Riadenie kybernetickej a informačnej bezpečnosti v prostredí UNIZA

V predkladanom projekte sa realizuje návrh a postupná implementácia komplexného systému manažérstva kybernetickej a informačnej bezpečnosti (ISMS: Information Security Management System), ktorý formálne zakotví princípy kybernetickej a informačnej bezpečnosti do organizačnej štruktúry UNIZA. Riadenie kybernetickej a informačnej bezpečnosti bude založené na vypracovanej, aktualizovanej a implementovanej bezpečnostnej dokumentácii zahŕňajúcej bezpečnostnú stratégiu, politiky, smernice, postupy, bezpečnostné projekty a ďalšie interné riadiace dokumenty.
V rámci jednotlivých procesov riadenia rizík budú identifikované všetky primárne aktíva (procesy, informácie) ako aj podporné aktíva (hardvér, softvér, ľudské zdroje, lokality, tretie strany, siete, informačné systémy), pričom bude implementovaný systém pre centrálnu inventarizáciu týchto aktív a súvisiacich konfiguračných požiadaviek. Bude aktualizovaná dokumentácia počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov. Bude spracovaná analýza funkčných dopadov identifikujúca rôzne kategórie procesov organizácie, na základe ich kritickosti, vzájomnej závislosti a potenciálnych dôsledkov v prípade vzniku incidentu. Bude navrhnutý a implementovaný systém riadenia rizík pozostávajúci z podprocesu posudzovania rizík a podprocesu ošetrenia rizík. Samostatnou kategóriou procesu posudzovania rizík bude posúdenie rizík tretích strán a celého dodávateľského reťazca vo vzťahu k poskytovaným službám a produktom. Budú identifikovaný vlastníci rizík, zodpovední za implementáciu organizačných a technických bezpečnostných opatrení, určených na zníženie rizika na akceptovateľnú úroveň.
Na riešenie kybernetických bezpečnostných incidentov v rámci UNIZA budú vypracované a pravidelne aktualizované štandardy a postupy riešenia kybernetických bezpečnostných incidentov. Procesy budú realizované implementáciou nástrojov na detekciu, zber a nepretržité ohodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Po úspešnom otestovaní a vyhodnotení budú spracované technické špecifikácie s dopadom na budúcu implementáciu a integráciu systémov do existujúcej infraštruktúry univerzity. Budú definované a schválené scenáre pre potenciálne vzniknuté kybernetické incidenty a vo vzťahu k tomu budú definované stratégie kontinuity činnosti a jednotlivé plány kontinuity činnosti a plány obnovy prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na činnosť UNIZA. Taktiež budú definované plány na zálohovanie informačných systémov na základe realizovanej analýzy dopadov a zistených časov RPO.
Vzhľadom na dlhodobé výskumné, vzdelávacie a expertízne aktivity v oblasti kybernetickej a informačnej bezpečnosti na UNIZA, bude celý projekt realizovaný tímom interných zamestnancov UNIZA. V rámci organizačnej štruktúry UNIZA bude zriadený Bezpečnostný výbor, ktorý bude strategickým orgánom pri riešení otázok kybernetickej a informačnej bezpečnosti. V rámci projektu budú vytvorené esenciálne role pre riadenie kybernetickej a informačnej bezpečnosti, ako je manažér kybernetickej bezpečnosti a architekt kybernetickej bezpečnosti.