projekt_2551_Pristup_k_projektu_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/14 18:18

PRÍSTUP K PROJEKTU

 Vzor pre manažérsky výstup I-03

podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Povinná osoba

Mestská časť Košice – Dargovských hrdinov

Názov projektu

Podpora v oblasti kybernetickej a informačnej bezpečnosti v MČ Košice - Dargovských hrdinov

Zodpovedná osoba za projekt

PhDr. Dominik Babušík – starosta Mestskej časti Košice – Dargovských hrdinov

Realizátor projektu

Mestská časť Košice – Dargovských hrdinov

Vlastník projektu

Mestská časť Košice – Dargovských hrdinov

 

Schvaľovanie dokumentu

Položka

Meno a priezvisko

Organizácia

Pracovná pozícia

Dátum

Podpis

(alebo elektronický súhlas)

Vypracoval

Bc. Vasil Hlinka

MČ Košice - DH

Samostatný odborný referent IT

28.04.2024

 

 

1.    História dokumentu

Verzia

Dátum

Zmeny

Meno

0.1

01.04.2024

Pracovný návrh

 Bc. Vasil Hlinka

1.0

28.04.2024

Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.

Bc. Vasil Hlinka

2.    Účel dokumentu

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií

prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

Predkladaný projektový zámer nadväzuje na podmienky vyhlásenej výzvy č.: PSK-MIRRI-611-2024-DV-EFRR (ďalej len

„výzva“) Prekladaný dokument obsahuje navrhované technické riešenie, bezpečnostnú architektúru a prevádzku a údržbu výstupov projektu. Všetky dodávané riešenia budú v súlade s platnou legislatívou kybernetickej bezpečnosti a ochrany databáz.

2.1      Použité skratky a pojmy

SKRATKA/POJEM

POPIS

 KB

 Kybernetická bezpečnosť

 NFP

 Nenávratný finančný mechanizmus

 

 

2.2      Konvencie pre typy požiadaviek (príklady)

V rámci projektu budú definované tri základné typy požiadaviek:

Funkčné (používateľské) požiadavky majú nasledovnú konvenciu: Fxx • F – funkčná požiadavka • xx – číslo požiadavky

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu: Nxx • N – nefunkčná požiadavka (NFR) • xx – číslo požiadavky Technické požiadavky majú nasledovnú konvenciu: Txx • T – technická požiadavka • xx – číslo požiadavky

3.    Popis navrhovaného riešenia

Navrhované riešenie vychádza z aktuálnych zistení posledného auditu kybernetickej bezpečnosti Mestskej časti Dargovských hrdinov v Košiciach. Samotný audit definuje súčasný stav kybernetickej a informačnej bezpečnosti a odporúčané požiadavky a potreby.

Tieto vychádzajú zo zákona o kybernetickej bezpečnosti 69/2018 Z. z., ktoré je nevyhnuté riešiť pre dosiahnutie súladu úrovne kybernetickej a informačnej bezpečnosti a taktiež požiadaviek vyplývajúce zo zákona o informačných systémoch vo verejnej správe č. 95/2019 Z.z. a taktiež popísaných vyhláškou 362/2018 Z.z., ktoré definujú rozsah bezpečnostných opatrení, obsah a štruktúru bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

Číslo

Názov cieľa

KPI -
Aktuálny stav

KPI - požadovaný
stav po realizácii

1

Zabezpečenie kontinuálnej prevádzky základnej služby IS pre PZS
- sieťové , dátové a serverové riešenia

0

3

2

Zabezpečiť ochranu a dostupnosť dát v prípade vypadku,straty dát  alebo KB incidentu.
- RTO / RPO definované pre základnú službu

0

1

3

Vytvorenie prevádzkového monitoringu pre aktíva informačných systémov PZS. Implementácia a evidencia moitoringu technických parametrov.
- Monitorované kritické komponenty IS (serveri, dátové úložisko, fw, switche,routre )

0

7

4

Zabezpečenie bezpečnosti prevádzky IS a sietí vrátane sieťovej a komunikačnej bezpečnosti s riešením IDS/IPS.
-  Redundancia a segmentácia sietí

0

1

5

Zavedenie riadenie rizík KB pre PZS.
- Process a implementácia kontinuálneho riadenia rizík

0

1

4.    Architektúra riešenia projektu

Architektúra celého riešenia je v zmysle požiadaviek zákona o kybernetickej bezpečnosti.

Primárne opatrenia kybernetickej bezpečnosti chránia aktíva Informačných systémov a sietí Mestskej časti Dargovských hrdinov v Košiciach, ktoré slúžia na prevádzkovanie základnej služby mestskej časti jej obyvateľom.

Z vyššie uvedených cieľov vyplýva, že sa jedná o komponenty potrebné pre zabezpečenie ako sú - firewall, router, switche, serverové komponenty, softvér ,nástroje na segmentáciu siete, služba na monitoring kritických komponentov IT infraštruktúry a  technológie na zabezpečenie kontinuity prevádzky PZS.

4.1      Biznis vrstva

Predmetom realizácie projektu bude zavedenie a IT podpora nasledovných business procesov:

  • Organizácia kybernetickej bezpečnosti (riadiaci akt-smernica)
  • Vytvorenie a udržiavanie zoznamu aktív IS a sietí
  • Vytvorenie klasifikácie informácií a kategorizácia sietí a informačných systémov
  • Riadenie aktív, hrozieb a rizík
  • Riadenie prevádzky sietí a informačných systémov
  • Centrálny monitorovací systém pre kritické komponenty a aktíva IS a sietí
  • Zaznamenávanie, monitorovanie a riešenie incidentov kybernetickej bezpečnosti
  • Zabezpečovanie kontinuity prevádzky
  • Zavedenie procesov a systémov pre archiváciu a zálohy

Samotné zabezpečenie opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS sa bude dotýkať všetkých biznis procesov, ktoré sú vykonávané Mestskou časťou ako PZS za účelom poskytovania základnej služby.

 

4.1.1       Prehľad koncových služieb – budúci stav:

Samotný projekt nezavádza žiadne nové koncové služby pre občanov. Je ho realizáciou dôjde k zavedeniu opatrení kybernetickej a informačnej bezpečnosti, ktoré zabraňujú bezpečnostným hrozbám a útokom v oblasti informačnej a kybernetickej bezpečnosti, a na základe toho chránia prevádzku koncových služieb poskytovaných obyvateľom.

4.1.2       Jazyková podpora a lokalizácia

Projektová dokumentácia a všetky ostatné dokumenty ktoré budú spracované a vytvorené v rámci projektu budú vytvorené výhradne v slovenskom jazyku. Dodané softvérové riešenia alebo hardvérové komponenty musia mať návod v slovenskom jazyku alebo vo výnimočných prípadoch v anglickom jazyku. Prevádzkové výstupy zo systémov budú realizované v slovenskom, v anglickom jazyku.

4.2      Aplikačná vrstva

Aplikačné rozhranie bude realizovaná súborom opatrení KIB, ktoré budú ochraňovať IS a siete zabezpečujúce  prevádzku základnej služby.

  • Nástroje potrebné na zabezpečenie segmentácie siete
  • Procesy a nástroje pre riadenie prístupov
  • Softvérové vybavenie zabezpečújúce kontinuitu prevádzky
  • Monitorovacie riešenie
  • Nástroje pre ochranu zraniteľností systémov

V rámci projektu budú dodané ďalšie náležitosti, ktoré nie sú súčasťou architektúry, ako dokumentácie, politiky, smernice, stratégie, analýzy rizík , kategorizácie sietí a IS.

 

4.2.1       Rozsah informačných systémov – AS IS

Prevádzkovateľ základnej služby Mestská časť Košice - Dargovských hrdinov prevádzkuje služby, ktoré sú popísané v nasledujúcej tabuľke.

PZS v súčastnosti uvedené služby nedokumentuje v centrálnom metainformačnom systéme verejnej spravy.

Súčasťou projektu bude zadokumentovanie a zavedenie procesu pravidelnej aktualizácie údajov v  centrálnom metainformačnom systéme verejnej spravy.

Zoznam aktív MČ Košice - Dargovských hrdinov

P.Č.

Aktívum

Popis aktíva

Správca Aktíva

Kategória ochrany aktíva

1

WinIBEU

Ekonomický softvér

 

s vysokou ochranou

2

WinPAM

Personalistika a mzdy

 

s vysokou ochranou

3

WinASU

Registratúra

 

s vysokou ochranou

4

WinMATRI

Softvér pre Matričné úrady

 

s vysokou ochranou

5

RPOD

Riadenie podaní, doručovanie, odosielenie a evidencia elektronických podaní

 

so zvýšenou ochranou

6

KORWIN

Softvér pre evidenciu obyvateľstva, volebná agenda

 

s vysokou ochranou

7

ODÚ

Operatívne dátové úložisko a správa elektronickej úradnej tabule, presmerovanie dokumentov z webu MČ na CUET

 

s vysokou ochranou

8

CUET

Centrálna úradná elektronická tabuľa

 

so zvýšenou ochranou

9

Prístup do oficiálnej schránky MČ pre doručovanie a odosielanie elektronických podaní

 

so zvýšenou ochranou

10

UVO

Ústredný portál verejného obstarávania

 

so zvýšenou ochranou

11

EKS

Elektronický kontraktačný systém

 

so zvýšenou ochranou

12

EPSIS JISHM

Softvér CO - Jednotný informačný systém hospodárskej mobilizácie SR

 

s vysokou ochranou

13

Pes

Databázová aplikácia pre evidenciu psov

 

s obvyklou ochranou

14

RISSAM

Aplikácia pre rozpočet

 

s vysokou ochranou

15

CISMA

Centrálny informačný systém matrík

 

so zvýšenou ochranou

16

REGOB

Register obyvateľstva - evidencia obyvateľstva

 

so zvýšenou ochranou

17

Redakčný systém webu MČ

Aplikácia pre správu webovej stránky

 

s obvyklou ochranou

18

Register pre povinné zverejňovanie objednávok, zmlúv, faktúr

 

s obvyklou ochranou

4.2.2       Rozsah informačných systémov – TO BE

V rámci projektu sa nebude realizovať vznik nového ISVS v zmysle definície zákona o ISVS.

4.2.3       Využívanie nadrezortných a spoločných ISVS – AS IS

V rámci projektu sa nebude realizovať vznik nových nadrezortných a spoločných ISVS .

4.2.4       Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE

V rámci projektu sa nebude realizovať integrácia ISVS na nadrezortné ISVS.

4.2.5       Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE

V rámci projektu sa nebude realizovať využívanie iných ISVS (integrácie).

4.2.6       Aplikačné služby pre realizáciu koncových služieb – TO BE

V rámci projektu sa nebudú realizovať nové aplikačné služby pre realizáciu koncových služieb.

4.2.7       Aplikačné služby na integráciu – TO BE

V rámci projektu sa nebudú realizovať nové aplikačné služby na integráciu.

4.2.8       Poskytovanie údajov z ISVS do IS CSRÚ – TO BE

V rámci projektu sa nebude realizovať nové poskytovanie údajov z ISVS do IS CSRÚ.

4.2.9       Konzumovanie údajov z IS CSRU – TO BE

V rámci projektu sa nebude realizovať nové konzumovanie údajov z IS CSRÚ.

4.3      Dátová vrstva

V rámci implementácie projektu sa nebudú  realizovať nové dátové vrstvy.

4.3.1       Údaje v správe organizácie

V rámci implementácie projektu sa nebude realizovať nový prístup k nakladaniu s údajmi v správe mestskej časti.. PZS bude spravovať iba údaje nevyhnutné na zabezpečenie informačnej a kybernetickej bezpečnosti.

4.3.2       Dátový rozsah projektu - Prehľad objektov evidencie - TO BE

V rámci implementácie projektu sa nebudú zavádzať nové údaje-objekty evidencieô  PZS bude spravovať iba údaje-objekty evidencie  nevyhnutné na zabezpečenie informačnej a kybernetickej bezpečnosti.

4.3.3       Referenčné údaje

V rámci implementácie projektu sa nebudú  implementovať nové referenčné údaje.

4.3.4       Kvalita a čistenie údajov

V rámci implementácie projektu sa nebude riešiť kvalita a čistenie údajov.

4.3.5       Otvorené údaje

V rámci implementácie projektu sa nebudú  riešiť otvorené údaje.

4.3.6       Analytické údaje

V rámci implementácie projektu sa nebudú  riešiť nové analytické údaje.

4.3.7       Moje údaje

V rámci implementácie projektu sa nebudú  riešiť nové moje údaje..

4.3.8       Prehľad jednotlivých kategórií údajov

V rámci implementácie projektu sa nebudú  riešiť nové kategórie údajov.

4.4      Technologická vrstva

PZS v súčastnosti nedokumentuje technologická vrstvu. Súčasťou projektu bude zadokumentovanie a zavedenie procesu pravidelnej aktualizácie údajov potrebných pre popísanie a topológiu technologickej vrstvy.

4.4.1       Prehľad technologického stavu - AS IS

PZS v súčastnosti nedokumentuje detailný prehľad technologického stavu.

Súčasťou projektu bude zadokumentovanie a zavedenie procesu pravidelnej aktualizácie údajov potrebných pre popísanie aktív IS a sietí.

 

4.4.2       Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE

Parameter

Jednotky

Predpokladaná hodnota

Poznámka

Počet interných používateľov

Počet

100+

Interní zamestnanci

Počet súčasne pracujúcich interných používateľov v špičkovom zaťažení

Počet

100+

Interní zamestnanci

Počet externých používateľov (internet)

Počet

25 000

 

Počet externých používateľov používajúcich systém v špičkovom zaťažení

Počet

25 000

 

Počet transakcií (podaní, požiadaviek) za obdobie

Počet/obdobie

40 FPS

 

Objem údajov na transakciu

Objem/transakcia

10 MB

prepoklad

Objem existujúcich kmeňových dát

Objem

neuvedené

 

4.4.3       Návrh riešenia technologickej architektúry

V rámci implementácie projektu sa budú  realizovať nasledovné bezpečnostné a technologické riešenia

  • Nástroje potrebné na zabezpečenie segmentácie siete
  • Procesy a nástroje pre riadenie prístupov
  • Softvérové vybavenie zabezpečújúce kontinuitu prevádzky
  • Monitorovacie riešenie
  • Nástroje pre ochranu zraniteľností systémov
  • Hardverové – serverové vybavenie

 

 

4.4.4       Využívanie služieb z katalógu služieb vládneho cloudu

V rámci implementácie projektu sa nebudú využívať nové  služby z katalógu služieb vládneho cloudu.

4.5      Bezpečnostná architektúra

 

V rámci implementácie projektu sa prihliada na súlad s požiadavkami príslušných zákonných predpisov a zákonov o kybernetickej bezpečnosti a informačnych službách vo verejnej správe.

45/2011 Z.z. – Zákon o kritickej infraštruktúre

164/2018 Z.z. – Ktorou sa určujú Identifikačné kritériá prevádzkovanej služby (kritériá základnej služby) pre zákon o KB

362/2018 Z.z. – Rozsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej … pre zákon o KB

179/2020 Z.z. - ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

401/2023 Z.z. – Riadenie projektov a zmenové požiadavky v prevádzke IT verejnej správy

78/2020 Z.z. – Základné štandardy pre informačné technológie verejnej správy

5.    Závislosti na ostatné ISVS / projekty

Projekt neuvažuje o závislostiach na ostatné ISVS a ani iných projektov.

 

6.    Zdrojové kódy

Pri realizácii projektu budeme vychádzať z Metodického usmernenie  Ministerstva investícií, regionálneho rozvoja a informatizácie    č. 024077/2023 z 2023. V nadväznosti na usmernenie budeme dodržovať nasledovnú štruktúru:

  1. Forma sprístupnenia zdrojového kódu
  2. Účel sprístupnenia zdrojového kódu
  3. Obsah zdrojového kódu
  4. Kvalita zdrojového kódu
  5. Štruktúra zdrojového kódu v nasledovnej podobe:

LICENSE s plným znením textu zvolenej licencie zdrojového kódu predmetného softvéru a závislostí, b) README so základnou dokumentáciou zdrojového kódu, c) INSTALL s popisom postupu prípravy a inštalácie výsledného softvérového balíka, d) CONTRIBUTING s popisom komunikácie a postupov otvorenej spolupráce na vývoji, e) SECURITY so základnými informáciami o riadení bezpečnosti predmetného softvéru a popisom komunikácie hlásenia bezpečnostných zraniteľností, f) CODE_OF_CONDUCT s popisom hodnôt a etických princípov pre zamestnancov verejného sektora, členov vývojového tímu a projektu pri vývoji softvéru, g) VERSIONING s popisom pravidiel číslovania verzií, h) CHANGELOG s popisom histórie verzií a vykonaných zmien.

V rámci zabezpečenia jednotlivých výstupov projektu, pri ktorých môžu vzniknúť zdrojové kódy postupovať v zmysle vzoru zmluvy o dielo.

Zhotoviteľ je povinný pri akceptácii Informačného systému odovzdať Objednávateľovi funkčné vývojové a produkčné prostredie, ktoré je súčasťou informačného systému.

7.    Prevádzka a údržba

Požadované SLA na služby systémovej a aplikačnej podpory – servisné služby vzťahujúce sa na produkčné a testovacie

prostredie IS Úrovne podpory používateľov:

Help Desk bude realizovaný cez 3 úrovne podpory, s nasledujúcim

označením:

  • L1 podpory IS (Level 1, priamy kontakt zákazníka) - jednotný kontaktný bod verejného obstarávateľa.
  • L2 podpory IS (Level 2, postúpenie požiadaviek od L1) - vybraná skupina garantov, so znalosťou IS

(zabezpečuje prevádzkovateľ IS – verejný obstarávateľ).

  • L3 podpory IS (Level 3, postúpenie požiadaviek od L2) - na základe zmluvy o podpore IS (zabezpečuje úspešný

uchádzač).

Definície:

  • Podpora L1 (podpora 1. stupňa) - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných

problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej

podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť

príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a

základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné,

vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie

nastavení SW a HW atď.

  • Podpora L2 (podpora 2. stupňa) – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia

na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie

súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú

kontrolu a podrobnejšiu analýzu zistených dát odovzdaných riešiteľmi 1. úrovne podpory. Výstupom takejto

kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách

Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu

a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3.

Strana 14/20

  • Podpora L3 (podpora 3. stupňa) - Podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých

najobťažnejších Hlásení, vrátane vykonávania hĺbkových analýz a riešenie extrémnych prípadov.

  • Riešenie incidentov – SLA parametre Za incident je považovaná chyba IS, t.j. správanie sa v rozpore s

prevádzkovou a používateľskou dokumentáciou IS. Za incident nie je považovaná chyba, ktorá nastala mimo

prostredia IS napr. výpadok poskytovania konkrétnej služby

7.1.1       Riešenie incidentov – SLA parametre

Označenie naliehavosti incidentu:

Označenie naliehavosti incidentu

Závažnosť  incidentu

Popis naliehavosti incidentu

A

Kritická

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

B

Vysoká

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.

C

Stredná

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

D

Nízka

Kozmetické a drobné chyby.

 

možný dopad:

Označenie závažnosti incidentu

 

Dopad

Popis dopadu

1

katastrofický

katastrofický dopad, priamy finančný dopad alebo strata dát,

2

značný

značný dopad alebo strata dát9

3

malý

malý dopad alebo strata dát

 

 Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

Matica priority incidentov

Dopad

Katastrofický - 1

Značný - 2

Malý - 3

Naliehavosť

Kritická - A

1

2

3

Vysoká - B

2

3

3

Stredná - C

2

3

4

Nízka - D

3

4

4

 

Vyžadované reakčné doby:

Označenie priority incidentu

Reakčná doba(1) od nahlásenia incidentu po začiatok riešenia incidentu

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) (2)

Spoľahlivosť (3)

(počet incidentov za mesiac)

1

0,5 hod.

4  hodín

1

2

1 hod.

12 hodín

2

3

1 hod.

24 hodín

10

4

1 hod.

Vyriešené a nasadené v rámci plánovaných releasov

 

Požiadavky na hlásenie Incidentov sa spracúvajú v rámci časového úseku od 9:00 do 15:00.

  • Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie

sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L3 a jeho prevzatím na

riešenie.

  • DKVI znamená obnovenie štandardnej prevádzky – čas medzi nahlásením incidentu verejným

obstarávateľom a vyriešením incidentu úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu

obnovená v plnom rozsahu). Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného

obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný uchádzač oprávnený

požadovať od verejného obstarávateľa schválenie riešenia incidentu.

  • Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa

počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace

incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako

jeden incident.

Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia

  • Majú závažnosť incidentu nekritickú a nižšiu
  • Vzťahujú sa výhradne k dostupnosti testovacieho prostredia
  • Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite

Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby:

  • Služby systémovej podpory na požiadanie (nad paušál)
  • Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)

7.2      Požadovaná dostupnosť IS:

 

Popis

Parameter

Poznámka

Prevádzkové hodiny

6 hodín

od 9:00 hod. - do 15:00 hod. počas pracovných dní

Servisné okno

10 hodín

od 19:00 hod. - do 5:00 hod. počas pracovných dní

24 hodín

od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov

Servis a údržba sa bude realizovať mimo pracovného času.

Dostupnosť produkčného prostredia IS

98,5%

98,5% z 24/7/365  t.j. max ročný výpadok je 66 hod.

Maximálny mesačný výpadok je 5,5 hodiny.

Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L3 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní).  Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

 

8.    Požiadavky na personál

Osoba zodpovedná za projekt: PhDr. Dominik Babušík – starosta Mestskej časti Košice – Dargovských hrdinov

Osoba zodpovedná za technickú stránku projektu: Bc. Vasil Hlinka - Manažér kybernetickej a informačnej bezpečnosti. Jedná sa teda o internú kapacitu žiadateľa. Zamestnanec disponuje dostačeným vzdelaním a skúsenosťami v oblasti IKT. V rámci projektu absolvuje odborné školenie zamerané na obsluhu novokúpených hardvérových a softvérových riešení. 

Administrácia a riadenie projektu počas jeho realizácie bude v kompetencii odborne spôsobilými osobami zabezpečené externým manažmentom.

Všetky zainteresované strany budú navzájom úzko spolupracovať a komunikovať. Budú zadefinované jednoznačné a jasné komunikačné kanály medzi všetkými zainteresovanými stranami za účelom zabezpečenia efektívnej koordinácie. Osoby participujúce na danom projekte sa budú zúčastňovať pravidelných pracovných poradách s cieľom dodržiavania naplánovaných aktivít, harmonogramu, resp. budú riešiť operatívne problémy a iné skutočnosti, ktoré sa môžu vyskytnúť počas implementácie projektu. Tieto stretnutia budú zároveň slúžiť ako jeden z podkladov na monitoring projektu. Predídeme tak neočakávaným situáciám a zabezpečíme plynulý chod všetkých aktivít. Žiadateľ bude realizovať projekt s využitím externých personálnych kapacít.

9.    Implementácia a preberanie výstupov projektu

POPIS TECHNICKÉHO RIEŠENIA PROJEKTU

 

1) Zabezpečenie NAC (Network access control) – Riadenie prístupu do siete

Navrhované riešenie NAC bude umožňovať absolútnu kontrolu a informácie o tom, ktoré zariadenia sú pripojené k sieti a kde sa nachádzajú. Riešenie bude poskytovať ochranu siete žiadateľa a bude centralizovanou autoritou, ktorá bude chrániť sieť pred pripojením a útokmi neautorizovaných zariadení, pričom bude zároveň poskytovať prehľad o pripojených zariadeniach. Navrhované riešenie možno charakterizovať nasledujúcimi vlastnosťami:

  • Topológiou: Riešenie bude poskytovať vizuálny pohľad na sieťovú infraštruktúru a efektívny reporting pre potreby auditu.
  • Rozšírenou bezpečnosťou: Zber údajov o operačných systémoch zariadení bude poskytovať možnosť rýchlo detekovať a reagovať na útoky všetkých typov v

spolupráci s vlastnosťou NAC.

  • NAC: Prehľad o všetkých pripojených známych aj neznámych zariadeniach v sieti, manažment zariadení, real-time detekcia a automatická odpoveď na udalosti.
  • VLAN managerom: Efektívny nástroj na implementáciu a správu statických a dynamických VLAN, bezkonkurenčný na ušetrenie času.
  • 802.1x: Autentifikácia prostredníctvom implementovaného RADIUS servera založeného na MAC adresách, certifikátoch, alebo prihlasovacích údajoch. Mixmód bude umožňovať integráciu s jestvujúcimi databázami identít.
  • Guest servisom: Inteligentný a dynamický manažment externých/hosťovských zariadení prostredníctvom tiketovacieho systému zabezpečí dočasný prístup do

siete, alebo WiFi.

2) Implementácia dvojfaktorovej autentifikácie

Navrhované technické riešenie umožní implementáciu viacfaktorového overenia naprieč systémami používanými žiadateľom, ako sú siete VPN, služby Remote

Desktop Protocol, Office 365, Outlook Web Access, prihlasovanie do operačného systému a ďalšie. Viacfaktorové overovanie je oveľa účinnejšie než tradičná

autentifikácia pomocou statického hesla alebo PINu. Doplnením tradičného overovania o dynamický druhý faktor bude možné účinne znížiť riziko úniku údajov

spôsobených slabými alebo prezradenými heslami. Navrhované riešenie možno charakterizovať nasledujúcimi vlastnosťami:

  • Push upozornenie: Overenie jedným ťuknutím na všetkých smartfónoch so systémom iOS a Android
  • Iné spôsoby overenia: Riešenie bude podporovať na doručovanie jednorazových hesiel mobilné aplikácie, push upozornenia, hard tokeny, SMS, FIDO kľúče ako aj

vlastné metódy.

  • Vzdialená správa: Riešenie umožní vzdialenú správu, ktorá bude integrovaná so službou Active Directory v záujme ľahkej správy.
  • Podpora ochrany: Natívna podpora siete VPN (Virtual Private Networks), protokol RDP (Remote Desktop Protocol), Outlook Web Access (OWA), VMwareHorizon

View aj služby založené na protokole RADIUS.

  • Doplnková ochrana operačného systému: Doplnkové overenie na desktopové prihlásenia a eleváciu oprávnení je tiež chránené prostredníctvom viac faktorového

overovania.

  • Podpora cloudu: Viacfaktorovú autentifikáciu bude možné pridať na posilnenie prístupu do služieb ako Google Apps, Office 365, Dropbox a mnohých iných.
  • Podpora hard tokenov: Riešenie bude podporovať tiež všetky eventbased HOTP tokeny, ktoré spĺňajú štandard OATH, ako aj hardvérové kľúče FIDO2 a FIDOU2F.
  • Podpora VDI a VPN

3) Log manažment

Navrhované technické riešenie umožní zhromažďovanie, analyzovanie, ukladanie a vytváranie správ o udalostiach v infraštruktúre žiadateľa a takýmto spôsobom

ho umožní chrániť pred hrozbami, útokmi a narušeniami bezpečnosti. Pomocou účinných nástrojov umožní toto riešenie konvertovanie nespracovaných udalostí

(LOGov) zo sieťových zariadení, firewallov, serverov, operačných systémov, aplikácií, koncových bodov a ďalších zariadení na použiteľné údaje s možnosťou

vyhľadávania. Log manager pomáha splniť požiadavky na monitorovanie súladu s nastavenými pravidlami kybernetickej bezpečnosti a následne bude

integrovateľný so SIEM-om pre vyššiu úroveň ochrany pred hrozbami. SIEM plánuje žiadateľ realizovať z vlastných zdrojov mimo predkladaného projektu

10. Prílohy

nerelevantné