PRÍSTUP K PROJEKTU

 Manažérsky výstup I-03

podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1.    História DOKUMENTU

2.    Účel dokumentu

V súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy, je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky má obsahovať opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Dodávané riešenie musí byť v súlade so zákonom. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.

3.    Popis navrhovaného riešenia

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy:

• zabezpečenie bezpečnej prevádzky IS, sieťovej infraštruktúry a prostriedkov spracúvajúcich informácie,
• monitorovanie prostredia, zaznamenávanie udalostí a riešenie KIV incidentov,
• evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu,
• zabezpečenie kontinuity prevádzky.

V rámci implementácie projektu bude realizovaná nasledovná hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

V rámci analýzy možností v biznis vrstve boli stanovené 4 alternatívy, vzhľadom na aktuálny stav zabezpečenia KIB v podmienkach UNIZA:

• Alternatíva 1: Zachovanie existujúceho stavu KIB – sú splnené len niektoré požiadavky na KIB, existuje možné kritické ohrozenie počítačovej siete a IS UNIZA.
• Alternatíva 2: Realizácia vybraných opatrení na zvýšenie úrovne KIB – zvýšil by sa súlad s legislatívnymi požiadavkami na zabezpečenie KIB, stále existuje možné kritické ohrozenie počítačovej siete a IS UNIZA.
• Alternatíva 3: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB internými kapacitami UNIZA – výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje v plnej réžii UNIZA využitím interných kapacít (in-house riešenie).
• Alternatíva 4: Realizácia všetkých potrebných opatrení na zvýšenie úrovne KIB s využitím externých kapacít mimo UNIZA - výrazne by sa zvýšil súlad s legislatívnymi požiadavkami na zabezpečenie KIB, počítačová sieť a IS UNIZA budú zabezpečené pred hrozbami KIB. Riešenie sa realizuje prostredníctvom externých dodávateľov.

Na základe výsledkov MCA z dokumentu Projektový zámer (I-02) bola vybraná alternatíva 3.

4.    Architektúra riešenia projektu

Tak, ako bolo definované v cieľoch projektu, tento projekt predstavuje riešenie základných prvkov kybernetickej a informačnej bezpečnosti (KIB). Projekt sa zameriava hlavne na implementáciu procesov v oblasti riadenia KIB, kde je cieľom vypracovať dokumentáciu a zaviesť príslušné riadiace procesy. Nakoľko nejde o implementáciu agendového alebo iného obdobného informačného systému verejnej správy, popis jednotlivých častí architektúry je upravený tak, aby túto skutočnosť rešpektoval. Úrovne architektúry sú rozpísané podľa jednotlivých aktivít projektu a biznis bezpečnostných funkcií. Špecifikácia výstupov jednotlivých aktivít je uvedená v kapitole Požadované výstupy v dokumente Projektový zámer.

4.1       Biznis vrstva

Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy:

• Organizácia a personálne zabezpečenie kybernetickej a informačnej bezpečnosti:
  • Proces vytvorenie a schválenia stratégie kybernetickej bezpečnosti a bezpečnostné politiky kybernetickej a informačnej bezpečnosti UNIZA
• Riadenie rizík:
  • proces inventarizácie aktív
  • proces evidencie aktív
  • proces klasifikácie sietí
  • proces kategorizácie sietí
  • proces kategorizácie informačných systémov
  • proces analýzy funkčného dopadu
  • proces posúdenia a ošetrenia rizík KIB
• Riešenie kybernetických bezpečnostných incidentov a kontinuita prevádzky:
  • proces zabezpečenia kontinuity činností
  • proces tvorby krízových plánov univerzity
  • proces monitorovania sietí a informačných systémov
  • proces tvorby Log manažmentu
  • proces evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností
  • proces pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov
• Riadenie prevádzky kybernetickej a informačnej bezpečnosti:
  • proces vytvárania interných riadiacich aktov pre rôzne prevádzkové situácie KIB

4.1.1       Prehľad koncových služieb – budúci stav:

Projekt nerealizuje koncové služby pre zamestnancov a študentov. Realizáciou projektu dochádza k zavedeniu opatrení KIB, ktoré zabraňujú kybernetickým útokom, resp. zmierňujú ich následky a na základe toho chránia prevádzku ostatných koncových služieb.

4.1.2       Jazyková podpora a lokalizácia

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.2       Aplikačná vrstva

Aplikačná vrstva bude realizovaná súborom opatrení KIB, ktoré budú ochraňovať IS zabezpečujúce primárne prevádzku základnej služby. Budú nasadené hlavne nasledovné komponenty:

• nástroje na zálohovanie prevádzkových dát,
• nástroje pre detekciu, zber a nepretržité hodnotenie a evidenciu kybernetických bezpečnostných udalostí a incidentov v pilotnom nasadení,
• dokumentácia monitorovania sietí a informačných systémov, fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity zodpovednej osobe a ďalších povinností.,
• špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané,
• konfigurácia IKT prvkov, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov,
• implementovaný systém na inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,
• dokumentácia IKT infraštruktúry, vrátane evidencie všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete, využitie IP rozsahov, a ďalšie.

4.2.1       Rozsah informačných systémov – AS IS

V nasledujúcej tabuľke uvádzame ISVS, ktoré budú chránené proti incidentom KIB po ukončení projektu:

4.2.2       Rozsah informačných systémov – TO BE

Architektúra navrhovaného projektu je rámcová a je nastavená tak, aby bolo z projektu zrejmé, ktoré komponenty v rámci realizácie projektu budú riešiť ochranu v rámci KIB. Hlavným cieľom je ochrana IS na UNIZA, aby bola zabezpečená prevádzka všetkých univerzitou poskytovaných služieb.

4.2.3       Využívanie nadrezortných a spoločných ISVS – AS IS

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.2.4       Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.2.5       Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.2.6       Aplikačné služby pre realizáciu koncových služieb – TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.2.7       Aplikačné služby na integráciu – TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.2.8       Poskytovanie údajov z ISVS do IS CSRÚ – TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.2.9       Konzumovanie údajov z IS CSRU – TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.3       Dátová vrstva

Z pohľadu dátovej vrstvy v realizovanom projekte nejde o typické agendové údaje, ale o údaje nasledovných typov:

• dokumentácia a politiky KIB, postupy, analýzy, reporty a pod. – určené pre ďalšie riadenie rozvoja KIB, bezpečnostné konfigurácie a logy – pre fungovanie jednotlivých komponentov
• dokumentácia a politiky KIB, postupy, analýzy, reporty a pod. - určené pre proces riadenia KIB.

Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie jednotlivých komponentov navrhovaného riešenia a reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov.

4.3.1       Údaje v správe organizácie

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.3.2       Dátový rozsah projektu - Prehľad objektov evidencie - TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.3.3       Referenčné údaje

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.3.4       Kvalita a čistenie údajov

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.3.5       Otvorené údaje

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.3.6       Analytické údaje

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.3.7       Moje údaje

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.3.8       Prehľad jednotlivých kategórií údajov

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.4       Technologická vrstva

4.4.1       Prehľad technologického stavu - AS IS

Počítačová sieť univerzity

Vysokorýchlostná optická chrbticová sieť v kombinácii so štruktúrovanou metalickou prístupovou infraštruktúrou a kvalitnými aktívnymi prvkami tvorí spoľahlivú platformu pre nasadenie a využívanie informačno-komunikačných technológií v prostredí univerzity.

Počítačová sieť univerzity (UNIZA-Net) je vybudovaná dvojvrstvovou architektúrou. Optický backbone je postavený na báze štyroch vysokovýkonných uzlových L3 prepínačov disponujúcich 6 portami 40/100 Gbps plus 48 portami 10 Gbps. Umiestnené sú v najviac exponovaných uzloch v topológii hviezda.

Druhá časť backbone je vybudovaná na tzv. prístupových prepínačoch tvoriacich prípojné body pre lokálne siete jednotlivých katedier a pracovísk univerzity. Táto časť bola posilnená o 10 kusov prepínačov obsahujúcich 24 portov 1 Gbps s možnosťou uplinku cez 4 x 10 Gbps smerom k backbone prepínačom. Druhú vrstvu tvoria lokálne počítačové siete katedier, ústavov, centier a ostatných pracovísk univerzity. Prioritne sú budované na báze manažovateľných prepínačov s prenosovou rýchlosťou 1 Gbps. Infraštruktúru dopĺňa takmer 200ks WiFi prístupových bodov

Za posledný rok bolo v sieti UNIZA pripojených celkom 11907 jedinečných MAC adries, a bolo aktívnych 6884 zariadení s pridelenou IP adresou. V ubytovacích zariadeniach je v samostatnej sieti študentskej organizácie Internet klubu aktuálne pripojených 3236 zariadení.

Obr. Bloková schéma metropolitného optického Backbone  univerzitnej siete.

Výpočtové systémy a servery

Gridová infraštruktúra

Prevádzkovanú Gridovú infraštruktúru tvorí 48 výpočtových uzlov, 4 úložné uzly a 2 riadiace uzly. Ako základný operačný systém je použitý Scientific Linux. Celková súčasná kapacita úložiska dosahuje 192 TB. Výpočtová sieťová infraštruktúra je postavená na technológii Infiniband. Požívatelia majú možnosť využívať aktualizované verzie SW Ansys, Matlab, Comsol, Simpack, Mathematica, Genome Trax.

Dátové centrum pre High Performance Computing (HPC-AS) 

Dátové centrum má servery s vysokovýkonnými procesormi a koprocesorovými kartami, dva vysokovýkonné sieťové komunikačné systémy a dátové úložisko založené na integrovanom hardvérovom riešení, ktoré kombinuje paralelné súborové úložisko so zdieľaným NAS úložiskom ako jeden kombinovaný, vysokovýkonný, škálovateľný systém. Časť infraštruktúry sa používa pre vysokovýkonné počítanie (HPC) a časť pre cloudové služby. Výpočtové zdroje a úložné kapacity je možné dynamicky prerozdeľovať podľa aktuálnych potrieb jednotlivých služieb. Používatelia môžu využívať software Matlab a Ansys.

Univerzitné dátové centrum

Dátové centrum je tvorené  klastrom primárneho DC1 a záložného DC2 centra. V prevádzke je virtuálna infraštruktúra VMware vSphere, osem ESXi hypervizorov, SAN infraštruktúra. Z kapacitných  dôvodov bola do produkčnej prevádzky zaradená aj experimentálna časť dátového centra realizovaná na báze upgrade DC2. Disponuje piatimi blade servermi, z ktorých každý zo serverov má 2 osemjadrové CPU a 64 GB RAM. Konektivitu každého servera zabezpečuje 10 Gbps ETHERNET interface a 8 Gb fibre channel interface. Servery disponujú diskovým priestorom na báze storage s kapacitou 57 TB na vysokorýchlostných diskoch a 144 TB na veľkokapacitných HDD. V súčasnosti je prevádzkovaných 72 produkčných a viac ako 30 testovacích serverov. Uvedená bola do prevádzky aj nová výskumná časť infraštruktúry v DC1, na báze  VMware vSphere 8,  obsahujúca 8 hypervízorov (256 jadier, 3TB RAM, 280TB diskového úložiska).

1. Dátové centrum digitálnej biobanky

Dátové centrum digitálnej biobanky na podporu systémovej verejnej výskumnej infraštruktúry je postavené na platforme vysoko dostupnej konvergovanej infraštruktúry, výpočtových uzlov na architektúre x86 a dátových úložísk s viacvrstvovou architektúrou a využitím moderných rýchlych flash diskov postavených na štandarde NVMe. Pre odkladanie veľkého objemu neštruktúrovaných dát riešenie obsahuje plne distribuované a škálovateľné úložisko na platforme x86, ktoré poskytuje čistú využiteľnú kapacitu 1PB. Takáto infraštruktúra zabezpečuje komplexné unifikované prostredie pre prevádzku informačných technológií vedeckej platformy. Konvergovaný systém obsahuje aj grafické nástroje pre správu a monitoring výpočtových uzlov, všetkých podporných serverov, ako aj dátových úložísk.

Obr. Schéma dátového centra digitálnej biobanky

4.4.2       Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.4.3       Návrh riešenia technologickej architektúry

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

4.4.4       Využívanie služieb z katalógu služieb vládneho cloudu

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

.

4.5       Bezpečnostná architektúra

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia.

5.    Závislosti na ostatné ISVS / projekty

Projekt nie je závislý od iných ISVS alebo projektov.

6.    Zdrojové kódy

Vzhľadom na to, že v rámci projektu je predpokladaná implementácia vlastných riešení, ktoré budú navrhované a vyvíjané projektovým tímom, nie je súčasťou projektu žiadny dodávateľ. Požiadavky na zdrojové kódy budú špecifikované interne v priebehu implementácie projektu. Keďže všetky riešenia, v ktorých budú vznikať zdrojové kódy, budú realizované internými zamestnancami, riešenie bude pre UNIZA plne dostupné a tým nemôže dôjsť k situácii „Vendor lock-in“.

7.    Prevádzka a údržba

7.1       Prevádzkové požiadavky

V tomto projekte, ktorý je zameraný na riadenie KIB, ide prevažne o analytické a konzultačné práce, ktorých výstupy budú použité pre proces riadenia KIB.

V rámci projektu je plánované vytvorenie podporných IS pre riadenie KIB internými prostriedkami. Výstupy aktivít riadenia KIB budú musieť byť udržiavané a rozvíjané aj po ukončení realizácie projektu, to by malo byť realizované pomocou interných zamestnancov. Prevádzka a údržba výstupov projektu nie sú predmetom ŽoNFP.

7.1.1       Úrovne podpory používateľov

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

7.1.2       Riešenie incidentov – SLA parametre

Označenie naliehavosti incidentu:

možný dopad:

 Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

Vyžadované reakčné doby:

7.2       Požadovaná dostupnosť IS:

8.    Požiadavky na personál

Projektový tím riešiteľa - role

• Projektový manažér – doc. Ing. Michal Koháni, PhD.
• Biznis vlastník – Ing. Pavol Podhora, PhD.
• Manažér IT prevádzky– Ing. Róbert Orenič
• IT architekt – Ing. Ľuboš Kojdjak, Ing. Michal Hvizdák, Ing. Jana Hudecová, PhD.
• Iná rola – architekt kybernetickej bezpečnosti, kľúčový používateľ: prof. Ing. Pavel Segeč, PhD.
• Iná rola – analytik kybernetickej bezpečnosti: Ing. Jana Uramová, PhD., doc. Ing. Marek Roch, PhD., doc. Ing. Rastislav Pirník, PhD., doc. Ing. Slavomír Matuška, PhD.
• IT architekt - špecialista pre riešenie kybernetických bezpečnostných incidentov – Ing. Marek Moravčík, PhD., Ing. Martin Kontšek, PhD.
• Biznis analytik – prof. Ing. Milan Kubina, PhD., doc. Ing. Gabriel Koman, PhD.
• UX dizajnér – prof. Ing. Radovan Madleňák, PhD.
• Iná rola - špecialista kybernetickej bezpečnosti - prof. Ing. Tomáš Loveček, PhD., doc. Ing. Katarína Kampová, PhD., Ing. Matúš Madleňák, Ing. Marián Magdolén, PhD., Bc. Katarína Križalkovič, JUDr. Mária Tomková, PhD.

Manažér kybernetickej bezpečnosti – rola bude obsadená v priebehu projektu internými kapacitami  Bližší popis projektových rolí je uvedený v dokumente I-02 Projektový zámer.

9.    Implementácia a preberanie výstupov projektu

Projekt bude realizovaný metódou Agile s logickými nadväznosťami realizácie jednotlivých modulov na základe funkčnej a technickej špecifikácie. Vzhľadom na to, že v rámci projektu je predpokladaná implementácia vlastných riešení, ktoré budú navrhované a vyvíjané projektovým tímom, nie je súčasťou projektu žiadny dodávateľ.

10. Prílohy

Nie sú priložené žiadne prílohy.