projekt_2813_Pristup_k_projektu_detailny

Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – Záchranná služba Košice (ďalej ako „ZSKE“) má za cieľ zvýšiť úroveň informačnej a kybernetickej bezpečnosti v sektore verejnej správy.

108

109

Projekt v rámci výzvy poskytuje prostriedky na realizáciu základných stavebných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti. Oblasti bezpečnosti, na ktoré organizácia žiada podporu v rámci tohto projektu (výzvy) predstavujú základný rámec („baseline"), ktorý by mal byť implementovaný. Aktuálny stav implementácie týchto bezpečnostných služieb a funkcií je nízky, preto žiadame o podporu v rámci tohto definovaného rámca. Budúce riešenie základného rámca zabezpečenia informačnej a kybernetickej bezpečnosti na úrovni biznis architektúry by malo pozostávať najmä z nasledovných bezpečnostných riešení:

110

111

* Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia informačnej a kybernetickej bezpečnosti (ďalej len „KIB“).

112

* Analytické aktivity zavedenia bezpečnostných opatrení a riešení.

113

* Implementačné aktivity bezpečnostných riešení.

114

* Pre-financovanie spracovania žiadosti o NFP.

115

116

Jednotlivé biznis funkcie a bezpečnostné procesy ako aj popis ďalších úrovni architektúry riešenia sú uvedené v nasledujúcich kapitolách.

117

118

119

= {{id name="projekt_2813_Pristup_k_projektu_detailny-3.Architektúrariešeniaprojektu"/}}3. Architektúra riešenia projektu =

120

121

122

Tento projekt predstavuje riešenie základných stavebných blokov bezpečnostnej architektúry a zároveň aj ďalšie bezpečnostné funkcie realizované v organizácii. Organizácia nedisponuje bezpečnostnou funkcionalitou v oblasti evidencie a správy aktív, riadenia prístupov a bezpečného zálohovania a ochrany záloh.

123

124

Z uvedeného dôvodu bude projekt primárne zameraný na implementáciu riešenia pre centralizovanú správu a manažment aktív, centralizované a jednotné riešenie pre správu identít a najmä riadenia prístupov do jednotlivých IS a riešenie pre automatické zálohovanie a vytvorenie redundantnej kópie záloh mimo hlavnej serverovne.

125

126

Okrem toho projekt zabezpečí aj zrealizovanie povinných pravidelných aktivít vyžadovaných legislatívou, ako je najmä aktualizácia bezpečnostnej dokumentácie, inventarizácie aktív, klasifikácie informácií, kategorizácie IS a najmä analýzy rizík a analýzy dopadov.

127

128

Keďže nejde o implementáciu agendového alebo iného obdobného informačného systému verejnej správy, tak v tomto duchu je upravený aj popis jednotlivých úrovni architektúry. Najmä v prípade poskytnutia podpory pre iné ako governance aktivity, kde sa predpokladá aj implementácia bezpečnostných systémov, zariadení alebo technických riešení, sú rovnako jednotlivé bloky architektúry rozpísané spôsobom zohľadňujúcim uvedené skutočnosti.

129

130

131

Pri biznis architektúre je potrebné si uvedomiť, že projekt, resp. jeho aktivity nerealizujú typické služby eGovernment-u a VS, ale ide o služby na úrovni bezpečnostnej architektúry, a ako také a z tohto dôvodu, nie sú vedené ako aplikačné služby v MetaIS.

132

133

Zároveň je potrebné uviesť, že architektúra pre as-is stav nie je uvedená z dôvodu, že aktuálne tieto služby bezpečnostnej architektúry nie sú implementované, prípadne sú implementované len čiastočne na nepostačujúcej úrovni.

134

135

Úrovne architektúry sú ďalej rozpísané podľa jednotlivých aktivít projektu a biznis bezpečnostných funkcií.

136

137

Špecifikácia výstupov jednotlivých aktivít je uvedená v kapitole Požadované výstupy (produkt projektu) v dokumente Projektový zámer.

138

139

140

== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.1Biznisvrstva"/}}3.1 Biznis vrstva ==

141

142

143

Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy:

144

145

* Riadenie aktív a riadenie rizík.

146

** Proces evidencie a správy aktív.

147

** Proces klasifikácie informácií a kategorizácie IS a sietí.

148

** Proces realizácie AR/BIA.

149

** Proces rozhodovania ohľadom riadenia identifikovaných rizík.

150

* Riadenie prístupov.

151

** Proces riadenia identít a prístupov k jednotlivým IS.

152

** Proces „hardeningu“ AD.

153

** Proces viac-faktorovej autentifikácie pre privilegovaných používateľov.

154

** Proces autentifikácie a prístupu k sieti len autorizovaných zariadení

155

* Riadenie kontinuity činností.

156

** Proces zálohovania.

157

** Proces ochrany a redundancie záloh.

158

159

160

Okrem uvedených biznis funkcií je projekt zameraný aj na podporu pre oblasti:

161

162

* governance KIB a bezpečnostná dokumentácia,

163

* zavedenie procesov riadenia KIB pre všetky relevantné oblasti riadenia.

Jednotlivé biznis funkcie bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

170

171

[[image:attach:image-2024-7-3_18-49-37-1.png||height="400"]]

172

173

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}3.1.1 Prehľad koncových služieb – budúci stav: ===

174

175

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

176

177

178

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.1.2Jazykovápodporaalokalizácia"/}}3.1.2 Jazyková podpora a lokalizácia ===

179

180

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

181

182

183

== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2Aplikačnávrstva"/}}3.2 Aplikačná vrstva ==

184

185

Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:

186

187

188

[[image:attach:image-2024-7-3_18-49-56-1.png||height="400"]]

189

190

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.1Požiadavkynajednotlivékomponenty"/}}3.2.1 Požiadavky na jednotlivé komponenty ===

191

192

193

Požiadavky na jednotlivé aplikačné komponenty pre vyššie uvedené aplikačné služby sú nasledovné:

**__ __**

**__Správa dokumentov__**

198

199

V rámci tejto aplikačnej služby bude na správu bezpečnostnej dokumentácie vytvorenej počas projektu využitý existujúci Dokument manažment systém ZSKE.

200

201

202

**__Riadenie aktív__**

203

204

Za účelom identifikácie aktív a ich ďalšej správy bude nasadená samostatná aplikácia pre evidenciu a manažment aktív (ITAM – IT asset management).

205

206

Nástroj umožní systematický prístup k získavaniu, objavovaniu (discovering), sledovaniu, správe a optimalizácii IT aktív organizácie. Tieto aktíva zahŕňajú najmä hardvér, softvér, licencie a iné digitálne zdroje. ITAM bude slúžiť ako základný strategický rámec, ktorý pomôže organizácii získať komplexný prehľad o ich IT infraštruktúre, čo umožní informované rozhodovanie, kontrolu nákladov a zmierňovanie rizík.

ITAM poskytne najmä:

* Centralizovanú správu akéhokoľvek typu majetku vrátane hardvéru, softvéru, mobilných a prípadne aj nesieťových zariadení.

211

* Automatické zisťovanie nového hardvéru v sieti a softvéru na zariadeniach.

212

** Skenovanie – spúšťanie kontrol, ktoré zachytávajú sieťové aktíva a umožňujú vytvárať si vlastné vzory skenovania za účelom identifikácie špecializovaných aktív a spúšťanie skenovanie podľa stanoveného plánu a zasielanie emailových notifikácií v prípade zistenia zmien.

213

* Úzku integráciu do procesov obstarávania na sledovanie nákupov, využitia zdrojov, zmlúv a licencií.

214

* Zdroje pre analýzu a riadenie rizík a súladu s legislatívnymi požiadavkami.

215

* Integrovanú „Configuration Management“ databázu (CMDB) alebo previazanie na samostatnú CMDB vrátane mapovania závislostí, korelácie aktív a incidentov a analýz dopadov zmien.

216

** Vizualizáciu toho čo je uložené v CMDB, pre ľahšiu interpretáciu výsledkov a efektívnejšiu správu.

217

** Mapovanie vzťahov – zobrazenie vzťahov medzi konfiguračnými položkami (tzv. „servisná mapa“).

218

** Metriky a analytika – učenie sa z aktuálnych konfigurácií a vykonávanie optimalizácie pomocou aktuálnych metrík a analýz.

219

220

Súčasťou aktivity je samozrejme aj prvotná identifikácia a evidencia všetkých informačných aktív ZSKE a ich nahratie do ITAM.

221

222

223

**__Riadenie identít a prístupov (IDAM)__**

224

225

Centrálny nástroj na riadenie všetkých identít (používateľov IKT ZS KE – cca 750 používateľov) a najmä riadenie (prideľovanie, zmena, odoberanie) prístupov do IS v správe ZS KE.

226

227

Nástroj IDAM poskytne najmä nasledovné základné funkcie:

228

229

* Správa identít: Registrácia, aktualizácia a vymazanie používateľských účtov.

230

* Autentifikácia: Overovanie identity používateľov pri prístupe do systému.

231

* Autorizácia: Kontrola prístupových práv na základe používateľských rolí a politiky prístupu.

232

* Správa rolí a povolení: Definovanie a priradenie rolí, ktoré určujú, k akým zdrojom a funkciám majú používatelia prístup.

233

234

Základné požiadavky na bezpečnosť:

235

236

* Dvojfaktorová autentifikácia (2FA): Dodatočný bezpečnostný krok na zvýšenie ochrany účtov.

237

* Šifrovanie údajov: Šifrovanie citlivých údajov pri prenose a v úložisku.

238

* Audit a monitorovanie: Záznam a sledovanie prístupu a činností používateľov pre zabezpečenie a forenznú analýzu.

239

* Súlad s predpismi: Dodržiavanie relevantných zákonov a noriem, ako sú napr. GDPR.

240

241

Požiadavky na integráciu a interoperabilitu:

242

243

* Integrácia s LDAP a Active Directory: Možnosť integrácie s existujúcimi adresárovými službami.

244

* Podpora štandardných protokolov: Podpora protokolov ako SAML, OAuth, OpenID Connect pre interoperabilitu s inými systémami.

245

* API prístup: Rozhranie umožňujúce integráciu IAM systému s ďalšími aplikáciami a službami.

246

247

Užívateľská skúsenosť:

248

249

* Samostatná správa účtu: Používatelia môžu samostatne meniť svoje heslá, obnovovať zabudnuté heslá a aktualizovať osobné údaje.

250

* Centralizovaný prístupový portál: Jednotné prihlasovanie (SSO) umožňuje používateľom prístup k viacerým aplikáciám a službám pomocou jedného prihlásenia.

251

* Mobilná podpora: Prístup k IAM funkcionalite prostredníctvom mobilných zariadení.

252

253

Požiadavky na výkon a škálovateľnosť:

254

255

* Vysoká dostupnosť: Zabezpečenie nepretržitého prístupu k IAM službám prostredníctvom redundancie a záložných riešení.

256

* Škálovateľnosť: Systém musí byť schopný rásť a prispôsobovať sa zvýšeným požiadavkám na počet používateľov a objem prenosu dát.

257

258

Požiadavky na správu a údržbu:

259

260

* Jednoduchosť nasadenia: Podpora pre rýchle a efektívne nasadenie systému v rôznych IT prostrediach.

261

* Aktualizácie a údržba: Pravidelné aktualizácie softvéru a bezpečnostné záplaty.

262

* Podpora a dokumentácia: Dostupnosť technickej podpory a podrobnej dokumentácie pre administrátorov a používateľov.

263

264

Súčasťou riešenia bude aj re-konfigurácia a “hardening” existujúceho AD riešenia najmä vo väzbe na implementované IDAM riešenie a z dôvodu zvýšenia úrovne bezpečnosti samotného AD („security hardening“ podľa štandardov a „best practise“). Okrem toho dôjde aj k zriadeniu tenanta O365 pre zavedenie dvojfaktorovej autentifikácie. Zavedenie O365 tenanta umožní oddelenú správu skupín privilegovaných používateľov, čo zlepší organizáciu a zníži riziko chýb pri administrácii. Úprava existujúceho Active Directory zabezpečí kompatibilitu autentifikačnej infraštruktúry s novými technológiami a metódami autentifikácie.

265

266

267

**__Riadenie prístupov – Identifikácia a autentifikácia - Zavedenie 2FA (dvoj-faktorová autentifikácia)__**

268

269

Zavedenie 2FA umožní zvýšenie úrovne identifikácie a najmä autentifikácie pracovníkov, ale aj zvýšenie úrovne bezpečnosti pri správe IKT z pozície tzv. „privilegovaných používateľov", resp. administrátorov systémov. Dvojfaktorová autentifikáciu je v súčasnosti takmer nevyhnutnou formou zabezpečenia takmer všetkých účtov a služieb, ktoré sú dôležité. Dvojfaktorová autentifikácia umožní ochrániť od neautorizovaného prístupu útočníkov aj v prípade ak získajú prihlasovacie údaje, nakoľko sa nedostanú cez overenie v druhom kroku.

270

271

Dvojfaktorová autentifikácia bude riešená Tokenmi generovanými mobilnou aplikáciou. 2FA je v projekte nastavená pre administrátorov, resp. „privilegovaných používateľov“, ktorí pri prístupe k správe prideleného IS budú mať k dispozícii aplikáciu v mobilnom telefóne, ktorá zabezpečí druhý autentifikačný faktor.

272

273

Funkčné a výkonové požiadavky:

274

275

* riešenie využívajúce softvérový autentifikátor dostupný pre platformy mobilných telefónov iOS a Android.

276

* auto-aktivácia používateľa bez potreby prítomnosti správcu systému,

277

* možnosť distribúcie autorizačného kódu autentifikácie druhého faktoru:

278

** formou výzvy (push notifikácia),

279

** formou SMS,

280

* pre všetkých „privilegovaných používateľov“ (do 50 administrátorov),

281

* integrácia s AD,

282

* prideľovanie oprávnení správcom na základe rolí (vlastník systému, IT správca systému, Správca integrácií, Správca používateľov, Podpora používateľov/Helpdesk),

283

* možnosť vytvárania skupín používateľov a zaraďovanie používateľov do skupín,

284

* možnosť vytvárania politík a ich aplikovanie:

285

** na skupiny používateľov,

286

** na používateľa podľa jeho geo-lokácie,

287

** na používateľa na základe stavu bezpečnosti jeho terminálu, ktorým sa pripája,

288

** na používateľa na základe stavu bezpečnosti mobilného zariadenia používateľa používaného na distribúciu autorizačného kódu,

289

** na základe jednotlivých integrácií,

290

* logovanie:

291

** histórie prístupov používateľov (meno, dátum, čas, terminál používateľa, sprístupnený systém, geo-lokácia IP adresy, atď.),

292

** informácií o mobilných zariadeniach používateľov použitých na distribúciu autorizačného kódu,

293

** úspešných aj neúspešných prihlásení,

294

* automatická detekcia anomálií a rizika pri prihlasovaní.

295

296

297

**__Riadenie prístupov – Identifikácia a autentifikácia zariadení v sieti (NAC)__**

298

299

Zavedenie NAC - riadenia prístupu do siete podľa štandardu IEEE 802.1x vrátane autentifikačného servera RADIUS bude dôležitou súčasťou modernej architektúry sietí ZSKE. NAC zabezpečí, že len autorizovaní a overení používatelia a zariadenia môžu pristupovať k sieti (ako káblovej, tak aj bezdrôtovej). Pomôže splniť bezpečnostné požiadavky regulácií a noriem. Umožní auditovanie a záznam autentifikačných pokusov, čím zabezpečí, že citlivé zdroje budú dostupné iba pre oprávnených používateľov a zariadenia. Súčasťou riešenia bude aj prvotné nastavenie prístupových oprávnení pre základné skupiny a vytvorenie návodu (dokumentácie) pre replikáciu nastavení u ďalších skupín.

300

301

V rámci projektu bude dodané technologické vybavenie pre autentifikáciu zariadení v sieti ZSKE (802.1x) pre cca 500 zariadení, vrátane autentifikačného servera (RADIUS) a PKI infraštruktúra pre generovanie a distribúciu šifrovacích kľúčov.

302

303

Zavedenie PKI (Public Key Infrastructure) umožní realizáciu robustného šifrovania a digitálnych podpisov na ochranu dát pred odpočúvaním a zabezpečí integritu komunikácie a bezpečnosť autentifikačného procesu zariadení. PKI systém umožní správu, distribúciu a validáciu digitálnych certifikátov, čím zabezpečí bezpečnú komunikáciu a autentifikáciu pomocou šifrovania a digitálnych podpisov.

304

305

Základné funkcie NAC systému:

306

307

* Autentifikácia používateľov a zariadení: Overovanie identity používateľov a zariadení pri prístupe do siete.

308

* Autorizácia: Prideľovanie prístupových práv na základe overených identít a politiky prístupu.

309

* Správa prístupu: Kontrola a monitorovanie prístupu k sieťovým zdrojom na základe definovaných pravidiel a politiky.

310

311

RADIUS (Remote Authentication Dial-In User Service):

312

313

* Centralizovaná autentifikácia: Použitie RADIUS servera na centralizované overovanie používateľov a zariadení.

314

* Podpora EAP (Extensible Authentication Protocol): Rôzne metódy autentifikácie cez EAP, vrátane EAP-TLS, PEAP, EAP-TTLS.

315

* Správa a protokolovanie: Zaznamenávanie všetkých autentifikačných pokusov a ich výsledkov pre účely auditu a monitoringu.

316

* Integrácia s adresárovými službami: Podpora integrácie s LDAP, Active Directory a ďalšími adresárovými službami na získavanie autentifikačných údajov.

317

318

PKI (Public Key Infrastructure):

319

320

* Digitálne certifikáty: Využitie digitálnych certifikátov pre overovanie identity používateľov a zariadení.

321

* Certifikačná autorita (CA): Implementácia, správa a revokácia certifikátov.

322

* Distribúcia certifikátov: Mechanizmy na bezpečnú distribúciu a inštaláciu certifikátov na používateľských zariadeniach.

323

* Správa životného cyklu certifikátov: Automatizované procesy pre obnovovanie a odvolávanie certifikátov.

Bezpečnosť:

* Šifrovanie prenosu: Ochrana dát prenášaných v rámci siete pomocou šifrovacích protokolov.

328

* Audit a monitorovanie: Sledovanie a zaznamenávanie prístupov a pokusov o prístup pre účely bezpečnosti a forenznej analýzy.

329

* Súlad s predpismi: Dodržiavanie bezpečnostných štandardov a zákonov, ako sú GDPR a pod.

330

331

Integrácia a interoperabilita:

332

333

* Integrácia s existujúcimi infraštruktúrami: Podpora pre integráciu s Active Directory, LDAP a ďalšími adresárovými službami.

334

* Podpora štandardných protokolov: Implementácia štandardov ako RADIUS, EAP (Extensible Authentication Protocol) pre širokú kompatibilitu.

335

* API prístup: Možnosť integrácie s inými bezpečnostnými systémami a sieťovými zariadeniami cez API.

336

337

Užívateľská skúsenosť:

338

339

* Jednoduché pripojenie: Automatické pripojenie overených zariadení a používateľov k sieti bez zbytočných komplikácií.

340

* Self-service portál: Portál pre používateľov, kde môžu spravovať svoje zariadenia a prístupové práva.

341

* Podpora rôznych zariadení: Prístup k sieti z rôznych typov zariadení vrátane počítačov, mobilných telefónov a tabletov.

342

343

Výkon a škálovateľnosť:

344

345

* Vysoká dostupnosť: Zabezpečenie nepretržitého prístupu k sieti prostredníctvom redundantných riešení a záložných systémov.

346

* Škálovateľnosť: Schopnosť systému rásť a prispôsobovať sa zvýšeným nárokom na počet zariadení a objem prenosu dát.

Správa a údržba:

* Jednoduchosť nasadenia: Možnosť rýchleho a efektívneho nasadenia systému v rôznych sieťových prostrediach.

351

* Aktualizácie a údržba: Pravidelné aktualizácie softvéru a bezpečnostné záplaty na zabezpečenie ochrany pred najnovšími hrozbami.

352

* Podpora a dokumentácia: Dostupnosť technickej podpory a podrobnej dokumentácie pre administrátorov a používateľov.

Politika prístupu:

* Definícia pravidiel: Možnosť nastavenia detailných pravidiel a politík pre prístup na základe rôznych kritérií, ako sú používateľské role, typ zariadenia, čas prístupu a geografická lokalita.

357

* Dynamická kontrola prístupu: Schopnosť dynamicky meniť prístupové práva na základe aktuálnych podmienok a kontextu.

**__ __**

**__Riadenie kontinuity činností__**

362

363

Z dôvodu nutnosti vykonávania záloh bude nasadený automatizovaný nástroj pre manažovanie a automatické spúšťanie inkrementálnych a plných („full backup“) záloh systémov a dát, a ktorý poskytne zároveň ich ochranu a redundanciu.

364

365

Nástroj pre zálohovanie poskytne najmä:

366

367

* Zálohovanie: Nástroj umožní vytváranie záloh na úrovni obrazu virtuálnych, fyzických a cloudových platforiem, pričom musí zachytávať všetky údaje v konzistentnom stave, tak aby ich bolo možné použiť na rýchle obnovenie systémov a dát.

368

* Replikáciu: Nástroj umožní správcom vytvárať a udržiavať repliky kritických virtuálnych prostredí, čím poskytuje rýchlu možnosť núdzového prepnutia v prípade katastrofy alebo iných prerušení.

369

* Obnovu: Nástroj poskytne rôzne možnosti obnovy, ako je úplná obnova VM, okamžitá obnova VM, obnova na úrovni súboru a obnova položky aplikácie, čo správcom umožní vybrať si najvhodnejšiu možnosť na základe svojich potrieb a konkrétneho scenára katastrofy.

370

* Vytváranie záložných kópií: Riešenie umožní správcom vytvárať a ukladať viaceré kópie záloh na rôznych miestach, čím sa zvyšuje ochrana údajov a zabezpečuje sa súlad so zásadami uchovávania údajov (redundancia).

371

* Možnosť šifrovania záloh: Riešenie umožní zapnúť dodatočnú ochranu dát formou šifrovania záloh a samozrejme ich automatického dešifrovania v prípade realizácie obnovy.

372

373

Súčasťou riešenia bude aj technologické vybavenie pre bezpečné uloženie záloh - dodanie NAS (Network Acces Stoarage) s dostatočnou diskovou kapacitou a RAID technológiou pre uloženie záloh v primárnej a rovnako aj sekundárnej lokalite a nastavenie automatickej replikácie záloh z primárnej do sekundárnej lokality.

374

375

Súčasťou riešenia musia byť supportované licencie pre existujúce riešenie Veeam, konkrétne Veeam Backup & Replication Enterprise vo vlastníctve ZSKE po celú dobu poskytovania služby a taktiež aj vytvorenie dostatočnej lokálnej kapacita na ukladanie záloh mimo hlavnej serverovne pri nastavení služby (NAS).

Požiadavky na NAS:

* RackStation 2,2GHz, 4GBRAM, 8xSATA, 2xUSB3.0

380

* záruka 5 rokov

381

* kapacita 22 TB SATA, 6Gb/s, 256MB cache, 7200 ot. – 6ks

382

* čítanie / zápis dát min.: 2300 / 1100 MB/s

383

* podpora sieťových kariet 10GbE SFP+/RJ-45 a 25GbE SFP28

384

* redundantný zdroj napájania

385

* technická a systémová podpora 8/5.

386

387

Riešenie musí obsahovať:

388

389

* pokročilú technológiu vytvárania snímkou zaisťujúcu plánovateľnú a temer okamžitú ochranu dát zdieľaných zložiek a jednotiek LUN,

390

* obnovu dát na úrovni súborov a zložiek s obnovením konkrétnych súborov alebo zložiek,

391

* flexibilný systém kvóty pre zálohy,

392

* automatické opravy súborov napr. pomocou zrkadlených metadát a konfiguráciou RAID,

393

* vloženú komprimáciu dát pred zápisom na disk,

394

* možnosť integrácie s ľubovoľnou virtualizačnou platformou,

395

* zálohovanie bez licencií určených k ochrane počítačov a serverov so systémom Windows,

396

* virtuálnych počítačov, ďalších súborových serverov a cloudových aplikácií,

397

* konsolidáciu úloh zálohovania pre fyzické i virtuálne prostredie s možnosťou rýchleho obnovenia súborov, celých fyzických počítačov a virtuálnych počítačov,

398

* zálohovanie v prostredí Google Workspace, Gmail, kontaktov, kalendárov a služby Drive zálohovanie dát sady Microsoft 365, OneDrive for Business, SharePoint Online, e-mailov, kontaktov a kalendárov.

399

400

Požiadavky na HW pre systém zálohovania:

401

402

* on-site riešenie,

403

* nezávislé sieťové úložisko s umiestnením mimo priestorov aktívnej IT technológie, ktorej zálohy má uchovávať,

404

* form factor: 2U, montáž do 19" racku, 12 pozícií na 3,5" disky,

405

* 4x CPU, s min. 8 jadrami, kompatibilita s inštrukčným setom x86_64; výkon CPU min. 18.000 bodov podľa testu PassMark - CPU Mark,

406

* 64GB RAM (4x 16GB TruDDR4 3200MHz),

407

* 5x 3.5" 6TB 7.2K SAS 12Gb Hot Swap 512e HDD (4ks v RAID5 + 1 spare disk), životnosť min. 0,5 DWPD (Drive Writes per Day) za obdobie 5 rokov alebo ekvivalent,

408

* pripojenie do siete LAN: min. 4x 1Gb/s,

409

* redundantné napájacie zdroje, napájanie 230 VAC,

410

* montážny úchyt do racku formou vysúvateľných „lyžín“,

411

* 3 roky záruka na všetky HW komponenty, vrátane diskov a napájacích zdrojov; v prípade poruchy disku je požadované dodanie náhradného disku do miesta inštalácie nasledujúci pracovný deň (NBD) a ponechanie disku na mieste u používateľa,

412

* interné diskové kontroléry musia byť kompatibilné so serverovou virtualizačnou technológiou VMware vSphere 7.x Essential Plus,

413

* dodávka, implementácia + vrátane zavedenia procesu zálohovania a testu obnovy zo zálohy, ako aj zaškolenia používateľov/systémových adminov.

**__ __**

**__ __**

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.2Rozsahinformačnýchsystémov–ASIS"/}}3.2.2 Rozsah informačných systémov – AS IS ===

420

421

422

Implementované bezpečnostné riešenia sa budú dotýka najmä zvýšenia ochrany a bezpečnosti nasledovných IS:

423

424

|(((

425

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

440

441

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

Isvs_6696

)))|(((

PROMIS doprava

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

)))

|(((

Isvs_6708

)))|(((

Garis – ERP/HR

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

464

)))|(((

465

Ekonomický a administratívny chod inštitúcie

)))|(((

)))

Čiastočne a okrajovo sa implementované bezpečnostné opatrenia a riešenia budú dotýkať aj nasledovných infraštruktúrnych a podporných IS, ktoré ale nie sú ISVS:

|(((

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

490

491

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

)))|(((

Mobilná aplikácia EHR

)))|(((

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

EHR BackOffice

)))|(((

)))|(((

)))|(((

)))|(((

)))

|(((

Isvs_6706

)))|(((

WEB, intranet interná sekcia

)))|(((

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

)))|(((

)))|(((

)))|(((

)))|(((

)))

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.3Rozsahinformačnýchsystémov–TOBE"/}}3.2.3 Rozsah informačných systémov – TO BE ===

// //

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

552

553

554

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.4VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}3.2.4 Využívanie nadrezortných a spoločných ISVS – AS IS ===

555

556

557

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

558

559

560

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.5PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}3.2.5 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE ===

561

562

563

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

564

565

566

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.6PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}3.2.6 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===

567

568

569

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

570

571

572

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.7Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}3.2.7 Aplikačné služby pre realizáciu koncových služieb – TO BE ===

573

574

575

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

576

577

578

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.8Aplikačnéslužbynaintegráciu–TOBE"/}}3.2.8 Aplikačné služby na integráciu – TO BE ===

579

580

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

581

582

583

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.9PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}3.2.9 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===

584

585

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

586

587

588

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.2.10KonzumovanieúdajovzISCSRU–TOBE"/}}3.2.10 Konzumovanie údajov z IS CSRU – TO BE ===

589

590

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3Dátovávrstva"/}}3.3 Dátová vrstva ==

595

596

597

Z pohľadu dátového modelu nejde o typické biznis (agendové) dáta ale o dáta typu:

598

599

* Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. – ako výstupy aktivity projektu určené pre ďalšie riadenie rozvoja KIB,

600

* bezpečnostné konfigurácie a bezpečnostné dáta (napr. logy) – pre fungovanie jednotlivých bezpečnostných komponentov.

601

602

Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. sú určené pre proces riadenia KIB.

603

604

Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie bezpečnostných modulov, t.j. jednotlivé komponenty tohto navrhovaného riešenia a zároveň reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov.

605

606

607

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.1Údajevspráveorganizácie"/}}3.3.1 Údaje v správe organizácie ===

608

609

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

610

611

612

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.2Dátovýrozsahprojektu-Prehľadobjektovevidencie-TOBE"/}}3.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE ===

613

614

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

615

616

617

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.3Referenčnéúdaje"/}}3.3.3 Referenčné údaje ===

618

619

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

620

621

622

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.4Kvalitaačistenieúdajov"/}}3.3.4 Kvalita a čistenie údajov ===

623

624

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

625

626

627

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.5Otvorenéúdaje"/}}3.3.5 Otvorené údaje ===

628

629

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

630

631

632

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.6Analytickéúdaje"/}}3.3.6 Analytické údaje ===

633

634

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

635

636

637

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.7Mojeúdaje"/}}3.3.7 Moje údaje ===

638

639

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

640

641

642

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.3.8Prehľadjednotlivýchkategóriíúdajov"/}}3.3.8 Prehľad jednotlivých kategórií údajov ===

643

644

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

645

646

647

== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.4Technologickávrstva"/}}3.4 Technologická vrstva ==

648

649

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.4.1Prehľadtechnologickéhostavu-ASISaTOBE"/}}3.4.1 Prehľad technologického stavu - AS IS a TO BE ===

650

651

652

V rámci as-is stavu dnes v rámci ZSKE neexistuje bezpečnostná technológia, ktorá je predmetom tohto projektu.

653

654

Z pohľadu to-be bude finálna technologická vrstva závislá od výsledkov verejného obstarávania a technológie, ktorú ponúkne víťazný uchádzač.

655

656

Niektoré bezpečnostné riešenia totižto poskytujú viacero alternatív a dajú sa implementovať napr. ako virtuálny appliance, ale prípadne aj ako HW appliance. Predpokladom však je, že väčšina bezpečnostných riešení bude nasadená do virtuálneho prostredia ZSKE, a niektoré riešenia budú nasadené ako samostatný HW appliance, prípadne budú nasadení rôzni agenti do infraštruktúry ZSKE.

657

658

Vzhľadom na uvedené skutočnosti predpokladáme „high level“ technologickú architektúru tak, ako je uvedené na nasledujúcom obrázku:

659

660

661

[[image:attach:image-2024-7-3_18-50-28-1.png||height="400"]]

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.4.2Požiadavkynavýkonnostnéparametre,kapacitnépožiadavky–TOBE"/}}3.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE ===

666

667

Predpokladané výkonnostné parametre a kapacitné požiadavky sú, tam kde je to relevantné, uvedené v popise aplikačnej architektúry jednotlivých aplikačných funkcií a aplikačných modulov.

668

669

670

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.4.3Návrhriešeniatechnologickejarchitektúry–popísanévyššievrámciASIS-TOBE"/}}3.4.3 Návrh riešenia technologickej architektúry – popísané vyššie v rámci ASIS -TOBE ===

671

672

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

// //

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.4.4Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}3.4.4 Využívanie služieb z katalógu služieb vládneho cloudu ===

677

678

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

679

680

== {{id name="projekt_2813_Pristup_k_projektu_detailny-3.5Bezpečnostnáarchitektúra"/}}3.5 Bezpečnostná architektúra ==

681

682

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia.

683

684

685

= {{id name="projekt_2813_Pristup_k_projektu_detailny-4.ZávislostinaostatnéISVS/projekty"/}}4. Závislosti na ostatné ISVS / projekty =

686

687

Bez závislostí na iné projekty.

**~ **

= {{id name="projekt_2813_Pristup_k_projektu_detailny-5.Zdrojovékódy"/}}5. Zdrojové kódy =

692

693

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

694

695

Riešenie nepredpokladá vývoj softvéru, ale použitie komerčných bezpečnostných produktov a zariadení.

696

697

698

= {{id name="projekt_2813_Pristup_k_projektu_detailny-6.Prevádzkaaúdržba"/}}6. Prevádzka a údržba =

699

700

Aktivita podpora Governance v oblasti KIB si nevyžaduje žiadnu budúcu prevádzku, nakoľko ide len o analytické a konzultačné práce, ktorých výstupy budú použité pre proces riadenia KIB (Governance). Výstupy Governance aktivít samozrejme tiež budú musieť byť udržiavané a rozvíjané, to by však malo byť realizované pomocou interných zamestnancov a v rámaci existujúceho DMS systému bez priameho vplyvu na rozpočet.

Pre aktivity napr.:

* nasadenie nástroja na evidenciu aktív,

705

* nástroja na riadenie identít a prístupov,

706

* autentifikácie zariadení v sieti a 2FA,

707

* nástroja pre zálohovanie

708

709

sú rámcové požiadavky na prevádzku a údržbu zadefinované nižšie.

710

711

== {{id name="projekt_2813_Pristup_k_projektu_detailny-6.1Prevádzkovépožiadavky"/}}6.1 Prevádzkové požiadavky ==

712

713

Všetky ďalšie parametre a požiadavky na prevádzku a údržbu sa týkajú už len nasledovných aktivít:

714

715

* nasadenie nástroja na evidenciu aktív,

716

* nástroja na riadenie identít a prístupov,

717

* autentifikácie zariadení v sieti a 2FA.

718

719

720

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-6.1.1Úrovnepodporypoužívateľov"/}}6.1.1 Úrovne podpory používateľov ===

721

722

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

723

724

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-6.1.2Riešenieincidentov–SLAparametre"/}}6.1.2 Riešenie incidentov – SLA parametre ===

725

726

727

Označenie naliehavosti incidentu:

728

729

|(((

730

Označenie naliehavosti incidentu

)))|(((

Závažnosť incidentu

)))|(((

Popis naliehavosti incidentu

)))

|(((

A

)))|(((

Kritická

)))|(((

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

)))

|(((

B

)))|(((

Vysoká

)))|(((

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.

)))

|(((

C

)))|(((

Stredná

)))|(((

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

)))

|(((

D

)))|(((

Nízka

)))|(((

Kozmetické a drobné chyby.

)))

// //

možný dopad:

|(((

Označenie závažnosti incidentu

)))|(((

Dopad

)))|(((

Popis dopadu

)))

|(((

1

)))|(((

katastrofický

)))|(((

katastrofický dopad, priamy finančný dopad alebo strata dát,

)))

|(((

2

)))|(((

značný

)))|(((

značný dopad alebo strata dát

)))

|(((

3

)))|(((

malý

)))|(((

malý dopad alebo strata dát

)))

**// //**

Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

803

804

|(% colspan="2" rowspan="2" %)(((

805

Matica priority incidentov

806

)))|(% colspan="3" %)(((

Dopad

)))

|(((

Katastrofický - 1

)))|(((

Značný - 2

)))|(((

Malý - 3

)))

|(% rowspan="4" %)(((

**Naliehavosť**

)))|(((

**Kritická - A**

)))|(((

1

)))|(((

2

)))|(((

3

)))

|(((

**Vysoká - B**

)))|(((

2

)))|(((

3

)))|(((

3

)))

|(((

**Stredná - C**

)))|(((

2

)))|(((

3

)))|(((

4

)))

|(((

**Nízka - D**

)))|(((

3

)))|(((

4

)))|(((

4

)))

**// //**

Vyžadované reakčné doby:

858

859

|(((

860

Označenie priority incidentu

861

)))|(((

862

Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu

863

)))|(((

864

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^

)))|(((

Spoľahlivosť ^^(3)^^

(počet incidentov za mesiac)

)))

|(((

1

)))|(((

0,5 hod.

)))|(((

4 hodín

)))|(((

1

)))

|(((

2

)))|(((

1 hod.

)))|(((

12 hodín

)))|(((

2

)))

|(((

3

)))|(((

1 hod.

)))|(((

24 hodín

)))|(((

10

)))

|(((

4

)))|(((

1 hod.

)))|(% colspan="2" %)(((

902

Vyriešené a nasadené v rámci plánovaných releasov

)))

// //

== {{id name="projekt_2813_Pristup_k_projektu_detailny-6.2PožadovanádostupnosťIS:"/}}6.2 Požadovaná dostupnosť IS: ==

**// //**

|(((

Popis

)))|(((

Parameter

)))|(((

Poznámka

)))

|(((

**Prevádzkové hodiny**

)))|(((

12 hodín

)))|(((

od 6:00 hod. - do 18:00 hod. počas pracovných dní

924

)))

925

|(% rowspan="2" %)(((

**Servisné okno**

)))|(((

10 hodín

)))|(((

od 19:00 hod. - do 5:00 hod. počas pracovných dní

)))

|(((

24 hodín

)))|(((

od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov

936

937

Servis a údržba sa bude realizovať mimo pracovného času.

938

)))

939

|(((

940

**Dostupnosť produkčného prostredia IS**

)))|(((

98,5%

)))|(((

98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod.

945

946

Maximálny mesačný výpadok je 5,5 hodiny.

947

948

Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

949

950

Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L3 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

951

952

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

)))

// //

=== {{id name="projekt_2813_Pristup_k_projektu_detailny-6.2.1Dostupnosť(Availability)"/}}6.2.1 Dostupnosť (Availability) ===

958