projekt_3014_Pristup_k_projektu_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/07 11:23

PRÍSTUP K PROJEKTU

Vzor pre manažérsky výstup I-03 podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Povinná osoba  

Nemocnica s poliklinikou Ilava, n. o. 

Názov projektu  

Rozvoj informačnej a kybernetickej bezpečnosti NsP Ilava

Zodpovedná osoba za projekt  

Ing. Robert Jankech

Realizátor projektu   

Nemocnica s poliklinikou Ilava, n. o. 

Vlastník projektu  

Nemocnica s poliklinikou Ilava, n. o. 

 Schvaľovanie dokumentu

Položka

Meno a priezvisko

Organizácia

Pracovná pozícia

Dátum

Podpis (alebo elektronický súhlas)

Schválil

Ing. Juraj Beďatš

NsP Ilava

Riaditeľ

22.08.2024 

 

1. História dokumentu

Verzia

Dátum

Zmeny

Meno

1.0

22.08.2024 

Finálna verzia projektovej dokumentácie

Ing. Robert Jankech

2. Účel dokumentu

V súlade s Vyhláškou 401/2023 Z. z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia. Dokument Prístup k projektu obsahuje opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy.

2.1      Použité skratky a pojmy

SKRATKA/POJEM

POPIS

2FA

Dvojfaktorové overovanie (2FA) je metóda zabezpečenia správy identít a prístupu, ktorá na prístup k zdrojom a údajom vyžaduje dve formy identifikácie. Dvojfaktorové overovanie umožňuje podnikom monitorovať a chrániť najzraniteľnejšie informácie a siete.

AD

Active Directory je implementácia adresárových služieb LDAP firmou Microsoft na použitie v systéme Microsoft Windows. Umožňuje administrátorom nastavovať politiku, inštalovať programy na mnoho počítačov alebo aplikovať kritické aktualizácie v celej organizačnej štruktúre. Active Directory svoje informácie a nastavenia ukladá v centrálnej organizovanej databáze.

AI

Artificial intelligence – umelá inteligencia

API

Application Programming Interface /aplikačné rozhranie

ATP

Attention-based Ternary Projection Network

CIFS

Common Internet File System

CPU

Centrálna procesorová jednotka

CSIRT

Computer Security Incident Response Team

DAS

Direct Attached Storage

DB

Databáza

DC

Dátové centrum

DDoS

Direct denial of service

DR

Disaster Recovery

DRAM

Dynamic Random Access Memory

EPS

Events Per Second

FC

Fibre Channel

FERC

Federal Energy Regulatory Commission

FW

Firewall - Sieťové zariadenie, alebo softver, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Extranet a Intranet) a kontrolovať tok dát medzi týmito sieťami

GB

Gigabajt

GbE 

Gigabit Ethernet

GBIC

GigaBit Interface Card je rozhranie zariadenia, ktoré konvertuje gigabitové elektrické signály na optické signály.

Gbps

Gigabit za sekundu

GLBA

Gramm Leach Bliley Act

HDD

Hard Drive

HIPAA

Health Insurance Portability and Accountability Act

HTTPS

Hypertext transfer protocol secure

HW

Hardvér

IDS

Intrusion detection systems

IPS

Intrusion prevention systems

IS

Informačný systém

IS CSRÚ

Informačný systém centrálnej správy referenčných údajov

iSCSI

Internet Small Computer System Interface

ISVS

Informačný system verejnej správy

IT

Informačné technológie

ITIL

Information Technology Infrastructure Library

KaIB

Kybernetická a informačná bezpečnosť

LAN

Lokálna (vnútorná) počítačová sieť (Local Area Network)

LM

Log Management, systém na záznam a správu LOGov

LOG

Záznam činnosti

MAC

Media Access Control

MB

Megabajt

Mbps

Megabit za sekundu

MKB

Manažér kybernetickej bezpečnosti

Mpps

Mega packets per second

MS

Microsoft

NAS

Network Attached Storage

NERC

North American Electric Reliability Corporation

NFS

Network File System

NGFW

Next generation firewall, firewall budúcej generácie, s pokročilou funkcionalitou

NIST

National Institute of Standards and Technology

OS

Operačný systém

PCI DSS

Payment Card Industry Data Security Standard

PID

Projektový iniciačný dokument

PZ SR

Policajný Zbor Slovenskej Republiky

RAM

Operačná pamäť

REST

Representational State Transfer

RV

Riadiaci výbor

SAN

Storage Area Network

SATA

Zbernica primárne navrhovaná na prenos dát

SFP

Small Form-factor Pluggable - štandardizovaný modul používaný v telekomunikačných a sieťových technologiách pre pripojenie a komunikáciu medzi rôznymi sieťovými zariadeniami.

SHA

Secure Hash Algorithm

SIEM

Systém pre zber a analýzu bezpečnostnych udalostí vytváraných IT prostriedkami v reálnom čase (Security Information and Event Management)

SIS

Slovenská Informačná Služba

SLA

Service-level agreement 

SMB

Server Message Block

SOC

Security Operation Center - centralizovaná funkcia alebo tím zodpovedný za zlepšovanie organizačnej kybernetickej bezpečnosti postavenie a prevenciu, zisťovanie a reagovanie na hrozby

SOX

Sarbanes–Oxley Act

SQL

Structured Query Language

SSD

Solid state drive

SW

Softvér

SWITCH

Prepínač (angl. switch) alebo sieťový prepínač (angl. network switch) je aktívny prvok počítačovej siete, ktorý spája jej jednotlivé časti. Prepínač slúži ako centrálny prvok v sieťach hviezdicovej topológie.

TB

Terabajt

TLS

Transport Layer Security - metóda ochrany dát odosielaných cez lokálnu sieť alebo sieť WAN

UDP

User Datagram Protocol - UDP protokol prenáša datagramy medzi počítačmi v sieti, ale na rozdiel od TCP nezaručuje, že prenášaný paket sa nestratí, že sa nezmení poradie paketov, ani že sa niektorý paket nedoručí viackrát.

USB

Universal Serial Bus je štandard sériovej zbernice určenej najmä na pripojenie periférií k počítaču.

VLAN

Virtual LAN (Local Area Network) je skupina hostov (počítačov, serverov,...), ktorí spolu komunikujú akoby boli na jednej broadcastovej doméne bez ohľadu na ich fyzickú konektivitu.

VM

Virtual machine – virtuálny stroj (prostredie)

VPN

VPN je počítačová sieť na prepojenie počítačov na rôznych miestach internetu do jednej virtuálnej počítačovej siete.

VPN

Virtuálna privátna site – Virtual private network

WiFi

Wireless Fidelity - bezdrôtová sieť

XDR

Rozšírená detekcia a reakcia je zjednotená platforma pre bezpečnostné incidenty, ktorá používa umelú inteligenciu a automatizáciu. Poskytuje organizáciám holistický a efektívny spôsob ochrany pred pokročilými kybernetickými útokmi a reakcie na takéto útoky.

ZTNA

Zero Trust Network Acces

Z. z.

Zbierka zákonov

2.2 Konvencie pre typy požiadaviek (príklady)

Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu:  FRxx 

  • U          – užívateľská požiadavka 
  • R          – označenie požiadavky 
  • xx          – číslo požiadavky 

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu: NRxx 

  • N           – nefukčná požiadavka (NFR) 
  • R          – označenie požiadavky 
  • xx          – číslo požiadavky 

Ostatné typy požiadaviek môžu byť ďalej definované PM.

3. Popis navrhovaného riešenia

Popis navrhovaného riešenia je uvedený v Projektovom zámere, kap. Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

4. Architektúra riešenia projektu

4.1 Biznis vrstva

Predmetom projektu je riadenie informačnej a kybernetickej bezpečnosti a realizácia opatrení KaIB definovaných najmä v zákonoch č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „Zákon o KB") a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „Zákon o ITVS“) pre hlavný cieľ, ktorým je zvýšenie úrovne kybernetickej a informačnej bezpečnosti Nemocnice s poliklinikou Ilava, n. o.

Predmetom projektu sú primárne tie oblasti, v ktorých žiadateľ identifikoval najnižšiu technickú vybavenosť, najvyššiu mieru rizika, a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s výsledkom auditu kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených Zákonom o KB, Zákonom o ITVS v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.

Jednotlivé biznis funkcie bezpečnostnej architektúry sú znázornené na nasledovnom obrázku.

Obrázok č. 1: Biznis funkcie bezpečnostnej architektúry

Business_vrstva.jpg

4.1.1 Prehľad koncových služieb – budúci stav:

Predmetom projektu nie je budovanie koncových služieb.

4.1.2 Jazyková podpora a lokalizácia

Neaplikuje sa.

4.2 Aplikačná vrstva

V kap. 4.1 (obrázok č. 1) sú definované biznis funkcie KaIB s príslušnými činnosťami. Tieto činnosti realizuje Nemocnica Ilava na základe konzultácií a výsledkov auditu kybernetickej bezpečnosti. Tieto činnosti predstavujú implementáciu softvérových a hardvérových nástrojov na zvýšenie súladu s odporúčanými opatreniami. Aplikačnú architektúru projektu tvoria riešenia pre oblasť informačnej a kybernetickej bezpečnosti, ktoré znázorňuje obrázok č. 2. Bližší popis jednotlivých aplikačných vrstiev uvádzame v podkapitolách nižšie.

Obrázok č. 2: Aplikačná vrstva projektu

Aplikacna_vrstva.jpg

1) Zavedenie segmentácie siete zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§13) – Segmentácia siete a NGFW


    • ====

Segmentácia siete je rozdelenie jednej plochej siete do menších logických segmentov, pričom každý z nich má unikátne poslanie z pohľadu prevádzky a bezpečnosti. Typickými príkladmi sú segmenty pre dátové centrá, web aplikácie, databázy, WiFi siete, tlačiarne, monitoring, špeciálnu (napríklad lekársku) techniku, používateľské, privilegované segmenty, atď. K tvorbe segmentov pristupujeme podľa určitých zásad. Dôležitejšie je venovať úsilie vstupnej analýze potrieb z pohľadu prevádzky a bezpečnosti, ako neskôr odstraňovať systémové chyby, ktoré bránia efektívnym metódam ochrany aplikácií, používateľov a infraštruktúry.

Ochrana perimetra spočíva vo vybudovaní firewallovej infraštruktúry ako vstupnej komunikačnej brány do organizácie. Tu prebieha filtrácia dátovej prevádzky až na úroveň riadenia bezpečnosti pre jednotlivé aplikácie, prípadne privilegované skupiny používateľov. Cieľom vybudovania sofistikovanej vstupnej brány je eliminácia všetkého balastu, ktorý prichádza z Internetu, vrátane odfiltrovania štandardných útokov na vnútornú infraštruktúru. Dôležitým faktorom je vytvorenie bezvýpadkového systému vysokej dostupnosti, ktorý aj pri zlyhaní jedného komponentu automaticky presúva stráženie perimetra na záložný systém.

Segmentáciu siete pri vytváraní ochrany perimetra nazývame demilitarizované zóny, pričom zvolíme takú štruktúru zón, aby sme na firewalle dokázali vytvárať, jednoduché, funkčné pravidlá, ktorých cieľom je zrozumiteľná orientácia a zároveň veľmi efektívna ochrana.

Neoddeliteľnou súčasťou bezpečnosti perimetra sú rozšírené funkcie ako Intrusion Detection a Prevention Systémy, ktoré vás chránia pred mnohými typmi známych hrozieb na základe signatúr útokov. Zabezpečenie perimetra poskytuje ideálny priestor aj na ochranu pred DDoS útokmi, ktoré preťažujú kľúčové aplikačné a databázové servery, čím spôsobujú extrémne dlhé odozvy, prípadne úplnú nedostupnosť systémov.

Navrhované riešenie

Predmetom navrhovaného technického riešenia je nasadenie manažovateľných prepínačov pre oblasť prístupu (access prepínače), oblasť dátového centra (DC a Agregačné prepínače) a segmentácia siete v zmysle všeobecných odporúčaní v súlade s metodikou kybernetickej bezpečnosti. Pre potreby MNG segmentu budú pripojené a prekonfigurované stávajúce switche Aruba, ktoré sú používané v prostredí a parametrovo sú dostatočné pre tento účel. Do novej siete budú premigrovaní užívatelia a všetky technologické zariadenia, ako aj komplet dátové centrum. Segmentované siete budú terminované na nových firewalloch, ktoré budú tvoriť perimetrovú ochranu a switche budú slúžiť na pripojenie infraštruktúry v definovaných segmentoch a poskytovať fyzické porty konfigurovateľné pre jednotlivé segment LAN.

Súčasťou riešenia je taká architektúra aktívnej siete, aby umožňovala zriadenie sekundárneho Datacentra, fyzicky oddeleného od primárneho Datacentra. Tento koncept je štandardom pri návrhu bezpečných sieťových infraštruktúr a umožňuje oddeliť jednotlivé komponenty systémov pri ich plnej dostupnosti. Týmto sa eliminuje riziko incidentu v rámci datacentra (napr. Vytopenie, požiar, porucha na elektroinštalácií) a je umožnená prevádzka z druhého datacentra. Rovnako je toto riešenie vhodné pre umiestnenie záloh na inú fyzickú lokalitu v rámci budovy.

Podrobnejší popis sa nachádza v Projektovom zámere, kapitola Motivácia a rozsah projektu.

2) Zavedenie systému pre zabezpečenie kontinuity prevádzky zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17b) – Zálohovanie a DR


    • ====

V súčasnej dobe, keď Nemocnica Ilava využíva pre zálohovanie časti aplikačno dátovej štruktúry kapacitne nedostatočné cloudové úložisko a neprevádzkuje jednotný centrálny zálohovací systém, môže v prípade kybernetického útoku zameraného na dáta a prevádzku čeliť výzve spojenej s obnovením prevádzky infraštruktúry a informačných systémov. V prípade nedostupnosti konektivity na prevádzkovateľa, nie je možné zálohovanie realizovať a rovnako nie je možná obnova prevádzky v prípade kyber útoku, keďže backup data sú alokované mimo priestorov nemocnice.

Navrhované riešenie

Predmetom navrhovaného technického riešenia je nasadenie samostatného po sieti pripojeného zálohovacieho zariadenia s dostatočnou kapacitou. Toto bude slúžiť ako „backup target“ pre SW riadiaci zálohovanie a slúžiaci rovnako na obnovu záloh (buď na úrovni súborov, alebo na úrovni celých virtuálnych serverov). Riešenie umožňuje aj zabezpečenie funkcionality virtuálneho servera priamo zo zálohovacieho zariadenia pre prípad DR.

Zálohovací SW bude spĺňať nasledovné technické požiadavky:

  • Softvér umožňujúci zálohovanie virtuálnych prostredí
  • Možnosť nasadenia v distribuovanom režime (oddelenie role riadiaceho servera od zálohovacej proxy a úložiska)
  • Požaduje sa nasadenie riadiaceho servera vo virtuálnom serveri s OS MS Windows Server 2022
  • Trvalá (perpetuálna) licencia pre minimálne 12 VM/inštancií
  • Kompatibilita s dodávaným virtualizačným riešením
  • Možnosť zálohovania na lokálne úložisko servera, DAS, SAN (prístup cez FC a iSCSI) alebo NAS (prístup cez NFS a SMB/CIFS) úložisko
  • Obnova celého virtuálneho servera na pôvodnom alebo inom hostiteľovi, vrátane funkcie rýchleho vrátenia späť pre obnovenie iba zmenených blokov
  • Rýchle obnovenie služby pre užívateľa spustením virtuálnych počítačov, u ktorých došlo k chybe, priamo zo súboru zálohy v bežnom úložisku pre zálohovanie
  • Obnovenie jednotlivých súborov VM (napríklad VMX) a virtuálnych diskov
  • Vyhľadávanie a obnova všetkých typov objektov služby AD, napríklad používateľov, skupín, počítačových účtov, kontaktov, vrátane obnovenia užívateľských a počítačových hesiel
  • Okamžitý prehľad o zálohách prostredí Microsoft Exchange 2013 až 2019 pre e-discovery a jednoduché obnovenie jednotlivých položiek servera Exchange (e-maily, schôdzky, poznámky, kontakty atď.), online archivovaných poštových schránkach a natrvalo odstránených položkách
  • Jednoduché obnovenie jednotlivých databáz MS SQL servera a vyhľadávanie databáz a súborov s protokolmi transakcií
  • Rýchle zisťovanie podrobností o zálohách prostredia SharePoint a používanie pokročilých možností vyhľadávania a prehliadania pre rýchlu obnovu jednotlivých položiek prostredia SharePoint
  • Obnovenie jednotlivých objektov akejkoľvek virtualizovanej aplikácie, vrátane databáz Oracle a MySQL, spustením virtuálneho počítača priamo zo súboru zálohy v izolovanom prostredí a s prístupom k aplikácii pomocou natívnych nástrojov pre správu
  • Obnovenie chýbajúcich položiek poštových schránok späť do pôvodnej schránky jediným kliknutím z webového rozhrania
  • Obnovenie jednotlivých databáz späť na pôvodnú alebo nový server SQL jediným kliknutím z webového rozhrania
  • Portál pre obnovenie súborov s automatickou detekciou VM a automatickým delegovaním na základe členstva v skupine miestnych správcov
  • Všetky funkcie obnovenia z rozhrania môžu vykonávať sami užívatelia na základe delegovania jednotlivých VM a skupín VM konkrétnym používateľom alebo skupinám, ako sú pracovníci IT, vlastníci aplikácie, členovia oddelenia atď.
  • Vytváranie konzistentných záloh VM na úrovni bitovej kópie s pokročilým spracovaním a s ohľadom na aplikáciu (vrátane skrátenia protokolu transakcií)
  • Jednoduchšie jednorazové zálohovanie spustených virtuálnych počítačov na účely archivácie
  • Vykonávanie rýchleho prírastkového zálohovania jednotlivých virtuálnych počítačov v rámci existujúcej úlohy zálohovania
  • Umožňuje nastaviť maximálnu prijateľnú úroveň I/O latencie pre produkčné dátové úložiská, aby činnosti zálohovania a replikácie neovplyvňovali dostupnosť úložiska pre produkčné pracovné úlohy
  • Podpora "trvalých prírastkových" záloh, ktoré šetria čas a úložiská
  • Zníženie požiadaviek na úložisko záloh a sieťové prenosy vďaka integrovanej deduplikácii, niekoľkým možnostiam komprimácie pre vyrovnanie obsadenosti úložiska, výkonu a zaťaženia záložného proxy servera, vylúčenie zámen znižuje náročnosť zálohovania a zlepšuje výkon
  • Automatické kopírovanie všetkých alebo len vybraných záloh VM do vybraného úložiska pre zotavenie po havárii, zahŕňa validáciu a opravy pre zaistenie dostupnosti a spoľahlivosti kópií
  • Presun záloh do vzdialeného úložiska vďaka integrovanému, rýchlemu a bezpečnému spôsobu zálohovania do cloudu a obnovovanie z cloudu

Podrobnejší popis sa nachádza v Projektovom zámere, kapitola  Motivácia a rozsah projektu.

3) Zavedenie nástroja pre zabezpečenie zaznamenávania udalostí zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§15) LM + SIEM


    • ====

Stále častejšie globálne sa vyskytujúce bezpečnostné incidenty si môžu vyžadovať dohľadávanie logov aj vo vzdialenejšej minulosti a stále častejšie sú aj požiadavky na ich prípadné poskytovanie ďalším orgánom (PZ SR, SIS, CSIRT,...) pre ďalšiu forenznú analýzu. Naplnenie týchto požiadaviek však súčasné riešenie v prostredí Nemocnice Ilava neumožňuje (resp. umožňuje len pomocou komplikovaných manuálnych postupov), prípadne je možné len s obmedzením, nakoľko si vyžaduje určité znalosti aj prístupy k samotným logom. Samotné vyhľadávanie je komplikované riešené priamo prostriedkami operačného systému, pričom logy nie sú po pridelení týchto prístupov chránené proti manipulácii.

Navrhované riešenie

Vzhľadom na uvedené skutočnosti navrhujeme implementovať centrálny manažment logov, tak aby spĺňal legislatívne požiadavky, požiadavky na dostupnosť, výkonnosť a aby poskytoval dostatočnú úložnú kapacitu pre zbierané logy. Tento centrálny manažment logov musí spĺňať nasledujúce požiadavky:

  • Vysokú dostupnosť a odolnosť voči výpadku jedného komponentu
  • Vzhľadom na použité platformy a technológie musí byt schopný prijímať udalosti prostredníctvom agenta, ale aj bez agenta
  • Musí byt schopný prijímať a spracovávať logy uložené aj do textových súborov a DB tabuliek
  • Musí byt schopný logy z rôznych zdrojov prekladať do jednotnej formy a obohacovať ich prípadne o ďalšie informácie, pričom musí byť zaručená nemennosť prijímaných logov
  • Musí poskytovať rozhranie pre užívateľov s rôznymi úrovňami prístupu
  • Poskytované rozhranie musí umožňovať rýchle vyhľadávanie v logoch a zároveň poskytovať nástroj na podrobné vyhľadávanie a forenzné analýzy.

Riešenie umožní zhromažďovanie, analyzovanie, ukladanie a vytváranie správ o udalostiach v infraštruktúre spoločnosti a takýmto spôsobom umožní žiadateľa chrániť pred hrozbami, útokmi a narušeniami bezpečnosti. Pomocou účinných nástrojov umožní toto riešenie konvertovanie nespracovaných udalostí (LOGov) zo sieťových zariadení, firewallov, serverov, operačných systémov, aplikácií, koncových bodov a ďalších zariadení na použiteľné údaje s možnosťou vyhľadávania. Log manager pomáha splniť požiadavky na monitorovanie súladu s nastavenými pravidlami kybernetickej bezpečnosti a  následná integrácia so SIEM-om, ktorý zabezpečí spracovanie, vyhodnocovanie, korelácie a prediktívne analýzy pre vyššiu úroveň ochrany pred hrozbami.

SIEM a LM ako systém musí poskytovať bezpečnostnému tímu minimálne nasledovné funkcie ako reakciu na incidenty:

  • Reporting a forenznú analýzu bezpečnostných incidentov
  • Upozornenia založené na analýze určitého súboru pravidiel identifikujúcich možný incident
  • Možnosť exportu logov, možnosť kompresie logov, možnosť automatického zálohovania logov na externé úložisko
  • Vykonávanie konsolidácie logov pre efektívne a spoľahlivé fungovanie SIEM
  • Dostupnosť agentov pre zber LOGov z operačných systémov a hypervízorov
  • REST API pre integráciu na SOC

Základné technické vlastnosti systému:

  • Systém na zabezpečenie zhromažďovania, analýzu, archiváciu a spracovanie veľkého objemu sieťových a bezpečnostných LOGov.
  • Analýza sieťových, bezpečnostných zariadení, serverov, operačných systémov, aplikácií, koncových staníc
  • Prehľad o vývoji bezpečnostných hrozieb
  • Reporting bezpečnostných udalostí

Dodatočné vlastnosti systému:

  • Spracovanie veľkého objemu dát
    • Zber dát zo sieťových zariadení, bezpečnostných zariadení, Firewalov, VPN, IDS/IPS, Antivirus systémov, serverov, databáz, mailov a webových aplikácií
    • Analýza a korelácia rôznych logov za účelom posúdenia rizika, potenciálnych útokov, neautorizovaných prístupov, vnútorných narušiteľov
    • Poskytovanie takmer real-time a historiských dát pre potreby reportingu
  • Reporty
    • Vstavané mechanizmy a pravidlá na korelácie a reporty
    • Automatické reporty a vynucovanie politík
    • Podpora štandardov reportov podľa PCI DSS, HIPAA, GLBA, NERC, FERC, SOX a iné
  • Škálovateľnosť
    • Architektúra umožňujúca nasadenie od all-in-one HW až po enterprise riešenia zahŕňajúce mnoho zariadení pre zber dát, ich vyhodnocovanie a manažment
    • Podpora až 16 TB priestoru pre ukladanie archívnych LOGov pre jednu inštanciu
    • Podpora log file integrity checks vrátane NIST Log management Standards SHA (1-256) hashing
    • Podpora indexácie udalostí pre urýchlenie vyhľadávania
  • Podpora Cloud prostredia
    • Zber a manažment LOGov v cloudovej infraštruktúre pre aplikácie, ktoré bežia aj v cloude, aj on -premise.

Základné požiadavky na LM, SIEM riešenie:

  • Retencia údajov:
    • ONLINE - 6 mesiacov
    • OFFLINE/ARCHIVE – 12 mesiacov
  • Kapacita systému:
    • Počet zdrojov logov: 200
    • Počet logov: 700 EPS
  • Objem logov na disku:
    • 3,0 TB ONLINE (6m)
    • 6,0 TB OFFLINE (12m)
  • HW parametre pre server LM+SIEM
    • Prevedenie rack max. 2U
    • Min 1 x CPU Intel Xeon-Gold 6426Y 16C
    • Min 128GB RAM Dual rank x8 DDR5- 4800
    • Min 6 x 960GB SSD
    • Min. 2 x Ethernet 10Gb 2- port SFP+ 4 x 1Gb RJ45
    • Redundandné napájanie
    • 3. ročná podpora od výrobcu
    • Komplet kabeláž na pripojenie k sieti
    • 1 ks Licencia Microsoft Windows Server 2022 Std Edition

4) Zavedenie systému ochrany proti škodlivému kódu v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§12) – XDR


    • ====

V súčasnej dobe je najzraniteľnejším prvkom užívateľ a jeho koncové zariadenie. Tým môže byť PC, notebook, alebo mobilný telefón. Riešením je nasadenie systému rozšírenej ochrany koncových zariadení s inteligentnou automatickou odozvou na hrozby. Produkt by mal obsahovať integráciu na ochranu koncových staníc, ochranu workloadov, mobilných zariadení, spoluprácu s firewallom, integráciu s emailovým systémom a cloudom, integráciu s ZTNA a management riešenia prepojený s manažmentom iných bezpečnostných prvkov (firewall). Pomocou behaviorálnej analýzy a AI odhaľuje skryté útoky a pomáha zvyšovať bezpečnosť celého systému v zmysle všeobecných odporúčaní v súlade s metodikou kybernetickej bezpečnosti.

Navrhované riešenie

Monitorovacia sonda umiestnená na perimetry, sledujúca kompletnú sieťovú komunikáciu

  • SW nástroj na rozšírenú ochranu koncových zariadení pre 80 ks Endpoint
  • SW nástroj na rozšírenú ochranu serverov pre 12 ks Serverov
  • Riešenie kompatibilné s riešením perimetrovej ochrany/ spoločný management
  • Licencia na 3 roky

5) Zavedenie systému riadenia prístupov osôb k sieti zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§8) – NAC 802.1x

Predmetom navrhovaného technického riešenia je nasadenie systému riadenia prístupov k sieti a jej obsahu. Jedná sa o prístup užívateľov, ale aj zariadení. Toto riešenie svojou funkcionalitou autorizuje prístup k definovaným segmentom siete na základe overovania užívateľov/zariadení a garantuje, že sa k sieti nepripojí zariadenie/užívateľ bez oprávnenia. V prípade pokusu o pripojenie neznámeho zariadenia, je toto smerované do “bezpečného, oddeleného” segment siete, aby neprišlo k infiltrácií do produkčnejčasti riešenia. Doplnkom riešenia je zavedenie identifikácie užívateľa otlačkom prsta, čo urýchľuje prihlasovanie a je ho možné využiť ako druhú úroveň pri 2FA autentifikácii.

Nasadenie NAC úzko súvisí s nasadením segmentrácie siete a rozširuje zabezpečenie prostredia pred neoprávneným pripojením k zdrojom siete.

Podrobnejší popis sa nachádza v Projektovom zámere, kapitola Motivácia a rozsah projektu.

Navrhované riešenie

Navrhované riešenie musí podporovať nasledovné oblasti:

Topológia

Riešenie poskytuje vizuálny pohľad na sieťovú infraštruktúru a efektívny reporting pre potreby auditu.

Rozšírená bezpečnosť

Zber údajov o operačných systémoch zariadení poskytuje možnosť rýchlo detekovať a reagovať na útoky všetkch typov v spolupráci s vlastnosťou NAC.

NAC

Prehľad o všetkých pripojených známych aj neznámych zariadenia v sieti, manažment zariadení, real-time detekcia a automatická odpoveď na udalosti.

VLAN manager

Efektívny nástroj na implementáciu a správu statických a dynamických VLAN.

802.1x

Autentifikácia prostredníctvom implementovaného RADIUS servera založeného na MAC adresách, certifikátoch, alebo prihlasovacích údajoch. Mix mód umožňuje integráciu s jestvujúcimi databázami identít.

Guest servis

Inteligentný a dynamický manažment externých/hosťovských zariadení prostredníctvom tiketovacieho systému zabezpečuje dočasný prístup do siete, alebo WiFi.

Funkčné požiadavky:

  • SW nástroj na autentifikáciu 802.1x pre min. 250 MAC adries
  • Inštalácia v HA konfigurácii
  • Inštalácia v jestvujúcom virtuálnom prostredí
  • Overovanie užívateľov voči zariadeniu na platforme otlačkov prstov (80 klientov)

4.2.1 Rozsah informačných systémov – AS IS

Existujúce informačné systémy, ktoré sú využívané v prostredí Nemocnice Ilava v stave AS IS budú využívané v stave TO BE bez zmeny funkcionality. Prehľad IS uvádza tabuľka č. 1 nižšie.

Systém

Popis

MEDICOM

Komplexný  informačný systém, ambulancie  vytvára základné informácie pre účtovanie výkonov ambulancie VLPD

FONS ENTERPRICE ,OPENLIMS

Komplexný  informačný systém, vytvára základné informácie pre účtovanie výkonov nemocnice

LEA UAFALAN

Spracovanie a riadenie účtovníctva

LEA SKLADY

Skladový manažment, evidencia

HUMAN

Personálny a mzdový systém

AMULET

Systém na evidenciu majetku

 4.2.2 Rozsah informačných systémov – TO BE

Predmetom projektu nie je implementácia nových informačných systémov. Existujúce informačné systémy, ktoré sú využívané v prostredí Nemocnice Ilava v stave AS IS budú využívané v stave TO BE bez zmeny funkcionality

4.2.3 Využívanie nadrezortných a spoločných ISVS – AS IS

Predmetom projektu nie je využívanie nadrezortných a spoločných ISVS.

4.2.4 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE

Predmetom projektu nie je realizácia integrácií.

4.2.5 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE

Predmetom projektu nie je realizácia integrácií.

4.2.6 Aplikačné služby pre realizáciu koncových služieb – TO BE

Predmetom projektu nie je realizácia aplikačných služieb

4.2.7 Aplikačné služby na integráciu – TO BE

Predmetom projektu nie je realizácia integrácií.

4.2.8 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE

Predmetom projektu nie je poskytovanie údajov do IS CSRÚ.

4.2.9 Konzumovanie údajov z IS CSRU – TO BE

Predmetom projektu nie je konzumovanie údajov z IS CSRÚ.

4.3 Dátová vrstva

4.3.1 Údaje v správe organizácie

Predmetom projektu nie je spracovanie, resp. práca s údajmi ako objektmi evidencie.

4.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE

Predmetom projektu nie je spracovanie, resp. práca s údajmi ako objektmi evidencie.    

4.3.3 Referenčné údaje

Projekt nepracuje s referenčnými údajmi

4.3.4 Kvalita a čistenie údajov

Predmetom projektu nie je riešenie kvality a čistenia údajov.

4.3.5 Otvorené údaje

Predmetom projektu nie je riešenie otvorených údajov.

4.3.6 Analytické údaje

Predmetom projektu nie je riešenie analytických údajov.

4.3.7 Moje údaje

Predmetom projektu nie je riešenie témy „Moje údaje“.

4.3.8 Prehľad jednotlivých kategórií údajov

Predmetom projektu nie sú „objekty evidencie“.

4.4 Technologická vrstva

4.4.1 Prehľad technologického stavu - AS IS

Infraštruktúrne prostredie Nemocnice Ilava je v súčasnosti tvorené nasledovnými vrstvami:

  • LAN sieť
    • Štrukturovaná kabeláž v rámci budovy nemocnice
    • Trasy káblov vedené po povrchu, z veľkej časti bez lištových trás (priznané káble)
    • Architektúra fyzickej siete odráža jej postupné dorábanie podľa aktuálnych potrieb, neexistuje centrálny bod s ukončením LAN
    • Jednotlivé časti ukončené v rackoch sú metalicky prepojené v systéme vláčik
    • Neexistujú optické prepoje medzi objektami
    • Zastaralé prvky LAN siete v jednotlivých objektoch nemocnice sú umiestnené v podružných malých rackoch na chodbách, bez možnosti zabezpečenia voči neoprávnenému prístupu.
    • Celkovo je kabeláž v havarijnom stave a v súčastnosti prebieha process, ktorý by umožnil generálne vyriešenie tohoto stavu a realizáciu komplet novej štrukturovanej kabeláže v súlade s požiadavkami.
  • Perimeter a pripojenie do Internetu
    • Pripojenie do internetu je realizované optickou linkou (Telekom) a prenajatým základným Firewallom v správe externej spoločnosti
    • Sieť nie je segmentovaná
  • Servre
  • 9 existujúcich fyzických serverov s inštalovanými OS MS Windows server 2008-2020 odhadovaným vekom do 5 rokov, v súčastnosti je kapacita dostatočná pre prevádzku požadovaných systémov.
  • Nemocničný informačný systém

    • Zálohovanie je realizované iba čiastočne do plateného cloudového úložiska s obmedzenou kapacitou a nedostatočnými službami v prípade obnovy prevádzky zo záloh.* Užívatelia
    • Cca 80 užívateľov pripojených do siete s identitami v MS AD
    • Ochrana koncových staníc – Eset Antivirus (končiace predplatné)

4.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE

Parameter

Jednotky

Predpokladaná hodnota

Poznámka

Počet interných používateľov

Počet

80

PC/Notebooky

Počet súčasne pracujúcich interných používateľov v špičkovom zaťažení

Počet

90

PC/Notebooky

Počet externých používateľov (internet)

Počet

0

 

Počet externých používateľov používajúcich systém v špičkovom zaťažení

Počet

0

 

Počet transakcií (podaní, požiadaviek) za obdobie

Počet/obdobie

Neaplikuje sa

 

Objem údajov na transakciu

Objem/transakcia

Neaplikuje sa

 

Objem existujúcich kmeňových dát

Objem

Neaplikuje sa

 

4.4.3 Návrh riešenia technologickej architektúry

Nová infraštruktúra by mala spĺňať nároky vyplývajúce so zákona o kybernetickej bezpečnosti a umožňovať prevádzkovať existujúce systémy. Návrhom je :

  • Zavedenie segmentácie siete zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§13) – Segmentácia siete a NGFW
  • Zavedenie systému pre zabezpečenie kontinuity prevádzky zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17b) – Zálohovanie a DR
  • Zavedenie nástroja pre zabezpečenie zaznamenávania udalostí zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§15) LM + SIEM
  • Zavedenie systému ochrany proti škodlivému kódu v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§12) – XDR
  • Zavedenie systému riadenia prístupov osôb k sieti zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§8) – NAC 802.1x

Schematický nákres riešenia technologickej architektúry znázorňuje obrázok č. 3 a 4 nižšie.

Obrázok č. 3: Náhľad technologickej architektúry siete LAN

Technologicka_architektura_siete_LAN.jpg

Obrázok č. 4: Náhľad technologickej architektúry systémov

 Technologicka_architektura_systemov.jpg

Vyššie definované riešenia budú nevyhnutne potrebovať pre svoju správnu funkcionalitu realizáciu nasledovných technologických riešení:

1) Zavedenie segmentácie siete zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§13) – Segmentácia siete a NGFW

A) Dodávka, montáž a konfigurácia switchov v rozsahu:

21 ks manažovateľný prepínač 24 PoE portov 1GbE, 4 porty 1 GbE SFP v modulárnej šachte určených pre ACCESS vrstvu

  • Switching bandwidth min. 56 Gbps
  • Forwarding bandwidth min. 28 Gbps
  • MAC addresses min. 16000
  • Active VLANs – 256
  • Jumbo eth. Frame – 10.240 bytes
  • DRAM – 512 MB
  • Flash memory – 256 MB
  • Konzolový port RJ45
  • Bez ventilátora
  • 3 roky záruka 8x5NBD

2 ks manažovateľný prepínač 24 SFP portov 1GbE, 8 portov 1/10 GbE SFP+ v modulárnej šachte určených pre CORE vrstvu

  • Switching kapacity min. 208 Gbps
  • Forwarding rate min. 154 Mpps
  • MAC addresses min. 32000
  • VLAN Ids – 4096
  • Jumbo eth. Frame – 9.198 bytes
  • DRAM – 8 GB
  • Flash memory – 16 GB
  • Konzolový port RJ45
  • Kapacita stacku – 480 Gbps
  • 2x Zdroj hot plug
  • Stack 480 Gbps
  • 3 roky záruka 8x5NBD

4 ks manažovateľný prepínač 24 portov 1GbE, 8 portov 1/10 GbE SFP+ v modulárnej šachte určených pre DC vrstvu

  • Switching kapacity min. 208 Gbps
  • Forwarding rate min. 154 Mpps
  • MAC addresses min. 32000
  • VLAN Ids – 4096
  • Jumbo eth. Frame – 9.198 bytes
  • DRAM – 8 GB
  • Flash memory – 16 GB
  • Konzolový port RJ45
  • Kapacita stacku – 480 Gbps
  • 2x Zdroj hot plug
  • Stack 480 Gbps
  • 3 roky záruka 8x5NBD

SFP a káble:

  • 90 ks GBIC 1GbE optical
  • 16 ks GBIC 10GbE optical
  • 106 ks Optical patch cords LC-LC 3m

B) Dodávka, montáž a konfigurácia firewallov v rozsahu:

2 ks next-gen firewall

  • Klástrovaná jednotka pozostávajúca z dvoch zariadení
  • Podpora – Firewall, Clientless VPN, HA active-standby

Licencie na 5 rokov pre:

  • Sieťová ochrana – TLS 1.3 Inspection, Deep Packet Inspection, IPS, ATP
  • WEB ochrana, Zero Day Protection, Cloud sandboxing
  • Centrálna správa

Minimálny výkon:

  • FW 000 Mbps
  • NGFW 200 Mbps
  • Threat Protection 1.250 Mbps
  • IPS 000 Mbps
  • 8x GE, min. 2x SFP
  • RPS
  • Latencia pre 64 Byte UDP 6 µs

2) Zavedenie systému pre zabezpečenie kontinuity prevádzky zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17b) – Zálohovanie a DR

  • Dodávka, montáž a implementácia HW zariadenia na zálohovanie
    • Prevedenie rack 2U
    • CPU min. 2,2 Ghz, 4C
    • RAM min. 8 GB
    • Pozície na HDD 8x SATA,
    • Porty 4x GbE, 2x USB 3.0, 1x eSATA
    • Redundandný zdroj napájania
    • Min . 8x 4 TB HDD
    • 3 ročná podpora od výrobcu
    • Nastavenie backup politík
  • Implementácia SW na zálohovanie
    • Softvér umožňujúci zálohovanie virtuálnych prostredí
    • Možnosť nasadenia v distribuovanom režime (oddelenie role riadiaceho servera od zálohovacej proxy a úložiska)
    • Požaduje sa nasadenie riadiaceho servera vo virtuálnom serveri s OS MS Windows Server 2022
    • Trvalá (perpetuálna) licencia pre minimálne 10 VM/inštancií
    • Kompatibilita s dodávaným virtualizačným riešením
    • Možnosť zálohovania na lokálne úložisko servera, DAS, SAN (prístup cez FC a iSCSI) alebo NAS (prístup cez NFS a SMB/CIFS) úložisko
    • Obnova celého virtuálneho servera na pôvodnom alebo inom hostiteľovi, vrátane funkcie rýchleho vrátenia späť pre obnovenie iba zmenených blokov
    • Rýchle obnovenie služby pre užívateľa spustením virtuálnych počítačov, u ktorých došlo k chybe, priamo zo súboru zálohy v bežnom úložisku pre zálohovanie
    • Obnovenie jednotlivých súborov VM (napríklad VMX) a virtuálnych diskov
    • Vyhľadávanie a obnova všetkých typov objektov služby AD, napríklad používateľov, skupín, počítačových účtov, kontaktov, vrátane obnovenia užívateľských a počítačových hesiel.
    • Okamžitý prehľad o zálohách prostredí Microsoft Exchange 2013 až 2019 pre e-discovery a jednoduché obnovenie jednotlivých položiek servera Exchange (e-maily, schôdzky, poznámky, kontakty atď.), online archivovaných poštových schránkach a natrvalo odstránených položkách.
    • Jednoduché obnovenie jednotlivých databáz MS SQL servera a vyhľadávanie databáz a súborov s protokolmi transakcií.
    • Rýchle zisťovanie podrobností o zálohách prostredia SharePoint a používanie pokročilých možností vyhľadávania a prehliadania pre rýchlu obnovu jednotlivých položiek prostredia SharePoint.
    • Obnovenie jednotlivých objektov akejkoľvek virtualizovanej aplikácie, vrátane databáz Oracle a MySQL, spustením virtuálneho počítača priamo zo súboru zálohy v izolovanom prostredí a s prístupom k aplikácii pomocou natívnych nástrojov pre správu.
    • Obnovenie chýbajúcich položiek poštových schránok späť do pôvodnej schránky jediným kliknutím z webového rozhrania.
    • Obnovenie jednotlivých databáz späť na pôvodnú alebo nový server SQL jediným kliknutím z webového rozhrania.
    • Portál pre obnovenie súborov s automatickou detekciou VM a automatickým delegovaním na základe členstva v skupine miestnych správcov.
    • Všetky funkcie obnovenia z rozhrania môžu vykonávať sami užívatelia na základe delegovania jednotlivých VM a skupín VM konkrétnym používateľom alebo skupinám, ako sú pracovníci IT, vlastníci aplikácie, členovia oddelenia atď.
    • Vytváranie konzistentných záloh VM na úrovni bitovej kópie s pokročilým spracovaním a s ohľadom na aplikáciu (vrátane skrátenia protokolu transakcií).
    • Jednoduchšie jednorazové zálohovanie spustených virtuálnych počítačov na účely archivácie.
    • Vykonávanie rýchleho prírastkového zálohovania jednotlivých virtuálnych počítačov v rámci existujúcej úlohy zálohovania.
    • Umožňuje nastaviť maximálnu prijateľnú úroveň I/O latencie pre produkčné dátové úložiská, aby činnosti zálohovania a replikácie neovplyvňovali dostupnosť úložiska pre produkčné pracovné úlohy.
    • Podpora "trvalých prírastkových" záloh, ktoré šetria čas a úložiská.
    • Zníženie požiadaviek na úložisko záloh a sieťové prenosy vďaka integrovanej deduplikácii, niekoľkým možnostiam komprimácie pre vyrovnanie obsadenosti úložiska, výkonu a zaťaženia záložného proxy servera, vylúčenie zámen znižuje náročnosť zálohovania a zlepšuje výkon.
    • Automatické kopírovanie všetkých alebo len vybraných záloh VM do vybraného úložiska pre zotavenie po havárii, zahŕňa validáciu a opravy pre zaistenie dostupnosti a spoľahlivosti kópií.
    • Presun záloh do vzdialeného úložiska vďaka integrovanému, rýchlemu a bezpečnému spôsobu zálohovania do cloudu a obnovovanie z cloudu.
  • Server pre zálohovací SW bude implementovaný ako virtuálny server v infraštruktúre objednávateľa

3) Zavedenie nástroja pre zabezpečenie zaznamenávania udalostí zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§15) LM + SIEM

  • Implementácia LM a SIEM do nového prostredia
  • Konfigurácia v rámci virtuálneho prostredia
  • Analýza a nastavenie zdrojov LOGov

1) Retencia údajov:

  • ONLINE - 6 mesiacov
  • OFFLINE/ARCHIVE – 12 mesiacov

2) Kapacita systému:

  • Počet zdrojov logov: 200
  • Počet logov: 700 EPS
  • Objem logov na disku:
    • 3 TB ONLINE (6m)
    • 6 TB OFFLINE (12m)

3) HW parametre pre server LM+SIEM  

  • Prevedenie rack max 2U
  • Min 1 x CPU Intel Xeon-Gold 6426Y 16C
  • Min 128GB RAM Dual rank x8 DDR5- 4800
  • Min 6 x 960GB SSD
  • 2 x Ethernet 10Gb 2- port SFP+ 4 x 1Gb RJ45
  • Redundandné napájanie
  • ročná podpora od výrobcu
  • Komplet kabeláž na pripojenie k sieti
  • 1 ks Licencia Microsoft Windows Server 2022 Std Edition

4) Zavedenie systému ochrany proti škodlivému kódu v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§12) – XDR


    • ====
  • SW nástroj na rozšírenú ochranu koncových zariadení pre 80 ks Endpoint
  • SW nástroj na rozšírenú ochranu serverov pre 12 ks Serverov
  • Nástroj musú byť kompatibilný s riešením perimetrovej ochrany
  • Licencia na 3 roky
  • Dodávka riešenia, inštalácia na zariadenia prostredníctvom GP

5) Zavedenie systému riadenia prístupov osôb k sieti zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§8) – NAC 802.1x


    • ====
  • Dodávka a inštalácia SW nástroja na autentifikáciu 802.1x pre min 250 MAC adries
  • Inštalácia a konfigurácia v HA konfigurácii
  • Implementácia riešenia 802.1x
  • Dodávka čitačiek otlačkov prstov, nastavenie overovanie užívateľov voči zariadeniu na platforme otlačkov prstov (80 klientov)

4.5 Bezpečnostná architektúra

Predmetom projektu je implementácia opatrení pre oblasť informačnej a kybernetickej bezpečnosti, architektúra je uvedená v kap. 4 Architektúra projektu. Navrhovaný projekt a jeho architektúra bude budovaná v súlade s nasledujúcimi právnymi predpismi:

  • Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe
  • Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti
  • Zákon č. 45/2011 Z. z. o kritickej infraštruktúre
  • Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 z. z. o štandardoch pre informačné technológie verejnej správy
  • Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
  • Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov
  • Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27.apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
  • Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

5. Závislosti na ostatné ISVS / projekty

Projekt nie je závislý na iných ISVS, resp. projektoch.

6. Zdrojové kódy

Vlastníkom zdrojových kódov v prípade vývoja SW diela bude NsP Ilava v súlade s platnou legislatívou. Dôležité usmernenia pre oblasť zdrojových kódov sú:

7. Prevádzka a údržba

7.1 Prevádzkové požiadavky

7.1.1 Úrovne podpory používateľov

Podpora používateľov bude realizovaná cez 2 úrovne podpory, s nasledujúcim označením:

  • L1 podpory IS (Level 1, priamy kontakt zákazníka) bude zabezpečovať prevádzka NsP Ilava
  • L2 podpory IS (Level 2, postúpenie požiadaviek od L1) bude zabezpečovaná dodávateľom

Definícia:

  • Podpora L1 (podpora 1. stupňa) - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď.
  • Podpora L2 (podpora 2. stupňa) – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť.
  • Dostupnosť L2 podpory pre IS je 8x5 (8 hodín x 5 dní od 8:00h do 16:00h počas pracovných dní)

7.1.2 Riešenie incidentov – SLA parametre

Označenie naliehavosti incidentu:

Označenie naliehavosti incidentu

Závažnosť  incidentu

Popis naliehavosti incidentu

A

Kritická

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS

B

Vysoká

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému

C

Stredná

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému

D

Nízka

Kozmetické a drobné chyby

 možný dopad:

Označenie závažnosti incidentu

Dopad

Popis dopadu

1

katastrofický

Katastrofický dopad, priamy finančný dopad alebo strata dát,

2

značný

Značný dopad alebo strata dát

3

malý

Malý dopad alebo strata dát

  Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

Matica priority incidentov

Dopad

Katastrofický - 1

Značný - 2

Malý - 3

 

Naliehavosť

Kritická - A

1

2

3

Vysoká - B

2

3

3

Stredná - C

2

3

4

Nízka - D

3

4

4

 Vyžadované reakčné doby:

Označenie priority incidentu

Reakčná doba(1) od nahlásenia incidentu po začiatok riešenia incidentu

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) (2)

Spoľahlivosť (3) (počet incidentov za mesiac)

1

0,5 hod.

4  hodín

1

2

1 hod.

12 hodín

2

3

1 hod.

24 hodín

10

4

1 hod.

Vyriešené a nasadené v rámci plánovaných releasov

Vysvetlivky k tabuľke

(1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L2 a jeho prevzatím na riešenie.

(2) DKVI znamená obnovenie štandardnej prevádzky - čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom (DKVI) sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný uchádzač oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu.

(3) Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident.

(4) Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia majú prioritu 3 a nižšiu. Vzťahujú sa výhradne k dostupnosti testovacieho prostredia. Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite.

Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby:

  • Služby systémovej podpory na požiadanie (nad paušál)
  • Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)

Pre tieto služby budú dohodnuté osobitné parametre dodávky.

7.2 Požadovaná dostupnosť IS:

Popis

Parameter

Poznámka

Prevádzkové hodiny

8 hodín

od 8:00 hod. - do 16:00 hod. počas pracovných dní

Servisné okno

8 hodín

od 8:00 hod. - do 16:00 hod. počas pracovných dní

Dostupnosť produkčného prostredia IS

98,5%

98,5% z 24/7/365  t.j. max ročný výpadok je 66 hod.

Maximálny mesačný výpadok je 5,5 hodiny.

Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L2 v čase od 8:00 hod. - do 16:00 hod. počas pracovných dní).  Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

7.2.1 Dostupnosť (Availability)

Dostupnosť (Availability) je pojem z oblasti riadenia bezpečnosti v organizácii. Dostupnosť znamená, že dáta sú prístupné v okamihu jej potreby. Narušenie dostupnosti sa označuje ako nežiaduce zničenie (destruction) alebo nedostupnosť. Dostupnosť je zvyčajne vyjadrená ako percento času v danom období, obvykle za rok. Očakávaná 98,5 % dostupnosť znamená maximálny výpadok 66 hodín za rok.

7.2.2 RTO (Recovery Time Objective)

Recovery Time Objective (zvyčajne sa požíva skratka RTO) je jeden z ukazovateľov dostupnosti dát. RTO vyjadruje množstvo času potrebné pre obnovenie dát a celej prevádzky nedostupného systému (softvér). Môže byť, v závislosti na použitej technológii, vyjadrené v sekundách, hodinách či dňoch.

  • Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni

7.2.3 RPO (Recovery Point Objective)

Recovery Point Objective (zvyčajne sa požíva skratka RPO) je jeden z ukazovateľov dostupnosti dát. RPO vyjadruje, do akého stavu (bodu) v minulosti možno obnoviť dáta. Inými slovami množstvo dát, o ktoré môže organizácia prísť.

  • Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni

8. Požiadavky na personál

8.1 Personál potrebný na projektové riadenie

Najvyššia úroveň riadenia projektu bude zastúpená v zmysle metodiky riadenia projektov PRINCE2 Riadiacim výborom projektu „RV“, ktorý bude zasadať v nasledovnom zložení:

  • Predseda Riadiaceho výboru
  • Projektový manažér
  • Vlastník procesov
  • Zástupca prevádzky (kľúčový používateľ)
  • Zástupca dodávateľa

Okrem RV bude v rámci projektu zriadený tiež projektový tím žiadateľa, ktorý bude zložený:

  • Manažér kybernetickej a informačnej bezpečnosti
  • Kľúčový používateľ

Riadiaci výbor projektu v kooperácii s projektovým tímom bude zriadený pre účely usmerňovania a riadenia projektu ako celku. Projektový tím bude zodpovedať za celkový úspech projektu a bude zároveň nositeľom zodpovednosti a autority v rámci projektu. Okrem iného bude koordinovať činnosti publicity a informovanosti projektu a zdieľať informácie o projekte smerom k dotknutým osobám „stakeholderom“ a to počas celej doby trvania projektu a počas existencie projektového výboru samotného.

Riadiaci výbor bude schvaľovať najmä nasledovné:

  • Hlavné plány projektu
  • Autorizovať prípadne odchýlky od dohodnutých plánov
  • Bude autorizovať ukončenie všetkých hlavných aktivít projektu (viď časový harmonogram)
  • Bude zodpovedať za zabezpečenie príslušných zdrojov projektu (aj vo vzťahu k dodávateľom)
  • Schvaľuje rolu Projektového manažéra
  • Zodpovedá za schválenie projektovej iniciačnej dokumentácie „PID“
  • Bude zodpovedať za celkové usmerňovanie projektu (sledovanie projektu v rámci tolerancií)
  • Bude prehodnocovať ukončené etapy a schvaľovať prechody do ďalších etáp (aplikovateľné práve na podmienky prístupu „waterfall“...
  • Na konci projektu bude zabezpečovať, aby boli produkty odovzdané uspokojivo
  • Bude zodpovedať za schválenie/akceptáciu výstupov a schválenie záverečnej správy (preberacie protokoly, akceptácia predmetu projektu...).

Projektový tím bude zabezpečovať samotnú realizáciu projektu v kooperácii s dodávateľom a pripravovať potrebné dokumenty k schváleniu riadiacim výborom.

ID

Meno a Priezvisko

Pozícia

Oddelenie

Rola v projekte

1.

Ing. Juraj Beďatš

Riaditeľ NsP Ilava

Riaditeľ nemocnice

Predseda RV

2.

Ing. Martina Cepková

Vlastník procesov

Hospodársko - technická správa

Vlastník procesov/člen RV

3.

Bc. Dagmar Bitterová

Kľúčový používateľ

Hospodársko - technická správa

Zástupca prevádzky (kľúčový používateľ)/člen RV a člen projektového tímu

4.

Vybratý v rámci VO

Zástupca dodávateľa

dodávateľ

Člen RV bez hlasovacieho práva

5.

Vybratý v rámci VO

Projektový manažér

dodávateľ

Projektový manažér/člen RV bez hlasovacieho práva

6.

Ing. Róbert Jankech

Manažér informačnej bezpečnosti

Hospodársko - technická správa

Manažér kybernetickej a informačnej bezpečnosti (člen projektového tímu)

Podrobnejšie informácie o projektovom tíme sa nachádzajú v Projektovom zámere, v kapitole 9. PROJEKTOVÝ TÍM.

8.2 Personál potrebný na zabezpečenie TO BE procesu

Realizáciou projektu nepredpokladáme potrebu navýšenia súčasného stavu personálu zabezpečujúceho chod IS nemocnice. Chod implementovaných riešení bude zabezpečovaný súčasným personálom a v prípade nutnosti odborných zásahov bude prevádzka zabezpečená dodávateľom v zmysle platnej SLA, viď informácie uvedené v kapitole 7. PREVÁDZKA A ÚDRŽBA.

9. Implementácia a preberanie výstupov projektu

Projekt bude realizovaný metódou Waterfall. Tento prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projektu. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktoré majú jasný cieľ a jasne definovateľný postup a rozdelenie prác. Výstupy projektu akceptuje riadiaci výbor projektu bližšie informácie sú uvedené v Projektovom zámere, časť 9 – Projektový tím).

10. Prílohy

Príloha č. 1 Zoznam rizík a závislostí

Príloha č. 2 Katalóg požiadaviek