Naposledy upravil Richard Krchňák 2025/07/24 14:11
Z verzie 34.3
upravil Richard Krchňák
-
Zmeniť komentár: Pridať komentár
Do verzie 35.1
upravil Richard Krchňák
-
Zmeniť komentár: Pre túto verziu nie sú komentáre

Súhrn

Podrobnosti

Vlastnosti stránky
Obsah
... ... @@ -353,9 +353,9 @@
353 353  Projekt nemá žiadny legislatívny dopad. Zmena bezpečnostnej architektúry nie je predmetom projektu. Predmetom projektu je dodržanie minimálne súčasnej bezpečnostnej úrovne a vysokej dostupnosti výmenou zariadení. Projekt je zároveň riešený v zmysle minimálne nasledujúcej legislatívy:
354 354  
355 355  
356 -*
357 -**
358 -***
356 +*
357 +**
358 +***
359 359  **** Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe 
360 360  **** vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy
361 361  **** Zákon č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
... ... @@ -446,7 +446,6 @@
446 446  |Kritérium E|nie|alternatíva 1 je zachovanie statusu quo bez realizácie projektu|áno|Implementáciou alternatívy 2 sa garantuje dlhodobá a bezpečná prevádzka.
447 447  
448 448  
449 -
450 450  **Multikriteriálna analýza alternatív**
451 451  
452 452  V súlade so strategickým smerovaním úradu bola posudzovaná možnosť migrácie systémov do prostredia vládneho cloudu. Analýza však preukázala, že pre špecifické systémy, ktoré sú predmetom tohto projektu, je takýto krok technicky nerealizovateľný. Dôvodom je, že sa jedná o systémy nevyhnutné pre správu a prevádzku lokálnej (on-premise) infraštruktúry a zároveň o zachovávané legacy systémy, ktoré nie sú pre migráciu vhodné. Z tohto dôvodu bola ako jediná možná a akceptovateľná alternatíva vyhodnotená obnova lokálnej on-premise infraštruktúry.
... ... @@ -458,7 +458,6 @@
458 458  |**Škálovateľnosť**|Škálovateľnosť je obmedzená obstaraným hardvérom. Rezerva pre rast je však zahrnutá v návrhu.|Flexibilné a takmer neobmedzené škálovanie zdrojov podľa aktuálnej potreby.|Možnosť škálovať cloudovú časť riešenia podľa potreby.
459 459  |**Náklady**|Vyššia počiatočná investícia (CAPEX), ale plne predvídateľné a kontrolované prevádzkové náklady (OPEX).|Nižšie počiatočné náklady, ale potenciálne vyššie a menej predvídateľné prevádzkové náklady v dlhodobom horizonte.|Komplexný model nákladov kombinujúci CAPEX a OPEX, riziko skrytých nákladov na integráciu.
460 460  
461 -
462 462  Odporúčanie a záver analýzy
463 463  
464 464  Na základe technickej nerealizovateľnosti migrácie kľúčových systémov do cloudového alebo hybridného prostredia je on-premise riešenie vyhodnotené ako jediná možná a akceptovateľná alternatíva. Tento prístup je nevyhnutný na zabezpečenie prevádzkovej kontinuity, plnej kontroly nad infraštruktúrou a bezpečnosti v súlade s platnou legislatívou.
... ... @@ -477,24 +477,32 @@
477 477  
478 478  5.2 Náhľad architektúry a popis budúceho cieľového produktu
479 479  
480 -N/A
478 +Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).
481 481  
480 +Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.
482 482  
482 +
483 483  5.3 Biznis vrstva
484 484  
485 -N/A
485 +Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).
486 486  
487 +Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.
487 487  
489 +
488 488  5.4 Aplikačná vrstva
489 489  
490 -N/A
492 +Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).
491 491  
494 +Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.
492 492  
496 +
493 493  5.5 Dátová architektúra
494 494  
495 -N/A
499 +Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).
496 496  
501 +Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.
497 497  
503 +
498 498  5.6 Technologická architektúra
499 499  
500 500  
... ... @@ -526,9 +526,42 @@
526 526  
527 527  5.7 Bezpečnostná architektúra
528 528  
529 -N/A
535 +Bezpečnostná architektúra projektu modernizácie centrálnej IT infraštruktúry je navrhnutá s cieľom vytvoriť robustné, odolné a dôveryhodné prostredie. Primárnym cieľom je mitigovať vysokú hrozbu v oblasti bezpečnosti , ktorá vyplýva z prevádzky na zastaranej technike s verejne známymi kritickými bezpečnostnými chybami. Architektúra je v plnom súlade s požiadavkami Zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti  a princípmi Nariadenia GDPR.
530 530  
537 +**Základné Princípy a Súlad**
538 +Architektúra je postavená na kľúčových princípoch modernej bezpečnosti:
539 +Security by Design & Default: Bezpečnosť nie je doplnkovou funkciou, ale základným stavebným kameňom celého riešenia. Každý komponent je obstarávaný s požiadavkou na integrované bezpečnostné funkcie.
540 +Zero Trust (Nulová dôvera): Riešenie uplatňuje princípy architektúry nulovej dôveryhodnosti, kde je každý prístup k zdrojom overovaný. Vyžaduje sa napríklad overovanie pomocou aplikácie OTP pre zabezpečenie podpory.
541 +Defense in Depth (Hĺbková ochrana): Bezpečnostné opatrenia sú implementované vo viacerých vrstvách, od fyzickej a hardvérovej úrovne až po úroveň správy a monitoringu.
531 531  
543 +Súlad so Zákonom o kybernetickej bezpečnosti (č. 69/2018 Z.z.)
544 +Projekt priamo implementuje bezpečnostné opatrenia vyžadované zákonom a súvisiacimi vyhláškami:
545 +Riadenie aktív a rizík: Projekt je priamou reakciou na identifikované riziká spojené so zastaraným hardvérom a softvérom.
546 +Riadenie prístupu: Je implementované striktné riadenie prístupu na základe rolí (RBAC)  a prístup je obmedzený len na autorizované osoby a protokoly (napr. SSH, HTTPS).
547 +Zaznamenávanie činností: Riešenie zabezpečuje zaznamenávanie zmien konfigurácie a činností servera do denníka auditu, čo je kľúčové pre analýzu bezpečnostných incidentov.
548 +Bezpečnosť sietí a systémov: Nasadením modernej technológie sa eliminujú známe zraniteľnosti. Platforma navyše podporuje iba bezpečné, šifrované protokoly.
549 +Zabezpečenie kontinuity: Vysoká dostupnosť (HA) a nové záložné zdroje napájania (UPS) priamo napĺňajú požiadavku na dostupnosť a odolnosť systémov.
550 +
551 +Súlad s GDPR (Nariadenie (EÚ) 2016/679)
552 +Ako riešenie pre Úrad na ochranu osobných údajov SR, projekt kladie mimoriadny dôraz na ochranu dát v zmysle GDPR:
553 +Technické a organizačné opatrenia (Článok 32 GDPR): Celý projekt predstavuje zásadné technické opatrenie na zaistenie bezpečnosti spracúvania.
554 +Dôvernosť a Integrita: Tieto piliere sú zabezpečené hardvérovými bezpečnostnými modulmi (TPM 2.0, Secure Boot, Root of Trust), šifrovanými protokolmi a mechanizmami na ochranu proti ransomvéru.
555 +Dostupnosť a Odolnosť: Je zabezpečená prostredníctvom redundantných serverov v režime vysokej dostupnosti (HA) , redundantných napájacích zdrojov a ventilátorov  a nových, dostatočne dimenzovaných záložných zdrojov napájania (UPS).
556 +Ochrana dát na médiách: V zmluve je stanovená požiadavka, že chybné disky sa ponechávajú ÚOOU, čím sa zabraňuje úniku dát z vyradených médií.
557 +Ochrana pred neoprávneným prístupom: Fyzická bezpečnosť je posilnená detekciou narušenia šasi  a logický prístup je riadený cez RBAC a silnú autentifikáciu.
558 +
559 +Implementované Technické a Organizačné Opatrenia
560 +Ochrana na hardvérovej a firmvérovej úrovni:
561 +Servery sú vybavené modulom Trusted Platform Module (TPM) 2.0 a funkciami ako Secure Boot a Root of Trust (RoT), ktoré zaisťujú, že sa spúšťa len overený a nepozmenený softvér.
562 +Aktualizácie firmvéru sú digitálne podpísané a procesy sú v súlade s normami FIPS a NIST.
563 +Odolnosť voči kybernetickým hrozbám:
564 +Riešenie musí obsahovať integrované mechanizmy ochrany proti ransomvéru, ako je nemennosť záloh (immutability) a natívna ochrana na úrovni dátového úložiska.
565 +Využíva sa prediktívna analýza porúch na báze umelej inteligencie (AI) na predchádzanie zlyhaniam a odhaľovanie anomálií a bezpečnostných hrozieb v reálnom čase.
566 +Zabezpečenie prevádzky a správy:
567 +Vzdialená správa serverov prebieha výhradne cez zabezpečené a šifrované protokoly (SSH, HTTPS) v režime prísneho zabezpečenia na úrovni CNSA 1.0.
568 +Celá infraštruktúra je prevádzkovaná lokálne (on-premise) v dátových centrách ÚOOU, čo úradu zaručuje plnú fyzickú aj logickú kontrolu nad systémami a dátami.
569 +
570 +
532 532  5.8 Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,
533 533  
534 534  Projekt nemá žiadny legislatívny dopad. Zmena bezpečnostnej architektúry nie je predmetom projektu. Predmetom projektu je dodržanie minimálne súčasnej bezpečnostnej úrovne a vysokej dostupnosti výmenou zariadení. Projekt je zároveň riešený v zmysle minimálne nasledujúcej legislatívy:
... ... @@ -555,7 +555,7 @@
555 555  Predmetné riešenie je implementované na dedikovanom hardvéri a prevádzkované v lokálnej infraštruktúre (on-premise) v priestoroch úradu. Jeho primárnou funkciou je zabezpečenie chodu kľúčových prvkov lokálnej siete a hosťovanie legacy systémov, ktoré nie je možné migrovať do cloudového prostredia. Keďže správa, údržba a prevádzkové kapacity sú plne zabezpečované internými zdrojmi úradu, neuzatvára sa zmluvná Dohoda o úrovni poskytovaných služieb (SLA) s externým dodávateľom.
556 556  
557 557  
558 -1.
597 +1.
559 559  11. Požiadavky na ľudské zdroje potrebné pre zabezpečenie prevádzky
560 560  
561 561  **Riadiaci výbor (RV) **minimálne v nasledovnom zložení: