PRÍSTUP K PROJEKTU

 Vzor pre manažérsky výstup I-03

podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1.     História dokumentu

2.     Účel dokumentu

V súlade s vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy  (ďalej len „Vyhláška č. 401/2023 Z.z.“) je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

Účelom predkladaného dokumentu je v rámci iniciačnej fázy projektu súhrnne popísať hlavné informácie o navrhovanom projekte so zameraním na technický návrh riešenia.

Dokument je vypracovaný v súlade s Vyhláškou č. 401/2023 Z. z..

Dokument popisuje nasledovné oblasti:

• opis navrhovaného riešenia,
• architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry,
• špecifikáciu údajov spracovaných v projekte, čistenie údajov,
• prevádzku a údržbu výstupov projektu,
• prevádzkové požiadavky,
• požiadavky na zdrojové kódy.

2.1        Použité skratky

2.2        Konvencie pre typy požiadaviek

Hlavné kategórie požiadaviek v zmysle katalógu požiadaviek sú rozdelené na funkčné a nefunkčné užívateľské požiadavky. Funkčné požiadavky používajú konvenciu:

RF_xx.yy

• RF– funkčná požiadavka
• xx– oblasť požiadavky
• yy– číslo požiadavky

Nefunkčné a technické požiadavky používajú konvenciu:

RNF_xx.yy

• RNF– nefunkčná požiadavka
• xx– oblasť požiadavky
• yy– číslo požiadavky

3.     Popis navrhovaného riešenia

Predmetom projektu je zvýšenie úrovne kybernetickej a informačnej bezpečnosti na Generálnej prokuratúre Slovenskej republiky (ďalej len „GPSR“). Kybernetická bezpečnosť je z pohľadu architektúry prierezovou oblasťou a teda realizuje sa skrz všetky vrstvy architektúry.

Na úrovni biznis vrstvy architektúry je to predovšetkým aktualizácia bezpečnostnej dokumentácie vrátane jej zavedenia do praxe:

• Aktualizácia bezpečnostnej dokumentácie na základe zistení z realizovaného bezpečnostného auditu.
• Vypracovanie bezpečnostnej stratégie kybernetickej bezpečnosti.
• Vytvorenie bezpečnostných politík kybernetickej bezpečnosti.
• Vykonanie inventarizácie aktív, klasifikácie informácií a kategorizácie sietí a informačných systémov.
• Vykonanie analýzy rizík a analýzy dopadov vrátane riadenia rizík.

Na úrovni aplikačnej a technologickej vrstve architektúry bude zabezpečené:

• Zavedenie, implementácia alebo aktualizácia centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení.
• Implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov.
• Obstaranie služby monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov.
• Implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.

4.     Architektúra riešenia projektu

Architektúra riešenia projektu je spracovaná v súlade s hlavnými cieľmi motivačnej architektúry, ktoré sú podrobnejšie definované funkčnými resp. nefunkčnými požiadavkami uvedené v prílohe Katalóg požiadaviek. Architektúra riešenia projektu je ďalej rozpracovaná na úrovni biznis vrstvy, aplikačnej vrstvy, technologickej vrstvy a bezpečnostnej vrstvy.

4.1        Biznis vrstva

Biznis vrstva – súčasný stav:

GPSR v rámci svojich pôsobností vymedzených zákonom č. 153/2001 Z. z. o prokuratúre, zákon č. 154/2001 Z. z. o  prokurátoroch a právnych čakateľoch prokuratúry a osobitnými zákonmi:

• zabezpečuje plnenie úloh patriacich do pôsobnosti generálneho prokurátora Slovenskej republiky,
• riadi, organizuje a kontroluje činnosť krajských prokuratúr a okresných prokuratúr,
• dozerá na jednotné uplatňovanie zákonov a ostatných všeobecne záväzných právnych predpisov krajskými prokuratúrami a okresnými prokuratúrami,
• vedie register trestov, ktorý obsahuje údaje a informácie

V rámci poskytovaných služieb poskytuje služby prostredníctvom rôznych prístupových kanálov: elektronicky, listinne, osobne ako aj telefonicky. Pre poskytované služby GPSR poskytuje a realizuje viaceré biznis funkcie, kde v rámci tohto projektu je primárne relevantná biznis funkcia Bezpečnosť.

GPSR ako prevádzkovateľ základnej služby zapísanej v registri prevádzkovateľov základných služieb má povinnosti, ktoré vyplývajú zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“). Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti:

• organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,
• riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,
• personálnej bezpečnosti,
• riadenia prístupov,
• riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,
• bezpečnosti pri prevádzke informačných systémov a sietí,
• hodnotenia zraniteľností a bezpečnostných aktualizácií,
• ochrany proti škodlivému kódu,
• sieťovej a komunikačnej bezpečnosti,
• akvizície, vývoja a údržby informačných sietí a informačných systémov,
• zaznamenávania udalostí a monitorovania,
• fyzickej bezpečnosti a bezpečnosti prostredia,
• riešenia kybernetických bezpečnostných incidentov,
• kryptografických opatrení,
• kontinuity prevádzky,
• auditu, riadenia súladu a kontrolných činností.

Tieto bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. GPSR je povinná preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu.

V súlade s § 29 ZoKB prebiehal na GPSR v období od 6.9.2023 do 23.11.2023 audit kybernetickej bezpečnosti. Dňa 15.12.2023 bola GPSR odovzdaná finálna verzia záverečnej správy o výsledkoch auditu. V súlade s § 29 ods. 5 GPSR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. Konkrétne sa jedná o vybrané opatrenia, ktoré budú realizované týmto projektom:

• Vypracovať bezpečnostnú stratégiu kybernetickej bezpečnosti a prislúchajúcu bezpečnostnú dokumentáciu v súlade s požiadavkami podľa vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „Vyhláška č. 362/2018 Z. z.“) v termíne do 31.12.2024.
• Zaviesť a implementovať s definovanými zodpovednosťami pravidlá a zásady jednotlivých politík v bezpečnostnej dokumentácií do praxe a príslušné činnosti vykonávať spôsobmi a postupmi popísanými v súvisiacich štandardoch v termíne do 31.12.2024.
• Vykonať aktualizáciu klasifikácie informácií a kategorizácie informačných systémov v termíne do 31.12.2024.
• Vypracovanie metodiky pre klasifikáciu informácií a kategorizácií sietí a IS v súlade s klasifikačnou schémou podľa vyhlášky v termíne do 31.5.2025.
• Na základe klasifikácie informácií aktualizovať kategorizáciu sietí a informačných systémov a súvisiacich komponentov v termíne do 31.5.2025.
• Pripraviť dekompozíciu základnej služby informačných systémov v termíne do 31.5.2025.
• Zabezpečiť centrálnu evidenciu existujúcej dokumentácie IS a jej aktualizáciu v termíne do 31.5.2025.
• Zaviesť riadenie súladu, ktoré bude zbierať požiadavky a aplikovať ich do praxe v termíne do 31.5.2025.
• Implementácia a rozšírenie možnosti detekcie incidentov na perimetrových sieťových prvkoch v termíne do 31.12.2024.
• Rozšíriť technické a personálne možnosti na riešenie incidentov v termíne do 31.12.2025.
• Implementácia nástroja na kontrolu nad privilegovanými účtami v termíne do 31.3.2024.
• Vykonávať pravidelné posudzovanie zraniteľností (technických zraniteľností zariadenia, ktoré sa vzdialene pripája do internej siete) priebežne.

Medzi jedným zo zistených nedostatkov bola neaktuálna bezpečnostná dokumentácia, resp. nedostatočná bezpečnostná dokumentácia, ktorú je potrebné aktualizovať predovšetkým pre oblasti:

• Riadenie prístupov (§8 ods. 1 až 4 Vyhlášky č. 362/2018 Z. z)
• Ochrana proti škodlivému kódu (§12 ods. 1 písm. b) Vyhlášky č. 362/2018 Z. z)
• Sieťová a komunikačná bezpečnosť (§13 písm. a), c) Vyhlášky č. 362/2018 Z. z)
• Fyzická bezpečnosť a bezpečnosť prostredia (§16 písm. d), g) Vyhlášky č. 362/2018 Z. z)
• Kryptografické opatrenia (§17a ods. 1 Vyhlášky č. 362/2018 Z. z)
• Kontinuita prevádzky (§17b ods. 3 Vyhlášky č. 362/2018 Z. z)

Aktualizácia bezpečnostnej dokumentácie má byť vykonaná vždy pri každej podstatnej zmene.

V rámci kategorizácií aktív z pohľadu dôvernosti bol vyhodnotený dopad prípadného kybernetického incidentu (najhoršieho možného scenára a dopadov na GPSR podľa § 24 ods. 2, písm. a) až e) ZoKB v závislosti od kategórie bezpečnostného incidentu nasledovne:

• 24 ods. 2 písm. a) zákona - Kategória II.
• 24 ods. 2 písm. b) a c) zákona - Kategória II.
• 24 ods. 2 písm. d) zákona - Kategória II.
• 24 ods. 2 písm. e) zákona - Kategória II.

V rámci ďalších prijatých bezpečnostných opatrení boli identifikované nasledovné oblasti, ktoré budú v rámci projektu realizované.

Riadenie prístupov

V prostredí prevádzkovej infraštruktúry verejného obstarávateľa je nasadený a prevádzkovaný nástroj na zabezpečenie kontroly nad privilegovanými účtami (PAM) na platforme BeyondTrust Password Safe v počte 103 pokrytých systémov.

PAM je riešenie pre zabezpečenie identity, ktoré pomáha chrániť organizácie pred kybernetickými hrozbami prostredníctvom monitorovania, rozpoznávania a prevencie neoprávneného privilegovaného prístupu k dôležitým zdrojom. PAM funguje prostredníctvom kombinácie ľudí, procesov a technológií a poskytuje prehľad o tom, kto používa privilegované kontá a čo títo používatelia robia, kým sú prihlásení. Obmedzenie počtu používateľov, ktorí majú prístup k správcovským funkciám, zvyšuje zabezpečenie systému, zatiaľ čo ďalšie vrstvy ochrany zmierňujú narušenia údajov zdrojmi hrozieb.

Existujúce riešenie je založené na produkte v konfigurácii s dvomi virtuálnymi serverovými komponentmi BeyondTrust Appliance, ktoré sú prevádzkované v režime Active – Pasive. Je potrebné zohľadniť prevádzkový režim dátových centier verejného obstarávateľa Active - Active vo vzťahu k navrhovanému riešeniu. Kontrola a správa privilegovaných prístupov je nasadená na 103 systémov, ktoré pozostávajú z:

• Microsoft Windows Server,
• Linux Server (rôzne distribúcie),
• Solaris 11 Sparc,
• F5 BIG IP,
• CheckPoint 6400,
• Cisco IronPort ESA.

Súčasný licenčný model riešenia je postavený na uvedenom počte integrovaných systémov a počte 2 ks virtuálnych serverových appliance.

Sieťová a komunikačná bezpečnosť

Riadenie prístupu k sieti je metóda na posilnenie bezpečnosti, viditeľnosti a riadenia prístupu do vlastnej siete. Obmedzuje dostupnosť sieťových zdrojov pre koncové zariadenia a používateľov, ktorí spĺňajú bezpečnostnú politiku. Vzhľadom na neustále rastúci počet pripájaných zariadení do internej siete je potrebné tieto zariadenia monitorovať a tiež im poskytnúť ochranu zabezpečenia koncových bodov. Pre pravidelné a nepretržité posudzovanie technických zraniteľností a posudzovania technických zraniteľností zariadení, ktoré sa pripájajú do internej siete v súčasnosti nie je používaný žiadny nástroj. Pripájanie sieťových zariadení v rezorte prokuratúry nie je zabezpečené.

Riešenie kybernetických bezpečnostných incidentov

GPSR používa pre ochranu koncových zariadení antivírusový systém ESET PROTECT Enterprise pre 100 koncových zariadení s aktualizáciou po dobu 1 roka. Predmetom projektu je rozšírenie produktového balíka bezpečnostných riešení na ochranu koncových pracovných staníc, serverov, mobilných zariadení, ktorý obsahuje viacvrstvovú antivírusovú ochranu, technológiu automatickej analýzy podozrivých súborov v cloudovom sandboxe výrobcu, pokročilú vrstvu ochrany v podobe XDR nástroja na detekciu a reakciu, šifrovanie celých diskov a možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-premise) nasadení podľa voľby GPSR za účelom povýšenia kybernetickej bezpečnosti.

Obrázok 1:  Model biznis architektúry (vychádza zo strategickej architektúry VS) – ASIS

Biznis vrstva – budúci stav:

GPSR identifikovala najvyššiu mieru rizika a najvyššie dopady kybernetických incidentov v nasledovných oblastiach. Tieto oblasti mali aj najvyššiu mieru nesúladu s legislatívnymi požiadavkami z vykonaného auditu kybernetickej bezpečnosti.

V rámci projektu GPSR bude realizovať nasledovné podaktivity v súlade s oprávnenými činnosťami uvedenými vo výzve.

Riadenie prístupov

Pre zvýšenie efektivity a bezpečnosti prevádzky  je nutné zabezpečiť doplnenie a nasadenie existujúceho nástroja BeyondTrust Password Safe na celkový počet 230 systémov v rámci organizácie na všetky prevádzkované systémy tak, aby bola zabezpečená rovnaká úroveň bezpečnosti a kontroly nad prístupmi v rámci celej prevádzkovanej IT infraštruktúre vrátane aktualizácie na rovnakú dobu 3 roky.

Sieťová a komunikačná bezpečnosť

GPSR v rámci riadenia prístupu k sieti požaduje návrh a dodanie riešenia a dodávku potrebných SW komponentov, resp. licencií a odborných služieb pre nasadenie overenia prístupu (NAC) do počítačovej siete pomocou štandardu 802.1x v IT prostredí GPSR. Riadenie prístupu sa týka drôtovej časti siete, ale musí byť pripravené na integráciu s nasadenou bezdrôtovou infraštruktúrou. Riešenie musí pokrývať minimálne nasledovný rozsah zariadení a lokalít:

Nasadenie na nasledovných pracoviskách:

• 2 dátové centrá v lokalite Bratislava
• 4 špecializované pracoviská v lokalite Bratislava
• 8 krajských pracovísk
• 54 okresných pracovísk
• 2 vzdelávacie zariadenia

Zariadenia umiestnené v týchto lokalitách:

• 155 ks prepínačov Cisco, prevažne rady Catalyst
• 2300 koncových staníc a zariadení

Riešenie kybernetických bezpečnostných incidentov

Predmetom projektu je rozšírenie produktového balíka bezpečnostných riešení na ochranu koncových pracovných staníc, serverov, mobilných zariadení, ktorý obsahuje viacvrstvovú antivírusovú ochranu, technológiu automatickej analýzy podozrivých súborov v cloudovom sandboxe výrobcu, pokročilú vrstvu ochrany v podobe XDR nástroja na detekciu a reakciu, šifrovanie celých diskov a možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení podľa voľby GPSR za účelom povýšenia kybernetickej bezpečnosti.

V rámci rozšírenia existujúceho riešenia sa požaduje rozšírenie licencií na ESET PROTECT Enterprise pre ochranu na celkový počet 600 endpointov vrátane aktualizácie na rovnakú dobu 3 roky.

Všetky implementované nástroje musia byť nasadené a dodané v najnovšej verzií s prístupom k aktualizačným balíčkom po dobu 3 rokov. Bez prístupu k najnovšej verzií, k najnovším balíčkom, najnovšej antivírusovej databáze a najnovším bezpečnostným záplatám dodané nástroje neplnia základnú bezpečnostnú funkciu na čo boli vytvorené a projektom dodané. Z tohto hľadiska sa nejedná o podporu prevádzky existujúceho riešenia.

Bližšie požiadavky na predmet zákazky je špecifikovaný v katalógu požiadaviek.

Obrázok 2: Model biznis architektúry (vychádza zo strategickej architektúry VS) – TOBE

4.1.1        Prehľad koncových služieb – budúci stav:

Projektom nie sú budované žiadne nové koncové služby. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci GPSR. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.1.2        Jazyková podpora a lokalizácia

Požiadavky na jazykovú lokalizáciu riešenia a používateľské prostredie služieb bude implementované v slovenskom jazyku.

4.2        Aplikačná vrstva

Aplikačná vrstva GPSR pozostáva z viacerých informačných systémov podporujúcich výkon funkcií a činností definovaných na úrovni biznis architektúry. Je rozdelené primárne do nasledujúcich oblastí.

Moduly front-endu: predstavujú špecifické, najmä rezortné komponenty pre interakciu s používateľmi, čiže komponenty, ktoré nie sú spoločné a zdieľané viacerými inštitúciami (napr. rezortné portály).

Externé systémy: externé systémy integrované so systémami GPSR

Spoločné moduly front-endu: združujú spoločné komponenty, ktoré riešia interakciu s používateľmi (občanmi, podnikateľmi a zamestnancami verejnej správy)

Integrácia a orchestrácia: rieši integráciu a vzájomnú interoperabilitu informačných systémov verejnej správy SR na úrovni aplikačnej a dátovej integrácie a zabezpečuje služby orchestrácie najmä pre životné situácie.

Agendové informačné systémy: podporujú výkon konkrétnej agendy a realizujú kľúčové aplikačné služby.

Moduly back-endu: predstavujú špecifické, najmä rezortné komponenty pre podporu špecifických back office činností, čiže komponenty, ktoré nie sú spoločné a zdieľané viacerými organizáciami. Tu patria aj nástroje pre kybernetickú a informačnú bezpečnosť.

Obrázok 3: Aplikačná architektúra budúceho stavu

4.2.1        Rozsah informačných systémov – AS IS

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.2.2        Rozsah informačných systémov – TO BE

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

V rámci projektu budú implementované nové nástroje pre zvýšenie úrovne kybernetickej a informačnej bezpečnosti.

4.2.3        Využívanie nadrezortných a spoločných ISVS – AS IS

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.2.4        Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.2.5        Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.2.6        Aplikačné služby pre realizáciu koncových služieb – TO BE

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.2.7        Aplikačné služby na integráciu – TO BE

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.2.8        Poskytovanie údajov z ISVS do IS CSRÚ – TO BE

Projektom nie je plánované poskytovanie údajov do IS CSRŮ. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.2.9        Konzumovanie údajov z IS CSRU – TO BE

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.3        Dátová vrstva

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.3.1        Údaje v správe organizácie

Zavedenie systematického manažmentu údajov nie je predmetom navrhovaného projektu. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.3.2        Dátový rozsah projektu - Prehľad objektov evidencie - TO BE

Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.3.3        Referenčné údaje

Projektom nie sú plánované žiadne nové referenčné údaje ani údaje, ktoré je možné vyhlásiť za referenčné. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.3.4        Kvalita a čistenie údajov

Cieľom projektu nie je systematický manažment údajov z hľadiska citlivosti kvality údajov a čistenia údajov. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.3.5        Otvorené údaje

Nie je relevantné pre projekt, nebudú poskytované žiadne nové Otvorené údaje. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.3.6        Analytické údaje

Nie je relevantné pre projekt, nebudú poskytované žiadne nové Analytické údaje. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.3.7        Moje údaje

Nie je relevantné pre projekt, nebudú poskytované žiadne nové Moje údaje. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.3.8        Prehľad jednotlivých kategórií údajov

Projekt nie je zameraný na systematický manažment údajov, nemení štruktúru ani obsah údajov. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

4.4        Technologická vrstva

4.4.1        Prehľad technologického stavu - AS IS

Pripojenie celej sieťovej infraštruktúry na oboch centrálnych lokalitách ako aj na krajských a okresných prokuratúrach a Registri trestov GPSR je implementované redundantne, tzn. použitím dvojice smerovačov. Funkčnosť redundancie je zabezpečená prostredníctvom dynamického smerovacieho protokolu, ktorý beží medzi GPSR a ISP smerovačmi. Prípadné zvýšenie prenosových kapacít ako aj samotná prevádzka WAN pripojení je realizovaná GPSR.

Dôležitou vlastnosťou WAN siete je ochrana prenášaných dát. Ako ochranný mechanizmus je implementovaná technológia, ktorá prostredníctvom IPSec štandardu zabezpečuje šifrovanie prenášaných dát medzi centrálnymi a vzdialenými lokalitami WAN siete.

Za účelom prioritizácie kritických aplikácií pred nekritickými, je na WAN smerovačoch implementovaná kvalita služieb, ktorá zabezpečuje garanciu prenosového pásma pre kritické aplikácie v čase zahltenia komunikačných liniek.

LAN sieť v centrálnych lokalitách je naimplementovaná ako dvojvrstvová. Jadro LAN siete tvorí dvojica vysokovýkonných L3 prepínačov, ktorých úlohou je agregovať pripojenie LAN prepínačov z prístupovej vrstvy. Podporované vlastnosti jadra siete:

• Multi chassis etherchannel
• 32 Gigabit Fibre Channel
• 1/10/25 a 40/100 Gigabit Ethernet

Pripojenie serverov do LAN siete je zabezpečené cez dvojice 48 portových 1/10 Gigabit Ethernet prepínačov, ktoré umožňujú dual-home pripojenie pre servery. Prevádzkované server prepínače sú do centrálnych prepínačov pripojené dvojicou liniek o kapacite 10 Gigabit Ethernet, ktoré logicky tvoria jeden prepoj o kapacite 20 Gbps.

Pripojenie užívateľov do LAN siete je riešené cez existujúce LAN prepínače, ktoré sú doplnené o niekoľko nových prístupových prepínačov s podporou PoE, čo je možné využiť na pripojenie IP telefónov prípadne bezdrôtových prístupových bodov. Tieto LAN prepínače sú cez dvojicu Gigabit Ethernet rozhraní pripojené do centrálnych prepínačov.

LAN sieť na pobočkách vyzerá veľmi jednoducho. Väčšina vytvorená dvoma 48 portovými Gigabit Ethernet L2 prepínačmi, do ktorých sú zapojené koncové systémy užívateľov ako aj WAN smerovače, ktoré pre užívateľov zabezpečujú smerovanie do WAN siete.V niektorých pobočkách je LAN sieť tvorená viacerými Gigabit Ethernet L2 prepínačmi.

Do centrálnych prepínačov na oboch centrálnych lokalitách je pripojený firewallový systém, ktorý poskytuje bezpečné pripojenie LAN sietí do Govnetu a Internetu. Firewallový systém je tvorený dvomi vrstvami firewallov od dvoch rôznych výrobcov, na ktorých sú ukončené DMZ zóny poskytujúce služby prístupné z Govnetu a Internetu. Firewallový systém poskytuje ukončenie šifrovaných VPN pripojení z externých sietí do LAN siete GPSR.

Obrázok 4: Prevádzkovaná sieťová architektúra infraštruktúry GPSR

4.4.2        Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE

V rámci navrhovaného riešenia sa predpokladá zachovanie súčasných výkonnostných požiadaviek a kapacitných požiadaviek.

4.4.3        Návrh riešenia technologickej architektúry

Technologická architektúra sa oproti súčasnému stavu nemení a bude prevádzkovaná v rovnakom technologickom prostredí. Technologická vrstva budúceho stavu vychádza zo súčasného stavu a bude podporená novými nasadenými nástrojmi prevádzkovanými na viacerých technológiách. Pre tvorbu tohto projektu uvádzame nástroje napr. existujúce nástroje BeyondTrust Password Safe, ESET PROTECT Enterprise  alebo ekvivalentné, ktoré budúci dodávateľ zabezpečí a implementuje v prostredí GPSR a budú spĺňať požiadavky GPSR z tejto dokumentácie a pripravovaného VO.

Obrázok 5: Technologická architektúra - TOBE

4.4.4        Využívanie služieb z katalógu služieb vládneho cloudu

Projekt nebude využívať služby z katalógu vládneho cloudu. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. Implementované nástroje budú prevádzkované v infraštruktúre GPSR bez potreby jej rozšírenia.

4.5        Bezpečnostná architektúra

Riešenie zabezpečenia prevádzkovaných ISVS v správe GPSR je rozdelené do viacerých častí, pričom každá časť komplexne pokrýva danú oblasť. Jedná sa o nasledovné hlavné oblasti:

• Zabezpečenie E-mail a Web komunikácie,
• Vnútorný firewall,
• Ochrana web aplikácií a rozdelenie záťaže,
• DNS a vysoká dostupnosť dátových centier.

Sieťovú infraštruktúru tvorí WAN sieť, ktorá slúži na vzájomné prepojenie všetkých lokalít a LAN siete nachádzajúce sa na jednotlivých lokalitách. Za účelom dosiahnutia maximálnej dostupnosti  je WAN realizovaná dvomi centrálnymi lokalitami, z ktorých je jedna primárna a druhá záložná. Okrem centrálnych lokalít sú WAN komponentmi vybavené aj vzdialené lokality, ktoré cez WAN sieť komunikujú so systémami v primárnej resp. záložnej centrálnej lokalite. Vzdialenými lokalitami sú Krajské prokuratúry, Okresné prokuratúry, Register trestov, Medzinárodný odbor GPSR, Ekonomický odbor a účelové zariadenia.

Bezpečnostná architektúra budúceho stavu bude v súlade s dotknutými právnymi normami a zároveň s technickými normami, ktoré stanovujú úroveň potrebnej bezpečnosti IS, pre manipuláciu so samotnými dátami, alebo technické / technologické / personálne zabezpečenie samotnej výpočtovej techniky/HW vybavenia. Ide najmä o:

• Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov
• Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
• Zákon č. 45/2011 Z.z. o kritickej infraštruktúre
• Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy
• Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
• Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov
• Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
• Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Projektom sa zvyšuje úroveň kybernetickej a informačnej bezpečnosti nasadením resp. rozšírením nástrojov pre pokrytie kompletnej organizácie GPSR a pre oblasti: Riadenie prístupov, Sieťová a komunikačná bezpečnosť a Riešenie kybernetických bezpečnostných incidentov

Súčasťou projektu bude aktualizácia bezpečnostnej dokumentácie pre jednotlivé oblasti, ktorá vyplýva zo systému riadenia informačnej (a kybernetickej) bezpečnosti v súlade s vyhlášku Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

5.     Závislosti na ostatné ISVS / projekty

Predkladaný projekt nie je závislý na iných pripravovaných resp. prebiehajúcich projektoch.

6.     Zdrojové kódy

Projektom bude zvýšená úroveň kybernetickej a informačnej bezpečnosti, ktorý pozostáva z nákupu krabicových balíkov, ktoré budú dodávateľom nasadené do prevádzky. Vzhľadom na to, že predmetom nie je vývoj na mieru informačného systému je táto kapitola irelevantná.

7.     Prevádzka a údržba

Prevádzka a údržba navrhnutého riešenia projektu bude zabezpečená internými personálnymi kapacitami na úrovni podpory L1 až L3 (L3 externe). Pre hlásenie problémov bude využívaný Helpdesk. Predpoklad riešenia problémov a požiadaviek bude od nahlásenia problému alebo požiadavky prostredníctvom helpdesku (e-mailom, telefonicky, formulárom), identifikácia a preverenie problému/požiadavky, vykonanie opravy/podpory.

GPSR v súčasnosti disponuje interným zamestnancom: Manažér kybernetickej a informačnej bezpečnosti.

7.1        Prevádzkové požiadavky

Prevádzkové požiadavky budú zabezpečené na úrovni podpory L1, L2 a L3.

7.1.1        Úrovne podpory používateľov

Help Desk bude realizovaný cez 3 úrovne podpory s nasledujúcim označením:

• L1 podpora - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď.
• L2 podpora - riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3.
• L3 podpora - Podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najobťažnejších hlásení, vrátane prevádzania hĺbkových analýz a riešenie extrémnych prípadov, ktorú bude zabezpečovať výrobca implementovaných nástrojov.

Prevádzka implementovaných nástrojov v rámci projektu L1 až L3 bude zabezpečená internými zamestnancami GPSR. V prípade nevyhnutnej potreby bude zabezpečená L3 podpora výrobcu implementovaných nástrojov, ktorá bude financovaná z vlastných zdrojov GPSR.

7.1.2        Riešenie incidentov – SLA parametre

V rámci navrhovaného projektu sa nepredpokladá zmena existujúcich SLA parametrov prevádzkovaných ISVS v správe GPSR.

7.2        Požadovaná dostupnosť IS:

V rámci navrhovaného projektu sa nepredpokladá zmena súčasných výkonnostných požiadaviek a požiadaviek na dostupnosť, zálohovanie a obnovu prevádzkovaných ISVS v správe GPSR.

8.     Požiadavky na personál

Požadované role:

• Projektový manažér
• Kľúčový používateľ,
• Manažér kybernetickej a informačnej bezpečnosti.

Bližší popis pre požadované role je uvedený v Projektovom zámere.

9.     Implementácia a preberanie výstupov projektu

Implementácia a preberanie výstupov projektu bude realizované v súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy v zmysle ustanovení podľa § 5 a nasledovných ustanovení.

10. Prílohy

Koniec dokumentu