Wiki zdrojový kód pre pristup_k_projektu
Version 3.2 by ivana_pukajova on 2024/11/07 09:37
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | **PRÍSTUP K PROJEKTU** | ||
| 2 | |||
| 3 | **manažérsky výstup I-03** | ||
| 4 | |||
| 5 | **podľa vyhlášky MIRRI č. 401/2023 Z. z.** | ||
| 6 | |||
| 7 | \\ | ||
| 8 | |||
| 9 | \\ | ||
| 10 | |||
| 11 | (% class="" %)|((( | ||
| 12 | Povinná osoba | ||
| 13 | )))|((( | ||
| 14 | Záchranná služba Košice | ||
| 15 | |||
| 16 | |||
| 17 | ))) | ||
| 18 | (% class="" %)|((( | ||
| 19 | Názov projektu | ||
| 20 | )))|((( | ||
| 21 | Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – Záchranná služba Košice | ||
| 22 | ))) | ||
| 23 | (% class="" %)|((( | ||
| 24 | Zodpovedná osoba za projekt | ||
| 25 | )))|((( | ||
| 26 | Erik Bašista (Projektový manažér) | ||
| 27 | ))) | ||
| 28 | (% class="" %)|((( | ||
| 29 | Realizátor projektu | ||
| 30 | )))|((( | ||
| 31 | Záchranná služba Košice | ||
| 32 | ))) | ||
| 33 | (% class="" %)|((( | ||
| 34 | Vlastník projektu | ||
| 35 | )))|((( | ||
| 36 | Záchranná služba Košice | ||
| 37 | ))) | ||
| 38 | |||
| 39 | **~ ** | ||
| 40 | |||
| 41 | **Schvaľovanie dokumentu** | ||
| 42 | |||
| 43 | (% class="" %)|((( | ||
| 44 | Položka | ||
| 45 | )))|((( | ||
| 46 | Meno a priezvisko | ||
| 47 | )))|((( | ||
| 48 | Organizácia | ||
| 49 | )))|((( | ||
| 50 | Pracovná pozícia | ||
| 51 | )))|((( | ||
| 52 | Dátum | ||
| 53 | )))|((( | ||
| 54 | Podpis | ||
| 55 | |||
| 56 | (alebo elektronický súhlas) | ||
| 57 | ))) | ||
| 58 | (% class="" %)|((( | ||
| 59 | Vypracoval | ||
| 60 | )))|((( | ||
| 61 | Pavol Sokol | ||
| 62 | )))|((( | ||
| 63 | Záchranná služba Košice | ||
| 64 | )))|((( | ||
| 65 | Manažér kybernetickej bezpečnosti | ||
| 66 | )))|((( | ||
| 67 | 3.7.2024 | ||
| 68 | )))|((( | ||
| 69 | |||
| 70 | ))) | ||
| 71 | |||
| 72 | **~ ** | ||
| 73 | |||
| 74 | = {{id name="projekt_2813_Pristup_k_projektu_detailny-1.Históriadokumentu"/}}1. História dokumentu = | ||
| 75 | |||
| 76 | (% class="" %)|((( | ||
| 77 | Verzia | ||
| 78 | )))|((( | ||
| 79 | Dátum | ||
| 80 | )))|((( | ||
| 81 | Zmeny | ||
| 82 | )))|((( | ||
| 83 | Meno | ||
| 84 | ))) | ||
| 85 | (% class="" %)|((( | ||
| 86 | 0.1 | ||
| 87 | )))|((( | ||
| 88 | 7.6.2024 | ||
| 89 | )))|((( | ||
| 90 | Pracovný návrh | ||
| 91 | )))|((( | ||
| 92 | Pavol Sokol | ||
| 93 | ))) | ||
| 94 | (% class="" %)|((( | ||
| 95 | 0.2 | ||
| 96 | )))|((( | ||
| 97 | 3.7.2024 | ||
| 98 | )))|((( | ||
| 99 | Zapracovanie pripomienok | ||
| 100 | )))|((( | ||
| 101 | Pavol Sokol | ||
| 102 | ))) | ||
| 103 | |||
| 104 | \\ | ||
| 105 | |||
| 106 | |||
| 107 | |||
| 108 | = {{id name="projekt_2813_Pristup_k_projektu_detailny-2.Popisnavrhovanéhoriešenia"/}}2. Popis navrhovaného riešenia = | ||
| 109 | |||
| 110 | |||
| 111 | |||
| 112 | Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – Záchranná služba Košice (ďalej ako „ZSKE“) má za cieľ zvýšiť úroveň informačnej a kybernetickej bezpečnosti v sektore verejnej správy. | ||
| 113 | |||
| 114 | Projekt v rámci výzvy poskytuje prostriedky na realizáciu základných stavebných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti. Oblasti bezpečnosti, na ktoré organizácia žiada podporu v rámci tohto projektu (výzvy) predstavujú základný rámec („baseline"), ktorý by mal byť implementovaný. Aktuálny stav implementácie týchto bezpečnostných služieb a funkcií je nízky, preto žiadame o podporu v rámci tohto definovaného rámca. Budúce riešenie základného rámca zabezpečenia informačnej a kybernetickej bezpečnosti na úrovni biznis architektúry by malo pozostávať najmä z nasledovných bezpečnostných riešení: | ||
| 115 | |||
| 116 | * Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia informačnej a kybernetickej bezpečnosti (ďalej len „KIB“). | ||
| 117 | * Analytické aktivity zavedenia bezpečnostných opatrení a riešení. | ||
| 118 | * Implementačné aktivity bezpečnostných riešení. | ||
| 119 | * Pre-financovanie spracovania žiadosti o NFP. | ||
| 120 | |||
| 121 | Jednotlivé biznis funkcie a bezpečnostné procesy ako aj popis ďalších úrovni architektúry riešenia sú uvedené v nasledujúcich kapitolách. | ||
| 122 | |||
| 123 | \\ | ||
| 124 | |||
| 125 | = {{id name="projekt_2813_Pristup_k_projektu_detailny-3.Architektúrariešeniaprojektu"/}}3. Architektúra riešenia projektu = | ||
| 126 | |||
| 127 | |||
| 128 | |||
| 129 | Tento projekt predstavuje riešenie základných stavebných blokov bezpečnostnej architektúry a zároveň aj ďalšie bezpečnostné funkcie realizované v organizácii. Organizácia nedisponuje bezpečnostnou funkcionalitou v oblasti evidencie a správy aktív, riadenia prístupov a bezpečného zálohovania a ochrany záloh. | ||
| 130 | |||
| 131 | Z uvedeného dôvodu bude projekt primárne zameraný na implementáciu riešenia pre centralizovanú správu a manažment aktív, centralizované a jednotné riešenie pre správu identít a najmä riadenia prístupov do jednotlivých IS a riešenie pre automatické zálohovanie a vytvorenie redundantnej kópie záloh mimo hlavnej serverovne. | ||
| 132 | |||
| 133 | Okrem toho projekt zabezpečí aj zrealizovanie povinných pravidelných aktivít vyžadovaných legislatívou, ako je najmä aktualizácia bezpečnostnej dokumentácie, inventarizácie aktív, klasifikácie informácií, kategorizácie IS a najmä analýzy rizík a analýzy dopadov. | ||
| 134 | |||
| 135 | Keďže nejde o implementáciu agendového alebo iného obdobného informačného systému verejnej správy, tak v tomto duchu je upravený aj popis jednotlivých úrovni architektúry. Najmä v prípade poskytnutia podpory pre iné ako governance aktivity, kde sa predpokladá aj implementácia bezpečnostných systémov, zariadení alebo technických riešení, sú rovnako jednotlivé bloky architektúry rozpísané spôsobom zohľadňujúcim uvedené skutočnosti. | ||
| 136 | |||
| 137 | \\ | ||
| 138 | |||
| 139 | Pri biznis architektúre je potrebné si uvedomiť, že projekt, resp. jeho aktivity nerealizujú typické služby eGovernment-u a VS, ale ide o služby na úrovni bezpečnostnej architektúry, a ako také a z tohto dôvodu, nie sú vedené ako aplikačné služby v MetaIS. | ||
| 140 | |||
| 141 | Zároveň je potrebné uviesť, že architektúra pre as-is stav nie je uvedená z dôvodu, že aktuálne tieto služby bezpečnostnej architektúry nie sú implementované, prípadne sú implementované len čiastočne na nepostačujúcej úrovni. | ||
| 142 | |||
| 143 | Úrovne architektúry sú ďalej rozpísané podľa jednotlivých aktivít projektu a biznis bezpečnostných funkcií. | ||
| 144 | |||
| 145 | Špecifikácia výstupov jednotlivých aktivít je uvedená v kapitole Požadované výstupy (produkt projektu) v dokumente Projektový zámer. | ||
| 146 | |||
| 147 | |||
| 148 | |||
| 149 | == {{id name="projekt_2813_Pristup_k_projektu_detailny-3.1Biznisvrstva"/}}3.1 Biznis vrstva == | ||
| 150 | |||
| 151 | |||
| 152 | |||
| 153 | Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy: | ||
| 154 | |||
| 155 | * Riadenie aktív a riadenie rizík. | ||
| 156 | ** Proces evidencie a správy aktív. | ||
| 157 | ** Proces klasifikácie informácií a kategorizácie IS a sietí. | ||
| 158 | ** Proces realizácie AR/BIA. | ||
| 159 | ** Proces rozhodovania ohľadom riadenia identifikovaných rizík. | ||
| 160 | * Riadenie prístupov. | ||
| 161 | ** Proces riadenia identít a prístupov k jednotlivým IS. | ||
| 162 | ** Proces „hardeningu“ AD. | ||
| 163 | ** Proces viac-faktorovej autentifikácie pre privilegovaných používateľov. | ||
| 164 | ** Proces autentifikácie a prístupu k sieti len autorizovaných zariadení | ||
| 165 | * Riadenie kontinuity činností. | ||
| 166 | ** Proces zálohovania. | ||
| 167 | ** Proces ochrany a redundancie záloh. | ||
| 168 | |||
| 169 | |||
| 170 | |||
| 171 | Okrem uvedených biznis funkcií je projekt zameraný aj na podporu pre oblasti: | ||
| 172 | |||
| 173 | * governance KIB a bezpečnostná dokumentácia, | ||
| 174 | * zavedenie procesov riadenia KIB pre všetky relevantné oblasti riadenia. | ||
| 175 | |||
| 176 | |||
| 177 | |||
| 178 | |||
| 179 | |||
| 180 | |||
| 181 | |||
| 182 | |||
| 183 | |||
| 184 | Jednotlivé biznis funkcie bezpečnostnej architektúry sú znázornené na nasledovnom obrázku: | ||
| 185 | |||
| 186 | [[image:attach:image-2024-7-3_18-49-37-1.png||height="400"]] | ||
| 187 | |||
| 188 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}3.1.1 Prehľad koncových služieb – budúci stav: === | ||
| 189 | |||
| 190 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 191 | |||
| 192 | |||
| 193 | |||
| 194 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.1.2Jazykovápodporaalokalizácia"/}}3.1.2 Jazyková podpora a lokalizácia === | ||
| 195 | |||
| 196 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 197 | |||
| 198 | |||
| 199 | |||
| 200 | == {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2Aplikačnávrstva"/}}3.2 Aplikačná vrstva == | ||
| 201 | |||
| 202 | Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi: | ||
| 203 | |||
| 204 | |||
| 205 | |||
| 206 | [[image:attach:image-2024-7-3_18-49-56-1.png||height="400"]] | ||
| 207 | |||
| 208 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.1Požiadavkynajednotlivékomponenty"/}}3.2.1 Požiadavky na jednotlivé komponenty === | ||
| 209 | |||
| 210 | |||
| 211 | |||
| 212 | Požiadavky na jednotlivé aplikačné komponenty pre vyššie uvedené aplikačné služby sú nasledovné: | ||
| 213 | |||
| 214 | **__ __** | ||
| 215 | |||
| 216 | **__Správa dokumentov__** | ||
| 217 | |||
| 218 | V rámci tejto aplikačnej služby bude na správu bezpečnostnej dokumentácie vytvorenej počas projektu využitý existujúci Dokument manažment systém ZSKE. | ||
| 219 | |||
| 220 | |||
| 221 | |||
| 222 | **__Riadenie aktív__** | ||
| 223 | |||
| 224 | Za účelom identifikácie aktív a ich ďalšej správy bude nasadená samostatná aplikácia pre evidenciu a manažment aktív (ITAM – IT asset management). | ||
| 225 | |||
| 226 | Nástroj umožní systematický prístup k získavaniu, objavovaniu (discovering), sledovaniu, správe a optimalizácii IT aktív organizácie. Tieto aktíva zahŕňajú najmä hardvér, softvér, licencie a iné digitálne zdroje. ITAM bude slúžiť ako základný strategický rámec, ktorý pomôže organizácii získať komplexný prehľad o ich IT infraštruktúre, čo umožní informované rozhodovanie, kontrolu nákladov a zmierňovanie rizík. | ||
| 227 | |||
| 228 | ITAM poskytne najmä: | ||
| 229 | |||
| 230 | * Centralizovanú správu akéhokoľvek typu majetku vrátane hardvéru, softvéru, mobilných a prípadne aj nesieťových zariadení. | ||
| 231 | * Automatické zisťovanie nového hardvéru v sieti a softvéru na zariadeniach. | ||
| 232 | ** Skenovanie – spúšťanie kontrol, ktoré zachytávajú sieťové aktíva a umožňujú vytvárať si vlastné vzory skenovania za účelom identifikácie špecializovaných aktív a spúšťanie skenovanie podľa stanoveného plánu a zasielanie emailových notifikácií v prípade zistenia zmien. | ||
| 233 | * Úzku integráciu do procesov obstarávania na sledovanie nákupov, využitia zdrojov, zmlúv a licencií. | ||
| 234 | * Zdroje pre analýzu a riadenie rizík a súladu s legislatívnymi požiadavkami. | ||
| 235 | * Integrovanú „Configuration Management“ databázu (CMDB) alebo previazanie na samostatnú CMDB vrátane mapovania závislostí, korelácie aktív a incidentov a analýz dopadov zmien. | ||
| 236 | ** Vizualizáciu toho čo je uložené v CMDB, pre ľahšiu interpretáciu výsledkov a efektívnejšiu správu. | ||
| 237 | ** Mapovanie vzťahov – zobrazenie vzťahov medzi konfiguračnými položkami (tzv. „servisná mapa“). | ||
| 238 | ** Metriky a analytika – učenie sa z aktuálnych konfigurácií a vykonávanie optimalizácie pomocou aktuálnych metrík a analýz. | ||
| 239 | |||
| 240 | Súčasťou aktivity je samozrejme aj prvotná identifikácia a evidencia všetkých informačných aktív ZSKE a ich nahratie do ITAM. | ||
| 241 | |||
| 242 | |||
| 243 | |||
| 244 | **__Riadenie identít a prístupov (IDAM)__** | ||
| 245 | |||
| 246 | Centrálny nástroj na riadenie všetkých identít (používateľov IKT ZS KE – cca 750 používateľov) a najmä riadenie (prideľovanie, zmena, odoberanie) prístupov do IS v správe ZS KE. | ||
| 247 | |||
| 248 | Nástroj IDAM poskytne najmä nasledovné základné funkcie: | ||
| 249 | |||
| 250 | * Správa identít: Registrácia, aktualizácia a vymazanie používateľských účtov. | ||
| 251 | * Autentifikácia: Overovanie identity používateľov pri prístupe do systému. | ||
| 252 | * Autorizácia: Kontrola prístupových práv na základe používateľských rolí a politiky prístupu. | ||
| 253 | * Správa rolí a povolení: Definovanie a priradenie rolí, ktoré určujú, k akým zdrojom a funkciám majú používatelia prístup. | ||
| 254 | |||
| 255 | Základné požiadavky na bezpečnosť: | ||
| 256 | |||
| 257 | * Dvojfaktorová autentifikácia (2FA): Dodatočný bezpečnostný krok na zvýšenie ochrany účtov. | ||
| 258 | * Šifrovanie údajov: Šifrovanie citlivých údajov pri prenose a v úložisku. | ||
| 259 | * Audit a monitorovanie: Záznam a sledovanie prístupu a činností používateľov pre zabezpečenie a forenznú analýzu. | ||
| 260 | * Súlad s predpismi: Dodržiavanie relevantných zákonov a noriem, ako sú napr. GDPR. | ||
| 261 | |||
| 262 | Požiadavky na integráciu a interoperabilitu: | ||
| 263 | |||
| 264 | * Integrácia s LDAP a Active Directory: Možnosť integrácie s existujúcimi adresárovými službami. | ||
| 265 | * Podpora štandardných protokolov: Podpora protokolov ako SAML, OAuth, OpenID Connect pre interoperabilitu s inými systémami. | ||
| 266 | * API prístup: Rozhranie umožňujúce integráciu IAM systému s ďalšími aplikáciami a službami. | ||
| 267 | |||
| 268 | Užívateľská skúsenosť: | ||
| 269 | |||
| 270 | * Samostatná správa účtu: Používatelia môžu samostatne meniť svoje heslá, obnovovať zabudnuté heslá a aktualizovať osobné údaje. | ||
| 271 | * Centralizovaný prístupový portál: Jednotné prihlasovanie (SSO) umožňuje používateľom prístup k viacerým aplikáciám a službám pomocou jedného prihlásenia. | ||
| 272 | * Mobilná podpora: Prístup k IAM funkcionalite prostredníctvom mobilných zariadení. | ||
| 273 | |||
| 274 | Požiadavky na výkon a škálovateľnosť: | ||
| 275 | |||
| 276 | * Vysoká dostupnosť: Zabezpečenie nepretržitého prístupu k IAM službám prostredníctvom redundancie a záložných riešení. | ||
| 277 | * Škálovateľnosť: Systém musí byť schopný rásť a prispôsobovať sa zvýšeným požiadavkám na počet používateľov a objem prenosu dát. | ||
| 278 | |||
| 279 | Požiadavky na správu a údržbu: | ||
| 280 | |||
| 281 | * Jednoduchosť nasadenia: Podpora pre rýchle a efektívne nasadenie systému v rôznych IT prostrediach. | ||
| 282 | * Aktualizácie a údržba: Pravidelné aktualizácie softvéru a bezpečnostné záplaty. | ||
| 283 | * Podpora a dokumentácia: Dostupnosť technickej podpory a podrobnej dokumentácie pre administrátorov a používateľov. | ||
| 284 | |||
| 285 | Súčasťou riešenia bude aj re-konfigurácia a “hardening” existujúceho AD riešenia najmä vo väzbe na implementované IDAM riešenie a z dôvodu zvýšenia úrovne bezpečnosti samotného AD („security hardening“ podľa štandardov a „best practise“). Okrem toho dôjde aj k zriadeniu tenanta O365 pre zavedenie dvojfaktorovej autentifikácie. Zavedenie O365 tenanta umožní oddelenú správu skupín privilegovaných používateľov, čo zlepší organizáciu a zníži riziko chýb pri administrácii. Úprava existujúceho Active Directory zabezpečí kompatibilitu autentifikačnej infraštruktúry s novými technológiami a metódami autentifikácie. | ||
| 286 | |||
| 287 | |||
| 288 | |||
| 289 | **__Riadenie prístupov – Identifikácia a autentifikácia - Zavedenie 2FA (dvoj-faktorová autentifikácia)__** | ||
| 290 | |||
| 291 | Zavedenie 2FA umožní zvýšenie úrovne identifikácie a najmä autentifikácie pracovníkov, ale aj zvýšenie úrovne bezpečnosti pri správe IKT z pozície tzv. „privilegovaných používateľov", resp. administrátorov systémov. Dvojfaktorová autentifikáciu je v súčasnosti takmer nevyhnutnou formou zabezpečenia takmer všetkých účtov a služieb, ktoré sú dôležité. Dvojfaktorová autentifikácia umožní ochrániť od neautorizovaného prístupu útočníkov aj v prípade ak získajú prihlasovacie údaje, nakoľko sa nedostanú cez overenie v druhom kroku. | ||
| 292 | |||
| 293 | Dvojfaktorová autentifikácia bude riešená Tokenmi generovanými mobilnou aplikáciou. 2FA je v projekte nastavená pre administrátorov, resp. „privilegovaných používateľov“, ktorí pri prístupe k správe prideleného IS budú mať k dispozícii aplikáciu v mobilnom telefóne, ktorá zabezpečí druhý autentifikačný faktor. | ||
| 294 | |||
| 295 | Funkčné a výkonové požiadavky: | ||
| 296 | |||
| 297 | * riešenie využívajúce softvérový autentifikátor dostupný pre platformy mobilných telefónov iOS a Android. | ||
| 298 | * auto-aktivácia používateľa bez potreby prítomnosti správcu systému, | ||
| 299 | * možnosť distribúcie autorizačného kódu autentifikácie druhého faktoru: | ||
| 300 | ** formou výzvy (push notifikácia), | ||
| 301 | ** formou SMS, | ||
| 302 | * pre všetkých „privilegovaných používateľov“ (do 50 administrátorov), | ||
| 303 | * integrácia s AD, | ||
| 304 | * prideľovanie oprávnení správcom na základe rolí (vlastník systému, IT správca systému, Správca integrácií, Správca používateľov, Podpora používateľov/Helpdesk), | ||
| 305 | * možnosť vytvárania skupín používateľov a zaraďovanie používateľov do skupín, | ||
| 306 | * možnosť vytvárania politík a ich aplikovanie: | ||
| 307 | ** na skupiny používateľov, | ||
| 308 | ** na používateľa podľa jeho geo-lokácie, | ||
| 309 | ** na používateľa na základe stavu bezpečnosti jeho terminálu, ktorým sa pripája, | ||
| 310 | ** na používateľa na základe stavu bezpečnosti mobilného zariadenia používateľa používaného na distribúciu autorizačného kódu, | ||
| 311 | ** na základe jednotlivých integrácií, | ||
| 312 | * logovanie: | ||
| 313 | ** histórie prístupov používateľov (meno, dátum, čas, terminál používateľa, sprístupnený systém, geo-lokácia IP adresy, atď.), | ||
| 314 | ** informácií o mobilných zariadeniach používateľov použitých na distribúciu autorizačného kódu, | ||
| 315 | ** úspešných aj neúspešných prihlásení, | ||
| 316 | * automatická detekcia anomálií a rizika pri prihlasovaní. | ||
| 317 | |||
| 318 | |||
| 319 | |||
| 320 | **__Riadenie prístupov – Identifikácia a autentifikácia zariadení v sieti (NAC)__** | ||
| 321 | |||
| 322 | Zavedenie NAC - riadenia prístupu do siete podľa štandardu IEEE 802.1x vrátane autentifikačného servera RADIUS bude dôležitou súčasťou modernej architektúry sietí ZSKE. NAC zabezpečí, že len autorizovaní a overení používatelia a zariadenia môžu pristupovať k sieti (ako káblovej, tak aj bezdrôtovej). Pomôže splniť bezpečnostné požiadavky regulácií a noriem. Umožní auditovanie a záznam autentifikačných pokusov, čím zabezpečí, že citlivé zdroje budú dostupné iba pre oprávnených používateľov a zariadenia. Súčasťou riešenia bude aj prvotné nastavenie prístupových oprávnení pre základné skupiny a vytvorenie návodu (dokumentácie) pre replikáciu nastavení u ďalších skupín. | ||
| 323 | |||
| 324 | V rámci projektu bude dodané technologické vybavenie pre autentifikáciu zariadení v sieti ZSKE (802.1x) pre cca 500 zariadení, vrátane autentifikačného servera (RADIUS) a PKI infraštruktúra pre generovanie a distribúciu šifrovacích kľúčov. | ||
| 325 | |||
| 326 | Zavedenie PKI (Public Key Infrastructure) umožní realizáciu robustného šifrovania a digitálnych podpisov na ochranu dát pred odpočúvaním a zabezpečí integritu komunikácie a bezpečnosť autentifikačného procesu zariadení. PKI systém umožní správu, distribúciu a validáciu digitálnych certifikátov, čím zabezpečí bezpečnú komunikáciu a autentifikáciu pomocou šifrovania a digitálnych podpisov. | ||
| 327 | |||
| 328 | Základné funkcie NAC systému: | ||
| 329 | |||
| 330 | * Autentifikácia používateľov a zariadení: Overovanie identity používateľov a zariadení pri prístupe do siete. | ||
| 331 | * Autorizácia: Prideľovanie prístupových práv na základe overených identít a politiky prístupu. | ||
| 332 | * Správa prístupu: Kontrola a monitorovanie prístupu k sieťovým zdrojom na základe definovaných pravidiel a politiky. | ||
| 333 | |||
| 334 | RADIUS (Remote Authentication Dial-In User Service): | ||
| 335 | |||
| 336 | * Centralizovaná autentifikácia: Použitie RADIUS servera na centralizované overovanie používateľov a zariadení. | ||
| 337 | * Podpora EAP (Extensible Authentication Protocol): Rôzne metódy autentifikácie cez EAP, vrátane EAP-TLS, PEAP, EAP-TTLS. | ||
| 338 | * Správa a protokolovanie: Zaznamenávanie všetkých autentifikačných pokusov a ich výsledkov pre účely auditu a monitoringu. | ||
| 339 | * Integrácia s adresárovými službami: Podpora integrácie s LDAP, Active Directory a ďalšími adresárovými službami na získavanie autentifikačných údajov. | ||
| 340 | |||
| 341 | PKI (Public Key Infrastructure): | ||
| 342 | |||
| 343 | * Digitálne certifikáty: Využitie digitálnych certifikátov pre overovanie identity používateľov a zariadení. | ||
| 344 | * Certifikačná autorita (CA): Implementácia, správa a revokácia certifikátov. | ||
| 345 | * Distribúcia certifikátov: Mechanizmy na bezpečnú distribúciu a inštaláciu certifikátov na používateľských zariadeniach. | ||
| 346 | * Správa životného cyklu certifikátov: Automatizované procesy pre obnovovanie a odvolávanie certifikátov. | ||
| 347 | |||
| 348 | Bezpečnosť: | ||
| 349 | |||
| 350 | * Šifrovanie prenosu: Ochrana dát prenášaných v rámci siete pomocou šifrovacích protokolov. | ||
| 351 | * Audit a monitorovanie: Sledovanie a zaznamenávanie prístupov a pokusov o prístup pre účely bezpečnosti a forenznej analýzy. | ||
| 352 | * Súlad s predpismi: Dodržiavanie bezpečnostných štandardov a zákonov, ako sú GDPR a pod. | ||
| 353 | |||
| 354 | Integrácia a interoperabilita: | ||
| 355 | |||
| 356 | * Integrácia s existujúcimi infraštruktúrami: Podpora pre integráciu s Active Directory, LDAP a ďalšími adresárovými službami. | ||
| 357 | * Podpora štandardných protokolov: Implementácia štandardov ako RADIUS, EAP (Extensible Authentication Protocol) pre širokú kompatibilitu. | ||
| 358 | * API prístup: Možnosť integrácie s inými bezpečnostnými systémami a sieťovými zariadeniami cez API. | ||
| 359 | |||
| 360 | Užívateľská skúsenosť: | ||
| 361 | |||
| 362 | * Jednoduché pripojenie: Automatické pripojenie overených zariadení a používateľov k sieti bez zbytočných komplikácií. | ||
| 363 | * Self-service portál: Portál pre používateľov, kde môžu spravovať svoje zariadenia a prístupové práva. | ||
| 364 | * Podpora rôznych zariadení: Prístup k sieti z rôznych typov zariadení vrátane počítačov, mobilných telefónov a tabletov. | ||
| 365 | |||
| 366 | Výkon a škálovateľnosť: | ||
| 367 | |||
| 368 | * Vysoká dostupnosť: Zabezpečenie nepretržitého prístupu k sieti prostredníctvom redundantných riešení a záložných systémov. | ||
| 369 | * Škálovateľnosť: Schopnosť systému rásť a prispôsobovať sa zvýšeným nárokom na počet zariadení a objem prenosu dát. | ||
| 370 | |||
| 371 | Správa a údržba: | ||
| 372 | |||
| 373 | * Jednoduchosť nasadenia: Možnosť rýchleho a efektívneho nasadenia systému v rôznych sieťových prostrediach. | ||
| 374 | * Aktualizácie a údržba: Pravidelné aktualizácie softvéru a bezpečnostné záplaty na zabezpečenie ochrany pred najnovšími hrozbami. | ||
| 375 | * Podpora a dokumentácia: Dostupnosť technickej podpory a podrobnej dokumentácie pre administrátorov a používateľov. | ||
| 376 | |||
| 377 | Politika prístupu: | ||
| 378 | |||
| 379 | * Definícia pravidiel: Možnosť nastavenia detailných pravidiel a politík pre prístup na základe rôznych kritérií, ako sú používateľské role, typ zariadenia, čas prístupu a geografická lokalita. | ||
| 380 | * Dynamická kontrola prístupu: Schopnosť dynamicky meniť prístupové práva na základe aktuálnych podmienok a kontextu. | ||
| 381 | |||
| 382 | **__ __** | ||
| 383 | |||
| 384 | **__Riadenie kontinuity činností__** | ||
| 385 | |||
| 386 | Z dôvodu nutnosti vykonávania záloh bude nasadený automatizovaný nástroj pre manažovanie a automatické spúšťanie inkrementálnych a plných („full backup“) záloh systémov a dát, a ktorý poskytne zároveň ich ochranu a redundanciu. | ||
| 387 | |||
| 388 | Nástroj pre zálohovanie poskytne najmä: | ||
| 389 | |||
| 390 | * Zálohovanie: Nástroj umožní vytváranie záloh na úrovni obrazu virtuálnych, fyzických a cloudových platforiem, pričom musí zachytávať všetky údaje v konzistentnom stave, tak aby ich bolo možné použiť na rýchle obnovenie systémov a dát. | ||
| 391 | * Replikáciu: Nástroj umožní správcom vytvárať a udržiavať repliky kritických virtuálnych prostredí, čím poskytuje rýchlu možnosť núdzového prepnutia v prípade katastrofy alebo iných prerušení. | ||
| 392 | * Obnovu: Nástroj poskytne rôzne možnosti obnovy, ako je úplná obnova VM, okamžitá obnova VM, obnova na úrovni súboru a obnova položky aplikácie, čo správcom umožní vybrať si najvhodnejšiu možnosť na základe svojich potrieb a konkrétneho scenára katastrofy. | ||
| 393 | * Vytváranie záložných kópií: Riešenie umožní správcom vytvárať a ukladať viaceré kópie záloh na rôznych miestach, čím sa zvyšuje ochrana údajov a zabezpečuje sa súlad so zásadami uchovávania údajov (redundancia). | ||
| 394 | * Možnosť šifrovania záloh: Riešenie umožní zapnúť dodatočnú ochranu dát formou šifrovania záloh a samozrejme ich automatického dešifrovania v prípade realizácie obnovy. | ||
| 395 | |||
| 396 | Súčasťou riešenia bude aj technologické vybavenie pre bezpečné uloženie záloh - dodanie NAS (Network Acces Stoarage) s dostatočnou diskovou kapacitou a RAID technológiou pre uloženie záloh v primárnej a rovnako aj sekundárnej lokalite a nastavenie automatickej replikácie záloh z primárnej do sekundárnej lokality. | ||
| 397 | |||
| 398 | Súčasťou riešenia musia byť supportované licencie pre existujúce riešenie Veeam, konkrétne Veeam Backup & Replication Enterprise vo vlastníctve ZSKE po celú dobu poskytovania služby a taktiež aj vytvorenie dostatočnej lokálnej kapacita na ukladanie záloh mimo hlavnej serverovne pri nastavení služby (NAS). | ||
| 399 | |||
| 400 | Požiadavky na NAS: | ||
| 401 | |||
| 402 | * RackStation 2,2GHz, 4GBRAM, 8xSATA, 2xUSB3.0 | ||
| 403 | * záruka 5 rokov | ||
| 404 | * kapacita 22 TB SATA, 6Gb/s, 256MB cache, 7200 ot. – 6ks | ||
| 405 | * čítanie / zápis dát min.: 2300 / 1100 MB/s | ||
| 406 | * podpora sieťových kariet 10GbE SFP+/RJ-45 a 25GbE SFP28 | ||
| 407 | * redundantný zdroj napájania | ||
| 408 | * technická a systémová podpora 8/5. | ||
| 409 | |||
| 410 | Riešenie musí obsahovať: | ||
| 411 | |||
| 412 | * pokročilú technológiu vytvárania snímkou zaisťujúcu plánovateľnú a temer okamžitú ochranu dát zdieľaných zložiek a jednotiek LUN, | ||
| 413 | * obnovu dát na úrovni súborov a zložiek s obnovením konkrétnych súborov alebo zložiek, | ||
| 414 | * flexibilný systém kvóty pre zálohy, | ||
| 415 | * automatické opravy súborov napr. pomocou zrkadlených metadát a konfiguráciou RAID, | ||
| 416 | * vloženú komprimáciu dát pred zápisom na disk, | ||
| 417 | * možnosť integrácie s ľubovoľnou virtualizačnou platformou, | ||
| 418 | * zálohovanie bez licencií určených k ochrane počítačov a serverov so systémom Windows, | ||
| 419 | * virtuálnych počítačov, ďalších súborových serverov a cloudových aplikácií, | ||
| 420 | * konsolidáciu úloh zálohovania pre fyzické i virtuálne prostredie s možnosťou rýchleho obnovenia súborov, celých fyzických počítačov a virtuálnych počítačov, | ||
| 421 | * zálohovanie v prostredí Google Workspace, Gmail, kontaktov, kalendárov a služby Drive zálohovanie dát sady Microsoft 365, OneDrive for Business, SharePoint Online, e-mailov, kontaktov a kalendárov. | ||
| 422 | |||
| 423 | Požiadavky na HW pre systém zálohovania: | ||
| 424 | |||
| 425 | * on-site riešenie, | ||
| 426 | * nezávislé sieťové úložisko s umiestnením mimo priestorov aktívnej IT technológie, ktorej zálohy má uchovávať, | ||
| 427 | * form factor: 2U, montáž do 19" racku, 12 pozícií na 3,5" disky, | ||
| 428 | * 4x CPU, s min. 8 jadrami, kompatibilita s inštrukčným setom x86_64; výkon CPU min. 18.000 bodov podľa testu PassMark - CPU Mark, | ||
| 429 | * 64GB RAM (4x 16GB TruDDR4 3200MHz), | ||
| 430 | * 5x 3.5" 6TB 7.2K SAS 12Gb Hot Swap 512e HDD (4ks v RAID5 + 1 spare disk), životnosť min. 0,5 DWPD (Drive Writes per Day) za obdobie 5 rokov alebo ekvivalent, | ||
| 431 | * pripojenie do siete LAN: min. 4x 1Gb/s, | ||
| 432 | * redundantné napájacie zdroje, napájanie 230 VAC, | ||
| 433 | * montážny úchyt do racku formou vysúvateľných „lyžín“, | ||
| 434 | * 3 roky záruka na všetky HW komponenty, vrátane diskov a napájacích zdrojov; v prípade poruchy disku je požadované dodanie náhradného disku do miesta inštalácie nasledujúci pracovný deň (NBD) a ponechanie disku na mieste u používateľa, | ||
| 435 | * interné diskové kontroléry musia byť kompatibilné so serverovou virtualizačnou technológiou VMware vSphere 7.x Essential Plus, | ||
| 436 | * dodávka, implementácia + vrátane zavedenia procesu zálohovania a testu obnovy zo zálohy, ako aj zaškolenia používateľov/systémových adminov. | ||
| 437 | |||
| 438 | **__ __** | ||
| 439 | |||
| 440 | **__ __** | ||
| 441 | |||
| 442 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.2Rozsahinformačnýchsystémov–ASIS"/}}3.2.2 Rozsah informačných systémov – AS IS === | ||
| 443 | |||
| 444 | |||
| 445 | |||
| 446 | Implementované bezpečnostné riešenia sa budú dotýka najmä zvýšenia ochrany a bezpečnosti nasledovných IS: | ||
| 447 | |||
| 448 | (% class="" %)|((( | ||
| 449 | **Kód ISVS **//(z MetaIS)// | ||
| 450 | )))|((( | ||
| 451 | **Názov ISVS** | ||
| 452 | )))|((( | ||
| 453 | **Modul ISVS** | ||
| 454 | |||
| 455 | //(zaškrtnite ak ISVS je modulom)// | ||
| 456 | )))|((( | ||
| 457 | **Stav IS VS** | ||
| 458 | |||
| 459 | (AS IS) | ||
| 460 | )))|((( | ||
| 461 | **Typ IS VS** | ||
| 462 | )))|((( | ||
| 463 | **Kód nadradeného ISVS** | ||
| 464 | |||
| 465 | //(v prípade zaškrtnutého checkboxu pre modul ISVS)// | ||
| 466 | ))) | ||
| 467 | (% class="" %)|((( | ||
| 468 | Isvs_6696 | ||
| 469 | )))|((( | ||
| 470 | PROMIS doprava | ||
| 471 | )))|((( | ||
| 472 | ☐ | ||
| 473 | )))|((( | ||
| 474 | Prevádzkovaný a plánujem rozvíjať | ||
| 475 | )))|((( | ||
| 476 | Agendový | ||
| 477 | )))|((( | ||
| 478 | \\ | ||
| 479 | ))) | ||
| 480 | (% class="" %)|((( | ||
| 481 | Isvs_6708 | ||
| 482 | )))|((( | ||
| 483 | Garis – ERP/HR | ||
| 484 | )))|((( | ||
| 485 | ☐ | ||
| 486 | )))|((( | ||
| 487 | Prevádzkovaný a plánujem rozvíjať | ||
| 488 | )))|((( | ||
| 489 | Ekonomický a administratívny chod inštitúcie | ||
| 490 | )))|((( | ||
| 491 | \\ | ||
| 492 | ))) | ||
| 493 | |||
| 494 | |||
| 495 | |||
| 496 | Čiastočne a okrajovo sa implementované bezpečnostné opatrenia a riešenia budú dotýkať aj nasledovných infraštruktúrnych a podporných IS, ktoré ale nie sú ISVS: | ||
| 497 | |||
| 498 | |||
| 499 | |||
| 500 | (% class="" %)|((( | ||
| 501 | **Kód ISVS **//(z MetaIS)// | ||
| 502 | )))|((( | ||
| 503 | **Názov ISVS** | ||
| 504 | )))|((( | ||
| 505 | **Modul ISVS** | ||
| 506 | |||
| 507 | //(zaškrtnite ak ISVS je modulom)// | ||
| 508 | )))|((( | ||
| 509 | **Stav IS VS** | ||
| 510 | |||
| 511 | (AS IS) | ||
| 512 | )))|((( | ||
| 513 | **Typ IS VS** | ||
| 514 | )))|((( | ||
| 515 | **Kód nadradeného ISVS** | ||
| 516 | |||
| 517 | //(v prípade zaškrtnutého checkboxu pre modul ISVS)// | ||
| 518 | ))) | ||
| 519 | (% class="" %)|((( | ||
| 520 | \\ | ||
| 521 | )))|((( | ||
| 522 | Mobilná aplikácia EHR | ||
| 523 | )))|((( | ||
| 524 | \\ | ||
| 525 | )))|((( | ||
| 526 | \\ | ||
| 527 | )))|((( | ||
| 528 | \\ | ||
| 529 | )))|((( | ||
| 530 | \\ | ||
| 531 | ))) | ||
| 532 | (% class="" %)|((( | ||
| 533 | \\ | ||
| 534 | )))|((( | ||
| 535 | EHR BackOffice | ||
| 536 | )))|((( | ||
| 537 | \\ | ||
| 538 | )))|((( | ||
| 539 | \\ | ||
| 540 | )))|((( | ||
| 541 | \\ | ||
| 542 | )))|((( | ||
| 543 | \\ | ||
| 544 | ))) | ||
| 545 | (% class="" %)|((( | ||
| 546 | Isvs_6706 | ||
| 547 | )))|((( | ||
| 548 | WEB, intranet interná sekcia | ||
| 549 | )))|((( | ||
| 550 | \\ | ||
| 551 | )))|((( | ||
| 552 | \\ | ||
| 553 | )))|((( | ||
| 554 | \\ | ||
| 555 | )))|((( | ||
| 556 | \\ | ||
| 557 | ))) | ||
| 558 | (% class="" %)|((( | ||
| 559 | \\ | ||
| 560 | )))|((( | ||
| 561 | \\ | ||
| 562 | )))|((( | ||
| 563 | \\ | ||
| 564 | )))|((( | ||
| 565 | \\ | ||
| 566 | )))|((( | ||
| 567 | \\ | ||
| 568 | )))|((( | ||
| 569 | \\ | ||
| 570 | ))) | ||
| 571 | |||
| 572 | |||
| 573 | |||
| 574 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.3Rozsahinformačnýchsystémov–TOBE"/}}3.2.3 Rozsah informačných systémov – TO BE === | ||
| 575 | |||
| 576 | // // | ||
| 577 | |||
| 578 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 579 | |||
| 580 | |||
| 581 | |||
| 582 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.4VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}3.2.4 Využívanie nadrezortných a spoločných ISVS – AS IS === | ||
| 583 | |||
| 584 | |||
| 585 | |||
| 586 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 587 | |||
| 588 | |||
| 589 | |||
| 590 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.5PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}3.2.5 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE === | ||
| 591 | |||
| 592 | |||
| 593 | |||
| 594 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 595 | |||
| 596 | |||
| 597 | |||
| 598 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.6PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}3.2.6 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE === | ||
| 599 | |||
| 600 | |||
| 601 | |||
| 602 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 603 | |||
| 604 | |||
| 605 | |||
| 606 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.7Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}3.2.7 Aplikačné služby pre realizáciu koncových služieb – TO BE === | ||
| 607 | |||
| 608 | |||
| 609 | |||
| 610 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 611 | |||
| 612 | |||
| 613 | |||
| 614 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.8Aplikačnéslužbynaintegráciu–TOBE"/}}3.2.8 Aplikačné služby na integráciu – TO BE === | ||
| 615 | |||
| 616 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 617 | |||
| 618 | |||
| 619 | |||
| 620 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.9PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}3.2.9 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE === | ||
| 621 | |||
| 622 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 623 | |||
| 624 | |||
| 625 | |||
| 626 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.10KonzumovanieúdajovzISCSRU–TOBE"/}}3.2.10 Konzumovanie údajov z IS CSRU – TO BE === | ||
| 627 | |||
| 628 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 629 | |||
| 630 | |||
| 631 | |||
| 632 | |||
| 633 | |||
| 634 | == {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3Dátovávrstva"/}}3.3 Dátová vrstva == | ||
| 635 | |||
| 636 | |||
| 637 | |||
| 638 | Z pohľadu dátového modelu nejde o typické biznis (agendové) dáta ale o dáta typu: | ||
| 639 | |||
| 640 | * Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. – ako výstupy aktivity projektu určené pre ďalšie riadenie rozvoja KIB, | ||
| 641 | * bezpečnostné konfigurácie a bezpečnostné dáta (napr. logy) – pre fungovanie jednotlivých bezpečnostných komponentov. | ||
| 642 | |||
| 643 | Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. sú určené pre proces riadenia KIB. | ||
| 644 | |||
| 645 | Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie bezpečnostných modulov, t.j. jednotlivé komponenty tohto navrhovaného riešenia a zároveň reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov. | ||
| 646 | |||
| 647 | |||
| 648 | |||
| 649 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.1Údajevspráveorganizácie"/}}3.3.1 Údaje v správe organizácie === | ||
| 650 | |||
| 651 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 652 | |||
| 653 | |||
| 654 | |||
| 655 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.2Dátovýrozsahprojektu-Prehľadobjektovevidencie-TOBE"/}}3.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE === | ||
| 656 | |||
| 657 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 658 | |||
| 659 | |||
| 660 | |||
| 661 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.3Referenčnéúdaje"/}}3.3.3 Referenčné údaje === | ||
| 662 | |||
| 663 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 664 | |||
| 665 | |||
| 666 | |||
| 667 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.4Kvalitaačistenieúdajov"/}}3.3.4 Kvalita a čistenie údajov === | ||
| 668 | |||
| 669 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 670 | |||
| 671 | |||
| 672 | |||
| 673 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.5Otvorenéúdaje"/}}3.3.5 Otvorené údaje === | ||
| 674 | |||
| 675 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 676 | |||
| 677 | |||
| 678 | |||
| 679 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.6Analytickéúdaje"/}}3.3.6 Analytické údaje === | ||
| 680 | |||
| 681 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 682 | |||
| 683 | |||
| 684 | |||
| 685 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.7Mojeúdaje"/}}3.3.7 Moje údaje === | ||
| 686 | |||
| 687 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 688 | |||
| 689 | |||
| 690 | |||
| 691 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.8Prehľadjednotlivýchkategóriíúdajov"/}}3.3.8 Prehľad jednotlivých kategórií údajov === | ||
| 692 | |||
| 693 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 694 | |||
| 695 | |||
| 696 | |||
| 697 | == {{id name="projekt_2813_Pristup_k_projektu_detailny-3.4Technologickávrstva"/}}3.4 Technologická vrstva == | ||
| 698 | |||
| 699 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.4.1Prehľadtechnologickéhostavu-ASISaTOBE"/}}3.4.1 Prehľad technologického stavu - AS IS a TO BE === | ||
| 700 | |||
| 701 | |||
| 702 | |||
| 703 | V rámci as-is stavu dnes v rámci ZSKE neexistuje bezpečnostná technológia, ktorá je predmetom tohto projektu. | ||
| 704 | |||
| 705 | Z pohľadu to-be bude finálna technologická vrstva závislá od výsledkov verejného obstarávania a technológie, ktorú ponúkne víťazný uchádzač. | ||
| 706 | |||
| 707 | Niektoré bezpečnostné riešenia totižto poskytujú viacero alternatív a dajú sa implementovať napr. ako virtuálny appliance, ale prípadne aj ako HW appliance. Predpokladom však je, že väčšina bezpečnostných riešení bude nasadená do virtuálneho prostredia ZSKE, a niektoré riešenia budú nasadené ako samostatný HW appliance, prípadne budú nasadení rôzni agenti do infraštruktúry ZSKE. | ||
| 708 | |||
| 709 | Vzhľadom na uvedené skutočnosti predpokladáme „high level“ technologickú architektúru tak, ako je uvedené na nasledujúcom obrázku: | ||
| 710 | |||
| 711 | |||
| 712 | |||
| 713 | [[image:attach:image-2024-7-3_18-50-28-1.png||height="400"]] | ||
| 714 | |||
| 715 | \\ | ||
| 716 | |||
| 717 | |||
| 718 | |||
| 719 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.4.2Požiadavkynavýkonnostnéparametre,kapacitnépožiadavky–TOBE"/}}3.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE === | ||
| 720 | |||
| 721 | Predpokladané výkonnostné parametre a kapacitné požiadavky sú, tam kde je to relevantné, uvedené v popise aplikačnej architektúry jednotlivých aplikačných funkcií a aplikačných modulov. | ||
| 722 | |||
| 723 | |||
| 724 | |||
| 725 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.4.3Návrhriešeniatechnologickejarchitektúry–popísanévyššievrámciASIS-TOBE"/}}3.4.3 Návrh riešenia technologickej architektúry – popísané vyššie v rámci ASIS -TOBE === | ||
| 726 | |||
| 727 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 728 | |||
| 729 | // // | ||
| 730 | |||
| 731 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-3.4.4Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}3.4.4 Využívanie služieb z katalógu služieb vládneho cloudu === | ||
| 732 | |||
| 733 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 734 | |||
| 735 | == {{id name="projekt_2813_Pristup_k_projektu_detailny-3.5Bezpečnostnáarchitektúra"/}}3.5 Bezpečnostná architektúra == | ||
| 736 | |||
| 737 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia. | ||
| 738 | |||
| 739 | |||
| 740 | |||
| 741 | = {{id name="projekt_2813_Pristup_k_projektu_detailny-4.ZávislostinaostatnéISVS/projekty"/}}4. Závislosti na ostatné ISVS / projekty = | ||
| 742 | |||
| 743 | Bez závislostí na iné projekty. | ||
| 744 | |||
| 745 | **~ ** | ||
| 746 | |||
| 747 | = {{id name="projekt_2813_Pristup_k_projektu_detailny-5.Zdrojovékódy"/}}5. Zdrojové kódy = | ||
| 748 | |||
| 749 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 750 | |||
| 751 | Riešenie nepredpokladá vývoj softvéru, ale použitie komerčných bezpečnostných produktov a zariadení. | ||
| 752 | |||
| 753 | \\ | ||
| 754 | |||
| 755 | = {{id name="projekt_2813_Pristup_k_projektu_detailny-6.Prevádzkaaúdržba"/}}6. Prevádzka a údržba = | ||
| 756 | |||
| 757 | Aktivita podpora Governance v oblasti KIB si nevyžaduje žiadnu budúcu prevádzku, nakoľko ide len o analytické a konzultačné práce, ktorých výstupy budú použité pre proces riadenia KIB (Governance). Výstupy Governance aktivít samozrejme tiež budú musieť byť udržiavané a rozvíjané, to by však malo byť realizované pomocou interných zamestnancov a v rámaci existujúceho DMS systému bez priameho vplyvu na rozpočet. | ||
| 758 | |||
| 759 | Pre aktivity napr.: | ||
| 760 | |||
| 761 | * nasadenie nástroja na evidenciu aktív, | ||
| 762 | * nástroja na riadenie identít a prístupov, | ||
| 763 | * autentifikácie zariadení v sieti a 2FA, | ||
| 764 | * nástroja pre zálohovanie | ||
| 765 | |||
| 766 | sú rámcové požiadavky na prevádzku a údržbu zadefinované nižšie. | ||
| 767 | |||
| 768 | == {{id name="projekt_2813_Pristup_k_projektu_detailny-6.1Prevádzkovépožiadavky"/}}6.1 Prevádzkové požiadavky == | ||
| 769 | |||
| 770 | Všetky ďalšie parametre a požiadavky na prevádzku a údržbu sa týkajú už len nasledovných aktivít: | ||
| 771 | |||
| 772 | * nasadenie nástroja na evidenciu aktív, | ||
| 773 | * nástroja na riadenie identít a prístupov, | ||
| 774 | * autentifikácie zariadení v sieti a 2FA. | ||
| 775 | |||
| 776 | |||
| 777 | |||
| 778 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-6.1.1Úrovnepodporypoužívateľov"/}}6.1.1 Úrovne podpory používateľov === | ||
| 779 | |||
| 780 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 781 | |||
| 782 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-6.1.2Riešenieincidentov–SLAparametre"/}}6.1.2 Riešenie incidentov – SLA parametre === | ||
| 783 | |||
| 784 | |||
| 785 | |||
| 786 | Označenie naliehavosti incidentu: | ||
| 787 | |||
| 788 | (% class="" %)|((( | ||
| 789 | Označenie naliehavosti incidentu | ||
| 790 | )))|((( | ||
| 791 | Závažnosť incidentu | ||
| 792 | )))|((( | ||
| 793 | Popis naliehavosti incidentu | ||
| 794 | ))) | ||
| 795 | (% class="" %)|((( | ||
| 796 | A | ||
| 797 | )))|((( | ||
| 798 | Kritická | ||
| 799 | )))|((( | ||
| 800 | Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS. | ||
| 801 | ))) | ||
| 802 | (% class="" %)|((( | ||
| 803 | B | ||
| 804 | )))|((( | ||
| 805 | Vysoká | ||
| 806 | )))|((( | ||
| 807 | Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému. | ||
| 808 | ))) | ||
| 809 | (% class="" %)|((( | ||
| 810 | C | ||
| 811 | )))|((( | ||
| 812 | Stredná | ||
| 813 | )))|((( | ||
| 814 | Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému. | ||
| 815 | ))) | ||
| 816 | (% class="" %)|((( | ||
| 817 | D | ||
| 818 | )))|((( | ||
| 819 | Nízka | ||
| 820 | )))|((( | ||
| 821 | Kozmetické a drobné chyby. | ||
| 822 | ))) | ||
| 823 | |||
| 824 | // // | ||
| 825 | |||
| 826 | možný dopad: | ||
| 827 | |||
| 828 | (% class="" %)|((( | ||
| 829 | Označenie závažnosti incidentu | ||
| 830 | )))|((( | ||
| 831 | |||
| 832 | |||
| 833 | Dopad | ||
| 834 | )))|((( | ||
| 835 | Popis dopadu | ||
| 836 | ))) | ||
| 837 | (% class="" %)|((( | ||
| 838 | 1 | ||
| 839 | )))|((( | ||
| 840 | katastrofický | ||
| 841 | )))|((( | ||
| 842 | katastrofický dopad, priamy finančný dopad alebo strata dát, | ||
| 843 | ))) | ||
| 844 | (% class="" %)|((( | ||
| 845 | 2 | ||
| 846 | )))|((( | ||
| 847 | značný | ||
| 848 | )))|((( | ||
| 849 | značný dopad alebo strata dát | ||
| 850 | ))) | ||
| 851 | (% class="" %)|((( | ||
| 852 | 3 | ||
| 853 | )))|((( | ||
| 854 | malý | ||
| 855 | )))|((( | ||
| 856 | malý dopad alebo strata dát | ||
| 857 | ))) | ||
| 858 | |||
| 859 | **// //** | ||
| 860 | |||
| 861 | Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici: | ||
| 862 | |||
| 863 | (% class="" %)|(% colspan="2" rowspan="2" %)((( | ||
| 864 | Matica priority incidentov | ||
| 865 | )))|(% colspan="3" %)((( | ||
| 866 | Dopad | ||
| 867 | ))) | ||
| 868 | (% class="" %)|((( | ||
| 869 | Katastrofický - 1 | ||
| 870 | )))|((( | ||
| 871 | Značný - 2 | ||
| 872 | )))|((( | ||
| 873 | Malý - 3 | ||
| 874 | ))) | ||
| 875 | (% class="" %)|(% rowspan="4" %)((( | ||
| 876 | **Naliehavosť** | ||
| 877 | )))|((( | ||
| 878 | **Kritická - A** | ||
| 879 | )))|((( | ||
| 880 | 1 | ||
| 881 | )))|((( | ||
| 882 | 2 | ||
| 883 | )))|((( | ||
| 884 | 3 | ||
| 885 | ))) | ||
| 886 | (% class="" %)|((( | ||
| 887 | **Vysoká - B** | ||
| 888 | )))|((( | ||
| 889 | 2 | ||
| 890 | )))|((( | ||
| 891 | 3 | ||
| 892 | )))|((( | ||
| 893 | 3 | ||
| 894 | ))) | ||
| 895 | (% class="" %)|((( | ||
| 896 | **Stredná - C** | ||
| 897 | )))|((( | ||
| 898 | 2 | ||
| 899 | )))|((( | ||
| 900 | 3 | ||
| 901 | )))|((( | ||
| 902 | 4 | ||
| 903 | ))) | ||
| 904 | (% class="" %)|((( | ||
| 905 | **Nízka - D** | ||
| 906 | )))|((( | ||
| 907 | 3 | ||
| 908 | )))|((( | ||
| 909 | 4 | ||
| 910 | )))|((( | ||
| 911 | 4 | ||
| 912 | ))) | ||
| 913 | |||
| 914 | **// //** | ||
| 915 | |||
| 916 | Vyžadované reakčné doby: | ||
| 917 | |||
| 918 | (% class="" %)|((( | ||
| 919 | Označenie priority incidentu | ||
| 920 | )))|((( | ||
| 921 | Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu | ||
| 922 | )))|((( | ||
| 923 | Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^ | ||
| 924 | )))|((( | ||
| 925 | Spoľahlivosť ^^(3)^^ | ||
| 926 | |||
| 927 | (počet incidentov za mesiac) | ||
| 928 | ))) | ||
| 929 | (% class="" %)|((( | ||
| 930 | 1 | ||
| 931 | )))|((( | ||
| 932 | 0,5 hod. | ||
| 933 | )))|((( | ||
| 934 | 4 hodín | ||
| 935 | )))|((( | ||
| 936 | 1 | ||
| 937 | ))) | ||
| 938 | (% class="" %)|((( | ||
| 939 | 2 | ||
| 940 | )))|((( | ||
| 941 | 1 hod. | ||
| 942 | )))|((( | ||
| 943 | 12 hodín | ||
| 944 | )))|((( | ||
| 945 | 2 | ||
| 946 | ))) | ||
| 947 | (% class="" %)|((( | ||
| 948 | 3 | ||
| 949 | )))|((( | ||
| 950 | 1 hod. | ||
| 951 | )))|((( | ||
| 952 | 24 hodín | ||
| 953 | )))|((( | ||
| 954 | 10 | ||
| 955 | ))) | ||
| 956 | (% class="" %)|((( | ||
| 957 | 4 | ||
| 958 | )))|((( | ||
| 959 | 1 hod. | ||
| 960 | )))|(% colspan="2" %)((( | ||
| 961 | Vyriešené a nasadené v rámci plánovaných releasov | ||
| 962 | ))) | ||
| 963 | |||
| 964 | // // | ||
| 965 | |||
| 966 | == {{id name="projekt_2813_Pristup_k_projektu_detailny-6.2PožadovanádostupnosťIS:"/}}6.2 Požadovaná dostupnosť IS: == | ||
| 967 | |||
| 968 | **// //** | ||
| 969 | |||
| 970 | (% class="" %)|((( | ||
| 971 | Popis | ||
| 972 | )))|((( | ||
| 973 | Parameter | ||
| 974 | )))|((( | ||
| 975 | Poznámka | ||
| 976 | ))) | ||
| 977 | (% class="" %)|((( | ||
| 978 | **Prevádzkové hodiny** | ||
| 979 | )))|((( | ||
| 980 | 12 hodín | ||
| 981 | )))|((( | ||
| 982 | od 6:00 hod. - do 18:00 hod. počas pracovných dní | ||
| 983 | ))) | ||
| 984 | (% class="" %)|(% rowspan="2" %)((( | ||
| 985 | **Servisné okno** | ||
| 986 | )))|((( | ||
| 987 | 10 hodín | ||
| 988 | )))|((( | ||
| 989 | od 19:00 hod. - do 5:00 hod. počas pracovných dní | ||
| 990 | ))) | ||
| 991 | (% class="" %)|((( | ||
| 992 | 24 hodín | ||
| 993 | )))|((( | ||
| 994 | od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov | ||
| 995 | |||
| 996 | Servis a údržba sa bude realizovať mimo pracovného času. | ||
| 997 | ))) | ||
| 998 | (% class="" %)|((( | ||
| 999 | **Dostupnosť produkčného prostredia IS** | ||
| 1000 | )))|((( | ||
| 1001 | 98,5% | ||
| 1002 | )))|((( | ||
| 1003 | 98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod. | ||
| 1004 | |||
| 1005 | Maximálny mesačný výpadok je 5,5 hodiny. | ||
| 1006 | |||
| 1007 | Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni. | ||
| 1008 | |||
| 1009 | Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L3 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS. | ||
| 1010 | |||
| 1011 | V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu. | ||
| 1012 | ))) | ||
| 1013 | |||
| 1014 | // // | ||
| 1015 | |||
| 1016 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-6.2.1Dostupnosť(Availability)"/}}6.2.1 Dostupnosť (Availability) === | ||
| 1017 | |||
| 1018 | |||
| 1019 | |||
| 1020 | Požadovaná dostupnosť pre aktivity projektu: | ||
| 1021 | |||
| 1022 | * nasadenie nástroja na evidenciu aktív, | ||
| 1023 | |||
| 1024 | je: | ||
| 1025 | |||
| 1026 | * **96% dostupnosť** znamená výpadok 15 dní. | ||
| 1027 | |||
| 1028 | |||
| 1029 | |||
| 1030 | Požadovaná dostupnosť pre aktivity projektu: | ||
| 1031 | |||
| 1032 | * nástroja na riadenie identít a prístupov, | ||
| 1033 | * autentifikácie zariadení v sieti a 2FA, | ||
| 1034 | |||
| 1035 | je: | ||
| 1036 | |||
| 1037 | * **98,5% dostupnosť** znamená výpadok 8,25 dňa. | ||
| 1038 | |||
| 1039 | |||
| 1040 | |||
| 1041 | |||
| 1042 | |||
| 1043 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-6.2.2RTO(RecoveryTimeObjective)"/}}6.2.2 RTO (Recovery Time Objective) === | ||
| 1044 | |||
| 1045 | Zavedenie aktivity: | ||
| 1046 | |||
| 1047 | * nasadenie nástroja na evidenciu aktív, | ||
| 1048 | |||
| 1049 | si budú vyžadovať prvý stupeň, t.j. postupnú obnovu. | ||
| 1050 | |||
| 1051 | **RTO pre tieto aktivity je definované na 3 dni**. | ||
| 1052 | |||
| 1053 | \\ | ||
| 1054 | |||
| 1055 | Zavedenie aktivít: | ||
| 1056 | |||
| 1057 | * nástroja na riadenie identít a prístupov, | ||
| 1058 | * autentifikácie zariadení v sieti a 2FA | ||
| 1059 | |||
| 1060 | si budú vyžadovať tretí stupeň, t.j. „rýchlu“ obnovu. | ||
| 1061 | |||
| 1062 | **RTO pre tieto aktivity je definované na 1 deň**. | ||
| 1063 | |||
| 1064 | \\ | ||
| 1065 | |||
| 1066 | === {{id name="projekt_2813_Pristup_k_projektu_detailny-6.2.3RPO(RecoveryPointObjective)"/}}6.2.3 RPO (Recovery Point Objective) === | ||
| 1067 | |||
| 1068 | \\ | ||
| 1069 | |||
| 1070 | Aktivita: | ||
| 1071 | |||
| 1072 | * nasadenie nástroja na evidenciu aktív, | ||
| 1073 | |||
| 1074 | si bude vyžadovať len tradičné zálohovanie, avšak **RPO pre tieto aktivity je definované na 3 dni**. | ||
| 1075 | |||
| 1076 | \\ | ||
| 1077 | |||
| 1078 | Aktivita: | ||
| 1079 | |||
| 1080 | * nástroja na riadenie identít a prístupov, | ||
| 1081 | * autentifikácie zariadení v sieti a 2FA | ||
| 1082 | |||
| 1083 | si bude vyžadovať len tradičné zálohovanie, avšak **RPO pre tieto aktivity je definované na 24 hodín**. | ||
| 1084 | |||
| 1085 | \\ | ||
| 1086 | |||
| 1087 | \\ | ||
| 1088 | |||
| 1089 | = {{id name="projekt_2813_Pristup_k_projektu_detailny-7.Požiadavkynapersonál"/}}7. Požiadavky na personál = | ||
| 1090 | |||
| 1091 | Požiadavky sú popísané v dokumente Projektový zámer. | ||
| 1092 | |||
| 1093 | \\ | ||
| 1094 | |||
| 1095 | = {{id name="projekt_2813_Pristup_k_projektu_detailny-8.Implementáciaapreberanievýstupovprojektu"/}}8. Implementácia a preberanie výstupov projektu = | ||
| 1096 | |||
| 1097 | |||
| 1098 | |||
| 1099 | V projekte neprebieha vývoj/implementácia. | ||
| 1100 | |||
| 1101 | = {{id name="projekt_2813_Pristup_k_projektu_detailny-9.Prílohy"/}}9. Prílohy = | ||
| 1102 | |||
| 1103 | // // | ||
| 1104 | |||
| 1105 | \\ | ||
| 1106 | |||
| 1107 | \\ |