projekt_2642_Projektovy_zamer_detailny

= {{id name="projekt_2642_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

116

117

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

\\

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky obsahuje manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

**~ **

== {{id name="projekt_2642_Projektovy_zamer_detailny-Použitéskratkyapojmy"/}}Použité skratky a pojmy ==

(% class="" %)|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

(% class="" %)|(((

Active Directory

)))|(((

Active Directory je implementácia adresárových služieb [[LDAP>>url:https://sk.wikipedia.org/wiki/LDAP||shape="rect"]] firmou [[Microsoft>>url:https://sk.wikipedia.org/wiki/Microsoft||shape="rect"]] na použitie v systéme [[Microsoft Windows>>url:https://sk.wikipedia.org/wiki/Microsoft_Windows||shape="rect"]]. Umožňuje administrátorom nastavovať politiku, inštalovať programy na mnoho počítačov alebo aplikovať kritické aktualizácie v celej organizačnej štruktúre. Active Directory svoje informácie a nastavenia ukladá v centrálnej organizovanej databáze.

)))

(% class="" %)|(((

BIA

)))|(((

Business Impact Analysis - Analýza vplyvu (BIA) je základom celého procesu riadenia kontinuity podnikania (BCM). Pozostáva z techník a metód na posúdenie vplyvu narušenia dodávok kľúčových produktov alebo služieb organizácie a iných zainteresovaných strán na organizáciu a ich podporných kritických činností

)))

(% class="" %)|(((

BCM

)))|(((

Business Continuity Management - Riadenie kontinuity podnikania je kompletný súbor procesov,

146

147

ktorý identifikuje potenciálne vplyvy , ktoré ohrozujú organizáciu z pohľadu kybernetickej bezpečnosti. Poskytuje schopnosť účinnej reakcie na vzniknutý kybernetický bezpečnostný incident

)))

(% class="" %)|(((

Core

)))|(((

Next Generation Firewall

)))

(% class="" %)|(((

DAC kábel

)))|(((

Direct attach copper kábel, slúži k pripojeniu aktívnych prvkov.

)))

(% class="" %)|(((

EDR riešenie

)))|(((

EDR (Endpoint Detection and Response) zlepšuje schopnosť identifikovať, monitorovať a reagovať na podozrivé aktivity na koncových zariadeniach, ako sú pracovné stanice, servery a mobilné zariadenia

)))

(% class="" %)|(((

EPS

)))|(((

EPS (skratka pre Encapsulated PostScript) je univerzálny [[typ súboru>>url:https://sk.wikipedia.org/wiki/Typ_s%C3%BAboru||shape="rect"]], ktorý sa využíva pri posielaní dokumentov do tlačiarne

)))

(% class="" %)|(((

Firewall

)))|(((

Sieťové zariadenie alebo softvér, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Extranet a Intranet) a kontrolovať tok dát medzi týmito sieťami

)))

(% class="" %)|(((

GDPR

)))|(((

Nariadenie EU 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov

)))

(% class="" %)|(((

HW

)))|(((

Hardvér

)))

(% class="" %)|(((

LAN

)))|(((

Lokálna (vnútorná) počítačová sieť (Local Area Network)

)))

(% class="" %)|(((

Log

)))|(((

Záznam činnosti

)))

(% class="" %)|(((

MKB

)))|(((

Manažér kybernetickej bezpečnosti

)))

(% class="" %)|(((

SIEM

)))|(((

Systém pre zber a analýzu bezpečnostných udalostí vytváraných IT prostriedkami v reálnom čase (Security Information and Event Management)

)))

(% class="" %)|(((

Spam

)))|(((

Spam je nevyžiadaná a hromadne rozosielaná správa

)))

(% class="" %)|(((

sw

)))|(((

Softvér

)))

(% class="" %)|(((

Switch

)))|(((

Prepínač ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] switch) alebo sieťový prepínač (angl. network switch) je aktívny prvok [[počítačovej siete>>url:https://sk.wikipedia.org/wiki/Po%C4%8D%C3%ADta%C4%8Dov%C3%A1_sie%C5%A5||shape="rect"]], ktorý spája jej jednotlivé časti. Prepínač slúži ako centrálny prvok v sieťach [[hviezdicovej topológie>>url:https://sk.wikipedia.org/wiki/Hviezdicov%C3%A1_sie%C5%A5||shape="rect"]]. V minulosti sa ako centrálny prvok v týchto sieťach používal [[rozbočovač>>url:https://sk.wikipedia.org/wiki/Rozbo%C4%8Dova%C4%8D_(ethernet)||shape="rect"]] ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] hub).

)))

(% class="" %)|(((

TCP

)))|(((

Protokol riadenia prenosu (angl. Transmission Control Protocol)

)))

(% class="" %)|(((

UNIPO

)))|(((

Prešovská univerzita v Prešove

)))

(% class="" %)|(((

UPS

)))|(((

Zariadenie alebo systém, ktorý zabezpečuje plynulú dodávku elektriny pre zariadenia, ktoré nesmú byť neočakávane vypnuté.

)))

(% class="" %)|(((

VPN

)))|(((

VPN je počítačová sieť na prepojenie počítačov na rôznych miestach internetu do jednej virtuálnej počítačovej siete.

)))

\\

\\

== {{id name="projekt_2642_Projektovy_zamer_detailny-Konvenciepretypypožiadaviek"/}}Konvencie pre typy požiadaviek ==

\\

N/A

**

**

= {{id name="projekt_2642_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

== {{id name="projekt_2642_Projektovy_zamer_detailny-Manažérskezhrnutie"/}}Manažérske zhrnutie ==

Projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti v rámci Prešovskej univerzity v Prešovej“ (ďalej len „projekt“) bol vypracovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v Prešovskej univerzite a zabezpečiť súlad so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“).

Hlavným cieľom projektu je zvýšenie miery ochrany informačných systémov univerzity voči potenciálnym kybernetickým incidentom.

266

267

Tento cieľ bude naplnený realizáciu činností v oblasti informačnej a kybernetickej bezpečnosti, ktoré vychádzajú z Analýzy úrovne informačnej a kybernetickej bezpečnosti Prešovskej univerzity v Prešove (ďalej aj „UNIPO“) ukončenej v priebehu mesiaca apríl 2024 (ďalej aj „analýza“).

Predmetom projektu je:

272

273

* Tvorba bezpečnostnej dokumentácie a metodiky - potreba aktualizácie vyplýva z výsledkov analýzy, v rámci ktorého bola identifikovaná potreba dopracovania existujúcej bezpečnostnej dokumentácie kybernetickej bezpečnosti,

274

* Implementácia softvérových a hardvérových nástrojov pre oblasť informačnej a kybernetickej bezpečnosti v nadväznosti na riziká identifikované v analýze,

275

* Financovanie mzdových výdavkov Manažéra kybernetickej bezpečnosti,

276

* Realizácia pravidelného auditu kybernetickej bezpečnosti v zmysle zákona o KB.

Po implementácii projektu bude UNIPO pripravená efektívnejšie riadiť informačnú a kybernetickú bezpečnosť (ďalej iba „IB“ a „KB“) a čeliť interným a externým hrozbám v oblasti IB a KB.

281

282

UNIPO v súčasnosti nedisponuje dostatočnými finančnými, technologickými a personálnymi zdrojmi, aby mohlo plnohodnotne vykonávať všetky potrebné aktivity v rozsahu požadovanom zákonom o KB.

283

284

Hlavnými beneficientom projektu je UNIPO a jej jednotliví zamestnanci, resp. užívatelia informačných systémov. Nepriamym beneficientom sú študenti a osoby, resp. subjekty komunikujúce s UNIPO. V dôsledku zavedených opatrení, ktoré zvýšia mieru ochrany informačných systémov bude minimalizovaný výpadok, resp. negatívny dopad bezpečnostných incidentov na riadnych chod univerzity.

Predpokladaný rozpočet projektu: **484 771,20 €**

\\

**~ **

== {{id name="projekt_2642_Projektovy_zamer_detailny-Motiváciaarozsahprojektu"/}}Motivácia a rozsah projektu ==

295

296

UNIPO v apríli 2023 zrealizovala „Analýzu úrovne informačnej a kybernetickej bezpečnosti Prešovskej univerzity v Prešove (ďalej aj „analýza bezpečnosti“)“. V rámci analýzy bolo zrealizované nezávislé externé hodnotenie kybernetickej bezpečnosti, ktoré sa zakladá na dlhoročných skúsenostiach a na základe „best practise“. Aktuálny stav dokumentácie, systémov a nastavení bol zisťovaný pomocou rozhovorov so zamestnancami univerzity. Ako šablóna pre analýzu sa zvolilo znenie Zákona o kybernetickej bezpečnosti 69/2018 Z.z. a znenie vykonávacej vyhlášky 362/2018 Z.z. V analýze sú uvedené jednotlivé oblasti problematiky kybernetickej bezpečnosti, je uvedený zistený súčasný stav a sú navrhnuté odporúčania.

\\

Cieľom analýzy bolo preveriť zhodu prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov.

\\

Analýzou sa identifikovali nedostatky pri zabezpečovaní kybernetickej bezpečnosti s cieľom prijať opatrenia na ich odstránenie a nápravu, a na predchádzanie kybernetických bezpečnostných incidentov.

\\

Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale univerzita si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonanej analýzy.

\\

**Hlavné identifikované riziká, resp. nedostatky**

**~ **

* (% style="" %)**Firewall**

317

318

Aj keď sa v poslednej dobe stráca presná hranica medzi vonkajšou (nechránenou) a vnútornou (chránenou) sieťou z dôvodu stále častejšieho využívania cloudových služieb, perimetrová ochrana stále zostáva základnou ochranou vnútornej siete a systémov.

319

320

V súčasnosti sa využívajú na univerzite primárne firewally, ktoré filtrujú prenášané dáta len na úrovni IP adries a protokolových čísiel. V rámci univerzity sa nevyužívajú tzv. next-gen firewally, ktoré by zabezpečovali sofistikovanejšiu ochranu a prípadné blokovanie nežiadúcich dátových prenosov. Tieto firewally by boli schopné odhaliť nežiadúce komunikácie buď na nelegálne alebo škodlivé stránky.

\\

* **Centrálne zálohovanie**

325

326

V organizácii neexistuje vypracovaná stratégia a krízové plány pre zabezpečenie dostupnosti dôležitých systémov po prípadnom kybernetickom útoku. Nie sú určené komunikačné plány na plnenie havarijných plánov. Pre systémy nie je určený cieľový čas obnovy a cieľový bod obnovy. Nie sú zadefinované zálohovacie plány pre dôležité systémy. Zálohy nie sú pravidelne testované, testované sú len náhodne, keď je potrebné niečo obnoviť.

327

328

Pre jednotlivé dôležité systémy existujú dokumenty, ktoré popisujú „Zásady pre údržbu systému a zálohovanie dát“ a „Postup obnovy prevádzky informačného systému pri haváriách a poruchách“. V týchto dokumentoch sú stručne a v mnohých prípadoch dosť všeobecne popísané zásady údržby, zálohovania a postupov obnovy prevádzky informačných systémov.

329

330

V súčasnosti je zálohovanie dôležitých systémov riešené samostatne na každej fakulte, resp. cez CVT.

331

332

Z uvedeného dôvodu je okrem aktualizácie dokumentácie v danej oblasti na základe výsledkov analýzy bezpečnosti odporúčané vybudovanie centrálneho úložiska pre zálohy, ktoré by bolo využívané všetkými pracoviskami univerzity, ku ktorému by mali prístup a vyhradené svoje miesto pre zálohovanie všetky pracoviská univerzity.

\\

* **Centrálny monitoring a centrálne logovanie**

337

338

V súčasnosti sú na jednotlivých pracoviskách využívané rôzne spôsoby monitorovania dostupnosti sieťových prvkov a systémov, pričom na niektorých pracoviskách nie je zavedený žiadny monitoring. Z uvedeného dôvodu bolo v rámci analýzy bezpečnosti odporúčané zaviesť jednotný systém dohľadu nad sieťou a systémami.

339

340

Podobný postup je možné zvoliť aj pre vybodovanie centrálneho logovania, nakoľko v súčasnosti nie je skoro na žiadnom pracovisku univerzity vybudovaný a zavedený vhodný postup na zbieranie a ukladanie logov zo sieťových prvkov a zo systémov.

\\

* **Centrálny manažment ochrany koncových bodov pred škodlivým kódom**

345

346

Na všetkých pracoviskách univerzity je na ochranu koncových bodov pred škodlivým kódom primárne využívaný Microsoft Defender for Endpoint, ktorý je obsiahnutý v M365 licenciách, ktoré sú na univerzite využívané. Všetky koncové sú však spravované samostatne a neexistuje žiadny centrálny prehľad o stave ochrany na týchto koncových bodoch.

347

348

V organizácii nie je prevádzkovaný centrálny systém na správu záplat. Sieťové prvky sú aktualizované podľa potreby, ale v sieti sa nachádza väčšie množstvo už nepodporovaných zariadení zo strany výrobcov.

349

350

Rovnako je potrebné zaviesť pravidelnú kontrolu dostupných aktualizácií na dôležitých systémoch a serveroch.

\\

* **Personálne obsadenie**

355

356

Na UNIPO je v súčasnej dobe poverený výkonom pozície manažéra kybernetickej bezpečnosti (ďalej aj „MKB“) vedúci CVT PU (Centrum výpočtovej techniky Prešovskej univerzity), ktorý zodpovedá za strategické riadenie informačnej a kybernetickej bezpečnosti organizácie. Pod jeho pôsobnosť patria všetci zamestnanci CVT PU a taktiež má právomoci metodicky usmerňovať IT pracovníkov na iných fakultách, ktoré majú vo vlastnej správe svoje IT.

357

358

Kybernetickú bezpečnosť po implementačnej stránke majú na starosti zamestnanci Centra výpočtovej techniky. Každý zamestnanec má pridelenú určitú technologickú oblasť, resp. informačný systém, ktorému sa venuje. Pre každý systém, resp. technológiu sú určení hlavný a zastupujúci správca. Menovite sú uvedení v pravidlách prevádzky a správy každého systému, kde sú uvedení aj garanti systému (tzv. vlastníci systému alebo procesu) a všetci administrátori.

359

360

Síce je v organizácii vymenovaný MKB, ktorý spĺňa všetky osobnostné a odborné požiadavky na výkon tejto pozície, ale nespĺňa požiadavku nezávislosti. Momentálne sa priamo podieľa na riadení IT a kybernetickej bezpečnosti.

361

362

V organizácii je potrebné rolu manažéra kybernetickej bezpečnosti nezávislou osobou. Táto osoba by mala mať na starosti komplexné riadenie bezpečnosti v organizácii. Mala by spĺňať nielen odborné, ale aj osobnostné požiadavky, ktoré sú na túto rolu kladené.

363

364

Odporúčania vyplývajúce z realizovanej analýzy je možné rozdeliť do dvoch základných skupín. Administratívne odporúčania a technologické odporúčania. Medzi administratívne odporúčania patrí prijatie rôznych smerníc, zavedenie postupov a kontrol. Medzi technologické patrí zavedenie rôznych technológií a konfiguračné zmeny.

365

366

Medzi primárne administratívne odporúčania, ktoré sú rovnako predmetom predkladaného projektu je možné uviesť:

367

368

* zavedenie samostatnej roly manažéra kybernetickej bezpečnosti, ktorý bude nezávislý od prevádzky IT,

369

* prijatie základných smerníc – stratégia kybernetickej bezpečnosti a bezpečnostné politiky,

370

* prijatie samostatnej politiky pre koncových užívateľov a ich oboznámenie s touto politikou,

371

* formálne pridelenie zodpovedností za jednotlivé aktíva,

372

* vypracovanie BIA a určenie kritických systémov univerzity,

373

* vypracovanie smerníc pre zabezpečenie kontinuity činností,

374

* vypracovanie a zavedenie kľúčovej politiky pre chránené priestory,

375

* vypracovanie a prijatie politiky riadenia prístupov a personálnej bezpečnosti s prihliadnutím na politiky prideľovania a odoberania prístupov do systémov pri nástupe a výstupe zamestnanca,

376

* vypracovanie zálohovacieho plánu so zavedením pravidelných testovacích scenárov obnovy.

377

378

Medzi primárne technologické odporúčania je možné uviesť:

379

380

* implementácia NGFW na perimetri medzi vonkajšou sieťou a vnútornými sieťami,

381

* presun kľúčových a dôležitých systémov na privátne IP adresy (NAT/PAT),

382

* presun koncových staníc užívateľov z verejných IP adries na privátne adresy, resp. spraviť túto readresáciu minimálne pre študentské siete,

383

* obmedziť prístupy na interné systémy pomocou ich vymapovania do internetu a sprístupnením len z povolených verejných IP adries,

384

* postupne zaviesť vzdialený prístup do internej siete pomocou vzdialeného VPN pripojenia,

385

* zaviesť pravidelné vykonávanie testov zraniteľností (externých aj interných),

386

* implementovať centrálny logovací systém s možnosťou alertovania v prípade výskytu incidentu,

387

* vytvorenie chránenej siete (DMZ) pre systémy, ktoré sú prístupné z externých sietí,

388

* vybodovanie jedného zálohovacieho prostredia pre všetky centrálne systémy a aj pre jednotlivé fakulty,

389

* zavedenie monitoringu prevádzkových parametrov (výpadky zariadení, vyťaženosť zariadení),

390

* zavedenie centrálnej správy pre ochranu pred škodlivým kódom.

\\

Po odstránení zistení a implementácii odporúčaní vyplývajúcich z analýzy bezpečnosti má univerzita vysoký potenciál dosiahnuť primeranú úroveň kybernetickej bezpečnosti na dosiahnutie bezpečnej a spoľahlivej prevádzky informačných systémov.

**~ **

**Realizované činnosti v rámci projektu**

399

400

V rámci projektu bude univerzita realizovať činnosti, ktoré predstavujú reakciu univerzity na analýzy bezpečnosti ukončenej v apríli 2024 a sú delené do dvoch hlavných oblastí, konkrétne predstavujú tvorbu **(1) bezpečnostnej dokumentácie a metodiky, (2) implementáciu softvérových a hardvérových nástrojov**, **(3) činnosti manažéra kybernetickej bezpečnosti**.

401

402

V rámci projektu budú realizované nasledovné činnosti definované vo výzve na predkladanie žiadostí o poskytnutie NFP:

403

404

* vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení;

405

* vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti;

406

* vypracovanie štatútu bezpečnostného výboru;

407

* vypracovanie bezpečnostného projektu informačného systému verejnej správy.2

408

* identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu;

409

* riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení;

410

* vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti.

411

* vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík;

412

* vypracovanie alebo aktualizácia interného riadiaceho aktu s bezpečnostnými zásadami pre koncových používateľov;

413

* vypracovanie a implementácia postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu.

414

* vypracovanie a implementácia zásad riadenia prístupov osôb k sieti a informačnému systému;

415

* vypracovanie a implementácia postupov a procesov upravujúcich riadenie prístupov organizácie.

416

* vypracovanie analýzy rizík tretích strán a celého dodávateľského reťazca, vrátane analýzy politických rizík;

417

* analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou;

418

* vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu s návrhom potrebných úprav na zabezpečenie súladu so zákonom KB;

419

* vypracovanie a implementácia interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

420

* zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov;

421

* implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení

422

* obstaranie služieb pre potreby správy prevádzkovej zálohy, kópie archivačnej zálohy a kópie inštalačných médií, vrátane určenia spôsobu ich ukladania, testov funkcionality dátových nosičov, testov obnovy, fyzického uloženia druhej kópie archivačnej zálohy v inom objekte a minimalizovania rizika poškodenia alebo zničenia dátových nosičov archivačných záloh vplyvom prírodných živlov alebo havárie.

423

* zavedenie, implementácia alebo aktualizácia nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí, prípadne obstaranie tejto funkcionality ako externej služby;

424

* vypracovanie a implementácia interného riadiaceho aktu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat;

425

* implementácia nástroja na centrálne riadenie a aplikovanie bezpečnostných záplat a pod.

426

* vypracovanie interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu;

427

* implementácia alebo aktualizácia nástrojov na ochranu, ktoré okrem iného vykonávajú kontrolu prístupu k digitálnemu obsahu, pravidelné kontroly úložísk vrátane cloudových riešení, zabraňujú prístupu neoprávnených používateľov filtrovaním obsahu a zamedzením odinštalovať alebo zakázať funkcie systému na ochranu proti škodlivému kódu;

428

* vypracovanie a implementácia pravidiel súvisiace s ochranou proti škodlivému kódu;

429

* implementácia centralizovaného systému riešenia ochrany pred škodlivým kódom s pravidelným monitorovaním vrátane detekcie inštalácie nelegálneho obsahu alebo škodlivého softvéru prostredníctvom automatizovaných nástrojov.

430

* implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel;

431

* zavedenie bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a vzdialený prístup, napríklad implementáciou dvojfaktorovej autentizácie alebo kryptografických prostriedkov;

432

* vytvorenie alebo aktualizácia dokumentácie počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov;

433

* vypracovanie a implementácia interného riadiaceho aktu upravujúceho pravidlá sieťovej a komunikačnej bezpečnosti;

434

* implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov;

435

* implementácia sond detekcie a prevencie prieniku, najmä na serveroch podporujúcich základné služby informačných technológií verejnej správy.

436

* zavedenie pravidiel a postupov definujúcich požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na obstarávané, vyvíjané a udržiavané komponenty s digitálnymi prvkami (napríklad prostredníctvom interného riadiaceho aktu);

437

* implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov;

438

* implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM);

439

* vypracovanie dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností;

440

* špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané a konfigurácia prvkov informačných technológií verejnej správy, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov;

441

* vypracovanie interného riadiaceho aktu, ktorý obsahuje a upravuje povinnosti definované platnou legislatívou;

442

* vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností;

443

* obstaranie služby monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov;

444

* implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí;

445

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;

446

* vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov.

447

* vypracovanie a implementácia interného riadiaceho aktu upravujúceho používanie kryptografických prostriedkov a šifrovania;

448

* definovanie pravidiel využitia kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy na ochranu údajov pri ich prenose alebo uložení v rámci sietí a informačných systémov;

449

* vypracovanie a dokumentácia systému správy kryptografických kľúčov a certifikátov;

450

* implementácia systému správy kryptografických kľúčov a certifikátov a pod.

451

* vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu;

452

* vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;

453

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

454

* vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

455

* implementácia systému zálohovania.

456

* obstaranie prvého alebo opakovaného auditu kybernetickej bezpečnosti v súlade so zákonom o KB.

\\

[[image:attach:image-2024-5-30_20-38-42.png||width="675"]]

461

462

Obrázok 1 Biznis funkcie / podaktivity projektu

\\

Tieto činnosti budú naplnené podaktivitami (1), (2) a (3):

\\

**Tvorba bezpečnostnej dokumentácie a metodiky (1)**

471

472

Potreba aktualizácie vyplýva z výsledkov analýzy, v rámci ktorej bola identifikovaná potreba dopracovania existujúcej bezpečnostnej dokumentácie kybernetickej bezpečnosti, ktoré aktuálna dokumentácia neobsahuje.

473

474

Jedná sa o aktualizáciu dokumentácie kybernetickej bezpečnosti v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a v Zmysle Vyhlášky NBÚ SR č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

475

476

Vypracovanie dokumentácie v zmysle výsledkov analýzy je nevyhnutné minimálne v nasledovnom rozsahu:

477

478

* vypracovanie základných smerníc – stratégia kybernetickej bezpečnosti a bezpečnostné politiky,

479

* vypracovanie samostatnej politiky pre koncových užívateľov,

480

* vypracovanie BIA a určenie kritických systémov univerzity,

481

* vypracovanie smerníc pre zabezpečenie kontinuity činností,

482

* vypracovanie kľúčovej politiky pre chránené priestory,

483

* vypracovanie politiky riadenia prístupov a personálnej bezpečnosti s prihliadnutím na politiky prideľovania a odoberania prístupov do systémov pri nástupe a výstupe zamestnanca,

484

* vypracovanie zálohovacieho plánu a testovacích scenárov obnovy,

485

* vykonanie analýzy aktív a spracovanie katalógu aktív.

\\

Rovnako je potrebné vykonať analýzu dopadov na organizáciu pri prípadných incidentoch a na základe toho určiť spôsoby eliminácie dopadov. Pri vypracovaní celkovej dokumentácie je možné vychádzať aj z aktuálneho stavu dokumentácie, v rámci ktorej je potrebné dopracovať chýbajúce časti (analýza aktív a dekompozícia jednotlivých poskytovaných služieb), resp. podrobnejšie rozpracovať niektoré časti (primárne plány kontinuity a obnovy pre IS, ktoré sú v súčasnosti vypracované dosť všeobecne). Pri vypracovávaní dokumentácie je možné vychádzať z Prílohy č. 1 k vyhláške č. 362/2018 Z. z., kde je v časti A uvedená „Štruktúra stratégie kybernetickej bezpečnosti“ a v časti B je uvedená „Štruktúra bezpečnostnej politiky kybernetickej bezpečnosti“.

490

491

**Implementácia softvérových a hardvérových nástrojov (2) **(podrobný popis je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva) bude pozostávať z nasledovných komponentov:

\\

* **Technický prostriedok zabezpečujúci funkcionalitu next generation firewall-u (ďalej iba NGFW)**

496

497

V súčasnosti sa využívajú na univerzite primárne firewally, ktoré filtrujú prenášané dáta len na úrovni IP adries a protokolových čísiel. Nikde sa nevyužívajú tzv. next-gen firewally, ktoré by zabezpečovali sofistikovanejšiu ochranu a prípadné blokovanie nežiadúcich dátových prenosov. Tieto firewally by boli schopné odhaliť nežiadúce komunikácie buď na nelegálne alebo škodlivé stránky (phishing, malware, C&C,...).

498

499

Ako primárne odporúčanie je zavedenie plnohodnotného perimetrového next-gen firewallu, ktorý by zabezpečoval chránené oddelenie vonkajších a vnútorných sietí a zabezpečoval by aj filtráciu obsahu a aplikácií.

500

501

Na firewalle by mali byť blokované všetky neoprávnené spojenia z vonkajších sietí na vnútorné siete, ale aj opačne.

502

503

Taktiež je odporúčané implementovať na perimeter NG (Next-Gen) firewall, ktorý by plnil funkcionalitu bezpečného oddelenia Internetu a vnútorných sietí. Firewall by mal plniť funkcionalitu NAT/PAT, zabezpečovať blokovanie nežiadúcej komunikácie.

504

505

Z uvedeného dôvodu je v rámci projektu navrhnutá implementácia next generation firewall-u.

\\

* **Zálohovanie**

V súčasnosti je zálohovanie dôležitých systémov riešené samostatne na každej fakulte. Z realizovanej analýzy vyplýva odporúčanie vybudovania jedného centrálneho úložiska pre zálohy, ktoré by bolo využívané všetkými pracoviskami univerzity. K tomuto centrálnemu úložisku budú mať prístup všetky pracoviská a rovnako budú mať na tomto úložisku vyhradené svoje miesto pre zálohovanie.

512

513

Bude sa jednať o geograficky oddelený segment infraštruktúry a bude ho tvoriť:

514

515

* Dátové úložisko – server,

516

* Switch na zabezpečenie iSCSI konektivity,

517

* Dátové úložisko – NAS,

518

* Dátové úložisko - Pásková knižnica,

519

* Zálohovací softvér.

\\

* **Manažment logov**

524

525

V organizácii neexistuje centrálny systém na zaznamenávanie udalostí z centrálnych sieťových prvkov a serverov, služieb prístupných do externých sietí a kritických interných serverov a služieb. Všetky udalosti sú zaznamenávané len lokálne na jednotlivých systémoch.

526

527

Logy z perimetrových firewallov sú zasielané na sieťové úložisko. Logy nie sú spracovávané, sú len ukladané v textových súboroch.

528

529

Rovnako stále častejšie globálne sa vyskytujúce bezpečnostné incidenty si môžu vyžadovať dohľadávanie logov aj vo vzdialenejšej minulosti a stále častejšie sú aj požiadavky na ich prípadné poskytovanie ďalším orgánom (PZ SR, SIS, CSIRT,...) pre ďalšiu forenznú analýzu, čo aktuálne riešenie neumožňuje (resp. umožňuje len pomocou komplikovaných manuálnych postupov), prípadne je možné len s obmedzením – vyžaduje si určité znalosti aj prístupy k samotným logom.

530

531

Samotné vyhľadávanie je komplikované riešené priamo prostriedkami operačného systému, pričom logy nie sú po pridelení týchto prístupov chránené proti manipulácii.

532

533

Vzhľadom na uvedené skutočnosti je navrhnuté implementovať centrálny manažment logov, tak aby spĺňal legislatívne požiadavky, požiadavky na dostupnosť, výkonnosť a aby poskytoval dostatočnú úložnú kapacitu pre zbierané logy.

\\

* **Nástroj na centrálny manažment siete**

538

539

V organizácii neexistuje formálne spracovaný postup pre činnosti pokrývajúce požiadavky pre bezpečnosť prevádzky informačných systémov a sietí. Zaznamenávanie bezpečnostných a prevádzkových záznamov je len na lokálnych systémoch, neexistuje centrálny systém na zber týchto informácií. V organizácii neexistuje centrálny systém na zaznamenávanie udalostí z centrálnych sieťových prvkov.

540

541

Z uvedeného dôvodu je v rámci projektu navrhnuté nasadenie nastroja na centrálny manažment siete, ktorý by poskytol centralizovaný pohľad na celú sieť s viditeľnosťou všetkých sieťových zariadení bez nutnosti integrácie viacerých aplikácií.

\\

* **Nástroj pre centrálnu správu zariadení a antivírového prostredia**

546

547

Na všetkých pracoviskách univerzity je na ochranu koncových bodov pred škodlivým kódom primárne využívaný Microsoft Defender for Endpoint, ktorý je obsiahnutý v M365 licenciách, ktoré sú na univerzite využívané. Všetky koncové body sú však spravované samostatne a neexistuje žiadny centrálny prehľad o stave ochrany na týchto koncových bodoch. V organizácii nie je prevádzkovaný centrálny systém na správu záplat.

548

549

V rámci danej oblasti je potrebné formálne prijatie smernice, ktorá by popisovala spôsob aktualizácie a manažmentu zraniteľností všetkých koncových zariadení a dôležitých systémov. Je potrebné pravidelne vykonávať testovanie zraniteľností všetkých systémov z vonkajšej siete, ale taktiež z vnútorných sietí. Je potrebné zaviesť pravidelnú kontrolu dostupných aktualizácií na dôležitých systémoch a serveroch.

550

551

V súčasnej dobe, keď organizácia nemá nasadený nástroj pre centrálnu správu zariadení, môže čeliť rôznym výzvam spojeným s efektívnym riadením IT infraštruktúry. Tento stav často vedie k fragmentácii správy, kde rôzne tímy používajú odlišné nástroje na správu hardvéru, softvéru a bezpečnosti, čo môže spôsobiť nekonzistentnosti, bezpečnostné riziká a zvýšené náklady na IT. Navyše, bez centralizovaného nástroja je ťažké udržiavať prehľad o inventári, licenciách a dodržiavaní bezpečnostných politík.

552

553

Nasadenie nástroja pre centrálnu správu by riešilo tieto problémy tým, že by poskytlo jednotné riešenie pre správu všetkých aspektov IT prostredia, centralizovanú správu aplikácií, aktualizácií, bezpečnostných zásad, ako aj efektívnu distribúciu operačných systémov a softvéru. To zabezpečí, že všetky zariadenia budú aktuálne, bezpečné a v súlade s firemnými politikami.

554

555

Cieľový stav s nasadeným nástrojom pre centrálnu správu by mal priniesť výrazné zlepšenie v efektivite správy IT, zníženie nákladov a zlepšenie bezpečnosti. S centralizovanou správou je možné lepšie monitorovať a reagovať na bezpečnostné hrozby v reálnom čase, čo znižuje potenciálne riziká pre organizáciu.

\\

* **Nástroj pre testovanie bezpečnosti**

560

561

V danej oblasti analýza bezpečnosti odporúča formálne prijať smernicu, ktorá by popisovala spôsob aktualizácie a manažmentu zraniteľností všetkých koncových zariadení a dôležitých systémov a rovnako je potrebné pravidelne vykonávať testovanie zraniteľností všetkých systémov z vonkajšej siete, ale taktiež z vnútorných sietí.

562

563

Nakoľko v oblasti testovania a zabezpečenia svojej IT infraštruktúry organizácia momentálne nemá pokryté riešenie testovania bezpečnosti. Medzi hlavné problémy aktuálneho stavu patria:

564

565

* Obmedzené testovanie zraniteľností: Bez pokročilých nástrojov je testovanie zraniteľností často povrchné a neúplné, čo môže viesť k prehliadnutiu kritických bezpečnostných medzier.

566

* Manuálne penetračné testy: Penetračné testy sú vykonávané manuálne, čo je časovo náročné a zvyšuje riziko ľudských chýb. Tieto testy sú často nesystematické a nákladné.

567

* Nedostatok odborných znalostí: IT tím môže postrádať pokročilé znalosti potrebné na identifikáciu a exploitáciu zraniteľností, čo znižuje efektívnosť bezpečnostných testov.

568

* Reaktívny prístup k bezpečnosti: Organizácia často reaguje na bezpečnostné incidenty až po ich vzniku, čo môže viesť k významným finančným a reputačným stratám.

569

* Nedostatočné pokrytie: Tradičné testovanie často nezahŕňa všetky aspekty IT infraštruktúry, vrátane sieťových zariadení, aplikácií a ľudských faktorov.

\\

* **Prevádzkový monitoring**

574

575

V súčasnosti sú na jednotlivých pracoviskách využívané rôzne spôsoby monitorovania dostupnosti sieťových prvkov a systémov, pričom na niektorých pracoviskách nie je zavedený žiadny monitoring.

576

577

V organizácii neexistuje formálne spracovaný postup pre činnosti pokrývajúce požiadavky pre bezpečnosť prevádzky informačných systémov a sietí. Zaznamenávanie bezpečnostných a prevádzkových záznamov je len na lokálnych systémoch, neexistuje centrálny systém na zber týchto informácií.

578

579

V rámci analýzy bezpečnosti bolo z uvedeného dôvodu odporúčané zavedenie jednotného systému dohľadu nad sieťou a systémami.

580

581

Navrhované riešenie umožní monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel. Monitorovací nástroj bude informovať o vzniknutých technických problémoch a nedostatku kapacít správcu príslušnej služby alebo servera. Bude schopný monitorovať rôzne druhy zariadení ako sú fyzické a virtuálne servery, sieťové prvky, dátové úložiská a iné zariadenia, ktoré dokážu poskytnúť údaje o svojej prevádzke. Monitoring bude v reálnom čase s možnosťou údaje okamžite vizualizovať prostredníctvom grafov, máp a rôznych náhľadov. Bude schopný porovnávať dáta v rôznych časových obdobiach, analyzovať históriu.

\\

* **Interný Helpdesk**

586

587

V organizácii v súčasnosti neexistuje zadefinovaný postup nahlasovania, zisťovania a riešenia kybernetických incidentov. Nie je vypracovaný postup pre interné nahlasovanie kybernetických incidentov, pre postup ich nahlasovania relevantným inštitúciám a postup pre riešenie a evidenciu kybernetických útokov.

588

589

Nie je implementovaný žiadny centrálny systém pre zisťovanie a vyhodnocovanie kybernetických incidentov. Z uvedeného dôvodu je v rámci projektu navrhnuté zavedenie interného helpdesku, ktorý bude využiteľný nielen ako centrálne úložisko požiadaviek klientov s možnosťou sledovania riešenia každej požiadavky, ale umožní aj centralizovaný zber bezpečnostných incidentov.

590

591

Podrobný popis všetkých komponentov, vrátane špecifikácie, je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva.

**Činnosti manažéra pre informačnú a kybernetickú bezpečnosť (3) **– manažér bude zodpovedný za implementáciu dokumentácie, metodík a činností uvedených v bodoch (1) a (2).

\\

Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania opakovaného auditu kybernetickej bezpečnosti realizovaného v budúcnosti.

\\

== {{id name="projekt_2642_Projektovy_zamer_detailny-Zainteresovanéstrany/Stakeholderi"/}}Zainteresované strany/Stakeholderi ==

(% class="" %)|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

)))|(((

ROLA

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

(% class="" %)|(((

1.

)))|(((

Prešovská univerzita v Prešove

)))|(((

UNIPO

)))|(((

Vlastník procesu

)))|(((

isvs_11464 Aplikácie Microsoft 365

628

629

isvs_11296 Modul OpenData UNIPO

630

631

isvs_11295 Modul konsolidácie údajov UNIPO

632

633

isvs_11290 E-learning Moodle

634

635

isvs_11289 Knižničný informačný systém (KIS)

636

637

isvs_11288 Informačný systém Kľúčový poriadok (ISKP)

638

639

isvs_11287 Identifikačný IS (aplikácia UNIStudent)

640

641

isvs_11286 MAIS Akademický informačný systém

642

643

isvs_11285 Informačný systém MEMPHIS

644

645

isvs_11284 Informačný systém Datamaster

646

647

isvs_11283 CMS systém webového sídla univerzity

648

649

isvs_11282 Prevádzkovo-technický IS (PTIS)

650

651

isvs_11281 Stravovací IS KREDIT 8

652

653

isvs_11280 Dochádzkový IS iCARD

654

655

isvs_11279 Informačný systém IDM midPoint UNIPO

)))

(% class="" %)|(((

2.

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

)))|(((

MIRRI SR

)))|(((

Garant eGovernmentu

)))|(((

-

)))

\\

\\

== {{id name="projekt_2642_Projektovy_zamer_detailny-Cieleprojektu"/}}Ciele projektu ==

(% class="" %)|(((

ID

)))|(((

Názov cieľa

)))|(((

Názov strategického cieľa

681

)))|(((

682

Spôsob realizácie strategického cieľa

)))

(% class="" %)|(((

C_01

)))|(((

Zvýšenie miery ochrany informačných systémov univerzity voči potenciálnym kybernetickým incidentom

688

)))|(((

689

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe (Cieľ Národnej koncepcie informatizácie verejnej správy, cieľ 4.1)

690

)))|(((

691

Cieľ bude naplnený realizáciou činností uvedených v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

692

693

Konkrétne, vypracovaním a aktualizáciou dokumentácie a metodík kybernetickej bezpečnosti a nasadením SW a HW riešení uvádzaných v projekte

)))

(% class="" %)|(((

C_01

)))|(((

Zvýšenie miery ochrany informačných systémov univerzity voči potenciálnym kybernetickým incidentom

\\

)))|(((

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy (Cieľ Programu Slovensko a príslušnej výzvy)

703

)))|(((

704

Cieľ bude naplnený realizáciou činností uvedených v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

705

706

Konkrétne, vypracovaním a aktualizáciou dokumentácie a metodík kybernetickej bezpečnosti a nasadením SW a HW riešení uvádzaných v projekte.

)))

**~ **

\\

**~ **

== {{id name="projekt_2642_Projektovy_zamer_detailny-Merateľnéukazovatele(KPI)"/}}Merateľné ukazovatele (KPI) ==

\\

(% class="" %)|(((

ID

)))|(((

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

\\

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

)))

(% class="" %)|(((

MU_01

)))|(((

C_01

)))|(((

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

751

)))|(((

752

Merateľný ukazovateľ výstupu

753

754

(pozn. čas plnenia merateľného ukazovateľa ku koncu realizácie hlavných aktivít projektu)

)))|(((

počet

)))|(((

0

)))|(((

1

)))|(((

V čase ukončenia projektu pri prevzatí výstupov projektu

763

)))|(((

764

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov: UNIPO

)))

(% class="" %)|(((

MU_02

)))|(((

C_01

)))|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

// //

)))|(((

Výsledok

(pozn. čas plnenia merateľného ukazovateľa v rámci udržateľnosti projektu)

)))|(((

počet

)))|(((

0

)))|(((

**9 075**

\\

772 zamestnancov + 8 303 študentov

788

)))|(((

789

V čase udržateľnosti projektu, podľa aktuálneho počtu zamestnancov a študentov.

790

)))|(((

791

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov: zamestnanci a študenti UNIPO

)))

\\

\\

== {{id name="projekt_2642_Projektovy_zamer_detailny-Špecifikáciapotriebkoncovéhopoužívateľa"/}}Špecifikácia potrieb koncového používateľa ==

799

800

Z hľadiska projektu je koncovým používateľom UNIPO, resp. jej jednotliví zamestnanci a študenti. Špecifikáciu potrieb predstavujú odporúčania analýzy bezpečnosti ukončenej v apríli 2024.

801

802

Odporúčania predmetnej analýzy realizované predkladaným projektom sú nasledovné:

803

804

* zavedenie samostatnej roly manažéra kybernetickej bezpečnosti, ktorý bude nezávislý od prevádzky IT,

805

* prijatie základných smerníc – stratégia kybernetickej bezpečnosti a bezpečnostné politiky,

806

* prijatie samostatnej politiky pre koncových užívateľov a ich oboznámenie s touto politikou,

807

* formálne pridelenie zodpovedností za jednotlivé aktíva,

808

* vypracovanie BIA a určenie kritických systémov univerzity,

809

* vypracovanie smerníc pre zabezpečenie kontinuity činností,

810

* vypracovanie a zavedenie kľúčovej politiky pre chránené priestory,

811

* vypracovanie a prijatie politiky riadenia prístupov a personálnej bezpečnosti s prihliadnutím na politiky prideľovania a odoberania prístupov do systémov pri nástupe a výstupe zamestnanca,

812

* vypracovanie zálohovacieho plánu so zavedením pravidelných testovacích scenárov obnovy.

813

* implementácia next generation firewall („NGFW“) na perimetri medzi vonkajšou sieťou a vnútornými sieťami,

814

* presun kľúčových a dôležitých systémov na privátne IP adresy (NAT/PAT),

815

* presun koncových staníc užívateľov z verejných IP adries na privátne adresy, resp. spraviť túto readresáciu minimálne pre študentské siete,

816

* obmedziť prístupy na interné systémy pomocou ich vymapovania do internetu a sprístupnením len z povolených verejných IP adries,

817

* postupne zaviesť vzdialený prístup do internej siete pomocou vzdialeného VPN pripojenia,

818

* zaviesť pravidelné vykonávanie testov zraniteľností (externých aj interných),

819

* implementovať centrálny logovací systém s možnosťou alertovania v prípade výskytu incidentu,

820

* vytvorenie chránenej siete (DMZ) pre systémy, ktoré sú prístupné z externých sietí,

821

* vybodovanie jedného zálohovacieho prostredia pre všetky centrálne systémy a aj pre jednotlivé fakulty,

822

* zavedenie monitoringu prevádzkových parametrov (výpadky zariadení, vyťaženosť zariadení),

823

* zavedenie centrálnej správy pre ochranu pred škodlivým kódom.

824

825

Podrobný popis týchto odporúčaní je uvedený v samotnej správe Analýzy úrovne informačnej a kybernetickej bezpečnosti Prešovskej univerzity v Prešove (UNIPO).

826

827

Uvedené potreby sú riešené predkladaným projektom, resp. činnosťami, ktoré sú podrobne uvedené v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

\\

\\

**~ **

== {{id name="projekt_2642_Projektovy_zamer_detailny-Rizikáazávislosti"/}}Riziká a závislosti ==

836

837

Zoznam a popis rizík spojených s projektom je uvedený v prílohe ZOZNAM RIZÍK a ZÁVISLOSTI

\\

== {{id name="projekt_2642_Projektovy_zamer_detailny-Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}Stanovenie alternatív v biznisovej vrstve architektúry ==

\\

Z pohľadu biznisovej vrstvy prichádzajú do úvahy nasledovné alternatívy:

\\

1. **Ponechanie súčasného stavu**

850

851

Alternatíva znamená nerealizovanie projektu, to zn. neprijatie opatrení potrebných na zosúladenie stavu v oblasti informačnej a kybernetickej bezpečnosti s platnou legislatívou a rovnako nerealizovanie zistení a odporúčaní vyplývajúcich z analýzy bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.

852

853

1. **Čiastočná realizácia opatrení v rámci kybernetickej bezpečnosti**

854

855

Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou. Realizované budú najmä opatrenia v oblasti metodiky a tvorby dokumentácie. Uvedená alternatíva (z dôvodu nedostatku finančných prostriedkov) neumožní realizáciu technologických odporúčaní, resp. len v obmedzenej miere. Alternatíva neumožňuje implementáciu automatizovaných riešení (ako napr. logmanager a pod.)

856

857

1. **Plnohodnotná realizácia opatrení kybernetickej bezpečnosti**

858

859

Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, realizáciu administratívnych a technologických odporúčaní, realizáciu automatizovaných riešení a nasadenie SW a HW riešení v zmysle výsledkov analýzy bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.

\\

\\

== {{id name="projekt_2642_Projektovy_zamer_detailny-Multikriteriálnaanalýza"/}}Multikriteriálna analýza ==

(% class="" %)|(((

**// //**

)))|(((

KRITÉRIUM

)))|(((

ZDÔVODNENIE KRIÉRIA

)))|(((

UNIPO

)))|(((

MIRRI SR

)))

(% class="" %)|(% rowspan="3" %)(((

BIZNIS VRSTVA

// //

)))|(((

Kritérium A

Zosúladenie aktuálneho stavu so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (KO)

886

)))|(((

887

Jedná sa o KO kritérium vychádzajúce zo základnej požiadavky súladu s legislatívou

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Kritérium B

Realizácia administratívnych a technologických odporúčaní v zmysle záverov Analýzy bezpečnosti (KO)

897

)))|(((

898

Jedná sa o KO kritérium vychádzajúce z nevyhnutnej potreby odstránenia zistení vyplývajúcich z analýzy bezpečnosti

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Kritérium C

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

908

)))|(((

909

Jedná sa o kritérium predstavujúce komplexné riešenie kybernetickej bezpečnosti prevádzkovateľa základnej služby

)))|(((

X

)))|(((

\\

)))

\\

**

**

**~ **

**Vyhodnotenie MCA**

(% class="" %)|(((

Zoznam kritérií

)))|(((

Alt. 1

)))|(((

Spôsob

dosiahnutia

)))|(((

Alt. 2

)))|(((

Spôsob

dosiahnutia

)))|(((

Alt. 3

)))|(((

Spôsob

dosiahnutia

)))

(% class="" %)|(((

Kritérium A

Zosúladenie aktuálneho stavu so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (KO)

)))|(((

nie

)))|(((

-

)))|(((

áno

)))|(((

Čiastočná realizácia opatrení v oblasti KB predstavuje realizáciu najmä metodickej a dokumentačnej časti opatrení KB. Z uvedeného dôvodu alternatíva naplní súlad so zákonom o KB.

)))|(((

áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich zo zákona o KB.

)))

(% class="" %)|(((

Kritérium B

Realizácia administratívnych a technologických odporúčaní v zmysle záverov Analýzy bezpečnosti (KO)

)))|(((

nie

)))|(((

-

)))|(((

čiastočne

)))|(((

Alternatíva 2 naplní kritérium B len čiastočne, nakoľko odporúčania analýzy bezpečnosti požadujú realizáciu automatizovaných / IT riešení, ktoré alternatíva 2 neponúka.

)))|(((

áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich z analýzy bezpečnosti.

)))

(% class="" %)|(((

Kritérium C

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

)))|(((

nie

)))|(((

-

)))|(((

nie

)))|(((

-

)))|(((

áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje okrem iného aj nasadenie automatizovaných riešenie pre oblasť kybernetickej bezpečnosti.

)))

\\

// //

== {{id name="projekt_2642_Projektovy_zamer_detailny-Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}Stanovenie alternatív v aplikačnej vrstve architektúry ==

1003

1004

HW a SW komponenty, tiež služby a podpora, ktoré sú s nimi spojené, musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi, ktoré vychádzajú z zistení a následných odporúčaní analýzy bezpečnosti a z požiadaviek zákona o KIB, zákona o ISVS a ďalších predpisov. Realizácia všetkých opatrení v rámci univerzity bude na úrovni kombinácie In-House riešenia a Outsourcingu

== {{id name="projekt_2642_Projektovy_zamer_detailny-Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}Stanovenie alternatív v technologickej vrstve architektúry ==

1009

1010

Technologická alternatíva nie je definovaná, nakoľko projekt umožňuje realizovať ľubovoľnú SW a HW technológiu. Konkrétnu technológiu navrhne úspešných uchádzač v rámci procesu verejného obstarávania.

\\

\\

**~ **

= {{id name="projekt_2642_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

\\

Výstupom projektu budú:

1023

1024

* projektové výstupy podľa vyhlášky 401/2023 o riadení projektov relevantné pre predmetný typ projektu,

1025

* vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Tvorba bezpečnostnej dokumentácie a metodiky (1)),

1026

* nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Implementácia softvérových a hardvérových nástrojov (2))

\\

Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. časť 9 – Projektový tím).

\\

= {{id name="projekt_2642_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY =

1035

1036

Podrobný popis architektúry je uvedený v dokumente Prístup k projektu. V tejto kapitole uvádzame len sumárny nákres architektúry.

\\

[[image:attach:image-2024-5-30_20-41-4.png||width="659"]]

1041

1042

Obrázok 2 Náhľad architektúry (oranžovou farbou vyznačené nové komponenty/nástroje)

\\

// //

== {{id name="projekt_2642_Projektovy_zamer_detailny-Prehľade-Governmentkomponentov"/}}Prehľad e-Government komponentov ==

1049

1050

=== {{id name="projekt_2642_Projektovy_zamer_detailny-5.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}5.1.1 Prehľad koncových služieb – budúci stav: ===

1051

1052

Projekt nebuduje koncové služby.

\\

=== {{id name="projekt_2642_Projektovy_zamer_detailny-5.1.2Prehľadbudovaných/rozvíjanýchISVSvprojekte–budúcistav:"/}}5.1.2 Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ===

1057

1058

Projekt nebuduje/nerozvíja ISVS

\\

=== {{id name="projekt_2642_Projektovy_zamer_detailny-5.1.3Prehľadbudovanýchaplikačnýchslužieb–budúcistav:"/}}5.1.3 Prehľad budovaných aplikačných služieb – budúci stav: ===

1063

1064

Projekt nebuduje aplikačné služby.

\\

=== {{id name="projekt_2642_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS[1]aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4 Prehľad integrácii ISVS na spoločné ISVS{{id name="_ftnref1"/}}^^**[1]**^^ a ISVS iných OVM alebo IS tretích strán ===

1069

1070

V rámci projektu nebude realizovaná integrácia.

\\

=== {{id name="projekt_2642_Projektovy_zamer_detailny-5.1.5Aplikačnéslužbynaintegráciu"/}}5.1.5 Aplikačné služby na integráciu ===

1075

1076

Projekt nebuduje aplikačné služby.

\\

=== {{id name="projekt_2642_Projektovy_zamer_detailny-5.1.6PoskytovanieúdajovzISVSdoISCSRÚ"/}}5.1.6 Poskytovanie údajov z ISVS do IS CSRÚ ===

1081

1082

Projekt nebude poskytovať údaje do IS CSRÚ.

\\

=== {{id name="projekt_2642_Projektovy_zamer_detailny-5.1.7KonzumovanieúdajovzISCSRÚ"/}}5.1.7 Konzumovanie údajov z IS CSRÚ ===

1087

1088

Projekt nebude konzumovať údaje z IS CSRÚ.

\\

=== {{id name="projekt_2642_Projektovy_zamer_detailny-5.1.8Prehľadplánovanéhovyužívaniainfraštruktúrnychslužieb(cloudovýchslužieb)–budúcistav:"/}}5.1.8 Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: ===

1093

1094

Projekt neplánuje využívanie cloudových infraštruktúrnych služieb.

1095

1096

= {{id name="projekt_2642_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6. LEGISLATÍVA =

1097

1098

Projekt nevyžaduje vykonanie legislatívnych zmien pre naplnenie jeho cieľov a dodanie výstup. Následná realizácia činností pre oblasť kybernetickej bezpečnosti predpokladá vypracovanie interných smerníc a postupov pre implementáciu opatrení pre oblasť kybernetickej bezpečnosti.

1099

1100

= {{id name="projekt_2642_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7. ROZPOČET A PRÍNOSY =

1101

1102

== {{id name="projekt_2642_Projektovy_zamer_detailny-Sumarizácianákladovaprínosov"/}}Sumarizácia nákladov a prínosov ==

(% class="" %)|(((

Náklady

)))|(((

\\

)))

(% class="" %)|(((

Dokumentačná časť

)))|(((

30 240,00

)))

(% class="" %)|(((

Audit kybernetickej bezpečnosti

)))|(((

12 240,00

)))

(% class="" %)|(((

**IT - CAPEX**

)))|(((

\\

)))

(% class="" %)|(((

Práce/služby

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

// //

)))

(% class="" %)|(((

SW

)))|(((

109 834,40 €

)))

(% class="" %)|(((

SW – súvisiace práce

)))|(((

36 960,00 €

)))

(% class="" %)|(((

HW

)))|(((

162 388,80 €

)))

(% class="" %)|(((

HW – súvisiace práce

)))|(((

63 504,00 €

)))

(% class="" %)|(((

Mzdové výdavky

)))|(((

37 890,00 €

)))

(% class="" %)|(((

Paušálna sadzba – nepriame výdavky

)))|(((

31 714,00 €

)))

(% class="" %)|(((

**IT - OPEX- prevádzka**

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

// //

)))

(% class="" %)|(((

SW

)))|(((

\\

)))

(% class="" %)|(((

HW

)))|(((

\\

)))

\\

\\

**~ **

= {{id name="projekt_2642_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUAMETÓDAJEHORIADENIA"/}}8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU A METÓDA JEHO RIADENIA =

(% class="" %)|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))|(((

POZNÁMKA

)))

(% class="" %)|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

04/2024

)))|(((

03/2025

)))|(((

vrátane prípravy a realizácie verejného obstarávania

)))

(% class="" %)|(((

2.

)))|(((

Realizačná fáza

)))|(((

05/2025

)))|(((

04/2027

)))|(((

\\

)))

(% class="" %)|(((

2a

)))|(((

Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

)))|(((

05/2025

)))|(((

04/2027

)))|(((

\\

)))

(% class="" %)|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

05/2027

)))|(((

06/2027

)))|(((

\\

)))

(% class="" %)|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

07/2027

)))|(((

06/2032

)))|(((

\\

)))

\\

**Projekt bude realizovaný metódou Waterfall**

1267

1268

Waterfall- vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

\\

Objednávateľ projektu vypracuje **funkčnú špecifikáciu - detailnú** a **technickú špecifikáciu - rámcovú**.

// //

// //

// //

\\

\\

= {{id name="projekt_2642_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM =

\\

V rámci projektu je zostavený **Riadiaci výbor (RV),** v minimálnom zložení:

* Predseda RV

* Biznis vlastník

* Zástupca prevádzky

* Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)

1294

* Projektový manažér objednávateľa (PM)

1295

1296

Zostavuje sa **Projektový tím objednávateľa**

1297

1298

* kľúčový používateľ,

* IT analytik,

* IT architekt,

* biznis vlastník,

* manažér kybernetickej a informačnej bezpečnosti,

\\

(% class="" %)|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

(% class="" %)|(((

1.

)))|(((

\\

)))|(((

Prorektor

)))|(((

UNIPO

)))|(((

Predseda RV

)))

(% class="" %)|(((

2.

)))|(((

\\

)))|(((

Riaditeľ centra výpočtovej techniky / vlastník procesov

)))|(((

UNIPO

)))|(((

Člen RV

)))

(% class="" %)|(((

3.

)))|(((

\\

)))|(((

Manažér kybernetickej bezpečnosti

)))|(((

UNIPO

)))|(((

Člen RV

)))

(% class="" %)|(((

4.

)))|(((

\\

)))|(((

Zástupca dodávateľa

)))|(((

dodávateľ

)))|(((

Člen RV bez hlasovacieho práva

)))

\\

\\

== {{id name="projekt_2642_Projektovy_zamer_detailny-PRACOVNÉNÁPLNE"/}} PRACOVNÉ NÁPLNE ==

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**PROJEKTOVÝ MANAŽÉR**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

\\

· zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

\\

· zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

1391

)))

1392

(% class="" %)|(((

1393

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Riadenie projektu podľa pravidiel stanovených vo Vyhláške 85/2020 Z.z.

1398

1399

· Riadenie prípravy, inicializácie a realizácie projektu

1400

1401

· Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii

1402

1403

· Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

1404

1405

· Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

1406

1407

· Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

1408

1409

· Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1410

1411

· Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

1412

1413

· Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 85/2020 Z.z., Prílohy č.1

1414

1415

· Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1 na rokovanie RV

1416

1417

· Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

1418

1419

· Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

1420

1421

· Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

1422

1423

· Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

1424

1425

· Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

1426

1427

· Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

1428

1429

· Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

1430

1431

· Riadenie implementačných a prevádzkových aktivít v rámci projektov.

1432

1433

· Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

1434

1435

· Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

1436

1437

· Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

1438

1439

· Dodržiavanie metodík projektového riadenia,

1440

1441

· Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),

1442

1443

· Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr

\\

)))

(% class="" %)|(((

**Odporúčané kvalifikačné predpoklady**

1449

)))|(((

1450

· Certifikácia - Prince 2

1451

1452

· Certifikácia - PMI PMP

1453

1454

· Certifikácia – IPMA

1455

1456

· Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**KĽUČOVÝ POUŽIVATEĽ **(end user)

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

\\

· zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.

\\

· Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov

1482

)))

1483

(% class="" %)|(((

1484

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

\\

Zodpovedný za:

· Návrh a špecifikáciu funkčných a technických požiadaviek

1491

1492

· Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

1493

1494

· Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,

1495

1496

· Špecifikáciu požiadaviek koncových používateľov na prínos systému

1497

1498

· Špecifikáciu požiadaviek na bezpečnosť,

1499

1500

· Návrh a definovanie akceptačných kritérií,

1501

1502

· Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

1503

1504

· Finálne odsúhlasenie používateľského rozhrania

1505

1506

· Vykonanie akceptačného testovania (UAT)

1507

1508

· Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

1509

1510

· Finálny návrh na spustenie do produkčnej prevádzky,

1511

1512

· Predkladanie požiadaviek na zmenu funkcionalít produktov

1513

1514

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1515

1516

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**IT ARCHITEKT**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za návrh architektúry riešenia IS a implementáciu technológií predovšetkým z pohľadu udržateľnosti, kvality a nákladov, za riešenie architektonických cieľov projektu dizajnu IS a súlad s architektonickými princípmi.

1536

1537

· vykonáva, prípadne riadi vysoko odborné tvorivé činnosti v oblasti návrhu IT. Študuje a stanovuje smery technického rozvoja informačných technológií, navrhuje riešenia na optimalizáciu a zvýšenie efektívnosti prostriedkov výpočtovej techniky. Navrhuje základnú architektúru informačných systémov, ich komponentov a vzájomných väzieb. Zabezpečuje projektovanie dizajnu, architektúry IT štruktúry, špecifikácie jej prvkov a parametrov, vhodnej softvérovej a hardvérovej infraštruktúry podľa základnej špecifikácie riešenia.

1538

1539

· zodpovedá za spracovanie a správu projektovej dokumentácie a za kontrolu súladu implementácie s dokumentáciou. Môže tiež poskytovať konzultácie, poradenstvo a vzdelávanie v oblasti svojej špecializácie. IT architekt, projektant analyzuje, vytvára a konzultuje so zákazníkom riešenia na úrovni komplexných IT systémov a IT architektúr, najmä na úrovni aplikačného vybavenia, infraštruktúrnych systémov, sietí a pod. Zaručuje, že návrh architektúry a/alebo riešenia zodpovedá zmluvne dohodnutým požiadavkám zákazníka v zmysle rozsahu, kvality a ceny celej služby/riešenia.

1540

)))

1541

(% class="" %)|(((

1542

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

\\

Zodpovedný za:

· Navrhovanie architektúry IT riešení s cieľom dosiahnuť najlepšiu efektivitu.

1549

1550

· Transformovanie cieľov, prísľubov a zámerov projektu do tvorby reálnych návrhov a riešení.

1551

1552

· Navrhovanie takých riešení, aby poskytovali čo najvyššiu funkčnosť a flexibilitu.

1553

1554

· Posudzovanie vhodnosti navrhnutých riešení s ohľadom na požiadavky projektu.

1555

1556

· Zodpovednosť za technické navrhnutie a realizáciu projektu.

1557

1558

· Zodpovednosť za vytvorenie technickej IT dokumentácie a jej následná kontrola.

1559

1560

· Zodpovednosť za definovanie integračných vzorov, menných konvencií, spôsobov návrhu a spôsobu programovania.

1561

1562

· Definovanie architektúry systému, technických požiadaviek a funkčného modelu (Proof Of Concept.)

1563

1564

· Vytvorenie požiadaviek na HW/SW infraštruktúru IS

1565

1566

· Udržiavanie a rozvoj konzistentnej architektúry s dôrazom na architektúru aplikačnú, dátovú a infraštruktúru

1567

1568

· Analýzu a odhad náročnosti technických požiadaviek na vytvorenie IS alebo vykonanie zmien v IS

1569

1570

· Navrhovanie riešení zohľadňujúce architektonické štandardy, časové a zdrojové obmedzenia,

1571

1572

· Navrhovanie dátových transformácií medzi dátovými skladmi a aplikáciami

1573

1574

· Vyhodnocovanie implementačných alternatív z pohľadu celkovej IT architektúry

1575

1576

· Ladenie dátových štruktúr za účelom dosiahnutia optimálneho výkonu

1577

1578

· Prípravu akceptačných kritérií

1579

1580

· Analýza nových nástrojov, produktov a technológií

1581

1582

· Správa, rozvoj a dohľad nad dodržiavaním integračných štandardov

1583

1584

· Priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane Detailného návrhu riešenia (DNR) z pohľadu analýzy a návrhu riešenia architektúry IS

1585

1586

· Vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania

1587

1588

· Vykonanie záťažových, výkonnostných a integračných testov a navrhnutie následných nápravných

1589

1590

· Nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie nápravných opatrení

1591

1592

· Participáciu na výkone bezpečnostných testov,

1593

1594

· Participáciu na výkone UAT testov,

1595

1596

· Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1597

1598

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1599

1600

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

(% class="" %)|(((

**Odporúčané kvalifikačné predpoklady**

)))|(((

\\

· Certifikácia - Togaf

1610

1611

· Certifikácia – ArchiMate

1612

1613

· Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

\\

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**IT ANALYTIK**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie. Podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení. Zodpovedá za výkon analýzy IS, koordináciu a dohľad nad činnosťou SW analytikov.

1633

1634

· analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

1635

1636

· Analytik informačných technológií pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu. Mapuje a analyzuje existujúce podnikateľské a procesné prostredie, analyzuje biznis požiadavky na informačný systém, špecifikuje požiadavky na informačnú podporu procesov, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní (akceptácie) používateľom.

1637

1638

· Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

1639

1640

· Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad).

1641

)))

1642

(% class="" %)|(((

1643

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

\\

Zodpovedný za:

· Vykonanie analýzy procesných a ďalších požiadaviek a vytvorenie špecifikácie súčasného alebo budúceho užívateľa softwaru („zákazníka“) a následne navrhuje dizajn a programátorské riešenie.

1650

1651

· Participáciu na vývoji nových, ale i vylepšovaní existujúcich aplikácií v rámci celého vývojového cyklu – systémová analýza, dizajn, kódovanie, užívateľské testovanie, implementácia, podpora, dokumentácia. Úzko spolupracuje aj s IT architektom.

1652

1653

· Analýza potrieb zákazníka vrátane tvorby úplnej analytickej dokumentácie a vstupov do verejného obstarávania (VO).

1654

1655

· Mapovanie požiadaviek do návrhu funkčných riešení.

1656

1657

· Návrh a správa katalóg požiadaviek - registra požiadaviek riešenia

1658

1659

· Analýza funkčných a nefunkčných požiadaviek,

1660

1661

· Návrh fyzického a logického modelu,

1662

1663

· Návrh testovacích scenárov,

1664

1665

· V priebehu implementácie robí dohľad nad zhodou výstupov s pôvodným analytickým zadaním.

1666

1667

· Zodpovednosť za dodržovanie správnej metodiky pri postupe analýzy

1668

1669

· Definovanie akceptačných kritérií v projekte

1670

1671

· Odsúhlasenie opisu produktov, ktoré predstavujú vstupy alebo výstupy (priebežné alebo konečné) úloh dodávateľov, alebo ktoré ich priamo ovplyvňujú a zabezpečovať akceptáciu produktov po ich dokončení

1672

1673

· Priraďuje priority a poskytuje stanoviská používateľov na rozhodnutia Riadiaceho výboru projektu – k realizácii zmenových požiadaviek

1674

1675

· Poskytuje merania aktuálneho stavu pre potreby porovnania s výsledkami projektu vzhľadom na realizáciu prínosov

1676

1677

· Rieši požiadavky používateľov a konflikty iných priorít

1678

1679

· Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1680

1681

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1682

1683

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

(% class="" %)|(((

**Odporúčané kvalifikačné predpoklady**

)))|(((

\\

· Certifikácia - OMG-Certified UML (Unified Modeling Language) alebo ekvivalent

1693

1694

· Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

\\

)))

(% class="" %)|(((

**Poznámka**

)))|(((

\\

\\

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**VLASTNÍK PROCESOV **(biznis vlastník)

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za proces - jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi. Kľúčová rola na strane zákazníka (verejného obstarávateľa), ktorá schvaľuje biznis požiadavky a zodpovedá za výsledné riešenie, prínos požadovanú hodnotu a naplnenie merateľných ukazovateľov. Úlohou tejto roly je definovať na užívateľa orientované položky (user-stories), ktoré budú zaradzované a prioritizované v produktovom zásobníku. Zodpovedá za priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane DNR z pohľadu analýzy a návrhu riešenia aplikácii IS.

\\

· zodpovedný za schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu. Definuje očakávania na kvalitu projektu, kvalitu projektových produktov, prínosy pre koncových používateľov a požiadavky na bezpečnosť. Definuje merateľné výkonnostné ukazovatele projektov a prvkov. Vlastník procesov schvaľuje akceptačné kritériá, rozsah a kvalitu dodávaných projektových výstupov pri dosiahnutí platobných míľnikov, odsúhlasuje spustenie výstupov projektu do produkčnej prevádzky a dostupnosť ľudských zdrojov alokovaných na realizáciu projektu.

1725

)))

1726

(% class="" %)|(((

1727

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov.

1732

1733

· Spoluprácu pri riešení odpovedí na otvorené otázky a riziká projektu.

1734

1735

· Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej)

1736

1737

· Riešenie problémov a požiadaviek v spolupráci s odbornými garantmi,

1738

1739

· Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek

1740

1741

· Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu

1742

1743

· Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť,

1744

1745

· Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,

1746

1747

· Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu (BC/CBA)

1748

1749

· Schválenie akceptačných kritérií,

1750

1751

· Riešenie problémov používateľov

1752

1753

· Akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,

1754

1755

· Vykonanie UX a UAT testovania

1756

1757

· Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,

1758

1759

· Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

1760

1761

· Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch.

1762

1763

· Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a prioritizácii

1764

1765

· Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd,

1766

1767

· Okrem zvažovaní rizík prevádzkových alebo podporných procesov súčasne vlastník napomáha identifikovať príležitosti,

1768

1769

· Zlepšovanie a optimalizáciu procesov v spolupráci s ďalšími prepojenými vlastníkmi procesov a manažérom kvality,

1770

1771

· Odsúhlasenie akceptačných protokolov zmenových konaní

1772

1773

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1774

1775

· plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**MANAŽER KYBERNETICKEJ BEZPEČNOSTI (KIB) a IT BEZPEČNOSTI (ITB)**

**~ **

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

1795

1796

· koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti

\\

**PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KIB a ITB:**

1801

1802

1) neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných.

1803

1804

2) rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle:

1805

1806

a) § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

1807

1808

b) ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

1809

)))

1810

(% class="" %)|(((

1811

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· špecifikovanie štandardov, princípov a stratégií v oblasti ITB a KIB,

1816

1817

· ak je projekt primárne zameraný na problematiku ITB a KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na ITB a KIB,

1818

1819

· špecifikovanie požiadaviek na ITB a KIB, kontroluje ich implementáciu v realizovanom projekte,

1820

1821

· špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

1822

1823

· špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť ITB a KIB,

1824

1825

· špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

1826

1827

· špecifikovanie požiadaviek na školenia pre oblasť ITB a KIB,

1828

1829

· špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť ITB a KIB,

1830

1831

· špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na ITB a KIB,

1832

1833

· realizáciu posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

1834

1835

· špecifikovanie požiadaviek na ITB a KIB, bezpečnostný projekt a riadenie prístupu,

1836

1837

· špecifikovanie požiadaviek na testovanie z hľadiska ITB a KIB, realizáciu kontroly zapracovania a retestu,

1838

1839

· špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť ITB a KIB, ako aj v zmysle "best practies",

1840

1841

· špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s ITB a KIB kontroluje ich implementáciu v realizovanom projekte,

1842

1843

· špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu ITB a KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

1844

1845

· špecifikáciu požiadaviek na bezpečnosť IT a KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

1846

1847

· špecifikáciu akceptačných kritérií za oblasť ITB a KIB,

1848

1849

· špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na ITB a KIB,

1850

1851

· poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť ITB a KIB,

1852

1853

· získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1854

1855

· špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,

1856

1857

· konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska ITB a KIB,

1858

1859

· špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť ITB a KIB,

1860

1861

· realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť ITB a KIB

1862

1863

· realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

1864

1865

· realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

1866

1867

· realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť ITB a KIB,

1868

1869

· realizáciu kontroly zameranú na implementovaný proces v priamom súvise s ITB a KIB,

1870

1871

· realizáciu kontroly súladu s planou legislatívou v oblasti ITB a KIB (obsahuje aj kontrolu leg. požiadaviek)

1872

1873

· realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

1874

1875

· poskytovanie konzultácií a súčinnosti pre problematiku ITB a KIB,

1876

1877

· získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1878

1879

· aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1880

1881

· plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

\\

\\