projekt_2728_Prístup_k_projektu_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/07 12:42

PRÍSTUP K PROJEKTU

Manažérsky výstup I-03

podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Povinná osoba

Hlavné mesto Slovenskej republiky Bratislava

Názov projektu

Zvýšenie odolnosti mesta Bratislava voči kybernetickým hrozbám

Zodpovedná osoba za projekt

Mgr. Matej Evin

Realizátor projektu

Hlavné mesto Slovenskej republiky Bratislava

Vlastník projektu

Hlavné mesto Slovenskej republiky Bratislava

 

Schvaľovanie dokumentu

Položka

Meno a priezvisko

Organizácia

Pracovná pozícia

Dátum

Podpis

(alebo elektronický súhlas)

Vypracoval

Matej Evin

Hlavné mesto Slovenskej republiky Bratislava

Manažér kybernetickej bezpečnosti

3. 7. 2024

 

 

1.     História dokumentu

Verzia

Dátum

Zmeny

Meno

1.0

3. 7. 2024

Prvá verzia

 

 

 

 

 

 

 

 

 

 

 

 

 

2.     Účel dokumentu

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky má obsahovať opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Dodávané riešenie musí byť v súlade so zákonom. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.

Dokument súčasne zachytáva aspekty bezpečnostnej architektúry v kontexte sieťovej architektúry, na ktorú budú mať navrhované

oblasti a aktivity projektu najzásadnejší dopad.

2.1        Použité skratky a pojmy

Z hľadiska formálneho sú použité skratky a pojmy v rámci celého dokumentu definované v nasledujúcej tabuľke a priebežne v texte, kedy je použite skratky označené „ďalej len“ alebo ďalej tiež“.

SKRATKA/POJEM

POPIS

MKB

Manažér kybernetickej bezpečnosti

HMBA

Hlavné mesto Slovenskej republiky Bratislava

HW

Hardvér

SW

Softvér

IT

Informačné technológie

IS

Informačný systém

ISVS

Informačný systém verejnej správy

KB

Kybernetická bezpečnosť

MCA

Multikriteriálna analýza

MIRRI

Ministerstvo investícií, regionálneho rozvoja a informatizácie

NBÚ

Národný bezpečnostný úrad

NKIVS

Národná koncepcia informatizácie verejnej správy

OOÚ

Ochrana osobných údajov

 

OVM

Orgán verejnej moci

 

PR

Projektové riadenie

 

RFO

Register fyzických osôb

 

RPO

Register právnických osôb

 

PAM

Privileged access management

 

PaaS

Parkovacia politika mesta Bratislava

 

PoC

Proof of concept

 

SIEM

Security Information and Event Management

 

SDL

Security development lifecycle

 

SLA

Service level agreement

 

TCO

Total cost of Ownership

 

VO

Verejné obstarávanie

 

ZoKB

Zákon o kybernetickej bezpečnosti

 

ŽoNFP

Žiadosť o nenávratný finančný príspevok

 

2.2        Konvencie pre typy požiadaviek

Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu:

FRxx

  • U – užívateľská požiadavka
  • R – označenie požiadavky
  • xx – číslo požiadavky

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:

NRxx

  • N – nefunkčná požiadavka (NFR)
  • R – označenie požiadavky
  • xx – číslo požiadavky

Ostatné typy požiadaviek môžu byť ďalej definované objednávateľom/PM.

3.     Popis navrhovaného riešenia

Hlavné mesto Slovenskej Republiky Bratislava ako najväčšie mesto Slovenskej republiky má dôležitú úlohu pri poskytovaní základných služieb veľkému množstvu občanov štátu. Preto je nevyhnutné disponovať funkčnou, aktuálnou, kapacitne dostatočnou a bezpečnou infraštruktúrou, ktorá umožňuje mestu tieto služby poskytovať v požadovanej miere a kvalite.

Nevyhnutnosť zvyšovania kybernetickej bezpečnosti je prioritnou témou nie len z legislatívnych dôvodov, ale najmä z dôvodov potreby efektívneho fungovania informačných a prevádzkových systémov využívaných Hlavným mesto Slovenskej republiky Bratislava (ďalej tiež „HMBA“ alebo „mesto Bratislava“) a ich ochrana pred narastajúcimi kybernetickými hrozbami. Ohrozenie používaných systémov môže znamenať kolaps poskytovaných služieb, na ktorých je priamo i nepriamo závislé veľké množstvo užívateľov. Dopad takéhoto nežiadúceho stavu by mal nie len finančné dopady, ale tiež by mali dopad na skupiny obyvateľov, ktorí sú na poskytované služby odkázaní. Pre zníženie týchto rizík potrebuje HMBA dodatočné finančné prostriedky, a preto sa zapája ako žiadateľ do výzvy Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa (PSK-MIRRI-611-2024-DV-EFRR).

Mesto Bratislava realizuje kroky na zvyšovanie a zachovávanie vysokej úrovne kybernetickej bezpečnosti prostredia, jednak po procesnej stránke ako aj po technologickej, aplikačnej a infraštruktúrnej stránke. Tieto opatrenia sú realizované s ohľadom na platnú legislatívu, najmä zákon 69/2018 Z. z., zákon 95/2019 Z. z., vyhlášky 362/2018 Z. z.

Zároveň mesto Bratislava disponuje bezpečnostnou dokumentáciou:

  1. Stratégia kybernetickej bezpečnosti
  2. Politika kybernetickej bezpečnosti
  3. Klasifikácia aktív, inventarizácia aktív, kategorizácia sietí a IS
  4. Analýza rizík, analýza dopadov, katalóg rizík

Zo záverečnej správy z auditu kybernetickej bezpečnosti v súlade so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej aj „zákon o KyB“), ktorý bol vykonaný u poskytovateľa základnej služby, ktorým je Hlavné mesto Slovenskej republiky Bratislava, vyplývajú viaceré zistenia v oblasti zabezpečenia kybernetickej bezpečnosti. Zároveň dokument obsahuje návrhy na odstránenie nedostatkov. Predložený projekt sa opiera o závery z uvedeného auditu.

Oblasti, ktoré je nevyhnutné riešiť, sa v zmysle vyššie uvedenej záverečnej správa z auditu týkajú najmä oblasti fyzickej bezpečnosti a v oblasti riadenia kontinuity procesov, taktiež oblasti riadenia IB a KB a oblasť kryptografických opatrení. Ako najkritickejšiu oblasť audit identifikoval riadenie prístupov, riadenie bezpečnosti sietí a IS a riadenie prevádzky, kde existuje značný priestor na zvýšenie vyspelosti („maturity“) týchto procesov a tým pádom aj na zvýšenie celkovej úrovne IB a KB.  

Cieľom projektu je zvýšiť odolnosť mesta Bratislava voči kybernetickým incidentom v oblasti dostupnosti služieb poskytovaných občanom, a to v oblasti technickej a biznisovej:

  • Prvým cieľom projektu je podporiť schopnosť zachovať kontinuitu biznis procesov mesta na technickej úrovni – rozšírením kapacít a aktualizovaním infraštruktúry prevádzkovaného datacentra tak, aby bolo mesto pripravené čeliť súčasným rizikám a hrozbám včas, spoľahlivo a efektívne.
  • Druhým cieľom projektu je podporiť systém riadenia kybernetickej bezpečnosti na procesnej úrovni – komplexnou aktualizáciou existujúcej dokumentácie a vytvorením a implementáciou chýbajúcej dokumentácie, najmä pre oblasť biznis kontinuity procesov, havarijných plánov a interných riadiacich aktov a metodík pre administrátorov.

Nevyhovujúcu situáciu a identifikované nedostatky chce mesto Bratislava riešiť implementáciou aktivít popísaných v projekte „Zvýšenie odolnosti mesta Bratislava voči kybernetickým hrozbám“.

 

Žiadateľ stanovil nasledovný spôsob realizácie projektu:

V úvodnej fáze projektu je vykonaná dôkladná analýza súčasného stavu s ohľadom na možnosti prechodu na nové riešenie a schválenie návrhu. V projekte je navrhnuté, akým spôsobom bude infraštruktúra upravená, vytvorí sa plán realizácie vrátane zoznamu závislostí, plánu odstávky systému a jednotlivých etáp realizácie.

Samotné riešenie pozostáva z nákupu a nasadenia state-of-the-art diskového poľa s veľkosťou minimálne 100 TB, možnosťou delenia na menšie sekcie a vykonávaním manažmentu nad týmito sekciami, pričom jedna sekcia bude slúžiť ako produkčné prostredie a druhá ako rýchly a prístupný bod obnovy.

Toto diskové pole bude slúžiť na ukladanie virtuálnych strojov a ich dát pre kritické aplikácie a služby, ktorých vysoká dostupnosť je nevyhnutná pre hladký chod procesov magistrátu. Diskové pole používané doteraz sa tým pádom uvoľní a môže zostať slúžiť pre ukladanie a správu menej kritických aplikácií, pri ktorých nie je kladený taký vysoký dôraz na ich dostupnosť a nepretržitú prevádzku.

Takto postavená infraštruktúra bude poskytovať dostatočné parametre pre zabezpečenie vysokej dostupnosti služieb v prípade bežnej prevádzky a výrazne obmedzí negatívne dopady kybernetického bezpečnostného incidentu majúceho vplyv na dostupnosť služby, pretože kritické aplikácie bude možné bezodkladne obnoviť.

Aby toto riešenie mohlo naozaj efektívne fungovať, je potrebné, aby sieť, na ktorej jednotlivé infraštruktúrne prvky komunikujú, bola dostatočne priepustná a umožňovala presunúť veľké objemy dát za čo najkratší čas.

Z toho dôvodu je nevyhnutné nasadiť na obidvoch koncoch (na strane dátového centra aj na strane Novej radnice) dostatočne výkonné switche, resp. router, ktoré budú disponovať požadovanými parametrami.

Čas na obnovu kritických služieb sa tak podľa kalkulácií môže znížiť troj- až štvornásobne; napríklad v prípade systému IS NORIS sa doba zníži zo súčasných 20-24 hodín (s neistým výsledkom pokusu o obnovu) na 4-6 hodín (s veľmi pravdepodobne úspešným pokusom o obnovu).

Po nasadení bude technický tím testovať a ladiť riešenie, pričom sa bude snažiť minimalizovať čas odstávky potrebný na výkon tejto činnosti a vykonať ju v najmenej exponovanom čase, aby nedošlo k nadmernému výpadku poskytovania základných služieb mesta občanom.

Následne sa procesy prispôsobia novej situácii, vytvoria sa plány obnovy, postupy pri havárii a ďalšia potrebná dokumentácia, administrátori budú oboznámení s novou konfiguráciou.

Samotných používateľov (zamestnancov magistrátu) sa táto zmena nijako výrazne nedotkne, okrem zvýšenia komfortu pri práci s informačnými systémami bežiacimi na novej infraštruktúre (najmä stabilita a rýchlosť odozvy).

V rámci projektu budú pre potreby technických pracovníkov vytvorené aj manuály a metodické príručky obsahujúce informácie o spôsobe konfigurácie nových sieťových prvkov, troubleshooting, základné scenáre. V rámci tvorby bezpečnostných politík budú vytvorené metodiky pre potreby obnovy zo zálohy, havarijné plány pre jednotlivé systémy obsahujúce identifikačné kritériá nehdových scenárov, presný postup v prípade naplnenia scenára, kontaktné údaje na všetky relevantné osoby a roly, plán pravidelného testovania plánov obnovy a bázu vedomostí.

 

Technické zabezpečenie realizácie a uskutočniteľnosť:

Pre uskutočnenie zmien bude potrebná séria niekoľkohodinových odstávok (6-12h), ktoré budú naplánované tak, aby čo najmenej ovplyvnili poskytovanie služieb a celkovú prevádzku, teda cez víkend a/alebo v noci.

Na základe analýzy sa ukáže, či je nutné vykonať kompletnú zmenu v rámci jednej odstávky, alebo bude odstávok naplánovaných viacero. Predpokladá sa jedna alebo dve iniciálne odstávky, počas ktorých bude zavedený nový hardvér (nové úložisko a sieťové prvky – router a switche), a následne séria viacerých (5-10) odstávok, počas ktorých dôjde k nedostupnosti len konkrétneho systému/aplikácie, pokiaľ nebude premigrovaná na nové úložisko. Harmonogram odstávok bude konkretizovaný počas realizácie projektu, pričom o každej odstávke budú včas (aspoň 10 dní vopred) informované všetky relevantné osoby a stakeholderi. Nepredpokladá sa, že by nasadenie a migrácia mala trvať dlhšie ako 8 víkendov, teda by mala byť zrealizovaná v období 2 mesiacov.

Samotnú zmenu bude mesto Bratislava vykonávať internými personálnymi kapacitami – zamestnancami oddelenia sieťovej infraštruktúry.

 

Realizácia projektu bude trvať 12 mesiacov. Začiatok realizácie projektu je stanovený na 01/2025, ukončenie projektu bude 12/2025.

Projekt bude realizovaný podľa stanoveného harmonogramu:

  1. Analýza a dizajn (01/2025 – 03/2025)
  2. Nákup technických prostriedkov, programov a služieb (03/2025 – 05/2025)
  3. Implementácia a testovanie (05/2025 – 08/2025)
  4. Nasadenie a PIP (09/2025 – 10/2025)
  5. Dokončovacia fáza projektu (11/2025-12/2025).

Po realizácii projektu bude situácia nasledovná:

  • Dramaticky sa znížia hodnoty RTO (Recovery Time Objective – požiadavka na časový úsek, dokedy musí byť v prípade nedostupnosti služby/systému spustené záložné riešenie alebo bude systém obnovený) pre dané sieťové a infraštruktúrne prvky, ako aj pre služby, ktoré od danej infraštruktúry závisia. Zjednotí sa tak reálna hodnota RTO s požadovanou hodnotou RTO, ako ju pre jednotlivé systémy definuje interný dokument Analýza rizík. Tento dokument popisuje riziká vplývajúce na biznis procesy mesta a na aktíva podporujúce tieto procesy, ohodnocuje závažnosť a akceptovateľnú úroveň týchto rizík, a definuje navrhované opatrenia na zníženie vplyvu rizík.
  • Miera úspešnosti obnovy systémov a dát po havárii (teda šanca, že sa obnova podarí a nezlyhá) sa zvýši z aktuálnej neakceptovateľnej hodnoty menšej ako 30% na akceptovateľnú úroveň presahujúcu 90%, v závislosti od charakteru obnovovaného informačného systému a ďalších bezpečnostných opatrení majúcich vplyv na daný systém. Mesto bude disponovať diskovým poľom, ktoré bude v prípade incidentu (havária, útok) pripravené okamžite nahradiť nedostupné primárne diskové pole.
  • Priepustnosť, a teda rýchlosť odozvy bude niekoľkonásobne lepšia (očakávané zlepšenie priepustnosti na úrovni 3- až 6-násobku oproti súčasnému stavu), čo sa prejaví v bezproblémovom a hladkom chode aplikácií a služieb na strane ich používateľov (zamestnancov).
  • Manažment a správa podpornej infraštruktúry ako aj aplikačnej vrstvy bude značne jednoduchšia a rýchlejšia. V prípade potreby odstávky nebudú výpadky zbytočne dlhé a migrácia virtuálnych strojov bude jednoduchšia a rýchlejšia.
  • Bezpečnosť celého riešenia sa rapídne zvýši a dostane sa na požadovanú úroveň – najmä v oblasti riadenia prístupov (zavedením dvojfaktorového prihlasovania do infraštruktúry), v oblasti ochrany dôvernosti informácií (zavedením šifrovania diskového poľa najmodernejšími šifrovacími algoritmami), v oblasti ochrany pred útokmi, najmä ransomware (lepšou topológiou a segmentáciou siete, oddelením manažmentovej časti od výkonnej časti).
  • Prvky doteraz používanej infraštruktúry nebudú úplne vyradené, ale budú konfigurované tak, aby mohli ďalej poskytovať podporu pre služby, ktoré nie sú vysokej úrovne kritickosti, čím sa zvyšuje hospodárnosť celého riešenia, keďže nedôjde k úplnému vyradeniu doteraz používaného hardvéru.
  • Plány obnovy po incidente alebo havárii budú aktuálne a použiteľné, bude možné ich testovať a aplikovať v prípade potreby, pričom pravdepodobnosť úspešnej obnovy po havárii bude na akceptovateľnej úrovni.
  • V prostredí Datacentra vznikne nové, moderné dátové úložisko s vysokou mierou dostupnosti, v ktorého prvej časti budú bežať kritické systémy nevyhnutné pre činnosť mesta a v druhej časti bude aktívna rýchla záloha pre potreby obnovy v prípade výpadku alebo havárie.
  • Na pôvodnom dátovom úložisku, odľahčenom o aplikácie presunuté do nového úložiska, ostanú nekritické aplikácie, ktorých nedostupnosť nemá závažný vplyv na chod organizácie.
  • Aplikácie a prostredia bežiace na novej infraštruktúre budú primárne:
  • Kubernetes/Tanzu/Docker
  • ParkSys
  • IS NORIS
  • IS GINIS.

Očakávané prínosy projektu sú nasledovné:

  • Zvýšenie dostupnosti aplikácií a služieb, nízke RTO
  • Zvýšenie používateľského komfortu
  • Zvýšenie bezpečnosti voči ransomwarovým útokom
  • Zvýšenie bezpečnosti ukladaných citlivých dát
  • Zvýšenie bezpečnosti cez správu prístupov
  • Efektívnejšia správa prostredia
  • Funkčné plány obnovy
  • Súlad s platnou legislatívou
  • Dlhodobé funkčné riešenie

Udržateľnosť projektu – prevádzková a technická:

Systémy, ktoré sa mesto Bratislava v rámci tohto projektu snaží zaviesť, sú dizajnované na dlhodobú nepretržitú prevádzku a sú dodávané poprednými svetovými výrobcami týchto riešení. Pre budúcu prevádzku a udržateľnosť je nevyhnutné zabezpečiť nepretržitú dostupnosť systémov. Zároveň bude vypracovaný plán kontinuity, zálohy a obnovy vrátane havarijného plánu systému, ktorý zadefinuje procesy pre prípady technických závad veľkého rozsahu a postupy vedúce k obnove funkcionalít systému.

Požiadavky na prevádzku nového riešenia budú z pohľadu personálu nižšie, pretože riešenie bude podporovať jednoduchší a bezpečnejší manažment, rýchlejšiu odozvu systému, vysokú priepustnosť siete a dostatočne veľké úložisko na presuny a ukladanie dát.

Z hľadiska energetického bude potrebné urobiť analýzu v rámci realizácie projektu. Hardvér sa bude nachádzať v dátovom centre DC Digitalis, ktorému mesto platí paušálny poplatok za poskytovanie priestoru, energie, klimatizácie, internetového pripojenia atď., je teda možné, že bude potrebné navýšiť tento paušál, aby zohľadnil potreby novej situácie a nových prvkov.

Technologické riešenia pre dlhodobú prevádzku sú dizajnované tak, aby mali veľmi dlhú životnosť a dokázali poskytovať služby desiatky rokov. Samotné riešenie poskytne nezávislý manažovateľný celok, ktorého prítomnosť výrazne pozitívne ovplyvní stav kybernetickej bezpečnosti mesta a schopnosti čeliť rôznym hrozbám vplývajúcim na aktíva a poskytované služby.

Riešenie, ktoré bude výsledkom tohto projektu, zároveň tvorí len úvodnú (ale kriticky dôležitú) časť zo série bezpečnostných a prevádzkových opatrení, ktoré je potrebné v rámci mesta zaviesť, aby bola dosiahnutá vysoká úroveň bezpečnosti vo všetkých oblastiach definovaných zákonom 69/2018.

Len na základe implementovaného riešenia bude možné ďalej rozširovať technologickú vrstvu a infraštruktúru mesta a pokrývať tak všetky biznis požiadavky, ktoré musí mesto ako poskytovateľ základných služieb spĺňať.

Finančná udržateľnosť projektu

Finančná udržateľnosť projektu bude počas celého obdobia udržateľnosti zabezpečená z vlastných zdrojov žiadateľa. Prevádzka projektu bude zabezpečená žiadateľom.

Preto bude potrebné, aby v priebehu nasledujúcich rokov mesto Bratislava alokovalo dostatočné finančné aj personálne zdroje na to, aby bol dosiahnutý úplný súlad s požiadavkami zákona, dobrej praxe, ako aj politickej a bezpečnostnej situácie vo svete.

4.     Architektúra riešenia projektu

4.1        Biznis vrstva

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná. Projekt realizuje primárne nákup a implementáciu HW na infraštruktúrnej/technologickej vrstve.

Výstupom projektu bude tiež sada bezpečnostnej dokumentácie, ktorá sa zameriava na politiku zachovania biznis kontinuity organizácie, a teda popisuje obnovu prevádzky – procesov a systémov po výpadku, havárii alebo katastrofe. Tieto výstupy nemajú priamy vplyv na biznis procesy poskytovaných služieb občanom a právnickým osobám.

V rámci podaktivít sa činnosti projektu dajú rozdeliť do nasledovných okruhov:

  • Riadenie kontinuity prevádzky
  • Sieťová a komunikačná bezpečnosť
  • Bezpečnosť dát a informácií

 

4.1.1        Prehľad koncových služieb – budúci stav:

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.1.2        Jazyková podpora a lokalizácia

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná. Dokumenty (politiky, plány, stratégie, analýza atď.) budú akceptované v slovenskom jazyku prípadne na základe dohody v českom alebo anglickom jazyku.

4.2        Aplikačná vrstva

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná. Projektom navrhované zmeny priamo nezasahujú do aplikačnej vrstvy architektúry, nerealizujú nový ISVS ani nerozvíjajú existujúce ISVS.

Zoznam informačných systémov, ktoré budú po realizácii projektu bežať na novej technologickej infraštruktúre:

Kód ISVS (z MetaIS)

Názov ISVS

Modul ISVS

(zaškrtnite ak ISVS je modulom)

Stav IS VS

Typ IS VS

Kód nadradeného ISVS

(v prípade zaškrtnutého checkboxu pre modul ISVS)

isvs_9233

IS Správa registratúry

  Prevádzkovaný a plánujem rozvíjať

  Agendový

 

isvs_10753

Ekonomický systém

  Prevádzkovaný a plánujem rozvíjať

  Agendový

 

isvs_8983

Elektronizácia služieb bratislavskej samosprávy ESBS

  Prevádzkovaný a plánujem rozvíjať

  Agendový

 

 

Mestský parkovací systém

  Prevádzkovaný a plánujem rozvíjať

  Integračný

 

 

Webové sídlo

  Prevádzkovaný a plánujem rozvíjať

  Prezentačný

 

 

Mestské konto

  Prevádzkovaný a plánujem rozvíjať

  Agendový

 

 

ArcGIS

  Prevádzkovaný a plánujem rozvíjať

  Agendový

 

 

IS VEMA - dochádzka

  Prevádzkovaný a plánujem rozvíjať

  Ekonomický a administratívny chod inštitúcie

 

4.2.1        Využívanie nadrezortných a spoločných ISVS – AS IS

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.2.2        Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.2.3        Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.2.4        Aplikačné služby pre realizáciu koncových služieb – TO BE

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.2.5        Aplikačné služby na integráciu – TO BE

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.2.6        Poskytovanie údajov z ISVS do IS CSRÚ – TO BE

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.2.7        Konzumovanie údajov z IS CSRU – TO BE

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.3        Dátová vrstva

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

Projekt realizuje nákup, implementáciu a prevádzku Dátového úložiska, ktorého úlohou je poskytovať dostatočný priestor na prevádzku virtuálnych strojov obsluhujúcich informačné systémy mesta, ako aj poskytovať priestor na vytváranie prevádzkových záloh údajov pre potreby obnovy systémov v prípade výpadku, incidentu, alebo iného obmedzenia dostupnosti služieb.

4.3.1        Údaje v správe organizácie

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.3.2        Dátový rozsah projektu - Prehľad objektov evidencie - TO BE

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.3.3        Referenčné údaje

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.3.4        Kvalita a čistenie údajov

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.3.5        Otvorené údaje

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.3.6        Analytické údaje

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.3.7        Moje údaje

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.3.8        Prehľad jednotlivých kategórií údajov

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná.

4.4        Technologická vrstva

4.4.1        Prehľad technologického stavu - AS IS

image-2024-7-12_10-46-24-1.png

Náhľad topológie siete AS IS (vynechané nerelevantné prvky)

image-2024-7-12_10-46-37-1.png

Náhľad technologickej vrstvy architektúry AS IS

Súčasné riešenie využíva na sieťovej úrovni skupinu 10Gbit switchov, ktoré kvôli svojej priepustnosti vytvárajú úzke hrdlo. Aplikácie, a tým aj biznis procesy a poskytovanie služieb občanom nemôžu byť poskytované v dostatočnej kvalite a dochádza k častým výpadkom, resp. veľkej latencii.

Na úrovni úložiska je v súčasnej dobe využívané riešenie VSAN, ktoré podporuje virtuálne stroje jednak pre kritické ako aj nekritické aplikácie a služby. Nedochádza teda k dostatočnej segmentácii na dátovej úrovni a v prípade ransomwarového útoku na nekritický (a tým pádom menej zabezpečený) systém môže dôjsť k infikovaniu kritických virtuálnych strojov, čo by malo katastrofálny dopad na poskytovanie služieb magistrátu.

Súčasné riešenie VSAN zároveň nie je schopné dynamicky meniť potrebné kapacity diskového poľa pre jednotlivé virtuálne stroje, a preto v prípade vysokého zaťaženia niektorej aplikácie môže dochádzať k vyčerpaniu zdrojov a tým pádom k výpadku alebo oneskoreniu služby.

VSAN tiež momentálne slúži len pre produkčné dáta a neslúži ako priestor na zálohu pre bezvýpadkovú prevádzku virtuálnych strojov a aplikácií. Ako zálohu používa mesto DataDomain a softvér VEEAM, ktoré nedokážu dostatočne naplniť požiadavky na RPO a RTO kritických biznis procesov mesta.

 

4.4.2        Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE

Parameter

Jednotky

Predpokladaná hodnota

Poznámka

Počet interných používateľov

Počet

180

 

Počet súčasne pracujúcich interných používateľov v špičkovom zaťažení

Počet

150

 

Počet externých používateľov (internet)

Počet

450 000

 

Počet externých používateľov používajúcich systém v špičkovom zaťažení

Počet

10 000

 

Počet transakcií (podaní, požiadaviek) za obdobie

Počet/obdobie

300/sekunda

 

4.4.3        Návrh riešenia technologickej architektúry

image-2024-7-12_10-47-0-1.png

Náhľad topológie siete TO BE (vynechané nerelevantné prvky)

image-2024-7-12_10-47-17-1.png

Náhľad technologickej vrstvy architektúry TO BE

Technické riešenie je súčasťou komplexného zvýšenia bezpečnosti, ktorého primárnym cieľom je zvýšenie rýchlosti, stability
a bezpečnosti prenosu a ukladania dát v dátovom centre, s primárnym cieľom zabezpečiť vysokú dostupnosť informačných systémov, aplikácií, biznis procesov mesta a tým poskytovanie služieb občanom, a rovnako odolnosť voči rôznym kybernetickým hrozbám.

 

Sieťové riešenie

Navrhované sieťové riešenie je  plne kompatibilné s plánovaným konceptom mikro-segmentácie s využitím už existujúcej technológie (VMware NSX), ktorý zabezpečí schopnosť nastavovať prístupové pravidlá pre komunikáciu na úrovni virtuálnych switchov a umožní presne definovať komunikáciu do a z prostredia virtuálnej infraštruktúry, ako aj medzi jednotlivými virtuálnymi strojmi. Toto riešenie poskytuje funkcie, ktoré zabezpečí ochranu sieťového prostredia voči hrozbe „Lateral Movement“ (pohyb útočníka medzi prvkami v jednej vrstve hierarchie).

Tento koncept vyžaduje okrem iného kvalitatívne navýšenie parametrov sieťovej prevádzky formou príslušného hardwarového vybavenia.

Navrhované sieťové zariadenia ďalej eliminujú existujúce úzke hrdlo (bottleneck) v rýchlosti sieťovej prevádzky v rámci lokálneho dátového centra ako aj pre komunikáciu s externými pobočkami. Je tak eliminovaný stav, kedy fyzická sieťová infraštruktúra obmedzovala komunikáciu systémov a bola príčinou nedostupnosti aplikácií a služieb.

Navrhované switche budú konfigurované v koncepte vysokej dostupnosti, s elimináciou výpadku sieťovej prevádzky pre kritické aplikácie a dáta tak, aby bola zachovaná dostupnosť aplikačných služieb pre občanov.

Ďalej bude vďaka možnostiam navrhovaných sieťových prvkov významne zvýšená bezpečnosť a odolnosť voči bezpečnostným útokom na úrovni fyzických portov (Port Security), s kontrolou a autorizáciou prístupu zariadení a užívateľov. Zároveň sú sieťové zariadenia pripravené na automatizáciu prostredníctvom aplikačného rozhrania (API), kde sieťová a bezpečnostná konfigurácia bude súčasťou infraštruktúrnych bezpečnostných deployment blueprintov.

Navrhované sieťové prvky musia podporovať minimálne tieto protokoly (kompletný zoznam je uvedený v technickej špecifikácii):

  • TACACS+ - podpora auntetifikácie TACACS+
  • 1x – podpora pre 802.1x auntentifikáciu
  • IPV4 / IPV6 Access lists – kontrola prístupov IP access adress list
  • Port Security – identifikácia a kontrola prístupov na úrovni MAC adress
  • IPsec – podpora IPsec protokolu
  • IPsec VPN – podpora IPsec VPN protokolu

Dátové pole

Pre zvýšenie dostupnosti a bezpečnosti dát z virtuálnej infraštruktúry a ďalších prostredí bude inštalované diskové/dátové pole.

Nové diskové pole bude prezentovať diskový datastore pre virtualizovanú VMware infraštruktúru. Primárne bude určené ako diskový priestor pre kritický workload, kde je vyžadovaná vysoká bezpečnosť a dostupnosť ukladaných dát.

Navrhovaný koncept ako aj technický dizajn riešenia počíta s možnosťou bezvýpadkovej online migrácie dát medzi existujúcim a novým dátovým úložiskom pre prípad migrácie alebo potreby navýšenia kapacity a výkonu pre aplikácie slúžiace občanom a externým organizáciám.

Navrhované diskové pole je plne kompatibilné s existujúcim systémom pre zálohu a obnovu dát. Bude procesne integrované do zálohovacieho systému s využitím existujúceho backup úložiska (DataDomain).

Diskové pole bude súčasťou procesu Ransomware recovery, kedy umožní vytvoriť diskový priestor pre prípad obnovy dát v prípade kyberútoku na dáta uložené na inej časti diskového úložiska.

Navrhované diskové pole musí podporovať minimálne tieto funkcionality (kompletný zoznam je uvedený v technickej špecifikácii):

  • Data Encryption – enkrypcia uložených dát
  • CHAP – autentikáciu prístupov v iSCSI protokole
  • Secure snaphosts – snapshot management s vynútenou retenciou a RBAC
  • Remote logging – kontrola a auditovanie prístupov a udalostí s uloženou históriou
  • Validácia a autentikácia software a firmware pre storage kontrolery
  • RBAC – kontrola prístupu užívateľov s podporou MFA a LDAP

 

4.4.4        Využívanie služieb z katalógu služieb vládneho cloudu

Vzhľadom na charakter a rozsah projektu je táto kapitola prevažne nerelevantná. Vládny cloud neposkytuje služby, ktoré sú predmetom projektu a nie sú poskytované v rámci katalógu služieb vládneho cloudu. Mesto Bratislava má s MIRRI podpísané memorandum o spolupráci v oblasti kybernetickej bezpečnosti. Na základe memoranda vykonáva mesto také aktivity v oblasti kybernetickej bezpečnosti, aby bolo v budúcnosti schopné zaviesť sektorový Security Operations Center (SOC).

Obstarávané a implementované riešenie z výstupu tohto projektu bude schopné odosielať údaje (logy) pre plánovaný rezortný SOC, aby tak došlo k nepretržitému monitoringu a vyhodnocovaniu prevádzkových záznamov mesta a umožneniu rýchlej reakcii na anomálie, bezpečnostné udalosti a incidenty.

4.5        Bezpečnostná architektúra

Bezpečnostná architektúra HMBA je kvôli citlivosti údajov klasifikovaná ako chránené, resp. prísne chránené aktívum, preto nie je možné poskytnúť jej detailný popis alebo náhľad. Na konci tejto podkapitoly je zjednodušený diagram popisujúci bezpečnostnú architektúru HMBA.

Mesto Bratislava je prevádzkovateľom základnej služby a disponuje informačnými systémami kategórie 3. V rámci komplexného riadenia kybernetickej bezpečnosti HMBA je určená a obsadená rola Manažéra kybernetickej bezpečnosti (MKB), je vytvorený výbor pre IB a KB a sú prijaté strategické dokumenty a bezpečnostné politiky v súlade s platnou legislatívou.

Tento projekt realizuje opatrenia, ktoré zabezpečia súlad bezpečnostnej architektúry s platnou aj nastávajúcou legislatívou, hlavne smernicou NIS2.

Základný rámec riadenia kybernetickej bezpečnosti:

  • Riadenie incidentov
  • Riadenie prístupov
  • Riadenie kapacít
  • Riadenie fyzickej a objektovej bezpečnosti
  • Monitorovanie prevádzky
  • Ochrana proti škodlivému kódu
  • Zvyšovanie bezpečnostného povedomia
  • Riadenie kontinuity prevádzky – primárny cieľ tohto projektu

Podaktivity realizované v rámci  projektu:

Kontinuita prevádzky

  • Vytvoriť kompletnú potrebnú dokumentáciu k riadeniu kontinuity procesv v prípade incidentu, havárie alebo katastrofického scenára.
    • Stratégia kontinuity
    • Plány kontinuity prevázky pre kritické procesy
    • Plány obnovy po havárii pre kritické systémy
  • Upraviť a doplniť technologickú infraštruktúru tak, aby bolo možné dané bezpečnostné požiadavky na dostupnosť informačných systémov a sietí reálne dosahovať.
    • Implementovať diskové pole
    • Konfigurovať diskové pole, aktivovať šifrovú ochranu dát, riadenie prístupov
    • Segmentovať diskové pole na prevádzkovú časť a záložnú časť
    • Migrovať kritické virtuálne stroje a aplikácie na nové diskové pole
  • Testovať havarijné plány s využitím implementovaného technického riešenia

Sieťová a komunikačná bezpečnosť

  • Implementácia a konfigurácia sieťových prvkov – core switchov a routra pre zabezpečenie vysokej priepustnosti siete, aktivovanie moderných bezpečnostných rozhraní a protokolov (napr. šifrovanie, riadenie prístupov) pre zabezpečenie vysokej bezpečnosti sieťovej komunikácie.
  • Vytvorenie podmienok pre ďalšie aktivity po skončení realizácie tohto projektu – mikrosegmentácia siete.

Výstupom projektu bude aktualizovaná bezpečnostná dokumentácia a zavedenie prvkov infraštruktúry, ktoré podporia bezpečnú komunikáciu, riadenie prístupov administrátorov k systémom, vysokú mieru dostupnosti systémov, aplikácií a biznis služieb, možnosť obnovy systémov po havárii alebo výpadku, šifrovanie ukladaných dát.

Navrhované riešenie bude znamenať dosiahnutie súladu opatrení s nasledovnou legislatívou:

  • Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe;
  • Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti;
  • Zákon č. 45/2011 Z.z. o kritickej infraštruktúre;
  • vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy;
  • vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy;
  • vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov;
  • Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov);
  • Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

image-2024-7-12_10-47-41-1.png

5.     Závislosti na ostatné ISVS / projekty

Projekt nemá závislosti na iných ISVS alebo projektoch rozvoja IT, ktoré by mali vplyv na dosiahnutie cieľov a merateľných ukazovateľov projektu.

 

6.     Zdrojové kódy

Vzhľadom na charakter a rozsah projektu je táto kapitola nerelevantná. Na všetok obstarávaný HW je požiadavka, aby išlo o licencovaný produkt tak, aby bol dodržaný zákon ITVS ohľadom „vendor lock-in“.

7.     Prevádzka a údržba

Prevádzka a údržba výstupov projektu nie sú predmetom ŽoNFP.

 

Udržateľnosť projektu – prevádzková a technická:

Systémy, ktoré sa mesto Bratislava v rámci tohto projektu snaží zaviesť, sú dizajnované na dlhodobú nepretržitú prevádzku a sú dodávané poprednými svetovými výrobcami týchto riešení. Pre budúcu prevádzku a udržateľnosť je nevyhnutné zabezpečiť nepretržitú dostupnosť systémov. Zároveň bude vypracovaný plán kontinuity, zálohy a obnovy vrátane havarijného plánu systému, ktorý zadefinuje procesy pre prípady technických závad veľkého rozsahu a postupy vedúce k obnove funkcionalít systému.

Požiadavky na prevádzku nového riešenia budú z pohľadu personálu nižšie, pretože riešenie bude podporovať jednoduchší a bezpečnejší manažment, rýchlejšiu odozvu systému, vysokú priepustnosť siete a dostatočne veľké úložisko na presuny a ukladanie dát.

Z hľadiska energetického bude potrebné urobiť analýzu v rámci realizácie projektu. Hardvér sa bude nachádzať v dátovom centre DC Digitalis, ktorému mesto platí paušálny poplatok za poskytovanie priestoru, energie, klimatizácie, internetového pripojenia atď., je teda možné, že bude potrebné navýšiť tento paušál, aby zohľadnil potreby novej situácie a nových prvkov.

Technologické riešenia pre dlhodobú prevádzku sú dizajnované tak, aby mali veľmi dlhú životnosť a dokázali poskytovať služby desiatky rokov. Samotné riešenie poskytne nezávislý manažovateľný celok, ktorého prítomnosť výrazne pozitívne ovplyvní stav kybernetickej bezpečnosti mesta a schopnosti čeliť rôznym hrozbám vplývajúcim na aktíva a poskytované služby.

Riešenie, ktoré bude výsledkom tohto projektu, zároveň tvorí len úvodnú (ale kriticky dôležitú) časť zo série bezpečnostných a prevádzkových opatrení, ktoré je potrebné v rámci mesta zaviesť, aby bola dosiahnutá vysoká úroveň bezpečnosti vo všetkých oblastiach definovaných zákonom 69/2018.

Len na základe implementovaného riešenia bude možné ďalej rozširovať technologickú vrstvu a infraštruktúru mesta a pokrývať tak všetky biznis požiadavky, ktoré musí mesto ako poskytovateľ základných služieb spĺňať.

 

Finančná udržateľnosť projektu

Finančná udržateľnosť projektu bude počas celého obdobia udržateľnosti zabezpečená z vlastných zdrojov žiadateľa. Prevádzka projektu bude zabezpečená žiadateľom.

Preto bude potrebné, aby v priebehu nasledujúcich rokov mesto Bratislava alokovalo dostatočné finančné aj personálne zdroje na to, aby bol dosiahnutý úplný súlad s požiadavkami zákona, dobrej praxe, ako aj politickej a bezpečnostnej situácie vo svete.

 

7.1        Prevádzkové požiadavky

Obstarávané systémy budú v prevádzkovom režime 24/7, prevádzkové požiadavky budú riešené internými kapacitami – zamestnancami oddelenia sieťovej infraštruktúry.

7.1.1        Úrovne podpory používateľov

 Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

 

7.1.2        Riešenie incidentov – SLA parametre

Za incident je považovaná chyba IS, t. j. správanie sa v rozpore s prevádzkovou a používateľskou dokumentáciou IS.

Označenie naliehavosti incidentu:

Označenie naliehavosti incidentu

Závažnosť  incidentu

Popis naliehavosti incidentu

A

Kritická

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

B

Vysoká

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.

C

Stredná

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

D

Nízka

Kozmetické a drobné chyby.

 

možný dopad:

Označenie závažnosti incidentu

 

Dopad

Popis dopadu

1

katastrofický

katastrofický dopad, priamy finančný dopad alebo strata dát

2

značný

značný dopad alebo strata dát

3

malý

malý dopad alebo strata dát

 

 Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

Matica priority incidentov

Dopad

Katastrofický - 1

Značný - 2

Malý - 3

Naliehavosť

Kritická - A

1

2

3

Vysoká - B

2

3

3

Stredná - C

2

3

4

Nízka - D

3

4

4

 

Vyžadované reakčné doby:

Označenie priority incidentu

Reakčná doba(1) od nahlásenia incidentu po začiatok riešenia incidentu

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) (2)

Spoľahlivosť (3)

(počet incidentov za mesiac)

1

0,5 hod.

4  hodín

1

2

1 hod.

12 hodín

2

3

1 hod.

24 hodín

10

4

1 hod.

Vyriešené a nasadené v rámci plánovaných releasov

 

Vysvetlivky k tabuľke

(1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L3 a jeho prevzatím na riešenie.

(2) DKVI znamená obnovenie štandardnej prevádzky - čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom (DKVI) sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný uchádzač oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu.

(3) Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident.

(4) Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia majú prioritu 3 a nižšiu

Vzťahujú sa výhradne k dostupnosti testovacieho prostredia. Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite.

Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby:

  • Služby systémovej podpory na požiadanie (nad paušál)
  • Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)

Pre tieto služby budú dohodnuté osobitné parametre dodávky.

 

7.2        Požadovaná dostupnosť IS:

 

Popis

Parameter

Poznámka

Prevádzkové hodiny

24 hodín

Nepretržitá prevádzka

Servisné okno

9 hodín

Od 20:00 hod. - do 5:00 hod. počas pracovných dní

24 hodín

Servis a údržba sa bude realizovať počas víkendov mimo pracovného času.

Dostupnosť produkčného prostredia IS

99,5 %

99,5% znamená maximálny ročný výpadok 43 hodín.

Maximálny mesačný výpadok je 3,5 hodiny.

 

7.2.1        Dostupnosť (Availability)

Dostupnosť systémov, ktoré sú predmetom tohto projektu, je stanvená na 99,5%, čo je dostupnosť vyžadovaná aplikáciami a procesmi, ktoré daný systém podporuje. Jedným z cieľov projektu je práve zabezpečenie vysokej miery dostupnosti informačných systémov mesta, a tým pádom aj služieb poskytovaných občanom.

7.2.2        RTO (Recovery Time Objective)

Cieľom projektu je znížiť hodnoty RTO pre jednotlivé systémy, aplikácie a procesy. Implementované sieťové prvky a dátové úložisko budú poskytovať výrazne kratšie doby RTO ako v súčasnosti.

Najprísnejšia požiadavka aplikácií a biznis procesov, ktoré implementované riešenie podporuje, je RTO v hodnote 24 hodín. V prípade výpadku nespôsobeného závažným katastrofckým vplyvom bude systém schopný obnoviť dáta asynchrónne v priebehu niekoľkých minút, prípadne do jednej až dvoch hodín.

 

7.2.3        RPO (Recovery Point Objective)

Pravidelnosť zálohovania je podľa biznis požiadaviek pre kritické systémy nastavená na hodnotu 12-24 hodín, v závislosti od charakteru konkrétneho systému.

8.     Požiadavky na personál

Pre účely realizácie projektu sa zostavuje Riadiaci výbor (RV), v minimálne nasledovnom zložení:

Riadiaci výbor:

Predseda RV – Matej Evin

Biznis vlastník – Martin Hrmo

Zástupca prevádzky – Ľubomír Tobek

Projektový manažér – Juraj Repík

 

Projektový tím:

Projektový manažér – Juraj Repík

Manažér kybernetickej a informačnej bezpečnosti – Matej Evin

IT architekt – Ľubomír Tobek

IT analytik – Zdenko Škandera

Všetci členovia tímu sú internými zamestnancami Hlavného mesta SR Bratislavy ku dňu podania ŽoNFP.

Jednotlivé pozície členov riadiaceho výboru a projektového tímu majú pridelené kompetencie v nasledovnom rozsahu:

Biznis vlastník zodpovedná za:

  • Spoluprácu pri riešení odpovedí na otvorené otázky a riziká projektu;
  • Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej);
  • Riešenie problémov a požiadaviek v spolupráci s odbornými garantmi;
  • Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek;
  • Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu;
  • Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť;
  • Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov;
  • Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov;
  • Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu;
  • Schválenie akceptačných kritérií;
  • Riešenie problémov používateľov;
  • Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky;
  • Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu;
  • Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch;
  • Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a priority;
  • Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd;
  • Odsúhlasenie akceptačných protokolov zmenových konaní;
  • Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1 plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu.

Projektový manažér zodpovedá za:

  • Riadenie prípravy, inicializácie a realizácie projektu;
  • Riadenie projektu podľa pravidiel stanovených vo Vyhláške 401/2023 Z. z.;
  • Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii;
  • Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu;
  • Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu;
  • Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov;
  • Zabezpečenie vypracovania a aktualizície manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z. Z.;
  • Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.;
  • Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 401/2023 Z. z.;
  • Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí;
  • Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV);
  • Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby;
  • Vypracovanie požiadaviek na zmenu, návrh ich priority a predkladanie zmenových požiadaviek na rokovanie RV;
  • Riadenie zmeny a prípadné požadované riadenie konfigurácií a ich zmien;
  • Riadenie implementačných a prevádzkových aktivít v rámci projektov;
  • Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov;
  • Formálnu administráciu projektu, správu a archiváciu projektovej dokumentácie, kontrolu dodržiavania a plnenia zmluvy s dodávateľom;
  • Dodržiavanie metodík projektového riadenia;
  • Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV);
  • Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr.

Kľúčový používateľ zodpovedá za:

  • Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu;
  • Návrh a špecifikáciu funkčných a technických požiadaviek;
  • Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy;
  • Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, · Špecifikáciu požiadaviek koncových používateľov na prínos systému;
  • Špecifikáciu požiadaviek na bezpečnosť;
  • Návrh a definovanie akceptačných kritérií;
  • Vykonanie testovania a finálne odsúhlasenie funkčnosti;
  • Vykonanie akceptačného testovania;
  • Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov;
  • Finálny návrh na spustenie do produkčnej prevádzky;
  • Predkladanie požiadaviek na zmenu funkcionalít produktov;
  • Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.;
  • Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu;
  • Realizáciu kvalitatívneho používateľského výskumu (nastavenie požiadaviek na regrutáciu, návrh scenára, vedenie rozhovoru
  • Analýzu a návrh riešenia problematiky prístupnosti webových sídiel;
  • Podporu a spoluprácu pri tvorbe Stratégie riadenia kvality (princípy, kritériá kvality);
  • Spoluprácu pri vytváraní funkčných požiadaviek na výstupy;
  • Vedenie a aktualizáciu príslušných projektových výstupov a registrov;
  • Hodnotenie jednotlivých verzií výstupov projektu v jednotlivých etapách;
  • Vytváranie hodnotiacich kritérií na dohľad výstupov a príslušných záznamov, o ktorých reportuje projektovému manažérovi objednávateľa;
  • Nastavenie a dohľad nad procesom testovania a pripomienkovanie stratégie testovania, plánov a testovacích scenárov;
  • Účasť na kontrolných aktivitách počas implementácie výstupov;
  • Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z..

IT analytik zodpovedá za:

  • Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu;
  • Vykonanie analýzy procesných a ďalších požiadaviek a vytvorenie riešení;
  • Participáciu na vývoji nových, ale i vylepšovaní existujúcich aplikácií v rámci celého vývojového cyklu – systémová analýza, dizajn, kódovanie, užívateľské testovanie, implementácia, podpora, dokumentácia. Úzko spolupracuje aj s IT architektom;
  • Analýza potrieb zákazníka vrátane tvorby dokumentácie a vstupov do verejného obstarávania (VO);
  • Mapovanie požiadaviek do návrhu funkčných riešení;
  • Návrh a správa katalóg požiadaviek - registra požiadaviek riešenia;
  • Analýza funkčných a nefunkčných požiadaviek;
  • Návrh fyzického a logického modelu;
  • Návrh testovacích scenárov;
  • V priebehu implementácie robí dohľad nad zhodou výstupov s pôvodným analytickým zadaním;
  • Zodpovednosť za dodržovanie správnej metodiky pri postupe analýzy;
  • Definovanie akceptačných kritérií v projekte;
  • Odsúhlasenie opisu produktov, ktoré predstavujú vstupy alebo výstupy (priebežné alebo konečné) úloh dodávateľov, alebo ktoré ich priamo ovplyvňujú a zabezpečovať akceptáciu produktov po ich dokončení;
  • Priraďuje priority a poskytuje stanoviská používateľov na rozhodnutia Riadiaceho výboru projektu – k realizácii zmenových požiadaviek;
  • Poskytuje merania aktuálneho stavu pre potreby porovnania s výsledkami projektu vzhľadom na realizáciu prínosov;
  • Rieši požiadavky používateľov a konflikty iných priorít;
  • Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa;
  • Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z..

IT architekt zodpovedá za:

  • Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu;
  • Navrhovanie architektúry IT riešení s cieľom dosiahnuť najlepšiu efektivitu;
  • Transformovanie cieľov, prísľubov a zámerov projektu do tvorby reálnych návrhov a riešení;
  • Navrhovanie takých riešení, aby poskytovali čo najvyššiu funkčnosť a flexibilitu;
  • Posudzovanie vhodnosti navrhnutých riešení s ohľadom na požiadavky projektu;
  • Zodpovednosť za technické navrhnutie a realizáciu projektu;
  • Zodpovednosť za vytvorenie technickej IT dokumentácie a jej následná kontrola;
  • Zodpovednosť za definovanie integračných vzorov, menných konvencií, spôsobov návrhu a spôsobu programovania;
  • Definovanie architektúry systému, technických požiadaviek a funkčného modelu;
  • Vytvorenie požiadaviek na HW/SW infraštruktúru IS;
  • Udržiavanie a rozvoj konzistentnej architektúry s dôrazom na architektúru aplikačnú, dátovú a infraštruktúru;
  • Analýzu a odhad náročnosti technických požiadaviek na vytvorenie IS alebo vykonanie zmien v IS;
  • Navrhovanie riešení zohľadňujúce architektonické štandardy, časové a zdrojové obmedzenia;
  • Navrhovanie dátových transformácií medzi dátovými skladmi a aplikáciami;
  • Vyhodnocovanie implementačných alternatív z pohľadu celkovej IT architektúry;
  • Ladenie dátových štruktúr za účelom dosiahnutia optimálneho výkonu;
  • Prípravu akceptačných kritérií · Analýza nových nástrojov, produktov a technológií;
  • Správa, rozvoj a dohľad nad dodržiavaním integračných štandardov;
  • Priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia;
  • Posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania;
  • Nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie nápravných opatrení;
  • Participáciu na výkone bezpečnostných testov;
  • Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa;
  • Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z..

Manažér kybernetickej a informačnej bezpečnosti zodpovedá za:

  • Špecifikovanie štandardov, princípov a stratégií v oblasti kybernetickej a informačnej bezpečnosti;
  • Špecifikáciu a analýzu funkčných požiadaviek kybernetickej a informačnej bezpečnosti;
  • Špecifikovanie požiadaviek na kybernetickú a informačnú bezpečnosť, kontroluje ich implementáciu v realizovanom projekte;
  • Špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia;
  • Špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy;
  • Špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru;
  • Špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa kybernetickú a informačnú bezpečnosť;
  • Realizáciu posúdenie požiadaviek agendy na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia;
  • Špecifikovanie požiadaviek na testovanie z hľadiska kybernetickej a informačnej bezpečnosti, realizáciu kontroly zapracovania a retestu, špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek;
  • Špecifikáciu akceptačných kritérií za oblasť kybernetickej a informačnej bezpečnosti;
  • Špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom KIB;
  • Poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť kybernetickej a informačnej bezpečnosti;
  • Získavanie informácií nutných pre plnenie úloh v oblasti kybernetickej a informačnej bezpečnosti;
  • Špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,
  • Konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dokumentácie;
  • Realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezpečnostnom projekte, na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí, realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí;
  • Realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť KIB;
  • Realizáciu kontroly zameranú na implementovaný proces a jeho súlad s platnou legislatívou v oblasti kybernetickej a informačnej bezpečnosti;
  • Poskytovanie konzultácií a súčinnosti pre problematiku kybernetickej a informačnej bezpečnosti;
  • Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z..

9.     Implementácia a preberanie výstupov projektu

Projekt bude v zmysle Vyhlášky 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke realizovaný metódou waterfall. V zmysle vyhlášky 401/2023 Zz o riadení projektov a zmenových požiadaviek v prevádzke je možné pristupovať k realizácii projektu prostredníctvom čiastkových plnení, t.j. inkrementov. Jednotlivé inkrementy sú definované v katalógu požiadaviek.

 

10. Prílohy

Tento dokument je bez príloh.