Wiki zdrojový kód pre I-03 Prístup k projektu (pristup_k_projektu)
Version 31.4 by Lucia Klegová on 2025/04/07 14:50
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | **PRÍSTUP K PROJEKTU** | ||
| 2 | |||
| 3 | **podľa vyhlášky MIRRI č. 401/2023 Z. z. ** | ||
| 4 | |||
| 5 | |||
| 6 | |||
| 7 | |Povinná osoba|Ministerstvo práce, sociálnych vecí a rodiny Slovenskej republiky | ||
| 8 | |Názov projektu|Projekt implementácie HW/SW pre ŽS MPSVR SR | ||
| 9 | |Zodpovedná osoba za projekt|Ing. Ján Kovaľ | ||
| 10 | |Realizátor projektu|MPSVR SR | ||
| 11 | |Vlastník projektu|MPSVR SR | ||
| 12 | |||
| 13 | **Schvaľovanie dokumentu** | ||
| 14 | |||
| 15 | |Položka|Meno a priezvisko|Organizácia|Pracovná pozícia|Dátum|((( | ||
| 16 | Podpis | ||
| 17 | |||
| 18 | (alebo elektronický súhlas) | ||
| 19 | ))) | ||
| 20 | |Vypracoval|((( | ||
| 21 | Mgr. Brza Branislav | ||
| 22 | |||
| 23 | Mgr. Norbert Jakus | ||
| 24 | )))|((( | ||
| 25 | MPSVR SR | ||
| 26 | |||
| 27 | MPSVR SR | ||
| 28 | )))|((( | ||
| 29 | Riaditeľ odboru riadenia IKT | ||
| 30 | |||
| 31 | Programový manažér POO - ŽS | ||
| 32 | )))|30.10.2024| | ||
| 33 | |||
| 34 | 1. História dokumentu | ||
| 35 | |||
| 36 | |Verzia|Dátum|Zmeny|Meno | ||
| 37 | |1.0|21.11.2024|((( | ||
| 38 | Po internom pripomienkovaní MPSVR SR | ||
| 39 | |||
| 40 | I-03_PRISTUP_k_PROJEKTU_Projekt_imp_HWSW_ZS_MPSVR_241121_fin_v1.0 | ||
| 41 | )))| Ing. Ján Kovaľ | ||
| 42 | | | | | | ||
| 43 | | | | | | ||
| 44 | | | | | | ||
| 45 | |||
| 46 | 2. Účel dokumentu | ||
| 47 | |||
| 48 | 2.1 Použité skratky a pojmy | ||
| 49 | |||
| 50 | |**ID**|**SKRATKA**|**POPIS** | ||
| 51 | |1.|DSL|Definitive Software Library (ITIL) – zoznam SW, ktorý je možné/povolené používať v prostredí organizácie (s priradenými identifikačnými kódmi) | ||
| 52 | |2.|Automatizovaný spôsob|Ide o spracovanie vstupných dát v štruktúrovanej forme na základe nadefinovanej procedúry alebo scriptu. Spustenie spracovania môže byť naplánované ako opakovaná činnosť, alebo vyvolaná jednorazovou činnosťou (napr. uzavretie tiketu) | ||
| 53 | |3.|FT|Fix Time - Maximálna doba, do ktorej nahlásená vada musí byť odstránená a služba poskytovaná podľa dohodnutých parametrov | ||
| 54 | |4.|FŠ|Funkčná špecifikácia (dokument, popisujúci kontext pre využitie riešenia s jeho funkčnými požiadavkami) | ||
| 55 | |5.|HW/Cloud|Hardvér / Cloud | ||
| 56 | |6.|IKT|Informačno-komunikačné technológie (organizácie) | ||
| 57 | |7.|IdM|Identity Manager | ||
| 58 | |8.|IS|Informačný systém | ||
| 59 | |9.|IT ROLA|Rola, ktorá definuje prístup do IS alebo definuje využívanie IT zdrojov | ||
| 60 | |10.|RT|Response Time - Maximálna doba, počas ktorej je dodávateľ povinný reagovať na podnet objednávateľa (napr. incident, požiadavku) | ||
| 61 | |11.|SD|Service Desk | ||
| 62 | |12.|SDM|Service Desk Manager | ||
| 63 | |13.|SLA|Service Level Agreement – dohoda/zmluva o parametroch poskytovania služby | ||
| 64 | |14.|SW|softvér | ||
| 65 | |15.|TŠ|Technická špecifikácia (dokument, popisujúci kontext pre technické začlenenie riešenia do prostredia organizácie, s jeho technickými, integračnými, architektúrnymi a bezpečnostnými požiadavkami) | ||
| 66 | |16.|WF|Workflow = pracovný proces, zobrazený postupnosťou úkonov | ||
| 67 | |17.|PTK/RFI|Predbežná trhová konzultácia/Request for information | ||
| 68 | |18.| MPSVR SR|((( | ||
| 69 | Ministerstvo práce, sociálnych vecí a rodiny Slovenskej Republiky | ||
| 70 | |||
| 71 | Vo viacerých prípadoch skratka MPSVR SR zahŕňa celý rezort MPSVR SR | ||
| 72 | ))) | ||
| 73 | |19.|UPSVAR|Ústredie práce, sociálnych vecí a rodiny | ||
| 74 | |20.|BES|BiZZdesign Enterprise Studio – nástroj na zachytenie architektúry IS | ||
| 75 | |21.|Atos|Dodávateľ Atos IT Solutions and Services s.r.o. | ||
| 76 | |22.|MD|Človekodeň (Manday) | ||
| 77 | |23.|IKT|Informačno–komunikačné technológie | ||
| 78 | |24.|IS|Informačný systém | ||
| 79 | |25.|IS VS|Informačný systém verejnej správy | ||
| 80 | |26.|RSD, IS RSD, RD|Informačný systém Riadenie sociálnych dávok | ||
| 81 | |27.|ISSZ, IS SZ, SZ|Informačný systém služieb zamestnanosti | ||
| 82 | |28.|DMS, EK|Dokument manažment systém, Elektronická podateľňa, Elektronická komunikácia | ||
| 83 | |29.|SOCNET|Privátna sieť medzi MPSVR, ÚPSVAR a UPSVR. | ||
| 84 | |30.|GOVNET|Privátna sieť prevádzkované pre vládne inštitúcie organizáciou NASES | ||
| 85 | |31.|NASES|Národná agentúra pre sieťové a elektronické služby | ||
| 86 | |32.|MIRRI|Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky | ||
| 87 | |33.|EESSI|Electronic Exchange of Social Security Information = Medzinárodný systém elektronickej výmeny údajov o sociálnom zabezpečení | ||
| 88 | |34.|IS EESSI, EESSI-NASK MPSVaR|Národná aplikácia elektronickej výmeny údajov o sociálnom zabezpečení sprostredkúvajúci výmenu informácií cez EESSI na MPSVR | ||
| 89 | |35.|METAIS|Centrálny metainformačný systém verejnej správy | ||
| 90 | |36.|VPM|Voľné pracovné miesta | ||
| 91 | |37.|SOS|Informačný systém SOS | ||
| 92 | |38.|IS CPDI|Centrálna platforma dátovej integrácie (historicky CSRÚ &CIP) | ||
| 93 | |||
| 94 | 2.2 Konvencie pre typy požiadaviek (príklady) | ||
| 95 | |||
| 96 | |**ID**|**SKRATKA**|**POPIS** | ||
| 97 | |1.|U|Užívateľská požiadavka | ||
| 98 | |2.|C|Kapacitné požiadavky procesov | ||
| 99 | |3.|S|Požiadavka na bezpečnosť | ||
| 100 | |4.|O|Prevádzková požiadavka (Operations) | ||
| 101 | |5.|D|Požiadavka na dokumentáciu | ||
| 102 | |||
| 103 | 3. Popis navrhovaného riešenia | ||
| 104 | |||
| 105 | MPSVR prevádzkuje svoje informačné systémy v nasledovných lokalitách: | ||
| 106 | |||
| 107 | * dátové centrum MPSVR – toto dátové centrum je používané pre prevádzku bezpečnostných, komunikačných, archívnych a podporných systémov, | ||
| 108 | * dátové centrum prenajaté – je zmluvne poskytované treťou stranou spolu s infraštruktúrou a jej prevádzkou a bežia z neho kritické informačné systémy, | ||
| 109 | * privátna časť Vládneho cloudu IaaS1 na Kopčianskej ulici v Bratislave, v ktorom bežia niektoré nové systémy poskytujúce služby občanom, | ||
| 110 | * privátna časť Vládneho cloudu IaaS2 v Tajove, v ktorom beží jeden nové systémy poskytujúci služby občanom. | ||
| 111 | |||
| 112 | Koľko je aktuálne (k 31.8.2024) v ktorej lokalite prevádzkovaných IS je na nasledujúcom grafe: | ||
| 113 | |||
| 114 | [[image:Obr.1.png]] | ||
| 115 | |||
| 116 | Obrázok 1: počet ITVS prevádzkovaných v jednotlivých lokalitách | ||
| 117 | |||
| 118 | Pod informačným systémom ITVS, v dokumente rozumieme všetky IS definované v METAIS, ktoré nie sú zrušené alebo prevádzkované formou SaaS, plus spoločnú zdieľanú podpornú infraštruktúru. Počet serverov je na nasledujúcom obrázku: | ||
| 119 | |||
| 120 | [[image:Obr.2.png]] | ||
| 121 | |||
| 122 | Obrázok 2: počet serverov per lokalita | ||
| 123 | |||
| 124 | Celkovo má MPSVR 427 serverov, z toho 23 fyzických (okrem virtualizačných serverov), 258 virtuálnych a 146 poskytovaných formou IaaS. Tri hlavné ITVS, najväčšie a úzko previazané, nad ktorými sú realizované zmeny preZS sú: DMS, RSD a ISSZ. MPSVR postupne pripravuje, alebo už realizuje, ich transformácii na cloudové ITVS avšak stále existuje viacero obmedzení, ktoré tomu v tomto v horizonte 3 rokov bránia. Hlavné sú: | ||
| 125 | |||
| 126 | * Použitím technológie zo začiatku storočia, konkrétne implementácie RMI-IIOP od IBM vo IBM WebSphere Application Server v8, je určujúca limitácia, že všetky komponenty, servery aj klientske stanice, musia byť v rovnakej sieti. Nie je možné použiť NAT alebo ipsec tunely nakoľko zvolená implementácia ich nepodporuje. | ||
| 127 | * Používajú sa fyzické hardvérové PCI HSM karty, ktoré nie je zatiaľ možné nahradiť softvérovým riešením. | ||
| 128 | * Z dôvodu úspory finančných prostriedkov sú virtuálne servery používajúce licenčný softvér od spoločností IBM a Oracle prevádzkované na špeciálnej oddelenej infraštruktúre tak, aby bola možná virtualizácia a v maximálnej miere sa využívali licencie, resp. vyťažil hardvér. Prechodom do cloudu by bolo potrebné dokúpiť licencie v značnom finančnom objeme preto MPSVR naštartovala v dotknutých IS zmenu týchto softvérov na open source verzie. | ||
| 129 | * Veľký objem uložených dokumentov, nakoľko dlhé roky časť úkonov na úrade práce potrebovalo písomné potvrdenia, ktoré sa skenovali a ukladali do DMS, kde zatiaľ nie je prevádzkovaný archivačný systém. Celkový objem dát je 385 TB a záloh 1,3 PB. | ||
| 130 | |||
| 131 | Kritické systémy bežia na vypožičanej infraštruktúre od externého dodávateľa, ktorá zahŕňa jej umiestnenej v prenajatom dátovom centre, pripojenie do internej sieti a prevádzku. Táto situácia, vendor lock-in, limituje rozvoj a zabezpečenie infraštruktúry pre ITVS poskytujúce základné služby rezortu. Kvôli tomuto obmedzeniu nie je možné ani zrealizovať zabezpečenie kontinuity prevádzky. | ||
| 132 | |||
| 133 | Kritické systémy prevádzkované na vypožičanej infraštruktúre sú kľúčové pre plnenie úloh MPSVR. Z 12 základných služieb je na nich prevádzkovaných 8, plus pre 2 ďalšie ISVS sú v nej prevádzkované backend komponenty, úzko previazané so základnými službami. Ide o ISVS pre riadenie sociálnych dávok, služieb zamestnanosti, register klientov, centrálny IDM, podporu detských domov a DMS. Produkčné prostredia týchto systémov budú migrované od externého poskytovateľa do DC1. Ostatné prostredia do DC2. V prípade výpadku niektorej lokality (okrem DC2) budú prostredia v DC2 výkonovo utlmené a na ich mieste spustené ISVS z dotknutej lokality. | ||
| 134 | |||
| 135 | Cieľová architektúra MPSVR počíta v strednodobom horizonte s umiestnením všetky IS do cloudových prostredí a s vybudovaním druhej dostupnej lokality v dátovom centre MPSVR. Primárne v nej budú bezpečnostné, manažovacie, podporné systémy a kópie záloh dát ITVS z ostatných lokalít. MPSVR predpokladá, že tento stav plnohodnotne dosiahne po roku 2028. Navrhovaná aktuálna architektúra preto predpokladá prevádzku IS v cloudových prostrediach a prevádzku infraštruktúry v dvoch lokálnych dátových centrách. | ||
| 136 | |||
| 137 | [[image:Obr.3.png]] | ||
| 138 | |||
| 139 | Obrázok 3: návrh rozmiestnenia infraštruktúry v dátových centrách | ||
| 140 | |||
| 141 | Microsoft Offie 365 je v architektúre uvedený zámerne. MPSVR začína používať aplikácie vybudované nad prostriedkami (Power Apps) poskytovanými týmto cloudovým prostredím. Platforma SharePoint Online je plánovaná ako cieľová platforma pre niektoré aplikácie postavené nad klasickým SharePoint riešením. | ||
| 142 | |||
| 143 | Zabezpečenie vysokej dostupnosti vníma MPSVR v dvoch rovinách: minimalizácia výpadkov komponentov IS použitím štandardných virtualizačných a klastrových technológií v rámci lokality a zabezpečenie pokračovania prevádzky aj v prípade výpadku jedného cloudových prostredí alebo lokálneho dátového centra. Kritické ITVS sú vybudované tak, aby boli v rámci lokality odolné voči výpadku jedného fyzického komponentu. Na výpadok lokality však pripravené nie sú. Nevyhovujúce zabezpečenie kontinuity prevádzky bolo aj súčasťou nálezov auditov kybernetickej bezpečnosti. | ||
| 144 | |||
| 145 | Zabezpečenie dostupnosti v rámci lokality nebudeme podrobnejšie popisovať. Je dosiahnuté použitím štandardných technológií. Aj pre jej zabezpečenie medzi lokalitami je navrhované použiť v maximálne možnej miere štandardné technológie. V niektorých prípadoch, napr. ITVS umiestnené vo Vládnom cloude sú však možnosti limitované. | ||
| 146 | |||
| 147 | Medzi lokalitami budú využité nasledovné štandardné technológie: | ||
| 148 | |||
| 149 | * automatické preklápanie sieťovej komunikácie s ohľadom na dostupnosť služieb, | ||
| 150 | * replikácia dát na úrovni virtualizovaného prostredia, | ||
| 151 | * replikácia dát na úrovni databáz, | ||
| 152 | * replikácia dát na úrovni diskových polí, | ||
| 153 | * zabezpečenie kontajnerizačnej platformy, | ||
| 154 | * obnova dát zo záloh. | ||
| 155 | |||
| 156 | Navrhované riešenia sa snažia v maximálne možnej miere využívať vlastnosti technológie v zabezpečení replikácie, zálohy, kopírovania dát medzi lokalitami. | ||
| 157 | |||
| 158 | |||
| 159 | 4. Architektúra riešenia projektu | ||
| 160 | |||
| 161 | 4.1 Biznis vrstva | ||
| 162 | |||
| 163 | Biznis vrstva sa plánovanými zmenami nemení. | ||
| 164 | |||
| 165 | |||
| 166 | 4.2 Aplikačná vrstva | ||
| 167 | |||
| 168 | Aplikačná vrstva sa plánovanými zmenami nemení. Pre niektoré ITVS bude upravený model nasadenia zohľadňujúci riešenie zabezpečenia kontinuity prevádzky ale tieto zmeny sú minimálne a nemajú vplyv na aplikačnú funkcionalitu ako takú. | ||
| 169 | |||
| 170 | |||
| 171 | 4.2.1 Rozsah informačných systémov – AS IS | ||
| 172 | |||
| 173 | Prevádzky nasledovných informačných systémov uvedených v nasledujúcej tabuľke bude dotknutá realizáciou projektu, a to buď ich zlepšením ich výkonu alebo kapacity migráciou na novú cieľovú infraštruktúru alebo zvýšením ich dostupnosti touto infraštruktúrou alebo vybudovaním riešenia kontinuity ich prevádzky: | ||
| 174 | |||
| 175 | |((( | ||
| 176 | **Kód ISVS** | ||
| 177 | |||
| 178 | //(z MetaIS)// | ||
| 179 | )))|**Názov ISVS**|((( | ||
| 180 | **Modul ISVS** | ||
| 181 | |||
| 182 | //(zaškrtnite ak ISVS je modulom)// | ||
| 183 | )))|**Stav ISVS**|**Typ ISVS**|((( | ||
| 184 | **Kód nadradeného ISVS** | ||
| 185 | |||
| 186 | //(v prípade zaškrtnutého checkboxu pre modul ISVS)// | ||
| 187 | ))) | ||
| 188 | |isvs_274|Informačný systém Dokument management system (DMS)|☐| Vyberte jednu z možností| Agendový| | ||
| 189 | |isvs_10182|Informačný systém EESSI|☐| Vyberte jednu z možností| Agendový| | ||
| 190 | |isvs_8696|Poštový komunikačný systém|☐| Vyberte jednu z možností| Ekonomický a administratívny chod inštitúcie| | ||
| 191 | |isvs_9567|IS FEAD|☐| Vyberte jednu z možností| Agendový| | ||
| 192 | |isvs_8034|INFOS|☐| Vyberte jednu z možností| Ekonomický a administratívny chod inštitúcie| | ||
| 193 | |isvs_8042|Intranet MPSVR SR|☐| Vyberte jednu z možností| Ekonomický a administratívny chod inštitúcie| | ||
| 194 | |isvs_11518|Informačný systém Portál voľné pracovné miesta (VPM)|☒| Vyberte jednu z možností| Agendový| | ||
| 195 | |isvs_278|Informačný systém služieb zamestnanosti (ISSZ)|☐| Vyberte jednu z možností| Agendový|isvs_278 | ||
| 196 | |isvs_8033|Informačný systém sociálnoprávnej ochrany detí a sociálnej kurately (KIDS)|☐| Vyberte jednu z možností| Agendový| | ||
| 197 | |isvs_7946|IS KIDS IP|☒| Vyberte jednu z možností| Agendový|isvs_8033 | ||
| 198 | |isvs_11551|Národná sústava povolaní (NSP)|☐| Vyberte jednu z možností| Agendový| | ||
| 199 | |isvs_6369|Centrálny register klientov (CRK)|☒| Vyberte jednu z možností| Agendový|isvs_279 | ||
| 200 | |isvs_279|Informačný systém riadenia sociálnych dávok (RSD)|☐| Vyberte jednu z možností| Agendový| | ||
| 201 | |isvs_8992|Informačný systém Safe Work (IS SAWO)|☐| Vyberte jednu z možností|Agendový| | ||
| 202 | |isvs_9393|M1 - modul IS SAWO na tvorbu analýz a štatistických prehľadov|☒| Vyberte jednu z možností|Agendový|isvs_8992 | ||
| 203 | |isvs_9395|M2 – modul IS SAWO na tvorbu písomností|☒| Vyberte jednu z možností|Agendový|isvs_8992 | ||
| 204 | |isvs_9396|M3 - modul IS SAWO knižnica|☒| Vyberte jednu z možností|Agendový|isvs_8992 | ||
| 205 | |isvs_9398|M4 – modul IS SAWO verejný portál|☒| Vyberte jednu z možností|Agendový|isvs_8992 | ||
| 206 | |isvs_9397|M5 - integračný modul IS SAWO|☒| Vyberte jednu z možností|Agendový|isvs_8992 | ||
| 207 | |isvs_9399|M6 - modul IS SAWO automatizácia agend a internej spolupráce|☒| Vyberte jednu z možností|Agendový|isvs_8992 | ||
| 208 | |isvs_9400|M7 - modul IS SAWO registre a evidencie|☒| Vyberte jednu z možností|Agendový|isvs_8992 | ||
| 209 | |isvs_9402|M8 - modul IS SAWO správa a podporné funkcie|☒| Vyberte jednu z možností|Agendový|isvs_8992 | ||
| 210 | |isvs_8038|Application Performance Monitoring (CA APM)|☐| Vyberte jednu z možností| Ekonomický a administratívny chod inštitúcie| | ||
| 211 | |isvs_8036|Identity and Access Management (IDM)|☐| Vyberte jednu z možností| Ekonomický a administratívny chod inštitúcie| | ||
| 212 | |isvs_8039|Infraštruktúrny monitoring (Spectrum)|☐| Vyberte jednu z možností| Ekonomický a administratívny chod inštitúcie| | ||
| 213 | |isvs_8037|Service Desk IT MPSVR SR (SD)|☐| Vyberte jednu z možností| Ekonomický a administratívny chod inštitúcie| | ||
| 214 | |isvs_9627|Informačný systém Sociálnych služieb (IS SoS)|☒| Vyberte jednu z možností| Agendový|isvs_279 | ||
| 215 | |isvs_275|Integračná zbernica a SOA Security Gateway (SSG)|☐| Vyberte jednu z možností| Integračný| | ||
| 216 | |isvs_9434|Webové sídlo Národného koordinačného strediska pre riešenie problematiky násilia na deťoch|☐| Vyberte jednu z možností| Prezentačný| | ||
| 217 | |||
| 218 | 4.2.2 Rozsah informačných systémov – TO BE | ||
| 219 | |||
| 220 | Identický so súčasným stavom. | ||
| 221 | |||
| 222 | 4.2.3 Využívanie nadrezortných a spoločných ISVS – AS IS | ||
| 223 | |||
| 224 | Využívanie nadrezortných a spoločných ISVS týmto projektom nie je menené. Služby poskytované jednotlivými ISVS sú publikované pomocou WAF cez sieť GOVNET. Obmena HW komponentov a konfigurácia zabezpečenia kontinuity je z pohľadu nadrezortných a spoločných OSVS transparentná, tzn. nemá dopad na spôsob ich publikovania. | ||
| 225 | |||
| 226 | 4.2.4 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE | ||
| 227 | |||
| 228 | Využívanie nadrezortných a spoločných ISVS týmto projektom nie je menené. Služby poskytované jednotlivými ISVS sú publikované pomocou WAF cez sieť GOVNET. Obmena HW komponentov a konfigurácia zabezpečenia kontinuity je z pohľadu nadrezortných a spoločných OSVS transparentná, tzn. nemá dopad na spôsob ich publikovania. | ||
| 229 | |||
| 230 | 4.2.5 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE | ||
| 231 | |||
| 232 | Obmena HW komponentov a konfigurácia zabezpečenia kontinuity zvýši dostupnosť integračnej platformy MPSVR, ale nemení existujúce integrácie. | ||
| 233 | |||
| 234 | 4.2.6 Aplikačné služby pre realizáciu koncových služieb – TO BE | ||
| 235 | |||
| 236 | Týmto projektom nie je menené. Obmena HW komponentov a konfigurácia zabezpečenia kontinuity nezavádza nové aplikačné služby. | ||
| 237 | |||
| 238 | 4.2.7 Aplikačné služby na integráciu – TO BE | ||
| 239 | |||
| 240 | Týmto projektom nie je menené. Obmena HW komponentov a konfigurácia zabezpečenia kontinuity nezavádza nové aplikačné služby. | ||
| 241 | |||
| 242 | 4.2.8 Poskytovanie údajov z ISVS do IS CPDI – TO BE | ||
| 243 | |||
| 244 | Týmto projektom nie je menené. Obmena HW komponentov a konfigurácia zabezpečenia kontinuity zvýši dostupnosť integračnej platformy MPSVR, ale nemení existujúce integrácie ani poskytovanie údajov z existujúcich ISVS do IS CPDI. | ||
| 245 | |||
| 246 | 4.2.9 Konzumovanie údajov z IS CPDI – TO BE | ||
| 247 | |||
| 248 | Týmto projektom nie je menené. Obmena HW komponentov a konfigurácia zabezpečenia kontinuity zvýši dostupnosť integračnej platformy MPSVR, ale nemení existujúce integrácie ani konzumovanie údajov z IS CPDI. | ||
| 249 | |||
| 250 | |||
| 251 | 4.3 Dátová vrstva | ||
| 252 | |||
| 253 | Dátová vrstva je identická so súčasným stavom. Implementáciou projektu sa nemení. | ||
| 254 | |||
| 255 | 4.3.1 Údaje v správe organizácie | ||
| 256 | |||
| 257 | Týmto projektom nie je menené. Obmena HW komponentov a konfigurácia zabezpečenia kontinuity zvýši zabezpečenie a dostupnosť diskových polí a databáz, v ktorých sú údaje uložené ale nemení ich formát, technológiu uloženia ani prístup k nim. | ||
| 258 | |||
| 259 | 4.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE | ||
| 260 | |||
| 261 | Týmto projektom nie je menené. Obmena HW komponentov a konfigurácia zabezpečenia kontinuity zvýši zabezpečenie a dostupnosť diskových polí a databáz, v ktorých sú údaje uložené ale nemení ich formát, technológiu uloženia ani prístup k nim. | ||
| 262 | |||
| 263 | 4.3.3 Referenčné údaje | ||
| 264 | |||
| 265 | Týmto projektom nie je menené. Obmena HW komponentov a konfigurácia zabezpečenia kontinuity zvýši zabezpečenie a dostupnosť diskových polí a databáz, v ktorých sú údaje uložené ale nemení ich formát, technológiu uloženia ani prístup k nim. | ||
| 266 | |||
| 267 | 4.3.4 Kvalita a čistenie údajov | ||
| 268 | |||
| 269 | Týmto projektom nie je menené. Obmena HW komponentov a konfigurácia zabezpečenia kontinuity zvýši zabezpečenie a dostupnosť diskových polí a databáz, v ktorých sú údaje uložené ale nemení ich formát, technológiu uloženia ani prístup k nim. | ||
| 270 | |||
| 271 | 4.3.5 Otvorené údaje | ||
| 272 | |||
| 273 | Týmto projektom nie je menené. Obmena HW komponentov a konfigurácia zabezpečenia kontinuity zvýši zabezpečenie a dostupnosť diskových polí a databáz, v ktorých sú údaje uložené ale nemení ich formát, technológiu uloženia ani prístup k nim. | ||
| 274 | |||
| 275 | 4.3.6 Analytické údaje | ||
| 276 | |||
| 277 | Týmto projektom nie je menené. Obmena HW komponentov a konfigurácia zabezpečenia kontinuity zvýši zabezpečenie a dostupnosť diskových polí a databáz, v ktorých sú údaje uložené ale nemení ich formát, technológiu uloženia ani prístup k nim. | ||
| 278 | |||
| 279 | 4.3.7 Moje údaje | ||
| 280 | |||
| 281 | Týmto projektom nie je menené. Obmena HW komponentov a konfigurácia zabezpečenia kontinuity zvýši zabezpečenie a dostupnosť diskových polí a databáz, v ktorých sú údaje uložené ale nemení ich formát, technológiu uloženia ani prístup k nim. | ||
| 282 | |||
| 283 | 4.3.8 Prehľad jednotlivých kategórií údajov | ||
| 284 | |||
| 285 | Týmto projektom nie je menené. Obmena HW komponentov a konfigurácia zabezpečenia kontinuity zvýši zabezpečenie a dostupnosť diskových polí a databáz, v ktorých sú údaje uložené ale nemení ich formát, technológiu uloženia ani prístup k nim. | ||
| 286 | |||
| 287 | |||
| 288 | 4.4 Technologická vrstva | ||
| 289 | |||
| 290 | 4.4.1 Prehľad technologického stavu - AS IS | ||
| 291 | |||
| 292 | V infraštruktúre sa celkovo používajú nasledovné technológie: | ||
| 293 | |||
| 294 | * fyzické servery s architektúrou procesorov x86, x64 a IBM Power | ||
| 295 | * VMware vSphere 7 | ||
| 296 | * operačné systémy Windows Server 2008 R2 a novšie, Linux 6 a novšie | ||
| 297 | * Microsoft SQL Server 2012 a novšie | ||
| 298 | * Oracle Database 19c | ||
| 299 | * PstgreSQL 11 a novšie | ||
| 300 | * IBM WebSphere Application Server Network Deployment 8.5.5 | ||
| 301 | * Red Hat JBoss 7 a Red Hat WildFly 11 a novšie | ||
| 302 | * IBM Cognos Business Intelligence 10.2 | ||
| 303 | * Red Hat OpenShift 4 | ||
| 304 | |||
| 305 | 4.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE | ||
| 306 | |||
| 307 | V nasledujúcej tabuľke sú predpokladané parametre pre ŽS: | ||
| 308 | |||
| 309 | |**Parameter**|**Jednotky**|**Predpokladaná hodnota**|**Poznámka** | ||
| 310 | |Počet interných používateľov|Počet|11 000| | ||
| 311 | |Počet súčasne pracujúcich interných používateľov v špičkovom zaťažení|Počet|9 500| | ||
| 312 | |Počet externých používateľov (internet)|Počet|TBD|Odhadovaný nárast o 30% oproti AS-IS stavu | ||
| 313 | |Počet externých používateľov používajúcich systém v špičkovom zaťažení|Počet|TBD|Odhadovaný nárast o 30% oproti AS-IS stavu | ||
| 314 | |Počet transakcií (podaní, požiadaviek) za obdobie|Počet/obdobie|6 100 000 / ročne| | ||
| 315 | |Objem údajov na transakciu|Objem/transakcia|64kB| | ||
| 316 | |Objem existujúcich kmeňových dát|Objem|Fyzické a právnické osoby| | ||
| 317 | |||
| 318 | Pri návrhu výkonu a kapacity sa vychádzalo zo súčasného stavu nakoľko modifikácia súčasných systémov, resp. prechod z manuálnych činností na automatizované, zásadne nezmení mieru ich vyťaženia. | ||
| 319 | |||
| 320 | MPSVR plánuje infraštruktúru v lokálnych dátových centrách minimalizovať, ale v tomto momente sa nevie zatiaľ vyhnúť jej potrebe. Cieľovým stavom v krátkodobom horizonte je preto hybridná infraštruktúra, skladajúca sa z viacerých Vládnych cloudov a dvoch lokálnych dátových centier, označovaných v tomto dokumente ako DC1 a DC2. | ||
| 321 | |||
| 322 | Informačné systému sú prevádzkované vo Verejných cloudoch a DC1. DC2 má dve úlohy: | ||
| 323 | |||
| 324 | 1. poskytuje pre produkčné prostredia IS vo VC a DC1 dostatočný výkon a kapacitu pre prevádzku v prípade zlyhania niektorého z primárnych centier, | ||
| 325 | 1. poskytuje dostatočný výkon a kapacitu pre mnohé používané systémy pre správu a bezpečnosť infraštruktúry, primárne koncových staníc a užívateľov. | ||
| 326 | |||
| 327 | Principiálne by väčšina systémov z bodu 2 mohla ležať aj vo Vládnom cloude ale z podstaty svojej činnosti narábajú s väčšími objemami dát, ktoré distribuujú užívateľom, majú špecifické požiadavky na sieťové linky a je odporúčané ich prevádzkovať na rovnakej vysoko priepustnej privátnej sieti ako sú koncové zariadenia užívateľov. | ||
| 328 | |||
| 329 | V zmysle plánov koncepcie uvažovanej MPSVR, DC1 po presťahovaní všetkých IS do cloudového prostredia časom zanikne. Predbežne sa s tým počíta niekedy po roku 2028. Aby bola infraštruktúra v DC1 čo najmenšia, architektúra riešenia počíta s tým, že bude obsahovať len produkčné prostredia IS, ktoré zatiaľ nemôžu alebo s ešte len transformujú do cloudového prostredia. Testovacie prostredia budú umiestnené v DC2 a v prípade potreby, resp. výpadku niektorého z cloudou alebo DC1, budú automaticky prednastavenými prioritami obmedzené tak, aby bola z DC2 možná plnohodnotná prevádzka produkčných prostredí. | ||
| 330 | |||
| 331 | 4.4.2.1 Výkon a kapacita infraštruktúry DC1 | ||
| 332 | |||
| 333 | V DC1 musí byť prevádzkované to, čo je dnes pre IS poskytované v produkčných prostrediach externého poskytovateľa prevádzky a MPSVR. Plus potrebná zdieľaná infraštruktúra ako Active Directory kontroléri, monitoring a pod. Pre nárast výkonu a kapacity v najbližších rokoch odhadujeme nasledovné pravidlá: | ||
| 334 | |||
| 335 | * potrebný výkon cpu bude rásť najbližšie 3 roky o 5% a potom, vďaka postupnej migrácii IS do cloudov, bude postačovať na ďalšie 3 roky, | ||
| 336 | * potrebná kapacita pamäte bude rásť najbližšie 3 roky o 5% a potom, vďaka postupnej migrácii IS do cloudov, bude postačovať na ďalšie 3 roky, | ||
| 337 | * potrebná kapacita diskového priestoru bude rásť najbližšie 3 roky o 10% a potom, vďaka postupnej migrácii IS do cloudov, bude postačovať na ďalšie 3 roky. | ||
| 338 | |||
| 339 | Predpokladá sa, že spoločná infraštruktúra v DC1 bude veľmi podobná dnešnej prevádzkovanej u externého poskytovateľa prevádzky. V sumáre je potom možné definovať nároky nasledovne: | ||
| 340 | |||
| 341 | |**Lokalita / produkčné prostredie**|**Jadrá**|**Pamäť**|**Disk OS**|**Disk A**|**Disk B**|**Disk C** | ||
| 342 | |Externý poskytovateľ prevádzky| 834|6,2 TB|14,0 TB|50,0 TB|1,2 TB|385,0 TB | ||
| 343 | |Dátové centrum MPSVR| 103|0,5 TB|1,5 TB|0,0 TB|15,0 TB|0,0 TB | ||
| 344 | |Spoločná infraštruktúra| 126|1,4 TB|2,0 TB|0,0 TB|0,5 TB|0,5 TB | ||
| 345 | |Spolu| 1 063|8,1 TB|2,0 TB|50,0 TB|16,7 TB|385,5 TB | ||
| 346 | |Za 6 rokov| 1 172|9,0 TB|3,0 TB|61,0 TB|21,0 TB|467,0 TB | ||
| 347 | |||
| 348 | Tieto údaje sú kumulované z rôznych typov výkonu. Zároveň existuje niekoľko limitácií: | ||
| 349 | |||
| 350 | * odporúčaná architektúra poštového systému je iná, kapacitne náročnejšia, ako dnes prevádzkovaná, | ||
| 351 | * je nutné dodržať licenčné obmedzenia vyplývajúce z použitého softvéru od spoločnosti IBM, Microsoft a Oracle, | ||
| 352 | * aplikačné a databázové servery DMS požadujú vysoký výkon a špecifické kapacity. | ||
| 353 | |||
| 354 | Sumárny pohľadu uvedený v tabuľke vyššie je preto nedostatočný. V architektúre sa počíta pre systémy s nasledovnými typmi serverov: | ||
| 355 | |||
| 356 | * virtualizačné, alebo hyper-konvergované servery pre moderné aplikácie, | ||
| 357 | * virtualizačné, alebo hyper-konvergované servery pre legacy aplikácie, | ||
| 358 | * virtualizačné servery spĺňajúci licenčné podmienky IBM, | ||
| 359 | * virtualizačné servery spĺňajúci licenčné podmienky Oracle, | ||
| 360 | * server pre MS Exchange, | ||
| 361 | * zálohovací server, | ||
| 362 | * analytický server. | ||
| 363 | |||
| 364 | V nasledujúcej tabuľke je počet typov serverov, počet ich jadier a prepočet podľa oversubsription parametra na výsledný počet zahŕňajúcich jadier: | ||
| 365 | |||
| 366 | |**Typ servera**|**Počet ks**|**1 ks CPU**|**Spolu CPU**|**Alokácia**|**Spolu** | ||
| 367 | |HCI Server - bežná prevádzka| 6| 44| 264|4:1| 1 056 | ||
| 368 | |HCI Server - vysoký výkon| 2| 32| 64|1:1| 64 | ||
| 369 | |Server pre systém elektronickej pošty| 2| 48| 96|1:1| 96 | ||
| 370 | |Server pre Oracle databázy| 2| 16| 32|1:1| 32 | ||
| 371 | |Server pre reportovacie nástroje| 1| 8| 8|1:1| 8 | ||
| 372 | |Server pre dátovú analytiku| 1| 56| 56|1:1| 56 | ||
| 373 | |Server pre zálohovanie| 1| 16| 16|1:1| 16 | ||
| 374 | |Spolu| 15| | 536| | 1 328 | ||
| 375 | |||
| 376 | V ideálnom prípade by vyťaženosť v bežnej prevádzke mala byť 80%, tzn. malo by byť vyťažených 1 062 jadier, čo pasuje so spočítanými požiadavkami. A pre definované typy serverov a ich počet je v nasledujúcej tabuľke predpokladaná veľkosť pamäte, pričom je pre jednotlivý typ servera definované HA, tzn. koľko serverov môže zlyhať aby stále bolo dostatok pamäte: | ||
| 377 | |||
| 378 | |**Typ servera**|**Počet ks**|**1 ks MEM**|**Spolu MEM**|**HA**|**Spolu** | ||
| 379 | |HCI Server - bežná prevádzka| 6|2,0 TB|12,0 TB|1|10,0 TB | ||
| 380 | |HCI Server - vysoký výkon| 2|1,0 TB|2,0 TB|1|1,0 TB | ||
| 381 | |Server pre systém elektronickej pošty| 2|0,3 TB|0,5 TB|0|0,5 TB | ||
| 382 | |Server pre Oracle databázy| 2|1,0 TB|2,0 TB|0|2,0 TB | ||
| 383 | |Server pre reportovacie nástroje| 1|0,3 TB|0,3 TB|0|0,3 TB | ||
| 384 | |Server pre dátovú analytiku| 1|0,5 TB|0,5 TB|0|0,5 TB | ||
| 385 | |Server pre zálohovanie| 1|0,3 TB|0,3 TB|0|0,3 TB | ||
| 386 | |Spolu| 15| |17,5 TB| |14,5 TB | ||
| 387 | |||
| 388 | Server by mal mať v bežnej prevádzke ideálne zaplnenú pamäť na 80%, takže celková veľkosť pamäte je 11,6TB. V konfigurácii je vyššie kapacita z dôvodu, že aktuálne je ešte 116 server s operačným systémom starším ako Windows Server 2016, s celkovou kapacitou 3,75 TB. Prechodom na novší operačný systém sa bude musieť ich pamäť zvýšiť z dôvodu systémových požiadaviek v priemer o 50%, čo vychádza následne celková pamäť na 11,8 TB s rezervou pri 80% vyťažení. | ||
| 389 | |||
| 390 | Potrebná disková kapacita je definovaná v tabuľke vyššie. V prostredí MPSVR sa používajú 3 druhy diskových priestorov (kedysi to boli aj samostatné diskové polia, dnes sú to už len fyzickými diskami oddelené skupiny): | ||
| 391 | |||
| 392 | * A = rýchle disky, prezentované SSD diskami, na ktorých ležia databázy a zdieľané súborové systémy ktoré potrebujú rýchle IO (vyrovnávacie diskové cache), | ||
| 393 | * B = bežné disky, na ktorých ležia operačné systémy, súborové systémy a pod, | ||
| 394 | * C = veľké a pomalé disky, na ktorých primárne ležia dokumenty DMS a zálohy. | ||
| 395 | |||
| 396 | V architektúre bola prezentovaná snaha čo najviac sa priblížiť ku cloudovej koncepcii softvérovo definovaného dátového centra. Disky pre operačné systémy a v skupine B, v objeme 24TB budú realizovaná ako softvérovo definované úložisko na virtualizovaných serveroch (HCI). Skupina A, rýchle disky, bude pre databázy a je v objeme 61TB. Bude poskytovaná z dôvodu výkonu samostatným diskovým poľom. Skupina C, pomalé a veľké disky má objem 467TB. Bude tiež poskytovaná samostatným diskovým poľom. Hlavný dôvod je cena, nakoľko spojením diskových priestorov skupiny A a C do jedného diskového poľa automaticky implikuje požiadavku na diskové pole triedy Enterprise. | ||
| 397 | |||
| 398 | 4.4.2.2 Výkon a kapacita infraštruktúry DC2 | ||
| 399 | |||
| 400 | Pre DC2 platia závery a obmedzenia uvedené v predchádzajúcej kapitole. Bude obsahovať aktuálny výkon a kapacitu dnes bežiacich spoločných komponentov v dátovom centre MPSVR a výkon a kapacitu pre všetky neprodukčné prostredia z infraštruktúry u externého poskytovateľa prevádzky a dátového centra MPSVR. | ||
| 401 | |||
| 402 | |**Lokalita / produkčné prostredie**|**Jadrá**|**Pamäť**|**Disk OS**|**Disk A**|**Disk B**|**Disk C** | ||
| 403 | |Externý poskytovateľ prevádzky| 278|3,0 TB|7,5 TB|18,0 TB|0,1 TB|5,0 TB | ||
| 404 | |Dátové centrum MPSVR| 2|8,0 TB|0,1 TB|0,0 TB|0,1 TB|0,0 TB | ||
| 405 | |Spoločná infraštruktúra| 148|0,3 TB|2,5 TB|0,0 TB|17,0 TB|0,0 TB | ||
| 406 | |Spolu| 428|11,3 TB|2,0 TB|18,0 TB|17,2 TB|5,0 TB | ||
| 407 | |Za 6 rokov| 472|13,0 TB|3,0 TB|22,0 TB|21,0 TB|7,0 TB | ||
| 408 | |||
| 409 | Oproti DC1 môžeme brať pri testovacích prostrediach oversubscription 6:1, čo pri povinnom minimálne počet serverov znamená 1 HCI Server - bežná prevádzka navyše. Oproti DC1. Celkový procesorový výkon bude nasledovný: | ||
| 410 | |||
| 411 | |**Typ servera**|**Počet ks**|**1 ks CPU**|**Spolu CPU**|**Alokácia**|**Spolu** | ||
| 412 | |HCI Server - bežná prevádzka| 6| 44| 264|6:1| 1 580 | ||
| 413 | |HCI Server - vysoký výkon| 2| 32| 64|1:1| 64 | ||
| 414 | |Server pre systém elektronickej pošty| 2| 48| 96|1:1| 96 | ||
| 415 | |Server pre Oracle databázy| 2| 16| 32|1:1| 32 | ||
| 416 | |Server pre reportovacie nástroje| 1| 8| 8|1:1| 8 | ||
| 417 | |Server pre dátovú analytiku| 1| 56| 56|1:1| 56 | ||
| 418 | |Server pre zálohovanie| 1| 16| 16|1:1| 16 | ||
| 419 | |Spolu| 16| | 580| | 1 856 | ||
| 420 | |||
| 421 | Pri pamäti je situácia v oboch prípadoch rovnaká, a výsledné požiadavky sú v nasledujúcej tabuľke. | ||
| 422 | |||
| 423 | |**Typ servera**|**Počet ks**|**1 ks MEM**|**Spolu MEM**|**HA**|**Spolu** | ||
| 424 | |HCI Server - bežná prevádzka| 6|2,0 TB|12,0 TB|1|10,0 TB | ||
| 425 | |HCI Server - vysoký výkon| 2|1,0 TB|2,0 TB|1|1,0 TB | ||
| 426 | |Server pre systém elektronickej pošty| 2|0,3 TB|0,5 TB|0|0,5 TB | ||
| 427 | |Server pre Oracle databázy| 2|1,0 TB|2,0 TB|0|2,0 TB | ||
| 428 | |Server pre reportovacie nástroje| 1|0,3 TB|0,3 TB|0|0,3 TB | ||
| 429 | |Server pre dátovú analytiku| 1|0,5 TB|0,5 TB|0|0,5 TB | ||
| 430 | |Server pre zálohovanie| 1|0,3 TB|0,3 TB|0|0,3 TB | ||
| 431 | |Spolu| 16| |17,5 TB| |14,5 TB | ||
| 432 | |||
| 433 | V neprodukčných prostrediach sa používajú orezané vzorky dát a preto požadované výsledné kapacity nie sú oveľa vyššie ako v prípade DC1. V nasledujúcej tabuľke sú celkové hodnoty a ich umiestnenie: | ||
| 434 | |||
| 435 | * A – samostatné diskové pole s kapacitou 83 TB, | ||
| 436 | * disky operačných systémov a skupina B – 52 TB vytvorené na softvérovo definovanom diskovom priestore na virtualizačných serveroch, | ||
| 437 | * C – samostatné diskové pole s kapacitou 467 TB. | ||
| 438 | |||
| 439 | 4.4.3 Návrh riešenia technologickej architektúry | ||
| 440 | |||
| 441 | Koncepcia sietí a ich ochrany v rámci projektu je založená na štandardnom modeli perimetrovej, servisnej a internej vrstve. Z dôvodu zvýšenia bezpečnosti na jednej strane, a minimalistického počtu serverov na druhej strane je v štandardnom návrhu koncepcie niekoľko zmien. Celkovú koncepciu je možné vidieť na nasledovnom obrázku: | ||
| 442 | |||
| 443 | |||
| 444 | [[image:Obrázok č.4 - nový.png]] | ||
| 445 | |||
| 446 | Obrázok 4: koncepcia sietí s dátovými tokmi | ||
| 447 | |||
| 448 | Zahŕňa dve dátové centrá, všetky vrstvy, pripojenie na externých partnerov, ale nezahŕňa manažment sieť (bude uvedené neskôr). Na úrovni perimetra je dvojica firewallov. Pripojenia tretích strán (GOVNET, SOCNET, FINNET, ...) sú ukončené priamo na firewalloch. Celková použiteľná priepustnosť prepojov na externé strany je odhadovaná na 24Gbps, čo udáva aj požadovanú kombinovanú priepustnosť perimeter firewallu. Tento tok dát bude na perimeter firewalle kontrolovaný podľa svojho smeru a zdroja bezpečnostnými nástrojmi firewallu, ako sú ips/ids, antivírus, antimalvér, url filtrovanie a pod. | ||
| 449 | |||
| 450 | V predkladanom projekte je zahrnutá len sieťová infraštruktúra v jednom dátovom centre. Infraštruktúra v druhom dátovom centre čiastočne existuje a čiastočne sa aktuálne obstaráva v rámci iného projektu. | ||
| 451 | |||
| 452 | Technologická architektúra počíta v maximálne možnej miere s virtualizáciou aj dnes fyzických serverov. Základom sú bežné hyper-konvergované servery, ktoré majú všetky časti (cpu, pamäť, sieť, disky) softvérovo virtualizované. 95% operačných systémov bude prevádzkovaných na týchto serveroch. | ||
| 453 | |||
| 454 | Druhou skupinou serverov sú tiež hyper-konvergované servery, v ktorých pobežia operačné systémy vyžadujúce si vysoký procesorový výkon, pamäť a diskový priestor z externého diskového poľa. Ide prevažne o produkčné aplikačné a databázové servery DMS. | ||
| 455 | |||
| 456 | Treťou skupinou sú servery, ktoré musia byť z licenčného hľadiska použitého softvéru (IBM, Oracle) izolované a musia mať z licenčného pohľadu špecifickú virtualizáciu. | ||
| 457 | |||
| 458 | Ďalej sú samostatné servery, v jednotkách kusov, ktoré z logiky svojej prevádzky musia byť oddelené: | ||
| 459 | |||
| 460 | * server pre zálohovanie uchovávajúci zálohované údaje, | ||
| 461 | * server pre DWH, kde prevádzka podlieha veľkým výkonnostným výkyvom, ktoré nie sú predikovateľné. | ||
| 462 | |||
| 463 | Sieťová infraštruktúra je minimalistická, počíta s rozšírením maximálne o 20%. Použité sú bežné prepínače bez špeciálnych vlastností až na 4 ks prepínačov pre HCI, ktoré tvoria so servermi ucelené centrálne manažované riešenie, vrátane plošných aktualizácií kódov. Súčasťou sieťovej infraštruktúry je aj dvojica loadbalancerov, ktoré sú kľúčové pre zabezpečenie vysokej dostupnosti. Majú modul dynamického DNS servera, navzájom sa synchronizujú a publikujú okolitému svetu, v ktorom dátovom centre alebo cloude práve požadované služby bežia. Sieťovú infraštruktúru dopĺňa dvojica firewallov, ktorá obsahuje v sebe všetky bezpečnostné prvky v zmysle kybernetického zákona, vrátane kontroly komunikácie na malvéri, ransomveri a iné kybernetické hrozby. | ||
| 464 | |||
| 465 | Diskový priestor pre 90% serverov je softvérovo definovaný v rámci HCI. V riešení sú 3 samostatné diskové polia. Porovnaním toto riešenie vyšlo ako cenovo najvýhodnejšie. Principiálne, diskové pole pre zálohy musí byť oddelené od ostatných zariadení, na ktorom sú samotné dáta. Toto diskové pole bude slúžiť ako capacity tier pre zálohy, pričom hot tier bude umiestnený v samotnom zálohovacom servery. Diskové pole bude podporovať immutability uložených záloh, tzn. ich neprepisovateľnosť a odolnosť voči útokom. Druhé dve diskové polia sú svojimi nárokmi úplne odlišné a preto sú oddelené. Prvé je pre databázy, ktoré už dnes sú prevádzkované na SSD diskoch a majú požiadavky na vysokú priepustnosť a nízku odozvu. Posledné diskové pole je naopak, archív pre dokumenty, kde je podstatná vysoká kapacita 95% priestoru a menej rýchosť. Len zvyšných 5%, prvé 3 mesiace životnosti dokumentu, je potrebný priestor na rýchlych diskoch. | ||
| 466 | |||
| 467 | |||
| 468 | 4.4.4 Využívanie služieb z katalógu služieb vládneho cloudu | ||
| 469 | |||
| 470 | Konkrétne cloudové služby Vládneho cloudu pre modulárne mikrolužby rozširujúce bakendové systémy budú špecifikované až vo fáze dizajnu implementácie ŽS. | ||
| 471 | |||
| 472 | 4.5. Bezpečnostná architektúra | ||
| 473 | |||
| 474 | MPSVR má v zmysle kybernetického zákona uvedené do praxe príslušné interné predpisy. V navrhovanej infraštruktúre sú zariadenia určené na perimetrovú bezpečnosť, vrátane potrebných subskripcií pre zvýšenú ochranu webového prístupu k IS a prevenciu proti vírusom, malvérom a ransamvérom. Špecifikované zariadenie posunie aktuálnu bezpečnosť na novú úroveň. | ||
| 475 | |||
| 476 | V aktuálnom prostredí je už niekoľko rokov zrealizovaná podrobná segmentácia siete. Každá vrstva každého IS je v samostatných virtuálnych sieťach a prestup medzi týmito sieťami je povolený len z konkrétnej IP adresy a portu na konkrétnu IP adresu a port. Realizácia trvala 2 roky a je zdokumentovaná v zmysle definovaných pravidiel na firewalloch. Bude prenesená do novej infraštruktúry. | ||
| 477 | |||
| 478 | V aktuálnom prostredí je riešenie manažmentu zraniteľnosti od spoločnosti Qualys. Pravidelne sa nálezy a rizikovosti vyhodnocujú a na mesačnej báze sú systémy aktualizované (z dôvodu konfliktu s aplikačnými nasadzovaniami sú niektoré mesačné termíny vynechané). Manažment zraniteľností sa poskytuje pre fyzické zariadenia, manažment karty, virtualizáciu, operačné systémy a štandardný softvér. | ||
| 479 | |||
| 480 | V aktuálnom prostredí prebieha postupný hardening operačných systémov. Z dôvodu čo najmenších dopadov na dostupnosť a nízke náklady, prebieha hardening všetkých nových serverov. Hardening je následne kontrolovaný automatizované nástrojmi manažmentu zraniteľnosti voči CIS benchmarkom. Akceptované skóre je minimálne 90% a je sada akceptovaných nesúladov s CIS benchmarkom. Väčšinou z dôvodu dostatočného nastavenia v zmysle interných smerníc (napr. pravidlá tvaru hesiel). | ||
| 481 | |||
| 482 | V aktuálnom prostredí je ako prevencia pred vírusmi, malvérmi a ransamvérom nasadená kombinácia produktov ESET antivírus s Qualys EDR. Táto, spolu s manažmentom zraniteľností a hardeningom budú plne nasadené aj v novej infraštruktúre. | ||
| 483 | |||
| 484 | Oproti predchádzajúcemu, nanovo vybudované bude zálohovanie. Aktuálna implementácia je z roku 2009 a je vlastnostiam už chýbajú základné veci dnešnej doby ako záloha kontajnerov, neprepisovateľné zálohy alebo verifikácia záloh voči vírusom. Všetky potrebné komponenty sú zahrnuté v projekte. | ||
| 485 | |||
| 486 | Implementáciou predkladaného projektu sa bezpečnostná architektúra nemení, v niektorých oblastiach rozširuje. Softvérové licencie dnes používaných bezpečnostných nástrojov pokrývajú celé prostredie a budú zmigrované na novú infraštruktúru, resp. sú viazané s migrovanými virtuálnymi servermi. | ||
| 487 | |||
| 488 | |||
| 489 | 5. Závislosti na ostatné ISVS / projekty | ||
| 490 | |||
| 491 | N/A | ||
| 492 | |||
| 493 | |||
| 494 | |Stakeholder|((( | ||
| 495 | Kód projektu /ISVS | ||
| 496 | |||
| 497 | //(z MetaIS)// | ||
| 498 | )))|Názov projektu /ISVS|Termín ukončenia projektu|Popis závislosti | ||
| 499 | | | | | | | ||
| 500 | | | | | | | ||
| 501 | | | | | | | ||
| 502 | |||
| 503 | 6. Zdrojové kódy | ||
| 504 | |||
| 505 | Štandardnou požiadavkou MPSVR je aby všetky zdrojové kódy, vrátane nasadzovacích a provizionovacích skriptov boli uložené v Centrálnom repozitári zdrojových kódov MPSVR. | ||
| 506 | |||
| 507 | 7. Prevádzka a údržba | ||
| 508 | |||
| 509 | * Súčasťou špecifikácií zariadení a softvéru je požadovaná pravidelná údržba (kontrola, aktualizácie). Táto bola špecifikovaná per typ zariadenia. Takisto boli per typ a rolu zariadenia požadované aj servisné SLA. | ||
| 510 | |||
| 511 | 7.1 Prevádzkové požiadavky | ||
| 512 | |||
| 513 | 7.1.1 Úrovne podpory používateľov | ||
| 514 | |||
| 515 | Help Desk bude realizovaný cez 3 úrovne podpory, s nasledujúcim označením: | ||
| 516 | |||
| 517 | * **L1 podpory IS** (Level 1, priamy kontakt zákazníka) - jednotný kontaktný bod verejného obstarávateľa – IS Solution manager, ktorý je v správe verejného obstarávateľa a v prípade jeho nedostupnosti Centrum podpory používateľov (zabezpečuje prevádzkovateľ IS a DataCentrum). | ||
| 518 | * **L2 podpory IS** (Level 2, postúpenie požiadaviek od L1) - vybraná skupina garantov, so znalosťou IS (zabezpečuje prevádzkovateľ IS – verejný obstarávateľ). | ||
| 519 | * **L3 podpory IS** (Level 3, postúpenie požiadaviek od L2) - na základe zmluvy o podpore IS (zabezpečuje úspešný uchádzač). | ||
| 520 | |||
| 521 | **Podpora L1 (podpora 1. stupňa)** - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď. | ||
| 522 | |||
| 523 | **Podpora L2 (podpora 2. stupňa)** – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3. | ||
| 524 | |||
| 525 | **Podpora L3 (podpora 3. stupňa)** - Podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najobťiažnejších Hlásení, vrátane prevádzania hĺbkových analýz a riešenie extrémnych prípadov. | ||
| 526 | |||
| 527 | 7.1.2 Riešenie incidentov – SLA parametre | ||
| 528 | |||
| 529 | Za incident je považovaná chyba IS, t.j. správanie sa v rozpore s prevádzkovou a používateľskou dokumentáciou IS. Za incident nie je považovaná chyba, ktorá nastala mimo prostredia IS napr. výpadok poskytovania konkrétnej služby Vládneho cloudu alebo komunikačnej infraštruktúry. | ||
| 530 | |||
| 531 | |||
| 532 | Označenie naliehavosti incidentu: | ||
| 533 | |||
| 534 | |**Označenie naliehavosti incidentu**|**Závažnosť incidentu**|**Popis naliehavosti incidentu** | ||
| 535 | |**A**|**Kritická**|Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS. | ||
| 536 | |**B**|**Vysoká**|Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému. | ||
| 537 | |**C**|**Stredná**|Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému. | ||
| 538 | |**D**|**Nízka**|Kozmetické a drobné chyby. | ||
| 539 | |||
| 540 | a možného dopadu: | ||
| 541 | |||
| 542 | |(% colspan="2" rowspan="2" %)**Matica priority incidentov**|(% colspan="3" %)**Dopad** | ||
| 543 | |**Katastrofický - 1**|**Značný - 2**|**Malý - 3** | ||
| 544 | |(% rowspan="4" %)**Naliehavosť**|**Kritická - A**|1|2|3 | ||
| 545 | |**Vysoká - B**|2|3|3 | ||
| 546 | |**Stredná - C**|2|3|4 | ||
| 547 | |**Nízka - D**|3|4|4 | ||
| 548 | |||
| 549 | Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici: | ||
| 550 | |||
| 551 | |(% colspan="2" rowspan="2" %)**Matica priority incidentov**|(% colspan="3" %)**Dopad** | ||
| 552 | |**Katastrofický - 1**|**Značný - 2**|**Malý - 3** | ||
| 553 | |(% rowspan="4" %)**Naliehavosť**|**Kritická - A**|1|2|3 | ||
| 554 | |**Vysoká - B**|2|3|3 | ||
| 555 | |**Stredná - C**|2|3|4 | ||
| 556 | |**Nízka - D**|3|4|4 | ||
| 557 | |||
| 558 | Vyžadované reakčné doby: | ||
| 559 | |||
| 560 | |**Označenie priority incidentu**|**Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu**|**Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^**|((( | ||
| 561 | **Spoľahlivosť ^^(3)^^** | ||
| 562 | |||
| 563 | (počet incidentov za mesiac) | ||
| 564 | ))) | ||
| 565 | |**1**|0,5 hod.|4 hodín|1 | ||
| 566 | |**2**|1 hod.|12 hodín|2 | ||
| 567 | |**3**|1 hod.|24 hodín|10 | ||
| 568 | |**4**|1 hod.|(% colspan="2" %)Vyriešené a nasadené v rámci plánovaných releasov | ||
| 569 | |||
| 570 | (1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L3 a jeho prevzatím na riešenie. | ||
| 571 | |||
| 572 | |||
| 573 | (2) DKVI znamená obnovenie štandardnej prevádzky - čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom (DKVI) sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný uchádzač oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu. | ||
| 574 | |||
| 575 | (3) Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident. | ||
| 576 | |||
| 577 | |||
| 578 | (4) Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia | ||
| 579 | |||
| 580 | Majú prioritu 3 a nižšiu | ||
| 581 | |||
| 582 | Vzťahujú sa výhradne k dostupnosti testovacieho prostredia | ||
| 583 | |||
| 584 | Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite. | ||
| 585 | |||
| 586 | |||
| 587 | Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby: | ||
| 588 | |||
| 589 | * Služby systémovej podpory na požiadanie (nad paušál) | ||
| 590 | * Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál) | ||
| 591 | * Pre tieto služby budú dohodnuté osobitné parametre dodávky. | ||
| 592 | |||
| 593 | 7.2 Požadovaná dostupnosť IS: | ||
| 594 | |||
| 595 | MPSVR nemá pre všetky IS definované dobu ich prevádzky a dostupnosť. Prístup k dostupnosti odvodzuje z použitých technológií. Cieľový stav z pohľadu parametrov dostupnosti je v nasledujúcich podkapitolách. | ||
| 596 | |||
| 597 | 7.2.1 Dostupnosť (Availability) | ||
| 598 | |||
| 599 | Dostupnosť (Availability) znamená, že dáta alebo iné zariadenie sú prístupné v okamihu ich potreby. Vyjadruje sa v percentách dostupného času.** **Dostupnosť znamená, že dáta sú prístupné v okamihu jej potreby. Narušenie dostupnosti sa označuje ako nežiaduce zničenie (destruction) alebo nedostupnosť. | ||
| 600 | |||
| 601 | Aktuálne majú IS RSD a ISSZ zmluvne zabezpečenú dostupnosť služieb 4h. tzn. na úrovni 99,9%. | ||
| 602 | |||
| 603 | 7.2.2 RTO (Recovery Time Objective) | ||
| 604 | |||
| 605 | RTO (Recovery Time Objective) je jeden z ukazovateľov dostupnosti dát. RTO vyjadruje množstvo času potrebné pre obnovenie dát a celého prevádzky nedostupného systému (softvér). RTO vyjadruje množstvo času potrebné pre obnovenie dát a celej prevádzky nedostupného systému. Môže byť, v závislosti na použitej technológii, vyjadrené v sekundách, hodinách či dňoch. | ||
| 606 | |||
| 607 | IS RSD, ISSZ a DMS tvoria integrálny úzko prepojený celok a preto ich RTO je dané najdlhším časom obnovy každého jedného z nich. Z dôvodu vysokého objemu údajov má najdlhšie RTO = 24h IS DMS. K tomuto RTO bola definovaná infraštruktúra a nároky na prenosové linky. | ||
| 608 | |||
| 609 | 7.2.3 RPO (Recovery Point Objective) | ||
| 610 | |||
| 611 | RPO (Recovery Point Objective) je jeden z ukazovateľov dostupnosti dát. RPO vyjadruje, do akého stavu (bodu) v minulosti možno obnoviť dáta. RPO vyjadruje, do akého stavu (bodu) v minulosti možno obnoviť dáta. Inými slovami množstvo dát, o ktoré môže organizácia prísť. | ||
| 612 | |||
| 613 | Pre rôzne údaje sú definované nasledovné RPO: | ||
| 614 | |||
| 615 | * neobchodné údaje vo virtuálnych serveroch (softvér, konfigurácie, logy, ...) = 15 min, | ||
| 616 | * dokumenty v DMS = 1 hod, | ||
| 617 | * údaje v databázach = 5 min. | ||
| 618 | |||
| 619 | Tieto RPO sú definované pri dosiahnutí dostupnosti existujúcimi replikačnými nástrojmi. V prípade úplného zmazania údajov z diskov, je RPO definícia daná obnovou zo záloh, kde je RPO definované nasledovne: | ||
| 620 | |||
| 621 | * obnova virtuálneho servera = 24 hod, | ||
| 622 | * dokumenty v DMS = 7 dní, | ||
| 623 | * údaje v databázach = 1 hod. | ||
| 624 | |||
| 625 | 8. Požiadavky na personál | ||
| 626 | |||
| 627 | Pracovné náplne a povinnosti projektového tímu budú súčasťou menovacích dekrétov a budú v súlade s vyhláškou č.401/2023. | ||
| 628 | |||
| 629 | |||
| 630 | 9. Implementácia a preberanie výstupov projektu | ||
| 631 | |||
| 632 | Implementácia a preberanie výstupov projektu budú definované v rámci projektového iniciálneho dokumentu (PID). | ||
| 633 | |||
| 634 | Realizácia a ukončenie projektu je plánované 09/2025. Vzhľadom na jeho financovanie z Plánu obnovy a odolnosti existuje časová rezerva pre prípadný posun odhadovaných termínov do 03/2026. | ||
| 635 | |||
| 636 | Rámcový harmonogram projektu je uvedený v nasledujúcej tabuľke: | ||
| 637 | |||
| 638 | |||
| 639 | |**ID**|**FÁZA/AKTIVITA**|((( | ||
| 640 | **ZAČIATOK** | ||
| 641 | |||
| 642 | **(odhad termínu)** | ||
| 643 | )))|((( | ||
| 644 | **KONIEC** | ||
| 645 | |||
| 646 | **(odhad termínu)** | ||
| 647 | )))|**POZNÁMKA** | ||
| 648 | |**1.**|Prípravná fáza|09/2022|12/2023|Hodnotilo sa viacero scenárov v rámci prípravnej fázy ŽS | ||
| 649 | |**2.**|Iniciačná fáza|01/2024|10/2024| | ||
| 650 | |**3.**|Realizačná fáza|10/2024|09/2025| | ||
| 651 | |**3a**|Analýza a Dizajn|11/2024|3/2025|Návrh migrácie zo starej na novú infra a do cloudu | ||
| 652 | |**3b**|Nákup technických prostriedkov, programových prostriedkov a služieb|11/2024|03/2025|DNS | ||
| 653 | |**3c**|Implementácia a testovanie|01/2025|06/2025|Migrácia do cloudu a novú infra | ||
| 654 | |**3d**|Nasadenie a PIP|07/2025|09/2025|PIP - 3 mesiace po nasadení | ||
| 655 | |**4.**|Podpora prevádzky (SLA)|10/2025|09/2029|Potrebné obstarať | ||
| 656 | |||
| 657 | Projekt bude realizovaný metódou waterfall, má definované konkrétne projektové výstupy, ktorých dodanie bude podmienkou pre akceptáciu jednotlivých aktivít projektu. Jednotlivé etapy realizačnej fázy môžu prebiehať paralelne, pričom detailný harmonogram spolu s vyznačenými závislosťami medzi jednotlivými aktivitami a ich výstupmi bude odsúhlasený RV po podpise zmluvy s dodávateľom. Projekt má definované konkrétne projektové výstupy, ktorých dodanie bude podmienkou pre akceptáciu jednotlivých aktivít projektu. | ||
| 658 | |||
| 659 | |||
| 660 | 10. Prílohy | ||
| 661 | |||
| 662 | n/a |