Zmeny dokumentu projekt_2619_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/14 13:14

From 3.1 to 2.1

Z verzie 2.1

upravil michal_kohani81
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 1.1

upravil michal_kohani81
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)
Objekty (1 modified, 0 added, 0 removed)
- Confluence.Code.ConfluencePageClass[0]

Podrobnosti

Vlastnosti stránky

Obsah

@@ -1,1563 +1,0 @@
--**PROJEKTOVÝ ZÁMER**
--
--**Manažérsky výstup  I-02**
--
--**~ podľa vyhlášky MIRRI č. 401/2023 Z. z. **
--
--\\
--
--(% class="" %)|(((
--Povinná osoba
--)))|(((
--Žilinská univerzita v Žiline
--)))
--(% class="" %)|(((
--Názov projektu
--)))|(((
--Riadenie kybernetickej a informačnej bezpečnosti v prostredí UNIZA
--)))
--(% class="" %)|(((
--Zodpovedná osoba za projekt
--)))|(((
--doc. Ing. Michal Koháni, PhD.
--)))
--(% class="" %)|(((
--Realizátor projektu
--)))|(((
--Žilinská univerzita v Žiline (UNIZA)
--)))
--(% class="" %)|(((
--Vlastník projektu
--)))|(((
--Žilinská univerzita v Žiline (UNIZA)
--)))
--
--**~ **
--
--**Schvaľovanie dokumentu**
--
--(% class="" %)|(((
--Položka
--)))|(((
--Meno a priezvisko
--)))|(((
--Organizácia
--)))|(((
--Pracovná pozícia
--)))|(((
--Dátum
--)))|(((
--Podpis
--
--(alebo elektronický súhlas)
--)))
--(% class="" %)|(((
--Vypracoval
--)))|(((
--Michal Koháni
--)))|(((
--UNIZA
--)))|(((
--Prorektor pre IS
--)))|(((
--22.5.2024
--)))|(((
--\\
--)))
--
--**~ **
--
--= {{id name="projekt_2619_Projektovy_zamer_detailny-1.HistóriaDOKUMENTU"/}}1.    História DOKUMENTU =
--
--(% class="" %)|(((
--Verzia
--)))|(((
--Dátum
--)))|(((
--Zmeny
--)))|(((
--Meno
--)))
--(% class="" %)|(((
--//0.1//
--)))|(((
--//15.5.2024//
--)))|(((
--//Pracovný návrh//
--)))|(((
--\\
--)))
--(% class="" %)|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--(% class="" %)|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--
--**~ **
--
--= {{id name="projekt_2619_Projektovy_zamer_detailny-2.DEFINOVANIEPROJEKTU"/}}2.    DEFINOVANIE PROJEKTU =
--
--\\
--
--== {{id name="projekt_2619_Projektovy_zamer_detailny-2.1Manažérskezhrnutie"/}}2.1       Manažérske zhrnutie ==
--
--Tento dokument je vypracovaný v súlade s Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Dokument Projektový zámer je určený na rozpracovanie informácií k projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, alokovaní rozpočtu, ľudských zdrojov a prechode do realizačnej fázy.
--
--\\
--
--V predkladanom projekte sa realizuje návrh a postupná implementácia komplexného systému manažérstva kybernetickej a informačnej bezpečnosti (ISMS: Information Security Management System), ktorý formálne zakotví princípy kybernetickej a informačnej bezpečnosti do organizačnej štruktúry UNIZA. Riadenie kybernetickej a informačnej bezpečnosti bude založené na vypracovanej, aktualizovanej a implementovanej bezpečnostnej dokumentácii zahŕňajúcej bezpečnostnú stratégiu, politiky, smernice, postupy, bezpečnostné projekty a ďalšie interné riadiace dokumenty.
--
--V rámci jednotlivých procesov riadenia rizík budú identifikované všetky primárne aktíva (procesy, informácie) ako aj podporné aktíva (hardvér, softvér, ľudské zdroje, lokality, tretie strany, siete, informačné systémy), pričom bude implementovaný systém pre centrálnu inventarizáciu týchto aktív a súvisiacich konfiguračných požiadaviek. Bude aktualizovaná dokumentácia počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov. Bude spracovaná analýza funkčných dopadov identifikujúca rôzne kategórie procesov organizácie, na základe ich kritickosti, vzájomnej závislosti a potenciálnych dôsledkov v prípade vzniku incidentu. Bude navrhnutý a implementovaný systém riadenia rizík pozostávajúci z podprocesu posudzovania rizík a podprocesu ošetrenia rizík. Samostatnou kategóriou procesu posudzovania rizík bude posúdenie rizík tretích strán a celého dodávateľského reťazca vo vzťahu k poskytovaným službám a produktom. Budú identifikovaný vlastníci rizík, zodpovední za implementáciu organizačných a technických bezpečnostných opatrení, určených na zníženie rizika na akceptovateľnú úroveň.
--
--Na riešenie kybernetických bezpečnostných incidentov v rámci UNIZA budú vypracované a pravidelne aktualizované štandardy a postupy riešenia kybernetických bezpečnostných incidentov. Procesy budú realizované implementáciou nástrojov na detekciu, zber a nepretržité ohodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Po úspešnom otestovaní a vyhodnotení budú spracované technické špecifikácie s dopadom na budúcu implementáciu a integráciu systémov do existujúcej infraštruktúry univerzity. Budú definované a schválené scenáre pre potenciálne vzniknuté kybernetické incidenty a vo vzťahu k tomu budú definované stratégie kontinuity činnosti a jednotlivé plány kontinuity činnosti a plány obnovy prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na činnosť UNIZA. Taktiež budú definované plány na zálohovanie informačných systémov na základe realizovanej analýzy dopadov a zistených časov RPO.
--
--Vzhľadom na dlhodobé výskumné, vzdelávacie a expertízne aktivity v oblasti kybernetickej a informačnej bezpečnosti na UNIZA, bude celý projekt realizovaný tímom interných zamestnancov UNIZA. V rámci organizačnej štruktúry UNIZA bude zriadený Bezpečnostný výbor, ktorý bude strategickým orgánom pri riešení otázok kybernetickej a informačnej bezpečnosti. V rámci projektu budú vytvorené esenciálne role pre riadenie kybernetickej a informačnej bezpečnosti, ako je manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.
--
--\\
--
--**Ciele projektu** sú zadefinované v súlade s Národnou koncepciou informatizácie verejnej správy:
--
--* zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,
--* monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIB incidentov,
--* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,
--* zabezpečenie kontinuity prevádzky.
--
--V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.
--
--\\
--
--**Cieľová skupina:**
--
--* zamestnanci UNIZA,
--* študenti UNIZA,
--* uchádzači o štúdium na UNIZA,
--* externí spolupracovníci UNIZA (členovia Vedeckých rád a Akreditačnej rady UNIZA),
--* právnické osoby využívajúce systémy UNIZA a dodávatelia.
--
--\\
--
--Realizáciou projektu bude dosiahnuté naplnenie hlavného cieľa: zvýšenie kybernetickej a informačnej bezpečnosti, zabezpečenia ochrany údajov a zvýšenie ochrany voči bezpečnostným incidentom v prostredí UNIZA.
--
--\\
--
--Projekt je v súlade so stratégiou Programu Slovensko 2021-2027 v nasledovných oblastiach:
--
--* súlad projektu so špecifickým cieľom: RSO1.2 – 1.a Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy - Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti (opatrenie 1.2.1),
--* súlad s definovanými typmi oprávnených aktivít v rámci výzvy.
--
--\\
--
--**Merateľné ukazovatele:**
--
--//PO095 / PSKPSOI12 – Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov//
--
--//a procesov// - cieľová hodnota: 1
--
--//PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov//
--
--//a procesov //– cieľová hodnota: 800
--
--\\
--
--**Miesto realizácie projektu:** Žilinská univerzita v Žiline
--
--\\
--
--**Predpokladaný rozpočet projektu (oprávnené výdavky):** 449 976,30 €.
--
--== {{id name="projekt_2619_Projektovy_zamer_detailny-2.2Motiváciaarozsahprojektu"/}}2.2       Motivácia a rozsah projektu ==
--
--Hlavnou motiváciou projektu je výrazné zvýšenie úrovne kybernetickej a informačnej bezpečnosti (KIB), aby UNIZA bola lepšie pripravená čeliť interným a externým hrozbám v oblasti KIB. Po ukončení projektu bude UNIZA disponovať vyššími schopnosťami detekcie škodlivých aktivít, bude k dispozícii vybavenie na lepšiu ochranu pred útokmi z externého a interného prostredia, ako aj ochranu dát.
--
--\\
--
--Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (NKIVS):
--
--* zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,
--* monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIV incidentov,
--* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,
--* zabezpečenie kontinuity prevádzky.
--
--V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.
--
--\\
--
--Navrhovaný projekt v rámci výzvy „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy" súvisí najmä s naplnením povinností:
--
--* definovanými v zákone č. 69/2018 Z. z. Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB") a v zákone č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS").
--* opatreniami definovanými v § 20 zákona o KB,
--* zvýšenia úrovne a schopnosti zabezpečovať a riadiť KIB vzhľadom na neustále sa zvyšujúce hrozby a nedostatočný stav úrovne aktuálne nastavených procesov riadenia KIB,
--* zabezpečenie realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou KIB.
--
--\\
--
--V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: **Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.**
--
--**~ **
--
--Hlavná aktivita bude rozdelená na štyri podaktivity:
--
--**//Podaktivita 1 Organizácia a personálne zabezpečenie kybernetickej a informačnej bezpečnosti//**
--
--Výstupy aktivity:
--
--* Vytvorenie a schválenie stratégie kybernetickej bezpečnosti a bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA spracované podľa vyhlášky NBU a v súlade s relevantnými normami a legislatívou, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení na UNIZA.
--* Bezpečnostný projekt informačného systému verejnej správy podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.
--* Kompetenčná matica s definovaním pracovných pozícií, rolí, právomocí a zodpovedností v oblasti KIB.
--* Štatút a zriadenie Výboru kybernetickej a informačnej bezpečnosti (ďalej VKIB) ako poradného orgánu vedenia vysokej školy v oblasti kybernetickej a informačnej bezpečnosti. Zriadený Bezpečnostný výbor, ktorý sa bude riadiť prijatým štatútom a bude strategickým orgánom pri riešení otázok kybernetickej a informačnej bezpečnosti
--* Vytvorenie pracovnej pozície alebo priradenie role manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.
--* Plán rozvoja bezpečnostného povedomia a vzdelávania zamestnancov univerzity a jeho overovania.
--* Interný riadiaci akt postupov a procesov upravujúcich personálnu bezpečnosť univerzity.
--* Návrhy dodatkov zmlúv s tretími stranami podľa požiadaviek zákona o kybernetickej bezpečnosti.
--* Záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti.
--
--\\
--
--**//Podaktivita 2 Riadenie rizík//**
--
--Výstupy aktivity:
--
--* Systém pre centrálnu inventarizáciu aktív a konfiguračných požiadaviek
--* Dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.
--* Klasifikácia informácií a kategorizácia sietí a informačných systémov.
--* Metodika kontinuity činnosti.
--* Analýza funkčných dopadov.
--* Metodika riadenia rizík kybernetickej a informačnej bezpečnosti.
--* Analýza rizík kybernetickej bezpečnosti.
--
--\\
--
--**Podaktivita 3 Riešenie kybernetických bezpečnostných incidentov a kontinuita prevádzky**
--
--Výstupy aktivity:
--
--* Stratégia kontinuity činnosti (BCM) a krízové plány univerzity (DRP).
--* Plány pre BCM a DRP.
--* Interný riadiaci akt upravujúci riešenie kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností a povinností zamestnancov ako aj plánov a spôsobov riešenia incidentov.
--* Dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané. Konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov.
--* Implementácia nástrojov pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení.
--* Interný riadiaci akt zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Plány záloh.
--
--\\
--
--**Podaktivita 4 Riadenie prevádzky kybernetickej a informačnej bezpečnosti**
--
--Výstupy aktivity:
--
--* Interný riadiaci akt s bezpečnostnými zásadami pre koncových používateľov.
--* Zásady riadenia prístupov osôb k sieti a informačnému systému.
--* Interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.
--* Interný riadiaci akt upravujúci pravidlá sieťovej a komunikačnej bezpečnosti
--* Interný riadiaci akt upravujúci postupy definujúce požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na ich obstarávanie, vyvíjanie a udržiavanie.
--* Interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania.
--* Interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.
--* Interný riadiaci akt s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu a pravidiel súvisiacich s ochranou proti škodlivému kódu.
--* Interný riadiaci akt definujúci bezpečnostné požiadavky na všetky fázy životného cyklu vývoja softvéru (SSDLC: Secure Systems Development Lifecycle, DevOps).
--* Interný riadiaci akt upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.
--* Interný riadiaci akt upravujúci fyzickú bezpečnosť a bezpečnosť prostredia.
--
--\\
--
--Okrem hlavnej aktivity budú v rámci projektu realizované aj podporné aktivity, ktoré budú kryté z nepriamych výdavkov:
--
--* Projektové riadenie a administratívna podpora hlavných aktivít projektu,
--* Publicita a informovanosť v zmysle manuálu.
--
--**Biznis procesy:**
--
--V rámci realizácie projektu budú zavedené nasledovné biznis procesy, ktoré budú podporené príslušnými riešeniami:
--
--* zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,
--* monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIB incidentov,
--* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,
--* zabezpečenie kontinuity prevádzky.
--
--\\
--
--Okrem samotného zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS sa projekt bude dotýkať väčšiny biznis procesov vykonávaných na UNIZA, ktoré sú realizované prostredníctvom informačných systémov UNIZA. Jedná sa najmä o:
--
--* AIVS - Akademický informačný a vzdelávací systém - Prijímacie konanie, Priebeh štúdia, Rozvrh, Štipendiá, Platby za štúdium, Záver štúdia, Ubytovanie, FIT - evidencia prístupov študentov do fit centier, Automatizovaný platobný styk, e-learning (MOODLE).
--* IS pre projekty UNIZA,
--* Hotelové ubytovanie,
--* Uniza Network Management System,
--* ZuFlow podporné aplikácie,
--* Vnútorný bezhotovostný úhradový systém eMANY,
--* Webová stránka UNIVERZITY,
--* INTRANET UNIVERZITY,
--* Externé IS - SOFIA- podsystém pre spracovanie ekonomiky, personalistiky a miezd, Dochádzkový a prístupový systém WATT, DAWINCI - Knižničný systém, EZAP – evidencia záverečných prác, KREDIT – Stravovací systém, Čipové karty, Registratúra.
--
--\\
--
--Realizácia projektu bude mať vplyv na nasledovné skupiny subjektov:
--
--* zamestnanci UNIZA,
--* študenti UNIZA,
--* uchádzači o štúdium na UNIZA,
--* externí spolupracovníci UNIZA (členovia Vedeckých rád a Akreditačnej rady UNIZA),
--* právnické osoby využívajúce systémy UNIZA a dodávatelia.
--
--\\
--
--**Motivácia a obmedzenia pre dosiahnutie cieľov projektu**
--
--Hlavnou motiváciou je realizácia opatrení KIB definovaných v zákone o kybernetickej bezpečnosti a v zákone o ISVS. Vďaka realizácii týchto opatrení budú IS UNIZA chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku IS UNIZA nasledovný dopad:
--
--(% class="" %)|(((
--**Dopad kybernetického bezpečnostného incidentu v závislosti**
--)))|(((
--**Kategória**
--)))|(((
--**Vysvetlenie**
--)))
--(% class="" %)|(((
--§ 24 ods. 2 písm. a) zákona 69/2018 Z.z. - Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.
--)))|(((
--I.
--)))|(((
--Počítačovú sieť UNIZA a aplikácie prevádzkované na UNIZA využívajú v prevažnej miere študenti a zamestnanci univerzity. V roku 2023 bolo na UNIZA zamestnaných 1479 zamestnancov vo fyzických osobách a na univerzite študovalo 7418 študentov v dennej a externej forme. Štúdium úspešne ukončilo 1043 absolventov, ktorým z dôvodu zachovania komunikačného kanálu ostávajú aktívne účty na UNIZA po dobu ďalších 24 mesiacov. Do akademického informačného systému cez modul Prijímacie konanie v danom roku pribudlo 4269 uchádzačov o štúdium. Okrem uvedených počtov sú používateľmi počítačových sietí UNIZA a aplikácií UNIZA absolventi zahraniční študenti, ktorí sa zúčastňujú mobilitných pobytov na UNIZA (cca. 250 ročne), zahraniční pedagógovia, ktorí sa zúčastňujú mobilitných pobytov na UNIZA (cca. 150 ročne), hostia v ubytovacích zariadeniach, riešitelia spoločných výskumných a nevýskumných projektov a ďalší používatelia, ktorí pracujú v priestoroch UNIZA (prenájmy, spoločné pracoviská). V prípade závažnej kybernetickej hrozby by bolo celkovo postihnutých viac ako 16000 používateľov.
--)))
--(% class="" %)|(((
--§ 24 ods. 2 písm. b) zákona 69/2018 Z.z. - Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)
--a/alebo § 24 ods. 2 písm. c) zákona 69/2018 Z.z. - Geografické rozšírenie kybernetického bezpečnostného incidentu
--)))|(((
--II.
--)))|(((
--V prípade závažnej kybernetickej hrozby by bolo celkovo postihnutých viac ako 16000 používateľov. Čas do odstránenia bezpečnostného incidentu by mohol byť v závislosti od jeho závažnosti v dňoch až týždňoch.
--)))
--(% class="" %)|(((
--§ 24 ods. 2 písm. d) zákona 69/2018 Z.z. - Stupeň narušenia fungovania základnej služby.
--)))|(((
--II.
--)))|(((
-- Incident by spôsobil úplnú nedostupnosť druhu služby, pre ktorú je možné zabezpečiť náhradné riešenie.
--)))
--(% class="" %)|(((
--§ 24 ods. 2 písm. e) zákona 69/2018 Z.z. - Rozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu
--)))|(((
--I.
--)))|(((
--Boli by narušené základné funkcie univerzity - ohrozený by bol základný chod univerzity z hľadiska finančných operácií vo vnútri školy aj vo vzťahu k dodávateľom, výučba a procesy súvisiace s ňou - tvorba rozvrhov, prijímacie skúšky, konanie štátnych skúšok, ohrozené by boli výskumné úlohy a citlivé údaje, ktoré sú uložené na univerzitných serveroch. Vznikli by boli veľmi veľké škody až vo výške viac ako 1 000 000 €, v niektorých oblastiach dokonca až fatálne. Nefunkčnosť systémov má priamy vplyv na hospodárske alebo spoločenské činnosti.
--)))
--
--\\
--
--Projekt je formulovaný tak, aby po jeho realizácii nastal čo najväčší súlad zabezpečenia kybernetickej a informačnej bezpečnosti so zákonom o kybernetickej bezpečnosti a so zákonom o ISVS.
--
--\\
--
--== {{id name="projekt_2619_Projektovy_zamer_detailny-2.3Zainteresovanéstrany/Stakeholderi"/}}2.3       Zainteresované strany/Stakeholderi ==
--
--\\
--
--(% class="" %)|(((
--ID
--)))|(((
--AKTÉR / STAKEHOLDER
--)))|(((
--SUBJEKT
--
--(názov / skratka)
--)))|(((
--ROLA
--
--(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)
--)))|(((
--Informačný systém
--
--(MetaIS kód a názov ISVS)
--)))
--(% class="" %)|(((
--1.
--)))|(((
--Zamestnanci UNIZA
--)))|(((
--UNIZA_zam
--)))|(((
--Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
--)))|(((
-- isvs_14246 - ZuFlow podporné aplikácie
--
--isvs_14245 - Uniza Network Management System
--
--isvs_14244 - IS pre projekty UNIZA
--
--isvs_14243 - AIVS - Akademický informačný a vzdelávací systém
--
--isvs_14242 - Webové sídlo UNIZA
--
--\\
--)))
--(% class="" %)|(((
--2.
--)))|(((
--Študenti UNIZA
--)))|(((
--UNIZA_stud
--)))|(((
--Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
--)))|(((
-- isvs_14246 - ZuFlow podporné aplikácie
--
--isvs_14245 - Uniza Network Management System
--
--isvs_14243 - AIVS - Akademický informačný a vzdelávací systém
--
--isvs_14242 - Webové sídlo UNIZA
--
--\\
--)))
--(% class="" %)|(((
--3.
--)))|(((
--Uchádzači UNIZA
--)))|(((
--UNIZA_uch
--)))|(((
--Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
--)))|(((
--isvs_14246 - ZuFlow podporné aplikácie
--
--isvs_14245 - Uniza Network Management System
--
--isvs_14243 - AIVS - Akademický informačný a vzdelávací systém
--
--isvs_14242 - Webové sídlo UNIZA
--
--\\
--)))
--(% class="" %)|(((
--4.
--)))|(((
--Externí spolupracovníci UNIZA
--)))|(((
--UNIZA_ext
--)))|(((
--Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
--)))|(((
--isvs_14246 - ZuFlow podporné aplikácie
--
--isvs_14245 - Uniza Network Management System
--
--isvs_14244 - IS pre projekty UNIZA
--
--isvs_14243 - AIVS - Akademický informačný a vzdelávací systém
--
--isvs_14242 - Webové sídlo UNIZA
--
--\\
--)))
--(% class="" %)|(((
--5.
--)))|(((
--Dodávatelia a spolupracujúce organizácie
--)))|(((
--Ext.
--)))|(((
--Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
--)))|(((
--isvs_14246 - ZuFlow podporné aplikácie
--
--isvs_14245 - Uniza Network Management System
--
--isvs_14242 - Webové sídlo UNIZA
--
--\\
--)))
--(% class="" %)|(((
--6.
--)))|(((
--UNIZA – správcovia IS a siete
--)))|(((
--UNIZA_spr
--)))|(((
--Vlastník procesu, vlastník dát
--)))|(((
-- isvs_14246 - ZuFlow podporné aplikácie
--
--isvs_14245 - Uniza Network Management System
--
--isvs_14244 - IS pre projekty UNIZA
--
--isvs_14243 - AIVS - Akademický informačný a vzdelávací systém
--
--isvs_14242 - Webové sídlo UNIZA
--
--\\
--)))
--
--\\
--
--\\
--
--== {{id name="projekt_2619_Projektovy_zamer_detailny-2.4Cieleprojektu"/}}2.4       Ciele projektu ==
--
--Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy:
--
--* zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,
--* monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIV incidentov,
--* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,
--* zabezpečenie kontinuity prevádzky.
--
--V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.
--
--\\
--
--(% class="" %)|(((
--ID
--)))|(((
--\\
--
--\\
--
--Názov cieľa
--)))|(((
--Názov strategického cieľa
--)))|(((
--Spôsob realizácie strategického cieľa
--)))
--(% class="" %)|(((
--1
--)))|(((
--Organizácia a personálne zabezpečenie kybernetickej a informačnej bezpečnosti
--)))|(((
--Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)
--)))|(((
--... •          Vytvorenie a schválenie Stratégie kybernetickej bezpečnosti a Bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA spracované podľa vyhlášky NBU a v súlade s relevantnými normami a legislatívou, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení na UNIZA.
--
--•              Bezpečnostný projekt informačného systému verejnej správy podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.
--
--•              Kompetenčná matica s definovaním pracovných pozícií, rolí, právomocí a zodpovedností v oblasti KIB.
--
--•              Štatút a zriadenie Výboru kybernetickej a informačnej bezpečnosti (ďalej VKIB) ako poradného orgánu vedenia vysokej školy v oblasti kybernetickej a informačnej bezpečnosti.
--
--•              Vytvorenie pracovnej pozície alebo priradenie role manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.
--
--•              Plán rozvoja bezpečnostného povedomia a vzdelávania zamestnancov univerzity a jeho overovania.
--
--•              Interný riadiaci akt postupov a procesov upravujúcich personálnu bezpečnosť univerzity.
--
--•              Návrhy dodatkov zmlúv s tretími stranami podľa požiadaviek zákona o kybernetickej bezpečnosti.
--
--•              Záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti.
--)))
--(% class="" %)|(((
--2.
--)))|(((
--Riadenie rizík
--)))|(((
--Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)
--)))|(((
--•              Systém pre centrálnu inventarizáciu aktív a konfiguračných požiadaviek.
--
--•              Dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.
--
--•              Klasifikácia informácií a kategorizácia sietí a informačných systémov.
--
--•              Metodika kontinuity činnosti.
--
--•              Analýza funkčných dopadov.
--
--•              Metodika riadenia rizík kybernetickej a informačnej bezpečnosti.
--
--•              Analýza rizík kybernetickej bezpečnosti.
--)))
--(% class="" %)|(((
--3.
--)))|(((
--Riešenie kybernetických bezpečnostných incidentov a kontinuita prevádzky
--)))|(((
--Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)
--)))|(((
--•              Stratégia kontinuity činnosti (BCM) a krízové plány univerzity (DRP).
--
--•              Plány pre BCM a DRP.
--
--•              Interný riadiaci akt upravujúci riešenie kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností a povinností zamestnancov ako aj plánov a spôsobov riešenia incidentov.
--
--•              Dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané. Konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov.
--
--•              Implementácia nástrojov pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení.
--
--•              Interný riadiaci akt zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Plány záloh.
--)))
--(% class="" %)|(((
--4.
--)))|(((
--Riadenie prevádzky kybernetickej a informačnej bezpečnosti
--)))|(((
--Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)
--)))|(((
--•              Interný riadiaci akt s bezpečnostnými zásadami pre koncových používateľov.
--
--•              Zásady riadenia prístupov osôb k sieti a informačnému systému.
--
--•              Interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.
--
--•              Interný riadiaci akt upravujúci pravidlá sieťovej a komunikačnej bezpečnosti.
--
--•              Interný riadiaci akt upravujúci postupy definujúce požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na ich obstarávanie, vyvíjanie a udržiavanie.
--
--•              Interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania.
--
--•              Interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.
--
--•              Interný riadiaci akt s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu a pravidiel súvisiacich s ochranou proti škodlivému kódu.
--
--•              Interný riadiaci akt definujúci bezpečnostné požiadavky na všetky fázy životného cyklu vývoja softvéru (SSDLC: Secure Systems Development Lifecycle, DevOps).
--
--•              Interný riadiaci akt upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.
--
--•              Interný riadiaci akt upravujúci fyzickú bezpečnosť a bezpečnosť prostredia.
--)))
--
--\\
--
--\\
--
--**~ **
--
--== {{id name="projekt_2619_Projektovy_zamer_detailny-2.5Merateľnéukazovatele(KPI)"/}}2.5       Merateľné ukazovatele (KPI) ==
--
--\\
--
--(% class="" %)|(((
--ID
--)))|(((
--\\
--
--\\
--
--ID/Názov cieľa
--)))|(((
--Názov
--ukazovateľa (KPI)
--)))|(((
--Popis
--ukazovateľa
--)))|(((
--Merná jednotka
--\\
--)))|(((
--AS IS
--merateľné hodnoty
--(aktuálne)
--)))|(((
--TO BE
--Merateľné hodnoty
--(cieľové hodnoty)
--)))|(((
--Spôsob ich merania
--)))|(((
--Pozn.
--)))
--(% class="" %)|(((
--1
--)))|(((
--PO095 / PSKPSOI12
--
--\\
--)))|(((
--Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov
--)))|(((
--Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej
--
--bezpečnosti verejnej správy
--)))|(((
--Verejné inštitúcie
--)))|(((
--0
--)))|(((
--1
--)))|(((
--Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS
--
--Čas plnenia merateľného ukazovateľa projektu: Fyzické ukončenie realizácie hlavných aktivít projektu
--)))|(((
--...
--)))
--(% class="" %)|(((
--2
--)))|(((
--PR017 / PSKPRCR11
--)))|(((
--Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov
--)))|(((
--Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov
--)))|(((
--Používatelia / rok
--)))|(((
--0
--)))|(((
--800
--)))|(((
--Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom databázou používateľov v oblasti KIB.
--
--V prípade univerzity ide o počet používateľov, ktorí priamo využívajú IS a priamo sa podieľajú na zabezpečovaní základnej služby.
--
--Čas plnenia merateľného ukazovateľa projektu: v rámci udržateľnosti projektu
--)))|(((
--...
--)))
--
--\\
--
--\\
--
--== {{id name="projekt_2619_Projektovy_zamer_detailny-2.6Rizikáazávislosti"/}}2.6       Riziká a závislosti ==
--
--Zoznam rizík a závislostí je detailne rozpracovaný v prílohe tohto dokumentu č. 1: Zoznam rizík a závislostí.
--
--\\
--
--\\
--
--== {{id name="projekt_2619_Projektovy_zamer_detailny-2.7Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}2.7       Stanovenie alternatív v biznisovej vrstve architektúry ==
--
--V rámci analýzy možností v biznis vrstve boli stanovené 4 alternatívy, vzhľadom na aktuálny stav zabezpečenia KIB v podmienkach UNIZA:
--
--* //Alternatíva 1: Zachovanie existujúceho stavu KIB// – sú splnené len niektoré požiadavky na KIB, existuje možné kritické ohrozenie počítačovej siete a IS UNIZA.
--* //Alternatíva 2: Realizácia vybraných opatrení na zvýšenie úrovne KIB// – zvýšil by sa súlad s legislatívnymi požiadavkami na zabezpečenie KIB, stále existuje možné kritické ohrozenie počítačovej siete a IS UNIZA.
--* //Alternatíva 3: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB internými kapacitami UNIZA – //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje v plnej réžii UNIZA využitím interných kapacít (in-house riešenie).
--* //Alternatíva 4: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB s využitím externých kapacít mimo UNIZA - //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje prostredníctvom externých dodávateľov.
--
--\\
--
--== {{id name="projekt_2619_Projektovy_zamer_detailny-2.8Multikriteriálnaanalýza"/}}2.8       Multikriteriálna analýza ==
--
--Stanovenie kritérií pre multikriteriálnu analýzu:
--
--* //Kritérium 1 (KO)~:// Nutnosť zosúladiť úroveň KIB s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS na maximálnu možnú dosiahnuteľnú úroveň. Táto požiadavka sa dotýka všetkých stakeholderov.
--* //Kritérium 2~:// Rýchlosť implementácie riešenia. Táto požiadavka sa dotýka všetkých stakeholderov.
--* //Kritérium 3~:// Spoľahlivosť a kvalita implementácie riešenia. Táto požiadavka sa dotýka všetkých stakeholderov.
--* //Kritérium 4~:// Dlhodobá udržateľnosť riešenia. Táto požiadavka sa dotýka všetkých stakeholderov.
--
--\\
--
--(% class="" %)|(((
--Zoznam kritérií
--)))|(((
--Alternatíva 1
--)))|(((
--Alternatíva 2
--)))|(((
--Alternatíva 3
--)))|(((
--Alternatíva 4
--)))
--(% class="" %)|(((
--Kritérium 1 (KO)
--)))|(((
--Nie
--)))|(((
--Nie
--)))|(((
--Áno
--)))|(((
--Áno
--)))
--(% class="" %)|(((
--Kritérium 2
--)))|(((
--Nie
--)))|(((
--Áno
--)))|(((
--Áno
--)))|(((
--Áno
--)))
--(% class="" %)|(((
--Kritérium 3
--)))|(((
--Nie
--)))|(((
--Áno
--)))|(((
--Áno
--)))|(((
--Áno
--)))
--(% class="" %)|(((
--Kritérium 4
--)))|(((
--Nie
--)))|(((
--Nie
--)))|(((
--Áno
--)))|(((
--Nie
--)))
--
--\\
--
--Z hľadiska identifikovaných kritérií Alternatíva 1 nespĺňa žiadne z nich, nakoľko by bol zachovaný aktuálny stav, ktorý nie je dlhodobo udržateľný. V prípade alternatívy 2 ako čiastkového riešenia by nedošlo k naplneniu kritéria 1, ktoré je KO kritériom a takáto situácia nie je rovnako dlhodobo udržateľná. V prípade alternatívy 3 by boli realizované všetky procesy v oblasti KIB internými kapacitami a riešenie by bolo dlhodobo udržateľné, vzhľadom na dlhodobé výskumné, vzdelávacie a expertízne aktivity v oblasti kybernetickej a informačnej bezpečnosti na UNIZA. Alternatíva 4 pokrýva prvé 3 kritériá, avšak dlhodobá udržateľnosť takéhoto riešenia nie je najmä z finančného hľadiska otázna.
--
--Na základe zhodnotenia je ako najviac prijateľná alternatíva 3, ktorá spĺňa všetky stanovené kritériá.
--
--\\
--
--== {{id name="projekt_2619_Projektovy_zamer_detailny-2.9Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}2.9       Stanovenie alternatív v aplikačnej vrstve architektúry ==
--
--Definícia alternatív v aplikačnej vrstve vychádza z analýzy alternatív na biznis vrstve, pričom HW a SW technológie musia zodpovedať požiadavkám definovaným v projekte a vychádzajú z požiadaviek zákona o kybernetickej bezpečnosti, zákona o ISVS a vyhlášky 362/2018 Z. z.
--
--Aplikačná vrstva v projekte uvažuje dve možné alternatívy:
--
--* //Alternatíva A: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB internými kapacitami UNIZA – //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje v plnej réžii UNIZA využitím interných kapacít (in-house riešenie) – zodpovedá alternatíve 3 biznis vrstvy.
--* //Alternatíva B: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB s využitím externých kapacít mimo UNIZA - //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje prostredníctvom externých dodávateľov – zodpovedá alternatíve 4 biznis vrstvy.
--
--Vzhľadom na výsledok vykonanej multikriteriálnej analýzy biznis architektúry bude zvolená alternatíva A.
--
--// //
--
--== {{id name="projekt_2619_Projektovy_zamer_detailny-2.10Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}2.10    Stanovenie alternatív v technologickej vrstve architektúry ==
--
--Vzhľadom na to, že v rámci projektu sú definované požiadavky na HW a SW technológie všeobecne tak, aby bolo HW a SW technológiu spĺňajúcu požiadavky koncových používateľov a stakeholderov možné použiť na realizáciu projektu, nie sú z hľadiska možného použitia technológií definované alternatívy. Bližšia analýza možných technológií bude vykonaná počas projektu. Technologická vrstva architektúry bude bližšie definovaná prepojením IS na úrovni univerzity.
--
--\\
--
--= {{id name="projekt_2619_Projektovy_zamer_detailny-3.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}3.    POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU) =
--
--\\
--
--Výstupy projektu sú nasledovné:
--
--* Vytvorenie a schválenie stratégie kybernetickej bezpečnosti a bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA spracované podľa vyhlášky NBU a v súlade s relevantnými normami a legislatívou, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení na UNIZA.
--* Bezpečnostný projekt informačného systému verejnej správy podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.
--* Kompetenčná matica s definovaním pracovných pozícií, rolí, právomocí a zodpovedností v oblasti KIB.
--* Štatút a zriadenie Výboru kybernetickej a informačnej bezpečnosti (ďalej VKIB) ako poradného orgánu vedenia vysokej školy v oblasti kybernetickej a informačnej bezpečnosti.
--* Vytvorenie pracovnej pozície alebo priradenie role manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.
--* Plán rozvoja bezpečnostného povedomia a vzdelávania zamestnancov univerzity a jeho overovania.
--* Interný riadiaci akt postupov a procesov upravujúcich personálnu bezpečnosť univerzity.
--* Návrhy dodatkov zmlúv s tretími stranami podľa požiadaviek zákona o kybernetickej bezpečnosti.
--* Záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti.
--* Systém pre centrálnu inventarizáciu aktív a konfiguračných požiadaviek
--* Dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.
--* Klasifikácia informácií a kategorizácia sietí a informačných systémov.
--* Metodika kontinuity činnosti.
--* Analýza funkčných dopadov.
--* Metodika riadenia rizík kybernetickej a informačnej bezpečnosti.
--* Analýza rizík kybernetickej bezpečnosti.
--* Stratégia kontinuity činnosti (BCM) a krízové plány univerzity (DRP).
--* Plány pre BCM a DRP.
--* Interný riadiaci akt upravujúci riešenie kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností a povinností zamestnancov ako aj plánov a spôsobov riešenia incidentov.
--* Dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané. Konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov.
--* Implementácia nástrojov pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení.
--* Interný riadiaci akt zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Plány záloh.
--* Interný riadiaci akt s bezpečnostnými zásadami pre koncových používateľov.
--* Zásady riadenia prístupov osôb k sieti a informačnému systému.
--* Interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.
--* Interný riadiaci akt upravujúci pravidlá sieťovej a komunikačnej bezpečnosti
--* Interný riadiaci akt upravujúci postupy definujúce požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na ich obstarávanie, vyvíjanie a udržiavanie.
--* Interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania.
--* Interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.
--* Interný riadiaci akt s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu a pravidiel súvisiacich s ochranou proti škodlivému kódu.
--* Interný riadiaci akt definujúci bezpečnostné požiadavky na všetky fázy životného cyklu vývoja softvéru (SSDLC: Secure Systems Development Lifecycle, DevOps).
--* Interný riadiaci akt upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.
--* Interný riadiaci akt upravujúci fyzickú bezpečnosť a bezpečnosť prostredia.
--
--\\
--
--Výstupy projektu zabezpečujú nasledovné požiadavky definované výzvou:
--
--1. a) Organizácia kybernetickej a informačnej bezpečnosti
--1. b) Riadenie rizík
--1. c) Personálna bezpečnosť
--1. d) Riadenie prístupov
--1. e) Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami
--1. f) Bezpečnosť pri prevádzke informačných systémov a sietí
--1. g) Hodnotenie zraniteľností a bezpečnostné aktualizácie
--1. h) Ochrana proti škodlivému kódu
--1. i) Sieťová a komunikačná bezpečnosť
--1. j) Akvizícia, vývoj a údržba informačných technológií verejnej správy
--1. k) Zaznamenávanie udalostí a monitorovanie
--1. l) Fyzická bezpečnosť a bezpečnosť prostredia
--1. m) Riešenie kybernetických bezpečnostných incidentov
--1. n) Kryptografické opatrenia
--1. o) Kontinuita prevádzky
--1. p) Audit a kontrolné činnosti
--
--= {{id name="projekt_2619_Projektovy_zamer_detailny-4.NÁHĽADARCHITEKTÚRY"/}}4.    NÁHĽAD ARCHITEKTÚRY =
--
--Architektúra navrhovaného projektu je rámcová a je nastavená tak, aby bolo z projektu zrejmé, ktoré komponenty v rámci realizácie projektu budú riešiť ochranu v rámci KIB. Hlavným cieľom je ochrana IS na UNIZA, aby bola zabezpečená prevádzka všetkých univerzitou poskytovaných služieb.
--
--Na základe potrieb popísaných vyššie sa jedná hlavne o nasledovné komponenty:
--
--* nástroje na zálohovanie prevádzkových dát,
--* nástroje pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení,
--* dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností.,
--* špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané,
--* konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov,
--* implementovaný systém na inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,
--* dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.
--
--\\
--
--= {{id name="projekt_2619_Projektovy_zamer_detailny-5.ROZPOČETAPRÍNOSY"/}}5.    ROZPOČET A PRÍNOSY =
--
--\\
--
--== {{id name="projekt_2619_Projektovy_zamer_detailny-5.1Sumarizácianákladovaprínosov"/}}5.1       Sumarizácia nákladov a prínosov ==
--
--\\
--
--(% class="" %)|(((
--Náklady
--)))|(((
--Podporné IS
--)))|(((
--Dokumentácia KIB
--)))|(((
--Podporné činnosti
--)))
--(% class="" %)|(((
--**Všeobecný materiál**
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--(% class="" %)|(((
--**IT – CAPEX**
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--(% class="" %)|(((
--Mzdy zamestnancov
--)))|(((
--//150 000 €//
--)))|(((
--//267 500 €//
--)))|(((
--//32 500 €//
--)))
--(% class="" %)|(((
--SW
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--(% class="" %)|(((
--HW
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--(% class="" %)|(((
--**IT - OPEX- prevádzka**
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--(% class="" %)|(((
--Aplikácie
--)))|(((
--//10 000 €//
--)))|(((
--\\
--)))|(((
--\\
--)))
--(% class="" %)|(((
--SW
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--(% class="" %)|(((
--HW
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--
--\\
--
--V rámci projektu nie je plánované dodanie žiadnych externých služieb ani tovarov. Vzhľadom na významnú vzdelávaciu, vedeckú a expertíznu činnosť zapojených riešiteľov budú všetky podporné IS a dokumentácia KIB a záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti riešená internými zamestnancami kvalifikovanými v odbore KIB.
--
--\\
--
--**Prínos a návratnosť**
--
--Výpočet prínosov a návratnosti projektu je v prípade projektov KIB náročný a je možné ho vyčísliť na základe možných škôd, ktoré by mohli vzniknúť v prípade, ak by neboli opatrenia KIB realizované. Boli identifikované nasledovné potenciálne škody:
--
--* Finančné riziko – sú to možné dôsledky v prípade KIB incidentu. Jedná sa o možné sankcie vyplývajúce z platnej legislatívy, nákladov spojených s riešením následkov KIB incidentov, prípadne súdnych sporov v prípade možného úniku osobných údajov.
--* Reputačné riziko – vzhľadom na postavenie a oblasť spoločenskej dôležitosti a zákonných povinností univerzity, je toto riziko potenciálne vysoké – teda v prípade neplnenia legislatívnych požiadaviek v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS alebo vyhlášky 362 /2018 Z. z. či reálneho výpadku prevádzky základnej služby, úniku citlivých dát v kombinácii aj s prípadnou medializáciou a pod.
--
--V prípade tohto projektu bolo vyčíslenie prínosov realizované na základe zákona č. 69/2018 Z. z., kde v §31 ods. 2, písm. c je stanovená pokuta do 1 percenta obratu, maximálne do výšky 300 000 €. Túto hodnotu je avšak možné považovať len za minimálny prínos, pretože v prípade nerealizovania implementácie opatrení KIB hrozí riziko, že investície do tejto oblasti skončia bez zavedených procesov, čím nedosiahnu synergický efekt riešenia incidentov KIB.
--
--\\
--
--= {{id name="projekt_2619_Projektovy_zamer_detailny-6.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}6.    HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =
--
--\\
--
--(% class="" %)|(((
--ID
--)))|(((
--FÁZA/AKTIVITA
--)))|(((
--ZAČIATOK
--
--(odhad termínu)
--)))|(((
--KONIEC
--
--(odhad termínu)
--)))|(((
--POZNÁMKA
--)))
--(% class="" %)|(((
--1.
--)))|(((
--Prípravná fáza a Iniciačná fáza
--)))|(((
--03/2024
--)))|(((
--09/2024
--)))|(((
--\\
--)))
--(% class="" %)|(((
--2.
--)))|(((
--Realizačná fáza
--)))|(((
--10/2024
--)))|(((
--08/2026
--)))|(((
--\\
--)))
--(% class="" %)|(((
--2a
--)))|(((
--Analýza, dizajn a návrh riešení
--)))|(((
--10/2024
--)))|(((
--04/2025
--)))|(((
--\\
--)))
--(% class="" %)|(((
--2b
--)))|(((
--Implementácia a testovanie
--)))|(((
--05/2025
--)))|(((
--03/2026
--)))|(((
--\\
--)))
--(% class="" %)|(((
--2c
--)))|(((
--Nasadenie
--)))|(((
--04/2026
--)))|(((
--07/2026
--)))|(((
--\\
--)))
--(% class="" %)|(((
--3.
--)))|(((
--Dokončovacia fáza
--)))|(((
--08/2026
--)))|(((
--09/2026
--)))|(((
--\\
--)))
--(% class="" %)|(((
--4.
--)))|(((
--Podpora prevádzky
--)))|(((
--10/2026
--)))|(((
--09/2031
--)))|(((
--\\
--)))
--
--\\
--
--**Projekt bude realizovaný metódou Agile:**
--
--**// //**
--
--\\
--
--\\
--
--= {{id name="projekt_2619_Projektovy_zamer_detailny-7.PROJEKTOVÝTÍM"/}}7.    PROJEKTOVÝ TÍM =
--
--**Riadiaci výbor projektu**
--
--Pre účely realizácie projektu sa zriaďuje Riadiaci výbor projektu (RVP), v minimálne nasledovnom zložení:
--
--* Predseda RVP a projektový manažér – doc. Ing. Michal Koháni, PhD.
--* Biznis vlastník – Ing. Pavol Podhora, PhD.
--* Zástupca prevádzky – Ing. Róbert Orenič
--* Iný člen RVP s hlasovacím právom - prof. Ing. Pavel Segeč, PhD.
--* Iný člen RVP s hlasovacím právom - prof. Ing. Tomáš Loveček, PhD.
--
--Vzhľadom na to, že v rámci projektu je predpokladaná implementácia vlastných riešení, ktoré budú navrhované a vyvíjané projektovým tímom, nie je súčasťou projektu žiadny dodávateľ. Z tohto dôvodu nie je súčasťou riadiaceho výboru projektu zástupca dodávateľa.
--
--\\
--
--**Projektový tím riešiteľa**
--
--* Projektový manažér – doc. Ing. Michal Koháni, PhD.
--* Biznis vlastník – Ing. Pavol Podhora, PhD.
--* Manažér IT prevádzky– Ing. Róbert Orenič
--* IT architekt – Ing. Ľuboš Kojdjak, Ing. Michal Hvizdák, Ing. Jana Hudecová, PhD.
--* Iná rola – architekt kybernetickej bezpečnosti, kľúčový používateľ: prof. Ing. Pavel Segeč, PhD.
--* Iná rola – analytik kybernetickej bezpečnosti: Ing. Jana Uramová, PhD., doc. Ing. Marek Roch, PhD., doc. Ing. Rastislav Pirník, PhD., doc. Ing. Slavomír Matuška, PhD.
--* IT architekt - špecialista pre riešenie kybernetických bezpečnostných incidentov – Ing. Marek Moravčík, PhD., Ing. Martin Kontšek, PhD.
--* Biznis analytik – prof. Ing. Milan Kubina, PhD., doc. Ing. Gabriel Koman, PhD.
--* UX dizajnér – prof. Ing. Radovan Madleňák, PhD.
--* Iná rola - špecialista kybernetickej bezpečnosti - prof. Ing. Tomáš Loveček, PhD., doc. Ing. Katarína Kampová, PhD., Ing. Matúš Madleňák, Ing. Marián Magdolén, PhD., Bc. Katarína Križalkovič, JUDr. Mária Tomková, PhD.
--* Manažér kybernetickej bezpečnosti – rola bude obsadená v priebehu projektu internými kapacitami
--
--\\
--
--== {{id name="projekt_2619_Projektovy_zamer_detailny-7.1PRACOVNÉNÁPLNE"/}}7.1        PRACOVNÉ NÁPLNE ==
--
--Popis činností projektových rolí:
--
--(% class="" %)|(((
--Projektová rola
--)))|(((
--**Projektový manažér**
--)))
--(% class="" %)|(((
--Popis zodpovednosti, povinností a kompetencií
--
--\\
--)))|(((
--·                 zodpovedá za riadenie projektu podľa pravidiel stanovených vo Vyhláške 401/2023 Z. z.,
--
--·                 zodpovedá za prípravu, inicializáciu a realizáciu projektu, identifikuje kritické miesta projektu a navrhovanie opatrenia na ich elimináciu,·
--
--·                 zodpovedá za plánovanie, efektívne riadenie, motivovanie projektového tímu,
--
--·                 Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu,
--
--·                 zabezpečuje vypracovanie manažérskej a inej špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z. Z.z.,
--
--·                 koordinuje činnosť RVP, pripravuje prezentácie stavu projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 401/2023 Z. z. na rokovanie RVP
--
--·                 zabezpečuje realizáciu projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.,
--
--·                 zabezpečuje vytvorenie a aktualizáciu BC/CBA,
--
--·                 zabezpečuje a koordinuje efektívne využívanie ľudských a finančných zdrojov v projekte,
--
--·                 koordinuje postup práce v projekte a dodržiavanie stanovených míľnikov,
--
--·                 zodpovedá za riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien,
--
--·                 má na starosti riadenie implementačných a prevádzkových aktivít v rámci projektu,
--
--·                 v spoluprácu s projektovým oddelením zabezpečuje formálnu administráciu projektu, správu a archiváciu projektovej dokumentácie
--
--·                 zodpovedá za dodržiavanie metodík projektového riadenia.
--)))
--
--\\
--
--(% class="" %)|(((
--Projektová rola
--)))|(((
--**Biznis vlastník**
--)))
--(% class="" %)|(((
--Popis zodpovednosti, povinností a kompetencií
--
--\\
--)))|(((
--·                zodpovedá za celkový priebeh projektu, jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi,
--
--·                realizuje dohľad nad súladom výstupov projektu a plánu,
--
--·                schvaľuje biznis požiadavky, nesie zodpovednosť za výsledné riešenie, prínos a má spoluzodpovednosť za napĺňanie merateľných ukazovateľov,
--
--·                definuje na užívateľsky orientované položky a ich zaradenie na spracovanie a určenie priority,
--
--·                zodpovedná za funkčné a technické požiadavky, obsaha a prínosy projektu, rieši riziká, vyjasňuje otázky tímu, priebežne akceptuje už dokončené požiadavky,
--
--·                spolupracuje s projektovým manažérom, UX dizajnérom, IT architektmi, a ďalšími členmi projektového tímu,
--
--·                dohliada na efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,
--
--·                dohliada na vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch,
--
--·                poskytuje vyjadrenia k požiadavkám na úpravy a zmeny a ich opodstatnenosti,
--
--·                napomáha identifikovať príležitosti a riziká prevádzkových alebo podporných procesov,
--
--·                 v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Organizácia kybernetickej a informačnej bezpečnosti, Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami, Sieťová a komunikačná bezpečnosť, Kryptografické opatrenia, Ochrana proti škodlivému kódu, Zaznamenávanie udalostí a monitorovanie
--
--·                aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
--
--·                plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
--)))
--
--\\
--
--(% class="" %)|(((
--Projektová rola
--)))|(((
--**Manažér IT prevádzky**
--)))
--(% class="" %)|(((
--Popis zodpovednosti, povinností a kompetencií
--
--\\
--)))|(((
--·                zabezpečuje plánovanie činností, úloh v projekte,
--
--·                zabezpečuje spoľahlivú prevádzky IS (technický servis, upgradovanie SW/HW, zálohovanie, testovanie) a podpory pre jej užívateľov (školenia, technická asistencia)
--
--·                zabezpečuje starostlivosť o rozvoj a modernizáciu IS v rámci projektu,
--
--·                riadi implementáciu informačných technológií a IS v projekte,
--
--·                v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Personálna bezpečnosť,  Ochrana proti škodlivému kódu, Akvizícia, vývoj a údržba informačných technológií verejnej správy, Kryptografické opatrenia
--
--·                aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
--
--·                plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
--)))
--
--\\
--
--(% class="" %)|(((
--Projektová rola
--)))|(((
--**IT architekt**
--)))
--(% class="" %)|(((
--Popis zodpovednosti, povinností a kompetencií
--
--\\
--)))|(((
--·                     navrhuje architektúru IT riešení s cieľom dosiahnuť najlepšiu efektivitu riešenia, poskytovali čo najvyššiu funkčnosť a flexibilitu,
--
--·                     pri návrhu posudzuje vhodnosť navrhnutých riešení s ohľadom na požiadavky projektu,
--
--·                     zodpovedá za technický návrh a realizáciu riešenia,
--
--·                     zodpovedá za tvorbu a aktualizáciu technickej IT dokumentácie, ·
--
--·                     podieľa sa na návrhu architektúry systému, technických požiadaviek a funkčného modelu (Proof of Concept),
--
--·                     podieľa sa na definovaní požiadaviek na HW/SW infraštruktúru IS,
--
--·                     implementuje navrhnutú IT architektúru do IS,
--
--·                     podieľa sa na testovaní dátových štruktúr a implementovaných funkcionalít za účelom dosiahnutia optimálneho výkonu IS,
--
--·                     dbá na dodržiavanie integračných štandardov,
--
--·                     vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania,
--
--·                 vykonáva výkonnostné a integračné testy a navrhuje prípadné opravné opatrenia,
--
--·                 zabezpečuje nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie opravných opatrení,
--
--·                 v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Hodnotenie zraniteľností a bezpečnostné aktualizácie, Bezpečnosť pri prevádzke informačných systémov a sietí, Sieťová a komunikačná bezpečnosť, Akvizícia, vývoj a údržba informačných technológií verejnej správy
--
--·                 aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
--
--·                 plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
--)))
--
--\\
--
--(% class="" %)|(((
--Projektová rola
--)))|(((
--**Iná rola – architekt kybernetickej bezpečnosti, kľúčový používateľ**
--)))
--(% class="" %)|(((
--Popis zodpovednosti, povinností a kompetencií
--
--\\
--)))|(((
--·         navrhuje architektúru IT riešení z pohľadu kybernetickej bezpečnosti, s cieľom dosiahnuť najlepšiu efektivitu riešenia, poskytovali čo najvyššiu funkčnosť a flexibilitu,
--
--·         pri návrhu posudzuje vhodnosť navrhnutých riešení z pohľadu kybernetickej bezpečnosti~,~,
--
--·         zodpovedá za technický návrh a realizáciu riešenia z pohľadu kybernetickej bezpečnosti~,~,
--
--·         podieľa sa na tvorbe a aktualizácii technickej IT dokumentácie, ·
--
--·         podieľa sa na návrhu architektúry systému, technických požiadaviek a funkčného modelu (Proof of Concept) z pohľadu kybernetickej bezpečnosti~,~,
--
--·         podieľa sa na definovaní požiadaviek na HW/SW infraštruktúru IS z pohľadu kybernetickej bezpečnosti,
--
--·         podieľa sa na testovaní dátových štruktúr a implementovaných funkcionalít za účelom dosiahnutia optimálneho výkonu IS,
--
--·         dbá na dodržiavanie integračných štandardov,
--
--·         vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania,
--
--·         v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Bezpečnosť pri prevádzke informačných systémov a siet, Ochrana proti škodlivému kódu, Sieťová a komunikačná bezpečnosť, Zaznamenávanie udalostí a monitorovanie, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia
--
--·         aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
--
--·         plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
--)))
--
--\\
--
--\\
--
--(% class="" %)|(((
--Projektová rola
--)))|(((
--**Iná rola – analytik kybernetickej bezpečnosti**
--)))
--(% class="" %)|(((
--Popis zodpovednosti, povinností a kompetencií
--
--\\
--)))|(((
--·         pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu z pohľadu kybernetickej bezpečnosti,
--
--·         mapuje a analyzuje existujúce prostredie, analyzuje biznis požiadavky na informačný systém v oblasti kybernetickej bezpečnosti, špecifikuje požiadavky na informačnú podporu procesov v oblasti kybernetickej bezpečnosti, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní používateľom.
--
--·         v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Personálna bezpečnosť, Hodnotenie zraniteľností a bezpečnostné aktualizácie, Ochrana proti škodlivému kódu, Sieťová a komunikačná bezpečnosť, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia
--
--·         aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
--
--·         plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
--)))
--
--\\
--
--(% class="" %)|(((
--Projektová rola
--)))|(((
--**IT architekt - špecialista pre riešenie kybernetických bezpečnostných incidentov**
--)))
--(% class="" %)|(((
--Popis zodpovednosti, povinností a kompetencií
--
--\\
--)))|(((
--·                 navrhuje architektúru IT riešení z pohľadu možných bezpečnostných incidentov s cieľom dosiahnuť najlepšiu efektivitu riešenia, poskytovali čo najvyššiu funkčnosť a flexibilitu,
--
--·                 pri návrhu posudzuje vhodnosť navrhnutých riešení z pohľadu možných bezpečnostných incidentov,
--
--·                 zodpovedá za technický návrh a realizáciu riešenia z pohľadu možných bezpečnostných incidentov,
--
--·                 podieľa sa na tvorbe a aktualizácii technickej IT dokumentácie,
--
--·                 podieľa sa na návrhu architektúry systému, technických požiadaviek a funkčného modelu (Proof of Concept),
--
--·                 podieľa sa na definovaní požiadaviek na HW/SW infraštruktúru IS,
--
--·                 implementuje navrhnutú IT architektúru do IS,
--
--·                 v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Personálna bezpečnosť, Riadenie prístupov, Bezpečnosť pri prevádzke informačných systémov a sietí, Hodnotenie zraniteľností a bezpečnostné aktualizácie, Ochrana proti škodlivému kódu, Sieťová a komunikačná bezpečnosť, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia,
--
--·                 aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
--
--·                 plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
--)))
--
--\\
--
--(% class="" %)|(((
--Projektová rola
--)))|(((
--**Biznis analytik**
--)))
--(% class="" %)|(((
--Popis zodpovednosti, povinností a kompetencií
--
--\\
--)))|(((
--·         zodpovedá za zber a analyzovanie biznis procesov, funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie,
--
--·         podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení,
--
--·         analyzuje požiadavky na informačný systém, popisuje a zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.
--
--·         Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.
--
--·         Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad
--
--·         v rámci projektu sa podieľa na riešení nasledovných úloh v projekte:
--
--·         aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
--
--·         plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
--)))
--
--\\
--
--(% class="" %)|(((
--Projektová rola
--)))|(((
--**UX dizajnér**
--)))
--(% class="" %)|(((
--Popis zodpovednosti, povinností a kompetencií
--
--\\
--)))|(((
--·                zodpovedá za proces navrhovania „user experience“ pri produktoch súvisiacich s kybernetickou bezpečnosťou, ktoré by mali byť používateľsky prívetivé, ľahko použiteľné a užitočné,
--
--·                spolupracuje na návrhu a implementácii IS s IT dizajnérmi
--
--·                v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Organizácia kybernetickej a informačnej bezpečnosti, Akvizícia a údržba informačných technológií, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov
--
--·                aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
--
--·                plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
--)))
--
--\\
--
--(% class="" %)|(((
--Projektová rola
--)))|(((
--**Iná rola - špecialista kybernetickej bezpečnosti**
--)))
--(% class="" %)|(((
--Popis zodpovednosti, povinností a kompetencií
--
--\\
--)))|(((
--·         vykonáva odborné činnosti v oblasti bezpečnosti služieb IKT. Navrhuje, implementuje, udržiava a prevádzkuje bezpečnostné mechanizmy a riešenia,
--
--·         navrhuje a prezentuje bezpečnostné stratégie, bezpečnostné politiky a bezpečnostnú architektúru,
--
--·         posudzuje právne a etické požiadavky na zaručenie bezpečnosti informačných aktív, navrhuje a vykonáva procesy riadenia rizík v informačnej a kybernetickej bezpečnosti,
--
--·         vykonáva a podporuje kontroly a posudzovanie bezpečnostných procesov, systémov a mechanizmov a ošetruje odchýlky od požadovaného stavu,
--
--·         stanovuje požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, databáz, systémov a sietí,
--
--·         vyhodnocuje efektívnosť bezpečnostných mechanizmov a riešení a uplatňuje ich v procesoch organizácie,
--
--·         spracováva príslušné interné predpisy a dohliada nad ich plnením
--
--·         posudzuje zraniteľnosti, hrozby a riziká existujúcich a nových komponentov architektúry IKT, vykonáva bezpečnostné testy,
--
--·         poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov v oblasti bezpečnosti informácií,
--
--·         v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Organizácia kybernetickej a informačnej bezpečnosti,  Riadenie rizík, Personálna bezpečnosť, Fyzická bezpečnosť a bezpečnosť prostredia, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia, Kontinuita prevádzky, Audit a kontrolné činnosti, Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami, Organizačná bezpečnosť.
--
--·         aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
--
--·         plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
--)))
--
--\\
--
--(% class="" %)|(((
--Projektová rola
--)))|(((
--**Manažér kybernetickej bezpečnosti**
--)))
--(% class="" %)|(((
--Popis zodpovednosti, povinností a kompetencií
--
--\\
--)))|(((
--·          zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.
--
--·          koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti,
--
--·          podieľa sa na špecifikácii štandardov, princípov a stratégií a funkčných požiadaviek v oblasti kybernetickej a informačnej bezpečnosti,
--
--·          špecifikuje požiadavky v oblasti kybernetickej a informačnej bezpečnosti, kontroluje ich implementáciu v realizovanom projekte,
--
--·          špecifikuje funkčných a nefunkčných požiadaviek v oblasti kybernetickej a informačnej bezpečnosti,
--
--·          špecifikuje požiadavky na bezpečnosť v rámci bezpečnostnej vrstvy,
--
--·          špecifikuje požiadavky na školenia v oblasti kybernetickej a informačnej bezpečnosti,
--
--·          špecifikuje požiadavky na bezpečnostnú architektúru riešenia a technickú infraštruktúru v oblasti kybernetickej a informačnej bezpečnosti,
--
--·          špecifikuje požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS v oblasti kybernetickej a informačnej bezpečnosti,
--
--·          realizuje posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia
--
--·          definuje požiadavky v oblasti kybernetickej a informačnej bezpečnosti, bezpečnostný projekt a riadenie prístupu,
--
--·          definuje požiadavky na obsah dokumentácie v zmysle legislatívnych požiadaviek v oblasti kybernetickej a informačnej bezpečnosti,
--
--·          špecifikuje akceptačné kritériá v oblasti kybernetickej a informačnej bezpečnosti,
--
--·          špecifikuje pravidiel pre publicitu a informovanosť v oblasti kybernetickej a informačnej bezpečnosti,
--
--·          získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,
--
--·          zabezpečuje konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dokumentácie v oblasti kybernetickej a informačnej bezpečnosti,
--
--·          zabezpečuje realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v projekte v oblasti kybernetickej a informačnej bezpečnosti,
--
--·          aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
--
--·          plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
--)))
--
--\\
--
--\\
--
--= {{id name="projekt_2619_Projektovy_zamer_detailny-8.PRÍLOHY"/}}8.    PRÍLOHY =
--
--\\
--
--**Príloha : **Zoznam rizík a závislostí// (PRILOHA_1_REGISTER_RIZIK-a-ZAVISLOSTI_UNIZA.xlsx)//
--
--// //
--
--\\

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--155322605
++155322601

Zmeny dokumentu projekt_2619_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?