Naposledy upravil Richard Krchňák 2025/07/24 14:11
Z verzie 31.2
upravil Richard Krchňák
-
Zmeniť komentár: Pridať komentár
Do verzie 35.1
upravil Richard Krchňák
-
Zmeniť komentár: Pre túto verziu nie sú komentáre

Súhrn

Podrobnosti

Vlastnosti stránky
Obsah
... ... @@ -144,7 +144,9 @@
144 144  Minimalizovať riziko straty dát a poškodenia infraštruktúry: Znížiť riziko vyplývajúce zo zastaranej techniky a nestability napájania.
145 145  
146 146  
147 +Projekt „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“ je zameraný na obmenu zastaranej centrálnej IT infraštruktúry, budú nahradené nepodporované a rizikové servery a úložisko novým HW a SW riešením. Vzhľadom k tomu projekt nepredpokladá súladnosť s kľúčovými princípmi a strategickými cieľmi Národnej koncepcie informatizácie verejnej správy (NKIVS). 
147 147  
149 +
148 148  |ID|Názov cieľa|Názov strategického cieľa|Spôsob realizácie strategického cieľa
149 149  |1|Obmeniť zastaranú centrálnu IT infraštruktúru|Komplexné riešenie virtualizačnej platformy|Obstaraním riešenia
150 150  |2|Zvýšiť úroveň informačnej a kybernetickej bezpečnosti|Komplexné riešenie virtualizačnej platformy|Obstaraním riešenia
... ... @@ -443,6 +443,23 @@
443 443  |Kritérium D|nie|alternatíva 1 je zachovanie statusu quo bez realizácie projektu|áno|Implementáciou alternatívy 2 sa zabezpečí funkčný, integrovaný celok zodpovedajúci definovanému rozsahu.
444 444  |Kritérium E|nie|alternatíva 1 je zachovanie statusu quo bez realizácie projektu|áno|Implementáciou alternatívy 2 sa garantuje dlhodobá a bezpečná prevádzka.
445 445  
448 +
449 +**Multikriteriálna analýza alternatív**
450 +
451 +V súlade so strategickým smerovaním úradu bola posudzovaná možnosť migrácie systémov do prostredia vládneho cloudu. Analýza však preukázala, že pre špecifické systémy, ktoré sú predmetom tohto projektu, je takýto krok technicky nerealizovateľný. Dôvodom je, že sa jedná o systémy nevyhnutné pre správu a prevádzku lokálnej (on-premise) infraštruktúry a zároveň o zachovávané legacy systémy, ktoré nie sú pre migráciu vhodné. Z tohto dôvodu bola ako jediná možná a akceptovateľná alternatíva vyhodnotená obnova lokálnej on-premise infraštruktúry.
452 +
453 +|**Kritérium**|**On-premise riešenie**|**Cloud riešenie**|**Hybridné riešenie**
454 +|**Prevádzka špecifických systémov (KO kritérium)**|Jediná možnosť pre systémy spravujúce lokálnu sieť a pre zachovávané legacy systémy.|Technicky nerealizovateľné; systémy sú závislé od lokálnej infraštruktúry alebo nespôsobilé na migráciu.|Kľúčové systémy pre správu on-premise časti nemôžu byť umiestnené v cloude.
455 +|**Kontrola nad infraštruktúrou a dátami**|Plná a priama fyzická aj logická kontrola nad hardvérom, softvérom a dátami.|Kontrola je obmedzená zmluvnými podmienkami a nástrojmi poskytovateľa cloudu.|Rozdelená kontrola, ktorá zvyšuje zložitosť správy a monitoringu.
456 +|**Súlad s legislatívou (Zákon č. 69/2018 Z.z., GDPR)**|Dáta a systémy neopúšťajú fyzickú lokalitu úradu, čo zjednodušuje preukazovanie súladu.|Preukazovanie súladu pre špecifické systémy by bolo zložité a rizikové.|Zložité zabezpečenie a preukazovanie súladu naprieč rôznymi prostrediami.
457 +|**Škálovateľnosť**|Škálovateľnosť je obmedzená obstaraným hardvérom. Rezerva pre rast je však zahrnutá v návrhu.|Flexibilné a takmer neobmedzené škálovanie zdrojov podľa aktuálnej potreby.|Možnosť škálovať cloudovú časť riešenia podľa potreby.
458 +|**Náklady**|Vyššia počiatočná investícia (CAPEX), ale plne predvídateľné a kontrolované prevádzkové náklady (OPEX).|Nižšie počiatočné náklady, ale potenciálne vyššie a menej predvídateľné prevádzkové náklady v dlhodobom horizonte.|Komplexný model nákladov kombinujúci CAPEX a OPEX, riziko skrytých nákladov na integráciu.
459 +
460 +Odporúčanie a záver analýzy
461 +
462 +Na základe technickej nerealizovateľnosti migrácie kľúčových systémov do cloudového alebo hybridného prostredia je on-premise riešenie vyhodnotené ako jediná možná a akceptovateľná alternatíva. Tento prístup je nevyhnutný na zabezpečenie prevádzkovej kontinuity, plnej kontroly nad infraštruktúrou a bezpečnosti v súlade s platnou legislatívou.
463 +
464 +
446 446  5.1.2. Stanovenie alternatív v aplikačnej vrstve architektúry
447 447  
448 448  
... ... @@ -456,24 +456,32 @@
456 456  
457 457  5.2 Náhľad architektúry a popis budúceho cieľového produktu
458 458  
459 -N/A
478 +Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).
460 460  
480 +Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.
461 461  
482 +
462 462  5.3 Biznis vrstva
463 463  
464 -N/A
485 +Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).
465 465  
487 +Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.
466 466  
489 +
467 467  5.4 Aplikačná vrstva
468 468  
469 -N/A
492 +Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).
470 470  
494 +Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.
471 471  
496 +
472 472  5.5 Dátová architektúra
473 473  
474 -N/A
499 +Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).
475 475  
501 +Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.
476 476  
503 +
477 477  5.6 Technologická architektúra
478 478  
479 479  
... ... @@ -505,9 +505,42 @@
505 505  
506 506  5.7 Bezpečnostná architektúra
507 507  
508 -N/A
535 +Bezpečnostná architektúra projektu modernizácie centrálnej IT infraštruktúry je navrhnutá s cieľom vytvoriť robustné, odolné a dôveryhodné prostredie. Primárnym cieľom je mitigovať vysokú hrozbu v oblasti bezpečnosti , ktorá vyplýva z prevádzky na zastaranej technike s verejne známymi kritickými bezpečnostnými chybami. Architektúra je v plnom súlade s požiadavkami Zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti  a princípmi Nariadenia GDPR.
509 509  
537 +**Základné Princípy a Súlad**
538 +Architektúra je postavená na kľúčových princípoch modernej bezpečnosti:
539 +Security by Design & Default: Bezpečnosť nie je doplnkovou funkciou, ale základným stavebným kameňom celého riešenia. Každý komponent je obstarávaný s požiadavkou na integrované bezpečnostné funkcie.
540 +Zero Trust (Nulová dôvera): Riešenie uplatňuje princípy architektúry nulovej dôveryhodnosti, kde je každý prístup k zdrojom overovaný. Vyžaduje sa napríklad overovanie pomocou aplikácie OTP pre zabezpečenie podpory.
541 +Defense in Depth (Hĺbková ochrana): Bezpečnostné opatrenia sú implementované vo viacerých vrstvách, od fyzickej a hardvérovej úrovne až po úroveň správy a monitoringu.
510 510  
543 +Súlad so Zákonom o kybernetickej bezpečnosti (č. 69/2018 Z.z.)
544 +Projekt priamo implementuje bezpečnostné opatrenia vyžadované zákonom a súvisiacimi vyhláškami:
545 +Riadenie aktív a rizík: Projekt je priamou reakciou na identifikované riziká spojené so zastaraným hardvérom a softvérom.
546 +Riadenie prístupu: Je implementované striktné riadenie prístupu na základe rolí (RBAC)  a prístup je obmedzený len na autorizované osoby a protokoly (napr. SSH, HTTPS).
547 +Zaznamenávanie činností: Riešenie zabezpečuje zaznamenávanie zmien konfigurácie a činností servera do denníka auditu, čo je kľúčové pre analýzu bezpečnostných incidentov.
548 +Bezpečnosť sietí a systémov: Nasadením modernej technológie sa eliminujú známe zraniteľnosti. Platforma navyše podporuje iba bezpečné, šifrované protokoly.
549 +Zabezpečenie kontinuity: Vysoká dostupnosť (HA) a nové záložné zdroje napájania (UPS) priamo napĺňajú požiadavku na dostupnosť a odolnosť systémov.
550 +
551 +Súlad s GDPR (Nariadenie (EÚ) 2016/679)
552 +Ako riešenie pre Úrad na ochranu osobných údajov SR, projekt kladie mimoriadny dôraz na ochranu dát v zmysle GDPR:
553 +Technické a organizačné opatrenia (Článok 32 GDPR): Celý projekt predstavuje zásadné technické opatrenie na zaistenie bezpečnosti spracúvania.
554 +Dôvernosť a Integrita: Tieto piliere sú zabezpečené hardvérovými bezpečnostnými modulmi (TPM 2.0, Secure Boot, Root of Trust), šifrovanými protokolmi a mechanizmami na ochranu proti ransomvéru.
555 +Dostupnosť a Odolnosť: Je zabezpečená prostredníctvom redundantných serverov v režime vysokej dostupnosti (HA) , redundantných napájacích zdrojov a ventilátorov  a nových, dostatočne dimenzovaných záložných zdrojov napájania (UPS).
556 +Ochrana dát na médiách: V zmluve je stanovená požiadavka, že chybné disky sa ponechávajú ÚOOU, čím sa zabraňuje úniku dát z vyradených médií.
557 +Ochrana pred neoprávneným prístupom: Fyzická bezpečnosť je posilnená detekciou narušenia šasi  a logický prístup je riadený cez RBAC a silnú autentifikáciu.
558 +
559 +Implementované Technické a Organizačné Opatrenia
560 +Ochrana na hardvérovej a firmvérovej úrovni:
561 +Servery sú vybavené modulom Trusted Platform Module (TPM) 2.0 a funkciami ako Secure Boot a Root of Trust (RoT), ktoré zaisťujú, že sa spúšťa len overený a nepozmenený softvér.
562 +Aktualizácie firmvéru sú digitálne podpísané a procesy sú v súlade s normami FIPS a NIST.
563 +Odolnosť voči kybernetickým hrozbám:
564 +Riešenie musí obsahovať integrované mechanizmy ochrany proti ransomvéru, ako je nemennosť záloh (immutability) a natívna ochrana na úrovni dátového úložiska.
565 +Využíva sa prediktívna analýza porúch na báze umelej inteligencie (AI) na predchádzanie zlyhaniam a odhaľovanie anomálií a bezpečnostných hrozieb v reálnom čase.
566 +Zabezpečenie prevádzky a správy:
567 +Vzdialená správa serverov prebieha výhradne cez zabezpečené a šifrované protokoly (SSH, HTTPS) v režime prísneho zabezpečenia na úrovni CNSA 1.0.
568 +Celá infraštruktúra je prevádzkovaná lokálne (on-premise) v dátových centrách ÚOOU, čo úradu zaručuje plnú fyzickú aj logickú kontrolu nad systémami a dátami.
569 +
570 +
511 511  5.8 Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,
512 512  
513 513  Projekt nemá žiadny legislatívny dopad. Zmena bezpečnostnej architektúry nie je predmetom projektu. Predmetom projektu je dodržanie minimálne súčasnej bezpečnostnej úrovne a vysokej dostupnosti výmenou zariadení. Projekt je zároveň riešený v zmysle minimálne nasledujúcej legislatívy:
XWiki.XWikiComments[22]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.richard\.krchnak@pdp\.gov\.sk
Komentár
... ... @@ -1,0 +1,2 @@
1 +
2 +
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-06-10 00:34:06.34
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +5
XWiki.XWikiComments[23]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.richard\.krchnak@pdp\.gov\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +doplnené na kartu "všetky dokumenty" - I 04-Katalog požiadaviek a PHZ.
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-06-10 00:38:55.26
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +0
XWiki.XWikiComments[24]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.richard\.krchnak@pdp\.gov\.sk
Komentár
... ... @@ -1,0 +1,3 @@
1 +doplnená multikriteriálna analýza alternatív
2 +
3 +
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-06-11 12:31:47.409
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +9
XWiki.XWikiComments[25]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.richard\.krchnak@pdp\.gov\.sk
Komentár
... ... @@ -1,0 +1,3 @@
1 +Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).
2 +
3 +Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-06-11 12:55:24.997
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +10