projekt_2619_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/14 13:14

PROJEKTOVÝ ZÁMER 

Manažérsky výstup  I-02

 podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Povinná osoba

Žilinská univerzita v Žiline

Názov projektu

Riadenie kybernetickej a informačnej bezpečnosti v prostredí UNIZA

Zodpovedná osoba za projekt

doc. Ing. Michal Koháni, PhD.

Realizátor projektu

Žilinská univerzita v Žiline (UNIZA)

Vlastník projektu

Žilinská univerzita v Žiline (UNIZA)

 

Schvaľovanie dokumentu

Položka

Meno a priezvisko

Organizácia

Pracovná pozícia

Dátum

Podpis

(alebo elektronický súhlas)

Vypracoval

Michal Koháni

UNIZA

Prorektor pre IS

22.5.2024

 

 

1.    História DOKUMENTU

Verzia

Dátum

Zmeny

Meno

0.1

15.5.2024

Pracovný návrh

 

 

 

 

 

 

 

 

 

 

2.    DEFINOVANIE PROJEKTU

2.1       Manažérske zhrnutie

Tento dokument je vypracovaný v súlade s Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Dokument Projektový zámer je určený na rozpracovanie informácií k projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, alokovaní rozpočtu, ľudských zdrojov a prechode do realizačnej fázy.

V predkladanom projekte sa realizuje návrh a postupná implementácia komplexného systému manažérstva kybernetickej a informačnej bezpečnosti (ISMS: Information Security Management System), ktorý formálne zakotví princípy kybernetickej a informačnej bezpečnosti do organizačnej štruktúry UNIZA. Riadenie kybernetickej a informačnej bezpečnosti bude založené na vypracovanej, aktualizovanej a implementovanej bezpečnostnej dokumentácii zahŕňajúcej bezpečnostnú stratégiu, politiky, smernice, postupy, bezpečnostné projekty a ďalšie interné riadiace dokumenty.

V rámci jednotlivých procesov riadenia rizík budú identifikované všetky primárne aktíva (procesy, informácie) ako aj podporné aktíva (hardvér, softvér, ľudské zdroje, lokality, tretie strany, siete, informačné systémy), pričom bude implementovaný systém pre centrálnu inventarizáciu týchto aktív a súvisiacich konfiguračných požiadaviek. Bude aktualizovaná dokumentácia počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov. Bude spracovaná analýza funkčných dopadov identifikujúca rôzne kategórie procesov organizácie, na základe ich kritickosti, vzájomnej závislosti a potenciálnych dôsledkov v prípade vzniku incidentu. Bude navrhnutý a implementovaný systém riadenia rizík pozostávajúci z podprocesu posudzovania rizík a podprocesu ošetrenia rizík. Samostatnou kategóriou procesu posudzovania rizík bude posúdenie rizík tretích strán a celého dodávateľského reťazca vo vzťahu k poskytovaným službám a produktom. Budú identifikovaný vlastníci rizík, zodpovední za implementáciu organizačných a technických bezpečnostných opatrení, určených na zníženie rizika na akceptovateľnú úroveň.

Na riešenie kybernetických bezpečnostných incidentov v rámci UNIZA budú vypracované a pravidelne aktualizované štandardy a postupy riešenia kybernetických bezpečnostných incidentov. Procesy budú realizované implementáciou nástrojov na detekciu, zber a nepretržité ohodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Po úspešnom otestovaní a vyhodnotení budú spracované technické špecifikácie s dopadom na budúcu implementáciu a integráciu systémov do existujúcej infraštruktúry univerzity. Budú definované a schválené scenáre pre potenciálne vzniknuté kybernetické incidenty a vo vzťahu k tomu budú definované stratégie kontinuity činnosti a jednotlivé plány kontinuity činnosti a plány obnovy prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na činnosť UNIZA. Taktiež budú definované plány na zálohovanie informačných systémov na základe realizovanej analýzy dopadov a zistených časov RPO.

Vzhľadom na dlhodobé výskumné, vzdelávacie a expertízne aktivity v oblasti kybernetickej a informačnej bezpečnosti na UNIZA, bude celý projekt realizovaný tímom interných zamestnancov UNIZA. V rámci organizačnej štruktúry UNIZA bude zriadený Bezpečnostný výbor, ktorý bude strategickým orgánom pri riešení otázok kybernetickej a informačnej bezpečnosti. V rámci projektu budú vytvorené esenciálne role pre riadenie kybernetickej a informačnej bezpečnosti, ako je manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti. 

Ciele projektu sú zadefinované v súlade s Národnou koncepciou informatizácie verejnej správy:

  • zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,
  • monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIB incidentov,
  • evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,
  • zabezpečenie kontinuity prevádzky.

V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

Cieľová skupina:

  • zamestnanci UNIZA,
  • študenti UNIZA,
  • uchádzači o štúdium na UNIZA,
  • externí spolupracovníci UNIZA (členovia Vedeckých rád a Akreditačnej rady UNIZA),
  • právnické osoby využívajúce systémy UNIZA a dodávatelia.

Realizáciou projektu bude dosiahnuté naplnenie hlavného cieľa: zvýšenie kybernetickej a informačnej bezpečnosti, zabezpečenia ochrany údajov a zvýšenie ochrany voči bezpečnostným incidentom v prostredí UNIZA.

Projekt je v súlade so stratégiou Programu Slovensko 2021-2027 v nasledovných oblastiach:

  • súlad projektu so špecifickým cieľom: RSO1.2 – 1.a Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy - Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti (opatrenie 1.2.1),
  • súlad s definovanými typmi oprávnených aktivít v rámci výzvy.

Merateľné ukazovatele:

PO095 / PSKPSOI12 – Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov

a procesov - cieľová hodnota: 1

PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov

a procesov – cieľová hodnota: 800

Miesto realizácie projektu: Žilinská univerzita v Žiline

Predpokladaný rozpočet projektu (oprávnené výdavky): 449 976,30 €.

2.2       Motivácia a rozsah projektu

Hlavnou motiváciou projektu je výrazné zvýšenie úrovne kybernetickej a informačnej bezpečnosti (KIB), aby UNIZA bola lepšie pripravená čeliť interným a externým hrozbám v oblasti KIB. Po ukončení projektu bude UNIZA disponovať vyššími schopnosťami detekcie škodlivých aktivít, bude k dispozícii vybavenie na lepšiu ochranu pred útokmi z externého a interného prostredia, ako aj ochranu dát.

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (NKIVS):

  • zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,
  • monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIV incidentov,
  • evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,
  • zabezpečenie kontinuity prevádzky.

V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

Navrhovaný projekt v rámci výzvy „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy" súvisí najmä s naplnením povinností:

  • definovanými v zákone č. 69/2018 Z. z. Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB") a v zákone č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS").
  • opatreniami definovanými v § 20 zákona o KB,
  • zvýšenia úrovne a schopnosti zabezpečovať a riadiť KIB vzhľadom na neustále sa zvyšujúce hrozby a nedostatočný stav úrovne aktuálne nastavených procesov riadenia KIB,
  • zabezpečenie realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou KIB.

V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

 

Hlavná aktivita bude rozdelená na štyri podaktivity:

Podaktivita 1 Organizácia a personálne zabezpečenie kybernetickej a informačnej bezpečnosti

Výstupy aktivity:

  • Vytvorenie a schválenie stratégie kybernetickej bezpečnosti a bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA spracované podľa vyhlášky NBU a v súlade s relevantnými normami a legislatívou, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení na UNIZA.
  • Bezpečnostný projekt informačného systému verejnej správy podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.
  • Kompetenčná matica s definovaním pracovných pozícií, rolí, právomocí a zodpovedností v oblasti KIB.
  • Štatút a zriadenie Výboru kybernetickej a informačnej bezpečnosti (ďalej VKIB) ako poradného orgánu vedenia vysokej školy v oblasti kybernetickej a informačnej bezpečnosti. Zriadený Bezpečnostný výbor, ktorý sa bude riadiť prijatým štatútom a bude strategickým orgánom pri riešení otázok kybernetickej a informačnej bezpečnosti
  • Vytvorenie pracovnej pozície alebo priradenie role manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.
  • Plán rozvoja bezpečnostného povedomia a vzdelávania zamestnancov univerzity a jeho overovania.
  • Interný riadiaci akt postupov a procesov upravujúcich personálnu bezpečnosť univerzity.
  • Návrhy dodatkov zmlúv s tretími stranami podľa požiadaviek zákona o kybernetickej bezpečnosti.
  • Záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti.

Podaktivita 2 Riadenie rizík

Výstupy aktivity:

  • Systém pre centrálnu inventarizáciu aktív a konfiguračných požiadaviek
  • Dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.
  • Klasifikácia informácií a kategorizácia sietí a informačných systémov.
  • Metodika kontinuity činnosti.
  • Analýza funkčných dopadov.
  • Metodika riadenia rizík kybernetickej a informačnej bezpečnosti.
  • Analýza rizík kybernetickej bezpečnosti.

Podaktivita 3 Riešenie kybernetických bezpečnostných incidentov a kontinuita prevádzky

Výstupy aktivity:

  • Stratégia kontinuity činnosti (BCM) a krízové plány univerzity (DRP).
  • Plány pre BCM a DRP.
  • Interný riadiaci akt upravujúci riešenie kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností a povinností zamestnancov ako aj plánov a spôsobov riešenia incidentov.
  • Dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané. Konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov.
  • Implementácia nástrojov pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení.
  • Interný riadiaci akt zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Plány záloh.

Podaktivita 4 Riadenie prevádzky kybernetickej a informačnej bezpečnosti

Výstupy aktivity:

  • Interný riadiaci akt s bezpečnostnými zásadami pre koncových používateľov.
  • Zásady riadenia prístupov osôb k sieti a informačnému systému.
  • Interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.
  • Interný riadiaci akt upravujúci pravidlá sieťovej a komunikačnej bezpečnosti
  • Interný riadiaci akt upravujúci postupy definujúce požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na ich obstarávanie, vyvíjanie a udržiavanie.
  • Interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania.
  • Interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.
  • Interný riadiaci akt s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu a pravidiel súvisiacich s ochranou proti škodlivému kódu.
  • Interný riadiaci akt definujúci bezpečnostné požiadavky na všetky fázy životného cyklu vývoja softvéru (SSDLC: Secure Systems Development Lifecycle, DevOps).
  • Interný riadiaci akt upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.
  • Interný riadiaci akt upravujúci fyzickú bezpečnosť a bezpečnosť prostredia.

Okrem hlavnej aktivity budú v rámci projektu realizované aj podporné aktivity, ktoré budú kryté z nepriamych výdavkov:

  • Projektové riadenie a administratívna podpora hlavných aktivít projektu,
  • Publicita a informovanosť v zmysle manuálu.

Biznis procesy:

V rámci realizácie projektu budú zavedené nasledovné biznis procesy, ktoré budú podporené príslušnými riešeniami:

  • zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,
  • monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIB incidentov,
  • evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,
  • zabezpečenie kontinuity prevádzky.

Okrem samotného zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS sa projekt bude dotýkať väčšiny biznis procesov vykonávaných na UNIZA, ktoré sú realizované prostredníctvom informačných systémov UNIZA. Jedná sa najmä o:

  • AIVS - Akademický informačný a vzdelávací systém - Prijímacie konanie, Priebeh štúdia, Rozvrh, Štipendiá, Platby za štúdium, Záver štúdia, Ubytovanie, FIT - evidencia prístupov študentov do fit centier, Automatizovaný platobný styk, e-learning (MOODLE).
  • IS pre projekty UNIZA,
  • Hotelové ubytovanie,
  • Uniza Network Management System,
  • ZuFlow podporné aplikácie,
  • Vnútorný bezhotovostný úhradový systém eMANY,
  • Webová stránka UNIVERZITY,
  • INTRANET UNIVERZITY,
  • Externé IS - SOFIA- podsystém pre spracovanie ekonomiky, personalistiky a miezd, Dochádzkový a prístupový systém WATT, DAWINCI - Knižničný systém, EZAP – evidencia záverečných prác, KREDIT – Stravovací systém, Čipové karty, Registratúra.

Realizácia projektu bude mať vplyv na nasledovné skupiny subjektov:

  • zamestnanci UNIZA,
  • študenti UNIZA,
  • uchádzači o štúdium na UNIZA,
  • externí spolupracovníci UNIZA (členovia Vedeckých rád a Akreditačnej rady UNIZA),
  • právnické osoby využívajúce systémy UNIZA a dodávatelia.

Motivácia a obmedzenia pre dosiahnutie cieľov projektu

Hlavnou motiváciou je realizácia opatrení KIB definovaných v zákone o kybernetickej bezpečnosti a v zákone o ISVS. Vďaka realizácii týchto opatrení budú IS UNIZA chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku IS UNIZA nasledovný dopad:

Dopad kybernetického bezpečnostného incidentu v závislosti

Kategória

Vysvetlenie

§ 24 ods. 2 písm. a) zákona 69/2018 Z.z. - Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.

I.

Počítačovú sieť UNIZA a aplikácie prevádzkované na UNIZA využívajú v prevažnej miere študenti a zamestnanci univerzity. V roku 2023 bolo na UNIZA zamestnaných 1479 zamestnancov vo fyzických osobách a na univerzite študovalo 7418 študentov v dennej a externej forme. Štúdium úspešne ukončilo 1043 absolventov, ktorým z dôvodu zachovania komunikačného kanálu ostávajú aktívne účty na UNIZA po dobu ďalších 24 mesiacov. Do akademického informačného systému cez modul Prijímacie konanie v danom roku pribudlo 4269 uchádzačov o štúdium. Okrem uvedených počtov sú používateľmi počítačových sietí UNIZA a aplikácií UNIZA absolventi zahraniční študenti, ktorí sa zúčastňujú mobilitných pobytov na UNIZA (cca. 250 ročne), zahraniční pedagógovia, ktorí sa zúčastňujú mobilitných pobytov na UNIZA (cca. 150 ročne), hostia v ubytovacích zariadeniach, riešitelia spoločných výskumných a nevýskumných projektov a ďalší používatelia, ktorí pracujú v priestoroch UNIZA (prenájmy, spoločné pracoviská). V prípade závažnej kybernetickej hrozby by bolo celkovo postihnutých viac ako 16000 používateľov.

§ 24 ods. 2 písm. b) zákona 69/2018 Z.z. - Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)
a/alebo § 24 ods. 2 písm. c) zákona 69/2018 Z.z. - Geografické rozšírenie kybernetického bezpečnostného incidentu

II.

V prípade závažnej kybernetickej hrozby by bolo celkovo postihnutých viac ako 16000 používateľov. Čas do odstránenia bezpečnostného incidentu by mohol byť v závislosti od jeho závažnosti v dňoch až týždňoch.

§ 24 ods. 2 písm. d) zákona 69/2018 Z.z. - Stupeň narušenia fungovania základnej služby.

II.

 Incident by spôsobil úplnú nedostupnosť druhu služby, pre ktorú je možné zabezpečiť náhradné riešenie.

§ 24 ods. 2 písm. e) zákona 69/2018 Z.z. - Rozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu

I.

Boli by narušené základné funkcie univerzity - ohrozený by bol základný chod univerzity z hľadiska finančných operácií vo vnútri školy aj vo vzťahu k dodávateľom, výučba a procesy súvisiace s ňou - tvorba rozvrhov, prijímacie skúšky, konanie štátnych skúšok, ohrozené by boli výskumné úlohy a citlivé údaje, ktoré sú uložené na univerzitných serveroch. Vznikli by boli veľmi veľké škody až vo výške viac ako 1 000 000 €, v niektorých oblastiach dokonca až fatálne. Nefunkčnosť systémov má priamy vplyv na hospodárske alebo spoločenské činnosti.

Projekt je formulovaný tak, aby po jeho realizácii nastal čo najväčší súlad zabezpečenia kybernetickej a informačnej bezpečnosti so zákonom o kybernetickej bezpečnosti a so zákonom o ISVS.

2.3       Zainteresované strany/Stakeholderi

ID

AKTÉR / STAKEHOLDER

SUBJEKT

(názov / skratka)

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

Informačný systém

(MetaIS kód a názov ISVS)

1.

Zamestnanci UNIZA

UNIZA_zam

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

 isvs_14246 - ZuFlow podporné aplikácie

isvs_14245 - Uniza Network Management System

isvs_14244 - IS pre projekty UNIZA

isvs_14243 - AIVS - Akademický informačný a vzdelávací systém

isvs_14242 - Webové sídlo UNIZA

 

2.

Študenti UNIZA

UNIZA_stud

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

 isvs_14246 - ZuFlow podporné aplikácie

isvs_14245 - Uniza Network Management System

isvs_14243 - AIVS - Akademický informačný a vzdelávací systém

isvs_14242 - Webové sídlo UNIZA

 

3.

Uchádzači UNIZA

UNIZA_uch

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

isvs_14246 - ZuFlow podporné aplikácie

isvs_14245 - Uniza Network Management System

isvs_14243 - AIVS - Akademický informačný a vzdelávací systém

isvs_14242 - Webové sídlo UNIZA

 

4.

Externí spolupracovníci UNIZA

UNIZA_ext

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

isvs_14246 - ZuFlow podporné aplikácie

isvs_14245 - Uniza Network Management System

isvs_14244 - IS pre projekty UNIZA

isvs_14243 - AIVS - Akademický informačný a vzdelávací systém

isvs_14242 - Webové sídlo UNIZA

 

5.

Dodávatelia a spolupracujúce organizácie

Ext.

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

isvs_14246 - ZuFlow podporné aplikácie

isvs_14245 - Uniza Network Management System

isvs_14242 - Webové sídlo UNIZA

 

6.

UNIZA – správcovia IS a siete

UNIZA_spr

Vlastník procesu, vlastník dát

 isvs_14246 - ZuFlow podporné aplikácie

isvs_14245 - Uniza Network Management System

isvs_14244 - IS pre projekty UNIZA

isvs_14243 - AIVS - Akademický informačný a vzdelávací systém

isvs_14242 - Webové sídlo UNIZA

 

2.4       Ciele projektu

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy:

  • zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,
  • monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIV incidentov,
  • evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,
  • zabezpečenie kontinuity prevádzky.

V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

ID

 

Názov cieľa

Názov strategického cieľa

Spôsob realizácie strategického cieľa

1

Organizácia a personálne zabezpečenie kybernetickej a informačnej bezpečnosti

Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

... •          Vytvorenie a schválenie Stratégie kybernetickej bezpečnosti a Bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA spracované podľa vyhlášky NBU a v súlade s relevantnými normami a legislatívou, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení na UNIZA.

•              Bezpečnostný projekt informačného systému verejnej správy podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.

•              Kompetenčná matica s definovaním pracovných pozícií, rolí, právomocí a zodpovedností v oblasti KIB.

•              Štatút a zriadenie Výboru kybernetickej a informačnej bezpečnosti (ďalej VKIB) ako poradného orgánu vedenia vysokej školy v oblasti kybernetickej a informačnej bezpečnosti.

•              Vytvorenie pracovnej pozície alebo priradenie role manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.

•              Plán rozvoja bezpečnostného povedomia a vzdelávania zamestnancov univerzity a jeho overovania.

•              Interný riadiaci akt postupov a procesov upravujúcich personálnu bezpečnosť univerzity.

•              Návrhy dodatkov zmlúv s tretími stranami podľa požiadaviek zákona o kybernetickej bezpečnosti.

•              Záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti.

2.

Riadenie rizík

Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

•              Systém pre centrálnu inventarizáciu aktív a konfiguračných požiadaviek.

•              Dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.

•              Klasifikácia informácií a kategorizácia sietí a informačných systémov.

•              Metodika kontinuity činnosti.

•              Analýza funkčných dopadov.

•              Metodika riadenia rizík kybernetickej a informačnej bezpečnosti.

•              Analýza rizík kybernetickej bezpečnosti.

3.

Riešenie kybernetických bezpečnostných incidentov a kontinuita prevádzky

Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

•              Stratégia kontinuity činnosti (BCM) a krízové plány univerzity (DRP).

•              Plány pre BCM a DRP.

•              Interný riadiaci akt upravujúci riešenie kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností a povinností zamestnancov ako aj plánov a spôsobov riešenia incidentov.

•              Dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané. Konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov.

•              Implementácia nástrojov pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení.

•              Interný riadiaci akt zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Plány záloh.

4.

Riadenie prevádzky kybernetickej a informačnej bezpečnosti

Dôveryhodný štát pripravený na hrozby - (Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

•              Interný riadiaci akt s bezpečnostnými zásadami pre koncových používateľov.

•              Zásady riadenia prístupov osôb k sieti a informačnému systému.

•              Interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.

•              Interný riadiaci akt upravujúci pravidlá sieťovej a komunikačnej bezpečnosti.

•              Interný riadiaci akt upravujúci postupy definujúce požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na ich obstarávanie, vyvíjanie a udržiavanie.

•              Interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania.

•              Interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.

•              Interný riadiaci akt s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu a pravidiel súvisiacich s ochranou proti škodlivému kódu.

•              Interný riadiaci akt definujúci bezpečnostné požiadavky na všetky fázy životného cyklu vývoja softvéru (SSDLC: Secure Systems Development Lifecycle, DevOps).

•              Interný riadiaci akt upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

•              Interný riadiaci akt upravujúci fyzickú bezpečnosť a bezpečnosť prostredia.

 

2.5       Merateľné ukazovatele (KPI)

ID

 

ID/Názov cieľa

Názov
ukazovateľa (KPI)

Popis
ukazovateľa

Merná jednotka
 

AS IS
merateľné hodnoty
(aktuálne)

TO BE
Merateľné hodnoty
(cieľové hodnoty)

Spôsob ich merania

Pozn.

1

PO095 / PSKPSOI12

 

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej

bezpečnosti verejnej správy

Verejné inštitúcie

0

1

Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS

Čas plnenia merateľného ukazovateľa projektu: Fyzické ukončenie realizácie hlavných aktivít projektu

...

2

PR017 / PSKPRCR11

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

Používatelia / rok

0

800

Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom databázou používateľov v oblasti KIB.

V prípade univerzity ide o počet používateľov, ktorí priamo využívajú IS a priamo sa podieľajú na zabezpečovaní základnej služby.

Čas plnenia merateľného ukazovateľa projektu: v rámci udržateľnosti projektu

...

2.6       Riziká a závislosti

Zoznam rizík a závislostí je detailne rozpracovaný v prílohe tohto dokumentu č. 1: Zoznam rizík a závislostí.

2.7       Stanovenie alternatív v biznisovej vrstve architektúry

V rámci analýzy možností v biznis vrstve boli stanovené 4 alternatívy, vzhľadom na aktuálny stav zabezpečenia KIB v podmienkach UNIZA:

  • Alternatíva 1: Zachovanie existujúceho stavu KIB – sú splnené len niektoré požiadavky na KIB, existuje možné kritické ohrozenie počítačovej siete a IS UNIZA.
  • Alternatíva 2: Realizácia vybraných opatrení na zvýšenie úrovne KIB – zvýšil by sa súlad s legislatívnymi požiadavkami na zabezpečenie KIB, stále existuje možné kritické ohrozenie počítačovej siete a IS UNIZA.
  • Alternatíva 3: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB internými kapacitami UNIZA – výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje v plnej réžii UNIZA využitím interných kapacít (in-house riešenie).
  • Alternatíva 4: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB s využitím externých kapacít mimo UNIZA - výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje prostredníctvom externých dodávateľov.

2.8       Multikriteriálna analýza

Stanovenie kritérií pre multikriteriálnu analýzu:

  • Kritérium 1 (KO): Nutnosť zosúladiť úroveň KIB s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS na maximálnu možnú dosiahnuteľnú úroveň. Táto požiadavka sa dotýka všetkých stakeholderov.
  • Kritérium 2: Rýchlosť implementácie riešenia. Táto požiadavka sa dotýka všetkých stakeholderov.
  • Kritérium 3: Spoľahlivosť a kvalita implementácie riešenia. Táto požiadavka sa dotýka všetkých stakeholderov.
  • Kritérium 4: Dlhodobá udržateľnosť riešenia. Táto požiadavka sa dotýka všetkých stakeholderov.

Zoznam kritérií

Alternatíva 1

Alternatíva 2

Alternatíva 3

Alternatíva 4

Kritérium 1 (KO)

Nie

Nie

Áno

Áno

Kritérium 2

Nie

Áno

Áno

Áno

Kritérium 3

Nie

Áno

Áno

Áno

Kritérium 4

Nie

Nie

Áno

Nie

Z hľadiska identifikovaných kritérií Alternatíva 1 nespĺňa žiadne z nich, nakoľko by bol zachovaný aktuálny stav, ktorý nie je dlhodobo udržateľný. V prípade alternatívy 2 ako čiastkového riešenia by nedošlo k naplneniu kritéria 1, ktoré je KO kritériom a takáto situácia nie je rovnako dlhodobo udržateľná. V prípade alternatívy 3 by boli realizované všetky procesy v oblasti KIB internými kapacitami a riešenie by bolo dlhodobo udržateľné, vzhľadom na dlhodobé výskumné, vzdelávacie a expertízne aktivity v oblasti kybernetickej a informačnej bezpečnosti na UNIZA. Alternatíva 4 pokrýva prvé 3 kritériá, avšak dlhodobá udržateľnosť takéhoto riešenia nie je najmä z finančného hľadiska otázna.

Na základe zhodnotenia je ako najviac prijateľná alternatíva 3, ktorá spĺňa všetky stanovené kritériá.

2.9       Stanovenie alternatív v aplikačnej vrstve architektúry

Definícia alternatív v aplikačnej vrstve vychádza z analýzy alternatív na biznis vrstve, pričom HW a SW technológie musia zodpovedať požiadavkám definovaným v projekte a vychádzajú z požiadaviek zákona o kybernetickej bezpečnosti, zákona o ISVS a vyhlášky 362/2018 Z. z.

Aplikačná vrstva v projekte uvažuje dve možné alternatívy:

  • Alternatíva A: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB internými kapacitami UNIZA – výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje v plnej réžii UNIZA využitím interných kapacít (in-house riešenie) – zodpovedá alternatíve 3 biznis vrstvy.
  • Alternatíva B: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB s využitím externých kapacít mimo UNIZA - výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje prostredníctvom externých dodávateľov – zodpovedá alternatíve 4 biznis vrstvy.

Vzhľadom na výsledok vykonanej multikriteriálnej analýzy biznis architektúry bude zvolená alternatíva A.

 

2.10    Stanovenie alternatív v technologickej vrstve architektúry

Vzhľadom na to, že v rámci projektu sú definované požiadavky na HW a SW technológie všeobecne tak, aby bolo HW a SW technológiu spĺňajúcu požiadavky koncových používateľov a stakeholderov možné použiť na realizáciu projektu, nie sú z hľadiska možného použitia technológií definované alternatívy. Bližšia analýza možných technológií bude vykonaná počas projektu. Technologická vrstva architektúry bude bližšie definovaná prepojením IS na úrovni univerzity.

image-2024-5-31_12-1-10.png

3.    POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

Výstupy projektu sú nasledovné:

  • Vytvorenie a schválenie stratégie kybernetickej bezpečnosti a bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA spracované podľa vyhlášky NBU a v súlade s relevantnými normami a legislatívou, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení na UNIZA.
  • Bezpečnostný projekt informačného systému verejnej správy podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.
  • Kompetenčná matica s definovaním pracovných pozícií, rolí, právomocí a zodpovedností v oblasti KIB.
  • Štatút a zriadenie Výboru kybernetickej a informačnej bezpečnosti (ďalej VKIB) ako poradného orgánu vedenia vysokej školy v oblasti kybernetickej a informačnej bezpečnosti.
  • Vytvorenie pracovnej pozície alebo priradenie role manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.
  • Plán rozvoja bezpečnostného povedomia a vzdelávania zamestnancov univerzity a jeho overovania.
  • Interný riadiaci akt postupov a procesov upravujúcich personálnu bezpečnosť univerzity.
  • Návrhy dodatkov zmlúv s tretími stranami podľa požiadaviek zákona o kybernetickej bezpečnosti.
  • Záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti.
  • Systém pre centrálnu inventarizáciu aktív a konfiguračných požiadaviek
  • Dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.
  • Klasifikácia informácií a kategorizácia sietí a informačných systémov.
  • Metodika kontinuity činnosti.
  • Analýza funkčných dopadov.
  • Metodika riadenia rizík kybernetickej a informačnej bezpečnosti.
  • Analýza rizík kybernetickej bezpečnosti.
  • Stratégia kontinuity činnosti (BCM) a krízové plány univerzity (DRP).
  • Plány pre BCM a DRP.
  • Interný riadiaci akt upravujúci riešenie kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností a povinností zamestnancov ako aj plánov a spôsobov riešenia incidentov.
  • Dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané. Konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov.
  • Implementácia nástrojov pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení.
  • Interný riadiaci akt zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Plány záloh.
  • Interný riadiaci akt s bezpečnostnými zásadami pre koncových používateľov.
  • Zásady riadenia prístupov osôb k sieti a informačnému systému.
  • Interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat.
  • Interný riadiaci akt upravujúci pravidlá sieťovej a komunikačnej bezpečnosti
  • Interný riadiaci akt upravujúci postupy definujúce požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na ich obstarávanie, vyvíjanie a udržiavanie.
  • Interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania.
  • Interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.
  • Interný riadiaci akt s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu a pravidiel súvisiacich s ochranou proti škodlivému kódu.
  • Interný riadiaci akt definujúci bezpečnostné požiadavky na všetky fázy životného cyklu vývoja softvéru (SSDLC: Secure Systems Development Lifecycle, DevOps).
  • Interný riadiaci akt upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.
  • Interný riadiaci akt upravujúci fyzickú bezpečnosť a bezpečnosť prostredia.

Výstupy projektu zabezpečujú nasledovné požiadavky definované výzvou:

  1. a) Organizácia kybernetickej a informačnej bezpečnosti
  2. b) Riadenie rizík
  3. c) Personálna bezpečnosť
  4. d) Riadenie prístupov
  5. e) Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami
  6. f) Bezpečnosť pri prevádzke informačných systémov a sietí
  7. g) Hodnotenie zraniteľností a bezpečnostné aktualizácie
  8. h) Ochrana proti škodlivému kódu
  9. i) Sieťová a komunikačná bezpečnosť
  10. j) Akvizícia, vývoj a údržba informačných technológií verejnej správy
  11. k) Zaznamenávanie udalostí a monitorovanie
  12. l) Fyzická bezpečnosť a bezpečnosť prostredia
  13. m) Riešenie kybernetických bezpečnostných incidentov
  14. n) Kryptografické opatrenia
  15. o) Kontinuita prevádzky
  16. p) Audit a kontrolné činnosti

4.    NÁHĽAD ARCHITEKTÚRY

Architektúra navrhovaného projektu je rámcová a je nastavená tak, aby bolo z projektu zrejmé, ktoré komponenty v rámci realizácie projektu budú riešiť ochranu v rámci KIB. Hlavným cieľom je ochrana IS na UNIZA, aby bola zabezpečená prevádzka všetkých univerzitou poskytovaných služieb.

Na základe potrieb popísaných vyššie sa jedná hlavne o nasledovné komponenty:

  • nástroje na zálohovanie prevádzkových dát,
  • nástroje pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení,
  • dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností.,
  • špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané,
  • konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov,
  • implementovaný systém na inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,
  • dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.

5.    ROZPOČET A PRÍNOSY

5.1       Sumarizácia nákladov a prínosov

Náklady

Podporné IS

Dokumentácia KIB

Podporné činnosti

Všeobecný materiál

 

 

 

IT – CAPEX

 

 

 

Mzdy zamestnancov

150 000 €

267 500 €

32 500 €

SW

 

 

 

HW

 

 

 

IT - OPEX- prevádzka

 

 

 

Aplikácie

10 000 €

 

 

SW

 

 

 

HW

 

 

 

V rámci projektu nie je plánované dodanie žiadnych externých služieb ani tovarov. Vzhľadom na významnú vzdelávaciu, vedeckú a expertíznu činnosť zapojených riešiteľov budú všetky podporné IS a dokumentácia KIB a záverečná správa o výsledkoch hodnotenia kybernetickej bezpečnosti podľa zákona o kybernetickej bezpečnosti riešená internými zamestnancami kvalifikovanými v odbore KIB.

Prínos a návratnosť

Výpočet prínosov a návratnosti projektu je v prípade projektov KIB náročný a je možné ho vyčísliť na základe možných škôd, ktoré by mohli vzniknúť v prípade, ak by neboli opatrenia KIB realizované. Boli identifikované nasledovné potenciálne škody:

  • Finančné riziko – sú to možné dôsledky v prípade KIB incidentu. Jedná sa o možné sankcie vyplývajúce z platnej legislatívy, nákladov spojených s riešením následkov KIB incidentov, prípadne súdnych sporov v prípade možného úniku osobných údajov.
  • Reputačné riziko – vzhľadom na postavenie a oblasť spoločenskej dôležitosti a zákonných povinností univerzity, je toto riziko potenciálne vysoké – teda v prípade neplnenia legislatívnych požiadaviek v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS alebo vyhlášky 362 /2018 Z. z. či reálneho výpadku prevádzky základnej služby, úniku citlivých dát v kombinácii aj s prípadnou medializáciou a pod.

V prípade tohto projektu bolo vyčíslenie prínosov realizované na základe zákona č. 69/2018 Z. z., kde v §31 ods. 2, písm. c je stanovená pokuta do 1 percenta obratu, maximálne do výšky 300 000 €. Túto hodnotu je avšak možné považovať len za minimálny prínos, pretože v prípade nerealizovania implementácie opatrení KIB hrozí riziko, že investície do tejto oblasti skončia bez zavedených procesov, čím nedosiahnu synergický efekt riešenia incidentov KIB.

6.    HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

ID

FÁZA/AKTIVITA

ZAČIATOK

(odhad termínu)

KONIEC

(odhad termínu)

POZNÁMKA

1.

Prípravná fáza a Iniciačná fáza

03/2024

09/2024

 

2.

Realizačná fáza

10/2024

08/2026

 

2a

Analýza, dizajn a návrh riešení

10/2024

04/2025

 

2b

Implementácia a testovanie

05/2025

03/2026

 

2c

Nasadenie

04/2026

07/2026

 

3.

Dokončovacia fáza

08/2026

09/2026

 

4.

Podpora prevádzky

10/2026

09/2031

 

Projekt bude realizovaný metódou Agile:

 

7.    PROJEKTOVÝ TÍM

Riadiaci výbor projektu

Pre účely realizácie projektu sa zriaďuje Riadiaci výbor projektu (RVP), v minimálne nasledovnom zložení:

  • Predseda RVP a projektový manažér – doc. Ing. Michal Koháni, PhD.
  • Biznis vlastník – Ing. Pavol Podhora, PhD.
  • Zástupca prevádzky – Ing. Róbert Orenič
  • Iný člen RVP s hlasovacím právom - prof. Ing. Pavel Segeč, PhD.
  • Iný člen RVP s hlasovacím právom - prof. Ing. Tomáš Loveček, PhD.

Vzhľadom na to, že v rámci projektu je predpokladaná implementácia vlastných riešení, ktoré budú navrhované a vyvíjané projektovým tímom, nie je súčasťou projektu žiadny dodávateľ. Z tohto dôvodu nie je súčasťou riadiaceho výboru projektu zástupca dodávateľa.

Projektový tím riešiteľa

  • Projektový manažér – doc. Ing. Michal Koháni, PhD.
  • Biznis vlastník – Ing. Pavol Podhora, PhD.
  • Manažér IT prevádzky– Ing. Róbert Orenič
  • IT architekt – Ing. Ľuboš Kojdjak, Ing. Michal Hvizdák, Ing. Jana Hudecová, PhD.
  • Iná rola – architekt kybernetickej bezpečnosti, kľúčový používateľ: prof. Ing. Pavel Segeč, PhD.
  • Iná rola – analytik kybernetickej bezpečnosti: Ing. Jana Uramová, PhD., doc. Ing. Marek Roch, PhD., doc. Ing. Rastislav Pirník, PhD., doc. Ing. Slavomír Matuška, PhD.
  • IT architekt - špecialista pre riešenie kybernetických bezpečnostných incidentov – Ing. Marek Moravčík, PhD., Ing. Martin Kontšek, PhD.
  • Biznis analytik – prof. Ing. Milan Kubina, PhD., doc. Ing. Gabriel Koman, PhD.
  • UX dizajnér – prof. Ing. Radovan Madleňák, PhD.
  • Iná rola - špecialista kybernetickej bezpečnosti - prof. Ing. Tomáš Loveček, PhD., doc. Ing. Katarína Kampová, PhD., Ing. Matúš Madleňák, Ing. Marián Magdolén, PhD., Bc. Katarína Križalkovič, JUDr. Mária Tomková, PhD.
  • Manažér kybernetickej bezpečnosti – rola bude obsadená v priebehu projektu internými kapacitami

7.1        PRACOVNÉ NÁPLNE

Popis činností projektových rolí:

Projektová rola

Projektový manažér

Popis zodpovednosti, povinností a kompetencií

 

·                 zodpovedá za riadenie projektu podľa pravidiel stanovených vo Vyhláške 401/2023 Z. z.,

·                 zodpovedá za prípravu, inicializáciu a realizáciu projektu, identifikuje kritické miesta projektu a navrhovanie opatrenia na ich elimináciu,·

·                 zodpovedá za plánovanie, efektívne riadenie, motivovanie projektového tímu,

·                 Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu,

·                 zabezpečuje vypracovanie manažérskej a inej špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z. Z.z.,

·                 koordinuje činnosť RVP, pripravuje prezentácie stavu projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 401/2023 Z. z. na rokovanie RVP

·                 zabezpečuje realizáciu projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.,

·                 zabezpečuje vytvorenie a aktualizáciu BC/CBA,

·                 zabezpečuje a koordinuje efektívne využívanie ľudských a finančných zdrojov v projekte,

·                 koordinuje postup práce v projekte a dodržiavanie stanovených míľnikov,

·                 zodpovedá za riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien,

·                 má na starosti riadenie implementačných a prevádzkových aktivít v rámci projektu,

·                 v spoluprácu s projektovým oddelením zabezpečuje formálnu administráciu projektu, správu a archiváciu projektovej dokumentácie

·                 zodpovedá za dodržiavanie metodík projektového riadenia.

Projektová rola

Biznis vlastník

Popis zodpovednosti, povinností a kompetencií

 

·                zodpovedá za celkový priebeh projektu, jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi,

·                realizuje dohľad nad súladom výstupov projektu a plánu,

·                schvaľuje biznis požiadavky, nesie zodpovednosť za výsledné riešenie, prínos a má spoluzodpovednosť za napĺňanie merateľných ukazovateľov,

·                definuje na užívateľsky orientované položky a ich zaradenie na spracovanie a určenie priority,

·                zodpovedná za funkčné a technické požiadavky, obsaha a prínosy projektu, rieši riziká, vyjasňuje otázky tímu, priebežne akceptuje už dokončené požiadavky,

·                spolupracuje s projektovým manažérom, UX dizajnérom, IT architektmi, a ďalšími členmi projektového tímu,

·                dohliada na efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

·                dohliada na vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch,

·                poskytuje vyjadrenia k požiadavkám na úpravy a zmeny a ich opodstatnenosti,

·                napomáha identifikovať príležitosti a riziká prevádzkových alebo podporných procesov,

·                 v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Organizácia kybernetickej a informačnej bezpečnosti, Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami, Sieťová a komunikačná bezpečnosť, Kryptografické opatrenia, Ochrana proti škodlivému kódu, Zaznamenávanie udalostí a monitorovanie

·                aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

·                plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

Projektová rola

Manažér IT prevádzky

Popis zodpovednosti, povinností a kompetencií

 

·                zabezpečuje plánovanie činností, úloh v projekte,

·                zabezpečuje spoľahlivú prevádzky IS (technický servis, upgradovanie SW/HW, zálohovanie, testovanie) a podpory pre jej užívateľov (školenia, technická asistencia)

·                zabezpečuje starostlivosť o rozvoj a modernizáciu IS v rámci projektu,

·                riadi implementáciu informačných technológií a IS v projekte,

·                v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Personálna bezpečnosť,  Ochrana proti škodlivému kódu, Akvizícia, vývoj a údržba informačných technológií verejnej správy, Kryptografické opatrenia

·                aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

·                plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

Projektová rola

IT architekt

Popis zodpovednosti, povinností a kompetencií

 

·                     navrhuje architektúru IT riešení s cieľom dosiahnuť najlepšiu efektivitu riešenia, poskytovali čo najvyššiu funkčnosť a flexibilitu,

·                     pri návrhu posudzuje vhodnosť navrhnutých riešení s ohľadom na požiadavky projektu,

·                     zodpovedá za technický návrh a realizáciu riešenia,

·                     zodpovedá za tvorbu a aktualizáciu technickej IT dokumentácie, ·

·                     podieľa sa na návrhu architektúry systému, technických požiadaviek a funkčného modelu (Proof of Concept),

·                     podieľa sa na definovaní požiadaviek na HW/SW infraštruktúru IS,

·                     implementuje navrhnutú IT architektúru do IS,

·                     podieľa sa na testovaní dátových štruktúr a implementovaných funkcionalít za účelom dosiahnutia optimálneho výkonu IS,

·                     dbá na dodržiavanie integračných štandardov,

·                     vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania,

·                 vykonáva výkonnostné a integračné testy a navrhuje prípadné opravné opatrenia,

·                 zabezpečuje nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie opravných opatrení,

·                 v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Hodnotenie zraniteľností a bezpečnostné aktualizácie, Bezpečnosť pri prevádzke informačných systémov a sietí, Sieťová a komunikačná bezpečnosť, Akvizícia, vývoj a údržba informačných technológií verejnej správy

·                 aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

·                 plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

Projektová rola

Iná rola – architekt kybernetickej bezpečnosti, kľúčový používateľ

Popis zodpovednosti, povinností a kompetencií

 

·         navrhuje architektúru IT riešení z pohľadu kybernetickej bezpečnosti, s cieľom dosiahnuť najlepšiu efektivitu riešenia, poskytovali čo najvyššiu funkčnosť a flexibilitu,

·         pri návrhu posudzuje vhodnosť navrhnutých riešení z pohľadu kybernetickej bezpečnosti,,

·         zodpovedá za technický návrh a realizáciu riešenia z pohľadu kybernetickej bezpečnosti,,

·         podieľa sa na tvorbe a aktualizácii technickej IT dokumentácie, ·

·         podieľa sa na návrhu architektúry systému, technických požiadaviek a funkčného modelu (Proof of Concept) z pohľadu kybernetickej bezpečnosti,,

·         podieľa sa na definovaní požiadaviek na HW/SW infraštruktúru IS z pohľadu kybernetickej bezpečnosti,

·         podieľa sa na testovaní dátových štruktúr a implementovaných funkcionalít za účelom dosiahnutia optimálneho výkonu IS,

·         dbá na dodržiavanie integračných štandardov,

·         vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania,

·         v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Bezpečnosť pri prevádzke informačných systémov a siet, Ochrana proti škodlivému kódu, Sieťová a komunikačná bezpečnosť, Zaznamenávanie udalostí a monitorovanie, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia

·         aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

·         plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

Projektová rola

Iná rola – analytik kybernetickej bezpečnosti

Popis zodpovednosti, povinností a kompetencií

 

·         pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu z pohľadu kybernetickej bezpečnosti,

·         mapuje a analyzuje existujúce prostredie, analyzuje biznis požiadavky na informačný systém v oblasti kybernetickej bezpečnosti, špecifikuje požiadavky na informačnú podporu procesov v oblasti kybernetickej bezpečnosti, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní používateľom.

·         v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Personálna bezpečnosť, Hodnotenie zraniteľností a bezpečnostné aktualizácie, Ochrana proti škodlivému kódu, Sieťová a komunikačná bezpečnosť, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia

·         aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

·         plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

Projektová rola

IT architekt - špecialista pre riešenie kybernetických bezpečnostných incidentov

Popis zodpovednosti, povinností a kompetencií

 

·                 navrhuje architektúru IT riešení z pohľadu možných bezpečnostných incidentov s cieľom dosiahnuť najlepšiu efektivitu riešenia, poskytovali čo najvyššiu funkčnosť a flexibilitu,

·                 pri návrhu posudzuje vhodnosť navrhnutých riešení z pohľadu možných bezpečnostných incidentov,

·                 zodpovedá za technický návrh a realizáciu riešenia z pohľadu možných bezpečnostných incidentov,

·                 podieľa sa na tvorbe a aktualizácii technickej IT dokumentácie,

·                 podieľa sa na návrhu architektúry systému, technických požiadaviek a funkčného modelu (Proof of Concept),

·                 podieľa sa na definovaní požiadaviek na HW/SW infraštruktúru IS,

·                 implementuje navrhnutú IT architektúru do IS,

·                 v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Riadenie rizík, Personálna bezpečnosť, Riadenie prístupov, Bezpečnosť pri prevádzke informačných systémov a sietí, Hodnotenie zraniteľností a bezpečnostné aktualizácie, Ochrana proti škodlivému kódu, Sieťová a komunikačná bezpečnosť, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia,

·                 aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

·                 plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

Projektová rola

Biznis analytik

Popis zodpovednosti, povinností a kompetencií

 

·         zodpovedá za zber a analyzovanie biznis procesov, funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie,

·         podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení,

·         analyzuje požiadavky na informačný systém, popisuje a zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

·         Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

·         Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad

·         v rámci projektu sa podieľa na riešení nasledovných úloh v projekte:

·         aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

·         plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

Projektová rola

UX dizajnér

Popis zodpovednosti, povinností a kompetencií

 

·                zodpovedá za proces navrhovania „user experience“ pri produktoch súvisiacich s kybernetickou bezpečnosťou, ktoré by mali byť používateľsky prívetivé, ľahko použiteľné a užitočné,

·                spolupracuje na návrhu a implementácii IS s IT dizajnérmi

·                v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Organizácia kybernetickej a informačnej bezpečnosti, Akvizícia a údržba informačných technológií, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov

·                aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

·                plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

Projektová rola

Iná rola - špecialista kybernetickej bezpečnosti

Popis zodpovednosti, povinností a kompetencií

 

·         vykonáva odborné činnosti v oblasti bezpečnosti služieb IKT. Navrhuje, implementuje, udržiava a prevádzkuje bezpečnostné mechanizmy a riešenia,

·         navrhuje a prezentuje bezpečnostné stratégie, bezpečnostné politiky a bezpečnostnú architektúru,

·         posudzuje právne a etické požiadavky na zaručenie bezpečnosti informačných aktív, navrhuje a vykonáva procesy riadenia rizík v informačnej a kybernetickej bezpečnosti,

·         vykonáva a podporuje kontroly a posudzovanie bezpečnostných procesov, systémov a mechanizmov a ošetruje odchýlky od požadovaného stavu,

·         stanovuje požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, databáz, systémov a sietí,

·         vyhodnocuje efektívnosť bezpečnostných mechanizmov a riešení a uplatňuje ich v procesoch organizácie,

·         spracováva príslušné interné predpisy a dohliada nad ich plnením

·         posudzuje zraniteľnosti, hrozby a riziká existujúcich a nových komponentov architektúry IKT, vykonáva bezpečnostné testy,

·         poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov v oblasti bezpečnosti informácií,

·         v rámci projektu sa podieľa na riešení nasledovných úloh v projekte: Organizácia kybernetickej a informačnej bezpečnosti,  Riadenie rizík, Personálna bezpečnosť, Fyzická bezpečnosť a bezpečnosť prostredia, Riešenie kybernetických bezpečnostných incidentov, Kryptografické opatrenia, Kontinuita prevádzky, Audit a kontrolné činnosti, Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami, Organizačná bezpečnosť.

·         aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

·         plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

Projektová rola

Manažér kybernetickej bezpečnosti

Popis zodpovednosti, povinností a kompetencií

 

·          zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

·          koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti,

·          podieľa sa na špecifikácii štandardov, princípov a stratégií a funkčných požiadaviek v oblasti kybernetickej a informačnej bezpečnosti,

·          špecifikuje požiadavky v oblasti kybernetickej a informačnej bezpečnosti, kontroluje ich implementáciu v realizovanom projekte,

·          špecifikuje funkčných a nefunkčných požiadaviek v oblasti kybernetickej a informačnej bezpečnosti,

·          špecifikuje požiadavky na bezpečnosť v rámci bezpečnostnej vrstvy,

·          špecifikuje požiadavky na školenia v oblasti kybernetickej a informačnej bezpečnosti,

·          špecifikuje požiadavky na bezpečnostnú architektúru riešenia a technickú infraštruktúru v oblasti kybernetickej a informačnej bezpečnosti,

·          špecifikuje požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS v oblasti kybernetickej a informačnej bezpečnosti,

·          realizuje posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

·          definuje požiadavky v oblasti kybernetickej a informačnej bezpečnosti, bezpečnostný projekt a riadenie prístupu,

·          definuje požiadavky na obsah dokumentácie v zmysle legislatívnych požiadaviek v oblasti kybernetickej a informačnej bezpečnosti,

·          špecifikuje akceptačné kritériá v oblasti kybernetickej a informačnej bezpečnosti,

·          špecifikuje pravidiel pre publicitu a informovanosť v oblasti kybernetickej a informačnej bezpečnosti,

·          získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

·          zabezpečuje konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dokumentácie v oblasti kybernetickej a informačnej bezpečnosti,

·          zabezpečuje realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v projekte v oblasti kybernetickej a informačnej bezpečnosti,

·          aktívne sa zúčastňuje práce v projektovom tíme a spolupracuje pri vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.,

·          plnení pokyny projektového manažéra a dohody zo stretnutí projektového tímu.

8.    PRÍLOHY

Príloha : Zoznam rizík a závislostí (PRILOHA_1_REGISTER_RIZIK-a-ZAVISLOSTI_UNIZA.xlsx)