pristup_k_projektu

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

137

138

Dokument Prístup k projektu obsahuje opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy.

\\

== {{id name="projekt_2641_Pristup_k_projektu_detailny-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

143

144

(% class="wrapped" %)

(% class="" %)|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

(% class="" %)|(((

Active Directory

)))|(((

Active Directory je implementácia adresárových služieb [[LDAP>>url:https://sk.wikipedia.org/wiki/LDAP||shape="rect"]] firmou [[Microsoft>>url:https://sk.wikipedia.org/wiki/Microsoft||shape="rect"]] na použitie v systéme [[Microsoft Windows>>url:https://sk.wikipedia.org/wiki/Microsoft_Windows||shape="rect"]]. Umožňuje administrátorom nastavovať politiku, inštalovať programy na mnoho počítačov alebo aplikovať kritické aktualizácie v celej organizačnej štruktúre. Active Directory svoje informácie a nastavenia ukladá v centrálnej organizovanej databáze.

)))

(% class="" %)|(((

BIA

)))|(((

Business Impact Analysis - Analýza vplyvu (BIA) je základom celého procesu riadenia kontinuity podnikania (BCM). Pozostáva z techník a metód na posúdenie vplyvu narušenia dodávok kľúčových produktov alebo služieb organizácie a iných zainteresovaných strán na organizáciu a ich podporných kritických činností

)))

(% class="" %)|(((

BCM

)))|(((

Business Continuity Management - Riadenie kontinuity podnikania je kompletný súbor procesov,

164

165

ktorý identifikuje potenciálne vplyvy , ktoré ohrozujú organizáciu z pohľadu kybernetickej bezpečnosti. Poskytuje schopnosť účinnej reakcie na vzniknutý kybernetický bezpečnostný incident

)))

(% class="" %)|(((

Core

)))|(((

Next Generation Firewall

)))

(% class="" %)|(((

DAC kábel

)))|(((

Direct attach copper kábel, slúži k pripojeniu aktívnych prvkov.

)))

(% class="" %)|(((

EDR riešenie

)))|(((

EDR (Endpoint Detection and Response) zlepšuje schopnosť identifikovať, monitorovať a reagovať na podozrivé aktivity na koncových zariadeniach, ako sú pracovné stanice, servery a mobilné zariadenia

)))

(% class="" %)|(((

EPS

)))|(((

EPS (skratka pre Encapsulated PostScript) je univerzálny [[typ súboru>>url:https://sk.wikipedia.org/wiki/Typ_s%C3%BAboru||shape="rect"]], ktorý sa využíva pri posielaní dokumentov do tlačiarne

)))

(% class="" %)|(((

Firewall

)))|(((

Sieťové zariadenie alebo softvér, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Extranet a Intranet) a kontrolovať tok dát medzi týmito sieťami

)))

(% class="" %)|(((

GDPR

)))|(((

Nariadenie EU 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov

)))

(% class="" %)|(((

HW

)))|(((

Hardvér

)))

(% class="" %)|(((

LAN

)))|(((

Lokálna (vnútorná) počítačová sieť (Local Area Network)

)))

(% class="" %)|(((

Log

)))|(((

Záznam činnosti

)))

(% class="" %)|(((

MKB

)))|(((

Manažér kybernetickej bezpečnosti

)))

(% class="" %)|(((

SIEM

)))|(((

Systém pre zber a analýzu bezpečnostných udalostí vytváraných IT prostriedkami v reálnom čase (Security Information and Event Management)

)))

(% class="" %)|(((

Spam

)))|(((

Spam je nevyžiadaná a hromadne rozosielaná správa

)))

(% class="" %)|(((

sw

)))|(((

Softvér

)))

(% class="" %)|(((

Switch

)))|(((

Prepínač ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] switch) alebo sieťový prepínač (angl. network switch) je aktívny prvok [[počítačovej siete>>url:https://sk.wikipedia.org/wiki/Po%C4%8D%C3%ADta%C4%8Dov%C3%A1_sie%C5%A5||shape="rect"]], ktorý spája jej jednotlivé časti. Prepínač slúži ako centrálny prvok v sieťach [[hviezdicovej topológie>>url:https://sk.wikipedia.org/wiki/Hviezdicov%C3%A1_sie%C5%A5||shape="rect"]]. V minulosti sa ako centrálny prvok v týchto sieťach používal [[rozbočovač>>url:https://sk.wikipedia.org/wiki/Rozbo%C4%8Dova%C4%8D_(ethernet)||shape="rect"]] ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] hub).

)))

(% class="" %)|(((

TCP

)))|(((

Protokol riadenia prenosu (angl. Transmission Control Protocol)

)))

(% class="" %)|(((

UPS

)))|(((

Zariadenie alebo systém, ktorý zabezpečuje plynulú dodávku elektriny pre zariadenia, ktoré nesmú byť neočakávane vypnuté.

)))

(% class="" %)|(((

VPN

)))|(((

VPN je počítačová sieť na prepojenie počítačov na rôznych miestach internetu do jednej virtuálnej počítačovej siete.

)))

\\

\\

== {{id name="projekt_2641_Pristup_k_projektu_detailny-2.2Konvenciepretypypožiadaviek"/}}2.2 Konvencie pre typy požiadaviek ==

N/A

\\

**~ **

= {{id name="projekt_2641_Pristup_k_projektu_detailny-3.POPISNAVRHOVANÉHORIEŠENIA"/}}3. POPIS NAVRHOVANÉHO RIEŠENIA =

268

269

Popis navrhovaného riešenia je uvedený v Projektovom zámere, kap. Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

\\

= {{id name="projekt_2641_Pristup_k_projektu_detailny-4.ARCHITEKTÚRARIEŠENIAPROJEKTU"/}}4. ARCHITEKTÚRA RIEŠENIA PROJEKTU =

\\

== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.1Biznisvrstva"/}}4.1 Biznis vrstva ==

\\

Predmetom projektu je riadenie informačnej a kybernetickej bezpečnosti a realizácia opatrení KIB definovaných najmä v zákonoch č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 69/2018 Z. z.“) a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS“).

\\

Predmetom projektu sú primárne tie oblasti, kde žiadateľ identifikoval najvyššiu mieru rizika a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami vyplývajúcimi z vykonanej Analýzy rizík kybernetickej bezpečnosti (ďalej aj „analýzy“). Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.

286

287

Jednotlivé biznis funkcie (podaktivity výzvy realizované v rámci projektu) bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

288

289

[[image:attach:image-2024-5-31_9-25-57.png||width="632"]]

290

291

Obrázok 1 Biznis funkcie / podaktivity projektu

\\

// //

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}4.1.1 Prehľad koncových služieb – budúci stav: ===

298

299

Predmetom projektu nie je budovanie koncových služieb.

\\

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.1.2Jazykovápodporaalokalizácia"/}}4.1.2 Jazyková podpora a lokalizácia ===

304

305

Riešenie bude realizované v slovenskom jazyku.

\\

**

**

== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.2Aplikačnávrstva"/}}4.2 Aplikačná vrstva ==

313

314

V kap. 4.1 (obr.1 ) sú definované biznis funkcie / podaktivity projektu s príslušnými činnosťami. Tieto činnosti realizuje UJS na základe výsledkov analýzy rizík kybernetickej bezpečnosti. Tieto činností predstavujú tvorbu bezpečnostnej dokumentácie vrátane realizácie auditu kybernetickej bezpečnosti, aktivity manažéra kybernetickej bezpečnosti a implementáciu softvérových a hardvérových nástrojov.

\\

Aplikačnú architektúru projektu tvoria nasledovné riešenia pre oblasť informačnej a kybernetickej bezpečnosti:

319

320

[[image:attach:image-2024-5-31_9-26-21.png||width="628"]]

321

322

Obrázok 2 Model aplikačnej architektúry (oranžovou farbou vyznačené nové komponenty / nástroje)

**~ **

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.2.1Manažmentlogov"/}}4.2.1 Manažment logov ===

327

328

Stále častejšie globálne sa vyskytujúce bezpečnostné incidenty si však môžu vyžadovať dohľadávanie logov aj vo vzdialenejšej minulosti a stále častejšie sú aj požiadavky na ich prípadné poskytovanie ďalším orgánom (PZ SR, SIS, CSIRT,...) pre ďalšiu forenznú analýzu, čo aktuálne riešenie neumožňuje (resp. umožňuje len pomocou komplikovaných manuálnych postupov), prípadne je možné len s obmedzením – vyžaduje si určité znalosti aj prístupy k samotným logom.

329

330

Samotné vyhľadávanie je komplikované riešené priamo prostriedkami operačného systému, pričom logy nie sú po pridelení týchto prístupov chránené proti manipulácii.

331

332

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-Navrhovanériešenie"/}}Navrhované riešenie ===

333

334

Vzhľadom na uvedené skutočnosti navrhujeme implementovať centrálny manažment logov, tak aby spĺňal legislatívne požiadavky, požiadavky na dostupnosť, výkonnosť a aby poskytoval dostatočnú úložnú kapacitu pre zbierané logy.

335

336

Tento centrálny manažment logov musí spĺňať nasledujúce požiadavky:

337

338

* Vysokú dostupnosť a odolnosť voči výpadku jedného komponentu

339

* Musí poskytovať kapacitu minimálne 40TB

340

* Musí byt schopný spracovať trvale minimálne 5000EPS

341

* Vzhľadom na použité platformy a technológie musí byt schopný prijímať udalosti prostredníctvom agenta, ale aj bez agenta

342

* Musí byt schopný prijímať a spracovávať logy uložené aj do textových súborov a DB tabuliek

343

* Musí byt schopný logy z rôznych zdrojov prekladať do jednotnej formy a obohacovať ich prípadne o ďalšie informácie, pričom musí byť zaručená nemennosť prijímaných logov

344

* Musí poskytovať rozhranie pre užívateľov s rôznymi úrovňami prístupu

345

* Poskytované rozhranie musí umožňovať rýchle vyhľadávanie v logoch a zároveň poskytovať nástroj na podrobné vyhľadávanie a forenzné analýzy.

346

347

Celé riešenie manažmentu logov musí poskytovať reportovacie funkcie. Riešenie manažmentu logov musí podporovať zálohovanie logov pre dlhodobé uloženie aj mimo centrálneho manažmentu logov

348

349

Novo implementované riešenie manažmentu logov musí plniť požiadavky zákona o kybernetickej bezpečnosti a ISO 27001 na uchovanie logov na predloženie organizáciám venujúcim sa bezpečnosťou (CSIRT,...).

350

351

Zároveň sa požaduje, aby bola poskytovaná podpora dodávateľa alebo výrobcu na celé riešenie ako celok v dĺžke 5 rokov (t.j. na všetky SW aj HW komponenty riešenia).

352

353

Riešenie manažmentu logov musí byt integrovateľné so SIEM systémom. Výhodou takéhoto riešenia by bolo zavedenie komplexnej správy logov do jedného systému, kde by sa logy normalizovali a obohatili o potrebné meta údaje a zároveň by relevantné security logy boli odosielane do centrálneho SIEM-u, kde by sa vzhľadom na to že by sa identifikovali len relevantné logy ušetrili licencie (EPS) SIEM-u.

354

355

Cieľovým stavom bude centrálne nasadený manažment logov a implementovaná funkcionalita log manažmentu. Zároveň toto riešenie pokryje všetky uvedené požiadavky aj na zber logov ako z OS tak aj informačných systémov a databáz.

356

357

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-Základnášpecifikáciapožiadavieknazberlogov:"/}}Základná špecifikácia požiadaviek na zber logov: ===

358

359

* Centrálny logovací systém by mal pracovať ako fyzická appliance s jedným uceleným webovým rozhraním pre všetky administrátorské i operátorské činnosti. Nevyžaduje inštaláciu ďalších systémov a aplikácií okrem podpory zberu na iných lokalitách (mimo centrálu) a agenta pre zber Windows logov.

360

* "Konfigurácia systému sa musí vykonávať v grafickom rozhraní jednotnej užívateľskej konzoly, systém poskytuje podporu pre vizuálne programovanie pre všetky kroky spracovania strojových dát.

361

* Systém má umožňovať doplnenie parseru pre zariadenia, aplikácie alebo systémy mimo uvedeného zoznamu užívateľov bez nutnosti spolupráce s výrobcom alebo dodávateľom ponúkaného systému - užívateľsky definované parsery. Dokumentácia systému musí obsahovať prehľadný návod na vytváranie zákazníckych parserov a systém musí obsahovať možnosť testovania a ladenia parserov bez vplyvu na ostatné produkčné funkcie systému."

362

* Prijaté logy má systém štandardizovať do jednotného formátu a logy sú rozdeľované do príslušných polí podľa ich typu. Systém musí zároveň uchovávať originálne verzie správ.

363

* Pre hodnoty jednotlivých parsovaných polí musí byť možné v definícii parseru zmeniť typ a štandardizovať minimálne na tieto základné druhy: číslo, IP adresa, MAC adresa, URL. Nad uloženými dátami typu číslo je možné pri vyhľadávaní vykonávať matematické operácie (súčty všetkých hodnôt, priemery, najmenšia/najväčšia hodnota a pod.).

364

* "Centrálny logovací systém musí zachovávať pôvodné informácie zo zdroju logu o časovej značke udalosti, ale nedôveruje jej a vytvára vlastné dôveryhodná časová pečiatka ku každému logu, ktorá vzniká v okamihu prijatia logu systémom a ktorým sa systém riadi.

365

* Všetky polia a položky prijaté systémom musia byť automaticky indexované. Nad všetkými položkami musí byť možné ihneď vykonávať vyhľadávanie bez nutnosti dodatočného ručného indexovania administrátorom.

366

* Centrálny logovací systém musí umožňovať zber udalostí vo formátoch RAW, Syslog."

367

* Centrálny logovací systém neumožňuje mazanie alebo modifikovanie uložených logov ani konfiguračnou zmenou administrátorovi systému s najvyššími oprávneniami. Každý log musí mať unikátny identifikátor, ktorý umožní jeho jednoznačnú identifikáciu.

368

* Centrálny logovací systém musí umožňovať konfiguráciu filtrácie nerelevantných správ, konsolidáciu logov na vlastnom storage priestore, jednoduché vyhľadávanie udalostí a okamžité vytváranie grafických reportov (ad hoc) bez nutnosti dodatočného programovania alebo aplikovania dopytov v SQL jazyku. Reportovací nástroj musí byť integrálnou súčasťou systému a aj súčasťou jednotného rozhrania.

369

* V prípade krátkodobého preťaženia systému nemôže dochádzať k strate logov. Všetky prijaté nespracované logy/udalosti sú ukladané do vyrovnávacej pamäte.

370

* Centrálny logovací systém musí umožňovať jednoducho vytvárať grafické znázornenie udalostí nad všetkými uloženými dátami za ľubovoľné časové obdobie bez nutnosti modifikácie konfigurácie systému alebo parametrov uložených dát. Historické dáta v požadovanej dĺžke retencie uložené v systéme je možné prehľadávať okamžite bez časových strát opätovného importu alebo dekomprimácie starších dát, prehľadávanie nevyžaduje manuálnu konfiguráciu a zásahy používateľa.

371

* Systém musí podporovať natívne získavanie logov z Office365.

372

* Centrálny logovací systém musí umožňovať unifikované vyhľadávanie naprieč všetkými typmi dát a zariadení podľa normalizovaných polí a musí spĺňať požiadavky normy STN/ISO 27001:2013 pre získavanie auditných záznamov.

373

* Centrálny logovací systém má mať možnosť uloženia užívateľom vytvorených pohľadov na dáta (dashboardov) pre budúce spracovanie.

374

* Centrálny logovací systém musí obsahovať reportovací nástroj s prednastavenými najbežnejšími reportami a možnosťou vlastných úprav a vytváranie nových pohľadov.

375

* Centrálny logovací systém musí umožňovať kapacitnú i výkonovú škálovateľnosť.

376

* Monitoring stavu systému - alertovanie pri prekročení prahových hodnôt alebo chybe systému, preposlanie upozornenia pomocou SMTP alebo Syslog.

377

* Centrálny logovací systém musí obsahovať REST-API pre integráciu s externým monitorovacím systémom (Zabbix, Nagios, PRTG a pod.)

378

* Centrálny logovací systém musí umožňovať jednoduché vytváranie užívateľských rolí definujúcich prístupové práva k uloženým udalostiam a jednotlivým ovládacím komponentom systému, vykonávať parsovanie a normalizáciu prijatých udalostí bez nutnosti inštalovať externé aplikácie alebo systémy a to priamo vo svojom rozhraní.

379

* Centrálny logovací systém musí podporovať overovanie užívateľa systému na externom LDAP serveri. V prípade výpadku externého LDAP systému musí podporovať overenie z lokálnej databázy. Systém má automaticky zaznamenávať užívateľské meno ku každej akcii užívateľom.

380

381

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-Aktualizácieazálohovanie"/}}Aktualizácie a zálohovanie ===

382

383

* Aktualizácie systému by mali byť distribuované v jednotnom balíku a ich inštalácia je vykonávaná cez centrálnu správcovskú konzolu. Všetky aktualizácie by mali byť vykonávané z webového rozhrania systému bez potreby asistencie výrobcu/dodávateľa.

384

* Systém musí podporovať downgrade, napríklad pri problémoch s novou verziou systému po upgrade

385

* Licenčne musí byť neobmedzený počet zariadení pre príjem zasielaných udalostí. Licenčne musí byť neobmedzený počet udalostí v GB za deň. Integrovaná databáza musí podporovať kompresiu ukladaných dát.

386

* Centrálny logovací systém musí podporovať zálohovania alebo obnovy konfigurácie v jednom kroku a jednom súbore pre celý systém a taktiež musí podporovať zálohovanie dát na externý systém, požadované je plánované aj ad-hoc zálohovanie.

387

388

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-Alerty:"/}}Alerty: ===

389

390

* Centrálny logovací systém musí byť schopný na základe zadaných podmienok splnených v prijatých dátach vygenerovať alert.

391

* Text emailu vygenerovaného alertom môže byť užívateľsky definovaný s premennými z prijatej rozparsovanej udalosti.

392

* Centrálny logovací systém by mal obsahovať výrobcom predpripravené sety/vzory alertov a korelácií. Užívateľská konfigurácia alertov musí byť možná pomocou vizuálneho programovacieho jazyka v centrálnej správcovskej konzole. Vizuálny programovací jazyk nemôže byť prezentovaný čisto textovo, ale textovo-grafickou formou, ktorá vizualizuje aplikačnú logiku. Konfigurácia alertu alebo korelácie umožňuje okamžitú kontrolu.

393

* Ako výstupné pravidlo alertu systém musí vedieť odoslať udalosť, ktorá alert vyvolala na externý systém prostredníctvom SMTP alebo Syslog cez TCP protokol. Pre Syslog protokol musí byť možnosť definície formátu dát pre jednoduchšiu integráciu so systémami tretích strán.

394

* V alertoch by mala byť možnosť využívať značky. Systém musí podporovať funkcie SIEM - korelácie udalostí a upozornenia s hraničnými limitmi. Definícia korelačných pravidiel má mať možnosť vloženia testovacej správy a výsledku testu vykonanej akcie.

395

396

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-ZberudalostívprostredíMicrosoft:"/}}Zber udalostí v prostredí Microsoft: ===

397

398

* Centrálny logovací systém by mal získavať udalosti z Microsoft prostredia buď pomocou agenta inštalovaného priamo na koncovom zariadení s Windows systémom, alebo iným spôsobom. Agent súčasne musí podporovať monitoring interných Windows logov, a aj monitoring textových súborových logov.

399

* Agent musí zaisťovať zber nemodifikovaných udalostí a detailné spracovanie auditných informácií.

400

* Agent musí podporovať nastavenie filtrácie odosielaných udalostí pomocou centrálnej správcovskej konzoly.

401

* Filtrácia odosielaných udalostí agentom sa musí konfigurovať pomocou vizuálneho programovacieho jazyka v centrálnej správcovskej konzole. Nerelevantné logy majú byť filtrované na strane agenta a nie sú odosielané po sieti. Vizuálny programovací jazyk nesmie byť prezentovaný textovo, ale textovo-grafickou formou, ktorá vizualizuje aplikačnú logiku.

402

* Agent nesmie vyžadovať administrátorské zásahy na koncovom systéme – je centrálne spravovaný a automaticky aktualizovaný priamo z centrálnej správcovskej konzoly systému. Správa a aktualizácia agenta sa nevykonáva z Group Policy.

403

* Komunikácia Windows agenta a centrálneho logovacieho systému je šifrovaná.

404

* Agent musí podporovať zber nielen zo základných systémových logov (Aplikácie, Zabezpečenie, Inštalácie, Systém), ale aj zber všetkých ostatných logov v zložke protokoly aplikácií a služieb. Agent musí podporovať centralizované nastavenie z administrátorskej konzoly systému pre zber textových logov vrátane možnosti výberu ich formátu.

405

* Agent musí automaticky dopĺňať ku všetkým odosielaným udalostiam ich textový popis tak, ako je zobrazený v prehliadači udalostí (Event Viewer) na koncovom systéme.

406

* Počet inštalácií agenta nemôže byť licenčne ani časovo obmedzený.

407

408

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-HWparametresystému"/}}HW parametre systému ===

409

410

* HW musí byť v rackovom prevedení o výške max. 2U. HW bude obsahovať všetky potrebné komponenty a musí byť nezávislý na ďalších systémoch. HW musí podporovať konfiguráciu HA s podporou celkového počtu nodov minimálne 8. V cene dodania musí byť aj zberná sonda (forwarder) v počte 1 ks (HW/VM)

411

* HW bude dodaný tak, aby spĺňal nasledovné minimálne parametre:

412

** 6 000 udalostí za sekundu pri priemernej veľkosti jednej udalosti 1 KB, s možnosťou výkonu pri útoku 10000 udalostí po dobu min. 10 minút.

413

** retencia logov min. pol roka;

414

** diskový subsystém s čistou dostupnou kapacitou min. 40TB pre integrovanú databázu a s redundanciou; NVMe modul pre spracovanie near-realtime procesov

415

** 4x 10Gbit SFP+ porty + 1x dedikovaný 1Gbit port pre management HW;

416

** Redundantné ventilátory, vymeniteľné za chodu;

417

** Napájacie zdroje s redundanciou 1+1, vymeniteľné za chodu, účinnosť min. 94%;

418

** Virtuálne KVM, t.j. prevzatie textovej i grafickej konzoly serveru a prenos povelov z klávesnice a myši vzdialeného počítača;

419

** Systém pre vzdialenú správu serveru vrátane potrebnej licencie,

420

** Hardvérová min. 5 ročná záručná servisná podpora na hardware appliance s opravou na mieste inštalácie serveru a s garantovanou odozvou nasledujúci pracovný deň od nahlásenia prípadnej závady.

421

422

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.2.2Nástrojnacentrálnymanažmentsiete"/}}4.2.2 Nástroj na centrálny manažment siete ===

423

424

V rámci projektu je navrhnuté nasadiť nástroj na centrálny manažment siete, ktorý by poskytol centralizovaný pohľad na celú sieť s viditeľnosťou všetkých sieťových zariadení bez nutnosti integrácie viacerých aplikácií.

425

426

Tento nástroj by mal poskytovať hlavne:

427

428

* Komplexný prehľad o sieti

429

* Podrobné informácie o výkone aplikácií a siete prostredníctvom telemetrie a hĺbkovej kontroly paketov (DPI).

430

* Typologické mapy

431

* Podporu zariadení Cisco, Juniper Networks, HPE Aruba, Dell, Nokia, Allied Telesis, Zyxel, Linksys, Huawei a ďalšie. Na správu zariadení tretích strán možnosť použiť protokol SNMP (Simple Network Management Protocol) verzií 1, 2c a 3, ako aj rozhranie príkazového riadka (CLI).

432

* Identifikáciu a reporting pre podozrivé/škodlivé alebo nežiaduce aplikácie

433

* Automatizáciu každodenných činností prostredníctvom intuitívnej automatizácie úloh a orchestrácie.

434

* Podporu bežných skriptovacích jazykov, ako je napríklad Python

435

* Integráciu prostredníctvom rozhrania API

436

437

Z pohľadu nasadenia by mal podporovať možnosť nasadenia ako virtuálneho zariadenia, SW, alebo HW appliance.

438

439

Z pohľadu podpory virtualizačných platforiem by mala byt možnosť nasadenia na VMWare aj Hyper-V Site.

440

441

Pri nasadení ako SW by mal podporovať tieto OS:

442

443

* Red Hat Enterprise Linux WS a ES v6 a v7

* Ubuntu 20.04 LTS

\\

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.2.3Nástrojnadetegovanieexistujúcichzraniteľností"/}}4.2.3 Nástroj na detegovanie existujúcich zraniteľností ===

449

450

EDR riešenie, ktoré bude zároveň schopné monitorovať a identifikovať zraniteľnosti zariadení.

451

452

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-Minimálnetechnickéafunkčnépožiadavky:"/}}Minimálne technické a funkčné požiadavky: ===

Detekcia malvéru

* Identifikácia škodlivých aktivít a indikátorov kompromitácie

Detekcia hrozieb

* Komplexný prehľad o sledovaných koncových bodoch a infraštruktúre. Možnosti uchovávania protokolov, indexovania a dotazovania. Pravidlá detekcie hrozieb namapované na rámec MITER ATT&CK, integrácia s informačnými kanálmi a platformami tretích strán na vylepšené vyhľadávanie hrozieb.

461

462

Detekcia zraniteľnosti

463

464

* Aktívny zber údajov o inventári softvéru a ich odosielanie na centrálny server kde sú potom zhromaždené údaje o inventári korelované s neustále aktualizovanými databázami CVE (Common Vulnerabilities and Exposure), aby sa identifikoval známy zraniteľný softvér. Podpora Automatizovanej detekcie zraniteľnosti.

Reakcia na incident

* Aktívne reakcie na vykonanie rôznych protiopatrení proti pretrvávajúcim hrozbám. Možnosť spúšťať reakcie, keď sú splnené určité kritériá. Možnosť vzdialeného spúšťania príkazov alebo systémových dotazov, identifikáciu indikátorov kompromisu (IOC) a pomoc pri vykonávaní úloh reakcie na incidenty.

Reporting

* Reporting a forenznú analýzu bezpečnostných incidentov. Real time notifikácie, podpora reportingu v súlade s regulačnými frameworkmi ako napríklad PCI DSS, NIST 800-53, GDPR, TSC SOC2, and HIPAA. Možnosť úpravy reportov pripadne definovania vlastných reportov.

473

474

Architektúra riešenia

475

476

* Nasadenie ako od samostatného all-in-one HW až po možnosť nasadenia vo virtualizovanom prostredí.

477

478

Podpora pre ochranu a detekciu zraniteľnosti pre minimálne 900 koncových zariadení.

**~ **

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.2.4Rozsahinformačnýchsystémov–ASIS"/}}4.2.4 Rozsah informačných systémov – AS IS ===

483

484

(% class="wrapped" %)

485

(% class="" %)|(((

486

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

501

502

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

(% class="" %)|(((

isvs_14252

)))|(((

AIS2 - Akademický informačný systém

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14253

)))|(((

RDSS - Registratúrny denník

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

525

)))|(((

526

Ekonomický a administratívny chod inštitúcie

)))|(((

\\

)))

(% class="" %)|(((

[[isvs_14255>>url:https://metais.vicepremier.gov.sk/detail/ISVS/9d5aa13d-7e9e-469d-9809-f68d0b66a64a/cimaster?tab=summarizingCart||shape="rect"]]

532

)))|(((

533

ZIMBRA - poštový server

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

538

)))|(((

539

Ekonomický a administratívny chod inštitúcie

)))|(((

\\

)))

(% class="" %)|(((

isvs_14256

)))|(((

WebKredit - stravovací systém

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

551

)))|(((

552

Ekonomický a administratívny chod inštitúcie

)))|(((

\\

)))

(% class="" %)|(((

isvs_14258

)))|(((

SafeQ - tlačový systém

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

564

)))|(((

565

Ekonomický a administratívny chod inštitúcie

)))|(((

\\

)))

(% class="" %)|(((

isvs_14259

)))|(((

DAWINCI - knižničný informačný systém

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14260

)))|(((

REPČO - Register evidencie publikačnej činnosti a ohlasov

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14261

)))|(((

CREPČ2 - Centrálny register evidencie publikačnej činnosti

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-"/}} ===

610

611

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.2.5Rozsahinformačnýchsystémov–TOBE"/}}4.2.5 Rozsah informačných systémov – TO BE ===

612

613

(% class="wrapped" %)

614

(% class="" %)|(((

615

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

630

631

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

(% class="" %)|(((

isvs_14252

)))|(((

AIS2 - Akademický informačný systém

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14253

)))|(((

RDSS - Registratúrny denník

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

654

)))|(((

655

Ekonomický a administratívny chod inštitúcie

)))|(((

\\

)))

(% class="" %)|(((

[[isvs_14255>>url:https://metais.vicepremier.gov.sk/detail/ISVS/9d5aa13d-7e9e-469d-9809-f68d0b66a64a/cimaster?tab=summarizingCart||shape="rect"]]

661

)))|(((

662

ZIMBRA - poštový server

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

667

)))|(((

668

Ekonomický a administratívny chod inštitúcie

)))|(((

\\

)))

(% class="" %)|(((

isvs_14256

)))|(((

WebKredit - stravovací systém

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

680

)))|(((

681

Ekonomický a administratívny chod inštitúcie

)))|(((

\\

)))

(% class="" %)|(((

isvs_14258

)))|(((

SafeQ - tlačový systém

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

693

)))|(((

694

Ekonomický a administratívny chod inštitúcie

)))|(((

\\

)))

(% class="" %)|(((

isvs_14259

)))|(((

DAWINCI - knižničný informačný systém

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14260

)))|(((

REPČO - Register evidencie publikačnej činnosti a ohlasov

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14261

)))|(((

CREPČ2 - Centrálny register evidencie publikačnej činnosti

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

\\

\\

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.2.6VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}4.2.6 Využívanie nadrezortných a spoločných ISVS – AS IS ===

743

744

Predmetom projektu nie je využívanie nadrezortných a spoločných ISVS.

\\

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.2.7PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}4.2.7 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE ===

749

750

Predmetom projektu nie je realizácia integrácií.

\\

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.2.8PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}4.2.8 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===

755

756

Predmetom projektu nie je realizácia integrácií.

\\

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.2.9Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}4.2.9 Aplikačné služby pre realizáciu koncových služieb – TO BE ===

761

762

Predmetom projektu nie je realizácia aplikačných služieb

\\

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.2.10Aplikačnéslužbynaintegráciu–TOBE"/}}4.2.10 Aplikačné služby na integráciu – TO BE ===

767

768

Predmetom projektu nie je realizácia integrácií.

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.2.11PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}4.2.11 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===

773

774

Predmetom projektu nie je poskytovanie údajov do IS CSRÚ.

\\

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.2.12KonzumovanieúdajovzISCSRU–TOBE"/}}4.2.12 Konzumovanie údajov z IS CSRU – TO BE ===

779

780

Predmetom projektu nie je konzumovanie údajov z IS CSRÚ.

\\

== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.3Dátovávrstva"/}}4.3 Dátová vrstva ==

785

786

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.3.1Údajevspráveorganizácie"/}}4.3.1 Údaje v správe organizácie ===

787

788

Predmetom projektu nie je spracovanie, resp. práca s údajmi ako objektmi evidencie.

\\

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.3.2Dátovýrozsahprojektu-Prehľadobjektovevidencie-TOBE"/}}4.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE ===

793

794

Predmetom projektu nie je spracovanie, resp. práca s údajmi ako objektmi evidencie.

795

796

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.3.3Referenčnéúdaje"/}}4.3.3 Referenčné údaje ===

797

798

Projekt nepracuje s referenčnými údajmi.

799

800

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.3.4Kvalitaačistenieúdajov"/}}4.3.4 Kvalita a čistenie údajov ===

801

802

Predmetom projektu nie je riešenie kvality a čistenia údajov.

803

804

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.3.5Otvorenéúdaje"/}}4.3.5 Otvorené údaje ===

805

806

Predmetom projektu nie je riešenie otvorených údajov.

807

808

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.3.6Analytickéúdaje"/}}4.3.6 Analytické údaje ===

809

810

Predmetom projektu nie je riešenie analytických údajov.

811

812

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.3.7Mojeúdaje"/}}4.3.7 Moje údaje ===

813

814

Predmetom projektu nie je riešenie témy „Moje údaje“.

815

816

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.3.8Prehľadjednotlivýchkategóriíúdajov"/}}4.3.8 Prehľad jednotlivých kategórií údajov ===

817

818

Predmetom projektu nie sú „objekty evidencie“.

\\

\\

**~ **

== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.4Technologickávrstva"/}}4.4 Technologická vrstva ==

829

830

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.4.1Technickýprostriedokzabezpečujúcifunkcionalitunextgenerationfirewall-u(ďalejaj„NGFW“)"/}}4.4.1 Technický prostriedok zabezpečujúci funkcionalitu next generation firewall-u (ďalej aj „NGFW“) ===

831

832

Pre zabezpečenie vysokej dostupnosť / ďalej iba HA / je minimálny počet NGFW 2 kusy.

833

834

Požiadavky na konektivitu (porty):

* 2 x USB port

* 1 x Console port

* 2 x GE RJ45 MGMT/HA porty

839

* 16 x GE RJ45 porty

840

* 8 x GE SFP Sloty

841

* 4 x 10GE/GE SFP+/SFP sloty

842

* 4x 25GE/10GE SFP28/ SFP+ (Ultra Low Latency) sloty

843

* Napájanie: 2x220V HotSwap

844

* Spotreba max 260W

845

846

Napájacie zdroje NGFW budú pripojené ku dvom UPS z ktorých každá je napájaná samostatne istenou sieťovou vetvou (fázou) na to určeným rozvodom elektrickej siete.

847

848

Špecifikácia technických parametrov NGFW, výkon a kapacita:

849

850

* Dostupná IPS priepustnosť 14 Gbps

851

* Dostupná IPv4 priepustnosť (1518 / 512 / 64 byte, UDP): 139 / 137.5 / 70 Gbps

852

* Maximálne oneskorenie (64 byte, UDP)na portoch Ultra Low Latency: 2,5 μs

853

* Dostupná priepustnosť (Paket za sekundu): 105 Mpps

854

* Dosiahnuteľný počet všetkých spojení (TCP): 8 miliónov spojení

855

* Dosiahnuteľný počet nových spojení za sekundu (TCP): 550 000

856

* Dostupný počet pravidiel firewall-u: 30 000

857

* SSL-VPN priepustnosť: 4.3 Gbps

858

* Dostupný počet súčasných SSL-VPN užívateľov: 10 000

859

* Priepustnosť pri SSL inšpekcii: 9 Gbps

860

* Počet virtuálnzch domén (Default / Max) 10 / 10

861

* HA konfigurácia : Active-Active, Active-Passive, Clustering

Služby:

* Služby VPN zahrnuté v cene zariadenia

866

* IPS: chráni pred vniknutím do siete detekciou a blokovaním hrozieb ešte pred tým, ako sa dostanú ku koncovým zariadeniam. Každý deň sa vytvárajú a aktualizujú nové signatúry na čo najlepšiu ochranu zariadení.

867

* advanced malware protection (AV): Funkcia znižuje nebezpečenstvo úniku dát či poškodení spôsobených malvérom. Využíva na to patentovanú technológiu Content Pattern Recognition Language (CPRL) s možnosťou hĺbkovej kontroly a proaktívnej detekcie signatúr. Jeden podpis CPRL môže zachytiť 50 000 alebo viac variant rodiny malvéru.

868

* application control: whitelisting/blacklisting aplikácii. Možné taktiež použiť na priorizáciu prevádzky. Zároveň táto funkcia poskytuje dohľad nad sieťovou prevádzkou, takže vidíme konkrétne aplikácie, ktoré užívatelia používajú.

869

* botnet DB: kľúčovou súčasťou tzv. „kill chain“ v organizácii je to, keď malvér komunikuje s C&C serverom – buď na účel stiahnutia ďalších hrozieb, alebo na export ukradnutých dát. Služba Botnet IP/Domain túto komunikáciu blokuje a neutralizuje hrozby. IP reputation je kľúčovou súčas- ťou antiphishingového riešenia.

870

* Outbreak Prevention: vypĺňa časovú medzeru od zistenia škodlivého kódu v Sandboxe, pokiaľ nie je vytvorená klasická signatúra pre Antivir engine. FortiOS realtime porovnáva hash súboru s globálnou databázou a ak hash odpovedá, tak súbor zablokuje ešte pred vytvorením signatúry.

871

* mobile malware: znižuje riziko úniku dát a poškodení systému mobilným malvérom. Chráni proti najnovším formám malvéru technológiou schopnou proaktívne blokovať predtým neznáme varianty hrozieb vďaka up-to-date hodinovo aktualizovanej databáze.

872

* Cloud Sandbox: Spustí v sebe kód v bezpečnom prostredí a podľa jeho chovania vyhodnotí či je škodlivý, alebo nie. Vytvára vlastné signatúry, ktoré sú potom dostupné pre budúcu inšpekciu prevádzky a odhalenie škodlivého kódu.

873

* web and video filtering: zablokovanie alebo monitorovanie webovej prevádzky. Vďaka kategorizácii webových stránok, ktorá denne spracováva požiadavky takmer 50 miliónov URL adries na kategorizácii a blokovaní 160 000 škodlivých webových stránok, je možné blokovať celé kategórie stránok a nie je tak nutné blokovať URL adresy jednotlivo. Webové stránky sú rozdelené do šiestich hlavných kategórií a do takmer 80 podkategórií.

874

* DNS filtering

875

* antispam service: deteguje nechcené či škodlivé e-maily globálnym filtrovaním nevyžiadanej pošty, ktorá využíva IP reputáciu odosielateľa a spamové signatúry. FortiGuard Labs dodávajú každý týždeň takmer 46 miliónov nových a aktualizovaných pravidiel spamu.

876

* Možnosť modulárneho rozšírenia Firewall-u prostredníctvom prepínačov.

877

* Firewall musí vystupovať pre tieto prepínače ako kontrolér

878

* Možnosť integrácie cez Security Fabric

879

* Záruka 5 rokov, dostupná podpora 24/7

// //

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.4.2Aktualizáciasieťovejinfraštruktúry"/}}4.4.2 Aktualizácia sieťovej infraštruktúry ===

884

885

== {{id name="projekt_2641_Pristup_k_projektu_detailny-Coreswitch"/}}Core switch ==

886

887

Minimálne 2 ks Switch podľa uvedených technických požiadaviek:

Veľkosť:

* Rozmer úchytu zariadenia 19“, výška 1 U

892

893

Počet portov a prepínací výkon:

894

895

* Vyhradený management port RJ 45 - 1x

896

* 24x GE/10 GE SFP+ port

897

* 2x 40GE / 100GE QSFP+ / QSFP28 ports

898

* RJ45 konzolový port

899

* Požadovaná prepínacia kapacita: 880 Gbps

900

* Požadovaný prepínací výkon: 1309 Mpps

901

* Integrovaná pamäť 8GB DDR4

902

* Latencia siete: ~~1μs

903

* Počet VLAN : 4k

904

* IPv4/IPv6 Routing

905

* Napájanie: 2X hot swap zdroj

906

* Spotreba max. 176 W

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.4.3Segmentáciasiete"/}}4.4.3 Segmentácia siete ===

911

912

Pre zvýšenie bezpečnosti prenášaných dát v rámci internej infraštruktúry je potrebné rozdeliť LAN na VLAN-y podľa potrieb jednotlivých oddelení organizácie. Pre zistený stav odporúčame segmentáciu:

913

914

* VLAN 1001 - Administratíva

915

* VLAN 1002 - Technické, prístupové a ďalšie obslužné systémy

916

* VLAN 999 - WIFI „internal“ pre potreby zamestnancov úradu

917

* VLAN 998 - WIFI „verejnosť“

918

* VLAN 997 – WIFI „EDUROAM“

919

* VLAN 890 - Management, pre správu a konfiguráciu hardvérových zariadení a programového vybavenia, za dodržania bezpečnostných pravidiel bude možný prístup aj z VPN

920

* VLAN 1006 - BACKUP

921

922

IP rozsahy a masky subsietí budú definované odberateľom.

923

924

= {{id name="projekt_2641_Pristup_k_projektu_detailny-"/}} =

925

926

= {{id name="projekt_2641_Pristup_k_projektu_detailny-LOGICKÁSCHÉMASIETE"/}}LOGICKÁ SCHÉMA SIETE =

927

928

Štruktúra LAN je centralizovaná v budove Centra informačných služieb UJS (CIS), v serverovňi č.1 s názvom CIS1. Budova sa nachádza oproti budove konferenčného centra UJS. Prepoj medzi budovami je optický.

[[image:attach:image-2024-5-31_9-26-49.png||width="676"]]

Schéma č. 1

Ako Core budú použité zariadenia označené v tomto dokumente ako „Core SW1“ a „Core SW2“.

939

940

Pripojenie do NGFW bude realizované v rámci jedného RACKU.

941

942

Pripojenie fyzických nodov virtuálneho prostredia bude realizované pomocou SFP portov optickým prepojom, rovnako je možné lokálke použiť pripojenie DAC .

943

944

Server Node1 až Server Node3 sú pripojené do Core SW 1-2 DAC káblami 2x 10GB vždy portom v konfigurácii LACP.

945

946

ISCSI konektivitu zabezpečia switche „iSCSI SW1 a iSCSI SW2„ prepoj server node1 , server node2 a server node3 do iSCSI bude realizovaný pomocou DAC 10GB (2 x z každého servera ako je znázornené na shcéme zapojenia .

947

948

iSCSI SW1 a iSCSI SW2 budú pripojené ku STORAGE1 ( produkčný storage ) 2x DAC do CTRL „A“ a do CTRL „B“ ( spolu 4x DAC) .

949

950

Geograficky oddelený segment infraštruktúry sa bude nachádzať v budove B – Fakulta ekonomiky a informatiky a bude poskytovať kapacitu na zálohovanie IS.

951

952

Pripojenie sekundárnej lokality zabezpečí existujúci optický prepoj so šírkou pásma minimálne 1x 1 GB z SFP+ (odporúčaná šírka pásma je 10GB ) CORE sw1 do iSCSI sw3

**~ **

== {{id name="projekt_2641_Pristup_k_projektu_detailny-Zdrojzáložnéhonapájania"/}}Zdroj záložného napájania ==

957

958

Na zabezpečenie prevádzky lokálnej siete a všetkých služieb dostupných jej prostredníctvom je nevyhnutné, aby bolo zabezpečené neprerušené napájanie sieťových komponentov minimálne v rozsahu switchov NGFW rovnako aj serverov, na ktorých sú služby poskytované.

959

960

Túto funkcionalitu budú zabezpečovať UPS v konfigurácii pre sieťové komponenty a servery (spoločná UPS) v minimálnej konfigurácii:

961

962

* Typ: Rackmount

963

* Technológia: On-Line

964

* Výstupný výkon: 4.5 kW/5 kVA

965

* Vstupné napätie: 230V (220, 240)

966

* Výstupné napätie: 230V (220, 240)

967

* Výstupy:

968

** Hard Wire 3-wire (2PH + G)

969

** Hard Wire 3-wire (H N + G)

970

* Vstupy:

971

** Hard Wire 3-wire (2PH + G)

972

** Hard Wire 3 wire (1PH+N+G)

* Batéria:

** Výdrž pri plnom výkone (4.5kW ): 3.6min

977

** Výdrž pri polovičnom výkone (2.25kW ): 12.3min

978

** Doba nabíjania: 3 h

979

** Škálovateľná doba behu

980

** Konfigurácia a monitoring cez sieť

981

** SmartSlot na karty pre správu UPS

982

** Možnosť rozšírenia o ďalšie batérie

983

** Firmware s možnosťou upgradu

984

** Núdzové vypínanie

985

** Inteligentná správa batérie

986

** Informovanie o predpokladanom dátume výmeny batérií

987

** Automatická detekcia externých batérií

988

** Možnosť štartu bez batérií

989

** Spínanie skupiny výstupov

990

** Koeficient amplitúdy: 3:1

** Účinník: 0.9

* Záruka: 3 roky

Typ záruky: Záruka na batériu je 2 roky

996

997

Počet: 2 ks, vstup každej UPS s vlastným istením pripojený na samostatnú fázu, inštalácia v primárnej serverovni v budove č.1.

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.4.4Aktualizácia/upgradeserverovejinfraštruktúry"/}}4.4.4 Aktualizácia / upgrade serverovej infraštruktúry ===

1002

1003

== {{id name="projekt_2641_Pristup_k_projektu_detailny-Virtualizácia"/}}Virtualizácia ==

1004

1005

Pre zvýšenie bezpečnosti a dostupnosti dát je navrhnuté realizovať virtualizáciu prostredia na troch nodoch HW hostov pripojených na centrálne úložisko v rámci jednej lokality a úložiskom dát, ktoré bude slúžiť na zálohovanie v geograficky oddelenom samostatnom požiarnom úseku.

1006

1007

Na inštaláciu jednotlivých nodov virtualizačných hostov budú použité servery v konfigurácii:

1008

1009

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-Server1(VirtNode1,VirtNode2,VirtNode3)"/}}Server 1 (Virt Node1, Virt Node2 , Virt Node3 ) ===

* Rack Mount (2U)

* Procesor:

** 2 x procesoru: Intel® Xeon® Gold

1014

** Model procesoru: 5318Y

1015

** Frekvencia procesora: 2,1 GHz

1016

* Pamäť:

1017

** Pamäťové sloty: 16 x DIMM

1018

** Inštalovaná pamäť 512 GB

1019

** kapacita pamäte: až 1 000 GB (podľa počtu a požiadaviek plánovaných VM)

1020

** Typ vnútornej pamäte: DDR4-SDRAM

1021

* Dátové úložisko:

1022

** Veľkosť chassis: 8 x 2.5"

1023

** Počet inštalovaných SSD: 2 x 480GB SSD SATA

1024

** Radič: PERC H755

1025

** Vzdialená správa: integrovaný servisný procesor

1026

* Konektivita

1027

** 2 x Broadcom 57412 - Typ rozhrania: 1Dual-Port 10 Gb/s SFP+ spolu (4 x SFP)

1028

** 2 x Ethernet/ LAN pripojenie (1Gb) - RJ-45 - Technológia kabeláže: 10/100/1000BaseT(X)

* Porty minimálne:

** 2 x USB 2.0

** 1 x USB 3.2

** 2 x VGA

** 1 x service procesor (Micro-AB USB) port

1034

* Napájanie 2 x 1100 W

1035

* Rozšírenie: 4 x 1 GB Ethernet port RJ45

1036

* Licencia pre servisný procesor na prístup do konzoly

1037

* Záruka: 3roky - Basic On-Site

**~ **

== {{id name="projekt_2641_Pristup_k_projektu_detailny-Storageprodukcia"/}}Storage produkcia ==

1042

1043

Dátové úložisko pre produkčné systémy bude umiestnené v serverovni č.1. v budove 1 do Racku 1, kde bude zabezpečené napájanie prostredníctvom UPS 1 a UPS 2, zároveň bude existovať možnosť pripojenia iSCSI infraštruktúry bez nutnosti dobudovania kabeláže. iSCSI konektivitu budú zabezpečovať dva switche v nasledujúcej konfigurácii:

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-iSCSISW1ažiSCSISW3."/}}iSCSI SW1 až iSCSI SW3. ===

1048

1049

* Počet LAN port: 12

1050

* Gigabit LAN port: 2

1051

* 10 Gigabit LAN port: 10

* Počet SFP+: 10

* Management: Áno

* Packet buffer 2MB

* Switching capacity (Gbps) 240

1056

* Tabuľka MAC 16k

1057

* Flash/RAM 32 MB/256 MB

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-Primárnedátovéúložisko"/}}Primárne dátové úložisko ===

1062

1063

* 10Gb iSCSI Base-T 8 Port Dual Controller

1064

* Počet pozícii HDD: 12 x 3.5”

1065

* Inštalované HDD: 6TB Hard Disk SAS ISE 12Gbps 7.2K 512e 3.5in Hot-Plug

1066

* RAW kapacita: 72TB

1067

* Rack Rails 2U

1068

* Hard Drive Filler 3.5in Single Blank

1069

* Redundantné napájanie 2 x 580W

1070

* Podpora asynchrónnej replikácie cez FC alebo iSCSI:

** ME4 to ME5;

** ME5 to ME4;

** ME5 to ME5;

* Virtuálna Integrácia:

1075

** VMware vSphere (ESXi),

** vCenter;

** SRM,

** Microsoft Hyper-V

Možnosť rozšírenia kapacity pomocou rozširujúceho modulu: Áno

1081

1082

Podpora manažmentu: HTML5 GUI element manager, CLI

1083

1084

Podpora RAID: RAID 1, 5, 6, 10, alebo ADAPT RAID, kombinácia RAID úrovní je možná v rámci jedného poľa

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.4.5Zálohovanie"/}}4.4.5 Zálohovanie ===

1089

1090

Geograficky oddelený segment infraštruktúry sa bude nachádzať v budove B a bude pozostávať z:

1091

1092

* Dátové úložisko – server – na schéme č. 2: BACKUP NODE 1

1093

* Switch na zabezpečenie iSCSI konektivity – na schéme č. 2: iSCSI SW3

1094

* Dátové úložisko – NAS – na schéme č. 2: BACKUP STORAGE

1095

* Dátové úložisko - Pásková knižnica - na schéme č. 2: Storage Typ 2 .

\\

[[image:attach:image-2024-5-31_9-27-44.png||width="667"]]

Schéma č. 2

Konektivita s primárnym zdrojom dát pre zálohovanie bude zabezpečená cez iSCSI SW pripojením do existujúcej infraštruktúry objednávateľa.

1104

1105

Požadovaná dostupná šírka pásma je minimálne 1Gbps ( odporúčaná je 10Gbps ) vo vyhradenej VLAN BACKUP.

1106

1107

== {{id name="projekt_2641_Pristup_k_projektu_detailny-Popis:"/}}Popis: ==

1108

1109

Bude požitá virtualizačná platforma PROXMOX Proxmox Backup Server v aktuálnej verzii. Server bude pripojený ku iSCSI SW3 vo vyhradenej VLAN BACKUP v ktorej bude vykonávaný dátový prenos zálohovaných údajov. Na pripojenie kanálom iSCSI bude použitý rovnako iSCSI SW3 na ktorom bude vytvorený vyhradený segment s IPv4 a určenou VLAN iba pre toto pripojenie / navrhujem IP rozsah s maskou ktorá neumožní bez routovania prestup z iných segmentov univerzitnej infraštruktúry / .

1110

1111

V tomto segmente sa bude nachádzať iba diskové pole BACKUP STORAGE ktoré bude slúžiť ako dátový sklad pre zálohované dáta.

1112

1113

Virt NODE bude pripojený aj ku offline dátovému úložisku Storage// //Typ 2// //LTO páskovej knižnici cez SAS na ktorú sa budú vytvárať kópie záloh z primárneho BACKUP Storage.

1114

1115

Takýto typ zálohovania umožní v prípade napadnutia univerzitných systémov napríklad ransomware obnoviť znehodnotené dáta z pásky.

1116

1117

Pre zabezpečenie kontinuity prevádzky tohoto dedikovaného zálohovacieho riešenia je potrebné zabezpečiť nepretržité napájanie všetkých zariadení / UPS, generátor ... /

1118

1119

Presná stratégia zálohovania bude navrhnutá v spolupráci so zadávateľom podľa preferovanej schémy, kde bude určujúcim faktorom objem zálohovaných dát, frekvencia zálohovania ako aj požadovaná retencia.

1120

1121

== {{id name="projekt_2641_Pristup_k_projektu_detailny-Dátovéúložisko–NAS(BACKUPSTORAGE)"/}}Dátové úložisko – NAS (BACKUP STORAGE) ==

1122

1123

Pre zálohovanie dát je navrhnuté dedikované diskové pole BACKUP STORAGE v konfigurácii:

1124

1125

* Procesor:

1126

** Model CPU AMD Ryzen V1780B

1127

** CPU architektúra 64-bit

1128

** Frekvencia: CPU 4-core 3.35 GHz

1129

* Systém hardwarového šifrovania (AES-NI)

1130

* Pamäť: Systémová pamäť 8 GB DDR4 ECC UDIMM

1131

* Predinštalovaný pamäťový modul 8 GB (8 GB x 1)

1132

* Celkový počet pamäťových slotov: 2

1133

* Maximálna kapacita pamäti 32 GB (16 GB x 2)

1134

* Počet pozícií pevného disku: 12

1135

* Kompatibilné typ diskov

** 5" SATA HDD

** 5" SATA SSD

* Externé porty:

** 2 x port USB 3.2 Gen 1

** 1 x port (eSATA)

Porty LAN:

* 2 x 1GbE RJ-45

* 10/25GbE Karta sieťového rozhrania ( 2 x SFP+ )

1146

* 1x Mini-SAS-HD pre pripojenie rozširovacieho modulu

1147

1148

* Redundantné napájanie 2x 230 V

1149

* Sloty PCIe 3.0:

1150

** 1 x Gen3 x8 slot

1151

** podpora sieťových kariet 10GbE/25GbE2

1152

** podpora kariet adaptéru M.2 NVMe SSD pre medzipamäť SSD

1153

* Podpora sieťových protokolov:

1154

** SMB AFP NFS FTP WebDAV CalDAV iSCSI Telnet SSH SNMP VPN (PPTP,OpenVPN™, L2TP)

1155

* Záruka 3 roky s možnosťou rozšírenia na 5 rokov

1156

1157

Navrhovaný počet HDD: 12 x 8 TB HDD napríklad Synology™ 3.5” SATA HDD HAT5310-8T 8TB , RAW kapacita 96 TB, ako alternatíva pre vyššiu kapacitu môžu byť použité disky 12 GB alebo 16 TB alebo rozšírenie zostavy o rozširovaciu jednotku RX1223RP

1158

1159

Záruka 3 roky s možnosťou rozšírenia na 5 rokov

1160

1161

Storage pre zálohovanie bude umiestnený v geograficky oddelenej destinácii v rámci LAN (optický prepoj) s dostupnou šírkou pásma 1Gbps vo vyhradenej VLAN 1006 - BACKUP. Ako nástroj na zálohovanie je navrhnutné jeho výber prispôsobiť vybranej virtualizačnej platforme:

1162

1163

* pre Vmware: VMware vSphere

1164

* pre Microcsoft HyperV: DPM

1165

* pre Proxmox: Proxmox Backup server

1166

* Veeam

1167

1168

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-"/}} ===

1169

1170

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-Dátovéúložisko-Páskováknižnica(Storagetyp2)"/}}Dátové úložisko - Pásková knižnica (Storage typ 2) ===

1171

1172

Technické požiadavky:

1173

1174

* LTO pásková knižnica

1175

* kompatibilita s :

1176

** LTO-9 Ultrium 45000

1177

** LTO-8 Ultrium 30750

1178

** LTO-7 Ultrium 15000

1179

** LTO-6 Ultrium 6250

1180

** LTO-5 Ultrium 3000

1181

* Dostupná kapacita až 08 PB (LTO-9) compressed 2.5:1

1182

* Počet slotov mechaniky: 24

1183

* Host interface : 12 Gb/sec SAS (LTO-9)

1184

* 6 Gb/sec SAS (LTO-6, LTO-7, LTO-8)

1185

* Encryption capability AES 256-bit: LTO-9, LTO-8, LTO-7, LTO-6, LTO-5

1186

* Form factor 2U

1187

* HPE StoreEver MSL LTO-9 Ultrium 45000 SAS Drive Upgrade Kit

1188

* HPE StoreEver LTO-9 Ultrium 45000 Internal Tape Drive

1189

* Host interface 6 Gb/sec SAS (LTO-6, LTO-7, LTO-8),

1190

* 12Gb/sec SAS (LTO-9)

* 24 x TAPE LTO9

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-Dátovéúložisko–server(BACKUPNODE1)"/}}Dátové úložisko – server (BACKUP NODE1) ===

1196

1197

Pre riadenie zálohovania bude použitý samostatný node server v minimálnej konfigurácii:

1198

1199

* CPU : Intel® Xeon® E E-2336 2,9 Ghz

1200

* Počet pamäťových slotov: 4x DIMM

1201

* Inštalovaná RAM : 2x16 GB

1202

* RAID radič : H755

1203

* Konektivita: 2x 1GBit RJ45, 10/100/1000Base-T(X)

* PORTY

** 2× port USB 2.0

** 1x port USB 3.0

** 1× VGA port

** 2× port NIC 1GBit (RJ45)

1209

** 2× slot PCIe Gen

1210

** 2x 10 GB 10Gb SFP+ (PCIe Adapter Low Profile)

1211

** 2x SAS HBA (12 Gbps)

1212

* Napájanie : 2x 700W Titanium (redundantné)

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.4.6Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}4.4.6 Využívanie služieb z katalógu služieb vládneho cloudu ===

1219

1220

Predmetom projektu nie je využívanie služieb z katalógu služieb vládneho cloudu.

\\

**~ **

== {{id name="projekt_2641_Pristup_k_projektu_detailny-4.5Bezpečnostnáarchitektúra"/}}4.5 Bezpečnostná architektúra ==

1229

1230

Predmetom projektu je implementácia opatrení pre oblasť informačnej a kybernetickej bezpečnosti, architektúra je uvedená v kap. 4 Architektúra projektu.

\\

Navrhovaný projekt a jeho architektúra bude budovaná v súlade s nasledujúcimi právnymi predpismi:

1235

1236

* Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe

1237

* Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti

1238

* Zákon č. 45/2011 Z.z. o kritickej infraštruktúre

1239

* vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy

1240

* vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

1241

* vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov

1242

* Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

1243

* Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

\\

\\

= {{id name="projekt_2641_Pristup_k_projektu_detailny-5.ZÁVISLOSTINAOSTATNÉISVS/PROJEKTY"/}}5. ZÁVISLOSTI NA OSTATNÉ ISVS / PROJEKTY =

1250

1251

Projekt nie je závislý na iných ISVS, resp. projektoch.

**~ **

= {{id name="projekt_2641_Pristup_k_projektu_detailny-6.ZDROJOVÉKÓDY"/}}6. ZDROJOVÉ KÓDY =

1256

1257

Vlastníkom zdrojových kódov v prípade vývoja SW diela bude univerzita v súlade s platnou legislatívou.

Dôležité usmernenie pre oblasť zdrojových kódov:

1262

1263

* Centrálny repozitár zdrojových kódov: [[https:~~/~~/www.zakonypreludi.sk/zz/2020-78/znenie-20200501#p31>>url:https://www.zakonypreludi.sk/zz/2020-78/znenie-20200501#p31||shape="rect"]]

1264

* Overenie zdrojového kódu s cieľom jeho prepoužitia: [[https:~~/~~/www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p7-3-c>>url:https://www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p7-3-c||shape="rect"]]

1265

* Spôsoby zverejňovania zdrojového kódu: [[https:~~/~~/www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p8-9>>url:https://www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p8-9||shape="rect"]]

1266

* Inštrukcie k EUPL licenciám: [[https:~~/~~/joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf>>url:https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf||shape="rect"]]

= {{id name="projekt_2641_Pristup_k_projektu_detailny-7.PREVÁDZKAAÚDRŽBA"/}}7. PREVÁDZKA A ÚDRŽBA =

// //

== {{id name="projekt_2641_Pristup_k_projektu_detailny-7.1Prevádzkovépožiadavky"/}}7.1 Prevádzkové požiadavky ==

\\

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-7.1.1Úrovnepodporypoužívateľov"/}}7.1.1 Úrovne podpory používateľov ===

\\

Help Desk bude realizovaný cez 2 úrovne podpory, s nasledujúcim označením:

1283

1284

* **L1 podpory IS** (Level 1, priamy kontakt zákazníka) bude zabezpečovať MsÚ

1285

* **L2 podpory IS** (Level 2, postúpenie požiadaviek od L1) bude zabezpečovaná dodávateľom

// //

Definícia:

* **Podpora L1 (podpora 1. stupňa)** - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď.

1292

* **Podpora L2 (podpora 2. stupňa)** – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť.

// //

Pre služby sú definované takéto SLA:

1297

1298

* Help Desk pre vybrané skupiny užívateľov cez telefón a email, incidenty sú evidované v IS,

1299

* Dostupnosť L2 podpory pre IS je 8x5 (8 hodín x 5 dní od 8:00h do 16:00h počas pracovných dní),

// //

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-7.1.2Riešenieincidentov–SLAparametre"/}}7.1.2 Riešenie incidentov – SLA parametre ===

\\

Za incident je považovaná chyba IS, t.j. správanie sa v rozpore s prevádzkovou a používateľskou dokumentáciou IS. Za incident nie je považovaná chyba, ktorá nastala mimo prostredia IS napr. výpadok poskytovania konkrétnej služby Vládneho cloudu alebo komunikačnej infraštruktúry.

1308

1309

Označenie naliehavosti incidentu:

1310

1311

(% class="wrapped" %)

1312

(% class="" %)|(((

1313

Označenie naliehavosti incidentu

)))|(((

Závažnosť incidentu

)))|(((

Popis naliehavosti incidentu

)))

(% class="" %)|(((

A

)))|(((

Kritická

)))|(((

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

)))

(% class="" %)|(((

B

)))|(((

Vysoká

)))|(((

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.

)))

(% class="" %)|(((

C

)))|(((

Stredná

)))|(((

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

)))

(% class="" %)|(((

D

)))|(((

Nízka

)))|(((

Kozmetické a drobné chyby.

)))

// //

možný dopad:

(% class="wrapped" %)

1353

(% class="" %)|(((

1354

Označenie závažnosti incidentu

)))|(((

\\

Dopad

)))|(((

Popis dopadu

)))

(% class="" %)|(((

1

)))|(((

katastrofický

)))|(((

katastrofický dopad, priamy finančný dopad alebo strata dát,

)))

(% class="" %)|(((

2

)))|(((

značný

)))|(((

značný dopad alebo strata dát

)))

(% class="" %)|(((

3

)))|(((

malý

)))|(((

malý dopad alebo strata dát

)))

**// //**

Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

1387

1388

(% class="wrapped" %)

1389

(% class="" %)|(% colspan="2" rowspan="2" %)(((

1390

Matica priority incidentov

1391

)))|(% colspan="3" %)(((

Dopad

)))

(% class="" %)|(((

Katastrofický - 1

)))|(((

Značný - 2

)))|(((

Malý - 3

)))

(% class="" %)|(% rowspan="4" %)(((

**Naliehavosť**

)))|(((

**Kritická - A**

)))|(((

1

)))|(((

2

)))|(((

3

)))

(% class="" %)|(((

**Vysoká - B**

)))|(((

2

)))|(((

3

)))|(((

3

)))

(% class="" %)|(((

**Stredná - C**

)))|(((

2

)))|(((

3

)))|(((

4

)))

(% class="" %)|(((

**Nízka - D**

)))|(((

3

)))|(((

4

)))|(((

4

)))

**// //**

Vyžadované reakčné doby:

1443

1444

(% class="wrapped" %)

1445

(% class="" %)|(((

1446

Označenie priority incidentu

1447

)))|(((

1448

Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu

1449

)))|(((

1450

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^

)))|(((

Spoľahlivosť ^^(3)^^

(počet incidentov za mesiac)

)))

(% class="" %)|(((

1

)))|(((

0,5 hod.

)))|(((

4 hodín

)))|(((

1

)))

(% class="" %)|(((

2

)))|(((

1 hod.

)))|(((

12 hodín

)))|(((

2

)))

(% class="" %)|(((

3

)))|(((

1 hod.

)))|(((

24 hodín

)))|(((

10

)))

(% class="" %)|(((

4

)))|(((

1 hod.

)))|(% colspan="2" %)(((

1488

Vyriešené a nasadené v rámci plánovaných releasov

1489

)))

1490

1491

**Vysvetlivky k tabuľke**

1492

1493

(1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L3 a jeho prevzatím na riešenie.

\\

(2) DKVI znamená obnovenie štandardnej prevádzky - čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom (DKVI) sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný uchádzač oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu.

\\

(3) Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident.

\\

(4) Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia majú prioritu 3 a nižšiu

1506

1507

Vzťahujú sa výhradne k dostupnosti testovacieho prostredia. Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite.

\\

Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby:

1512

1513

* Služby systémovej podpory na požiadanie (nad paušál)

1514

* Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)

1515

1516

Pre tieto služby budú dohodnuté osobitné parametre dodávky.

// //

== {{id name="projekt_2641_Pristup_k_projektu_detailny-7.2PožadovanádostupnosťIS:"/}}7.2 Požadovaná dostupnosť IS: ==

**// //**

(% class="wrapped" %)

(% class="" %)|(((

Popis

)))|(((

Parameter

)))|(((

Poznámka

)))

(% class="" %)|(((

**Prevádzkové hodiny**

)))|(((

12 hodín

)))|(((

od 6:00 hod. - do 18:00 hod. počas pracovných dní

1538

)))

1539

(% class="" %)|(% rowspan="2" %)(((

**Servisné okno**

)))|(((

10 hodín

)))|(((

od 19:00 hod. - do 5:00 hod. počas pracovných dní

)))

(% class="" %)|(((

24 hodín

)))|(((

od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov

1550

1551

Servis a údržba sa bude realizovať mimo pracovného času.

1552

)))

1553

(% class="" %)|(((

1554

**Dostupnosť produkčného prostredia IS**

)))|(((

96%

)))|(((

96% z 24/7/365 t.j. max ročný výpadok je 360 hod.

1559

1560

Maximálny mesačný výpadok je 30 hodín.

1561

1562

Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

1563

1564

Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L2 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

1565

1566

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

)))

// //

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-7.2.1Dostupnosť(Availability)"/}}7.2.1 Dostupnosť (Availability) ===

1572

1573

**Dostupnosť** (**Availability**) je pojem z oblasti riadenia bezpečnosti v organizácii. Dostupnosť znamená, že dáta sú prístupné v okamihu jej potreby. Narušenie dostupnosti sa označuje ako nežiaduce zničenie (destruction) alebo nedostupnosť. Dostupnosť je zvyčajne vyjadrená ako percento času v danom období, obvykle za rok.

1574

1575

* **96% dostupnosť**znamená výpadok 360 dní

\\

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-7.2.2RTO(RecoveryTimeObjective)"/}}7.2.2 RTO (Recovery Time Objective) ===

1580

1581

**Recovery Time Objective** (zvyčajne sa požíva skratka RTO) je jeden z ukazovateľov [[dostupnosti>>url:https://managementmania.com/sk/data||shape="rect"]] dát. RTO vyjadruje množstvo času potrebné pre obnovenie [[dát>>url:https://datalab.digital/legislativa/||shape="rect"]] a celej prevádzky nedostupného systému ([[softvér>>url:https://datalab.digital/dokumenty||shape="rect"]]). Môže byť, v závislosti na použitej technológii, vyjadrené v sekundách, hodinách či dňoch.

1582

1583

* Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni

// //

=== {{id name="projekt_2641_Pristup_k_projektu_detailny-7.2.3RPO(RecoveryPointObjective)"/}}7.2.3 RPO (Recovery Point Objective) ===

1588

1589

**Recovery Point Objective** (zvyčajne sa požíva skratka RPO) je jeden z ukazovateľov [[dostupnosti>>url:https://datalab.digital/legislativa/||shape="rect"]] dát. RPO vyjadruje, do akého stavu (bodu) v minulosti možno obnoviť [[dáta>>url:https://datalab.digital/||shape="rect"]]. Inými slovami množstvo dát, o ktoré môže organizácia prísť.

1590

1591

* Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni

\\

\\

**~ **

= {{id name="projekt_2641_Pristup_k_projektu_detailny-8.POŽIADAVKYNAPERSONÁL"/}}8. POŽIADAVKY NA PERSONÁL =

1600

1601

Viď. Projektový zámer, kap. 9.

\\

= {{id name="projekt_2641_Pristup_k_projektu_detailny-9.IMPLEMENTÁCIAAPREBERANIEVÝSTUPOVPROJEKTU"/}}9. IMPLEMENTÁCIA A PREBERANIE VÝSTUPOV PROJEKTU =

\\

Projekt bude realizovaný metódou Waterfall

1610

1611

Waterfall- vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

1612

1613

Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. Projektový zámer, časť 9 – Projektový tím).

\\

= {{id name="projekt_2641_Pristup_k_projektu_detailny-10.PRÍLOHY"/}}10. PRÍLOHY =

1618

1619

Príloha č.1 Zoznam rizík a závislostí