Audrix › Realizačný projekt
Realizačný projekt · Šestnásť modulov · Jeden workflow
Realizačný projekt nasadenia platformy Audrix
Verzia 1.0 · jún 2026 · Spracoval: Branislav Anwarzai · Inštitút pokročilých štúdií, o.z.
Účel dokumentu. Realizačný projekt definuje rozsah, metodiku, harmonogram, výstupy
a deľbu zodpovedností pri nasadení platformy Audrix u zákazníka. Ťažiskovými scenármi sú
krízový manažment a riadenie kontinuity činnosti (BCM) a manažment bezpečnosti
mäkkých cieľov; súčasne dokument rozpracúva reálnu implementáciu všetkých šestnástich modulov,
ktoré bežia v jednom prepojenom workflow nad spoločným registrom dôkazov.
1. Manažérske zhrnutie
Audrix je integrovaná platforma pre súlad s NIS2, GDPR, ISO 27001/22301/42001 a so slovenskou
legislatívou (zákon 366/2024 Z. z., vyhlášky 226/2025 a 227/2025, zákon o bezpečnosti mäkkých cieľov).
Namiesto šestnástich oddelených nástrojov a Excel tabuliek poskytuje jeden workflow:
raz zozbieraný dôkaz sa automaticky započíta do všetkých relevantných rámcov a kontrol.
Tento realizačný projekt rozkladá nasadenie do siedmich fáz (iniciácia → analýza →
návrh → implementácia → pilot a red teaming → audit a odovzdanie → prevádzka) s celkovou
dĺžkou cca 30 týždňov. Krízový manažment a mäkké ciele sú riešené ako samostatné
realizačné prúdy s vlastnými míľnikmi, pretože zahŕňajú nielen softvér, ale aj organizačné opatrenia,
dokumentáciu, školenia a cvičenia.
2. Ciele a merateľné výstupy projektu
| Cieľ | Merateľný výstup (KPI) |
| Preukázateľný súlad s NIS2 a 366/2024 | 100 % povinných kontrol pokrytých dôkazom v registri; audit balík exportovateľný jedným klikom |
| Funkčný systém krízového riadenia a BCM | Schválený BCP/DR pre 100 % kritických procesov; min. 1 tabletop cvičenie s lessons learned |
| Bezpečnosť mäkkých cieľov | Kategorizácia objektov, posúdenie hrozieb a bezpečnostný plán podľa metodiky MV SR; vyškolený personál |
| Riadené nasadenie AI | Register AI systémov, heuristická brána v prevádzke, politika používania AI, nulová tieňová AI s prístupom k citlivým dátam |
| Skrátenie auditného cyklu | Príprava podkladov pre NBÚ/ÚOOÚ z týždňov na hodiny |
3. Organizácia projektu a deľba zodpovedností (RACI)
R = realizuje, A = zodpovedá/schvaľuje, C = konzultuje, I = informovaný.
| Aktivita | Riadiaci výbor | PM Audrix | CISO / poverenec | DPO | Vlastníci procesov |
| Schválenie rozsahu a rozpočtu | A | R | C | C | I |
| Analýza a mapovanie aktív | I | R | A | C | C |
| Konfigurácia modulov | I | R | C | C | I |
| BCP/DR a krízové plány | A | C | R | I | C |
| Bezpečnostný plán mäkkých cieľov | A | C | R | I | C |
| DPIA a register spracúvania | I | C | C | A/R | C |
| Akceptácia a odovzdanie | A | R | C | C | I |
4. Harmonogram a míľniky
| Fáza | Trvanie | Kľúčové aktivity | Míľnik |
| F0 — Iniciácia | 2 týž. | Kick-off, prístupy, projektový plán, register rizík projektu | M0 — Podpísaný projektový plán |
| F1 — Analýza a mapovanie | 4 týž. | Inventár aktív, procesov, dodávateľov a AI systémov; gap analýza | M1 — Schválená gap analýza |
| F2 — Návrh a konfigurácia | 6 týž. | Konektory, role, politiky, šablóny, mapovanie kontrol | M2 — Akceptovaný návrh riešenia |
| F3 — Implementácia 16 modulov | 10 týž. | Nasadenie a naplnenie všetkých modulov dátami a dôkazmi | M3 — Moduly v prevádzke |
| F4 — Pilot, cvičenia a red teaming | 4 týž. | Tabletop cvičenie, test obnovy, red teaming AI a heuristickej brány | M4 — Overená funkčnosť |
| F5 — Audit, dôkazy a odovzdanie | 4 týž. | Audit balík, školenia, akceptácia, odovzdanie do prevádzky | M5 — Akceptačný protokol |
| F6 — Prevádzka a zlepšovanie | priebežne | Monitoring, management review, aktualizácie, opakované cvičenia | M6 — Prvý management review |
5. Časť A — Krízový manažment a kontinuita činnosti (BCM)
Realizačný prúd Modulu 10. Cieľom je nahradiť statický plán v PDF živým BCM systémom
podľa ISO 22301 a NIS2 čl. 21 ods. 2 písm. c), v ktorom je každý test a každá aktualizácia
automaticky zaznamenaná ako dôkaz.
5.1 Východiská a rozsah
- Predmetom je kontinuita kritických procesov, IT služieb a dodávateľského reťazca.
- Mapovanie na ISO 22301, NIS2, zákon 366/2024 a GDPR čl. 32 ods. 1 písm. c) (obnova dostupnosti).
- Pri subjektoch zaradených do hospodárskej mobilizácie aj zákon 179/2011 a 387/2002 Z. z.
5.2 Postup realizácie
- Business Impact Analysis (BIA). Katalóg procesov, dopady (finančné, právne, reputačné),
závislosti na IT aktívach a dodávateľoch; vstup z Modulu 01 (zber dôkazov) a Modulu 03 (risk register).
- Stanovenie RTO / RPO / MTPD. Pre každý kritický proces; mapovanie na zálohovaciu politiku
a kontrolu reálnych záloh.
- Tvorba BCP a DR plánov. Šablóny podľa ISO 22301, verziované, s KEP podpisom vlastníka procesu.
- Krízový štáb a eskalácie. Štruktúra, zástupcovia, RACI matica, call tree s automatickými
notifikáciami (SMS, Teams, telefonát).
- Tabletop a live cvičenia. Scenáre, záznam priebehu, lessons learned, plán nápravných opatrení.
- Test zálohovania a obnovy. Kalendár testov, výsledky, automatická validácia RPO.
- Prepojenie na incident response (Modul 07). Bezproblémový prechod z bezpečnostného
incidentu do krízového režimu a krízový denník časovej osi rozhodnutí.
5.3 Výstupy
- Schválená BIA, register RTO/RPO, sada BCP/DR plánov, štruktúra krízového štábu.
- Protokol z minimálne jedného tabletop cvičenia a jedného testu obnovy.
- Management review report pre predstavenstvo (KPI, trend kontinuity).
6. Časť B — Manažment bezpečnosti mäkkých cieľov
Realizačný prúd Modulu 11 podľa zákona o bezpečnosti mäkkých cieľov a metodiky MV SR. Mäkký cieľ
je verejne prístupný objekt s vysokou koncentráciou osôb a nízkou úrovňou fyzického zabezpečenia
(školy, nemocnice, úrady, nákupné centrá, kultúrne a športové podujatia).
6.1 Postup realizácie
- Kategorizácia objektov. Zaradenie do kategórií podľa kapacity osôb, významu a expozície hrozbe.
- Posúdenie hrozieb a zraniteľností. Analýza scenárov (aktívny útočník, IED, vozidlo ako zbraň,
kyberneticko-fyzické hrozby), identifikácia slabých miest perimetra a vnútorných zón.
- Bezpečnostný plán objektu. Organizačné, technické a režimové opatrenia; plán evakuácie a ukrytia
(run–hide–fight / evakuácia–ukrytie–obrana).
- Súčinnosť so zložkami IZS. Kontaktné body, plány príjazdu, zdieľanie pôdorysov a kľúčových informácií.
- Školenia a cvičenia. Školenie personálu, nácvik poplachových a evakuačných postupov, lockdown drill.
- Prepojenie na krízový manažment (Časť A). Bezpečnostný incident na mäkkom cieli aktivuje krízový štáb.
6.2 Výstupy
- Karta objektu s kategorizáciou, posúdenie hrozieb, schválený bezpečnostný plán.
- Plán školení a cvičení + záznamy o ich vykonaní.
- Register nápravných opatrení a dôkazy pripravené pre kontrolu.
7. Časť C — Reálna implementácia všetkých 16 modulov
Každý modul je realizovaný konkrétnymi technickými a organizačnými komponentmi a uzatvorený
akceptačným kritériom. Moduly zdieľajú jeden register dôkazov — výstup jedného je
vstupom druhého.
Modul 01 — Zber dôkazov
- Implementácia: nasadenie a autorizácia konektorov (OAuth/API) na Microsoft 365, Google Workspace, AWS, Azure a GitHub; nastavenie plánu automatického zberu.
- Výstup: kontinuálny prísun evidence (konfigurácie, logy, nastavenia) do registra dôkazov, bez screenshotov.
- Akceptácia: minimálne 5 zdrojov pripojených a automaticky obnovovaných.
Modul 02 — Cross-framework mapovanie
- Implementácia: aktivácia mapovacej matice kontrol ISO 27001 ↔ NIS2 ↔ SOC 2 ↔ GDPR; pripojenie kontrol na dôkazy z Modulu 01.
- Výstup: jedna splnená kontrola sa automaticky započíta do všetkých prepojených rámcov.
- Akceptácia: zobrazená miera pokrytia per rámec v reálnom čase.
Modul 03 — Risk register
- Implementácia: import aktív, definícia hrozieb, zraniteľností a treatment plánu podľa ISO 27005; mapovanie rizík na články NIS2.
- Výstup: živý register rizík s vlastníkmi, hodnotením a plánom ošetrenia.
- Akceptácia: každé vysoké riziko má priradeného vlastníka a opatrenie.
Modul 04 — Slovenský PII detektor
- Implementácia: nasadenie jazykového modelu (SlovakBERT) s validáciou rodného čísla (mod-11), IBAN a adries; skenovanie dokumentov a databáz.
- Výstup: mapa výskytu osobných údajov naprieč úložiskami.
- Akceptácia: overená presnosť detekcie na vzorke klientových dát.
Modul 05 — Vendor risk management
- Implementácia: import dodávateľov, automatická klasifikácia kritickosti, DPA šablóny, due diligence workflow (NIS2 čl. 21 bod 5).
- Výstup: register dodávateľov s rizikovým skóre a stavom zmlúv.
- Akceptácia: kritickí dodávatelia majú DPA a posúdenie rizika.
Modul 06 — Policy builder
- Implementácia: generovanie politík zo 42 slovenských šablón schválených audítormi; verziovanie a schvaľovací workflow.
- Výstup: kompletná sada interných politík s KEP podpisom.
- Akceptácia: všetky povinné politiky vydané a schválené.
Modul 07 — Incident response
- Implementácia: workflow od detekcie po hlásenie; predvyplnené formuláre pre SK-CERT a ÚOOÚ s časovačmi 24 h / 72 h.
- Výstup: evidovaný incident s časovou osou a hlásením v termíne.
- Akceptácia: simulovaný incident nahlásený v rámci lehoty.
Modul 08 — RoPA, DPIA, DSAR
- Implementácia: register spracovateľských činností, šablóny DPIA (GDPR čl. 35), workflow pre žiadosti dotknutých osôb.
- Výstup: aktuálny RoPA, DPIA pre rizikové spracúvania, evidencia DSAR.
- Akceptácia: RoPA pokrýva všetky spracúvania, DPIA pre vysokorizikové.
Modul 09 — Audit reporting
- Implementácia: generátor audit balíka pre NBÚ, ÚOOÚ a akreditovaný orgán s automatickým priložením dôkazov.
- Výstup: kompletný audit balík jedným klikom.
- Akceptácia: vyexportovaný balík akceptovaný interným audítorom.
Modul 10 — Krízový manažment a BCM
- Implementácia: podľa Časti A — BIA, RTO/RPO, BCP/DR, krízový štáb, cvičenia a testy obnovy.
- Výstup: živý BCM systém s dôkazmi.
- Akceptácia: tabletop cvičenie a test obnovy s protokolom.
Modul 11 — Bezpečnosť mäkkých cieľov
- Implementácia: podľa Časti B — kategorizácia, posúdenie hrozieb, bezpečnostný plán, školenia a cvičenia.
- Výstup: schválený bezpečnostný plán objektu a vyškolený personál.
- Akceptácia: vykonaný lockdown/evakuačný nácvik so záznamom.
Modul 12 — Bezpečnosť LLM aplikácií
- Implementácia: posúdenie plochy útoku podľa OWASP Top 10 for LLM 2025, register zraniteľností, cielený red teaming.
- Výstup: správa o zraniteľnostiach LLM aplikácií s návrhom nápravy.
- Akceptácia: kritické zistenia uzavreté alebo ošetrené v bráne (Modul 14).
Modul 13 — Riadenie tieňovej AI
- Implementácia: inventár reálne používaných AI nástrojov, politika používania AI, nasadenie schválenej monitorovanej alternatívy, klasifikácia dát.
- Výstup: politika + audítna viditeľnosť používania AI.
- Akceptácia: citlivé dáta nevstupujú do neschválených verejných služieb.
Modul 14 — Heuristická brána
- Implementácia: nasadenie šiestich kontrolných úrovní (vstup, oprávnenia, údaje, vecná správnosť, obsah, ľudský dohľad) a úplného logovania interakcií.
- Výstup: každá interakcia s LLM prechádza kontrolou a má forenznú stopu.
- Akceptácia: brána zachytí prompt injection a maskuje osobné údaje v teste.
Modul 15 — Súlad s EU AI Act
- Implementácia: register AI systémov, klasifikácia rizika podľa Annexu III, technická dokumentácia, dohľadové body a transparentnosť.
- Výstup: dokumentovaná pripravenosť na termíny 2026 – 2027.
- Akceptácia: každý AI systém zaradený a vysokorizikové zdokumentované.
Modul 16 — ISO/IEC 42001 a NIST AI RMF
- Implementácia: systém riadenia AI (AIMS), operacionalizácia funkcií Govern–Map–Measure–Manage, predaudit a gap analýza pre certifikáciu.
- Výstup: AIMS dokumentácia a plán k certifikácii (cyklus PDCA, management review).
- Akceptácia: úspešný predaudit pripravenosti na ISO/IEC 42001.
8. Riadenie projektu, riziká a akceptačné kritériá
- Riadenie: dvojtýždňové statusy, riadiaci výbor mesačne, register rizík a zmien projektu.
- Hlavné riziká: oneskorené prístupy a dáta od zákazníka, dostupnosť vlastníkov procesov, zmena rozsahu — riešené eskaláciou na riadiaci výbor.
- Celková akceptácia: všetky míľniky M0–M5 dosiahnuté, 16 modulov v prevádzke, audit balík exportovateľný, podpísaný akceptačný protokol.
Ďalší krok. Na presné dimenzovanie rozsahu, harmonogramu a ceny pre vašu organizáciu
si dohodneme úvodný workshop. Realizačný projekt sa následne upraví na váš konkrétny kontext
a zoznam kritických procesov a objektov.