projekt_2641_Projektovy_zamer_detailny

= {{id name="projekt_2641_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

116

117

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

\\

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky obsahuje manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

**~ **

== {{id name="projekt_2641_Projektovy_zamer_detailny-Použitéskratkyapojmy"/}}Použité skratky a pojmy ==

(% class="" %)|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

(% class="" %)|(((

Active Directory

)))|(((

Active Directory je implementácia adresárových služieb [[LDAP>>url:https://sk.wikipedia.org/wiki/LDAP||shape="rect"]] firmou [[Microsoft>>url:https://sk.wikipedia.org/wiki/Microsoft||shape="rect"]] na použitie v systéme [[Microsoft Windows>>url:https://sk.wikipedia.org/wiki/Microsoft_Windows||shape="rect"]]. Umožňuje administrátorom nastavovať politiku, inštalovať programy na mnoho počítačov alebo aplikovať kritické aktualizácie v celej organizačnej štruktúre. Active Directory svoje informácie a nastavenia ukladá v centrálnej organizovanej databáze.

)))

(% class="" %)|(((

BIA

)))|(((

Business Impact Analysis - Analýza vplyvu (BIA) je základom celého procesu riadenia kontinuity podnikania (BCM). Pozostáva z techník a metód na posúdenie vplyvu narušenia dodávok kľúčových produktov alebo služieb organizácie a iných zainteresovaných strán na organizáciu a ich podporných kritických činností

)))

(% class="" %)|(((

BCM

)))|(((

Business Continuity Management - Riadenie kontinuity podnikania je kompletný súbor procesov,

146

147

ktorý identifikuje potenciálne vplyvy , ktoré ohrozujú organizáciu z pohľadu kybernetickej bezpečnosti. Poskytuje schopnosť účinnej reakcie na vzniknutý kybernetický bezpečnostný incident

)))

(% class="" %)|(((

Core

)))|(((

Next Generation Firewall

)))

(% class="" %)|(((

DAC kábel

)))|(((

Direct attach copper kábel, slúži k pripojeniu aktívnych prvkov.

)))

(% class="" %)|(((

EDR riešenie

)))|(((

EDR (Endpoint Detection and Response) zlepšuje schopnosť identifikovať, monitorovať a reagovať na podozrivé aktivity na koncových zariadeniach, ako sú pracovné stanice, servery a mobilné zariadenia

)))

(% class="" %)|(((

EPS

)))|(((

EPS (skratka pre Encapsulated PostScript) je univerzálny [[typ súboru>>url:https://sk.wikipedia.org/wiki/Typ_s%C3%BAboru||shape="rect"]], ktorý sa využíva pri posielaní dokumentov do tlačiarne

)))

(% class="" %)|(((

Firewall

)))|(((

Sieťové zariadenie alebo softvér, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Extranet a Intranet) a kontrolovať tok dát medzi týmito sieťami

)))

(% class="" %)|(((

GDPR

)))|(((

Nariadenie EU 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov

)))

(% class="" %)|(((

HW

)))|(((

Hardvér

)))

(% class="" %)|(((

LAN

)))|(((

Lokálna (vnútorná) počítačová sieť (Local Area Network)

)))

(% class="" %)|(((

Log

)))|(((

Záznam činnosti

)))

(% class="" %)|(((

MKB

)))|(((

Manažér kybernetickej bezpečnosti

)))

(% class="" %)|(((

SIEM

)))|(((

Systém pre zber a analýzu bezpečnostných udalostí vytváraných IT prostriedkami v reálnom čase (Security Information and Event Management)

)))

(% class="" %)|(((

Spam

)))|(((

Spam je nevyžiadaná a hromadne rozosielaná správa

)))

(% class="" %)|(((

sw

)))|(((

Softvér

)))

(% class="" %)|(((

Switch

)))|(((

Prepínač ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] switch) alebo sieťový prepínač (angl. network switch) je aktívny prvok [[počítačovej siete>>url:https://sk.wikipedia.org/wiki/Po%C4%8D%C3%ADta%C4%8Dov%C3%A1_sie%C5%A5||shape="rect"]], ktorý spája jej jednotlivé časti. Prepínač slúži ako centrálny prvok v sieťach [[hviezdicovej topológie>>url:https://sk.wikipedia.org/wiki/Hviezdicov%C3%A1_sie%C5%A5||shape="rect"]]. V minulosti sa ako centrálny prvok v týchto sieťach používal [[rozbočovač>>url:https://sk.wikipedia.org/wiki/Rozbo%C4%8Dova%C4%8D_(ethernet)||shape="rect"]] ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] hub).

)))

(% class="" %)|(((

TCP

)))|(((

Protokol riadenia prenosu (angl. Transmission Control Protocol)

)))

(% class="" %)|(((

UJS

)))|(((

Prešovská univerzita v Prešove

)))

(% class="" %)|(((

UPS

)))|(((

Zariadenie alebo systém, ktorý zabezpečuje plynulú dodávku elektriny pre zariadenia, ktoré nesmú byť neočakávane vypnuté.

)))

(% class="" %)|(((

VPN

)))|(((

VPN je počítačová sieť na prepojenie počítačov na rôznych miestach internetu do jednej virtuálnej počítačovej siete.

)))

\\

\\

== {{id name="projekt_2641_Projektovy_zamer_detailny-Konvenciepretypypožiadaviek"/}}Konvencie pre typy požiadaviek ==

\\

N/A

**

**

= {{id name="projekt_2641_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

== {{id name="projekt_2641_Projektovy_zamer_detailny-Manažérskezhrnutie"/}}Manažérske zhrnutie ==

258

259

Projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti v rámci Univerzity J. Selyeho“ (ďalej len „projekt“) bol vypracovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v Univerzite J. Selyeho a zabezpečiť súlad so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“).

260

261

Hlavným cieľom projektu je zvýšenie miery ochrany informačných systémov univerzity voči potenciálnym kybernetickým incidentom.

262

263

Tento cieľ bude naplnený realizáciu činností v oblasti informačnej a kybernetickej bezpečnosti, ktoré vychádzajú z Analýzy rizík Univerzity J. Selyeho (ďalej aj „UJS“) a z Plánu implementácie opatrení kybernetickej bezpečnosti (ďalej aj „analýza“).

264

265

Predmetom projektu je:

266

267

* Tvorba bezpečnostnej dokumentácie a metodiky - potreba aktualizácie vyplýva z výsledkov analýzy, v rámci ktorého bola identifikovaná potreba dopracovania existujúcej bezpečnostnej dokumentácie kybernetickej bezpečnosti,

268

* Implementácia softvérových a hardvérových nástrojov pre oblasť informačnej a kybernetickej bezpečnosti v nadväznosti na riziká identifikované v analýze,

269

* Financovanie mzdových výdavkov Manažéra kybernetickej bezpečnosti,

270

* Realizácia pravidelného auditu kybernetickej bezpečnosti v zmysle zákona o KB.

Po implementácii projektu bude UJS pripravená efektívnejšie riadiť informačnú a kybernetickú bezpečnosť (ďalej iba „IB“ a „KB“) a čeliť interným a externým hrozbám v oblasti IB a KB.

275

276

UJS v súčasnosti nedisponuje dostatočnými finančnými, technologickými a personálnymi zdrojmi, aby mohla plnohodnotne vykonávať všetky potrebné aktivity v rozsahu požadovanom zákonom o KB.

277

278

Hlavnými beneficientom projektu je UJS a jej jednotliví zamestnanci, resp. užívatelia informačných systémov. Nepriamym beneficientom sú študenti a osoby, resp. subjekty komunikujúce s UJS. V dôsledku zavedených opatrení, ktoré zvýšia mieru ochrany informačných systémov bude minimalizovaný výpadok, resp. negatívny dopad bezpečnostných incidentov na riadnych chod univerzity.

279

280

Predpokladaný rozpočet projektu: **488 061,88 €**\\

281

282

== {{id name="projekt_2641_Projektovy_zamer_detailny-Motiváciaarozsahprojektu"/}}Motivácia a rozsah projektu ==

283

284

UJS zrealizovala Analýzu rizík Univerzity J. Selyeho (ďalej aj „analýza“). V rámci analýzy bolo zrealizované nezávislé externé hodnotenie kybernetickej bezpečnosti, ktoré sa zakladá na dlhoročných skúsenostiach a na základe „best practise“. Aktuálny stav dokumentácie, systémov a nastavení bol zisťovaný pomocou rozhovorov so zamestnancami univerzity. Ako šablóna pre analýzu sa zvolilo znenie Zákona o kybernetickej bezpečnosti 69/2018 Z.z. a znenie vykonávacej vyhlášky 362/2018 Z.z. V analýze sú uvedené jednotlivé oblasti problematiky kybernetickej bezpečnosti, je uvedený zistený súčasný stav a sú navrhnuté odporúčania.

285

286

Cieľom analýzy bolo preveriť zhodu prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov.

287

288

Analýzou sa identifikovali nedostatky pri zabezpečovaní kybernetickej bezpečnosti s cieľom prijať opatrenia na ich odstránenie a nápravu, a na predchádzanie kybernetických bezpečnostných incidentov.

289

290

Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale univerzita si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonanej analýzy.

\\

**Hlavné identifikované riziká, resp. nedostatky**

* **Firewall**

V rámci univerzity sa nevyužívajú tzv. next-gen firewally, ktoré by zabezpečovali sofistikovanejšiu ochranu a prípadné blokovanie nežiadúcich dátových prenosov. Tieto firewally by boli schopné odhaliť nežiadúce komunikácie buď na nelegálne alebo škodlivé stránky.

299

300

* **Aktualizácia sieťovej infraštruktúry / segmentácia siete**

301

302

Vykonaná analýza konštatovala skutočnosť, že UJS nemá vytvorenú bezpečnostnú segmentácia siete a navrhuje vytvoriť bezpečnostnú segmentáciu vo vyhradených segmentoch siete pre testovanie IS a zálohovanie IS. Z uvedeného dôvodu je v rámci projektu navrhnutý upgrade sieťovej vrstvy, na základe ktoré bude možné zrealizovať segmentáciu siete v zmysle plánu implementácie opatrení vyplývajúcich z realizovanej analýzy. Upgrade sieťovej vrstvy okrem iného umožní detekciu a prevenciu prienikov, identifikáciu nezvyčajných mechanizmov útokov alebo proaktívne blokovanie škodlivej sieťovej prevádzky. Podrobný popis aktualizácie sieťovej vrstvy je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.

\\

* **Aktualizácia / upgrade serverovej infraštruktúry**

307

308

Vykonaná analýza konštatovala morálne zastaralú infraštruktúru bez podpory výrobcu. Uvedená infraštruktúra predstavuje nedostatočnú funkcionalitu potrebnú pre bezpečnú prevádzku informačných systémov, nedostatočnú kapacitu pre implementáciu zálohovacieho systému a neexistujúce riešenie vysokej dostupnosti sťažujúce vypracovanie plánov kontinuity. Z uvedeného dôvodu je v rámci projektu navrhnutý taký upgrade serverovej infraštruktúry, ktorý bude poskytovať možnosť vysokej dostupnosti, ci už formou zabezpečenia klastrového prostredia, ale aj za účelom poskytnutia výpočtovej kapacity pre implementáciu systému zálohovania, čím bude možné zároveň vypracovať relevantné plány kontinuity prevádzky a tým zvýšiť úroveň kybernetickej bezpečnosti. Podrobný popis aktualizácie serverovej infraštruktúry je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.

\\

* **Zálohovanie**

V organizácii chýba zadefinovanie zálohovacích plánov pre dôležité systémy, Nie sú vypracované postupy zálohovania a postupy na obnovu siete a informačných systémov po ich narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie. V organizácii nie je implementovaný systému zálohovania.

\\

* **Centrálny manažment logov**

319

320

Analýza identifikovala vysoké riziko v danej oblasti a konštatovala zavedený len čiastočný zber logov a manuálnu detekciu incidentov.

321

322

Stále častejšie globálne sa vyskytujúce bezpečnostné incidenty vyžadujú dohľadávanie logov aj vo vzdialenejšej minulosti a stále častejšie sú aj požiadavky na ich prípadné poskytovanie ďalším orgánom (PZ SR, SIS, CSIRT,...) pre ďalšiu forenznú analýzu, čo aktuálne riešenie neumožňuje (resp. umožňuje len pomocou komplikovaných manuálnych postupov), prípadne je možné len s obmedzením – vyžaduje si určité znalosti aj prístupy k samotným logom.

323

324

Samotné vyhľadávanie je komplikované riešené priamo prostriedkami operačného systému, pričom logy nie sú po pridelení týchto prístupov chránené proti manipulácii.

\\

* **Centrálny manažment siete**

329

330

V organizácii nie je nasadený nástroj, ktorý by poskytol centralizovaný pohľad na celú sieť s viditeľnosťou všetkých sieťových zariadení bez nutnosti integrácie viacerých aplikácií. Chýba komplexný prehľad o sieti, informácie o výkone aplikácií a siete. Nie je realizovaná identifikácia a reporting pre podozrivé , škodlivé a nežiaduce aplikácie.

\\

* **Detegovanie zraniteľností**

335

336

Zrealizovaná analýza konštatovala, že UJS nevykonáva pravidelné detegovanie zraniteľností programových prostriedkov a ich častí a rovnako nepoužíva nástroj na detegovanie zraniteľností technických prostriedkov a ich častí. Z uvedeného dôvodu je v rámci hodnotenia zraniteľností a bezpečnostných aktualizácií navrhnutý nástroj určený na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí.

\\

**Odporúčania** vyplývajúce z realizovanej analýzy, ktoré sú rovnako predmetom predkladaného projektu sú nasledovné:

341

342

* Vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení;

343

* vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti;

344

* vypracovanie štatútu bezpečnostného výboru;

345

* Identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu;

346

* riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení;

347

* vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti.

348

* Vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík;

349

* Zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov;

350

* Zavedenie, implementácia alebo aktualizácia nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí, prípadne obstaranie tejto funkcionality ako externej služby;

351

* vypracovanie a implementácia interného riadiaceho aktu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat;

352

* Implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel;

353

* zavedenie bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a vzdialený prístup,

354

* vytvorenie alebo aktualizácia dokumentácie počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov;

355

* realizácia/aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie;

356

* Implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov;

357

* implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM);

358

* vypracovanie dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností;

359

* špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané a konfigurácia prvkov informačných technológií verejnej správy, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov;

360

* Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností;

361

* implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí;

362

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;

363

* Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu;

364

* vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;

365

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

366

* vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

367

* implementácia systému zálohovania.

\\

Po odstránení zistení a implementácii odporúčaní vyplývajúcich z analýzy bezpečnosti má univerzita vysoký potenciál dosiahnuť primeranú úroveň kybernetickej bezpečnosti na dosiahnutie bezpečnej a spoľahlivej prevádzky informačných systémov.

**~ **

**Realizované činnosti v rámci projektu**

376

377

V rámci projektu bude univerzita realizovať činnosti, ktoré predstavujú reakciu univerzity na analýzy bezpečnosti ukončenej v apríli 2024 a sú delené do dvoch hlavných oblastí, konkrétne predstavujú tvorbu **(1) bezpečnostnej dokumentácie a metodiky vrátane realizácie auditu kybernetickej bezpečnosti, (2) implementáciu softvérových a hardvérových nástrojov**, **(3) činnosti manažéra kybernetickej bezpečnosti**.

\\

[[image:attach:image-2024-5-31_9-15-43.png||width="632"]]

382

383

Obrázok 1 Biznis funkcie / podaktivity projektu

\\

Tieto činnosti budú naplnené podaktivitami (1), (2) a (3):

388

389

**Tvorba bezpečnostnej dokumentácie a metodiky vrátane realizácie auditu kybernetickej bezpečnosti (1)**

390

391

Potreba aktualizácie vyplýva z výsledkov analýzy, v rámci ktorej bola identifikovaná potreba dopracovania existujúcej bezpečnostnej dokumentácie kybernetickej bezpečnosti, ktoré aktuálna dokumentácia neobsahuje.

392

393

Jedná sa o aktualizáciu dokumentácie kybernetickej bezpečnosti v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a v Zmysle Vyhlášky NBÚ SR č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

394

395

Univerzita má k dnešnému dňu vypracovanú nasledovnú dokumentáciu:

396

397

* Zásady bezpečnostnej stratégie kybernetickej bezpečnosti na Univerzite J. Selyeho,

398

* Smernica rektora o kybernetickej bezpečnosti pre používateľov informačných systémov a IKT zariadení Univerzity J. Selyeho,

399

* Metodika analýzy rizík a dopadov,

400

* Analýza rizík Univerzity J. Selyeho.

\\

Pri vypracovávaní dokumentácie bude žiadateľ vychádzať z Vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

405

406

Rovnako bude realizovaný pravidelný audit kybernetickej bezpečnosti v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

407

408

**Implementácia softvérových a hardvérových nástrojov (2) **bude pozostávať z nasledovných komponentov:

409

410

* Technický prostriedok zabezpečujúci funkcionalitu next generation firewall-u,

411

* Aktualizácia sieťovej infraštruktúry / segmentácia siete,

412

* Aktualizácia / upgrade serverovej infraštruktúry,

413

* Zálohovanie,

414

415

=== {{id name="projekt_2641_Projektovy_zamer_detailny-·Centrálnymanažmentlogov,"/}}· Centrálny manažment logov, ===

416

417

* Nástroj na centrálny manažment siete

418

* Nástroj na detegovanie existujúcich zraniteľností.

**~ **

Zdôvodnenie realizácie uvedených komponentov je uvedené v kap. 3 Motivácia a rozsah projektu.

423

424

Podrobný popis jednotlivých komponentov a ich funkcionalít je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva

**Činnosti manažéra pre informačnú a kybernetickú bezpečnosť (3) **– manažér bude zodpovedný za implementáciu dokumentácie, metodík a činností uvedených v bodoch (1) a (2).

\\

Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania opakovaného auditu kybernetickej bezpečnosti realizovaného v budúcnosti.

== {{id name="projekt_2641_Projektovy_zamer_detailny-Zainteresovanéstrany/Stakeholderi"/}}Zainteresované strany/Stakeholderi ==

(% class="" %)|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

)))|(((

ROLA

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

(% class="" %)|(((

1.

)))|(((

Univerzita J. Selyeho

)))|(((

UJS

)))|(((

Vlastník procesu

)))|(((

isvs_14252 AIS2 - Akademický informačný systém

461

462

isvs_14253 RDSS - Registratúrny denník

463

464

[[isvs_14255>>url:https://metais.vicepremier.gov.sk/detail/ISVS/9d5aa13d-7e9e-469d-9809-f68d0b66a64a/cimaster?tab=summarizingCart||shape="rect"]] ZIMBRA - poštový server

465

466

isvs_14256 WebKredit - stravovací systém

467

468

isvs_14258 SafeQ - tlačový systém

469

470

isvs_14259 DAWINCI - knižničný informačný systém

471

472

isvs_14260 REPČO - Register evidencie publikačnej činnosti a ohlasov

473

474

isvs_14261 CREPČ2 - Centrálny register evidencie publikačnej činnosti

)))

(% class="" %)|(((

2.

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

)))|(((

MIRRI SR

)))|(((

Garant eGovernmentu

)))|(((

-

)))

\\

\\

== {{id name="projekt_2641_Projektovy_zamer_detailny-Cieleprojektu"/}}Ciele projektu ==

(% class="" %)|(((

ID

)))|(((

Názov cieľa

)))|(((

Názov strategického cieľa

500

)))|(((

501

Spôsob realizácie strategického cieľa

)))

(% class="" %)|(((

C_01

)))|(((

Zvýšenie miery ochrany informačných systémov univerzity voči potenciálnym kybernetickým incidentom

507

)))|(((

508

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe (Cieľ Národnej koncepcie informatizácie verejnej správy, cieľ 4.1)

509

)))|(((

510

Cieľ bude naplnený realizáciou činností uvedených v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

511

512

Konkrétne, vypracovaním a aktualizáciou dokumentácie a metodík kybernetickej bezpečnosti a nasadením SW a HW riešení uvádzaných v projekte

)))

(% class="" %)|(((

C_01

)))|(((

Zvýšenie miery ochrany informačných systémov univerzity voči potenciálnym kybernetickým incidentom

\\

)))|(((

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy (Cieľ Programu Slovensko a príslušnej výzvy)

522

)))|(((

523

Cieľ bude naplnený realizáciou činností uvedených v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

524

525

Konkrétne, vypracovaním a aktualizáciou dokumentácie a metodík kybernetickej bezpečnosti a nasadením SW a HW riešení uvádzaných v projekte.

)))

**~ **

\\

**~ **

== {{id name="projekt_2641_Projektovy_zamer_detailny-Merateľnéukazovatele(KPI)"/}}Merateľné ukazovatele (KPI) ==

\\

(% class="" %)|(((

ID

)))|(((

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

\\

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

)))

(% class="" %)|(((

MU_01

)))|(((

C_01

)))|(((

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

570

)))|(((

571

Merateľný ukazovateľ výstupu

572

573

(pozn. čas plnenia merateľného ukazovateľa ku koncu realizácie hlavných aktivít projektu)

)))|(((

počet

)))|(((

0

)))|(((

1

)))|(((

V čase ukončenia projektu pri prevzatí výstupov projektu

582

)))|(((

583

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov: UJS

)))

(% class="" %)|(((

MU_02

)))|(((

C_01

)))|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

// //

)))|(((

Výsledok

(pozn. čas plnenia merateľného ukazovateľa v rámci udržateľnosti projektu)

)))|(((

počet

)))|(((

0

)))|(((

1 796

\\

1 663 študentov + 133 pedagogických a vedeckých pracovníkov

607

)))|(((

608

V čase udržateľnosti projektu, podľa aktuálneho počtu obyvateľov.

609

)))|(((

610

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov: zamestnanci a študenti UJS

)))

\\

\\

== {{id name="projekt_2641_Projektovy_zamer_detailny-Špecifikáciapotriebkoncovéhopoužívateľa"/}}Špecifikácia potrieb koncového používateľa ==

618

619

Z hľadiska projektu je koncovým používateľom UJS, resp. jej jednotliví zamestnanci a študenti. Špecifikáciu potrieb predstavujú odporúčania analýzy rizík.

620

621

Odporúčania predmetnej analýzy realizované predkladaným projektom sú uvedené v kapitole **Motivácia a rozsah projektu**, časť **Odporúčania**.

622

623

Podrobný popis týchto odporúčaní je uvedený v samotnej správe Analýzy rizík Univerzity J. Selyeho.

624

625

Uvedené potreby sú riešené predkladaným projektom, resp. činnosťami, ktoré sú podrobne uvedené v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

\\

**~ **

== {{id name="projekt_2641_Projektovy_zamer_detailny-Rizikáazávislosti"/}}Riziká a závislosti ==

632

633

Zoznam a popis rizík spojených s projektom je uvedený v prílohe ZOZNAM RIZÍK a ZÁVISLOSTI

\\

== {{id name="projekt_2641_Projektovy_zamer_detailny-Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}Stanovenie alternatív v biznisovej vrstve architektúry ==

638

639

Z pohľadu biznisovej vrstvy prichádzajú do úvahy nasledovné alternatívy:

\\

1. **Ponechanie súčasného stavu**

644

645

Alternatíva znamená nerealizovanie projektu, to zn. neprijatie opatrení potrebných na zosúladenie stavu v oblasti informačnej a kybernetickej bezpečnosti s platnou legislatívou a rovnako nerealizovanie zistení a odporúčaní vyplývajúcich z analýzy bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.

646

647

1. **Čiastočná realizácia opatrení v rámci kybernetickej bezpečnosti**

648

649

Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou. Realizované budú najmä opatrenia v oblasti metodiky a tvorby dokumentácie. Uvedená alternatíva (z dôvodu nedostatku finančných prostriedkov) neumožní realizáciu technologických odporúčaní, resp. len v obmedzenej miere. Alternatíva neumožňuje implementáciu automatizovaných riešení (ako napr. logmanager a pod.)

650

651

1. **Plnohodnotná realizácia opatrení kybernetickej bezpečnosti**

652

653

Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, realizáciu administratívnych a technologických odporúčaní, realizáciu automatizovaných riešení a nasadenie SW a HW riešení v zmysle výsledkov analýzy bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.

\\

\\

== {{id name="projekt_2641_Projektovy_zamer_detailny-Multikriteriálnaanalýza"/}}Multikriteriálna analýza ==

(% class="" %)|(((

**// //**

)))|(((

KRITÉRIUM

)))|(((

ZDÔVODNENIE KRIÉRIA

)))|(((

UJS

)))|(((

MIRRI SR

)))

(% class="" %)|(% rowspan="3" %)(((

BIZNIS VRSTVA

// //

)))|(((

Kritérium A

Zosúladenie aktuálneho stavu so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (KO)

680

)))|(((

681

Jedná sa o KO kritérium vychádzajúce zo základnej požiadavky súladu s legislatívou

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Kritérium B

Realizácia administratívnych a technologických odporúčaní v zmysle záverov Analýzy bezpečnosti (KO)

691

)))|(((

692

Jedná sa o KO kritérium vychádzajúce z nevyhnutnej potreby odstránenia zistení vyplývajúcich z analýzy bezpečnosti

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Kritérium C

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

702

)))|(((

703

Jedná sa o kritérium predstavujúce komplexné riešenie kybernetickej bezpečnosti prevádzkovateľa základnej služby

)))|(((

X

)))|(((

\\

)))

\\

**

**

**~ **

**Vyhodnotenie MCA**

(% class="" %)|(((

Zoznam kritérií

)))|(((

Alt. 1

)))|(((

Spôsob

dosiahnutia

)))|(((

Alt. 2

)))|(((

Spôsob

dosiahnutia

)))|(((

Alt. 3

)))|(((

Spôsob

dosiahnutia

)))

(% class="" %)|(((

Kritérium A

Zosúladenie aktuálneho stavu so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (KO)

)))|(((

nie

)))|(((

-

)))|(((

áno

)))|(((

Čiastočná realizácia opatrení v oblasti KB predstavuje realizáciu najmä metodickej a dokumentačnej časti opatrení KB. Z uvedeného dôvodu alternatíva naplní súlad so zákonom o KB.

)))|(((

áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich zo zákona o KB.

)))

(% class="" %)|(((

Kritérium B

Realizácia administratívnych a technologických odporúčaní v zmysle záverov Analýzy bezpečnosti (KO)

)))|(((

nie

)))|(((

-

)))|(((

čiastočne

)))|(((

Alternatíva 2 naplní kritérium B len čiastočne, nakoľko odporúčania analýzy bezpečnosti požadujú realizáciu automatizovaných / IT riešení, ktoré alternatíva 2 neponúka.

)))|(((

áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich z analýzy bezpečnosti.

)))

(% class="" %)|(((

Kritérium C

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

)))|(((

nie

)))|(((

-

)))|(((

nie

)))|(((

-

)))|(((

áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje okrem iného aj nasadenie automatizovaných riešenie pre oblasť kybernetickej bezpečnosti.

)))

\\

// //

== {{id name="projekt_2641_Projektovy_zamer_detailny-Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}Stanovenie alternatív v aplikačnej vrstve architektúry ==

797

798

HW a SW komponenty, tiež služby a podpora, ktoré sú s nimi spojené, musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi, ktoré vychádzajú z zistení a následných odporúčaní analýzy bezpečnosti a z požiadaviek zákona o KIB, zákona o ISVS a ďalších predpisov. Realizácia všetkých opatrení v rámci univerzity bude na úrovni kombinácie In-House riešenia a Outsourcingu

== {{id name="projekt_2641_Projektovy_zamer_detailny-Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}Stanovenie alternatív v technologickej vrstve architektúry ==

803

804

Technologická alternatíva nie je definovaná, nakoľko projekt umožňuje realizovať ľubovoľnú SW a HW technológiu. Konkrétnu technológiu navrhne úspešných uchádzač v rámci procesu verejného obstarávania.

\\

\\

**~ **

= {{id name="projekt_2641_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

\\

Výstupom projektu budú:

817

818

* projektové výstupy podľa vyhlášky 401/2023 o riadení projektov relevantné pre predmetný typ projektu,

819

* vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Tvorba bezpečnostnej dokumentácie a metodiky (1)),

820

* nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Implementácia softvérových a hardvérových nástrojov (2))

\\

Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. časť 9 – Projektový tím).

\\

= {{id name="projekt_2641_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY =

829

830

Podrobný popis architektúry je uvedený v dokumente Prístup k projektu. V tejto kapitole uvádzame len sumárny nákres architektúry.

831

832

[[image:attach:image-2024-5-31_9-16-52.png||width="627"]]

833

834

Obrázok 2 Náhľad architektúry (oranžovou farbou vyznačené nové komponenty/nástroje)

\\

// //

== {{id name="projekt_2641_Projektovy_zamer_detailny-Prehľade-Governmentkomponentov"/}}Prehľad e-Government komponentov ==

841

842

=== {{id name="projekt_2641_Projektovy_zamer_detailny-5.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}5.1.1 Prehľad koncových služieb – budúci stav: ===

843

844

Projekt nebuduje koncové služby.

\\

=== {{id name="projekt_2641_Projektovy_zamer_detailny-5.1.2Prehľadbudovaných/rozvíjanýchISVSvprojekte–budúcistav:"/}}5.1.2 Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ===

849

850

Projekt nebuduje/nerozvíja ISVS

\\

=== {{id name="projekt_2641_Projektovy_zamer_detailny-5.1.3Prehľadbudovanýchaplikačnýchslužieb–budúcistav:"/}}5.1.3 Prehľad budovaných aplikačných služieb – budúci stav: ===

855

856

Projekt nebuduje aplikačné služby.

\\

=== {{id name="projekt_2641_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS[1]aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4 Prehľad integrácii ISVS na spoločné ISVS{{id name="_ftnref1"/}}^^**[1]**^^ a ISVS iných OVM alebo IS tretích strán ===

861

862

V rámci projektu nebude realizovaná integrácia.

\\

=== {{id name="projekt_2641_Projektovy_zamer_detailny-5.1.5Aplikačnéslužbynaintegráciu"/}}5.1.5 Aplikačné služby na integráciu ===

867

868

Projekt nebuduje aplikačné služby.

\\

=== {{id name="projekt_2641_Projektovy_zamer_detailny-5.1.6PoskytovanieúdajovzISVSdoISCSRÚ"/}}5.1.6 Poskytovanie údajov z ISVS do IS CSRÚ ===

873

874

Projekt nebude poskytovať údaje do IS CSRÚ.

\\

=== {{id name="projekt_2641_Projektovy_zamer_detailny-5.1.7KonzumovanieúdajovzISCSRÚ"/}}5.1.7 Konzumovanie údajov z IS CSRÚ ===

879

880

Projekt nebude konzumovať údaje z IS CSRÚ.

\\

=== {{id name="projekt_2641_Projektovy_zamer_detailny-5.1.8Prehľadplánovanéhovyužívaniainfraštruktúrnychslužieb(cloudovýchslužieb)–budúcistav:"/}}5.1.8 Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: ===

885

886

Projekt neplánuje využívanie cloudových infraštruktúrnych služieb.

887

888

= {{id name="projekt_2641_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6. LEGISLATÍVA =

889

890

Projekt nevyžaduje vykonanie legislatívnych zmien pre naplnenie jeho cieľov a dodanie výstup. Následná realizácia činností pre oblasť kybernetickej bezpečnosti predpokladá vypracovanie interných smerníc a postupov pre implementáciu opatrení pre oblasť kybernetickej bezpečnosti.

891

892

= {{id name="projekt_2641_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7. ROZPOČET A PRÍNOSY =

== {{id name="projekt_2641_Projektovy_zamer_detailny-Sumarizácianákladovaprínosov"/}}Sumarizácia nákladov a prínosov ==

(% class="" %)|(((

Náklady

)))|(((

\\

)))

(% class="" %)|(((

Dokumentačná časť

)))|(((

27 660,00 €

)))

(% class="" %)|(((

Audit kybernetickej bezpečnosti

)))|(((

9 400,00 €

)))

(% class="" %)|(((

**IT - CAPEX**

)))|(((

\\

)))

(% class="" %)|(((

Práce/služby

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

// //

)))

(% class="" %)|(((

SW

)))|(((

51 912,00 €

)))

(% class="" %)|(((

SW – súvisiace práce

)))|(((

39 640,00 €

)))

(% class="" %)|(((

HW

)))|(((

264 505,60 €

)))

(% class="" %)|(((

HW – súvisiace práce

)))|(((

51 220,00 €

)))

(% class="" %)|(((

Mzdové výdavky

)))|(((

11 795,00 €

)))

(% class="" %)|(((

Paušálna sadzba – nepriame výdavky

)))|(((

31 929,28 €

)))

(% class="" %)|(((

**IT - OPEX- prevádzka**

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

// //

)))

(% class="" %)|(((

SW

)))|(((

\\

)))

(% class="" %)|(((

HW

)))|(((

\\

)))

= {{id name="projekt_2641_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUAMETÓDAJEHORIADENIA"/}}8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU A METÓDA JEHO RIADENIA =

(% class="" %)|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))|(((

POZNÁMKA

)))

(% class="" %)|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

04/2024

)))|(((

03/2025

)))|(((

vrátane prípravy a realizácie verejného obstarávania

)))

(% class="" %)|(((

2.

)))|(((

Realizačná fáza

)))|(((

05/2025

)))|(((

04/2027

)))|(((

\\

)))

(% class="" %)|(((

2a

)))|(((

Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

)))|(((

05/2025

)))|(((

04/2027

)))|(((

\\

)))

(% class="" %)|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

05/2027

)))|(((

06/2027

)))|(((

\\

)))

(% class="" %)|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

07/2027

)))|(((

06/2032

)))|(((

\\

)))

\\

**Projekt bude realizovaný metódou Waterfall**

1059

1060

Waterfall- vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

\\

Objednávateľ projektu vypracuje **funkčnú špecifikáciu - detailnú** a **technickú špecifikáciu - rámcovú**.

// //

// //

// //

\\

\\

= {{id name="projekt_2641_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM =

\\

V rámci projektu je zostavený **Riadiaci výbor (RV),** v minimálnom zložení:

* Predseda RV

* Biznis vlastník

* Zástupca prevádzky

* Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)

1086

* Projektový manažér objednávateľa (PM)

1087

1088

Zostavuje sa **Projektový tím objednávateľa**

1089

1090

* kľúčový používateľ,

* IT analytik,

* IT architekt,

* biznis vlastník,

* manažér kybernetickej a informačnej bezpečnosti,

\\

(% class="" %)|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

(% class="" %)|(((

1.

)))|(((

\\

)))|(((

rektor / prorektor

)))|(((

UJS

)))|(((

Predseda RV

)))

(% class="" %)|(((

2.

)))|(((

\\

)))|(((

riaditeľ

Centra informačných služieb Univerzity J. Selyeho

\\

)))|(((

UJS

)))|(((

Člen RV

)))

(% class="" %)|(((

3.

)))|(((

\\

)))|(((

manažér kybernetickej bezpečnosti

)))|(((

UJS

)))|(((

Člen RV

)))

(% class="" %)|(((

4.

)))|(((

\\

)))|(((

zástupca dodávateľa

)))|(((

dodávateľ

)))|(((

Člen RV bez hlasovacieho práva

)))

\\

\\

\\

== {{id name="projekt_2641_Projektovy_zamer_detailny-PRACOVNÉNÁPLNE"/}} PRACOVNÉ NÁPLNE ==

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**PROJEKTOVÝ MANAŽÉR**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

\\

· zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

\\

· zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

1189

)))

1190

(% class="" %)|(((

1191

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Riadenie projektu podľa pravidiel stanovených vo Vyhláške 85/2020 Z.z.

1196

1197

· Riadenie prípravy, inicializácie a realizácie projektu

1198

1199

· Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii

1200

1201

· Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

1202

1203

· Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

1204

1205

· Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

1206

1207

· Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1208

1209

· Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

1210

1211

· Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 85/2020 Z.z., Prílohy č.1

1212

1213

· Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1 na rokovanie RV

1214

1215

· Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

1216

1217

· Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

1218

1219

· Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

1220

1221

· Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

1222

1223

· Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

1224

1225

· Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

1226

1227

· Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

1228

1229

· Riadenie implementačných a prevádzkových aktivít v rámci projektov.

1230

1231

· Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

1232

1233

· Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

1234

1235

· Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

1236

1237

· Dodržiavanie metodík projektového riadenia,

1238

1239

· Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),

1240

1241

· Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr

\\

)))

(% class="" %)|(((

**Odporúčané kvalifikačné predpoklady**

1247

)))|(((

1248

· Certifikácia - Prince 2

1249

1250

· Certifikácia - PMI PMP

1251

1252

· Certifikácia – IPMA

1253

1254

· Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**KĽUČOVÝ POUŽIVATEĽ **(end user)

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

\\

· zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.

\\

· Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov

1280

)))

1281

(% class="" %)|(((

1282

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

\\

Zodpovedný za:

· Návrh a špecifikáciu funkčných a technických požiadaviek

1289

1290

· Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

1291

1292

· Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,

1293

1294

· Špecifikáciu požiadaviek koncových používateľov na prínos systému

1295

1296

· Špecifikáciu požiadaviek na bezpečnosť,

1297

1298

· Návrh a definovanie akceptačných kritérií,

1299

1300

· Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

1301

1302

· Finálne odsúhlasenie používateľského rozhrania

1303

1304

· Vykonanie akceptačného testovania (UAT)

1305

1306

· Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

1307

1308

· Finálny návrh na spustenie do produkčnej prevádzky,

1309

1310

· Predkladanie požiadaviek na zmenu funkcionalít produktov

1311

1312

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1313

1314

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**IT ARCHITEKT**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za návrh architektúry riešenia IS a implementáciu technológií predovšetkým z pohľadu udržateľnosti, kvality a nákladov, za riešenie architektonických cieľov projektu dizajnu IS a súlad s architektonickými princípmi.

1334

1335

· vykonáva, prípadne riadi vysoko odborné tvorivé činnosti v oblasti návrhu IT. Študuje a stanovuje smery technického rozvoja informačných technológií, navrhuje riešenia na optimalizáciu a zvýšenie efektívnosti prostriedkov výpočtovej techniky. Navrhuje základnú architektúru informačných systémov, ich komponentov a vzájomných väzieb. Zabezpečuje projektovanie dizajnu, architektúry IT štruktúry, špecifikácie jej prvkov a parametrov, vhodnej softvérovej a hardvérovej infraštruktúry podľa základnej špecifikácie riešenia.

1336

1337

· zodpovedá za spracovanie a správu projektovej dokumentácie a za kontrolu súladu implementácie s dokumentáciou. Môže tiež poskytovať konzultácie, poradenstvo a vzdelávanie v oblasti svojej špecializácie. IT architekt, projektant analyzuje, vytvára a konzultuje so zákazníkom riešenia na úrovni komplexných IT systémov a IT architektúr, najmä na úrovni aplikačného vybavenia, infraštruktúrnych systémov, sietí a pod. Zaručuje, že návrh architektúry a/alebo riešenia zodpovedá zmluvne dohodnutým požiadavkám zákazníka v zmysle rozsahu, kvality a ceny celej služby/riešenia.

1338

)))

1339

(% class="" %)|(((

1340

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

\\

Zodpovedný za:

· Navrhovanie architektúry IT riešení s cieľom dosiahnuť najlepšiu efektivitu.

1347

1348

· Transformovanie cieľov, prísľubov a zámerov projektu do tvorby reálnych návrhov a riešení.

1349

1350

· Navrhovanie takých riešení, aby poskytovali čo najvyššiu funkčnosť a flexibilitu.

1351

1352

· Posudzovanie vhodnosti navrhnutých riešení s ohľadom na požiadavky projektu.

1353

1354

· Zodpovednosť za technické navrhnutie a realizáciu projektu.

1355

1356

· Zodpovednosť za vytvorenie technickej IT dokumentácie a jej následná kontrola.

1357

1358

· Zodpovednosť za definovanie integračných vzorov, menných konvencií, spôsobov návrhu a spôsobu programovania.

1359

1360

· Definovanie architektúry systému, technických požiadaviek a funkčného modelu (Proof Of Concept.)

1361

1362

· Vytvorenie požiadaviek na HW/SW infraštruktúru IS

1363

1364

· Udržiavanie a rozvoj konzistentnej architektúry s dôrazom na architektúru aplikačnú, dátovú a infraštruktúru

1365

1366

· Analýzu a odhad náročnosti technických požiadaviek na vytvorenie IS alebo vykonanie zmien v IS

1367

1368

· Navrhovanie riešení zohľadňujúce architektonické štandardy, časové a zdrojové obmedzenia,

1369

1370

· Navrhovanie dátových transformácií medzi dátovými skladmi a aplikáciami

1371

1372

· Vyhodnocovanie implementačných alternatív z pohľadu celkovej IT architektúry

1373

1374

· Ladenie dátových štruktúr za účelom dosiahnutia optimálneho výkonu

1375

1376

· Prípravu akceptačných kritérií

1377

1378

· Analýza nových nástrojov, produktov a technológií

1379

1380

· Správa, rozvoj a dohľad nad dodržiavaním integračných štandardov

1381

1382

· Priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane Detailného návrhu riešenia (DNR) z pohľadu analýzy a návrhu riešenia architektúry IS

1383

1384

· Vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania

1385

1386

· Vykonanie záťažových, výkonnostných a integračných testov a navrhnutie následných nápravných

1387

1388

· Nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie nápravných opatrení

1389

1390

· Participáciu na výkone bezpečnostných testov,

1391

1392

· Participáciu na výkone UAT testov,

1393

1394

· Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1395

1396

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1397

1398

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

(% class="" %)|(((

**Odporúčané kvalifikačné predpoklady**

)))|(((

\\

· Certifikácia - Togaf

1408

1409

· Certifikácia – ArchiMate

1410

1411

· Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

\\

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**IT ANALYTIK**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie. Podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení. Zodpovedá za výkon analýzy IS, koordináciu a dohľad nad činnosťou SW analytikov.

1431

1432

· analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

1433

1434

· Analytik informačných technológií pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu. Mapuje a analyzuje existujúce podnikateľské a procesné prostredie, analyzuje biznis požiadavky na informačný systém, špecifikuje požiadavky na informačnú podporu procesov, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní (akceptácie) používateľom.

1435

1436

· Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

1437

1438

· Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad).

1439

)))

1440

(% class="" %)|(((

1441

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

\\

Zodpovedný za:

· Vykonanie analýzy procesných a ďalších požiadaviek a vytvorenie špecifikácie súčasného alebo budúceho užívateľa softwaru („zákazníka“) a následne navrhuje dizajn a programátorské riešenie.

1448

1449

· Participáciu na vývoji nových, ale i vylepšovaní existujúcich aplikácií v rámci celého vývojového cyklu – systémová analýza, dizajn, kódovanie, užívateľské testovanie, implementácia, podpora, dokumentácia. Úzko spolupracuje aj s IT architektom.

1450

1451

· Analýza potrieb zákazníka vrátane tvorby úplnej analytickej dokumentácie a vstupov do verejného obstarávania (VO).

1452

1453

· Mapovanie požiadaviek do návrhu funkčných riešení.

1454

1455

· Návrh a správa katalóg požiadaviek - registra požiadaviek riešenia

1456

1457

· Analýza funkčných a nefunkčných požiadaviek,

1458

1459

· Návrh fyzického a logického modelu,

1460

1461

· Návrh testovacích scenárov,

1462

1463

· V priebehu implementácie robí dohľad nad zhodou výstupov s pôvodným analytickým zadaním.

1464

1465

· Zodpovednosť za dodržovanie správnej metodiky pri postupe analýzy

1466

1467

· Definovanie akceptačných kritérií v projekte

1468

1469

· Odsúhlasenie opisu produktov, ktoré predstavujú vstupy alebo výstupy (priebežné alebo konečné) úloh dodávateľov, alebo ktoré ich priamo ovplyvňujú a zabezpečovať akceptáciu produktov po ich dokončení

1470

1471

· Priraďuje priority a poskytuje stanoviská používateľov na rozhodnutia Riadiaceho výboru projektu – k realizácii zmenových požiadaviek

1472

1473

· Poskytuje merania aktuálneho stavu pre potreby porovnania s výsledkami projektu vzhľadom na realizáciu prínosov

1474

1475

· Rieši požiadavky používateľov a konflikty iných priorít

1476

1477

· Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1478

1479

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1480

1481

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

(% class="" %)|(((

**Odporúčané kvalifikačné predpoklady**

)))|(((

\\

· Certifikácia - OMG-Certified UML (Unified Modeling Language) alebo ekvivalent

1491

1492

· Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

\\

)))

(% class="" %)|(((

**Poznámka**

)))|(((

\\

\\

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**VLASTNÍK PROCESOV **(biznis vlastník)

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za proces - jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi. Kľúčová rola na strane zákazníka (verejného obstarávateľa), ktorá schvaľuje biznis požiadavky a zodpovedá za výsledné riešenie, prínos požadovanú hodnotu a naplnenie merateľných ukazovateľov. Úlohou tejto roly je definovať na užívateľa orientované položky (user-stories), ktoré budú zaradzované a prioritizované v produktovom zásobníku. Zodpovedá za priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane DNR z pohľadu analýzy a návrhu riešenia aplikácii IS.

\\

· zodpovedný za schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu. Definuje očakávania na kvalitu projektu, kvalitu projektových produktov, prínosy pre koncových používateľov a požiadavky na bezpečnosť. Definuje merateľné výkonnostné ukazovatele projektov a prvkov. Vlastník procesov schvaľuje akceptačné kritériá, rozsah a kvalitu dodávaných projektových výstupov pri dosiahnutí platobných míľnikov, odsúhlasuje spustenie výstupov projektu do produkčnej prevádzky a dostupnosť ľudských zdrojov alokovaných na realizáciu projektu.

1523

)))

1524

(% class="" %)|(((

1525

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov.

1530

1531

· Spoluprácu pri riešení odpovedí na otvorené otázky a riziká projektu.

1532

1533

· Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej)

1534

1535

· Riešenie problémov a požiadaviek v spolupráci s odbornými garantmi,

1536

1537

· Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek

1538

1539

· Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu

1540

1541

· Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť,

1542

1543

· Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,

1544

1545

· Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu (BC/CBA)

1546

1547

· Schválenie akceptačných kritérií,

1548

1549

· Riešenie problémov používateľov

1550

1551

· Akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,

1552

1553

· Vykonanie UX a UAT testovania

1554

1555

· Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,

1556

1557

· Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

1558

1559

· Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch.

1560

1561

· Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a prioritizácii

1562

1563

· Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd,

1564

1565

· Okrem zvažovaní rizík prevádzkových alebo podporných procesov súčasne vlastník napomáha identifikovať príležitosti,

1566

1567

· Zlepšovanie a optimalizáciu procesov v spolupráci s ďalšími prepojenými vlastníkmi procesov a manažérom kvality,

1568

1569

· Odsúhlasenie akceptačných protokolov zmenových konaní

1570

1571

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1572

1573

· plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**MANAŽER KYBERNETICKEJ BEZPEČNOSTI (KIB) a IT BEZPEČNOSTI (ITB)**

**~ **

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

1593

1594

· koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti

\\

**PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KIB a ITB:**

1599

1600

1) neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných.

1601

1602

2) rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle:

1603

1604

a) § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

1605

1606

b) ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

1607

)))

1608

(% class="" %)|(((

1609

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· špecifikovanie štandardov, princípov a stratégií v oblasti ITB a KIB,

1614

1615

· ak je projekt primárne zameraný na problematiku ITB a KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na ITB a KIB,

1616

1617

· špecifikovanie požiadaviek na ITB a KIB, kontroluje ich implementáciu v realizovanom projekte,

1618

1619

· špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

1620

1621

· špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť ITB a KIB,

1622

1623

· špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

1624

1625

· špecifikovanie požiadaviek na školenia pre oblasť ITB a KIB,

1626

1627

· špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť ITB a KIB,

1628

1629

· špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na ITB a KIB,

1630

1631

· realizáciu posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

1632

1633

· špecifikovanie požiadaviek na ITB a KIB, bezpečnostný projekt a riadenie prístupu,

1634

1635

· špecifikovanie požiadaviek na testovanie z hľadiska ITB a KIB, realizáciu kontroly zapracovania a retestu,

1636

1637

· špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť ITB a KIB, ako aj v zmysle "best practies",

1638

1639

· špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s ITB a KIB kontroluje ich implementáciu v realizovanom projekte,

1640

1641

· špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu ITB a KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

1642

1643

· špecifikáciu požiadaviek na bezpečnosť IT a KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

1644

1645

· špecifikáciu akceptačných kritérií za oblasť ITB a KIB,

1646

1647

· špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na ITB a KIB,

1648

1649

· poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť ITB a KIB,

1650

1651

· získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1652

1653

· špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,

1654

1655

· konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska ITB a KIB,

1656

1657

· špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť ITB a KIB,

1658

1659

· realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť ITB a KIB

1660

1661

· realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

1662

1663

· realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

1664

1665

· realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť ITB a KIB,

1666

1667

· realizáciu kontroly zameranú na implementovaný proces v priamom súvise s ITB a KIB,

1668

1669

· realizáciu kontroly súladu s planou legislatívou v oblasti ITB a KIB (obsahuje aj kontrolu leg. požiadaviek)

1670

1671

· realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

1672

1673

· poskytovanie konzultácií a súčinnosti pre problematiku ITB a KIB,

1674

1675

· získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1676

1677

· aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1678

1679

· plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

\\

\\