PRÍSTUP K PROJEKTU

manažérsky výstup I-03

podľa vyhlášky MIRRI č. 401/2023 Z. z.

Schvaľovanie dokumentu

1.     História dokumentu

2.     Popis navrhovaného riešenia

Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – Záchranná služba Košice (ďalej ako „ZSKE“) má za cieľ zvýšiť úroveň informačnej a kybernetickej  bezpečnosti v sektore verejnej správy.

Projekt v rámci výzvy poskytuje prostriedky na realizáciu základných stavebných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti. Oblasti bezpečnosti, na ktoré organizácia žiada podporu v rámci tohto projektu (výzvy) predstavujú základný rámec („baseline"), ktorý by mal byť implementovaný. Aktuálny stav implementácie týchto bezpečnostných služieb a funkcií je nízky, preto žiadame o podporu v rámci tohto definovaného rámca. Budúce riešenie základného rámca zabezpečenia informačnej a kybernetickej bezpečnosti na úrovni biznis architektúry by malo pozostávať najmä z nasledovných bezpečnostných riešení:

• Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia informačnej a kybernetickej bezpečnosti (ďalej len „KIB“).
• Analytické aktivity zavedenia bezpečnostných opatrení a riešení.
• Implementačné aktivity bezpečnostných riešení.
• Pre-financovanie spracovania žiadosti o NFP.

Jednotlivé biznis funkcie a bezpečnostné procesy ako aj popis ďalších úrovni architektúry riešenia sú uvedené v nasledujúcich kapitolách.

3.     Architektúra riešenia projektu

Tento projekt predstavuje riešenie základných stavebných blokov bezpečnostnej architektúry a zároveň aj ďalšie bezpečnostné funkcie realizované v organizácii. Organizácia nedisponuje bezpečnostnou funkcionalitou v oblasti evidencie a správy aktív, riadenia prístupov a bezpečného zálohovania a ochrany záloh.

Z uvedeného dôvodu bude projekt primárne zameraný na implementáciu riešenia pre centralizovanú správu a manažment aktív, centralizované a jednotné riešenie pre správu identít a najmä riadenia prístupov do jednotlivých IS a riešenie pre automatické zálohovanie a vytvorenie redundantnej kópie záloh mimo hlavnej serverovne.

Okrem toho projekt zabezpečí aj zrealizovanie povinných pravidelných aktivít vyžadovaných legislatívou, ako je najmä aktualizácia bezpečnostnej dokumentácie, inventarizácie aktív, klasifikácie informácií, kategorizácie IS a najmä analýzy rizík a analýzy dopadov.

Keďže nejde o implementáciu agendového alebo iného obdobného informačného systému verejnej správy, tak v tomto duchu je upravený aj popis jednotlivých úrovni architektúry. Najmä v prípade poskytnutia podpory pre iné ako governance aktivity, kde sa predpokladá aj implementácia bezpečnostných systémov, zariadení alebo technických riešení, sú rovnako jednotlivé bloky architektúry rozpísané spôsobom zohľadňujúcim uvedené skutočnosti.

Pri biznis architektúre je potrebné si uvedomiť, že projekt, resp. jeho aktivity nerealizujú typické služby eGovernment-u a VS, ale ide o služby na úrovni bezpečnostnej architektúry, a ako také a z tohto dôvodu, nie sú vedené ako aplikačné služby v MetaIS.

Zároveň je potrebné uviesť, že architektúra pre as-is stav nie je uvedená z dôvodu, že aktuálne tieto služby bezpečnostnej architektúry nie sú implementované, prípadne sú implementované len čiastočne na nepostačujúcej úrovni.

Úrovne architektúry sú ďalej rozpísané podľa jednotlivých aktivít projektu a biznis bezpečnostných funkcií.

Špecifikácia výstupov jednotlivých aktivít je uvedená v kapitole Požadované výstupy (produkt projektu) v dokumente Projektový zámer.

3.1        Biznis vrstva

Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy:

• Riadenie aktív a riadenie rizík.
  • Proces evidencie a správy aktív.
  • Proces klasifikácie informácií a kategorizácie IS a sietí.
  • Proces realizácie AR/BIA.
  • Proces rozhodovania ohľadom riadenia identifikovaných rizík.
• Riadenie prístupov.
  • Proces riadenia identít a prístupov k jednotlivým IS.
  • Proces „hardeningu“ AD.
  • Proces viac-faktorovej autentifikácie pre privilegovaných používateľov.
  • Proces autentifikácie a prístupu k sieti len autorizovaných zariadení
• Riadenie kontinuity činností.
  • Proces zálohovania.
  • Proces ochrany a redundancie záloh.

Okrem uvedených biznis funkcií je projekt zameraný aj na podporu pre oblasti:

• governance KIB a bezpečnostná dokumentácia,
• zavedenie procesov riadenia KIB pre všetky relevantné oblasti riadenia.

Jednotlivé biznis funkcie bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

3.1.1        Prehľad koncových služieb – budúci stav:

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.1.2        Jazyková podpora a lokalizácia

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.2        Aplikačná vrstva

Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:

3.2.1        Požiadavky na jednotlivé komponenty

Požiadavky na jednotlivé aplikačné komponenty pre vyššie uvedené aplikačné služby sú nasledovné:

Správa dokumentov

V rámci tejto aplikačnej služby bude na správu bezpečnostnej dokumentácie vytvorenej počas projektu využitý existujúci Dokument manažment systém ZSKE.

Riadenie aktív

Za účelom identifikácie aktív a ich ďalšej správy bude nasadená samostatná aplikácia pre evidenciu a manažment aktív (ITAM – IT asset management).

Nástroj umožní systematický prístup k získavaniu, objavovaniu (discovering), sledovaniu, správe a optimalizácii IT aktív organizácie. Tieto aktíva zahŕňajú najmä hardvér, softvér, licencie a iné digitálne zdroje. ITAM bude slúžiť ako základný strategický rámec, ktorý pomôže organizácii získať komplexný prehľad o ich IT infraštruktúre, čo umožní informované rozhodovanie, kontrolu nákladov a zmierňovanie rizík.

ITAM poskytne najmä:

• Centralizovanú správu akéhokoľvek typu majetku vrátane hardvéru, softvéru, mobilných a prípadne aj nesieťových zariadení.
• Automatické zisťovanie nového hardvéru v sieti a softvéru na zariadeniach.
  • Skenovanie – spúšťanie kontrol, ktoré zachytávajú sieťové aktíva a umožňujú vytvárať si vlastné vzory skenovania za účelom identifikácie špecializovaných aktív a spúšťanie skenovanie podľa stanoveného plánu a zasielanie emailových notifikácií v prípade zistenia zmien.
• Úzku integráciu do procesov obstarávania na sledovanie nákupov, využitia zdrojov, zmlúv a licencií.
• Zdroje pre analýzu a riadenie rizík a súladu s legislatívnymi požiadavkami.
• Integrovanú „Configuration Management“ databázu (CMDB) alebo previazanie na samostatnú CMDB vrátane mapovania závislostí, korelácie aktív a incidentov a analýz dopadov zmien.
  • Vizualizáciu toho čo je uložené v CMDB, pre ľahšiu interpretáciu výsledkov a efektívnejšiu správu.
  • Mapovanie vzťahov – zobrazenie vzťahov medzi konfiguračnými položkami (tzv. „servisná mapa“).
  • Metriky a analytika – učenie sa z aktuálnych konfigurácií a vykonávanie optimalizácie pomocou aktuálnych metrík a analýz.

Súčasťou aktivity je samozrejme aj prvotná identifikácia a evidencia všetkých informačných aktív ZSKE a ich nahratie do ITAM.

Riadenie identít a prístupov (IDAM)

Centrálny nástroj na riadenie všetkých identít (používateľov IKT ZS KE – cca 750 používateľov) a najmä riadenie (prideľovanie, zmena, odoberanie) prístupov do IS v správe ZS KE.

Nástroj IDAM poskytne najmä nasledovné základné funkcie:

• Správa identít: Registrácia, aktualizácia a vymazanie používateľských účtov.
• Autentifikácia: Overovanie identity používateľov pri prístupe do systému.
• Autorizácia: Kontrola prístupových práv na základe používateľských rolí a politiky prístupu.
• Správa rolí a povolení: Definovanie a priradenie rolí, ktoré určujú, k akým zdrojom a funkciám majú používatelia prístup.

Základné požiadavky na bezpečnosť:

• Dvojfaktorová autentifikácia (2FA): Dodatočný bezpečnostný krok na zvýšenie ochrany účtov.
• Šifrovanie údajov: Šifrovanie citlivých údajov pri prenose a v úložisku.
• Audit a monitorovanie: Záznam a sledovanie prístupu a činností používateľov pre zabezpečenie a forenznú analýzu.
• Súlad s predpismi: Dodržiavanie relevantných zákonov a noriem, ako sú napr. GDPR.

Požiadavky na integráciu a interoperabilitu:

• Integrácia s LDAP a Active Directory: Možnosť integrácie s existujúcimi adresárovými službami.
• Podpora štandardných protokolov: Podpora protokolov ako SAML, OAuth, OpenID Connect pre interoperabilitu s inými systémami.
• API prístup: Rozhranie umožňujúce integráciu IAM systému s ďalšími aplikáciami a službami.

Užívateľská skúsenosť:

• Samostatná správa účtu: Používatelia môžu samostatne meniť svoje heslá, obnovovať zabudnuté heslá a aktualizovať osobné údaje.
• Centralizovaný prístupový portál: Jednotné prihlasovanie (SSO) umožňuje používateľom prístup k viacerým aplikáciám a službám pomocou jedného prihlásenia.
• Mobilná podpora: Prístup k IAM funkcionalite prostredníctvom mobilných zariadení.

Požiadavky na výkon a škálovateľnosť:

• Vysoká dostupnosť: Zabezpečenie nepretržitého prístupu k IAM službám prostredníctvom redundancie a záložných riešení.
• Škálovateľnosť: Systém musí byť schopný rásť a prispôsobovať sa zvýšeným požiadavkám na počet používateľov a objem prenosu dát.

Požiadavky na správu a údržbu:

• Jednoduchosť nasadenia: Podpora pre rýchle a efektívne nasadenie systému v rôznych IT prostrediach.
• Aktualizácie a údržba: Pravidelné aktualizácie softvéru a bezpečnostné záplaty.
• Podpora a dokumentácia: Dostupnosť technickej podpory a podrobnej dokumentácie pre administrátorov a používateľov.

Súčasťou riešenia bude aj re-konfigurácia a “hardening” existujúceho AD riešenia najmä vo väzbe na implementované IDAM riešenie a z dôvodu zvýšenia úrovne bezpečnosti samotného AD („security hardening“ podľa štandardov a „best practise“). Okrem toho dôjde aj k zriadeniu tenanta O365 pre zavedenie dvojfaktorovej autentifikácie. Zavedenie O365 tenanta umožní oddelenú správu skupín privilegovaných používateľov, čo zlepší organizáciu a zníži riziko chýb pri administrácii. Úprava existujúceho Active Directory zabezpečí kompatibilitu autentifikačnej infraštruktúry s novými technológiami a metódami autentifikácie.

Riadenie prístupov – Identifikácia a autentifikácia - Zavedenie 2FA (dvoj-faktorová autentifikácia)

Zavedenie 2FA umožní zvýšenie úrovne identifikácie a najmä autentifikácie pracovníkov, ale aj zvýšenie úrovne bezpečnosti pri správe IKT  z pozície tzv. „privilegovaných používateľov", resp. administrátorov systémov. Dvojfaktorová autentifikáciu je v súčasnosti takmer nevyhnutnou formou zabezpečenia takmer všetkých účtov a služieb, ktoré sú dôležité. Dvojfaktorová autentifikácia umožní ochrániť od neautorizovaného prístupu útočníkov aj v prípade ak získajú prihlasovacie údaje, nakoľko sa nedostanú cez overenie v druhom kroku.

Dvojfaktorová autentifikácia bude riešená Tokenmi generovanými mobilnou aplikáciou. 2FA je v projekte nastavená pre administrátorov, resp. „privilegovaných používateľov“, ktorí pri prístupe k správe prideleného IS budú mať k dispozícii aplikáciu v mobilnom telefóne, ktorá zabezpečí druhý autentifikačný faktor.

Funkčné a výkonové požiadavky:

• riešenie využívajúce softvérový autentifikátor dostupný pre platformy mobilných telefónov iOS a Android.
• auto-aktivácia používateľa bez potreby prítomnosti správcu systému,
• možnosť distribúcie autorizačného kódu autentifikácie druhého faktoru:
  • formou výzvy (push notifikácia),
  • formou SMS,
• pre všetkých „privilegovaných používateľov“ (do 50 administrátorov),
• integrácia s AD,
• prideľovanie oprávnení správcom na základe rolí (vlastník systému, IT správca systému, Správca integrácií, Správca používateľov, Podpora používateľov/Helpdesk),
• možnosť vytvárania skupín používateľov a zaraďovanie používateľov do skupín,
• možnosť vytvárania politík a ich aplikovanie:
  • na skupiny používateľov,
  • na používateľa podľa jeho geo-lokácie,
  • na používateľa na základe stavu bezpečnosti jeho terminálu, ktorým sa pripája,
  • na používateľa na základe stavu bezpečnosti mobilného zariadenia používateľa používaného na distribúciu autorizačného kódu,
  • na základe jednotlivých integrácií,
• logovanie:
  • histórie prístupov používateľov (meno, dátum, čas, terminál používateľa, sprístupnený systém, geo-lokácia IP adresy, atď.),
  • informácií o mobilných zariadeniach používateľov použitých na distribúciu autorizačného kódu,
  • úspešných aj neúspešných prihlásení,
• automatická detekcia anomálií a rizika pri prihlasovaní.

Riadenie prístupov – Identifikácia a autentifikácia zariadení v sieti (NAC)

Zavedenie NAC - riadenia prístupu do siete podľa štandardu IEEE 802.1x vrátane autentifikačného servera RADIUS bude dôležitou súčasťou modernej architektúry sietí ZSKE. NAC zabezpečí, že len autorizovaní a overení používatelia a zariadenia môžu pristupovať k sieti (ako káblovej, tak aj bezdrôtovej). Pomôže splniť bezpečnostné požiadavky regulácií a noriem. Umožní auditovanie a záznam autentifikačných pokusov, čím zabezpečí, že citlivé zdroje budú dostupné iba pre oprávnených používateľov a zariadenia. Súčasťou riešenia bude aj prvotné nastavenie prístupových oprávnení pre základné skupiny a vytvorenie návodu (dokumentácie) pre replikáciu nastavení u ďalších skupín.

V rámci projektu bude dodané technologické vybavenie pre autentifikáciu zariadení v sieti ZSKE (802.1x) pre cca 500 zariadení, vrátane autentifikačného servera (RADIUS) a PKI infraštruktúra pre generovanie a distribúciu šifrovacích kľúčov.

Zavedenie PKI (Public Key Infrastructure) umožní realizáciu robustného šifrovania a digitálnych podpisov na ochranu dát pred odpočúvaním a zabezpečí integritu komunikácie a bezpečnosť autentifikačného procesu zariadení. PKI systém umožní správu, distribúciu a validáciu digitálnych certifikátov, čím zabezpečí bezpečnú komunikáciu a autentifikáciu pomocou šifrovania a digitálnych podpisov.

Základné funkcie NAC systému:

• Autentifikácia používateľov a zariadení: Overovanie identity používateľov a zariadení pri prístupe do siete.
• Autorizácia: Prideľovanie prístupových práv na základe overených identít a politiky prístupu.
• Správa prístupu: Kontrola a monitorovanie prístupu k sieťovým zdrojom na základe definovaných pravidiel a politiky.

RADIUS (Remote Authentication Dial-In User Service):

• Centralizovaná autentifikácia: Použitie RADIUS servera na centralizované overovanie používateľov a zariadení.
• Podpora EAP (Extensible Authentication Protocol): Rôzne metódy autentifikácie cez EAP, vrátane EAP-TLS, PEAP, EAP-TTLS.
• Správa a protokolovanie: Zaznamenávanie všetkých autentifikačných pokusov a ich výsledkov pre účely auditu a monitoringu.
• Integrácia s adresárovými službami: Podpora integrácie s LDAP, Active Directory a ďalšími adresárovými službami na získavanie autentifikačných údajov.

PKI (Public Key Infrastructure):

• Digitálne certifikáty: Využitie digitálnych certifikátov pre overovanie identity používateľov a zariadení.
• Certifikačná autorita (CA): Implementácia, správa a revokácia certifikátov.
• Distribúcia certifikátov: Mechanizmy na bezpečnú distribúciu a inštaláciu certifikátov na používateľských zariadeniach.
• Správa životného cyklu certifikátov: Automatizované procesy pre obnovovanie a odvolávanie certifikátov.

Bezpečnosť:

• Šifrovanie prenosu: Ochrana dát prenášaných v rámci siete pomocou šifrovacích protokolov.
• Audit a monitorovanie: Sledovanie a zaznamenávanie prístupov a pokusov o prístup pre účely bezpečnosti a forenznej analýzy.
• Súlad s predpismi: Dodržiavanie bezpečnostných štandardov a zákonov, ako sú GDPR a pod.

Integrácia a interoperabilita:

• Integrácia s existujúcimi infraštruktúrami: Podpora pre integráciu s Active Directory, LDAP a ďalšími adresárovými službami.
• Podpora štandardných protokolov: Implementácia štandardov ako RADIUS, EAP (Extensible Authentication Protocol) pre širokú kompatibilitu.
• API prístup: Možnosť integrácie s inými bezpečnostnými systémami a sieťovými zariadeniami cez API.

Užívateľská skúsenosť:

• Jednoduché pripojenie: Automatické pripojenie overených zariadení a používateľov k sieti bez zbytočných komplikácií.
• Self-service portál: Portál pre používateľov, kde môžu spravovať svoje zariadenia a prístupové práva.
• Podpora rôznych zariadení: Prístup k sieti z rôznych typov zariadení vrátane počítačov, mobilných telefónov a tabletov.

Výkon a škálovateľnosť:

• Vysoká dostupnosť: Zabezpečenie nepretržitého prístupu k sieti prostredníctvom redundantných riešení a záložných systémov.
• Škálovateľnosť: Schopnosť systému rásť a prispôsobovať sa zvýšeným nárokom na počet zariadení a objem prenosu dát.

Správa a údržba:

• Jednoduchosť nasadenia: Možnosť rýchleho a efektívneho nasadenia systému v rôznych sieťových prostrediach.
• Aktualizácie a údržba: Pravidelné aktualizácie softvéru a bezpečnostné záplaty na zabezpečenie ochrany pred najnovšími hrozbami.
• Podpora a dokumentácia: Dostupnosť technickej podpory a podrobnej dokumentácie pre administrátorov a používateľov.

Politika prístupu:

• Definícia pravidiel: Možnosť nastavenia detailných pravidiel a politík pre prístup na základe rôznych kritérií, ako sú používateľské role, typ zariadenia, čas prístupu a geografická lokalita.
• Dynamická kontrola prístupu: Schopnosť dynamicky meniť prístupové práva na základe aktuálnych podmienok a kontextu.

Riadenie kontinuity činností

Z dôvodu nutnosti vykonávania záloh bude nasadený automatizovaný nástroj pre manažovanie a automatické spúšťanie inkrementálnych a plných („full backup“) záloh systémov a dát, a ktorý poskytne zároveň ich ochranu a redundanciu.

Nástroj pre zálohovanie poskytne najmä:

• Zálohovanie: Nástroj umožní vytváranie záloh na úrovni obrazu virtuálnych, fyzických a cloudových platforiem, pričom musí zachytávať všetky údaje v konzistentnom stave, tak aby ich bolo možné použiť na rýchle obnovenie systémov a dát.
• Replikáciu: Nástroj umožní správcom vytvárať a udržiavať repliky kritických virtuálnych prostredí, čím poskytuje rýchlu možnosť núdzového prepnutia v prípade katastrofy alebo iných prerušení.
• Obnovu: Nástroj poskytne rôzne možnosti obnovy, ako je úplná obnova VM, okamžitá obnova VM, obnova na úrovni súboru a obnova položky aplikácie, čo správcom umožní vybrať si najvhodnejšiu možnosť na základe svojich potrieb a konkrétneho scenára katastrofy.
• Vytváranie záložných kópií: Riešenie umožní správcom vytvárať a ukladať viaceré kópie záloh na rôznych miestach, čím sa zvyšuje ochrana údajov a zabezpečuje sa súlad so zásadami uchovávania údajov (redundancia).
• Možnosť šifrovania záloh: Riešenie umožní zapnúť dodatočnú ochranu dát formou šifrovania záloh a samozrejme ich automatického dešifrovania v prípade realizácie obnovy.

Súčasťou riešenia bude aj technologické vybavenie pre bezpečné uloženie záloh - dodanie NAS (Network Acces Stoarage) s dostatočnou diskovou kapacitou a RAID technológiou pre uloženie záloh v primárnej a rovnako aj sekundárnej lokalite a nastavenie automatickej replikácie záloh z primárnej do sekundárnej lokality.

Súčasťou riešenia musia byť supportované licencie pre existujúce riešenie Veeam, konkrétne Veeam Backup & Replication Enterprise vo vlastníctve ZSKE po celú dobu poskytovania služby a taktiež aj vytvorenie dostatočnej lokálnej kapacita na ukladanie záloh mimo hlavnej serverovne pri nastavení služby (NAS).

Požiadavky na NAS:

• RackStation 2,2GHz, 4GBRAM, 8xSATA, 2xUSB3.0
• záruka 5 rokov
• kapacita 22 TB SATA, 6Gb/s, 256MB cache, 7200 ot. – 6ks
• čítanie / zápis dát min.: 2300 / 1100 MB/s
• podpora sieťových kariet 10GbE SFP+/RJ-45 a 25GbE SFP28
• redundantný zdroj napájania
• technická a systémová podpora 8/5.

Riešenie musí obsahovať:

• pokročilú technológiu vytvárania snímkou zaisťujúcu plánovateľnú a temer okamžitú ochranu dát zdieľaných zložiek a jednotiek LUN,
• obnovu dát na úrovni súborov a zložiek s obnovením konkrétnych súborov alebo zložiek,
• flexibilný systém kvóty pre zálohy,
• automatické opravy súborov napr. pomocou zrkadlených metadát a konfiguráciou RAID,
• vloženú komprimáciu dát pred zápisom na disk,
• možnosť integrácie s ľubovoľnou virtualizačnou platformou,
• zálohovanie bez licencií určených k ochrane počítačov a serverov so systémom Windows,
• virtuálnych počítačov, ďalších súborových serverov a cloudových aplikácií,
• konsolidáciu úloh zálohovania pre fyzické i virtuálne prostredie s možnosťou rýchleho obnovenia súborov, celých fyzických počítačov a virtuálnych počítačov,
• zálohovanie v prostredí Google Workspace, Gmail, kontaktov, kalendárov a služby Drive zálohovanie dát sady Microsoft 365, OneDrive for Business, SharePoint Online, e-mailov, kontaktov a kalendárov.

Požiadavky na HW pre systém zálohovania:

• on-site riešenie,
• nezávislé sieťové úložisko s umiestnením mimo priestorov aktívnej IT technológie, ktorej zálohy má uchovávať,
• form factor: 2U, montáž do 19" racku, 12 pozícií na 3,5" disky,
• 4x CPU, s min. 8 jadrami, kompatibilita s inštrukčným setom x86_64; výkon CPU min. 18.000 bodov podľa testu PassMark - CPU Mark,
• 64GB RAM (4x 16GB TruDDR4 3200MHz),
• 5x 3.5" 6TB 7.2K SAS 12Gb Hot Swap 512e HDD (4ks v RAID5 + 1 spare disk), životnosť min. 0,5 DWPD (Drive Writes per Day) za obdobie 5 rokov alebo ekvivalent,
• pripojenie do siete LAN: min. 4x 1Gb/s,
• redundantné napájacie zdroje, napájanie 230 VAC,
• montážny úchyt do racku formou vysúvateľných „lyžín“,
• 3 roky záruka na všetky HW komponenty, vrátane diskov a napájacích zdrojov; v prípade poruchy disku je požadované dodanie náhradného disku do miesta inštalácie nasledujúci pracovný deň (NBD) a ponechanie disku na mieste u používateľa,
• interné diskové kontroléry musia byť kompatibilné so serverovou virtualizačnou technológiou VMware vSphere 7.x Essential Plus,
• dodávka, implementácia + vrátane zavedenia procesu zálohovania a testu obnovy zo zálohy, ako aj zaškolenia používateľov/systémových adminov.

3.2.2        Rozsah informačných systémov – AS IS

Implementované bezpečnostné riešenia sa budú dotýka najmä zvýšenia ochrany a bezpečnosti nasledovných IS:

Čiastočne a okrajovo sa implementované bezpečnostné opatrenia a riešenia budú dotýkať aj nasledovných infraštruktúrnych a podporných IS, ktoré ale nie sú ISVS:

3.2.3        Rozsah informačných systémov – TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.2.4        Využívanie nadrezortných a spoločných ISVS – AS IS

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.2.5        Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.2.6        Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.2.7        Aplikačné služby pre realizáciu koncových služieb – TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.2.8        Aplikačné služby na integráciu – TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.2.9        Poskytovanie údajov z ISVS do IS CSRÚ – TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.2.10      Konzumovanie údajov z IS CSRU – TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.3        Dátová vrstva

Z pohľadu dátového modelu nejde o typické biznis (agendové) dáta ale o dáta typu:

• Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. – ako výstupy aktivity projektu určené pre ďalšie riadenie rozvoja KIB,
• bezpečnostné konfigurácie a bezpečnostné dáta (napr. logy) – pre fungovanie jednotlivých bezpečnostných komponentov.

Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. sú určené pre proces riadenia KIB.

Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie bezpečnostných modulov, t.j. jednotlivé komponenty tohto navrhovaného riešenia a zároveň reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov.

3.3.1        Údaje v správe organizácie

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.3.2        Dátový rozsah projektu - Prehľad objektov evidencie - TO BE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.3.3        Referenčné údaje

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.3.4        Kvalita a čistenie údajov

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.3.5        Otvorené údaje

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.3.6        Analytické údaje

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.3.7        Moje údaje

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.3.8        Prehľad jednotlivých kategórií údajov

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.4        Technologická vrstva

3.4.1        Prehľad technologického stavu - AS IS a TO BE

V rámci as-is stavu dnes v rámci ZSKE neexistuje bezpečnostná technológia, ktorá je predmetom tohto projektu.

Z pohľadu to-be bude finálna technologická vrstva závislá od výsledkov verejného obstarávania a technológie, ktorú ponúkne víťazný uchádzač.

Niektoré bezpečnostné riešenia totižto poskytujú viacero alternatív a dajú sa implementovať napr. ako virtuálny appliance, ale prípadne aj ako HW appliance. Predpokladom však je, že väčšina bezpečnostných riešení bude nasadená do virtuálneho prostredia ZSKE, a niektoré riešenia budú nasadené ako samostatný HW appliance, prípadne budú nasadení rôzni agenti do infraštruktúry ZSKE.

Vzhľadom na uvedené skutočnosti predpokladáme „high level“ technologickú architektúru tak, ako je uvedené na nasledujúcom obrázku:

3.4.2        Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE

Predpokladané výkonnostné parametre a kapacitné požiadavky sú, tam kde je to relevantné, uvedené v popise aplikačnej architektúry jednotlivých aplikačných funkcií a aplikačných modulov.

3.4.3        Návrh riešenia technologickej architektúry – popísané vyššie v rámci ASIS -TOBE

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.4.4        Využívanie služieb z katalógu služieb vládneho cloudu

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

3.5        Bezpečnostná architektúra

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia.

4.     Závislosti na ostatné ISVS / projekty

Bez závislostí na iné projekty.

5.     Zdrojové kódy

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

Riešenie nepredpokladá vývoj softvéru, ale použitie komerčných bezpečnostných produktov a zariadení.

6.     Prevádzka a údržba

Aktivita podpora Governance v oblasti KIB si nevyžaduje žiadnu budúcu prevádzku, nakoľko ide len o analytické a konzultačné práce, ktorých výstupy budú použité pre proces riadenia KIB (Governance). Výstupy Governance aktivít samozrejme tiež budú musieť byť udržiavané a rozvíjané, to by však malo byť realizované pomocou interných zamestnancov a v rámaci existujúceho DMS systému bez priameho vplyvu na rozpočet.

Pre aktivity napr.:

• nasadenie nástroja na evidenciu aktív,
• nástroja na riadenie identít a prístupov,
• autentifikácie zariadení v sieti a 2FA,
• nástroja pre zálohovanie

sú rámcové požiadavky na prevádzku a údržbu zadefinované nižšie.

6.1        Prevádzkové požiadavky

Všetky ďalšie parametre a požiadavky na prevádzku a údržbu sa týkajú už len nasledovných aktivít:

• nasadenie nástroja na evidenciu aktív,
• nástroja na riadenie identít a prístupov,
• autentifikácie zariadení v sieti a 2FA.

6.1.1        Úrovne podpory používateľov

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

6.1.2        Riešenie incidentov – SLA parametre

Označenie naliehavosti incidentu:

možný dopad:

 Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

Vyžadované reakčné doby:

6.2        Požadovaná dostupnosť IS:

6.2.1        Dostupnosť (Availability)

Požadovaná dostupnosť pre aktivity projektu:

• nasadenie nástroja na evidenciu aktív,

je:

• 96% dostupnosť znamená výpadok 15 dní.

Požadovaná dostupnosť pre aktivity projektu:

• nástroja na riadenie identít a prístupov,
• autentifikácie zariadení v sieti a 2FA,

je:

• 98,5% dostupnosť znamená výpadok 8,25 dňa.

6.2.2        RTO (Recovery Time Objective)

Zavedenie aktivity:

• nasadenie nástroja na evidenciu aktív,

si budú vyžadovať prvý stupeň, t.j. postupnú obnovu.

RTO pre tieto aktivity je definované na 3 dni.

Zavedenie aktivít:

• nástroja na riadenie identít a prístupov,
• autentifikácie zariadení v sieti a 2FA

si budú vyžadovať tretí stupeň, t.j. „rýchlu“ obnovu.

RTO pre tieto aktivity je definované na 1 deň.

6.2.3        RPO (Recovery Point Objective)

Aktivita:

• nasadenie nástroja na evidenciu aktív,

si bude vyžadovať len tradičné zálohovanie, avšak RPO pre tieto aktivity je definované na 3 dni.

Aktivita:

• nástroja na riadenie identít a prístupov,
• autentifikácie zariadení v sieti a 2FA

si bude vyžadovať len tradičné zálohovanie, avšak RPO pre tieto aktivity je definované na 24 hodín.

7.     Požiadavky na personál

Požiadavky sú popísané v dokumente Projektový zámer.

8.     Implementácia a preberanie výstupov projektu

V projekte neprebieha vývoj/implementácia.

9.     Prílohy