projektovy_zamer

V súlade s Vyhláškou 401/2023 Z.z. je Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

115

116

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky a prílohy č. 8 výzvy PSK-MIRRI-614-2024-DV-EFRR ( Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy) obsahuje manažérske zhrnutie, motiváciu a rozsah projektu, zainteresované strany, ciele projektu a merateľné ukazovatele, návrh organizačného zabezpečenia projektu, alternatívy, opis obmedzení, predpokladov, tolerancií, opis požadovaných výstupov, náhľad architektúry, opis rozpočtu, detailný popis nákladov a prínosov, postup a spôsob nacenenia projektu, harmonogram projektu a zoznamom rizík a závislostí.

117

118

V zmysle usmernenia MIRRI SR sa v projektovej dokumentácii (ani v ŽoNFP) nešpecifikujú detailne konkrétne riziká a dopady a nezverejňuje sa podrobná dokumentácia toho, kde sú najväčšie riziká IT systémov a uvádzajú sa iba oblasti identifikovaných rizík a dopadov. Rovnako sú v zmysle usmernenia MIRRI SR manažérske produkty napísané všeobecne.

\\

**2.1 Použité skratky a pojmy**

123

124

Z hľadiska formálneho sú použité skratky a pojmy rámci celého dokumentu definované priebežne, štandardne pri prvom použití v zátvorke označením („ďalej len“).

\\

**2.2 Konvencie pre typy požiadaviek (príklady)**

129

130

V rámci projektu budú definované tri základné typy požiadaviek:

131

132

Funkčné (používateľské) požiadavky majú nasledovnú konvenciu:

Fxx

F – funkčná požiadavka xx – číslo požiadavky

137

138

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:

Nxx

N – nefukčná požiadavka (NFR) xx – číslo požiadavky

143

144

Technické požiadavky majú nasledovnú konvenciu:

Txx

T – technická požiadavka xx – číslo požiadavky

\\

(% style="letter-spacing: 0.0px;" %)**3. DEFINOVANIE PROJEKTU**

\\

**3.1 Manažérske zhrnutie**

157

158

Trenčianska univerzita v Trenčíne (ďalej „ TN UNI“) momentálne nespadá pod Zákon o kybernetickej bezpečnosti, ale s pripravovanou transpozíciou smernice NIS2 do slovenskej legislatívy bude musieť plniť požiadavky z tejto legislatívy vyplývajúce. TNUNI si samozrejme uvedomuje potrebu zvyšovania kybernetickej bezpečnosti nielen z legislatívnych dôvodov, ale aj z dôvodu zabezpečenia vlastných prevádzkovaných systémov voči narastajúcim kybernetickým hrozbám.

159

160

TN UNI si uvedomuje, že v zmysle požiadaviek zákona o kybernetickej bezpečnosti a zavedených opatrení v zmysle vyhlášky 362/2018 Z.z. (ďalej len ZoKB), ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška 362/2018 Z.z.) spĺňa len minimálnu úroveň ustanovených požiadaviek.

161

162

TNUNI plánovaným zapojením do projektu chce zvýšiť všeobecnú úroveň kybernetickej bezpečnosti realizovaním nasledovných krokov:

163

164

* vytvorením katalógu informačných aktív a realizovaním analýzy rizík na identifikovaných aktívach,

165

* vytvorením kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.,

166

* zvýšením bezpečnosti pri prevádzke informačných systémov a sietí dobudovaním záložných dátových kapacít

167

* zvýšením sieťovej a komunikačnej bezpečnosti nasadením a implementáciou perimetrového firewallu,

168

* implementáciou systému na nepretržitú kontrolu dátových tokov v interných sieťach univerzity,

169

* implementáciou automatického nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou,

170

* implementáciou centrálneho log manažment systému pre zber a ukladanie logov zo systémov univerzity s možnosťou korelácie incidentov a eventov a vytvárania alertov,

171

* implementáciou systému na sledovanie prevádzkových parametrov a kapacít využívaných systémových prostriedkov.

\\

Ciele projektu

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (ďalej len „NKIVS“):

178

179

Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti

180

181

Zabezpečenie bezpečnosti prevádzky IS a sietí vrátane sieťovej a komunikačnej bezpečnosti

182

183

Zaznamenávanie udalostí a monitorovanie a riešenie KIB incidentov

184

185

Zabezpečenie kontinuity prevádzky

186

187

Dané ciele budú dosiahnuté realizáciou hlavnej aktivity projektu - Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

\\

Cieľová skupina

Cieľovou skupinou sú zamestnanci TNUNI, študenti TNUNI, dodávatelia TNUNI a ostatné právnické osoby využívajúce systémy TNUNI.

\\

Realizáciou aktivít projektu dosiahne TNUNI naplnenie hlavného cieľa, ktorým je zvýšenie informačnej a kybernetickej bezpečnosti a zabezpečenia ochrany údajov a elektronických dát, ktoré sú využívané TNUNI, zamestnancami ako aj študentmi.

198

199

Projekt je v súlade s intervenčnou stratégiou Programu Slovensko 2021-2027 v nasledovných oblastiach:

200

201

* súlad projektu so špecifickým cieľom: RSO1.2 (opatrenie 1.2.1)

202

* súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 1.26 3) súlad s definovanými typmi oprávnených aktivít v rámci výzvy.

\\

Realizáciou projektu budú naplnené nasledovné merateľné ukazovatele:

207

208

PO095 / PSKPSOI12 – cieľová hodnota 1

209

210

PR017 / PSKPRCR11 – cieľová hodnota 400

\\

Miesto realizácie: Trenčianska univerzita v Trenčíne.

215

216

Predpokladaný rozpočet projektu (oprávnených výdavkov) je: 379 997 EUR s DPH.

217

218

V prípade, že by mala TN UNI investovať do dobudovania kybernetickej bezpečnosti vlastné finančné prostriedky, je prakticky nereálne zrealizovať všetky povinnosti podľa zákona o kybernetickej bezpečnosti a zákona o informačných systémoch verejnej správy, nakoľko ide o pomerne vysoké náklady v krátkom časovom období.

219

220

S ohľadom na to, že univerzity majú limitované finančné zdroje na boj s kyberútokmi, a súčasne je ich povinnosťou dodržiavať ustanovenia zákona o ISVS a s vysokou pravdepodobnosťou bude musieť spĺňať aj požiadavky ZoKB o kybernetickej bezpečnosti, vyhlásilo MIRRI SR Výzvu, ktorá má umožniť aj inštitúciám ako TN UNI získať prostriedky na ochranu informačných systémov a dosiahnutie kybernetickej bezpečnosti na najvyššej úrovni pri minimálnych nákladoch.

221

222

Projekt je vypracovaný v súlade s nasledovným typom aktivity: Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy s definovanou hlavnou aktivitou: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

\\

Sumarizácia hlavných parametrov hodnotenia predkladaného projektu:

(% class="" %)|(((

P. č.

)))|(((

Názov hodnotiaceho kritéria

)))|(((

Parametre v projekte

)))|(((

Zdroj

)))

(% class="" %)|(((

1.

)))|(((

Miera rizík ohrozujúcich úspešnú realizáciu projektu

241

)))|(((

242

V rámci projektu bolo identifikovaných menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.

243

)))|(((

244

Príloha 2 zoznam rizík

)))

(% class="" %)|(((

2.

)))|(((

Administratívne, odborné a prevádzkové kapacity žiadateľa

250

)))|(((

251

Žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) dostatočné odborné kapacity s náležitou odbornou spôsobilosťou a

252

253

know-how na riadenie a implementáciu projektu v danej oblasti.

254

255

Popis zabezpečenia prevádzky riešenia je reálny, t. j. žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) personálne kapacity pre zabezpečenie prevádzky riešenia.

256

)))|(((

257

Informácie o projektovom tíme sú uvedené v PZ.

)))

(% class="" %)|(((

3.

)))|(((

Miera oprávnenosti výdavkov projektu

263

)))|(((

264

Všetky oprávnené aktivity vychádzajú z bodu 2 Výzvy a prílohy č. 8 Výzvy, ktorá definuje oprávnené podaktivity

265

)))|(((

266

V rámci projektu budú realizované nasledovné oprávnené podaktivity:

267

268

· Organizácia kybernetickej a informačnej bezpečnosti

· Riadenie rizík

· Personálna bezpečnosť

· Riadenie prístupov

· Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

277

278

· Bezpečnosť pri prevádzke informačných systémov a sietí

279

280

· Sieťová a komunikačná bezpečnosť

281

282

· Zaznamenávanie udalostí a monitorovanie

283

284

· Kontinuita prevádzky

285

286

· Audit a kontrolné činnosti

)))

(% class="" %)|(((

4.

)))|(((

Dôležitosť kybernetickej bezpečnosti u žiadateľa a potencionálny dopad kybernetických incidentov

292

)))|(((

293

V zmysle kapitoly 3.2.5 PODPORA V OBLASTI KIB NA REGIONÁLNEJ ÚROVNI uvedenej v prílohe 2 Výzvy boli Identifikované jednotlivé kategórie.

294

)))|(((

295

§ 24 ods. 2 písm. a) – kategória: I

296

297

§ 24 ods. 2 písm. b) a c) – kategória: I

298

299

§ 24 ods. 2 písm. d) – kategória: III

300

301

§24 ods. 2 písm. e) – kategória: I

)))

\\

**3.2 Motivácia a rozsah projektu**

\\

Hlavnou motiváciou projektu je zvýšenie úrovne KIB, aby TN UNI bola lepšie pripravená čeliť interným a externým hrozbám v oblasti kybernetickej bezpečnosti. Na rozdiel od súčasného stavu bude disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého a interného prostredia, ako aj ochranu dát.

311

312

Medzi hlavné ciele systému riadenia KIB patria:

313

314

- zabezpečenie správnej a bezpečnej prevádzky prostriedkov spracúvajúcich informácie,

315

316

- monitorovanie prostredia,

317

318

- evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu.

319

320

Vyhlásená výzva „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy" súvisí najmä s naplnením povinností:

321

322

* definovanými v zákone č. 69/2018 Z. z. Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB") a v zákone č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS").

323

* opatreniami definovanými v § 20 zákona o KB.

324

* nutnosť zvýšenia úrovne a schopnosti zabezpečovať a riadiť informačnú a kybernetickú bezpečnosť vzhľadom na sústavne sa zvyšujúce hrozby a riziká,

325

* zabezpečenie realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti,

326

* ako reakcia na aktuálny nedostatočný stav úrovne vyspelosti procesov riadenia KIB,

327

* ako reakcia na aktuálne zmeny v používaní IT, ako aj závažné útoky v oblasti kybernetickej bezpečnosti

\\

Implementácia projektu bude prebiehať v nasledovných krokoch:

332

333

Hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

334

335

1. Prípravná fáza a Iniciačná fáza

1. Realizačná fáza

2a Analýza a Dizajn

2b Nákup technických prostriedkov, programových prostriedkov a služieb

341

342

2c Implementácia a testovanie

343

344

2d Nasadenie opatrení

345

346

1. Dokončovacia fáza

347

1. Podpora prevádzky (SLA)

\\

Podporné aktivity – nepriame výdavky

352

353

* Podporná aktivita – Projektový manažér na riadenie hlavných aktivít projektu.

354

* Podporná aktivita – Publicita a informovanosť v zmysle manuálu

\\

Súčasné bezpečnostné mechanizmy v oblasti monitoringu a hodnotenia zraniteľnosti implementované univerzitou tvoria základ, ktorý si vyžaduje ďalší rozvoj pre zaistenie primeranej ochrany spracúvaných informácií voči kybernetickým hrozbám a zároveň zabezpečenie súladu s povinnosťami vyplývajúcimi z ustanovení zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Okrem legislatívnych požiadaviek je nevyhnutné brať do úvahy aj aktuálny stav, ktorá je z časti spôsobený neschopnosťou včasnej detekcie možného kybernetického útoku z dôvodu absentujúcich bezpečnostných opatrení, chýbajúcich analytických nástrojov a nedostatku kvalitných zdrojov bezpečnostne relevantných záznamov.

\\

**3.2.1 Hlavný popis problému**

363

364

Trenčianska univerzita v Trenčíne momentálne nespadá pod Zákon o kybernetickej bezpečnosti, ale s pripravovanou transpozíciou smernice NIS2 do slovenskej legislatívy bude musieť plniť požiadavky z tejto legislatívy vyplývajúce. TNUNI si samozrejme uvedomuje potrebu zvyšovania kybernetickej bezpečnosti nielen z legislatívnych dôvodov, ale aj z dôvodu zabezpečenia vlastných prevádzkovaných systémov voči narastajúcim kybernetickým hrozbám.

365

366

TNUNI si uvedomuje, že v zmysle požiadaviek zákona o kybernetickej bezpečnosti a zavedených opatrení v zmysle vyhlášky 362/2018 Z.z. (ďalej len ZoKB), ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška 362/2018 Z.z.) spĺňa len minimálnu úroveň ustanovených požiadaviek.

367

368

TNUNI plánovaným zapojením do projektu chce zvýšiť všeobecnú úroveň kybernetickej bezpečnosti realizovaním nasledovných krokov:

369

370

* vytvorením katalógu informačných aktív a realizovaním analýzy rizík na identifikovaných aktívach,

371

* vytvorením kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.,

372

* zvýšením bezpečnosti pri prevádzke informačných systémov a sietí dobudovaním záložných dátových kapacít

373

* zvýšením sieťovej a komunikačnej bezpečnosti nasadením a implementáciou perimetrového firewallu,

374

* implementáciou systému na nepretržitú kontrolu dátových tokov v interných sieťach univerzity,

375

* implementáciou automatického nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou,

376

* implementáciou centrálneho log manažment systému pre zber a ukladanie logov zo systémov univerzity s možnosťou korelácie incidentov a eventov a vytvárania alertov,

377

* implementáciou systému na sledovanie prevádzkových parametrov a kapacít využívaných systémových prostriedkov.

\\

Vzhľadom na skutočnosť, že TN UNI nemá aktuálne prijatý ani najvyšší dokument na riadenie kybernetickej bezpečnosti - stratégiu kybernetickej bezpečnosti, cieľom projektu je vytvoriť a prijať všetky požadované náležitosti definované v prílohe č. 1 k vyhláške č. 362/2018 Z. z..

382

383

Nie je zavedený proces klasifikácie informácií je v súlade s požiadavkami vyhlášky č. 362/2018 Z. z. pre klasifikáciu informácií kategorizácia sietí a informačných systémov.

384

385

Najvyššia miera nesúladu s legislatívnymi požiadavkami kybernetickej bezpečnosti podľa ZoKB bola identifikovaná v nasledovných oblastiach:

386

387

* Potreba zavedenia formálneho riadenia KB primárne prípravou potrebných bezpečnostných smerníc, politík a nariadení

388

* Potreba implementácie HW a SW časti bezpečnosti siete a implementácie sieťovej bezpečnosti siete (dodávka firewallow a dohľadových systémov)

389

* Potreba riešenia problému absentujúceho systému pre zber a analýzu bezpečnostných udalostí (SIEM)

390

* Potreba zabezpečiť kontinuitu prevádzky, t.j. je potrebné zabezpečiť riadenie kontinuity kybernetickej bezpečnosti – túto problematiku je potrebné riešiť aj na úrovni BCM plánov a aj na úrovni technologickej.

391

392

S ohľadom na vyššie uvedené bude teda predmetom projektu riešenie problematiky z nasledovných oprávnených oblastí podľa výzvy:

393

394

* Organizácia kybernetickej a informačnej bezpečnosti

395

* Riadenie rizík

396

* Personálna bezpečnosť

397

* Riadenie prístupov

398

* Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

399

* Bezpečnosť pri prevádzke informačných systémov a sietí

400

* Sieťová a komunikačná bezpečnosť

401

* Zaznamenávanie udalostí a monitorovanie

402

* Kontinuita prevádzky

403

* Audit a kontrolné činnosti

404

405

Hlavným problémom, ktorému TN UNI čelí je teda vyriešenie vyššie pomenovaných oblastí informačnej a kybernetickej bezpečnosti tak, aby bol dosiahnutý významný pokrok pri plnení súladu v oblasti príslušných predpisov KIB a súčasne aby boli technologické náležitosti KIB realizované tak, aby:

406

407

* chránili IT systémy, ktoré zabezpečujú prevádzku služieb univerzity pred kybernetickými útokmi

408

* plnili svoje úlohy počas implementácie i v čase udržateľnosti projektu,

409

* boli pripravené na ďalší rozvoj IT technológií a služieb poskytovaných univerzitou,

410

* a bolo možné ich flexibilne rozširovať bez ohrozenia prevádzkovaných i budúcich IT systémov.

\\

**3.2.2 Biznis procesy**

415

416

Predmetom realizácie projektu bude zavedenie a IT podpora nasledovných business procesov:

417

418

* Riadenie prevádzky siete a informačného systému

419

* Zaznamenávanie, monitorovanie a riešenie incidentov kybernetickej bezpečnosti

420

* Zabezpečovanie kontinuity prevádzky

421

422

Okrem samotného zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS sa projekt bude dotýkať prakticky všetkých biznis procesov, ktoré sú vykonávané Trenčianskou univerzitou v Trenčíne, a ktoré sú realizované prostredníctvom informačných systémov TN UNI za účelom poskytovania univerzitných služieb.

\\

**3.2.3 Oblasti zamerania projektu**

427

428

Projekt sa primárne zaoberá oblasťou zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS. Ako bude uvedené ďalej, tento projekt má priamy dopad na všetky ISVS a technologické platformy, ktoré sú určené na poskytovanie služieb univerzity TN UNI, nakoľko výsledky projektu budú ochraňovať všetky IS pred potenciálnymi hrozbami kybernetickej a informačnej bezpečnosti.

\\

**3.2.4 Rozsah projektu**

433

434

Realizácia projektu sa dotkne nasledovných ISVS prevádzkovaných na úrovni TN UNI:

435

436

* isvs_14205 e-learning

437

* isvs_14204 Prístupový systém

438

* isvs_14202 Kamerový systém

439

* isvs_14201 Akademický informačný systém

440

* isvs_14203 Dochádzkový systém

441

442

Realizácia projektu sa dotkne nasledovných subjektov:

443

444

* Trenčianska univerzita Alexandra Dubčeka v Trenčíne

445

* Interní zamestnanci univerzity

446

* Externí zamestnanci univerzity

447

* Študenti

448

* Podnikatelia - dodávateľsko-odberateľské vzťahy

\\

**3.2.5 Motivácia a obmedzenia pre dosiahnutie cieľov projektu**

453

454

Hlavnou motiváciou je realizácia opatrení KIB definovaných v zákone o kybernetickej bezpečnosti a v zákone o ISVS. Primárne ide o tie opatrenia, ktoré vykazujú najväčší nesúlad s uvedenými právnymi normami a vyhláškou 362/2018 Z. z.. Vďaka realizácii týchto opatrení budú IS TN UNI chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku IS TN UNI nasledovný dopad:

455

456

(% class="" %)|(((

457

**Dopad kybernetického bezpečnostného incidentu v závislosti**

)))|(((

**Kategória**

)))|(((

**Vysvetlenie**

)))

(% class="" %)|(((

§ 24 ods. 2 písm. a) zákona 69/2018 Z.z.

465

466

Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.

)))|(((

I.

)))|(((

Trenčianska univerzita disponuje systémami, ktorých výpadok zasiahne viac ako 25 000 užívateľov univerzity. To znamená študentov, zamestnancov a externých partnerov.

471

)))

472

(% class="" %)|(((

473

§ 24 ods. 2 písm. b) zákona 69/2018 Z.z. Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)

a/alebo

§ 24 ods. 2 písm. c) zákona Geografické rozšírenie kybernetického bezpečnostného incidentu.

)))|(((

I.

)))|(((

Trenčianska univerzita prevadzkuje systémy pre interný personál , vedeckých pracovníkov a študentov, kde škoda, ktorá nastane je v rozsahu nad 15 000 používateľov.

482

)))

483

(% class="" %)|(((

484

§ 24 ods. 2 písm. d) zákona 69/2018 Z.z.

485

486

Stupeň narušenia fungovania základnej služby.

)))|(((

III.

)))|(((

V prípade nefunkčnosti informačných systémov nie je k dispozícii náhradné riešenie.

491

)))

492

(% class="" %)|(((

493

§ 24 ods. 2 písm. e) zákona 69/2018 Z.z.

494

495

Rozsah vplyvu kybernetického

496

497

bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu

)))|(((

I.

)))|(((

Incident spôsobí škody, ktoré má/môže mať dopad na viac ako 25 000 osôb. V prípade napadnutia a uniku osobných dát, informáciách o postavení, platových podmienkach a krádeže Know how a vedeckých výskumov, by boli škody veľmi veľké a možno aj fatálne. Nefunkčnosť systémov má priamy vplyv na hospodárske alebo spoločenské činnosti. Nefunkčnosť ISVS má priamy súvis na finančné operácie medzi univerzitou a dodávateľmi, odberateľmi, štátnymi inštitúciami ( napr. sociálne a zdravotné poisťovne, daňový úrad...). Úspešný kybernetický útok, ktorého cieľom by bolo získanie dát z univerzity môže viesť a pravdepodobne aj bude viesť k úniku osobných údajov a následnému porušeniu práv dotknutých osôb. Vzhľadom na znenie §104 zákona č.: 18/2018 Z. z. a obdobné sankcie uvedené v GDPR môže vzniknúť škoda univerzite až do výšky 20 mil. €. Vychádzajúc z praxe a známych prípadov porušenia zákona na ochranu osobných údajov na území Slovenska môže takto jednému užívateľovi ISVS vzniknúť škoda prevyšujúca 250 000 €.

)))

\\

Projekt je formulovaný tak, aby po jeho realizácii nastal čo najväčší súlad zabezpečenia kybernetickej a informačnej bezpečnosti so zákonom o kybernetickej bezpečnosti a so zákonom o ISVS.

507

508

**Obmedzenia projektu:**

509

510

Z hľadiska technického, personálneho, odborného, ale ani legislatívneho neevidujeme žiadne obmedzenia, ktoré by mohli ovplyvniť úspešnú realizáciu projektu.

511

512

**3.3 Zainteresované strany/Stakeholder**

513

514

(% class="relative-table" style="width: 86.6255%;" %)

(% class="" %)|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

(názov / skratka)

)))|(((

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

(% class="" %)|(((

1.

)))|(((

Univerzita - Administrátor

IT

)))|(((

Uni

)))|(((

Vlastník procesu/ vlastník dát/ prevádzkovateľ / Užívateľ IS

542

543

Zabezpečuje prevádzku IT

544

)))|(((

545

isvs_14205 - e-learning

546

547

isvs_14204 - Prístupový systém

548

549

isvs_14202 - Kamerový systém

550

551

isvs_14201 -Akademický informačný systém

552

553

isvs_14203 -Dochádzkový systém

)))

(% class="" %)|(((

2

)))|(((

Manažér

kybernetickej

bezpečnosti

)))|(((

Uni

)))|(((

Zodpovedný za KIB

)))|(((

isvs_14205 - e-learning

569

570

isvs_14204 - Prístupový systém

571

572

isvs_14202 - Kamerový systém

573

574

isvs_14201 -Akademický informačný systém

575

576

isvs_14203 -Dochádzkový systém

)))

(% class="" %)|(((

3.

)))|(((

Zamestnanec

)))|(((

Uni

)))|(((

Využíva IS Uni

)))|(((

isvs_14205 - e-learning

588

589

isvs_14204 - Prístupový systém

590

591

isvs_14202 - Kamerový systém

592

593

isvs_14201 -Akademický informačný systém

594

595

isvs_14203 -Dochádzkový systém

)))

(% class="" %)|(((

4.

)))|(((

Študent

)))|(((

Uni

)))|(((

Využíva IS Uni

)))|(((

isvs_14205 - e-learning

607

608

isvs_14204 - Prístupový systém

609

610

isvs_14202 - Kamerový systém

611

612

isvs_14201 -Akademický informačný systém

613

614

isvs_14203 -Dochádzkový systém

)))

(% class="" %)|(((

5.

)))|(((

podnikateľ

)))|(((

\\

)))|(((

Využíva služby prostredníctvom IS

624

)))|(((

625

isvs_14205 - e-learning

626

627

isvs_14204 - Prístupový systém

628

629

isvs_14202 - Kamerový systém

630

631

isvs_14201 -Akademický informačný systém

632

633

isvs_14203 -Dochádzkový systém

)))

(% class="" %)|(((

6.

)))|(((

Poskytovateľ

IT služieb

)))|(((

\\

)))|(((

Poskytuje služby IS

)))|(((

isvs_14205 - e-learning

647

648

isvs_14204 - Prístupový systém

649

650

isvs_14202 - Kamerový systém

651

652

isvs_14201 -Akademický informačný systém

653

654

isvs_14203 -Dochádzkový systém

655

)))

656

657

**3.4 Ciele projektu**

658

659

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (ďalej len „NKIVS“) a súčasne sú definované tak, aby boli v súlade s očakávanými výsledkami definovanými v Partnerskej dohode Slovenskej republiky na roky 2021 – 2027 (ďalej len „Partnerská dohoda“) pre špecifický cieľ RSO 1.2. Definície cieľov rovnako vychádzajú z národnej stratégie kybernetickej bezpečnosti na roky 2021 až 2025.

660

661

Partnerská dohoda definuje špecifický cieľ RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a konkrétne opatrenie: 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie, oblasť - Kybernetická a informačná bezpečnosť, pričom hlavným cieľom podpory je aj zabezpečenie kybernetickej bezpečnosti v súlade so Stratégiou digitálnej transformácie Slovenska. Stratégia digitálnej transformácie v oblasti kybernetickej bezpečnosti odkazuje na Národnú stratégiu kybernetickej bezpečnosti vydanú Národným bezpečnostným úradom (ďalej len „NBÚ“)

662

663

Národná koncepcia informatizácie verejnej správy určuje v rámci prioritnej osi 4 Kybernetická a informačná bezpečnosť strategickú prioritu Kybernetická a informačná bezpečnosť. Splnenie tejto strategickej priority má byť dosiahnuté nasledujúcimi dvoma cieľmi:

664

665

Cieľ 4.1 Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

666

667

Cieľ 4.2 Posilniť ľudské kapacity a vzdelávanie v oblasti kybernetickej a informačnej bezpečnosti patriace pod prioritnú os 4 Kybernetická a informačná bezpečnosť.

668

669

Z vyššie uvedených cieľov je pre projekt dôležitý cieľ 4.1 a v súlade sním je aj nižšie citovaný strategický cieľ.

670

671

Národná stratégia kybernetickej bezpečnosti na roky 2021 až 2025, ktorá vychádza z Partnerskej dohody definuje vo vzťahu k verejnej správe nasledovný strategický cieľ:

672

673

4.1 Dôveryhodný štát pripravený na hrozby.

674

675

V definícii tohto strategického cieľa uvádza, cit:

676

677

„Kybernetická bezpečnosť je zodpovednosťou každého obyvateľa Slovenskej republiky, no bezpečnosť nemôže fungovať bez existencie mechanizmov na národnej úrovni, ktoré určujú politiku kybernetickej bezpečnosti, systém jej riadenia, ale aj procesy na detekciu a riešenie kybernetických bezpečnostných incidentov, budovanie odborných kapacít a šírenie situačného a bezpečnostného povedomia. Zároveň štát musí pri budovaní dôveryhodnosti vykonávať vyššie uvedené aktivity v súlade s Ústavou Slovenskej republiky a ostatnými zákonmi a vstupovať do základných ľudských práv a slobôd len v nevyhnutnej miere.“

678

679

Cieľový stav uvedeného strategického cieľa je v Národnej stratégii kybernetickej bezpečnosti na roky 2021 až 2025 stanovený nasledovne, cit.:

680

681

„Vybudovanie dostatočného odborného personálneho základu pre systém riadenia informačnej a kybernetickej bezpečnosti nielen na národnej, ale aj sektorovej úrovni. Spolupráca štátu s občanom na úrovni poskytovania dostatočných informácií a odporúčaní a realizácia krokov, ktoré občan reálne pocíti ako zvýšenie vlastnej bezpečnosti a bezpečnosti národného kybernetického priestoru. Vytvorenie a používanie certifikačných schém na široké portfólio typov výrobkov, procesov a služieb. Kvalitnejšie technické, organizačné a personálne zabezpečenie, založené na využívaní moderných prístupov ku kybernetickej bezpečnosti pri detekcii a riešení kybernetických bezpečnostných incidentov. Vybudovanie spôsobilostí na detekciu a riešenie kybernetických bezpečnostných incidentov na všetkých úrovniach. Efektívna spolupráca zainteresovaných subjektov na všetkých úrovniach riešenia informačnej a kybernetickej bezpečnosti. Dobre nastavený proces technickej, ale aj politickej atribúcie kybernetických bezpečnostných incidentov. Systematické a kontinuálne riadenie rizík kybernetickej bezpečnosti v jednotlivých sektoroch. Zlepšenie detekcie a zisťovania kybernetických bezpečnostných incidentov na sektorovej úrovni, zlepšenie a zjednodušenie nahlasovania kybernetických bezpečnostných incidentov nielen zo strany povinných subjektov, ale aj v rovine dobrovoľných hlásení. Podpora spôsobilostí subjektov v oblasti riadenia kontinuity činností.“

682

683

Hlavným cieľom je do prostredia univerzity v zaviesť optimalizáciu procesov riadenia kybernetickej bezpečnosti, riadenie rizík, kontinuity činností a riadenie incidentov pomocou finančných prostriedkov z dopytovej výzvy „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy“. Po implementácii projektu bude proces zavedený a ďalej vykonávaný aj internými zamestnancami, predovšetkým manažérom kybernetickej bezpečnosti, manažérom informačnej bezpečnosti a ďalšími bezpečnostnými zamestnancami. Hlavným výsledkom realizácie projektu bude realizácia a optimalizácia procesov riadenia kybernetickej bezpečnosti, riadenia rizík, kontinuity činností a riadenia incidentov.

\\

Všetky ciele projektu sú definované v súlade s vyššie uvedenými strategickými dokumentmi:

688

689

(% class="relative-table" style="width: 96.0696%;" %)

(% class="" %)|(((

ID

)))|(((

Názov cieľa

)))|(((

Názov stragetického cieľa*

696

)))|(((

697

Spôsob realizácie strategického cieľa

)))

(% class="" %)|(((

1

)))|(((

Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti

\\

Cieľ realizovaný v zmysle oprávnených podaktivít: organizácia kybernetickej a informačnej bezpečnosti, riadenie rizík, personálna bezpečnosť, riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami, audit a kontrolné činnosti.

\\

)))|(((

Dôveryhodný štát pripravený na hrozby

713

714

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

715

)))|(((

716

Vypracovanie a aktualizácia stratégie kybernetickej bezpečnosti a bezpečnostnej dokumentácie s prihliadnutím na štruktúru bezpečnostnej dokumentácie podľa prílohy č.1 vyhlášky 362/2018 Z.z.Vypracovaná dokumentácia bude pokrývať všetky požadované oblasti požadovanej legislatívy.

\\

Vypracovaný bude katalóg informačných aktív s určením vlastníkov a administrátorov jednotlivých aktív. Vypracovaný bude katalóg hrozieb a rizík a na základe týchto katalógov bude vypracovaná analýza rizík pre jednotlivé aktíva.

\\

Budú identifikované a skontrolované všetky zmluvy s tretímy stranami, ktoré majú vplyv na poskytovanie dôležitých služieb univerzity a budú vypracované dodatky k jednotlivým zmluvám. Taktiež bude vypracovaný vzor kybernetických požiadaviek pre budúce zmluvy.

\\

Po skončení implementácie všetkých opatrení obsiahnutých v projekte bude vykonaný audit kybernetickej bezpečnosti.

)))

(% class="" %)|(((

2

)))|(((

Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti

\\

Cieľ realizovaný v zmysle oprávnených podaktivít: Bezpečnosť pri prevádzke informačných systémov a sietí, Riadenie prístupov, Sieťová a komunikačná bezpečnosť

738

)))|(((

739

Dôveryhodný štát pripravený na hrozby

740

741

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

742

)))|(((

743

Zakúpenie a implementácia sieťových zariadení zabezpečujúcich oddelenie internej siete od internetu, monitoring a filtrácia kompletného toku dát medzi nimi, poskytujúcich pokročilú ochranu siete a aplikácií pred škodlivou prevádzkou a hrozbami z internetu. Zariadenia budú poskytovať pokročilé funkcie ako hĺbková inšpekcia sieťovej prevádzky, detekcia a prevencia hrozieb, vzdialený prístup zapojených v HA móde.

\\

Návrh a realizácia segmentácie siete s určením komunikačných pravidiel pre prestup medzi jednotlivými segmentami siete.

\\

Pre vzdialený prístup bude využívané overenie pomocou dvojfaktorového overovania.

\\

Zakúpenie a implementácia nástroja na sledovanie interných dátových tokov pomocou zrkadlenia prevádzky za účelom identifikácie dátových tokov medzi jednotlivými zariadeniami v sieti.

)))

(% class="" %)|(((

3

)))|(((

Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti

\\

Cieľ realizovaný v zmysle oprávnených podaktivít: Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov

765

)))|(((

766

Dôveryhodný štát pripravený na hrozby

767

768

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

769

)))|(((

770

Zakúpenie a implementácia zariadenia pre centrálny zber systémových logov z rôznych zariadení a systémov prevádzkovaných v sieti univerzity. Vypracovanie pravidiel pre nasadenie logovania na rôzne zariadenia a vytvorenie korelačných pravidiel za účelom notifikovania administrátorov ohľadom podozrivých aktivít v sieti a na systémoch.

\\

Implementácia dohľadového systému na sledovanie prevádzkových parametrov siete a systémov. Ide primárne o sledovanie dostupnosti jednotlivých zariadení, systémov a služieb a o sledovanie vyťaženosti systémov a služieb na týchto systémoch. Vytvorenie a zadefinovanie hraničných parametrov tak, že pri ich prekročení budú administrátori notifikovaní o vzniknutí tejto udalosti.

)))

(% class="" %)|(((

4

)))|(((

Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti

\\

Cieľ realizovaný v zmysle oprávnených podaktivít: Bezpečnosť pri prevádzke informačných systémov a sietí, Fyzická bezpečnosť a bezpečnosť prostredia, Kontinuita prevádzky

784

)))|(((

785

Dôveryhodný štát pripravený na hrozby

786

787

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

788

)))|(((

789

Obstaranie a implementácia dátového úložiska pre potreby zálohy prevádzkových dát a archivačnej kópie pomocou obstarania záložných kapacít pre ukladanie prevádzkových dát, umiestnené v zabezpečenom priestore bezpečne vzdialenom zálohovanému zabezpečenému priestoru.

790

791

Obstaranie služieb pre potreby správy prevádzkovej zálohy, kópie archivačnej zálohy a kópie inštalačných médií, vrátane určenia spôsobu ich ukladania, testov funkcionality dátových nosičov, testov obnovy, fyzického uloženia druhej kópie archivačnej zálohy, a minimalizovania rizika poškodenia alebo zničenia dátových nosičov archivačných záloh vplyvom prírodných živlov alebo havárie.

\\

Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na poskytované služby, a vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania.

)))

\\

~* Definícia strategického cieľa vychádza zo strategického cieľa v Národnej stratégii kybernetickej bezpečnosti a nadväzuje na prioritný cieľ Národnej koncepcie informatizácie verejnej správy.

\\

**3.5 Merateľné ukazovatele (KPI)**

\\

(% class="relative-table" style="width: 96.5581%;" %)

(% class="" %)|(((

ID

)))|(((

\\

\\

ID /Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

)))

(% class="" %)|(((

1

)))|(((

PO095

/

PSKPS

OI12

)))|(((

Verejné inštitúcie podporované v

850

851

rozvoji kybernetických služieb,

produktov a procesov

)))|(((

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnejsprávy.

)))|(((

Verejné inštitúcie

)))|(((

0

)))|(((

1

)))|(((

Identifikácia počtu realizácie opatrení KIB pre inštitúciu –

864

865

splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS

866

867

Čas plnenia merateľného ukazovateľa projektu:

868

869

Fyzické ukončenie realizácie hlavných aktivít projektu

)))|(((

Typ

ukazovateľa:

Výstup

)))

(% class="" %)|(((

\\

)))|(((

PR017

/

PSKPR

CR11

)))|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

889

)))|(((

890

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

)))|(((

používateli

a / roK

)))|(((

0

)))|(((

400

)))|(((

Sumarizácia počtu používateľov nových a vylepšených

901

902

digitálnych služieb – bude určené počtom prístupov v IAM,

903

904

Databázou používateľov v oblasti KIB.

905

906

V prípade univerzity ide o počet používateľov, ktorí priamo využívajú IS a priamo sa podieľajú na zabezpečovaní základnej služby.

907

908

Čas plnenia merateľného ukazovateľa projektu:

909

910

v rámci udržateľnosti projektu

)))|(((

Typ

ukazovateľa:

výsledok

)))

\\

**3.5.1 Špecifikácia potrieb koncového používateľa**

922

923

Z pohľadu TN UNI je koncovým používateľom IT oddelenie a sekundárne zamestnanci TN UNI a študenti, ktorí očakávajú, že nebude vplyvom kybernetických útokov dochádzať k výpadkom prevádzky IS univerzity a tým sa de facto znefunkční poskytovanie univerzitných služieb.

924

925

Trenčianska univerzita v Trenčíne momentálne nespadá pod Zákon o kybernetickej bezpečnosti, ale s pripravovanou transpozíciou smernice NIS2 do slovenskej legislatívy bude musieť plniť požiadavky z tejto legislatívy vyplývajúce. TNUNI si samozrejme uvedomuje potrebu zvyšovania kybernetickej bezpečnosti nielen z legislatívnych dôvodov, ale aj z dôvodu zabezpečenia vlastných prevádzkovaných systémov voči narastajúcim kybernetickým hrozbám.

926

927

TNUNI si uvedomuje, že v zmysle požiadaviek zákona o kybernetickej bezpečnosti a zavedených opatrení v zmysle vyhlášky 362/2018 Z.z. (ďalej len ZoKB), ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška 362/2018 Z.z.) spĺňa len minimálnu úroveň ustanovených požiadaviek.

928

929

TNUNI plánovaným zapojením do projektu chce zvýšiť všeobecnú úroveň kybernetickej bezpečnosti realizovaním nasledovných krokov:

930

931

* vytvorením katalógu informačných aktív a realizovaním analýzy rizík na identifikovaných aktívach,

932

* vytvorením kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.,

933

* zvýšením bezpečnosti pri prevádzke informačných systémov a sietí dobudovaním záložných dátových kapacít

934

* zvýšením sieťovej a komunikačnej bezpečnosti nasadením a implementáciou perimetrového firewallu,

935

* implementáciou systému na nepretržitú kontrolu dátových tokov v interných sieťach univerzity,

936

* implementáciou automatického nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou,

937

* implementáciou centrálneho log manažment systému pre zber a ukladanie logov zo systémov univerzity s možnosťou korelácie incidentov a eventov a vytvárania alertov,

938

* implementáciou systému na sledovanie prevádzkových parametrov a kapacít využívaných systémových prostriedkov.

\\

**Predmetom plnenia bude:**

943

944

**1.Vytvorenie katalógu informačných aktív a realizovaním analýzy rizík na identifikovaných aktívach**

945

946

Vypracovaný bude katalóg informačných aktív s určením vlastníkov a administrátorov jednotlivých aktív. Vypracovaný bude katalóg hrozieb a rizík a na základe týchto katalógov bude vypracovaná analýza rizík pre jednotlivé aktíva. Pri vytváraní katalógov sa bude postupovať podľa vydanej metodiky MIRRI.

947

948

**2.Vytvorenie** **kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.**

949

950

Vypracovanie a aktualizácia stratégie kybernetickej bezpečnosti a bezpečnostnej dokumentácie s prihliadnutím na štruktúru bezpečnostnej dokumentácie podľa prílohy č.1 vyhlášky 362/2018 Z.z. Vypracovaná dokumentácia bude pokrývať všetky požadované oblasti požadovanej legislatívy. Pri vypracovávaní dokumentácie sa bude vychádzať z metodík vydaných MIRRI.

951

952

**3.Zvýšenie bezpečnosti pri prevádzke informačných systémov a sietí dobudovaním záložných dátových kapacít**

953

954

Obstaranie a implementácia dátového úložiska pre potreby zálohy prevádzkových dát a archivačnej kópie pomocou obstarania záložných kapacít pre ukladanie prevádzkových dát, umiestnené v zabezpečenom priestore bezpečne vzdialenom zálohovanému zabezpečenému priestoru.

955

956

Obstaranie služieb pre potreby správy prevádzkovej zálohy, kópie archivačnej zálohy a kópie inštalačných médií, vrátane určenia spôsobu ich ukladania, testov funkcionality dátových nosičov, testov obnovy, fyzického uloženia druhej kópie archivačnej zálohy, a minimalizovania rizika poškodenia alebo zničenia dátových nosičov archivačných záloh vplyvom prírodných živlov alebo havárie.

957

958

Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na poskytované služby, a vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania.

959

960

Tento bod bude splnený dodávkou HW zariadení na rozšírenie aktuálne prevádzkovaného diskového poľa NetApp. Potrebným navýšením diskových kapacít pre ukladanie zálohy prevádzkových dát a pomocou existujúceho softvéru na zálohovanie.

961

962

* Dodávka hardvéru na rozšírenie aktuálneho diskového poľa.

963

* Realizácia inštalačných a konfiguračných služieb, ktoré zabezpečia možnosť ukladania zálohy prevádzkových dát, vrátane testovacej obnovy dát

964

965

Výsledný systém zálohovania na zabezpečenie kontinuity prevádzky bude mať nasledovné kľúčové prvky:

966

967

* Dátový sklad musí byť navrhnutý a realizovaný tak, aby zabránil útočníkom v neoprávnenom zmenení alebo odstránení zálohovaných dát. To znamená, že raz uložené dáta nie sú zraniteľné voči zmenám alebo útokom, čím sa zabezpečuje ich dôveryhodnosť.

968

* Musí byť vybavený mechanizmami na overenie a šifrovanie, čo zvyšuje bezpečnosť uložených dát. Digitálne podpisy a šifrovanie musia pomôcť pri zabezpečovaní integrity a dôvernosti dát.

969

* Musi byť navrhnutý s dôrazom na správne riadenie prístupu. To znamená, že iba oprávnené osoby alebo procesy by mali mať prístup k zálohovaným dátam, a to na základe princípu najnižších pridelených oprávnení.

970

971

**4.(% style="letter-spacing: 0.0px;" %)Zvýšenie sieťovej a komunikačnej bezpečnosti nasadením a implementáciou perimetrového firewallu v HA móde(%%)**

972

973

Na univerzite nie je v súčasnosti využívaný perimetrový firewall s pokročilými bezpečnostnými funkcionalitami. Toto predstavuje značné riziko v kybernetickej bezpečnosti, nakoľko nie je možné odhaľovať a zamedzovať kybernetickým hrozbám na rozhraní internej siete univerzity a internetu.

974

975

Za účelom zvýšenia bezpečnosti budú zakúpené a implementované sieťové zariadenia zabezpečujúce oddelenie internej siete od internetu, monitoring a filtrácia kompletného toku dát medzi nimi, poskytujúcich pokročilú ochranu siete a aplikácií pred škodlivou prevádzkou a hrozbami z internetu. Zariadenia budú poskytovať pokročilé funkcie ako hĺbková inšpekcia sieťovej prevádzky, detekcia a prevencia hrozieb, vzdialený prístup a budú prevádzkované v HA móde.

976

977

Taktiež bude nasadený samostatný nástroj na zber a analýzu dát z týchto perimetrových firewallov, pomocou ktorého bude možné dohľadávať prípadné bezpečnostné informácie. Nástroj bude schopný taktiež generovať rôzne štatistické reporty ohľadom prenesených dát, bezpečnostných udalostí a iných parametrov.

978

979

Bude realizovaná segmentácia siete s určením komunikačných pravidiel pre prestup medzi jednotlivými segmentami siete. Jednotlivé segmenty budú zadefinované na základe analýzy siete a systémov a budú určené komunikačné pravidlá pre prestup medzi jednotlivými segmentami siete. Na segmentáciu siete budú využité súčasné sieťové prepínače a nové firewally.

980

981

**~ 5.(% style="letter-spacing: 0.0px;" %)Implementácia systémov na nepretržitú kontrolu dátových tokov v interných sieťach univerzity(%%)**

982

983

Z dôvodu bezpečnosti internej prevádzky bude zakúpený a implementovaný nástroja na sledovanie interných dátových tokov pomocou zrkadlenia prevádzky za účelom identifikácie dátových tokov medzi jednotlivými zariadeniami v sieti. Tento nástroj bude implementovaný z dôvodu, že interné prenosy dát sa nemusia dostať až na perimetrový firewall, kde by boli skontrolované, prípadne zablokované.

984

985

Implementované bude samostatné hardvérové zariadenie, ktoré bude zbierať a vyhodnocovať zrkadlené dáta z portu na centrálnom prepínači. Tieto dáta budú priebežne monitorované a vyhodnocované. Systém taktiež umožňuje vytváranie pravidelných reportov ohľadom rôznych parametrov zachytených dátových prenosov.

986

987

**6.Implementácia centrálneho log manažment systému pre zber a ukladanie logov zo systémov univerzity s možnosťou korelácie incidentov a eventov a vytvárania alertov**

988

989

Tento cieľ bude naplnený zakúpením a implementáciou zariadenia pre centrálny zber systémových logov z rôznych zariadení a systémov prevádzkovaných v sieti univerzity. Tento systém bude prevádzkovaný na samostatnom hardvérovom zariadení, čo zabezpečí uchovanie logov aj v prípade výpadku primárnej infraštruktúry využívaných na prevádzku univerzitných systémov. Systém bude poskytovať dostatočnú úložnú kapacitu na ukladanie logov. Systém bude umožňovať vyhľadávať a zobrazovať údaje pomocou prednastavených dashboardov a bude umožňovať vytvárať reporty na základe zadaných parametrov.

990

991

Dodaný systém bude umožňovať vytváranie korelačných pravidiel uložených logov za účelom notifikovania administrátorov ohľadom podozrivých aktivít v sieti a na systémoch. Budú zadefinované rôzne “use cases”, ktoré budú vyplývať z analýzy rizík a ohrození a na tieto prípady budú vytvorené pravidlá pre notifikáciu. Tieto pravidlá budú dopĺňané na základe potrieb a týmto postupom bude pokrytá aj problematika nasadenia SIEM.

992

993

**~ 7.(% style="letter-spacing: 0.0px;" %)Implementáciou systému na sledovanie prevádzkových parametrov a kapacít využívaných systémových prostriedkov.(%%)**

994

995

Tento cieľ bude naplnený implementáciou dohľadového systému pre sledovanie prevádzkových parametrov všetkých systémov podieľajúcich sa na prevádzke alebo podpore poskytovaných služieb: sieťových zariadení, serverov, aplikácií a ďalších IT prostriedkov. Robustná open-source platforma určená na monitorovanie sietí, serverov a aplikácií. Jeho hlavnou úlohou je poskytovať komplexný prehľad o výkone a dostupnosti vašej IT infraštruktúry v reálnom čase, čo vám umožňuje efektívne predchádzať problémom skôr, než negatívne ovplyvnia chod IKT. Systém musí podporovať široké spektrum metód na zber dát vrátane agentov, SNMP, IPMI, JMX, trapy a log súbory, čo zaručí flexibilitu a kompatibilitu s rôznymi zariadeniami a aplikáciami. V prípade potreby musí byť možné využiť proxy, ktorý zníži záťaž na hlavný server a umožní efektívne monitorovanie geograficky vzdialených lokalít.

996

997

Kľúčové požadované vlastnosti:

998

999

* konfigurovateľné upozornenia a notifikácie, ktoré môžu byť zasielané prostredníctvom emailov, SMS, skriptov alebo webhookov,

1000

* vizualizácia dát pomocou grafov, máp, prehľadov a dashboardov,

1001

* šifrovaná komunikácia medzi serverom, agentmi a užívateľm, čo zaručuje ochranu citlivých informácií,

1002

* podpora autentifikácie a rôznych úrovní prístupových práv zabezpečí, že prístup k monitorovacím dátam budú len oprávnené osoby.

1003

1004

Nasadenie monitorovacieho systému požadujeme na vlastných zdrojoch virtualizácie.

1005

1006

**8.Vykonanie certifikovaného auditu kybernetickej bezpečnosti.**

1007

1008

Tento cieľ bude naplnený vykonaním certifikovaného auditu kybernetickej bezpečnosti podľa ZoKB po implementácii všetkých nových systémov do prostredia univerzity.

\\

**3.6 Riziká a závislosti**

1013

1014

Zoznam rizík a závislostí je detailne rozpracovaný v prílohe tohto dokumentu č. 1: Zoznam rizík a závislostí. Tento zoznam bude počas celej realizácie projektu aktualizovaný.

\\

**3.7 Stanovenie alternatív v biznisovej vrstve architektúry**

1019

1020

Posudzovanie alternatív riešenia vychádza z viacerých možností. V prípade TN UNI, ktorá má zabezpečenú iba minimálnu úroveň kybernetickej bezpečnosti prichádzajú do úvahy nasledovné 3 alternatívy:

1021

1022

1. Ponechanie existujúceho stavu – ide o nultý stav, v ktorom TN UNI spĺňa len minimálne požiadavky na kybernetickú bezpečnosť a ide o možné ohrozenie IS TN UNI.

1023

1. Realizácia projektu KIB s doplnením vybraných opatrení (t.j. nie všetkých) – došlo by k zvýšeniu súladu s legislatívou a s požiadavkami na technické zabezpečenie KB, ale informačné systémy univerzity by boli naďalej kriticky ohrozené.

1024

1. Realizácia opatrení na dosiahnutie zvýšenia súladu KIB s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS – pôjde o také zvýšenie súladu s požiadavkami príslušnej legislatívy v oblasti KIB, ktorá zabezpečí ochranu TN UNI pred najväčšími hrozbami, pričom by šlo o in house riešenie (dohľad nad všetkými systémami vo vlastnej réžii TN UNI).

1025

1. Realizácia opatrení na dosiahnutie zvýšenia súladu KIB s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS – pôjde o také zvýšenie súladu s požiadavkami príslušnej legislatívy v oblasti KIB, ktorá zabezpečí ochranu TN UNI pred najväčšími hrozbami a služby dohľadu budú realizované ako externá služba (SIEM a SOC služby realizované ako služba).

1026

1027

Z hľadiska identifikovaných procesov v kapitole 3.2.2 alternatíva 1 nepokryje riešenie žiadneho z identifikovaného problémov. V prípade čiastkového riešenia (alternatíva 2) by boli zvolené iba niektoré z procesov, ktoré by boli projektom vyriešené. V prípade alternatívy 3 budú podporené všetky procesy v oblasti KIB, ktoré je potrebné pre účely ochrany IS, a ktoré zabezpečujú prevádzku TN UNI. Alternatíva 4 rieši pokrytie všetkých procesov v oblasti KIB, ktoré sú potrebné pre účely ochrany IS, ale vyžadujú platbu externým subjektom minimálne počas doby udržateľnosti projektu.

1028

1029

Na základe zhodnotenia sa ukazuje ako najprijateľnejšia alternatíva možnosť 3, kedy dôjde k značnému zvýšeniu stavu KB na univerzite a nebude ohrozená udržateľnosť z dôvodu finančnej náročnosti.

\\

**3.8 Multikriteriálna analýza**

1034

1035

Multikriteriálna analýza je v tomto prípade redukovaná na dva parametre:

1036

1037

1. Potrebu zosúladenia úrovne kybernetickej bezpečnosti s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS na maximálnu možnú dosiahnuteľnú úroveň. Táto požiadavka sa dotýka všetkých stakeholderov a predstavuje KO kritérium. Ak nemá dôjsť k zásadnému zvýšeniu kybernetickej a informačnej bezpečnosti TN UNI, t.j. ak má zostať ponechaný stav alebo iba dôjde k čiastočnému zlepšeniu, nebude možné považovať realizovaný projekt za úspešný.

1038

1. Udržateľnosť riešenia.

1039

1040

Z vyššie uvedených možných alternatív vyplýva, že s ohľadom na potreby a finančné možnosti TN UNI v rámci udržateľnosti je najvýhodnejšia a dlhodobo udržateľná alternatíva 4.

\\

**3.9 Stanovenie alternatív v aplikačnej vrstve architektúry**

1045

1046

HW a SW komponenty, rovnako ako služby, ktoré sú s nimi spojené musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi - tými sú v tomto prípade oddelenie informatiky, ktoré vychádza z požiadaviek zákona o kybernetickej bezpečnosti, zákona o ISVS, vyhlášky 362/2018 Z. z. a ďalších predpisov.

1047

1048

Aplikačná vrstva predpokladá dve alternatívy:

1049

1050

1. realizácia všetkých opatrení na úrovni TN UNI v zmysle definovaných požiadaviek, pričom všetky technológie na realizáciu opatrení KIB budú vytvorené ako IN-HOUSE riešenie vrátane SIEM - táto architektúra zodpovedá alternatíve 3 popísanej v multikriteriálnej analýze

1051

1. realizácia všetkých opatrení na úrovni TN UNI v zmysle definovaných požiadaviek, pričom niektoré technológie na realizáciu opatrení KIB budú vytvorené ako IN-HOUSE riešenie a niektoré ako služba, konkrétne SIEM - táto architektúra zodpovedá alternatíve 4 popísanej v multikriteriálnej analýze.

1052

1053

Aplikačne teda bude zvolená architektúra II.

\\

**3.10 Stanovenie alternatív v technologickej vrstve architektúry**

1058

1059

Z hľadiska použitých technológií nie sú definované alternatívy. Požiadavky na technológie sú definované všeobecne tak, aby ľubovoľnú SW a HW technológia, ktorá splní definované požiadavky koncového používateľa, bolo možné použiť na realizáciu projektu.

1060

1061

Technologickú architektúru riešenia definuje nasledovný obrázok:

1062

1063

[[image:attach:image-2024-5-24_20-38-15-1.png]]

\\

(% style="letter-spacing: 0.0px;" %)**4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU)**

1068

1069

Výsledkom projektu budú:

1070

1071

* Projektové výstupy v zmysle vyhlášky 401/2023 o riadení projektov. V prípade, že predmetom realizácie bude dielo (oceniteľné práva a/alebo zdrojový kód), získa TN UNI právo vykonávať autorské práva k tomuto dielu, vrátane výhradnej a územne neobmedzenej licencie. Tieto podmienky sa nevzťahujú na tzv. krabicový softvér, ktorý je predávaný ako produkt či už realizátora alebo tretej strany.

1072

* Z hľadiska plnenia cieľov projektu bude výsledkom projektu naplnenie hlavného cieľa, t.j. súlad KIB so zákonom o kybernetickej bezpečnosti a so zákonom o ISVS, čo bude naplnené realizáciu nasledovných partikulárnych cieľov:

1073

** Organizácia kybernetickej a informačnej bezpečnosti

1074

** Riadenie rizík

1075

** Personálna bezpečnosť

1076

** Riadenie prístupov

1077

** Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

1078

** Bezpečnosť pri prevádzke informačných systémov a sietí

1079

** Sieťová a komunikačná bezpečnosť

1080

** Zaznamenávanie udalostí a monitorovanie

1081

** Kontinuita prevádzky

1082

** Audit a kontrolné činnosti

1083

* Technologicky a administratívne pôjde o realizáciu nasledovných cieľov:

1084

** vypracovanie a aktualizácia kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB,

1085

** obstaranie, implementácia a nasadenie firewallov a realizácia segmentácie siete,

1086

** obstaranie a implementácia nástroja na sledovanie dátových tokov,

1087

** obstaranie a implementácia nástroja na centrálne ukladanie systémových logov,

1088

** implementácia dohľadového systému na sledovanie prevádzkových parametrov siete,

1089

** obstaranie a implementácia nástrojov na sledovanie a detekciu neoprávnených spojení na hranici siete,

1090

** rozšírenie kapacít existujúceho diskového poľa pre potreby zálohy prevádzkových dát.

\\

**5. NÁHĽAD ARCHITEKTÚRY**

1095

1096

Architektúra celého riešenia je v zmysle usmernenia MIRRI SR rámcová tak, aby bolo z projektu zrejmé, ktoré komponenty v rámci realizácie projektu budú vytvorené (a budú realizovať opatrenia KIB).

1097

1098

Primárne opatrenia kybernetickej bezpečnosti chránia IS TN UNI, ktoré sú určené na prevádzkovanie univerzitných služieb TN UNI. Z vyššie definovaných potrieb je zrejmé, o aké komponenty zabezpečenia pôjde - firewall, segmentácia siete, centrálny logovací nástroj, nástroj na sledovanie prevádzkových parametrov siete, nástroje na detekciu v sieti a na hranici siete, nástroj na analýzu dátových tokov v sieti, kompletná dokumentácia podľa ZoKB vrátane BCM plánov.

1099

1100

[[image:attach:image-2024-5-24_20-40-44-1.png]]

**6. LEGISLATÍVA**

V rámci platnej legislatívy nebude potrebné meniť žiadnu legislatívu. Projekt je realizovaný za účelom dosiahnutia súladu s platnou legislatívou a to najmä:

1105

1106

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

1107

1108

Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

1109

1110

Vyhláška č.78/2020 Z.z. o štandardoch pre ITVS

1111

1112

Vyhláška č.401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy

1113

1114

Vyhláška 179/2020 Z.z. o obsahu bezpečnostných opatrení ITVS

1115

1116

Vyhláška 362/2018 Z.z. o obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení)

\\

**7. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA**

1121

1122

Harmonogram projektu je definovaný na základe odporúčania MIRRI SR, ktoré predpokladá trvanie projektu na úrovni približne jedného roka. S ohľadom na potreby nákupu a implementácie technológií vrátane potreby ich skúšobnej prevádzky sa s týmto časom stotožňujeme.

1123

1124

Začiatok realizačnej fázy projektu vyplýva z predpokladu, že realizácia projektu začne až po ukončení administratívneho a odborného hodnotenia a po podpise Zmluvy o NFP, pričom je definovaná dostatočná časová rezerva na tieto úkony. Rovnako na procesy verejného obstarávania, ktoré môžu potenciálne začať v krátkom čase po podaní žiadosti o NFP.

\\

(% class="" %)|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))|(((

POZNÁMKA

)))

(% class="" %)|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

4/2024

)))|(((

12/2024

)))|(((

Podpísanie zmluvy o NFP

1153

1154

Spustenie procesov VO

)))

(% class="" %)|(((

2.

)))|(((

Realizačná fáza

)))|(((

01/2025

)))|(((

11/2025

)))|(((

Podpísanie zmlúv s dodávateľmi po ukončení VO,realizácia projektu

)))

(% class="" %)|(((

2a

)))|(((

Analýza a Dizajn

)))|(((

02/2025

)))|(((

05/2025

)))|(((

\\

)))

(% class="" %)|(((

2b

)))|(((

Nákup technických prostriedkov, programových prostriedkov a služieb

)))|(((

04/2025

)))|(((

08/2025

)))|(((

\\

)))

(% class="" %)|(((

2c

)))|(((

Implementácia a testovanie

)))|(((

08/2025

)))|(((

10/2025

)))|(((

Min. 2 mesiace test. prevádzky

)))

(% class="" %)|(((

2d

)))|(((

Nasadenie opatrení

)))|(((

10/2025

)))|(((

11/2025

)))|(((

\\

)))

(% class="" %)|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

10/2025

)))|(((

12/2025

)))|(((

Počas dokončovacej fázy projektový manažér pripraví podklady a odovzdá na schválenie záverečnú žiadosť o platbu a záverečnú

1221

1222

monitorovaciu správu.

)))

(% class="" %)|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

01/2026

)))|(((

01/2031

)))|(((

Obdobie udržateľnosti

)))

\\

Ako metóda riadenia projektu bude použitá metóda „Waterall“. Táto metóda sa ukázala byť ako najvhodnejšia nakoľko svojimi charakteristikami a možnosťami plne zodpovedá požiadavkám a predstavám univerzity.

1239

1240

Schéma metódy projektového riadenia:

\\

[[image:attach:image-2024-5-24_20-42-36-1.png]]

\\

(% style="letter-spacing: 0.0px;" %)**8. ROZPOČET A PRÍNOSY**

1249

1250

V uvedenom projekte vychádzame pri stanovení rozpočtu z prieskumu trhu a pravidiel stanovených výzvou. S ohľadom na rozpočet projektu (projekt do 1 000 000,00,- EUR) nebola spracovaná Analýza nákladov a prínosov.

1251

1252

**8.1 Sumarizácia nákladov a prínosov**

(% class="" %)|(((

Náklady

)))|(((

Infraštruktúra pre prevádzku kybernetickej bezpečnosti

)))|(((

Dokumentácia KB

)))|(((

Pre všetky podaktivity:

)))

(% class="" %)|(((

**IT - CAPEX**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

SW

)))|(((

34 461,60 Eur

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

HW

)))|(((

141 600,00 Eur

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Práce/služby

)))|(((

33 600,00 Eur

)))|(((

67 200,00 Eur

)))|(((

\\

)))

(% class="" %)|(((

Mzdy interní zamestnanci

)))|(((

\\

)))|(((

\\

)))|(((

78 275,00 Eur

)))

(% class="" %)|(((

Paušálne výdavky

)))|(((

\\

)))|(((

\\

)))|(((

24 859,56 Eur

)))

(% class="" %)|(((

**IT - OPEX- prevádzka**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

SW

)))|(((

34 461,60Eur

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

HW

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

Sumarizácia podľa podaktivít:

1364

1365

(% class="relative-table" style="width: 69.6912%;" %)

(% class="" %)|(((

Názov

)))|(((

HW

)))|(((

SW

)))|(((

Služby

)))

(% class="" %)|(((

1.Vytvorenie katalógu informačných aktív a realizovaním analýzy rizík na identifikovaných aktívach

)))|(((

-

)))|(((

-

)))|(((

5 400,- €

)))

(% class="" %)|(((

2.Vytvorenie kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.

)))|(((

-

)))|(((

-

)))|(((

29 400,- €

)))

(% class="" %)|(((

3. Zvýšenie bezpečnosti pri prevádzke informačných systémov a sietí dobudovaním záložných dátových kapacít, vrátane vytvorenia súvisiacej dokumentácie a BCM plánov.

)))|(((

72 000,- €

)))|(((

3 600,- €

)))|(((

30 000,- €

)))

(% class="" %)|(((

4.Zvýšenie sieťovej a komunikačnej bezpečnosti nasadením a implementáciou perimetrového firewallu v HA móde

)))|(((

32 400,- €

)))|(((

21 600,- €

)))|(((

10 800,- €

)))

(% class="" %)|(((

5.Implementácia systémov na nepretržitú kontrolu dátových tokov v interných sieťach univerzity

)))|(((

15 840,- €

)))|(((

5 481,60- €

)))|(((

4 800,- €

)))

(% class="" %)|(((

6.Implementácia centrálneho log manažment systému pre zber a ukladanie logov zo systémov univerzity s možnosťou korelácie incidentov a eventov a vytvárania alertov

)))|(((

21 360,- €

)))|(((

3 780,- €

)))|(((

6 000,- €

)))

(% class="" %)|(((

7.Implementáciou systému na sledovanie prevádzkových parametrov a kapacít využívaných systémových prostriedkov.

)))|(((

-

)))|(((

-

)))|(((

6 000,- €

)))

(% class="" %)|(((

8.Vykonanie certifikovaného auditu kybernetickej bezpečnosti v súlade so ZoKB.

)))|(((

-

)))|(((

-

)))|(((

8 400,- €

)))

V prípade projektov kybernetickej bezpečnosti je priame vyčíslenie návratnosti pomerne komplikované. Z pohľadu návratnosti je potrebné venovať sa hodnoteniu možných škôd, ktoré by vznikli v prípade, že nebude adekvátne riešená KIB na úrovni poskytovateľa základnej služby. Ide o nasledovné potenciálne škody:

1449

Finančné riziko – dôsledky kybernetického útoku. Ide o možné sankcie vyplývajúce priamo z legislatívnych rámcov, prípadných súdnych sporov (v prípade napríklad úniku osobných údajov) ako aj nákladov spojených so sanáciou prípadného kybernetického incidentu. Tieto finančné prostriedky nie je možné momentálne vyčísliť, reálne však môže niekoľko násobne prekročiť straty interných finančných prostriedkov univerzity.

1450

Reputačné riziko – vzhľadom na postavenie a oblasť spoločenskej dôležitosti a zákonných povinností univerzity, je toto riziko potenciálne vysoké – teda v prípade neplnenia legislatívnych požiadaviek v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS alebo vyhlášky 362 /2018 Z. z. či reálneho výpadku prevádzky základnej služby, úniku citlivých dát v kombinácii aj s prípadnou medializáciou a pod.

\\

(% style="letter-spacing: 0.0px;" %)**9. PROJEKTOVÝ TÍM**

1455

1456

Pre účely realizácie projektu sa zostavuje Riadiaci výbor (RV), v minimálne nasledovnom zložení:

1457

1458

* Predseda RV – doc. Ing. Jozef Habánik, PhD.

1459

* Biznis vlastník – Ing. Peter Franko

1460

* Zástupca prevádzky - Martin Šedivá

1461

* Projektový manažér objednávateľa (PM) – Ing. Zuzana Jakubíková, PhD

1462

* Iný člen RV - Ing. Mária Šedivá

1463

* Iný člen RV - Ing. Slavomír Beznák

1464

1465

Projektový tím objednávateľa:

1466

1467

* Manažér kybernetickej bezpečnosti (Juraj Porubčan) - životopis v prílohe

1468

* Kľúčový používateľ ( Ing. Peter Franko)

1469

* IT analytik ( Martin Šedivý)

1470

* IT architekt (Slavomír Beznák)

1471

* Projektový manažér objednávateľa (PM) – Ing. Zuzana Jakubíková, PhD

\\

(% class="" %)|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

(% class="" %)|(((

1.

)))|(((

Ing. Zuzana Jakubíková, PhD

)))|(((

Projektový manažér

)))|(((

Oddelenie riadenia projektov

)))|(((

Projektový manažér

)))

(% class="" %)|(((

2.

)))|(((

Juraj Porubčan

)))|(((

Manažér kybernetickej bezpečnosti

)))|(((

\\

)))|(((

Manažér kybernetickej bezpečnosti

)))

(% class="" %)|(((

3.

)))|(((

Martin Šedivý

)))|(((

odborný zamestnanec IT

1514

)))|(((

1515

Centrum informačných technológií

)))|(((

IT analytik

)))

(% class="" %)|(((

4.

)))|(((

Slavomír Beznák

)))|(((

odborný zamestnanec IT

1525

)))|(((

1526

Centrum informačných technológií

)))|(((

IT architekt

)))

\\

Pracovné náplne projektového tímu sú prílohou názvom: pracovné náplne PT univerzita Trenčín.

1534

1535

Všetci členovia tímu sú internými zamestnancami TN UNI ku dňu podania ŽoNFP (okrem MKB, ktorý bude zamestnaný).

1536

1537

Stručne zodpovednosti jednotlivých rolí:

1538

1539

**__Projektová rola: Biznis vlastník__**

Zodpovedný za:

* Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov.

1544

* Spoluprácu pri riešení odpovedí na otvorené otázky a riziká projektu.

1545

* Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej) · Riešenie problémov a požiadaviek v spolupráci s odbornými garantmi,

1546

* Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek · Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu

1547

* Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť, · Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,

1548

* Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu (BC/CBA)

1549

* Schválenie akceptačných kritérií,

1550

* Riešenie problémov používateľov

1551

* Akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,

1552

* Vykonanie UX a UAT testovania

1553

* Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,

1554

* Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

1555

* Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch.

1556

* Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a prioritizácii

1557

* Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd,

1558

* Okrem zvažovaní rizík prevádzkových alebo podporných procesov súčasne vlastník napomáha identifikovať príležitosti,

1559

* Zlepšovanie a optimalizáciu procesov v spolupráci s ďalšími prepojenými vlastníkmi procesov a manažérom kvality,

1560

* Odsúhlasenie akceptačných protokolov zmenových konaní

1561

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1 plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

**__ __**

**__Projektová rola: Projektový manažér objednávateľa (PM)__**

Zodpovedný za:

* Riadenie projektu podľa pravidiel stanovených vo Vyhláške 401/2023 Z. z.

1570

* Riadenie prípravy, inicializácie a realizácie projektu

1571

* Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii ·

1572

* Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

1573

* Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

1574

* Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

1575

* Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z. Z., Prílohou č.1

1576

* Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

1577

* Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 401/2023 Z. , Prílohy č.1

1578

* Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 401/2023 Z. z., Prílohou č.1 na rokovanie RV

1579

* Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

1580

* Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

1581

* Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

1582

* Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

1583

* Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

1584

* Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

1585

* Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

1586

* Riadenie implementačných a prevádzkových aktivít v rámci projektov.

1587

* Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

1588

* Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

1589

* Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

1590

* Dodržiavanie metodík projektového riadenia,

1591

* Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),

1592

* Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr

1593

1594

**__Projektová rola: KĽUČOVÝ POUŽIVATEĽ (end user)__**

Zodpovedný za:

* Návrh a špecifikáciu funkčných a technických požiadaviek

1599

* Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

1600

* Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, · Špecifikáciu požiadaviek koncových používateľov na prínos systému

1601

* Špecifikáciu požiadaviek na bezpečnosť,

1602

* Návrh a definovanie akceptačných kritérií,

1603

* Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

1604

* Finálne odsúhlasenie používateľského rozhrania

1605

* Vykonanie akceptačného testovania (UAT)

1606

* Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

1607

* Finálny návrh na spustenie do produkčnej prevádzky,

1608

* Predkladanie požiadaviek na zmenu funkcionalít produktov

1609

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1610

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

1611

* Realizáciu kvalitatívneho používateľského výskumu (nastavenie požiadaviek na regrutáciu, návrh scenára, vedenie rozhovoru a vyhodnotenie výskumu).

1612

* Realizáciu kvantitatívneho používateľského výskumu (nastavenie požiadaviek na regrutáciu, návrh scenára, vedenie dotazníku a vyhodnotenie výskumu).

1613

* Syntetizáciu biznis, technických a používateľských požiadaviek.

1614

* Realizáciu formatívnych a sumatívnych testovaní použiteľnosti (nastavenie požiadaviek na regrutáciu, návrh scenára, vedenie rozhovoru a vyhodnotenie výskumu).

1615

* Návrh informačnej architektúry a to najmä metódami triedenia kariet (card sorting), návrhom mapy stránky a screen flow.

1616

* Tvorbu, testovanie a iteráciu prototypov – napr. pomocou Axure, Sketch, Figma alebo Adobe XD

1617

* Mapovanie zákazníckych ciest

1618

* Analýzu a návrh riešenia problematiky prístupnosti webových sídiel,

1619

* Podporu a spoluprácu pri tvorbe Stratégie riadenia kvality (princípy, kritériá kvality),

1620

* Spoluprácu pri vytváraní funkčných požiadaviek na výstupy z pohľadu dohľadu a UX,

1621

* Vedenie a aktualizáciu príslušných projektových výstupov a registrov,

1622

* Hodnotenie jednotlivých verzií výstupov projektu z pohľadu dohľadu, kontroly a UX v jednotlivých etapách,

1623

* Vytváranie hodnotiacich kritérií na dohľad výstupov a príslušných záznamov, o ktorých reportuje projektovému manažérovi objednávateľa,

1624

* Nastavenie a dohľad nad procesom testovania a pripomienkovanie stratégie testovania, plánov a testovacích scenárov,

1625

* Účasť na kontrolných aktivitách počas implementácie výstupov

1626

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1627

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1628

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

**__ __**

**__Projektová rola: IT analytik__**

Zodpovedný za:

* Vykonanie analýzy procesných a ďalších požiadaviek a vytvorenie špecifikácie súčasného alebo budúceho užívateľa softwaru („zákazníka“) a následne navrhuje dizajn a programátorské riešenie.

1637

* Participáciu na vývoji nových, ale i vylepšovaní existujúcich aplikácií v rámci celého vývojového cyklu – systémová analýza, dizajn, kódovanie, užívateľské testovanie, implementácia, podpora, dokumentácia. Úzko spolupracuje aj s IT architektom.

1638

* Analýza potrieb zákazníka vrátane tvorby úplnej analytickej dokumentácie a vstupov do verejného obstarávania (VO).

1639

* Mapovanie požiadaviek do návrhu funkčných riešení.

1640

* Návrh a správa katalóg požiadaviek - registra požiadaviek riešenia

1641

* Analýza funkčných a nefunkčných požiadaviek,

1642

* Návrh fyzického a logického modelu,

1643

* Návrh testovacích scenárov,

1644

* V priebehu implementácie robí dohľad nad zhodou výstupov s pôvodným analytickým zadaním.

1645

* Zodpovednosť za dodržovanie správnej metodiky pri postupe analýzy

1646

* Definovanie akceptačných kritérií v projekte

1647

* Odsúhlasenie opisu produktov, ktoré predstavujú vstupy alebo výstupy (priebežné alebo konečné) úloh dodávateľov, alebo ktoré ich priamo ovplyvňujú a zabezpečovať akceptáciu produktov po ich dokončení

1648

* Priraďuje priority a poskytuje stanoviská používateľov na rozhodnutia Riadiaceho výboru projektu – k realizácii zmenových požiadaviek

1649

* Poskytuje merania aktuálneho stavu pre potreby porovnania s výsledkami projektu vzhľadom na realizáciu prínosov

1650

* Rieši požiadavky používateľov a konflikty iných priorít

1651

* Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1652

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1653

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

**__ __**

**__Projektová rola: IT architekt__**

Zodpovedný za:

* Navrhovanie architektúry IT riešení s cieľom dosiahnuť najlepšiu efektivitu.

1662

* Transformovanie cieľov, prísľubov a zámerov projektu do tvorby reálnych návrhov a riešení.

1663

* Navrhovanie takých riešení, aby poskytovali čo najvyššiu funkčnosť a flexibilitu. ·

1664

* Posudzovanie vhodnosti navrhnutých riešení s ohľadom na požiadavky projektu. ·

1665

* Zodpovednosť za technické navrhnutie a realizáciu projektu.

1666

* Zodpovednosť za vytvorenie technickej IT dokumentácie a jej následná kontrola. ·

1667

* Zodpovednosť za definovanie integračných vzorov, menných konvencií, spôsobov návrhu a spôsobu programovania.

1668

* Definovanie architektúry systému, technických požiadaviek a funkčného modelu (Proof Of Concept.)

1669

* Vytvorenie požiadaviek na HW/SW infraštruktúru IS

1670

* Udržiavanie a rozvoj konzistentnej architektúry s dôrazom na architektúru aplikačnú, dátovú a infraštruktúru

1671

* Analýzu a odhad náročnosti technických požiadaviek na vytvorenie IS alebo vykonanie zmien v IS

1672

* Navrhovanie riešení zohľadňujúce architektonické štandardy, časové a zdrojové obmedzenia,

1673

* Navrhovanie dátových transformácií medzi dátovými skladmi a aplikáciami

1674

* Vyhodnocovanie implementačných alternatív z pohľadu celkovej IT architektúry

1675

* Ladenie dátových štruktúr za účelom dosiahnutia optimálneho výkonu

1676

* Prípravu akceptačných kritérií · Analýza nových nástrojov, produktov a technológií

1677

* Správa, rozvoj a dohľad nad dodržiavaním integračných štandardov

1678

* Priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane Detailného návrhu riešenia (DNR) z pohľadu analýzy a návrhu riešenia architektúry IS

1679

* Vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania

1680

* Vykonanie záťažových, výkonnostných a integračných testov a navrhnutie následných nápravných

1681

* Nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie nápravných opatrení

1682

* Participáciu na výkone bezpečnostných testov,

1683

* Participáciu na výkone UAT testov,

1684

* Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1685

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1

1686

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

**__Projektová rola: manažér kybernetickej a informačnej bezpečnosti__**

Zodpovedný za:

* špecifikovanie štandardov, princípov a stratégií v oblasti ITB a KIB,

1695

* ak je projekt primárne zameraný na problematiku ITB a KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na ITB a KIB,

1696

* špecifikovanie požiadaviek na ITB a KIB, kontroluje ich implementáciu v realizovanom projekte,

1697

* špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

1698

* špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť ITB a KIB,

1699

* špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

1700

* špecifikovanie požiadaviek na školenia pre oblasť ITB a KIB,

1701

* špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť ITB a KIB,

1702

* špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na ITB a KIB,

1703

* realizáciu posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

1704

* špecifikovanie požiadaviek na ITB a KIB, bezpečnostný projekt a riadenie prístupu,

1705

* špecifikovanie požiadaviek na testovanie z hľadiska ITB a KIB, realizáciu kontroly zapracovania a retestu,

1706

* špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť ITB a KIB, ako aj v zmysle "best practies",

1707

* špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s ITB a KIB kontroluje ich implementáciu v realizovanom projekte,

1708

* špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu ITB a KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

1709

* špecifikáciu požiadaviek na bezpečnosť IT a KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

1710

* špecifikáciu akceptačných kritérií za oblasť ITB a KIB,

1711

* špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na ITB a KIB,

1712

* poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť ITB a KIB,

1713

* získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1714

* špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,

1715

* konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska ITB a KIB,

1716

* špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť ITB a KIB,

1717

* realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť ITB a KIB

1718

* realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

1719

* realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

1720

* realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť ITB a KIB,

1721

* realizáciu kontroly zameranú na implementovaný proces v priamom súvise s ITB a KIB,

1722

* realizáciu kontroly súladu s planou legislatívou v oblasti ITB a KIB (obsahuje aj kontrolu leg. požiadaviek)

1723

* realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti, · poskytovanie konzultácií a súčinnosti pre problematiku ITB a KIB,

1724

* získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1725

* aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1 plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

**10. PRÍLOHY**

**Príloha : **1 – Pracovné náplne,

1732

1733

2 - Zoznam rizík a závislostí,