projekt_2660_Projektovy_zamer_detailny

== {{id name="projekt_2660_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}**2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE** ==

106

107

\\

108

109

V súlade s Vyhláškou 401/2023 Z.z. je Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

110

111

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky a prílohy č. 8 výzvy PSK-MIRRI-614-2024-DV-EFRR ( Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy) obsahuje manažérske zhrnutie, motiváciu a rozsah projektu, zainteresované strany, ciele projektu a merateľné ukazovatele, návrh organizačného zabezpečenia projektu, alternatívy, opis obmedzení, predpokladov, tolerancií, opis požadovaných výstupov, náhľad architektúry, opis rozpočtu, detailný popis nákladov a prínosov, postup a spôsob nacenenia projektu, harmonogram projektu a zoznamom rizík a závislostí.

112

113

V zmysle usmernenia MIRRI SR sa v projektovej dokumentácii (ani v ŽoNFP) nešpecifikujú detailne konkrétne riziká a dopady a nezverejňuje sa podrobná dokumentácia toho, kde sú najväčšie riziká IT systémov a uvádzajú sa iba oblasti identifikovaných rizík a dopadov. Rovnako sú v zmysle usmernenia MIRRI SR manažérske produkty napísané všeobecne.

\\

=== {{id name="projekt_2660_Projektovy_zamer_detailny-2.1Použitéskratkyapojmy"/}}**2.1 Použité skratky a pojmy** ===

118

119

Z hľadiska formálneho sú použité skratky a pojmy rámci celého dokumentu definované priebežne, štandardne pri prvom použití v zátvorke označením („ďalej len“).

\\

=== {{id name="projekt_2660_Projektovy_zamer_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}**2.2 Konvencie pre typy požiadaviek (príklady)** ===

124

125

V rámci projektu budú definované tri základné typy požiadaviek:

126

127

Funkčné (používateľské) požiadavky majú nasledovnú konvenciu:

Fxx

F – funkčná požiadavka xx – číslo požiadavky

132

133

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:

Nxx

N – nefukčná požiadavka (NFR) xx – číslo požiadavky

138

139

Technické požiadavky majú nasledovnú konvenciu:

Txx

T – technická požiadavka xx – číslo požiadavky

\\

== {{id name="projekt_2660_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}**3. DEFINOVANIE PROJEKTU** ==

\\

=== {{id name="projekt_2660_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}**3.1 Manažérske zhrnutie** ===

152

153

Univerzita Komenského v Bratislave (ďalej len „UK") momentálne nie je prevádzkovateľom základnej služby podľa zákona č. 69/2018 Z. z. Zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB"), ale predpokladá sa, že s pripravovanou transpozíciou smernice NIS2 do slovenskej legislatívy, bude musieť plniť požiadavky vyplývajúce z tejto legislatívy. UK podporuje zvyšovanie kybernetickej bezpečnosti nielen z legislatívnych dôvodov, ale aj z dôvodu zabezpečenia vlastných prevádzkovaných systémov voči narastajúcim kybernetickým hrozbám. UK si nechala vypracovať audit KB na základe požiadaviek ZoKB, z ktorého vyplynuli nesúlady s požiadavkami zákona.

154

155

UK si uvedomuje, že v zmysle požiadaviek zákona o kybernetickej bezpečnosti a zavedených opatrení v zmysle vyhlášky 362/2018 Z.z. (ďalej len ZoKB), ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška 362/2018 Z.z.) nespĺňa niektoré požiadavky. Ide primárne o chýbajúcu, resp. neaktuálnu dokumentáciu a o niektoré technologické požiadavky, ktorých zaobstaranie je finančne náročné.

156

157

UK chce zvýšiť všeobecnú úroveň kybernetickej bezpečnosti zapojením sa do výzvy a realizovaním nasledovných krokov:

158

159

* Zvýšiť súlad s legislatívnymi požiadavkami v týchto oblastiach:

160

* inventarizácia aktív, klasifikácia informácií a kategorizácia sietí a informačných systémov, spolu s vykonaním analýzy rizík a analýzy dopadov a následným riadením identifikovaných rizík

161

* vytvorením, resp. aktualizovaním kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB

162

* personálne zabezpečenie role manažéra kybernetickej bezpečnosti

163

* zvýšiť sieťovú a komunikačnú bezpečnosť nasadením a implementáciou perimetrového firewallu a zabezpečiť zaškolenie personálu na jeho administráciu a obsluhu

164

* implementáciu centrálneho log manažment systému pre zber a ukladanie logov zo systémov univerzity

165

* implementovať do existujúceho manažmentu identít manažment rolí a integráciu čo najviac systémov unverzity s týmto IDM systémom

**~ **

**Ciele projektu**

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (ďalej len „NKIVS“):

172

173

* Zabezpečenie bezpečnosti prevádzky IS a sietí vrátane sieťovej a komunikačnej bezpečnosti

174

* Zaznamenávanie udalostí a monitorovanie a riešenie KIB incidentov

175

* Zabezpečenie kontinuity prevádzky

176

177

Dané ciele budú dosiahnuté realizáciou hlavnej aktivity projektu - Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

\\

**Cieľová skupina**

Cieľovou skupinou sú zamestnanci UK, študenti UK, dodávatelia UK a ostatné právnické osoby využívajúce systémy UK.

184

185

Realizáciou aktivít projektu dosiahne UK naplnenie hlavného cieľa, ktorým je zvýšenie informačnej a kybernetickej bezpečnosti a zabezpečenia ochrany údajov a elektronických dát, ktoré sú využívané UK, zamestnancami ako aj študentmi.

186

187

Projekt je v súlade s intervenčnou stratégiou Programu Slovensko 2021-2027 v nasledovných oblastiach:

188

189

* súlad projektu so špecifickým cieľom: RSO1.2 (opatrenie 1.2.1)

190

* súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 1.26 3) súlad s definovanými typmi oprávnených aktivít v rámci výzvy.

**~ **

**Realizáciou projektu budú naplnené nasledovné merateľné ukazovatele:**

195

196

PO095 / PSKPSOI12 – cieľová hodnota 1

197

198

PR017 / PSKPRCR11 – cieľová hodnota 84 455

199

200

**Miesto realizácie:**

201

202

Univerzita Komenského v Bratislave

203

204

**Predpokladaný rozpočet projektu (oprávnených výdavkov) je** **488 991,28 EUR s DPH.**

205

206

V prípade, že by mala UK investovať do dobudovania kybernetickej bezpečnosti vlastné finančné prostriedky, je prakticky nereálne zrealizovať všetky povinnosti podľa zákona o kybernetickej bezpečnosti a zákona o informačných systémoch verejnej správy, nakoľko ide o pomerne vysoké náklady v krátkom časovom období.

207

208

S ohľadom na to, že univerzity majú limitované finančné zdroje na boj s kyberútokmi, a súčasne je ich povinnosťou dodržiavať ustanovenia zákona o ISVS a s vysokou pravdepodobnosťou bude musieť spĺňať aj požiadavky ZoKB o kybernetickej bezpečnosti, vyhlásilo MIRRI SR Výzvu, ktorá má umožniť aj inštitúciám ako UK získať prostriedky na ochranu informačných systémov a dosiahnutie kybernetickej bezpečnosti na najvyššej úrovni pri minimálnych nákladoch.

209

210

Projekt je vypracovaný v súlade s nasledovným typom aktivity:

211

212

* Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy s definovanou hlavnou aktivitou: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

213

214

Sumarizácia hlavných parametrov hodnotenia predkladaného projektu:

(% class="" %)|(((

**P. č.**

)))|(((

**Názov hodnotiaceho kritéria**

220

)))|(((

221

**Parametre v projekte**

)))|(((

**Zdroj**

)))

(% class="" %)|(((

1.

)))|(((

Miera rizík ohrozujúcich úspešnú realizáciu projektu

229

)))|(((

230

V rámci projektu bolo identifikovaných menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.

231

)))|(((

232

Príloha 2 zoznam rizík

)))

(% class="" %)|(((

2.

)))|(((

Administratívne, odborné a prevádzkové kapacity žiadateľa

238

)))|(((

239

Žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) dostatočné odborné kapacity s náležitou odbornou spôsobilosťou a know-how na riadenie a implementáciu projektu v danej oblasti.

240

241

Popis zabezpečenia prevádzky riešenia je reálny, t. j. žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) personálne kapacity pre zabezpečenie prevádzky riešenia.

242

)))|(((

243

Informácie o projektovom tíme sú uvedené v PZ.

)))

(% class="" %)|(((

3.

)))|(((

Miera oprávnenosti výdavkov projektu

249

)))|(((

250

Všetky oprávnené aktivity vychádzajú z bodu 2 Výzvy a prílohy č. 8 Výzvy, ktorá definuje oprávnené podaktivity

251

)))|(((

252

V rámci projektu budú realizované nasledovné oprávnené podaktivity:

253

254

Organizácia kybernetickej a informačnej bezpečnosti,

Riadenie rizík,

Personálna bezpečnosť,

Riadenie prístupov,

Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami,

263

264

Bezpečnosť pri prevádzke informačných systémov a sietí,

265

266

Ochrana proti škodlivému kódu,

267

268

Sieťová a komunikačná bezpečnosť,

269

270

Zaznamenávanie udalostí a monitorovanie,

271

272

Fyzická bezpečnosť a bezpečnosť prostredia,

273

274

Riešenie kybernetických bezpečnostných incidentov,

275

276

Kryptografické opatrenia,

277

278

Kontinuita prevádzky,

279

280

Audit a kontrolné činnosti

)))

(% class="" %)|(((

4.

)))|(((

Dôležitosť kybernetickej bezpečnosti u žiadateľa a potencionálny dopad kybernetických incidentov

286

)))|(((

287

V zmysle kapitoly 3.2.5 PODPORA V OBLASTI KIB NA REGIONÁLNEJ ÚROVNI uvedenej v prílohe 2 Výzvy boli Identifikované jednotlivé kategórie.

288

)))|(((

289

§ 24 ods. 2 písm. a) – kategória: II

290

291

§ 24 ods. 2 písm. b) a c) – kategória: II

292

293

§ 24 ods. 2 písm. d) – kategória: III

294

295

§24 ods. 2 písm. e) – kategória: I

296

)))

297

298

=== {{id name="projekt_2660_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}**3.2 Motivácia a rozsah projektu** ===

299

300

Hlavnou motiváciou projektu je zvýšenie úrovne KIB, aby UK bola lepšie pripravená čeliť interným a externým hrozbám v oblasti kybernetickej bezpečnosti. Na rozdiel od súčasného stavu bude disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého a interného prostredia, ako aj ochranu dát.

301

302

Medzi hlavné ciele systému riadenia KIB patria:

303

304

* zabezpečenie správnej a bezpečnej prevádzky prostriedkov spracúvajúcich informácie,

305

* monitorovanie prostredia,

306

* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu.

307

308

Vyhlásená výzva „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy" súvisí najmä s naplnením povinností:

309

310

* definovanými v zákone č. 69/2018 Z. z. Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB") a v zákone č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS").

311

* opatreniami definovanými v § 20 zákona o KB.

312

* nutnosť zvýšenia úrovne a schopnosti zabezpečovať a riadiť informačnú a kybernetickú bezpečnosť vzhľadom na sústavne sa zvyšujúce hrozby a riziká,

313

* zabezpečenie realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti,

314

* ako reakcia na aktuálny nedostatočný stav úrovne vyspelosti procesov riadenia KIB,

315

* ako reakcia na aktuálne zmeny v používaní IT, ako aj závažné útoky v oblasti kybernetickej bezpečnosti

316

317

Implementácia projektu bude prebiehať v nasledovných krokoch:

318

319

Hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

320

321

1. Prípravná fáza a Iniciačná fáza

1. Realizačná fáza

2a Analýza a Dizajn

2b Nákup technických prostriedkov, programových prostriedkov a služieb

327

328

2c Implementácia a testovanie

329

330

2d Nasadenie opatrení

331

332

1. Dokončovacia fáza

333

1. Podpora prevádzky (SLA)

334

335

Podporné aktivity – nepriame výdavky

336

337

* Podporná aktivita – Projektový manažér interný/externý na riadenie hlavných aktivít projektu.

338

* Podporná aktivita – Publicita a informovanosť v zmysle manuálu

339

340

Súčasné bezpečnostné mechanizmy v oblasti monitoringu a hodnotenia zraniteľnosti implementované univerzitou tvoria základ, ktorý si vyžaduje ďalší rozvoj pre zaistenie primeranej ochrany spracúvaných informácií voči kybernetickým hrozbám a zároveň zabezpečenie súladu s povinnosťami vyplývajúcimi z ustanovení zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Okrem legislatívnych požiadaviek je nevyhnutné brať do úvahy aj aktuálny stav, ktorá je z časti spôsobený neschopnosťou včasnej detekcie možného kybernetického útoku z dôvodu absentujúcich bezpečnostných opatrení, chýbajúcich analytických nástrojov a nedostatku kvalitných zdrojov bezpečnostne relevantných záznamov.

\\

==== {{id name="projekt_2660_Projektovy_zamer_detailny-3.2.1Hlavnýpopisproblému"/}}**3.2.1 Hlavný popis problému** ====

345

346

UK v Bratislave momentálne nespadá pod Zákon o kybernetickej bezpečnosti (ďalej len ZoKB), ale s pripravovanou transpozíciou smernice NIS2 do slovenskej legislatívy bude musieť plniť požiadavky z tejto legislatívy vyplývajúce. UK si nechala vypracovať audit KB univerzity na základe požiadaviek ZoKB, z ktorého vyplynuli nesúlady s požiadavkami zákona. UK si samozrejme uvedomuje potrebu zvyšovania kybernetickej bezpečnosti nielen z legislatívnych dôvodov, ale aj z dôvodu zabezpečenia vlastných prevádzkovaných systémov voči narastajúcim kybernetickým hrozbám..

347

348

UK si uvedomuje, že v zmysle požiadaviek zákona o kybernetickej bezpečnosti a zavedených opatrení v zmysle vyhlášky 362/2018 Z.z. (ďalej len ZoKB), ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška 362/2018 Z.z.) nespĺňa niektoré požiadavky. Ide primárne o chýbajúcu, resp. neaktuálnu dokumentáciu a o niektoré technologické požiadavky, ktorých zaobstaranie je finančne náročné.

349

350

UK plánovaným zapojením do projektu chce zvýšiť všeobecnú úroveň kybernetickej bezpečnosti realizovaním nasledovných krokov:

351

352

* vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení,

353

* vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti,

354

* vypracovanie štatútu bezpečnostného výboru,

355

* vypracovanie bezpečnostného projektu informačného systému verejnej správy,

356

* identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu,

357

* riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení,

358

* vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti,

359

* vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík,

360

* vypracovanie alebo aktualizácia interného riadiaceho aktu s bezpečnostnými zásadami pre koncových používateľov,

361

* vypracovanie a implementácia postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu,

362

* vypracovanie a implementácia postupov a procesov upravujúcich riadenie prístupov organizácie,

363

* vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu s návrhom potrebných úprav na zabezpečenie súladu so zákonom KB;

364

* vypracovanie a implementácia interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

365

* zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov;

366

* vypracovanie a implementácia pravidiel súvisiace s ochranou proti škodlivému kódu;

367

* implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel;

368

* implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov;

369

* vypracovanie interného riadiaceho aktu upravujúceho fyzickú bezpečnosť a bezpečnosť prostredia;

370

* Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností;

371

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;

372

* vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov.

373

* vypracovanie a implementácia interného riadiaceho aktu upravujúceho používanie kryptografických prostriedkov a šifrovania;

374

* definovanie pravidiel využitia kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy na ochranu údajov pri ich prenose alebo uložení v rámci sietí a informačných systémov;

375

* vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu;

376

* vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;

377

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

378

* vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

379

* obstaranie prvého alebo opakovaného auditu kybernetickej bezpečnosti v súlade so zákonom o KB;

\\

Na základe zistení z vykonaného auditu je možné vyjadriť, že súčasná implementácia bezpečnostných opatrení je na 11% v súlade so zákonnými požiadavkami.

384

385

Hlavné zistenia auditu sú nasledovné:

386

387

* Informačné systémy sú prevádzkované spôsobom, ktorý síce zabezpečuje ich dostupnosť, ale v zásade bez akejkoľvek bezpečnosti. Bezpečnosť sa rieši ako splnenie administratívnej povinnosti namiesto toho, aby bola integrálnou súčasťou dizajnu a prevádzky systémov.

388

* Ako bezpečnostný príncíp sa uplatňuje „security by obscurity“ – informácie sa zámerne nezdieľajú, aby sa predišlo ich zneužitiu. Tento príncíp bol už veľa krát vyvrátený a preukázateľne znižuje bezpečnosť.

389

* Dokumentácia (bezpečnostná aj prevádzková) je buď neaktuálna, neexistuje, alebo o nej nikto nevie (súvisí aj s princípom „security by obscurity“). Tým pádom nie je reálne možné riešiť zastupiteľnosť, ani personálnu bezpečnosť.

390

* Až na malé výnimky neexistujú žiadne prevádzkové ani bezpečnostné smernice.

391

* Väčšina systémov a aplikácií nie je pravidelne aktualizovaná.

392

* Chýba väčšina odporúčaných technických opatrení, s výnimkou antivírovej ochrany a dobrej úrovne správy používateľských identít, vrátane Active Directory domény.

393

394

Napriek tomu, že výsledok auditu nevyzerá priaznivo, je nutné podotknúť, že z dôvodu povahy auditu sú uvádzané iba nesúlady. Je viacero oblastí, kde je implementácia opatrení na vysokej úrovni. Celkovo je možné konštatovať, že IT je na univerzite prevádzkované tak, aby IT fungovalo s čo najmenším rozpočtom v dobrej viere, že nenastane bezpečnostný incident. Takýto incident má potenciál spustiť kaskádu problémov.

395

396

S ohľadom na vyššie uvedené bude teda predmetom projektu riešenie problematiky z nasledovných oprávnených oblastí podľa výzvy:

397

398

* Organizácia kybernetickej a informačnej bezpečnosti

399

* Riadenie rizík

400

* Personálna bezpečnosť

401

* Riadenie prístupov

402

* Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

403

* Bezpečnosť pri prevádzke informačných systémov a sietí

404

* Ochrana proti škodlivému kódu

405

* Sieťová a komunikačná bezpečnosť

406

* Zaznamenávanie udalostí a monitorovanie

407

* Fyzická bezpečnosť a bezpečnosť prostredia

408

* Riešenie kybernetických bezpečnostných incidentov

409

* Kryptografické opatrenia

410

* Kontinuita prevádzky

411

* Audit a kontrolné činnosti

412

413

Hlavným problémom, ktorému UK čelí je teda vyriešenie vyššie pomenovaných oblastí informačnej a kybernetickej bezpečnosti tak, aby bol dosiahnutý významný pokrok pri plnení súladu v oblasti príslušných predpisov KIB a súčasne aby boli technologické náležitosti KIB realizované tak, aby:

414

415

* chránili IT systémy a siete, ktoré zabezpečujú prevádzku služieb univerzity pred kybernetickými útokmi,

416

* plnili svoje úlohy počas implementácie i v čase udržateľnosti projektu,

417

* boli pripravené na ďalší rozvoj IT technológií a služieb poskytovaných univerzitou,

418

* bolo možné ich flexibilne rozširovať bez ohrozenia prevádzkovaných i budúcich IT systémov,

419

* bolo možné nasadenie definovaných procesov stratégie kybernetickej bezpečnosti a bezpečnostných politík.

420

421

==== {{id name="projekt_2660_Projektovy_zamer_detailny-3.2.2Biznisprocesy"/}}**3.2.2 Biznis procesy** ====

422

423

Predmetom realizácie projektu bude zavedenie a IT podpora nasledovných business procesov:

424

425

* Organizácia bezpečnosti

426

* Riadenie bezpečnostných rizík

427

* Riadenie informačných aktív

428

* Pravidlá správania a dobrej praxe

429

* Riadenie dodávateľských vzťahov

430

* Riadenie údržby v oblasti informačno-komunikačných technológií

431

* Riadenie a prevádzka informačno-komunikačných technológií

432

* Riadenie súladu

433

* Riadenie kontinuity procesov a činností

434

435

Okrem samotného zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS sa projekt bude dotýkať prakticky všetkých biznis procesov, ktoré sú vykonávané UK v Bratislave, a ktoré sú realizované prostredníctvom informačných systémov UK za účelom poskytovania univerzitných služieb.

436

437

==== {{id name="projekt_2660_Projektovy_zamer_detailny-3.2.3Oblastizameraniaprojektu"/}}**3.2.3 Oblasti zamerania projektu** ====

438

439

Projekt sa primárne zaoberá oblasťou zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS. Ako bude uvedené ďalej, tento projekt má priamy dopad na všetky ISVS a technologické platformy, ktoré sú určené na poskytovanie služieb univerzity UK, nakoľko výsledky projektu budú ochraňovať všetky IS pred potenciálnymi hrozbami kybernetickej a informačnej bezpečnosti.

440

441

==== {{id name="projekt_2660_Projektovy_zamer_detailny-3.2.4Rozsahprojektu"/}}**3.2.4 Rozsah projektu** ====

442

443

Realizácia projektu sa dotkne nasledovných ISVS prevádzkovaných na úrovni UK:

444

445

* isvs_14301 - Kamerový systém

446

* isvs_10452 - Webový portál Univerzity Komenského

447

* isvs_14300 - Systém pre správu identít

448

* isvs_14298 - e-learning

449

* isvs_14297 - Akademický informačný systém

450

451

Realizácia projektu sa dotkne nasledovných subjektov:

452

453

* Univerzita Komenského v Bratislave

454

* Interní zamestnanci univerzity

455

* Externí zamestnanci univerzity

456

* Študenti

457

* Podnikatelia - dodávateľsko-odberateľské vzťahy

458

459

==== {{id name="projekt_2660_Projektovy_zamer_detailny-3.2.5Motiváciaaobmedzeniapredosiahnutiecieľovprojektu"/}}**3.2.5 Motivácia a obmedzenia pre dosiahnutie cieľov projektu** ====

460

461

Hlavnou motiváciou je realizácia opatrení KIB definovaných v zákone o kybernetickej bezpečnosti a v zákone o ISVS. Primárne ide o tie opatrenia, ktoré vykazujú najväčší nesúlad s uvedenými právnymi normami a vyhláškou 362/2018 Z. z.. Vďaka realizácii týchto opatrení budú IS UK chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku IS UK nasledovný dopad:

462

463

(% class="" %)|(((

464

**Dopad kybernetického bezpečnostného incidentu v závislosti**

)))|(((

**Kategória**

)))|(((

**Vysvetlenie**

)))

(% class="" %)|(((

§ 24 ods. 2 písm. a) zákona 69/2018 Z.z.

472

473

Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.

)))|(((

II.

)))|(((

UK disponuje systémami, ktorých výpadok zasiahne viac ako 50 000 užívateľov univerzity. To znamená študentov, zamestnancov a externých partnerov.

478

)))

479

(% class="" %)|(((

480

§ 24 ods. 2 písm. b) zákona 69/2018 Z.z. Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)

a/alebo

§ 24 ods. 2 písm. c) zákona Geografické rozšírenie kybernetického bezpečnostného incidentu.

)))|(((

II.

)))|(((

UK prevádzkuje systémy pre interný personál, vedeckých pracovníkov a študentov, kde škoda, ktorá nastane je v rozsahu nad 50 000 používateľov.

489

)))

490

(% class="" %)|(((

491

§ 24 ods. 2 písm. d) zákona 69/2018 Z.z.

492

493

Stupeň narušenia fungovania základnej služby.

)))|(((

III.

)))|(((

V prípade nefunkčnosti informačných systémov nie je k dispozícii náhradné riešenie.

498

)))

499

(% class="" %)|(((

500

§ 24 ods. 2 písm. e) zákona 69/2018 Z.z.

501

502

Rozsah vplyvu kybernetického

503

504

bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu

)))|(((

I.

)))|(((

Incident spôsobí škody, ktoré má/môže mať dopad na viac ako 50 000 osôb. V prípade napadnutia a uniku osobných dát, informáciách o postavení, platových podmienkach a krádeže know how a vedeckých výskumov, by boli škody veľmi veľké a možno aj fatálne. Nefunkčnosť systémov má priamy vplyv na hospodárske alebo spoločenské činnosti. Nefunkčnosť ISVS má priamy súvis na finančné operácie medzi univerzitou a dodávateľmi, odberateľmi, štátnymi inštitúciami ( napr. sociálne a zdravotné poisťovne, daňový úrad...). Úspešný kybernetický útok, ktorého cieľom by bolo získanie dát z univerzity môže viesť a pravdepodobne aj bude viesť k úniku osobných údajov a následnému porušeniu práv dotknutých osôb. Vzhľadom na znenie §104 zákona č.: 18/2018 Z. z. a obdobné sankcie uvedené v GDPR môže vzniknúť škoda univerzite až do výšky 20 mil. €. Vychádzajúc z praxe a známych prípadov porušenia zákona na ochranu osobných údajov na území Slovenska môže takto jednému užívateľovi ISVS vzniknúť škoda prevyšujúca 250 000 €.

509

)))

510

511

Projekt je formulovaný tak, aby po jeho realizácii nastal čo najväčší súlad zabezpečenia kybernetickej a informačnej bezpečnosti so zákonom o kybernetickej bezpečnosti a so zákonom o ISVS.

512

513

**~ Obmedzenia projektu:**

514

515

Z hľadiska technického, personálneho, odborného, ale ani legislatívneho neevidujeme žiadne obmedzenia, ktoré by mohli ovplyvniť úspešnú realizáciu projektu.

516

517

=== {{id name="projekt_2660_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholder"/}}**3.3 Zainteresované strany/Stakeholder** ===

(% class="" %)|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

(názov / skratka)

)))|(((

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

(% class="" %)|(((

1.

)))|(((

Univerzita - Administrátor

IT

)))|(((

Uni

)))|(((

Vlastník procesu/ vlastník dát/ prevádzkovateľ / Užívateľ IS

546

547

Zabezpečuje prevádzku IT

548

)))|(((

549

isvs_14301 - Kamerový systém

550

551

isvs_10452 - Webový portál Univerzity Komenského

552

553

isvs_14300 - Systém pre správu identít

554

555

isvs_14298 - e-learning

556

557

isvs_14297 - Akademický informačný systém

)))

(% class="" %)|(((

2

)))|(((

Manažér

kybernetickej

bezpečnosti

)))|(((

Uni

)))|(((

Zodpovedný za KIB

)))|(((

isvs_14301 - Kamerový systém

573

574

isvs_10452 - Webový portál Univerzity Komenského

575

576

isvs_14300 - Systém pre správu identít

577

578

isvs_14298 - e-learning

579

580

isvs_14297 - Akademický informačný systém

)))

(% class="" %)|(((

3.

)))|(((

Zamestnanec

)))|(((

Uni

)))|(((

Využíva IS Uni

)))|(((

isvs_14301 - Kamerový systém

592

593

isvs_10452 - Webový portál Univerzity Komenského

594

595

isvs_14300 - Systém pre správu identít

596

597

isvs_14298 - e-learning

598

599

isvs_14297 - Akademický informačný systém

)))

(% class="" %)|(((

4.

)))|(((

Študent

)))|(((

Uni

)))|(((

Využíva IS Uni

)))|(((

isvs_14301 - Kamerový systém

611

612

isvs_10452 - Webový portál Univerzity Komenského

613

614

isvs_14300 - Systém pre správu identít

615

616

isvs_14298 - e-learning

617

618

isvs_14297 - Akademický informačný systém

)))

(% class="" %)|(((

5.

)))|(((

podnikateľ

)))|(((

\\

)))|(((

Využíva služby prostredníctvom IS

628

)))|(((

629

isvs_14301 - Kamerový systém

630

631

isvs_10452 - Webový portál Univerzity Komenského

632

633

isvs_14300 - Systém pre správu identít

634

635

isvs_14298 - e-learning

636

637

isvs_14297 - Akademický informačný systém

)))

(% class="" %)|(((

6.

)))|(((

Poskytovateľ

IT služieb

)))|(((

\\

)))|(((

Poskytuje služby IS

)))|(((

isvs_14301 - Kamerový systém

651

652

isvs_10452 - Webový portál Univerzity Komenského

653

654

isvs_14300 - Systém pre správu identít

655

656

isvs_14298 - e-learning

657

658

isvs_14297 - Akademický informačný systém

)))

**~ **

=== {{id name="projekt_2660_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}**3.4 Ciele projektu** ===

664

665

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (ďalej len „NKIVS“) a súčasne sú definované tak, aby boli v súlade s očakávanými výsledkami definovanými v Partnerskej dohode Slovenskej republiky na roky 2021 – 2027 (ďalej len „Partnerská dohoda“) pre špecifický cieľ RSO 1.2. Definície cieľov rovnako vychádzajú z národnej stratégie kybernetickej bezpečnosti na roky 2021 až 2025.

666

667

Partnerská dohoda definuje špecifický cieľ RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a konkrétne opatrenie: 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie, oblasť - Kybernetická a informačná bezpečnosť, pričom hlavným cieľom podpory je aj zabezpečenie kybernetickej bezpečnosti v súlade so Stratégiou digitálnej transformácie Slovenska. Stratégia digitálnej transformácie v oblasti kybernetickej bezpečnosti odkazuje na Národnú stratégiu kybernetickej bezpečnosti vydanú Národným bezpečnostným úradom (ďalej len „NBÚ“)

668

669

Národná koncepcia informatizácie verejnej správy určuje v rámci prioritnej osi 4 Kybernetická a informačná bezpečnosť strategickú prioritu Kybernetická a informačná bezpečnosť. Splnenie tejto strategickej priority má byť dosiahnuté nasledujúcimi dvoma cieľmi:

670

671

Cieľ 4.1 Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

672

673

Cieľ 4.2 Posilniť ľudské kapacity a vzdelávanie v oblasti kybernetickej a informačnej bezpečnosti patriace pod prioritnú os 4 Kybernetická a informačná bezpečnosť.

674

675

Z vyššie uvedených cieľov je pre projekt dôležitý cieľ 4.1 a v súlade sním je aj nižšie citovaný strategický cieľ.

676

677

Národná stratégia kybernetickej bezpečnosti na roky 2021 až 2025, ktorá vychádza z Partnerskej dohody definuje vo vzťahu k verejnej správe nasledovný strategický cieľ:

678

679

4.1 Dôveryhodný štát pripravený na hrozby.

680

681

V definícii tohto strategického cieľa uvádza, cit: „Kybernetická bezpečnosť je zodpovednosťou každého obyvateľa Slovenskej republiky, no bezpečnosť nemôže fungovať bez existencie mechanizmov na národnej úrovni, ktoré určujú politiku kybernetickej bezpečnosti, systém jej riadenia, ale aj procesy na detekciu a riešenie kybernetických bezpečnostných incidentov, budovanie odborných kapacít a šírenie situačného a bezpečnostného povedomia. Zároveň štát musí pri budovaní dôveryhodnosti vykonávať vyššie uvedené aktivity v súlade s Ústavou Slovenskej republiky a ostatnými zákonmi a vstupovať do základných ľudských práv a slobôd len v nevyhnutnej miere.“

682

683

Cieľový stav uvedeného strategického cieľa je v Národnej stratégii kybernetickej bezpečnosti na roky 2021 až 2025 stanovený nasledovne, cit.:

684

685

„Vybudovanie dostatočného odborného personálneho základu pre systém riadenia informačnej a kybernetickej bezpečnosti nielen na národnej, ale aj sektorovej úrovni. Spolupráca štátu s občanom na úrovni poskytovania dostatočných informácií a odporúčaní a realizácia krokov, ktoré občan reálne pocíti ako zvýšenie vlastnej bezpečnosti a bezpečnosti národného kybernetického priestoru. Vytvorenie a používanie certifikačných schém na široké portfólio typov výrobkov, procesov a služieb. Kvalitnejšie technické, organizačné a personálne zabezpečenie, založené na využívaní moderných prístupov ku kybernetickej bezpečnosti pri detekcii a riešení kybernetických bezpečnostných incidentov. Vybudovanie spôsobilostí na detekciu a riešenie kybernetických bezpečnostných incidentov na všetkých úrovniach. Efektívna spolupráca zainteresovaných subjektov na všetkých úrovniach riešenia informačnej a kybernetickej bezpečnosti. Dobre nastavený proces technickej, ale aj politickej atribúcie kybernetických bezpečnostných incidentov. Systematické a kontinuálne riadenie rizík kybernetickej bezpečnosti v jednotlivých sektoroch. Zlepšenie detekcie a zisťovania kybernetických bezpečnostných incidentov na sektorovej úrovni, zlepšenie a zjednodušenie nahlasovania kybernetických bezpečnostných incidentov nielen zo strany povinných subjektov, ale aj v rovine dobrovoľných hlásení. Podpora spôsobilostí subjektov v oblasti riadenia kontinuity činností.“

686

687

Hlavným cieľom je do prostredia univerzity zaviesť optimalizáciu procesov riadenia kybernetickej bezpečnosti, riadenie rizík, kontinuity činností a riadenie incidentov pomocou finančných prostriedkov z dopytovej výzvy „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy“. Po implementácii projektu bude proces zavedený a ďalej vykonávaný aj internými zamestnancami, predovšetkým manažérom kybernetickej bezpečnosti, manažérom informačnej bezpečnosti a ďalšími bezpečnostnými zamestnancami. Hlavným výsledkom realizácie projektu bude realizácia a optimalizácia procesov riadenia kybernetickej bezpečnosti, riadenia rizík, kontinuity činností a riadenia incidentov.

688

689

Všetky ciele projektu sú definované v súlade s vyššie uvedenými strategickými dokumentmi:

(% class="" %)|(((

ID

)))|(((

Názov cieľa

)))|(((

Názov strategického cieľa*

697

)))|(((

698

Spôsob realizácie strategického cieľa

)))

(% class="" %)|(((

1

)))|(((

Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti

704

705

Vytvorenie, resp. aktualizácia kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.

706

707

Cieľ realizovaný v zmysle oprávnených podaktivít:

708

709

· organizácia kybernetickej a informačnej bezpečnosti

· riadenie rizík

· personálna bezpečnosť

· riadenie prístupov

· riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

718

719

· bezpečnosť pri prevádzke informačných systémov a sietí

720

721

· ochrana proti škodlivému kódu

722

723

· fyzická bezpečnosť a bezpečnosť prostredia

724

725

· riešenie kybernetických bezpečnostných incidentov

726

727

· kryptografické opatrenia

728

729

· kontinuita prevádzky

)))|(((

Dôveryhodný štát pripravený na hrozby

734

735

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

736

)))|(((

737

Vypracovanie a aktualizácia stratégie kybernetickej bezpečnosti a bezpečnostnej dokumentácie s prihliadnutím na štruktúru bezpečnostnej dokumentácie podľa prílohy č.1 vyhlášky 362/2018 Z.z. Vypracovaná dokumentácia bude pokrývať všetky požadované oblasti požadovanej legislatívy.

738

739

Bližšie popísané pri Predmet plnenia – 1.Vytvorenie, resp. aktualizácia kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.

\\

)))

(% class="" %)|(((

2

)))|(((

Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti

747

748

Zvyšovanie bezpečnosti zamestnancov pomocou nasadenia manažmentu rolí v centrálnom IDM riešení

749

750

Cieľ realizovaný v zmysle oprávnených podaktivít:

riadenie prístupov

)))|(((

Dôveryhodný štát pripravený na hrozby

755

756

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

757

)))|(((

758

Aktualizácia centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení.

759

760

Bližšie popísané pri Predmet plnenia – 2. Zvyšovanie bezpečnosti zamestnancov pomocou nasadenia manažmentu rolí v centrálnom IDM riešení

761

762

(midpoint role based identity mangement)

)))

(% class="" %)|(((

3

)))|(((

Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti

768

769

Zvýšenie sieťovej a komunikačnej bezpečnosti nasadením a implementáciou perimetrového firewallu

770

771

Cieľ realizovaný v zmysle oprávnených podaktivít:

772

773

· Sieťová a komunikačná bezpečnosť

774

775

· Zaznamenávanie udalostí a monitorovanie

776

)))|(((

777

Dôveryhodný štát pripravený na hrozby

778

779

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

780

)))|(((

781

Implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel.

782

783

Bližšie popísané pri Predmet plnenia – 3. implementácia firewall-u

784

785

Implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov.

786

787

Bližšie popísané pri Predmet plnenia – 4.Implementácia log manažmentu

)))

(% class="" %)|(((

4

)))|(((

Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti

793

794

Nezávislý audit kybernetickej bezpečnosti

795

796

Cieľ realizovaný v zmysle oprávnených podaktivít:

797

798

· Audit a kontrolné činnosti

799

)))|(((

800

Dôveryhodný štát pripravený na hrozby

801

802

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

803

)))|(((

804

Obstaranie prvého alebo opakovaného auditu kybernetickej bezpečnosti v súlade so zákonom o KB.

805

806

Bližšie popísané pri Predmet plnenia – 5. Nezávislý audit kybernetickej bezpečnosti

807

)))

808

809

~* Definícia strategického cieľa vychádza zo strategického cieľa v Národnej stratégii kybernetickej bezpečnosti a nadväzuje na prioritný cieľ Národnej koncepcie informatizácie verejnej správy.

810

811

=== {{id name="projekt_2660_Projektovy_zamer_detailny-3.5Merateľnéukazovatele(KPI)"/}}**3.5 Merateľné ukazovatele (KPI)** ===

(% class="" %)|(((

ID

)))|(((

\\

\\

ID /Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

)))

(% class="" %)|(((

1

)))|(((

PO095

/

PSKPS

OI12

)))|(((

Verejné inštitúcie podporované v

854

855

rozvoji kybernetických služieb,

produktov a procesov

)))|(((

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.

)))|(((

Verejné inštitúcie

)))|(((

0

)))|(((

1

)))|(((

Identifikácia počtu realizácie opatrení KIB pre inštitúciu –

868

869

splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS

870

871

Čas plnenia merateľného ukazovateľa projektu:

872

873

Fyzické ukončenie realizácie hlavných aktivít projektu

)))|(((

Typ

ukazovateľa:

Výstup

)))

(% class="" %)|(((

2

)))|(((

PR017

/

PSKPR

CR11

)))|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

893

)))|(((

894

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

)))|(((

Užívatelia / rok

)))|(((

0

)))|(((

84455

)))|(((

Sumarizácia počtu používateľov nových a vylepšených

903

904

digitálnych služieb – bude určené počtom prístupov v IAM,

905

906

Databázou používateľov v oblasti KIB.

907

908

V prípade univerzity ide o počet používateľov, ktorí priamo využívajú IS a priamo sa podieľajú na zabezpečovaní základnej služby.

909

910

Čas plnenia merateľného ukazovateľa projektu:

911

912

v rámci udržateľnosti projektu

)))|(((

Typ

ukazovateľa:

výsledok

)))

\\

==== {{id name="projekt_2660_Projektovy_zamer_detailny-3.5.1Špecifikáciapotriebkoncovéhopoužívateľa"/}}**3.5.1 Špecifikácia potrieb koncového používateľa** ====

924

925

Z pohľadu UK je koncovým používateľom IT oddelenie a sekundárne zamestnanci UK a študenti, ktorí očakávajú, že nebude vplyvom kybernetických útokov dochádzať k výpadkom prevádzky IS univerzity a tým sa de facto znefunkční poskytovanie univerzitných služieb.

926

927

Univerzita Komenského v Bratislave momentálne nespadá pod Zákon o kybernetickej bezpečnosti (ďalej len ZoKB), ale s pripravovanou transpozíciou smernice NIS2 do slovenskej legislatívy bude musieť plniť požiadavky z tejto legislatívy vyplývajúce. UK si nechala vypracovať audit KB na základe požiadaviek ZoKB, z ktorého vyplynuli nesúlady s požiadavkami zákona. UK si samozrejme uvedomuje potrebu zvyšovania kybernetickej bezpečnosti nielen z legislatívnych dôvodov, ale aj z dôvodu zabezpečenia vlastných prevádzkovaných systémov voči narastajúcim kybernetickým hrozbám.

928

929

UK si uvedomuje, že v zmysle požiadaviek zákona o kybernetickej bezpečnosti a zavedených opatrení v zmysle vyhlášky 362/2018 Z.z. (ďalej len ZoKB), ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška 362/2018 Z.z.) nespĺňa niektoré požiadavky. Ide primárne o chýbajúcu, resp. neaktuálnu dokumentáciu a o niektoré technologické požiadavky, ktorých zaobstaranie je finančne náročné.

930

931

UK plánovaným zapojením do projektu chce zvýšiť všeobecnú úroveň kybernetickej bezpečnosti realizovaním krokov popísaných v časti 3.2.1 Hlavný popis problému, pomocou nasledovných aktivít **– predmet plnenia:**

932

933

**1.Vytvorenie, resp. aktualizácia kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.**

934

935

Vypracovanie a aktualizácia stratégie kybernetickej bezpečnosti a bezpečnostnej dokumentácie s prihliadnutím na štruktúru bezpečnostnej dokumentácie podľa prílohy č.1 vyhlášky 362/2018 Z.z. Vypracovaná dokumentácia bude pokrývať všetky požadované oblasti požadovanej legislatívy. Pri vypracovávaní dokumentácie sa bude vychádzať z metodík vydaných MIRRI.

936

937

* vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení,

938

* vypracovanie špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti,

939

* vypracovanie štatútu bezpečnostného výboru,

940

* identifikácia aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu,

941

* riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení,

942

* vypracovanie interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti,

943

* vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík,

944

* vypracovanie alebo aktualizácia interného riadiaceho aktu s bezpečnostnými zásadami pre koncových používateľov,

945

* vypracovanie postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu,

946

* vypracovanie zásad riadenia prístupov osôb k sieti a informačnému systému;

947

* vypracovanie postupov a procesov upravujúcich riadenie prístupov organizácie.

948

* vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu s návrhom potrebných úprav na zabezpečenie súladu so zákonom KB,

949

* vypracovanie interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami,

950

* zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov,

951

* vypracovanie a implementácia pravidiel súvisiace s ochranou proti škodlivému kódu;

952

* vypracovanie interného riadiaceho aktu upravujúceho fyzickú bezpečnosť a bezpečnosť prostredia,

953

* vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností,

954

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov,

955

* vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov.

956

* vypracovanie a implementácia interného riadiaceho aktu upravujúceho používanie kryptografických prostriedkov a šifrovania,

957

* definovanie pravidiel využitia kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy na ochranu údajov pri ich prenose alebo uložení v rámci sietí a informačných systémov,

958

* vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu,

959

* vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania,

960

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie,

961

* vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie.

962

963

**2. Zvyšovanie bezpečnosti zamestnancov pomocou nasadenia manažmentu rolí v centrálnom IDM riešení**

964

965

Aktualizácia centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení - midpoint role based identity mangement

966

967

UK rozšíri existujúce IDM riešenie na správu identít používateľov a nastaví zvýšenie bezpečnosti a prehľadnosti identít pri využití manažmentu rolí. UK sa v minulosti rozhodola použiť open source provisioning systém midPoint, ktorý je vyvíjaný na Slovensku a je mu poskytovaná podpora výrobcom. V rámci univerzitných interných kapacít bol spustený pilotný projekt proof of concept (PoC) na overenie vhodnosti tohto nástroja už v roku 2022 a následne v rámci VO vysúťažený presun niekoľkých systémov do tohto prostredia v roku 2024. Výsledkom projektu je úspešná implementácia procesov. Teraz je nevyhnutné, aby systém podporoval manažment samotných rolí v jednotlivých systémoch, ktoré univerzita nie je schopná realizovať svojpomocne.

968

969

Tento projekt sa dotýka a umožní prácu:

970

971

* počet aktívnych študentov: 23 400

972

* počet aktívnych zamestnaneckých pomerov: 5 700

973

* počet aktívnych externistov: 620

974

* počet alumných študentov a zamestnancov evidovaných od roku 2006: 244 000

975

* počet ubytovaných študentov: cca 10000

**~ **

**Očakávaný stav**

\\

* Revízia a úprava aktuálnej konfigurácie

984

* Implementácia, testovanie a nasadenie nových funkcionalít,

985

* Funkcionality a práce budú rozdelené do fáz, najmä pre lepšiu kontrolu vykonávania a plnenia tejto zákazky.

986

* 8x5 podpora existujúceho riešenia vrátane jeho rozšírení popísané nižšie predplatený na jeden kalendárny rok od uvedenia danej fázy systému do ostrej prevádzky.

987

* Zaškolenie IDM administrátora na bežné prevádzkové úlohy.

988

* Dodávka konfigurácie systému vrátane midscribe dokumentácie.

989

* Možnosť ďalšieho rozšírenia podľa potreby cez zmenové požiadavky za dohodnutý MD rate, ktorý bude hradiť univerzita zo svojho rozpočtu.

Fáza 1

* Návrh a implementácia integrácie systému midPoint s aplikáciou VoIP telefonia (Obelix)

996

* Návrh a implementácia rozšírenia existujúcej integrácie medzi systémom midPoint a aplikáciou ALVAO Service Desk (SD)

997

* Návrh a implementácia rozšírenia existujúcej integrácie systému midPoint s aplikáciou Microsoft Endpoint Manager (MSEM),

\\

Fáza 2

* Návrh a implementácia rozšírenia rozšírenia existujúcej integrácie systému midPoint s aplikáciou Marquet DNS pre IKT (DNS)

1004

* Vytvorenie aplikačných rolí pre Univerzitný WEB v systéme midPoint a konfiguráciu procesov, ktorá v systéme midPoint umožní pridelenie resp. odoberanie týchto rolí.

1005

* Návrh a konfigurácia funkcionality žiadostí o role a nákupného košíku

1006

* Návrh a konfigurácia rozšírenia pre schvaľovacie procesy

\\

Fáza 3

* Návrh a implementácia rozšírenia existujúcej integrácie systému midPoint s aplikáciou Turnikety - prístupový systém COMINFO (PS)

1013

* Vytvorenie aplikačných rolí pre ESET Antivírus v systéme midPoint a konfiguráciu procesov, ktoré v systéme midPoint umožní pridelenie resp. odoberanie týchto rolí.

1014

* Vytvorenie aplikačných rolí pre Kamerový systém v systéme midPoint a konfiguráciu procesov, ktoré v systéme midPoint umožní pridelenie resp. odoberanie týchto rolí.

1015

* Vytvorenie aplikačných rolí pre systém OverSi v systéme midPoint a konfiguráciu procesov, ktoré v systéme midPoint umožní pridelenie resp. odoberanie týchto rolí.

1016

* Vytvorenie aplikačných rolí pre systém Absolventi UK v systéme midPoint a konfiguráciu procesov, ktoré v systéme midPoint umožní pridelenie resp. odoberanie týchto rolí.

1017

* Vytvorenie aplikačných rolí pre systém Evidencia zmlúv v systéme midPoint a konfiguráciu procesov, ktoré v systéme midPoint umožní pridelenie resp. odoberanie týchto rolí.

1018

* Vytvorenie aplikačných rolí pre systém E-ubytovanie v systéme midPoint a konfiguráciu procesov, ktoré v systéme midPoint umožní pridelenie resp. odoberanie týchto rolí.

1019

* Vytvorenie aplikačných pre systém Kontakty v systéme midPoint a konfiguráciu procesov, ktoré v systéme midPoint umožní pridelenie resp. odoberanie týchto rolí.

\\

Fáza 4

* Rozšírenie existujúcej integrácie systému midPoint s akademickým informačným systémom AIS2

1026

* Návrh a konfigurácia funkcionality certifikácií a re-certifikácií pre opätovné schválenie existujúcich prístupov.

1027

* Návrh a konfigurácia funkcionality, ktorá zabezpečí automatickú deaktivácia prístupov keď osobe skončí súvisiaci zamestnanecký pomer.

\\

**3. Implementácia firewall-u**

1032

1033

Implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel - Obstaranie HW, SW, služby, zaškolenia.

1034

1035

Na univerzite nie je v súčasnosti využívaný perimetrový firewall s pokročilými bezpečnostnými funkcionalitami. Toto predstavuje značné riziko v kybernetickej bezpečnosti, nakoľko nie je možné odhaľovať a zamedzovať kybernetickým hrozbám na rozhraní internej siete univerzity a internetu. Za účelom zvýšenia bezpečnosti budú zakúpené a implementované sieťové zariadenia zabezpečujúce oddelenie internej siete od internetu, monitoring a filtrácia kompletného toku dát medzi nimi, poskytujúcich pokročilú ochranu siete a aplikácií pred škodlivou prevádzkou a hrozbami z internetu.

1036

1037

Bude realizovaná segmentácia siete s určením komunikačných pravidiel pre prestup medzi jednotlivými segmentami siete. Jednotlivé segmenty budú zadefinované na základe analýzy siete a systémov a budú určené komunikačné pravidlá pre prestup medzi jednotlivými segmentami siete. Na segmentáciu siete budú využité súčasné sieťové prepínače a nový firewall.

1038

1039

**4.Implementácia log manažmentu**

1040

1041

**Implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov - obstaranie HW s podporou.**

1042

1043

Tento cieľ bude naplnený zakúpením a implementáciou zariadenia pre centrálny zber systémových logov z rôznych zariadení a systémov prevádzkovaných v sieti univerzity. Tento systém bude prevádzkovaný na samostatnom hardvérovom zariadení, čo zabezpečí uchovanie logov aj v prípade výpadku primárnej infraštruktúry využívaných na prevádzku univerzitných systémov. Systém bude poskytovať dostatočnú úložnú kapacitu na ukladanie logov.

1044

1045

(% style="letter-spacing: 0.0px;" %)**5. Nezávislý audit kybernetickej bezpečnosti**

1046

1047

Pred podaním ŽoNFP (po vyhlásení výzvy) bol vykonaný nezávislý audit kybernetickej bezpečnosti, na základe ktorého boli nastavené aktivity v ŽoNFP, aby sa realizáciou projektu zvýšila KB UK.

\\

=== {{id name="projekt_2660_Projektovy_zamer_detailny-3.6Rizikáazávislosti"/}}**3.6 Riziká a závislosti** ===

1052

1053

Zoznam rizík a závislostí je detailne rozpracovaný v prílohe tohto dokumentu č. 1: Zoznam rizík a závislostí. Tento zoznam bude počas celej realizácie projektu aktualizovaný.

\\

=== {{id name="projekt_2660_Projektovy_zamer_detailny-3.7Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}**3.7 Stanovenie alternatív v biznisovej vrstve architektúry** ===

1058

1059

Posudzovanie alternatív riešenia vychádza z viacerých možností. Prichádzajú do úvahy nasledovné 3 alternatívy:

1060

1061

1. Ponechanie existujúceho stavu – ide o nultý stav, v ktorom UK nespĺňa požiadavky na kybernetickú bezpečnosť a ide o možné ohrozenie informačných systémov.

1062

1. Realizácia projektu KIB s doplnením vybraných opatrení (t.j. nie všetkých tu navrhnutých) – došlo by k zvýšeniu súladu s legislatívou a s požiadavkami na technické zabezpečenie KB, ale informačné systémy univerzity by boli naďalej ohrozené.

1063

1. Realizácia opatrení na dosiahnutie zvýšenia súladu KIB s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS – pôjde o také zvýšenie súladu s požiadavkami príslušnej legislatívy v oblasti KIB, ktorá zabezpečí ochranu UK pred najväčšími hrozbami.

1064

1065

Z hľadiska identifikovaných procesov v kapitole 3.2.2 alternatíva 1 nepokryje riešenie žiadneho z identifikovaného problémov. V prípade čiastkového riešenia (alternatíva 2) by boli zvolené iba niektoré z procesov, ktoré by boli projektom vyriešené. V prípade alternatívy 3 budú podporené procesy v oblasti KIB, ktoré je potrebné pre účely ochrany IS, a ktoré zabezpečujú prevádzku UK.

1066

1067

Na základe zhodnotenia sa ukazuje ako najprijateľnejšia alternatíva možnosť 3, kedy dôjde k značnému zvýšeniu stavu KB na univerzite a nebude ohrozená udržateľnosť z dôvodu finančnej náročnosti.

\\

=== {{id name="projekt_2660_Projektovy_zamer_detailny-3.8Multikriteriálnaanalýza"/}}**3.8 Multikriteriálna analýza** ===

1072

1073

Multikriteriálna analýza je v tomto prípade redukovaná na dva parametre:

1074

1075

1. Potrebu zosúladenia úrovne kybernetickej bezpečnosti s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS na maximálnu možnú dosiahnuteľnú úroveň. Táto požiadavka sa dotýka všetkých stakeholderov a predstavuje KO kritérium. Ak nemá dôjsť k zásadnému zvýšeniu kybernetickej a informačnej bezpečnosti UK, t.j. ak má zostať ponechaný stav alebo iba dôjde k čiastočnému zlepšeniu, nebude možné považovať realizovaný projekt za úspešný.

1076

1. Udržateľnosť riešenia.

1077

1078

Z vyššie uvedených možných alternatív vyplýva, že s ohľadom na potreby a finančné možnosti UK v rámci udržateľnosti je najvýhodnejšia a dlhodobo udržateľná alternatíva 3.

\\

=== {{id name="projekt_2660_Projektovy_zamer_detailny-3.9Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}**3.9 Stanovenie alternatív v aplikačnej vrstve architektúry** ===

1083

1084

HW a SW komponenty, rovnako ako služby, ktoré sú s nimi spojené musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi - tými sú v tomto prípade oddelenie informatiky, ktoré vychádza z požiadaviek zákona o kybernetickej bezpečnosti, zákona o ISVS, vyhlášky 362/2018 Z. z. a ďalších predpisov.

1085

1086

Z hľadiska aplikácie nie sú definované alternatívy. Aplikačne teda bude zvolená nasledovná architektúra – viď. časť 5 Náhľad architektúry.

\\

=== {{id name="projekt_2660_Projektovy_zamer_detailny-3.10Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}**3.10 Stanovenie alternatív v technologickej vrstve architektúry** ===

1091

1092

Z hľadiska použitých technológií nie sú definované alternatívy. Požiadavky na technológie sú definované všeobecne tak, aby ľubovoľnú SW a HW technológia, ktorá splní definované požiadavky koncového používateľa, bolo možné použiť na realizáciu projektu.

1093

1094

**Technologickú architektúru riešenia definuje nasledovný obrázok:**

1095

1096

**[[image:attach:image-2024-7-8_11-58-53.png]]**

\\

== {{id name="projekt_2660_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}**4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU)** ==

\\

**Výsledkom projektu budú:**

1105

1106

Projektové výstupy v zmysle vyhlášky 401/2023 o riadení projektov. V prípade, že predmetom realizácie bude dielo (oceniteľné práva a/alebo zdrojový kód), získa UK právo vykonávať autorské práva k tomuto dielu, vrátane výhradnej a územne neobmedzenej licencie. Tieto podmienky sa nevzťahujú na tzv. krabicový softvér, ktorý je predávaný ako produkt či už realizátora alebo tretej strany.

1107

1108

Z hľadiska plnenia cieľov projektu bude výsledkom projektu naplnenie hlavného cieľa, t.j. súlad KIB so zákonom o kybernetickej bezpečnosti a so zákonom o ISVS, čo bude naplnené realizáciu nasledovných partikulárnych cieľov:

1109

1110

* Organizácia kybernetickej a informačnej bezpečnosti

1111

* Riadenie rizík

1112

* Personálna bezpečnosť

1113

* Riadenie prístupov

1114

* Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

1115

* Bezpečnosť pri prevádzke informačných systémov a sietí

1116

* Ochrana proti škodlivému kódu

1117

* Sieťová a komunikačná bezpečnosť

1118

* Zaznamenávanie udalostí a monitorovanie

1119

* Fyzická bezpečnosť a bezpečnosť prostredia

1120

* Riešenie kybernetických bezpečnostných incidentov

1121

* Kryptografické opatrenia

1122

* Kontinuita prevádzky

1123

* Audit a kontrolné činnosti

1124

1125

* Technologicky a administratívne pôjde o realizáciu nasledovných cieľov:

1126

1127

* vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení,

1128

* vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti,

1129

* vypracovanie štatútu bezpečnostného výboru,

1130

* vypracovanie bezpečnostného projektu informačného systému verejnej správy,

1131

* identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu,

1132

* riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení,

1133

* vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti,

1134

* vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík,

1135

* vypracovanie alebo aktualizácia interného riadiaceho aktu s bezpečnostnými zásadami pre koncových používateľov,

1136

* vypracovanie a implementácia postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu,

1137

* vypracovanie a implementácia postupov a procesov upravujúcich riadenie prístupov organizácie,

1138

* vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu s návrhom potrebných úprav na zabezpečenie súladu so zákonom KB;

1139

* vypracovanie a implementácia interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

1140

* zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov;

1141

* vypracovanie a implementácia pravidiel súvisiace s ochranou proti škodlivému kódu;

1142

* implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel;

1143

* implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov;

1144

* vypracovanie interného riadiaceho aktu upravujúceho fyzickú bezpečnosť a bezpečnosť prostredia;

1145

* Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností;

1146

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;

1147

* vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov.

1148

* vypracovanie a implementácia interného riadiaceho aktu upravujúceho používanie kryptografických prostriedkov a šifrovania;

1149

* definovanie pravidiel využitia kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy na ochranu údajov pri ich prenose alebo uložení v rámci sietí a informačných systémov;

1150

* vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu;

1151

* vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;

1152

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

1153

* vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

1154

* obstaranie prvého alebo opakovaného auditu kybernetickej bezpečnosti v súlade so zákonom o KB;

\\

== {{id name="projekt_2660_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}**5. NÁHĽAD ARCHITEKTÚRY** ==

1159

1160

Architektúra celého riešenia je v zmysle usmernenia MIRRI SR rámcová tak, aby bolo z projektu zrejmé, ktoré komponenty v rámci realizácie projektu budú vytvorené (a budú realizovať opatrenia KIB).

1161

1162

Primárne opatrenia kybernetickej bezpečnosti chránia IS UK, ktoré sú určené na prevádzkovanie univerzitných služieb UK. Z vyššie definovaných potrieb je zrejmé, o aké komponenty zabezpečenia pôjde - firewall, centrálny logovací nástroj, centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení - midpoint role based identity mangement, kompletná dokumentácia podľa ZoKB vrátane BCM plánov.

1163

1164

**~ Aplikačnú architektúru riešenia definuje nasledovný obrázok:**

1165

1166

**[[image:attach:image-2024-7-8_11-59-32.png]]**

1167

1168

**Biznis architektúra riešenia definuje nasledovný obrázok:**

1169

1170

**[[image:attach:image-2024-7-8_12-0-0.png]]**

\\

== {{id name="projekt_2660_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}**6. LEGISLATÍVA** ==

1175

1176

V rámci platnej legislatívy nebude potrebné meniť žiadnu legislatívu. Projekt je realizovaný za účelom dosiahnutia súladu s platnou legislatívou a to najmä:

1177

1178

* Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

1179

* Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

1180

* Vyhláška č.78/2020 Z.z. o štandardoch pre ITVS

1181

* Vyhláška č.401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy

1182

* Vyhláška 179/2020 Z.z. o obsahu bezpečnostných opatrení ITVS

1183

* Vyhláška 362/2018 Z.z. o obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení)

\\

== {{id name="projekt_2660_Projektovy_zamer_detailny-7.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}**7. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA** ==

1188

1189

Harmonogram projektu je definovaný na základe odporúčania MIRRI SR, ktoré predpokladá trvanie projektu na úrovni približne jedného roka. S ohľadom na potreby nákupu a implementácie technológií vrátane potreby ich skúšobnej prevádzky sa s týmto časom stotožňujeme.

1190

1191

Začiatok realizačnej fázy projektu vyplýva z predpokladu, že realizácia projektu začne až po ukončení administratívneho a odborného hodnotenia a po podpise Zmluvy o NFP, pričom je definovaná dostatočná časová rezerva na tieto úkony. Rovnako na procesy verejného obstarávania, ktoré môžu potenciálne začať v krátkom čase po podaní žiadosti o NFP.

\\

(% class="" %)|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))|(((

POZNÁMKA

)))

(% class="" %)|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

4/2024

)))|(((

12/2024

)))|(((

Podpísanie zmluvy o NFP

1220

1221

Spustenie procesov VO

)))

(% class="" %)|(((

2.

)))|(((

Realizačná fáza

)))|(((

01/2025

)))|(((

11/2025

)))|(((

Podpísanie zmlúv s dodávateľmi po ukončení VO, realizácia

)))

(% class="" %)|(((

2a

)))|(((

Analýza a Dizajn

)))|(((

04/2025

)))|(((

05/2025

)))|(((

\\

)))

(% class="" %)|(((

2b

)))|(((

Nákup technických prostriedkov, programových prostriedkov a služieb

)))|(((

04/2025

)))|(((

08/2025

)))|(((

\\

)))

(% class="" %)|(((

2c

)))|(((

Implementácia a testovanie

)))|(((

08/2025

)))|(((

10/2025

)))|(((

Min. 2 mesiace test. prevádzky

)))

(% class="" %)|(((

2d

)))|(((

Nasadenie opatrení

)))|(((

10/2025

)))|(((

11/2025

)))|(((

\\

)))

(% class="" %)|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

10/2025

)))|(((

12/2025

)))|(((

Počas dokončovacej fázy projektový manažér pripraví podklady a odovzdá na schválenie záverečnú žiadosť o platbu a záverečnú monitorovaciu správu.

)))

(% class="" %)|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

01/2026

)))|(((

01/2031

)))|(((

Obdobie udržateľnosti

)))

\\

Ako metóda riadenia projektu bude použitá metóda „Waterall“. Táto metóda sa ukázala byť ako najvhodnejšia nakoľko svojimi charakteristikami a možnosťami plne zodpovedá požiadavkám a predstavám univerzity.

1304

1305

**Schéma metódy projektového riadenia:**

1306

1307

**[[image:attach:image-2024-7-8_12-0-51.png]]**

1308

1309

== {{id name="projekt_2660_Projektovy_zamer_detailny-8.ROZPOČETAPRÍNOSY"/}}**8. ROZPOČET A PRÍNOSY** ==

1310

1311

V uvedenom projekte vychádzame pri stanovení rozpočtu z prieskumu trhu a pravidiel stanovených výzvou. S ohľadom na rozpočet projektu (projekt do 1 000 000,00,- EUR) nebola spracovaná Analýza nákladov a prínosov.

1312

1313

8.1 Sumarizácia nákladov a prínosov

(% class="" %)|(((

**Náklady**

)))|(((

**Infraštruktúra pre prevádzku kybernetickej bezpečnosti**

)))|(((

**Dokumentácia KB**

)))|(((

**Pre všetky podaktivity:**

)))

(% class="" %)|(((

**IT - CAPEX**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

SW

)))|(((

25 200,00 €

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

HW

)))|(((

115 896,00 €

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Práce/služby

)))|(((

250 505,20 €

)))|(((

62 400,00 €

)))|(((

\\

)))

(% class="" %)|(((

Mzdy interní zamestnanci

)))|(((

\\

)))|(((

\\

)))|(((

3 000,00 €

)))

(% class="" %)|(((

Paušálne výdavky

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

**IT - OPEX- prevádzka**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

SW

)))|(((

25 200,00 €

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

HW

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

\\

8.1 Sumarizácia podľa podaktivít:

1427

1428

(% class="relative-table" style="width: 74.1336%;" %)

(% class="" %)|(((

**Názov**

)))|(((

**HW**

)))|(((

**SW**

)))|(((

**Služby**

)))

(% class="" %)|(((

1.Vytvorenie, resp. aktualizácia kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.

)))|(((

\\

)))|(((

\\

)))|(((

55 200,00 €

)))

(% class="" %)|(((

2. Zvyšovanie bezpečnosti zamestnancov pomocou nasadenia manažmentu rolí v centrálnom IDM riešení

)))|(((

\\

)))|(((

\\

)))|(((

235 764,00 €

)))

(% class="" %)|(((

3. implementácia firewall-u

)))|(((

76 800,00 €

)))|(((

25 200,00 €

)))|(((

14 741,20 €

)))

(% class="" %)|(((

4.Implementácia log manažmentu

)))|(((

39 096,00 €

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

5. Audit

)))|(((

\\

)))|(((

\\

)))|(((

7 200,00 €

)))

\\

V prípade projektov kybernetickej bezpečnosti je priame vyčíslenie návratnosti pomerne komplikované. Z pohľadu návratnosti je potrebné venovať sa hodnoteniu možných škôd, ktoré by vznikli v prípade, že nebude adekvátne riešená KIB na úrovni poskytovateľa základnej služby. Ide o nasledovné potenciálne škody:

1487

1488

Finančné riziko – dôsledky kybernetického útoku. Ide o možné sankcie vyplývajúce priamo z legislatívnych rámcov, prípadných súdnych sporov (v prípade napríklad úniku osobných údajov) ako aj nákladov spojených so sanáciou prípadného kybernetického incidentu. Tieto finančné prostriedky nie je možné momentálne vyčísliť, reálne však môže niekoľko násobne prekročiť straty interných finančných prostriedkov univerzity.

1489

1490

Reputačné riziko – vzhľadom na postavenie a oblasť spoločenskej dôležitosti a zákonných povinností univerzity, je toto riziko potenciálne vysoké – teda v prípade neplnenia legislatívnych požiadaviek v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS alebo vyhlášky 362 /2018 Z. z. či reálneho výpadku prevádzky základnej služby, úniku citlivých dát v kombinácii aj s prípadnou medializáciou a pod.

\\

== {{id name="projekt_2660_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}**9. PROJEKTOVÝ TÍM** ==

1495

1496

Pre účely realizácie projektu sa zostavuje Riadiaci výbor (RV), v minimálne nasledovnom zložení:

1497

1498

* Predseda RV – prof. JUDr. Marek Števček, DrSc.

1499

* Biznis vlastník – doc. RNDr. Eva Viglašová, PhD.

1500

* Zástupca vlastníkov procesov – Ing. Pavel Beňo, PhD.

1501

* Projektový manažér objednávateľa (PM) – Mgr. Michal Lenhart, PhD.

1502

1503

Projektový tím objednávateľa:

1504

1505

* Manažér kybernetickej bezpečnosti – Ing. Rastislav Kulhánek, PhD.

1506

* Kľúčový používateľ – RNDr. Tomáš Fazekaš, PhD.

1507

* Projektový manažér objednávateľa (PM) – Mgr. Michal Lenhart, PhD.

(% class="" %)|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

(% class="" %)|(((

1.

)))|(((

Mgr. Michal Lenhart

)))|(((

PM

)))|(((

CIT UK

)))|(((

Projektový manažér

)))

(% class="" %)|(((

2.

)))|(((

Ing. Rastislav Kulhánek, PhD.

)))|(((

PM, MIB

)))|(((

CIT UK

)))|(((

Manažér kybernetickej bezpečnosti

1541

)))

1542

1543

Všetci členovia tímu sú internými zamestnancami UK ku dňu podania ŽoNFP.

1544

1545

Stručne zodpovednosti jednotlivých rolí:

1546

1547

**__Projektová rola: Biznis vlastník__**

Zodpovedný za:

* Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov.

1552

* Spoluprácu pri riešení odpovedí na otvorené otázky a riziká projektu.

1553

* Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej) · Riešenie problémov a požiadaviek v spolupráci s odbornými garantmi,

1554

* Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek · Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu

1555

* Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť, · Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,

1556

* Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu (BC/CBA)

1557

* Schválenie akceptačných kritérií,

1558

* Riešenie problémov používateľov

1559

* Akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,

1560

* Vykonanie UX a UAT testovania

1561

* Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,

1562

* Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

1563

* Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch.

1564

* Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a prioritizácii

1565

* Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd,

1566

* Okrem zvažovaní rizík prevádzkových alebo podporných procesov súčasne vlastník napomáha identifikovať príležitosti,

1567

* Zlepšovanie a optimalizáciu procesov v spolupráci s ďalšími prepojenými vlastníkmi procesov a manažérom kvality,

1568

* Odsúhlasenie akceptačných protokolov zmenových konaní

1569

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1 plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

**__Projektová rola: Projektový manažér objednávateľa (PM)__**

Zodpovedný za:

* Riadenie projektu podľa pravidiel stanovených vo Vyhláške 401/2023 Z. z.

1578

* Riadenie prípravy, inicializácie a realizácie projektu

1579

* Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii ·

1580

* Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

1581

* Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

1582

* Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

1583

* Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z. Z., Prílohou č.1

1584

* Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

1585

* Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 401/2023 Z. , Prílohy č.1

1586

* Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 401/2023 Z. z., Prílohou č.1 na rokovanie RV

1587

* Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

1588

* Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

1589

* Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

1590

* Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

1591

* Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

1592

* Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

1593

* Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

1594

* Riadenie implementačných a prevádzkových aktivít v rámci projektov.

1595

* Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

1596

* Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

1597

* Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

1598

* Dodržiavanie metodík projektového riadenia,

1599

* Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr

1600

1601

**__Projektová rola: KĽUČOVÝ POUŽIVATEĽ (end user)__**

Zodpovedný za:

* Návrh a špecifikáciu funkčných a technických požiadaviek

1606

* Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

1607

* Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, · Špecifikáciu požiadaviek koncových používateľov na prínos systému

1608

* Špecifikáciu požiadaviek na bezpečnosť,

1609

* Návrh a definovanie akceptačných kritérií,

1610

* Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

1611

* Finálne odsúhlasenie používateľského rozhrania

1612

* Vykonanie akceptačného testovania (UAT)

1613

* Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

1614

* Finálny návrh na spustenie do produkčnej prevádzky,

1615

* Predkladanie požiadaviek na zmenu funkcionalít produktov

1616

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1617

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

1618

* Realizáciu kvalitatívneho používateľského výskumu (nastavenie požiadaviek na regrutáciu, návrh scenára, vedenie rozhovoru a vyhodnotenie výskumu).

1619

* Realizáciu kvantitatívneho používateľského výskumu (nastavenie požiadaviek na regrutáciu, návrh scenára, vedenie dotazníku a vyhodnotenie výskumu).

1620

* Syntetizáciu biznis, technických a používateľských požiadaviek.

1621

* Realizáciu formatívnych a sumatívnych testovaní použiteľnosti (nastavenie požiadaviek na regrutáciu, návrh scenára, vedenie rozhovoru a vyhodnotenie výskumu).

1622

* Návrh informačnej architektúry a to najmä metódami triedenia kariet (card sorting), návrhom mapy stránky a screen flow.

1623

* Tvorbu, testovanie a iteráciu prototypov – napr. pomocou Axure, Sketch, Figma alebo Adobe XD

1624

* Mapovanie zákazníckych ciest

1625

* Analýzu a návrh riešenia problematiky prístupnosti webových sídiel,

1626

* Podporu a spoluprácu pri tvorbe Stratégie riadenia kvality (princípy, kritériá kvality),

1627

* Spoluprácu pri vytváraní funkčných požiadaviek na výstupy z pohľadu dohľadu a UX,

1628

* Vedenie a aktualizáciu príslušných projektových výstupov a registrov,

1629

* Hodnotenie jednotlivých verzií výstupov projektu z pohľadu dohľadu, kontroly a UX v jednotlivých etapách,

1630

* Vytváranie hodnotiacich kritérií na dohľad výstupov a príslušných záznamov, o ktorých reportuje projektovému manažérovi objednávateľa,

1631

* Nastavenie a dohľad nad procesom testovania a pripomienkovanie stratégie testovania, plánov a testovacích scenárov,

1632

* Účasť na kontrolných aktivitách počas implementácie výstupov

1633

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1634

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1635

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

1636

1637

**__Projektová rola: manažér kybernetickej a informačnej bezpečnosti__**

Zodpovedný za:

* špecifikovanie štandardov, princípov a stratégií v oblasti ITB a KIB,

1642

* ak je projekt primárne zameraný na problematiku ITB a KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na ITB a KIB,

1643

* špecifikovanie požiadaviek na ITB a KIB, kontroluje ich implementáciu v realizovanom projekte,

1644

* špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

1645

* špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť ITB a KIB,

1646

* špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

1647

* špecifikovanie požiadaviek na školenia pre oblasť ITB a KIB,

1648

* špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť ITB a KIB,

1649

* špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na ITB a KIB,

1650

* realizáciu posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

1651

* špecifikovanie požiadaviek na ITB a KIB, bezpečnostný projekt a riadenie prístupu,

1652

* špecifikovanie požiadaviek na testovanie z hľadiska ITB a KIB, realizáciu kontroly zapracovania a retestu,

1653

* špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť ITB a KIB, ako aj v zmysle "best practies",

1654

* špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s ITB a KIB kontroluje ich implementáciu v realizovanom projekte,

1655

* špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu ITB a KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

1656

* špecifikáciu požiadaviek na bezpečnosť IT a KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

1657

* špecifikáciu akceptačných kritérií za oblasť ITB a KIB,

1658

* špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na ITB a KIB,

1659

* poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť ITB a KIB,

1660

* získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1661

* špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,

1662

* konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska ITB a KIB,

1663

* špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť ITB a KIB,

1664

* realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť ITB a KIB

1665

* realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

1666

* realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

1667

* realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť ITB a KIB,

1668

* realizáciu kontroly zameranú na implementovaný proces v priamom súvise s ITB a KIB,

1669

* realizáciu kontroly súladu s planou legislatívou v oblasti ITB a KIB (obsahuje aj kontrolu leg. požiadaviek)

1670

* realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti, · poskytovanie konzultácií a súčinnosti pre problematiku ITB a KIB,

1671

* získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1672

* aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1 plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

1673

1674

== {{id name="projekt_2660_Projektovy_zamer_detailny-10.PRÍLOHY"/}}**10. PRÍLOHY** ==

1675

1676

**Príloha : 1**- Zoznam rizík a závislostí

\\

\\