Naposledy upravil Admin-metais MetaIS 2024/11/14 13:14
Show last authors
1 **PROJEKTOVÝ ZÁMER **
2
3 **Manažérsky výstup I-02**
4
5 **~ podľa vyhlášky MIRRI č. 401/2023 Z. z. **
6
7
8 (% class="wrapped" %)
9 |(((
10 Povinná osoba
11 )))|(((
12 Žilinská univerzita v Žiline
13 )))
14 |(((
15 Názov projektu
16 )))|(((
17 Riadenie kybernetickej a informačnej bezpečnosti v prostredí UNIZA
18 )))
19 |(((
20 Zodpovedná osoba za projekt
21 )))|(((
22 doc. Ing. Michal Koháni, PhD.
23 )))
24 |(((
25 Realizátor projektu
26 )))|(((
27 Žilinská univerzita v Žiline (UNIZA)
28 )))
29 |(((
30 Vlastník projektu
31 )))|(((
32 Žilinská univerzita v Žiline (UNIZA)
33 )))
34
35 **~ **
36
37 **Schvaľovanie dokumentu**
38
39 (% class="wrapped" %)
40 |(((
41 Položka
42 )))|(((
43 Meno a priezvisko
44 )))|(((
45 Organizácia
46 )))|(((
47 Pracovná pozícia
48 )))|(((
49 Dátum
50 )))|(((
51 Podpis
52
53 (alebo elektronický súhlas)
54 )))
55 |(((
56 Vypracoval
57 )))|(((
58 Michal Koháni
59 )))|(((
60 UNIZA
61 )))|(((
62 Prorektor pre IS
63 )))|(((
64 22.5.2024
65 )))|(((
66
67 )))
68
69 **~ **
70
71 = {{id name="projekt_2619_Projektovy_zamer_detailny-1.HistóriaDOKUMENTU"/}}1.    História DOKUMENTU =
72
73 (% class="wrapped" %)
74 |(((
75 Verzia
76 )))|(((
77 Dátum
78 )))|(((
79 Zmeny
80 )))|(((
81 Meno
82 )))
83 |(((
84 //0.1//
85 )))|(((
86 //15.5.2024//
87 )))|(((
88 //Pracovný návrh//
89 )))|(((
90
91 )))
92 |(((
93
94 )))|(((
95
96 )))|(((
97
98 )))|(((
99
100 )))
101 |(((
102
103 )))|(((
104
105 )))|(((
106
107 )))|(((
108
109 )))
110
111 **~ **
112
113 = {{id name="projekt_2619_Projektovy_zamer_detailny-2.DEFINOVANIEPROJEKTU"/}}2.    DEFINOVANIE PROJEKTU =
114
115
116 == {{id name="projekt_2619_Projektovy_zamer_detailny-2.1Manažérskezhrnutie"/}}2.1       Manažérske zhrnutie ==
117
118 Tento dokument je vypracovaný v súlade s Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Dokument Projektový zámer je určený na rozpracovanie informácií k projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, alokovaní rozpočtu, ľudských zdrojov a prechode do realizačnej fázy.
119
120
121 V predkladanom projekte sa realizuje návrh a postupná implementácia komplexného systému manažérstva kybernetickej a informačnej bezpečnosti (ISMS: Information Security Management System), ktorý formálne zakotví princípy kybernetickej a informačnej bezpečnosti do organizačnej štruktúry UNIZA. Riadenie kybernetickej a informačnej bezpečnosti bude založené na vypracovanej, aktualizovanej a implementovanej bezpečnostnej dokumentácii zahŕňajúcej bezpečnostnú stratégiu, politiky, smernice, postupy, bezpečnostné projekty a ďalšie interné riadiace dokumenty.
122
123 V rámci jednotlivých procesov riadenia rizík budú identifikované všetky primárne aktíva (procesy, informácie) ako aj podporné aktíva (hardvér, softvér, ľudské zdroje, lokality, tretie strany, siete, informačné systémy), pričom bude implementovaný systém pre centrálnu inventarizáciu týchto aktív a súvisiacich konfiguračných požiadaviek. Bude aktualizovaná dokumentácia počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov. Bude spracovaná analýza funkčných dopadov identifikujúca rôzne kategórie procesov organizácie, na základe ich kritickosti, vzájomnej závislosti a potenciálnych dôsledkov v prípade vzniku incidentu. Bude navrhnutý a implementovaný systém riadenia rizík pozostávajúci z podprocesu posudzovania rizík a podprocesu ošetrenia rizík. Samostatnou kategóriou procesu posudzovania rizík bude posúdenie rizík tretích strán a celého dodávateľského reťazca vo vzťahu k poskytovaným službám a produktom. Budú identifikovaný vlastníci rizík, zodpovední za implementáciu organizačných a technických bezpečnostných opatrení, určených na zníženie rizika na akceptovateľnú úroveň.
124
125 Na riešenie kybernetických bezpečnostných incidentov v rámci UNIZA budú vypracované a pravidelne aktualizované štandardy a postupy riešenia kybernetických bezpečnostných incidentov. Procesy budú realizované implementáciou nástrojov na detekciu, zber a nepretržité ohodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Po úspešnom otestovaní a vyhodnotení budú spracované technické špecifikácie s dopadom na budúcu implementáciu a integráciu systémov do existujúcej infraštruktúry univerzity. Budú definované a schválené scenáre pre potenciálne vzniknuté kybernetické incidenty a vo vzťahu k tomu budú definované stratégie kontinuity činnosti a jednotlivé plány kontinuity činnosti a plány obnovy prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na činnosť UNIZA. Taktiež budú definované plány na zálohovanie informačných systémov na základe realizovanej analýzy dopadov a zistených časov RPO.
126
127 Vzhľadom na dlhodobé výskumné, vzdelávacie a expertízne aktivity v oblasti kybernetickej a informačnej bezpečnosti na UNIZA, bude celý projekt realizovaný tímom interných zamestnancov UNIZA. V rámci organizačnej štruktúry UNIZA bude zriadený Bezpečnostný výbor, ktorý bude strategickým orgánom pri riešení otázok kybernetickej a informačnej bezpečnosti. V rámci projektu budú vytvorené esenciálne role pre riadenie kybernetickej a informačnej bezpečnosti, ako je manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.
128
129
130 **Ciele projektu** sú zadefinované v súlade s Národnou koncepciou informatizácie verejnej správy:
131
132 * zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,
133 * monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIB incidentov,
134 * evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,
135 * zabezpečenie kontinuity prevádzky.
136
137 V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.
138
139
140 **Cieľová skupina:**
141
142 * zamestnanci UNIZA,
143 * študenti UNIZA,
144 * uchádzači o štúdium na UNIZA,
145 * externí spolupracovníci UNIZA (členovia Vedeckých rád a Akreditačnej rady UNIZA),
146 * právnické osoby využívajúce systémy UNIZA a dodávatelia.
147
148
149 Realizáciou projektu bude dosiahnuté naplnenie hlavného cieľa: zvýšenie kybernetickej a informačnej bezpečnosti, zabezpečenia ochrany údajov a zvýšenie ochrany voči bezpečnostným incidentom v prostredí UNIZA.
150
151
152 Projekt je v súlade so stratégiou Programu Slovensko 2021-2027 v nasledovných oblastiach:
153
154 * súlad projektu so špecifickým cieľom: RSO1.2 – 1.a Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy - Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti (opatrenie 1.2.1),
155 * súlad s definovanými typmi oprávnených aktivít v rámci výzvy.
156
157
158 **Merateľné ukazovatele:**
159
160 //PO095 / PSKPSOI12 – Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov//
161
162 //a procesov// - cieľová hodnota: 1
163
164 //PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov//
165
166 //a procesov //– cieľová hodnota: 800
167
168
169 **Miesto realizácie projektu:** Žilinská univerzita v Žiline
170
171
172 **Predpokladaný rozpočet projektu (oprávnené výdavky):** 449 976,30 €.
173
174 == {{id name="projekt_2619_Projektovy_zamer_detailny-2.2Motiváciaarozsahprojektu"/}}2.2       Motivácia a rozsah projektu ==
175
176 Hlavnou motiváciou projektu je výrazné zvýšenie úrovne kybernetickej a informačnej bezpečnosti (KIB), aby UNIZA bola lepšie pripravená čeliť interným a externým hrozbám v oblasti KIB. Po ukončení projektu bude UNIZA disponovať vyššími schopnosťami detekcie škodlivých aktivít, bude k dispozícii vybavenie na lepšiu ochranu pred útokmi z externého a interného prostredia, ako aj ochranu dát.
177
178
179 Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (NKIVS):
180
181 * zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,
182 * monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIV incidentov,
183 * evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,
184 * zabezpečenie kontinuity prevádzky.
185
186 V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.
187
188
189 Navrhovaný projekt v rámci výzvy „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy" súvisí najmä s naplnením povinností:
190
191 * definovanými v zákone č. 69/2018 Z. z. Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB") a v zákone č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS").
192 * opatreniami definovanými v § 20 zákona o KB,
193 * zvýšenia úrovne a schopnosti zabezpečovať a riadiť KIB vzhľadom na neustále sa zvyšujúce hrozby a nedostatočný stav úrovne aktuálne nastavených procesov riadenia KIB,
194 * zabezpečenie realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou KIB.
195
196
197 V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: **Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.**
198
199 **~ **
200
201 Hlavná aktivita bude rozdelená na štyri podaktivity:
202
203 **//Podaktivita 1 Organizácia a personálne zabezpečenie kybernetickej a informačnej bezpečnosti//**
204
205 Výstupy aktivity:
206
207 * Vytvorenie a schválenie stratégie kybernetickej bezpečnosti a bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA spracované podľa vyhlášky NBU a v súlade s relevantnými normami a legislatívou, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení na UNIZA.
208 * Bezpečnostný projekt informačného systému verejnej správy podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.
209 * Kompetenčná matica s definovaním pracovných pozícií, rolí, právomocí a zodpovedností v oblasti KIB.
210 * Štatút a zriadenie Výboru kybernetickej a informačnej bezpečnosti (ďalej VKIB) ako poradného orgánu vedenia vysokej školy v oblasti kybernetickej a informačnej bezpečnosti. Zriadený Bezpečnostný výbor, ktorý sa bude riadiť prijatým štatútom a bude strategickým orgánom pri riešení otázok kybernetickej a informačnej bezpečnosti
211 * Vytvorenie pracovnej pozície alebo priradenie role manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.
212 * Plán rozvoja bezpečnostného povedomia a vzdelávania zamestnancov univerzity a jeho overovania.
213 * Interný riadiaci akt postupov a procesov upravujúcich personálnu bezpečnosť univerzity.
214 * Návrhy dodatkov zmlúv s tretími stranami podľa požiadaviek zákona o kybernetickej bezpečnosti.
215 * Záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti.
216
217
218 **//Podaktivita 2 Riadenie rizík//**
219
220 Výstupy aktivity:
221
222 * Systém pre centrálnu inventarizáciu aktív a konfiguračných požiadaviek
223 * Dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.
224 * Klasifikácia informácií a kategorizácia sietí a informačných systémov.
225 * Metodika kontinuity činnosti.
226 * Analýza funkčných dopadov.
227 * Metodika riadenia rizík kybernetickej a informačnej bezpečnosti.
228 * Analýza rizík kybernetickej bezpečnosti.
229
230
231 **Podaktivita 3 Riešenie kybernetických bezpečnostných incidentov a kontinuita prevádzky**
232
233 Výstupy aktivity:
234
235 * Stratégia kontinuity činnosti (BCM) a krízové plány univerzity (DRP).
236 * Plány pre BCM a DRP.
237 * Interný riadiaci akt upravujúci riešenie kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností a povinností zamestnancov ako aj plánov a spôsobov riešenia incidentov.
238 * Dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané. Konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov.
239 * Implementácia nástrojov pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení.
240 * Interný riadiaci akt zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Plány záloh.
241
242
243 **Podaktivita 4 Riadenie prevádzky kybernetickej a informačnej bezpečnosti**
244
245 Výstupy aktivity:
246
247 * Interný riadiaci akt s bezpečnostnými zásadami pre koncových používateľov.
248 * Zásady riadenia prístupov osôb k sieti a informačnému systému.
249 * Interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.
250 * Interný riadiaci akt upravujúci pravidlá sieťovej a komunikačnej bezpečnosti
251 * Interný riadiaci akt upravujúci postupy definujúce požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na ich obstarávanie, vyvíjanie a udržiavanie.
252 * Interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania.
253 * Interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.
254 * Interný riadiaci akt s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu a pravidiel súvisiacich s ochranou proti škodlivému kódu.
255 * Interný riadiaci akt definujúci bezpečnostné požiadavky na všetky fázy životného cyklu vývoja softvéru (SSDLC: Secure Systems Development Lifecycle, DevOps).
256 * Interný riadiaci akt upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.
257 * Interný riadiaci akt upravujúci fyzickú bezpečnosť a bezpečnosť prostredia.
258
259
260 Okrem hlavnej aktivity budú v rámci projektu realizované aj podporné aktivity, ktoré budú kryté z nepriamych výdavkov:
261
262 * Projektové riadenie a administratívna podpora hlavných aktivít projektu,
263 * Publicita a informovanosť v zmysle manuálu.
264
265 **Biznis procesy:**
266
267 V rámci realizácie projektu budú zavedené nasledovné biznis procesy, ktoré budú podporené príslušnými riešeniami:
268
269 * zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,
270 * monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIB incidentov,
271 * evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,
272 * zabezpečenie kontinuity prevádzky.
273
274
275 Okrem samotného zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS sa projekt bude dotýkať väčšiny biznis procesov vykonávaných na UNIZA, ktoré sú realizované prostredníctvom informačných systémov UNIZA. Jedná sa najmä o:
276
277 * AIVS - Akademický informačný a vzdelávací systém - Prijímacie konanie, Priebeh štúdia, Rozvrh, Štipendiá, Platby za štúdium, Záver štúdia, Ubytovanie, FIT - evidencia prístupov študentov do fit centier, Automatizovaný platobný styk, e-learning (MOODLE).
278 * IS pre projekty UNIZA,
279 * Hotelové ubytovanie,
280 * Uniza Network Management System,
281 * ZuFlow podporné aplikácie,
282 * Vnútorný bezhotovostný úhradový systém eMANY,
283 * Webová stránka UNIVERZITY,
284 * INTRANET UNIVERZITY,
285 * Externé IS - SOFIA- podsystém pre spracovanie ekonomiky, personalistiky a miezd, Dochádzkový a prístupový systém WATT, DAWINCI - Knižničný systém, EZAP – evidencia záverečných prác, KREDIT – Stravovací systém, Čipové karty, Registratúra.
286
287
288 Realizácia projektu bude mať vplyv na nasledovné skupiny subjektov:
289
290 * zamestnanci UNIZA,
291 * študenti UNIZA,
292 * uchádzači o štúdium na UNIZA,
293 * externí spolupracovníci UNIZA (členovia Vedeckých rád a Akreditačnej rady UNIZA),
294 * právnické osoby využívajúce systémy UNIZA a dodávatelia.
295
296
297 **Motivácia a obmedzenia pre dosiahnutie cieľov projektu**
298
299 Hlavnou motiváciou je realizácia opatrení KIB definovaných v zákone o kybernetickej bezpečnosti a v zákone o ISVS. Vďaka realizácii týchto opatrení budú IS UNIZA chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku IS UNIZA nasledovný dopad:
300
301 (% class="wrapped" %)
302 |(((
303 **Dopad kybernetického bezpečnostného incidentu v závislosti**
304 )))|(((
305 **Kategória**
306 )))|(((
307 **Vysvetlenie**
308 )))
309 |(((
310 § 24 ods. 2 písm. a) zákona 69/2018 Z.z. - Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.
311 )))|(((
312 I.
313 )))|(((
314 Počítačovú sieť UNIZA a aplikácie prevádzkované na UNIZA využívajú v prevažnej miere študenti a zamestnanci univerzity. V roku 2023 bolo na UNIZA zamestnaných 1479 zamestnancov vo fyzických osobách a na univerzite študovalo 7418 študentov v dennej a externej forme. Štúdium úspešne ukončilo 1043 absolventov, ktorým z dôvodu zachovania komunikačného kanálu ostávajú aktívne účty na UNIZA po dobu ďalších 24 mesiacov. Do akademického informačného systému cez modul Prijímacie konanie v danom roku pribudlo 4269 uchádzačov o štúdium. Okrem uvedených počtov sú používateľmi počítačových sietí UNIZA a aplikácií UNIZA absolventi zahraniční študenti, ktorí sa zúčastňujú mobilitných pobytov na UNIZA (cca. 250 ročne), zahraniční pedagógovia, ktorí sa zúčastňujú mobilitných pobytov na UNIZA (cca. 150 ročne), hostia v ubytovacích zariadeniach, riešitelia spoločných výskumných a nevýskumných projektov a ďalší používatelia, ktorí pracujú v priestoroch UNIZA (prenájmy, spoločné pracoviská). V prípade závažnej kybernetickej hrozby by bolo celkovo postihnutých viac ako 16000 používateľov.
315 )))
316 |(((
317 § 24 ods. 2 písm. b) zákona 69/2018 Z.z. - Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)
318 a/alebo § 24 ods. 2 písm. c) zákona 69/2018 Z.z. - Geografické rozšírenie kybernetického bezpečnostného incidentu
319 )))|(((
320 II.
321 )))|(((
322 V prípade závažnej kybernetickej hrozby by bolo celkovo postihnutých viac ako 16000 používateľov. Čas do odstránenia bezpečnostného incidentu by mohol byť v závislosti od jeho závažnosti v dňoch až týždňoch.
323 )))
324 |(((
325 § 24 ods. 2 písm. d) zákona 69/2018 Z.z. - Stupeň narušenia fungovania základnej služby.
326 )))|(((
327 II.
328 )))|(((
329 Incident by spôsobil úplnú nedostupnosť druhu služby, pre ktorú je možné zabezpečiť náhradné riešenie.
330 )))
331 |(((
332 § 24 ods. 2 písm. e) zákona 69/2018 Z.z. - Rozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu
333 )))|(((
334 I.
335 )))|(((
336 Boli by narušené základné funkcie univerzity - ohrozený by bol základný chod univerzity z hľadiska finančných operácií vo vnútri školy aj vo vzťahu k dodávateľom, výučba a procesy súvisiace s ňou - tvorba rozvrhov, prijímacie skúšky, konanie štátnych skúšok, ohrozené by boli výskumné úlohy a citlivé údaje, ktoré sú uložené na univerzitných serveroch. Vznikli by boli veľmi veľké škody až vo výške viac ako 1 000 000 €, v niektorých oblastiach dokonca až fatálne. Nefunkčnosť systémov má priamy vplyv na hospodárske alebo spoločenské činnosti.
337 )))
338
339
340 Projekt je formulovaný tak, aby po jeho realizácii nastal čo najväčší súlad zabezpečenia kybernetickej a informačnej bezpečnosti so zákonom o kybernetickej bezpečnosti a so zákonom o ISVS.
341
342
343 == {{id name="projekt_2619_Projektovy_zamer_detailny-2.3Zainteresovanéstrany/Stakeholderi"/}}2.3       Zainteresované strany/Stakeholderi ==
344
345
346 (% class="wrapped" %)
347 |(((
348 ID
349 )))|(((
350 AKTÉR / STAKEHOLDER
351 )))|(((
352 SUBJEKT
353
354 (názov / skratka)
355 )))|(((
356 ROLA
357
358 (vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)
359 )))|(((
360 Informačný systém
361
362 (MetaIS kód a názov ISVS)
363 )))
364 |(((
365 1.
366 )))|(((
367 Zamestnanci UNIZA
368 )))|(((
369 UNIZA_zam
370 )))|(((
371 Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
372 )))|(((
373 isvs_14246 - ZuFlow podporné aplikácie
374
375 isvs_14245 - Uniza Network Management System
376
377 isvs_14244 - IS pre projekty UNIZA
378
379 isvs_14243 - AIVS - Akademický informačný a vzdelávací systém
380
381 isvs_14242 - Webové sídlo UNIZA
382
383
384 )))
385 |(((
386 2.
387 )))|(((
388 Študenti UNIZA
389 )))|(((
390 UNIZA_stud
391 )))|(((
392 Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
393 )))|(((
394 isvs_14246 - ZuFlow podporné aplikácie
395
396 isvs_14245 - Uniza Network Management System
397
398 isvs_14243 - AIVS - Akademický informačný a vzdelávací systém
399
400 isvs_14242 - Webové sídlo UNIZA
401
402
403 )))
404 |(((
405 3.
406 )))|(((
407 Uchádzači UNIZA
408 )))|(((
409 UNIZA_uch
410 )))|(((
411 Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
412 )))|(((
413 isvs_14246 - ZuFlow podporné aplikácie
414
415 isvs_14245 - Uniza Network Management System
416
417 isvs_14243 - AIVS - Akademický informačný a vzdelávací systém
418
419 isvs_14242 - Webové sídlo UNIZA
420
421
422 )))
423 |(((
424 4.
425 )))|(((
426 Externí spolupracovníci UNIZA
427 )))|(((
428 UNIZA_ext
429 )))|(((
430 Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
431 )))|(((
432 isvs_14246 - ZuFlow podporné aplikácie
433
434 isvs_14245 - Uniza Network Management System
435
436 isvs_14244 - IS pre projekty UNIZA
437
438 isvs_14243 - AIVS - Akademický informačný a vzdelávací systém
439
440 isvs_14242 - Webové sídlo UNIZA
441
442
443 )))
444 |(((
445 5.
446 )))|(((
447 Dodávatelia a spolupracujúce organizácie
448 )))|(((
449 Ext.
450 )))|(((
451 Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
452 )))|(((
453 isvs_14246 - ZuFlow podporné aplikácie
454
455 isvs_14245 - Uniza Network Management System
456
457 isvs_14242 - Webové sídlo UNIZA
458
459
460 )))
461 |(((
462 6.
463 )))|(((
464 UNIZA – správcovia IS a siete
465 )))|(((
466 UNIZA_spr
467 )))|(((
468 Vlastník procesu, vlastník dát
469 )))|(((
470 isvs_14246 - ZuFlow podporné aplikácie
471
472 isvs_14245 - Uniza Network Management System
473
474 isvs_14244 - IS pre projekty UNIZA
475
476 isvs_14243 - AIVS - Akademický informačný a vzdelávací systém
477
478 isvs_14242 - Webové sídlo UNIZA
479
480
481 )))
482
483
484
485 == {{id name="projekt_2619_Projektovy_zamer_detailny-2.4Cieleprojektu"/}}2.4       Ciele projektu ==
486
487 Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy:
488
489 * zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,
490 * monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIV incidentov,
491 * evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,
492 * zabezpečenie kontinuity prevádzky.
493
494 V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.
495
496
497 (% class="wrapped" %)
498 |(((
499 ID
500 )))|(((
501
502
503
504 Názov cieľa
505 )))|(((
506 Názov strategického cieľa
507 )))|(((
508 Spôsob realizácie strategického cieľa
509 )))
510 |(((
511 1
512 )))|(((
513 Organizácia a personálne zabezpečenie kybernetickej a informačnej bezpečnosti
514 )))|(((
515 Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)
516 )))|(((
517 ... •          Vytvorenie a schválenie Stratégie kybernetickej bezpečnosti a Bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA spracované podľa vyhlášky NBU a v súlade s relevantnými normami a legislatívou, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení na UNIZA.
518
519 •              Bezpečnostný projekt informačného systému verejnej správy podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.
520
521 •              Kompetenčná matica s definovaním pracovných pozícií, rolí, právomocí a zodpovedností v oblasti KIB.
522
523 •              Štatút a zriadenie Výboru kybernetickej a informačnej bezpečnosti (ďalej VKIB) ako poradného orgánu vedenia vysokej školy v oblasti kybernetickej a informačnej bezpečnosti.
524
525 •              Vytvorenie pracovnej pozície alebo priradenie role manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.
526
527 •              Plán rozvoja bezpečnostného povedomia a vzdelávania zamestnancov univerzity a jeho overovania.
528
529 •              Interný riadiaci akt postupov a procesov upravujúcich personálnu bezpečnosť univerzity.
530
531 •              Návrhy dodatkov zmlúv s tretími stranami podľa požiadaviek zákona o kybernetickej bezpečnosti.
532
533 •              Záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti.
534 )))
535 |(((
536 2.
537 )))|(((
538 Riadenie rizík
539 )))|(((
540 Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)
541 )))|(((
542 •              Systém pre centrálnu inventarizáciu aktív a konfiguračných požiadaviek.
543
544 •              Dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.
545
546 •              Klasifikácia informácií a kategorizácia sietí a informačných systémov.
547
548 •              Metodika kontinuity činnosti.
549
550 •              Analýza funkčných dopadov.
551
552 •              Metodika riadenia rizík kybernetickej a informačnej bezpečnosti.
553
554 •              Analýza rizík kybernetickej bezpečnosti.
555 )))
556 |(((
557 3.
558 )))|(((
559 Riešenie kybernetických bezpečnostných incidentov a kontinuita prevádzky
560 )))|(((
561 Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)
562 )))|(((
563 •              Stratégia kontinuity činnosti (BCM) a krízové plány univerzity (DRP).
564
565 •              Plány pre BCM a DRP.
566
567 •              Interný riadiaci akt upravujúci riešenie kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností a povinností zamestnancov ako aj plánov a spôsobov riešenia incidentov.
568
569 •              Dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané. Konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov.
570
571 •              Implementácia nástrojov pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení.
572
573 •              Interný riadiaci akt zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Plány záloh.
574 )))
575 |(((
576 4.
577 )))|(((
578 Riadenie prevádzky kybernetickej a informačnej bezpečnosti
579 )))|(((
580 Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)
581 )))|(((
582 •              Interný riadiaci akt s bezpečnostnými zásadami pre koncových používateľov.
583
584 •              Zásady riadenia prístupov osôb k sieti a informačnému systému.
585
586 •              Interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.
587
588 •              Interný riadiaci akt upravujúci pravidlá sieťovej a komunikačnej bezpečnosti.
589
590 •              Interný riadiaci akt upravujúci postupy definujúce požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na ich obstarávanie, vyvíjanie a udržiavanie.
591
592 •              Interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania.
593
594 •              Interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.
595
596 •              Interný riadiaci akt s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu a pravidiel súvisiacich s ochranou proti škodlivému kódu.
597
598 •              Interný riadiaci akt definujúci bezpečnostné požiadavky na všetky fázy životného cyklu vývoja softvéru (SSDLC: Secure Systems Development Lifecycle, DevOps).
599
600 •              Interný riadiaci akt upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.
601
602 •              Interný riadiaci akt upravujúci fyzickú bezpečnosť a bezpečnosť prostredia.
603 )))
604
605
606
607 **~ **
608
609 == {{id name="projekt_2619_Projektovy_zamer_detailny-2.5Merateľnéukazovatele(KPI)"/}}2.5       Merateľné ukazovatele (KPI) ==
610
611
612 (% class="wrapped" %)
613 |(((
614 ID
615 )))|(((
616
617
618
619 ID/Názov cieľa
620 )))|(((
621 Názov
622 ukazovateľa (KPI)
623 )))|(((
624 Popis
625 ukazovateľa
626 )))|(((
627 Merná jednotka
628
629 )))|(((
630 AS IS
631 merateľné hodnoty
632 (aktuálne)
633 )))|(((
634 TO BE
635 Merateľné hodnoty
636 (cieľové hodnoty)
637 )))|(((
638 Spôsob ich merania
639 )))|(((
640 Pozn.
641 )))
642 |(((
643 1
644 )))|(((
645 PO095 / PSKPSOI12
646
647
648 )))|(((
649 Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov
650 )))|(((
651 Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej
652
653 bezpečnosti verejnej správy
654 )))|(((
655 Verejné inštitúcie
656 )))|(((
657 0
658 )))|(((
659 1
660 )))|(((
661 Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS
662
663 Čas plnenia merateľného ukazovateľa projektu: Fyzické ukončenie realizácie hlavných aktivít projektu
664 )))|(((
665 ...
666 )))
667 |(((
668 2
669 )))|(((
670 PR017 / PSKPRCR11
671 )))|(((
672 Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov
673 )))|(((
674 Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov
675 )))|(((
676 Používatelia / rok
677 )))|(((
678 0
679 )))|(((
680 800
681 )))|(((
682 Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom databázou používateľov v oblasti KIB.
683
684 V prípade univerzity ide o počet používateľov, ktorí priamo využívajú IS a priamo sa podieľajú na zabezpečovaní základnej služby.
685
686 Čas plnenia merateľného ukazovateľa projektu: v rámci udržateľnosti projektu
687 )))|(((
688 ...
689 )))
690
691
692
693 == {{id name="projekt_2619_Projektovy_zamer_detailny-2.6Rizikáazávislosti"/}}2.6       Riziká a závislosti ==
694
695 Zoznam rizík a závislostí je detailne rozpracovaný v prílohe tohto dokumentu č. 1: Zoznam rizík a závislostí.
696
697
698
699 == {{id name="projekt_2619_Projektovy_zamer_detailny-2.7Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}2.7       Stanovenie alternatív v biznisovej vrstve architektúry ==
700
701 V rámci analýzy možností v biznis vrstve boli stanovené 4 alternatívy, vzhľadom na aktuálny stav zabezpečenia KIB v podmienkach UNIZA:
702
703 * //Alternatíva 1: Zachovanie existujúceho stavu KIB// – sú splnené len niektoré požiadavky na KIB, existuje možné kritické ohrozenie počítačovej siete a IS UNIZA.
704 * //Alternatíva 2: Realizácia vybraných opatrení na zvýšenie úrovne KIB// – zvýšil by sa súlad s legislatívnymi požiadavkami na zabezpečenie KIB, stále existuje možné kritické ohrozenie počítačovej siete a IS UNIZA.
705 * //Alternatíva 3: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB internými kapacitami UNIZA – //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje v plnej réžii UNIZA využitím interných kapacít (in-house riešenie).
706 * //Alternatíva 4: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB s využitím externých kapacít mimo UNIZA - //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje prostredníctvom externých dodávateľov.
707
708
709 == {{id name="projekt_2619_Projektovy_zamer_detailny-2.8Multikriteriálnaanalýza"/}}2.8       Multikriteriálna analýza ==
710
711 Stanovenie kritérií pre multikriteriálnu analýzu:
712
713 * //Kritérium 1 (KO)~:// Nutnosť zosúladiť úroveň KIB s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS na maximálnu možnú dosiahnuteľnú úroveň. Táto požiadavka sa dotýka všetkých stakeholderov.
714 * //Kritérium 2~:// Rýchlosť implementácie riešenia. Táto požiadavka sa dotýka všetkých stakeholderov.
715 * //Kritérium 3~:// Spoľahlivosť a kvalita implementácie riešenia. Táto požiadavka sa dotýka všetkých stakeholderov.
716 * //Kritérium 4~:// Dlhodobá udržateľnosť riešenia. Táto požiadavka sa dotýka všetkých stakeholderov.
717
718
719 (% class="wrapped" %)
720 |(((
721 Zoznam kritérií
722 )))|(((
723 Alternatíva 1
724 )))|(((
725 Alternatíva 2
726 )))|(((
727 Alternatíva 3
728 )))|(((
729 Alternatíva 4
730 )))
731 |(((
732 Kritérium 1 (KO)
733 )))|(((
734 Nie
735 )))|(((
736 Nie
737 )))|(((
738 Áno
739 )))|(((
740 Áno
741 )))
742 |(((
743 Kritérium 2
744 )))|(((
745 Nie
746 )))|(((
747 Áno
748 )))|(((
749 Áno
750 )))|(((
751 Áno
752 )))
753 |(((
754 Kritérium 3
755 )))|(((
756 Nie
757 )))|(((
758 Áno
759 )))|(((
760 Áno
761 )))|(((
762 Áno
763 )))
764 |(((
765 Kritérium 4
766 )))|(((
767 Nie
768 )))|(((
769 Nie
770 )))|(((
771 Áno
772 )))|(((
773 Nie
774 )))
775
776
777 Z hľadiska identifikovaných kritérií Alternatíva 1 nespĺňa žiadne z nich, nakoľko by bol zachovaný aktuálny stav, ktorý nie je dlhodobo udržateľný. V prípade alternatívy 2 ako čiastkového riešenia by nedošlo k naplneniu kritéria 1, ktoré je KO kritériom a takáto situácia nie je rovnako dlhodobo udržateľná. V prípade alternatívy 3 by boli realizované všetky procesy v oblasti KIB internými kapacitami a riešenie by bolo dlhodobo udržateľné, vzhľadom na dlhodobé výskumné, vzdelávacie a expertízne aktivity v oblasti kybernetickej a informačnej bezpečnosti na UNIZA. Alternatíva 4 pokrýva prvé 3 kritériá, avšak dlhodobá udržateľnosť takéhoto riešenia nie je najmä z finančného hľadiska otázna.
778
779 Na základe zhodnotenia je ako najviac prijateľná alternatíva 3, ktorá spĺňa všetky stanovené kritériá.
780
781
782 == {{id name="projekt_2619_Projektovy_zamer_detailny-2.9Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}2.9       Stanovenie alternatív v aplikačnej vrstve architektúry ==
783
784 Definícia alternatív v aplikačnej vrstve vychádza z analýzy alternatív na biznis vrstve, pričom HW a SW technológie musia zodpovedať požiadavkám definovaným v projekte a vychádzajú z požiadaviek zákona o kybernetickej bezpečnosti, zákona o ISVS a vyhlášky 362/2018 Z. z.
785
786 Aplikačná vrstva v projekte uvažuje dve možné alternatívy:
787
788 * //Alternatíva A: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB internými kapacitami UNIZA – //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje v plnej réžii UNIZA využitím interných kapacít (in-house riešenie) – zodpovedá alternatíve 3 biznis vrstvy.
789 * //Alternatíva B: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB s využitím externých kapacít mimo UNIZA - //výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje prostredníctvom externých dodávateľov – zodpovedá alternatíve 4 biznis vrstvy.
790
791 Vzhľadom na výsledok vykonanej multikriteriálnej analýzy biznis architektúry bude zvolená alternatíva A.
792
793 // //
794
795 == {{id name="projekt_2619_Projektovy_zamer_detailny-2.10Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}2.10    Stanovenie alternatív v technologickej vrstve architektúry ==
796
797 Vzhľadom na to, že v rámci projektu sú definované požiadavky na HW a SW technológie všeobecne tak, aby bolo HW a SW technológiu spĺňajúcu požiadavky koncových používateľov a stakeholderov možné použiť na realizáciu projektu, nie sú z hľadiska možného použitia technológií definované alternatívy. Bližšia analýza možných technológií bude vykonaná počas projektu. Technologická vrstva architektúry bude bližšie definovaná prepojením IS na úrovni univerzity.
798
799 [[image:attach:image-2024-5-31_12-1-10.png||width="600"]]
800
801 = {{id name="projekt_2619_Projektovy_zamer_detailny-3.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}3.    POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =
802
803
804 Výstupy projektu sú nasledovné:
805
806 * Vytvorenie a schválenie stratégie kybernetickej bezpečnosti a bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA spracované podľa vyhlášky NBU a v súlade s relevantnými normami a legislatívou, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení na UNIZA.
807 * Bezpečnostný projekt informačného systému verejnej správy podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.
808 * Kompetenčná matica s definovaním pracovných pozícií, rolí, právomocí a zodpovedností v oblasti KIB.
809 * Štatút a zriadenie Výboru kybernetickej a informačnej bezpečnosti (ďalej VKIB) ako poradného orgánu vedenia vysokej školy v oblasti kybernetickej a informačnej bezpečnosti.
810 * Vytvorenie pracovnej pozície alebo priradenie role manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.
811 * Plán rozvoja bezpečnostného povedomia a vzdelávania zamestnancov univerzity a jeho overovania.
812 * Interný riadiaci akt postupov a procesov upravujúcich personálnu bezpečnosť univerzity.
813 * Návrhy dodatkov zmlúv s tretími stranami podľa požiadaviek zákona o kybernetickej bezpečnosti.
814 * Záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti.
815 * Systém pre centrálnu inventarizáciu aktív a konfiguračných požiadaviek
816 * Dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.
817 * Klasifikácia informácií a kategorizácia sietí a informačných systémov.
818 * Metodika kontinuity činnosti.
819 * Analýza funkčných dopadov.
820 * Metodika riadenia rizík kybernetickej a informačnej bezpečnosti.
821 * Analýza rizík kybernetickej bezpečnosti.
822 * Stratégia kontinuity činnosti (BCM) a krízové plány univerzity (DRP).
823 * Plány pre BCM a DRP.
824 * Interný riadiaci akt upravujúci riešenie kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností a povinností zamestnancov ako aj plánov a spôsobov riešenia incidentov.
825 * Dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané. Konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov.
826 * Implementácia nástrojov pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení.
827 * Interný riadiaci akt zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Plány záloh.
828 * Interný riadiaci akt s bezpečnostnými zásadami pre koncových používateľov.
829 * Zásady riadenia prístupov osôb k sieti a informačnému systému.
830 * Interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.
831 * Interný riadiaci akt upravujúci pravidlá sieťovej a komunikačnej bezpečnosti
832 * Interný riadiaci akt upravujúci postupy definujúce požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na ich obstarávanie, vyvíjanie a udržiavanie.
833 * Interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania.
834 * Interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.
835 * Interný riadiaci akt s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu a pravidiel súvisiacich s ochranou proti škodlivému kódu.
836 * Interný riadiaci akt definujúci bezpečnostné požiadavky na všetky fázy životného cyklu vývoja softvéru (SSDLC: Secure Systems Development Lifecycle, DevOps).
837 * Interný riadiaci akt upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.
838 * Interný riadiaci akt upravujúci fyzickú bezpečnosť a bezpečnosť prostredia.
839
840
841 Výstupy projektu zabezpečujú nasledovné požiadavky definované výzvou:
842
843 1. a) Organizácia kybernetickej a informačnej bezpečnosti
844 1. b) Riadenie rizík
845 1. c) Personálna bezpečnosť
846 1. d) Riadenie prístupov
847 1. e) Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami
848 1. f) Bezpečnosť pri prevádzke informačných systémov a sietí
849 1. g) Hodnotenie zraniteľností a bezpečnostné aktualizácie
850 1. h) Ochrana proti škodlivému kódu
851 1. i) Sieťová a komunikačná bezpečnosť
852 1. j) Akvizícia, vývoj a údržba informačných technológií verejnej správy
853 1. k) Zaznamenávanie udalostí a monitorovanie
854 1. l) Fyzická bezpečnosť a bezpečnosť prostredia
855 1. m) Riešenie kybernetických bezpečnostných incidentov
856 1. n) Kryptografické opatrenia
857 1. o) Kontinuita prevádzky
858 1. p) Audit a kontrolné činnosti
859
860 = {{id name="projekt_2619_Projektovy_zamer_detailny-4.NÁHĽADARCHITEKTÚRY"/}}4.    NÁHĽAD ARCHITEKTÚRY =
861
862 Architektúra navrhovaného projektu je rámcová a je nastavená tak, aby bolo z projektu zrejmé, ktoré komponenty v rámci realizácie projektu budú riešiť ochranu v rámci KIB. Hlavným cieľom je ochrana IS na UNIZA, aby bola zabezpečená prevádzka všetkých univerzitou poskytovaných služieb.
863
864 Na základe potrieb popísaných vyššie sa jedná hlavne o nasledovné komponenty:
865
866 * nástroje na zálohovanie prevádzkových dát,
867 * nástroje pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení,
868 * dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností.,
869 * špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané,
870 * konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov,
871 * implementovaný systém na inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,
872 * dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.
873
874
875 = {{id name="projekt_2619_Projektovy_zamer_detailny-5.ROZPOČETAPRÍNOSY"/}}5.    ROZPOČET A PRÍNOSY =
876
877
878 == {{id name="projekt_2619_Projektovy_zamer_detailny-5.1Sumarizácianákladovaprínosov"/}}5.1       Sumarizácia nákladov a prínosov ==
879
880
881 (% class="wrapped" %)
882 |(((
883 Náklady
884 )))|(((
885 Podporné IS
886 )))|(((
887 Dokumentácia KIB
888 )))|(((
889 Podporné činnosti
890 )))
891 |(((
892 **Všeobecný materiál**
893 )))|(((
894
895 )))|(((
896
897 )))|(((
898
899 )))
900 |(((
901 **IT – CAPEX**
902 )))|(((
903
904 )))|(((
905
906 )))|(((
907
908 )))
909 |(((
910 Mzdy zamestnancov
911 )))|(((
912 //150 000 €//
913 )))|(((
914 //267 500 €//
915 )))|(((
916 //32 500 €//
917 )))
918 |(((
919 SW
920 )))|(((
921
922 )))|(((
923
924 )))|(((
925
926 )))
927 |(((
928 HW
929 )))|(((
930
931 )))|(((
932
933 )))|(((
934
935 )))
936 |(((
937 **IT - OPEX- prevádzka**
938 )))|(((
939
940 )))|(((
941
942 )))|(((
943
944 )))
945 |(((
946 Aplikácie
947 )))|(((
948 //10 000 €//
949 )))|(((
950
951 )))|(((
952
953 )))
954 |(((
955 SW
956 )))|(((
957
958 )))|(((
959
960 )))|(((
961
962 )))
963 |(((
964 HW
965 )))|(((
966
967 )))|(((
968
969 )))|(((
970
971 )))
972
973
974 V rámci projektu nie je plánované dodanie žiadnych externých služieb ani tovarov. Vzhľadom na významnú vzdelávaciu, vedeckú a expertíznu činnosť zapojených riešiteľov budú všetky podporné IS a dokumentácia KIB a záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti riešená internými zamestnancami kvalifikovanými v odbore KIB.
975
976
977 **Prínos a návratnosť**
978
979 Výpočet prínosov a návratnosti projektu je v prípade projektov KIB náročný a je možné ho vyčísliť na základe možných škôd, ktoré by mohli vzniknúť v prípade, ak by neboli opatrenia KIB realizované. Boli identifikované nasledovné potenciálne škody:
980
981 * Finančné riziko – sú to možné dôsledky v prípade KIB incidentu. Jedná sa o možné sankcie vyplývajúce z platnej legislatívy, nákladov spojených s riešením následkov KIB incidentov, prípadne súdnych sporov v prípade možného úniku osobných údajov.
982 * Reputačné riziko – vzhľadom na postavenie a oblasť spoločenskej dôležitosti a zákonných povinností univerzity, je toto riziko potenciálne vysoké – teda v prípade neplnenia legislatívnych požiadaviek v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS alebo vyhlášky 362 /2018 Z. z. či reálneho výpadku prevádzky základnej služby, úniku citlivých dát v kombinácii aj s prípadnou medializáciou a pod.
983
984 V prípade tohto projektu bolo vyčíslenie prínosov realizované na základe zákona č. 69/2018 Z. z., kde v §31 ods. 2, písm. c je stanovená pokuta do 1 percenta obratu, maximálne do výšky 300 000 €. Túto hodnotu je avšak možné považovať len za minimálny prínos, pretože v prípade nerealizovania implementácie opatrení KIB hrozí riziko, že investície do tejto oblasti skončia bez zavedených procesov, čím nedosiahnu synergický efekt riešenia incidentov KIB.
985
986
987 = {{id name="projekt_2619_Projektovy_zamer_detailny-6.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}6.    HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =
988
989
990 (% class="wrapped" %)
991 |(((
992 ID
993 )))|(((
994 FÁZA/AKTIVITA
995 )))|(((
996 ZAČIATOK
997
998 (odhad termínu)
999 )))|(((
1000 KONIEC
1001
1002 (odhad termínu)
1003 )))|(((
1004 POZNÁMKA
1005 )))
1006 |(((
1007 1.
1008 )))|(((
1009 Prípravná fáza a Iniciačná fáza
1010 )))|(((
1011 03/2024
1012 )))|(((
1013 09/2024
1014 )))|(((
1015
1016 )))
1017 |(((
1018 2.
1019 )))|(((
1020 Realizačná fáza
1021 )))|(((
1022 10/2024
1023 )))|(((
1024 08/2026
1025 )))|(((
1026
1027 )))
1028 |(((
1029 2a
1030 )))|(((
1031 Analýza, dizajn a návrh riešení
1032 )))|(((
1033 10/2024
1034 )))|(((
1035 04/2025
1036 )))|(((
1037
1038 )))
1039 |(((
1040 2b
1041 )))|(((
1042 Implementácia a testovanie
1043 )))|(((
1044 05/2025
1045 )))|(((
1046 03/2026
1047 )))|(((
1048
1049 )))
1050 |(((
1051 2c
1052 )))|(((
1053 Nasadenie
1054 )))|(((
1055 04/2026
1056 )))|(((
1057 07/2026
1058 )))|(((
1059
1060 )))
1061 |(((
1062 3.
1063 )))|(((
1064 Dokončovacia fáza
1065 )))|(((
1066 08/2026
1067 )))|(((
1068 09/2026
1069 )))|(((
1070
1071 )))
1072 |(((
1073 4.
1074 )))|(((
1075 Podpora prevádzky
1076 )))|(((
1077 10/2026
1078 )))|(((
1079 09/2031
1080 )))|(((
1081
1082 )))
1083
1084
1085 **Projekt bude realizovaný metódou Agile:**
1086
1087 **// //**
1088
1089
1090
1091 = {{id name="projekt_2619_Projektovy_zamer_detailny-7.PROJEKTOVÝTÍM"/}}7.    PROJEKTOVÝ TÍM =
1092
1093 **Riadiaci výbor projektu**
1094
1095 Pre účely realizácie projektu sa zriaďuje Riadiaci výbor projektu (RVP), v minimálne nasledovnom zložení:
1096
1097 * Predseda RVP a projektový manažér – doc. Ing. Michal Koháni, PhD.
1098 * Biznis vlastník – Ing. Pavol Podhora, PhD.
1099 * Zástupca prevádzky – Ing. Róbert Orenič
1100 * Iný člen RVP s hlasovacím právom - prof. Ing. Pavel Segeč, PhD.
1101 * Iný člen RVP s hlasovacím právom - prof. Ing. Tomáš Loveček, PhD.
1102
1103 Vzhľadom na to, že v rámci projektu je predpokladaná implementácia vlastných riešení, ktoré budú navrhované a vyvíjané projektovým tímom, nie je súčasťou projektu žiadny dodávateľ. Z tohto dôvodu nie je súčasťou riadiaceho výboru projektu zástupca dodávateľa.
1104
1105
1106 **Projektový tím riešiteľa**
1107
1108 * Projektový manažér – doc. Ing. Michal Koháni, PhD.
1109 * Biznis vlastník – Ing. Pavol Podhora, PhD.
1110 * Manažér IT prevádzky– Ing. Róbert Orenič
1111 * IT architekt – Ing. Ľuboš Kojdjak, Ing. Michal Hvizdák, Ing. Jana Hudecová, PhD.
1112 * Iná rola – architekt kybernetickej bezpečnosti, kľúčový používateľ: prof. Ing. Pavel Segeč, PhD.
1113 * Iná rola – analytik kybernetickej bezpečnosti: Ing. Jana Uramová, PhD., doc. Ing. Marek Roch, PhD., doc. Ing. Rastislav Pirník, PhD., doc. Ing. Slavomír Matuška, PhD.
1114 * IT architekt - špecialista pre riešenie kybernetických bezpečnostných incidentov – Ing. Marek Moravčík, PhD., Ing. Martin Kontšek, PhD.
1115 * Biznis analytik – prof. Ing. Milan Kubina, PhD., doc. Ing. Gabriel Koman, PhD.
1116 * UX dizajnér – prof. Ing. Radovan Madleňák, PhD.
1117 * Iná rola - špecialista kybernetickej bezpečnosti - prof. Ing. Tomáš Loveček, PhD., doc. Ing. Katarína Kampová, PhD., Ing. Matúš Madleňák, Ing. Marián Magdolén, PhD., Bc. Katarína Križalkovič, JUDr. Mária Tomková, PhD.
1118 * Manažér kybernetickej bezpečnosti – rola bude obsadená v priebehu projektu internými kapacitami
1119
1120
1121 == {{id name="projekt_2619_Projektovy_zamer_detailny-7.1PRACOVNÉNÁPLNE"/}}7.1       PRACOVNÉ NÁPLNE ==
1122
1123 Popis činností projektových rolí:
1124
1125 (% class="wrapped" %)
1126 |(((
1127 Projektová rola
1128 )))|(((
1129 **Projektový manažér**
1130 )))
1131 |(((
1132 Popis zodpovednosti, povinností a kompetencií
1133
1134
1135 )))|(((
1136 ·                 zodpovedá za riadenie projektu podľa pravidiel stanovených vo Vyhláške 401/2023 Z. z.,
1137
1138 ·                 zodpovedá za prípravu, inicializáciu a realizáciu projektu, identifikuje kritické miesta projektu a navrhovanie opatrenia na ich elimináciu,·
1139
1140 ·                 zodpovedá za plánovanie, efektívne riadenie, motivovanie projektového tímu,
1141
1142 ·                 Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu,
1143
1144 ·                 zabezpečuje vypracovanie manažérskej a inej špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z. Z.z.,
1145
1146 ·                 koordinuje činnosť RVP, pripravuje prezentácie stavu projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 401/2023 Z. z. na rokovanie RVP
1147
1148 ·                 zabezpečuje realizáciu projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.,
1149
1150 ·                 zabezpečuje vytvorenie a aktualizáciu BC/CBA,
1151
1152 ·                 zabezpečuje a koordinuje efektívne využívanie ľudských a finančných zdrojov v projekte,
1153
1154 ·                 koordinuje postup práce v projekte a dodržiavanie stanovených míľnikov,
1155
1156 ·                 zodpovedá za riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien,
1157
1158 ·                 má na starosti riadenie implementačných a prevádzkových aktivít v rámci projektu,
1159
1160 ·                 v spoluprácu s projektovým oddelením zabezpečuje formálnu administráciu projektu, správu a archiváciu projektovej dokumentácie
1161
1162 ·                 zodpovedá za dodržiavanie metodík projektového riadenia.
1163 )))
1164
1165
1166 (% class="wrapped" %)
1167 |(((
1168 Projektová rola
1169 )))|(((
1170 **Biznis vlastník**
1171 )))
1172 |(((
1173 Popis zodpovednosti, povinností a kompetencií
1174
1175
1176 )))|(((
1177 ·                zodpovedá za celkový priebeh projektu, jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi,
1178
1179 ·                realizuje dohľad nad súladom výstupov projektu a plánu,
1180
1181 ·                schvaľuje biznis požiadavky, nesie zodpovednosť za výsledné riešenie, prínos a má spoluzodpovednosť za napĺňanie merateľných ukazovateľov,
1182
1183 ·                definuje na užívateľsky orientované položky a ich zaradenie na spracovanie a určenie priority,
1184
1185 ·                zodpovedná za funkčné a technické požiadavky, obsaha a prínosy projektu, rieši riziká, vyjasňuje otázky tímu, priebežne akceptuje už dokončené požiadavky,
1186
1187 ·                spolupracuje s projektovým manažérom, UX dizajnérom, IT architektmi, a ďalšími členmi projektového tímu,
1188
1189 ·                dohliada na efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,
1190
1191 ·                dohliada na vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch,
1192
1193 ·                poskytuje vyjadrenia k požiadavkám na úpravy a zmeny a ich opodstatnenosti,
1194
1195 ·                napomáha identifikovať príležitosti a riziká prevádzkových alebo podporných procesov,
1196
1197 ·                 v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Organizácia kybernetickej a informačnej bezpečnosti, Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami, Sieťová a komunikačná bezpečnosť, Kryptografické opatrenia, Ochrana proti škodlivému kódu, Zaznamenávanie udalostí a monitorovanie
1198
1199 ·                aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
1200
1201 ·                plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
1202 )))
1203
1204
1205 (% class="wrapped" %)
1206 |(((
1207 Projektová rola
1208 )))|(((
1209 **Manažér IT prevádzky**
1210 )))
1211 |(((
1212 Popis zodpovednosti, povinností a kompetencií
1213
1214
1215 )))|(((
1216 ·                zabezpečuje plánovanie činností, úloh v projekte,
1217
1218 ·                zabezpečuje spoľahlivú prevádzky IS (technický servis, upgradovanie SW/HW, zálohovanie, testovanie) a podpory pre jej užívateľov (školenia, technická asistencia)
1219
1220 ·                zabezpečuje starostlivosť o rozvoj a modernizáciu IS v rámci projektu,
1221
1222 ·                riadi implementáciu informačných technológií a IS v projekte,
1223
1224 ·                v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Personálna bezpečnosť,  Ochrana proti škodlivému kódu, Akvizícia, vývoj a údržba informačných technológií verejnej správy, Kryptografické opatrenia
1225
1226 ·                aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
1227
1228 ·                plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
1229 )))
1230
1231
1232 (% class="wrapped" %)
1233 |(((
1234 Projektová rola
1235 )))|(((
1236 **IT architekt**
1237 )))
1238 |(((
1239 Popis zodpovednosti, povinností a kompetencií
1240
1241
1242 )))|(((
1243 ·                     navrhuje architektúru IT riešení s cieľom dosiahnuť najlepšiu efektivitu riešenia, poskytovali čo najvyššiu funkčnosť a flexibilitu,
1244
1245 ·                     pri návrhu posudzuje vhodnosť navrhnutých riešení s ohľadom na požiadavky projektu,
1246
1247 ·                     zodpovedá za technický návrh a realizáciu riešenia,
1248
1249 ·                     zodpovedá za tvorbu a aktualizáciu technickej IT dokumentácie, ·
1250
1251 ·                     podieľa sa na návrhu architektúry systému, technických požiadaviek a funkčného modelu (Proof of Concept),
1252
1253 ·                     podieľa sa na definovaní požiadaviek na HW/SW infraštruktúru IS,
1254
1255 ·                     implementuje navrhnutú IT architektúru do IS,
1256
1257 ·                     podieľa sa na testovaní dátových štruktúr a implementovaných funkcionalít za účelom dosiahnutia optimálneho výkonu IS,
1258
1259 ·                     dbá na dodržiavanie integračných štandardov,
1260
1261 ·                     vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania,
1262
1263 ·                 vykonáva výkonnostné a integračné testy a navrhuje prípadné opravné opatrenia,
1264
1265 ·                 zabezpečuje nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie opravných opatrení,
1266
1267 ·                 v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Hodnotenie zraniteľností a bezpečnostné aktualizácie, Bezpečnosť pri prevádzke informačných systémov a sietí, Sieťová a komunikačná bezpečnosť, Akvizícia, vývoj a údržba informačných technológií verejnej správy
1268
1269 ·                 aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
1270
1271 ·                 plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
1272 )))
1273
1274
1275 (% class="wrapped" %)
1276 |(((
1277 Projektová rola
1278 )))|(((
1279 **Iná rola – architekt kybernetickej bezpečnosti, kľúčový používateľ**
1280 )))
1281 |(((
1282 Popis zodpovednosti, povinností a kompetencií
1283
1284
1285 )))|(((
1286 ·         navrhuje architektúru IT riešení z pohľadu kybernetickej bezpečnosti, s cieľom dosiahnuť najlepšiu efektivitu riešenia, poskytovali čo najvyššiu funkčnosť a flexibilitu,
1287
1288 ·         pri návrhu posudzuje vhodnosť navrhnutých riešení z pohľadu kybernetickej bezpečnosti~,~,
1289
1290 ·         zodpovedá za technický návrh a realizáciu riešenia z pohľadu kybernetickej bezpečnosti~,~,
1291
1292 ·         podieľa sa na tvorbe a aktualizácii technickej IT dokumentácie, ·
1293
1294 ·         podieľa sa na návrhu architektúry systému, technických požiadaviek a funkčného modelu (Proof of Concept) z pohľadu kybernetickej bezpečnosti~,~,
1295
1296 ·         podieľa sa na definovaní požiadaviek na HW/SW infraštruktúru IS z pohľadu kybernetickej bezpečnosti,
1297
1298 ·         podieľa sa na testovaní dátových štruktúr a implementovaných funkcionalít za účelom dosiahnutia optimálneho výkonu IS,
1299
1300 ·         dbá na dodržiavanie integračných štandardov,
1301
1302 ·         vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania,
1303
1304 ·         v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Bezpečnosť pri prevádzke informačných systémov a siet, Ochrana proti škodlivému kódu, Sieťová a komunikačná bezpečnosť, Zaznamenávanie udalostí a monitorovanie, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia
1305
1306 ·         aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
1307
1308 ·         plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
1309 )))
1310
1311
1312
1313 (% class="wrapped" %)
1314 |(((
1315 Projektová rola
1316 )))|(((
1317 **Iná rola – analytik kybernetickej bezpečnosti**
1318 )))
1319 |(((
1320 Popis zodpovednosti, povinností a kompetencií
1321
1322
1323 )))|(((
1324 ·         pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu z pohľadu kybernetickej bezpečnosti,
1325
1326 ·         mapuje a analyzuje existujúce prostredie, analyzuje biznis požiadavky na informačný systém v oblasti kybernetickej bezpečnosti, špecifikuje požiadavky na informačnú podporu procesov v oblasti kybernetickej bezpečnosti, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní používateľom.
1327
1328 ·         v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Personálna bezpečnosť, Hodnotenie zraniteľností a bezpečnostné aktualizácie, Ochrana proti škodlivému kódu, Sieťová a komunikačná bezpečnosť, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia
1329
1330 ·         aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
1331
1332 ·         plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
1333 )))
1334
1335
1336 (% class="wrapped" %)
1337 |(((
1338 Projektová rola
1339 )))|(((
1340 **IT architekt - špecialista pre riešenie kybernetických bezpečnostných incidentov**
1341 )))
1342 |(((
1343 Popis zodpovednosti, povinností a kompetencií
1344
1345
1346 )))|(((
1347 ·                 navrhuje architektúru IT riešení z pohľadu možných bezpečnostných incidentov s cieľom dosiahnuť najlepšiu efektivitu riešenia, poskytovali čo najvyššiu funkčnosť a flexibilitu,
1348
1349 ·                 pri návrhu posudzuje vhodnosť navrhnutých riešení z pohľadu možných bezpečnostných incidentov,
1350
1351 ·                 zodpovedá za technický návrh a realizáciu riešenia z pohľadu možných bezpečnostných incidentov,
1352
1353 ·                 podieľa sa na tvorbe a aktualizácii technickej IT dokumentácie,
1354
1355 ·                 podieľa sa na návrhu architektúry systému, technických požiadaviek a funkčného modelu (Proof of Concept),
1356
1357 ·                 podieľa sa na definovaní požiadaviek na HW/SW infraštruktúru IS,
1358
1359 ·                 implementuje navrhnutú IT architektúru do IS,
1360
1361 ·                 v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Personálna bezpečnosť, Riadenie prístupov, Bezpečnosť pri prevádzke informačných systémov a sietí, Hodnotenie zraniteľností a bezpečnostné aktualizácie, Ochrana proti škodlivému kódu, Sieťová a komunikačná bezpečnosť, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia,
1362
1363 ·                 aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
1364
1365 ·                 plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
1366 )))
1367
1368
1369 (% class="wrapped" %)
1370 |(((
1371 Projektová rola
1372 )))|(((
1373 **Biznis analytik**
1374 )))
1375 |(((
1376 Popis zodpovednosti, povinností a kompetencií
1377
1378
1379 )))|(((
1380 ·         zodpovedá za zber a analyzovanie biznis procesov, funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie,
1381
1382 ·         podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení,
1383
1384 ·         analyzuje požiadavky na informačný systém, popisuje a zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.
1385
1386 ·         Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.
1387
1388 ·         Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad
1389
1390 ·         v rámci projektu sa podieľa na riešení nasledovných úloh v projekte:
1391
1392 ·         aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
1393
1394 ·         plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
1395 )))
1396
1397
1398 (% class="wrapped" %)
1399 |(((
1400 Projektová rola
1401 )))|(((
1402 **UX dizajnér**
1403 )))
1404 |(((
1405 Popis zodpovednosti, povinností a kompetencií
1406
1407
1408 )))|(((
1409 ·                zodpovedá za proces navrhovania „user experience“ pri produktoch súvisiacich s kybernetickou bezpečnosťou, ktoré by mali byť používateľsky prívetivé, ľahko použiteľné a užitočné,
1410
1411 ·                spolupracuje na návrhu a implementácii IS s IT dizajnérmi
1412
1413 ·                v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Organizácia kybernetickej a informačnej bezpečnosti, Akvizícia a údržba informačných technológií, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov
1414
1415 ·                aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
1416
1417 ·                plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
1418 )))
1419
1420
1421 (% class="wrapped" %)
1422 |(((
1423 Projektová rola
1424 )))|(((
1425 **Iná rola - špecialista kybernetickej bezpečnosti**
1426 )))
1427 |(((
1428 Popis zodpovednosti, povinností a kompetencií
1429
1430
1431 )))|(((
1432 ·         vykonáva odborné činnosti v oblasti bezpečnosti služieb IKT. Navrhuje, implementuje, udržiava a prevádzkuje bezpečnostné mechanizmy a riešenia,
1433
1434 ·         navrhuje a prezentuje bezpečnostné stratégie, bezpečnostné politiky a bezpečnostnú architektúru,
1435
1436 ·         posudzuje právne a etické požiadavky na zaručenie bezpečnosti informačných aktív, navrhuje a vykonáva procesy riadenia rizík v informačnej a kybernetickej bezpečnosti,
1437
1438 ·         vykonáva a podporuje kontroly a posudzovanie bezpečnostných procesov, systémov a mechanizmov a ošetruje odchýlky od požadovaného stavu,
1439
1440 ·         stanovuje požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, databáz, systémov a sietí,
1441
1442 ·         vyhodnocuje efektívnosť bezpečnostných mechanizmov a riešení a uplatňuje ich v procesoch organizácie,
1443
1444 ·         spracováva príslušné interné predpisy a dohliada nad ich plnením
1445
1446 ·         posudzuje zraniteľnosti, hrozby a riziká existujúcich a nových komponentov architektúry IKT, vykonáva bezpečnostné testy,
1447
1448 ·         poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov v oblasti bezpečnosti informácií,
1449
1450 ·         v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Organizácia kybernetickej a informačnej bezpečnosti,  Riadenie rizík, Personálna bezpečnosť, Fyzická bezpečnosť a bezpečnosť prostredia, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia, Kontinuita prevádzky, Audit a kontrolné činnosti, Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami, Organizačná bezpečnosť.
1451
1452 ·         aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
1453
1454 ·         plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
1455 )))
1456
1457
1458 (% class="wrapped" %)
1459 |(((
1460 Projektová rola
1461 )))|(((
1462 **Manažér kybernetickej bezpečnosti**
1463 )))
1464 |(((
1465 Popis zodpovednosti, povinností a kompetencií
1466
1467
1468 )))|(((
1469 ·          zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.
1470
1471 ·          koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti,
1472
1473 ·          podieľa sa na špecifikácii štandardov, princípov a stratégií a funkčných požiadaviek v oblasti kybernetickej a informačnej bezpečnosti,
1474
1475 ·          špecifikuje požiadavky v oblasti kybernetickej a informačnej bezpečnosti, kontroluje ich implementáciu v realizovanom projekte,
1476
1477 ·          špecifikuje funkčných a nefunkčných požiadaviek v oblasti kybernetickej a informačnej bezpečnosti,
1478
1479 ·          špecifikuje požiadavky na bezpečnosť v rámci bezpečnostnej vrstvy,
1480
1481 ·          špecifikuje požiadavky na školenia v oblasti kybernetickej a informačnej bezpečnosti,
1482
1483 ·          špecifikuje požiadavky na bezpečnostnú architektúru riešenia a technickú infraštruktúru v oblasti kybernetickej a informačnej bezpečnosti,
1484
1485 ·          špecifikuje požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS v oblasti kybernetickej a informačnej bezpečnosti,
1486
1487 ·          realizuje posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia
1488
1489 ·          definuje požiadavky v oblasti kybernetickej a informačnej bezpečnosti, bezpečnostný projekt a riadenie prístupu,
1490
1491 ·          definuje požiadavky na obsah dokumentácie v zmysle legislatívnych požiadaviek v oblasti kybernetickej a informačnej bezpečnosti,
1492
1493 ·          špecifikuje akceptačné kritériá v oblasti kybernetickej a informačnej bezpečnosti,
1494
1495 ·          špecifikuje pravidiel pre publicitu a informovanosť v oblasti kybernetickej a informačnej bezpečnosti,
1496
1497 ·          získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,
1498
1499 ·          zabezpečuje konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dokumentácie v oblasti kybernetickej a informačnej bezpečnosti,
1500
1501 ·          zabezpečuje realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v projekte v oblasti kybernetickej a informačnej bezpečnosti,
1502
1503 ·          aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,
1504
1505 ·          plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.
1506 )))
1507
1508
1509
1510 = {{id name="projekt_2619_Projektovy_zamer_detailny-8.PRÍLOHY"/}}8.    PRÍLOHY =
1511
1512
1513 **Príloha : **Zoznam rizík a závislostí// (PRILOHA_1_REGISTER_RIZIK-a-ZAVISLOSTI_UNIZA.xlsx)//
1514
1515 // //
1516
1517