projekt_2590_Pristup_k_projektu_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/14 17:46

PRÍSTUP K PROJEKTU

Povinná osoba

Univerzita Konštantína Filozofa v Nitre

Názov projektu

Podpora KIB na UFK v Nitre

Zodpovedná osoba za projekt

Ľubica Lachká

 

Realizátor projektu

Univerzita Konštantína Filozofa v Nitre

Vlastník projektu

Univerzita Konštantína Filozofa v Nitre

 

Schvaľovanie dokumentu

Položka

Meno a priezvisko

Organizácia

Pracovná pozícia

Dátum

Podpis

(alebo elektronický súhlas)

Vypracoval

PhDr. Vladimíra Pazderová, PhD.

Novo Funding

Projektový manažér

11.7.2024

 

Schválil

RNDr. Ján Skalka, PhD.

Univerzita Konštantína Filozofa v Nitre

Vedúci katedry

Katedra Informatiky/ predseda Rady IKT UKF v Nitre

18.7.2024

 

 

1.    História dokumentu

Verzia

Dátum

Zmeny

Meno

1.0

11.7.2024

Prvá verzia dokumentu

PhDr. Vladimíra Pazderová, PhD.

1.1

18.7.2024

Druhá verzia dokumentu /so zapracovaním pripomienok/

 PhDr. Vladimíra Pazderová, PhD.

2.    Účel dokumentu

V súlade s Vyhláškou 401/2023 Z.z. dokument popisuje nasledovné oblasti:

  • Opis navrhovaného riešenia
  • Architektúra riešenia projektu na úrovni biznis vrstvy
  • Architektúra riešenia projektu na úrovni aplikačnej vrstvy
  • Architektúra riešenia projektu na úrovni dátovej vrstvy
  • Architektúra riešenia projektu na úrovni technologickej vrstvy
  • Infraštruktúra navrhovaného riešenia
  • Bezpečnostná architektúra
  • Špecifikácia údajov spracovaných v projekte, čistenie údajov
  • Závislosti na ostatné IS/Projekty
  • Zdrojové kódy
  • Prevádzka a údržba výstupov projektu
  • Požiadavky na personál
  • Implementácia a preberanie výstupov projektu

Dokument rozpracováva detailné informácie v rámci prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

2.1       Použité skratky a pojmy

SKRATKA/POJEM

POPIS

KIB

Kybernetická a informačná bezpečnosť

IS

Informačný systém

SLA

Service Desk Manager

SW

Softvér

ISVS

Informačný systém verejnej správy

MCA

Multikriteriálna analýza

PZS

Poskytovateľ základnej služby

NKIVS

Národná koncepcia informatizácie verejnej správy

2.2       Konvencie pre typy požiadaviek (príklady)

Na označenie čísla položky sa v dokumente používa prefix ID a poradové číslo položky.

3.    Popis navrhovaného riešenia

Projekt " Podpora KIB na UFK v Nitre" je zameraný na zásadné zlepšenie ochrany informačných systémov a infraštruktúry. Tento projekt je navrhnutý tak, aby reagoval na súčasné a budúce bezpečnostné výzvy, pričom zároveň zabezpečuje súlad s legislatívnymi požiadavkami a normami v oblasti kybernetickej bezpečnosti. 

Biznis architektúra projektu definuje kľúčové biznis procesy, ktoré budú optimalizované a chránené prostredníctvom technologických a organizačných opatrení. Tieto procesy zahŕňajú detekciu a reakciu na bezpečnostné incidenty, správu a analýzu dát, ako aj vzdelávanie a školenie zamestnancov. Cieľom je dosiahnuť vysokú úroveň ochrany dát, zabezpečenie nepretržitej dostupnosti služieb a posilnenie kybernetickej odolnosti organizácie. 

Aplikačná architektúra sa zameriava na implementáciu a integráciu jednotnej platforma KIB, ktorá umožní prevzatie kontroly nad viacerými  kybernetickými rizikami na báze holistického prístupu s komplexnými možnosťami prevencie, detekcie a reakcie využívajúcimi umelú inteligenciu, popredný výskum hrozieb a spravodajské informácie. Táto platforma bude integrovaná s existujúcimi IT systémami univerzity a poskytne centralizovaný prehľad o bezpečnostnom stave a rýchlu reakciu na incidenty. 

Technologická architektúra pokrýva všetky aspekty univerzitou využívaných IT technologických vrstiev, od ochrany perimetra aj interných bezpečnostných zón univerzitnej siete, inventarizáciu zdrojov a adresného priestoru, cez ochranu staníc a serverov.

Navrhované riešenie bude realizovaná na báze Cloud based riešení  s inštaláciou lokálnych agentov na všetkých staniciach a serveroch univerzitnej siete a implementáciou dvoch minimalistických Secure Gateway virtuálnych appliance pre komunikáciu medzi lokálnymi zdrojmi riešenia a cloud infraštruktúrou výrobcu.

Pokročilé bezpečnostné nástroje zabezpečia ochranu kritických dát a systémov. 

Tento projekt predstavuje komplexné riešenie kybernetickej a informačnej bezpečnosti, ktoré je navrhnuté tak, aby zodpovedalo najvyšším štandardom ochrany a efektivity. Zavedením moderných technológií a postupov sa výrazne zvýši úroveň bezpečnosti a zabezpečí kontinuita kritických služieb. Realizácia tohto projektu bude vyžadovať značné investície, avšak prínosy z hľadiska zvýšenej bezpečnosti a odolnosti sú neoceniteľné. Projekt je navrhnutý s ohľadom na budúce rozširovanie a prispôsobenie sa novým bezpečnostným výzvam, čo zabezpečí dlhodobú udržateľnosť a efektívnosť investícií.

Č.

Oblasť

Popis

Výstupy

Dopad/následok

1.

Oblasť riadenia rizík

Táto oblasť bude zameraná na identifikáciu všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôveryhodnosť, dostupnosť a integritu. Vyššie uvedené úlohy zabezpečí jednotná platformu KIB, ktorá  je vybavená „endpoint protection“ agentom a poskytuje kompletné riešenia inventarizácie ako aj kalkulovaný prehľad o aktuálnom a historickom riziku. Vďaka možnosti integrácie riešení ponúkaných v rámci Jednotnej platformy KIB so systémom NG-IPS TippingPont, ktorý využíva UKF v Nitre v súčasnosti na zabezpečenie KIB, čo bude v budúcnosti umožňovať identifikovať a riadiť riziká aktív aj bez prítomnosti „endpoint protection“.  Jednotná platforma KIB umožní detekovať informácie v rámci sieťovej prevádzky aktív priamo v prostredí NG – IPS v rámci internej časti siete organizácie ako aj v rámci DMZ a integrovať tieto informácie do systému. Na základe možnosti operátorsky ladiť hodnoty každého aktíva existuje možnosť upraviť výsledné skóre rizika tak, aby reflektovalo dôležitosť daného aktíva (hlavne pre servery a aplikácie). Jednotná platforma KIB  na základe výsledkov detekcie navrhuje jednotlivé kroky opatrenia na zníženie rizika a upozorňuje na stupeň kritickej zraniteľnosti, ktoré je potrebné okamžite riešiť.
 

1.     Identifikácia a inventarizácia všetkých aktív,

2.     Nástroj pre inventarizáciu aktív v rámci jednotnej platformy KIB,

3.     Analýza a manažment rizík,

4.     Smernica o riadení rizík kybernetickej a informačnej bezpečnosti.

 

- zníženie zraniteľnosti vyplývajúcej s nedostatočného riadenia rizík a opatrení v oblasti KB

2.

Oblasť bezpečnosti pri prevádzke informačných systémov a sietí

V tejto oblasti sa UKF v Nitre sústredí na

1.     Zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, kapacít, inštalácie softvéru a zariadení v sieťach a informačných systémoch, ako aj zaznamenávanie bezpečnostných záznamov a zaznamenávanie/vyhodnocovanie prevádzkových záznamov. Na realizáciu týchto aktivít bude využívať jednotná platforma KIB , ktorá je schopná vytvárať bezpečnostné záznamy a v štruktúrovanej forme ich transferovať do Logmanagera – t.j. nástroja systému na zaznamenávanie bezpečnostných a dôležitých prevádzkových záznamov inštitúcie.

2.     Implementáciu technických riešení podporujúcich riadenie bezpečnosti pri prevádzke. Pôjde najmä o riadenie evidencie a schvaľovania zmien, evidenciu bezpečnostných incidentov a zabezpečenie  konfigurácie manažmentu bezpečnostných nastavení. Jednotná platforma KIB je schopná zabezpečiť vyššie definované kroky. Obsahuje viaceré komponenty, ktoré sú určené na evidenciu bezpečnostných incidentov. Umožňujú:

a.     Identifikáciu bezpečnostného incidentu na základe vyhodnotenia série bezpečnostných udalostí v rámci výstupu z činností XDR, endpoint protection a NG-IPS.

b.     Automatické alebo operátorsky iniciované vytvorenie stopy pre forenznú analýzu s centrálnym úložiskom odtlačkov a následnú realizáciu forenznej analýzy.

c.      Presnú dokumentáciu prideľovaných a realizovaných krokov reakcie na detekované bezpečnostné incidenty na základe využívania ticketovacieho systému

 

1.     Smernica v oblasti riadenia zmien, kapacít, inštalácie softvéru a zariadení v sieťach a informačných systémoch

2.     Nástroj riadenia bezpečnosti pri prevádzke v rámci jednotnej platformy KIB.

- zníženie zraniteľnosti - zrýchlenie reakcie pri bezpečnostných incidentoch (okamžité upozornenia na neobvyklé udalosti)

 

3.

Oblasť hodnotenia zraniteľnosti a bezpečnostné aktualizácie

1.     Zavedenie, implementácia/aktualizácia nástroja určeného na detegovanie existujúcich zraniteľností programových a technických prostriedkov, resp. ich častí. Navrhovaná jednotná platforma KIB bude schopná pokryť vyššie uvedené funkcionality na základe ich  implementácie do interných zariadení, systémov fungujúcich na internete, kontejnerov a cloud VM systémov, ktoré v súčasnosti UKF v Nitre využíva.

2.     Implementácia nástroja na centrálne riadenie a aplikovanie bezpečnostných záplat. Prostredníctvom systému Jednotná platforma KIB bude zabezpečená identifikácia rizík (vrátane chýbajúcich záplat), nie vlastný patch- manažment.

1.     Funkcia detegovania existujúcich zraniteľností programových a technických prostriedkov v rámci jednotnej platformy KIB

2.     Nástroj centrálneho riadenia a aplikovania bezpečnostných záplat  rámci jednotnej platformy KIB.

- zníženie zraniteľnosti vyplývajúcej s nedostatočnej kontroly zraniteľností technických a programových prostriedkov

4.

Oblasť ochrany proti škodlivému kódu

1.     Vypracovanie interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovanie potenciálnych ciest prieniku škodlivého kódu, pričom jednotná platforma KIB bude poskytovať oporu pre realizáciu tohto organizačného opatrenia prostredníctvom komponentu „endpoint protection“.

2.     Implementáciu/aktualizáciu nástrojov na ochranu, ktoré vykonávajú kontrolu prístupu k  digitálnemu obsahu, pravidelné kontroly úložísk vrátane „cloudových“ riešení, ktoré zabraňujú prístupu neoprávnených používateľov na základe filtrovania obsahu a zamedzenia odinštalovania/zakázania funkcie na ochranu proti škodlivému kódu, ktoré budú zabezpečované prostredníctvom komponentu „end point protection“ jednotnej platformy KIB.

3.     Implementáciu centralizovaného systému riešenia ochrany pred škodlivým kódom  s pravidelným monitorovaním vrátane detekcie inštalácie nelegálneho obsahu/škodlivého softvéru prostredníctvom služby implementácie centralizovaného systému ochrany pred škodlivým kódom  s pravidelným monitorovaním vrátane detekcie inštalácie nelegálneho obsahu/škodlivého softvéru, ktorá je súčasťou jednotnej platformy KIB.

 

1.     Smernica na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovanie potenciálnych ciest prieniku škodlivého kódu .

2.     Nástroj na riadenie prístupu v rámci jednotnej platformy KIB.

- zníženie zraniteľnosti vyplývajúcej s nedostatočnej ochrany proti škodlivému kódu

5.

Oblasť sieťovej a komunikačnej bezpečnosti

1.     Implementáciu automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, blokovanie neoprávnených spojení, monitorovanie bezpečnosti, detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností  prostredníctvom NG-IPS TippingPoint už implementovaného v rámci UKF v Nitre. Nasadením riešenia v rámci jednotnej platformy KIB dôjde k obojstrannej integrácii NG-IPS do centrálnej konzoly dohľadu bezpečnosti a prepojenia získavaných bezpečnostných informácií do celého procesu riadenia bezpečnosti organizácie. Nájdené podozrivé objekty budú automaticky distribuované do NG-IPS a bude zaistená ich ďalšia sieťová detekcia a prípadne aj blokácia.

2.     Implementáciu sond detekcie a prevencie prieniku, najmä na serveroch podporujúcich základné služby informačných technológií verejnej správy. Táto bude realizovaná prostredníctvom „host based intrusion prevention systému“ (implementácia sond na hosťoch) s centrálnym riadením pre všetky koncové stanice aj servery, ktoré sú súčasťou zariadenia „end point protection“ fungujúceho v rámci jednotnej platformy KIB.  Pre servery bude navyše riešená  integrácia ochrany IPS nielen pre operačný systém, ale aj pre inštalované aplikácie ako aj  kontrola integrity systému.

 

1.     Nástroj na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, blokovanie neoprávnených spojení, monitorovanie bezpečnosti, detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky v rámci jednotnej platformy KIB.

2.     Sondy detekcie a prevencie preniku na definovanýchserveroch.

- zníženie zraniteľnosti - zrýchlenie reakcie pri bezpečnostných incidentoch (okamžité upozornenia na neobvyklé udalosti)

 

6.

Oblasť zaznamenávania udalostí a monitorovania

1.     Implementácie centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov, pričom technické opatrenie je už na UKF v Nitre čiastočne implementované v rámci existujúceho systému Logmanager. V novom riešení bude jednotná platforma KIB v rámci log-manažmentu umožňovať aj ukladanie bezpečnostných logov.

2.     Implementáciu centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM) prostredníctvom jednotnej platformy KIB.

3.     Obstarania služby kontroly záznamov (SOC as a service) na dennej báze, vrátane podpory analýzy bezpečnostne relevantných udalostí a vykonávanie bezpečnostného dohľadu v režime 24/7 prostredníctvom vytvorenia a prevádzkovania Bezpečnostného operačného strediska (SOC) s monitoringom 24*7 a riešením odpovedí na detekované bezpečnostné incidenty (Incident Response Retainer).

 

1.     Nástroj na centrálny Log manažment  v rámci jednotnej platformy KIB.

2.     Funkcionalita SIEM v rámci jednotnej platformy KIB.

3.     Služba SOC 24/7

- zníženie zraniteľnosti - zrýchlenie reakcie pri bezpečnostných incidentoch (okamžité upozornenia na neobvyklé udalosti)

- zníženie zraniteľnosti vyplývajúcej z nízkej dostupnosti poskytovania služieb. 

7.

Oblasť riešenia kybernetických bezpečnostných incidentov

1.     Obstaranie služby monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov prostredníctvom funkcionality systému jednotnej platformy KIB .

2.     Implementáciu nástroja na detekciu,  zber a nepretržité vyhodnocovanie ako aj  evidenciu kybernetických bezpečnostných udalostí implementácie služby jednotnej platformy KIB.

3.     Vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov na základe zahrnutia/opisu funkcionality kybernetických bezpečnostných incidentov do existujúcich dokumentov KIB na UKF v Nitre

1.     Služba monitorovania a analyzovania udalostí v sieťach a informačných systémoch.

2.     Nástroja na detekciu,  zber a nepretržité vyhodnocovanie ako aj  evidenciu kybernetických bezpečnostných udalostí v rámci jednotnej platformy KIB.

3.     Plánov a postupy riešenia kybernetických bezpečnostných incidentov na základe kybernetických bezpečnostných incidentov.

- zníženie zraniteľnosti - zrýchlenie reakcie pri bezpečnostných incidentoch (okamžité upozornenia na neobvyklé udalosti)

 

8.

Oblasť implementácie služieb jednotnej platformy kybernetickej bezpečnosti

Táto oblasť bude zameraná na zabezpečenie bezproblémového chodu platformy KIB a bude zameraná na:

1.     Obsluhu riešení pri nastavovaní konfigurácie, vytváraní a ladení politík do služieb EndPoint Protection, zaškolenie obsluhy,  konzultácie a replikácie v prostredí Compunet laboratória.

2.     Dodatočnú analýzu vzoriek, nadviazanie podozrivých objektov na automatickú karanténu NGIPS Tipping Point na automatické blokovanie závadných spojení.

3.     Prevádzkovanie vzdialeného prístupu na server s podozrivou činnosťou, realizácia forenznej analýzy, poskytovanie spätnej väzby na UKF v Nitre.

4.     Manažment rizík a bezpečnostný audit nad dátami v rámci SOC – pravidelné komentované reporty o úrovni rizika pre vedenie UKF v Nitre, upozornenie pre IT tím na nezaplátané kritické zraniteľnosti v prostredí UKF v Nitre, návrhy workaround riešení pre akceptované riziká a ich zohľadnenie pri celkovom vyhodnotení rizika...
 

1.     Jednotná platforma kybernetickej bezpečnosti

- zníženie zraniteľnosti vyplývajúcej z nedostatočnej kontroly obsahu, monitorovania a analýzy informácií (únik informácií z vnútra, bezpečnostné incidenty)

- zníženie zraniteľnosti vyplývajúcej z potencionálnych sieťových útokov na infraštruktúru MsÚ (DDoS, password attack, spoofing, neautorizovaný prístup..)

9.

Oblasť posilnenia ľudských zdrojov v oblasti KIB

Manažér bude zodpovedať najmä za tvorbu strategických a implementačných politík na UKF v Nitre,  ako aj za  priebežný monitoring a evaluáciu v oblasti celkového riadenia KIB, interné riadenie hrozieb a rizík, vytváranie a aplikovanie interných bezpečnostných opatrení,  riadenie súladu vnútorných a vonkajších strategických dokumentov a politík, definovanie štandardov v oblasti bezpečnosti a výkon operatívnych bezpečnostných činností na UKF v Nitre.

 

1.     Vypracovanie bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení

2.     Vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti KIB

- zníženie zraniteľnosti vyplývajúcej z nedostatočného dodržiavania opatrení v oblasti KB  

10.

Oblasť vyhodnotenia dopadu prijatých opatrení na zvýšenie KIB

Vykonanie auditu a na začiatku a na konci projektu poskytne hodnotný prehľad o efektívnosti prijatých opatrení a pomôže identifikovať ďalšie možnosti zlepšenia.

1.     Audit kybernetickej bezpečnosti v zmysle platného zákona o kybernetickej bezpečnosti. 

a.     Vykonaný audit 

b.     Záverečná správa o výsledkoch vykonaného auditu 

 

- vyhodnotenie dopadu prijatých opatrení na zvýšenie kybernetickej bezpečnosti 

Tabuľka 1 Zoznam opatrení implementovaných v rámci projektu

4.    Architektúra riešenia projektu

Opatrenia, ktoré sú predmetom projektu sú zamerané na zabezpečenie prevádzky základnej služby resp. zabezpečenie najmä dôvernosti, dostupnosti a integrity ako služby tak aj samotných informácií.

Na prevádzke danej základnej služby sa podieľajú tieto systémy:

  • Dokumentový systém - DOC 
  • Vzdelávací elearningový systém - EDU
  • UNIstudent
  • Cominfo Passport
  • Cominfo Cardpay
  • Cominfo Access
  • RDSS
  • Akademický informačný systém
  • Webmail zamestnanci
  • Webmail studenti
  • Osys
  • Portal ukf
  • Vykazy prace
  • Sprava projektov

 

AS IS stav

Aktuálny prístup do LAN a z LAN na UKF v Nitre je riadený prostredníctvom  firewalu (platforma Linux nastroj: ebtables/iptables). LAN UKF je rozdelená na podsiete (technológia VLAN) podľa účelu, na ktorý slúžia. Komunikácia medzi jednotlivými VLAN je riadená opäť firewalom, ako aj komunikácia z WAN do jednotlivých VLAN. Ďalej je všetka komunikácia z WAN do DMZ a LAN UKF kontrolovaná na zraniteľnosť a nežiadúci kód pomocou NG-IPS TrendMicro TippingPoint s nastaveným profilom, ktorý kladie doraz na bezpečnosť pred rýchlosťou (security optimized). IPS kontroluje aj prevádzku medzi jednotlivými VLAN navzájom ako aj komunikáciu VLAN smerom do WAN/DMZ. Na IPS taktiež prebieha inšpekcia SSL komunikácie na všetky dôležité servery, ktoré sú umiestnene DMZ UKF.

Bezpečnostné incidenty sú v reálnom čase notifikovane administrátorom a zaznamenávané v logovacej platforme Logmanager, kde sú pomocou špecializovaného dashboardu vizualizované pre prehľadný dohľad obsluhy nad prevádzkou. Logmanager zaznamenáva logy aj z ďalších serverov a infraštruktúry UKF v Nitre (kompletnú prevádzku FW/IPS,  DHCP, rádius, ldap, mail) pre účely lepšej vizualizácie prevádzky pomocou špecializovaných dashboardov. Tento systém napomáha skorému odhaleniu nedostatkov a problémov v LAN UKF obsluhou. Zaznamenane logy umožňujú vďaka prepojeniam ľahko a rýchlo vyhľadať aj zdrojovú adresu prípadného útočníka, ci sa nachádza na internete alebo v lokálnej sieti a vykonávať takéto vyhľadávanie až 1/2roku spätne. Samozrejmosťou je dôveryhodné časové razítko a unikátny identifikátor pre každú zaznamenanú udalosť. UKF aktuálne pripravuje nasadenie zálohovania všetkých uložených údajov tak, aby sa retencia ukladaných logov predĺžila na 2 roky.

Prístup do WIFI siete (eduroam) je riadený službou rádius s overovaním identít voči LDAP serveru (Open LDAP), ktorý je aktualizovaný na dennej báze na základe HR informačných zdrojov z AIS a SAP Sofia. Aktuálne pracujeme na implementácii identického prístupu riadenia na všetky LAN porty v počítačovej sieti UKF v Nitre, kde je aktuálne riadený prístup na základe registrácie MAC adresy koncovej stanice a jej následne zviazanie s pridelenou IP adresou vo firewalle. Aj výsledky týchto operácií sú kompletne logovane.

Zálohovanie údajov UKF v Nitre prebieha na dennej báze pre vybrané servery pomocou nástroja Veritas  NetBackup, prípadne inou formou, podľa uváženia administrátora konkrétneho systému.

TO BE stav

Cieľom nášho projektu je posilniť KIB na UKF v Nitre viacerými formami. Zabezpečením jednotnej platformy kybernetickej bezpečnosti, ktorá umožní prevzatie kontroly nad viacerými  kybernetickými rizikami na báze holistického prístupu s komplexnými možnosťami prevencie, detekcie a reakcie využívajúcimi umelú inteligenciu, popredný výskum hrozieb a spravodajské informácie. Požiadavky na platformu KIB budú nadväzovať na existujúci systém KIB (zariadenia/hardvér/softvér), ktoré momentálne UKF v Nitre v tejto oblasti využíva. Na základe aktuálnych potrieb a výstupov auditu boli identifikované nasledovné produkty ako forma opatrení pre zvýšenie aktuálneho stavu KIB na UKF.

Produkt

Popis

Trend Vision One - Endpoint Security (Essentials)

 

Zabezpečuje základnú ochranu endpointov vrátane antivírusu, anti-malware, firewallu a prevencie pred hrozbami.

Trend Vision One - Endpoint Security (Pro)

Ponúka pokročilú ochranu endpointov vrátane detekcie a reakcie na hrozby (EDR), zabezpečenie emailov a šifrovanie dát.

Trend Vision One Attack Surface Risk Management for on-premise desktops and servers

Riadenie rizík a identifikácia zraniteľností na desktopoch a serveroch, poskytuje prehľad o aktuálnom a historickom riziku.

Managed XDR, Endpoints, Servers & Cloud Workloads (Messaging included)

 

Poskytuje riadenú detekciu a reakciu na hrozby pre endpointy, servery a cloudové pracovné zaťaženia vrátane zabezpečenia emailov.

Trend Micro Vision One Credits, Academic, (Sandbox)

 

Poskytuje prístup k sandbox analýze, ktorá izoluje a analyzuje podozrivé súbory a URL adresy v bezpečnom prostredí.

Trend Micro Vision One Credits, Academic, (Forensis)

Umožňuje forenznú analýzu incidentov s podrobnou dokumentáciou a identifikáciou stôp hrozieb.

TippingPoint vSMS Enterprise Virtual Appliance

Virtuálna appliance pre správu a monitoring TippingPoint zariadení.

TippingPoint 8200TX HW

Hardvérové zariadenie poskytujúce ochranu pred sieťovými hrozbami.

TippingPoint 3Gbps TPS Inspection

Inšpekcia sieťovej prevádzky s detekciou a prevenciou hrozieb.

TippingPoint 3Gbps TPS ThreatDV

Aktualizácia hrozieb a podpora pre TippingPoint zariadenia.

V nadväznosti na jednotlivé oblasti KIB v tabuľke dole uvádzame ktoré oblasti budú danými obstarávanými produktami riešené.

Č.

Oblasť

Popis

1.

Oblasť riadenia rizík

1.     Trend Vision One Attack Surface Risk Management for on-premise desktops and servers

2.

Oblasť bezpečnosti pri prevádzke informačných systémov a sietí

1.     Trend Vision One - Endpoint Security (Essentials)

2.     Trend Vision One - Endpoint Security (Pro)

3.

Oblasť hodnotenia zraniteľnosti a bezpečnostné aktualizácie

1.     Trend Vision One - Endpoint Security (Pro)

2.     Trend Vision One Attack Surface Risk Management for on-premise desktops and servers

4.

Oblasť ochrany proti škodlivému kódu

1.     Trend Vision One - Endpoint Security (Essentials)

2.     Trend Vision One - Endpoint Security (Pro)

5.

Oblasť sieťovej a komunikačnej bezpečnosti

1.     TippingPoint vSMS Enterprise Virtual Appliance

2.     TippingPoint 8200TX HW

3.     TippingPoint 3Gbps TPS Inspection

4.     TippingPoint 3Gbps TPS ThreatDV

6.

Oblasť zaznamenávania udalostí a monitorovania

1.     Trend Micro Vision One Credits, Academic, (Sandbox)

2.     Trend Micro Vision One Credits, Academic, (Forensis)

7.

Oblasť riešenia kybernetických bezpečnostných incidentov

1.     Managed XDR, Endpoints, Servers & Cloud Workloads (Messaging included)

2.     Trend Micro Vision One Credits, Academic, (Forensis)

8.

Oblasť implementácie služieb jednotnej platformy kybernetickej bezpečnosti

1.     Managed XDR, Endpoints, Servers & Cloud Workloads (Messaging included)

2.     Trend Micro Vision One Credits, Academic, (Sandbox)

9.

Oblasť posilnenia ľudských zdrojov v oblasti KIB

1.     Táto oblasť bude pokrytá obsadením pozície manažéra KIB, ktorá bude zodpovedná za vypracovanie povinnej bezpečnostnej dokumentácie ako aj dohľad nad implementáciou jednotlivých opatrení a ich monitoring ako aj finálne prevzatie.

10.

Oblasť vyhodnotenia dopadu prijatých opatrení na zvýšenie KIB

1.     Na konci projektu bude vykonaný audit, ktorý potvrdí naplnenie jednotlivých cieľov a teda zvýšenie KIB na UKF.

Tabuľka 2 Mapovanie bezpečnostných opatrení na jednotlivé oblasti KIB

  • V biznis vrstve máme "Zvýšenie úrovne KIB" ktorému slúžia služby Detekcia a reakcia na bezpečnostné incidenty, Zabezpečenie dostupnosti základnej služby a Manažovanie KIB ktoré sú nevyhnutné pre efektívne riadenie bezpečnostných rizík a zabezpečenie dôvernosti dát. Tieto procesy sú podporované tímom pre kybernetickú bezpečnosť, čo zabezpečuje, že organizácia má potrebné odborné znalosti a zdroje na riadenie a implementáciu bezpečnostných stratégií. Aktualizácie a implementácia smerníc a plánov pre rozvoj IT je dôležitou pre zabezpečenie správneho manažmentu KIB v organizácii.
  • V aplikačnej vrstve je implementovaná Jednotná platforma KIB, ktorá umožní prevzatie kontroly nad viacerými  kybernetickými rizikami na báze holistického prístupu s komplexnými možnosťami prevencie, detekcie a reakcie využívajúcimi umelú inteligenciu, popredný výskum hrozieb a spravodajské informácie. Platforma bude poskytovať tieto kľúčové aplikačné služby:
  • Detegovanie existujúcich zraniteľností programových a technických prostriedkov a ich manažment
  • Filtrovanie sieťového obsahu, VPN, IPS
  • Detekcia incidentov, zraniteľností, Analýza bezpečnostných logov
  • Konfiguračný manažment
  • Riadenie prístupov
  • Riadenie rizík

Táto platforma a jej základné služby sú dôležitými blokmi pre detekciu a reakciu na potenciálne hrozby a incidenty.

  • Na technologickej vrstve je umiestnená serverová a sieťová infraštruktúra, ktoré poskytujú potrebné hardvérové a sieťové zdroje pre fungovanie aplikačných komponentov. Riešenie bude realizované na báze Cloud based riešení s inštaláciou lokálnych agentov na všetkých staniciach a serveroch univerzitnej siete a implementáciou dvoch minimalistických Secure Gateway virtuálnych appliance pre komunikáciu medzi lokálnymi zdrojmi riešenia a cloud infraštruktúrou výrobcu.

Obrázok 1 Architektúra TO BE stav

4.1       Biznis vrstva

AS IS stav

Univerzita Konštantína Filozofa v Nitre (ďalej „UKF“) momentálne nespadá pod Zákon o kybernetickej bezpečnosti, ale s pripravovanou transpozíciou smernice NIS2 do slovenskej legislatívy bude musieť plniť požiadavky vyplývajúce z tejto legislatívy. Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na Univerzite Konštantína Filozofa v Nitre“ (ďalej len „projekt“) bol vypracovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti na UKF a zabezpečiť súlad so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti.

Informačné a komunikačné systémy univerzity sú prostriedky zabezpečujúce realizáciu činností potrebných pri prevádzke univerzity, ktoré sa vykonávajú pomocou počítačového spracovania údajov a uskutočňujú sa v prostredí infraštruktúry univerzity. Správa týchto systémov je v kompetencii Centra informačných a komunikačných technológií (Centrum IKT). Centrum IKT zabezpečuje bežnú prevádzku počítačových a telekomunikačných sietí, informačných systémov a osobných počítačov. Orientuje sa na rozvoj a zavádzanie nových technológií, ako i podporu používateľov v rámci univerzity. Všetky objekty univerzity umožňujú bezdrôtové pripojenie (WIFI) a poskytujú aj voľne prístupné stojany s počítačmi. Bezpečnosť a kontrolu činnosti siete zabezpečuje technológia Radius, ktorá v rámci

projektu EDUROAM umožňuje študentom a akademickým zamestnancom pripojiť sa do počítačovej siete nielen doma, ale aj v inej akademickej inštitúcii bez toho, aby sa museli registrovať alebo získavať prístupové údaje. Pripojenie k sieti vyžaduje od používateľa iba používateľské meno a heslo, ktoré používa v domovskej inštitúcii. Študenti i zamestnanci tak počas trvania štúdia či pracovného pomeru môžu využívať bezdrôtovú sieť univerzity automaticky bez akýchkoľvek administratívnych úkonov len prostredníctvom centrálne pridelených prihlasovacích údajov platných počas celej doby zamestnania alebo štúdia.

Centrum IKT spravuje nasledovné informačné systémy:

  • Dokumentový systém - DOC 
  • Vzdelávací elearningový systém - EDU
  • UNIstudent
  • Cominfo Passport
  • Cominfo Cardpay
  • Cominfo Access
  • RDSS
  • Akademický informačný systém
  • Webmail zamestnanci
  • Webmail studenti
  • Osys
  • Portal ukf
  • Vykazy prace
  • Sprava projektov

TO BE stav

                Model architektúry zobrazujúci budúci stav biznis vrstvy architektúry pre Univerzitu Konštantína Filozofa v Nitre ilustruje komplexné a integrované riešenie KIB. Riešenie sa sústreďuje na zvýšenie odolnosti organizácie voči bezpečnostným hrozbám prostredníctvom implementácie proaktívnych ochranných opatrení, zlepšeného monitorovania a správy bezpečnostných politík.

Hlavné biznis procesy, ktoré sú nevyhnutné pre zvýšenie úrovne KIB sú:

  • Detekcia a reakcia na bezpečnostné incidenty zabezpečujúca neustále monitorovanie a rýchlu reakciu na akékoľvek potenciálne hrozby.
  • Aktualizácia a implementácia smerníc a plánov pre rozvoj IT zaručujúca, že všetky bezpečnostné opatrenia sú aktuálne a v súlade s najnovšími štandardmi a praxami.
  • Zabezpečenie dostupnosti základnej služby zaručujúcej že IS základnej služby a ich služby sú dostupné svojim používateľom

Architektúra zdôrazňuje dôležitosť tímu pre KIB, ktorý je zodpovedný za riadenie a vykonávanie bezpečnostných operácií. Manažér KIB a Bezpečnostný analytik spolupracujú na zabezpečení dostupnosti základných služieb a zabezpečení siete, pričom zároveň riadia aktualizácie a implementáciu smerníc a plánov pre rozvoj IT. 

Obrázok 2 Model biznisovej architektúry TO BE stavu

Budúca biznis vrstva architektúry pre Univerzita Konštantína Filozofa v Nitre predstavuje kritický krok smerom k vytvoreniu robustnej a odpovedajúcej infraštruktúry, ktorá dokáže čeliť súčasným a budúcim bezpečnostným hrozbám. Celková architektúra je navrhnutá s ohľadom na flexibilitu a škálovateľnosť, pripravená prispôsobiť sa meniacim sa požiadavkám a technológiám v kybernetickej bezpečnosti.

4.1.1       Prehľad koncových služieb – budúci stav:

V rámci projektu sa nerealizujú koncové služby ale opatrenia, ktoré okrem zvýšenia KIB v oblasti poskytovania základnej služby zvýšia aj KIB v oblasti poskytovania existujúcich koncových služieb organizácie.

4.1.2       Jazyková podpora a lokalizácia

Dodávané riešenie musí mať Slovensku jazykovú lokalizáciu. Ďalšie lokalizácie nie sú požadované.

4.2       Aplikačná vrstva

Obrázok 3 Model aplikačnej architektúry TO BE stavu

V aplikačnej vrstve je implementovaná Jednotná platforma KIB, ktorá umožní prevzatie kontroly nad viacerými  kybernetickými rizikami na báze holistického prístupu s komplexnými možnosťami prevencie, detekcie a reakcie využívajúcimi umelú inteligenciu, popredný výskum hrozieb a spravodajské informácie. Platforma bude poskytovať tieto kľúčové aplikačné služby:

  • Detegovanie existujúcich zraniteľností programových a technických prostriedkov a ich manažment
  • Filtrovanie sieťového obsahu, VPN, IPS
  • Detekcia incidentov, zraniteľností, Analýza bezpečnostných logov
  • Konfiguračný manažment
  • Riadenie prístupov
  • Riadenie rizík

Táto platforma a jej základné služby sú dôležitými blokmi pre detekciu a reakciu na potenciálne hrozby a incidenty.

Tieto systémy sú neoddeliteľne spojené s informačnými systémami základnej služby a spolu tvoria integrovanú súčasť poskytovania základných služieb univerzity. Tento prístup zaručuje, že základné služby univerzity budú nepretržite dostupné aj v prípade neočakávaných udalostí. 

Celkovo tieto prvky tvoria komplexný systém zameraný na prevenciu, odolnosť a reakciu na bezpečnostné výzvy.  

4.2.1       Rozsah informačných systémov - AS IS

V nasledujúcej tabuľke uvádzame ISVS, ktoré zabezpečujú prevádzku základnej služby Univerzita Konštantína Filozofa v Nitre a budú chránené proti incidentom KIB po ukončení projektu:

Kód ISVS (z MetaIS)

Názov ISVS

Modul ISVS

(zaškrtnite ak ISVS je modulom)

Stav IS VS

Typ IS VS

Kód nadradeného ISVS

(v prípade zaškrtnutého checkboxu pre modul ISVS)

isvs_14503

Dokumentový systém - DOC

Prevádzkovaný a neplánujem rozvoj

Ekonomický a adm. chod inštitúcie

 

isvs_14504

Vzdelávací elearningový systém - EDU

Prevádzkovaný a plánujem rozvíjať

Prezentačný

 

isvs_14505

UNIstudent

Prevádzkovaný a neplánujem rozvoj

Ekonomický a adm. chod inštitúcie

 

isvs_14506

Cominfo Passport

Prevádzkovaný a neplánujem rozvoj

Ekonomický a adm. chod inštitúcie

 

isvs_14507

Cominfo Cardpay

Prevádzkovaný a neplánujem rozvoj

Ekonomický a adm. chod inštitúcie

 

isvs_14508

Cominfo Access

Prevádzkovaný a neplánujem rozvoj

Ekonomický a adm. chod inštitúcie

 

isvs_14509

RDSS

Prevádzkovaný a neplánujem rozvoj

Ekonomický a adm. chod inštitúcie

 

isvs_14510

Akademický informačný systém

Prevádzkovaný a plánujem rozvíjať

Agendový

 

isvs_14511

Webmail zamestnanci

Prevádzkovaný a neplánujem rozvoj

Ekonomický a adm. chod inštitúcie

 

isvs_14512

Webmail studenti

Prevádzkovaný a neplánujem rozvoj

Ekonomický a adm. chod inštitúcie

 

isvs_14513

Osys

Prevádzkovaný a neplánujem rozvoj

Ekonomický a adm. chod inštitúcie

 

isvs_14514

Portal ukf

Prevádzkovaný a plánujem rozvíjať

Prezentačný

 

isvs_14515

Vykazy prace

X

Prevádzkovaný a neplánujem rozvoj

Prezentačný

 

isvs_14516

Sprava projektov

X

Prevádzkovaný a neplánujem rozvoj

Prezentačný

 

4.2.2       Rozsah informačných systémov - TO BE

V rámci projektu nevznikne nový ISVS v zmysle definície zákona o ISVS. Vznikne súbor opatrení, ktorý bude chrániť existujúce ISVS (ich zoznam viď predchádzajúca kapitola).

4.2.3       Využívanie nadrezortných a spoločných ISVS – AS IS

V rámci projektu nebudú využívané nadrezortné centrálne bloky.

4.2.4       Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE

V rámci projektu nebudú využívané podporné spoločné moduly.

4.2.5       Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE

V projekte neplánujeme integrácie na iné ISVS.

4.2.6       Aplikačné služby pre realizáciu koncových služieb – TO BE

V rámci projektu sa nerealizujú koncové služby ale opatrenia, ktoré okrem zvýšenia KIB v oblasti poskytovania základnej služby zvýšia aj KIB v oblasti poskytovania existujúcich koncových služieb Univerzity Konštantína Filozofa v Nitre.

4.2.7       Aplikačné služby na integráciu – TO BE

V projekte neplánujeme integrácie na iné ISVS.

4.2.8       Poskytovanie údajov z ISVS do IS CSRÚ – TO BE

V rámci realizácie projektu neplánujeme poskytovanie údajov do IS CSRÚ.

4.2.9       Konzumovanie údajov z IS CSRU – TO BE

V rámci realizácie projektu neplánujeme konzumovanie údajov z IS CSRÚ.

4.3       Dátová vrstva

4.3.1       Údaje v správe organizácie

Projekt nebude priamo zabezpečovať správu údajov organizácie, bude spravovať iba údaje nevyhnutné na zabezpečenie KIB Univerzity Konštantína Filozofa v Nitre ako PZS. Z toho dôvodu neuvádzame namapovanú štruktúru údajov v správe organizácie.

4.3.2       Dátový rozsah projektu - Prehľad objektov evidencie - TO BE

V rámci realizovaného projektu nevzniknú nové objekty evidencie tak, ako vznikajú v prípade štandardných informačných systémov. Predmetom evidencie nebudú napríklad občania resp. informácie o nich atď. Systém bude viesť evidenciu prístupov a oprávnení, v rámci platformy budú vznikať záznamy o incidentoch a tieto budú vyhodnocované a na základe nich budú prebiehať priamo reakcie na kybernetické incidenty.

4.3.3       Referenčné údaje

V projekte nebudú vznikať údaje, ktoré by sa dali označiť ako referenčné.

4.3.4       Otvorené údaje

V projekte nebudú vznikať údaje, ktoré by mohli byť zverejnené ako otvorené.

4.3.5       Analytické údaje

V projekte nebudú vznikať údaje, ktoré by sa dali označiť ako analytické.

4.3.6       Moje údaje

V projekte nebudú vznikať údaje, ktoré by sa dali označiť ako moje údaje.

4.4       Technologická vrstva

AS IS stav

Aktuálny prístup do LAN a z LAN na UKF v Nitre je riadený prostredníctvom FW. LAN UKF je rozdelená na podsiete (technológia VLAN) podľa účelu, na ktorý slúžia. Komunikácia medzi jednotlivými VLAN je riadená opäť FW, ako aj komunikácia z WAN do jednotlivých VLAN. Ďalej je všetka komunikácia z WAN do DMZ a LAN UKF kontrolovaná na zraniteľnosť a nežiadúci kód pomocou NG-IPS TrendMicro TippingPoint s nastaveným profilom, ktorý kladie doraz na bezpečnosť pred rýchlosťou (security optimized). IPS kontroluje aj prevádzku medzi jednotlivými VLAN navzájom ako aj komunikáciu VLAN smerom do WAN/DMZ. Na IPS taktiež prebieha inšpekcia SSL komunikácie na všetky dôležité servery, ktoré sú umiestnene DMZ UKF.

Prístup do WIFI siete (eduroam) je riadený službou rádius s overovaním identít voči LDAP serveru (Open LDAP), ktorý je aktualizovaný na dennej báze na základe HR informačných zdrojov z AIS a SAP Sofia

Zálohovanie údajov UKF v Nitre prebieha na dennej báze pre vybrané servery pomocou nástroja Veritas  NetBackup, prípadne inou formou, podľa uváženia administrátora konkrétneho systému

TO BE stav

Na technologickej vrstve je umiestnená serverová a sieťová infraštruktúra, ktoré poskytujú potrebné hardvérové a sieťové zdroje pre fungovanie aplikačných komponentov. Riešenie bude realizované na báze Cloud based riešení  s inštaláciou lokálnych agentov na všetkých staniciach a serveroch univerzitnej siete a implementáciou dvoch minimalistických Secure Gateway virtuálnych appliance pre komunikáciu medzi lokálnymi zdrojmi riešenia a cloud infraštruktúrou výrobcu.

Obrázok 4 Model technologickej architektúry TO BE stavu

Celkovo architektúra odráža záväzok Univerzita Konštantína Filozofa v Nitre zabezpečiť, že jeho digitálna infraštruktúra je pripravená čeliť súčasným aj budúcim výzvam v oblasti IT bezpečnosti. S týmito krokmi sa univerzita stavia do popredia pri zabezpečovaní a ochrane svojich používateľov a dát, ako aj pri poskytovaní vysoko dostupných a spoľahlivých služieb.

4.4.1       Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE

Parameter

Jednotky

Predpokladaná hodnota

Poznámka

Počet interných používateľov

Počet

780

 

Počet súčasne pracujúcich interných používateľov v špičkovom zaťažení

Počet

700

 

Počet externých používateľov (internet)

Počet

7000

odborný odhad/študenti/

Počet externých používateľov používajúcich systém v špičkovom zaťažení

Počet

6000

odborný odhad /študenti/

Počet transakcií (podaní, požiadaviek) za obdobie

Počet/obdobie

50000/rok

odborný odhad

 

4.4.2       Využívanie služieb z katalógu služieb vládneho cloudu

V realizovanom projekte neplánujeme využívať služby z katalógu vládneho cloudu

4.5       Bezpečnostná architektúra

Dodávateľ sa zaviaže riešiť bezpečnostnú architektúru dodávaných IS,IKT a služieb v zmysle nasledujúcej legislatívy:

  • Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe
  • Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti
  • Zákon č. 45/2011 Z.z. o kritickej infraštruktúre
  • Vyhláška NBU č. 166/2018 Z.z., o podrobnostiach o technickom, technologickom a personálnom vybavení jednotky pre riešenie kybernetických bezpečnostných incidentov
  • Vyhláška NBU č. 164/2018 Z.z., ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby)
  • Vyhláška NBU č. 362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
  • Vyhláška NBU č. 436/2019 Z.z., o audite kybernetickej bezpečnosti a znalostnom štandarde audítora
  • Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy
  • Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy v
  • Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov
  • Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
  • Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

5.    Závislosti na ostatné ISVS / projekty

Realizovaný́ projekt nemá závislosti na iné projekty organizácie.

 

6.    Zdrojové kódy

Univerzita Konštantína Filozofa v Nitreplánuje pri obstarávaní postupovať v zmysle vzoru Zmluvy o dielo.

Zmluvnú úpravu predkladáme nasledujúcu:

  • Zhotoviteľ je povinný pri akceptácii Informačného systému odovzdať Objednávateľovi funkčné vývojové a produkčné prostredie, ktoré je súčasťou Informačného systému.
  • Zhotoviteľ je povinný́ pri akceptácii Informačného systému alebo jeho časti odovzdať Objednávateľovi Vytvorený zdrojový kód v jeho úplnej aktuálnej podobe, zapečatený, na neprepisovateľnom technickom nosiči dát s označením časti a verzie Informačného systému, ktorej sa týka. Za odovzdanie Vytvoreného zdrojového kódu Objednávateľovi sa na účely tejto Zmluvy o dielo rozumie odovzdanie technického nosiča dát Oprávnenej osobe Objednávateľa. O odovzdaní a prevzatí technického nosiča dát bude oboma Zmluvnými stranami spísaný a podpísaný preberací protokol.
  • Informačný systém (Dielo) v súlade s Technickou špecifikáciou obsahuje od zvyšku Diela oddeliteľný modul (časť) vytvorený Zhotoviteľom pri plnení tejto Zmluvy o dielo, ktorý je bez úpravy použiteľný aj tretími osobami, aj na iné alebo podobné účely, ako je účel vyplývajúci z tejto Zmluvy o dielo (ďalej ako „Modul"). A to najmä pre modul Karta občana. Vytvorený zdrojový kód Informačného systému (s výnimkou Modulu) vrátane jeho dokumentácie bude prístupný v režime podľa § 31 ods. 4 písm. b) Vyhlášky č. 78/2020 (s obmedzenou dostupnosťou pre orgán vedenia a orgány riadenia v zmysle Zákona o ITVS – vytvorený zdrojový kód je dostupný len pre orgán vedenia a orgány riadenia). Pre zamedzenie pochybností uvádzame, že sa jedná len o zdrojový kód, ktorý Dodávateľ vytvoril, alebo pozmenil v súvislosti s realizáciou diela. Objednávateľ je oprávnený sprístupniť Vytvorený zdrojový kód okrem orgánov podľa predchádzajúcej vety aj tretím osobám, ale len na špecifický účel, na základe riadne uzatvorenej písomnej zmluvy o mlčanlivosti a ochrane dôverných informácií.
  • Ak je medzi zmluvnými stranami uzatvorená SLA zmluva, od prevzatia Informačného systému sa prístup k vytvorenému zdrojovému kódu vo vývojovom a produkčnom prostredí, vrátane nakladania s týmto zdrojovým kódom, začne riadiť podmienkami dohodnutými v SLA zmluve.
  • Vytvorený zdrojový kód musí byť v podobe, ktorá zaručuje možnosť overenia, že je kompletný a v správnej verzii, t. j. v takej, ktorá umožňuje kompiláciu, inštaláciu, spustenie a overenie funkcionality, a to vrátane kompletnej dokumentácie zdrojového kódu (napr. interfejsov a pod.) takejto Informačného systému alebo jeho časti. Zároveň odovzdaný vytvorený zdrojový kód musí byť pokrytý testami (aspoň na 90%) a dosahovať rating kvality (statická analýza kódu) podľa CodeClimate/CodeQLa pod. (minimálne stupňa B).
  • Pre zamedzenie pochybností, povinnosti Zhotoviteľa týkajúce sa Vytvoreného zdrojového kódu platí i na akékoľvek opravy, zmeny, doplnenia, upgrade alebo update Vytvoreného zdrojového kódu a/alebo vyššie uvedenej dokumentácie, ku ktorým dôjde pri plnení tejto Zmluvy o dielo alebo v rámci záručných opráv. Vytvorené zdrojové kódy budú vytvorené vyexportovaním z produkčného prostredia a budú odovzdané Objednávateľovi na elektronickom médiu v zapečatenom obale. Zhotoviteľ je povinný umožniť Objednávateľovi pri odovzdávaní Vytvoreného zdrojového kódu, pred zapečatením obalu, skontrolovať v priestoroch Objednávateľa prítomnosť Vytvoreného zdrojového kódu na odovzdávanom elektronickom médiu.
  • Nebezpečenstvo poškodenia zdrojových kódov prechádza na Objednávateľa momentom prevzatia Informačného systému alebo jeho časti, pričom Objednávateľ sa zaväzuje uložiť zdrojové kódy takým spôsobom, aby zamedzil akémukoľvek neoprávnenému prístupu tretej osoby. Momentom platnosti SLA zmluvy umožní Objednávateľ poskytovateľovi, za predpokladu, že to je nevyhnutné, prístup k Vytvorenému zdrojovému kódu výlučne na účely plnenia povinností z uzatvorenej SLA zmluvy.

Následne ustanovenia predchádzaniu vendor-lockinu budú  byť zahrnuté aj v ZoD a SLA.

Usmernenia pre oblasť zdrojových kódov:

7.    Prevádzka a údržba

Požadované SLA na služby systémovej a aplikačnej podpory – servisné služby vzťahujúce sa na produkčné a testovacie prostredie IS

Úrovne podpory používateľov:

Help Desk bude realizovaný́ cez 3 úrovne podpory, s nasledujúcim označením:

  • L1 podpory IS (Level 1, priamy kontakt zákazníka) - jednotný́ kontaktný́ bod verejného obstarávateľa
  • L2 podpory IS (Level 2, postúpenie požiadaviek od L1) - vybraná skupina garantov, so znalosťou IS (zabezpečuje prevádzkovateľ IS – verejný́ obstarávateľ).
  • L3 podpory IS (Level 3, postúpenie požiadaviek od L2) - na základe zmluvy o podpore IS (zabezpečuje úspešný́ uchádzač).

Definícia:

Podpora L1 (podpora 1. stupňa) - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď.

Podpora L2 (podpora 2. stupňa) – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát odovzdaných riešiteľmi 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3.

Podpora L3 (podpora 3. stupňa) - Podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najobtiažnejších Hlásení, vrátane vykonávania hĺbkových analýz a riešenie extrémnych prípadov.

Riešenie incidentov – SLA parametre

Za incident je považovaná chyba IS, t.j. správanie sa v rozpore s prevádzkovou a používateľskou dokumentáciou IS. Za incident nie je považovaná chyba, ktorá nastala mimo prostredia IS napr. výpadok poskytovania konkrétnej služby.

Označenie závažnosti incidentu:

Závažnosť incidentu

Popis naliehavosti incidentu

Kritická, Bezpečnostná

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné

poskytnúť požadovaný výstup z IS.

Bežná

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

Nekritická

Kozmetické a drobné chyby.

Vyžadované reakčné doby:

Označenie závažnosti incidentu

Reakčná doba(1) od nahlásenia incidentu po začiatok riešenia incidentu

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) (2)

Spoľahlivosť (3)

(počet incidentov za mesiac)

Bežná

Do 24 hodín

48 hodín

5

Kritická

Do 12 hodín

24 hodín

3

Nekritická

Do 48 hodín

Vyriešené a nasadené v rámci plánovaných aktualizácií

5

Bezpečnostná

Do 12 hodín

24 hodín

3

  • Požiadavky na hlásenie Incidentov sa spracúvajú v rámci časového pokrytia od 8:00 do 16:00.
  • (1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L3 a jeho prevzatím na riešenie.
  • (2) DKVI znamená obnovenie štandardnej prevádzky – čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu
  • úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Do tejto doby sa nezarátava čas potrebný́ na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný́ uchádzač oprávnený́ požadovať od verejného obstarávateľa schválenie riešenia incidentu.
  • (3) Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený́ limit spoľahlivosti sa počíta ako začatý́ deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident.

Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia

  1. Majú závažnosť incidentu nekritickú a nižšiu
  2. Vzťahujú sa výhradne k dostupnosti testovacieho prostredia
  3. Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý́ k práve testovanej funkcionalite

Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby:

  • Služby systémovej podpory na požiadanie (nad paušál)
  • Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)

Pre tieto služby budú dohodnuté osobitné parametre dodávky.

 

Časové pokrytie poskytovania služieb

Popis

 

Parameter

 

Poznámka

Prevádzkové hodiny

 

23 hodín

 

od 1:00 hod. – do 24:00 hod.

Servisné okno

 

1 hodina

 

od 0:00 hod. – do 1:00 hod.

Dostupnosť produkčného prostredia IS

98%

· 98% z 24/7/365 t.j. max ročný výpadok je 175 hod.

· Maximálny mesačný́ výpadok je 15 hodín.

· Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom. Do dostupnosti IS nie sú započítavané servisné

okná a plánované odstávky IS.

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez

odstránenia vady alebo incidentu

 

8.    Požiadavky na personál

Požiadavky na personál boli definované v projektovom zámere v kapitole 8 Projektový tím.

9.    Implementácia a preberanie výstupov projektu

Projekt bude v zmysle Vyhlášky 401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy realizovaný́ metódou waterfall.

V zmysle vyhlášky 401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy je možné pristupovať k realizácii projektu prostredníctvom čiastkových plnení, t.j. inkrementov. V projekte je definovaný́ jeden inkrement na obdobie hlavných aktivít.

10.  Prílohy