PRÍSTUP K PROJEKTU

 Manažérsky výstup I-03

podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1.    HISTÓRIA DOKUMENTU

2.    ÚČEL DOKUMENTU

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky má obsahovať manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

2.1        Použité skratky a pojmy

2.2        Konvencie pre typy požiadaviek (príklady)

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:

NREQ_X_Y_xx:

X - nefunkčná požiadavka (NFR)

• B – Bezpečnostná požiadavka
• K- Kapacitná požiadavka
• P- Prevádzková požiadavka

Y - označenie požiadavky (legislatíva, aktívum, skratka IS atď.)

xx - číslo požiadavky

Ostatné typy požiadaviek môžu byť ďalej definované objednávateľom/PM.

3.    POPIS NAVRHOVANÉHO RIEŠENIA

Nové riešenie základného rámca zabezpečenia informačnej a kybernetickej bezpečnosti na úrovni biznis architektúry by malo pozostávať najmä z nasledovných bezpečnostných riešení:

• Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia KIB.
• Analytické aktivity zavedenia bezpečnostných opatrení a riešení.
• Implementačné aktivity bezpečnostných riešení.
• Pre-financovanie aktivít riadenia súladu, najmä ohľadom auditu kybernetickej bezpečnosti a aktualizácie analýzy rizík a analýzy dopadov po implementácii bezpečnostných opatrení a riešení, tesne pred ukončením projektu. Jednotlivé biznis funkcie a bezpečnostné procesy ako aj popis ďalších úrovni architektúry riešenia sú uvedené v nasledujúcich kapitolách.

4.    ARCHITEKTÚRA RIEŠENIA PROJEKTU

Projekt predstavuje implementáciu KIB architektúry v organizácii žiadateľa. V organizácii absentujú zavedené governance KIB a nemá vypracovanú analýzu rizík, taktiež sú nedostatočne riešené aj ďalšie oblasti riadenia KIB definované ZoKB.

Z uvedeného dôvodu bude projekt primárne zameraný na implementáciu governance procesov v oblasti riadenia KIB, kde je cieľom

vypracovať dokumentáciu a zaviesť príslušné procesy.

Nejedná sa o implementáciu agendového alebo iného obdobného ISVS, z toho dôvodu je upravený aj popis jednotlivých úrovni architektúry. Najmä v prípade poskytnutia podpory pre iné ako governance aktivity, kde sa  predpokladá aj implementácia bezpečnostných systémov, zariadení alebo technických riešení, sú rovnako jednotlivé bloky architektúry rozpísané spôsobom zohľadňujúcim uvedené skutočnosti.

Pri biznis architektúre je potrebné si uvedomiť, že projekt, resp. jeho aktivity nerealizujú typické služby eGovernment-u a VS, ale ide

o služby na úrovni bezpečnostnej architektúry VS, a ako také a z tohto dôvodu, nie sú vedené ako aplikačné služby v MetaIS.

Zároveň je potrebné uviesť, že architektúra pre as-is stav nie je uvedená z dôvodu, že aktuálne tieto služby bezpečnostnej architektúry

nie sú implementované, prípadne sú implementované len čiastočne na nepostačujúcej úrovni.

Úrovne architektúry sú ďalej rozpísané podľa jednotlivých aktivít projektu a biznis bezpečnostných funkcií.

4.1        Biznis vrstva

Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy:

• Riadenie aktív a riadenie.
  • Proces evidencie a správy aktív.
  • Proces klasifikácie informácií a kategorizácie IS a sietí.
  • Proces realizácie AR/BIA.
  • Proces rozhodovania ohľadom riadenia identifikovaných rizík.
• Ochrana proti škodlivému kódu.
  • Proces identifikácie a ochrany koncových staníc a systémov pred škodlivým kódom (ochrana pred malware a ransomware).
• Ochrana dát
  • Proces ochrany citlivých dát pre ich neautorizovaným únikom (riešenie ochrany pred únikom informácií, ktoré identifikuje nebezpečné alebo nevhodné zdieľanie, prenos alebo používanie citlivých údajov a pomáha im predchádzať).
• Zálohovanie
  • Proces postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie.

Okrem uvedených biznis funkcií je projekt zameraný aj na podporu pre oblasti:

• KIB a bezpečnostná dokumentácia,
• zavedenie procesov riadenia KIB pre všetky relevantné oblasti riadenia,
• audit, riadenie súladu a kontrolných činností - proces posudzovania súladu formou realizácie auditu KIB.

4.1.1        Prehľad koncových služieb – budúci stav:

Irelevantné. Projekt nevytvára koncové služby. Projekt implementuje bezpečnostné opatrenia.

4.1.2        Jazyková podpora a lokalizácia

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

4.2        Aplikačná vrstva

Projekt nevytvára a ani nerozvíja ISVS, moduly a aplikačné a koncové služby. Projekt implementuje opatrenia pre zvýšenie KIB, ktoré zabezpečia primárne prevádzku základnej služby.

Obrázok 1- TO BE STAV

Popis jednotlivých bezpečnostných komponentov je uvedený v kapitole č. 4.5 Bezpečnostná architektúra.

4.2.1        Rozsah informačných systémov – AS IS

4.2.2        Rozsah informačných systémov – TO BE

4.2.3        Využívanie nadrezortných a spoločných ISVS – AS IS

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

4.2.4        Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

4.2.5        Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

4.2.6        Aplikačné služby pre realizáciu koncových služieb – TO BE

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

4.2.7        Aplikačné služby na integráciu – TO BE

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

4.2.8        Poskytovanie údajov z ISVS do IS CSRÚ – TO BE

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

.

4.2.9        Konzumovanie údajov z IS CSRU – TO BE

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

4.3        Dátová vrstva

Irelevantné pre celú kapitolu 4.3 Dátová vrstva. Projekt implementuje bezpečnostné opatrenia.

4.3.1        Údaje v správe organizácie

4.3.2        Dátový rozsah projektu - Prehľad objektov evidencie - TO BE

4.3.3        Referenčné údaje

4.3.3.1         IDENTIFIKÁCIA ÚDAJOV PRE KONZUMOVANIE ALEBO POSKYTOVANIE ÚDAJOV  DO/Z CSRU

4.3.4        Kvalita a čistenie údajov

4.3.4.1         ZHODNOTENIE OBJEKTOV EVIDENCIE Z POHĽADU DÁTOVEJ KVALITY

4.3.4.2         ROLY A PREDBEŽNÉ PERSONÁLNE ZABEZPEČENIE PRI RIADENÍ DÁTOVEJ KVALITY

4.3.5        Otvorené údaje

4.3.6        Analytické údaje

4.3.7        Moje údaje

4.3.8        Prehľad jednotlivých kategórií údajov

4.4        Technologická vrstva

4.4.1        Prehľad technologického stavu - AS IS

V rámci AS-IS stavu v súčasnosti v organizácii neexistuje bezpečnostná technológia, ktorá je predmetom tohto projektu.

Z pohľadu To-BE bude finálna technologická vrstva závislá od výsledkov verejného obstarávania a technológie, ktorú ponúkne víťazný́

uchádzač. Niektoré bezpečnostné riešenia poskytujú viacero alternatív a dajú sa implementovať napr. ako virtuálny appliance, ale prípadne aj ako HW appliance. Predpokladom však je, že väčšina bezpečnostných riešení bude nasadená do virtuálneho prostredia organizácie a niektoré riešenia budú nasadené ako samostatný HW appliance, prípadne budú nasadení rôzni agenti do infraštruktúry organizácie.

4.4.2        Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE

4.4.3        Návrh riešenia technologickej architektúry

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

4.4.4        Využívanie služieb z katalógu služieb vládneho cloudu

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

4.5        Bezpečnostná architektúra

• Správa dokumentov

V rámci tejto aplikačnej služby bude na správu bezpečnostnej dokumentácie vytvorenej počas projektu využitý existujúci Dokument manažment systém.

• Riadenie aktív a rizík

Za účelom identifikácie aktív a ich ďalšej správy, realizáciu klasifikácie a kategorizácie a realizáciu a následne udržiavanie (aktualizácia) analýzy rizík a analýzy dopadov bude nasadená samostatná aplikácia. Nástroj bude predstavovať SW riešenie pozostávajúce z funkcionality evidencie a správy informačných aktív organizácie, realizácie klasifikácie informácií a kategorizácie informačných systémov, realizácie analýzy rizík nad identifikovanými aktívami a podpory riadenia identifikovaných rizík, vrátane priraďovania implementovaných a plánovaných bezpečnostných opatrení k jednotlivým identifikovaným rizikám. Výsledkom bude najmä katalóg rizík s uvedením hodnoty inherentného, ale najmä reziduálneho rizika a návrh akčného plánu plánovaných bezpečnostných opatrení. Súčasťou aktivity je samozrejme aj prvotná identifikácia a evidencia všetkých informačných aktív organizácie, vykonanie klasifikácie informácií a následne kategorizácie IS a sietí podľa požiadaviek aktuálnej legislatívy a zrealizovanie analýzy rizík a analýzy dopadov nad identifikovanými informačnými aktívami v súlade s metodikou AR/BIA. Predmetom dodávky bude aj vytvorenie katalógu rizík a podpora pri procese jeho formálneho schvaľovania vedením organizácie.

• Ochrana proti škodlivému kódu a EDR

Súčasťou riešenia budú detailné analytické, diagnostické a detekčno-bezpečnostné práce nad všetkými existujúcimi koncovými zariadeniami z pohľadu vykonania detailného preverenia, analýzy a diagnostiky týchto zariadení na prípadnú prítomnosť infekcie malvérom a v prípade jeho identifikácie aj spoľahlivé a bezpečné odstránenie tak, aby následne mohla byť na tieto zariadenia nasadená rozšírená a najmä funkčná AV a EDR/XDR ochrana. V rámci tejto aktivity sa požaduje rozšírenie licencií existujúceho AV riešenia (ESET) na všetky koncové stanice a servery a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Požaduje sa dodanie technológie na prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, šifrovanie celých diskov, správu zraniteľností a patchov aplikácií tretích strán, ochranu poštových serverov/mailboxov, ochranu cloudového prostredia Microsoft365/Google Workspace a možnosť prevádzkovať jednotnú manažment konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom („on-prem“) nasadení podľa voľby organizácie za účelom zvýšenia úrovne kybernetickej bezpečnosti. Riešenie poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou, a ktorá zahŕňa funkcie, ako napr. detekcia incidentov v reálnom čase, manažment a reakcia na incidenty, zber údajov, detekcia indikátorov ohrozenia, detekcia anomálií, detekcia správania, detekcia porušenia pravidiel atď.

Súčasťou dodávky musí byť aj konzola / systém na správu celého riešenia.

Detailné požiadavky na riešenie:

• Podporované klientske platformy OS - min. Windows, Linux, MacOS, Android, všetko v slovenskom alebo českom jazyku Natívna podpora architektúr pre platformy Windows a MacOS: x86, x64, ARM64
• Antimalware, antiransomware, antispyware a anti-phishing na aktívnu ochranu pred všetkými typmi hrozieb
• Personálny firewall pre zabránenie neautorizovanému prístupu k zariadeniu so schopnosťou automatického prebratia pravidiel z brány Windows Firewall.
• Modul pre ochranu operačného systému a elimináciu aktivít ohrozujúcich bezpečnosť zariadenia s možnosťou definovať pravidlá pre systémové registre, procesy, aplikácie a súbory
• Ochrana pred neautorizovanou zmenou nastavenia / vyradenie z prevádzky / odinštalovaním antimalware riešení a kritických nastavení a súborov operačného systému
• Aktívna aj pasívna heuristická analýza pre detekciu doposiaľ neznámych hrozieb
• Systém na blokáciu exploitov zneužívajúcich zero-day zraniteľností, ktorý pokrýva najpoužívanejšie vektory útoku: min. sieťové protokoly, Flash Player, Java, Microsoft Office, webové prehliadače, e-mailových klientov, PDF čítačky
• Systém na detekciu malwaru už na sieťovej úrovni poskytujúci ochranu aj pred zneužitím zraniteľností na sieťovej vrstve
• Kontrola šifrovaných spojení (SSL, TLS, HTTPS, IMAPS…).
• Anti-phishing so schopnosťou detekcie homoglyph útokov
• Kontrola RAM pamäte pre lepšiu detekciu malwaru využívajúcu silnú obfuskáciu a šifrovanie
• Cloud kontrola súborov pre urýchlenie skenovania fungujúce na základe reputácie súborov.
• Kontrola súborov v priebehu sťahovania pre zníženie celkového času kontroly
• Kontrola súborov pri zapisovaní na disku a extrahovaní archivačných súborov
• Detekcia s využitím strojového učenia
• Funkcia ochrany proti zapojeniu do botnetu pracujúcej s detekciou sieťových signatúr
• Ochrana pred sieťovými útokmi skenujúca sieťovú komunikáciu a blokujúca pokusy o zneužitie zraniteľností na sieťovej úrovni
• Kontrola s podporou cloudu pre odosielanie a online vyhodnocovanie neznámych a potenciálne škodlivých aplikácií.
• Lokálny sandbox
• Modul behaviorálnej analýzy pre detekciu správania nových typov ransomwaru
• Systém reputácie pre získanie informácií o závadnosti súborov a URL adries
• Cloudový systém na detekciu nového malwaru ešte nezaneseného v aktualizáciách signatúr
• "Technológia na detekciu rootktitov obvykle sa maskujúcich za súčasti operačného systému."
• Skener firmvéru BIOSu a UEFI
• Skenovanie súborov v cloude OneDrive
• Funkcionalita pre MS Windows v min. rozsahu: Antimalware, Antispyware, Personal Firewall, Personal IPS, Application Control, Device control, Security Memory (zabraňuje útokom na bežiace aplikácie), kontrola integrity systémových komponentov
• Funkcionalita pre k MacOS v min. rozsahu- Personal Firewall, Device control, autoupgrade
• Možnosť aplikovania bezpečnostných politík aj v offline režime na základe definovaných podmienok
• Ochrana proti pokročilým hrozbám (APT) a 0-day zraniteľnostiam
• Podpora automatického vytvárania dump súborov na stanici na základe nálezov
• Okamžité blokovanie/mazanie napadnutých súborov na stanici (s možnosťou stiahnutia administrátorom na ďalšiu analýzu)
• Duálny aktualizačný profil pre možnosť sťahovania aktualizácií z mirroru v lokálnej sieti a zároveň vzdialených serverov pri nedostupnosti lokálneho mirroru (pre cestujúcich používateľov s notebookmi).
• Možnosť definovať webové stránky, ktoré sa spustia v chránenom režime prehliadača, pre bezpečnú prácu s kritickými systémami alebo internetovým bankovníctvo
• Aktívne ochrany pred útokmi hrubou silou na protokol SMB a RDP
• Možnosť zablokovania konkrétnej IP adresy po sérii neúspešných pokusov o prihlásenie pre protokoly SMB a RDP s možnosťou výnimiek vo vnútorných sieťach
• Automatické aktualizácie bezpečnostného softvéru s možnosťou odloženia reštartu stanice.
• "Zmrazenie“ na požadovanej verzii – produkt je možné nakonfigurovať tak, aby nedochádzalo k automatickému povyšovaniu majoritných a minoritných verzií najmä na staniciach, kde sa vyžaduje vysoká stabilita

Integrovaná cloudová analýza neznámych vzoriek:

• Funkcia cloudového sandboxu je integrovaná do produktu pre koncové a serverové zariadenia, tzn. Cloudový sandbox nemá vlastného agenta, nevyžaduje inštaláciu ďalšie komponenty či už v rámci produktu alebo implementácie HW prvku do siete
• Sandbox umožňujúci spustenie vzoriek malwaru pre: • Windows • Linux
• Možnosť využitia na koncových bodoch a serveroch pre aktívnu detekciu škodlivých súborov
• Analýza neznámych vzoriek v rade jednotiek minút
• Optimalizácia pre znemožnenie obídenia anti-sandbox mechanizmy
• Schopnosť analýzy rootkitov a ransomvéru
• Schopnosť detekcie a zastavenie zneužitia alebo pokusu o zneužitie zero day zraniteľnosti
• Riešenie pracuje s behaviorálnou analýzou
• Kompletný výsledok o zanalyzovanom súbore vrátane informácie o nájdenom i nenájdenom škodlivom správaní daného súboru
• Manuálne odoslanie vzorky do sandboxu
• Možnosť proaktívnej ochrany, kedy je potenciálna hrozba blokovaná, pokiaľ nie je známy výsledok analýzy zo sandboxu
• Neobmedzené množstvo odosielaných súborov
• Všetka komunikácia prebieha šifrovaným kanálom
• Okamžité odstránenie súboru po dokončení analýzy v cloudovom sandboxe
• Možnosť voľby, aké kategórie súborov do cloudového sandboxu budú odchádzať (spustiteľné súbory, archívy, skripty, pravdepodobný spam, dokumenty atp.)
• Veľkosť odoslaných súborov do cloudového sandboxu môže dosahovať až 64MB
• Výsledky analyzovaných súborov sú dostupné a automatizovane distribuované všetkým serverom a staniciam naprieč organizáciou, tak aby nedochádzalo k duplicitnému testovaniu

Šifrovanie celých diskov:

• Podpora platforiem Windows a MacOS
• Správa cez jednotný centrálny manažment
• Unikátna technológia pre platformu Windows (nevyužíva sa BitLocker)
• Podpora Pre-Boot autentizácia
• Podpora TMP modulu
• Podpora Opal samošifrovacích diskov
• Možnosť definovať: počet chybne zadaných pokusov, zložitosť a dĺžku autentizačného hesla
• Možnosť obmedziť platnosť autentizačného hesla
• Podpora okamžitého zmazania šifrovacieho kľúča a následné uzamknutie počítača
• Recovery z centrálnej konzoly

XDR riešenie:

• Možnosť prevádzky centrálneho servera v cloude alebo on-premise na platforme Windows Server.
• Webová konzola pre správu a vyhodnotenie.
• Možnosť prevádzky s databázami: Microsoft SQL, MySQL.
• Možnosť prevádzky v offline prostredí.
• Autonómne správanie so schopnosťou vyhodnotiť podozrivú/ škodlivú aktivitu a zareagovať na ňu aj bez aktuálne dostupného riadiaceho servera alebo internetového pripojenia.
• Logovanie činností administrátora (tzv. Audit Log).
• Podpora EDR pre systémy Windows, Windows server, MacOS a Linux.
• Možnosť autentizácie do manažmentu EDR pomocou 2FA.
• Možnosť riadenia manažmentu EDR prostredníctvom API, a to ako pre:
  • prijímanie informácií z EDR serverov
  • aj zasielanie príkazov na EDR servery.
• Integrovaný nástroj v EDR riešení pre vzdialené zasielanie príkazov priamo z konzoly.
• Možnosť izolácie zariadenia od siete.
• Možnosť tvorby vlastných loC.
• Možnosť škálovania množstva historických dát vyhodnotených v EDR min. 3 mesiace pre raw-data a min. 3 roky pre detegované incidenty.
• „Učiaci režim" pre automatizované vytváranie výnimiek k detekčným pravidlám.
• Indikátory útoku pracujúce s behaviorálnou detekciou.
• Indikátory útoku pracujúce s reputáciou.
• Riešenie umožňuje analýzu vektorov útoku.
• Schopnosť detekcie: min. škodlivých spustiteľných súborov: skriptov, exploitov, rootkitov, sieťových útokov, zneužitie WMI nástrojov, bez-súborového malwaru, škodlivých systémových ovládačov / kernel modulov, pokusov o dump prihlasovacích údajov užívateľa.
• Schopnosť detegovať laterálny pohyb útočníka.
• Analýza procesov, všetkých spustiteľných súborov a DLL knižníc.
• Náhľad na spustené skripty použité pri detegovanej udalosti.
• Možnosť zabezpečeného vzdialeného spojenia cez servery výrobcu do konzoly EDR.
• Schopnosť automatizovaného response úkonu pre jednotlivé detekčné pravidlá v podobe: izolácia stanice, blokácia hash súboru, blokácia a vyčistenie siete od konkrétneho súboru, ukončení procesu, reštart počítača, vypnutie počítača.
• Možnosť automatického vyriešenia incidentu administrátorom.
• Prioritizácia vzniknutých incidentov.
• Možnosť stiahnutia spustiteľných súborov zo staníc pre bližšiu analýzu vo formáte archívu opatreným heslom.
• Integrácia a zobrazenie detekcií vykonaných antimalware produktom.
• Riešenie je schopné generovať tzv. forest/full execution tree model.
• Vyhľadávanie pomocou novo vytvorených loC nad historickými dátami.
• Previazanie s technikami popísanými v knowledge base MITRE ATT&CK.
• Integrovaný vyhľadávač VirusTotal s možnosťou rozšírenia o vlastné vyhľadávače.

Management konzola pre správu všetkých riešení v rámci ponúkaného balíka v rozsahu:

• Možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení
• Webová konzola
• Možnosť inštalácie na Windows aj Linux
• Predpripravená virtual appliance pre virtuálne prostredie VMware, Microsoft Hyper-V a Microsoft Azure, Oracle Virtual Box
• Server/proxy architektúra pre sieťovú pružnosť – zníženie záťaže pri sťahovaní aktualizácií detekčných modulov výrobcu
• Možnosť prebudenia klientov pomocou Wake On Lan
• Vzdialené vypnutie, reštart počítača alebo odhlásenie všetkých užívateľov
• Možnosť konfigurácie virtual appliance cez užívateľsky prívetivé webové rozhranie Webmin
• Nezávislí manažment agent pre platformy Windows, Linux a MacOS
• Management agent pre architektúry na platformy Windows a MacOS: x86, x64, ARM64
• Nezávislý agent (pracuje aj offline) vzdialenej správy pre zabezpečenie komunikácie a ovládania operačného systému verejného obstarávateľa
• Offline uplatňovanie politík a spúšťanie úloh pri výskyte definovanej udalosti (napríklad: odpojenie od siete pri nájdení škodlivého kódu).
• Administrácia v najpoužívanejších jazykoch vrátane slovenčiny
• Široké možnosti konfigurácie oprávnení administrátorov (napríklad možnosť správy iba časti infraštruktúry, ktoré konkrétnemu administrátorovi podlieha)
• Zabezpečenie prístupu administrátorov do vzdialenej správy pomocou 2FA
• Podpora štítkov/tagovania pre jednoduchšiu správu a vyhľadávanie
• Správa karantény s možnosťou vzdialeného vymazania / obnovenia / obnovenia a vylúčenia objektu z detekcie
• Vzdialené získanie zachyteného škodlivého súboru
• Detekcia nespravovaných (rizikových) počítačov komunikujúcich na sieti.
• Podpora pre inštalácie a odinštalácie aplikácií 3.strán
• Vyčítanie informácií o verziách softvéru 3. strán
• Možnosť vyčítať informácie o hardvéri na spravovaných zariadeniach (CPU, RAM, diskové jednotky, grafické karty…).
• Možnosť vyčítať sériové číslo zariadenia
• Možnosť vyčítať voľné miesto na disku
• Detekcia aktívneho šifrovania BitLocker na spravovanej stanici
• Zobrazenie časovej informácie o poslednom boote stanice
• Odoslanie správy na počítač / mobilné zariadenie, ktoré sa následne zobrazí užívateľovi na obrazovke
• Vzdialené odinštalovanie antivírusového riešenia 3. strany
• Vzdialené spustenie akéhokoľvek príkazu na cieľovej stanici pomocou Príkazového riadka
• Dynamické skupiny pre možnosť definovania podmienok, za ktorých dôjde k automatickému zaradeniu klienta do požadovanej skupiny a automatickému uplatneniu klientskej úlohy
• Automatické zasielanie upozornení pri dosiahnutí definovaného počtu alebo percent ovplyvnených klientov (napríklad: 5 % všetkých počítačov / 50 klientov hlási problémy)
• Podpora SNMP Trap, Syslogu a qRadar SIEM
• Podpora formátov pre Syslog správy: CEF, JSON, LEEF
• Podpora inštalácie skriptom - *.bat, *.sh, *.ini (GPO, SSCM…).
• Rýchle pripojenie na klienta pomocou RDP z konzoly pre vzdialenú správu.
• Reportovanie stavu klientov chránených inými bezpečnostnými programami.
• Schopnosť zaslať reporty a upozornenia na e-mail
• Konzola podporuje multidoménové prostredie (schopnosť pracovať s viacerými AD štruktúrami)
• Konzola podporuje multitenantné prostredie (schopnosť v jednej konzole spravovať viac počítačových štruktúr)
• Podpora VDI prostredia (Citrix, VMware, SCCM, apod)
• Podpora klonovania počítačov pomocou golden image
• Podpora inštanciách klonov
• Podpora obnovy identity počítača pre VDI prostredie na základe FQDN
• Možnosť definovať viacero menných vzorov klonovaných počítačov pre VDI prostredie
• Pridanie zariadenia do vzdialenej správy pomocou: synchronizácia s Active Directory, ručné pridanie pomocou podľa IP adresy alebo názvu zariadenia, pomocou sieťového skenu nechránených zariadení v sieti, Import cez csv súbor

Správa zraniteľností a patchov aplikácií tretích strán:

• Automatizované kontroly podľa vlastného harmonogramu na základe prispôsobiteľných pravidiel
• Filtrovanie, zoskupovanie a triedenie zraniteľností podľa ich závažnosti
• Možnosť manuálnych alebo automatických opráv
• Prispôsobiteľné politiky záplat
• Podpora multitenant v komplexných sieťových prostrediach - prehľad zraniteľností v konkrétnych častiach organizácie
• Databáza zraniteľností, CVSS 2.0 a CVSS 3.1

Ochrana poštových serverov/mailboxov:

• Komplexná vrstva ochrany na úrovni servera s cieľom zabrániť prieniku spamu a malvéru do e‑mailových schránok používateľov
• Antimalvér, antispam, anti‑phishing, ochrana hostiteľských serverov, ochrana založená na strojovom učení
• Správa karantény
• Podpora klastrov

Ochrana cloudového prostredia Microsoft365/Google Workspace

• Pokročilá ochrana pre aplikácie služby Microsoft 365 prostredníctvom ľahko použiteľnej cloudovej konzoly
• Filtrovanie spamu, antimalvérová kontrola, anti‑phishing a cloudový sandboxing
• Ochrana cloudových úložísk

Nástroj na 2-faktorovú autentifikáciu:

• Jednoduché overovanie pre používateľov jedným ťuknutím
• Overovanie cez Push notifikácie
• Podpora existujúcich tokenov a hardvérových kľúčov a smartfónov
• Overovanie pri prístupe k VPN, RDP a Outlooku, webové aplikácie
• Riešenie bez programátorského zásahu musí mať integráciu: HOTP, alebo na HMAC- založené jednorázové heslá one-time password (OTP), Audit používateľov v denníku. (úspešné, neúspešne pokusy o overenie).

• Ochrana dát (DLP)

Nasadenie DLP technológie poskytuje komplexnú ochranu citlivých údajov, dôverných administratívnych dokumentov a zabezpečuje ich bezpečnosť pred únikom či zneužitím.

Požaduje sa dodanie technológie, ktorá bude zohľadňovať:

• Ochranu Citlivých Údajov, cieľom pokročilých nástrojov na detekciu a prevenciu úniku údajov znižuje riziko ich neoprávneného prístupu a zneužitia.
• Súlad s Legislatívou, potreba dodržiavať legislatívne požiadavky týkajúce sa ochrany údajov a zabezpečiť súlad s týmito predpismi tým, že poskytuje nástroje na monitorovanie a kontrolu prístupu k citlivým údajom.
• Prevencia Únikov Údajov, riešenie umožňuje detekciu a zastavenie potenciálnych únikov údajov v reálnom čase, či už ide o neúmyselný únik prostredníctvom e-mailu alebo úmyselné kopírovanie dát na externé úložisko. Umožňuje sledovanie a analýzu pohybu dát v rámci organizácie, čo pomáha identifikovať a riešiť slabé miesta v bezpečnosti.
• Zvýšenie Povedomia o Bezpečnosti, poskytuje nástroje na vzdelávanie a tréning zamestnancov o dôležitosti ochrany údajov a bezpečnostných postupoch.
• Efektívne Spravovanie Pravidiel a Politík, nástroj na centralizovanú správu umožňuje nastavenie a implementáciu bezpečnostných politík na úrovni celej organizácie. Umožňuje flexibilné prispôsobenie pravidiel podľa potrieb jednotlivých oddelení alebo typov údajov.
• Detailné Reportovanie a Analýza, poskytuje detailné reporty a analýzy, ktoré pomáhajú manažmentu monitorovať bezpečnostné incidenty a efektívne reagovať na potenciálne hrozby.

Súčasťou riešenia bude implementácia adekvátnej technológie, ako sú riešenia na prevenciu úniku dát (DLP) s nasledujúcou špecifikáciou:

• Integrácia s MS Active Directory,
• Podpora pre MS SQL 2012 alebo novšia verzia MS SQL,
• Podpora operačných systémov Windows 1, 10 a 11.
• Podpora operačného systému macOS 10.10 a novšieho.
• Podpora serverových operačných systémov Windows Server 2016, 2019 a 2022.
• Podpora terminálových prostredí,
• Centrálna administrátorská konzola, multitenantná administrácia v súlade s organizačným členením subjektov na úrovni OU domény,
• Riadené používateľské práva do nastavení konzoly, k výsledným logom a administrácie riešenia,
• Skrytý režim na koncovej stanici vrátane procesov a zložiek, a to vrátane lokálnych aj doménových administrátorov.
• Ochrana proti zastaveniu systému - musí byť aktívna u bežného používateľa, lokálneho i doménového administrátora.
• Ochrana proti zastaveniu V prípade vyšších používateľských práv dôjde k reštartu zastavených procesov či k použitiu iných spôsobov pre obnovuslužby.
• Ochrana proti odinštalovaniu riešenia bez potrebnej autorizácie.
• Ochrana proti editácii registrov, systémových komponentov či DLL knižníc.
• Ochrana proti zmene nastavenia na koncovej
• Nutná možnosť ochrany i u operačného systému v režime “safe mode”.
• Funkcionality zachované i v offline móde, (ak koncová stanica nie je pripojená k firemnej sieti/ internetu).
• Možnosť pracovať s historickými dátami.
• Riešenie musí podporovať možnosť poskytnúť zálohovanie vlastných komponentov, prevažne všetkých záznamov a nastavení.
• Automatické generovanie emailových varovaní v prípade incidentov, možnosť zmeniť citlivosť a špecifikáciu
• Automatické generovanie emailových reportov s možnosťou úprav obsahu (množstvo informácií, množina uzlov, frekvencie odosielanie, príjemcovia).
• Zasielanie logov do SIEM riešenia objednávateľa.

Dátový audit:

• Detailné informácie o aplikáciách, ako čas spustenia a ich aktívnom využití. Aplikácie sú rozdelené do kategórií pre prehľadnú správu.
• Detailné informácie o weboch, ako ich aktívne využitie, informáciách o URL, použitom protokole, hlavičky webu, a to bez ohľadu na použitýprehliadač. Weby sú rozdelené do kategórií pre prehľadnú správu.
• Detailné informácie o práci so súbormi, ako prehľad používateľov a aplikácií pracujúcich so súbormi, súborové operácie (otvorenie, premenovanie,kopírovanie, mazanie) a informácie o cestách (systémové, externé, webové, cloudové atď.).
• Lokálne súborové operácie – kopírovanie, presúvanie, sťahovanie z webu, FTP, mazanie, vytvorenie, otvorenie, a to vrátanie zdrojovej a cieľovejidentifikácie: cesta, typ zariadenia, jedinečný identifikátor,
• Logovanie tlačových úloh a možnosť exportu reportov do XLS,

Zaznamenávanie komunikácie:

• Podpora POP3, IMAP, MAPI / Exchange protokolov vrátanie SSL šifrovania.
• Podpora desktopových emailových klientov (Microsoft Outlook, Mozilla Thunderbird,…) – riešenie je schopné zaznamenávať emaily nezávisle odpoužitej aplikácie.
• Podpora zaznamenávania súborov odoslaných cez web mailových
• Podpora zaznamenávania súborov odoslaných cez IM komunikačné nástroje.

Aktivita koncových staníc:

• Logovanie o stavoch zapnutie/vypnutie PC.
• Logovanie o prihlásení/odhlásení používateľa.
• Logovanie o uspaní/prebudení PC.
• Logovanie o pripojení akýchkoľvek periférií, logovanie všetkých portov na PC.

Sieťová aktivia:

• Monitorovanie množstva odoslaných/stiahnutých dát.

Ochrana dát

Všeobecná požiadavky

• Ochrana nezávisle na použitom SW, protokole, vrátane šifrovaných spojení.
• Riešenie podporuje zabezpečenie dát aj v prípade pokusu o porušenie ochrany, napr. Pomocou symbolických odkazov na zložku s dátami a pod.

Šifrovanie

• Šifrovanie celých diskov vrátane systémových.
• Šifrovanie externých USB diskov.
• Prehľadná správa šifrovaných diskov, USB diskov / kľúčov.

Správa zariadení

• Reštrikcie pre USB mass storage zariadenia, pripojenie mobilných telefónov, pamäťové karty, Bluetooth prenosy súborov, optické disky či FireWire.
• Možnosť vynútenia režimu Iba na čítanie u pripojených zariadení.
• Zaznamenávanie všetkých pripojených zariadení vrátane monitorov, myší a klávesníc.
• Schopnosť blokovať iba prenosy dát cez Bluetooth, ale povoliť pripojenie a voľné použitie ďalších Bluetooth zariadení (napr. slúchadiel).
• Klasifikované dáta je možné chrániť pred skopírovaním na chytré telefóny pripojené cez Multimedia Transfer Protocol, tieto zariadenia je možné ale inak neobmedzene používať s necitlivými dátami.
• Reštrikcie pre USB zariadenia sú podporované na systéme macOS

Správa aplikácií

• Monitoring využitia aplikácií naprieč organizáciou a možnosť riadiť, ktoré aplikácie je možné a ktoré nemožno spúšťať.
• Monitoring navštevovania webových stránok naprieč organizáciou a možnosť riadiť, ktoré webové stránky je možné a ktoré nemožno navštevovať.

Ochrana údajov

• Definícia kategórií citlivých dát dovoľuje obmedzenie pohybu a práce s týmito dátami; určuje, ktoré médiá môžu byť použité pre prenos, ktoré sietemôžu byť použité pre upload, na ktoré emailové adresy môžu byť dáta odoslané, ktoré aplikácie môžu s dátami pracovať.
• Možnosť úplnej blokácie používateľských akcií, používateľského schválenia operácie, informatívne notifikácie používateľa či obyčajného zaznamenania používateľských akcií
• Možnosť aplikácie politík pre konkrétne aplikácie – definícia zdroja a cieľa (prístup na externé zariadenie, sieť, tlač, virtuálnu tlač) a správapoužívateľských operácií (použitie schránky, snímanie obrazovky).
• Možnosť správy nepovolených cloudových úložísk.
• Možnosť správy či blokácie presúvania súborov do Git repozitárov.
• Funkcionalita „shadow copy“ umožňujúca administrátorovi prezeranie súborov, ktoré boli súčasťou bezpečnostných incidentov. Funkcia musí sprístupniť súbory, ktoré používateľ odoslal, aj tie, ktoré DLP riešenie zablokovalo.
• Možnosť nastavenia počtu výskytov citlivých údajov. Dynamické reštrikcie nad súbormi a aplikáciami, pokiaľ je detegovaný citlivý
• Blokácia odoslania dát s citlivým obsahom mimo koncovú stanicu – správa bežných komunikačných kanálov: e-mail, web upload, externézariadenie, IM komunikačné nástroje, synchronizácia s cloudovými aplikáciami.

Ochrana citlivých údajov

• Detekcia citlivých dát v dokumentoch na platformách Windows a macOS.
• Možnosť definície citlivých dát pomocou preddefinovaných slovníkov a algoritmov.
• Možnosť definície citlivých dát pomocou vlastných reťazcov či regulárnych výrazov.
• Možnosť importu vlastných slovníkov a kľúčových slov.
• Možnosť nastavenia počtu výskytov citlivých údajov.
• Možnosť klasifikácie citlivých dát podľa kontextových podmienok, napr. pôvod alebo umiestnenie dát.
• Možnosť klasifikácie kompatibilných typov súborov pomocou perzistentných súborových metadát.
• OCR vyhľadávanie citlivých dát v obrázkových formátoch a skenovaných PDF dokumentoch.
• OCR funkcionalita dostupná aj keď sa počítače odpoja od firemnej siete alebo prepnú do offline režimu.
• OCR podpora pre dvojjazyčné prostredie (napr. citlivé dokumenty v angličtine alebo v slovenčine).
• Dynamické reštrikcie nad súbormi a aplikáciami pri detekcii citlivého obsahu.
• Blokovanie odoslania dát s citlivým obsahom mimo koncovej stanice – správa bežných komunikačných kanálov: e-mail, web upload, externé zariadenia, IM komunikačné nástroje, synchronizácia s cloudovými aplikáciami.
• Detekcia dát obsahujúcich citlivý obsah, uložených na koncovej stanici alebo na zdieľanom sieťovom disku. Možnosť integrácie s klasifikácioutretích strán uložených v metadátach súborov.
• Reštrikcie pre USB zariadenia, pamäťové karty, Bluetooth zariadení, optické disky či
• Možnosť vynútenia režimu iba na čítanie u pripojených zariadení.
• Zaznamenávanie všetkých pripojených vzdialení vrátane monitorov, myší a klávesníc.
• Centrálna správa aplikácií, prehľad jednotlivých verzií aplikácii.

Integrácie s riešením tretích strán

• Integrácia a zobrazovanie záznamov a reportovanie údajov do riešenia Power BI. Podpora Power BI cez API.

Zaznamenávanie Office 365 cloudu:

• Zaznamenávanie bežných používateľských akcií prevedených na Office 365 cloudu (OneDrive for Business, SharePoint Online) - základnésúborové operácie ako sťahovanie a zdieľanie,
• Zaznamenávanie Office 365 emailové komunikácie (Exchange Online) pre všetkých používateľov vrátane používateľov pracujúcich z Outlook WebApp, osobných alebo mobilných zariadení.
• Možnosť automatického vytvorenia DLP politík pre Office 365 e-mailovú komunikáciu (Exchange Online) pre všetkých používateľov, vrátane používateľov pracujúcich z Outlook Web App, osobných alebo mobilných zariadení.

Dátová klasifikácia

• Možnosť integrácie s klasifikáciou tretích strán uložených v metadátach súborov – rozpoznanie takýchto dát a vynútenie nastaviteľných DLP politík.
• Možnosť integrácie s Azure Information Protection klasifikáciou, vrátane šifrovanej podoby AIP dokumentov.
• Používateľská klasifikácia a reklasifikácia Office dokumentov z používateľského rozhrania Windows Prieskumníka.

• Zálohovanie

Súčasťou riešenia bude implementácia, ktorá zahrnie automatizované zálohovanie kritických dát na viacerých miestach a technológie

rýchlej obnovy dát v prípade zlyhania alebo útoku, ako je ransomware. Jedná sa o riešenie na osobitnom zálohovacom serveri, nasadenie obnovy záloh, analýza zálohovacích boxov a pravidiel v rámci pokročilej technológie vytvárania snímkov, ktorú umožní plánovateľnú a takmer okamžitú ochranu dát zdieľaných zložiek. Riešenie umožní automatické opravy súborov, obnovu dát na úrovni súborov a zložiek s obnovením konkrétnych súborov alebo zložiek, zálohovanie bez licencií určených k ochrane počítačov a serverov so systémom Windows, konsolidáciu úloh zálohovania pre fyzické i virtuálne prostredie s možnosťou rýchleho obnovenia súborov, celých fyzických počítačov a virtuálnych počítačov.

Vyššie uvedené bezpečnostné komponenty sú v súlade navrhovanej bezpečnostnej architektúry s dotknutými právnymi normami a zároveň s technickými normami, ktoré stanovujú úroveň potrebnej bezpečnosti IS,  pre manipuláciu so samotnými dátami, alebo technické/technologické/personálne zabezpečenie samotnej výpočtovej techniky/HW vybavenia. Ide najmä o:

• Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe
• Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti
• Zákon č. 45/2011 Z.z. o kritickej infraštruktúre
• vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy
• vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
• vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov
• Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
• Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Dosiahnutie potrebnej úrovne bezpečnosti a zabezpečenie aktív projektu vyžaduje komplexný prístup pokrývajúci rôzne vrstvy architektúry a aspekty bezpečnosti, ako sú dôvernosť, dostupnosť a integrita. Nižšie sú uvedené hlavné postupy a stratégie pre každú vrstvu architektúry:

1. Fyzická vrstva

Dôvernosť: Zabezpečiť fyzický prístup k HW a zariadeniam pomocou bezpečnostných opatrení.

Dostupnosť: Zavedenie redundantných systémov napájania (UPS), klimatizácie a ochrany pred požiarom, aby sa minimalizovali výpadky spôsobené fyzickými faktormi.

Integrita: Pravidelná údržba a kontrola zariadení, ochrana pred neoprávneným fyzickým zásahom, inštalácia alarmov a bezpečnostných kamier.

1. Sieťová vrstva

Dôvernosť: Používanie šifrovacích protokolov (napr. TLS, VPN) na ochranu prenosu dát, implementácia firewallov a detekčných systémov na zabránenie neoprávnenému prístupu.

Dostupnosť: Implementácia techník ako sú Load Balancing a failover mechanizmy, aby sa zabezpečila kontinuita služby aj pri zlyhaní časti siete.

Integrita: Používanie sieťových protokolov s kontrolnými súčtami (napr. TCP/IP), pravidelné aktualizácie a patchovanie sieťových zariadení, monitoring a detekcia anomálií.

1. Aplikačná vrstva

Dôvernosť: Implementácia autentifikácie a autorizácie používateľov, šifrovanie dát uložených v databázach, používanie bezpečnostných štandardov.

Dostupnosť: Vyváženie záťaže medzi servermi, používane záložných kópií a disaster recovery plánov, pravidelná údržba a aktualizácia aplikácií.

Integrita: Používanie digitálnych podpisov a hashovacích algoritmov na overenie integrity dát, kontrola vstupov pre zabránenie SQL injection a XSS útokov, testovanie zraniteľností.

1. Úroveň dát

Dôvernosť: Šifrovanie dát pri ukladaní a prenose, implementácia prístupových práv a kontrol.

Dostupnosť: Zálohovanie dát na rôzne lokácie a do cloudu, pravidelné testovanie obnovy dát.

Integrita: Používanie kontrolných súčtov a digitálnych podpisov na zabezpečenie integrity dát, auditovanie zmien v dátach.

1. Procesy a politika

Dôvernosť: Zavedenie a dodržiavanie bezpečnostných politík, školenie zamestnancov o bezpečnostných postupoch, minimalizácia prístupových práv podľa princípu najmenej potrebných práv.

Dostupnosť: Plánovanie a testovanie business continuity plánov, pravidelné audity a hodnotenia rizík.

Integrita: Pravidelné kontroly a audity procesov, implementácia systémov na detekciu a prevenciu podvodov, sledovanie a dokumentácia všetkých zmien.

Implementácia týchto postupov a stratégií pomáha zabezpečiť, že projekt bude mať primeranú úroveň bezpečnosti na všetkých vrstvách architektúry a zároveň chrániť jeho aktíva pred rôznymi hrozbami.

5.    ZÁVISLOSTI NA OSTATNÉ ISVS / PROJEKTY

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

6.    ZDROJOVÉ KÓDY

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

7.    PREVÁDZKA A ÚDRŽBA.

7.1        Prevádzkové požiadavky

Prevádzka a údržba bude pre

• nasadenie nástroja na podporu riadenia aktív a rizík,
• implementácia AV ochrany a EDR/XDR,
• implementácia ochrany dát DLP,
• implementácia zálohovacieho nástroja,

zabezpečená prostredníctvom externého poskytovateľa na obdobie 5 rokov od ukončenia realizácie projektu

7.1.1        Úrovne podpory používateľov

Help Desk bude realizovaný cez 3 úrovne podpory, s nasledujúcim označením:

• L1 podpory IS (Level 1, priamy kontakt zákazníka) - jednotný kontaktný bod na základe zmluvy o podpore SLA zabezpečuje prevádzkovateľ
• L2 podpory IS (Level 2, postúpenie požiadaviek od L1) - na základe zmluvy o podpore SLA zabezpečuje prevádzkovateľ
• L3 podpory IS (Level 3, postúpenie požiadaviek od L2) - na základe zmluvy o podpore SLA zabezpečuje prevádzkovateľ.

Definícia:

• Podpora L1 (podpora 1. stupňa) - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď.
• Podpora L2 (podpora 2. stupňa) – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3.
• Podpora L3 (podpora 3. stupňa) - Podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najobťiažnejších Hlásení, vrátane prevádzania hĺbkových analýz a riešenie extrémnych prípadov.

Pre služby sú definované takéto SLA:

• Help Desk je dostupný cez centrálny systém nahlasovania incidentov a pre vybrané skupiny užívateľov cez telefón a email.
• Dostupnosť L3 podpory pre IS je 9x5 (9 hodín x 5 dní od 8:00h do 17:00h počas pracovných dní),

7.1.2        Riešenie incidentov – SLA parametre

Označenie naliehavosti incidentu:

možný dopad:

 Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

Vyžadované reakčné doby:

7.2        Požadovaná dostupnosť IS:

7.2.1        Dostupnosť (Availability)

98,5% dostupnosť znamená výpadok 8,25 dňa.

7.2.2        RTO (Recovery Time Objective)

RTO pre tieto aktivity je definované na 24 hodín.

7.2.3        RPO (Recovery Point Objective)

RTO pre tieto aktivity je definované na 24 hodín.

8.    POŽIADAVKY NA PERSONÁL

Popísané v dokumente Projektový zámer.

9.    IMPLEMENTÁCIA A PREBERANIE VÝSTUPOV PROJEKTU

Implementácia a preberanie výstupov projektu podľa vyhlášky č. 401/2023 Zz o riadení projektov a zmenových požiadaviek v prevádzke.

10. PRÍLOHY

n/a