projektovy_zamer

== {{id name="projekt_2722_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}**2.** **ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE** ==

109

110

V súlade s Vyhláškou 401/2023 Z.z. je Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

111

112

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky a prílohy č. 8 výzvy PSK-MIRRI-614-2024-DV-EFRR ( Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy) obsahuje manažérske zhrnutie, motiváciu a rozsah projektu, zainteresované strany, ciele projektu a merateľné ukazovatele, návrh organizačného zabezpečenia projektu, alternatívy, opis obmedzení, predpokladov, tolerancií, opis požadovaných výstupov, náhľad architektúry, opis rozpočtu, detailný popis nákladov a prínosov, postup a spôsob nacenenia projektu, harmonogram projektu a zoznamom rizík a závislostí.

113

114

V zmysle usmernenia MIRRI SR sa v projektovej dokumentácii (ani v ŽoNFP) nešpecifikujú detailne konkrétne riziká a dopady a nezverejňuje sa podrobná dokumentácia toho, kde sú najväčšie riziká IT systémov a uvádzajú sa iba oblasti identifikovaných rizík a dopadov. Rovnako sú v zmysle usmernenia MIRRI SR manažérske produkty napísané všeobecne.

115

116

=== {{id name="projekt_2722_Projektovy_zamer_detailny-2.1.Použitéskratkyapojmy"/}}2.1. **Použité skratky a pojmy** ===

117

118

Z hľadiska formálneho sú použité skratky a pojmy rámci celého dokumentu definované priebežne, štandardne pri prvom použití v zátvorke označením („ďalej len“).

119

120

=== {{id name="projekt_2722_Projektovy_zamer_detailny-2.2.Konvenciepretypypožiadaviek(príklady)"/}}2.2. **Konvencie pre typy požiadaviek (príklady)** ===

121

122

V rámci projektu budú definované tri základné typy požiadaviek:

123

124

Funkčné (používateľské) požiadavky majú nasledovnú konvenciu:

IDxx

ID – funkčná požiadavka xx – číslo požiadavky

129

130

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:

IDxx

ID – nefukčná požiadavka (NFR) xx – číslo požiadavky

135

136

Technické požiadavky majú nasledovnú konvenciu:

IDxx

ID – technická požiadavka xx – číslo požiadavky

\\

== {{id name="projekt_2722_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}**3. DEFINOVANIE PROJEKTU** ==

\\

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.1.Manažérskezhrnutie"/}}3.1. **Manažérske zhrnutie** ===

149

150

Technická univerzita vo Zvolene (ďalej len „TUZVO“) ako významná vzdelávacia a výskumná inštitúcia na Slovensku sa stretáva s rastúcimi požiadavkami na zabezpečenie kybernetickej bezpečnosti. V dnešnej digitálnej dobe je ochrana citlivých údajov, výskumných dát a osobných informácií študentov a zamestnancov kľúčová.

151

152

TUZVO zabezpečuje online služby pre viac ako 500 zamestnancov a približne 2000 študentov. Pri takomto počte potenciálnych používateľov je dôležité zabezpečiť zvýšenú úroveň ochrany pred internetovými hrozbami. Na zabezpečenie plynulého chodu univerzity, výučby a správy používateľov sa používa množstvo informačných systémov. Dôležitosť kybernetickej bezpečnosti je z tohto pohľadu vysoká, pretože dopad potenciálneho kybernetického incidentu na univerzitu by zasiahlo do každodenného chodu a ovplyvnilo by veľké množstvo používateľov.

153

154

Hlavným cieľom projektu “Zvýšenie úrovne kybernetickej bezpečnosti na Technickej univerzite vo Zvolene” je rozvoj a zabezpečenie informačnej bezpečnosti v prostredí TUZVO a zabezpečiť súlad so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“). TUZVO síce zatiaľ nespadá pod tento zákon, ale s pripravovanou transpozíciou smernice NIS2 do slovenskej legislatívy bude musieť plniť požiadavky z tejto legislatívy vyplývajúce.

\\

Hlavným cieľom projektu je zvýšenie miery ochrany informačných systémov univerzity voči potenciálnym kybernetickým incidentom. Uvedené bude dosiahnuté prostredníctvom realizácie hlavnej aktivity projektu, ktorou je :

159

160

* **Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti**

161

162

Podaktivity projektu boli zvolené ako najkritickejšie oblasti kybernetickej bezpečnosti. Povinnými podaktivitami projektu sú:

163

164

* Vypracovanie a prijatie samostatného dokumentu Stratégia kybernetickej bezpečnosti

165

* Vytvorenie bezpečnostných politík kybernetickej bezpečnosti

166

167

Keďže žiadateľ tejto výzvy aktuálne nemá vypracované povinné podaktivity projektu, budú realizované v rámci projektu. Medzi ostatné podaktivity projektu patria:

168

169

TUZVO plánovaným zapojením do projektu chce zvýšiť všeobecnú úroveň kybernetickej bezpečnosti realizovaním nasledovných krokov:

170

171

* vytvorením katalógu informačných aktív a realizovaním analýzy rizík na identifikovaných aktívach,

172

* vytvorením, resp. aktualizovaním kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.,

173

* implementáciou technických riešení podporujúcich riadenie bezpečnosti pri prevádzke,

174

* implementáciou systému na nepretržitú kontrolu dátových tokov v interných sieťach univerzity,

175

* implementáciou automatického nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou,

176

* implementáciou centrálneho log manažment systému pre zber a ukladanie logov zo systémov univerzity s možnosťou korelácie incidentov a eventov a vytvárania alertov,

177

* implementáciou systému na sledovanie prevádzkových parametrov a kapacít využívaných systémových prostriedkov,

178

* implementáciou nástroja na centrálne riadenie ochrany pred škodlivým kódom,

179

* implementáciou nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí,

180

* zavedením nástroja určeného na notifikovanie o existujúcich zraniteľnostiach programových prostriedkov a ich častí,

181

* zvýšením bezpečnosti pri prevádzke informačných systémov a sietí dobudovaním záložných dátových kapacít,

182

* vypracovaním plánov kontinuity a ich otestovaním,

183

* implementáciou systémov na správu a inventarizáciu aktív,

184

185

Úspešná realizácia projektu umožní dosiahnuť významný pokrok v zabezpečení systémov, nastavení procesov a zvýšenie spoľahlivosti počítačovej siete na TUZVO. Vďaka nasadeniu systémov, ktoré zvýšia bezpečnosť siete, bude možné naplniť merateľné ukazovatele, ktorými sú:

186

187

* Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov

188

* Zvýšenie kapacity pre zálohovanie informačných systémov TUZVO

189

* Zvýšenie počtu prostriedkov a ich výkonu a detegovanie internetových hrozieb a ochranu dát používateľov

190

191

V dokumente Národná koncepcia informatizácie verejnej správy Slovenskej republiky z roku 2021 zaradilo Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky medzi priority v informatizácii verejnej správy aj kybernetickú a informačnú bezpečnosť. Tá má okrem iného posilňovať ľudské kapacity, minimalizovať bezpečnostné incidenty a škody a zvyšovať úroveň ekosystému kybernetickej a informačnej bezpečnosti. S rovnakým zámerom je predkladaný aj tento projekt. Úspešná realizácia projektu prispeje významnou mierou k naplneniu zámerov tejto koncepcie.

192

193

Po implementácii projektu bude TUZVO pripravená efektívnejšie riadiť informačnú a kybernetickú bezpečnosť (ďalej iba „IB“ a „KB“) a čeliť interným a externým hrozbám v oblasti IB a KB. TUZVO v súčasnosti nedisponuje dostatočnými finančnými, technologickými a personálnymi zdrojmi, aby mohla plnohodnotne vykonávať všetky potrebné aktivity v rozsahu požadovanom zákonom o KB. Hlavnými beneficientom projektu je TUZVO a jej jednotliví zamestnanci, resp. užívatelia informačných systémov. Nepriamym beneficientom sú študenti a osoby, resp. subjekty komunikujúce s UIS. V dôsledku zavedených opatrení, ktoré zvýšia mieru ochrany informačných systémov bude minimalizovaný výpadok, resp. negatívny dopad bezpečnostných incidentov na riadnych chod univerzity.

\\

**Ciele projektu**

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (ďalej len „NKIVS“):

200

201

* Zabezpečenie bezpečnosti prevádzky IS a sietí vrátane sieťovej a komunikačnej bezpečnosti

202

* Zaznamenávanie udalostí a monitorovanie a riešenie KIB incidentov

203

* Zabezpečenie kontinuity prevádzky

204

205

Dané ciele budú dosiahnuté realizáciou hlavnej aktivity projektu - Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

\\

**Cieľová skupina**

Cieľovou skupinou sú zamestnanci TUZVO, študenti TUZVO, dodávatelia TUZVO a ostatné právnické osoby využívajúce systémy TUZVO.

212

213

Realizáciou aktivít projektu dosiahne TUZVO naplnenie hlavného cieľa, ktorým je zvýšenie informačnej a kybernetickej bezpečnosti a zabezpečenia ochrany údajov a elektronických dát, ktoré sú využívané TUZVO, zamestnancami ako aj študentmi.

214

215

Projekt je v súlade s intervenčnou stratégiou Programu Slovensko 2021-2027 v nasledovných oblastiach:

216

217

* súlad projektu so špecifickým cieľom: RSO1.2 (opatrenie 1.2.1)

218

* súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 1.26 3) súlad s definovanými typmi oprávnených aktivít v rámci výzvy.

**~ **

**Realizáciou projektu budú naplnené nasledovné merateľné ukazovatele:**

223

224

PO095 / PSKPSOI12 – cieľová hodnota 1

225

226

PR017 / PSKPRCR11 – cieľová hodnota 2400

227

228

**Miesto realizácie: Technická univerzita vo Zvolene**

229

230

Predpokladaný rozpočet projektu: **(oprávnených výdavkov) je** **488 284,40 EUR s DPH.**

231

232

Technická univerzita vo Zvolene (ďalej „TUZVO“) momentálne nespadá pod Zákon o kybernetickej bezpečnosti (ďalej len ZoKB), ale s pripravovanou transpozíciou smernice NIS2 do slovenskej legislatívy bude musieť plniť požiadavky z tejto legislatívy vyplývajúce. TUZVO si nechala vypracovať nezávislé posúdenie kybernetickej bezpečnosti univerzity na základe požiadaviek ZoKB, z ktorého vyplynuli nesúlady s požiadavkami zákona. TUZVO si samozrejme uvedomuje potrebu zvyšovania kybernetickej bezpečnosti nielen z legislatívnych dôvodov, ale aj z dôvodu zabezpečenia vlastných prevádzkovaných systémov voči narastajúcim kybernetickým hrozbám.

233

234

TUZVO si uvedomuje, že v zmysle požiadaviek zákona o kybernetickej bezpečnosti a zavedených opatrení v zmysle vyhlášky 362/2018 Z.z. (ďalej len ZoKB), ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška 362/2018 Z.z.) nespĺňa niektoré požiadavky. Ide primárne o chýbajúcu, resp. neaktuálnu dokumentáciu a o niektoré technologické požiadavky, ktorých zaobstaranie je finančne náročné.

235

236

V prípade, že by mala TUZVO investovať do dobudovania kybernetickej bezpečnosti vlastné finančné prostriedky, je prakticky nereálne zrealizovať všetky povinnosti podľa zákona o kybernetickej bezpečnosti a zákona o informačných systémoch verejnej správy, nakoľko ide o pomerne vysoké náklady v krátkom časovom období.

237

238

S ohľadom na to, že univerzity majú limitované finančné zdroje na boj s kyberútokmi, a súčasne je ich povinnosťou dodržiavať ustanovenia zákona o ISVS a s vysokou pravdepodobnosťou bude musieť spĺňať aj požiadavky ZoKB o kybernetickej bezpečnosti, vyhlásilo MIRRI SR Výzvu, ktorá má umožniť aj inštitúciám ako TUZVO získať prostriedky na ochranu informačných systémov a dosiahnutie kybernetickej bezpečnosti na najvyššej úrovni pri minimálnych nákladoch.

239

240

Projekt je vypracovaný v súlade s nasledovným typom aktivity: Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy s definovanou hlavnou aktivitou: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

241

242

Sumarizácia hlavných parametrov hodnotenia predkladaného projektu:

243

244

(% class="wrapped" %)

(% class="" %)|(((

**P. č.**

)))|(((

**Názov hodnotiaceho kritéria**

249

)))|(((

250

**Parametre v projekte**

)))|(((

**Zdroj**

)))

(% class="" %)|(((

1.

)))|(((

Miera rizík ohrozujúcich úspešnú realizáciu projektu

258

)))|(((

259

V rámci projektu bolo identifikovaných menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.

260

)))|(((

261

Príloha 1 zoznam rizík

)))

(% class="" %)|(((

2.

)))|(((

Administratívne, odborné a prevádzkové kapacity žiadateľa

267

)))|(((

268

Žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) dostatočné odborné kapacity s náležitou odbornou spôsobilosťou a know-how na riadenie a implementáciu projektu v danej oblasti.

269

270

Popis zabezpečenia prevádzky riešenia je reálny, t. j. žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) personálne kapacity pre zabezpečenie prevádzky riešenia.

271

)))|(((

272

Informácie o projektovom tíme sú uvedené v PZ.

)))

(% class="" %)|(((

3.

)))|(((

Miera oprávnenosti výdavkov projektu

278

)))|(((

279

Všetky oprávnené aktivity vychádzajú z bodu 2 Výzvy a prílohy č. 8 Výzvy, ktorá definuje oprávnené podaktivity

280

)))|(((

281

**V rámci projektu budú realizované nasledovné oprávnené podaktivity:**

282

283

· Organizácia kybernetickej a informačnej bezpečnosti

· Riadenie rizík

· Personálna bezpečnosť

· Riadenie prístupov

· Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

292

293

· Bezpečnosť pri prevádzke informačných systémov a sietí

294

295

· Hodnotenie zraniteľností a bezpečnostné aktualizácie

296

297

· Ochrana proti škodlivému kódu

298

299

· Sieťová a komunikačná bezpečnosť

300

301

· Zaznamenávanie udalostí a monitorovanie

302

303

· Fyzická bezpečnosť a bezpečnosť prostredia

304

305

· Kryptografické opatrenia

306

307

· Kontinuita prevádzky

308

309

· Audit a kontrolné činnosti

)))

(% class="" %)|(((

4.

)))|(((

Dôležitosť kybernetickej bezpečnosti u žiadateľa a potencionálny dopad kybernetických incidentov

315

)))|(((

316

V zmysle kapitoly 3.2.5 PODPORA V OBLASTI KIB NA REGIONÁLNEJ ÚROVNI uvedenej v prílohe 2 Výzvy boli Identifikované jednotlivé kategórie.

317

)))|(((

318

§ 24 ods. 2 písm. a) – kategória: I

319

320

§ 24 ods. 2 písm. b) a c) – kategória: I

321

322

§ 24 ods. 2 písm. d) – kategória: III

323

324

§24 ods. 2 písm. e) – kategória: I

325

)))

326

327

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2 **Motivácia a rozsah projektu** ===

328

329

Vzhľadom k zvyšujúcim sa potrebám zabezpečenia infraštruktúry si TUZVO dala vypracovať v roku 2023 Analýzu úrovne informačnej a kybernetickej bezpečnosti. V dokumente bolo popísané nezávislé externé hodnotenie kybernetickej bezpečnosti. Ako šablóna pre túto analýzu sa zvolilo znenie Zákona o kybernetickej bezpečnosti 69/2018 Z.z. a znenie vykonávacej vyhlášky 362/2018 Z.z., ktorej novelizované znenie vošlo do platnosti 1.9.2023. Tento zákon a vyhláška pokrývajú celú škálu kybernetickej bezpečnosti a v blízkej dobe dôjde k transpozícii európskej smernice NIS2 do právneho systému Slovenskej Republiky.

330

331

Hlavnou motiváciou projektu je zvýšenie úrovne KIB, aby TUZVO bola lepšie pripravená čeliť interným a externým hrozbám v oblasti kybernetickej bezpečnosti.

332

333

Medzi hlavné ciele systému riadenia KIB patria:

334

335

* zabezpečenie správnej a bezpečnej prevádzky prostriedkov spracúvajúcich informácie,

336

* monitorovanie prostredia,

337

* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu.

338

339

Vyhlásená výzva „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy" súvisí najmä s naplnením povinností:

340

341

* definovanými v zákone č. 69/2018 Z. z. Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB") a v zákone č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS").

342

* opatreniami definovanými v § 20 zákona o KB.

343

* nutnosť zvýšenia úrovne a schopnosti zabezpečovať a riadiť informačnú a kybernetickú bezpečnosť vzhľadom na sústavne sa zvyšujúce hrozby a riziká,

344

* zabezpečenie realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti,

345

* ako reakcia na aktuálny nedostatočný stav úrovne vyspelosti procesov riadenia KIB,

346

* ako reakcia na aktuálne zmeny v používaní IT, ako aj závažné útoky v oblasti kybernetickej bezpečnosti

347

348

**Implementácia projektu**

349

350

**Implementácia projektu bude prebiehať v nasledovných krokoch:**

351

352

Hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti:

353

354

* Prípravná fáza a Iniciačná fáza

355

* Realizačná fáza

356

** Analýza a Dizajn

357

** Nákup technických prostriedkov, programových prostriedkov a služieb

358

** Implementácia a testovanie

359

** Nasadenie opatrení

360

* Dokončovacia fáza

361

* Podpora prevádzky (SLA)

362

363

Podporné aktivity – nepriame výdavky

364

365

* Podporná aktivita – Projektový manažér interný/externý na riadenie hlavných aktivít projektu.

366

* Podporná aktivita – Publicita a informovanosť v zmysle manuálu

367

368

Súčasné bezpečnostné mechanizmy v oblasti monitoringu a hodnotenia zraniteľnosti implementované univerzitou tvoria základ, ktorý si vyžaduje ďalší rozvoj pre zaistenie primeranej ochrany spracúvaných informácií voči kybernetickým hrozbám a zároveň zabezpečenie súladu s povinnosťami vyplývajúcimi z ustanovení zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Okrem legislatívnych požiadaviek je nevyhnutné brať do úvahy aj aktuálny stav, ktorá je z časti spôsobený neschopnosťou včasnej detekcie možného kybernetického útoku z dôvodu absentujúcich bezpečnostných opatrení, chýbajúcich analytických nástrojov a nedostatku kvalitných zdrojov bezpečnostne relevantných záznamov.

369

370

V analýze informačnej a kybernetickej bezpečnosti bolo hodnotených viacero konkrétnych ukazovateľov úrovne zabezpečenia, ako sú:

371

372

* Stratégia kybernetickej bezpečnosti

373

* Personálne riadenie kybernetickej bezpečnosti

374

* Organizácia kybernetickej a informačnej bezpečnosti

375

* Riadenie rizík kybernetickej a informačnej bezpečnosti

376

* Personálna bezpečnosť

377

* Riadenie prístupov

378

* Bezpečnosť pri prevádzke informačných systémov

379

* Bezpečnosť pri prevádzke sietí

380

* Hodnotenie bezpečnostných zraniteľností

381

* Ochrana proti škodlivému kódu

382

* Sieťová a komunikačná bezpečnosť

383

* Monitoring sieťovej prevádzky

384

* Riešenie kybernetických incidentov

385

* Zabezpečenie kontinuity prevádzky

386

387

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.2.1Hlavnýpopisproblému"/}}3.2.1 **Hlavný popis problému** ===

388

389

TUZVO momentálne nespadá pod Zákon o kybernetickej bezpečnosti (ďalej len ZoKB), ale s pripravovanou transpozíciou smernice NIS2 do slovenskej legislatívy bude musieť plniť požiadavky z tejto legislatívy vyplývajúce. TUZVO si nechala vypracovať nezávislé posúdenie kybernetickej bezpečnosti univerzity na základe požiadaviek ZoKB, z ktorého vyplynuli nesúlady s požiadavkami zákona. TUZVO si samozrejme uvedomuje potrebu zvyšovania kybernetickej bezpečnosti nielen z legislatívnych dôvodov, ale aj z dôvodu zabezpečenia vlastných prevádzkovaných systémov voči narastajúcim kybernetickým hrozbám.

390

391

TUZVO si uvedomuje, že v zmysle požiadaviek zákona o kybernetickej bezpečnosti a zavedených opatrení v zmysle vyhlášky 362/2018 Z.z. (ďalej len ZoKB), ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška 362/2018 Z.z.) nespĺňa niektoré požiadavky ktoré vyplynuli z analýzy. TUZVO postupne zavádza do praxe, avšak viaceré z nich predstavujú vysokú finančnú záťaž pre rozpočet univerzity a je prakticky nemožné zrealizovať ich z vlastných zdrojov. Práve tieto finančne náročné opatrenia, ktoré predstavujú najväčšie bezpečnostné riziká, sú predmetom predkladaného projektu.

392

393

Na rozdiel od súčasného stavu bude disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého a interného prostredia, ako aj ochranu dát.

394

395

TUZVO plánovaným zapojením do projektu chce zvýšiť všeobecnú úroveň kybernetickej bezpečnosti realizovaním nasledovných krokov:

396

397

* vytvorením katalógu informačných aktív a realizovaním analýzy rizík na identifikovaných aktívach,

398

* vytvorením, resp. aktualizovaním kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.,

399

* implementáciou technických riešení podporujúcich riadenie bezpečnosti pri prevádzke,

400

* implementáciou systému na nepretržitú kontrolu dátových tokov v interných sieťach univerzity,

401

* implementáciou automatického nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou,

402

* implementáciou centrálneho log manažment systému pre zber a ukladanie logov zo systémov univerzity s možnosťou korelácie incidentov a eventov a vytvárania alertov,

403

* implementáciou systému na sledovanie prevádzkových parametrov a kapacít využívaných systémových prostriedkov,

404

* Implementáciou nástroja na centrálne riadenie ochrany pred škodlivým kódom

405

* implementáciou nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí,

406

* zavedením nástroja určeného na notifikovanie o existujúcich zraniteľnostiach programových prostriedkov a ich častí,

407

* zvýšením bezpečnosti pri prevádzke informačných systémov a sietí dobudovaním záložných dátových kapacít,

408

* vypracovaním plánov kontinuity a ich otestovaním,

409

* implementáciou systémov na správu a inventarizáciu aktív,

410

411

TUZVO má prijaté smernice ohľadom ochrany osobných údajov, ktoré čiastočne pokrývajú aj problematiku kybernetickej bezpečnosti. Taktiež je vypracovaný dokument „bezpečnostná politika“, ktorý čiastočne pokrýva požiadavky ZoKB. Tieto dokumenty je ale potrebné upraviť a aktualizovať tak, aby spĺňali požiadavky ZoKB. Z tohto dôvodu je jedným z cieľov projektu je vytvoriť a prijať všetky požadované náležitosti a dokumenty definované v prílohe č. 1 k vyhláške č. 362/2018 Z. z..

412

413

Nie je zavedený proces klasifikácie informácií je v súlade s požiadavkami vyhlášky č. 362/2018 Z. z. pre klasifikáciu informácií kategorizácia sietí a informačných systémov.

414

415

S ohľadom na vyššie uvedené bude teda predmetom projektu riešenie problematiky z nasledovných oprávnených oblastí podľa výzvy:

416

417

* Organizácia kybernetickej a informačnej bezpečnosti

418

* Riadenie rizík

419

* Personálna bezpečnosť

420

* Riadenie prístupov

421

* Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

422

* Bezpečnosť pri prevádzke informačných systémov a sietí

423

* Hodnotenie zraniteľností a bezpečnostné aktualizácie

424

* Ochrana proti škodlivému kódu

425

* Sieťová a komunikačná bezpečnosť

426

* Zaznamenávanie udalostí a monitorovanie

427

* Fyzická bezpečnosť a bezpečnosť prostredia

428

* Kryptografické opatrenia

429

* Kontinuita prevádzky

430

* Audit a kontrolné činnosti

431

432

Hlavným problémom, ktorému TUZVO čelí je teda vyriešenie vyššie pomenovaných oblastí informačnej a kybernetickej bezpečnosti tak, aby bol dosiahnutý významný pokrok pri plnení súladu v oblasti príslušných predpisov KIB a súčasne aby boli technologické náležitosti KIB realizované tak, aby:

433

434

* chránili IT systémy, ktoré zabezpečujú prevádzku služieb univerzity pred kybernetickými útokmi

435

* plnili svoje úlohy počas implementácie i v čase udržateľnosti projektu,

436

* boli pripravené na ďalší rozvoj IT technológií a služieb poskytovaných univerzitou,

437

* a bolo možné ich flexibilne rozširovať bez ohrozenia prevádzkovaných i budúcich IT systémov.

438

439

**Hlavné identifikované riziká a nedostatky**

440

441

Najvyššia miera nesúladu s legislatívnymi požiadavkami kybernetickej bezpečnosti podľa ZoKB bola identifikovaná v nasledovných oblastiach:

442

443

* Potreba zavedenia formálneho riadenia KB primárne prípravou a úpravou potrebných bezpečnostných smerníc, politík a nariadení.

444

* Potreba implementácie HW a SW častí bezpečnosti siete a implementácie sieťovej bezpečnosti siete (dodávka firewallow, segmentácie sieťe a dohľadových systémov).

445

* Potreba riešenia problému absentujúceho systému pre zber, ukladanie a analýzu logov a vyhodnocovanie bezpečnostných udalostí (SIEM).

446

* Potreba zabezpečiť kontinuitu prevádzky, t.j. je potrebné zabezpečiť riadenie kontinuity kybernetickej bezpečnosti – túto problematiku je potrebné riešiť aj na úrovni BCM plánov a aj na úrovni technologickej.

447

448

**Absencia základných smerníc** - Stratégia kybernetickej bezpečnosti a bezpečnostné politiky

449

450

Vytvorenie bezpečnostnej dokumentácie je nevyhnutnou činnosťou, ktorá zabezpečí, aby táto dokumentácia reflektovala na skutkový stav a bola použiteľná pre reálne potreby žiadateľa. Absencia takéhoto systému zároveň spôsobuje vysokú mieru neznalosti:

451

452

* Zoznamu rozpoznaných zraniteľností, vrátane ich vlastníkov

453

* Zoznamu rozpoznaných hrozieb

454

* Zoznamu opatrení potrebných na potlačenie zraniteľností

455

* Identifikácie a ohodnotenia rizík na základe pravdepodobnosti hrozieb, uplatňovaných opatrení a dopadov na žiadateľa a pod.

456

457

**Absencia havarijných plánov a plánov obnovy (BCM)**

458

459

Absencia riadenia kontinuity činností (BCM) je problémom v podmienkach TUZVO, ktorý sa prejaví najmä v prípade krízových situácií, kedy je nevyhnutné zabezpečiť funkčnosť a dostupnosť extrémne dôležitých funkcií univerzity ta, aby bola schopná poskytovať svoje služby aj počas krízovej situácie, akou môže byť napríklad hackerský útok, požiar, živelná pohroma a pod. Práve absencia efektívne nastaveného BCM by spôsobila v prípade takejto mimoriadnej udalosti vysoké finančné a hospodárske škody.

\\

**Absencia manažéra kybernetickej bezpečnosti (MKB)**

464

465

Manažér kybernetickej bezpečnosti (MKB) je v slovenských podmienkach nová riadiaca pracovná pozícia. Zodpovedá za niekoľko oblastí priamo alebo nepriamo súvisiacich s kybernetickou a informačnou bezpečnosťou, má mať možnosť komunikovať a predkladať návrhy a oznamovať informácie v oblasti kybernetickej bezpečnosti priamo štatutárnemu orgánu. Základné požiadavky, ktoré sa kladú na pozíciu manažéra kybernetickej bezpečnosti sú priamy prístup ku štatutárnemu orgánu a nezávislosť od prevádzky. MKB má mať možnosť komunikovať a predkladať návrhy a oznamovať informácie v oblasti kybernetickej bezpečnosti priamo štatutárnemu orgánu. Postavenie MKB musí byť nezávislé od útvaru zaisťujúceho prevádzku IT. Úlohou MKB je najmä zaistiť odolnosť organizácie voči kybernetickým bezpečnostným hrozbám, riadiť súvisiace riziká a riešiť bezpečnostné incidenty.

\\

**Absencia nástroja na riadenie a monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb**

470

471

V podmienkach TUZVO sa ako jeden z výrazných nedostatkov prejavuje absencia sofistikovaného nástroja na automatizované monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb, ktorý by umožnil v dostatočnom časovom predstihu upozorniť žiadateľa na dosahovanie limitu normovanej kapacity zariadení (napr. voľný priestor na HDD, maximálnu kapacitu servera a pod.). Uvedené spôsobuje problémy pri prípadnom dopĺňaní potrebných kapacít, čo značne ovplyvňuje funkčnosť systémov žiadateľa.

\\

**Absencia bezpečnostného monitoringu v IKT prostredí**

476

477

Sieťová infraštruktúra univerzity vyžaduje komplexné zabezpečenie voči neoprávnenému vstupu do internej siete. Existujúce zabezpečenie už nevyhovuje požiadavkám súčasnej doby. V rámci sieťovej infraštruktúry absentuje SIEM nástroj a SOC, ktoré by zabezpečili dozor voči kybernetickým bezpečnostným incidentom. Absencia takéhoto spôsobu ochrany kybernetického priestoru žiadateľa znemožňuje flexibilne reagovať na prípadné kybernetické incidenty a minimalizovať tak reakčnú dobu na incident a eliminovať škody z neho vyplývajúce.

\\

**Nedostatočná úroveň zálohovania**

482

483

Hlavným prostriedkom pre fungovanie univerzity a jej služieb sú informačné technológie a elektronizácia, ktorá v súčasnosti tvorí základný kameň fungovania každodenných procesov. Všetky dáta sú tak ukladané v elektronickej podobe, problém však môže vzniknúť v prípade ak príde k zlyhaniu techniky a strate dát. Za účelom eliminácie tohto rizika je nevyhnutné vytvoriť efektívny spôsob zálohy dát, ktorý v súčasnej dobe nie je vybudovaný na dostatočnej úrovni a na zálohovanie dát sa využívajú staršie zariadenia s otáznou životnosťou.

\\

**Absencia centrálneho logovacieho systému**

488

489

V organizácii absentuje spoločný systém na zaznamenávanie udalostí z centrálnych sieťových prvkov a serverov, služieb prístupných do externých sietí a kritických interných serverov a služieb. Všetky udalosti sú zaznamenávané len lokálne na jednotlivých systémoch.

490

491

Vyššie uvedené oblasti predstavujú najvýznamnejšie problémy TUZVO v oblasti informačnej a kybernetickej bezpečnosti. Ich eliminácia v kombinácii so systematickým riešením iných úloh v oblasti bezpečnosti IT systémov, ktoré žiadateľ kontinuálne vykonáva z vlastného rozpočtu, umožní dosiahnuť uspokojivú úroveň bezpečnosti informačných systémov univerzity a jeho kybernetickej bezpečnosti v súlade s Národnou koncepciou informatizácie verejnej správy Slovenskej republiky.

492

493

**Informačné systémy v správe TUZVO**

494

495

**Univerzitný informačný systém (UIS)**

496

497

Webový informačný systém pre podporu komplexného riadenia procesov univerzity, obsahuje nasledovné agendové moduly:

498

499

* //__Študijný systém__// – komplexné pokrytie pedagogického procesu od prijímacieho konania po záverečné štátne skúšky. Aplikácie riešia špecifické prístupy uchádzačov o štúdium, študentov, študijné referentky, pedagógov ako aj vedúcich pracovníkov a workflow schvaľovacích procesov, ktoré súvisia so štúdiom. Modul obsahuje elektronické prijímacie konanie, financovanie štúdia, e-learningové projekty, testovanie, prihlasovanie na skúšky, agendu záverečných prác, štátnych skúšok a množstvo ďalších podporných aplikácií.

500

* //__Veda a výskum__// – evidencia projektov, evidencia publikácií, bodové evaluácie pedagogických a tvorivých zamestnancov, tvorba životopisov

501

* //__Zahraničné oddelenie__// – evidencia zahraničných dohôd a inštitúcií, evidencia študijných pobytov zahraničných študentov na univerzite a evidencia výjazdov študentov TUZVO

502

* //__eAgenda__// –správa areálov, budov, miestností, rezervácia miestností, kontaktné centrum, správa elektronických prieskumov, správa elektronických hlasovaní, Centrálny bankový účet

503

* //__Osobný manažment__// – poštová schránka, dokumentový server. správa úloh, blogov a diskusné fóra

504

* //__Portál verejných informácií__// – portál pre publikovanie údajov z interných modulov UIS pre verejnosť (pracoviská používatelia, rozvrhy, predmety, študijné plány, záverečné práce, absolventi, ..)

505

* //__Manažérska nadstavba__// – portál vedúceho pre manažment pracoviska na všetkých úrovniach (vedúci pracoviska/katedry/ústavu, prodekani, dekani, rektor)

506

* //__Technologický subsystém__// – prístupový systém, management univerzitnej siete, správa účtov, prepojenie na Active Directory, synchronizácia hesla užívateľa z UIS do AD, dátové štruktúry pre generovanie LDAP, teda dáta pre autorizáciu a autentizáciu užívateľov pre prístup k službám.

507

* //__Správa a prevádzka systému__// –správa osôb a oprávnení, nastavenie hesiel, správa orgánov univerzity, správa číselníkov, zverejňovanie zásadných informácií. delegovanie zmeny identít, záznam operácií užívateľov,

508

* //__Administratíva študentských domovov__// – modul pre komplexnú správu ubytovaných študentov (podanie žiadosti o ubytovanie, sledovanie stavu vybavenia žiadosti, prihlasovanie sa na termín ubytovania/odubytovania, správa poplatkov za ubytovanie, ...)

509

* //__Mobilná aplikácia__// – zjednodušená verzia UIS pre mobilné zariadenia určená primárne pre študentov, umožňuje prijímanie push notifikácií generovaných hromadne v UIS

\\

Prepojenia s externými systémami:

514

515

* Centrálny register študentov (**CRŠ**) – generovanie dávok pre CRŠ, vkladanie výstupov z CRŠ, validácia stavu v CRŠ a v UIS

516

* Centrálny register záverečných prác (**CRZP**) – rieši prenos súborov záverečných prác a metadát k prácam pre kontrolu originality záverečných prác

517

* Centrálny register zmlúv (**CRZ**) – automatický prenos zmlúv o ubytovaní na portál CRZ

518

* Centrum vedecko-technických informácií (**CVTI**) – generovanie výkazov z Prijímacieho konania

519

* Ekonomický systém **SOFIA** – prepojenie v oblasti posielania údajov o poplatkoch za prijímacie konanie, o školnom a štipendiách

520

* Registratúrna kniha **MEMPHIS** –

521

* Prepojenie UIS s cloudovou službou **Microsoft Office 365** – možnosť voľby poštového klienta pre spracovanie elektronickej pošty, predmetové tímy a akcie v MS Teams, možnosť prenosu rôznych typov udalostí vznikajúcich v UIS

522

* Knižničný systém **Academic Library** – import publikácií z knižničného informačného systému do UIS

\\

**Webové sídlo [[tuzvo.sk>>url:http://tuzvo.sk||shape="rect"]]**

527

528

Webová stránka zabezpečujúca prístup k informáciám o univerzite, obsahuje informácie napr. o možnostiach štúdia na TUZVO, o akreditovaných študijných programoch, harmonogramoch výučby a kontaktné údaje.

529

530

**Ekonomický systém SOFIA**

531

532

Ekonomický systém univerzity, prevádzkovaný v Datacentre MŠ VVaM SR, prístup do systému je možný iba s použitím VPN klienta.

533

534

**Dochádzkový systém INFOS**

535

536

Rieši komplexnú evidenciu dochádzky a prenos dát do Ekonomického systému SOFIA.

537

538

**Prístupový systém Access**

539

540

Zabezpečuje riadenie vstupov do objektov.

541

542

**Registratúra RK Memphis**

543

544

Evidencia všetkých vstupných, výstupných a interných dokumentov na TUZVO.

545

546

**Stravovací systém Kredit**

547

548

Komplexné riešenie stravovania zamestnancov a študentov (objednávanie, platby, výstupy pre Ekonomický systém SOFIA, tankovacie automaty pre dobíjanie kreditu a výdajné terminály, normovanie jedál).

\\

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.2.2Biznisprocesy"/}}**3.2.2 Biznis procesy** ===

553

554

Predmetom realizácie projektu bude zavedenie a IT podpora nasledovných business procesov:

555

556

* Riadenie prevádzky siete a informačného systému

557

* Zaznamenávanie, monitorovanie a riešenie incidentov kybernetickej bezpečnosti

558

* Zabezpečovanie kontinuity prevádzky

559

560

Okrem samotného zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS sa projekt bude dotýkať prakticky všetkých biznis procesov, ktoré sú vykonávané Technickou univerzitou vo Zvolene, a ktoré sú realizované prostredníctvom informačných systémov TUZVO za účelom poskytovania univerzitných služieb.

561

562

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.2.3Oblastizameraniaprojektu"/}}**3.2.3 Oblasti zamerania projektu** ===

563

564

Projekt sa primárne zaoberá oblasťou zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS. Ako bude uvedené ďalej, tento projekt má priamy dopad na všetky ISVS a technologické platformy, ktoré sú určené na poskytovanie služieb univerzity TUZVO, nakoľko výsledky projektu budú ochraňovať všetky IS pred potenciálnymi hrozbami kybernetickej a informačnej bezpečnosti.

565

566

Riešenie vyššie popísaných problémov bude dosiahnuté prostredníctvom súboru technických opatrení, ktoré vzájomnou kombináciou prispejú k vytvoreniu efektívneho systému ochrany informačnej infraštruktúry TUZVO. S ohľadom na uvedené sa bude realizácia projektu orientovať prioritne na nasledovné technické riešenia:

567

568

===== {{id name="projekt_2722_Projektovy_zamer_detailny-VytvorenieaprijatiedokumentuStratégiakybernetickejbezpečnosti"/}}**Vytvorenie a prijatie dokumentu Stratégia kybernetickej bezpečnosti** =====

569

570

Stratégia kybernetickej bezpečnosti určuje ciele, ktoré je potrebné na základe výsledkov analýzy rizík kybernetickej bezpečnosti dosiahnuť, spolu s uvedením základných princípov na ich dosiahnutie a určením právomocí a zodpovedností za systémy manažérstva, riadenie rizík kybernetickej bezpečnosti a aktualizáciu bezpečnostnej dokumentácie. Dokument Stratégia kybernetickej bezpečnosti, ktorý bude obsahovať:

571

572

* strategické ciele v oblasti kybernetickej bezpečnosti,

573

* záväzok a podporu vedenia,

574

* základný rámec riadenia rizík,

575

* základné postupy pre napĺňanie strategických cieľov,

576

* spôsob vyhodnocovania bezpečnostných cieľov.

577

578

===== {{id name="projekt_2722_Projektovy_zamer_detailny-VypracovaniekontinuityčinnostívzmysleZoKB"/}}**Vypracovanie kontinuity činností v zmysle ZoKB** =====

579

580

Zavedenie BCM umožní:

581

582

* Zabezpečiť dostupnosť kritických aktív a systémov v krízových situáciách v minimálnom možnom čase a s minimálnymi nákladmi

583

* Zaviesť prípravu a testovanie plánov obnovy prevádzkovaných IS s ohľadom na vnútorné procesy

584

* Efektívne zaistiť kontinuitu procesov, čo v prípade krízovej situácie prispeje k zníženiu finančných nákladov spojených s obnovou informačnej infraštruktúry a významne eliminuje finančné straty spôsobené jej nedostupnosťou

585

586

===== {{id name="projekt_2722_Projektovy_zamer_detailny-Zabezpečeniepozíciemanažérakybernetickejbezpečnosti"/}}**Zabezpečenie pozície manažéra kybernetickej bezpečnosti** =====

587

588

Táto osoba by mala mať na starosti komplexné riadenie bezpečnosti v organizácii. Mala by spĺňať nielen odborné, ale aj osobnostné požiadavky, ktoré sú na túto rolu kladené. Túto rolu zabezpečíme dočasne externými kapacitami. Medzi základné úlohy manažéra kybernetickej bezpečnosti patria:

589

590

* Riadenie bezpečnosti,

591

* Manažment hrozieb a rizík

592

* Aplikácia bezpečnostných opatrení

593

* Výkon operatívnych bezpečnostných činností

594

* Riadenie súladu

595

596

===== {{id name="projekt_2722_Projektovy_zamer_detailny-Zavedenieasprávanástrojanariadeniekapacítvzmyslezákonač.69/2018Z.z.avyhlášky362/2018Z.z.(§11)prostredníctvomsystémunamonitorovaniezariadení,technológiíaslužiebsdosahomnazabezpečeniekybernetickejbezpečnosti"/}}**Zavedenie a správa nástroja na riadenie kapacít** v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§11) prostredníctvom systému na monitorovanie zariadení, technológií a služieb s dosahom na zabezpečenie kybernetickej bezpečnosti =====

597

598

Implementácia softvérového riešenia na monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel umožní v dostatočnom časovom predstihu upozorniť žiadateľa na dosahovanie limitu normovanej kapacity zariadení (napr. voľný priestor na HDD, maximálnu kapacitu servera a pod.). Takýmto spôsobom bude možné zaistiť riadenú a monitorovanú údržbu informačnej infraštruktúry žiadateľa bez rizika jej výpadku resp. obmedzenia prevádzky.

599

600

===== {{id name="projekt_2722_Projektovy_zamer_detailny-NasadenieNext-Genfirewallunaperimetersiete"/}}**Nasadenie Next-Gen firewallu na perimeter siete** =====

601

602

Firewall bude plniť funkcionalitu bezpečného oddelenia Internetu a vnútorných sietí. Bude zahŕňať funcionalitu NAT/PAT, zabezpečovať blokovanie nežiadúcej komunikácie na základe blokovania nežiadúcich webových stránok a aplikácií a taktiež ako antimalvérová ochrana. Aj smerovanie z užívateľských sietí do serverových sietí by malo byť smerované cez sieťový firewall a mali by byť povolené len tie služby, ktoré sú pre užívateľov nevyhnutné. Na perimetrovom firewalle budú blokované všetky neoprávnené spojenia z vonkajších sietí na vnútorné siete, ale aj opačne.

603

604

===== {{id name="projekt_2722_Projektovy_zamer_detailny-Modernizáciazálohovaciehosystému"/}}**Modernizácia zálohovacieho systému** =====

605

606

Prevádzka informačných systémov s dôrazom na ich spoľahlivosť, dostupnosť a vysokú bezpečnosť je hlavným cieľom navrhovaného technického riešenia. Vytvorenie efektívneho systému zálohovania, ktorý bude okrem iného schopný:

607

608

* Zabezpečiť takmer okamžitú ochranu dát zdieľaných zložiek

609

* Obnovu dát na úrovni súborov a zložiek s obnovením konkrétnych súborov alebo zložiek

610

* Zabezpečiť automatické opravy súborov napr. pomocou zrkadlených metadát a konfiguráciou RAID

611

* Zabezpečiť zálohovanie bez licencií určených k ochrane počítačov a serverov so systémom Windows, virtuálnych počítačov, ďalších súborových serverov a cloudových aplikácií

612

* Zabezpečiť konsolidáciu úloh zálohovania pre fyzické i virtuálne prostredie s možnosťou rýchleho obnovenia súborov, celých fyzických počítačov a virtuálnych počítačov umožní dosiahnuť požadovanú úroveň zálohovania dát, ktorá v prípade potreby bude schopná bez problémov obnoviť stratené dáta

613

614

Veľmi dôležitou výhodou zvýšenia kapacity zálohovacích systémov je bezpochyby aj možnosť vybudovania záložnej serverovne pre umiestnenie záložných systémov a kópie zálohovaných dát.

615

616

Kombinácia vyššie uvedených technických riešení umožní vytvoriť efektívnu správu IT infraštruktúry a zvýši ochranu kybernetického priestoru žiadateľa vyhovujúcu požiadavkám platnej legislatívy. Bližšie technické špecifikácie navrhovaných riešení sa nachádzajú v nasledujúcej časti Žiadosti o nenávratný finančný príspevok.

617

618

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.2.4Rozsahprojektu"/}}**3.2.4 Rozsah projektu** ===

619

620

Realizácia projektu sa dotkne nasledovných ISVS prevádzkovaných na úrovni TUZVO:

621

622

* isvs_14317-Elektronická registratúra TUZVO

623

* isvs_14318-CMS web sidla TUZVO

624

* isvs_14319 -Prístupový systém TUZVO

625

* isvs_14316 -Univerzitný informačný systém UIS TUZVO

626

627

Realizácia projektu sa dotkne nasledovných subjektov:

628

629

* Technická univerzita vo Zvolene

630

* Interní zamestnanci univerzity

631

* Externí zamestnanci univerzity

632

* Študenti

633

* Podnikatelia - dodávateľsko-odberateľské vzťahy

634

635

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.2.5Motiváciaaobmedzeniapredosiahnutiecieľovprojektu"/}}**3.2.5 Motivácia a obmedzenia pre dosiahnutie cieľov projektu** ===

636

637

Hlavnou motiváciou je realizácia opatrení KIB definovaných v zákone o kybernetickej bezpečnosti a v zákone o ISVS. Primárne ide o tie opatrenia, ktoré vykazujú najväčší nesúlad s uvedenými právnymi normami a vyhláškou 362/2018 Z. z.. Vďaka realizácii týchto opatrení budú IS TUZVO chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku IS TUZVO nasledovný dopad:

638

639

(% class="wrapped" %)

640

(% class="" %)|(((

641

**Dopad kybernetického bezpečnostného incidentu v závislosti**

)))|(((

**Kategória**

)))|(((

**Vysvetlenie**

)))

(% class="" %)|(((

§ 24 ods. 2 písm. a) zákona 69/2018 Z.z.

649

650

Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.

)))|(((

I.

)))|(((

TUZVO disponuje systémami, ktorých výpadok zasiahne viac ako 25 000 užívateľov univerzity. To znamená študentov, zamestnancov a externých partnerov.

655

)))

656

(% class="" %)|(((

657

§ 24 ods. 2 písm. b) zákona 69/2018 Z.z. Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)

a/alebo

§ 24 ods. 2 písm. c) zákona Geografické rozšírenie kybernetického bezpečnostného incidentu.

)))|(((

I.

)))|(((

TUZVO prevádzkuje systémy pre interný personál, vedeckých pracovníkov a študentov, kde škoda, ktorá nastane je v rozsahu nad 15 000 používateľov.

666

)))

667

(% class="" %)|(((

668

§ 24 ods. 2 písm. d) zákona 69/2018 Z.z.

669

670

Stupeň narušenia fungovania základnej služby.

)))|(((

III.

)))|(((

V prípade nefunkčnosti informačných systémov nie je k dispozícii náhradné riešenie.

675

)))

676

(% class="" %)|(((

677

§ 24 ods. 2 písm. e) zákona 69/2018 Z.z.

678

679

Rozsah vplyvu kybernetického

680

681

bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu

)))|(((

I.

)))|(((

Incident spôsobí škody, ktoré má/môže mať dopad na viac ako 25 000 osôb. V prípade napadnutia a uniku osobných dát, informáciách o postavení, platových podmienkach a krádeže Know how a vedeckých výskumov, by boli škody veľmi veľké a možno aj fatálne. Nefunkčnosť systémov má priamy vplyv na hospodárske alebo spoločenské činnosti. Nefunkčnosť ISVS má priamy súvis na finančné operácie medzi univerzitou a dodávateľmi, odberateľmi, štátnymi inštitúciami ( napr. sociálne a zdravotné poisťovne, daňový úrad...). Úspešný kybernetický útok, ktorého cieľom by bolo získanie dát z univerzity môže viesť a pravdepodobne aj bude viesť k úniku osobných údajov a následnému porušeniu práv dotknutých osôb. Vzhľadom na znenie §104 zákona č.: 18/2018 Z. z. a obdobné sankcie uvedené v GDPR môže vzniknúť škoda univerzite až do výšky 20 mil. €. Vychádzajúc z praxe a známych prípadov porušenia zákona na ochranu osobných údajov na území Slovenska môže takto jednému užívateľovi ISVS vzniknúť škoda prevyšujúca 250 000 €.

686

)))

687

688

Projekt je formulovaný tak, aby po jeho realizácii nastal čo najväčší súlad zabezpečenia kybernetickej a informačnej bezpečnosti so zákonom o kybernetickej bezpečnosti a so zákonom o ISVS.

689

690

**Obmedzenia projektu**

691

692

Z hľadiska technického, personálneho, odborného, ale ani legislatívneho neevidujeme žiadne obmedzenia, ktoré by mohli ovplyvniť úspešnú realizáciu projektu.

693

694

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholder"/}}**3.3 Zainteresované strany/Stakeholder** ===

695

696

(% class="wrapped" %)

(% class="" %)|(((

**ID**

)))|(((

**AKTÉR / STAKEHOLDER**

)))|(((

**SUBJEKT**

**(názov / skratka)**

)))|(((

**ROLA**

**(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)**

709

)))|(((

710

**Informačný systém**

711

712

**(MetaIS kód a názov ISVS)**

)))

(% class="" %)|(((

1.

)))|(((

Univerzita - Administrátor

IT

)))|(((

TUZVO

)))|(((

Vlastník procesu/ vlastník dát/ prevádzkovateľ / Užívateľ IS

724

725

Zabezpečuje prevádzku IT

726

)))|(((

727

isvs_14317-Elektronická registratúra TUZVO

728

729

isvs_14318-CMS web sidla TUZVO

730

731

isvs_14319 -Prístupový systém TUZVO

732

733

isvs_14316 -Univerzitný informačný systém UIS TUZVO

)))

(% class="" %)|(((

2

)))|(((

Manažér

kybernetickej

bezpečnosti

)))|(((

TUZVO

)))|(((

Zodpovedný za KIB

)))|(((

isvs_14317-Elektronická registratúra TUZVO

749

750

isvs_14318-CMS web sidla TUZVO

751

752

isvs_14319 -Prístupový systém TUZVO

753

754

isvs_14316 -Univerzitný informačný systém UIS TUZVO

)))

(% class="" %)|(((

3.

)))|(((

Zamestnanec

)))|(((

TUZVO

)))|(((

Využíva IS Uni

)))|(((

isvs_14317-Elektronická registratúra TUZVO

766

767

isvs_14318-CMS web sidla TUZVO

768

769

isvs_14319 -Prístupový systém TUZVO

770

771

isvs_14316 -Univerzitný informačný systém UIS TUZVO

)))

(% class="" %)|(((

4.

)))|(((

Študent

)))|(((

TUZVO

)))|(((

Využíva IS Uni

)))|(((

isvs_14317-Elektronická registratúra TUZVO

783

784

isvs_14318-CMS web sidla TUZVO

785

786

isvs_14319 -Prístupový systém TUZVO

787

788

isvs_14316 -Univerzitný informačný systém UIS TUZVO

)))

(% class="" %)|(((

5.

)))|(((

podnikateľ

)))|(((

\\

)))|(((

Využíva služby prostredníctvom IS

798

)))|(((

799

isvs_14317-Elektronická registratúra TUZVO

800

801

isvs_14318-CMS web sidla TUZVO

802

803

isvs_14319 -Prístupový systém TUZVO

804

805

isvs_14316 -Univerzitný informačný systém UIS TUZVO

)))

(% class="" %)|(((

6.

)))|(((

Poskytovateľ

IT služieb

)))|(((

\\

)))|(((

Poskytuje služby IS

)))|(((

isvs_14317-Elektronická registratúra TUZVO

819

820

isvs_14318-CMS web sidla TUZVO

821

822

isvs_14319 -Prístupový systém TUZVO

823

824

isvs_14316 -Univerzitný informačný systém UIS TUZVO

)))

**~ **

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}**3.4 Ciele projektu** ===

830

831

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (ďalej len „NKIVS“) a súčasne sú definované tak, aby boli v súlade s očakávanými výsledkami definovanými v Partnerskej dohode Slovenskej republiky na roky 2021 – 2027 (ďalej len „Partnerská dohoda“) pre špecifický cieľ RSO 1.2. Definície cieľov rovnako vychádzajú z národnej stratégie kybernetickej bezpečnosti na roky 2021 až 2025.

832

833

Partnerská dohoda definuje špecifický cieľ RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a konkrétne opatrenie: 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie, oblasť - Kybernetická a informačná bezpečnosť, pričom hlavným cieľom podpory je aj zabezpečenie kybernetickej bezpečnosti v súlade so Stratégiou digitálnej transformácie Slovenska. Stratégia digitálnej transformácie v oblasti kybernetickej bezpečnosti odkazuje na Národnú stratégiu kybernetickej bezpečnosti vydanú Národným bezpečnostným úradom (ďalej len „NBÚ“)

834

835

Národná koncepcia informatizácie verejnej správy určuje v rámci prioritnej osi 4 Kybernetická a informačná bezpečnosť strategickú prioritu Kybernetická a informačná bezpečnosť. Splnenie tejto strategickej priority má byť dosiahnuté nasledujúcimi dvoma cieľmi:

836

837

Cieľ 4.1 Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

838

839

Cieľ 4.2 Posilniť ľudské kapacity a vzdelávanie v oblasti kybernetickej a informačnej bezpečnosti patriace pod prioritnú os 4 Kybernetická a informačná bezpečnosť.

840

841

Z vyššie uvedených cieľov je pre projekt dôležitý cieľ 4.1 a v súlade sním je aj nižšie citovaný strategický cieľ.

842

843

Národná stratégia kybernetickej bezpečnosti na roky 2021 až 2025, ktorá vychádza z Partnerskej dohody definuje vo vzťahu k verejnej správe nasledovný strategický cieľ:

844

845

4.1 Dôveryhodný štát pripravený na hrozby.

846

847

V definícii tohto strategického cieľa uvádza, cit:

848

849

„Kybernetická bezpečnosť je zodpovednosťou každého obyvateľa Slovenskej republiky, no bezpečnosť nemôže fungovať bez existencie mechanizmov na národnej úrovni, ktoré určujú politiku kybernetickej bezpečnosti, systém jej riadenia, ale aj procesy na detekciu a riešenie kybernetických bezpečnostných incidentov, budovanie odborných kapacít a šírenie situačného a bezpečnostného povedomia. Zároveň štát musí pri budovaní dôveryhodnosti vykonávať vyššie uvedené aktivity v súlade s Ústavou Slovenskej republiky a ostatnými zákonmi a vstupovať do základných ľudských práv a slobôd len v nevyhnutnej miere.“

850

851

Cieľový stav uvedeného strategického cieľa je v Národnej stratégii kybernetickej bezpečnosti na roky 2021 až 2025 stanovený nasledovne, cit.:

852

853

„Vybudovanie dostatočného odborného personálneho základu pre systém riadenia informačnej a kybernetickej bezpečnosti nielen na národnej, ale aj sektorovej úrovni. Spolupráca štátu s občanom na úrovni poskytovania dostatočných informácií a odporúčaní a realizácia krokov, ktoré občan reálne pocíti ako zvýšenie vlastnej bezpečnosti a bezpečnosti národného kybernetického priestoru. Vytvorenie a používanie certifikačných schém na široké portfólio typov výrobkov, procesov a služieb. Kvalitnejšie technické, organizačné a personálne zabezpečenie, založené na využívaní moderných prístupov ku kybernetickej bezpečnosti pri detekcii a riešení kybernetických bezpečnostných incidentov. Vybudovanie spôsobilostí na detekciu a riešenie kybernetických bezpečnostných incidentov na všetkých úrovniach. Efektívna spolupráca zainteresovaných subjektov na všetkých úrovniach riešenia informačnej a kybernetickej bezpečnosti. Dobre nastavený proces technickej, ale aj politickej atribúcie kybernetických bezpečnostných incidentov. Systematické a kontinuálne riadenie rizík kybernetickej bezpečnosti v jednotlivých sektoroch. Zlepšenie detekcie a zisťovania kybernetických bezpečnostných incidentov na sektorovej úrovni, zlepšenie a zjednodušenie nahlasovania kybernetických bezpečnostných incidentov nielen zo strany povinných subjektov, ale aj v rovine dobrovoľných hlásení. Podpora spôsobilostí subjektov v oblasti riadenia kontinuity činností.“

854

855

Hlavným cieľom je do prostredia univerzity v zaviesť optimalizáciu procesov riadenia kybernetickej bezpečnosti, riadenie rizík, kontinuity činností a riadenie incidentov pomocou finančných prostriedkov z dopytovej výzvy „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy“. Po implementácii projektu bude proces zavedený a ďalej vykonávaný aj internými zamestnancami, predovšetkým manažérom kybernetickej bezpečnosti, manažérom informačnej bezpečnosti a ďalšími bezpečnostnými zamestnancami. Hlavným výsledkom realizácie projektu bude realizácia a optimalizácia procesov riadenia kybernetickej bezpečnosti, riadenia rizík, kontinuity činností a riadenia incidentov.

856

857

Všetky ciele projektu sú definované v súlade s vyššie uvedenými strategickými dokumentmi:

858

859

(% class="wrapped" %)

(% class="" %)|(((

**ID**

)))|(((

**Názov cieľa**

)))|(((

**Názov strategického cieľa***

866

)))|(((

867

**Spôsob realizácie strategického cieľa**

)))

(% class="" %)|(((

1

)))|(((

Vytvorenie katalógu informačných aktív a realizovaním analýzy rizík na identifikovaných aktívach

873

\\Cieľ realizovaný v zmysle oprávnených podaktivít:

874

- Riadenie rizík

875

)))|(((

876

Dôveryhodný štát pripravený na hrozby

877

\\(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

878

)))|(((

879

Vypracovanie a aktualizácia stratégie kybernetickej bezpečnosti a bezpečnostnej dokumentácie s prihliadnutím na štruktúru bezpečnostnej dokumentácie podľa prílohy č.1 vyhlášky 362/2018 Z.z. Vypracovaná dokumentácia bude pokrývať všetky požadované oblasti požadovanej legislatívy.

880

\\Vypracovaný bude katalóg informačných aktív s určením vlastníkov a administrátorov jednotlivých aktív. Vypracovaný bude katalóg hrozieb a rizík a na základe týchto katalógov bude vypracovaná analýza rizík pre jednotlivé aktíva.

881

Kompletná identifikácia informačných aktív organizácie, vytvorenie katalógu aktív s určením vlastníkov a administrátorov jednotlivých aktív. Vypracovanie zoznamu hrozieb a ohodnotenie dopadov na aktíva z pohľadu triády CIA.

882

Vypracovanie smernice pre riadenie rizík, podľa ktorej bude vykonávaná analýza rizík informačných systémov univerzity.

)))

(% class="" %)|(((

2

)))|(((

Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti

888

\\Cieľ realizovaný v zmysle oprávnených podaktivít:

889

- Organizácia kybernetickej a informačnej bezpečnosti

890

- Personálna bezpečnosť

891

- Riadenie prístupov

892

- Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

893

- Bezpečnosť pri prevádzke informačných systémov a sietí

894

- Hodnotenie zraniteľností a bezpečnostné aktualizácie

895

- Ochrana proti škodlivému kódu

896

- Sieťová a komunikačná bezpečnosť

897

- Zaznamenávanie udalostí a monitorovanie

898

- Fyzická bezpečnosť a bezpečnosť prostredia

899

- Riešenie kybernetických bezpečnostných incidentov

900

- Kryptografické opatrenia

901

- Audit a kontrolné činnosti

902

)))|(((

903

Dôveryhodný štát pripravený na hrozby

904

\\(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

905

)))|(((

906

Vytvorenie, resp. aktualizácia kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.

907

\\Vypracovanie bezpečnostnej politiky pre univerzitu ohľadom riadenia, kontroly a vyhodnocovania stavu kybernetickej bezpečnosti na univerzite. Jedná sa o dokumentáciu, ktorá nie je zahrnutá v jednotlivých kapitolách - stratégia, bezpečnostná politika,...

908

\\Vypracovanie bezpečnostného projektu pre systém Memphis, ktorý spadá pod ISVS.

909

\\Vypracovanie postupov pri nástupe a odchode zamestnanca primárne z pohľadu prideľovania a odoberania prístupov do informačných systémov univerzity.

910

\\Vypracovanie smernice pre koncových užívateľov a administrátorov, podľa ktorej sa bude riadiť bezpečnosť pri narábaní s pridelenými výpočtovými prostriedkami a pri prístupe do informačných systémov univerzity.

911

\\Vypracovanie smernice pre riadenie prideľovania bezpečnostných rolí a úrovní prístupov pre interných a externých zamestnancov z dôvodu umožnenia prístupu k informačným systémom univerzity.

912

\\Určenie a revízia dodávateľských zmlúv s tretími stranami, ktoré majú vplyv na poskytovanie kritických systémov organizácie. Návrh zmien v zmluvách týkajúcich sa oblasti kybernetickej bezpečnosti.

913

\\Vypracovanie návrhu dodatku k zmluve s treťou stranou, ktorý bude pokrývať požiadavky ZoKB, ktoré sa týkajú dodávateľských vzťahov.

914

\\Vypracovanie smernice pre administrátorov, podľa ktorej sa budú riadiť pri správe interných systémov univerzity.

915

\\Vypracovanie postupov pre aplikovanie zmien v informačných systémoch univerzity a smerníc pre zaznamenávanie prevádzkových a bezpečnostných nastavení systémov.

916

\\Vypracovanie interného riadiaceho dokumentu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat.

917

\\Vypracovanie smernice na určenie zodpovednosti používateľov.

918

\\Vypracovanie interného riadiaceho dokumentu pre administrátorov ohľadom ochrany koncových bodov pred škodlivým kódom.

919

\\Vypracovanie interného riadiaceho dokumentu upravujúceho pravidlá sieťovej a komunikačnej bezpečnosti

920

\\Vypracovanie dokumentácie spôsobu monitorovania a fungovania centrálneho log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností.

921

\\Vypracovanie smernice pre fyzickú a objektovú bezpečnosť, ktorá bude definovať požiadavky na zabezpečené priestory a na prístup do týchto priestorov.

922

\\Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností, vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov.

923

\\Vypracovanie smernice pre kryptografické opatrenia, ktorá bude definovať používanie a uchovávanie informácií týkajúcich sa použitých prístupových hesiel a kľúčov, bezpečnostných cetifikátov a ostatných bezpečnostných prvkov.

924

\\Vypracovanie smernice pre posudzovanie bezpečnosti informačných systémov verejnej správy a ich vyhodnocovania.

)))

(% class="" %)|(((

3

)))|(((

Implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke

930

\\Cieľ realizovaný v zmysle oprávnených podaktivít:

931

- Bezpečnosť pri prevádzke informačných systémov a sietí

932

)))|(((

933

Dôveryhodný štát pripravený na hrozby

934

\\(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

935

)))|(((

936

Implementácia nástroja pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení.

)))

(% class="" %)|(((

4

)))|(((

Zvýšenie sieťovej a komunikačnej bezpečnosti nasadením a implementáciou NGFW do siete

942

\\Cieľ realizovaný v zmysle oprávnených podaktivít:

943

- Sieťová a komunikačná bezpečnosť

944

)))|(((

945

Dôveryhodný štát pripravený na hrozby

946

\\(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

947

)))|(((

948

Implementácia a konfigurácia perimetrového firewallu za účelom zabezpečenia bezpečného oddelenia internej siete a internetu. Úlohou tohto firewallu bude aj riešiť bezpečný prestup medzi segmentami siete a taktiež bude zabezpečovať bezpečný vzdialený prístup do siete na základe VPN spojení s overovaním pomocou dvojfaktorovej autentizácie. Zariadenia budú poskytovať pokročilé funkcie ako hĺbková inšpekcia sieťovej prevádzky, detekcia a prevencia hrozieb.

)))

(% class="" %)|(((

5

)))|(((

Implementácia systémov na nepretržitú kontrolu dátových tokov v interných sieťach univerzity

954

\\Cieľ realizovaný v zmysle oprávnených podaktivít:

955

- Sieťová a komunikačná bezpečnosť

956

)))|(((

957

Dôveryhodný štát pripravený na hrozby

958

\\(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

959

)))|(((

960

Implementácia dohľadového nástroja, ktorý sleduje a identifikuje sieťové spojenia na hranici s vonkajšou sieťou, vytvára prehľady o prenesených dátach, o podozrivých prístupoch na škodlivé stránky a je schopný vytvárať automatizované reporty z pohľadu dodržiavania bezpečnostných smerníc.

961

\\Zakúpenie a implementácia nástroja na sledovanie interných dátových tokov pomocou zrkadlenia prevádzky za účelom identifikácie dátových tokov medzi jednotlivými zariadeniami v sieti s funkcionalitou deep-packet-inspection za účelom odhaľovania anomálií v sieťovej prevádzke. Implementácia a konfigurácia nástroja určeného na bezpečnostný dohľad internej komunikácie v sieti na základe deep packet inspection, Na základe sledovania a detegovania podozrivej komunikácie bude možné na základe behaviorálnej analýzy odhaliť podozrivú aktivitu, resp. prienik na servery a systémy, ktoré podporujú základné služby organizácie.

)))

(% class="" %)|(((

6

)))|(((

Implementácia centrálneho log manažment systému pre zber a ukladanie logov zo systémov univerzity s možnosťou korelácie incidentov a eventov a vytvárania alertov

967

\\Cieľ realizovaný v zmysle oprávnených podaktivít:

968

- Sieťová a komunikačná bezpečnosť

969

)))|(((

970

Dôveryhodný štát pripravený na hrozby

971

\\(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

972

)))|(((

973

Zakúpenie a implementácia zariadenia pre centrálny zber systémových logov z rôznych zariadení a systémov prevádzkovaných v sieti univerzity. Vypracovanie pravidiel pre nasadenie logovania na rôzne zariadenia a vytvorenie korelačných pravidiel za účelom notifikovania administrátorov ohľadom podozrivých aktivít v sieti a na systémoch.

974

\\Implementácia SIEM nástroja pre koreláciu dát a informácií z rôznych zdrojov za účelom generovania alertov a vytvárania incidentov za účelom ich evidencie a evidencie postupov riešenia.

)))

(% class="" %)|(((

7

)))|(((

Implementácia systému na sledovanie prevádzkových parametrov a kapacít využívaných systémových prostriedkov.

980

\\Cieľ realizovaný v zmysle oprávnených podaktivít:

981

- Sieťová a komunikačná bezpečnosť

)))|(((

\\

)))|(((

Implementácia dohľadového systému na sledovanie prevádzkových parametrov siete a systémov. Ide primárne o sledovanie dostupnosti jednotlivých zariadení, systémov a služieb a o sledovanie vyťaženosti systémov a služieb na týchto systémoch. Vytvorenie a zadefinovanie hraničných parametrov tak, že pri ich prekročení budú administrátori notifikovaní o vzniknutí tejto udalosti.

)))

(% class="" %)|(((

8

)))|(((

Implementácia nástroja na centrálne riadenie ochrany pred škodlivým kódom

991

\\Cieľ realizovaný v zmysle oprávnených podaktivít:

992

- Ochrana proti škodlivému kódu

993

)))|(((

994

Dôveryhodný štát pripravený na hrozby

995

\\(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

996

)))|(((

997

Implementácia nástroja na centrálne riadenie ochrany pred škodlivým kódom. Bude nasadený nástroj na riadenie aktualizácií na koncových zariadeniach a taktiež bude nakonfigurovaný systém pre centrálnu správu antivírového systému.

)))

(% class="" %)|(((

9

)))|(((

Zavedenie nástroja určeného na notifikovanie o existujúcich zraniteľnostiach programových prostriedkov a ich častí

1003

\\Cieľ realizovaný v zmysle oprávnených podaktivít:

1004

- Hodnotenie zraniteľností a bezpečnostné aktualizácie

1005

)))|(((

1006

Dôveryhodný štát pripravený na hrozby

1007

\\(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

1008

)))|(((

1009

Implementácia a konfigurácia nástroja, ktorý bude automaticky informovať administrátorov systémov v prípade výskytu novej zraniteľnosti na základe prístupov do databáz známych zraniteľností.

)))

(% class="" %)|(((

10

)))|(((

Zvýšenie bezpečnosti pri prevádzke informačných systémov a sietí dobudovaním záložných dátových kapacít

1015

\\Cieľ realizovaný v zmysle oprávnených podaktivít:

1016

- Kontinuita prevádzky

1017

)))|(((

1018

Dôveryhodný štát pripravený na hrozby

1019

\\(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

1020

)))|(((

1021

Implementácia zabezpečeného systému zálohovania vo fyzicky oddelenej budove za účelom zabezpečenia kópie dôležitých systémov a dát v prípade zlyhania alebo zničenia primárnej serverovne. Systém zálohovania by mal mať ochranu pred zmazaním a prepísaním uložených dát a mal by uchovávať zálohy v šifrovanej podobe.

1022

Zaobstaranie licencií potrebných pre úspešné prevádzkovanie bezpečného zálohovania dôležitých systémov a dát.

)))

(% class="" %)|(((

11

)))|(((

Vypracovanie plánov kontinuíty a ich otestovanie

1028

\\Cieľ realizovaný v zmysle oprávnených podaktivít:

1029

- Kontinuita prevádzky

1030

)))|(((

1031

Dôveryhodný štát pripravený na hrozby

1032

\\(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

1033

)))|(((

1034

Vypracovanie stratégie a krízových plánov pre dva kritické systémy univerzity v prevádzke na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu. Vypracovanie dekompozície dôležitých služieb a vypracovanie BIA pre tieto služby, resp. systémy.

1035

\\Vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania.

)))

(% class="" %)|(((

12

)))|(((

Implementácia systému pre inventarizáciu aktív

1041

\\Cieľ realizovaný v zmysle oprávnených podaktivít:

1042

- Riadenie rizík

1043

)))|(((

1044

Dôveryhodný štát pripravený na hrozby

1045

\\(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

1046

)))|(((

1047

Implementácia jednotného informačného systému KB.

1048

Návrh interného systému na riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení"

1049

)))

1050

1051

~* Definícia strategického cieľa vychádza zo strategického cieľa v Národnej stratégii kybernetickej bezpečnosti a nadväzuje na prioritný cieľ Národnej koncepcie informatizácie verejnej správy.

1052

1053

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.5Merateľnéukazovatele(KPI)"/}}**3.5 Merateľné ukazovatele (KPI)** ===

1054

1055

(% class="wrapped" %)

(% class="" %)|(((

**ID**

)))|(((

**ID /Názov cieľa**

)))|(((

**Názov

ukazovateľa (KPI)**

)))|(((

**Popis

ukazovateľa**

)))|(((

**Merná jednotka**

)))|(((

**AS IS

merateľné hodnoty

(aktuálne)**

)))|(((

**TO BE

Merateľné hodnoty

(cieľové hodnoty)**

)))|(((

**Spôsob ich merania**

)))|(((

**Pozn.**

)))

(% class="" %)|(((

1

)))|(((

PO095

/

PSKPS

OI12

)))|(((

Verejné inštitúcie podporované v

1093

1094

rozvoji kybernetických služieb,

produktov a procesov

)))|(((

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.

)))|(((

Verejné inštitúcie

)))|(((

0

)))|(((

1

)))|(((

Identifikácia počtu realizácie opatrení KIB pre inštitúciu –

1107

1108

splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS

1109

1110

Čas plnenia merateľného ukazovateľa projektu:

1111

1112

Fyzické ukončenie realizácie hlavných aktivít projektu

)))|(((

Typ

ukazovateľa:

Výstup

)))

(% class="" %)|(((

\\

)))|(((

PR017

/

PSKPR

CR11

)))|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

1132

)))|(((

1133

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

)))|(((

Užívatelia / rok

)))|(((

0

)))|(((

2400

)))|(((

Sumarizácia počtu používateľov nových a vylepšených

1142

1143

digitálnych služieb – bude určené počtom prístupov v IAM,

1144

1145

Databázou používateľov v oblasti KIB.

1146

1147

V prípade univerzity ide o počet používateľov, ktorí priamo využívajú IS a priamo sa podieľajú na zabezpečovaní základnej služby.

1148

1149

Čas plnenia merateľného ukazovateľa projektu:

1150

1151

v rámci udržateľnosti projektu

)))|(((

Typ

ukazovateľa:

výsledok

)))

\\

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.5.1Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.5.1 **Špecifikácia potrieb koncového používateľa** ===

1163

1164

Z pohľadu TUZVO je koncovým používateľom IT oddelenie a sekundárne zamestnanci TUZVO a študenti, ktorí očakávajú, že nebude vplyvom kybernetických útokov dochádzať k výpadkom prevádzky IS univerzity a tým sa de facto znefunkční poskytovanie univerzitných služieb.

1165

1166

TUZVO plánovaným zapojením do projektu chce zvýšiť všeobecnú úroveň kybernetickej bezpečnosti realizovaním nasledovných krokov:

1167

1168

* vytvorením katalógu informačných aktív a realizovaním analýzy rizík na identifikovaných aktívach,

1169

* vytvorením, resp. aktualizovaním kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.,

1170

* implementáciou technických riešení podporujúcich riadenie bezpečnosti pri prevádzke,

1171

* implementáciou systému na nepretržitú kontrolu dátových tokov v interných sieťach univerzity,

1172

* implementáciou automatického nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou,

1173

* implementáciou centrálneho log manažment systému pre zber a ukladanie logov zo systémov univerzity s možnosťou korelácie incidentov a eventov a vytvárania alertov,

1174

* implementáciou systému na sledovanie prevádzkových parametrov a kapacít využívaných systémových prostriedkov,

1175

* Implementáciou nástroja na centrálne riadenie ochrany pred škodlivým kódom

1176

* implementáciou nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí,

1177

* zavedením nástroja určeného na notifikovanie o existujúcich zraniteľnostiach programových prostriedkov a ich častí,

1178

* zvýšením bezpečnosti pri prevádzke informačných systémov a sietí dobudovaním záložných dátových kapacít,

1179

* vypracovaním plánov kontinuity a ich otestovaním,

1180

* implementáciou systémov na správu a inventarizáciu aktív,

1181

1182

=== {{id name="projekt_2722_Projektovy_zamer_detailny-Predmetplnenia"/}}**Predmet plnenia** ===

1183

1184

**1.Organizácia kybernetickej a informačnej bezpečnosti**

1185

1186

*

1187

** Vypracovanie bezpečnostnej politiky pre univerzitu ohľadom riadenia, kontroly a vyhodnocovania stavu kybernetickej bezpečnosti na univerzite.

1188

** Vypracovanie bezpečnostného projektu pre systém Memphis, ktorý spadá pod ISVS.

1189

** Vytvorenie, resp. aktualizácia kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z. Vypracovaná dokumentácia bude pokrývať všetky požadované oblasti požadovanej legislatívy. Pri vypracovávaní dokumentácie sa bude vychádzať z metodík vydaných MIRRI.

1190

1191

(% style="letter-spacing: 0.0px;" %)**2. Riadenie rizík**

1192

1193

* Kompletná identifikácia informačných aktív univerzity, vytvorenie katalógu aktív s určením vlastníkov a administrátorov jednotlivých aktív. Vypracovanie zoznamu hrozieb a ohodnotenie dopadov na aktíva z pohľadu triády CIA.

1194

* Vypracovaný bude katalóg informačných aktív s určením vlastníkov a administrátorov jednotlivých aktív. Vypracovaný bude katalóg hrozieb a rizík a na základe týchto katalógov bude vypracovaná analýza rizík pre jednotlivé aktíva.

1195

* Implementácia informačného systému určeného pre identifikáciu, analýzu a riadenie rizík v organizácii. RIA IS a ALVAO Asset Management

1196

* Vypracovanie smernice pre riadenie rizík, podľa ktorej bude vykonávaná analýza rizík informačných systémov univerzity

1197

1198

(% style="letter-spacing: 0.0px;" %)**3. Personálna bezpečnosť**

1199

1200

*

1201

** Vypracovanie postupov pri nástupe a odchode zamestnanca primárne z pohľadu prideľovania a odoberania prístupov do informačných systémov univerzity.

1202

** Vypracovanie smernice pre koncových užívateľov a administrátorov, podľa ktorej sa bude riadiť bezpečnosť pri narábaní s pridelenými výpočtovými prostriedkami a pri prístupe do informačných systémov univerzity.

1203

1204

(% style="letter-spacing: 0.0px;" %)**4. Riadenie prístupov**

1205

1206

* Vypracovanie smernice pre riadenie prideľovania bezpečnostných rolí a úrovní prístupov pre interných a externých zamestnancov z dôvodu umožnenia prístupu k informačným systémom univerzity

1207

1208

(% style="letter-spacing: 0.0px;" %)**5. Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami**

1209

1210

* Určenie a revízia dodávateľských zmlúv s tretími stranami, ktoré majú vplyv na poskytovanie kritických systémov organizácie. Návrh zmien v zmluvách týkajúcich sa oblasti kybernetickej bezpečnosti.

1211

* Vypracovanie návrhu dodatku k zmluve s treťou stranou, ktorý bude pokrývať požiadavky ZoKB, ktoré sa týkajú dodávateľských vzťahov.

1212

1213

(% style="letter-spacing: 0.0px;" %)**6. Bezpečnosť pri prevádzke informačných systémov a sietí**

1214

1215

* Analýza a návrh pravidiel a politík pre koncové stanice v závislosti od ich použitia. Činnosť pozostáva z identifikácie use cases a návrhu na optimálne zabezpečenie identifikovaných kategórií pracovných staníc (učebne – študentské, prezentačné PC, zamestnanci pedagogickí, administratívni).

1216

* Vypracovanie smernice pre administrátorov, podľa ktorej sa budú riadiť pri správe interných systémov univerzity. Vypracovanie postupov pre aplikovanie zmien v informačných systémoch univerzity a smerníc pre zaznamenávanie prevádzkových a bezpečnostných nastavení systémov.

1217

* Implementácia nástroja Alvao Service Desk pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení.

1218

* Implementácia a konfigurácia monitorovacieho nástroja, ktorý bude monitorovať prevádzkové parametre prevádzkovaných systémov a ktorý bude alertovať v prípade, že dôjde k odchýlke týchto parametrov od bežnej prevádzky.

1219

1220

(% style="letter-spacing: 0.0px;" %)**7. Hodnotenie zraniteľností a bezpečnostné aktualizácie**

1221

1222

* Implementácia a konfigurácia nástroja, ktorý bude automaticky informovať administrátorov systémov v prípade výskytu novej zraniteľnosti na základe prístupov do databáz známych zraniteľností.

1223

* Inštalácia servera podľa požiadaviek aplikácie a konfigurácie systému pre notifikáciu zraniteľností v kritických systémoch.

1224

* Vypracovanie interného riadiaceho dokumentu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat.

1225

1226

(% style="letter-spacing: 0.0px;" %)**8. Ochrana proti škodlivému kódu**

1227

1228

* Vypracovanie smernice ohľadom implementácie a správy systémov, ktoré majú za úlohu chrániť organizáciu pred škodlivým kódom.

1229

* Implementácia a zdokumentovanie nasadenia centrálneho riadenia v súčasnosti nasadeného riešenia ESET pre ochranu pred škodlivým kódom.

1230

* Vypracovanie interného riadiaceho dokumentu pre administrátorov ohľadom ochrany koncových bodov pred škodlivým kódom

1231

1232

(% style="letter-spacing: 0.0px;" %)**9. Sieťová a komunikačná bezpečnosť**

1233

1234

* Implementácia a konfigurácia perimetrového firewallu za účelom zabezpečenia bezpečného oddelenia internej siete a internetu. Úlohou tohto firewallu bude aj riešiť bezpečný prestup medzi segmentami siete a taktiež bude zabezpečovať bezpečný vzdialený prístup do siete na základe VPN spojení s overovaním pomocou dvojfaktorovej autentizácie

1235

* Vypracovanie interného riadiaceho dokumentu upravujúceho pravidlá sieťovej a komunikačnej bezpečnosti

1236

* Implementácia dohľadového nástroja, ktorý sleduje a identifikuje sieťové spojenia na hranici s vonkajšou sieťou, vytvára prehľady o prenesených dátach, o podozrivých prístupoch na škodlivé stránky a je schopný vytvárať automatizované reporty z pohľadu dodržiavania bezpečnostných smerníc.

1237

* Implementácia samostatného hardvérového a konfigurácia nástroja určeného na bezpečnostný dohľad internej komunikácie na základe deep packet inspection, ktorý bude sledovať primárne komunikáciu interných zamestnancov na serverovú infraštruktúru univerzity. Na základe sledovania a detegovania podozrivej komunikácie bude možné na základe behaviorálnej analýzy odhaliť podozrivú aktivitu, resp. prienik na servery a systémy, ktoré podporujú základné služby univerzity

1238

1239

(% style="letter-spacing: 0.0px;" %)**10. Zaznamenávanie udalostí a monitorovanie**

1240

1241

* Zaobstaranie, implementácia a konfigurácia centrálneho logovacieho systému, ktorý bude bezpečným spôsobom zbierať, vyhodnocovať, vizualizovať a ukladať systémové logy zo všetkých dôležitých systémov univerzity

1242

* Nastavenie požadovaných alertov z centrálneho logovacieho systému, ktoré budú na základe korelačných pravidiel vytvárať alerty v prípade vzniku podozrivej aktivity na logovaných systémoch

1243

* Vypracovanie dokumentácie spôsobu monitorovania a fungovania centrálneho log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností

1244

* Implementácia a konfigurácia monitorovacieho nástroja, ktorý bude monitorovať prevádzkové parametre prevádzkovaných systémov a ktorý bude alertovať v prípade, že dôjde k odchýlke týchto parametrov od bežnej prevádzky.

1245

* Tento cieľ bude naplnený implementáciou pohľadového systému pre sledovanie prevádzkových parametrov všetkých systémov podieľajúcich sa na prevádzke alebo podpore poskytovaných služieb: sieťových zariadení, serverov, aplikácií a ďalších IT prostriedkov. Robustná open-source platforma určená na monitorovanie sietí, serverov a aplikácií. Jeho hlavnou úlohou je poskytovať komplexný prehľad o výkone a dostupnosti vašej IT infraštruktúry v reálnom čase, čo umožňuje efektívne predchádzať problémom skôr, než negatívne ovplyvnia chod IKT. Systém musí podporovať široké spektrum metód na zber dát vrátane agentov, SNMP, IPMI, JMX, trapy a log súbory, čo zaručí flexibilitu a kompatibilitu s rôznymi zariadeniami a aplikáciami. V prípade potreby musí byť možné využiť proxy, ktorý zníži záťaž na hlavný server a umožní efektívne monitorovanie geograficky vzdialených lokalít.

1246

* Kľúčové požadované vlastnosti:

1247

** konfigurovateľné upozornenia a notifikácie, ktoré môžu byť zasielané prostredníctvom emailov, SMS, skriptov alebo webhookov,

1248

** vizualizácia dát pomocou grafov, máp, prehľadov a dashboardov,

1249

** šifrovaná komunikácia medzi serverom, agentmi a užívateľom, čo zaručuje ochranu citlivých informácií,

1250

** podpora autentifikácie a rôznych úrovní prístupových práv zabezpečí, že prístup k monitorovacím dátam budú len oprávnené osoby.

1251

1252

(% style="letter-spacing: 0.0px;" %)**11. Fyzická bezpečnosť a bezpečnosť prostredia**

1253

1254

* Vypracovanie smernice pre fyzickú a objektovú bezpečnosť, ktorá bude definovať požiadavky na zabezpečené priestory a na prístup do týchto priestorov.

1255

1256

(% style="letter-spacing: 0.0px;" %)**12. Riešenie kybernetických bezpečnostných incidentov**

1257

1258

* Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností, vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov

1259

1260

(% style="letter-spacing: 0.0px;" %)**13. Kryptografické opatrenia**

1261

1262

* Vypracovanie smernice pre kryptografické opatrenia, ktorá bude definovať používanie a uchovávanie informácií týkajúcich sa použitých prístupových hesiel a kľúčov, bezpečnostných certifikátov a ostatných bezpečnostných prvkov

1263

1264

(% style="letter-spacing: 0.0px;" %)**14. Kontinuita prevádzky**

1265

1266

* Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu. Vypracovanie dekompozície dôležitých služieb a vypracovanie BIA pre tieto služby, resp. systémy

1267

* Vypracovanie plánov kontinuity prevádzky pre dva kritické systémy univerzity a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania.

1268

* Vykonanie testovania navrhnutých plánov kontinuity a zapracovanie nedostatkov z výsledkov testovania

1269

* Implementácia zabezpečeného systému zálohovania vo fyzicky oddelenej budove za účelom zabezpečenia kópie dôležitých systémov a dát v prípade zlyhania alebo zničenia primárnej serverovne. Systém zálohovania by mal mať ochranu pred zmazaním a prepísaním uložených dát a mal by uchovávať zálohy v šifrovanej podobe

1270

* Zaobstaranie licencií potrebných pre úspešné prevádzkovanie bezpečného zálohovania dôležitých systémov a dát

1271

* Tento bod bude splnený dodávkou HW zariadení na ukladanie záložných kópií a taktiež dodávkou samostatných diskových úložísk za účelom vytvárania offline kópií zálohovaných systémov.

1272

* V projekte by mali byť pokryté nasledujúce činnosti:

1273

** Dodávka hardvéru na ukladanie šifrovanej zálohy dát.

1274

** Realizácia inštalačných a konfiguračných služieb, ktoré zabezpečia možnosť ukladania zálohy prevádzkových dát, vrátane testovacej obnovy dát.

1275

* Výsledný systém zálohovania na zabezpečenie kontinuity prevádzky bude mať nasledovné kľúčové prvky:

1276

** Dátový sklad musí byť navrhnutý a realizovaný tak, aby zabránil útočníkom v neoprávnenom zmenení alebo odstránení zálohovaných dát. To znamená, že raz uložené dáta nie sú zraniteľné voči zmenám alebo útokom, čím sa zabezpečuje ich dôveryhodnosť.

1277

** Musí byť vybavený mechanizmami na overenie a šifrovanie, čo zvyšuje bezpečnosť uložených dát. Digitálne podpisy a šifrovanie musia pomôcť pri zabezpečovaní integrity a dôvernosti dát.

1278

** Musí byť navrhnutý s dôrazom na správne riadenie prístupu. To znamená, že iba oprávnené osoby alebo procesy by mali mať prístup k zálohovaným dátam, a to na základe princípu najnižších pridelených oprávnení.

1279

1280

(% style="letter-spacing: 0.0px;" %)**15. Audit a kontrolné činnosti**

1281

1282

* Vypracovanie smernice pre posudzovanie bezpečnosti informačných systémov verejnej správy a ich vyhodnocovania.

1283

1284

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.6Rizikáazávislosti"/}}**3.6 Riziká a závislosti** ===

1285

1286

Zoznam rizík a závislostí je detailne rozpracovaný v prílohe tohto dokumentu č. 1: Zoznam rizík a závislostí. Tento zoznam bude počas celej realizácie projektu aktualizovaný.

1287

1288

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.7Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}**3.7 Stanovenie alternatív v biznisovej vrstve architektúry** ===

1289

1290

Posudzovanie alternatív riešenia vychádza z viacerých možností. V prípade TUZVO, ktorá má zabezpečenú čiastočnú úroveň kybernetickej bezpečnosti prichádzajú do úvahy nasledovné 3 alternatívy:

1291

1292

1. Ponechanie existujúceho stavu – ide o nultý stav, v ktorom TUZVO spĺňa len čiastočné požiadavky na kybernetickú bezpečnosť a ide o možné ohrozenie IS TUZVO.

1293

1. Realizácia projektu KIB s doplnením vybraných opatrení (t.j. nie všetkých) – došlo by k zvýšeniu súladu s legislatívou a s požiadavkami na technické zabezpečenie KB, ale informačné systémy univerzity by boli naďalej kriticky ohrozené.

1294

1. Realizácia opatrení na dosiahnutie zvýšenia súladu KIB s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS – pôjde o také zvýšenie súladu s požiadavkami príslušnej legislatívy v oblasti KIB, ktorá zabezpečí ochranu TUZVO pred najväčšími hrozbami, pričom by šlo o in house riešenie (dohľad nad všetkými systémami vo vlastnej réžii TUVZO).

1295

1. Realizácia opatrení na dosiahnutie zvýšenia súladu KIB s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS – pôjde o také zvýšenie súladu s požiadavkami príslušnej legislatívy v oblasti KIB, ktorá zabezpečí ochranu TUVZO pred najväčšími hrozbami a niektoré služby budú realizované ako externá služba (SIEM a SOC služby realizované ako služba).

1296

1297

Z hľadiska identifikovaných procesov v kapitole 3.5 alternatíva 1 nepokryje riešenie žiadneho z identifikovaných problémov.

1298

1299

V prípade čiastkového riešenia (alternatíva 2) by boli zvolené iba niektoré z procesov, ktoré by boli projektom vyriešené.

1300

1301

V prípade alternatívy 3 budú podporené všetky procesy v oblasti KIB, ktoré je potrebné pre účely ochrany IS, a ktoré zabezpečujú prevádzku TUZVO.

1302

1303

Alternatíva 4 rieši pokrytie všetkých procesov v oblasti KIB, ktoré sú potrebné pre účely ochrany IS, ale vyžadujú platbu externým subjektom minimálne počas doby udržateľnosti projektu.

1304

1305

Na základe zhodnotenia sa ukazuje ako najprijateľnejšia alternatíva možnosť 3, kedy dôjde k značnému zvýšeniu stavu KB na univerzite a nebude ohrozená udržateľnosť z dôvodu finančnej náročnosti.

1306

1307

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.8Multikriteriálnaanalýza"/}}**3.8 Multikriteriálna analýza** ===

1308

1309

Multikriteriálna analýza je v tomto prípade redukovaná na dva parametre:

1310

1311

1. Potrebu zosúladenia úrovne kybernetickej bezpečnosti s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS na maximálnu možnú dosiahnuteľnú úroveň. Táto požiadavka sa dotýka všetkých stakeholderov a predstavuje KO kritérium. Ak nemá dôjsť k zásadnému zvýšeniu kybernetickej a informačnej bezpečnosti TUZVO, t.j. ak má zostať ponechaný stav alebo iba dôjde k čiastočnému zlepšeniu, nebude možné považovať realizovaný projekt za úspešný.

1312

1. Udržateľnosť riešenia.

1313

1314

Z vyššie uvedených možných alternatív vyplýva, že s ohľadom na potreby a finančné možnosti TUZVO v rámci udržateľnosti je najvýhodnejšia a dlhodobo udržateľná alternatíva 3.

1315

1316

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.9Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}**3.9 Stanovenie alternatív v aplikačnej vrstve architektúry** ===

1317

1318

HW a SW komponenty, rovnako ako služby, ktoré sú s nimi spojené musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi - tými sú v tomto prípade oddelenie informatiky, ktoré vychádza z požiadaviek zákona o kybernetickej bezpečnosti, zákona o ISVS, vyhlášky 362/2018 Z. z. a ďalších predpisov.

1319

1320

Aplikačná vrstva predpokladá dve alternatívy:

1321

1322

1. realizácia všetkých opatrení na úrovni TUZO v zmysle definovaných požiadaviek, pričom všetky technológie na realizáciu opatrení KIB budú vytvorené ako IN-HOUSE riešenie - táto architektúra zodpovedá alternatíve 3 popísanej v multikriteriálnej analýze

1323

1. realizácia všetkých opatrení na úrovni TUZVO v zmysle definovaných požiadaviek, pričom niektoré technológie na realizáciu opatrení KIB budú vytvorené ako IN-HOUSE riešenie a niektoré ako služba, konkrétne SIEM - táto architektúra zodpovedá alternatíve 4 popísanej v multikriteriálnej analýze.

1324

1325

Aplikačne teda bude zvolená architektúra 1.

1326

1327

=== {{id name="projekt_2722_Projektovy_zamer_detailny-3.10Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}**3.10 Stanovenie alternatív v technologickej vrstve architektúry** ===

1328

1329

Z hľadiska použitých technológií nie sú definované alternatívy. Požiadavky na technológie sú definované všeobecne tak, aby ľubovoľnú SW a HW technológia, ktorá splní definované požiadavky koncového používateľa, bolo možné použiť na realizáciu projektu.

1330

1331

**~ Technologickú architektúru riešenia definuje nasledovný obrázok:**

1332

1333

[[image:attach:image-2024-6-23_14-30-52-1.png]]

\\

== {{id name="projekt_2722_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}**4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU)** ==

1338

1339

**Výsledkom projektu budú:**

1340

1341

Projektové výstupy v zmysle vyhlášky 401/2023 o riadení projektov. V prípade, že predmetom realizácie bude dielo (oceniteľné práva a/alebo zdrojový kód), získa TUZVO právo vykonávať autorské práva k tomuto dielu, vrátane výhradnej a územne neobmedzenej licencie. Tieto podmienky sa nevzťahujú na tzv. krabicový softvér, ktorý je predávaný ako produkt či už realizátora alebo tretej strany.

1342

1343

Z hľadiska plnenia cieľov projektu bude výsledkom projektu naplnenie hlavného cieľa, t.j. súlad KIB so zákonom o kybernetickej bezpečnosti a so zákonom o ISVS, čo bude naplnené realizáciu nasledovných partikulárnych cieľov:

1344

1345

* Organizácia kybernetickej a informačnej bezpečnosti

1346

* Riadenie rizík

1347

* Personálna bezpečnosť

1348

* Riadenie prístupov

1349

* Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

1350

* Bezpečnosť pri prevádzke informačných systémov a sietí

1351

* Hodnotenie zraniteľností a bezpečnostné aktualizácie

1352

* Ochrana proti škodlivému kódu

1353

* Sieťová a komunikačná bezpečnosť

1354

* Zaznamenávanie udalostí a monitorovanie

1355

* Fyzická bezpečnosť a bezpečnosť prostredia

1356

* Riešenie kybernetických bezpečnostných incidentov

1357

* Kryptografické opatrenia

1358

* Kontinuita prevádzky

1359

* Audit a kontrolné činnosti

1360

1361

Technologicky a administratívne pôjde o realizáciu nasledovných cieľov:

1362

1363

* Vytvorenie katalógu informačných aktív a realizovaním analýzy rizík na identifikovaných aktívach

1364

* Vytvorenie, resp. aktualizácia kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.

1365

* Implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke

1366

* Zvýšenie sieťovej a komunikačnej bezpečnosti nasadením a implementáciou NGFW a segmentáciou siete

1367

* Implementácia systémov na nepretržitú kontrolu dátových tokov v interných sieťach univerzity

1368

* Implementácia centrálneho log manažment systému pre zber a ukladanie logov zo systémov univerzity s možnosťou korelácie incidentov a eventov a vytvárania alertov

1369

* Implementáciou systému na sledovanie prevádzkových parametrov a kapacít využívaných systémových prostriedkov.

1370

* Implementácia nástroja na centrálne riadenie ochrany pred škodlivým kódom

1371

* Zavedenie nástroja určeného na notifikovanie o existujúcich zraniteľnostiach programových prostriedkov a ich častí

1372

* Zvýšenie bezpečnosti pri prevádzke informačných systémov a sietí dobudovaním záložných dátových kapacít

1373

* Vypracovanie plánov kontinuíty a ich otestovanie

1374

* Implementácia systémov na správu a inventarizáciu aktív

\\

== {{id name="projekt_2722_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}**5. NÁHĽAD ARCHITEKTÚRY** ==

1379

1380

Architektúra celého riešenia je v zmysle usmernenia MIRRI SR rámcová tak, aby bolo z projektu zrejmé, ktoré komponenty v rámci realizácie projektu budú vytvorené (a budú realizovať opatrenia KIB).

1381

1382

Primárne opatrenia kybernetickej bezpečnosti chránia IS TUZVO, ktoré sú určené na prevádzkovanie univerzitných služieb TUZVO. Z vyššie definovaných potrieb je zrejmé, o aké komponenty zabezpečenia pôjde - firewally, multifaktorové overovanie, centrálny logovací nástroj, nástroj na sledovanie prevádzkových parametrov siete, nástroje na detekciu v sieti a na hranici siete, nástroj na analýzu dátových tokov v sieti, systém na vyhodnocovanie kybernetických bezpečnostných udalostí a incidentov, centrálne riadenie záplat a aktualizácií, záložná kópia prevádzkových dát, kompletná dokumentácia podľa ZoKB vrátane BCM plánov.

1383

1384

**~ Aplikačnú architektúru riešenia definuje nasledovný obrázok:**

\\

**[[image:attach:image-2024-6-23_14-41-43-1.png]]**

\\

== {{id name="projekt_2722_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}**6. LEGISLATÍVA** ==

1393

1394

V rámci platnej legislatívy nebude potrebné meniť žiadnu legislatívu. Projekt je realizovaný za účelom dosiahnutia súladu s platnou legislatívou a to najmä:

1395

1396

* Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

1397

* Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

1398

* Vyhláška č.78/2020 Z.z. o štandardoch pre ITVS

1399

* Vyhláška č.401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy

1400

* Vyhláška 179/2020 Z.z. o obsahu bezpečnostných opatrení ITVS

1401

* Vyhláška 362/2018 Z.z. o obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení)

\\

== {{id name="projekt_2722_Projektovy_zamer_detailny-7.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}**7. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA** ==

1406

1407

Harmonogram projektu je definovaný na základe odporúčania MIRRI SR, ktoré predpokladá trvanie projektu na úrovni približne jedného roka. S ohľadom na potreby nákupu a implementácie technológií vrátane potreby ich skúšobnej prevádzky sa s týmto časom stotožňujeme.

1408

1409

Začiatok realizačnej fázy projektu vyplýva z predpokladu, že realizácia projektu začne až po ukončení administratívneho a odborného hodnotenia a po podpise Zmluvy o NFP, pričom je definovaná dostatočná časová rezerva na tieto úkony. Rovnako na procesy verejného obstarávania, ktoré môžu potenciálne začať v krátkom čase po podaní žiadosti o NFP.

1410

1411

(% class="wrapped" %)

(% class="" %)|(((

**ID**

)))|(((

**FÁZA/AKTIVITA**

)))|(((

**ZAČIATOK**

**(odhad termínu)**

)))|(((

**KONIEC**

**(odhad termínu)**

)))|(((

**POZNÁMKA**

)))

(% class="" %)|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

4/2024

)))|(((

12/2024

)))|(((

Podpísanie zmluvy o NFP

1437

1438

Spustenie procesov VO

)))

(% class="" %)|(((

2.

)))|(((

Realizačná fáza

)))|(((

01/2025

)))|(((

11/2025

)))|(((

Podpísanie zmlúv s dodávateľmi po ukončení VO, realizácia

)))

(% class="" %)|(((

2a

)))|(((

Analýza a Dizajn

)))|(((

04/2025

)))|(((

05/2025

)))|(((

\\

)))

(% class="" %)|(((

2b

)))|(((

Nákup technických prostriedkov, programových prostriedkov a služieb

)))|(((

04/2025

)))|(((

08/2025

)))|(((

\\

)))

(% class="" %)|(((

2c

)))|(((

Implementácia a testovanie

)))|(((

08/2025

)))|(((

10/2025

)))|(((

Min. 2 mesiace test. prevádzky

)))

(% class="" %)|(((

2d

)))|(((

Nasadenie opatrení

)))|(((

10/2025

)))|(((

11/2025

)))|(((

\\

)))

(% class="" %)|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

10/2025

)))|(((

12/2025

)))|(((

Počas dokončovacej fázy projektový manažér pripraví podklady a odovzdá na schválenie záverečnú žiadosť o platbu a záverečnú monitorovaciu správu.

)))

(% class="" %)|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

01/2026

)))|(((

01/2031

)))|(((

Obdobie udržateľnosti

)))

\\

Ako metóda riadenia projektu bude použitá metóda „Waterall“. Táto metóda sa ukázala byť ako najvhodnejšia nakoľko svojimi charakteristikami a možnosťami plne zodpovedá požiadavkám a predstavám univerzity.

1521

1522

Schéma metódy projektového riadenia:

1523

1524

**[[image:attach:image-2024-6-23_14-42-19-1.png]]**

\\

== {{id name="projekt_2722_Projektovy_zamer_detailny-8.ROZPOČETAPRÍNOSY"/}}**8. ROZPOČET A PRÍNOSY** ==

1529

1530

V uvedenom projekte vychádzame pri stanovení rozpočtu z prieskumu trhu a pravidiel stanovených výzvou. S ohľadom na rozpočet projektu (projekt do 1 000 000,00,- EUR) nebola spracovaná Analýza nákladov a prínosov.

1531

1532

=== {{id name="projekt_2722_Projektovy_zamer_detailny-8.1.Sumarizácianákladovaprínosov"/}}**8.1. Sumarizácia nákladov a prínosov** ===

1533

1534

(% class="wrapped" %)

(% class="" %)|(((

**Náklady**

)))|(((

**Infraštruktúra pre prevádzku kybernetickej bezpečnosti**

)))|(((

**Dokumentácia KB**

)))|(((

**Pre všetky podaktivity**

)))

(% class="" %)|(((

**IT - CAPEX**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

SW

)))|(((

118 392,00 €

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

HW

)))|(((

141 081,60 €

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Práce/služby

)))|(((

18 480,00 €

)))|(((

57 000,07 €

)))|(((

\\

)))

(% class="" %)|(((

Mzdy interní zamestnanci

)))|(((

\\

)))|(((

\\

)))|(((

121 386,89 €

)))

(% class="" %)|(((

Paušálne výdavky

)))|(((

\\

)))|(((

\\

)))|(((

31943,84 €

)))

(% class="" %)|(((

**IT - OPEX- prevádzka**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

SW

)))|(((

35 836,80 €*

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

HW

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

***V Detailných informáciách projektu je uvedená suma 29 864 Eur, čo je 35 836,80 s DPH.**

1645

1646

=== {{id name="projekt_2722_Projektovy_zamer_detailny-8.2.Sumarizáciapodľapodaktivít"/}}8.2. Sumarizácia podľa podaktivít ===

1647

1648

(% class="relative-table wrapped" style="width: 90.1263%;" %)

(% class="" %)|(((

**Názov**

)))|(((

**HW**

)))|(((

**SW**

)))|(((

**Služby**

)))

(% class="" %)|(((

1.Vytvorenie katalógu informačných aktív a realizovaním analýzy rizík na identifikovaných aktívach

)))|(((

\\

)))|(((

\\

)))|(((

5 400,00 €

)))

(% class="" %)|(((

2.Vytvorenie, resp. aktualizácia kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.

)))|(((

\\

)))|(((

\\

)))|(((

33 600,07 €

)))

(% class="" %)|(((

3.Implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke

)))|(((

\\

)))|(((

24 000,00 €

)))|(((

\\

)))

(% class="" %)|(((

4.Zvýšenie sieťovej a komunikačnej bezpečnosti nasadením a implementáciou NGFW do siete

)))|(((

17 328,00 €

)))|(((

11 520,00 €

)))|(((

\\

)))

(% class="" %)|(((

5.Implementácia systémov na nepretržitú kontrolu dátových tokov v interných sieťach univerzity

)))|(((

70 392,00 €

)))|(((

1 680,00 €

)))|(((

1 200,00 €

)))

(% class="" %)|(((

6.Implementácia centrálneho log manažment systému pre zber a ukladanie logov zo systémov univerzity s možnosťou korelácie incidentov a eventov a vytvárania alertov

)))|(((

28 923,60 €

)))|(((

\\

)))|(((

7 680,00 €

)))

(% class="" %)|(((

7.Implementáciou systému na sledovanie prevádzkových parametrov a kapacít využívaných systémových prostriedkov.

)))|(((

\\

)))|(((

\\

)))|(((

4 200,00 €

)))

(% class="" %)|(((

8.Implementácia nástroja na centrálne riadenie ochrany pred škodlivým kódom

)))|(((

\\

)))|(((

\\

)))|(((

2 400,00 €

)))

(% class="" %)|(((

9.Zavedenie nástroja určeného na notifikovanie o existujúcich zraniteľnostiach programových prostriedkov a ich častí

)))|(((

\\

)))|(((

\\

)))|(((

3 000,00 €

)))

(% class="" %)|(((

10.Zvýšenie bezpečnosti pri prevádzke informačných systémov a sietí dobudovaním záložných dátových kapacít

)))|(((

24 438,00 €

)))|(((

4 992,00 €

)))|(((

\\

)))

(% class="" %)|(((

11.Vypracovanie plánov kontinuíty a ich otestovanie

)))|(((

\\

)))|(((

\\

)))|(((

18 000,00 €

)))

(% class="" %)|(((

12.Implementácia systémov na správu a inventarizáciu aktív

)))|(((

\\

)))|(((

76 200,00 €

)))|(((

\\

)))

V prípade projektov kybernetickej bezpečnosti je priame vyčíslenie návratnosti pomerne komplikované. Z pohľadu návratnosti je potrebné venovať sa hodnoteniu možných škôd, ktoré by vznikli v prípade, že nebude adekvátne riešená KIB na úrovni poskytovateľa základnej služby. Ide o nasledovné potenciálne škody:

1768

1769

Finančné riziko – dôsledky kybernetického útoku. Ide o možné sankcie vyplývajúce priamo z legislatívnych rámcov, prípadných súdnych sporov (v prípade napríklad úniku osobných údajov) ako aj nákladov spojených so sanáciou prípadného kybernetického incidentu. Tieto finančné prostriedky nie je možné momentálne vyčísliť, reálne však môže niekoľko násobne prekročiť straty interných finančných prostriedkov univerzity.

1770

1771

Reputačné riziko – vzhľadom na postavenie a oblasť spoločenskej dôležitosti a zákonných povinností univerzity, je toto riziko potenciálne vysoké – teda v prípade neplnenia legislatívnych požiadaviek v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS alebo vyhlášky 362 /2018 Z. z. či reálneho výpadku prevádzky základnej služby, úniku citlivých dát v kombinácii aj s prípadnou medializáciou a pod.

\\

== {{id name="projekt_2722_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}**9. PROJEKTOVÝ TÍM** ==

1776

1777

Pre účely realizácie projektu sa zostavuje Riadiaci výbor (RV), v minimálne nasledovnom zložení:

Riadiaci výbor

* Predseda RV - prorektorka pre rozvoj prof. Bc. RNDr. Danica Kačíková, MSc., PhD.

1782

* Vlastník procesov - vedúca odd. informačných systémov Ing. Jana Námešná

1783

* projektový manažér - Ing. Tibor Weis - riaditeľ CIT

1784

* zástupca dodávateľa (doplní sa po vysúťažení)

1785

1786

Interný projektový tím objednávateľa

1787

1788

* Projektový manažér - Ing. Tibor Weis - riaditeľ CIT

1789

* IT analytik - Mgr. Svetlana Hanzélyová

1790

* IT architekt - vedúci odd. komunikačných sietí Bc. Miroslav Ďurian

1791

* Manažér kybernetickej a informačnej bezpečnosti - Ing. Lukáš Maťokár

1792

* Zástupca kľúčových používateľov - vedúci odd. správy používateľov - Ing. Ján Kíšik

\\

(% class="wrapped" %)

(% class="" %)|(((

**ID**

)))|(((

**Meno a Priezvisko**

)))|(((

**Pozícia**

)))|(((

**Oddelenie**

)))|(((

**Rola v projekte**

)))

(% class="" %)|(((

1.

)))|(((

Ing. Tibor Weis

)))|(((

riaditeľ

)))|(((

Centrum informačných technoloógií

)))|(((

Projektový manažér

)))

(% class="" %)|(((

2.

)))|(((

Mgr. Svetlana Hanzélyová

1823

)))|(((

1824

Analytik, metodik a správca IT systémov

1825

)))|(((

1826

odd. Informačných systémov

)))|(((

IT analytik 1

)))

(% class="" %)|(((

3.

)))|(((

Bc. Miroslav Ďurian

)))|(((

vedúci odd. komunikačných sietí

1836

)))|(((

1837

odd. Komunikačných sietí CIT

)))|(((

IT architekt

)))

(% class="" %)|(((

4.

)))|(((

Ing. Lukáš Maťokár

)))|(((

Analytik, metodik a správca univerzitnej siete TUZVOnet

1847

)))|(((

1848

odd. Komunikačných sietí CIT

1849

)))|(((

1850

Manažér kybernetickej a informačnej bezpečnosti

)))

(% class="" %)|(((

5.

)))|(((

Ing. Ján Kíšik

)))|(((

vedúci odd. Správy používateľov

1858

)))|(((

1859

odd. Správy používateľov

)))|(((

Kľučový používateľ

)))

(% class="" %)|(((

6.

)))|(((

Ing. Iveta Kíšiková

)))|(((

analytik, metodik a správca univerzitného web servera a webového redakčného systému

1869

)))|(((

1870

odd. Správy používateľov

)))|(((

IT analytik 2

)))

(% class="" %)|(((

7

)))|(((

Ing. Jana Námešná

)))|(((

analytik, metodik a správca univerzitného informačného systému

1880

)))|(((

1881

odd. Informačných systémov

)))|(((

vlastník procesov

)))

\\

Všetci členovia tímu sú internými zamestnancami TUZVO ku dňu podania ŽoNFP.

1889

1890

Stručne zodpovednosti jednotlivých rolí:

1891

1892

**__Projektová rola: Biznis vlastník__**

Zodpovedný za:

* Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov.

1897

* Spoluprácu pri riešení odpovedí na otvorené otázky a riziká projektu.

1898

* Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej) · Riešenie problémov a požiadaviek v spolupráci s odbornými garantmi,

1899

* Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek · Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu

1900

* Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť, · Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,

1901

* Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu (BC/CBA)

1902

* Schválenie akceptačných kritérií,

1903

* Riešenie problémov používateľov

1904

* Akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,

1905

* Vykonanie UX a UAT testovania

1906

* Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,

1907

* Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

1908

* Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch.

1909

* Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a prioritizácii

1910

* Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd,

1911

* Okrem zvažovaní rizík prevádzkových alebo podporných procesov súčasne vlastník napomáha identifikovať príležitosti,

1912

* Zlepšovanie a optimalizáciu procesov v spolupráci s ďalšími prepojenými vlastníkmi procesov a manažérom kvality,

1913

* Odsúhlasenie akceptačných protokolov zmenových konaní

1914

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1 plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

**__Projektová rola: Projektový manažér objednávateľa (PM)__**

Zodpovedný za:

* Riadenie projektu podľa pravidiel stanovených vo Vyhláške 401/2023 Z. z.

1923

* Riadenie prípravy, inicializácie a realizácie projektu

1924

* Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii ·

1925

* Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

1926

* Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

1927

* Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

1928

* Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z. Z., Prílohou č.1

1929

* Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

1930

* Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 401/2023 Z. , Prílohy č.1

1931

* Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 401/2023 Z. z., Prílohou č.1 na rokovanie RV

1932

* Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

1933

* Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

1934

* Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

1935

* Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

1936

* Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

1937

* Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

1938

* Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

1939

* Riadenie implementačných a prevádzkových aktivít v rámci projektov.

1940

* Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

1941

* Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

1942

* Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

1943

* Dodržiavanie metodík projektového riadenia,

1944

* Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr

1945

1946

**__Projektová rola: KĽUČOVÝ POUŽIVATEĽ (end user)__**

Zodpovedný za:

* Návrh a špecifikáciu funkčných a technických požiadaviek

1951

* Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

1952

* Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, · Špecifikáciu požiadaviek koncových používateľov na prínos systému

1953

* Špecifikáciu požiadaviek na bezpečnosť,

1954

* Návrh a definovanie akceptačných kritérií,

1955

* Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

1956

* Finálne odsúhlasenie používateľského rozhrania

1957

* Vykonanie akceptačného testovania (UAT)

1958

* Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

1959

* Finálny návrh na spustenie do produkčnej prevádzky,

1960

* Predkladanie požiadaviek na zmenu funkcionalít produktov

1961

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1962

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

1963

* Realizáciu kvalitatívneho používateľského výskumu (nastavenie požiadaviek na regrutáciu, návrh scenára, vedenie rozhovoru a vyhodnotenie výskumu).

1964

* Realizáciu kvantitatívneho používateľského výskumu (nastavenie požiadaviek na regrutáciu, návrh scenára, vedenie dotazníku a vyhodnotenie výskumu).

1965

* Syntetizáciu biznis, technických a používateľských požiadaviek.

1966

* Realizáciu formatívnych a sumatívnych testovaní použiteľnosti (nastavenie požiadaviek na regrutáciu, návrh scenára, vedenie rozhovoru a vyhodnotenie výskumu).

1967

* Návrh informačnej architektúry a to najmä metódami triedenia kariet (card sorting), návrhom mapy stránky a screen flow.

1968

* Tvorbu, testovanie a iteráciu prototypov – napr. pomocou Axure, Sketch, Figma alebo Adobe XD

1969

* Mapovanie zákazníckych ciest

1970

* Analýzu a návrh riešenia problematiky prístupnosti webových sídiel,

1971

* Podporu a spoluprácu pri tvorbe Stratégie riadenia kvality (princípy, kritériá kvality),

1972

* Spoluprácu pri vytváraní funkčných požiadaviek na výstupy z pohľadu dohľadu a UX,

1973

* Vedenie a aktualizáciu príslušných projektových výstupov a registrov,

1974

* Hodnotenie jednotlivých verzií výstupov projektu z pohľadu dohľadu, kontroly a UX v jednotlivých etapách,

1975

* Vytváranie hodnotiacich kritérií na dohľad výstupov a príslušných záznamov, o ktorých reportuje projektovému manažérovi objednávateľa,

1976

* Nastavenie a dohľad nad procesom testovania a pripomienkovanie stratégie testovania, plánov a testovacích scenárov,

1977

* Účasť na kontrolných aktivitách počas implementácie výstupov

1978

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1979

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1980

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

**__ __**

**__Projektová rola: IT analytik__**

Zodpovedný za:

* Vykonanie analýzy procesných a ďalších požiadaviek a vytvorenie špecifikácie súčasného alebo budúceho užívateľa softwaru („zákazníka“) a následne navrhuje dizajn a programátorské riešenie.

1989

* Participáciu na vývoji nových, ale i vylepšovaní existujúcich aplikácií v rámci celého vývojového cyklu – systémová analýza, dizajn, kódovanie, užívateľské testovanie, implementácia, podpora, dokumentácia. Úzko spolupracuje aj s IT architektom.

1990

* Analýza potrieb zákazníka vrátane tvorby úplnej analytickej dokumentácie a vstupov do verejného obstarávania (VO).

1991

* Mapovanie požiadaviek do návrhu funkčných riešení.

1992

* Návrh a správa katalóg požiadaviek - registra požiadaviek riešenia

1993

* Analýza funkčných a nefunkčných požiadaviek,

1994

* Návrh fyzického a logického modelu,

1995

* Návrh testovacích scenárov,

1996

* V priebehu implementácie robí dohľad nad zhodou výstupov s pôvodným analytickým zadaním.

1997

* Zodpovednosť za dodržovanie správnej metodiky pri postupe analýzy

1998

* Definovanie akceptačných kritérií v projekte

1999

* Odsúhlasenie opisu produktov, ktoré predstavujú vstupy alebo výstupy (priebežné alebo konečné) úloh dodávateľov, alebo ktoré ich priamo ovplyvňujú a zabezpečovať akceptáciu produktov po ich dokončení

2000

* Priraďuje priority a poskytuje stanoviská používateľov na rozhodnutia Riadiaceho výboru projektu – k realizácii zmenových požiadaviek

2001

* Poskytuje merania aktuálneho stavu pre potreby porovnania s výsledkami projektu vzhľadom na realizáciu prínosov

2002

* Rieši požiadavky používateľov a konflikty iných priorít

2003

* Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

2004

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

2005

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

**__ __**

**__Projektová rola: IT architekt__**

Zodpovedný za:

* Navrhovanie architektúry IT riešení s cieľom dosiahnuť najlepšiu efektivitu.

2014

* Transformovanie cieľov, prísľubov a zámerov projektu do tvorby reálnych návrhov a riešení.

2015

* Navrhovanie takých riešení, aby poskytovali čo najvyššiu funkčnosť a flexibilitu. ·

2016

* Posudzovanie vhodnosti navrhnutých riešení s ohľadom na požiadavky projektu. ·

2017

* Zodpovednosť za technické navrhnutie a realizáciu projektu.

2018

* Zodpovednosť za vytvorenie technickej IT dokumentácie a jej následná kontrola. ·

2019

* Zodpovednosť za definovanie integračných vzorov, menných konvencií, spôsobov návrhu a spôsobu programovania.

2020

* Definovanie architektúry systému, technických požiadaviek a funkčného modelu (Proof Of Concept.)

2021

* Vytvorenie požiadaviek na HW/SW infraštruktúru IS

2022

* Udržiavanie a rozvoj konzistentnej architektúry s dôrazom na architektúru aplikačnú, dátovú a infraštruktúru

2023

* Analýzu a odhad náročnosti technických požiadaviek na vytvorenie IS alebo vykonanie zmien v IS

2024

* Navrhovanie riešení zohľadňujúce architektonické štandardy, časové a zdrojové obmedzenia,

2025

* Navrhovanie dátových transformácií medzi dátovými skladmi a aplikáciami

2026

* Vyhodnocovanie implementačných alternatív z pohľadu celkovej IT architektúry

2027

* Ladenie dátových štruktúr za účelom dosiahnutia optimálneho výkonu

2028

* Prípravu akceptačných kritérií · Analýza nových nástrojov, produktov a technológií

2029

* Správa, rozvoj a dohľad nad dodržiavaním integračných štandardov

2030

* Priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane Detailného návrhu riešenia (DNR) z pohľadu analýzy a návrhu riešenia architektúry IS

2031

* Vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania

2032

* Vykonanie záťažových, výkonnostných a integračných testov a navrhnutie následných nápravných

2033

* Nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie nápravných opatrení

2034

* Participáciu na výkone bezpečnostných testov,

2035

* Participáciu na výkone UAT testov,

2036

* Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

2037

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

2038

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

**__Projektová rola: manažér kybernetickej a informačnej bezpečnosti__**

Zodpovedný za:

* špecifikovanie štandardov, princípov a stratégií v oblasti ITB a KIB,

2047

* ak je projekt primárne zameraný na problematiku ITB a KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na ITB a KIB,

2048

* špecifikovanie požiadaviek na ITB a KIB, kontroluje ich implementáciu v realizovanom projekte,

2049

* špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

2050

* špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť ITB a KIB,

2051

* špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

2052

* špecifikovanie požiadaviek na školenia pre oblasť ITB a KIB,

2053

* špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť ITB a KIB,

2054

* špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na ITB a KIB,

2055

* realizáciu posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

2056

* špecifikovanie požiadaviek na ITB a KIB, bezpečnostný projekt a riadenie prístupu,

2057

* špecifikovanie požiadaviek na testovanie z hľadiska ITB a KIB, realizáciu kontroly zapracovania a retestu,

2058

* špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť ITB a KIB, ako aj v zmysle "best practies",

2059

* špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s ITB a KIB kontroluje ich implementáciu v realizovanom projekte,

2060

* špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu ITB a KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

2061

* špecifikáciu požiadaviek na bezpečnosť IT a KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

2062

* špecifikáciu akceptačných kritérií za oblasť ITB a KIB,

2063

* špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na ITB a KIB,

2064

* poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť ITB a KIB,

2065

* získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

2066

* špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,

2067

* konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska ITB a KIB,

2068

* špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť ITB a KIB,

2069

* realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť ITB a KIB

2070

* realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

2071

* realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

2072

* realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť ITB a KIB,

2073

* realizáciu kontroly zameranú na implementovaný proces v priamom súvise s ITB a KIB,

2074

* realizáciu kontroly súladu s planou legislatívou v oblasti ITB a KIB (obsahuje aj kontrolu leg. požiadaviek)

2075

* realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti, · poskytovanie konzultácií a súčinnosti pre problematiku ITB a KIB,

2076

* získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

2077

* aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1 plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

== {{id name="projekt_2722_Projektovy_zamer_detailny-10.PRÍLOHY"/}}**10. PRÍLOHY** ==

2082

2083

**Príloha : **1 Zoznam rizík a závislostí

2084

2085

\\