (príklady) ==
@@ -263,6 +263,7 @@
 . Zanalyzované existujúce prostredie ÚVZ SR s ohľadom na vzniknutý systém IS ÚVZ a vytvorené záznamy o identifikovaných vzťahoch a súvislostiach,
 . Zanalyzovaný spôsob efektívnej realizácie monitoringu zariadení, činností, sietí, IS a APP v prostredí ÚVZ SR a zabezpečenú podporu pre vybraté riešenie pri jeho nasadení a spustení do prevádzky
++\\
  **Jednotlivé organizačné jednotky (OZ), teda regionálne úrady verejného zdravotníctva (ktorých je 36) využívajú centrálny informačný systém (IS ÚVZ), tzn. že každá OZ, ak sa stane terčom kybernetického útoku, ohrozuje fungovanie IS ÚVZ ako celku a môže spôsobiť odstavenie celého systému. V dôsledku toho je nevyhnutné, aby navrhovaným systémov disponovalo nie len ÚVZ, ale aj všetky RÚVZ.**
@@ -270,6 +270,7 @@
  Prevádzkové informácie budú zobrazovať aktuálne informácie o stave logovaných ICT systémov jednotlivých organizácií. Nad týmito logmi bude vykonané parsovanie a následne sa uložia do centrálneho dátového skladu, kde bude možné s týmito dátami ďalej pracovať. Primárne sa jedná o nepretržitý zber logov a monitorovanie prevádzky ICT technológií, systémov, aplikácií, stavu kybernetického a fyzického zabezpečenia a poskytovanie dát a informácií pre riešenie odchýlok a nápravných opatrení. Všetky údaje uložené v dátovom sklade budú podrobené procesu sledovania a vyhodnocovania podľa nižšie uvedených scenárov. Tým bude zabezpečené sledovanie jednotlivých systémov podľa nariadenia NIS2. Jednotlivé zistenia budú automaticky evidované v systéme na riadenie bezpečnosti, ktorý riadi všetky zistené riziká a navrhuje vhodné opatrenia. Takto evidované a riadené sledovanie logov povedie k včasnej detekcii rizík a ich okamžitej náprave.
++\\
  Z pohľadu kompletného zberu logov bude vyhodnocované:
@@ -284,17 +284,22 @@
  * zmenu a neúspešný pokus o zmenu nastavení nástrojov na zaznamenávanie udalostí
  * ďalšie činnosti používateľov, ktoré môžu mať vplyv na bezpečnosť regulovanej služby.
++\\
  **__Motivácia a rozsah projektu:__**
  Projekt je motivovaný súčasný stavom kybernetickej bezpečnosti, ktorý nie je vyhovujúci. Motiváciou projektu je zabezpečiť súlade kybernetickej bezpečnosti u žiadateľa v zmysle Zákona o kybernetickej bezpečnosti a smernice NIS2. Rozsah projektu je detailnej uvedený v nasledovnej kapitole - Výsledky projektu a cieľový stav .
++\\
  **__Zainteresované strany/ Stakeholderi:__**
  V rámci predloženého projektu sú zainteresovanými stranami žiadateľ, ktorý obstaráva riešenie kybernetickej bezpečnosti na trhu prostredníctvom zdrojov EÚ. Zainteresovanou stranou bude aj  budúci dodávateľ riešenia, ktorý vzíde ako víťaz verejného obstarávania. Uvedené aktivity budú realizované pod dohľadom Úradu verejného zdravotníctva, ako strešnej organizácie.
++**
++**
++\\
  **Čiastková aktivita a) Organizácia KB,**
@@ -308,6 +308,7 @@
  Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy.
++\\
  **Čiastková činnosť b) Riadenie rizík KB**,
@@ -323,6 +323,7 @@
  Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení.
++\\
  **Čiastková činnosť c) Personálna bezpečnosť**,
@@ -346,6 +346,7 @@
  Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD.
++\\
  **Čiastková aktivita k) Zaznamenávanie udalostí a monitoring sietí a IS,**
@@ -359,6 +359,7 @@
  Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou.
++\\
  **__Merateľné ukazovatele projektu:__**
@@ -365,11 +365,13 @@
  * Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov – 50
  * Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov – 1
++\\
  **__Návrh organizačného zabezpečenia projektu:__**
  Administratívne, odborné a prevádzkové kapacity žiadateľa:
++\\
  Z hľadiska interného riadenia projektu je odborné zabezpečenie stanované v Bezpečnostnej smernici.
@@ -383,12 +383,15 @@
  všetky oprávnené osoby v rozsahu svojich pracovných kompetencií, ktoré im vyplývajú z ich pracovnej náplne.
++\\
  Za zabezpečenie vypracovania bezpečnostnej dokumentácie v súlade o zákonom č. 69/2018 Z.z. a zabezpečenie implementácie bezpečnostných opatrení zodpovedá generálny tajomník služobného úradu.
++\\
  Za dodržiavanie interných bezpečnostných smerníc RÚVZ zodpovedajú všetci zamestnanci v rozsahu primeranom ich pracovnej pozícii a pracovnej náplne.
++\\
  __Generálny tajomník služobného úradu__
@@ -402,11 +402,13 @@
  V prípade vzniku závažných kybernetických incidentov v spolupráci s manažérom KB zasiela hlásenia o bezpečnostných incidentoch NBÚ SR.
++\\
  RÚVZ disponuje interným manažérom KIB
  Vymenúva generálny tajomník služobného úradu. Pri výbere osoby manažéra KB prihliada predovšetkým na jeho odborné znalosti v oblasti IT so zameraním na otázky KB, najmä schopnosti odhaľovať zraniteľnosti informačných aktív a tiež na znalosti legislatívy v oblasti KB a štandardov pre ISVS. Je priamym podriadeným generálneho tajomníkovi služobného úradu; v zmysle zákona č. 69/2018 Z.z. a je oprávnený predkladať návrhy a oznamovať informácie v oblasti KB priamo generálnemu tajomníkovi služobného úradu. Má možnosť predkladať mu návrhy a oznamovať informácie v oblasti KB. Zabezpečuje aplikáciu bezpečnostných opatrení v systéme riadenia KB. Je nezávislý od riadenia prevádzky a vývoja služieb IT.
++\\
  Povinnosti:
@@ -428,6 +428,7 @@
  poskytovať súčinnosť RÚVZ v konaní s NBÚ SR.
++\\
  __RÚVZ disponuje interným správcom IT__
@@ -449,6 +449,7 @@
  v prípade zlyhania alebo obmedzenia funkčnosti automatizovaného IS zabezpečuje jeho obnovu.
++\\
  Základné povinnosti:
@@ -462,16 +462,19 @@
  pri návrhu a budovaní technickej infraštruktúry informačných systémov zvažovať bezpečnostné hrozby pôsobiace na jednotlivé časti automatizovaných informačných systémov a závažnosť vplyvu na ich bezpečnosť a spoľahlivosť.
++\\
  Z hľadiska procesného riadenia projektu podľa vyhlášky č. 401/2023  Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky z 9. októbra 2023
  o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy.
++\\
  __Administratívne kapacity žiadateľa:__
  Žiadateľ má zabezpečené riadenie projektu externou formou, pričom má zadefinovaný minimálny rozsah prác, ktorý je nevyhnutný v rámci riadenia projektu:
++\\
  Cieľom projektového manažmentu je zabezpečenie kvalitné a odborné riadenie projektu presne podľa podmienok, ktoré stanovuje výzva, príručka pre prijímateľa a ktoré ustanovuje zmluva o NFP. Žiadateľ definoval rozsah prác,  ktorý je nevyhnutný na dodržanie podmienok zmluvy o NFP do 6 oblastí, ktoré v sebe zahrňujú viaceré podoblasti:
@@ -482,9 +482,11 @@
  * informovanie o projekte a komunikácia v zmysle Manuálu pre informovanie a komunikáciu pre Operačný program Slovensko
  * všetky súvisiace úkony spojené so zabezpečením dodržiavania ustanovení Zmluvy o NFP.
++\\
  Úlohou administratívneho a projektového  manažmentu bude riadenie projektu za účelom úspešnej realizácie projektu a plnenia všetkých povinností vyplývajúcich zo Zmluvy o poskytnutí NFP na úrovni projektových manažérov, finančných manažérov a ostatných zainteresovaných manažérov. Dodávateľ sa zaväzuje, že odberateľovi poskytne činnosti, a to najmä, no nie výlučne týkajúce sa :
++\\
  * kontroly plnenia časového plánu na úrovni podrobných čiastkových úloh v rámci jednotlivých aktivít projektu,
  * kontroly plnenia čiastkových cieľov a míľnikov,
@@ -497,49 +497,61 @@
  * informovanie o projekte a komunikácia v zmysle Manuálu pre informovanie a komunikáciu  pre Operačný program Slovensko
  * riadenie rizík
++\\
  Projektový tím sa skladá z nasledovný osôb a pozícií:
++\\
  Projektový manažér-  jej činnosti pozostávajú najmä, no nie výlučne z nasledovných činnosti:
++\\
  Náplňou práce projektového manažéra bude riadenie aktivít prijímateľa, priebežný monitoring realizácie aktivít podľa stanoveného harmonogramu, koordinácia práce projektového tímu za prijímateľa, riešenie vzniknutých problémov a nezrovnalostí a zodpovednosť za správne realizovanie činností, dohľad nad aktivitami dodávateľa, pričom bude niesť zodpovednosť za koordináciu všetkých zúčastnených spolupracovníkov prijímateľa/partnera aktivity. Komunikácia bude prebiehať s ostatnými projektovými manažérmi, s koordinátorom odbornej aktivity a ostatnými internými administratívnymi spolupracovníkmi.
  Jej úlohou bude najmä riadenie projektového tímu, kontrola dodržiavania časového harmonogramu projektu, kontrola kvality realizácie jednotlivých aktivít projektu, interný monitoring a vyhodnocovanie kvality a kvantity výstupov súvisiacich s projektom. Zároveň bude zodpovedná za prijímanie opatrení a odstraňovanie nedostatkov a rizík pri implementácii projektov. Uvedený pracovník zodpovedá za zabezpečenie plynulého chodu všetkých aktivít projektu počas celého obdobia realizácie od podpisu zmluvy o NFP medzi poskytovateľom a prijímateľom až po samotné ukončenie realizácie projektu vrátane komunikácie s riadiacim orgánom, s priamymi účastníkmi projektu (finančný manažér, asistent projektu ...), spracovanie, úprava a doplnenie časového harmonogramu aktivít projektu, dozorná činnosť nad plnením pracovnej činnosti riadiaceho tímu a ostatných účastníkov (cieľová skupina, dodávateľské služby), prijímanie opatrení na odstránenie nedostatkov a rizík pri implementácii projektu, príprava a spracovanie dokumentácie pre potreby verejného obstarávania. Finančné riadenie – zabezpečenie kompletnej projektovej dokumentácie k samotnému zúčtovanie žiadostí o platbu, spracovanie, úprava a doplnenie cashflow rozpočtu projektu, spracovanie úprava a doplnenie finančného harmonogramu projektu, aktívna spolupráca a komunikácia so zamestnancami finančného oddelenia prijímateľa projektu – kontrola čerpania finančných prostriedkov poskytnutých z fondov ŠR a EÚ v súlade so zmluvou o NFP; úhrady oprávnených nákladov, kontrola dodávateľsko-odberateľských vzťahov. Monitoring a publicita projektu – Príprava, spracovanie a predkladanie monitorovacích správ projektu, sledovanie merateľných ukazovateľov, vecného, finančného plnenia projektu a sledovanie plnenia podmienok pre publicitu a monitoring. Informovanie o projekte a komunikácia v zmysle Manuálu pre informovanie a komunikáciu pre Operačný program Slovensko.
++\\
  Finančný manažér, jej činnosti pozostáva najmä, no nie výlučne z nasledovných činnosti:
  Náplňou práce finančného manažéra je zabezpečovať všetky náležitosti súvisiace s finančnou stránkou projektu, správne zaúčtovanie jednotlivých položiek v rámci projektu, zúčtovanie projektu smerom k poskytovateľovi NFP. Finančné riadenie projektu, podklady pre projektové účtovníctvo, nákladový controlling, zodpovednosť za finančné podklady pre monitorovanie a hodnotenie projektu. Riadenie správneho finančného fungovania projektu, vedenie účtovníctva, zabezpečovanie fakturácie, dohľad nad plynulým finančným tokom projektu a minimalizácia riziká výskytu neoprávnených nákladov a korekcii zo strany Poskytovateľa. Zodpovedá za spracovanie a včasné predkladanie žiadostí o platbu, vrátane úplnej podpornej dokumentácie a predkladá dokumentáciu v zmysle monitorovania podľa Príručky pre prijímateľa NFP sprostredkovateľského orgánu OP SK. Zodpovedá za čerpanie finančných prostriedkov v súlade s pokrokom v implementácii projektu a dosahovanými ukazovateľmi podľa zmluvy o poskytnutí NFP. Zodpovedá za styk s bankovými inštitúciami a zabezpečenie obchodných procesov z ekonomického hľadiska. V prípade potreby spolupracuje pri vypracovaní a realizovaní opatrení, ktoré vedú k dosiahnutiu úloh a cieľov projektu. Predkladá návrhy pre vypracovanie opatrení v oblasti finančného riadenia projektu a pod.; vedie účtovnú agendu, zodpovedá za vypracovanie miezd, zabezpečuje ucelené časti účtovného systému organizácie, evidenciu a účtovanie, inventarizáciu, spravovanie daní a poplatkov, vyhotovenie, triedenie a archiváciu účtovných dokladov; spracováva prvotnú ekonomickú agendu v rámci projektu pre zaúčtovanie ekonómom. Podľa potreby zabezpečuje komunikáciu s dodávateľmi a všetky úkony súvisiace s plnením dodávky v rámci subdodávateľských vzťahov projektu ako aj kontrola činnosti jednotlivých dodávateľov projektu. Zároveň zabezpečuje prípravu a vyhotovovanie monitorovacích správ, prípadne mimoriadnych monitorovacích správ. Taktiež zabezpečuje zastupovanie žiadateľa/prijímateľa v prípade kontroly zo strany Poskytovateľa. Zároveň zodpovedá za vyhotovovanie a finančné plánovanie projektu. Taktiež zodpovedá za komplexné riešenie poskytovania služieb risk managementu. Taktiež zabezpečuje monitoring dodržiavania merateľných ukazovateľov projektu, ku ktorým sa žiadateľ v rámci Zmluvy o NFP zaväzuje.
++\\
++\\
  Asistent projektového manažéra, ktorej činnosť pozostáva najmä, no nie výlučne z nasledovných činnosti:
  Náplňou práce uvedeného pracovníka bude administratívna podpora pre projektového manažéra a všetky úlohy spojené s riadnym plnený povinností projektového manažéra vyplývajúcich z náplne práce projektového manažéra a povinností vyplývajúcich zo zmluvy o NFP.
++\\
  Práca koordinátora projektu,  ktorá pozostáva najmä, no nie výlučne z nasledovných činnosti:
  Uvedený pracovník bude v rámci projektu zabezpečovať úlohu koordinátora medzi projektovými a finančným manažérom, ako aj ich asistentom a odborným pracovníkom. Zároveň bude dohliadať nad plnením aktivít v rámci časového harmonogramu a dodržiavania všetkých povinností v zmysle zmluvy o NFP. Primárnou úlohou bude koordinovať a kontrolovať činnosť projektových manažérov, finančných manažérov ako aj asistenta projektového manažéra a dozor nad plynulým a riadnym chodom projektu a projektových aktivít.
++\\
  Práca manažéra monitoringu, komunikácie a diseminácie výsledkov a výstupov projektu, ktorá pozostáva najmä, no nie výlučne z nasledovných činností:
  Primárnou úlohou popísaného pracovníka bude zabezpečenie všetkých činností súvisiacich s monitoringom projektu, ako aj komunikácie či už s dodávateľmi v rámci projektu, pracovníkom pre verejné obstarávanie alebo SORO. Zároveň bude zabezpečovať diseminačné činnosti v oblasti propagácie a šírenia výsledkov a výstupov projektu.
++\\
  Všetky vyššie uvedené činnosti musia byť v súlade s aktuálne platným systémom finančného riadenia a systémom riadenia EŠIF, platnými právnymi predpismi SR a EK, usmerneniami a pokynmi poskytovateľa súvisiacimi s čerpaním fondov EÚ. Dodávateľ  taktiež zabezpečuje realizáciu projektu v súlade so schváleným harmonogramom realizácie aktivít projektu. Dodávateľ bude tieto služby poskytovať osobne, telefonicky, písomne alebo prostredníctvom elektronickej pošty, podľa potrieb Odberateľa po vzájomnej dohode. Služby budú poskytované primárne zo sídla Poskytovateľa, avšak v prípade potreby aj na mieste určenom Odberateľom po predchádzajúcej dohode s Poskytovateľom. Dodávateľ je povinný zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel pri výkone  vyššie uvedených činností.
++\\
  Rozsah prác je definovaný dĺžkou realizácie aktivít projektu a dobou udržateľnosti projektu.
++\\
  **__Alternatívy:__**
  Voči navrhovanému riešeniu existujú alternatívne riešenia, avšak žiadateľ v zmysle princípu hospodárnosti, efektívnosti, účelnosti a nevyhnutnosti výdavkov považuje navrhované riešenie v projekte za najvhodnejšie. Nami posudzované alternatívne riešenia boli finančne náročnejšie a nekorešpondovali s rozpočtom, ktorý je v rámci ŽoNFP.
++\\
  **__Opis obmedzení, predpokladov, tolerancií:__**
@@ -551,6 +551,7 @@
  * Časové obmedzenia:*Implementácia kyberbezpečnostných riešení môže byť časovo náročná, čo je obmedzené dostupnými ľudskými a technologickými zdrojmi.
  * ~*~*Regulačné a právne obmedzenia: Kyberbezpečnostné riešenia musia byť v súlade s platnými zákonmi a reguláciami, ktoré sa môžu líšiť podľa jurisdikcie a môžu obmedziť určité typy opatrení (napr. zber a spracovanie osobných údajov).
++
  **2. Predpoklady:**
  * Správne nastavenie politiky:~*~* Predpokladá sa, že organizácie majú zavedené politiky a postupy, ktoré podporujú implementáciu kyberbezpečnostných opatrení.
@@ -558,6 +558,7 @@
  * Spoľahlivosť dodávateľov a služieb:~*~* Predpokladá sa, že tretie strany, ako dodávatelia softvéru a služieb, dodržiavajú bezpečnostné štandardy a postupy, čo nemusí byť vždy prípad.
  * ~*~*Existencia aktuálnych záloh:~*~* Mnoho bezpečnostných riešení predpokladá, že organizácia má aktuálne zálohy dát, ktoré môžu byť použité v prípade útoku.
++
  **3. Tolerancie:**
  * Falošne pozitívne a negatívne detekcie: Kyberbezpečnostné riešenia, najmä tie, ktoré sú zamerané na detekciu hrozieb, musia tolerovať určité množstvo falošne pozitívnych alebo negatívnych výsledkov, aby nedošlo k preťaženiu systémov alebo chybnej detekcii.
@@ -565,14 +565,18 @@
  * Užívateľská tolerancia: Riešenia musia zohľadňovať úroveň akceptácie zo strany užívateľov, čo môže obmedziť prísnosť implementovaných opatrení (napr. zložité heslá alebo dvojfaktorová autentifikácia).
  * Riziková tolerancia: Organizácie musia určiť svoju úroveň akceptovateľného rizika, čo ovplyvní rozhodnutia o implementácii konkrétnych riešení a opatrení.
++
  Pri návrhu a implementácii kyberbezpečnostných riešení je dôležité zohľadniť tieto obmedzenia, predpoklady a tolerancie, aby boli opatrenia účinné a efektívne v reálnom prostredí organizácie.
++\\
++\\
  **__Opis požadovaných výstupov:__**
  Žiadateľ po realizácii projektu bude mať zabezpečené nasledovné aktivity:
++\\
 . Prehodnotenú SM-03 Bezpečnostná politika a stratégia Regionálneho úradu verejného zdravotníctva v Prievidzi so sídlom v Bojniciach s ohľadom na požiadavky nového zákona o KB a príslušných vykonávacích predpisov,
 . Dopracovanú smernicu pre oblasti riadenia bezpečnosti prevádzky sietí a IS/APP,
@@ -588,9 +588,11 @@
 . Zanalyzované existujúce prostredie ÚVZ SR s ohľadom na vzniknutý systém IS ÚVZ a vytvorené záznamy o identifikovaných vzťahoch a súvislostiach,
 . Zanalyzovaný spôsob efektívnej realizácie monitoringu zariadení, činností, sietí, IS a APP v prostredí ÚVZ SR a RÚVZ a zabezpečenú podporu pre vybraté riešenie pri jeho nasadení a spustení do prevádzky.
++\\
  Výsledky projektu a cieľový stav po realizácii projektu (manažérske produkty)
++\\
  **Čiastková aktivita a) Organizácia KB,**
@@ -604,6 +604,7 @@
  Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy.
++\\
  **Čiastková činnosť b) Softvér na automatizované riadenie rizík KB,**
@@ -619,6 +619,7 @@
  Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení.
++\\
  * Sú identifikované všetky aktíva súvisiace so zariadením na spracovanie informácií a centrálne zaznamenávanie inventára týchto aktív podľa ich hodnoty a s určením ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu (EAM).
  * Sú automatizovane pomocou nástroja riadené riziká skladajúce sa z identifikácie zraniteľností, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenie vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácií prijatých bezpečnostných opatrení.
@@ -628,6 +628,7 @@
  Nástroj na riadenie zistených aktív a rizík bude poskytovať nasledujúce funkcionality:
++\\
  * Evidenciu aktív, rizík i hrozieb,
  * Automatické hodnotenie a kalkulácia rizík a hrozieb,
@@ -639,6 +639,7 @@
  * Generovanie dokumentov ZHR, POA a PZR pre audit,
  * Notifikácia opatrení,
++\\
  **Čiastková činnosť c) Personálna bezpečnosť,**
@@ -662,6 +662,7 @@
  Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD.
++\\
  **Čiastková aktivita k) Softvér na zaznamenávanie udalostí, monitoring sietí a IS,**
@@ -696,18 +696,23 @@
  * HW dimenzovaný na zber logov aspoň po dobu 12 mesiacov,
  * HW vrátane virtualizačného riešenia,
++\\
  Nová povinnosť riadiť riziká dopadne na oveľa širší okruh subjektov, než tomu bolo doteraz, vrátane  RÚVZ.  Pre tieto subjekty je určený systém zberu a riadenia logov s online vyhodnocovaním a napojením na systém riadenia rizík. Tým sa zabezpečí neustály prehľad o možných hrozbách, ich včasná identifikácia a zhodnotenie, ako aj návrh riešení pri riadení rizík. Toto riešenie popisuje možnosti pre vybudovanie centrálnej platformy, ktorá bude v prvej fáze zameraná na zber logov pomocou sofistikovaného nástroja, ich parsovanie a vyhodnocovanie na základe jednotlivých scenárov podľa nariadenia NIS2, aby sa zabezpečil bezpečný chod a včasná detekcia hrozieb všetkých organizácií. Systém bude obsahovať aj samotné riadenie aktív a rizík, aby detekované problémy boli automaticky zachytené v samostatnom systéme, kde prebehne ich vyhodnotenie. Riešenie bude realizované na výkonnom serveri tzv. „ALL in one box“. Dôležitou časťou inštalácie je konfigurácia technických aktív, aby zasielali relevantné záznamy.
++\\
  Jednotlivé organizačné jednotky (OZ), teda regionálne úrady verejného zdravotníctva (ktorých je 36) využívajú centrálny informačný systém (IS ÚVZ), tzn. že každá OZ, ak sa stane terčom kybernetického útoku, ohrozuje fungovanie IS ÚVZ ako celku a môže spôsobiť odstavenie celého systému. V dôsledku toho je nevyhnutné, aby navrhovaným systémov disponovalo nie len ÚVZ, ale aj všetky RÚVZ.
++\\
  Zasielané udalosti sú v jednotlivých organizáciách na vstupe prijaté, označkované a parsované podľa technológie. Následne sú buď vhodnými základnými pravidlami produktu a implementačnými pravidlami na mieru spracované, aby bolo možné s nimi vytvárať potrebné navrhnuté scenáre. Ďalej sú uložené a vizualizované buď prostredníctvom základných nástrojov, alebo v budúcnosti vyššou formou pomocou integračnej platformy. Implementácia zahŕňa vytvorenie prístupových oprávnení v súlade s požiadavkami na viditeľnosť a spracovanie dát a následnú vizualizáciu.
++\\
  Prevádzkové informácie budú zobrazovať aktuálne informácie o stave logovaných ICT systémov jednotlivých organizácií. Nad týmito logmi bude vykonané parsovanie a následne sa uložia do centrálneho dátového skladu, kde bude možné s týmito dátami ďalej pracovať. Primárne sa jedná o nepretržitý zber logov a monitorovanie prevádzky ICT technológií, systémov, aplikácií, stavu kybernetického a fyzického zabezpečenia a poskytovanie dát a informácií pre riešenie odchýlok a nápravných opatrení. Všetky údaje uložené v dátovom sklade budú podrobené procesu sledovania a vyhodnocovania podľa nižšie uvedených scenárov. Tým bude zabezpečené sledovanie jednotlivých systémov podľa nariadenia NIS2. Jednotlivé zistenia budú automaticky evidované v systéme na riadenie bezpečnosti, ktorý riadi všetky zistené riziká a navrhuje vhodné opatrenia. Takto evidované a riadené sledovanie logov povedie k včasnej detekcii rizík a ich okamžitej náprave.
++\\
  Z pohľadu kompletného zberu logov bude vyhodnocované:
@@ -722,6 +722,7 @@
  * zmenu a neúspešný pokus o zmenu nastavení nástrojov na zaznamenávanie udalostí
  * ďalšie činnosti používateľov, ktoré môžu mať vplyv na bezpečnosť regulovanej služby.
++\\
  **Čiastková činnosť o) Audítorská a kontrolná činnosť,**
@@ -743,6 +743,7 @@
  Podporné nástroje pre správu minimalizujú ľudské chyby a maximálne využívajú napojenie existujúcich informácií o aktívach a používateľoch na technické zdroje – najmä MS Active Directory, API prístup do systému Log Management a importy výstupov zraniteľnosti.
++\\
  **__Opis rozpočtu:__**
@@ -758,7 +758,7 @@
  )))|(((
 000,00
  )))|(((
--
++\\
  )))|(((
 000,00
  )))
@@ -773,7 +773,7 @@
  )))|(((
 000,00
  )))|(((
--
++\\
  )))|(((
 000,00
  )))
@@ -788,11 +788,12 @@
  )))|(((
 000,00
  )))|(((
--
++\\
  )))|(((
 000,00
  )))
++\\
  (% class="wrapped" %)
  |(((
@@ -806,7 +806,7 @@
  )))|(((
 000,00
  )))|(((
--
++\\
  )))|(((
 000,00
  )))
@@ -821,18 +821,22 @@
  )))|(((
 000,00
  )))|(((
--
++\\
  )))|(((
 000,00
  )))
++\\
++\\
  Spolu
                                                                                                                                                                                            **420 000,00 €**
++\\
++\\
  **__Detailný popis nákladov a prínosov:__**
@@ -843,6 +843,7 @@
 . Zníženie nákladov spojených so sanáciou KBU/KBI
 . Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI
++\\
  **__Kvalitatívne prínosy projektu:__**
@@ -852,16 +852,19 @@
 . Zvýšenie detekcie KBI,
 . Zvýšte spokojnosť a dôveru používateľov,
++\\
  **__VÝSLEDKOM PROJEKTU JE ZABEZPEČENIE SÚLADU SO SMERNICOU NIS2 a Zákonom o kybernetickej bezpečnosti Slovenskej republiky (Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti)__**
  Realizáciou vyššie uvedenej aktivity, dosiahne žiadateľ súlad so Smernicou NIS2 a Zákonom o kybernetickej bezpečnosti Slovenskej republiky (Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti). Tieto aktivity pokrývajú širokú škálu oblastí vrátane bezpečnostnej politiky, správy rizík, ochrany proti škodlivému kódu, inventarizácie aktív, bezpečnosti sietí a informačných systémov, kontroly prístupu, riadenia zraniteľností, monitoringu, kontinuity činností a incident managementu.
++\\
  **__Postup a spôsob nacenenia projektu:__**
  Žiadateľ realizoval prieskum trhu, kde oslovil 3 spoločnosti, ktoré sú oprávnené dodávať predmet zákazky, pričom spôsobom nacenenia spočíval v ~,~,spriemerovaní“ troch cenových ponúk na každý logický celok. Týmto spôsobom bol vytvorený rozpočet projekt pre každú položku.
++\\
  **__Harmonogram projektu:__**
@@ -873,6 +873,7 @@
  Celková dĺžka realizácie hlavných aktivít projektu (v mesiacoch):                              12
++\\
  == {{id name="projekt_2921_Projektovy_zamer_detailny-3.2Cieleprojektu"/}}3.2 Ciele projektu ==
@@ -882,8 +882,9 @@
  |(((
  ID
  )))|(((
--
++\\
++\\
  Názov cieľa
  )))|(((
@@ -894,7 +894,7 @@
  |(((
  ...
  )))|(((
--
++\\
  )))|(((
  ...
  )))|(((
@@ -903,7 +903,7 @@
  |(((
  ...
  )))|(((
--
++\\
  )))|(((
  ...
  )))|(((
@@ -916,8 +916,9 @@
  |(((
  ID
  )))|(((
--
++\\
++\\
  ID/Názov cieľa
  )))|(((
@@ -928,13 +928,13 @@
  ukazovateľa
  )))|(((
  Merná jednotka
--
++\\
  )))|(((
  AS IS
  merateľné hodnoty
  (aktuálne)
  )))|(((
--TO BE
++TO BE
  Merateľné hodnoty
  (cieľové hodnoty)
  )))|(((
@@ -945,7 +945,7 @@
  |(((
  ...
  )))|(((
--
++\\
  )))|(((
  ...
  )))|(((
@@ -964,7 +964,7 @@
  |(((
  ...
  )))|(((
--
++\\
  )))|(((
  ...
  )))|(((
@@ -983,7 +983,7 @@
  |(((
  ...
  )))|(((
--
++\\
  )))|(((
  ...
  )))|(((
@@ -1000,6 +1000,7 @@
  ...
  )))
++\\
  Vysvetlivky k vyplneniu tabuľky:
@@ -1015,19 +1015,23 @@
  **Realizácia projektu na zabezpečenie kyberbezpečnosti financovaného z fondov EÚ môže čeliť viacerým rizikám.**
++\\
  **1. Nedodržanie harmonogramu aktivít**
  Riziko spočíva v nedodržiavaní harmonogramu aktivít projektu, ktoré by vyústilo do oneskorenia projektu.
++\\
  __Opatrenia na elimináciu:__
  V rámci prípravy projektu bol harmonogram jednotlivých aktivít zostavený tak aby zodpovedal možnostiam žiadateľa.
++\\
  Na elimináciu rizika nedodržania harmonogramu aktivít projektu je potrebné prijať niekoľko opatrení, ktoré zabezpečia efektívne riadenie času a zdrojov. Tu sú niektoré z nich:
++\\
  a) Dôkladné plánovanie:
@@ -1074,14 +1074,17 @@
  * žiadateľ je pripravený prispôsobiť harmonogram podľa aktuálnych podmienok a vývoja situácie.
  * žiadateľ bude mať zavedené spolu s projektovými tímom procesy pre rýchlu reakciu na zmeny a úpravu plánov.
++\\
  **Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.**
++\\
  **2. Nedosiahnutie plánovaných hodnôt merateľných ukazovateľov**
  Hoci v rámci projektu sa nesledujú také merateľné ukazovatele, ktoré by boli merateľnými ukazovateľmi s príznakom, žiadateľ si uvedomuje možné riziká súvisiace s nenaplnením merateľných ukazovateľov.
++\\
  __Opatrenia na elimináciu rizika:__
@@ -1089,9 +1089,11 @@
  Prijímateľ dlhoročne realizuje projekty financované s fondov EÚ. Samotný projekt vyplýva z jeho dlhodobých  plánov a preto celé jeho nastavenie je podrobne analyzované vrátane nastavenia časového harmonogramu a cieľových hodnôt merateľných ukazovateľov.Prijímateľ do realizácie projektu zapojil odborných zamestnancov spoločnosti, aby bolo zaručené dosiahnutie plánovaných výsledkov.
++\\
  Aby sa eliminovalo riziko nedosiahnutia plánovaných hodnôt merateľných ukazovateľov v rámci projektu, môžu byť prijaté nasledujúce opatrenia:
++\\
  a) Precízne plánovanie a nastavenie realistických cieľov:
@@ -1138,14 +1138,17 @@
  * Zaviesť interné a externé kontroly a audity na preverenie plnenia merateľných ukazovateľov.
  * Implementovať odporúčania z auditov na zlepšenie procesov a výkonnosti.
++\\
  **Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.**
++\\
  **3. Nedostatky v dodávkach od externých dodávateľov**
  Nedodržiavanie termínov zo strany externých dodávateľov služieb a tovarov. Dodávateľ(lia) služieb a tovarov, ktorý vzíde z procesu verejného obstarávania nebude dodržiavať harmonogram prác a dodávok, resp. bude v omeškaní.
++\\
  __Opatrenia na elimináciu rizika: __
@@ -1171,16 +1171,19 @@
  **__Rozpočet projektu je detailne špecifikovaný v časti 11. Rozpočet projektu v rám ci predloženej ŽoNFP.__**
++\\
  = {{id name="projekt_2921_Projektovy_zamer_detailny-6.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}6. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =
  **__Harmonogram projektu je uvedený v časti 9. Harmonogram realizácie aktivít predloženej ŽoNFP.__**
++\\
  **Projekt bude realizovaný metódou Waterfall:**
  Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.
++\\
  Objednávateľ projektu vypracuje funkčnú a technickú špecifikáciu,
@@ -1190,12 +1190,15 @@
  // //
++\\
  Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia.
++\\
  Pri akceptácii budú vyhotovované vopred definované akceptačné kritéria a požiadavky z katalógu funkčných a nefunkčných požiadaviek vzťahujúce sa k jednotlivým míľnikom projektu.
++\\
  Metóda riadenia "Waterfall" (vodopád) je jedným z najtradičnejších prístupov k riadeniu projektov v oblasti IT. Tento model je lineárny a sekvenčný, čo znamená, že každá fáza projektu musí byť dokončená pred začiatkom ďalšej. Tieto fázy sú nasledovné:
  \\1. Požiadavky (Requirements):*
@@ -1210,7 +1210,7 @@
     - Po úspešnom testovaní sa systém nasadí do produkčného prostredia. Táto fáza môže zahŕňať aj školenie používateľov a prípravu dokumentácie pre používateľov.
  \\6. Údržba (Maintenance):
     - Po nasadení systému začína fáza údržby, ktorá zahŕňa opravy chýb, aktualizácie a vylepšenia systému na základe spätnej väzby od používateľov a meniace sa požiadavky.
--
++\\
  **Výhody Waterfall modelu**:
@@ -1218,8 +1218,10 @@
  * Dobre zdokumentovaný proces: Všetky požiadavky a kroky sú detailne zdokumentované.
  * Jednoduché riadenie:*Jednoduché plánovanie a sledovanie pokroku projektu.
++
  Waterfall model je ideálny pre projekty, kde sú požiadavky jasne definované a stabilné, a kde sa očakáva, že projekt prebehne bez veľkých zmien. V súčasnosti sa však stále častejšie využívajú agilné prístupy, ktoré lepšie vyhovujú dynamickým a meniacim sa požiadavkám projektov.
++\\
  **__Kvantitatívne prínosy projektu:__**
@@ -1226,6 +1226,7 @@
  * Zníženie nákladov spojených so sanáciou KBU/KBI
  * Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI
++\\
  **__Kvalitatívne prínosy projektu:__**
@@ -1235,7 +1235,9 @@
  * Zvýšenie detekcie KBI,
  * Zvýšte spokojnosť a dôveru používateľov,
++\\
++\\
  **__Popis cieľového stavu__**
@@ -1248,12 +1248,15 @@
  * Implementácia nástroja na zaznamenávanie a monitorovanie udalostí (Log Management)
  * Implementácia auditu KB, procesu riadenia a kontroly dodržiavania predpisov.
++\\
  = {{id name="projekt_2921_Projektovy_zamer_detailny-7.PROJEKTOVÝTÍM"/}}7. PROJEKTOVÝ TÍM =
++\\
  **__Projektový tím je detailne popísaný v predloženej ŽoNFP, časť 7.5 Prevádzková kapacita žiadateľa.__**
++\\
  (% class="wrapped" %)
  |(((
@@ -1301,6 +1301,7 @@
  Doplniť rolu v projekte
  )))
++\\
  **Vzor organizačnej štruktúry**
@@ -1308,17 +1308,21 @@
  [[image:attach:7_obr2.png||height="93"]]
++\\
  = {{id name="projekt_2921_Projektovy_zamer_detailny-8.VÝSLEDKYPROJEKTU"/}}8. VÝSLEDKY PROJEKTU =
  VÝSLEDKOM PROJEKTU JE ZABEZPEČENIE SÚLADU SO SMERNICOU NIS2 a Zákonom o kybernetickej bezpečnosti Slovenskej republiky (Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti)
++\\
  Realizáciou vyššie uvedenej aktivity, dosiahne žiadateľ súlad so Smernicou NIS2 a Zákonom o kybernetickej bezpečnosti Slovenskej republiky (Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti). Tieto aktivity pokrývajú širokú škálu oblastí vrátane bezpečnostnej politiky, správy rizík, ochrany proti škodlivému kódu, inventarizácie aktív, bezpečnosti sietí a informačných systémov, kontroly prístupu, riadenia zraniteľností, monitoringu, kontinuity činností a incident managementu.
++\\
  __Tu je prehľad, ako tieto aktivity pomáhajú dosiahnuť súlad:__
++\\
 . __Bezpečnostná politika a stratégia:__ Prehodnotenie a aktualizácia bezpečnostnej politiky a stratégie zabezpečuje, že organizácia má správne nastavený rámec pre kybernetickú bezpečnosť v súlade s legislatívou.
 . __Smernice a procesy :__ Aktualizácia a vytváranie nových smerníc pre rôzne oblasti kybernetickej bezpečnosti zabezpečuje, že všetky činnosti sú vykonávané v súlade s novými požiadavkami Zákona a NIS2.
@@ -1326,6 +1326,7 @@
 . __Inventarizácia aktív:__ Spracovanie inventarizácie aktív a ich klasifikácia pomáha organizácii identifikovať a spravovať svoje informačné aktíva, čo je kľúčové pre ochranu citlivých informácií.
 . __Log management:__ Implementácia nástrojov a procesov na detekciu a riadenie kybernetických bezpečnostných incidentov zabezpečuje, že organizácia môže efektívne zvládať incidenty a minimalizovať ich dopad.
++\\
  Realizácia týchto aktivít predstavuje komplexný prístup k dosiahnutiu súladu s NIS2 a Zákonom o kybernetickej bezpečnosti, čím sa zabezpečuje ochrana kritickej infraštruktúry a citlivých informácií v súlade s aktuálnymi požiadavkami.
@@ -1404,13 +1404,16 @@
  **Áno**
  )))
++\\
  **Na základe vyššie uvedeného možno konštatovať, že príloha PROJEKTOVÝ ZÁMER je v súlade v požiadavkami uvedenými v Prílohe č. 8 Výzvy - Minimálne náležitosti manažérskych produktov – verejná správa**
  = {{id name="projekt_2921_Projektovy_zamer_detailny-9.PRÍLOHY"/}}9.    PRÍLOHY =
++\\
  **Príloha : **Zoznam rizík a závislostí tvorí samostatnú prílohu, ktoré je nahratá v metaIS.
++\\
  // //

Zmeny dokumentu projekt_2921_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?