projekt_2619_Projektovy_zamer_detailny

Tento dokument je vypracovaný v súlade s Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Dokument Projektový zámer je určený na rozpracovanie informácií k projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, alokovaní rozpočtu, ľudských zdrojov a prechode do realizačnej fázy.

118

119

\\

120

121

V predkladanom projekte sa realizuje návrh a postupná implementácia komplexného systému manažérstva kybernetickej a informačnej bezpečnosti (ISMS: Information Security Management System), ktorý formálne zakotví princípy kybernetickej a informačnej bezpečnosti do organizačnej štruktúry UNIZA. Riadenie kybernetickej a informačnej bezpečnosti bude založené na vypracovanej, aktualizovanej a implementovanej bezpečnostnej dokumentácii zahŕňajúcej bezpečnostnú stratégiu, politiky, smernice, postupy, bezpečnostné projekty a ďalšie interné riadiace dokumenty.

122

123

V rámci jednotlivých procesov riadenia rizík budú identifikované všetky primárne aktíva (procesy, informácie) ako aj podporné aktíva (hardvér, softvér, ľudské zdroje, lokality, tretie strany, siete, informačné systémy), pričom bude implementovaný systém pre centrálnu inventarizáciu týchto aktív a súvisiacich konfiguračných požiadaviek. Bude aktualizovaná dokumentácia počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov. Bude spracovaná analýza funkčných dopadov identifikujúca rôzne kategórie procesov organizácie, na základe ich kritickosti, vzájomnej závislosti a potenciálnych dôsledkov v prípade vzniku incidentu. Bude navrhnutý a implementovaný systém riadenia rizík pozostávajúci z podprocesu posudzovania rizík a podprocesu ošetrenia rizík. Samostatnou kategóriou procesu posudzovania rizík bude posúdenie rizík tretích strán a celého dodávateľského reťazca vo vzťahu k poskytovaným službám a produktom. Budú identifikovaný vlastníci rizík, zodpovední za implementáciu organizačných a technických bezpečnostných opatrení, určených na zníženie rizika na akceptovateľnú úroveň.

124

125

Na riešenie kybernetických bezpečnostných incidentov v rámci UNIZA budú vypracované a pravidelne aktualizované štandardy a postupy riešenia kybernetických bezpečnostných incidentov. Procesy budú realizované implementáciou nástrojov na detekciu, zber a nepretržité ohodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Po úspešnom otestovaní a vyhodnotení budú spracované technické špecifikácie s dopadom na budúcu implementáciu a integráciu systémov do existujúcej infraštruktúry univerzity. Budú definované a schválené scenáre pre potenciálne vzniknuté kybernetické incidenty a vo vzťahu k tomu budú definované stratégie kontinuity činnosti a jednotlivé plány kontinuity činnosti a plány obnovy prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na činnosť UNIZA. Taktiež budú definované plány na zálohovanie informačných systémov na základe realizovanej analýzy dopadov a zistených časov RPO.

126

127

Vzhľadom na dlhodobé výskumné, vzdelávacie a expertízne aktivity v oblasti kybernetickej a informačnej bezpečnosti na UNIZA, bude celý projekt realizovaný tímom interných zamestnancov UNIZA. V rámci organizačnej štruktúry UNIZA bude zriadený Bezpečnostný výbor, ktorý bude strategickým orgánom pri riešení otázok kybernetickej a informačnej bezpečnosti. V rámci projektu budú vytvorené esenciálne role pre riadenie kybernetickej a informačnej bezpečnosti, ako je manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.

\\

**Ciele projektu** sú zadefinované v súlade s Národnou koncepciou informatizácie verejnej správy:

132

133

* zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,

134

* monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIB incidentov,

135

* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,

136

* zabezpečenie kontinuity prevádzky.

137

138

V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

\\

**Cieľová skupina:**

* zamestnanci UNIZA,

* študenti UNIZA,

* uchádzači o štúdium na UNIZA,

147

* externí spolupracovníci UNIZA (členovia Vedeckých rád a Akreditačnej rady UNIZA),

148

* právnické osoby využívajúce systémy UNIZA a dodávatelia.

\\

Realizáciou projektu bude dosiahnuté naplnenie hlavného cieľa: zvýšenie kybernetickej a informačnej bezpečnosti, zabezpečenia ochrany údajov a zvýšenie ochrany voči bezpečnostným incidentom v prostredí UNIZA.

\\

Projekt je v súlade so stratégiou Programu Slovensko 2021-2027 v nasledovných oblastiach:

157

158

* súlad projektu so špecifickým cieľom: RSO1.2 – 1.a Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy - Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti (opatrenie 1.2.1),

159

* súlad s definovanými typmi oprávnených aktivít v rámci výzvy.

\\

**Merateľné ukazovatele:**

164

165

//PO095 / PSKPSOI12 – Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov//

166

167

//a procesov// - cieľová hodnota: 1

168

169

//PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov//

170

171

//a procesov //– cieľová hodnota: 800

\\

**Miesto realizácie projektu:** Žilinská univerzita v Žiline

\\

**Predpokladaný rozpočet projektu (oprávnené výdavky):** 449 976,30 €.

180

181

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.2Motiváciaarozsahprojektu"/}}2.2 Motivácia a rozsah projektu ==

182

183

Hlavnou motiváciou projektu je výrazné zvýšenie úrovne kybernetickej a informačnej bezpečnosti (KIB), aby UNIZA bola lepšie pripravená čeliť interným a externým hrozbám v oblasti KIB. Po ukončení projektu bude UNIZA disponovať vyššími schopnosťami detekcie škodlivých aktivít, bude k dispozícii vybavenie na lepšiu ochranu pred útokmi z externého a interného prostredia, ako aj ochranu dát.

\\

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (NKIVS):

188

189

* zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,

190

* monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIV incidentov,

191

* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,

192

* zabezpečenie kontinuity prevádzky.

193

194

V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

\\

Navrhovaný projekt v rámci výzvy „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy" súvisí najmä s naplnením povinností:

199

200

* definovanými v zákone č. 69/2018 Z. z. Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB") a v zákone č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS").

201

* opatreniami definovanými v § 20 zákona o KB,

202

* zvýšenia úrovne a schopnosti zabezpečovať a riadiť KIB vzhľadom na neustále sa zvyšujúce hrozby a nedostatočný stav úrovne aktuálne nastavených procesov riadenia KIB,

203

* zabezpečenie realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou KIB.

\\

V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: **Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.**

**~ **

Hlavná aktivita bude rozdelená na štyri podaktivity:

212

213

**//Podaktivita 1 Organizácia a personálne zabezpečenie kybernetickej a informačnej bezpečnosti//**

Výstupy aktivity:

* Vytvorenie a schválenie stratégie kybernetickej bezpečnosti a bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA spracované podľa vyhlášky NBU a v súlade s relevantnými normami a legislatívou, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení na UNIZA.

218

* Bezpečnostný projekt informačného systému verejnej správy podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.

219

* Kompetenčná matica s definovaním pracovných pozícií, rolí, právomocí a zodpovedností v oblasti KIB.

220

* Štatút a zriadenie Výboru kybernetickej a informačnej bezpečnosti (ďalej VKIB) ako poradného orgánu vedenia vysokej školy v oblasti kybernetickej a informačnej bezpečnosti. Zriadený Bezpečnostný výbor, ktorý sa bude riadiť prijatým štatútom a bude strategickým orgánom pri riešení otázok kybernetickej a informačnej bezpečnosti

221

* Vytvorenie pracovnej pozície alebo priradenie role manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.

222

* Plán rozvoja bezpečnostného povedomia a vzdelávania zamestnancov univerzity a jeho overovania.

223

* Interný riadiaci akt postupov a procesov upravujúcich personálnu bezpečnosť univerzity.

224

* Návrhy dodatkov zmlúv s tretími stranami podľa požiadaviek zákona o kybernetickej bezpečnosti.

225

* Záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti.

\\

**//Podaktivita 2 Riadenie rizík//**

Výstupy aktivity:

* Systém pre centrálnu inventarizáciu aktív a konfiguračných požiadaviek

234

* Dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.

235

* Klasifikácia informácií a kategorizácia sietí a informačných systémov.

236

* Metodika kontinuity činnosti.

237

* Analýza funkčných dopadov.

238

* Metodika riadenia rizík kybernetickej a informačnej bezpečnosti.

239

* Analýza rizík kybernetickej bezpečnosti.

\\

**Podaktivita 3 Riešenie kybernetických bezpečnostných incidentov a kontinuita prevádzky**

Výstupy aktivity:

* Stratégia kontinuity činnosti (BCM) a krízové plány univerzity (DRP).

248

* Plány pre BCM a DRP.

249

* Interný riadiaci akt upravujúci riešenie kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností a povinností zamestnancov ako aj plánov a spôsobov riešenia incidentov.

250

* Dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané. Konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov.

251

* Implementácia nástrojov pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení.

252

* Interný riadiaci akt zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Plány záloh.

\\

**Podaktivita 4 Riadenie prevádzky kybernetickej a informačnej bezpečnosti**

Výstupy aktivity:

* Interný riadiaci akt s bezpečnostnými zásadami pre koncových používateľov.

261

* Zásady riadenia prístupov osôb k sieti a informačnému systému.

262

* Interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.

263

* Interný riadiaci akt upravujúci pravidlá sieťovej a komunikačnej bezpečnosti

264

* Interný riadiaci akt upravujúci postupy definujúce požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na ich obstarávanie, vyvíjanie a udržiavanie.

265

* Interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania.

266

* Interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.

267

* Interný riadiaci akt s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu a pravidiel súvisiacich s ochranou proti škodlivému kódu.

268

* Interný riadiaci akt definujúci bezpečnostné požiadavky na všetky fázy životného cyklu vývoja softvéru (SSDLC: Secure Systems Development Lifecycle, DevOps).

269

* Interný riadiaci akt upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

270

* Interný riadiaci akt upravujúci fyzickú bezpečnosť a bezpečnosť prostredia.

\\

Okrem hlavnej aktivity budú v rámci projektu realizované aj podporné aktivity, ktoré budú kryté z nepriamych výdavkov:

275

276

* Projektové riadenie a administratívna podpora hlavných aktivít projektu,

277

* Publicita a informovanosť v zmysle manuálu.

**Biznis procesy:**

V rámci realizácie projektu budú zavedené nasledovné biznis procesy, ktoré budú podporené príslušnými riešeniami:

282

283

* zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,

284

* monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIB incidentov,

285

* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,

286

* zabezpečenie kontinuity prevádzky.

\\

Okrem samotného zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS sa projekt bude dotýkať väčšiny biznis procesov vykonávaných na UNIZA, ktoré sú realizované prostredníctvom informačných systémov UNIZA. Jedná sa najmä o:

291

292

* AIVS - Akademický informačný a vzdelávací systém - Prijímacie konanie, Priebeh štúdia, Rozvrh, Štipendiá, Platby za štúdium, Záver štúdia, Ubytovanie, FIT - evidencia prístupov študentov do fit centier, Automatizovaný platobný styk, e-learning (MOODLE).

293

* IS pre projekty UNIZA,

294

* Hotelové ubytovanie,

295

* Uniza Network Management System,

296

* ZuFlow podporné aplikácie,

297

* Vnútorný bezhotovostný úhradový systém eMANY,

298

* Webová stránka UNIVERZITY,

299

* INTRANET UNIVERZITY,

300

* Externé IS - SOFIA- podsystém pre spracovanie ekonomiky, personalistiky a miezd, Dochádzkový a prístupový systém WATT, DAWINCI - Knižničný systém, EZAP – evidencia záverečných prác, KREDIT – Stravovací systém, Čipové karty, Registratúra.

\\

Realizácia projektu bude mať vplyv na nasledovné skupiny subjektov:

* zamestnanci UNIZA,

* študenti UNIZA,

* uchádzači o štúdium na UNIZA,

309

* externí spolupracovníci UNIZA (členovia Vedeckých rád a Akreditačnej rady UNIZA),

310

* právnické osoby využívajúce systémy UNIZA a dodávatelia.

\\

**Motivácia a obmedzenia pre dosiahnutie cieľov projektu**

315

316

Hlavnou motiváciou je realizácia opatrení KIB definovaných v zákone o kybernetickej bezpečnosti a v zákone o ISVS. Vďaka realizácii týchto opatrení budú IS UNIZA chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku IS UNIZA nasledovný dopad:

317

318

(% class="" %)|(((

319

**Dopad kybernetického bezpečnostného incidentu v závislosti**

)))|(((

**Kategória**

)))|(((

**Vysvetlenie**

)))

(% class="" %)|(((

§ 24 ods. 2 písm. a) zákona 69/2018 Z.z. - Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.

)))|(((

I.

)))|(((

Počítačovú sieť UNIZA a aplikácie prevádzkované na UNIZA využívajú v prevažnej miere študenti a zamestnanci univerzity. V roku 2023 bolo na UNIZA zamestnaných 1479 zamestnancov vo fyzických osobách a na univerzite študovalo 7418 študentov v dennej a externej forme. Štúdium úspešne ukončilo 1043 absolventov, ktorým z dôvodu zachovania komunikačného kanálu ostávajú aktívne účty na UNIZA po dobu ďalších 24 mesiacov. Do akademického informačného systému cez modul Prijímacie konanie v danom roku pribudlo 4269 uchádzačov o štúdium. Okrem uvedených počtov sú používateľmi počítačových sietí UNIZA a aplikácií UNIZA absolventi zahraniční študenti, ktorí sa zúčastňujú mobilitných pobytov na UNIZA (cca. 250 ročne), zahraniční pedagógovia, ktorí sa zúčastňujú mobilitných pobytov na UNIZA (cca. 150 ročne), hostia v ubytovacích zariadeniach, riešitelia spoločných výskumných a nevýskumných projektov a ďalší používatelia, ktorí pracujú v priestoroch UNIZA (prenájmy, spoločné pracoviská). V prípade závažnej kybernetickej hrozby by bolo celkovo postihnutých viac ako 16000 používateľov.

331

)))

332

(% class="" %)|(((

333

§ 24 ods. 2 písm. b) zákona 69/2018 Z.z. - Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)

334

a/alebo § 24 ods. 2 písm. c) zákona 69/2018 Z.z. - Geografické rozšírenie kybernetického bezpečnostného incidentu

)))|(((

II.

)))|(((

V prípade závažnej kybernetickej hrozby by bolo celkovo postihnutých viac ako 16000 používateľov. Čas do odstránenia bezpečnostného incidentu by mohol byť v závislosti od jeho závažnosti v dňoch až týždňoch.

339

)))

340

(% class="" %)|(((

341

§ 24 ods. 2 písm. d) zákona 69/2018 Z.z. - Stupeň narušenia fungovania základnej služby.

)))|(((

II.

)))|(((

Incident by spôsobil úplnú nedostupnosť druhu služby, pre ktorú je možné zabezpečiť náhradné riešenie.

346

)))

347

(% class="" %)|(((

348

§ 24 ods. 2 písm. e) zákona 69/2018 Z.z. - Rozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu

)))|(((

I.

)))|(((

Boli by narušené základné funkcie univerzity - ohrozený by bol základný chod univerzity z hľadiska finančných operácií vo vnútri školy aj vo vzťahu k dodávateľom, výučba a procesy súvisiace s ňou - tvorba rozvrhov, prijímacie skúšky, konanie štátnych skúšok, ohrozené by boli výskumné úlohy a citlivé údaje, ktoré sú uložené na univerzitných serveroch. Vznikli by boli veľmi veľké škody až vo výške viac ako 1 000 000 €, v niektorých oblastiach dokonca až fatálne. Nefunkčnosť systémov má priamy vplyv na hospodárske alebo spoločenské činnosti.

)))

\\

Projekt je formulovaný tak, aby po jeho realizácii nastal čo najväčší súlad zabezpečenia kybernetickej a informačnej bezpečnosti so zákonom o kybernetickej bezpečnosti a so zákonom o ISVS.

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.3Zainteresovanéstrany/Stakeholderi"/}}2.3 Zainteresované strany/Stakeholderi ==

\\

(% class="" %)|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

(názov / skratka)

)))|(((

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

(% class="" %)|(((

1.

)))|(((

Zamestnanci UNIZA

)))|(((

UNIZA_zam

)))|(((

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

390

)))|(((

391

isvs_14246 - ZuFlow podporné aplikácie

392

393

isvs_14245 - Uniza Network Management System

394

395

isvs_14244 - IS pre projekty UNIZA

396

397

isvs_14243 - AIVS - Akademický informačný a vzdelávací systém

398

399

isvs_14242 - Webové sídlo UNIZA

\\

)))

(% class="" %)|(((

2.

)))|(((

Študenti UNIZA

)))|(((

UNIZA_stud

)))|(((

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

411

)))|(((

412

isvs_14246 - ZuFlow podporné aplikácie

413

414

isvs_14245 - Uniza Network Management System

415

416

isvs_14243 - AIVS - Akademický informačný a vzdelávací systém

417

418

isvs_14242 - Webové sídlo UNIZA

\\

)))

(% class="" %)|(((

3.

)))|(((

Uchádzači UNIZA

)))|(((

UNIZA_uch

)))|(((

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

430

)))|(((

431

isvs_14246 - ZuFlow podporné aplikácie

432

433

isvs_14245 - Uniza Network Management System

434

435

isvs_14243 - AIVS - Akademický informačný a vzdelávací systém

436

437

isvs_14242 - Webové sídlo UNIZA

\\

)))

(% class="" %)|(((

4.

)))|(((

Externí spolupracovníci UNIZA

)))|(((

UNIZA_ext

)))|(((

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

449

)))|(((

450

isvs_14246 - ZuFlow podporné aplikácie

451

452

isvs_14245 - Uniza Network Management System

453

454

isvs_14244 - IS pre projekty UNIZA

455

456

isvs_14243 - AIVS - Akademický informačný a vzdelávací systém

457

458

isvs_14242 - Webové sídlo UNIZA

\\

)))

(% class="" %)|(((

5.

)))|(((

Dodávatelia a spolupracujúce organizácie

)))|(((

Ext.

)))|(((

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

470

)))|(((

471

isvs_14246 - ZuFlow podporné aplikácie

472

473

isvs_14245 - Uniza Network Management System

474

475

isvs_14242 - Webové sídlo UNIZA

\\

)))

(% class="" %)|(((

6.

)))|(((

UNIZA – správcovia IS a siete

)))|(((

UNIZA_spr

)))|(((

Vlastník procesu, vlastník dát

487

)))|(((

488

isvs_14246 - ZuFlow podporné aplikácie

489

490

isvs_14245 - Uniza Network Management System

491

492

isvs_14244 - IS pre projekty UNIZA

493

494

isvs_14243 - AIVS - Akademický informačný a vzdelávací systém

495

496

isvs_14242 - Webové sídlo UNIZA

\\

)))

\\

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.4Cieleprojektu"/}}2.4 Ciele projektu ==

506

507

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy:

508

509

* zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,

510

* monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIV incidentov,

511

* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,

512

* zabezpečenie kontinuity prevádzky.

513

514

V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

\\

(% class="" %)|(((

ID

)))|(((

\\

\\

Názov cieľa

)))|(((

Názov strategického cieľa

528

)))|(((

529

Spôsob realizácie strategického cieľa

)))

(% class="" %)|(((

1

)))|(((

Organizácia a personálne zabezpečenie kybernetickej a informačnej bezpečnosti

535

)))|(((

536

Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

537

)))|(((

538

... • Vytvorenie a schválenie Stratégie kybernetickej bezpečnosti a Bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA spracované podľa vyhlášky NBU a v súlade s relevantnými normami a legislatívou, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení na UNIZA.

539

540

• Bezpečnostný projekt informačného systému verejnej správy podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.

541

542

• Kompetenčná matica s definovaním pracovných pozícií, rolí, právomocí a zodpovedností v oblasti KIB.

543

544

• Štatút a zriadenie Výboru kybernetickej a informačnej bezpečnosti (ďalej VKIB) ako poradného orgánu vedenia vysokej školy v oblasti kybernetickej a informačnej bezpečnosti.

545

546

• Vytvorenie pracovnej pozície alebo priradenie role manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.

547

548

• Plán rozvoja bezpečnostného povedomia a vzdelávania zamestnancov univerzity a jeho overovania.

549

550

• Interný riadiaci akt postupov a procesov upravujúcich personálnu bezpečnosť univerzity.

551

552

• Návrhy dodatkov zmlúv s tretími stranami podľa požiadaviek zákona o kybernetickej bezpečnosti.

553

554

• Záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti.

)))

(% class="" %)|(((

2.

)))|(((

Riadenie rizík

)))|(((

Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

562

)))|(((

563

• Systém pre centrálnu inventarizáciu aktív a konfiguračných požiadaviek.

564

565

• Dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.

566

567

• Klasifikácia informácií a kategorizácia sietí a informačných systémov.

568

569

• Metodika kontinuity činnosti.

570

571

• Analýza funkčných dopadov.

572

573

• Metodika riadenia rizík kybernetickej a informačnej bezpečnosti.

574

575

• Analýza rizík kybernetickej bezpečnosti.

)))

(% class="" %)|(((

3.

)))|(((

Riešenie kybernetických bezpečnostných incidentov a kontinuita prevádzky

581

)))|(((

582

Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

583

)))|(((

584

• Stratégia kontinuity činnosti (BCM) a krízové plány univerzity (DRP).

585

586

• Plány pre BCM a DRP.

587

588

• Interný riadiaci akt upravujúci riešenie kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností a povinností zamestnancov ako aj plánov a spôsobov riešenia incidentov.

589

590

• Dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané. Konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov.

591

592

• Implementácia nástrojov pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení.

593

594

• Interný riadiaci akt zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Plány záloh.

)))

(% class="" %)|(((

4.

)))|(((

Riadenie prevádzky kybernetickej a informačnej bezpečnosti

600

)))|(((

601

Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

602

)))|(((

603

• Interný riadiaci akt s bezpečnostnými zásadami pre koncových používateľov.

604

605

• Zásady riadenia prístupov osôb k sieti a informačnému systému.

606

607

• Interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.

608

609

• Interný riadiaci akt upravujúci pravidlá sieťovej a komunikačnej bezpečnosti.

610

611

• Interný riadiaci akt upravujúci postupy definujúce požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na ich obstarávanie, vyvíjanie a udržiavanie.

612

613

• Interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania.

614

615

• Interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.

616

617

• Interný riadiaci akt s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu a pravidiel súvisiacich s ochranou proti škodlivému kódu.

618

619

• Interný riadiaci akt definujúci bezpečnostné požiadavky na všetky fázy životného cyklu vývoja softvéru (SSDLC: Secure Systems Development Lifecycle, DevOps).

620

621

• Interný riadiaci akt upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

622

623

• Interný riadiaci akt upravujúci fyzickú bezpečnosť a bezpečnosť prostredia.

)))

\\

\\

**~ **

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.5Merateľnéukazovatele(KPI)"/}}2.5 Merateľné ukazovatele (KPI) ==

\\

(% class="" %)|(((

ID

)))|(((

\\

\\

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

\\

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

)))

(% class="" %)|(((

1

)))|(((

PO095 / PSKPSOI12

\\

)))|(((

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

674

)))|(((

675

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej

676

677

bezpečnosti verejnej správy

)))|(((

Verejné inštitúcie

)))|(((

0

)))|(((

1

)))|(((

Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS

686

687

Čas plnenia merateľného ukazovateľa projektu: Fyzické ukončenie realizácie hlavných aktivít projektu

)))|(((

...

)))

(% class="" %)|(((

2

)))|(((

PR017 / PSKPRCR11

)))|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

697

)))|(((

698

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

)))|(((

Používatelia / rok

)))|(((

0

)))|(((

800

)))|(((

Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom databázou používateľov v oblasti KIB.

707

708

V prípade univerzity ide o počet používateľov, ktorí priamo využívajú IS a priamo sa podieľajú na zabezpečovaní základnej služby.

709

710

Čas plnenia merateľného ukazovateľa projektu: v rámci udržateľnosti projektu

)))|(((

...

)))

\\

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.6Rizikáazávislosti"/}}2.6 Riziká a závislosti ==

720

721

Zoznam rizík a závislostí je detailne rozpracovaný v prílohe tohto dokumentu č. 1: Zoznam rizík a závislostí.

\\

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.7Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}2.7 Stanovenie alternatív v biznisovej vrstve architektúry ==

728

729

V rámci analýzy možností v biznis vrstve boli stanovené 4 alternatívy, vzhľadom na aktuálny stav zabezpečenia KIB v podmienkach UNIZA:

730

731

* //Alternatíva 1: Zachovanie existujúceho stavu KIB// – sú splnené len niektoré požiadavky na KIB, existuje možné kritické ohrozenie počítačovej siete a IS UNIZA.

732

* //Alternatíva 2: Realizácia vybraných opatrení na zvýšenie úrovne KIB// – zvýšil by sa súlad s legislatívnymi požiadavkami na zabezpečenie KIB, stále existuje možné kritické ohrozenie počítačovej siete a IS UNIZA.

733

* //Alternatíva 3: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB internými kapacitami UNIZA – //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje v plnej réžii UNIZA využitím interných kapacít (in-house riešenie).

734

* //Alternatíva 4: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB s využitím externých kapacít mimo UNIZA - //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje prostredníctvom externých dodávateľov.

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.8Multikriteriálnaanalýza"/}}2.8 Multikriteriálna analýza ==

739

740

Stanovenie kritérií pre multikriteriálnu analýzu:

741

742

* //Kritérium 1 (KO)~:// Nutnosť zosúladiť úroveň KIB s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS na maximálnu možnú dosiahnuteľnú úroveň. Táto požiadavka sa dotýka všetkých stakeholderov.

743

* //Kritérium 2~:// Rýchlosť implementácie riešenia. Táto požiadavka sa dotýka všetkých stakeholderov.

744

* //Kritérium 3~:// Spoľahlivosť a kvalita implementácie riešenia. Táto požiadavka sa dotýka všetkých stakeholderov.

745

* //Kritérium 4~:// Dlhodobá udržateľnosť riešenia. Táto požiadavka sa dotýka všetkých stakeholderov.

\\

(% class="" %)|(((

Zoznam kritérií

)))|(((

Alternatíva 1

)))|(((

Alternatíva 2

)))|(((

Alternatíva 3

)))|(((

Alternatíva 4

)))

(% class="" %)|(((

Kritérium 1 (KO)

)))|(((

Nie

)))|(((

Nie

)))|(((

Áno

)))|(((

Áno

)))

(% class="" %)|(((

Kritérium 2

)))|(((

Nie

)))|(((

Áno

)))|(((

Áno

)))|(((

Áno

)))

(% class="" %)|(((

Kritérium 3

)))|(((

Nie

)))|(((

Áno

)))|(((

Áno

)))|(((

Áno

)))

(% class="" %)|(((

Kritérium 4

)))|(((

Nie

)))|(((

Nie

)))|(((

Áno

)))|(((

Nie

)))

\\

Z hľadiska identifikovaných kritérií Alternatíva 1 nespĺňa žiadne z nich, nakoľko by bol zachovaný aktuálny stav, ktorý nie je dlhodobo udržateľný. V prípade alternatívy 2 ako čiastkového riešenia by nedošlo k naplneniu kritéria 1, ktoré je KO kritériom a takáto situácia nie je rovnako dlhodobo udržateľná. V prípade alternatívy 3 by boli realizované všetky procesy v oblasti KIB internými kapacitami a riešenie by bolo dlhodobo udržateľné, vzhľadom na dlhodobé výskumné, vzdelávacie a expertízne aktivity v oblasti kybernetickej a informačnej bezpečnosti na UNIZA. Alternatíva 4 pokrýva prvé 3 kritériá, avšak dlhodobá udržateľnosť takéhoto riešenia nie je najmä z finančného hľadiska otázna.

808

809

Na základe zhodnotenia je ako najviac prijateľná alternatíva 3, ktorá spĺňa všetky stanovené kritériá.

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.9Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}2.9 Stanovenie alternatív v aplikačnej vrstve architektúry ==

814

815

Definícia alternatív v aplikačnej vrstve vychádza z analýzy alternatív na biznis vrstve, pričom HW a SW technológie musia zodpovedať požiadavkám definovaným v projekte a vychádzajú z požiadaviek zákona o kybernetickej bezpečnosti, zákona o ISVS a vyhlášky 362/2018 Z. z.

816

817

Aplikačná vrstva v projekte uvažuje dve možné alternatívy:

818

819

* //Alternatíva A: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB internými kapacitami UNIZA – //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje v plnej réžii UNIZA využitím interných kapacít (in-house riešenie) – zodpovedá alternatíve 3 biznis vrstvy.

820

* //Alternatíva B: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB s využitím externých kapacít mimo UNIZA - //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje prostredníctvom externých dodávateľov – zodpovedá alternatíve 4 biznis vrstvy.

821

822

Vzhľadom na výsledok vykonanej multikriteriálnej analýzy biznis architektúry bude zvolená alternatíva A.

// //

== {{id name="projekt_2619_Projektovy_zamer_detailny-2.10Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}2.10 Stanovenie alternatív v technologickej vrstve architektúry ==

827

828

Vzhľadom na to, že v rámci projektu sú definované požiadavky na HW a SW technológie všeobecne tak, aby bolo HW a SW technológiu spĺňajúcu požiadavky koncových používateľov a stakeholderov možné použiť na realizáciu projektu, nie sú z hľadiska možného použitia technológií definované alternatívy. Bližšia analýza možných technológií bude vykonaná počas projektu. Technologická vrstva architektúry bude bližšie definovaná prepojením IS na úrovni univerzity.

\\

= {{id name="projekt_2619_Projektovy_zamer_detailny-3.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}3. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

\\

Výstupy projektu sú nasledovné:

837

838

* Vytvorenie a schválenie stratégie kybernetickej bezpečnosti a bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA spracované podľa vyhlášky NBU a v súlade s relevantnými normami a legislatívou, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení na UNIZA.

839

* Bezpečnostný projekt informačného systému verejnej správy podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.

840

* Kompetenčná matica s definovaním pracovných pozícií, rolí, právomocí a zodpovedností v oblasti KIB.

841

* Štatút a zriadenie Výboru kybernetickej a informačnej bezpečnosti (ďalej VKIB) ako poradného orgánu vedenia vysokej školy v oblasti kybernetickej a informačnej bezpečnosti.

842

* Vytvorenie pracovnej pozície alebo priradenie role manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.

843

* Plán rozvoja bezpečnostného povedomia a vzdelávania zamestnancov univerzity a jeho overovania.

844

* Interný riadiaci akt postupov a procesov upravujúcich personálnu bezpečnosť univerzity.

845

* Návrhy dodatkov zmlúv s tretími stranami podľa požiadaviek zákona o kybernetickej bezpečnosti.

846

* Záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti.

847

* Systém pre centrálnu inventarizáciu aktív a konfiguračných požiadaviek

848

* Dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.

849

* Klasifikácia informácií a kategorizácia sietí a informačných systémov.

850

* Metodika kontinuity činnosti.

851

* Analýza funkčných dopadov.

852

* Metodika riadenia rizík kybernetickej a informačnej bezpečnosti.

853

* Analýza rizík kybernetickej bezpečnosti.

854

* Stratégia kontinuity činnosti (BCM) a krízové plány univerzity (DRP).

855

* Plány pre BCM a DRP.

856

* Interný riadiaci akt upravujúci riešenie kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností a povinností zamestnancov ako aj plánov a spôsobov riešenia incidentov.

857

* Dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané. Konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov.

858

* Implementácia nástrojov pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení.

859

* Interný riadiaci akt zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Plány záloh.

860

* Interný riadiaci akt s bezpečnostnými zásadami pre koncových používateľov.

861

* Zásady riadenia prístupov osôb k sieti a informačnému systému.

862

* Interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.

863

* Interný riadiaci akt upravujúci pravidlá sieťovej a komunikačnej bezpečnosti

864

* Interný riadiaci akt upravujúci postupy definujúce požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na ich obstarávanie, vyvíjanie a udržiavanie.

865

* Interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania.

866

* Interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.

867

* Interný riadiaci akt s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu a pravidiel súvisiacich s ochranou proti škodlivému kódu.

868

* Interný riadiaci akt definujúci bezpečnostné požiadavky na všetky fázy životného cyklu vývoja softvéru (SSDLC: Secure Systems Development Lifecycle, DevOps).

869

* Interný riadiaci akt upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

870

* Interný riadiaci akt upravujúci fyzickú bezpečnosť a bezpečnosť prostredia.

\\

Výstupy projektu zabezpečujú nasledovné požiadavky definované výzvou:

875

876

1. a) Organizácia kybernetickej a informačnej bezpečnosti

877

1. b) Riadenie rizík

878

1. c) Personálna bezpečnosť

879

1. d) Riadenie prístupov

880

1. e) Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

881

1. f) Bezpečnosť pri prevádzke informačných systémov a sietí

882

1. g) Hodnotenie zraniteľností a bezpečnostné aktualizácie

883

1. h) Ochrana proti škodlivému kódu

884

1. i) Sieťová a komunikačná bezpečnosť

885

1. j) Akvizícia, vývoj a údržba informačných technológií verejnej správy

886

1. k) Zaznamenávanie udalostí a monitorovanie

887

1. l) Fyzická bezpečnosť a bezpečnosť prostredia

888

1. m) Riešenie kybernetických bezpečnostných incidentov

889

1. n) Kryptografické opatrenia

890

1. o) Kontinuita prevádzky

891

1. p) Audit a kontrolné činnosti

892

893

= {{id name="projekt_2619_Projektovy_zamer_detailny-4.NÁHĽADARCHITEKTÚRY"/}}4. NÁHĽAD ARCHITEKTÚRY =

894

895

Architektúra navrhovaného projektu je rámcová a je nastavená tak, aby bolo z projektu zrejmé, ktoré komponenty v rámci realizácie projektu budú riešiť ochranu v rámci KIB. Hlavným cieľom je ochrana IS na UNIZA, aby bola zabezpečená prevádzka všetkých univerzitou poskytovaných služieb.

896

897

Na základe potrieb popísaných vyššie sa jedná hlavne o nasledovné komponenty:

898

899

* nástroje na zálohovanie prevádzkových dát,

900

* nástroje pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení,

901

* dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností.,

902

* špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané,

903

* konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov,

904

* implementovaný systém na inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,

905

* dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.

\\

= {{id name="projekt_2619_Projektovy_zamer_detailny-5.ROZPOČETAPRÍNOSY"/}}5. ROZPOČET A PRÍNOSY =

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-5.1Sumarizácianákladovaprínosov"/}}5.1 Sumarizácia nákladov a prínosov ==

\\

(% class="" %)|(((

Náklady

)))|(((

Podporné IS

)))|(((

Dokumentácia KIB

)))|(((

Podporné činnosti

)))

(% class="" %)|(((

**Všeobecný materiál**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

**IT – CAPEX**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Mzdy zamestnancov

)))|(((

//150 000 €//

)))|(((

//267 500 €//

)))|(((

//32 500 €//

)))

(% class="" %)|(((

SW

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

HW

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

**IT - OPEX- prevádzka**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

//10 000 €//

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

SW

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

HW

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

\\

V rámci projektu nie je plánované dodanie žiadnych externých služieb ani tovarov. Vzhľadom na významnú vzdelávaciu, vedeckú a expertíznu činnosť zapojených riešiteľov budú všetky podporné IS a dokumentácia KIB a záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti riešená internými zamestnancami kvalifikovanými v odbore KIB.

\\

**Prínos a návratnosť**

1015

1016

Výpočet prínosov a návratnosti projektu je v prípade projektov KIB náročný a je možné ho vyčísliť na základe možných škôd, ktoré by mohli vzniknúť v prípade, ak by neboli opatrenia KIB realizované. Boli identifikované nasledovné potenciálne škody:

1017

1018

* Finančné riziko – sú to možné dôsledky v prípade KIB incidentu. Jedná sa o možné sankcie vyplývajúce z platnej legislatívy, nákladov spojených s riešením následkov KIB incidentov, prípadne súdnych sporov v prípade možného úniku osobných údajov.

1019

* Reputačné riziko – vzhľadom na postavenie a oblasť spoločenskej dôležitosti a zákonných povinností univerzity, je toto riziko potenciálne vysoké – teda v prípade neplnenia legislatívnych požiadaviek v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS alebo vyhlášky 362 /2018 Z. z. či reálneho výpadku prevádzky základnej služby, úniku citlivých dát v kombinácii aj s prípadnou medializáciou a pod.

1020

1021

V prípade tohto projektu bolo vyčíslenie prínosov realizované na základe zákona č. 69/2018 Z. z., kde v §31 ods. 2, písm. c je stanovená pokuta do 1 percenta obratu, maximálne do výšky 300 000 €. Túto hodnotu je avšak možné považovať len za minimálny prínos, pretože v prípade nerealizovania implementácie opatrení KIB hrozí riziko, že investície do tejto oblasti skončia bez zavedených procesov, čím nedosiahnu synergický efekt riešenia incidentov KIB.

\\

= {{id name="projekt_2619_Projektovy_zamer_detailny-6.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}6. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =

\\

(% class="" %)|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))|(((

POZNÁMKA

)))

(% class="" %)|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

03/2024

)))|(((

09/2024

)))|(((

\\

)))

(% class="" %)|(((

2.

)))|(((

Realizačná fáza

)))|(((

10/2024

)))|(((

08/2026

)))|(((

\\

)))

(% class="" %)|(((

2a

)))|(((

Analýza, dizajn a návrh riešení

)))|(((

10/2024

)))|(((

04/2025

)))|(((

\\

)))

(% class="" %)|(((

2b

)))|(((

Implementácia a testovanie

)))|(((

05/2025

)))|(((

03/2026

)))|(((

\\

)))

(% class="" %)|(((

2c

)))|(((

Nasadenie

)))|(((

04/2026

)))|(((

07/2026

)))|(((

\\

)))

(% class="" %)|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

08/2026

)))|(((

09/2026

)))|(((

\\

)))

(% class="" %)|(((

4.

)))|(((

Podpora prevádzky

)))|(((

10/2026

)))|(((

09/2031

)))|(((

\\

)))

\\

**Projekt bude realizovaný metódou Agile:**

**// //**

\\

\\

= {{id name="projekt_2619_Projektovy_zamer_detailny-7.PROJEKTOVÝTÍM"/}}7. PROJEKTOVÝ TÍM =

1133

1134

**Riadiaci výbor projektu**

1135

1136

Pre účely realizácie projektu sa zriaďuje Riadiaci výbor projektu (RVP), v minimálne nasledovnom zložení:

1137

1138

* Predseda RVP a projektový manažér – doc. Ing. Michal Koháni, PhD.

1139

* Biznis vlastník – Ing. Pavol Podhora, PhD.

1140

* Zástupca prevádzky – Ing. Róbert Orenič

1141

* Iný člen RVP s hlasovacím právom - prof. Ing. Pavel Segeč, PhD.

1142

* Iný člen RVP s hlasovacím právom - prof. Ing. Tomáš Loveček, PhD.

1143

1144

Vzhľadom na to, že v rámci projektu je predpokladaná implementácia vlastných riešení, ktoré budú navrhované a vyvíjané projektovým tímom, nie je súčasťou projektu žiadny dodávateľ. Z tohto dôvodu nie je súčasťou riadiaceho výboru projektu zástupca dodávateľa.

\\

**Projektový tím riešiteľa**

1149

1150

* Projektový manažér – doc. Ing. Michal Koháni, PhD.

1151

* Biznis vlastník – Ing. Pavol Podhora, PhD.

1152

* Manažér IT prevádzky– Ing. Róbert Orenič

1153

* IT architekt – Ing. Ľuboš Kojdjak, Ing. Michal Hvizdák, Ing. Jana Hudecová, PhD.

1154

* Iná rola – architekt kybernetickej bezpečnosti, kľúčový používateľ: prof. Ing. Pavel Segeč, PhD.

1155

* Iná rola – analytik kybernetickej bezpečnosti: Ing. Jana Uramová, PhD., doc. Ing. Marek Roch, PhD., doc. Ing. Rastislav Pirník, PhD., doc. Ing. Slavomír Matuška, PhD.

1156

* IT architekt - špecialista pre riešenie kybernetických bezpečnostných incidentov – Ing. Marek Moravčík, PhD., Ing. Martin Kontšek, PhD.

1157

* Biznis analytik – prof. Ing. Milan Kubina, PhD., doc. Ing. Gabriel Koman, PhD.

1158

* UX dizajnér – prof. Ing. Radovan Madleňák, PhD.

1159

* Iná rola - špecialista kybernetickej bezpečnosti - prof. Ing. Tomáš Loveček, PhD., doc. Ing. Katarína Kampová, PhD., Ing. Matúš Madleňák, Ing. Marián Magdolén, PhD., Bc. Katarína Križalkovič, JUDr. Mária Tomková, PhD.

1160

* Manažér kybernetickej bezpečnosti – rola bude obsadená v priebehu projektu internými kapacitami

\\

== {{id name="projekt_2619_Projektovy_zamer_detailny-7.1PRACOVNÉNÁPLNE"/}}7.1 PRACOVNÉ NÁPLNE ==

1165

1166

Popis činností projektových rolí:

(% class="" %)|(((

Projektová rola

)))|(((

**Projektový manažér**

1172

)))

1173

(% class="" %)|(((

1174

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· zodpovedá za riadenie projektu podľa pravidiel stanovených vo Vyhláške 401/2023 Z. z.,

1179

1180

· zodpovedá za prípravu, inicializáciu a realizáciu projektu, identifikuje kritické miesta projektu a navrhovanie opatrenia na ich elimináciu,·

1181

1182

· zodpovedá za plánovanie, efektívne riadenie, motivovanie projektového tímu,

1183

1184

· Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu,

1185

1186

· zabezpečuje vypracovanie manažérskej a inej špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z. Z.z.,

1187

1188

· koordinuje činnosť RVP, pripravuje prezentácie stavu projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 401/2023 Z. z. na rokovanie RVP

1189

1190

· zabezpečuje realizáciu projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.,

1191

1192

· zabezpečuje vytvorenie a aktualizáciu BC/CBA,

1193

1194

· zabezpečuje a koordinuje efektívne využívanie ľudských a finančných zdrojov v projekte,

1195

1196

· koordinuje postup práce v projekte a dodržiavanie stanovených míľnikov,

1197

1198

· zodpovedá za riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien,

1199

1200

· má na starosti riadenie implementačných a prevádzkových aktivít v rámci projektu,

1201

1202

· v spoluprácu s projektovým oddelením zabezpečuje formálnu administráciu projektu, správu a archiváciu projektovej dokumentácie

1203

1204

· zodpovedá za dodržiavanie metodík projektového riadenia.

)))

\\

(% class="" %)|(((

Projektová rola

)))|(((

**Biznis vlastník**

)))

(% class="" %)|(((

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· zodpovedá za celkový priebeh projektu, jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi,

1220

1221

· realizuje dohľad nad súladom výstupov projektu a plánu,

1222

1223

· schvaľuje biznis požiadavky, nesie zodpovednosť za výsledné riešenie, prínos a má spoluzodpovednosť za napĺňanie merateľných ukazovateľov,

1224

1225

· definuje na užívateľsky orientované položky a ich zaradenie na spracovanie a určenie priority,

1226

1227

· zodpovedná za funkčné a technické požiadavky, obsaha a prínosy projektu, rieši riziká, vyjasňuje otázky tímu, priebežne akceptuje už dokončené požiadavky,

1228

1229

· spolupracuje s projektovým manažérom, UX dizajnérom, IT architektmi, a ďalšími členmi projektového tímu,

1230

1231

· dohliada na efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

1232

1233

· dohliada na vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch,

1234

1235

· poskytuje vyjadrenia k požiadavkám na úpravy a zmeny a ich opodstatnenosti,

1236

1237

· napomáha identifikovať príležitosti a riziká prevádzkových alebo podporných procesov,

1238

1239

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Organizácia kybernetickej a informačnej bezpečnosti, Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami, Sieťová a komunikačná bezpečnosť, Kryptografické opatrenia, Ochrana proti škodlivému kódu, Zaznamenávanie udalostí a monitorovanie

1240

1241

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1242

1243

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="" %)|(((

Projektová rola

)))|(((

**Manažér IT prevádzky**

1252

)))

1253

(% class="" %)|(((

1254

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· zabezpečuje plánovanie činností, úloh v projekte,

1259

1260

· zabezpečuje spoľahlivú prevádzky IS (technický servis, upgradovanie SW/HW, zálohovanie, testovanie) a podpory pre jej užívateľov (školenia, technická asistencia)

1261

1262

· zabezpečuje starostlivosť o rozvoj a modernizáciu IS v rámci projektu,

1263

1264

· riadi implementáciu informačných technológií a IS v projekte,

1265

1266

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Personálna bezpečnosť, Ochrana proti škodlivému kódu, Akvizícia, vývoj a údržba informačných technológií verejnej správy, Kryptografické opatrenia

1267

1268

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1269

1270

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="" %)|(((

Projektová rola

)))|(((

**IT architekt**

)))

(% class="" %)|(((

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· navrhuje architektúru IT riešení s cieľom dosiahnuť najlepšiu efektivitu riešenia, poskytovali čo najvyššiu funkčnosť a flexibilitu,

1286

1287

· pri návrhu posudzuje vhodnosť navrhnutých riešení s ohľadom na požiadavky projektu,

1288

1289

· zodpovedá za technický návrh a realizáciu riešenia,

1290

1291

· zodpovedá za tvorbu a aktualizáciu technickej IT dokumentácie, ·

1292

1293

· podieľa sa na návrhu architektúry systému, technických požiadaviek a funkčného modelu (Proof of Concept),

1294

1295

· podieľa sa na definovaní požiadaviek na HW/SW infraštruktúru IS,

1296

1297

· implementuje navrhnutú IT architektúru do IS,

1298

1299

· podieľa sa na testovaní dátových štruktúr a implementovaných funkcionalít za účelom dosiahnutia optimálneho výkonu IS,

1300

1301

· dbá na dodržiavanie integračných štandardov,

1302

1303

· vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania,

1304

1305

· vykonáva výkonnostné a integračné testy a navrhuje prípadné opravné opatrenia,

1306

1307

· zabezpečuje nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie opravných opatrení,

1308

1309

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Hodnotenie zraniteľností a bezpečnostné aktualizácie, Bezpečnosť pri prevádzke informačných systémov a sietí, Sieťová a komunikačná bezpečnosť, Akvizícia, vývoj a údržba informačných technológií verejnej správy

1310

1311

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1312

1313

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="" %)|(((

Projektová rola

)))|(((

**Iná rola – architekt kybernetickej bezpečnosti, kľúčový používateľ**

1322

)))

1323

(% class="" %)|(((

1324

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· navrhuje architektúru IT riešení z pohľadu kybernetickej bezpečnosti, s cieľom dosiahnuť najlepšiu efektivitu riešenia, poskytovali čo najvyššiu funkčnosť a flexibilitu,

1329

1330

· pri návrhu posudzuje vhodnosť navrhnutých riešení z pohľadu kybernetickej bezpečnosti~,~,

1331

1332

· zodpovedá za technický návrh a realizáciu riešenia z pohľadu kybernetickej bezpečnosti~,~,

1333

1334

· podieľa sa na tvorbe a aktualizácii technickej IT dokumentácie, ·

1335

1336

· podieľa sa na návrhu architektúry systému, technických požiadaviek a funkčného modelu (Proof of Concept) z pohľadu kybernetickej bezpečnosti~,~,

1337

1338

· podieľa sa na definovaní požiadaviek na HW/SW infraštruktúru IS z pohľadu kybernetickej bezpečnosti,

1339

1340

· podieľa sa na testovaní dátových štruktúr a implementovaných funkcionalít za účelom dosiahnutia optimálneho výkonu IS,

1341

1342

· dbá na dodržiavanie integračných štandardov,

1343

1344

· vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania,

1345

1346

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Bezpečnosť pri prevádzke informačných systémov a siet, Ochrana proti škodlivému kódu, Sieťová a komunikačná bezpečnosť, Zaznamenávanie udalostí a monitorovanie, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia

1347

1348

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1349

1350

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

\\

(% class="" %)|(((

Projektová rola

)))|(((

**Iná rola – analytik kybernetickej bezpečnosti**

1361

)))

1362

(% class="" %)|(((

1363

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu z pohľadu kybernetickej bezpečnosti,

1368

1369

· mapuje a analyzuje existujúce prostredie, analyzuje biznis požiadavky na informačný systém v oblasti kybernetickej bezpečnosti, špecifikuje požiadavky na informačnú podporu procesov v oblasti kybernetickej bezpečnosti, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní používateľom.

1370

1371

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Personálna bezpečnosť, Hodnotenie zraniteľností a bezpečnostné aktualizácie, Ochrana proti škodlivému kódu, Sieťová a komunikačná bezpečnosť, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia

1372

1373

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1374

1375

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="" %)|(((

Projektová rola

)))|(((

**IT architekt - špecialista pre riešenie kybernetických bezpečnostných incidentov**

1384

)))

1385

(% class="" %)|(((

1386

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· navrhuje architektúru IT riešení z pohľadu možných bezpečnostných incidentov s cieľom dosiahnuť najlepšiu efektivitu riešenia, poskytovali čo najvyššiu funkčnosť a flexibilitu,

1391

1392

· pri návrhu posudzuje vhodnosť navrhnutých riešení z pohľadu možných bezpečnostných incidentov,

1393

1394

· zodpovedá za technický návrh a realizáciu riešenia z pohľadu možných bezpečnostných incidentov,

1395

1396

· podieľa sa na tvorbe a aktualizácii technickej IT dokumentácie,

1397

1398

· podieľa sa na návrhu architektúry systému, technických požiadaviek a funkčného modelu (Proof of Concept),

1399

1400

· podieľa sa na definovaní požiadaviek na HW/SW infraštruktúru IS,

1401

1402

· implementuje navrhnutú IT architektúru do IS,

1403

1404

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Personálna bezpečnosť, Riadenie prístupov, Bezpečnosť pri prevádzke informačných systémov a sietí, Hodnotenie zraniteľností a bezpečnostné aktualizácie, Ochrana proti škodlivému kódu, Sieťová a komunikačná bezpečnosť, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia,

1405

1406

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1407

1408

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="" %)|(((

Projektová rola

)))|(((

**Biznis analytik**

)))

(% class="" %)|(((

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· zodpovedá za zber a analyzovanie biznis procesov, funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie,

1424

1425

· podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení,

1426

1427

· analyzuje požiadavky na informačný systém, popisuje a zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

1428

1429

· Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

1430

1431

· Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad

1432

1433

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte:

1434

1435

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1436

1437

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="" %)|(((

Projektová rola

)))|(((

**UX dizajnér**

)))

(% class="" %)|(((

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· zodpovedá za proces navrhovania „user experience“ pri produktoch súvisiacich s kybernetickou bezpečnosťou, ktoré by mali byť používateľsky prívetivé, ľahko použiteľné a užitočné,

1453

1454

· spolupracuje na návrhu a implementácii IS s IT dizajnérmi

1455

1456

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Organizácia kybernetickej a informačnej bezpečnosti, Akvizícia a údržba informačných technológií, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov

1457

1458

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1459

1460

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="" %)|(((

Projektová rola

)))|(((

**Iná rola - špecialista kybernetickej bezpečnosti**

1469

)))

1470

(% class="" %)|(((

1471

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· vykonáva odborné činnosti v oblasti bezpečnosti služieb IKT. Navrhuje, implementuje, udržiava a prevádzkuje bezpečnostné mechanizmy a riešenia,

1476

1477

· navrhuje a prezentuje bezpečnostné stratégie, bezpečnostné politiky a bezpečnostnú architektúru,

1478

1479

· posudzuje právne a etické požiadavky na zaručenie bezpečnosti informačných aktív, navrhuje a vykonáva procesy riadenia rizík v informačnej a kybernetickej bezpečnosti,

1480

1481

· vykonáva a podporuje kontroly a posudzovanie bezpečnostných procesov, systémov a mechanizmov a ošetruje odchýlky od požadovaného stavu,

1482

1483

· stanovuje požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, databáz, systémov a sietí,

1484

1485

· vyhodnocuje efektívnosť bezpečnostných mechanizmov a riešení a uplatňuje ich v procesoch organizácie,

1486

1487

· spracováva príslušné interné predpisy a dohliada nad ich plnením

1488

1489

· posudzuje zraniteľnosti, hrozby a riziká existujúcich a nových komponentov architektúry IKT, vykonáva bezpečnostné testy,

1490

1491

· poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov v oblasti bezpečnosti informácií,

1492

1493

· v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Organizácia kybernetickej a informačnej bezpečnosti, Riadenie rizík, Personálna bezpečnosť, Fyzická bezpečnosť a bezpečnosť prostredia, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia, Kontinuita prevádzky, Audit a kontrolné činnosti, Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami, Organizačná bezpečnosť.

1494

1495

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1496

1497

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

(% class="" %)|(((

Projektová rola

)))|(((

**Manažér kybernetickej bezpečnosti**

1506

)))

1507

(% class="" %)|(((

1508

Popis zodpovednosti, povinností a kompetencií

\\

)))|(((

· zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

1513

1514

· koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti,

1515

1516

· podieľa sa na špecifikácii štandardov, princípov a stratégií a funkčných požiadaviek v oblasti kybernetickej a informačnej bezpečnosti,

1517

1518

· špecifikuje požiadavky v oblasti kybernetickej a informačnej bezpečnosti, kontroluje ich implementáciu v realizovanom projekte,

1519

1520

· špecifikuje funkčných a nefunkčných požiadaviek v oblasti kybernetickej a informačnej bezpečnosti,

1521

1522

· špecifikuje požiadavky na bezpečnosť v rámci bezpečnostnej vrstvy,

1523

1524

· špecifikuje požiadavky na školenia v oblasti kybernetickej a informačnej bezpečnosti,

1525

1526

· špecifikuje požiadavky na bezpečnostnú architektúru riešenia a technickú infraštruktúru v oblasti kybernetickej a informačnej bezpečnosti,

1527

1528

· špecifikuje požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS v oblasti kybernetickej a informačnej bezpečnosti,

1529

1530

· realizuje posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

1531

1532

· definuje požiadavky v oblasti kybernetickej a informačnej bezpečnosti, bezpečnostný projekt a riadenie prístupu,

1533

1534

· definuje požiadavky na obsah dokumentácie v zmysle legislatívnych požiadaviek v oblasti kybernetickej a informačnej bezpečnosti,

1535

1536

· špecifikuje akceptačné kritériá v oblasti kybernetickej a informačnej bezpečnosti,

1537

1538

· špecifikuje pravidiel pre publicitu a informovanosť v oblasti kybernetickej a informačnej bezpečnosti,

1539

1540

· získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1541

1542

· zabezpečuje konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dokumentácie v oblasti kybernetickej a informačnej bezpečnosti,

1543

1544

· zabezpečuje realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v projekte v oblasti kybernetickej a informačnej bezpečnosti,

1545

1546

· aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

1547

1548

· plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

)))

\\

\\