projekt_2798_Pristup_k_projektu_detailny

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

138

139

Dokument Prístup k projektu obsahuje opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy.

\\

\\

== {{id name="projekt_2798_Pristup_k_projektu_detailny-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

(% class="" %)|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

(% class="" %)|(((

Active Directory

)))|(((

Active Directory je implementácia adresárových služieb [[LDAP>>url:https://sk.wikipedia.org/wiki/LDAP||shape="rect"]] firmou [[Microsoft>>url:https://sk.wikipedia.org/wiki/Microsoft||shape="rect"]] na použitie v systéme [[Microsoft Windows>>url:https://sk.wikipedia.org/wiki/Microsoft_Windows||shape="rect"]]. Umožňuje administrátorom nastavovať politiku, inštalovať programy na mnoho počítačov alebo aplikovať kritické aktualizácie v celej organizačnej štruktúre. Active Directory svoje informácie a nastavenia ukladá v centrálnej organizovanej databáze.

)))

(% class="" %)|(((

BIA

)))|(((

Business Impact Analysis - Analýza vplyvu (BIA) je základom celého procesu riadenia kontinuity podnikania (BCM). Pozostáva z techník a metód na posúdenie vplyvu narušenia dodávok kľúčových produktov alebo služieb organizácie a iných zainteresovaných strán na organizáciu a ich podporných kritických činností

)))

(% class="" %)|(((

BCM

)))|(((

Business Continuity Management - Riadenie kontinuity podnikania je kompletný súbor procesov,

166

167

ktorý identifikuje potenciálne vplyvy , ktoré ohrozujú organizáciu z pohľadu kybernetickej bezpečnosti. Poskytuje schopnosť účinnej reakcie na vzniknutý kybernetický bezpečnostný incident

)))

(% class="" %)|(((

Core

)))|(((

Next Generation Firewall

)))

(% class="" %)|(((

DAC kábel

)))|(((

Direct attach copper kábel, slúži k pripojeniu aktívnych prvkov.

)))

(% class="" %)|(((

EDR riešenie

)))|(((

EDR (Endpoint Detection and Response) zlepšuje schopnosť identifikovať, monitorovať a reagovať na podozrivé aktivity na koncových zariadeniach, ako sú pracovné stanice, servery a mobilné zariadenia

)))

(% class="" %)|(((

EPS

)))|(((

EPS (skratka pre Encapsulated PostScript) je univerzálny [[typ súboru>>url:https://sk.wikipedia.org/wiki/Typ_s%C3%BAboru||shape="rect"]], ktorý sa využíva pri posielaní dokumentov do tlačiarne

)))

(% class="" %)|(((

Firewall

)))|(((

Sieťové zariadenie alebo softvér, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Extranet a Intranet) a kontrolovať tok dát medzi týmito sieťami

)))

(% class="" %)|(((

GDPR

)))|(((

Nariadenie EU 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov

)))

(% class="" %)|(((

HW

)))|(((

Hardvér

)))

(% class="" %)|(((

LAN

)))|(((

Lokálna (vnútorná) počítačová sieť (Local Area Network)

)))

(% class="" %)|(((

Log

)))|(((

Záznam činnosti

)))

(% class="" %)|(((

MKB

)))|(((

Manažér kybernetickej bezpečnosti

)))

(% class="" %)|(((

PZS

)))|(((

Poskytovateľ základnej služby – Mesto Senec

)))

(% class="" %)|(((

SIEM

)))|(((

Systém pre zber a analýzu bezpečnostných udalostí vytváraných IT prostriedkami v reálnom čase (Security Information and Event Management)

)))

(% class="" %)|(((

Spam

)))|(((

Spam je nevyžiadaná a hromadne rozosielaná správa

)))

(% class="" %)|(((

sw

)))|(((

Softvér

)))

(% class="" %)|(((

Switch

)))|(((

Prepínač ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] switch) alebo sieťový prepínač (angl. network switch) je aktívny prvok [[počítačovej siete>>url:https://sk.wikipedia.org/wiki/Po%C4%8D%C3%ADta%C4%8Dov%C3%A1_sie%C5%A5||shape="rect"]], ktorý spája jej jednotlivé časti. Prepínač slúži ako centrálny prvok v sieťach [[hviezdicovej topológie>>url:https://sk.wikipedia.org/wiki/Hviezdicov%C3%A1_sie%C5%A5||shape="rect"]]. V minulosti sa ako centrálny prvok v týchto sieťach používal [[rozbočovač>>url:https://sk.wikipedia.org/wiki/Rozbo%C4%8Dova%C4%8D_(ethernet)||shape="rect"]] ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] hub).

)))

(% class="" %)|(((

TCP

)))|(((

Protokol riadenia prenosu (angl. Transmission Control Protocol)

)))

(% class="" %)|(((

UPS

)))|(((

Zariadenie alebo systém, ktorý zabezpečuje plynulú dodávku elektriny pre zariadenia, ktoré nesmú byť neočakávane vypnuté.

)))

(% class="" %)|(((

VPN

)))|(((

VPN je počítačová sieť na prepojenie počítačov na rôznych miestach internetu do jednej virtuálnej počítačovej siete.

)))

\\

== {{id name="projekt_2798_Pristup_k_projektu_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}2.2 Konvencie pre typy požiadaviek (príklady) ==

N/A

\\

**~ **

= {{id name="projekt_2798_Pristup_k_projektu_detailny-3.POPISNAVRHOVANÉHORIEŠENIA"/}}3. POPIS NAVRHOVANÉHO RIEŠENIA =

\\

Popis navrhovaného riešenia je uvedený v Projektovom zámere, kap. Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

\\

\\

= {{id name="projekt_2798_Pristup_k_projektu_detailny-4.ARCHITEKTÚRARIEŠENIAPROJEKTU"/}}4. ARCHITEKTÚRA RIEŠENIA PROJEKTU =

\\

== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.1Biznisvrstva"/}}4.1 Biznis vrstva ==

\\

Predmetom projektu je riadenie informačnej a kybernetickej bezpečnosti a realizácia opatrení KIB definovaných najmä v zákonoch č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 69/2018 Z. z.“) a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS“).

295

296

Predmetom projektu sú primárne tie oblasti, kde žiadateľ identifikoval najvyššiu mieru rizika a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami vyplývajúcimi z vykonaného auditu kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.

297

298

Jednotlivé biznis funkcie (podaktivity výzvy realizované v rámci projektu) bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

299

300

[[image:attach:image-2024-7-3_11-37-24.png||width="681"]]

301

302

Obrázok 1 Biznis funkcie / podaktivity projektu

\\

// //

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}4.1.1 Prehľad koncových služieb – budúci stav: ===

309

310

Predmetom projektu nie je budovanie koncových služieb.

\\

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.1.2Jazykovápodporaalokalizácia"/}}4.1.2 Jazyková podpora a lokalizácia ===

315

316

Riešenie bude realizované v slovenskom jazyku.

\\

\\

== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.2Aplikačnávrstva"/}}4.2 Aplikačná vrstva ==

323

324

V kap. 4.1 (obr.1 ) sú definované biznis funkcie / podaktivity projektu s príslušnými činnosťami. Tieto činnosti realizuje mesto na základe výsledkov auditu realizovaného v roku 2024. Tieto činností predstavujú tvorbu bezpečnostnej dokumentácie, aktivity manažéra kybernetickej bezpečnosti a implementáciu softvérových a hardvérových nástrojov.

325

326

Aplikačnú architektúru projektu tvoria nasledovné riešenia pre oblasť informačnej a kybernetickej bezpečnosti:

\\

[[image:attach:image-2024-7-3_11-37-53.png||width="685"]]

331

332

Obrázok 2 Model aplikačnej architektúry

\\

**~ **

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.2.1Manažmentlogov"/}}4.2.1 Manažment logov ===

339

340

V zmysle zistení auditu kybernetickej bezpečnosti sa zaznamenávanie udalostí a monitorovanie sietí a IS neuskutočňuje implementáciou centrálneho nástroja pre centrálnych sieťových prvkov a serverov, služieb prístupných do externých sietí a kritických interných serverov a služieb.

341

342

Z uvedeného dôvodu je v rámci projektu navrhnuté implementovať centrálny manažment logov, tak aby spĺňal legislatívne požiadavky, požiadavky na dostupnosť, výkonnosť a aby poskytoval dostatočnú úložnú kapacitu pre zbierané logy.

343

344

Tento centrálny manažment logov musí spĺňať nasledujúce požiadavky:

345

346

* Vysokú dostupnosť a odolnosť voči výpadku jedného komponentu

347

* Musí poskytovať kapacitu minimálne 12TB

348

* Musí byt schopný spracovať trvale minimálne 2000EPS

349

* Vzhľadom na použité platformy a technológie musí byt schopný prijímať udalosti prostredníctvom agenta, ale aj bez agenta

350

* Musí byt schopný prijímať a spracovávať logy uložené aj do textových súborov a DB tabuliek

351

* Musí byt schopný logy z rôznych zdrojov prekladať do jednotnej formy a obohacovať ich prípadne o ďalšie informácie, pričom musí byť zaručená nemennosť prijímaných logov

352

* Musí poskytovať rozhranie pre užívateľov s rôznymi úrovňami prístupu

353

* Poskytované rozhranie musí umožňovať rýchle vyhľadávanie v logoch a zároveň poskytovať nástroj na podrobné vyhľadávanie a forenzné analýzy.

354

355

Celé riešenie manažmentu logov musí poskytovať reportovacie funkcie. Riešenie manažmentu logov musí podporovať zálohovanie logov pre dlhodobé uloženie aj mimo centrálneho manažmentu logov

356

357

Novo implementované riešenie manažmentu logov musí plniť požiadavky zákona o kybernetickej bezpečnosti a ISO 27001 na uchovanie logov na predloženie organizáciám venujúcim sa bezpečnosťou (CSIRT,...).

358

359

Zároveň sa požaduje, aby bola poskytovaná podpora dodávateľa alebo výrobcu na celé riešenie ako celok v dĺžke 5 rokov (t.j. na všetky SW aj HW komponenty riešenia).

360

361

Riešenie manažmentu logov musí byt integrovateľné so SIEM systémom. Výhodou takéhoto riešenia by bolo zavedenie komplexnej správy logov do jedného systému, kde by sa logy normalizovali a obohatili o potrebné meta údaje a zároveň by relevantné security logy boli odosielane do centrálneho SIEM-u, kde by sa vzhľadom na to že by sa identifikovali len relevantné logy ušetrili licencie (EPS) SIEM-u.

362

363

Cieľovým stavom bude centrálne nasadený manažment logov a implementovaná funkcionalita log manažmentu. Zároveň toto riešenie pokryje všetky uvedené požiadavky aj na zber logov ako z OS tak aj informačných systémov a databáz.

364

365

==== {{id name="projekt_2798_Pristup_k_projektu_detailny-ZÁKLADNÁŠPECIFIKÁCIAPOŽIADAVIEKNAZBERLOGOV:"/}}ZÁKLADNÁ ŠPECIFIKÁCIA POŽIADAVIEK NA ZBER LOGOV: ====

366

367

* Centrálny logovací systém by mal pracovať ako fyzická appliance s jedným uceleným webovým rozhraním pre všetky administrátorské i operátorské činnosti. Nevyžaduje inštaláciu ďalších systémov a aplikácií okrem podpory zberu na iných lokalitách (mimo centrálu) a agenta pre zber Windows logov.

368

* Konfigurácia systému sa musí vykonávať v grafickom rozhraní jednotnej užívateľskej konzoly, systém poskytuje podporu pre vizuálne programovanie pre všetky kroky spracovania strojových dát.

369

* Systém má umožňovať doplnenie parseru pre zariadenia, aplikácie alebo systémy mimo uvedeného zoznamu užívateľov bez nutnosti spolupráce s výrobcom alebo dodávateľom ponúkaného systému - užívateľsky definované parsery. Dokumentácia systému musí obsahovať prehľadný návod na vytváranie zákazníckych parserov a systém musí obsahovať možnosť testovania a ladenia parserov bez vplyvu na ostatné produkčné funkcie systému."

370

* Prijaté logy má systém štandardizovať do jednotného formátu a logy sú rozdeľované do príslušných polí podľa ich typu. Systém musí zároveň uchovávať originálne verzie správ.

371

* Pre hodnoty jednotlivých parsovaných polí musí byť možné v definícii parseru zmeniť typ a štandardizovať minimálne na tieto základné druhy: číslo, IP adresa, MAC adresa, URL. Nad uloženými dátami typu číslo je možné pri vyhľadávaní vykonávať matematické operácie (súčty všetkých hodnôt, priemery, najmenšia/najväčšia hodnota a pod.).

372

* Centrálny logovací systém musí zachovávať pôvodné informácie zo zdroju logu o časovej značke udalosti, ale nedôveruje jej a vytvára vlastné dôveryhodná časová pečiatka ku každému logu, ktorá vzniká v okamihu prijatia logu systémom a ktorým sa systém riadi.

373

* Všetky polia a položky prijaté systémom musia byť automaticky indexované. Nad všetkými položkami musí byť možné ihneď vykonávať vyhľadávanie bez nutnosti dodatočného ručného indexovania administrátorom.

374

* Centrálny logovací systém musí umožňovať zber udalostí vo formátoch RAW, Syslog."

375

* Centrálny logovací systém neumožňuje mazanie alebo modifikovanie uložených logov ani konfiguračnou zmenou administrátorovi systému s najvyššími oprávneniami. Každý log musí mať unikátny identifikátor, ktorý umožní jeho jednoznačnú identifikáciu.

376

* Centrálny logovací systém musí umožňovať konfiguráciu filtrácie nerelevantných správ, konsolidáciu logov na vlastnom storage priestore, jednoduché vyhľadávanie udalostí a okamžité vytváranie grafických reportov (ad hoc) bez nutnosti dodatočného programovania alebo aplikovania dopytov v SQL jazyku. Reportovací nástroj musí byť integrálnou súčasťou systému a aj súčasťou jednotného rozhrania.

377

* V prípade krátkodobého preťaženia systému nemôže dochádzať k strate logov. Všetky prijaté nespracované logy/udalosti sú ukladané do vyrovnávacej pamäte.

378

* Centrálny logovací systém musí umožňovať jednoducho vytvárať grafické znázornenie udalostí nad všetkými uloženými dátami za ľubovoľné časové obdobie bez nutnosti modifikácie konfigurácie systému alebo parametrov uložených dát. Historické dáta v požadovanej dĺžke retencie uložené v systéme je možné prehľadávať okamžite bez časových strát opätovného importu alebo dekomprimácie starších dát, prehľadávanie nevyžaduje manuálnu konfiguráciu a zásahy používateľa.

379

* Systém musí podporovať natívne získavanie logov z Office365.

380

* Centrálny logovací systém musí umožňovať unifikované vyhľadávanie naprieč všetkými typmi dát a zariadení podľa normalizovaných polí a musí spĺňať požiadavky normy STN/ISO 27001:2013 pre získavanie auditných záznamov.

381

* Centrálny logovací systém má mať možnosť uloženia užívateľom vytvorených pohľadov na dáta (dashboardov) pre budúce spracovanie.

382

* Centrálny logovací systém musí obsahovať reportovací nástroj s prednastavenými najbežnejšími reportami a možnosťou vlastných úprav a vytváranie nových pohľadov.

383

* Centrálny logovací systém musí umožňovať kapacitnú i výkonovú škálovateľnosť.

384

* Monitoring stavu systému - alertovanie pri prekročení prahových hodnôt alebo chybe systému, preposlanie upozornenia pomocou SMTP alebo Syslog.

385

* Centrálny logovací systém musí obsahovať REST-API pre integráciu s externým monitorovacím systémom (Zabbix, Nagios, PRTG a pod.)

386

* Centrálny logovací systém musí umožňovať jednoduché vytváranie užívateľských rolí definujúcich prístupové práva k uloženým udalostiam a jednotlivým ovládacím komponentom systému, vykonávať parsovanie a normalizáciu prijatých udalostí bez nutnosti inštalovať externé aplikácie alebo systémy a to priamo vo svojom rozhraní.

387

* Centrálny logovací systém musí podporovať overovanie užívateľa systému na externom LDAP serveri. V prípade výpadku externého LDAP systému musí podporovať overenie z lokálnej databázy. Systém má automaticky zaznamenávať užívateľské meno ku každej akcii užívateľom.

388

389

==== {{id name="projekt_2798_Pristup_k_projektu_detailny-AKTUALIZÁCIEAZÁLOHOVANIE"/}}AKTUALIZÁCIE A ZÁLOHOVANIE ====

390

391

* Aktualizácie systému by mali byť distribuované v jednotnom balíku a ich inštalácia je vykonávaná cez centrálnu správcovskú konzolu. Všetky aktualizácie by mali byť vykonávané z webového rozhrania systému bez potreby asistencie výrobcu/dodávateľa.

392

* Systém musí podporovať downgrade, napríklad pri problémoch s novou verziou systému po upgrade

393

* Licenčne musí byť neobmedzený počet zariadení pre príjem zasielaných udalostí. Licenčne musí byť neobmedzený počet udalostí v GB za deň. Integrovaná databáza musí podporovať kompresiu ukladaných dát.

394

* Centrálny logovací systém musí podporovať zálohovania alebo obnovy konfigurácie v jednom kroku a jednom súbore pre celý systém a taktiež musí podporovať zálohovanie dát na externý systém, požadované je plánované aj ad-hoc zálohovanie.

395

396

==== {{id name="projekt_2798_Pristup_k_projektu_detailny-ALERTY:"/}}ALERTY: ====

397

398

* Centrálny logovací systém musí byť schopný na základe zadaných podmienok splnených v prijatých dátach vygenerovať alert.

399

* Text emailu vygenerovaného alertom môže byť užívateľsky definovaný s premennými z prijatej rozparsovanej udalosti.

400

* Centrálny logovací systém by mal obsahovať výrobcom predpripravené sety/vzory alertov a korelácií. Užívateľská konfigurácia alertov musí byť možná pomocou vizuálneho programovacieho jazyka v centrálnej správcovskej konzole. Vizuálny programovací jazyk nemôže byť prezentovaný čisto textovo, ale textovo-grafickou formou, ktorá vizualizuje aplikačnú logiku. Konfigurácia alertu alebo korelácie umožňuje okamžitú kontrolu.

401

* Ako výstupné pravidlo alertu systém musí vedieť odoslať udalosť, ktorá alert vyvolala na externý systém prostredníctvom SMTP alebo Syslog cez TCP protokol. Pre Syslog protokol musí byť možnosť definície formátu dát pre jednoduchšiu integráciu so systémami tretích strán.

402

* V alertoch by mala byť možnosť využívať značky. Systém musí podporovať funkcie SIEM - korelácie udalostí a upozornenia s hraničnými limitmi. Definícia korelačných pravidiel má mať možnosť vloženia testovacej správy a výsledku testu vykonanej akcie.

403

404

==== {{id name="projekt_2798_Pristup_k_projektu_detailny-ZBERUDALOSTÍVPROSTREDÍMICROSOFT:"/}}ZBER UDALOSTÍ V PROSTREDÍ MICROSOFT: ====

405

406

* Centrálny logovací systém by mal získavať udalosti z Microsoft prostredia buď pomocou agenta inštalovaného priamo na koncovom zariadení s Windows systémom, alebo iným spôsobom. Agent súčasne musí podporovať monitoring interných Windows logov, a aj monitoring textových súborových logov.

407

* Agent musí zaisťovať zber nemodifikovaných udalostí a detailné spracovanie auditných informácií.

408

* Agent musí podporovať nastavenie filtrácie odosielaných udalostí pomocou centrálnej správcovskej konzoly.

409

* Filtrácia odosielaných udalostí agentom sa musí konfigurovať pomocou vizuálneho programovacieho jazyka v centrálnej správcovskej konzole. Nerelevantné logy majú byť filtrované na strane agenta a nie sú odosielané po sieti. Vizuálny programovací jazyk nesmie byť prezentovaný textovo, ale textovo-grafickou formou, ktorá vizualizuje aplikačnú logiku.

410

* Agent nesmie vyžadovať administrátorské zásahy na koncovom systéme – je centrálne spravovaný a automaticky aktualizovaný priamo z centrálnej správcovskej konzoly systému. Správa a aktualizácia agenta sa nevykonáva z Group Policy.

411

* Komunikácia Windows agenta a centrálneho logovacieho systému je šifrovaná.

412

* Agent musí podporovať zber nielen zo základných systémových logov (Aplikácie, Zabezpečenie, Inštalácie, Systém), ale aj zber všetkých ostatných logov v zložke protokoly aplikácií a služieb. Agent musí podporovať centralizované nastavenie z administrátorskej konzoly systému pre zber textových logov vrátane možnosti výberu ich formátu.

413

* Agent musí automaticky dopĺňať ku všetkým odosielaným udalostiam ich textový popis tak, ako je zobrazený v prehliadači udalostí (Event Viewer) na koncovom systéme.

414

* Počet inštalácií agenta nemôže byť licenčne ani časovo obmedzený.

415

416

==== {{id name="projekt_2798_Pristup_k_projektu_detailny-HWPARAMETRESYSTÉMU"/}}HW PARAMETRE SYSTÉMU ====

417

418

* HW musí byť v rackovom prevedení o výške max. 2U. HW bude obsahovať všetky potrebné komponenty a musí byť nezávislý na ďalších systémoch. HW musí podporovať konfiguráciu HA s podporou celkového počtu nodov minimálne 8. V cene dodania musí byť aj zberná sonda (forwarder) v počte 1 ks (HW/VM)

419

* HW bude dodaný tak, aby spĺňal nasledovné minimálne parametre:

420

** 2000 udalostí za sekundu pri priemernej veľkosti jednej udalosti 1 KB, s možnosťou výkonu pri útoku 4000 udalostí po dobu min. 10 minút.

421

** retencia logov min. pol roka;

422

** diskový subsystém s čistou dostupnou kapacitou min. 160TB pre integrovanú databázu a s redundanciou; NVMe modul pre spracovanie near-realtime procesov

423

** 4x 10Gbit SFP+ porty + 1x dedikovaný 1Gbit port pre management HW;

424

** Redundantné ventilátory, vymeniteľné za chodu;

425

** Napájacie zdroje s redundanciou 1+1, vymeniteľné za chodu, účinnosť min. 94%;

426

** Virtuálne KVM, t.j. prevzatie textovej i grafickej konzoly serveru a prenos povelov z klávesnice a myši vzdialeného počítača;

427

** Systém pre vzdialenú správu serveru vrátane potrebnej licencie,

428

** Hardvérová min. 5 ročná záručná servisná podpora na hardware appliance s opravou na mieste inštalácie serveru a s garantovanou odozvou nasledujúci pracovný deň od nahlásenia prípadnej závady.

// //

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.2.2InternýHelpdesk"/}}4.2.2 Interný Helpdesk ===

433

434

V zmysle zistení auditu kybernetickej bezpečnosti riešenie kybernetických bezpečnostných incidentov nepozostáva z monitorovania a analyzovania udalostí v sieťach a informačných systémoch, nepozostáva z detekcie, zberu a vyhodnocovania informácií o kybernetických bezpečnostných incidentoch. Proces detekcie KB incidentov sa nezabezpečuje prostredníctvom nástroja na detekciu KB incidentov.

435

436

Z uvedeného dôvodu je navrhnuté v rámci projektu zavedenie interného helpdesku, ktorý bude využiteľný nielen ako centrálne úložisko požiadaviek klientov s možnosťou sledovania riešenia každej požiadavky, ale umožní aj centralizovaný zber bezpečnostných incidentov.

437

438

Zavedený systém podpory, ktorý by integroval požiadavky vytvorené prostredníctvom e-mailu a webových formulárov do jednoduchého ľahko použiteľného webového rozhrania pre viacerých používateľov. Mal by umožňovať jednoduchú správu, organizáciu a archiváciu všetkých požiadaviek a odpovede na podporu na jednom mieste.

Požadované funkcie:

* Webová a e-mailová podpora: Tickety musí byt možné vytvárať prostredníctvom e-mailu, online formulárov alebo telefónu (vytvorené zamestnancami). Flexibilná konfigurácia a mapovanie.

443

* Automatická reakcia: Automatická odpoveď, ktorá sa odošle po otvorení nového tiketu alebo prijatí správy. Prispôsobiteľné šablóny pošty.

444

* Pripravené odpovede: Preddefinované odpovede na často kladené otázky.

445

* Interné poznámky: Pridávanie interných poznámok k tiketom pre zamestnancov

446

* Témy nápovedy: Konfigurovateľné témy nápovedy pre webové tikety. Presmerovanie ticketov bez prezentovania interných oddelení alebo priorít.

447

* Upozornenia a oznámenia: Zamestnanci a klienti budú informovaní pomocou e-mailových upozornení. Konfigurovateľné a flexibilné nastavenia.

448

* Prístup na základe rolí: Riadenie úrovne prístupu zamestnancov na základe skupín a oddelení.

449

* Prideľovanie a prenos ticketov: Prideľovanie ticketov zamestnancom a/alebo oddeleniam.

450

* Nevyžaduje sa registrácia: Pre používateľov sa nevyžaduje žiadny používateľský účet ani registrácia (na prihlásenie sa používa ID lístka/email).

451

* História podpory: Všetky žiadosti o podporu a odpovede sa archivujú.

452

* Možnosť inštalácie on-premise aj na virtuálny server.

453

454

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.2.3Prevádzkovýmonitoring"/}}4.2.3 Prevádzkový monitoring ===

455

456

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-Vzmyslezisteníauditukybernetickejbezpečnostivrámcisieťovejakomunikačnejbezpečnostiniesúzabezpečenémonitorovaciemechanizmy.Rovnakoniejezabezpečenáschopnosťdetekcieudalostíanáslednýchincidentovvinfraštruktúrepomocoubezpečnostnéhosieťovéhomonitoringu.Zuvedenéhodôvodujenavrhnutýkomponent„prevádzkovýmonitoring“."/}}V zmysle zistení auditu kybernetickej bezpečnosti v rámci sieťovej a komunikačnej bezpečnosti nie sú zabezpečené monitorovacie mechanizmy. Rovnako nie je zabezpečená schopnosť detekcie udalostí a následných incidentov v infraštruktúre pomocou bezpečnostného sieťového monitoringu. Z uvedeného dôvodu je navrhnutý komponent „prevádzkový monitoring“. ===

457

458

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-Minimálnetechnickéafunkčnépožiadavky:"/}}Minimálne technické a funkčné požiadavky: ===

459

460

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-Navrhovanétechnickériešenieumožnímonitorovaniedostupnýchtechnologickýchkapacítdôležitýchsieťovýchzariadeníaslužiebpodľanakonfigurovanýchpravidiel.Musíbyťpokrytémonitorovaniedostupnýchtechnologickýchkapacítdôležitýchsieťovýchzariadeníaslužiebpodľanakonfigurovanýchpravidiel.Monitorovacínástrojmusíinformovaťovzniknutýchtechnickýchproblémochanedostatkukapacítsprávcupríslušnejslužbyaleboservera.Musíbyťschopnýmonitorovaťrôznedruhyzariadeníakosúfyzickéavirtuálneservery,sieťovéprvky,dátovéúložiskáainézariadenia,ktorédokážuposkytnúťúdajeosvojejprevádzke.Monitoringmusíbyťvreálnomčasesmožnosťouúdajeokamžitevizualizovaťprostredníctvomgrafov,máparôznychnáhľadov.Musíbyťschopnýporovnávaťdátavrôznychčasovýchobdobiach,analyzovaťhistóriu."/}}Navrhované technické riešenie umožní monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel. Musí byť pokryté monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel. Monitorovací nástroj musí informovať o vzniknutých technických problémoch a nedostatku kapacít správcu príslušnej služby alebo servera. Musí byť schopný monitorovať rôzne druhy zariadení ako sú fyzické a virtuálne servery, sieťové prvky, dátové úložiská a iné zariadenia, ktoré dokážu poskytnúť údaje o svojej prevádzke. Monitoring musí byť v reálnom čase s možnosťou údaje okamžite vizualizovať prostredníctvom grafov, máp a rôznych náhľadov. Musí byť schopný porovnávať dáta v rôznych časových obdobiach, analyzovať históriu. ===

Funkčné požiadavky :

* Monitorovanie kľúčových informačných systémov a ich jednotlivých komponentov

465

* Nastavenie prahových hodnôt alertov a notifikácií

466

* Eskalácia notifikácií

467

* Tvorba reportov

468

* Tvorba vlastných sledovacích schém.

\\

Rozsah monitoringu:

Monitorovať sa budú fyzické a virtuálne servery, virtualizačné prostredia, sieťové prvky, SQL. Predpokladaný počet monitorovaných zariadení je minimálne 30.

\\

Zber údajov musí podporovať:

479

480

* Agentov SNMP a IPM

481

* Bezagentový a špeciálny monitoring

482

* Monitoring virtuálnych zariadení

483

* Webové aplikácie a Java scenáre

484

* Monitoring databáz

485

* Kalkulované a agregované položky

486

* Interné sledovanie výkonu.

487

488

Musí byť podporovaná vizualizácia vo webovom rozhraní a informovanosť v rozsahu:

489

490

* Grafov a máp so zloženými pohľadmi

491

* Globálnych Dashboardov

492

* Prístupu k získaným hodnotám a zoznamu udalostí

493

** Zasielania oznámení

494

** Potvrdenia a eskalácie prijatých informácií

495

** Schopnosti prijať

496

497

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-Systémmusíbyťschopnýautomatizácie,napr.cezNetworkaleboLow-leveldiscovery.Musíbyťschopnýsprávyajcezsmartfón,schopnýnasadeniavlastnýchskriptovsprístupomkfunkciámcezAPI.Musiasadaťdefinovaťpravidláhodnoteniaúdajovposkytujúcelogickédefiníciestavuzariadení."/}}Systém musí byť schopný automatizácie, napr. cez Network alebo Low-level discovery. Musí byť schopný správy aj cez smartfón, schopný nasadenia vlastných skriptov s prístupom k funkciám cez API. Musia sa dať definovať pravidlá hodnotenia údajov poskytujúce logické definície stavu zariadení. ===

// //

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.2.4Nástrojnaochranuprotiškodlivémukódu"/}}4.2.4 Nástroj na ochranu proti škodlivému kódu ===

502

503

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-PrepotrebyMestaSenecbudepotrebnákompletnáochranakoncovýchzariadení,cloudovýchaplikáciíae‑mailov.Multiplatformovériešeniesjednoduchoucloudovoualebolokálnousprávou,zabezpečenímsúborovýchserverov,pokročilouochranoupredhrozbamiašifrovanímceléhodisku."/}}Pre potreby Mesta Senec bude potrebná kompletná ochrana koncových zariadení, cloudových aplikácií a e‑mailov. Multiplatformové riešenie s jednoduchou cloudovou alebo lokálnou správou, zabezpečením súborových serverov, pokročilou ochranou pred hrozbami a šifrovaním celého disku. ===

504

505

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-Kompletnáochranakoncovýchzariadení,cloudovýchaplikáciíae‑mailov,ktorésúnajčastejšímvektoromútokov.Osvedčenáviacvrstvováochranakoncovýchzariadení,cloudovýchaplikáciíae‑mailov.Multiplatformovériešeniesjednoduchoucloudovoualebolokálnousprávou,ktorézahŕňatechnológiupokročilejochranypredhrozbaminaochranuprednovými,doposiaľneznámymitypmihrozieb,akoajsprávuzraniteľnostíazáplatnazredukovaniepotenciálnychmiestútokovamožnosťšifrovaniaceléhodiskupreeštelepšiuochranudát."/}}Kompletná ochrana koncových zariadení, cloudových aplikácií a e‑mailov, ktoré sú najčastejším vektorom útokov. Osvedčená viacvrstvová ochrana koncových zariadení, cloudových aplikácií a e‑mailov. Multiplatformové riešenie s jednoduchou cloudovou alebo lokálnou správou, ktoré zahŕňa technológiu pokročilej ochrany pred hrozbami na ochranu pred novými, doposiaľ neznámymi typmi hrozieb, ako aj správu zraniteľností a záplat na zredukovanie potenciálnych miest útokov a možnosť šifrovania celého disku pre ešte lepšiu ochranu dát. ===

506

507

* Riešenie bude mať zahrnuté nasledovné komponenty:

508

** Konzola

509

** Ochrana serverov

510

** Moderná ochrana koncových zariadení

511

** Pokročilá ochrana pred hrozbami

512

** Šifrovanie celého disku

513

** Ochrana cloudových aplikácií

514

** Automatická ochrana nových používateľov

515

** Okamžité upozornenie na detekciu malvéru

516

** Ochrana e‑mailovej komunikácie

517

** Účinná správa karantény

518

** Viacvrstvová technológia filtrovania spamu a malvéru

519

** Antiphishingová ochrana

520

** Vulnerability & Patch Management

521

** Aktívne sleduje zraniteľnosti v operačných systémoch a bežných aplikáciách a umožňuje automatizované opravy na všetkých koncových zariadeniach.

522

** Určovanie priorít zraniteľností na základe závažnosti

523

** Široká škála možností filtrovania

524

** Možnosť automatických alebo manuálnych opráv

\\

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.2.5Nástrojnacentrálnymanažmentsiete"/}}4.2.5 Nástroj na centrálny manažment siete ===

529

530

V zmysle zistení auditu kybernetickej bezpečnosti nie je zabezpečený sieťový monitoring. Z uvedeného dôvodu je v rámci projektu navrhnutý na nasadenie nástroj na centrálny manažment siete, ktorý by poskytol centralizovaný pohľad na celú sieť s viditeľnosťou všetkých sieťových zariadení bez nutnosti integrácie viacerých aplikácií.

531

532

Tento nástroj by mal poskytovať hlavne:

533

534

* Komplexný prehľad o sieti

535

* Podrobné informácie o výkone aplikácií a siete prostredníctvom telemetrie a hĺbkovej kontroly paketov (DPI).

536

* Typologické mapy

537

* Podporu zariadení Cisco, Juniper Networks, HPE Aruba, Dell, Nokia, Allied Telesis, Zyxel, Linksys, Huawei a ďalšie. Na správu zariadení tretích strán možnosť použiť protokol SNMP (Simple Network Management Protocol) verzií 1, 2c a 3, ako aj rozhranie príkazového riadka (CLI).

538

* Identifikáciu a reporting pre podozrivé/škodlivé alebo nežiaduce aplikácie

539

* Automatizáciu každodenných činností prostredníctvom intuitívnej automatizácie úloh a orchestrácie.

540

* Podporu bežných skriptovacích jazykov, ako je napríklad Python

541

* Integráciu prostredníctvom rozhrania API

542

543

Z pohľadu nasadenia by mal podporovať možnosť nasadenia ako virtuálneho zariadenia, SW, alebo HW appliance.

544

545

Z pohľadu podpory virtualizačných platforiem by mala byt možnosť nasadenia na VMWare aj Hyper-V Site.

546

547

Pri nasadení ako SW by mal podporovať tieto OS:

548

549

* Red Hat Enterprise Linux WS a ES v6 a v7

* Ubuntu 20.04 LTS

\\

**~ **

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.2.6Rozsahinformačnýchsystémov–ASIS"/}}4.2.6 Rozsah informačných systémov – AS IS ===

557

558

(% class="" %)|(((

559

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

574

575

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

(% class="" %)|(((

isvs_14411

)))|(((

IS SAMO

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14412

)))|(((

ESMAO

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14413

)))|(((

ESONA

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14414

)))|(((

UKOM

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

ekonomický a administratívny chod inštitúcie

)))|(((

\\

)))

(% class="" %)|(((

isvs_14415

)))|(((

MP Manager

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

ekonomický a administratívny chod inštitúcie

)))|(((

\\

)))

(% class="" %)|(((

isvs_14416

)))|(((

SMARTMAP

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14417

)))|(((

AOZP

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14418

)))|(((

VEMA

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

ekonomický a administratívny chod inštitúcie

)))|(((

\\

)))

\\

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.2.7Rozsahinformačnýchsystémov–TOBE"/}}4.2.7 Rozsah informačných systémov – TO BE ===

685

686

(% class="" %)|(((

687

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

700

701

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

(% class="" %)|(((

isvs_14411

)))|(((

IS SAMO

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14412

)))|(((

ESMAO

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14413

)))|(((

ESONA

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14414

)))|(((

UKOM

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

ekonomický a administratívny chod inštitúcie

)))|(((

\\

)))

(% class="" %)|(((

isvs_14415

)))|(((

MP Manager

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

ekonomický a administratívny chod inštitúcie

)))|(((

\\

)))

(% class="" %)|(((

isvs_14416

)))|(((

SMARTMAP

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14417

)))|(((

AOZP

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14418

)))|(((

VEMA

)))|(((

☐

)))|(((

prevádzkovaný

)))|(((

ekonomický a administratívny chod inštitúcie

)))|(((

\\

)))

\\

\\

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.2.8VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}4.2.8 Využívanie nadrezortných a spoločných ISVS – AS IS ===

813

814

Predmetom projektu nie je využívanie nadrezortných a spoločných ISVS.

815

816

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.2.9PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}4.2.9 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE ===

817

818

Predmetom projektu nie je realizácia integrácií.

819

820

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.2.10PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}4.2.10 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===

821

822

Predmetom projektu nie je realizácia integrácií.

\\

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.2.11Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}4.2.11 Aplikačné služby pre realizáciu koncových služieb – TO BE ===

827

828

Predmetom projektu nie je vytvorenie aplikačnej služby

\\

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.2.12Aplikačnéslužbynaintegráciu–TOBE"/}}4.2.12 Aplikačné služby na integráciu – TO BE ===

833

834

Predmetom projektu nie je realizácia integrácií.

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.2.13PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}4.2.13 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===

839

840

Predmetom projektu nie je poskytovanie údajov do IS CSRÚ

841

842

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.2.14KonzumovanieúdajovzISCSRU–TOBE"/}}4.2.14 Konzumovanie údajov z IS CSRU – TO BE ===

843

844

Predmetom projektu nie je konzumácia údajov z IS CSRÚ

\\

== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.3Dátovávrstva"/}}4.3 Dátová vrstva ==

849

850

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.3.1Referenčnéúdaje"/}}4.3.1 Referenčné údaje ===

851

852

Projekt nepracuje s referenčnými údajmi.

853

854

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.3.2Kvalitaačistenieúdajov"/}}4.3.2 Kvalita a čistenie údajov ===

855

856

Predmetom projektu nie je riešenie kvality a čistenia údajov.

857

858

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.3.3Otvorenéúdaje"/}}4.3.3 Otvorené údaje ===

859

860

Predmetom projektu nie je riešenie otvorených údajov.

861

862

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.3.4Analytickéúdaje"/}}4.3.4 Analytické údaje ===

863

864

Predmetom projektu nie je riešenie analytických údajov.

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.3.5Mojeúdaje"/}}4.3.5 Moje údaje ===

869

870

Predmetom projektu nie je riešenie témy „Moje údaje“.

871

872

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.3.6Prehľadjednotlivýchkategóriíúdajov"/}}4.3.6 Prehľad jednotlivých kategórií údajov ===

873

874

Predmetom projektu nie sú „objekty evidencie“.

\\

\\

**~ **

== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4Technologickávrstva"/}}4.4 Technologická vrstva ==

885

886

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4.1Technickýprostriedokzabezpečujúcifunkcionalitunextgenerationfirewall-u(ďalejibaNGFW)"/}}4.4.1 Technický prostriedok zabezpečujúci funkcionalitu next generation firewall-u (ďalej iba NGFW) ===

887

888

V rámci vykonaného auditu kybernetickej bezpečnosti bola identifikovaná potreba reinžinieringu siete vrátane firewallov.

889

890

Pre zabezpečenie vysokej dostupnosť /ďalej iba HA/ je minimálny počet NGFW 2 kusy.

891

892

Požiadavky na konektivitu (porty):

* 1 x USB port

* 1 x Console port

* 2 x GE RJ45/SFP zdieľaný Media Port

897

* 2 x RJ45 FortiLink Ports

898

* 6 x GiEth RJ45

899

* podpora až dvoch externých napájacích zdrojov

900

* Interné úložisko 1x 128 GB SSD

Je potrebné aby mal NGFW minimálne dva redundantné napájacie zdroje ( v externom prevedení ) tieto budú pripojené ku dvom UPS z ktorých každá je napájaná samostatne istenou sieťovou vetvou (fázou) na to určeným rozvodom elektrickej siete.

905

906

Špecifikácia technických parametrov NGFW, výkon a kapacita:

907

908

* Dostupná IPS priepustnosť 1.4 Gbps

909

* Dostupná IPv4 priepustnosť (1518 / 512 / 64 byte, UDP): 10 / 10 / 7 Gbps

910

* Maximálne oneskorenie (64 byte, UDP): do 3.23 μs

911

* Dostupná priepustnosť (Paket za sekundu): 10.5 Mpps

912

* Dosiahnuteľný počet všetkých spojení (TCP): 1,5 miliónov spojení

913

* Dosiahnuteľný počet nových spojení za sekundu (TCP): 45 000

914

* Dostupný počet pravidiel firewall-u: 5000

915

* SSL-VPN priepustnosť: 950 Mbps

916

* Dostupný počet súčasných SSL-VPN užívateľov: 200

917

* Priepustnosť pri SSL inšpekcii: 715 Mbps

918

* Redundacia (HA): Active-Active, Active-Passive, Clustering

Služby:

* Služby VPN zahrnuté v cene zariadenia

925

* IPS: chráni pred vniknutím do siete detekciou a blokovaním hrozieb ešte pred tým, ako sa dostanú ku koncovým zariadeniam. Každý deň sa vytvárajú a aktualizujú nové signatúry na čo najlepšiu ochranu zariadení.

926

* advanced malware protection (AV): Funkcia znižuje nebezpečenstvo úniku dát či poškodení spôsobených malvérom. Využíva na to patentovanú technológiu Content Pattern Recognition Language (CPRL) s možnosťou hĺbkovej kontroly a proaktívnej detekcie signatúr. Jeden podpis CPRL môže zachytiť 50 000 alebo viac variant rodiny malvéru.

927

* application control: whitelisting/blacklisting aplikácii. Možné taktiež použiť na priorizáciu prevádzky. Zároveň táto funkcia poskytuje dohľad nad sieťovou prevádzkou, takže vidíme konkrétne aplikácie, ktoré užívatelia používajú.

928

* botnet DB: kľúčovou súčasťou tzv. „kill chain“ v organizácii je to, keď malvér komunikuje s C&C serverom – buď na účel stiahnutia ďalších hrozieb, alebo na export ukradnutých dát. Služba Botnet IP/Domain túto komunikáciu blokuje a neutralizuje hrozby. IP reputation je kľúčovou súčas- ťou antiphishingového riešenia.

929

* Outbreak Prevention: vypĺňa časovú medzeru od zistenia škodlivého kódu v Sandboxe, pokiaľ nie je vytvorená klasická signatúra pre Antivir engine. FortiOS realtime porovnáva hash súboru s globálnou databázou a ak hash odpovedá, tak súbor zablokuje ešte pred vytvorením signatúry.

930

* mobile malware: znižuje riziko úniku dát a poškodení systému mobilným malvérom. Chráni proti najnovším formám malvéru technológiou schopnou proaktívne blokovať predtým neznáme varianty hrozieb vďaka up-to-date hodinovo aktualizovanej databáze.

931

* Cloud Sandbox: Spustí v sebe kód v bezpečnom prostredí a podľa jeho chovania vyhodnotí či je škodlivý, alebo nie. Vytvára vlastné signatúry, ktoré sú potom dostupné pre budúcu inšpekciu prevádzky a odhalenie škodlivého kódu.

932

* web and video filtering: zablokovanie alebo monitorovanie webovej prevádzky. Vďaka kategorizácii webových stránok, ktorá denne spracováva požiadavky takmer 50 miliónov URL adries na kategorizácii a blokovaní 160 000 škodlivých webových stránok, je možné blokovať celé kategórie stránok a nie je tak nutné blokovať URL adresy jednotlivo. Webové stránky sú rozdelené do šiestich hlavných kategórií a do takmer 80 podkategórií.

933

* DNS filtering

934

* antispam service: deteguje nechcené či škodlivé e-maily globálnym filtrovaním nevyžiadanej pošty, ktorá využíva IP reputáciu odosielateľa a spamové signatúry. FortiGuard Labs dodávajú každý týždeň takmer 46 miliónov nových a aktualizovaných pravidiel spamu.

935

* Možnosť modulárneho rozšírenia Firewall-u prostredníctvom prepínačov.

936

* Firewall musí vystupovať pre tieto prepínače ako kontrolér

937

* Možnosť integrácie cez Security Fabric

938

* Záruka 5 rokov, dostupná podpora 24/7

// //

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4.2Switch1–TORSW¨"/}}4.4.2 Switch 1 – TOR SW¨ ===

945

946

Minimálne 1 ks Switch 1 podľa uvedených technických požiadaviek)

Veľkosť:

* Rozmer úchytu zariadenia 19“, výška 1 U

Počet portov a prepínací výkon:

955

956

* Vyhradený management port RJ 45 - 1x

957

* 24x GE SFP port

958

* 4 x 10GE SFP+ uplink porty

959

* RJ45 konzolový port

960

* Požadovaná prepínacia kapacita: 128 Gbps

961

* Požadovaný prepínací výkon: 204 Mpps

962

* Integrovaná pamäť 1GB DDR4

Administrácia:

* Webové rozhranie a príkazový riadok pre správu zariadenia

969

* Prepínač musí podporovať pripojenie do centrálneho riadenia (kontroléra), ktorý je súčasťou obstarávania

970

* SNMP v1/v2c/v3

971

* Nahrávanie OS prepínača cez TFTP/FTP/GUI

972

* Podpora HTTP REST API pre konfiguráciu a monitoring

973

974

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-"/}} ===

975

976

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4.3Segmentáciasiete"/}}4.4.3 Segmentácia siete ===

977

978

Pre zvýšenie bezpečnosti prenášaných dát v rámci internej infraštruktúry je potrebné rozdeliť LAN na VLAN-y podľa potrieb jednotlivých oddelení organizácie. Pre zistený stav odporúčame segmentáciu:

979

980

1. VLAN 1001 - Administratíva

981

1. VLAN 1002 - Technické, prístupové a ďalšie obslužné systémy

982

1. VLAN 1003 - WIFI „internal“ pre potreby zamestnancov úradu

983

1. VLAN 1004 - WIFI „verejnosť“

984

1. VLAN 1005 - Management, pre správu a konfiguráciu hardvérových zariadení a programového vybavenia, za dodržania bezpečnostných pravidiel bude možný prístup aj z VPN

985

1. VLAN 1006 - BACKUP

986

987

IP rozsahy a masky subsietí budú definované odberateľom.

988

989

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4.4Logickáschémasiete"/}}4.4.4 Logická schéma siete ===

990

991

[[image:attach:image-2024-7-3_11-38-59.png||width="644"]]

Obrázok 3

Ako Core bude použité zariadenie označené v tomto dokumente ako „TOR SW“. Jeho základná konfigurácia má zodpovedať popisu vyplývajúcemu z vyššie uvedenej schémy.

996

997

Pripojenie do NGFW bude realizované v rámci jedného RACKU cez port „FORTILINK“, aby bola využitá funkcionalita NGFW ako Controllera pre správu všetkých switch-ov kompatibilných so štandardom NGFW.

998

999

Pripojenie fyzických nodov virtuálneho prostredia bude realizované pomocou SFP portov optickým prepojom, rovnako je možné lokálke použiť pripojenie DAC kablami.

1000

1001

Server Node1 a Server Node2 su pripojené do TOR SW DAC káblami 2x 1GB LACP.

1002

1003

ISCSI konektivitu zabezpečia switche „iSCSI SW1 a iSCSI SW2„ prepoj server node1 a server node2 do iSCSI bude realizovaný pomocou DAC 10GB (2 x z každého servera ) ako je znázornené na shcéme zapojenia .

1004

1005

iSCSI SW1 a iSCSI SW2 budú pripojené ku STORAGE1 typ1 ( produkčný storage ) 2x DAC do CTRL „A“ a do CTRL „B“ ( spolu 4x DAC) .

1006

1007

Zariadenie STORAGE 2 typ2 je pripojené do iSCSI SWITCH1 a iSCSI SWITCH2 DAC 2x10GB.

1008

1009

Geograficky oddelený segment infraštruktúry sa bude nachádzať v budove Mestskej polície a bude pozostávať z fyzického servera v konfigurácii podľa špecifikácie pre Server 2, switchu 3 podľa špecifikácie iSCSI SWITCH , Sotrage 2 Typ1 , Strorage 4 Typ 2 a zálohovacej páskovej mechaniky LTO.

1010

1011

Pripojenie sekundárnej lokality zabezpečí existujúci optický prepoj so šírkou pásma minimálne 1x 1 GB.

1012

1013

NGFW budú konfigurované v móde HA, ktorý zabezpečí redundanciu a vysokú dostupnosť pripojenia do internetu prostredníctvom primárnej linky na toto pripojenie určenej.

1014

1015

Porty, v ktorých budú zapojené sú konfigurované v režime RSTP . Do TOR SW budú pripojené v SFP portoch DAC káblom v konfigurácii „edge!“ servery prípadne ďalšie koncové zariadenia infraštruktúry, s výnimkou management portov týchto zariadení ktoré budú pripojené do Sw3 až SW5.

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4.5Zdrojzáložnéhonapájania"/}}4.4.5 Zdroj záložného napájania ===

1020

1021

Na zabezpečenie prevádzky lokálnej siete a všetkých služieb dostupných jej prostredníctvom je nevyhnutné, aby bolo zabezpečené neprerušené napájanie sieťových komponentov minimálne v rozsahu switchov NGFW rovnako aj serverov, na ktorých sú služby poskytované.

1022

1023

Túto funkcionalitu budú zabezpečovať UPS v konfigurácii pre sieťové komponenty a servery (spoločná UPS ) v minimálnej konfigurácii:

1024

1025

==== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4.5.1UPS1."/}}4.4.5.1 UPS 1. ====

1026

1027

* Typ: Rackmount

1028

* Technológia: On-Line

1029

* Výstupný výkon: 4.5 kW/5 kVA

1030

* Vstupné napätie: 230V (220, 240)

1031

* Výstupné napätie: 230V (220, 240)

1032

* Výstupy:

1033

** Hard Wire 3-wire (2PH + G)

1034

** Hard Wire 3-wire (H N + G)

1035

* Vstupy:

1036

** Hard Wire 3-wire (2PH + G)

1037

** Hard Wire 3 wire (1PH+N+G)

1038

* Batéria:

1039

** Výdrž pri plnom výkone (4.5kW ): 3.6min

1040

** Výdrž pri polovičnom výkone (2.25kW ): 12.3min

1041

** Doba nabíjania: 3 h

1042

** Škálovateľná doba behu

1043

** Konfigurácia a monitoring cez sieť

1044

** SmartSlot na karty pre správu UPS

1045

** Možnosť rozšírenia o ďalšie batérie

1046

** Firmware s možnosťou upgradu

1047

** Núdzové vypínanie

1048

** Inteligentná správa batérie

1049

** Informovanie o predpokladanom dátume výmeny batérií

1050

** Automatická detekcia externých batérií

1051

** Možnosť štartu bez batérií

1052

** Spínanie skupiny výstupov

1053

** Koeficient amplitúdy: 3:1

1054

** Účinník: 0.9

1055

* Záruka: 3 roky

1056

* Záruka na batériu je 2 roky

// //

Počet: 2 ks, vstup každej UPS s vlastným istením pripojený na samostatnú fázu, inštalácia v primárnej serverovni v budove č.1

1061

1062

==== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4.5.2UPS2"/}}4.4.5.2 UPS 2 ====

1063

1064

* VÝSTUP

1065

** Kapacita výstupného výkonu [W]: 1600

1066

** Kapacita výstupného výkonu [VA]: 2000

1067

** Výstupné napätie [V]: 230

1068

* Topológia: Online s dvojakou konverziou

1069

* Výstupné prípojky: (4) IEC 320 C13 (Záložná prevádzka na batérie)

1070

* VSTUP

1071

** Vstupné napätie [V]: 230

1072

** Typ pripojenia vstupu: IEC-320 C14

1073

** Frekvencia na vstupe [Hz]: 40 - 70 Hz

1074

** Rozsah vstupného napätia pre napájanie z rozvodnej siete [V]: 160 - 280

1075

* Typ batérie: Bezúdržbový olovený zatavený akumulátor so suspendovaným elektrolytom: netečie

1076

* Zvyčajná doba nabíjania [Hod]: 4

1077

* KOMUNIKÁCIA A SPRÁVA

1078

** Ovládací panel: Multifunkčná LCD stavová a kontrolná konzola

1079

** Porty: DB-9 RS-232, USB

1080

* Zvukové upozornenie: Upozornenie na stav, kedy je systém napájaný z batérie, zreteľné upozornenie na nízku kapacitu batérie, upozornenie neprerušovaným tónom na preťaženie

1081

1082

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4.6Virtualizácia"/}}4.4.6 Virtualizácia ===

1083

1084

Pre zvýšenie bezpečnosti a dostupnosti dát navrhujeme realizovať virtualizáciu prostredia na minimálne dvoch nodoch HW hostov pripojených na centrálne úložisko v rámci jednej lokality a úložiskom dát, ktoré bude slúžiť na zálohovanie v geograficky oddelenom samostatnom požiarnom úseku.

1085

1086

Na inštaláciu jednotlivých nodov virtualizačných hostov budú použité servery v konfigurácii:

1087

1088

==== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4.6.1SERVER1(VIRTNODE1,VIRTNODE2)"/}}4.4.6.1 SERVER 1 ( VIRT NODE1, VIRT NODE2 ) ====

* Rack Mount (2U)

* Procesor:

** 2 x procesoru: Intel® Xeon® Gold

1093

** Model procesoru: 5318Y

1094

** Frekvencia procesora: 2,1 GHz

1095

* Pamäť:

1096

** Pamäťové sloty: 16 x DIMM

1097

** Inštalovaná pamäť 256 GB

1098

** kapacita pamäte: až 1 000 GB (podľa počtu a požiadaviek plánovaných VM)

1099

** Typ vnútornej pamäte: DDR4-SDRAM

1100

* Dátové úložisko:

1101

** Veľkosť chassis: 8 x 2.5"

1102

** Počet inštalovaných SSD: 2 x 480GB SSD SATA

1103

* Radič: PERC H755

1104

* Vzdialená správa: integrovaný servisný procesor

1105

* Konektivita

1106

** 2 x Broadcom 57412 - Typ rozhrania: 1Dual-Port 10 Gb/s SFP+ spolu (4 x SFP)

1107

** 2 x Ethernet/ LAN pripojenie (1Gb) - RJ-45 - Technológia kabeláže: 10/100/1000BaseT(X)

** Porty minimálne:

*** 2 x USB 2.0

*** 1 x USB 3.2

*** 2 x VGA

*** 1 x service procesor (Micro-AB USB) port

1113

** Napájanie 2 x 1100 W

1114

** Rozšírenie: 4 x 1 GB Ethernet port RJ45

1115

** Licencia pre servisný procesor na prístup do konzoly

1116

** Záruka: 3roky - Basic On-Site

1117

1118

==== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4.6.2SERVER2(VIRTNODE3)"/}}4.4.6.2 SERVER 2 ( VIRT NODE3 ) ====

* Rack Mount (2U)

* Procesor:

** 1 x procesor: Intel® Xeon® Gold max. 16 core

1123

** Model procesoru: 6326

1124

** Frekvencia procesora: 2,9GHz

1125

* Pamäť:

1126

** Pamäťové sloty: 16 x DIMM

1127

** Inštalovaná pamäť 256 GB

1128

** Kapacita pamäte: až 1 000 GB (podľa počtu a požiadaviek plánovaných VM)

1129

** Typ vnútornej pamäte: DDR4-SDRAM

1130

* Dátové úložisko:

1131

** Veľkosť chassis: 8 x 2.5"

1132

** Počet inštalovaných SSD: 2 x 480GB SSD SATA

1133

* Radič: PERC H755

1134

* Vzdialená správa: integrovaný servisný procesor

1135

* Konektivita

1136

** 2 x Broadcom 57412 - Typ rozhrania: 1Dual-Port 10 Gb/s SFP+ spolu (4 x SFP)

1137

** 2 x Ethernet/ LAN pripojenie (1Gb) - RJ-45 - Technológia kabeláže: 10/100/1000BaseT(X)

** Porty minimálne:

*** 2 x USB 2.0

*** 1 x USB 3.2

*** 2 x VGA

*** 1 x service procesor (Micro-AB USB) port

1143

*** 2x SAS rozdiel oproti serveru1 koli pripojeniu LTO

1144

*** Napájanie 2 x 1100 W

1145

** Rozšírenie: 4 x 1 GB Ethernet port RJ45

1146

** Licencia pre servisný procesor na prístup do konzoly

1147

** Záruka: 3roky - Basic On-Site

// //

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4.7STORAGEprodukcia"/}}4.4.7 STORAGE produkcia ===

1152

1153

Dátové úložisko pre produkčné systémy navrhujeme umiestniť v serverovni č.1. v budove 1 do Racku 1, kde bude zabezpečené napájanie prostredníctvom UPS 1 a UPS 2, zároveň bude existovať možnosť pripojenia iSCSI infraštruktúry bez nutnosti dobudovania kabeláže. iSCSI konektivitu budú zabezpečovať dva switche v nasledujúcej konfigurácii:

1154

1155

==== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4.7.1ISCSISW1AŽISCSISW3."/}}4.4.7.1 ISCSI SW1 AŽ ISCSI SW3. ====

1156

1157

* Počet LAN port: 12

1158

* Gigabit LAN port: 2

1159

* 10 Gigabit LAN port: 10

* Počet SFP+: 10

* Management: Áno

* Packet buffer 2MB

* Switching capacity (Gbps) 240

1164

* Tabuľka MAC 16k

1165

* Flash/RAM 32 MB/256 MB

1166

1167

==== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4.7.2PRIMÁRNEDÁTOVÉÚLOŽISKO"/}}4.4.7.2 PRIMÁRNE DÁTOVÉ ÚLOŽISKO ====

1168

1169

* 10Gb iSCSI Base-T 8 Port Dual Controller

1170

* Počet pozícii HDD: 12 x 3.5”

1171

* Inštalované HDD: 6TB Hard Disk SAS ISE 12Gbps 7.2K 512e 3.5in Hot-Plug

1172

* RAW kapacita: 72TB

1173

* Rack Rails 2U

1174

* Hard Drive Filler 3.5in Single Blank

1175

* Redundantné napájanie 2 x 580W

1176

* Podpora asynchrónnej replikácie cez FC alebo iSCSI:

** ME4 to ME5;

** ME5 to ME4;

** ME5 to ME5;

* Virtuálna Integrácia:

1181

** VMware vSphere (ESXi),

** vCenter;

** SRM,

** Microsoft Hyper-V

* Možnosť rozšírenia kapacity pomocou rozširujúceho modulu: Áno

1186

* Podpora manažmentu: HTML5 GUI element manager, CLI

1187

* Podpora RAID: RAID 1, 5, 6, 10, alebo ADAPT RAID, kombinácia RAID úrovní je možná v rámci jedného poľa

1188

1189

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4.8Zálohovanie:"/}}4.4.8 Zálohovanie: ===

1190

1191

Pre zálohovanie dát navrhujeme dedikované diskové pole STORAGE 3 a 4 ( TZP2 ) v konfigurácii:

1192

1193

* Procesor:

1194

** Model CPU AMD Ryzen V1500B

1195

** CPU architektúra 64-bit

1196

** Frekvencia: CPU 4-core 2.2 Ghz

1197

** Systém hardwarového šifrovania (AES-NI)

1198

** Pamäť: Systémová pamäť 4 GB DDR4 ECC SODIMM

1199

** Predinštalovaný pamäťový modul 4 GB (4 GB x 1)

1200

** Celkový počet pamäťových slotov: 2

1201

** Maximálna kapacita pamäti 32 GB (16 GB x 2)

1202

** Počet pozícií pevného disku: 8

1203

** Maximálny počet pozícií pevného disku s rozširujúcou jednotkou: 12 (RX418 x 1)

1204

* Kompatibilné typ diskov

** 5" SATA HDD

** 5" SATA HDD

** 5" SATA SSD

* Externé porty:

** 2 x port USB 3.2 Gen 1

** 1 x port (eSATA)

* Porty LAN:

** 4 x 1GbE RJ-45

** Dual-port 10GbE SFP+ add-in card for Synology servers

1214

* Redundantné napájanie 230 V

1215

* Sloty PCIe 3.0:

1216

** 1 x 4 pásmový slot x8,

1217

** podpora sieťových kariet 10GbE/25GbE2

1218

** podpora kariet adaptéru M.2 NVMe SSD pro medzipamäť SSD8

1219

* Podpora sieťových protokolov:

** SMB

** AFP

** NFS

** FTP

** WebDAV

** CalDAV

** iSCSI

** Telnet

** SSH

** SNMP

** VPN (PPTP, OpenVPN™, L2TP)

1231

* iSCSI Manager:

1232

** Maximálny počet iSCSI target: 128

1233

** Maximálny počet jednotiek iSCSI LUN: 256

1234

** Podpora klonovania/snapshot iSCSI LUN

1235

* Záruka 3 roky s možnosťou rozšírenia na 5 rokov

1236

1237

navrhovaný počet HDD: 8 x 8 TB HDD napríklad Synology™ 3.5” SATA HDD HAT5310-8T 8TB , RAW kapacita 64 TB, ako alternatíva pre vyššiu kapacitu môžu byť použité disky 12 GB alebo 16 TB.

1238

1239

Záruka 3 roky s možnosťou rozšírenia na 5 rokov

Storage pre zálohovanie bude umiestnený v geograficky oddelenej destinácii v rámci LAN (optický prepoj) s dostupnou šírkou pásma 1Gbps vo vyhradenej VLAN 1006 - BACKUP. Ako nástroj na zálohovanie navrhujeme jeho výber prispôsobiť vybranej virtualizačnej platforme:

1244

1245

* pre Vmware: VMware vSphere

1246

* pre Microcsoft HyperV: DPM

1247

* pre Proxmox: Proxmox Backup server

* Veeam

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.4.9LTOpáskováknižnica"/}}4.4.9 LTO pásková knižnica ===

1253

1254

* kompatibilita s :

1255

** LTO-9 Ultrium 45000

1256

** LTO-8 Ultrium 30750

1257

** LTO-7 Ultrium 15000

1258

** LTO-6 Ultrium 6250

1259

** LTO-5 Ultrium 3000

1260

* Dostupná kapacita až 360 TB ( s páskou LTO9)

1261

* Počet slotov mechaniky: 8

1262

* Host interface :

1263

** 8 Gb/sec Fibre Channel (LTO-6, LTO-7, LTO-8, LTO-9)

1264

** 6 Gb/sec SAS (LTO-6, LTO-7, LTO-8),

1265

** 12Gb/sec SAS (LTO-9)

1266

* Encryption capability AES 256-bit: LTO-9, LTO-8, LTO-7, LTO-6, LTO-5

* Form factor1U

// //

Presná stratégia zálohovania bude navrhnutá v spolupráci so zadávateľom podľa preferovanej schémy, kde bude určujúcim faktorom objem zálohovaných dát, frekvencia zálohovania ako aj požadovaná retencia.

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}Využívanie služieb z katalógu služieb vládneho cloudu ===

N/A

\\

**~ **

== {{id name="projekt_2798_Pristup_k_projektu_detailny-4.5Bezpečnostnáarchitektúra"/}}4.5 Bezpečnostná architektúra ==

1286

1287

Nakoľko sa projekt týka kybernetickej bezpečnosti, architektúra je uvedená v kap. 4 Architektúra projektu.

\\

Navrhovaný projekt a jeho architektúra bude budovaná v súlade s nasledujúcimi právnymi predpismi:

\\

* Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe

1296

* Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti

1297

* Zákon č. 45/2011 Z.z. o kritickej infraštruktúre

1298

* vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy

1299

* vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

1300

* vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov

1301

* Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

1302

* Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

\\

\\

= {{id name="projekt_2798_Pristup_k_projektu_detailny-5.ZÁVISLOSTINAOSTATNÉISVS/PROJEKTY"/}}5. ZÁVISLOSTI NA OSTATNÉ ISVS / PROJEKTY =

1309

1310

Projekt nie je závislý na ostatných ISVS, resp. projektoch.

**~ **

= {{id name="projekt_2798_Pristup_k_projektu_detailny-6.ZDROJOVÉKÓDY"/}}6. ZDROJOVÉ KÓDY =

1315

1316

Vlastníkom zdrojových kódov v prípade vývoja SW diela bude Mesto Senec v súlade s platnou legislatívou.

Dôležité usmernenie pre oblasť zdrojových kódov:

1321

1322

* Centrálny repozitár zdrojových kódov: [[https:~~/~~/www.zakonypreludi.sk/zz/2020-78/znenie-20200501#p31>>url:https://www.zakonypreludi.sk/zz/2020-78/znenie-20200501#p31||shape="rect"]]

1323

* Overenie zdrojového kódu s cieľom jeho prepoužitia: [[https:~~/~~/www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p7-3-c>>url:https://www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p7-3-c||shape="rect"]]

1324

* Spôsoby zverejňovania zdrojového kódu: [[https:~~/~~/www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p8-9>>url:https://www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p8-9||shape="rect"]]

1325

* Inštrukcie k EUPL licenciám: [[https:~~/~~/joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf>>url:https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf||shape="rect"]]

\\

**~ **

= {{id name="projekt_2798_Pristup_k_projektu_detailny-7.PREVÁDZKAAÚDRŽBA"/}}7. PREVÁDZKA A ÚDRŽBA =

// //

== {{id name="projekt_2798_Pristup_k_projektu_detailny-7.1Prevádzkovépožiadavky"/}}7.1 Prevádzkové požiadavky ==

\\

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-7.1.1Úrovnepodporypoužívateľov"/}}7.1.1 Úrovne podpory používateľov ===

\\

Help Desk bude realizovaný cez 2 úrovne podpory, s nasledujúcim označením:

1346

1347

* **L1 podpory IS** (Level 1, priamy kontakt zákazníka) bude zabezpečovať MsÚ

1348

* **L2 podpory IS** (Level 2, postúpenie požiadaviek od L1) bude zabezpečovaná dodávateľom

// //

Definícia:

* **Podpora L1 (podpora 1. stupňa)** - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď.

1355

* **Podpora L2 (podpora 2. stupňa)** – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť.

// //

Pre služby sú definované takéto SLA:

1360

1361

* Help Desk pre vybrané skupiny užívateľov cez telefón a email, incidenty sú evidované v IS,

1362

* Dostupnosť L2 podpory pre IS je 8x5 (8 hodín x 5 dní od 8:00h do 16:00h počas pracovných dní),

// //

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-7.1.2Riešenieincidentov–SLAparametre"/}}7.1.2 Riešenie incidentov – SLA parametre ===

\\

Za incident je považovaná chyba IS, t.j. správanie sa v rozpore s prevádzkovou a používateľskou dokumentáciou IS. Za incident nie je považovaná chyba, ktorá nastala mimo prostredia IS napr. výpadok poskytovania konkrétnej služby Vládneho cloudu alebo komunikačnej infraštruktúry.

1371

1372

Označenie naliehavosti incidentu:

1373

1374

(% class="" %)|(((

1375

Označenie naliehavosti incidentu

)))|(((

Závažnosť incidentu

)))|(((

Popis naliehavosti incidentu

)))

(% class="" %)|(((

A

)))|(((

Kritická

)))|(((

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

)))

(% class="" %)|(((

B

)))|(((

Vysoká

)))|(((

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.

)))

(% class="" %)|(((

C

)))|(((

Stredná

)))|(((

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

)))

(% class="" %)|(((

D

)))|(((

Nízka

)))|(((

Kozmetické a drobné chyby.

)))

// //

možný dopad:

(% class="" %)|(((

Označenie závažnosti incidentu

)))|(((

\\

Dopad

)))|(((

Popis dopadu

)))

(% class="" %)|(((

1

)))|(((

katastrofický

)))|(((

katastrofický dopad, priamy finančný dopad alebo strata dát,

)))

(% class="" %)|(((

2

)))|(((

značný

)))|(((

značný dopad alebo strata dát

)))

(% class="" %)|(((

3

)))|(((

malý

)))|(((

malý dopad alebo strata dát

)))

**// //**

Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

1448

1449

(% class="" %)|(% colspan="2" rowspan="2" %)(((

1450

Matica priority incidentov

1451

)))|(% colspan="3" %)(((

Dopad

)))

(% class="" %)|(((

Katastrofický - 1

)))|(((

Značný - 2

)))|(((

Malý - 3

)))

(% class="" %)|(% rowspan="4" %)(((

**Naliehavosť**

)))|(((

**Kritická - A**

)))|(((

1

)))|(((

2

)))|(((

3

)))

(% class="" %)|(((

**Vysoká - B**

)))|(((

2

)))|(((

3

)))|(((

3

)))

(% class="" %)|(((

**Stredná - C**

)))|(((

2

)))|(((

3

)))|(((

4

)))

(% class="" %)|(((

**Nízka - D**

)))|(((

3

)))|(((

4

)))|(((

4

)))

**// //**

Vyžadované reakčné doby:

1503

1504

(% class="" %)|(((

1505

Označenie priority incidentu

1506

)))|(((

1507

Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu

1508

)))|(((

1509

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^

)))|(((

Spoľahlivosť ^^(3)^^

(počet incidentov za mesiac)

)))

(% class="" %)|(((

1

)))|(((

0,5 hod.

)))|(((

4 hodín

)))|(((

1

)))

(% class="" %)|(((

2

)))|(((

1 hod.

)))|(((

12 hodín

)))|(((

2

)))

(% class="" %)|(((

3

)))|(((

1 hod.

)))|(((

24 hodín

)))|(((

10

)))

(% class="" %)|(((

4

)))|(((

1 hod.

)))|(% colspan="2" %)(((

1547

Vyriešené a nasadené v rámci plánovaných releasov

1548

)))

1549

1550

**Vysvetlivky k tabuľke**

1551

1552

(1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L3 a jeho prevzatím na riešenie.

\\

(2) DKVI znamená obnovenie štandardnej prevádzky - čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom (DKVI) sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný uchádzač oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu.

\\

(3) Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident.

\\

(4) Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia majú prioritu 3 a nižšiu

1565

1566

Vzťahujú sa výhradne k dostupnosti testovacieho prostredia. Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite.

\\

Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby:

1571

1572

* Služby systémovej podpory na požiadanie (nad paušál)

1573

* Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)

1574

1575

Pre tieto služby budú dohodnuté osobitné parametre dodávky.

// //

== {{id name="projekt_2798_Pristup_k_projektu_detailny-7.2PožadovanádostupnosťIS:"/}}7.2 Požadovaná dostupnosť IS: ==

**// //**

(% class="" %)|(((

Popis

)))|(((

Parameter

)))|(((

Poznámka

)))

(% class="" %)|(((

**Prevádzkové hodiny**

)))|(((

12 hodín

)))|(((

od 6:00 hod. - do 18:00 hod. počas pracovných dní

1596

)))

1597

(% class="" %)|(% rowspan="2" %)(((

**Servisné okno**

)))|(((

10 hodín

)))|(((

od 19:00 hod. - do 5:00 hod. počas pracovných dní

)))

(% class="" %)|(((

24 hodín

)))|(((

od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov

1608

1609

Servis a údržba sa bude realizovať mimo pracovného času.

1610

)))

1611

(% class="" %)|(((

1612

**Dostupnosť produkčného prostredia IS**

)))|(((

96%

)))|(((

96% z 24/7/365 t.j. max ročný výpadok je 360 hod.

1617

1618

Maximálny mesačný výpadok je 30 hodín.

1619

1620

Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

1621

1622

Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L2 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

1623

1624

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

)))

// //

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-7.2.1Dostupnosť(Availability)"/}}7.2.1 Dostupnosť (Availability) ===

1630

1631

**Dostupnosť** (**Availability**) je pojem z oblasti riadenia bezpečnosti v organizácii. Dostupnosť znamená, že dáta sú prístupné v okamihu jej potreby. Narušenie dostupnosti sa označuje ako nežiaduce zničenie (destruction) alebo nedostupnosť. Dostupnosť je zvyčajne vyjadrená ako percento času v danom období, obvykle za rok.

1632

1633

* **96% dostupnosť**znamená výpadok 360 dní

\\

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-7.2.2RTO(RecoveryTimeObjective)"/}}7.2.2 RTO (Recovery Time Objective) ===

1638

1639

**Recovery Time Objective** (zvyčajne sa požíva skratka RTO) je jeden z ukazovateľov [[dostupnosti>>url:https://managementmania.com/sk/data||shape="rect"]] dát. RTO vyjadruje množstvo času potrebné pre obnovenie [[dát>>url:https://datalab.digital/legislativa/||shape="rect"]] a celej prevádzky nedostupného systému ([[softvér>>url:https://datalab.digital/dokumenty||shape="rect"]]). Môže byť, v závislosti na použitej technológii, vyjadrené v sekundách, hodinách či dňoch.

1640

1641

* Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni

// //

=== {{id name="projekt_2798_Pristup_k_projektu_detailny-7.2.3RPO(RecoveryPointObjective)"/}}7.2.3 RPO (Recovery Point Objective) ===

1646

1647

**Recovery Point Objective** (zvyčajne sa požíva skratka RPO) je jeden z ukazovateľov [[dostupnosti>>url:https://datalab.digital/legislativa/||shape="rect"]] dát. RPO vyjadruje, do akého stavu (bodu) v minulosti možno obnoviť [[dáta>>url:https://datalab.digital/||shape="rect"]]. Inými slovami množstvo dát, o ktoré môže organizácia prísť.

1648

1649

* Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni.

\\

= {{id name="projekt_2798_Pristup_k_projektu_detailny-8.POŽIADAVKYNAPERSONÁL"/}}8. POŽIADAVKY NA PERSONÁL =

1654

1655

Viď. Projektový zámer, kap. 9.

\\

\\

**~ **

= {{id name="projekt_2798_Pristup_k_projektu_detailny-9.IMPLEMENTÁCIAAPREBERANIEVÝSTUPOVPROJEKTU"/}}9. IMPLEMENTÁCIA A PREBERANIE VÝSTUPOV PROJEKTU =

\\

Projekt bude realizovaný metódou Waterfall

1668

1669

Waterfall- vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

1670

1671

Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. Projektový zámer, časť 9 – Projektový tím).

\\

= {{id name="projekt_2798_Pristup_k_projektu_detailny-10.PRÍLOHY"/}}10. PRÍLOHY =

1676

1677

Príloha č1 ZOZNAM RIZÍK a ZÁVISLOSTI