PROJEKTOVÝ ZÁMER

Vzor pre manažérsky výstup I-02

podľa vyhlášky MIRRI č. 401/2023 Z. z.

Schvaľovanie dokumentu

1.    História DOKUMENTU

2.    ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

2.1      Použité skratky a pojmy

3.    DEFINOVANIE PROJEKTU

3.1      Manažérske zhrnutie

Informačné systémy IS RVO (register vylúčených osôb) a IS CES (centrálny ekonomický systém) predstavujú kritické prvky aplikačného prostredia prevádzkované organizáciu DataCentrum. Tieto systémy sú chránené mnohovrstevnou bezpečnostnou architektúrou, ktorej kľúčovými komponentami sú okrem iných aj firewally Checkpoint virtualizované skrz jednotlivé lokality organizácie DataCentrum (DataCentrum Cintorínska, DataCentrum Kopčianska, ZVS Tajov).

V rámci lokality ZVS Tajov sú alokované firewally Checkpoint rady 6500, ktoré morálne aj fyzicky zastarali a pre zabezpečenie dostatočnej úrovne bezpečnosti prevádzkovaných systémov je potrebné realizovať navýšenie výkonu, garantovanie servisovateľnosti a zjednotenie manažmentu bezpečnostných politík skrz všetky lokality. Túto úlohu je možné realizovať formou náhrady modernejšími zariadeniami kompatibilnými so zariadeniami na ostatných lokalitách a zabezpečením jednotného manažmentu.

Kvalitatívnym prínosom projektu bude:

• Zvýšenie bezpečnosti informačných systémov DataCentra – primárne IS RVO a IS CES
• Zabezpečenie splnenia nových požiadaviek na výkonnosť, robusntosť a redundanciu bezpečnostných technológií Checkpoint

Kvantitatívnym prínosom projektu bude:

• Zabezpečenie technologického lifecycle bezpečnostných technológií Checkpoint 6500 v ZVS

Časový harmonogram projektu predpokladá jeho ukončenie do decembra 2024. Začiatok projektu je plánovaný na september 2024, ukončenie najneskôr v decemebri 2024. Následne sa zaradí do existujúcej štandardnej schémy podpory prevádzky.

Stručný harmonogram projektu

Rámcový rozpočet projektu je stanovený na                        855 220,27 € bez DPH

• Nákup infraštruktúry – HW, SW komponentov 669 400,27 € bez DPH
• Realizačné práce 185 820,00 € bez DPH

3.2      Motivácia a rozsah projektu

DataCentrum v rámci lokality ZVS prevádzkuje v rámci firewall architektúry zariadenia Checkpoint 6500, ktoré sú na konci životného cyklu. Z tohto pohľadu ako aj z adresovaných požiadaviek na existujúce aj budúce projekty je zrejmé, že aktuálna rada zariadení Checkpoint 6500 úž nespĺňa požiadavky na výkonnostné parametre a s ohľadom na technické danosti už nebude disponovať najnovšími funkcionalitami z pohľadu na požiadavky na bezpečnosť prevádzkovaných aplikácií, ako aj ich efektívnym manažmentom s ohľadom na fungovanie týchto aplikácií na viacerých lokalitách. Realizácia projektu tak umožní efektívne, za využitia aktuálnych investícií, zabezpečenie dostatočného výkonnostného rámca pre zabezpečenie rastúcich bezpečnostných požiadaviek ako aj poskytovanie nových funkcionalít pri zabezpečení efektívneho manažmentu skrz viacero lokalít.

Motiváciou a dôvodmi realizácie projektu sú:

• Zabezpečiť technologický lifecycle bezpečnostných technológií Checkpoint 6500 v ZVS
• Zabezpečiť splnenie nových požiadaviek na výkonnosť, robustnosť a redundanciu bezpečnostných technológií Checkpoint
• Umožniť ďalší rozvoj a posilnenie bezpečnosti IS systémov DataCentra vďaka novej funkcionalite dostupnej vďaka technologickému lifecycle prvkov Checkpoint a zabezpečeniu efektívneho manažmentu skrz existujúce lokality organizácie DataCentrum
• Doplnenie zariadení zabezpečujúcich potrebnú sieťovú konektivitu pre nové bezpečnostné zariadenia
• Súlad s aktuálnymi požiadavkami na úroveň bezpečnosti a manažmentu bezpečnostných udalostí a politík v rámci prostredia DataCentra riadeného technológiami Checkpoint

3.3      Zainteresované strany/Stakeholderi

3.4      Ciele projektu

3.5      Merateľné ukazovatele (KPI)

3.6      Špecifikácia potrieb koncového používateľa

Projekt je zameraný na zvýšenie úrovne bezpečnosti informačných systémov RVO a CES. V rámci projektu sa špecifikácia potrieb koncového používateľa neuplatňuje.

.

3.7      Riziká a závislosti

Realizáciu projektu nepovažujeme za rizikovú. DataCentrum má zdefinované pravidlá pre služby v rámci nasadzovanej platformy, ktoré zabezpečia prevádzkovanie týchto služieb a ich životný cyklus.

Cieľom je realizovať projekt v čo najkratšom časovom horizonte, čo umožní manažment dodávky hardvéru a realizácia migrácie služieb na novú platformu. Za najväčšie riziko považujeme nedodržanie časového harmonogramu zahájenia projektu, ktorý ovplyvní termín dodania hardwéru, pričom je kľúčové zrealizovať migrácie predmetných komponentov počas platnosti podpory aktuálnej platformy t.j. do konca decembra 2024

3.8      Stanovenie alternatív v biznisovej vrstve architektúry

V rámci rozsahu daného projektu sa nestanovujú alternatívy.

3.9      Multikriteriálna analýza

V rámci projektu sa multikriteriálna analýza neuplatňuje.

3.10    Stanovenie alternatív v aplikačnej vrstve architektúry

V rámci rozsahu daného projektu sa nestanovujú alternatívy.

3.11    Stanovenie alternatív v technologickej vrstve architektúry

V rámci rozsahu daného projektu sa nestanovujú alternatívy.

4.    POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

Požadovaným výstupom je dodávka HW (nové checkpoint bezpečnostné zariadenia (firewall Checkpoint 9300, virtualizátor firewall Checkpoint Maestro), jednotný manažment pre bezpečnostné zariadenia (Checkpoint Smart-1 Security management), software, security software subscription, sieťové prvky, inštalačné, konfiguračné a migračné práce).

Nákup HW bude realizovaný nasledovnými samostatnými verejnými obstarávaniami:

Nákup HW (nové checkpoint  bezpečnostné zariadenia (firewall Checkpoint 9300, virtualizátor firewall Checkpoint Maestro), jednotný manažment pre bezpečnostné zariadenia (Checkpoint Smart-1 Security management), software, security software subscription, sieťové prvky)

Inštalačné, konfiguračné a migračné práce - prostredníctvom existujúcich zmluvných vzťahov, internými kapacitami

5.    NÁHĽAD ARCHITEKTÚRY

Navrhované riešenie predstavuje obmenu hardvéru bezpečnostnej infraštruktúry poskytujúcej kľúčové bezpečnostné služby pre informačné systémy. Riešenie zároveň umožní požadovaný rozvoj aplikačného programového vybavenia a dokáže obslúžiť pripravované projekty.

Riešenie pozostáva z nasledovných celkov:

1. Obmena hardvérového vybavenia bezpečnostnej infraštruktúry, doplnenie platformy jednotného manažmentu pre bezpečnostné zariadenia a zabezpečenie zariadení sieťovej konektivity pre nové zariadenia
2. Optimalizácia bezpečnostnej politiky na modernizovaných zariadeniach, migrácia existujúcich služieb a konfigurácií na nové zaraidenia, zabezpečenie vysokej dostupnosti novoinštalovanej architektúry pre existujúce požiadavky spomínaných informačných systémov
3. Príprava bezpečnostnej infraštruktúry na ďalší rozvoj a integráciu novo pripravovaných projektov s najvyššími bezpečnostnými nárokmi v súlade s aktuálnymi architektonickými koncepciami

Architektúra riešenia obmeny brán Check Point v lokalite ZVS

Opis súčasnej konfigurácie brán Check Point v lokalite ZVS

V lokalite Záložné Výpočtové Stredisko (ďalej len ZVS) sa aktuálne od výrobcu Check Point nachádzajú nasledujúce zariadenia:

• 2x CPAP-MHO-140
• 3x CPAP-SG6500-TURBO-NGFW

Za účelom modernizácie infraštruktúry pre ochranu pred kybernetickými hrozbami sa súčasný systém odporúča vymeniť za aktuálne ponúkanie zariadenia z katalógu výrobcu, a to konkrétne zariadenie Check Point Quantum Force, model CPAP-SG9300–PLUS. Pre toto zariadenie výrobca udáva nasledujúce výkonnostné parametre:

• Threat Prevention: 9 Gbps
• IPS: 39 Gbps
• L4 Firewall: 70 Gbps
• Nových spojení za sekundu: 300000

Z hľadiska architektúry je súčasné riešenie kompatibilné s navrhovaným riešením a súčasný dizajn je tak možné zachovať, vďaka čomu sa zabezpečí maximálna efektivita pri následnej správe riešenia.

Projekt implementácie technologickej obmeny brán Check Point pozostáva z nasledujúcich celkov:

1. Obmena hardvérového vybavenia v lokalite ZVS
2. Optimalizácia bezpečnostnej politiky na modernizovaných zariadeniach

Hlavnými prínosmi tejto aktivitu sú najmä:

• Odstránenie hardvéru s končiacou životnosťou – ak by sa zmena nezrealizovala, na platforme by už nebolo možné vykonávať aktualizácie ani žiadať o hardvérovú či softvérovú podporu
• Zvýšenie maximálneho výkonnostného stropu bezpečnostných brán v lokalite ZVS – výrobca pre zariadenia udáva 2 až 2,5-násobne väčší výkon pri zachovaní aktuálnych priestorových požiadaviek v dátovom racku

Architektúra riešenia vysokej dostupnosti správy Check Point

Opis súčasnej konfigurácie správy logov brán Check Point

V súčasnosti sa v organizácií DataCentrum pre zber a uchovávanie záznamov z brán Check Point používa hardvérová platforma Smart-1 5050 daného výrobcu. Zariadenia Smart-1 5050 boli v Septembri roku 2021 výrobcom označené ako End of Sale, pričom posledný termín ku ktorému je možné na zariadenia kúpiť technickú podporu je September 2026 (počnúc dátumom 1.10.2026 už nebude výrobca na zariadenia poskytovať softvérovú ani hardvérovú podporu).

Nakoľko sa funkcionalita centralizovaného systému pre zber logov z brán Check Point plánuje zachovať, zariadenia Smart-1 5050 sa odporúča nahradiť aktuálnou hardvérovou platformou pre zber logov.

Opis súčasnej konfigurácie manažmentu brán Check Point

V súčasnosti sa v organizácií DataCentrum pre manažment brán Check Point používa virtuálna platforma na ktorej je prevádzkovaný systém výrobcom označovaný ako Secure Management System (ďalej len SMS). V prípade výpadku systému SMS prichádza DataCentrum o možnosť upravovať nastavenie bezpečnostnej politike na všetkých bránach a reagovať tak na prípadné bezpečnostné či prevádzkové incidenty.

Pre zabezpečenie vysokej dostupnosti funkcinality správy brán výrobca odporúča využiť vstavanú funkcionalitu systému SMS označovanú ako Management High Availability.

Pre účely dobudovania systému pre manažment brán Check Point sa odporúča súčasný systém nahradiť zariadením z aktuálnej ponuky výrobcu, a to zariadením označeným ako CPAP-NGSM6000L-BASE. Pre toto zariadenie výrobca udáva nasledujúce technické parametre:

• Maximálny súbežný spravovaných brán: 75
• Počet jadier CPU: 16
• Veľkosť RAM: 96 GB
• Veľkosť diskového priestoru: 6x 4 TB HDD (pozn.: celkový diskový priestor je závislý od konfigurácie diskovej redundancie, tzv. režim RAID-u)

Z hľadiska architektúry je súčasné riešenie pre manažment brán kompatibilné s navrhovaným riešením a súčasný dizajn je tak možné zachovať. Zmena v architektúre spočíva v doplnení sekundárneho zariadenia do lokality ZVS, ktoré v prípade výpadku dostupnosti riešenia v primárnej lokalite na seba preberie funkcionalitu správy zariadení Check Point. Toto riešenia zároveň zabezpečí modernizáciu systému pre zber a vyhodnocovanie logov z brán Check Point pri zachovaní aktuálneho dizajnu.

Projekt implementácie technologickej obmeny systému pre zber logov pozostáva z nasledujúcich celkov:

1. Obmena a doplnenie hardvérového vybavenia v lokalite ZVS
2. Integrácia modernizovaného HW do celkovej infraštruktúry Check Point

Hlavnými prínosmi tejto aktivitu sú najmä:

• Doplnenie funkcionality vysokej dostupnosti pre správu brán Check Point
• Modernizácia systému pre zber a vyhodnocovanie logov

Obr. 1 – Návrh modernizovanej architektúry systémov Check Point

Navrhované riešenie počíta s umiestnením hardvéru do lokality ZVS a umiestnením Log servera do locality DC Cintorínska pre zabezpečenie vysokej dostupnosti.

Zachovanie existujúcej architektúry zabezpečí dostatočnú flexibilitu pri nasadzovaní nových riešení v infraštruktúre zákazníka pri zachovaní existujúcich architektonických pravidiel

Implementácia riešenia pozostáva z nasadenia nového HW v rámci locality ZVS. Pričom potrebné konfigurácie budú prenesené na ďalšie lokality podľa potreby.

Implementačné práce:

5.1      Prehľad e-Government komponentov

Kapitola je spracovaná v dokumente I-03 Prístup k projektu.

6.    LEGISLATÍVA

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra

bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

Vyhláška Národného bezpečnostného úradu č. 493/2022 Z. z o audite kybernetickej bezpečnosti.

Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.

Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov.

Realizácia projektu nepredpokladá legislatívne zmeny.

7.    ROZPOČET A PRÍNOSY

Realizácia projektu umožní zabezpečiť zvýšenie bezpečnosti systémov, ktoré pristupujú skrz definovanú bezpečnostnú infraštruktúru, zároveň eliminuje riziko prevádzky nepodporovanej prístupovej infraštruktúry a takisto umožní do budúcnosti efektívnejšie rozširovanie funkcií poskytovaných touto bezpečnostnou infraštruktúrou bez nutnosti reimplementácie (bude postačovať doplnenie SW modulov - ktoré zvýšia výkon celého riešenia).

V prípade výpadku nenastane len finančná škoda ale môže vzniknúť aj reputačné riziko vzhľadom na to, že prostredníctvom tejto infraštruktúry sú chránené aj zmienené informačné systémy IS CES a IS RVO.

Zároveň sa realizáciou projektu zníži riziko výpadku HW infraštruktúry a následné dopad na dostupnosť služieb.

7.1      Sumarizácia nákladov a prínosov

8.    HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

Časový harmonogram projektu je nastavený na 5 mesiacov a finálnym termínom dokončenia do 31.12.2024. Začiatok projektu je naplánovaný od 08/2024 a má byť ukončený najneskôr do 12/2024.

Následne v rámci prevádzky bude prebiehať podpora prevádzky.

Projekt bude realizovaný metódou Waterfall v súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401 /2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Waterfall prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu počas vývoja alebo realizácie projektu. V rámci projektu je definovaný jasný cieľ a jasne definovateľný postup a rozdelenie prác.

9.    PROJEKTOVÝ TÍM

10. ODKAZY

11. PRÍLOHY

Príloha :