Naposledy upravil Richard Krchňák 2025/07/24 14:11
Z verzie 30.2
upravil Richard Krchňák
-
Zmeniť komentár: Pridať komentár
Do verzie 35.1
upravil Richard Krchňák
-
Zmeniť komentár: Pre túto verziu nie sú komentáre

Súhrn

Podrobnosti

Vlastnosti stránky
Obsah
... ... @@ -144,7 +144,9 @@
144 144  Minimalizovať riziko straty dát a poškodenia infraštruktúry: Znížiť riziko vyplývajúce zo zastaranej techniky a nestability napájania.
145 145  
146 146  
147 +Projekt „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“ je zameraný na obmenu zastaranej centrálnej IT infraštruktúry, budú nahradené nepodporované a rizikové servery a úložisko novým HW a SW riešením. Vzhľadom k tomu projekt nepredpokladá súladnosť s kľúčovými princípmi a strategickými cieľmi Národnej koncepcie informatizácie verejnej správy (NKIVS). 
147 147  
149 +
148 148  |ID|Názov cieľa|Názov strategického cieľa|Spôsob realizácie strategického cieľa
149 149  |1|Obmeniť zastaranú centrálnu IT infraštruktúru|Komplexné riešenie virtualizačnej platformy|Obstaraním riešenia
150 150  |2|Zvýšiť úroveň informačnej a kybernetickej bezpečnosti|Komplexné riešenie virtualizačnej platformy|Obstaraním riešenia
... ... @@ -245,6 +245,29 @@
245 245  Predmetné je popísané v samostatnej prílohe dokument M-05 Analýza nákladov a prínosov (xls. BC/CBA) v predpísanej štruktúrovanej forme.
246 246  
247 247  
250 +__Kľúčové prínosy z hľadiska nákladov:__
251 +
252 +**Minimalizácia nákladov na odstraňovanie bezpečnostných incidentov:**
253 +
254 +Projekt rieši prevádzku na zastaranej a bezpečnostne rizikovej technike.
255 +
256 +Implementáciou nového riešenia sa predchádza vysokým finančným nákladom, ktoré by vznikli pri odstraňovaní následkov bezpečnostných incidentov (napr. útok ransomvéru, strata dát). Ponechanie súčasného stavu bolo vyhodnotené ako neakceptovateľné z dôvodu vysokých bezpečnostných a operačných rizík.
257 +
258 +
259 +**Úspora prevádzkových nákladov na energie a správu:**
260 +
261 +Modernizácia a konsolidácia infraštruktúry povedie k úsporám na energiách a nákladoch spojených so správou menšieho počtu efektívnejších zariadení. Projekt priamo zahŕňa „optimalizáciu (znižovanie počtu) potrebného počtu zariadení“.
262 +
263 +
264 +**Ochrana pred fatálnymi finančnými dopadmi:**
265 +
266 +Jedným z najväčších rizík súčasného stavu je možný výpadok diskového úložiska, ktorý by mohol spôsobiť „vážne narušenie až zastavenie služieb verejnosti, paralýzu vnútorných procesov úradu a straty dát“. Realizácia projektu predchádza týmto rizikám, ktorých finančný dopad by bol fatálny.
267 +
268 +
269 +**Hospodárnosť riešenia:**
270 +
271 +V porovnaní s alternatívou "nulového variantu" (ponechanie statusu quo) je realizácia projektu vyhodnotená ako hospodárnejšia, pretože minimalizuje hrozby a tým aj možné budúce náklady na odstraňovanie ich dôsledkov.
272 +
248 248  3.9.1 Sumarizácia nákladov a prínosov
249 249  
250 250  
... ... @@ -328,9 +328,9 @@
328 328  Projekt nemá žiadny legislatívny dopad. Zmena bezpečnostnej architektúry nie je predmetom projektu. Predmetom projektu je dodržanie minimálne súčasnej bezpečnostnej úrovne a vysokej dostupnosti výmenou zariadení. Projekt je zároveň riešený v zmysle minimálne nasledujúcej legislatívy:
329 329  
330 330  
331 -*
332 -**
333 -***
356 +*
357 +**
358 +***
334 334  **** Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe 
335 335  **** vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy
336 336  **** Zákon č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
... ... @@ -420,6 +420,23 @@
420 420  |Kritérium D|nie|alternatíva 1 je zachovanie statusu quo bez realizácie projektu|áno|Implementáciou alternatívy 2 sa zabezpečí funkčný, integrovaný celok zodpovedajúci definovanému rozsahu.
421 421  |Kritérium E|nie|alternatíva 1 je zachovanie statusu quo bez realizácie projektu|áno|Implementáciou alternatívy 2 sa garantuje dlhodobá a bezpečná prevádzka.
422 422  
448 +
449 +**Multikriteriálna analýza alternatív**
450 +
451 +V súlade so strategickým smerovaním úradu bola posudzovaná možnosť migrácie systémov do prostredia vládneho cloudu. Analýza však preukázala, že pre špecifické systémy, ktoré sú predmetom tohto projektu, je takýto krok technicky nerealizovateľný. Dôvodom je, že sa jedná o systémy nevyhnutné pre správu a prevádzku lokálnej (on-premise) infraštruktúry a zároveň o zachovávané legacy systémy, ktoré nie sú pre migráciu vhodné. Z tohto dôvodu bola ako jediná možná a akceptovateľná alternatíva vyhodnotená obnova lokálnej on-premise infraštruktúry.
452 +
453 +|**Kritérium**|**On-premise riešenie**|**Cloud riešenie**|**Hybridné riešenie**
454 +|**Prevádzka špecifických systémov (KO kritérium)**|Jediná možnosť pre systémy spravujúce lokálnu sieť a pre zachovávané legacy systémy.|Technicky nerealizovateľné; systémy sú závislé od lokálnej infraštruktúry alebo nespôsobilé na migráciu.|Kľúčové systémy pre správu on-premise časti nemôžu byť umiestnené v cloude.
455 +|**Kontrola nad infraštruktúrou a dátami**|Plná a priama fyzická aj logická kontrola nad hardvérom, softvérom a dátami.|Kontrola je obmedzená zmluvnými podmienkami a nástrojmi poskytovateľa cloudu.|Rozdelená kontrola, ktorá zvyšuje zložitosť správy a monitoringu.
456 +|**Súlad s legislatívou (Zákon č. 69/2018 Z.z., GDPR)**|Dáta a systémy neopúšťajú fyzickú lokalitu úradu, čo zjednodušuje preukazovanie súladu.|Preukazovanie súladu pre špecifické systémy by bolo zložité a rizikové.|Zložité zabezpečenie a preukazovanie súladu naprieč rôznymi prostrediami.
457 +|**Škálovateľnosť**|Škálovateľnosť je obmedzená obstaraným hardvérom. Rezerva pre rast je však zahrnutá v návrhu.|Flexibilné a takmer neobmedzené škálovanie zdrojov podľa aktuálnej potreby.|Možnosť škálovať cloudovú časť riešenia podľa potreby.
458 +|**Náklady**|Vyššia počiatočná investícia (CAPEX), ale plne predvídateľné a kontrolované prevádzkové náklady (OPEX).|Nižšie počiatočné náklady, ale potenciálne vyššie a menej predvídateľné prevádzkové náklady v dlhodobom horizonte.|Komplexný model nákladov kombinujúci CAPEX a OPEX, riziko skrytých nákladov na integráciu.
459 +
460 +Odporúčanie a záver analýzy
461 +
462 +Na základe technickej nerealizovateľnosti migrácie kľúčových systémov do cloudového alebo hybridného prostredia je on-premise riešenie vyhodnotené ako jediná možná a akceptovateľná alternatíva. Tento prístup je nevyhnutný na zabezpečenie prevádzkovej kontinuity, plnej kontroly nad infraštruktúrou a bezpečnosti v súlade s platnou legislatívou.
463 +
464 +
423 423  5.1.2. Stanovenie alternatív v aplikačnej vrstve architektúry
424 424  
425 425  
... ... @@ -433,24 +433,32 @@
433 433  
434 434  5.2 Náhľad architektúry a popis budúceho cieľového produktu
435 435  
436 -N/A
478 +Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).
437 437  
480 +Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.
438 438  
482 +
439 439  5.3 Biznis vrstva
440 440  
441 -N/A
485 +Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).
442 442  
487 +Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.
443 443  
489 +
444 444  5.4 Aplikačná vrstva
445 445  
446 -N/A
492 +Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).
447 447  
494 +Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.
448 448  
496 +
449 449  5.5 Dátová architektúra
450 450  
451 -N/A
499 +Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).
452 452  
501 +Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.
453 453  
503 +
454 454  5.6 Technologická architektúra
455 455  
456 456  
... ... @@ -482,9 +482,42 @@
482 482  
483 483  5.7 Bezpečnostná architektúra
484 484  
485 -N/A
535 +Bezpečnostná architektúra projektu modernizácie centrálnej IT infraštruktúry je navrhnutá s cieľom vytvoriť robustné, odolné a dôveryhodné prostredie. Primárnym cieľom je mitigovať vysokú hrozbu v oblasti bezpečnosti , ktorá vyplýva z prevádzky na zastaranej technike s verejne známymi kritickými bezpečnostnými chybami. Architektúra je v plnom súlade s požiadavkami Zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti  a princípmi Nariadenia GDPR.
486 486  
537 +**Základné Princípy a Súlad**
538 +Architektúra je postavená na kľúčových princípoch modernej bezpečnosti:
539 +Security by Design & Default: Bezpečnosť nie je doplnkovou funkciou, ale základným stavebným kameňom celého riešenia. Každý komponent je obstarávaný s požiadavkou na integrované bezpečnostné funkcie.
540 +Zero Trust (Nulová dôvera): Riešenie uplatňuje princípy architektúry nulovej dôveryhodnosti, kde je každý prístup k zdrojom overovaný. Vyžaduje sa napríklad overovanie pomocou aplikácie OTP pre zabezpečenie podpory.
541 +Defense in Depth (Hĺbková ochrana): Bezpečnostné opatrenia sú implementované vo viacerých vrstvách, od fyzickej a hardvérovej úrovne až po úroveň správy a monitoringu.
487 487  
543 +Súlad so Zákonom o kybernetickej bezpečnosti (č. 69/2018 Z.z.)
544 +Projekt priamo implementuje bezpečnostné opatrenia vyžadované zákonom a súvisiacimi vyhláškami:
545 +Riadenie aktív a rizík: Projekt je priamou reakciou na identifikované riziká spojené so zastaraným hardvérom a softvérom.
546 +Riadenie prístupu: Je implementované striktné riadenie prístupu na základe rolí (RBAC)  a prístup je obmedzený len na autorizované osoby a protokoly (napr. SSH, HTTPS).
547 +Zaznamenávanie činností: Riešenie zabezpečuje zaznamenávanie zmien konfigurácie a činností servera do denníka auditu, čo je kľúčové pre analýzu bezpečnostných incidentov.
548 +Bezpečnosť sietí a systémov: Nasadením modernej technológie sa eliminujú známe zraniteľnosti. Platforma navyše podporuje iba bezpečné, šifrované protokoly.
549 +Zabezpečenie kontinuity: Vysoká dostupnosť (HA) a nové záložné zdroje napájania (UPS) priamo napĺňajú požiadavku na dostupnosť a odolnosť systémov.
550 +
551 +Súlad s GDPR (Nariadenie (EÚ) 2016/679)
552 +Ako riešenie pre Úrad na ochranu osobných údajov SR, projekt kladie mimoriadny dôraz na ochranu dát v zmysle GDPR:
553 +Technické a organizačné opatrenia (Článok 32 GDPR): Celý projekt predstavuje zásadné technické opatrenie na zaistenie bezpečnosti spracúvania.
554 +Dôvernosť a Integrita: Tieto piliere sú zabezpečené hardvérovými bezpečnostnými modulmi (TPM 2.0, Secure Boot, Root of Trust), šifrovanými protokolmi a mechanizmami na ochranu proti ransomvéru.
555 +Dostupnosť a Odolnosť: Je zabezpečená prostredníctvom redundantných serverov v režime vysokej dostupnosti (HA) , redundantných napájacích zdrojov a ventilátorov  a nových, dostatočne dimenzovaných záložných zdrojov napájania (UPS).
556 +Ochrana dát na médiách: V zmluve je stanovená požiadavka, že chybné disky sa ponechávajú ÚOOU, čím sa zabraňuje úniku dát z vyradených médií.
557 +Ochrana pred neoprávneným prístupom: Fyzická bezpečnosť je posilnená detekciou narušenia šasi  a logický prístup je riadený cez RBAC a silnú autentifikáciu.
558 +
559 +Implementované Technické a Organizačné Opatrenia
560 +Ochrana na hardvérovej a firmvérovej úrovni:
561 +Servery sú vybavené modulom Trusted Platform Module (TPM) 2.0 a funkciami ako Secure Boot a Root of Trust (RoT), ktoré zaisťujú, že sa spúšťa len overený a nepozmenený softvér.
562 +Aktualizácie firmvéru sú digitálne podpísané a procesy sú v súlade s normami FIPS a NIST.
563 +Odolnosť voči kybernetickým hrozbám:
564 +Riešenie musí obsahovať integrované mechanizmy ochrany proti ransomvéru, ako je nemennosť záloh (immutability) a natívna ochrana na úrovni dátového úložiska.
565 +Využíva sa prediktívna analýza porúch na báze umelej inteligencie (AI) na predchádzanie zlyhaniam a odhaľovanie anomálií a bezpečnostných hrozieb v reálnom čase.
566 +Zabezpečenie prevádzky a správy:
567 +Vzdialená správa serverov prebieha výhradne cez zabezpečené a šifrované protokoly (SSH, HTTPS) v režime prísneho zabezpečenia na úrovni CNSA 1.0.
568 +Celá infraštruktúra je prevádzkovaná lokálne (on-premise) v dátových centrách ÚOOU, čo úradu zaručuje plnú fyzickú aj logickú kontrolu nad systémami a dátami.
569 +
570 +
488 488  5.8 Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,
489 489  
490 490  Projekt nemá žiadny legislatívny dopad. Zmena bezpečnostnej architektúry nie je predmetom projektu. Predmetom projektu je dodržanie minimálne súčasnej bezpečnostnej úrovne a vysokej dostupnosti výmenou zariadení. Projekt je zároveň riešený v zmysle minimálne nasledujúcej legislatívy:
... ... @@ -511,7 +511,7 @@
511 511  Predmetné riešenie je implementované na dedikovanom hardvéri a prevádzkované v lokálnej infraštruktúre (on-premise) v priestoroch úradu. Jeho primárnou funkciou je zabezpečenie chodu kľúčových prvkov lokálnej siete a hosťovanie legacy systémov, ktoré nie je možné migrovať do cloudového prostredia. Keďže správa, údržba a prevádzkové kapacity sú plne zabezpečované internými zdrojmi úradu, neuzatvára sa zmluvná Dohoda o úrovni poskytovaných služieb (SLA) s externým dodávateľom.
512 512  
513 513  
514 -1.
597 +1.
515 515  11. Požiadavky na ľudské zdroje potrebné pre zabezpečenie prevádzky
516 516  
517 517  **Riadiaci výbor (RV) **minimálne v nasledovnom zložení:
XWiki.XWikiComments[21]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.richard\.krchnak@pdp\.gov\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +doplnené
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-06-10 00:32:10.566
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +4
XWiki.XWikiComments[22]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.richard\.krchnak@pdp\.gov\.sk
Komentár
... ... @@ -1,0 +1,2 @@
1 +
2 +
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-06-10 00:34:06.34
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +5
XWiki.XWikiComments[23]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.richard\.krchnak@pdp\.gov\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +doplnené na kartu "všetky dokumenty" - I 04-Katalog požiadaviek a PHZ.
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-06-10 00:38:55.26
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +0
XWiki.XWikiComments[24]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.richard\.krchnak@pdp\.gov\.sk
Komentár
... ... @@ -1,0 +1,3 @@
1 +doplnená multikriteriálna analýza alternatív
2 +
3 +
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-06-11 12:31:47.409
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +9
XWiki.XWikiComments[25]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.richard\.krchnak@pdp\.gov\.sk
Komentár
... ... @@ -1,0 +1,3 @@
1 +Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).
2 +
3 +Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-06-11 12:55:24.997
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +10