Wiki zdrojový kód pre pristup_k_projektu
Version 3.2 by robert_jankech on 2024/11/07 11:23
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | **PRÍSTUP K PROJEKTU** | ||
| 2 | |||
| 3 | **Vzor pre manažérsky výstup I-03 podľa vyhlášky MIRRI č. 401/2023 Z. z. ** | ||
| 4 | |||
| 5 | |||
| 6 | |||
| 7 | (% class="" %)|((( | ||
| 8 | **Povinná osoba ** | ||
| 9 | )))|((( | ||
| 10 | Nemocnica s poliklinikou Ilava, n. o. | ||
| 11 | ))) | ||
| 12 | (% class="" %)|((( | ||
| 13 | **Názov projektu ** | ||
| 14 | )))|((( | ||
| 15 | Rozvoj informačnej a kybernetickej bezpečnosti NsP Ilava | ||
| 16 | ))) | ||
| 17 | (% class="" %)|((( | ||
| 18 | **Zodpovedná osoba za projekt ** | ||
| 19 | )))|((( | ||
| 20 | Ing. Robert Jankech | ||
| 21 | ))) | ||
| 22 | (% class="" %)|((( | ||
| 23 | **Realizátor projektu ** | ||
| 24 | )))|((( | ||
| 25 | Nemocnica s poliklinikou Ilava, n. o. | ||
| 26 | ))) | ||
| 27 | (% class="" %)|((( | ||
| 28 | **Vlastník projektu ** | ||
| 29 | )))|((( | ||
| 30 | Nemocnica s poliklinikou Ilava, n. o. | ||
| 31 | ))) | ||
| 32 | |||
| 33 | |||
| 34 | |||
| 35 | **~ Schvaľovanie dokumentu** | ||
| 36 | |||
| 37 | (% class="" %)|((( | ||
| 38 | **Položka** | ||
| 39 | )))|((( | ||
| 40 | **Meno a priezvisko** | ||
| 41 | )))|((( | ||
| 42 | **Organizácia** | ||
| 43 | )))|((( | ||
| 44 | **Pracovná pozícia** | ||
| 45 | )))|((( | ||
| 46 | **Dátum** | ||
| 47 | )))|((( | ||
| 48 | **Podpis (alebo elektronický súhlas)** | ||
| 49 | ))) | ||
| 50 | (% class="" %)|((( | ||
| 51 | Schválil | ||
| 52 | )))|((( | ||
| 53 | Ing. Juraj Beďatš | ||
| 54 | )))|((( | ||
| 55 | NsP Ilava | ||
| 56 | )))|((( | ||
| 57 | Riaditeľ | ||
| 58 | )))|((( | ||
| 59 | 22.08.2024 | ||
| 60 | )))|((( | ||
| 61 | \\ | ||
| 62 | ))) | ||
| 63 | |||
| 64 | = {{id name="projekt_3014_Pristup_k_projektu_detailny-1.Históriadokumentu"/}}1. História dokumentu = | ||
| 65 | |||
| 66 | (% class="" %)|((( | ||
| 67 | **Verzia** | ||
| 68 | )))|((( | ||
| 69 | **Dátum** | ||
| 70 | )))|((( | ||
| 71 | **Zmeny** | ||
| 72 | )))|((( | ||
| 73 | **Meno** | ||
| 74 | ))) | ||
| 75 | (% class="" %)|((( | ||
| 76 | //1.0// | ||
| 77 | )))|((( | ||
| 78 | 22.08.2024 | ||
| 79 | )))|((( | ||
| 80 | //Finálna verzia projektovej dokumentácie// | ||
| 81 | )))|((( | ||
| 82 | Ing. Robert Jankech | ||
| 83 | ))) | ||
| 84 | |||
| 85 | = {{id name="projekt_3014_Pristup_k_projektu_detailny-2.Účeldokumentu"/}}2. Účel dokumentu = | ||
| 86 | |||
| 87 | V súlade s Vyhláškou 401/2023 Z. z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia. Dokument Prístup k projektu obsahuje opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. | ||
| 88 | |||
| 89 | == {{id name="projekt_3014_Pristup_k_projektu_detailny-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy == | ||
| 90 | |||
| 91 | (% class="" %)|((( | ||
| 92 | **SKRATKA/POJEM** | ||
| 93 | )))|((( | ||
| 94 | **POPIS** | ||
| 95 | ))) | ||
| 96 | (% class="" %)|((( | ||
| 97 | 2FA | ||
| 98 | )))|((( | ||
| 99 | Dvojfaktorové overovanie (2FA) je metóda zabezpečenia správy identít a prístupu, ktorá na prístup k zdrojom a údajom vyžaduje dve formy identifikácie. Dvojfaktorové overovanie umožňuje podnikom monitorovať a chrániť najzraniteľnejšie informácie a siete. | ||
| 100 | ))) | ||
| 101 | (% class="" %)|((( | ||
| 102 | AD | ||
| 103 | )))|((( | ||
| 104 | Active Directory je implementácia adresárových služieb LDAP firmou Microsoft na použitie v systéme Microsoft Windows. Umožňuje administrátorom nastavovať politiku, inštalovať programy na mnoho počítačov alebo aplikovať kritické aktualizácie v celej organizačnej štruktúre. Active Directory svoje informácie a nastavenia ukladá v centrálnej organizovanej databáze. | ||
| 105 | ))) | ||
| 106 | (% class="" %)|((( | ||
| 107 | AI | ||
| 108 | )))|((( | ||
| 109 | Artificial intelligence – umelá inteligencia | ||
| 110 | ))) | ||
| 111 | (% class="" %)|((( | ||
| 112 | API | ||
| 113 | )))|((( | ||
| 114 | Application Programming Interface /aplikačné rozhranie | ||
| 115 | ))) | ||
| 116 | (% class="" %)|((( | ||
| 117 | ATP | ||
| 118 | )))|((( | ||
| 119 | Attention-based Ternary Projection Network | ||
| 120 | ))) | ||
| 121 | (% class="" %)|((( | ||
| 122 | CIFS | ||
| 123 | )))|((( | ||
| 124 | Common Internet File System | ||
| 125 | ))) | ||
| 126 | (% class="" %)|((( | ||
| 127 | CPU | ||
| 128 | )))|((( | ||
| 129 | Centrálna procesorová jednotka | ||
| 130 | ))) | ||
| 131 | (% class="" %)|((( | ||
| 132 | CSIRT | ||
| 133 | )))|((( | ||
| 134 | Computer Security Incident Response Team | ||
| 135 | ))) | ||
| 136 | (% class="" %)|((( | ||
| 137 | DAS | ||
| 138 | )))|((( | ||
| 139 | Direct Attached Storage | ||
| 140 | ))) | ||
| 141 | (% class="" %)|((( | ||
| 142 | DB | ||
| 143 | )))|((( | ||
| 144 | Databáza | ||
| 145 | ))) | ||
| 146 | (% class="" %)|((( | ||
| 147 | DC | ||
| 148 | )))|((( | ||
| 149 | Dátové centrum | ||
| 150 | ))) | ||
| 151 | (% class="" %)|((( | ||
| 152 | DDoS | ||
| 153 | )))|((( | ||
| 154 | Direct denial of service | ||
| 155 | ))) | ||
| 156 | (% class="" %)|((( | ||
| 157 | DR | ||
| 158 | )))|((( | ||
| 159 | Disaster Recovery | ||
| 160 | ))) | ||
| 161 | (% class="" %)|((( | ||
| 162 | DRAM | ||
| 163 | )))|((( | ||
| 164 | Dynamic Random Access Memory | ||
| 165 | ))) | ||
| 166 | (% class="" %)|((( | ||
| 167 | EPS | ||
| 168 | )))|((( | ||
| 169 | Events Per Second | ||
| 170 | ))) | ||
| 171 | (% class="" %)|((( | ||
| 172 | FC | ||
| 173 | )))|((( | ||
| 174 | Fibre Channel | ||
| 175 | ))) | ||
| 176 | (% class="" %)|((( | ||
| 177 | FERC | ||
| 178 | )))|((( | ||
| 179 | Federal Energy Regulatory Commission | ||
| 180 | ))) | ||
| 181 | (% class="" %)|((( | ||
| 182 | FW | ||
| 183 | )))|((( | ||
| 184 | Firewall - Sieťové zariadenie, alebo softver, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Extranet a Intranet) a kontrolovať tok dát medzi týmito sieťami | ||
| 185 | ))) | ||
| 186 | (% class="" %)|((( | ||
| 187 | GB | ||
| 188 | )))|((( | ||
| 189 | Gigabajt | ||
| 190 | ))) | ||
| 191 | (% class="" %)|((( | ||
| 192 | GbE | ||
| 193 | )))|((( | ||
| 194 | Gigabit Ethernet | ||
| 195 | ))) | ||
| 196 | (% class="" %)|((( | ||
| 197 | GBIC | ||
| 198 | )))|((( | ||
| 199 | GigaBit Interface Card je rozhranie zariadenia, ktoré konvertuje gigabitové elektrické signály na optické signály. | ||
| 200 | ))) | ||
| 201 | (% class="" %)|((( | ||
| 202 | Gbps | ||
| 203 | )))|((( | ||
| 204 | Gigabit za sekundu | ||
| 205 | ))) | ||
| 206 | (% class="" %)|((( | ||
| 207 | GLBA | ||
| 208 | )))|((( | ||
| 209 | Gramm Leach Bliley Act | ||
| 210 | ))) | ||
| 211 | (% class="" %)|((( | ||
| 212 | HDD | ||
| 213 | )))|((( | ||
| 214 | Hard Drive | ||
| 215 | ))) | ||
| 216 | (% class="" %)|((( | ||
| 217 | HIPAA | ||
| 218 | )))|((( | ||
| 219 | Health Insurance Portability and Accountability Act | ||
| 220 | ))) | ||
| 221 | (% class="" %)|((( | ||
| 222 | HTTPS | ||
| 223 | )))|((( | ||
| 224 | Hypertext transfer protocol secure | ||
| 225 | ))) | ||
| 226 | (% class="" %)|((( | ||
| 227 | HW | ||
| 228 | )))|((( | ||
| 229 | Hardvér | ||
| 230 | ))) | ||
| 231 | (% class="" %)|((( | ||
| 232 | IDS | ||
| 233 | )))|((( | ||
| 234 | Intrusion detection systems | ||
| 235 | ))) | ||
| 236 | (% class="" %)|((( | ||
| 237 | IPS | ||
| 238 | )))|((( | ||
| 239 | Intrusion prevention systems | ||
| 240 | ))) | ||
| 241 | (% class="" %)|((( | ||
| 242 | IS | ||
| 243 | )))|((( | ||
| 244 | Informačný systém | ||
| 245 | ))) | ||
| 246 | (% class="" %)|((( | ||
| 247 | IS CSRÚ | ||
| 248 | )))|((( | ||
| 249 | Informačný systém centrálnej správy referenčných údajov | ||
| 250 | ))) | ||
| 251 | (% class="" %)|((( | ||
| 252 | iSCSI | ||
| 253 | )))|((( | ||
| 254 | Internet Small Computer System Interface | ||
| 255 | ))) | ||
| 256 | (% class="" %)|((( | ||
| 257 | ISVS | ||
| 258 | )))|((( | ||
| 259 | Informačný system verejnej správy | ||
| 260 | ))) | ||
| 261 | (% class="" %)|((( | ||
| 262 | IT | ||
| 263 | )))|((( | ||
| 264 | Informačné technológie | ||
| 265 | ))) | ||
| 266 | (% class="" %)|((( | ||
| 267 | ITIL | ||
| 268 | )))|((( | ||
| 269 | Information Technology Infrastructure Library | ||
| 270 | ))) | ||
| 271 | (% class="" %)|((( | ||
| 272 | KaIB | ||
| 273 | )))|((( | ||
| 274 | Kybernetická a informačná bezpečnosť | ||
| 275 | ))) | ||
| 276 | (% class="" %)|((( | ||
| 277 | LAN | ||
| 278 | )))|((( | ||
| 279 | Lokálna (vnútorná) počítačová sieť (Local Area Network) | ||
| 280 | ))) | ||
| 281 | (% class="" %)|((( | ||
| 282 | LM | ||
| 283 | )))|((( | ||
| 284 | Log Management, systém na záznam a správu LOGov | ||
| 285 | ))) | ||
| 286 | (% class="" %)|((( | ||
| 287 | LOG | ||
| 288 | )))|((( | ||
| 289 | Záznam činnosti | ||
| 290 | ))) | ||
| 291 | (% class="" %)|((( | ||
| 292 | MAC | ||
| 293 | )))|((( | ||
| 294 | Media Access Control | ||
| 295 | ))) | ||
| 296 | (% class="" %)|((( | ||
| 297 | MB | ||
| 298 | )))|((( | ||
| 299 | Megabajt | ||
| 300 | ))) | ||
| 301 | (% class="" %)|((( | ||
| 302 | Mbps | ||
| 303 | )))|((( | ||
| 304 | Megabit za sekundu | ||
| 305 | ))) | ||
| 306 | (% class="" %)|((( | ||
| 307 | MKB | ||
| 308 | )))|((( | ||
| 309 | Manažér kybernetickej bezpečnosti | ||
| 310 | ))) | ||
| 311 | (% class="" %)|((( | ||
| 312 | Mpps | ||
| 313 | )))|((( | ||
| 314 | Mega packets per second | ||
| 315 | ))) | ||
| 316 | (% class="" %)|((( | ||
| 317 | MS | ||
| 318 | )))|((( | ||
| 319 | Microsoft | ||
| 320 | ))) | ||
| 321 | (% class="" %)|((( | ||
| 322 | NAS | ||
| 323 | )))|((( | ||
| 324 | Network Attached Storage | ||
| 325 | ))) | ||
| 326 | (% class="" %)|((( | ||
| 327 | NERC | ||
| 328 | )))|((( | ||
| 329 | North American Electric Reliability Corporation | ||
| 330 | ))) | ||
| 331 | (% class="" %)|((( | ||
| 332 | NFS | ||
| 333 | )))|((( | ||
| 334 | Network File System | ||
| 335 | ))) | ||
| 336 | (% class="" %)|((( | ||
| 337 | NGFW | ||
| 338 | )))|((( | ||
| 339 | Next generation firewall, firewall budúcej generácie, s pokročilou funkcionalitou | ||
| 340 | ))) | ||
| 341 | (% class="" %)|((( | ||
| 342 | NIST | ||
| 343 | )))|((( | ||
| 344 | National Institute of Standards and Technology | ||
| 345 | ))) | ||
| 346 | (% class="" %)|((( | ||
| 347 | OS | ||
| 348 | )))|((( | ||
| 349 | Operačný systém | ||
| 350 | ))) | ||
| 351 | (% class="" %)|((( | ||
| 352 | PCI DSS | ||
| 353 | )))|((( | ||
| 354 | Payment Card Industry Data Security Standard | ||
| 355 | ))) | ||
| 356 | (% class="" %)|((( | ||
| 357 | PID | ||
| 358 | )))|((( | ||
| 359 | Projektový iniciačný dokument | ||
| 360 | ))) | ||
| 361 | (% class="" %)|((( | ||
| 362 | PZ SR | ||
| 363 | )))|((( | ||
| 364 | Policajný Zbor Slovenskej Republiky | ||
| 365 | ))) | ||
| 366 | (% class="" %)|((( | ||
| 367 | RAM | ||
| 368 | )))|((( | ||
| 369 | Operačná pamäť | ||
| 370 | ))) | ||
| 371 | (% class="" %)|((( | ||
| 372 | REST | ||
| 373 | )))|((( | ||
| 374 | Representational State Transfer | ||
| 375 | ))) | ||
| 376 | (% class="" %)|((( | ||
| 377 | RV | ||
| 378 | )))|((( | ||
| 379 | Riadiaci výbor | ||
| 380 | ))) | ||
| 381 | (% class="" %)|((( | ||
| 382 | SAN | ||
| 383 | )))|((( | ||
| 384 | Storage Area Network | ||
| 385 | ))) | ||
| 386 | (% class="" %)|((( | ||
| 387 | SATA | ||
| 388 | )))|((( | ||
| 389 | Zbernica primárne navrhovaná na prenos dát | ||
| 390 | ))) | ||
| 391 | (% class="" %)|((( | ||
| 392 | SFP | ||
| 393 | )))|((( | ||
| 394 | Small Form-factor Pluggable - štandardizovaný modul používaný v telekomunikačných a sieťových technologiách pre pripojenie a komunikáciu medzi rôznymi sieťovými zariadeniami. | ||
| 395 | ))) | ||
| 396 | (% class="" %)|((( | ||
| 397 | SHA | ||
| 398 | )))|((( | ||
| 399 | Secure Hash Algorithm | ||
| 400 | ))) | ||
| 401 | (% class="" %)|((( | ||
| 402 | SIEM | ||
| 403 | )))|((( | ||
| 404 | Systém pre zber a analýzu bezpečnostnych udalostí vytváraných IT prostriedkami v reálnom čase (Security Information and Event Management) | ||
| 405 | ))) | ||
| 406 | (% class="" %)|((( | ||
| 407 | SIS | ||
| 408 | )))|((( | ||
| 409 | Slovenská Informačná Služba | ||
| 410 | ))) | ||
| 411 | (% class="" %)|((( | ||
| 412 | SLA | ||
| 413 | )))|((( | ||
| 414 | Service-level agreement | ||
| 415 | ))) | ||
| 416 | (% class="" %)|((( | ||
| 417 | SMB | ||
| 418 | )))|((( | ||
| 419 | Server Message Block | ||
| 420 | ))) | ||
| 421 | (% class="" %)|((( | ||
| 422 | SOC | ||
| 423 | )))|((( | ||
| 424 | Security Operation Center - centralizovaná funkcia alebo tím zodpovedný za zlepšovanie organizačnej kybernetickej bezpečnosti postavenie a prevenciu, zisťovanie a reagovanie na hrozby | ||
| 425 | ))) | ||
| 426 | (% class="" %)|((( | ||
| 427 | SOX | ||
| 428 | )))|((( | ||
| 429 | Sarbanes–Oxley Act | ||
| 430 | ))) | ||
| 431 | (% class="" %)|((( | ||
| 432 | SQL | ||
| 433 | )))|((( | ||
| 434 | Structured Query Language | ||
| 435 | ))) | ||
| 436 | (% class="" %)|((( | ||
| 437 | SSD | ||
| 438 | )))|((( | ||
| 439 | Solid state drive | ||
| 440 | ))) | ||
| 441 | (% class="" %)|((( | ||
| 442 | SW | ||
| 443 | )))|((( | ||
| 444 | Softvér | ||
| 445 | ))) | ||
| 446 | (% class="" %)|((( | ||
| 447 | SWITCH | ||
| 448 | )))|((( | ||
| 449 | Prepínač (angl. switch) alebo sieťový prepínač (angl. network switch) je aktívny prvok počítačovej siete, ktorý spája jej jednotlivé časti. Prepínač slúži ako centrálny prvok v sieťach hviezdicovej topológie. | ||
| 450 | ))) | ||
| 451 | (% class="" %)|((( | ||
| 452 | TB | ||
| 453 | )))|((( | ||
| 454 | Terabajt | ||
| 455 | ))) | ||
| 456 | (% class="" %)|((( | ||
| 457 | TLS | ||
| 458 | )))|((( | ||
| 459 | Transport Layer Security - metóda ochrany dát odosielaných cez lokálnu sieť alebo sieť WAN | ||
| 460 | ))) | ||
| 461 | (% class="" %)|((( | ||
| 462 | UDP | ||
| 463 | )))|((( | ||
| 464 | User Datagram Protocol - UDP protokol prenáša datagramy medzi počítačmi v sieti, ale na rozdiel od TCP nezaručuje, že prenášaný paket sa nestratí, že sa nezmení poradie paketov, ani že sa niektorý paket nedoručí viackrát. | ||
| 465 | ))) | ||
| 466 | (% class="" %)|((( | ||
| 467 | USB | ||
| 468 | )))|((( | ||
| 469 | Universal Serial Bus je štandard sériovej zbernice určenej najmä na pripojenie periférií k počítaču. | ||
| 470 | ))) | ||
| 471 | (% class="" %)|((( | ||
| 472 | VLAN | ||
| 473 | )))|((( | ||
| 474 | Virtual LAN (Local Area Network) je skupina hostov (počítačov, serverov,...), ktorí spolu komunikujú akoby boli na jednej broadcastovej doméne bez ohľadu na ich fyzickú konektivitu. | ||
| 475 | ))) | ||
| 476 | (% class="" %)|((( | ||
| 477 | VM | ||
| 478 | )))|((( | ||
| 479 | Virtual machine – virtuálny stroj (prostredie) | ||
| 480 | ))) | ||
| 481 | (% class="" %)|((( | ||
| 482 | VPN | ||
| 483 | )))|((( | ||
| 484 | VPN je počítačová sieť na prepojenie počítačov na rôznych miestach internetu do jednej virtuálnej počítačovej siete. | ||
| 485 | ))) | ||
| 486 | (% class="" %)|((( | ||
| 487 | VPN | ||
| 488 | )))|((( | ||
| 489 | Virtuálna privátna site – Virtual private network | ||
| 490 | ))) | ||
| 491 | (% class="" %)|((( | ||
| 492 | WiFi | ||
| 493 | )))|((( | ||
| 494 | Wireless Fidelity - bezdrôtová sieť | ||
| 495 | ))) | ||
| 496 | (% class="" %)|((( | ||
| 497 | XDR | ||
| 498 | )))|((( | ||
| 499 | Rozšírená detekcia a reakcia je zjednotená platforma pre bezpečnostné incidenty, ktorá používa umelú inteligenciu a automatizáciu. Poskytuje organizáciám holistický a efektívny spôsob ochrany pred pokročilými kybernetickými útokmi a reakcie na takéto útoky. | ||
| 500 | ))) | ||
| 501 | (% class="" %)|((( | ||
| 502 | ZTNA | ||
| 503 | )))|((( | ||
| 504 | Zero Trust Network Acces | ||
| 505 | ))) | ||
| 506 | (% class="" %)|((( | ||
| 507 | Z. z. | ||
| 508 | )))|((( | ||
| 509 | Zbierka zákonov | ||
| 510 | ))) | ||
| 511 | |||
| 512 | == {{id name="projekt_3014_Pristup_k_projektu_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}2.2 Konvencie pre typy požiadaviek (príklady) == | ||
| 513 | |||
| 514 | Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu: FRxx | ||
| 515 | |||
| 516 | * U – užívateľská požiadavka | ||
| 517 | * R – označenie požiadavky | ||
| 518 | * xx – číslo požiadavky | ||
| 519 | |||
| 520 | Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu: NRxx | ||
| 521 | |||
| 522 | * N – nefukčná požiadavka (NFR) | ||
| 523 | * R – označenie požiadavky | ||
| 524 | * xx – číslo požiadavky | ||
| 525 | |||
| 526 | Ostatné typy požiadaviek môžu byť ďalej definované PM. | ||
| 527 | |||
| 528 | = {{id name="projekt_3014_Pristup_k_projektu_detailny-3.Popisnavrhovanéhoriešenia"/}}3. Popis navrhovaného riešenia = | ||
| 529 | |||
| 530 | Popis navrhovaného riešenia je uvedený v Projektovom zámere, kap. Motivácia a rozsah projektu – Realizované činnosti v rámci projektu. | ||
| 531 | |||
| 532 | = {{id name="projekt_3014_Pristup_k_projektu_detailny-4.Architektúrariešeniaprojektu"/}}4. Architektúra riešenia projektu = | ||
| 533 | |||
| 534 | == {{id name="projekt_3014_Pristup_k_projektu_detailny-4.1Biznisvrstva"/}}4.1 Biznis vrstva == | ||
| 535 | |||
| 536 | Predmetom projektu je riadenie informačnej a kybernetickej bezpečnosti a realizácia opatrení KaIB definovaných najmä v zákonoch č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „Zákon o KB") a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „Zákon o ITVS“) pre hlavný cieľ, ktorým je zvýšenie úrovne kybernetickej a informačnej bezpečnosti Nemocnice s poliklinikou Ilava, n. o. | ||
| 537 | |||
| 538 | Predmetom projektu sú primárne tie oblasti, v ktorých žiadateľ identifikoval najnižšiu technickú vybavenosť, najvyššiu mieru rizika, a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s výsledkom auditu kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených Zákonom o KB, Zákonom o ITVS v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov. | ||
| 539 | |||
| 540 | Jednotlivé biznis funkcie bezpečnostnej architektúry sú znázornené na nasledovnom obrázku. | ||
| 541 | |||
| 542 | **Obrázok č. 1: Biznis funkcie bezpečnostnej architektúry** | ||
| 543 | |||
| 544 | **[[image:attach:Business_vrstva.jpg||height="400"]]** | ||
| 545 | |||
| 546 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}4.1.1 Prehľad koncových služieb – budúci stav: === | ||
| 547 | |||
| 548 | Predmetom projektu nie je budovanie koncových služieb. | ||
| 549 | |||
| 550 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.1.2Jazykovápodporaalokalizácia"/}}4.1.2 Jazyková podpora a lokalizácia === | ||
| 551 | |||
| 552 | Neaplikuje sa. | ||
| 553 | |||
| 554 | == {{id name="projekt_3014_Pristup_k_projektu_detailny-4.2Aplikačnávrstva"/}}4.2 Aplikačná vrstva == | ||
| 555 | |||
| 556 | V kap. 4.1 (obrázok č. 1) sú definované biznis funkcie KaIB s príslušnými činnosťami. Tieto činnosti realizuje Nemocnica Ilava na základe konzultácií a výsledkov auditu kybernetickej bezpečnosti. Tieto činnosti predstavujú implementáciu softvérových a hardvérových nástrojov na zvýšenie súladu s odporúčanými opatreniami. Aplikačnú architektúru projektu tvoria riešenia pre oblasť informačnej a kybernetickej bezpečnosti, ktoré znázorňuje obrázok č. 2. Bližší popis jednotlivých aplikačných vrstiev uvádzame v podkapitolách nižšie. | ||
| 557 | |||
| 558 | **Obrázok č. 2: Aplikačná vrstva projektu** | ||
| 559 | |||
| 560 | [[image:attach:Aplikacna_vrstva.jpg||height="400"]] | ||
| 561 | |||
| 562 | ==== {{id name="projekt_3014_Pristup_k_projektu_detailny-1)Zavedeniesegmentáciesietezmyslezákonač.69/2018Z.z.avyhlášky362/2018Z.z.(§13)–SegmentáciasieteaNGFW"/}}**1) Zavedenie segmentácie siete zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§13) – Segmentácia siete a NGFW | ||
| 563 | ** ==== | ||
| 564 | |||
| 565 | Segmentácia siete je rozdelenie jednej plochej siete do menších logických segmentov, pričom každý z nich má unikátne poslanie z pohľadu prevádzky a bezpečnosti. Typickými príkladmi sú segmenty pre dátové centrá, web aplikácie, databázy, WiFi siete, tlačiarne, monitoring, špeciálnu (napríklad lekársku) techniku, používateľské, privilegované segmenty, atď. K tvorbe segmentov pristupujeme podľa určitých zásad. Dôležitejšie je venovať úsilie vstupnej analýze potrieb z pohľadu prevádzky a bezpečnosti, ako neskôr odstraňovať systémové chyby, ktoré bránia efektívnym metódam ochrany aplikácií, používateľov a infraštruktúry. | ||
| 566 | |||
| 567 | Ochrana perimetra spočíva vo vybudovaní firewallovej infraštruktúry ako vstupnej komunikačnej brány do organizácie. Tu prebieha filtrácia dátovej prevádzky až na úroveň riadenia bezpečnosti pre jednotlivé aplikácie, prípadne privilegované skupiny používateľov. Cieľom vybudovania sofistikovanej vstupnej brány je eliminácia všetkého balastu, ktorý prichádza z Internetu, vrátane odfiltrovania štandardných útokov na vnútornú infraštruktúru. Dôležitým faktorom je vytvorenie bezvýpadkového systému vysokej dostupnosti, ktorý aj pri zlyhaní jedného komponentu automaticky presúva stráženie perimetra na záložný systém. | ||
| 568 | |||
| 569 | Segmentáciu siete pri vytváraní ochrany perimetra nazývame demilitarizované zóny, pričom zvolíme takú štruktúru zón, aby sme na firewalle dokázali vytvárať, jednoduché, funkčné pravidlá, ktorých cieľom je zrozumiteľná orientácia a zároveň veľmi efektívna ochrana. | ||
| 570 | |||
| 571 | Neoddeliteľnou súčasťou bezpečnosti perimetra sú rozšírené funkcie ako Intrusion Detection a Prevention Systémy, ktoré vás chránia pred mnohými typmi známych hrozieb na základe signatúr útokov. Zabezpečenie perimetra poskytuje ideálny priestor aj na ochranu pred DDoS útokmi, ktoré preťažujú kľúčové aplikačné a databázové servery, čím spôsobujú extrémne dlhé odozvy, prípadne úplnú nedostupnosť systémov. | ||
| 572 | |||
| 573 | **Navrhované riešenie** | ||
| 574 | |||
| 575 | Predmetom navrhovaného technického riešenia je nasadenie manažovateľných prepínačov pre oblasť prístupu (access prepínače), oblasť dátového centra (DC a Agregačné prepínače) a segmentácia siete v zmysle všeobecných odporúčaní v súlade s metodikou kybernetickej bezpečnosti. Pre potreby MNG segmentu budú pripojené a prekonfigurované stávajúce switche Aruba, ktoré sú používané v prostredí a parametrovo sú dostatočné pre tento účel. Do novej siete budú premigrovaní užívatelia a všetky technologické zariadenia, ako aj komplet dátové centrum. Segmentované siete budú terminované na nových firewalloch, ktoré budú tvoriť perimetrovú ochranu a switche budú slúžiť na pripojenie infraštruktúry v definovaných segmentoch a poskytovať fyzické porty konfigurovateľné pre jednotlivé segment LAN. | ||
| 576 | |||
| 577 | Súčasťou riešenia je taká architektúra aktívnej siete, aby umožňovala zriadenie sekundárneho Datacentra, fyzicky oddeleného od primárneho Datacentra. Tento koncept je štandardom pri návrhu bezpečných sieťových infraštruktúr a umožňuje oddeliť jednotlivé komponenty systémov pri ich plnej dostupnosti. Týmto sa eliminuje riziko incidentu v rámci datacentra (napr. Vytopenie, požiar, porucha na elektroinštalácií) a je umožnená prevádzka z druhého datacentra. Rovnako je toto riešenie vhodné pre umiestnenie záloh na inú fyzickú lokalitu v rámci budovy. | ||
| 578 | |||
| 579 | Podrobnejší popis sa nachádza v Projektovom zámere, kapitola Motivácia a rozsah projektu. | ||
| 580 | |||
| 581 | ==== {{id name="projekt_3014_Pristup_k_projektu_detailny-2)Zavedeniesystémuprezabezpečeniekontinuityprevádzkyzmyslezákonač.69/2018Z.z.avyhlášky362/2018Z.z.(§17b)–ZálohovanieaDR"/}}**2) Zavedenie systému pre zabezpečenie kontinuity prevádzky zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17b) – Zálohovanie a DR | ||
| 582 | ** ==== | ||
| 583 | |||
| 584 | V súčasnej dobe, keď Nemocnica Ilava využíva pre zálohovanie časti aplikačno dátovej štruktúry kapacitne nedostatočné cloudové úložisko a neprevádzkuje jednotný centrálny zálohovací systém, môže v prípade kybernetického útoku zameraného na dáta a prevádzku čeliť výzve spojenej s obnovením prevádzky infraštruktúry a informačných systémov. V prípade nedostupnosti konektivity na prevádzkovateľa, nie je možné zálohovanie realizovať a rovnako nie je možná obnova prevádzky v prípade kyber útoku, keďže backup data sú alokované mimo priestorov nemocnice. | ||
| 585 | |||
| 586 | **Navrhované riešenie** | ||
| 587 | |||
| 588 | Predmetom navrhovaného technického riešenia je nasadenie samostatného po sieti pripojeného zálohovacieho zariadenia s dostatočnou kapacitou. Toto bude slúžiť ako „backup target“ pre SW riadiaci zálohovanie a slúžiaci rovnako na obnovu záloh (buď na úrovni súborov, alebo na úrovni celých virtuálnych serverov). Riešenie umožňuje aj zabezpečenie funkcionality virtuálneho servera priamo zo zálohovacieho zariadenia pre prípad DR. | ||
| 589 | |||
| 590 | //**Zálohovací SW bude spĺňať nasledovné technické požiadavky:**// | ||
| 591 | |||
| 592 | * Softvér umožňujúci zálohovanie virtuálnych prostredí | ||
| 593 | * Možnosť nasadenia v distribuovanom režime (oddelenie role riadiaceho servera od zálohovacej proxy a úložiska) | ||
| 594 | * Požaduje sa nasadenie riadiaceho servera vo virtuálnom serveri s OS MS Windows Server 2022 | ||
| 595 | * Trvalá (perpetuálna) licencia pre minimálne 12 VM/inštancií | ||
| 596 | * Kompatibilita s dodávaným virtualizačným riešením | ||
| 597 | * Možnosť zálohovania na lokálne úložisko servera, DAS, SAN (prístup cez FC a iSCSI) alebo NAS (prístup cez NFS a SMB/CIFS) úložisko | ||
| 598 | * Obnova celého virtuálneho servera na pôvodnom alebo inom hostiteľovi, vrátane funkcie rýchleho vrátenia späť pre obnovenie iba zmenených blokov | ||
| 599 | * Rýchle obnovenie služby pre užívateľa spustením virtuálnych počítačov, u ktorých došlo k chybe, priamo zo súboru zálohy v bežnom úložisku pre zálohovanie | ||
| 600 | * Obnovenie jednotlivých súborov VM (napríklad VMX) a virtuálnych diskov | ||
| 601 | * Vyhľadávanie a obnova všetkých typov objektov služby AD, napríklad používateľov, skupín, počítačových účtov, kontaktov, vrátane obnovenia užívateľských a počítačových hesiel | ||
| 602 | * Okamžitý prehľad o zálohách prostredí Microsoft Exchange 2013 až 2019 pre e-discovery a jednoduché obnovenie jednotlivých položiek servera Exchange (e-maily, schôdzky, poznámky, kontakty atď.), online archivovaných poštových schránkach a natrvalo odstránených položkách | ||
| 603 | * Jednoduché obnovenie jednotlivých databáz MS SQL servera a vyhľadávanie databáz a súborov s protokolmi transakcií | ||
| 604 | * Rýchle zisťovanie podrobností o zálohách prostredia SharePoint a používanie pokročilých možností vyhľadávania a prehliadania pre rýchlu obnovu jednotlivých položiek prostredia SharePoint | ||
| 605 | * Obnovenie jednotlivých objektov akejkoľvek virtualizovanej aplikácie, vrátane databáz Oracle a MySQL, spustením virtuálneho počítača priamo zo súboru zálohy v izolovanom prostredí a s prístupom k aplikácii pomocou natívnych nástrojov pre správu | ||
| 606 | * Obnovenie chýbajúcich položiek poštových schránok späť do pôvodnej schránky jediným kliknutím z webového rozhrania | ||
| 607 | * Obnovenie jednotlivých databáz späť na pôvodnú alebo nový server SQL jediným kliknutím z webového rozhrania | ||
| 608 | * Portál pre obnovenie súborov s automatickou detekciou VM a automatickým delegovaním na základe členstva v skupine miestnych správcov | ||
| 609 | * Všetky funkcie obnovenia z rozhrania môžu vykonávať sami užívatelia na základe delegovania jednotlivých VM a skupín VM konkrétnym používateľom alebo skupinám, ako sú pracovníci IT, vlastníci aplikácie, členovia oddelenia atď. | ||
| 610 | * Vytváranie konzistentných záloh VM na úrovni bitovej kópie s pokročilým spracovaním a s ohľadom na aplikáciu (vrátane skrátenia protokolu transakcií) | ||
| 611 | * Jednoduchšie jednorazové zálohovanie spustených virtuálnych počítačov na účely archivácie | ||
| 612 | * Vykonávanie rýchleho prírastkového zálohovania jednotlivých virtuálnych počítačov v rámci existujúcej úlohy zálohovania | ||
| 613 | * Umožňuje nastaviť maximálnu prijateľnú úroveň I/O latencie pre produkčné dátové úložiská, aby činnosti zálohovania a replikácie neovplyvňovali dostupnosť úložiska pre produkčné pracovné úlohy | ||
| 614 | * Podpora "trvalých prírastkových" záloh, ktoré šetria čas a úložiská | ||
| 615 | * Zníženie požiadaviek na úložisko záloh a sieťové prenosy vďaka integrovanej deduplikácii, niekoľkým možnostiam komprimácie pre vyrovnanie obsadenosti úložiska, výkonu a zaťaženia záložného proxy servera, vylúčenie zámen znižuje náročnosť zálohovania a zlepšuje výkon | ||
| 616 | * Automatické kopírovanie všetkých alebo len vybraných záloh VM do vybraného úložiska pre zotavenie po havárii, zahŕňa validáciu a opravy pre zaistenie dostupnosti a spoľahlivosti kópií | ||
| 617 | * Presun záloh do vzdialeného úložiska vďaka integrovanému, rýchlemu a bezpečnému spôsobu zálohovania do cloudu a obnovovanie z cloudu | ||
| 618 | |||
| 619 | Podrobnejší popis sa nachádza v Projektovom zámere, kapitola Motivácia a rozsah projektu. | ||
| 620 | |||
| 621 | ==== {{id name="projekt_3014_Pristup_k_projektu_detailny-3)Zavedenienástrojaprezabezpečeniezaznamenávaniaudalostízmyslezákonač.69/2018Z.z.avyhlášky362/2018Z.z.(§15)LM+SIEM"/}}**3) Zavedenie nástroja pre zabezpečenie zaznamenávania udalostí zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§15) LM + SIEM | ||
| 622 | ** ==== | ||
| 623 | |||
| 624 | Stále častejšie globálne sa vyskytujúce bezpečnostné incidenty si môžu vyžadovať dohľadávanie logov aj vo vzdialenejšej minulosti a stále častejšie sú aj požiadavky na ich prípadné poskytovanie ďalším orgánom (PZ SR, SIS, CSIRT,...) pre ďalšiu forenznú analýzu. Naplnenie týchto požiadaviek však súčasné riešenie v prostredí Nemocnice Ilava neumožňuje (resp. umožňuje len pomocou komplikovaných manuálnych postupov), prípadne je možné len s obmedzením, nakoľko si vyžaduje určité znalosti aj prístupy k samotným logom. Samotné vyhľadávanie je komplikované riešené priamo prostriedkami operačného systému, pričom logy nie sú po pridelení týchto prístupov chránené proti manipulácii. | ||
| 625 | |||
| 626 | **Navrhované riešenie** | ||
| 627 | |||
| 628 | Vzhľadom na uvedené skutočnosti navrhujeme implementovať centrálny manažment logov, tak aby spĺňal legislatívne požiadavky, požiadavky na dostupnosť, výkonnosť a aby poskytoval dostatočnú úložnú kapacitu pre zbierané logy. Tento centrálny manažment logov musí spĺňať nasledujúce požiadavky: | ||
| 629 | |||
| 630 | * Vysokú dostupnosť a odolnosť voči výpadku jedného komponentu | ||
| 631 | * Vzhľadom na použité platformy a technológie musí byt schopný prijímať udalosti prostredníctvom agenta, ale aj bez agenta | ||
| 632 | * Musí byt schopný prijímať a spracovávať logy uložené aj do textových súborov a DB tabuliek | ||
| 633 | * Musí byt schopný logy z rôznych zdrojov prekladať do jednotnej formy a obohacovať ich prípadne o ďalšie informácie, pričom musí byť zaručená nemennosť prijímaných logov | ||
| 634 | * Musí poskytovať rozhranie pre užívateľov s rôznymi úrovňami prístupu | ||
| 635 | * Poskytované rozhranie musí umožňovať rýchle vyhľadávanie v logoch a zároveň poskytovať nástroj na podrobné vyhľadávanie a forenzné analýzy. | ||
| 636 | |||
| 637 | Riešenie umožní zhromažďovanie, analyzovanie, ukladanie a vytváranie správ o udalostiach v infraštruktúre spoločnosti a takýmto spôsobom umožní žiadateľa chrániť pred hrozbami, útokmi a narušeniami bezpečnosti. Pomocou účinných nástrojov umožní toto riešenie konvertovanie nespracovaných udalostí (LOGov) zo sieťových zariadení, firewallov, serverov, operačných systémov, aplikácií, koncových bodov a ďalších zariadení na použiteľné údaje s možnosťou vyhľadávania. Log manager pomáha splniť požiadavky na monitorovanie súladu s nastavenými pravidlami kybernetickej bezpečnosti a následná integrácia so SIEM-om, ktorý zabezpečí spracovanie, vyhodnocovanie, korelácie a prediktívne analýzy pre vyššiu úroveň ochrany pred hrozbami. | ||
| 638 | |||
| 639 | //**SIEM a LM ako systém musí poskytovať bezpečnostnému tímu minimálne nasledovné funkcie ako reakciu na incidenty:**// | ||
| 640 | |||
| 641 | * Reporting a forenznú analýzu bezpečnostných incidentov | ||
| 642 | * Upozornenia založené na analýze určitého súboru pravidiel identifikujúcich možný incident | ||
| 643 | * Možnosť exportu logov, možnosť kompresie logov, možnosť automatického zálohovania logov na externé úložisko | ||
| 644 | * Vykonávanie konsolidácie logov pre efektívne a spoľahlivé fungovanie SIEM | ||
| 645 | * Dostupnosť agentov pre zber LOGov z operačných systémov a hypervízorov | ||
| 646 | * REST API pre integráciu na SOC | ||
| 647 | |||
| 648 | //**Základné technické vlastnosti systému:**// | ||
| 649 | |||
| 650 | * Systém na zabezpečenie zhromažďovania, analýzu, archiváciu a spracovanie veľkého objemu sieťových a bezpečnostných LOGov. | ||
| 651 | * Analýza sieťových, bezpečnostných zariadení, serverov, operačných systémov, aplikácií, koncových staníc | ||
| 652 | * Prehľad o vývoji bezpečnostných hrozieb | ||
| 653 | * Reporting bezpečnostných udalostí | ||
| 654 | |||
| 655 | //**Dodatočné vlastnosti systému:**// | ||
| 656 | |||
| 657 | * Spracovanie veľkého objemu dát | ||
| 658 | ** Zber dát zo sieťových zariadení, bezpečnostných zariadení, Firewalov, VPN, IDS/IPS, Antivirus systémov, serverov, databáz, mailov a webových aplikácií | ||
| 659 | ** Analýza a korelácia rôznych logov za účelom posúdenia rizika, potenciálnych útokov, neautorizovaných prístupov, vnútorných narušiteľov | ||
| 660 | ** Poskytovanie takmer real-time a historiských dát pre potreby reportingu | ||
| 661 | * Reporty | ||
| 662 | ** Vstavané mechanizmy a pravidlá na korelácie a reporty | ||
| 663 | ** Automatické reporty a vynucovanie politík | ||
| 664 | ** Podpora štandardov reportov podľa PCI DSS, HIPAA, GLBA, NERC, FERC, SOX a iné | ||
| 665 | * Škálovateľnosť | ||
| 666 | ** Architektúra umožňujúca nasadenie od all-in-one HW až po enterprise riešenia zahŕňajúce mnoho zariadení pre zber dát, ich vyhodnocovanie a manažment | ||
| 667 | ** Podpora až 16 TB priestoru pre ukladanie archívnych LOGov pre jednu inštanciu | ||
| 668 | ** Podpora log file integrity checks vrátane NIST Log management Standards SHA (1-256) hashing | ||
| 669 | ** Podpora indexácie udalostí pre urýchlenie vyhľadávania | ||
| 670 | * Podpora Cloud prostredia | ||
| 671 | ** Zber a manažment LOGov v cloudovej infraštruktúre pre aplikácie, ktoré bežia aj v cloude, aj on -premise. | ||
| 672 | |||
| 673 | //**Základné požiadavky na LM, SIEM riešenie:**// | ||
| 674 | |||
| 675 | * Retencia údajov: | ||
| 676 | ** ONLINE - 6 mesiacov | ||
| 677 | ** OFFLINE/ARCHIVE – 12 mesiacov | ||
| 678 | * Kapacita systému: | ||
| 679 | ** Počet zdrojov logov: 200 | ||
| 680 | ** Počet logov: 700 EPS | ||
| 681 | * Objem logov na disku: | ||
| 682 | ** 3,0 TB ONLINE (6m) | ||
| 683 | ** 6,0 TB OFFLINE (12m) | ||
| 684 | * HW parametre pre server LM+SIEM | ||
| 685 | ** Prevedenie rack max. 2U | ||
| 686 | ** Min 1 x CPU Intel Xeon-Gold 6426Y 16C | ||
| 687 | ** Min 128GB RAM Dual rank x8 DDR5- 4800 | ||
| 688 | ** Min 6 x 960GB SSD | ||
| 689 | ** Min. 2 x Ethernet 10Gb 2- port SFP+ 4 x 1Gb RJ45 | ||
| 690 | ** Redundandné napájanie | ||
| 691 | ** 3. ročná podpora od výrobcu | ||
| 692 | ** Komplet kabeláž na pripojenie k sieti | ||
| 693 | ** 1 ks Licencia Microsoft Windows Server 2022 Std Edition | ||
| 694 | |||
| 695 | ==== {{id name="projekt_3014_Pristup_k_projektu_detailny-4)Zavedeniesystémuochranyprotiškodlivémukóduvzmyslezákonač.69/2018Z.z.avyhlášky362/2018Z.z.(§12)–XDR"/}}**4) Zavedenie systému ochrany proti škodlivému kódu v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§12) – XDR | ||
| 696 | ** ==== | ||
| 697 | |||
| 698 | V súčasnej dobe je najzraniteľnejším prvkom užívateľ a jeho koncové zariadenie. Tým môže byť PC, notebook, alebo mobilný telefón. Riešením je nasadenie systému rozšírenej ochrany koncových zariadení s inteligentnou automatickou odozvou na hrozby. Produkt by mal obsahovať integráciu na ochranu koncových staníc, ochranu workloadov, mobilných zariadení, spoluprácu s firewallom, integráciu s emailovým systémom a cloudom, integráciu s ZTNA a management riešenia prepojený s manažmentom iných bezpečnostných prvkov (firewall). Pomocou behaviorálnej analýzy a AI odhaľuje skryté útoky a pomáha zvyšovať bezpečnosť celého systému v zmysle všeobecných odporúčaní v súlade s metodikou kybernetickej bezpečnosti. | ||
| 699 | |||
| 700 | **Navrhované riešenie** | ||
| 701 | |||
| 702 | Monitorovacia sonda umiestnená na perimetry, sledujúca kompletnú sieťovú komunikáciu | ||
| 703 | |||
| 704 | * SW nástroj na rozšírenú ochranu koncových zariadení pre 80 ks Endpoint | ||
| 705 | * SW nástroj na rozšírenú ochranu serverov pre 12 ks Serverov | ||
| 706 | * Riešenie kompatibilné s riešením perimetrovej ochrany/ spoločný management | ||
| 707 | * Licencia na 3 roky | ||
| 708 | |||
| 709 | ==== {{id name="projekt_3014_Pristup_k_projektu_detailny-5)Zavedeniesystémuriadeniaprístupovosôbksietizmyslezákonač.69/2018Z.z.avyhlášky362/2018Z.z.(§8)–NAC802.1x"/}}**5)** **Zavedenie systému riadenia prístupov osôb k sieti zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§8) – NAC 802.1x** ==== | ||
| 710 | |||
| 711 | Predmetom navrhovaného technického riešenia je nasadenie systému riadenia prístupov k sieti a jej obsahu. Jedná sa o prístup užívateľov, ale aj zariadení. Toto riešenie svojou funkcionalitou autorizuje prístup k definovaným segmentom siete na základe overovania užívateľov/zariadení a garantuje, že sa k sieti nepripojí zariadenie/užívateľ bez oprávnenia. V prípade pokusu o pripojenie neznámeho zariadenia, je toto smerované do “bezpečného, oddeleného” segment siete, aby neprišlo k infiltrácií do produkčnejčasti riešenia. Doplnkom riešenia je zavedenie identifikácie užívateľa otlačkom prsta, čo urýchľuje prihlasovanie a je ho možné využiť ako druhú úroveň pri 2FA autentifikácii. | ||
| 712 | |||
| 713 | Nasadenie NAC úzko súvisí s nasadením segmentrácie siete a rozširuje zabezpečenie prostredia pred neoprávneným pripojením k zdrojom siete. | ||
| 714 | |||
| 715 | Podrobnejší popis sa nachádza v Projektovom zámere, kapitola Motivácia a rozsah projektu. | ||
| 716 | |||
| 717 | **Navrhované riešenie** | ||
| 718 | |||
| 719 | Navrhované riešenie musí podporovať nasledovné oblasti: | ||
| 720 | |||
| 721 | //**Topológia**//\\ | ||
| 722 | |||
| 723 | Riešenie poskytuje vizuálny pohľad na sieťovú infraštruktúru a efektívny reporting pre potreby auditu. | ||
| 724 | |||
| 725 | //**Rozšírená bezpečnosť**// | ||
| 726 | |||
| 727 | Zber údajov o operačných systémoch zariadení poskytuje možnosť rýchlo detekovať a reagovať na útoky všetkch typov v spolupráci s vlastnosťou NAC. | ||
| 728 | |||
| 729 | //**NAC**// | ||
| 730 | |||
| 731 | Prehľad o všetkých pripojených známych aj neznámych zariadenia v sieti, manažment zariadení, real-time detekcia a automatická odpoveď na udalosti. | ||
| 732 | |||
| 733 | //**VLAN manager**// | ||
| 734 | |||
| 735 | Efektívny nástroj na implementáciu a správu statických a dynamických VLAN. | ||
| 736 | |||
| 737 | //**802.1x**// | ||
| 738 | |||
| 739 | Autentifikácia prostredníctvom implementovaného RADIUS servera založeného na MAC adresách, certifikátoch, alebo prihlasovacích údajoch. Mix mód umožňuje integráciu s jestvujúcimi databázami identít. | ||
| 740 | |||
| 741 | //**Guest servis**// | ||
| 742 | |||
| 743 | Inteligentný a dynamický manažment externých/hosťovských zariadení prostredníctvom tiketovacieho systému zabezpečuje dočasný prístup do siete, alebo WiFi. | ||
| 744 | |||
| 745 | //**Funkčné požiadavky:**// | ||
| 746 | |||
| 747 | * SW nástroj na autentifikáciu 802.1x pre min. 250 MAC adries | ||
| 748 | * Inštalácia v HA konfigurácii | ||
| 749 | * Inštalácia v jestvujúcom virtuálnom prostredí | ||
| 750 | * Overovanie užívateľov voči zariadeniu na platforme otlačkov prstov (80 klientov) | ||
| 751 | |||
| 752 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.2.1Rozsahinformačnýchsystémov–ASIS"/}}4.2.1 Rozsah informačných systémov – AS IS === | ||
| 753 | |||
| 754 | Existujúce informačné systémy, ktoré sú využívané v prostredí Nemocnice Ilava v stave AS IS budú využívané v stave TO BE bez zmeny funkcionality. Prehľad IS uvádza tabuľka č. 1 nižšie. | ||
| 755 | |||
| 756 | (% class="" %)|((( | ||
| 757 | **Systém** | ||
| 758 | )))|((( | ||
| 759 | **Popis** | ||
| 760 | ))) | ||
| 761 | (% class="" %)|((( | ||
| 762 | MEDICOM | ||
| 763 | )))|((( | ||
| 764 | Komplexný informačný systém, ambulancie vytvára základné informácie pre účtovanie výkonov ambulancie VLPD | ||
| 765 | ))) | ||
| 766 | (% class="" %)|((( | ||
| 767 | FONS ENTERPRICE ,OPENLIMS | ||
| 768 | )))|((( | ||
| 769 | Komplexný informačný systém, vytvára základné informácie pre účtovanie výkonov nemocnice | ||
| 770 | ))) | ||
| 771 | (% class="" %)|((( | ||
| 772 | LEA UAFALAN | ||
| 773 | )))|((( | ||
| 774 | Spracovanie a riadenie účtovníctva | ||
| 775 | ))) | ||
| 776 | (% class="" %)|((( | ||
| 777 | LEA SKLADY | ||
| 778 | )))|((( | ||
| 779 | Skladový manažment, evidencia | ||
| 780 | ))) | ||
| 781 | (% class="" %)|((( | ||
| 782 | HUMAN | ||
| 783 | )))|((( | ||
| 784 | Personálny a mzdový systém | ||
| 785 | ))) | ||
| 786 | (% class="" %)|((( | ||
| 787 | AMULET | ||
| 788 | )))|((( | ||
| 789 | Systém na evidenciu majetku | ||
| 790 | ))) | ||
| 791 | |||
| 792 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.2.2Rozsahinformačnýchsystémov–TOBE"/}} 4.2.2 Rozsah informačných systémov – TO BE === | ||
| 793 | |||
| 794 | Predmetom projektu nie je implementácia nových informačných systémov. Existujúce informačné systémy, ktoré sú využívané v prostredí Nemocnice Ilava v stave AS IS budú využívané v stave TO BE bez zmeny funkcionality | ||
| 795 | |||
| 796 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.2.3VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}4.2.3 Využívanie nadrezortných a spoločných ISVS – AS IS === | ||
| 797 | |||
| 798 | Predmetom projektu nie je využívanie nadrezortných a spoločných ISVS. | ||
| 799 | |||
| 800 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.2.4PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}4.2.4 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE === | ||
| 801 | |||
| 802 | Predmetom projektu nie je realizácia integrácií. | ||
| 803 | |||
| 804 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.2.5PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}4.2.5 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE === | ||
| 805 | |||
| 806 | Predmetom projektu nie je realizácia integrácií. | ||
| 807 | |||
| 808 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.2.6Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}4.2.6 Aplikačné služby pre realizáciu koncových služieb – TO BE === | ||
| 809 | |||
| 810 | Predmetom projektu nie je realizácia aplikačných služieb | ||
| 811 | |||
| 812 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.2.7Aplikačnéslužbynaintegráciu–TOBE"/}}4.2.7 Aplikačné služby na integráciu – TO BE === | ||
| 813 | |||
| 814 | Predmetom projektu nie je realizácia integrácií. | ||
| 815 | |||
| 816 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.2.8PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}4.2.8 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE === | ||
| 817 | |||
| 818 | Predmetom projektu nie je poskytovanie údajov do IS CSRÚ. | ||
| 819 | |||
| 820 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.2.9KonzumovanieúdajovzISCSRU–TOBE"/}}4.2.9 Konzumovanie údajov z IS CSRU – TO BE === | ||
| 821 | |||
| 822 | Predmetom projektu nie je konzumovanie údajov z IS CSRÚ. | ||
| 823 | |||
| 824 | == {{id name="projekt_3014_Pristup_k_projektu_detailny-4.3Dátovávrstva"/}}4.3 Dátová vrstva == | ||
| 825 | |||
| 826 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.3.1Údajevspráveorganizácie"/}}4.3.1 Údaje v správe organizácie === | ||
| 827 | |||
| 828 | Predmetom projektu nie je spracovanie, resp. práca s údajmi ako objektmi evidencie. | ||
| 829 | |||
| 830 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.3.2Dátovýrozsahprojektu-Prehľadobjektovevidencie-TOBE"/}}4.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE === | ||
| 831 | |||
| 832 | Predmetom projektu nie je spracovanie, resp. práca s údajmi ako objektmi evidencie. | ||
| 833 | |||
| 834 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.3.3Referenčnéúdaje"/}}4.3.3 Referenčné údaje === | ||
| 835 | |||
| 836 | Projekt nepracuje s referenčnými údajmi | ||
| 837 | |||
| 838 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.3.4Kvalitaačistenieúdajov"/}}4.3.4 Kvalita a čistenie údajov === | ||
| 839 | |||
| 840 | Predmetom projektu nie je riešenie kvality a čistenia údajov. | ||
| 841 | |||
| 842 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.3.5Otvorenéúdaje"/}}4.3.5 Otvorené údaje === | ||
| 843 | |||
| 844 | Predmetom projektu nie je riešenie otvorených údajov. | ||
| 845 | |||
| 846 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.3.6Analytickéúdaje"/}}4.3.6 Analytické údaje === | ||
| 847 | |||
| 848 | Predmetom projektu nie je riešenie analytických údajov. | ||
| 849 | |||
| 850 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.3.7Mojeúdaje"/}}4.3.7 Moje údaje === | ||
| 851 | |||
| 852 | Predmetom projektu nie je riešenie témy „Moje údaje“. | ||
| 853 | |||
| 854 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.3.8Prehľadjednotlivýchkategóriíúdajov"/}}4.3.8 Prehľad jednotlivých kategórií údajov === | ||
| 855 | |||
| 856 | Predmetom projektu nie sú „objekty evidencie“. | ||
| 857 | |||
| 858 | == {{id name="projekt_3014_Pristup_k_projektu_detailny-4.4Technologickávrstva"/}}4.4 Technologická vrstva == | ||
| 859 | |||
| 860 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.4.1Prehľadtechnologickéhostavu-ASIS"/}}4.4.1 Prehľad technologického stavu - AS IS === | ||
| 861 | |||
| 862 | Infraštruktúrne prostredie Nemocnice Ilava je v súčasnosti tvorené nasledovnými vrstvami: | ||
| 863 | |||
| 864 | * LAN sieť | ||
| 865 | ** Štrukturovaná kabeláž v rámci budovy nemocnice | ||
| 866 | ** Trasy káblov vedené po povrchu, z veľkej časti bez lištových trás (priznané káble) | ||
| 867 | ** Architektúra fyzickej siete odráža jej postupné dorábanie podľa aktuálnych potrieb, neexistuje centrálny bod s ukončením LAN | ||
| 868 | ** Jednotlivé časti ukončené v rackoch sú metalicky prepojené v systéme vláčik | ||
| 869 | ** Neexistujú optické prepoje medzi objektami | ||
| 870 | ** Zastaralé prvky LAN siete v jednotlivých objektoch nemocnice sú umiestnené v podružných malých rackoch na chodbách, bez možnosti zabezpečenia voči neoprávnenému prístupu. | ||
| 871 | ** Celkovo je kabeláž v havarijnom stave a v súčastnosti prebieha process, ktorý by umožnil generálne vyriešenie tohoto stavu a realizáciu komplet novej štrukturovanej kabeláže v súlade s požiadavkami. | ||
| 872 | * Perimeter a pripojenie do Internetu | ||
| 873 | ** Pripojenie do internetu je realizované optickou linkou (Telekom) a prenajatým základným Firewallom v správe externej spoločnosti | ||
| 874 | ** Sieť nie je segmentovaná | ||
| 875 | * Servre | ||
| 876 | |||
| 877 | * 9 existujúcich fyzických serverov s inštalovanými OS MS Windows server 2008-2020 odhadovaným vekom do 5 rokov, v súčastnosti je kapacita dostatočná pre prevádzku požadovaných systémov. | ||
| 878 | * Nemocničný informačný systém | ||
| 879 | |||
| 880 | |||
| 881 | ** Zálohovanie je realizované iba čiastočne do plateného cloudového úložiska s obmedzenou kapacitou a nedostatočnými službami v prípade obnovy prevádzky zo záloh.* Užívatelia | ||
| 882 | ** Cca 80 užívateľov pripojených do siete s identitami v MS AD | ||
| 883 | ** Ochrana koncových staníc – Eset Antivirus (končiace predplatné) | ||
| 884 | |||
| 885 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.4.2Požiadavkynavýkonnostnéparametre,kapacitnépožiadavky–TOBE"/}}4.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE === | ||
| 886 | |||
| 887 | (% class="" %)|((( | ||
| 888 | **Parameter** | ||
| 889 | )))|((( | ||
| 890 | **Jednotky** | ||
| 891 | )))|((( | ||
| 892 | **Predpokladaná hodnota** | ||
| 893 | )))|((( | ||
| 894 | **Poznámka** | ||
| 895 | ))) | ||
| 896 | (% class="" %)|((( | ||
| 897 | Počet interných používateľov | ||
| 898 | )))|((( | ||
| 899 | Počet | ||
| 900 | )))|((( | ||
| 901 | 80 | ||
| 902 | )))|((( | ||
| 903 | PC/Notebooky | ||
| 904 | ))) | ||
| 905 | (% class="" %)|((( | ||
| 906 | Počet súčasne pracujúcich interných používateľov v špičkovom zaťažení | ||
| 907 | )))|((( | ||
| 908 | Počet | ||
| 909 | )))|((( | ||
| 910 | 90 | ||
| 911 | )))|((( | ||
| 912 | PC/Notebooky | ||
| 913 | ))) | ||
| 914 | (% class="" %)|((( | ||
| 915 | Počet externých používateľov (internet) | ||
| 916 | )))|((( | ||
| 917 | Počet | ||
| 918 | )))|((( | ||
| 919 | 0 | ||
| 920 | )))|((( | ||
| 921 | \\ | ||
| 922 | ))) | ||
| 923 | (% class="" %)|((( | ||
| 924 | Počet externých používateľov používajúcich systém v špičkovom zaťažení | ||
| 925 | )))|((( | ||
| 926 | Počet | ||
| 927 | )))|((( | ||
| 928 | 0 | ||
| 929 | )))|((( | ||
| 930 | \\ | ||
| 931 | ))) | ||
| 932 | (% class="" %)|((( | ||
| 933 | Počet transakcií (podaní, požiadaviek) za obdobie | ||
| 934 | )))|((( | ||
| 935 | Počet/obdobie | ||
| 936 | )))|((( | ||
| 937 | Neaplikuje sa | ||
| 938 | )))|((( | ||
| 939 | \\ | ||
| 940 | ))) | ||
| 941 | (% class="" %)|((( | ||
| 942 | Objem údajov na transakciu | ||
| 943 | )))|((( | ||
| 944 | Objem/transakcia | ||
| 945 | )))|((( | ||
| 946 | Neaplikuje sa | ||
| 947 | )))|((( | ||
| 948 | \\ | ||
| 949 | ))) | ||
| 950 | (% class="" %)|((( | ||
| 951 | Objem existujúcich kmeňových dát | ||
| 952 | )))|((( | ||
| 953 | Objem | ||
| 954 | )))|((( | ||
| 955 | Neaplikuje sa | ||
| 956 | )))|((( | ||
| 957 | \\ | ||
| 958 | ))) | ||
| 959 | |||
| 960 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-4.4.3Návrhriešeniatechnologickejarchitektúry"/}}4.4.3 Návrh riešenia technologickej architektúry === | ||
| 961 | |||
| 962 | Nová infraštruktúra by mala spĺňať nároky vyplývajúce so zákona o kybernetickej bezpečnosti a umožňovať prevádzkovať existujúce systémy. Návrhom je : | ||
| 963 | |||
| 964 | * Zavedenie segmentácie siete zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§13) – Segmentácia siete a NGFW | ||
| 965 | * Zavedenie systému pre zabezpečenie kontinuity prevádzky zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17b) – Zálohovanie a DR | ||
| 966 | * Zavedenie nástroja pre zabezpečenie zaznamenávania udalostí zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§15) LM + SIEM | ||
| 967 | * Zavedenie systému ochrany proti škodlivému kódu v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§12) – XDR | ||
| 968 | * Zavedenie systému riadenia prístupov osôb k sieti zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§8) – NAC 802.1x | ||
| 969 | |||
| 970 | Schematický nákres riešenia technologickej architektúry znázorňuje obrázok č. 3 a 4 nižšie. | ||
| 971 | |||
| 972 | **Obrázok č. 3: Náhľad technologickej architektúry siete LAN** | ||
| 973 | |||
| 974 | **[[image:attach:Technologicka_architektura_siete_LAN.jpg||height="400"]]** | ||
| 975 | |||
| 976 | **Obrázok č. 4: Náhľad technologickej architektúry systémov** | ||
| 977 | |||
| 978 | [[image:attach:Technologicka_architektura_systemov.jpg||height="400"]] | ||
| 979 | |||
| 980 | Vyššie definované riešenia budú nevyhnutne potrebovať pre svoju správnu funkcionalitu realizáciu nasledovných technologických riešení: | ||
| 981 | |||
| 982 | ==== {{id name="projekt_3014_Pristup_k_projektu_detailny-1)Zavedeniesegmentáciesietezmyslezákonač.69/2018Z.z.avyhlášky362/2018Z.z.(§13)–SegmentáciasieteaNGFW"/}}**1) Zavedenie segmentácie siete zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§13) – Segmentácia siete a NGFW** ==== | ||
| 983 | |||
| 984 | **A) Dodávka, montáž a konfigurácia switchov v rozsahu:** | ||
| 985 | |||
| 986 | //**21 ks manažovateľný prepínač 24 PoE portov 1GbE, 4 porty 1 GbE SFP v modulárnej šachte určených pre ACCESS vrstvu**// | ||
| 987 | |||
| 988 | * Switching bandwidth min. 56 Gbps | ||
| 989 | * Forwarding bandwidth min. 28 Gbps | ||
| 990 | * MAC addresses min. 16000 | ||
| 991 | * Active VLANs – 256 | ||
| 992 | * Jumbo eth. Frame – 10.240 bytes | ||
| 993 | * DRAM – 512 MB | ||
| 994 | * Flash memory – 256 MB | ||
| 995 | * Konzolový port RJ45 | ||
| 996 | * Bez ventilátora | ||
| 997 | * 3 roky záruka 8x5NBD | ||
| 998 | |||
| 999 | //**2 ks manažovateľný prepínač 24 SFP portov 1GbE, 8 portov 1/10 GbE SFP+ v modulárnej šachte určených pre CORE vrstvu**// | ||
| 1000 | |||
| 1001 | * Switching kapacity min. 208 Gbps | ||
| 1002 | * Forwarding rate min. 154 Mpps | ||
| 1003 | * MAC addresses min. 32000 | ||
| 1004 | * VLAN Ids – 4096 | ||
| 1005 | * Jumbo eth. Frame – 9.198 bytes | ||
| 1006 | * DRAM – 8 GB | ||
| 1007 | * Flash memory – 16 GB | ||
| 1008 | * Konzolový port RJ45 | ||
| 1009 | * Kapacita stacku – 480 Gbps | ||
| 1010 | * 2x Zdroj hot plug | ||
| 1011 | * Stack 480 Gbps | ||
| 1012 | * 3 roky záruka 8x5NBD | ||
| 1013 | |||
| 1014 | //**4 ks manažovateľný prepínač 24 portov 1GbE, 8 portov 1/10 GbE SFP+ v modulárnej šachte určených pre DC vrstvu**// | ||
| 1015 | |||
| 1016 | * Switching kapacity min. 208 Gbps | ||
| 1017 | * Forwarding rate min. 154 Mpps | ||
| 1018 | * MAC addresses min. 32000 | ||
| 1019 | * VLAN Ids – 4096 | ||
| 1020 | * Jumbo eth. Frame – 9.198 bytes | ||
| 1021 | * DRAM – 8 GB | ||
| 1022 | * Flash memory – 16 GB | ||
| 1023 | * Konzolový port RJ45 | ||
| 1024 | * Kapacita stacku – 480 Gbps | ||
| 1025 | * 2x Zdroj hot plug | ||
| 1026 | * Stack 480 Gbps | ||
| 1027 | * 3 roky záruka 8x5NBD | ||
| 1028 | |||
| 1029 | //**SFP a káble**//: | ||
| 1030 | |||
| 1031 | * 90 ks GBIC 1GbE optical | ||
| 1032 | * 16 ks GBIC 10GbE optical | ||
| 1033 | * 106 ks Optical patch cords LC-LC 3m | ||
| 1034 | |||
| 1035 | **B) Dodávka, montáž a konfigurácia firewallov v rozsahu:** | ||
| 1036 | |||
| 1037 | //**2 ks next-gen firewall**// | ||
| 1038 | |||
| 1039 | * Klástrovaná jednotka pozostávajúca z dvoch zariadení | ||
| 1040 | * Podpora – Firewall, Clientless VPN, HA active-standby | ||
| 1041 | |||
| 1042 | //**Licencie na 5 rokov pre:**// | ||
| 1043 | |||
| 1044 | * Sieťová ochrana – TLS 1.3 Inspection, Deep Packet Inspection, IPS, ATP | ||
| 1045 | * WEB ochrana, Zero Day Protection, Cloud sandboxing | ||
| 1046 | * Centrálna správa | ||
| 1047 | |||
| 1048 | //**Minimálny výkon:**// | ||
| 1049 | |||
| 1050 | * FW 000 Mbps | ||
| 1051 | * NGFW 200 Mbps | ||
| 1052 | * Threat Protection 1.250 Mbps | ||
| 1053 | * IPS 000 Mbps | ||
| 1054 | * 8x GE, min. 2x SFP | ||
| 1055 | * RPS | ||
| 1056 | * Latencia pre 64 Byte UDP 6 µs | ||
| 1057 | |||
| 1058 | ==== {{id name="projekt_3014_Pristup_k_projektu_detailny-2)Zavedeniesystémuprezabezpečeniekontinuityprevádzkyzmyslezákonač.69/2018Z.z.avyhlášky362/2018Z.z.(§17b)–ZálohovanieaDR"/}}**2) Zavedenie systému pre zabezpečenie kontinuity prevádzky zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17b) – Zálohovanie a DR** ==== | ||
| 1059 | |||
| 1060 | * Dodávka, montáž a implementácia HW zariadenia na zálohovanie | ||
| 1061 | ** Prevedenie rack 2U | ||
| 1062 | ** CPU min. 2,2 Ghz, 4C | ||
| 1063 | ** RAM min. 8 GB | ||
| 1064 | ** Pozície na HDD 8x SATA, | ||
| 1065 | ** Porty 4x GbE, 2x USB 3.0, 1x eSATA | ||
| 1066 | ** Redundandný zdroj napájania | ||
| 1067 | ** Min . 8x 4 TB HDD | ||
| 1068 | ** 3 ročná podpora od výrobcu | ||
| 1069 | ** Nastavenie backup politík | ||
| 1070 | * Implementácia SW na zálohovanie | ||
| 1071 | ** Softvér umožňujúci zálohovanie virtuálnych prostredí | ||
| 1072 | ** Možnosť nasadenia v distribuovanom režime (oddelenie role riadiaceho servera od zálohovacej proxy a úložiska) | ||
| 1073 | ** Požaduje sa nasadenie riadiaceho servera vo virtuálnom serveri s OS MS Windows Server 2022 | ||
| 1074 | ** Trvalá (perpetuálna) licencia pre minimálne 10 VM/inštancií | ||
| 1075 | ** Kompatibilita s dodávaným virtualizačným riešením | ||
| 1076 | ** Možnosť zálohovania na lokálne úložisko servera, DAS, SAN (prístup cez FC a iSCSI) alebo NAS (prístup cez NFS a SMB/CIFS) úložisko | ||
| 1077 | ** Obnova celého virtuálneho servera na pôvodnom alebo inom hostiteľovi, vrátane funkcie rýchleho vrátenia späť pre obnovenie iba zmenených blokov | ||
| 1078 | ** Rýchle obnovenie služby pre užívateľa spustením virtuálnych počítačov, u ktorých došlo k chybe, priamo zo súboru zálohy v bežnom úložisku pre zálohovanie | ||
| 1079 | ** Obnovenie jednotlivých súborov VM (napríklad VMX) a virtuálnych diskov | ||
| 1080 | ** Vyhľadávanie a obnova všetkých typov objektov služby AD, napríklad používateľov, skupín, počítačových účtov, kontaktov, vrátane obnovenia užívateľských a počítačových hesiel. | ||
| 1081 | ** Okamžitý prehľad o zálohách prostredí Microsoft Exchange 2013 až 2019 pre e-discovery a jednoduché obnovenie jednotlivých položiek servera Exchange (e-maily, schôdzky, poznámky, kontakty atď.), online archivovaných poštových schránkach a natrvalo odstránených položkách. | ||
| 1082 | ** Jednoduché obnovenie jednotlivých databáz MS SQL servera a vyhľadávanie databáz a súborov s protokolmi transakcií. | ||
| 1083 | ** Rýchle zisťovanie podrobností o zálohách prostredia SharePoint a používanie pokročilých možností vyhľadávania a prehliadania pre rýchlu obnovu jednotlivých položiek prostredia SharePoint. | ||
| 1084 | ** Obnovenie jednotlivých objektov akejkoľvek virtualizovanej aplikácie, vrátane databáz Oracle a MySQL, spustením virtuálneho počítača priamo zo súboru zálohy v izolovanom prostredí a s prístupom k aplikácii pomocou natívnych nástrojov pre správu. | ||
| 1085 | ** Obnovenie chýbajúcich položiek poštových schránok späť do pôvodnej schránky jediným kliknutím z webového rozhrania. | ||
| 1086 | ** Obnovenie jednotlivých databáz späť na pôvodnú alebo nový server SQL jediným kliknutím z webového rozhrania. | ||
| 1087 | ** Portál pre obnovenie súborov s automatickou detekciou VM a automatickým delegovaním na základe členstva v skupine miestnych správcov. | ||
| 1088 | ** Všetky funkcie obnovenia z rozhrania môžu vykonávať sami užívatelia na základe delegovania jednotlivých VM a skupín VM konkrétnym používateľom alebo skupinám, ako sú pracovníci IT, vlastníci aplikácie, členovia oddelenia atď. | ||
| 1089 | ** Vytváranie konzistentných záloh VM na úrovni bitovej kópie s pokročilým spracovaním a s ohľadom na aplikáciu (vrátane skrátenia protokolu transakcií). | ||
| 1090 | ** Jednoduchšie jednorazové zálohovanie spustených virtuálnych počítačov na účely archivácie. | ||
| 1091 | ** Vykonávanie rýchleho prírastkového zálohovania jednotlivých virtuálnych počítačov v rámci existujúcej úlohy zálohovania. | ||
| 1092 | ** Umožňuje nastaviť maximálnu prijateľnú úroveň I/O latencie pre produkčné dátové úložiská, aby činnosti zálohovania a replikácie neovplyvňovali dostupnosť úložiska pre produkčné pracovné úlohy. | ||
| 1093 | ** Podpora "trvalých prírastkových" záloh, ktoré šetria čas a úložiská. | ||
| 1094 | ** Zníženie požiadaviek na úložisko záloh a sieťové prenosy vďaka integrovanej deduplikácii, niekoľkým možnostiam komprimácie pre vyrovnanie obsadenosti úložiska, výkonu a zaťaženia záložného proxy servera, vylúčenie zámen znižuje náročnosť zálohovania a zlepšuje výkon. | ||
| 1095 | ** Automatické kopírovanie všetkých alebo len vybraných záloh VM do vybraného úložiska pre zotavenie po havárii, zahŕňa validáciu a opravy pre zaistenie dostupnosti a spoľahlivosti kópií. | ||
| 1096 | ** Presun záloh do vzdialeného úložiska vďaka integrovanému, rýchlemu a bezpečnému spôsobu zálohovania do cloudu a obnovovanie z cloudu. | ||
| 1097 | * Server pre zálohovací SW bude implementovaný ako virtuálny server v infraštruktúre objednávateľa | ||
| 1098 | |||
| 1099 | ==== {{id name="projekt_3014_Pristup_k_projektu_detailny-3)Zavedenienástrojaprezabezpečeniezaznamenávaniaudalostízmyslezákonač.69/2018Z.z.avyhlášky362/2018Z.z.(§15)LM+SIEM"/}}**3) Zavedenie nástroja pre zabezpečenie zaznamenávania udalostí zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§15) LM + SIEM** ==== | ||
| 1100 | |||
| 1101 | * Implementácia LM a SIEM do nového prostredia | ||
| 1102 | * Konfigurácia v rámci virtuálneho prostredia | ||
| 1103 | * Analýza a nastavenie zdrojov LOGov | ||
| 1104 | |||
| 1105 | **//1) Retencia údajov~://** | ||
| 1106 | |||
| 1107 | * ONLINE - 6 mesiacov | ||
| 1108 | * OFFLINE/ARCHIVE – 12 mesiacov | ||
| 1109 | |||
| 1110 | **//2) Kapacita systému~://** | ||
| 1111 | |||
| 1112 | * Počet zdrojov logov: 200 | ||
| 1113 | * Počet logov: 700 EPS | ||
| 1114 | * Objem logov na disku: | ||
| 1115 | ** 3 TB ONLINE (6m) | ||
| 1116 | ** 6 TB OFFLINE (12m) | ||
| 1117 | |||
| 1118 | **//3) HW parametre pre server LM+SIEM //** | ||
| 1119 | |||
| 1120 | * Prevedenie rack max 2U | ||
| 1121 | * Min 1 x CPU Intel Xeon-Gold 6426Y 16C | ||
| 1122 | * Min 128GB RAM Dual rank x8 DDR5- 4800 | ||
| 1123 | * Min 6 x 960GB SSD | ||
| 1124 | * 2 x Ethernet 10Gb 2- port SFP+ 4 x 1Gb RJ45 | ||
| 1125 | * Redundandné napájanie | ||
| 1126 | * ročná podpora od výrobcu | ||
| 1127 | * Komplet kabeláž na pripojenie k sieti | ||
| 1128 | * 1 ks Licencia Microsoft Windows Server 2022 Std Edition | ||
| 1129 | |||
| 1130 | ==== {{id name="projekt_3014_Pristup_k_projektu_detailny-4)Zavedeniesystémuochranyprotiškodlivémukóduvzmyslezákonač.69/2018Z.z.avyhlášky362/2018Z.z.(§12)–XDR"/}}**4) Zavedenie systému ochrany proti škodlivému kódu v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§12) – XDR** ==== | ||
| 1131 | |||
| 1132 | ==== {{id name="projekt_3014_Pristup_k_projektu_detailny-"/}}** | ||
| 1133 | ** ==== | ||
| 1134 | |||
| 1135 | * SW nástroj na rozšírenú ochranu koncových zariadení pre 80 ks Endpoint | ||
| 1136 | * SW nástroj na rozšírenú ochranu serverov pre 12 ks Serverov | ||
| 1137 | * Nástroj musú byť kompatibilný s riešením perimetrovej ochrany | ||
| 1138 | * Licencia na 3 roky | ||
| 1139 | * Dodávka riešenia, inštalácia na zariadenia prostredníctvom GP | ||
| 1140 | |||
| 1141 | ==== {{id name="projekt_3014_Pristup_k_projektu_detailny-5)Zavedeniesystémuriadeniaprístupovosôbksietizmyslezákonač.69/2018Z.z.avyhlášky362/2018Z.z.(§8)–NAC802.1x"/}}**5) Zavedenie systému riadenia prístupov osôb k sieti zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§8) – NAC 802.1x | ||
| 1142 | ** ==== | ||
| 1143 | |||
| 1144 | * Dodávka a inštalácia SW nástroja na autentifikáciu 802.1x pre min 250 MAC adries | ||
| 1145 | * Inštalácia a konfigurácia v HA konfigurácii | ||
| 1146 | * Implementácia riešenia 802.1x | ||
| 1147 | * Dodávka čitačiek otlačkov prstov, nastavenie overovanie užívateľov voči zariadeniu na platforme otlačkov prstov (80 klientov) | ||
| 1148 | |||
| 1149 | == {{id name="projekt_3014_Pristup_k_projektu_detailny-4.5Bezpečnostnáarchitektúra"/}}4.5 Bezpečnostná architektúra == | ||
| 1150 | |||
| 1151 | Predmetom projektu je implementácia opatrení pre oblasť informačnej a kybernetickej bezpečnosti, architektúra je uvedená v kap. 4 Architektúra projektu. Navrhovaný projekt a jeho architektúra bude budovaná v súlade s nasledujúcimi právnymi predpismi: | ||
| 1152 | |||
| 1153 | * Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe | ||
| 1154 | * Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti | ||
| 1155 | * Zákon č. 45/2011 Z. z. o kritickej infraštruktúre | ||
| 1156 | * Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 z. z. o štandardoch pre informačné technológie verejnej správy | ||
| 1157 | * Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy | ||
| 1158 | * Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov | ||
| 1159 | * Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27.apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) | ||
| 1160 | * Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov | ||
| 1161 | |||
| 1162 | = {{id name="projekt_3014_Pristup_k_projektu_detailny-5.ZávislostinaostatnéISVS/projekty"/}}5. Závislosti na ostatné ISVS / projekty = | ||
| 1163 | |||
| 1164 | Projekt nie je závislý na iných ISVS, resp. projektoch. | ||
| 1165 | |||
| 1166 | = {{id name="projekt_3014_Pristup_k_projektu_detailny-6.Zdrojovékódy"/}}6. Zdrojové kódy = | ||
| 1167 | |||
| 1168 | Vlastníkom zdrojových kódov v prípade vývoja SW diela bude NsP Ilava v súlade s platnou legislatívou. Dôležité usmernenia pre oblasť zdrojových kódov sú: | ||
| 1169 | |||
| 1170 | * Centrálny repozitár zdrojových kódov - § 31 Vyhlášky 78/2020 Z. z.: [[https:~~/~~/www.slov-lex.sk/pravne-predpisy/SK/ZZ/2020/78/20240401>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2020/78/20240401||shape="rect"]] | ||
| 1171 | * Overenie zdrojového kódu s cieľom jeho prepoužitia a spôsoby zverejňovania zdrojového kódu: [[https:~~/~~/mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/>>url:https://mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/||shape="rect"]] | ||
| 1172 | * Inštrukcie k EUPL licenciám: [[https:~~/~~/joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf>>url:https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf||shape="rect"]] | ||
| 1173 | |||
| 1174 | = {{id name="projekt_3014_Pristup_k_projektu_detailny-7.Prevádzkaaúdržba"/}}7. Prevádzka a údržba = | ||
| 1175 | |||
| 1176 | == {{id name="projekt_3014_Pristup_k_projektu_detailny-7.1Prevádzkovépožiadavky"/}}7.1 Prevádzkové požiadavky == | ||
| 1177 | |||
| 1178 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-7.1.1Úrovnepodporypoužívateľov"/}}7.1.1 Úrovne podpory používateľov === | ||
| 1179 | |||
| 1180 | Podpora používateľov bude realizovaná cez 2 úrovne podpory, s nasledujúcim označením: | ||
| 1181 | |||
| 1182 | * L1 podpory IS (Level 1, priamy kontakt zákazníka) bude zabezpečovať prevádzka NsP Ilava | ||
| 1183 | * L2 podpory IS (Level 2, postúpenie požiadaviek od L1) bude zabezpečovaná dodávateľom | ||
| 1184 | |||
| 1185 | Definícia: | ||
| 1186 | |||
| 1187 | * Podpora L1 (podpora 1. stupňa) - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď. | ||
| 1188 | * Podpora L2 (podpora 2. stupňa) – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť. | ||
| 1189 | * Dostupnosť L2 podpory pre IS je 8x5 (8 hodín x 5 dní od 8:00h do 16:00h počas pracovných dní) | ||
| 1190 | |||
| 1191 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-7.1.2Riešenieincidentov–SLAparametre"/}}7.1.2 Riešenie incidentov – SLA parametre === | ||
| 1192 | |||
| 1193 | Označenie naliehavosti incidentu: | ||
| 1194 | |||
| 1195 | (% class="" %)|((( | ||
| 1196 | **Označenie naliehavosti incidentu** | ||
| 1197 | )))|((( | ||
| 1198 | **Závažnosť incidentu** | ||
| 1199 | )))|((( | ||
| 1200 | **Popis naliehavosti incidentu** | ||
| 1201 | ))) | ||
| 1202 | (% class="" %)|((( | ||
| 1203 | A | ||
| 1204 | )))|((( | ||
| 1205 | Kritická | ||
| 1206 | )))|((( | ||
| 1207 | Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS | ||
| 1208 | ))) | ||
| 1209 | (% class="" %)|((( | ||
| 1210 | B | ||
| 1211 | )))|((( | ||
| 1212 | Vysoká | ||
| 1213 | )))|((( | ||
| 1214 | Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému | ||
| 1215 | ))) | ||
| 1216 | (% class="" %)|((( | ||
| 1217 | C | ||
| 1218 | )))|((( | ||
| 1219 | Stredná | ||
| 1220 | )))|((( | ||
| 1221 | Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému | ||
| 1222 | ))) | ||
| 1223 | (% class="" %)|((( | ||
| 1224 | D | ||
| 1225 | )))|((( | ||
| 1226 | Nízka | ||
| 1227 | )))|((( | ||
| 1228 | Kozmetické a drobné chyby | ||
| 1229 | ))) | ||
| 1230 | |||
| 1231 | // //možný dopad: | ||
| 1232 | |||
| 1233 | (% class="" %)|((( | ||
| 1234 | **Označenie závažnosti incidentu** | ||
| 1235 | )))|((( | ||
| 1236 | **Dopad** | ||
| 1237 | )))|((( | ||
| 1238 | **Popis dopadu** | ||
| 1239 | ))) | ||
| 1240 | (% class="" %)|((( | ||
| 1241 | 1 | ||
| 1242 | )))|((( | ||
| 1243 | katastrofický | ||
| 1244 | )))|((( | ||
| 1245 | Katastrofický dopad, priamy finančný dopad alebo strata dát, | ||
| 1246 | ))) | ||
| 1247 | (% class="" %)|((( | ||
| 1248 | 2 | ||
| 1249 | )))|((( | ||
| 1250 | značný | ||
| 1251 | )))|((( | ||
| 1252 | Značný dopad alebo strata dát | ||
| 1253 | ))) | ||
| 1254 | (% class="" %)|((( | ||
| 1255 | 3 | ||
| 1256 | )))|((( | ||
| 1257 | malý | ||
| 1258 | )))|((( | ||
| 1259 | Malý dopad alebo strata dát | ||
| 1260 | ))) | ||
| 1261 | |||
| 1262 | //** **// Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici: | ||
| 1263 | |||
| 1264 | (% class="" %)|(% colspan="2" rowspan="2" %)((( | ||
| 1265 | **Matica priority incidentov** | ||
| 1266 | )))|(% colspan="3" %)((( | ||
| 1267 | **Dopad** | ||
| 1268 | ))) | ||
| 1269 | (% class="" %)|((( | ||
| 1270 | **Katastrofický - 1** | ||
| 1271 | )))|((( | ||
| 1272 | **Značný - 2** | ||
| 1273 | )))|((( | ||
| 1274 | **Malý - 3** | ||
| 1275 | ))) | ||
| 1276 | (% class="" %)|(% rowspan="4" %)((( | ||
| 1277 | |||
| 1278 | |||
| 1279 | **Naliehavosť** | ||
| 1280 | )))|((( | ||
| 1281 | **Kritická - A** | ||
| 1282 | )))|((( | ||
| 1283 | 1 | ||
| 1284 | )))|((( | ||
| 1285 | 2 | ||
| 1286 | )))|((( | ||
| 1287 | 3 | ||
| 1288 | ))) | ||
| 1289 | (% class="" %)|((( | ||
| 1290 | **Vysoká - B** | ||
| 1291 | )))|((( | ||
| 1292 | 2 | ||
| 1293 | )))|((( | ||
| 1294 | 3 | ||
| 1295 | )))|((( | ||
| 1296 | 3 | ||
| 1297 | ))) | ||
| 1298 | (% class="" %)|((( | ||
| 1299 | **Stredná - C** | ||
| 1300 | )))|((( | ||
| 1301 | 2 | ||
| 1302 | )))|((( | ||
| 1303 | 3 | ||
| 1304 | )))|((( | ||
| 1305 | 4 | ||
| 1306 | ))) | ||
| 1307 | (% class="" %)|((( | ||
| 1308 | **Nízka - D** | ||
| 1309 | )))|((( | ||
| 1310 | 3 | ||
| 1311 | )))|((( | ||
| 1312 | 4 | ||
| 1313 | )))|((( | ||
| 1314 | 4 | ||
| 1315 | ))) | ||
| 1316 | |||
| 1317 | //** **//Vyžadované reakčné doby: | ||
| 1318 | |||
| 1319 | (% class="" %)|((( | ||
| 1320 | **Označenie priority incidentu** | ||
| 1321 | )))|((( | ||
| 1322 | **Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu** | ||
| 1323 | )))|((( | ||
| 1324 | **Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^** | ||
| 1325 | )))|((( | ||
| 1326 | **Spoľahlivosť ^^(3) ^^(počet incidentov za mesiac)** | ||
| 1327 | ))) | ||
| 1328 | (% class="" %)|((( | ||
| 1329 | 1 | ||
| 1330 | )))|((( | ||
| 1331 | 0,5 hod. | ||
| 1332 | )))|((( | ||
| 1333 | 4 hodín | ||
| 1334 | )))|((( | ||
| 1335 | 1 | ||
| 1336 | ))) | ||
| 1337 | (% class="" %)|((( | ||
| 1338 | 2 | ||
| 1339 | )))|((( | ||
| 1340 | 1 hod. | ||
| 1341 | )))|((( | ||
| 1342 | 12 hodín | ||
| 1343 | )))|((( | ||
| 1344 | 2 | ||
| 1345 | ))) | ||
| 1346 | (% class="" %)|((( | ||
| 1347 | 3 | ||
| 1348 | )))|((( | ||
| 1349 | 1 hod. | ||
| 1350 | )))|((( | ||
| 1351 | 24 hodín | ||
| 1352 | )))|((( | ||
| 1353 | 10 | ||
| 1354 | ))) | ||
| 1355 | (% class="" %)|((( | ||
| 1356 | 4 | ||
| 1357 | )))|((( | ||
| 1358 | 1 hod. | ||
| 1359 | )))|(% colspan="2" %)((( | ||
| 1360 | Vyriešené a nasadené v rámci plánovaných releasov | ||
| 1361 | ))) | ||
| 1362 | |||
| 1363 | Vysvetlivky k tabuľke | ||
| 1364 | |||
| 1365 | (1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L2 a jeho prevzatím na riešenie. | ||
| 1366 | |||
| 1367 | (2) DKVI znamená obnovenie štandardnej prevádzky - čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom (DKVI) sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný uchádzač oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu. | ||
| 1368 | |||
| 1369 | (3) Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident. | ||
| 1370 | |||
| 1371 | (4) Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia majú prioritu 3 a nižšiu. Vzťahujú sa výhradne k dostupnosti testovacieho prostredia. Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite. | ||
| 1372 | |||
| 1373 | Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby: | ||
| 1374 | |||
| 1375 | * Služby systémovej podpory na požiadanie (nad paušál) | ||
| 1376 | * Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál) | ||
| 1377 | |||
| 1378 | Pre tieto služby budú dohodnuté osobitné parametre dodávky. | ||
| 1379 | |||
| 1380 | == {{id name="projekt_3014_Pristup_k_projektu_detailny-7.2PožadovanádostupnosťIS:"/}}7.2 Požadovaná dostupnosť IS: == | ||
| 1381 | |||
| 1382 | (% class="" %)|((( | ||
| 1383 | **Popis** | ||
| 1384 | )))|((( | ||
| 1385 | **Parameter** | ||
| 1386 | )))|((( | ||
| 1387 | **Poznámka** | ||
| 1388 | ))) | ||
| 1389 | (% class="" %)|((( | ||
| 1390 | **Prevádzkové hodiny** | ||
| 1391 | )))|((( | ||
| 1392 | 8 hodín | ||
| 1393 | )))|((( | ||
| 1394 | od 8:00 hod. - do 16:00 hod. počas pracovných dní | ||
| 1395 | ))) | ||
| 1396 | (% class="" %)|((( | ||
| 1397 | **Servisné okno** | ||
| 1398 | )))|((( | ||
| 1399 | 8 hodín | ||
| 1400 | )))|((( | ||
| 1401 | od 8:00 hod. - do 16:00 hod. počas pracovných dní | ||
| 1402 | ))) | ||
| 1403 | (% class="" %)|((( | ||
| 1404 | **Dostupnosť produkčného prostredia IS** | ||
| 1405 | )))|((( | ||
| 1406 | 98,5% | ||
| 1407 | )))|((( | ||
| 1408 | 98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod. | ||
| 1409 | |||
| 1410 | Maximálny mesačný výpadok je 5,5 hodiny. | ||
| 1411 | |||
| 1412 | Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni. | ||
| 1413 | |||
| 1414 | Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L2 v čase od 8:00 hod. - do 16:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS. | ||
| 1415 | |||
| 1416 | V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu. | ||
| 1417 | ))) | ||
| 1418 | |||
| 1419 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-7.2.1Dostupnosť(Availability)"/}}7.2.1 Dostupnosť (Availability) === | ||
| 1420 | |||
| 1421 | Dostupnosť (Availability) je pojem z oblasti riadenia bezpečnosti v organizácii. Dostupnosť znamená, že dáta sú prístupné v okamihu jej potreby. Narušenie dostupnosti sa označuje ako nežiaduce zničenie (destruction) alebo nedostupnosť. Dostupnosť je zvyčajne vyjadrená ako percento času v danom období, obvykle za rok. Očakávaná 98,5 % dostupnosť znamená maximálny výpadok 66 hodín za rok. | ||
| 1422 | |||
| 1423 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-7.2.2RTO(RecoveryTimeObjective)"/}}7.2.2 RTO (Recovery Time Objective) === | ||
| 1424 | |||
| 1425 | Recovery Time Objective (zvyčajne sa požíva skratka RTO) je jeden z ukazovateľov dostupnosti dát. RTO vyjadruje množstvo času potrebné pre obnovenie dát a celej prevádzky nedostupného systému (softvér). Môže byť, v závislosti na použitej technológii, vyjadrené v sekundách, hodinách či dňoch. | ||
| 1426 | |||
| 1427 | * Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni | ||
| 1428 | |||
| 1429 | === {{id name="projekt_3014_Pristup_k_projektu_detailny-7.2.3RPO(RecoveryPointObjective)"/}}7.2.3 RPO (Recovery Point Objective) === | ||
| 1430 | |||
| 1431 | Recovery Point Objective (zvyčajne sa požíva skratka RPO) je jeden z ukazovateľov dostupnosti dát. RPO vyjadruje, do akého stavu (bodu) v minulosti možno obnoviť dáta. Inými slovami množstvo dát, o ktoré môže organizácia prísť. | ||
| 1432 | |||
| 1433 | * Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni | ||
| 1434 | |||
| 1435 | = {{id name="projekt_3014_Pristup_k_projektu_detailny-8.Požiadavkynapersonál"/}}8. Požiadavky na personál = | ||
| 1436 | |||
| 1437 | == {{id name="projekt_3014_Pristup_k_projektu_detailny-8.1Personálpotrebnýnaprojektovériadenie"/}}8.1 Personál potrebný na projektové riadenie == | ||
| 1438 | |||
| 1439 | Najvyššia úroveň riadenia projektu bude zastúpená v zmysle metodiky riadenia projektov PRINCE2 Riadiacim výborom projektu „RV“, ktorý bude zasadať v nasledovnom zložení: | ||
| 1440 | |||
| 1441 | * Predseda Riadiaceho výboru | ||
| 1442 | * Projektový manažér | ||
| 1443 | * Vlastník procesov | ||
| 1444 | * Zástupca prevádzky (kľúčový používateľ) | ||
| 1445 | * Zástupca dodávateľa | ||
| 1446 | |||
| 1447 | Okrem RV bude v rámci projektu zriadený tiež projektový tím žiadateľa, ktorý bude zložený: | ||
| 1448 | |||
| 1449 | * Manažér kybernetickej a informačnej bezpečnosti | ||
| 1450 | * Kľúčový používateľ | ||
| 1451 | |||
| 1452 | Riadiaci výbor projektu v kooperácii s projektovým tímom bude zriadený pre účely usmerňovania a riadenia projektu ako celku. Projektový tím bude zodpovedať za celkový úspech projektu a bude zároveň nositeľom zodpovednosti a autority v rámci projektu. Okrem iného bude koordinovať činnosti publicity a informovanosti projektu a zdieľať informácie o projekte smerom k dotknutým osobám „stakeholderom“ a to počas celej doby trvania projektu a počas existencie projektového výboru samotného. | ||
| 1453 | |||
| 1454 | Riadiaci výbor bude schvaľovať najmä nasledovné: | ||
| 1455 | |||
| 1456 | * Hlavné plány projektu | ||
| 1457 | * Autorizovať prípadne odchýlky od dohodnutých plánov | ||
| 1458 | * Bude autorizovať ukončenie všetkých hlavných aktivít projektu (viď časový harmonogram) | ||
| 1459 | * Bude zodpovedať za zabezpečenie príslušných zdrojov projektu (aj vo vzťahu k dodávateľom) | ||
| 1460 | * Schvaľuje rolu Projektového manažéra | ||
| 1461 | * Zodpovedá za schválenie projektovej iniciačnej dokumentácie „PID“ | ||
| 1462 | * Bude zodpovedať za celkové usmerňovanie projektu (sledovanie projektu v rámci tolerancií) | ||
| 1463 | * Bude prehodnocovať ukončené etapy a schvaľovať prechody do ďalších etáp (aplikovateľné práve na podmienky prístupu „waterfall“... | ||
| 1464 | * Na konci projektu bude zabezpečovať, aby boli produkty odovzdané uspokojivo | ||
| 1465 | * Bude zodpovedať za schválenie/akceptáciu výstupov a schválenie záverečnej správy (preberacie protokoly, akceptácia predmetu projektu...). | ||
| 1466 | |||
| 1467 | Projektový tím bude zabezpečovať samotnú realizáciu projektu v kooperácii s dodávateľom a pripravovať potrebné dokumenty k schváleniu riadiacim výborom. | ||
| 1468 | |||
| 1469 | (% class="" %)|((( | ||
| 1470 | **ID** | ||
| 1471 | )))|((( | ||
| 1472 | **Meno a Priezvisko** | ||
| 1473 | )))|((( | ||
| 1474 | **Pozícia** | ||
| 1475 | )))|((( | ||
| 1476 | **Oddelenie** | ||
| 1477 | )))|((( | ||
| 1478 | **Rola v projekte** | ||
| 1479 | ))) | ||
| 1480 | (% class="" %)|((( | ||
| 1481 | 1. | ||
| 1482 | )))|((( | ||
| 1483 | Ing. Juraj Beďatš | ||
| 1484 | )))|((( | ||
| 1485 | Riaditeľ NsP Ilava | ||
| 1486 | )))|((( | ||
| 1487 | Riaditeľ nemocnice | ||
| 1488 | )))|((( | ||
| 1489 | Predseda RV | ||
| 1490 | ))) | ||
| 1491 | (% class="" %)|((( | ||
| 1492 | 2. | ||
| 1493 | )))|((( | ||
| 1494 | Ing. Martina Cepková | ||
| 1495 | )))|((( | ||
| 1496 | Vlastník procesov | ||
| 1497 | )))|((( | ||
| 1498 | Hospodársko - technická správa | ||
| 1499 | )))|((( | ||
| 1500 | Vlastník procesov/člen RV | ||
| 1501 | ))) | ||
| 1502 | (% class="" %)|((( | ||
| 1503 | 3. | ||
| 1504 | )))|((( | ||
| 1505 | Bc. Dagmar Bitterová | ||
| 1506 | )))|((( | ||
| 1507 | Kľúčový používateľ | ||
| 1508 | )))|((( | ||
| 1509 | Hospodársko - technická správa | ||
| 1510 | )))|((( | ||
| 1511 | Zástupca prevádzky (kľúčový používateľ)/člen RV a člen projektového tímu | ||
| 1512 | ))) | ||
| 1513 | (% class="" %)|((( | ||
| 1514 | 4. | ||
| 1515 | )))|((( | ||
| 1516 | Vybratý v rámci VO | ||
| 1517 | )))|((( | ||
| 1518 | Zástupca dodávateľa | ||
| 1519 | )))|((( | ||
| 1520 | dodávateľ | ||
| 1521 | )))|((( | ||
| 1522 | Člen RV bez hlasovacieho práva | ||
| 1523 | ))) | ||
| 1524 | (% class="" %)|((( | ||
| 1525 | 5. | ||
| 1526 | )))|((( | ||
| 1527 | Vybratý v rámci VO | ||
| 1528 | )))|((( | ||
| 1529 | Projektový manažér | ||
| 1530 | )))|((( | ||
| 1531 | dodávateľ | ||
| 1532 | )))|((( | ||
| 1533 | Projektový manažér/člen RV bez hlasovacieho práva | ||
| 1534 | ))) | ||
| 1535 | (% class="" %)|((( | ||
| 1536 | 6. | ||
| 1537 | )))|((( | ||
| 1538 | Ing. Róbert Jankech | ||
| 1539 | )))|((( | ||
| 1540 | Manažér informačnej bezpečnosti | ||
| 1541 | )))|((( | ||
| 1542 | Hospodársko - technická správa | ||
| 1543 | )))|((( | ||
| 1544 | Manažér kybernetickej a informačnej bezpečnosti (člen projektového tímu) | ||
| 1545 | ))) | ||
| 1546 | |||
| 1547 | Podrobnejšie informácie o projektovom tíme sa nachádzajú v Projektovom zámere, v kapitole 9. PROJEKTOVÝ TÍM. | ||
| 1548 | |||
| 1549 | == {{id name="projekt_3014_Pristup_k_projektu_detailny-8.2PersonálpotrebnýnazabezpečenieTOBEprocesu"/}}8.2 Personál potrebný na zabezpečenie TO BE procesu == | ||
| 1550 | |||
| 1551 | Realizáciou projektu nepredpokladáme potrebu navýšenia súčasného stavu personálu zabezpečujúceho chod IS nemocnice. Chod implementovaných riešení bude zabezpečovaný súčasným personálom a v prípade nutnosti odborných zásahov bude prevádzka zabezpečená dodávateľom v zmysle platnej SLA, viď informácie uvedené v kapitole 7. PREVÁDZKA A ÚDRŽBA. | ||
| 1552 | |||
| 1553 | = {{id name="projekt_3014_Pristup_k_projektu_detailny-9.Implementáciaapreberanievýstupovprojektu"/}}9. Implementácia a preberanie výstupov projektu = | ||
| 1554 | |||
| 1555 | Projekt bude realizovaný metódou Waterfall. Tento prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projektu. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktoré majú jasný cieľ a jasne definovateľný postup a rozdelenie prác. Výstupy projektu akceptuje riadiaci výbor projektu bližšie informácie sú uvedené v Projektovom zámere, časť 9 – Projektový tím). | ||
| 1556 | |||
| 1557 | = {{id name="projekt_3014_Pristup_k_projektu_detailny-10.Prílohy"/}}10. Prílohy = | ||
| 1558 | |||
| 1559 | Príloha č. 1 Zoznam rizík a závislostí | ||
| 1560 | |||
| 1561 | Príloha č. 2 Katalóg požiadaviek | ||
| 1562 | |||
| 1563 | \\ |