Version 2.1 by silvia_cehlarikova on 2024/04/26 17:29

Show last authors
1 **PRÍSTUP K PROJEKTU**
2
3 **~ Vzor pre manažérsky výstup I-03**
4
5 **podľa vyhlášky MIRRI č. 401/2023 Z. z. **
6
7 \\
8
9 \\
10
11 (% class="" %)|(((
12 Povinná osoba
13 )))|(((
14 Generálna prokuratúra Slovenskej republiky
15 )))
16 (% class="" %)|(((
17 Názov projektu
18 )))|(((
19 Riadenie kybernetickej bezpečnosti – I.
20 )))
21 (% class="" %)|(((
22 Zodpovedná osoba za projekt
23 )))|(((
24 Mgr. Peter Kuna, manažér kybernetickej a informačnej bezpečnosti
25 )))
26 (% class="" %)|(((
27 Realizátor projektu
28 )))|(((
29 Generálna prokuratúra Slovenskej republiky
30 )))
31 (% class="" %)|(((
32 Vlastník projektu
33 )))|(((
34 Mgr. Peter Kuna, manažér kybernetickej a informačnej bezpečnosti
35 )))
36
37 **~ **
38
39 **Schvaľovanie dokumentu**
40
41 (% class="" %)|(((
42 Položka
43 )))|(((
44 Meno a priezvisko
45 )))|(((
46 Organizácia
47 )))|(((
48 Pracovná pozícia
49 )))|(((
50 Dátum
51 )))|(((
52 Podpis
53
54 (alebo elektronický súhlas)
55 )))
56 (% class="" %)|(((
57 Vypracoval
58 )))|(((
59 \\
60 )))|(((
61 GPSR
62 )))|(((
63 \\
64 )))|(((
65 \\
66 )))|(((
67 \\
68 )))
69
70 **~ **
71
72 = {{id name="projekt_2521_Pristup_k_projektu_detailny-1.Históriadokumentu"/}}1.     História dokumentu =
73
74 (% class="" %)|(((
75 Verzia
76 )))|(((
77 Dátum
78 )))|(((
79 Zmeny
80 )))|(((
81 Meno
82 )))
83 (% class="" %)|(((
84 1.0
85 )))|(((
86 26.04.2023
87 )))|(((
88 Vypracovanie dokumentu
89 )))|(((
90 \\
91 )))
92 (% class="" %)|(((
93 \\
94 )))|(((
95 \\
96 )))|(((
97 \\
98 )))|(((
99 \\
100 )))
101 (% class="" %)|(((
102 \\
103 )))|(((
104 \\
105 )))|(((
106 \\
107 )))|(((
108 \\
109 )))
110
111 \\
112
113 = {{id name="projekt_2521_Pristup_k_projektu_detailny-2.Účeldokumentu"/}}2.     Účel dokumentu =
114
115 \\
116
117 Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy (ďalej len „Vyhláška č. 401/2023 Z.z.“) je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.
118
119 Účelom predkladaného dokumentu je v rámci iniciačnej fázy projektu súhrnne popísať hlavné informácie o navrhovanom projekte so zameraním na technický návrh riešenia.
120
121 Dokument je vypracovaný v súlade s Vyhláškou č. 401/2023 Z. z..
122
123 Dokument popisuje nasledovné oblasti:
124
125 * opis navrhovaného riešenia,
126 * architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry,
127 * špecifikáciu údajov spracovaných v projekte, čistenie údajov,
128 * prevádzku a údržbu výstupov projektu,
129 * prevádzkové požiadavky,
130 * požiadavky na zdrojové kódy.
131
132 == {{id name="projekt_2521_Pristup_k_projektu_detailny-2.1Použitéskratky"/}}2.1        Použité skratky ==
133
134 \\
135
136 (% class="" %)|(((
137 **ID**
138 )))|(((
139 **SKRATKA**
140 )))|(((
141 **OPIS**
142 )))
143 (% class="" %)|(((
144 1.     
145 )))|(((
146 CBA
147 )))|(((
148 Analýza prínosov a nákladov
149 )))
150 (% class="" %)|(((
151 2.     
152 )))|(((
153 GPSR
154 )))|(((
155 Generálna prokuratúra Slovenskej republiky
156 )))
157 (% class="" %)|(((
158 3.     
159 )))|(((
160 MCA
161 )))|(((
162 Multikriteriálna analýza
163 )))
164 (% class="" %)|(((
165 4.     
166 )))|(((
167 MIRRI
168 )))|(((
169 Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
170 )))
171 (% class="" %)|(((
172 5.     
173 )))|(((
174 NAC
175 )))|(((
176 Network Access Control
177 )))
178 (% class="" %)|(((
179 6.     
180 )))|(((
181 NBÚ
182 )))|(((
183 Národný bezpečnostný úrad
184 )))
185 (% class="" %)|(((
186 7.     
187 )))|(((
188 NDR
189 )))|(((
190 Network detection and response
191 )))
192 (% class="" %)|(((
193 8.     
194 )))|(((
195 PAM
196 )))|(((
197 Privileged Access Management
198 )))
199 (% class="" %)|(((
200 9.     
201 )))|(((
202 SIEM
203 )))|(((
204 Security Information and Event Management
205 )))
206 (% class="" %)|(((
207 10.   
208 )))|(((
209 TCO
210 )))|(((
211 Total cost of ownership
212 )))
213 (% class="" %)|(((
214 11.   
215 )))|(((
216 VO
217 )))|(((
218 Verejné obstarávanie
219 )))
220 (% class="" %)|(((
221 12.   
222 )))|(((
223 XDR
224 )))|(((
225 Extended detection and response
226 )))
227 (% class="" %)|(((
228 13.   
229 )))|(((
230 ZoBK
231 )))|(((
232 Zákon o kybernetickej bezpečnosti
233 )))
234 (% class="" %)|(((
235 14.   
236 )))|(((
237 ŽoNFP
238 )))|(((
239 Žiadosť o nenávratný finančný príspevok
240 )))
241
242 \\
243
244 == {{id name="projekt_2521_Pristup_k_projektu_detailny-2.2Konvenciepretypypožiadaviek"/}}2.2        Konvencie pre typy požiadaviek ==
245
246 \\
247
248 Hlavné kategórie požiadaviek v zmysle katalógu požiadaviek sú rozdelené na funkčné a nefunkčné užívateľské požiadavky. Funkčné požiadavky používajú konvenciu:
249
250 RF_xx.yy
251
252 * RF– funkčná požiadavka
253 * xx– oblasť požiadavky
254 * yy– číslo požiadavky
255
256 \\
257
258 Nefunkčné a technické požiadavky používajú konvenciu:
259
260 RNF_xx.yy
261
262 * RNF– nefunkčná požiadavka
263 * xx– oblasť požiadavky
264 * yy– číslo požiadavky
265
266 = {{id name="projekt_2521_Pristup_k_projektu_detailny-3.Popisnavrhovanéhoriešenia"/}}3.     Popis navrhovaného riešenia =
267
268 Predmetom projektu je zvýšenie úrovne kybernetickej a informačnej bezpečnosti na Generálnej prokuratúre Slovenskej republiky (ďalej len „GPSR“). Kybernetická bezpečnosť je z pohľadu architektúry prierezovou oblasťou a teda realizuje sa skrz všetky vrstvy architektúry.
269
270 \\
271
272 Na úrovni biznis vrstvy architektúry je to predovšetkým aktualizácia bezpečnostnej dokumentácie vrátane jej zavedenia do praxe:
273
274 * Aktualizácia bezpečnostnej dokumentácie na základe zistení z realizovaného bezpečnostného auditu.
275 * Vypracovanie bezpečnostnej stratégie kybernetickej bezpečnosti.
276 * Vytvorenie bezpečnostných politík kybernetickej bezpečnosti.
277 * Vykonanie inventarizácie aktív, klasifikácie informácií a kategorizácie sietí a informačných systémov.
278 * Vykonanie analýzy rizík a analýzy dopadov vrátane riadenia rizík.
279
280 \\
281
282 Na úrovni aplikačnej a technologickej vrstve architektúry bude zabezpečené:
283
284 * Zavedenie, implementácia alebo aktualizácia centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení.
285 * Implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov.
286 * Obstaranie služby monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov.
287 * Implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.
288
289 = {{id name="projekt_2521_Pristup_k_projektu_detailny-4.Architektúrariešeniaprojektu"/}}4.     Architektúra riešenia projektu =
290
291 \\
292
293 Architektúra riešenia projektu je spracovaná v súlade s hlavnými cieľmi motivačnej architektúry, ktoré sú podrobnejšie definované funkčnými resp. nefunkčnými požiadavkami uvedené v prílohe Katalóg požiadaviek. Architektúra riešenia projektu je ďalej rozpracovaná na úrovni biznis vrstvy, aplikačnej vrstvy, technologickej vrstvy a bezpečnostnej vrstvy.
294
295 \\
296
297 == {{id name="projekt_2521_Pristup_k_projektu_detailny-4.1Biznisvrstva"/}}4.1        Biznis vrstva ==
298
299 \\
300
301 **Biznis vrstva – súčasný stav:**
302
303 \\
304
305 GPSR v rámci svojich pôsobností vymedzených zákonom č. 153/2001 Z. z. o prokuratúre, zákon č. 154/2001 Z. z. o  prokurátoroch a právnych čakateľoch prokuratúry a osobitnými zákonmi:
306
307 * zabezpečuje plnenie úloh patriacich do pôsobnosti generálneho prokurátora Slovenskej republiky,
308 * riadi, organizuje a kontroluje činnosť krajských prokuratúr a okresných prokuratúr,
309 * dozerá na jednotné uplatňovanie zákonov a ostatných všeobecne záväzných právnych predpisov krajskými prokuratúrami a okresnými prokuratúrami,
310 * vedie register trestov, ktorý obsahuje údaje a informácie
311
312 V rámci poskytovaných služieb poskytuje služby prostredníctvom rôznych prístupových kanálov: elektronicky, listinne, osobne ako aj telefonicky. Pre poskytované služby GPSR poskytuje a realizuje viaceré biznis funkcie, kde v rámci tohto projektu je primárne relevantná biznis funkcia **Bezpečnosť**.
313
314 \\
315
316 GPSR ako prevádzkovateľ základnej služby zapísanej v registri prevádzkovateľov základných služieb má povinnosti, ktoré vyplývajú zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“). Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti:
317
318 * organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,
319 * riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,
320 * personálnej bezpečnosti,
321 * riadenia prístupov,
322 * riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,
323 * bezpečnosti pri prevádzke informačných systémov a sietí,
324 * hodnotenia zraniteľností a bezpečnostných aktualizácií,
325 * ochrany proti škodlivému kódu,
326 * sieťovej a komunikačnej bezpečnosti,
327 * akvizície, vývoja a údržby informačných sietí a informačných systémov,
328 * zaznamenávania udalostí a monitorovania,
329 * fyzickej bezpečnosti a bezpečnosti prostredia,
330 * riešenia kybernetických bezpečnostných incidentov,
331 * kryptografických opatrení,
332 * kontinuity prevádzky,
333 * auditu, riadenia súladu a kontrolných činností.
334
335 Tieto bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. GPSR je povinná preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu.
336
337 V súlade s § 29 ZoKB prebiehal na GPSR v období od 6.9.2023 do 23.11.2023 audit kybernetickej bezpečnosti. Dňa 15.12.2023 bola GPSR odovzdaná finálna verzia záverečnej správy o výsledkoch auditu. V súlade s § 29 ods. 5 GPSR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. Konkrétne sa jedná o vybrané opatrenia, ktoré budú realizované týmto projektom:
338
339 * Vypracovať bezpečnostnú stratégiu kybernetickej bezpečnosti a prislúchajúcu bezpečnostnú dokumentáciu v súlade s požiadavkami podľa vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „Vyhláška č. 362/2018 Z. z.“) v termíne do 31.12.2024.
340 * Zaviesť a implementovať s definovanými zodpovednosťami pravidlá a zásady jednotlivých politík v bezpečnostnej dokumentácií do praxe a príslušné činnosti vykonávať spôsobmi a postupmi popísanými v súvisiacich štandardoch v termíne do 31.12.2024.
341 * Vykonať aktualizáciu klasifikácie informácií a kategorizácie informačných systémov v termíne do 31.12.2024.
342 * Vypracovanie metodiky pre klasifikáciu informácií a kategorizácií sietí a IS v súlade s klasifikačnou schémou podľa vyhlášky v termíne do 31.5.2025.
343 * Na základe klasifikácie informácií aktualizovať kategorizáciu sietí a informačných systémov a súvisiacich komponentov v termíne do 31.5.2025.
344 * Pripraviť dekompozíciu základnej služby informačných systémov v termíne do 31.5.2025.
345 * Zabezpečiť centrálnu evidenciu existujúcej dokumentácie IS a jej aktualizáciu v termíne do 31.5.2025.
346 * Zaviesť riadenie súladu, ktoré bude zbierať požiadavky a aplikovať ich do praxe v termíne do 31.5.2025.
347 * Implementácia a rozšírenie možnosti detekcie incidentov na perimetrových sieťových prvkoch v termíne do 31.12.2024.
348 * Rozšíriť technické a personálne možnosti na riešenie incidentov v termíne do 31.12.2025.
349 * Implementácia nástroja na kontrolu nad privilegovanými účtami v termíne do 31.3.2024.
350 * Vykonávať pravidelné posudzovanie zraniteľností (technických zraniteľností zariadenia, ktoré sa vzdialene pripája do internej siete) priebežne.
351
352 \\
353
354 Medzi jedným zo zistených nedostatkov bola neaktuálna bezpečnostná dokumentácia, resp. nedostatočná bezpečnostná dokumentácia, ktorú je potrebné aktualizovať predovšetkým pre oblasti:
355
356 * Riadenie prístupov (§8 ods. 1 až 4 Vyhlášky č. 362/2018 Z. z)
357 * Ochrana proti škodlivému kódu (§12 ods. 1 písm. b) Vyhlášky č. 362/2018 Z. z)
358 * Sieťová a komunikačná bezpečnosť (§13 písm. a), c) Vyhlášky č. 362/2018 Z. z)
359 * Fyzická bezpečnosť a bezpečnosť prostredia (§16 písm. d), g) Vyhlášky č. 362/2018 Z. z)
360 * Kryptografické opatrenia (§17a ods. 1 Vyhlášky č. 362/2018 Z. z)
361 * Kontinuita prevádzky (§17b ods. 3 Vyhlášky č. 362/2018 Z. z)
362
363 \\
364
365 Aktualizácia bezpečnostnej dokumentácie má byť vykonaná vždy pri každej podstatnej zmene.
366
367 V rámci kategorizácií aktív z pohľadu dôvernosti bol vyhodnotený dopad prípadného kybernetického incidentu (najhoršieho možného scenára a dopadov na GPSR podľa § 24 ods. 2, písm. a) až e) ZoKB v závislosti od kategórie bezpečnostného incidentu nasledovne:
368
369 * 24 ods. 2 písm. a) zákona - **Kategória II.**
370 * 24 ods. 2 písm. b) a c) zákona - **Kategória II.**
371 * 24 ods. 2 písm. d) zákona - **Kategória II.**
372 * 24 ods. 2 písm. e) zákona - **Kategória II.**
373
374 V rámci ďalších prijatých bezpečnostných opatrení boli identifikované nasledovné oblasti, ktoré budú v rámci projektu realizované.
375
376 **Riadenie prístupov**
377
378 V prostredí prevádzkovej infraštruktúry verejného obstarávateľa je nasadený a prevádzkovaný nástroj na zabezpečenie kontroly nad privilegovanými účtami (PAM) na platforme BeyondTrust Password Safe v počte 103 pokrytých systémov.
379
380 PAM je riešenie pre zabezpečenie identity, ktoré pomáha chrániť organizácie pred kybernetickými hrozbami prostredníctvom monitorovania, rozpoznávania a prevencie neoprávneného privilegovaného prístupu k dôležitým zdrojom. PAM funguje prostredníctvom kombinácie ľudí, procesov a technológií a poskytuje prehľad o tom, kto používa privilegované kontá a čo títo používatelia robia, kým sú prihlásení. Obmedzenie počtu používateľov, ktorí majú prístup k správcovským funkciám, zvyšuje zabezpečenie systému, zatiaľ čo ďalšie vrstvy ochrany zmierňujú narušenia údajov zdrojmi hrozieb.
381
382 Existujúce riešenie je založené na produkte v konfigurácii s dvomi virtuálnymi serverovými komponentmi BeyondTrust Appliance, ktoré sú prevádzkované v režime Active – Pasive. Je potrebné zohľadniť prevádzkový režim dátových centier verejného obstarávateľa Active - Active vo vzťahu k navrhovanému riešeniu. Kontrola a správa privilegovaných prístupov je nasadená na 103 systémov, ktoré pozostávajú z:
383
384 * Microsoft Windows Server,
385 * Linux Server (rôzne distribúcie),
386 * Solaris 11 Sparc,
387 * F5 BIG IP,
388 * CheckPoint 6400,
389 * Cisco IronPort ESA.
390
391 Súčasný licenčný model riešenia je postavený na uvedenom počte integrovaných systémov a počte 2 ks virtuálnych serverových appliance.
392
393 **Sieťová a komunikačná bezpečnosť**
394
395 Riadenie prístupu k sieti je metóda na posilnenie bezpečnosti, viditeľnosti a riadenia prístupu do vlastnej siete. Obmedzuje dostupnosť sieťových zdrojov pre koncové zariadenia a používateľov, ktorí spĺňajú bezpečnostnú politiku. Vzhľadom na neustále rastúci počet pripájaných zariadení do internej siete je potrebné tieto zariadenia monitorovať a tiež im poskytnúť ochranu zabezpečenia koncových bodov. Pre pravidelné a nepretržité posudzovanie technických zraniteľností a posudzovania technických zraniteľností zariadení, ktoré sa pripájajú do internej siete v súčasnosti nie je používaný žiadny nástroj. Pripájanie sieťových zariadení v rezorte prokuratúry nie je zabezpečené.
396
397 **Riešenie kybernetických bezpečnostných incidentov**
398
399 GPSR používa pre ochranu koncových zariadení antivírusový systém ESET PROTECT Enterprise pre 100 koncových zariadení s aktualizáciou po dobu 1 roka. Predmetom projektu je rozšírenie produktového balíka bezpečnostných riešení na ochranu koncových pracovných staníc, serverov, mobilných zariadení, ktorý obsahuje viacvrstvovú antivírusovú ochranu, technológiu automatickej analýzy podozrivých súborov v cloudovom sandboxe výrobcu, pokročilú vrstvu ochrany v podobe XDR nástroja na detekciu a reakciu, šifrovanie celých diskov a možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-premise) nasadení podľa voľby GPSR za účelom povýšenia kybernetickej bezpečnosti.
400
401 [[image:attach:Biznis súčasný stav.png||width="600" align="center"]]
402
403 (% style="text-align: center;" %)
404 Obrázok 1:  Model biznis architektúry (vychádza zo strategickej architektúry VS) – ASIS
405
406 \\
407
408 **Biznis vrstva – budúci stav:**
409
410 GPSR identifikovala najvyššiu mieru rizika a najvyššie dopady kybernetických incidentov v nasledovných oblastiach. Tieto oblasti mali aj najvyššiu mieru nesúladu s legislatívnymi požiadavkami z vykonaného auditu kybernetickej bezpečnosti.
411
412 \\
413
414 V rámci projektu GPSR bude realizovať nasledovné podaktivity v súlade s oprávnenými činnosťami uvedenými vo výzve.
415
416 \\
417
418 (% class="" %)|(((
419 **Názov podaktivity**
420 )))|(((
421 **Realizované činnosti**
422 )))
423 (% class="" %)|(((
424 Organizácia kybernetickej a informačnej bezpečnosti
425 )))|(((
426 ·        Vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení.
427 )))
428 (% class="" %)|(((
429 Riadenie rizík
430 )))|(((
431 ·        Identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu.
432
433 ·        Riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení.
434 )))
435 (% class="" %)|(((
436 Riadenie prístupov
437 )))|(((
438 ·        Zavedenie, implementácia alebo aktualizácia centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení.
439 )))
440 (% class="" %)|(((
441 Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami
442 )))|(((
443 ·        Vypracovanie analýzy rizík tretích strán a celého dodávateľského reťazca, vrátane analýzy politických rizík.
444 )))
445 (% class="" %)|(((
446 Sieťová a komunikačná bezpečnosť
447 )))|(((
448 ·        Implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov.
449 )))
450 (% class="" %)|(((
451 Riešenie kybernetických bezpečnostných incidentov
452 )))|(((
453 ·        Obstaranie služby monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov.
454
455 ·        Implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.
456 )))
457
458 \\
459
460 **Riadenie prístupov**
461
462 Pre zvýšenie efektivity a bezpečnosti prevádzky  je nutné zabezpečiť doplnenie a nasadenie existujúceho nástroja BeyondTrust Password Safe na celkový počet 230 systémov v rámci organizácie na všetky prevádzkované systémy tak, aby bola zabezpečená rovnaká úroveň bezpečnosti a kontroly nad prístupmi v rámci celej prevádzkovanej IT infraštruktúre vrátane aktualizácie na rovnakú dobu 3 roky.
463
464 \\
465
466 **Sieťová a komunikačná bezpečnosť**
467
468 GPSR v rámci riadenia prístupu k sieti požaduje návrh a dodanie riešenia a dodávku potrebných SW komponentov, resp. licencií a odborných služieb pre nasadenie overenia prístupu (NAC) do počítačovej siete pomocou štandardu 802.1x v IT prostredí GPSR. Riadenie prístupu sa týka drôtovej časti siete, ale musí byť pripravené na integráciu s nasadenou bezdrôtovou infraštruktúrou. Riešenie musí pokrývať minimálne nasledovný rozsah zariadení a lokalít:
469
470 Nasadenie na nasledovných pracoviskách:
471
472 * 2 dátové centrá v lokalite Bratislava
473 * 4 špecializované pracoviská v lokalite Bratislava
474 * 8 krajských pracovísk
475 * 54 okresných pracovísk
476 * 2 vzdelávacie zariadenia
477
478 Zariadenia umiestnené v týchto lokalitách:
479
480 * 155 ks prepínačov Cisco, prevažne rady Catalyst
481 * 2300 koncových staníc a zariadení
482
483 \\
484
485 **Riešenie kybernetických bezpečnostných incidentov**
486
487 Predmetom projektu je rozšírenie produktového balíka bezpečnostných riešení na ochranu koncových pracovných staníc, serverov, mobilných zariadení, ktorý obsahuje viacvrstvovú antivírusovú ochranu, technológiu automatickej analýzy podozrivých súborov v cloudovom sandboxe výrobcu, pokročilú vrstvu ochrany v podobe XDR nástroja na detekciu a reakciu, šifrovanie celých diskov a možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení podľa voľby GPSR za účelom povýšenia kybernetickej bezpečnosti.
488
489 V rámci rozšírenia existujúceho riešenia sa požaduje rozšírenie licencií na ESET PROTECT Enterprise pre ochranu na celkový počet 600 endpointov vrátane aktualizácie na rovnakú dobu 3 roky.
490
491 Všetky implementované nástroje musia byť nasadené a dodané v najnovšej verzií s prístupom k aktualizačným balíčkom po dobu 3 rokov. Bez prístupu k najnovšej verzií, k najnovším balíčkom, najnovšej antivírusovej databáze a najnovším bezpečnostným záplatám dodané nástroje neplnia základnú bezpečnostnú funkciu na čo boli vytvorené a projektom dodané. Z tohto hľadiska sa nejedná o podporu prevádzky existujúceho riešenia.
492
493 Bližšie požiadavky na predmet zákazky je špecifikovaný v katalógu požiadaviek.
494
495 [[image:attach:Biznis budúci stav.png||width="600" align="center"]]
496
497 (% style="text-align: center;" %)
498 Obrázok 2: Model biznis architektúry (vychádza zo strategickej architektúry VS) – TOBE
499
500 // //
501
502 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}4.1.1        Prehľad koncových služieb – budúci stav: ===
503
504 \\
505
506 Projektom nie sú budované žiadne nové koncové služby. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci GPSR. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
507
508 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.1.2Jazykovápodporaalokalizácia"/}}4.1.2        Jazyková podpora a lokalizácia ===
509
510 \\
511
512 Požiadavky na jazykovú lokalizáciu riešenia a používateľské prostredie služieb bude implementované v slovenskom jazyku//.//
513
514 == {{id name="projekt_2521_Pristup_k_projektu_detailny-4.2Aplikačnávrstva"/}}4.2        Aplikačná vrstva ==
515
516 \\
517
518 Aplikačná vrstva GPSR pozostáva z viacerých informačných systémov podporujúcich výkon funkcií a činností definovaných na úrovni biznis architektúry. Je rozdelené primárne do nasledujúcich oblastí.
519
520 **Moduly front-endu**: predstavujú špecifické, najmä rezortné komponenty pre interakciu s používateľmi, čiže komponenty, ktoré nie sú spoločné a zdieľané viacerými inštitúciami (napr. rezortné portály).
521
522 **~ **
523
524 **Externé systémy**: externé systémy integrované so systémami GPSR
525
526 **~ **
527
528 **Spoločné moduly front-endu**: združujú spoločné komponenty, ktoré riešia interakciu s používateľmi (občanmi, podnikateľmi a zamestnancami verejnej správy)
529
530 **~ **
531
532 **Integrácia a orchestrácia**: rieši integráciu a vzájomnú interoperabilitu informačných systémov verejnej správy SR na úrovni aplikačnej a dátovej integrácie a zabezpečuje služby orchestrácie najmä pre životné situácie.
533
534 **~ **
535
536 **Agendové informačné systémy**: podporujú výkon konkrétnej agendy a realizujú kľúčové aplikačné služby.
537
538 **~ **
539
540 **Moduly back-endu**: predstavujú špecifické, najmä rezortné komponenty pre podporu špecifických back office činností, čiže komponenty, ktoré nie sú spoločné a zdieľané viacerými organizáciami. Tu patria aj nástroje pre kybernetickú a informačnú bezpečnosť.
541
542 \\
543
544 (% style="text-align: center;" %)
545 [[image:attach:Aplikačná budúci stav.png||width="600" align="center"]]Obrázok 3: Aplikačná architektúra budúceho stavu
546
547 **~ **
548
549 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.2.1Rozsahinformačnýchsystémov–ASIS"/}}4.2.1        Rozsah informačných systémov – AS IS ===
550
551 \\
552
553 Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
554
555 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.2.2Rozsahinformačnýchsystémov–TOBE"/}}4.2.2        Rozsah informačných systémov – TO BE ===
556
557 // //
558
559 Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
560
561 \\
562
563 V rámci projektu budú implementované nové nástroje pre zvýšenie úrovne kybernetickej a informačnej bezpečnosti.
564
565 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.2.3VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}4.2.3        Využívanie nadrezortných a spoločných ISVS – AS IS ===
566
567 \\
568
569 Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
570
571 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.2.4PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}4.2.4        Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE ===
572
573 \\
574
575 Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
576
577 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.2.5PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}4.2.5        Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===
578
579 \\
580
581 Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
582
583 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.2.6Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}4.2.6        Aplikačné služby pre realizáciu koncových služieb – TO BE ===
584
585 \\
586
587 Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
588
589 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.2.7Aplikačnéslužbynaintegráciu–TOBE"/}}4.2.7        Aplikačné služby na integráciu – TO BE ===
590
591 \\
592
593 Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
594
595 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.2.8PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}4.2.8        Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===
596
597 \\
598
599 Projektom nie je plánované poskytovanie údajov do IS CSRŮ. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
600
601 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.2.9KonzumovanieúdajovzISCSRU–TOBE"/}}4.2.9        Konzumovanie údajov z IS CSRU – TO BE ===
602
603 \\
604
605 Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
606
607 == {{id name="projekt_2521_Pristup_k_projektu_detailny-4.3Dátovávrstva"/}}4.3        Dátová vrstva ==
608
609 \\
610
611 Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
612
613 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.3.1Údajevspráveorganizácie"/}}4.3.1        Údaje v správe organizácie ===
614
615 \\
616
617 Zavedenie systematického manažmentu údajov nie je predmetom navrhovaného projektu. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
618
619 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.3.2Dátovýrozsahprojektu-Prehľadobjektovevidencie-TOBE"/}}4.3.2        Dátový rozsah projektu - Prehľad objektov evidencie - TO BE ===
620
621 \\
622
623 Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
624
625 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.3.3Referenčnéúdaje"/}}4.3.3        Referenčné údaje ===
626
627 \\
628
629 Projektom nie sú plánované žiadne nové referenčné údaje ani údaje, ktoré je možné vyhlásiť za referenčné. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
630
631 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.3.4Kvalitaačistenieúdajov"/}}4.3.4        Kvalita a čistenie údajov ===
632
633 \\
634
635 Cieľom projektu nie je systematický manažment údajov z hľadiska citlivosti kvality údajov a čistenia údajov. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
636
637 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.3.5Otvorenéúdaje"/}}4.3.5        Otvorené údaje ===
638
639 Nie je relevantné pre projekt, nebudú poskytované žiadne nové Otvorené údaje. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
640
641 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.3.6Analytickéúdaje"/}}4.3.6        Analytické údaje ===
642
643 \\
644
645 Nie je relevantné pre projekt, nebudú poskytované žiadne nové Analytické údaje. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
646
647 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.3.7Mojeúdaje"/}}4.3.7        Moje údaje ===
648
649 \\
650
651 Nie je relevantné pre projekt, nebudú poskytované žiadne nové Moje údaje. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
652
653 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.3.8Prehľadjednotlivýchkategóriíúdajov"/}}4.3.8        Prehľad jednotlivých kategórií údajov ===
654
655 \\
656
657 Projekt nie je zameraný na systematický manažment údajov, nemení štruktúru ani obsah údajov. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.
658
659 == {{id name="projekt_2521_Pristup_k_projektu_detailny-4.4Technologickávrstva"/}}4.4        Technologická vrstva ==
660
661 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.4.1Prehľadtechnologickéhostavu-ASIS"/}}4.4.1        Prehľad technologického stavu - AS IS ===
662
663 \\
664
665 Pripojenie celej sieťovej infraštruktúry na oboch centrálnych lokalitách ako aj na krajských a okresných prokuratúrach a Registri trestov GPSR je implementované redundantne, tzn. použitím dvojice smerovačov. Funkčnosť redundancie je zabezpečená prostredníctvom dynamického smerovacieho protokolu, ktorý beží medzi GPSR a ISP smerovačmi. Prípadné zvýšenie prenosových kapacít ako aj samotná prevádzka WAN pripojení je realizovaná GPSR.
666
667 Dôležitou vlastnosťou WAN siete je ochrana prenášaných dát. Ako ochranný mechanizmus je implementovaná technológia, ktorá prostredníctvom IPSec štandardu zabezpečuje šifrovanie prenášaných dát medzi centrálnymi a vzdialenými lokalitami WAN siete.
668
669 Za účelom prioritizácie kritických aplikácií pred nekritickými, je na WAN smerovačoch implementovaná kvalita služieb, ktorá zabezpečuje garanciu prenosového pásma pre kritické aplikácie v čase zahltenia komunikačných liniek.
670
671 LAN sieť v centrálnych lokalitách je naimplementovaná ako dvojvrstvová. Jadro LAN siete tvorí dvojica vysokovýkonných L3 prepínačov, ktorých úlohou je agregovať pripojenie LAN prepínačov z prístupovej vrstvy. Podporované vlastnosti jadra siete:
672
673 * Multi chassis etherchannel
674 * 32 Gigabit Fibre Channel
675 * 1/10/25 a 40/100 Gigabit Ethernet
676
677 Pripojenie serverov do LAN siete je zabezpečené cez dvojice 48 portových 1/10 Gigabit Ethernet prepínačov, ktoré umožňujú dual-home pripojenie pre servery. Prevádzkované server prepínače sú do centrálnych prepínačov pripojené dvojicou liniek o kapacite 10 Gigabit Ethernet, ktoré logicky tvoria jeden prepoj o kapacite 20 Gbps.
678
679 Pripojenie užívateľov do LAN siete je riešené cez existujúce LAN prepínače, ktoré sú doplnené o niekoľko nových prístupových prepínačov s podporou PoE, čo je možné využiť na pripojenie IP telefónov prípadne bezdrôtových prístupových bodov. Tieto LAN prepínače sú cez dvojicu Gigabit Ethernet rozhraní pripojené do centrálnych prepínačov.
680
681 LAN sieť na pobočkách vyzerá veľmi jednoducho. Väčšina vytvorená dvoma 48 portovými Gigabit Ethernet L2 prepínačmi, do ktorých sú zapojené koncové systémy užívateľov ako aj WAN smerovače, ktoré pre užívateľov zabezpečujú smerovanie do WAN siete.V niektorých pobočkách je LAN sieť tvorená viacerými Gigabit Ethernet L2 prepínačmi.
682
683 Do centrálnych prepínačov na oboch centrálnych lokalitách je pripojený firewallový systém, ktorý poskytuje bezpečné pripojenie LAN sietí do Govnetu a Internetu. Firewallový systém je tvorený dvomi vrstvami firewallov od dvoch rôznych výrobcov, na ktorých sú ukončené DMZ zóny poskytujúce služby prístupné z Govnetu a Internetu. Firewallový systém poskytuje ukončenie šifrovaných VPN pripojení z externých sietí do LAN siete GPSR.
684
685 (% style="text-align: center;" %)
686 [[image:attach:siet.jpg||width="800"]]
687
688
689
690 (% style="text-align: center;" %)
691 Obrázok 4: Prevádzkovaná sieťová architektúra infraštruktúry GPSR
692
693 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.4.2Požiadavkynavýkonnostnéparametre,kapacitnépožiadavky–TOBE"/}}4.4.2        Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE ===
694
695 \\
696
697 V rámci navrhovaného riešenia sa predpokladá zachovanie súčasných výkonnostných požiadaviek a kapacitných požiadaviek.
698
699 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.4.3Návrhriešeniatechnologickejarchitektúry"/}}4.4.3        Návrh riešenia technologickej architektúry ===
700
701 \\
702
703 Technologická architektúra sa oproti súčasnému stavu nemení a bude prevádzkovaná v rovnakom technologickom prostredí. Technologická vrstva budúceho stavu vychádza zo súčasného stavu a bude podporená novými nasadenými nástrojmi prevádzkovanými na viacerých technológiách. Pre tvorbu tohto projektu uvádzame nástroje napr. existujúce nástroje BeyondTrust Password Safe, ESET PROTECT Enterprise  alebo ekvivalentné, ktoré budúci dodávateľ zabezpečí a implementuje v prostredí GPSR a budú spĺňať požiadavky GPSR z tejto dokumentácie a pripravovaného VO.
704
705 (% style="text-align: center;" %)
706 [[image:attach:Technologická budúci stav.png||width="400"]]
707
708 (% style="text-align: center;" %)
709 Obrázok 5: Technologická architektúra - TOBE
710
711 // //
712
713 === {{id name="projekt_2521_Pristup_k_projektu_detailny-4.4.4Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}4.4.4        Využívanie služieb z katalógu služieb vládneho cloudu ===
714
715 \\
716
717 Projekt nebude využívať služby z katalógu vládneho cloudu. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. Implementované nástroje budú prevádzkované v infraštruktúre GPSR bez potreby jej rozšírenia.
718
719 == {{id name="projekt_2521_Pristup_k_projektu_detailny-4.5Bezpečnostnáarchitektúra"/}}4.5        Bezpečnostná architektúra ==
720
721
722
723 Riešenie zabezpečenia prevádzkovaných ISVS v správe GPSR je rozdelené do viacerých častí, pričom každá časť komplexne pokrýva danú oblasť. Jedná sa o nasledovné hlavné oblasti:
724
725 * Zabezpečenie E-mail a Web komunikácie,
726 * Vnútorný firewall,
727 * Ochrana web aplikácií a rozdelenie záťaže,
728 * DNS a vysoká dostupnosť dátových centier.
729
730 // //
731
732 Sieťovú infraštruktúru tvorí WAN sieť, ktorá slúži na vzájomné prepojenie všetkých lokalít a LAN siete nachádzajúce sa na jednotlivých lokalitách. Za účelom dosiahnutia maximálnej dostupnosti  je WAN realizovaná dvomi centrálnymi lokalitami, z ktorých je jedna primárna a druhá záložná. Okrem centrálnych lokalít sú WAN komponentmi vybavené aj vzdialené lokality, ktoré cez WAN sieť komunikujú so systémami v primárnej resp. záložnej centrálnej lokalite. Vzdialenými lokalitami sú Krajské prokuratúry, Okresné prokuratúry, Register trestov, Medzinárodný odbor GPSR, Ekonomický odbor a účelové zariadenia.
733
734 \\
735
736 Bezpečnostná architektúra budúceho stavu bude v súlade s dotknutými právnymi normami a zároveň s technickými normami, ktoré stanovujú úroveň potrebnej bezpečnosti IS, pre manipuláciu so samotnými dátami, alebo technické / technologické / personálne zabezpečenie samotnej výpočtovej techniky/HW vybavenia. Ide najmä o:
737
738 * Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov
739 * Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
740 * Zákon č. 45/2011 Z.z. o kritickej infraštruktúre
741 * Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy
742 * Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
743 * Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov
744 * Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
745 * Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
746
747 \\
748
749 Projektom sa zvyšuje úroveň kybernetickej a informačnej bezpečnosti nasadením resp. rozšírením nástrojov pre pokrytie kompletnej organizácie GPSR a pre oblasti: Riadenie prístupov, Sieťová a komunikačná bezpečnosť a Riešenie kybernetických bezpečnostných incidentov
750
751 \\
752
753 Súčasťou projektu bude aktualizácia bezpečnostnej dokumentácie pre jednotlivé oblasti, ktorá vyplýva zo systému riadenia informačnej (a kybernetickej) bezpečnosti v súlade s vyhlášku Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
754
755 = {{id name="projekt_2521_Pristup_k_projektu_detailny-5.ZávislostinaostatnéISVS/projekty"/}}5.     Závislosti na ostatné ISVS / projekty =
756
757 \\
758
759 Predkladaný projekt nie je závislý na iných pripravovaných resp. prebiehajúcich projektoch.
760
761 = {{id name="projekt_2521_Pristup_k_projektu_detailny-6.Zdrojovékódy"/}}6.     Zdrojové kódy =
762
763 \\
764
765 Projektom bude zvýšená úroveň kybernetickej a informačnej bezpečnosti, ktorý pozostáva z nákupu krabicových balíkov, ktoré budú dodávateľom nasadené do prevádzky. Vzhľadom na to, že predmetom nie je vývoj na mieru informačného systému je táto kapitola irelevantná.
766
767 = {{id name="projekt_2521_Pristup_k_projektu_detailny-7.Prevádzkaaúdržba"/}}7.     Prevádzka a údržba =
768
769 Prevádzka a údržba navrhnutého riešenia projektu bude zabezpečená internými personálnymi kapacitami na úrovni podpory L1 až L3 (L3 externe). Pre hlásenie problémov bude využívaný Helpdesk. Predpoklad riešenia problémov a požiadaviek bude od nahlásenia problému alebo požiadavky prostredníctvom helpdesku (e-mailom, telefonicky, formulárom), identifikácia a preverenie problému/požiadavky, vykonanie opravy/podpory.
770
771 \\
772
773 GPSR v súčasnosti disponuje interným zamestnancom: Manažér kybernetickej a informačnej bezpečnosti.
774
775 == {{id name="projekt_2521_Pristup_k_projektu_detailny-7.1Prevádzkovépožiadavky"/}}7.1        Prevádzkové požiadavky ==
776
777 \\
778
779 Prevádzkové požiadavky budú zabezpečené na úrovni podpory L1, L2 a L3.
780
781 === {{id name="projekt_2521_Pristup_k_projektu_detailny-7.1.1Úrovnepodporypoužívateľov"/}}7.1.1        Úrovne podpory používateľov ===
782
783 \\
784
785 Help Desk bude realizovaný cez 3 úrovne podpory s nasledujúcim označením:
786
787 * **L1 podpora** - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď.
788 * **L2 podpora** - riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3.
789 * **L3 podpora** - Podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najobťažnejších hlásení, vrátane prevádzania hĺbkových analýz a riešenie extrémnych prípadov, ktorú bude zabezpečovať výrobca implementovaných nástrojov.
790
791 \\
792
793 Prevádzka implementovaných nástrojov v rámci projektu L1 až L3 bude zabezpečená internými zamestnancami GPSR. V prípade nevyhnutnej potreby bude zabezpečená L3 podpora výrobcu implementovaných nástrojov, ktorá bude financovaná z vlastných zdrojov GPSR.
794
795 === {{id name="projekt_2521_Pristup_k_projektu_detailny-7.1.2Riešenieincidentov–SLAparametre"/}}7.1.2        Riešenie incidentov – SLA parametre ===
796
797 \\
798
799 V rámci navrhovaného projektu sa nepredpokladá zmena existujúcich SLA parametrov prevádzkovaných ISVS v správe GPSR.
800
801 == {{id name="projekt_2521_Pristup_k_projektu_detailny-7.2PožadovanádostupnosťIS:"/}}7.2        Požadovaná dostupnosť IS: ==
802
803 **// //**
804
805 V rámci navrhovaného projektu sa nepredpokladá zmena súčasných výkonnostných požiadaviek a požiadaviek na dostupnosť, zálohovanie a obnovu prevádzkovaných ISVS v správe GPSR.
806
807 = {{id name="projekt_2521_Pristup_k_projektu_detailny-8.Požiadavkynapersonál"/}}8.     Požiadavky na personál =
808
809 Požadované role:
810
811 * Projektový manažér
812 * Kľúčový používateľ,
813 * Manažér kybernetickej a informačnej bezpečnosti.
814
815 \\
816
817 Bližší popis pre požadované role je uvedený v Projektovom zámere.
818
819 = {{id name="projekt_2521_Pristup_k_projektu_detailny-9.Implementáciaapreberanievýstupovprojektu"/}}9.     Implementácia a preberanie výstupov projektu =
820
821 Implementácia a preberanie výstupov projektu bude realizované v súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy v zmysle ustanovení podľa § 5 a nasledovných ustanovení.
822
823 = {{id name="projekt_2521_Pristup_k_projektu_detailny-10.Prílohy"/}}10. Prílohy =
824
825 \\
826
827 Koniec dokumentu