Wiki zdrojový kód pre projekt_2562_Pristup_k_projektu_detailny
Version 2.1 by maria_baloghova on 2024/05/03 22:24
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | **PRÍSTUP K PROJEKTU** | ||
| 2 | |||
| 3 | **~ Vzor pre manažérsky výstup I-03** | ||
| 4 | |||
| 5 | **podľa vyhlášky MIRRI č. 401/2023 Z. z. ** | ||
| 6 | |||
| 7 | \\ | ||
| 8 | |||
| 9 | \\ | ||
| 10 | |||
| 11 | (% class="" %)|((( | ||
| 12 | Povinná osoba | ||
| 13 | )))|((( | ||
| 14 | Mesto Zlaté Moravce | ||
| 15 | ))) | ||
| 16 | (% class="" %)|((( | ||
| 17 | Názov projektu | ||
| 18 | )))|((( | ||
| 19 | Kybernetická a informačná bezpečnosť v meste Zlaté Moravce | ||
| 20 | ))) | ||
| 21 | (% class="" %)|((( | ||
| 22 | Zodpovedná osoba za projekt | ||
| 23 | )))|((( | ||
| 24 | Mária Baloghová /Projektový manažér | ||
| 25 | ))) | ||
| 26 | (% class="" %)|((( | ||
| 27 | Realizátor projektu | ||
| 28 | )))|((( | ||
| 29 | Mesto Zlaté Moravce | ||
| 30 | ))) | ||
| 31 | (% class="" %)|((( | ||
| 32 | Vlastník projektu | ||
| 33 | )))|((( | ||
| 34 | PaedDr. Dušan Husár /Primátor | ||
| 35 | ))) | ||
| 36 | |||
| 37 | **~ ** | ||
| 38 | |||
| 39 | **Schvaľovanie dokumentu** | ||
| 40 | |||
| 41 | (% class="" %)|((( | ||
| 42 | Položka | ||
| 43 | )))|((( | ||
| 44 | Meno a priezvisko | ||
| 45 | )))|((( | ||
| 46 | Organizácia | ||
| 47 | )))|((( | ||
| 48 | Pracovná pozícia | ||
| 49 | )))|((( | ||
| 50 | Dátum | ||
| 51 | )))|((( | ||
| 52 | Podpis | ||
| 53 | |||
| 54 | (alebo elektronický súhlas) | ||
| 55 | ))) | ||
| 56 | (% class="" %)|((( | ||
| 57 | Vypracoval | ||
| 58 | )))|((( | ||
| 59 | \\ | ||
| 60 | )))|((( | ||
| 61 | \\ | ||
| 62 | )))|((( | ||
| 63 | \\ | ||
| 64 | )))|((( | ||
| 65 | \\ | ||
| 66 | )))|((( | ||
| 67 | \\ | ||
| 68 | ))) | ||
| 69 | |||
| 70 | **~ ** | ||
| 71 | |||
| 72 | = {{id name="projekt_2562_Pristup_k_projektu_detailny-1.Históriadokumentu"/}}1. História dokumentu = | ||
| 73 | |||
| 74 | (% class="" %)|((( | ||
| 75 | Verzia | ||
| 76 | )))|((( | ||
| 77 | Dátum | ||
| 78 | )))|((( | ||
| 79 | Zmeny | ||
| 80 | )))|((( | ||
| 81 | Meno | ||
| 82 | ))) | ||
| 83 | (% class="" %)|((( | ||
| 84 | //0.1// | ||
| 85 | )))|((( | ||
| 86 | //14.11.2023// | ||
| 87 | )))|((( | ||
| 88 | //Pracovný návrh// | ||
| 89 | )))|((( | ||
| 90 | \\ | ||
| 91 | ))) | ||
| 92 | (% class="" %)|((( | ||
| 93 | //1.0// | ||
| 94 | )))|((( | ||
| 95 | //22.12.2023// | ||
| 96 | )))|((( | ||
| 97 | //Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.// | ||
| 98 | )))|((( | ||
| 99 | \\ | ||
| 100 | ))) | ||
| 101 | (% class="" %)|((( | ||
| 102 | \\ | ||
| 103 | )))|((( | ||
| 104 | \\ | ||
| 105 | )))|((( | ||
| 106 | \\ | ||
| 107 | )))|((( | ||
| 108 | \\ | ||
| 109 | ))) | ||
| 110 | (% class="" %)|((( | ||
| 111 | \\ | ||
| 112 | )))|((( | ||
| 113 | \\ | ||
| 114 | )))|((( | ||
| 115 | \\ | ||
| 116 | )))|((( | ||
| 117 | \\ | ||
| 118 | ))) | ||
| 119 | |||
| 120 | \\ | ||
| 121 | |||
| 122 | = {{id name="projekt_2562_Pristup_k_projektu_detailny-2.Účeldokumentu"/}}2. Účel dokumentu = | ||
| 123 | |||
| 124 | Dokument obsahuje informácie a popisuje príslušné kapitoly potrebné k príprave projektu kybernetickej a informačnej bezpečnosti v meste Zlaté Moravce | ||
| 125 | |||
| 126 | |||
| 127 | |||
| 128 | = {{id name="projekt_2562_Pristup_k_projektu_detailny-3.Popisnavrhovanéhoriešenia"/}}3. Popis navrhovaného riešenia = | ||
| 129 | |||
| 130 | \\ | ||
| 131 | |||
| 132 | Realizáciou projektu mesto sleduje splnenie nasledovných cieľov: | ||
| 133 | |||
| 134 | zlepšenie úrovne sieťovej a komunikačnej bezpečnosti; | ||
| 135 | |||
| 136 | zvýšenie úrovne pri prevádzke informačných systémov a sietí; | ||
| 137 | |||
| 138 | zvýšenie úrovne zabezpečenia prístupu užívateľov k sieti mesta | ||
| 139 | |||
| 140 | zvýšenie úrovne monitoringu, analýzy a sledovania prevádzkových údajov a bezpečnostných udalostí v sieti mesta. | ||
| 141 | |||
| 142 | \\ | ||
| 143 | |||
| 144 | Horeuvedené ciele plánuje mesto dosiahnuť realizáciou nasledovných aktivít: | ||
| 145 | |||
| 146 | nasadením systému autentifikácie a autorizácie prístupov užívateľov do siete mesta prostredníctvom systému overovania založenom na protokole IEEE 802.1X; | ||
| 147 | |||
| 148 | nasadením systému dvojfaktorového overovania prihlasovania sa používateľov pri prístupe do siete mesta; | ||
| 149 | |||
| 150 | nasadením systému analýzy a sledovania prevádzkových údajov a bezpečnostných udalostí v sieti mesta; | ||
| 151 | |||
| 152 | nasadením systému bezpečnostného manažmentu pre koncové zariadenia mesta; | ||
| 153 | |||
| 154 | \\ | ||
| 155 | |||
| 156 | \\ | ||
| 157 | |||
| 158 | 1. Nasadenie systému autentifikácie a autorizácie prístupov užívateľov do siete mesta Zlaté Moravce | ||
| 159 | |||
| 160 | \\ | ||
| 161 | |||
| 162 | Mesto v súčasnosti nedisponuje žiadnym riešením autentifikácie a autorizácie zariadení ako sú počítače, mobilné zariadenia, prípadne ďalšie zariadenia pri ich pripájaní a prístupe do siete. Mesto tak nemá v súčasnej úrovni zabezpečenia a konfigurácie možnosť zabezpečiť prístup horeuvedených zariadení na úrovni sieťových portov aktívnych sieťových prvkov, typov zariadení a/alebo skupín používateľov. Mesto v rámci projektu požaduje implementovať a nasadiť také riešenie, ktoré umožní nastavovať politiky autentifikácie a autorizácie na úrovni sieťových portov tak, že tieto sa stanú kontrolovateľné a manažovateľné, a teda aj aktívne v závislosti od toho, či v nich pripojené zariadenie je autentifikované a autorizované. Mesto požaduje na základe vykonanej analýzy sieťovej infraštruktúry navrhnúť, implementovať a nasadiť riešenie, ktoré zabezpečí sieť mesta tak, že od používateľa pri pripájaní do siete cez aktívny sieťový prvok vyžiada autentifikáciu podľa protokolu IEEE 802.1X. Používateľ alebo pripájajúce sa zariadenie bude nútené pri prístupe do siete poskytnúť svoje overovacie údaje vyžadované systémom. Všetky autentifikačné údaje z koncových zariadení budú zasielané na centralizované cloudové riešenie dodávateľa s nasadeným RADIUS serverom, ktoré bude zodpovedať za verifikáciu zadaných/získaných overovaných prístupových údajov. Na základe zisteného stavu centrálneho systému bude riešenie v prípade úspešnej autentifikácie priraďovať pripojenému zariadeniu/používateľovi dočasnú VLAN alebo iné prístupové práva do siete a po úspešnej autentifikácii a priradení prístupových práv sieťový prvok otvorí port pre prenos dát v sieti. Takýmto spôsobom bude zabezpečené prostredníctvom protokolu 802.1X, že iba autorizované zariadenia a používatelia budú mať prístup do siete mesta, od čoho sa očakáva zvýšená úroveň informačnej a kybernetickej bezpečnosti a minimalizácia rizík neoprávnených prístupov a útokov v sieti. V rámci projektu sa zároveň plánuje zabezpečenie celkovo 10 ks switchov, ktoré podporujú overovanie prostredníctvom protokolu IEEE 820.1X. Týmto zariadeniami plánuje mesto nahradiť jestvujúce aktívne sieťové prvky, ktorým čoskoro končí predajná ako aj technická podpora zo strany výrobcu a teda nebudú ďalej podporované a nebudú pre tieto zariadenia ďalej vyrábané opravy chýb, aktualizácie a poskytovaná náležitá technická podpora zo strany výrobcu | ||
| 163 | |||
| 164 | \\ | ||
| 165 | |||
| 166 | 1. Nasadenie systému dvojfaktorového overovania | ||
| 167 | |||
| 168 | Mesto Zlaté Moravce v súčasnosti nedisponuje žiadnym ďalším faktorom overovania prístupu používateľov do siete. V rámci projektu plánuje nasadenie riešenia pre vzdialený prístup, ktorý bude pozostávať z nasadenia autentifikačného servera vyžadujúceho druhý stupeň overenia používateľa pristupujúceho do siete prostredníctvom implementácie dvojfaktorového overenia pre celkovo 30 používateľov. Autentifikačný server bude zároveň slúžiť ako RADIUS v rámci aktivity č.1 charakterizovanej vyššie. Mesto v rámci minimálnych požiadaviek plánuje, aby autentifikačný server od pristupujúceho používateľa požadoval zadanie mena a hesla a následne, v prípade úspešného zadania týchto prihlasovacích údajov (1. faktor) systém vyžiadal od používateľa zadanie jednorazového hesla, ktoré bude generované prostredníctvom SW tokenu, ktorý bude súčasťou dodávky a celkovej implementácie riešenia. SW token bude inštalovaný na mobilných zariadeniach mesta, ktoré nie sú predmetom projektu. Token bude kompatibilný minimálne s koncovými zariadeniami, ktoré majú inštalovaný iOS, android alebo windows. Súčasťou plnenia bude dodanie klientov VPN s bezpečnostným modelom s nulovou dôverou, t.j. klient bude disponovať funkcionalitou kontroly koncového zariadenia voči nastaveným prístupovým politikám verejného obstarávateľa. VPN klient bude zároveň disponovať funkcionalitou karantény pripájajúcich sa koncových zariadení a umožní izolovať napadnuté koncové zariadenia od zvyšku siete, čím sa zabezpečí minimalizácia hrozieb pre internú sieť mesta z podozrivého zdroja. | ||
| 169 | |||
| 170 | \\ | ||
| 171 | |||
| 172 | 1. Nasadenie systému analýzy a sledovania prevádzkových údajov a bezpečnostných udalostí v sieti mesta | ||
| 173 | |||
| 174 | Mesto Zlaté Moravce v súčasnosti nedisponuje žiadnym pokročilým nástrojom na monitoring svojho IT prostredia z pohľadu generovaných prevádzkových udalostí a logov. Podrobné prevádzkové a telemetrické údaje zariadení siete mesta nie sú v súčasnosti nijakým spôsobom zberané, ukladané a ďalej analyzované, pričom tieto dáta predstavujú významný zdroj informácií o prítomných bezpečnostných hrozbách, ktorých včasná detekcia a reakcia na je z pohľadu zachovania vysokej úrovne informačnej a kybernetickej bezpečnosti kľúčová. Mesto v rámci tejto aktivity plánuje zabezpečiť implementáciu a nasadenie riešenia auditného nástroja pre monitoring prevádzkových údajov a bezpečnostných udalostí vo svojej sieti. Riešenie poskytne centralizovaný pohľad na všetky relevantné bezpečnostné informácie z IT infraštruktúry v reálnom čase, ktorým bude predchádzať zber údajov a udalostí prevádzky siete, normalizácia a korelácia zozbieraných údajov. Všetky udalosti a správanie užívateľov v sieti bude možné monitorovať, detegovať neobvyklé prvky správania sa používateľov a administrátorov, čo umožní detekciu potenciálnych ako aj skutočných bezpečnostných incidentov a neobvyklých aktivít voči pravidlám a/alebo minulému stavu. Riešenie bude súčasne podporovať generovanie reportov o činnosti a bezpečnostnej kondícii siete mesta | ||
| 175 | |||
| 176 | \\ | ||
| 177 | |||
| 178 | 1. Nasadenie systému bezpečnostného manažmentu pre koncové zariadenia mesta | ||
| 179 | |||
| 180 | V rámci uvedenej aktivity mesto Zlaté Moravce plánuje nasadiť riešenie centrálneho bezpečnostného manažmentu pre koncové stanice vrátane riešenia prevencie a detekcie pred hrozbami z vonkajšieho prostredia. Od nasadeného systému sa bude očakávať zabezpečenie funkcionality centrálnej ochrany a správy koncových staníc. | ||
| 181 | |||
| 182 | \\ | ||
| 183 | |||
| 184 | = {{id name="projekt_2562_Pristup_k_projektu_detailny-4.Architektúrariešeniaprojektu"/}}4. Architektúra riešenia projektu = | ||
| 185 | |||
| 186 | Architektúra riešenia projektu je v zmysle usmernenia MIRRI SR rámcová, aby bolo z projektu možné identifikovať vytvárané komponenty s cieľom realizácie opatrení kybernetickej a informačnej bezpečnosti. Cieľom týchto komponentov je ochrana IS Mesta Zlaté Moravce, | ||
| 187 | |||
| 188 | \\ | ||
| 189 | |||
| 190 | [[image:attach:image-2024-5-3_22-24-41-1.png]] | ||
| 191 | |||
| 192 | \\ | ||
| 193 | |||
| 194 | == {{id name="projekt_2562_Pristup_k_projektu_detailny-4.1NávrhTechnologickejarchitektúry:"/}}4.1 Návrh Technologickej architektúry: == | ||
| 195 | |||
| 196 | \\ | ||
| 197 | |||
| 198 | **Nasadenie systému autentifikácie a autorizácie prístupov užívateľov do siete verejného obstarávateľa bude založený na troch častiach SW+HW** | ||
| 199 | |||
| 200 | **~ ** | ||
| 201 | |||
| 202 | 1. **Centrálny systém správy prístupov** | ||
| 203 | |||
| 204 | **~ ** | ||
| 205 | |||
| 206 | * Centrálny systém umožní centralizované nastavovanie a manažment profilov, prístupov, hostí ako aj možnosť centralizovaného nastavovania pravidiel autorizácie a autentifikácie pri prístupe k službám siete Verejného obstarávateľa; | ||
| 207 | * Centrálny systém umožní definovať prístupové práva a politiky prístupu na základe správcom definovaných pravidiel a súčasne umožní tvorbu rôznych modelov prístupu na základe viaczložkových atribútov ako sú identita používateľa a/alebo zariadenia, autentifikačné protokoly, identifikácia pripájaného koncového zariadenia; | ||
| 208 | * Atribúty overovania prístupu do siete bude možné definovať dynamicky s ohľadom na preferencie správcu siete Verejného obstarávateľa; | ||
| 209 | * Možnosť integrácie na MS Active Directory, RSA OTP a LDAP; | ||
| 210 | * Podpora autentifikácie a autorizácie použitím multistromových domén MS AD, grupovania viacerých nespojených domén do logických skupín; | ||
| 211 | * podpora min. MS AD 2003, 2008, 2008R2, 2012, 2012R2, 2016, 2019; | ||
| 212 | * Možnosť vynútenia používania povolených typov šifrovania pri autentifikácii a súčasne možnosť zakázania vybraných typov šifrovania na základe preferencie správcu siete; | ||
| 213 | * Riešenie umožní riadenie politiky prístupových skupín prostredníctvom jednoduchej segmentácie použitím bezpečnostných tagov a súčasne umožní vykonávať správu segmentácie a správu switchov, routerov, WiFi AP ako aj pravidiel na firewalloch; | ||
| 214 | * Pridávanie zariadení do siete bude podporované automatizovaným poskytovaním a registráciou certifikátov pre štandardné PC a mobilné zariadenia; | ||
| 215 | * Možnosť riešenia rýchleho nasadenia zabezpečeného prístupu k sieti aplikáciou autentifikácie a autorizácie na základe údajov získaných z prihlasovacích údajov rôznych aplikačných úrovní; | ||
| 216 | * Riešenie bude podporovať RADIUS protokol pre autentifikáciu, autorizáciu a accouting; | ||
| 217 | * Podporované protokoly min: PAP, MS-CHAP, EAP-MD5, PEAP, EAP-Flexible, TEAP, podpora autentifikácie použitím protokolov FAST, TLS, TTLS; | ||
| 218 | * Systém bude vykonávať profilovanie a klasifikáciu koncových zariadení prostredníctvom machine learning engine a umožní revidovať profily zariadení/zariadenia pomocou profilových politík využitím machine learning engine-u a súčasne umožní tvorbu prístupových skupín | ||
| 219 | * Centrálny systém umožní vytvárať prístupové skupiny koncových zariadení pomocou profilov a pravidiel, ktoré definuje správca siete Verejného obstarávateľa; | ||
| 220 | * Centralizované riešenie bude súčasne disponovať predefinovanými šablónami koncových zariadení ako sú tlačiarne, IP telefóny, kamery, tablety, smartfóny a pod., ako aj súčasne vytvárať vlastné používateľské šablóny zariadení pr potreby automatického zistenia, klasifikácie a priradenia identít počas pripájania sa do siete; | ||
| 221 | * Riešenie umožní priraďovať autorizačné politiky špecifické pre koncový bod na základe identifikovaného typu zariadenia a súčasne umožní zber údajov o atribútoch tohto bodu pomocou pasívneho monitorovania siete a prevádzkovej telemetrie; | ||
| 222 | * Systém centrálnej správy prístupov sa požaduje nasadiť v cloudovom prostredí poskytovateľa v režime vysokej dostupnosti. Podpora možného budúceho nasadenia v prostredí Verejného obstarávateľa na jeho vlastnej HW infraštruktúre; | ||
| 223 | |||
| 224 | **~ ** | ||
| 225 | |||
| 226 | 1. **Switch 8-portov:** | ||
| 227 | |||
| 228 | * Počet Gigabit ethernet portov: 8; | ||
| 229 | * počet uplink rozhraní: 2 1G SFP/ RJ-45 combo | ||
| 230 | * POE+: áno, min. 67 W; | ||
| 231 | * CPU: min. ARM 7 800 Mhz; | ||
| 232 | * DRAM: min. 512 MB; | ||
| 233 | * Pamäť FLASH: min. 256 MB; | ||
| 234 | * Unicast MAC adresy: min. 16 000. | ||
| 235 | * Kapacita preposielania: min. 10 Gbps; | ||
| 236 | * Prepínacia kapacita: min. 20 Gbps; | ||
| 237 | * Rýchlosť preposielania: min. 14,88 Mpps; | ||
| 238 | * IPv4 unicast priame cesty: min. 542; | ||
| 239 | * IPv4 unicast nepriame cesty: min. 256; | ||
| 240 | * IPv6 unicast priame cesty: min. 414; | ||
| 241 | * IPv6 unicast nepriame cesty: min. 128; | ||
| 242 | * IPv4 statické cesty: min. 16; | ||
| 243 | * IPv6 statické cesty: min. 16; | ||
| 244 | * IPv4 a IPv6 multicast skupiny: min. 1024; | ||
| 245 | * Počet aktívnych VLAN: min. 256; | ||
| 246 | * Počet dostupných VLAN IDs: min. 4000; | ||
| 247 | * MTU-L3 paket: min. 9198 bajtov; | ||
| 248 | * Jumbo ethernet rámce: min. 10 240 bajtov. | ||
| 249 | * Unicast MAC adresy: min. 16 000. | ||
| 250 | |||
| 251 | **~ ** | ||
| 252 | |||
| 253 | 1. **Switch 48-portov:** | ||
| 254 | |||
| 255 | * Počet Gigabit ethernet portov: 48; | ||
| 256 | * počet uplink rozhraní: 4 SFP 1G | ||
| 257 | * POE+: áno, min. 370 W; | ||
| 258 | * CPU: min. ARM 7 800 Mhz; | ||
| 259 | * DRAM: min. 512 MB; | ||
| 260 | * Pamäť FLASH: min. 256 MB; | ||
| 261 | * Unicast MAC adresy: min. 16 000; | ||
| 262 | * Kapacita preposielania: min. 52 Gbps; | ||
| 263 | * Prepínacia kapacita: min. 104 Gbps; | ||
| 264 | * Rýchlosť preposielania: min. 78,38 Mpps; | ||
| 265 | * IPv4 unicast priame cesty: min. 542; | ||
| 266 | * IPv4 unicast nepriame cesty: min. 256; | ||
| 267 | * IPv6 unicast priame cesty: min. 414; | ||
| 268 | * IPv6 unicast nepriame cesty: min. 128; | ||
| 269 | * IPv4 statické cesty: min. 16; | ||
| 270 | * IPv6 statické cesty: min. 16; | ||
| 271 | * IPv4 a IPv6 multicast skupiny: min. 1024; | ||
| 272 | * Počet aktívnych VLAN: min. 256; | ||
| 273 | * Počet dostupných VLAN IDs: min. 4000; | ||
| 274 | * MTU-L3 paket: min. 9198 bajtov; | ||
| 275 | * Jumbo ethernet rámce: min. 10 240 bajtov. | ||
| 276 | |||
| 277 | **~ ** | ||
| 278 | |||
| 279 | **Nasadenie systému dvojfaktorového overovania bude založené na štyroch častiach:** | ||
| 280 | |||
| 281 | \\ | ||
| 282 | |||
| 283 | 1. **Autentifikátor** | ||
| 284 | |||
| 285 | \\ | ||
| 286 | |||
| 287 | * Počet aktívnych používateľov: 30; | ||
| 288 | * Počet SW tokenov na mobilné zariadenia (kompatibilné iOS, android, windows): 30; | ||
| 289 | * Počet užívateľských certifikátov: 30; | ||
| 290 | * Nasadenie na RADIUS server dodávateľa; | ||
| 291 | * Podpora režimu vysokej dostupnosti; | ||
| 292 | * Možnosť upgrade licencie na aspoň konečných počet 50 používateľov; | ||
| 293 | * Podpora hypervízorov: VMware ESXi/ ESX 6ú7/8, Microsoft Hyper-V Server 2010, 2012 RC a 2016, KVM, Xen, Microsoft Azure, AWS, Nutanix AHV, Oracle OCI, Alibaba Cloud; | ||
| 294 | |||
| 295 | \\ | ||
| 296 | |||
| 297 | 1. **SW token pre mobilné zariadenia** | ||
| 298 | |||
| 299 | \\ | ||
| 300 | |||
| 301 | * Mobilná aplikácia; | ||
| 302 | * Kompatibilita s OS: iOS, android, windows; | ||
| 303 | * Počet používateľov: 30; | ||
| 304 | * Nasadenie na koncové mobilné zariadenia Verejného obstarávateľa; | ||
| 305 | * Funkcionalita opakovaného generovania hesiel pre prihlasovanie sa do siete (dynamické generovanie hesiel); | ||
| 306 | * SW token musí byť kompatibilný s dodaným VPN klientom; | ||
| 307 | * Overovanie užívateľov bude zabezpečené prostredníctvom samostatného RADIUS servera nasadeného v prostredí dodávateľa; | ||
| 308 | * Riešenie podporuje time-based ako aj event-based tokeny; | ||
| 309 | * Kompatibilita s OATH. | ||
| 310 | * Možnosť upgrade licencie na aspoň konečných počet 50 používateľov; | ||
| 311 | |||
| 312 | \\ | ||
| 313 | |||
| 314 | 1. **Správa koncových zariadení** | ||
| 315 | |||
| 316 | **~ ** | ||
| 317 | |||
| 318 | * Možnosť správy koncových zariadení; | ||
| 319 | * Podpora vzdialenej správy VPN klientov; | ||
| 320 | * riešenie bude podporovať funkcionalitu vzdialenej správy VPN klientov, priraďovanie bezpečnostných profilov pre skupiny koncových zariadení; | ||
| 321 | * podpora nasadzovania VPN klientov; | ||
| 322 | * možnosť správy aktualizácií a verzií klientov VPN; | ||
| 323 | * riešenie disponuje užívateľským dashboardom; | ||
| 324 | * funkcionalita karantény koncových zariadení; | ||
| 325 | * automatizovaný monitoring koncových zariadení (min. v rozsahu: verzia, OS IP/MAC adresa, stav koncového zariadenia); | ||
| 326 | * podpora centralizovaného update klientov; | ||
| 327 | * funkcionalita karantény koncových zariadení; | ||
| 328 | * automatické generovanie správcom definovaných alertov; | ||
| 329 | * priraďovanie bezpečnostných profilov pre skupiny koncových zariadení. | ||
| 330 | |||
| 331 | \\ | ||
| 332 | |||
| 333 | 1. **VPN klient** | ||
| 334 | |||
| 335 | **~ ** | ||
| 336 | |||
| 337 | * Počet používateľov: 30; | ||
| 338 | * Inštalácia na koncové stanice a zariadenia Verejného obstarávateľa; | ||
| 339 | * Možnosť konfigurácie zero trust pravidiel prístupu do siete; | ||
| 340 | * Podpora IPSEC VPN a SSL VPN s viacfatorovým overením (podpora mobilného SW tokenu – kompatibilita s navrhovaným riešením Uchádzača); | ||
| 341 | * Podpora webfilteringu; | ||
| 342 | * Podpora výrobcu 24/7; | ||
| 343 | * Jednoduché a prehľadné užívateľské prostredie; | ||
| 344 | * Podpora integrácie na Active Directory; | ||
| 345 | * Dynamické riadenie prístupu; | ||
| 346 | * Podpora užívateľských skupín; | ||
| 347 | * Podpora centrálneho manažmentu a centralizovaného logovania; | ||
| 348 | * Podpora dynamickej voľby brány. | ||
| 349 | |||
| 350 | \\ | ||
| 351 | |||
| 352 | **~ ** | ||
| 353 | |||
| 354 | **Nasadenie systému analýzy a sledovania prevádzkových údajov a bezpečnostných udalostí v sieti Mesta Zlaté Moravce** | ||
| 355 | |||
| 356 | \\ | ||
| 357 | |||
| 358 | Rozsah minimálnych požiadaviek systému analýza a sledovania prevádzkových údajov a bezpečnostných udalostí v sieti mesta: | ||
| 359 | |||
| 360 | * Kontinuálna aktualizácia kontextových informácií o zariadeniach v rozsahu: konfigurácia, inštalovaný SW a záplaty, spustené služby; | ||
| 361 | * Poskytovanie informácií v reálnom čase o systémovom a aplikačnom výkone; | ||
| 362 | * Poskytovanie informácií v reálnom čase o kontexte používateľa s auditovanými trasami IP adries, zmien identity používateľa, fyzickej a geografickej polohy používateľa; | ||
| 363 | * Automatizovaná detekcia neautorizovaných sieťových zariadení a aplikácií a zmien konfigurácie; | ||
| 364 | * Možnosť monitorovania základných systémových / obvyklých metrík; | ||
| 365 | * Monitoring na systémovej úrovni min. cez SNMP, WMI, PowerShell; | ||
| 366 | * Monitoring na aplikačnej úrovni min. cez: JMX, WMI, PowerShell; | ||
| 367 | * Monitoring virtualizácie pre VMware, HyperV – host/hosť, zdrojový pool a úroveň zhluku; | ||
| 368 | * Monitoring výkonu využitia úložiska – EMC, NetAPP, Isilon, Nutanix, Nimble, Data Domain; | ||
| 369 | * Monitoring výkonu MS AD a Exchange cez WMI a Poweshell; | ||
| 370 | * Monitoring databáz: min. Oracle, MS SQL, MySQL cez JDBC; | ||
| 371 | * Monitoring VoIP infraštruktúry cez IPSAL, SNMP, CDR/CMR; | ||
| 372 | * Monitoring výkonu aplikácií cez Netflow, SFlow, CISCO AVC, NBAR; | ||
| 373 | |||
| 374 | Možnosť monitoringu dostupnosti systémov cez min.: Ping, SNMP, WMU, uptime analýzu, BGP/OSPF/EIGRP status, dostupnosť portov; | ||
| 375 | |||
| 376 | * Možnosť pridania vlastných, užívateľom definovaných metrík monitoringu; | ||
| 377 | * Možnosť ukladania konfiguračných súborov a údajov o verziách SW do verzionovaného adresára; | ||
| 378 | * Automatizované detekcie zmien v nastaveniach siete a inštalovanom SW; | ||
| 379 | * Automatizované detekcie zmien súborov/adresárov WIN/Linux s uvedením údajov po užívateľovi; | ||
| 380 | * Automatizované detekcie zmien schváleného konfiguračného súboru; | ||
| 381 | * Automatizované zisťovanie zmien v registroch systémov WIN; | ||
| 382 | * Monitorovanie kontextu z aktívnych sieťových prvkov, Malware ochrany, serverov (WIN/Linux), DNS, DHCP, DFS, AAA, doménových radičov, VoIP, Web serverov, aplikačných serverov, mail serverov, databáz, úložísk (NetAPP, EMC, Nutanix, Data Domain), UPS a virtualizácie (napr. VMware ESX, MS HyperVScalable, Flexible Log Collection); | ||
| 383 | * Zber, parsovanie, normalizácia a indexovanie logov; | ||
| 384 | * Možnosť vytvárania nových parserov; | ||
| 385 | * Vytváranie notifikácií na základe správcom definovaných pravidiel / politík; | ||
| 386 | * Možnosť vynútenia spustenia nápravných skriptov v prípade výskytu špecifického incidentu; | ||
| 387 | * Možnosť integrácie na systémy tretích strán prostredníctvom API; | ||
| 388 | * Nastaviteľné dashboardy so zobrazovaním udalostí v reálnom čase a možnosť filtrovania na základe KPI; | ||
| 389 | * Možnosť tvorby reportov a ich zdieľanie medzi používateľmi; | ||
| 390 | * Možnosť vizualizácie udalostí na základe zmeny farby v závislosti od kritickosti udalosti; | ||
| 391 | * Možnosť vytvárania skupín dashboardov v závislosti od monitorovanej domény; | ||
| 392 | * Vyhľadávanie udalostí v reálnom čase; | ||
| 393 | * Vyhľadávanie v udalostiach na základe zadania kľúčových slov a vyhľadávanie podľa spracovaných atribútov a udalostí; | ||
| 394 | * Možnosť vyhľadávania v historických udalostiach s možnosťou definovania podmienok filtrovania; | ||
| 395 | * Vytváranie dynamických zoznamov monitorovaných používateľov s možnosťou použitia tohto zoznamu v akomkoľvek pravidle pre reportovanie; | ||
| 396 | * Možnosť definície základného stavu („baseline“) pre účely detekcie anomálií (napr. stanovenie základného stavu pre určité zariadenie, v určitú časovú dobu, konkrétny deň...); | ||
| 397 | * Možnosť nastavenia ľubovoľného, používateľom definovaného základného stavu; | ||
| 398 | * Jednoduché a intuitívne grafické užívateľské rozhranie pre administráciu systému; | ||
| 399 | * Možnosť definovania prístupov do systému pre viaceré úrovne rolí a zodpovedností; | ||
| 400 | * Komunikácia so systémom musí byť zabezpečená; | ||
| 401 | * Aktivita používateľov musí byť auditovateľná; | ||
| 402 | * Možnosť aktualizácie parsovacích pravidiel a správ; | ||
| 403 | * Možnosť nastavovania archivácie na základe nastavených politík; | ||
| 404 | * Nasadenie celého riešenia v cloudovom prostredí dodávateľa; | ||
| 405 | * Objem spracúvaných udalostí: min. 500 EPS; | ||
| 406 | * Počet monitorovaných zariadení/systémov: min. 50; | ||
| 407 | * Riešenie bude schopné vykonávať analýzy bezpečnostných udalostí generovaných z jestvujúceho firewallu Vereného obstarávateľa (nutnosť kompatibility s Fortigate 60F, ktorým Verejný obstarávateľ disponuje); | ||
| 408 | * Dodávateľ zabezpečí zber, analýzu a vyhodnocovanie prichádzajúcich logov v režime 24/7/365 s cieľom včasnej detekcie ako aj reakcie na prichádzajúce podozrivé udalosti v sieti Verejného obstarávateľa; | ||
| 409 | * Dodávateľ v rámci systému zabezpečí detekciu útokov a podozrivých aktivít v log záznamoch, udalostiach a alarmoch, aktívne vyhľadávanie hrozieb a odhaľovanie anomálií a prešetrovanie bezpečnostných incidentov; | ||
| 410 | * Dodávateľ zabezpečí monitoring zberu udalostí a spracúvania sieťových tokov, evidenciu a kategorizáciu detegovaných problémov ako aj riešenie vzniknutých problémov; | ||
| 411 | * Súčasťou riešenia bude správa nodov/kolektorov logov, integrácia na zdroje logov siete Verejného obstarávateľa; | ||
| 412 | * Dodávateľ zabezpečí upozornenie správcu siete Verejného obstarávateľa na udalosť v sieti, ktorú na základe logov vyhodnotí ako rizikovú a na ktorú bude potrebné vykonať operatívny zásah; | ||
| 413 | |||
| 414 | \\ | ||
| 415 | |||
| 416 | **Nasadenie systému bezpečnostného manažmentu pre koncové zariadenia** | ||
| 417 | |||
| 418 | **~ ** | ||
| 419 | |||
| 420 | Od nasadeného systému sa bude očakávať zabezpečenie funkcionality centrálnej ochrany a správy koncových staníc v rozsahu nasledovnej minimálnej požadovanej funkcionality: | ||
| 421 | |||
| 422 | * Možnosti centrálnej správy a manažmentu v rámci samostatného používateľsky prívetivého GUI; | ||
| 423 | * Automatické reakcie systému na hrozby; | ||
| 424 | * Možnosť centralizovaného provisioningu klientov; | ||
| 425 | * Možnosť tvorby a zasielania automatizovaných notifikácií; | ||
| 426 | * Možnosť integrácie na systém správy identít (min. MS AD); | ||
| 427 | * Riešenie bude uvádzať na centralizovanej úrovni údaje o prevádzke na koncovej stanici a to v reálnom čase; | ||
| 428 | * Riešenie umožní nasadzovať klientov na koncových zariadeniach vzdialene; | ||
| 429 | * Možnosť vykonania antivírového skenu na vyžiadanie; | ||
| 430 | * Možnosť vykonania skenu zraniteľností na vyžiadanie; | ||
| 431 | * Možnosť izolácie alebo obmedzenia prístupu k infikovanému zariadeniu (karanténa); | ||
| 432 | * Funkcionalita antivíru novej generácie – AI NGAV; | ||
| 433 | * Možnosť vynucovania bezpečnostných politík pre koncové zariadenia; | ||
| 434 | * Možnosť nastavovania webových filtrov pre koncové stanice; | ||
| 435 | * Detekcie pred známymi hrozbami; | ||
| 436 | * Ochrana IPSec VPN klienta; | ||
| 437 | * Funkcionalita aplikačného firewallu; | ||
| 438 | * Možnosť inventarizácie inštalovaného SW na koncových zariadeniach; | ||
| 439 | * Automatizované kontroly aplikácií; | ||
| 440 | * Kontrola pripojených USB; | ||
| 441 | * Kontrola dodržiavania politik aktualizácií firmware; | ||
| 442 | * Ochrana pred malware; | ||
| 443 | * Ochrana pred ransomware; | ||
| 444 | * Riešenie bude na centrálnej úrovni poskytovať informácie o nainštalovanom klientovi na koncovom zariadení min. v členení verzia, operačný systém, IP adresa, MAC adresa, užívateľský profil; | ||
| 445 | * Riešenie umožní sledovať telemetrické údaje koncových zariadení a monitorovať ich stav ako aj reportovať telemetrické údaje na úrovni centralizovaného manažmentu; | ||
| 446 | * Riešenie musí byť kompatibilné min s MS WINDOWS, iOS, Linux a MacOS. | ||
| 447 | |||
| 448 | \\ | ||
| 449 | |||
| 450 | \\ | ||
| 451 | |||
| 452 | = {{id name="projekt_2562_Pristup_k_projektu_detailny-5.ZávislostinaostatnéISVS/projekty"/}}5. Závislosti na ostatné ISVS / projekty = | ||
| 453 | |||
| 454 | Predkladaný projekt nemá priamu väzbu na iné IT projekty v rámci mesta. Jeho realizácia si nevyžaduje väzby na predchádzajúce ani nasledujúce IT projekty, no jeho výstupy môžu ovplyvňiť prevádzku budúcich systémov v rámci mesta ako aj ich architektúru. | ||
| 455 | |||
| 456 | **~ ** | ||
| 457 | |||
| 458 | = {{id name="projekt_2562_Pristup_k_projektu_detailny-6.Zdrojovékódy"/}}6. Zdrojové kódy = | ||
| 459 | |||
| 460 | \\ | ||
| 461 | |||
| 462 | Bude dodržaný princíp otvorenosti, tzn. duševným vlastníkom všetkých výstupov, vrátane technológie a zdrojového kódu bude mesto. | ||
| 463 | |||
| 464 | \\ | ||
| 465 | |||
| 466 | Predpokladá sa, že riešenie bude dodané ako unikátne SW dielo na základe zmluvy o dielo vyvinuté pre potreby mesta. Zdrojový kód, vytvorený počas zhotovovania, bude otvorený v súlade s licenčnými podmienkami verejnej softvérovej licencie Európskej únie podľa osobitného predpisu[[^^~[1~]^^>>path:#_ftn1||name="_ftnref1" shape="rect"]]^^ ^^a to v rozsahu, v akom zverejnenie tohto kódu nemôže byť zneužité na činnosť smerujúcu k narušeniu alebo k zničeniu informačného systému. Zmluva s dodávateľom bude pripravená tak, aby po skončení zmluvného vzťahu, v rámci ktorého bolo unikátne SW dielo vytvorené a po istú dobu prevádzkované pôvodným dodávateľom, disponovalo mesto všetkými oprávneniami potrebnými pre ďalšiu prevádzku a rozvoj tohto diela bez závislosti na pôvodnom dodávateľovi, teda i prostredníctvom nového dodávateľa vybraného v neobmedzenej súťaži dodávateľov. | ||
| 467 | |||
| 468 | \\ | ||
| 469 | |||
| 470 | Ak bude súčasťou dodávky aj tzv. špecializované konfigurovateľné riešenie[[^^~[2~]^^>>path:#_ftn2||name="_ftnref2" shape="rect"]], resp. špecializovaný SW, alebo ak pôjde o licenciu špecializovaného SW, tak obstaranie a užívanie špecializovaného SW sa bude riadiť štandardnými zmluvnými podmienkami dodávateľa. Pokiaľ ide o prispôsobenie/nadstavbu nad špecializovaným SW, ktoré bude zohľadňovať špecifické potreby a podmienky, zdrojový kód, vytvorený počas zhotovovania, bude otvorený v súlade s licenčnými podmienkami verejnej softvérovej licencie Európskej únie podľa osobitného predpisu a to v rozsahu, v akom zverejnenie tohto kódu nemôže byť zneužité na činnosť smerujúcu k narušeniu alebo k zničeniu informačného systému. Požadovaná bude podrobná dokumentácia, aby bolo možné prevádzkovanie a rozvoj aj inými dodávateľmi. | ||
| 471 | |||
| 472 | \\ | ||
| 473 | |||
| 474 | = {{id name="projekt_2562_Pristup_k_projektu_detailny-7.Prevádzkaaúdržba"/}}7. Prevádzka a údržba = | ||
| 475 | |||
| 476 | **TO BE stav** | ||
| 477 | |||
| 478 | Prevádzka a údržba sa bude realizovať v rámci dohodnutého SLA v adekvátnom rozsahu. | ||
| 479 | |||
| 480 | \\ | ||
| 481 | |||
| 482 | Monitorovanie HW a celkovo IT prostredia | ||
| 483 | |||
| 484 | V tejto oblasti bude zabezpečené 24/7 sledovanie IT prostredia a jeho vyhodnocovanie a reportovanie na periodickej báze (zvyčajne 1 mesiac). Prijímanie a riešenie problémov prostredníctvom incident manažment systému. Monitorovanými objektami môžu byť osobné počítače, servery, databázy, počítačová sieť a pod. Monitorovanie HW zahŕňa: Servre, Záložné zdroje, sieťové prvky a pod. | ||
| 485 | |||
| 486 | Z hľadiska správy IT prostredia bude súčasťou SLA aj vstupný audit a jeho ročná aktualizácia a štandardné služby ako: Sieťová podpora, serverová podpora, správa bezpečnosti, hot line podpora . | ||
| 487 | |||
| 488 | V rámci prevádzky vnútornej siete bude bezpečnosť zaisťovaná firewallom a jeho správou a ostatnými podpornými technológiami aj pre ochranu koncových staníc (aplikačné firewally, anti-malware, a pod.) | ||
| 489 | |||
| 490 | // // | ||
| 491 | |||
| 492 | == {{id name="projekt_2562_Pristup_k_projektu_detailny-7.1Prevádzkovépožiadavky"/}}7.1 Prevádzkové požiadavky == | ||
| 493 | |||
| 494 | // // | ||
| 495 | |||
| 496 | === {{id name="projekt_2562_Pristup_k_projektu_detailny-7.1.1Úrovnepodporypoužívateľov:"/}}7.1.1 Úrovne podpory používateľov: === | ||
| 497 | |||
| 498 | **// //** | ||
| 499 | |||
| 500 | Help Desk bude realizovaný cez 3 úrovne podpory, s nasledujúcim označením: | ||
| 501 | |||
| 502 | \\ | ||
| 503 | |||
| 504 | * **L1 podpory IS** (Level 1, priamy kontakt zákazníka) – zabezpečuje mesto | ||
| 505 | * **L2 podpory IS** (Level 2, postúpenie požiadaviek od L1) - vybraná skupina garantov, so znalosťou IS (zabezpečuje mesto v spolupráci s dodávateľom) | ||
| 506 | * **L3 podpory IS** (Level 3, postúpenie požiadaviek od L2) - na základe zmluvy o podpore IS (zabezpečuje úspešný uchádzač). | ||
| 507 | |||
| 508 | \\ | ||
| 509 | |||
| 510 | **__Definícia:__** | ||
| 511 | |||
| 512 | **__ __** | ||
| 513 | |||
| 514 | * **Podpora L1 (podpora 1. stupňa)** - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď. | ||
| 515 | |||
| 516 | \\ | ||
| 517 | |||
| 518 | * **Podpora L2 (podpora 2. stupňa)** – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3. | ||
| 519 | |||
| 520 | \\ | ||
| 521 | |||
| 522 | * **Podpora L3 (podpora 3. stupňa)** - Podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najzložitejších hlásení, vrátane prevádzania hĺbkových analýz a riešenie extrémnych prípadov. | ||
| 523 | |||
| 524 | \\ | ||
| 525 | |||
| 526 | **Pre služby sú definované takéto SLA:** | ||
| 527 | |||
| 528 | **~ ** | ||
| 529 | |||
| 530 | Služby pre obyvateľov Po – Pia 6:00 - 18:00 | ||
| 531 | |||
| 532 | Služby pre zamestnancov mesta Po – Pia, 7:00 - 19:00 | ||
| 533 | |||
| 534 | \\ | ||
| 535 | |||
| 536 | **Riešenie incidentov – SLA parametre** | ||
| 537 | |||
| 538 | \\ | ||
| 539 | |||
| 540 | \\ | ||
| 541 | |||
| 542 | Za incident je považovaná chyba IS, t.j. správanie sa v rozpore s prevádzkovou a používateľskou dokumentáciou IS. Za incident nie je považovaná chyba, ktorá nastala mimo prostredia IS napr. výpadok poskytovania konkrétnej služby Vládneho cloudu alebo komunikačnej infraštruktúry. | ||
| 543 | |||
| 544 | \\ | ||
| 545 | |||
| 546 | Tabuľka č. 15 - Označenie naliehavosti incidentu | ||
| 547 | |||
| 548 | (% class="" %)|((( | ||
| 549 | **Označenie naliehavosti incidentu** | ||
| 550 | )))|((( | ||
| 551 | **Závažnosť incidentu** | ||
| 552 | )))|((( | ||
| 553 | **Popis naliehavosti incidentu** | ||
| 554 | ))) | ||
| 555 | (% class="" %)|((( | ||
| 556 | **A** | ||
| 557 | )))|((( | ||
| 558 | **Kritická** | ||
| 559 | )))|((( | ||
| 560 | Je to vada spôsobená vážnou chybou a/alebo nedostatkom dodávanej softvérovej aplikácie, pričom táto chyba a/alebo nedostatok zabraňuje používaniu dodávanej softvérovej aplikácie nasledovne: | ||
| 561 | |||
| 562 | (i) Aplikačné funkcie (moduly, komponenty, objekty, programy) dodávanej softvérovej aplikácie nie sú funkčné ako celok | ||
| 563 | |||
| 564 | alebo | ||
| 565 | |||
| 566 | (ii) nie je možné vykonať akýkoľvek výber a výstup z databázy údajov dodávanej softvérovej aplikácie a nie je možné vykonať prístup k databáze údajov dodávanej softvérovej aplikácii. | ||
| 567 | ))) | ||
| 568 | (% class="" %)|((( | ||
| 569 | **B** | ||
| 570 | )))|((( | ||
| 571 | **Vysoká** | ||
| 572 | )))|((( | ||
| 573 | Je vada, spôsobená chybou a/alebo nedostatkom dodávanej softvérovej aplikácie, pričom táto chyba a/alebo nedostatok obmedzuje používanie dodávanej softvérovej aplikácie nasledovne: | ||
| 574 | |||
| 575 | (i) Niektoré aplikačné funkcie (moduly, komponenty, objekty, programy) dodávanej softvérovej aplikácie nie sú funkčné alebo nie je umožnený prístup k niektorej aplikačnej funkcii (modulu, komponentu, objektu, programu) dodávanej softvérovej aplikácie | ||
| 576 | |||
| 577 | alebo | ||
| 578 | |||
| 579 | (ii) Nie je možné vykonať výber niektorých údajov alebo nie je možné vyhotoviť niektorý výstup z databázy údajov dodávanej softvérovej aplikácie alebo nie je možné vykonať prístup k niektorým údajom v databáze údajov dodávanej softvérovej aplikácie. | ||
| 580 | |||
| 581 | napr. tlač pomocných výstupov, zostavy, funkčnosť nesúvisiaca s vyrubením a pod. | ||
| 582 | ))) | ||
| 583 | (% class="" %)|((( | ||
| 584 | **C** | ||
| 585 | )))|((( | ||
| 586 | **Stredná** | ||
| 587 | )))|((( | ||
| 588 | Do tejto kategórie spadajú všetky chyby a/alebo nedostatky spojené s používaním dodávanej softvérovej aplikácie, ktoré nie sú klasifikované ako závažné alebo kritické vady, pričom však čiastočne obmedzujú používanie dodávanej softvérovej aplikácie a vyžadujú si: | ||
| 589 | |||
| 590 | (i) Nastavenie parametrov systému Poskytovateľom | ||
| 591 | |||
| 592 | alebo | ||
| 593 | |||
| 594 | (ii) Vzniknutá vada a/alebo nedostatok má za príčinu miernu nepohodlnosť pri práci so softvérovou aplikáciou, ktorá je však funkčná. | ||
| 595 | ))) | ||
| 596 | |||
| 597 | \\ | ||
| 598 | |||
| 599 | Tabuľka č. 16 - Možný dopad | ||
| 600 | |||
| 601 | (% class="" %)|((( | ||
| 602 | **Označenie závažnosti incidentu** | ||
| 603 | )))|((( | ||
| 604 | **~ ** | ||
| 605 | |||
| 606 | **Dopad** | ||
| 607 | )))|((( | ||
| 608 | **Popis dopadu** | ||
| 609 | ))) | ||
| 610 | (% class="" %)|((( | ||
| 611 | **1** | ||
| 612 | )))|((( | ||
| 613 | **katastrofický** | ||
| 614 | )))|((( | ||
| 615 | katastrofický dopad, priamy finančný dopad alebo strata dát, | ||
| 616 | ))) | ||
| 617 | (% class="" %)|((( | ||
| 618 | **2** | ||
| 619 | )))|((( | ||
| 620 | **značný** | ||
| 621 | )))|((( | ||
| 622 | značný dopad alebo strata dát | ||
| 623 | ))) | ||
| 624 | (% class="" %)|((( | ||
| 625 | **3** | ||
| 626 | )))|((( | ||
| 627 | **malý** | ||
| 628 | )))|((( | ||
| 629 | malý dopad alebo strata dát | ||
| 630 | ))) | ||
| 631 | |||
| 632 | \\ | ||
| 633 | |||
| 634 | Tabuľka č. 17 - Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici | ||
| 635 | |||
| 636 | (% class="" %)|(% colspan="2" rowspan="2" %)((( | ||
| 637 | **Matica priority incidentov** | ||
| 638 | )))|(% colspan="3" %)((( | ||
| 639 | **Dopad** | ||
| 640 | ))) | ||
| 641 | (% class="" %)|((( | ||
| 642 | **Katastrofický - 1** | ||
| 643 | )))|((( | ||
| 644 | **Značný - 2** | ||
| 645 | )))|((( | ||
| 646 | **Malý - 3** | ||
| 647 | ))) | ||
| 648 | (% class="" %)|(% rowspan="3" %)((( | ||
| 649 | **Naliehavosť** | ||
| 650 | )))|((( | ||
| 651 | **Kritická - A** | ||
| 652 | )))|((( | ||
| 653 | 1 | ||
| 654 | )))|((( | ||
| 655 | 2 | ||
| 656 | )))|((( | ||
| 657 | 3 | ||
| 658 | ))) | ||
| 659 | (% class="" %)|((( | ||
| 660 | **Vysoká - B** | ||
| 661 | )))|((( | ||
| 662 | 2 | ||
| 663 | )))|((( | ||
| 664 | 3 | ||
| 665 | )))|((( | ||
| 666 | 3 | ||
| 667 | ))) | ||
| 668 | (% class="" %)|((( | ||
| 669 | **Stredná - C** | ||
| 670 | )))|((( | ||
| 671 | 2 | ||
| 672 | )))|((( | ||
| 673 | 3 | ||
| 674 | )))|((( | ||
| 675 | 4 | ||
| 676 | ))) | ||
| 677 | |||
| 678 | **~ ** | ||
| 679 | |||
| 680 | **Vyžadované reakčné doby:** | ||
| 681 | |||
| 682 | \\ | ||
| 683 | |||
| 684 | Tabuľka č. 18 - Vyžadované reakčné doby | ||
| 685 | |||
| 686 | (% class="" %)|((( | ||
| 687 | **Označenie priority incidentu** | ||
| 688 | )))|((( | ||
| 689 | **Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu** | ||
| 690 | )))|((( | ||
| 691 | **Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^** | ||
| 692 | )))|((( | ||
| 693 | **Spoľahlivosť ^^(3)^^** | ||
| 694 | |||
| 695 | (počet incidentov za mesiac) | ||
| 696 | ))) | ||
| 697 | (% class="" %)|((( | ||
| 698 | **1** | ||
| 699 | )))|((( | ||
| 700 | 0,5 hod. | ||
| 701 | )))|((( | ||
| 702 | 4 hodín | ||
| 703 | )))|((( | ||
| 704 | 1 | ||
| 705 | ))) | ||
| 706 | (% class="" %)|((( | ||
| 707 | **2** | ||
| 708 | )))|((( | ||
| 709 | 1 hod. | ||
| 710 | )))|((( | ||
| 711 | 12 hodín | ||
| 712 | )))|((( | ||
| 713 | 2 | ||
| 714 | ))) | ||
| 715 | (% class="" %)|((( | ||
| 716 | **3** | ||
| 717 | )))|((( | ||
| 718 | 1 hod. | ||
| 719 | )))|((( | ||
| 720 | 24 hodín | ||
| 721 | )))|((( | ||
| 722 | 10 | ||
| 723 | ))) | ||
| 724 | (% class="" %)|((( | ||
| 725 | **4** | ||
| 726 | )))|((( | ||
| 727 | 1 hod. | ||
| 728 | )))|(% colspan="2" %)((( | ||
| 729 | Vyriešené a nasadené v rámci plánovaných releasov | ||
| 730 | ))) | ||
| 731 | |||
| 732 | **~ ** | ||
| 733 | |||
| 734 | * (1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L3 a jeho prevzatím na riešenie. | ||
| 735 | |||
| 736 | \\ | ||
| 737 | |||
| 738 | * (2) DKVI znamená obnovenie štandardnej prevádzky - čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom (DKVI) sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný uchádzač oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu. | ||
| 739 | |||
| 740 | \\ | ||
| 741 | |||
| 742 | * (3) Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident. | ||
| 743 | |||
| 744 | \\ | ||
| 745 | |||
| 746 | * (4) Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia | ||
| 747 | |||
| 748 | 1. Majú prioritu 3 a nižšiu | ||
| 749 | 1. Vzťahujú sa výhradne k dostupnosti testovacieho prostredia | ||
| 750 | 1. Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite. | ||
| 751 | |||
| 752 | \\ | ||
| 753 | |||
| 754 | Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby: | ||
| 755 | |||
| 756 | * Služby systémovej podpory na požiadanie (nad paušál) | ||
| 757 | * Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál) | ||
| 758 | |||
| 759 | Pre tieto služby budú dohodnuté osobitné parametre dodávky. | ||
| 760 | |||
| 761 | // // | ||
| 762 | |||
| 763 | == {{id name="projekt_2562_Pristup_k_projektu_detailny-7.2PožadovanádostupnosťIS:"/}}7.2 Požadovaná dostupnosť IS: == | ||
| 764 | |||
| 765 | \\ | ||
| 766 | |||
| 767 | Tabuľka č. 19 - Požadovaná dostupnosť IS: | ||
| 768 | |||
| 769 | (% class="" %)|((( | ||
| 770 | **//Popis//** | ||
| 771 | )))|((( | ||
| 772 | **//Parameter//** | ||
| 773 | )))|((( | ||
| 774 | **//Poznámka//** | ||
| 775 | ))) | ||
| 776 | (% class="" %)|((( | ||
| 777 | **Prevádzkové hodiny** | ||
| 778 | )))|((( | ||
| 779 | 12 hodín | ||
| 780 | )))|((( | ||
| 781 | Služby pre obyvateľov Po – Pia 6:00 - 18:00 | ||
| 782 | |||
| 783 | Služby pre zamestnancov mesta Po – Pia, 7:00 - 19:00 | ||
| 784 | |||
| 785 | \\ | ||
| 786 | ))) | ||
| 787 | (% class="" %)|(% rowspan="2" %)((( | ||
| 788 | **Servisné okno** | ||
| 789 | )))|((( | ||
| 790 | 10 hodín | ||
| 791 | )))|((( | ||
| 792 | od 19:00 hod. - do 5:00 hod. počas pracovných dní | ||
| 793 | ))) | ||
| 794 | (% class="" %)|((( | ||
| 795 | 24 hodín | ||
| 796 | )))|((( | ||
| 797 | od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov | ||
| 798 | |||
| 799 | Servis a údržba sa bude realizovať mimo pracovného času. | ||
| 800 | ))) | ||
| 801 | (% class="" %)|((( | ||
| 802 | **Dostupnosť produkčného prostredia IS** | ||
| 803 | )))|((( | ||
| 804 | 97% | ||
| 805 | )))|((( | ||
| 806 | · 97% z 24/7/365 t.j. max ročný výpadok je 10,95 dňa. | ||
| 807 | |||
| 808 | · Maximálny mesačný výpadok je 21,9 hodiny. | ||
| 809 | |||
| 810 | · Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni. | ||
| 811 | |||
| 812 | · Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L3 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS. | ||
| 813 | |||
| 814 | · V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu. | ||
| 815 | ))) | ||
| 816 | |||
| 817 | // // | ||
| 818 | |||
| 819 | === {{id name="projekt_2562_Pristup_k_projektu_detailny-7.2.1Dostupnosť(Availability)"/}}7.2.1 Dostupnosť (Availability) === | ||
| 820 | |||
| 821 | // // | ||
| 822 | |||
| 823 | Dostupnosť znamená, že dáta sú prístupné v okamihu jej potreby. Narušenie dostupnosti sa označuje ako nežiaduce zničenie (destruction) alebo nedostupnosť. Dostupnosť je zvyčajne vyjadrená ako percento času v danom období, obvykle za rok.// //V projekte sa uvažuje// //**97% dostupnosť** znamená výpadok 10,95 dňa | ||
| 824 | |||
| 825 | === {{id name="projekt_2562_Pristup_k_projektu_detailny-7.2.2RTO(RecoveryTimeObjective)"/}}7.2.2 RTO (Recovery Time Objective) === | ||
| 826 | |||
| 827 | V rámci projektu sa očakáva tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni | ||
| 828 | |||
| 829 | === {{id name="projekt_2562_Pristup_k_projektu_detailny-7.2.3RPO(RecoveryPointObjective)"/}}7.2.3 RPO (Recovery Point Objective) === | ||
| 830 | |||
| 831 | V rámci projektu sa očakáva tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni | ||
| 832 | |||
| 833 | \\ | ||
| 834 | |||
| 835 | = {{id name="projekt_2562_Pristup_k_projektu_detailny-8.Požiadavkynapersonál"/}}8. Požiadavky na personál = | ||
| 836 | |||
| 837 | Projektový manažér - Projektový manažér riadi projekt v súlade so Zmluvou o poskytnutí́ NFP, usmerneniami a pokynmi poskytovateľa súvisiacimi s čerpaním fondov EÚ a komunikáciu s SO, zmluvou o poskytnutí NFP a ďalšími relevantnými riadiacimi dokumentmi a usmerneniami riadiaceho orgánu alebo sprostredkovateľského orgánu, zodpovednosť za činnosti súvisiace s podpornými aktivitami publicity projektu. | ||
| 838 | |||
| 839 | \\ | ||
| 840 | |||
| 841 | Manažér kybernetickej a informačnej bezpečnosti - zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti. Koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti | ||
| 842 | |||
| 843 | \\ | ||
| 844 | |||
| 845 | Finančný manažér - príprava podkladov pre žiadosti o platbu, príprava a nahrávanie samotných žiadostí o platbu, príprava podkladov pre monitorovanie projektu, príprava a nahrávanie samotných monitorovacích správ, prípravu podkladov pre verejné obstarávania k projektu, príprava kontrol verejných obstarávaní, práce súvisiace so zmenami na projekte, komunikácia s RO a pod. | ||
| 846 | |||
| 847 | Špecialista pre publicitu - Bude zabezpečovať publicitu projektu a informovanosť v súlade s Manuálom pre informovanie a komunikáciu pre prijímateľov OPII 2014 – 2020 a spolupracovať s používateľmi riešenia v rámci prieskumov spokojnosti. | ||
| 848 | |||
| 849 | \\ | ||
| 850 | |||
| 851 | \\ | ||
| 852 | |||
| 853 | = {{id name="projekt_2562_Pristup_k_projektu_detailny-9.Implementáciaapreberanievýstupovprojektu"/}}9. Implementácia a preberanie výstupov projektu = | ||
| 854 | |||
| 855 | \\ | ||
| 856 | |||
| 857 | Projekt bude realizovaný prostredníctvom 1 inkrementu. Keďže v rámci projektu budú realizované analytické aktivity, ako napr. Analýza súčasného stavu vo forme auditu sú aktivity týkajúce sa samotného vývoja/návrhu systémov v pláne po ukončení verejného obstarávania. | ||
| 858 | |||
| 859 | Následne realizácia implementačných prác bude realizovaná agilným prístupom so zohľadňovaním výsledkom ďalších aktivít projektu. Pri agilných metódach práce sa realizujú malé porcie výsledkov v každom vývojovom cykle, iterácii, v tesnej spolupráci so zákazníkom. | ||
| 860 | |||
| 861 | \\ | ||
| 862 | |||
| 863 | // // | ||
| 864 | |||
| 865 | = {{id name="projekt_2562_Pristup_k_projektu_detailny-10.Prílohy"/}}10. Prílohy = | ||
| 866 | |||
| 867 | // // | ||
| 868 | |||
| 869 | \\ | ||
| 870 | |||
| 871 | \\ | ||
| 872 | |||
| 873 | \\ | ||
| 874 | |||
| 875 | [[~[1~]>>path:#_ftnref1||name="_ftn1" shape="rect"]] Vykonávacie rozhodnutie Komisie (EÚ) 2017/863 z 18. mája 2017, ktorým sa aktualizuje verejná open source softvérová licencia Európskej únie (EUPL) v záujme ďalšej podpory zdieľania a opätovného používania softvéru vyvinutého verejnými správami (Ú. v. EÚ L 128, 19. 5. 2017). | ||
| 876 | |||
| 877 | [[~[2~]>>path:#_ftnref2||name="_ftn2" shape="rect"]] Viď Koncepcia nákupu IT vo verejnej správe, [[https:~~/~~/sp.vicepremier.gov.sk/verejne-obstaravanie-IKT/Verejn/2019_05_16_Koncepcia_nakupu_IT_s%20prilohami_schvalene_znenie.pdf>>url:https://sp.vicepremier.gov.sk/verejne-obstaravanie-IKT/Verejn/2019_05_16_Koncepcia_nakupu_IT_s%20prilohami_schvalene_znenie.pdf||shape="rect"]] |