I-02 Projektový zámer (projektovy_zamer)

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

40

41

42

43

2.1 Použité skratky a pojmy

44

45

|**SKRATKA/POJEM**|**POPIS**

46

|HW|Hardvér

47

|SW|Softvér

48

|ÚOOU, Úrad|Úrad na ochranu osobných údajov Slovenskej republiky

49

|KiS|Komplexný informačný systém

50

|OVM|Orgán verejnej moci

51

|RAID|Redundantné pole nezávislých diskov (Redundant Array of Independent Disks)

52

|OIKT|Oddelenie informačných a komunikačných technológií

53

|AI|Umelá inteligencia (Artificial Intelligence)

54

|ECC|Error-Correcting Code (Kód na opravu chýb)

55

|FC|Fibre Channel (Typ rozhrania pre vysokorýchlostný prenos dát)

56

|FIPS|Federal Information Processing Standards (Federálne štandardy pre spracovanie informácií)

57

|FW|Firmvér (Softvér nízkej úrovne pre hardvér)

58

|GB|Gigabajt (Jednotka kapacity dát)

59

|Gbps|Gigabitov za sekundu (Jednotka rýchlosti prenosu dát)

60

|HA|Vysoká dostupnosť (High Availability)

61

|IT|Informačné technológie

62

|KIB|Kybernetická a informačná bezpečnosť

63

|KO|Knock-out (kritérium) – vylučovacie kritérium

64

|LDAP|Lightweight Directory Access Protocol (Protokol pre prístup k adresárovým službám)

65

|MD|Človekodeň (Man-Day)

66

|NLP|Natural Language Processing (Spracovanie prirodzeného jazyka)

67

|NS1/NS2|Name Server 1 / Name Server 2 (Primárny/Sekundárny názvový server pre DNS)

68

|NVMe|Non-Volatile Memory Express (Rozhranie pre vysokorýchlostné SSD disky)

69

|OS|Operačný systém

70

|OTP|Jednorazové heslo (One-Time Password)

71

|PCIe|Peripheral Component Interconnect Express (Typ zbernice pre pripojenie komponentov)

72

|QoS|Kvalita služieb (Quality of Service)

73

|RAM|Operačná pamäť (Random Access Memory)

74

|RBAC|Riadenie prístupu na základe rolí (Role-Based Access Control)

75

|RoT|Koreň dôvery (Root of Trust)

76

|SDDC/ADDDC|Technológie pre pamäťové moduly (napr. Single/Adaptive Double Device Data Correction)

77

|SSD|Polovodičový disk (Solid State Drive)

78

|SSH|Secure Shell (Protokol pre zabezpečený vzdialený prístup)

79

|TB|Terabajt (Jednotka kapacity dát)

80

|TPM|Trusted Platform Module (Hardvérový modul pre bezpečnostné funkcie)

81

|UAT|Používateľské akceptačné testovanie (User Acceptance Testing)

82

|UPS|Neprerušiteľný zdroj napájania (Uninterruptible Power Supply)

83

|VM|Virtuálny stroj (Virtual Machine)

84

85

Tabuľka 1 Skratky a pojmy

86

87

2.2. Konvencie pre typy požiadaviek (príklady)

N/A

3. DEFINOVANIE PROJEKTU

94

95

96

3.1. Manažérske zhrnutie

97

98

Projekt rieši kritickú potrebu modernizácie centrálnej IT infraštruktúry ÚOOU z dôvodu prevádzky systémov na zastaranej, nepodporovanej a bezpečnostne rizikovej technike. Cieľom je zvýšenie bezpečnosti, zabezpečenie súladu s legislatívou (Zákon č. 69/2018 Z. z., Vyhláška NBÚ 362/2018 Z. z.) a zvýšenie celkovej stability a spoľahlivosti IT prostredia. Projekt zahŕňa obmenu zastaranej infraštruktúry, tiež optimalizáciu (znižovanie počtu) potrebného počtu zariadení, obstaranie záložných zdrojov napájania na ochranu proti výpadkom a prepätiu.

99

100

Predpokladaná hodnota riešenia je 245 166,67 € bez DPH (301 555,00 € s DPH). Výsledky uskutočneného projektu budú slúžiť Úradu a verejnosti.

3.2 Motivácia a rozsah projektu

105

106

Potreba obmeny zastaralých častí infraštruktúry vyplýva zo skutočnosti, že viacero systémov a aplikácií úradu je prevádzkovaných na zastaranej technike, ktorá je nepodporovaná a zastaranom softvéry, ktorý je nepodporovaný a obsahuje verejne známe kritické bezpečnostné chyby, resp. zraniteľnosti, a tým predstavuje vysokú hrozbu v oblasti bezpečnosti. Z dôvodu zvýšenia bezpečnosti je preto potrebné tieto aplikácie prevádzkovať v prostredí, ktoré zodpovedá bezpečnostným požiadavkám vyplývajúcim aj z aktuálne platných právnych predpisov, ako je Zákon č. 69/2018 Z. z., Vyhláška NBÚ 362/2018 Z. z. a s nimi súvisiace predpisy, ktoré sú pre úrad záväzné.

107

108

Jedná sa o Proxmox V6.4 cluster, s virtuálnymi servermi v móde ako container, teda nadstavba OS Proxmox. Samotný OS nie je možné aktualizovať na aktuálnu verziu. HW na ktorom je cluster prevádzkovaný je zastaraný a nepodporovaný (5-8 rokov). Na clustery sú prevádzkované systémy, ktoré sú pre chod úradu a poskytovanie služieb nevyhnutné, ako napríklad doménový radič, mail relay server, NS1, NS2. Rovnako sú na ňom prevádzkované už neaktuálne systémy, ktoré je ale potrebné udržiavať z dôvodov vychádzajúcich z legislatívy, ale aj z praktických a potrebných dôvodov.

109

110

Úrad disponuje jedným záložným zdrojom 3000 VA, na ktorom je prevádzkovaných 7 serverov, diskové pole, 6 switchow, firewall a iné zariadenia. Pre túto potrebu je tento jediný záložný zdroj absolútne nedostačujúci, ako v počte, tak kapacitne. V prípade výpadku el. energie nemôže doisť ku „gracefull shutdown“ nakoľko záložny zdroj uvedené systémy neudrží v code dostatočne dlho.

111

112

V rámci tejto problematiky je nutná obmena uvedenej zastaranej centrálnej infraštruktúry s virtualizáciu prostredia, ktorá zahŕňa predovšetkým výmenu starých serverov za nové servery. Úrad ďalej plánuje na túto infraštruktúru preniesť zachovávané systémy a vytvoriť nanovo aktívne systémy, ktorých os a ostatný softvér je tiež zastaraný a nepodporovaný. Táto činnosť však už nie je súčasťou tohto projektu.

113

114

Tiež je potrebné, z dôvodu ochrany voči výpadkom elektrickej energie, zabezpečiť záložné zdroje v dostatočnom počte a kapacite.

115

116

117

__**Predmetom projektu je výhradne obstaranie a implementácia komplexného technologického riešenia. Tento proces zahŕňa dodávku všetkých hardvérových a softvérových komponentov, vrátane súvisiacich záruk a odborných inštalačných služieb, v presne definovanom rozsahu podľa technickej špecifikácie projektu.**__

118

119

__**Akékoľvek nadväzujúce činnosti, ako sú dlhodobá prevádzka, systémová správa či budúce úpravy, sú explicitne mimo rozsahu tohto projektu a budú v plnej miere zabezpečované internými kapacitami úradu.**__

120

121

122

3.3 Zainteresované strany (Stakeholderi)

123

124

125

|ID|AKTÉR / STAKEHOLDER|(((

SUBJEKT

(názov / skratka)

)))|ROLA

|1.|Úrad na ochranu osobných údajov SR|ÚOOU|Oddelenie informačných a komunikačných technológií

131

|2.|Občan / podnikateľ|verejnosť|Spracovateľ formou podania žiadosti

132

133

Tabuľka 2 Zainteresované strany (Stakeholderi)

3.4. Ciele projektu

Cieľom projektu je obmeniť zastaranú centrálnu IT infraštruktúru: Nahradiť nepodporované a rizikové servery a úložisko novým HW a SW riešením.

140

141

Zvýšiť úroveň informačnej a kybernetickej bezpečnosti: Prevádzkovať systémy na podporovanej a aktualizovanej infraštruktúre, čím sa eliminujú známe bezpečnostné zraniteľnosti.

142

143

Zabezpečiť súlad s legislatívou: Zosúladiť prevádzkované prostredie s požiadavkami Zákona č. 69/2018 Z. z., Vyhlášky NBÚ č. 362/2018 Z. z. a súvisiacich predpisov.

144

145

Implementovať aktuálnu virtualizáciu prostredia: Zvýšiť efektivitu využitia hardvéru a flexibilitu správy systémov.

146

147

Zabezpečiť kontinuitu prevádzky pri výpadkoch napájania: Obstarať a implementovať záložné zdroje napájania vrátane prepäťovej ochrany pre kľúčovú infraštruktúru v serverovni.

148

149

Minimalizovať riziko straty dát a poškodenia infraštruktúry: Znížiť riziko vyplývajúce zo zastaranej techniky a nestability napájania.

150

151

152

Projekt „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“ je zameraný na obmenu zastaranej centrálnej IT infraštruktúry, budú nahradené nepodporované a rizikové servery a úložisko novým HW a SW riešením. Predkladaný projekt nie je v nesúlade s kľúčovými princípmi a strategickými cieľmi Národnej koncepcie informatizácie verejnej správy (NKIVS).

153

154

155

Prevádzková stratégia Úradu na ochranu osobných údajov SR je postavená na hybridnom IT modeli. V súlade s princípom "cloud-first", sú všetky kľúčové produkčné systémy umiestnené vo vládnom cloude. Paralelne s tým úrad na lokálnej úrovni (on-premise) prevádzkuje nevyhnutnú technologickú infraštruktúru a staršie (legacy) systémy. Tieto systémy je povinný udržiavať z legislatívnych a archivačných dôvodov, napriek ich funkčnému nahradeniu novšími cloudovými aplikáciami.

156

157

Nevyhnutnú technologická infraštruktúra:

Doménový radič

WSUS

NS1, NS2

Email a email relay

Lokálny dohľad

Majetok – je plánovaný prechod na CES

170

171

Účtovníctvo – je plánovaný prechod na CES

Staršie (legacy) systémy:

176

177

178

UPVS Konektor pre ESPIS: Zabezpečuje uchovávanie historických dát o konektivite, ktoré môžu byť kľúčové pre auditné záznamy, analýzy dátových tokov alebo rekonštrukciu minulých operácií.

179

180

181

Registratúra: Obsahuje historické registratúrne záznamy, ktoré sú nevyhnutné pre dodržiavanie legislatívnych požiadaviek na archiváciu dokumentov, právnu ochranu a zabezpečenie kontinuity informácií.

182

183

Registre zodpovedných osôb: Poskytujú prehľad o personálnej zodpovednosti v minulosti, čo je dôležité pre identifikáciu kompetencií, riešenie incidentov alebo preukázanie súladu s internými predpismi a externými reguláciami.

184

185

Dochádzka: Eviduje historické údaje o dochádzke zamestnancov, ktoré sú relevantné pre účtovné účely, personálne audity a prípadné preukazovanie pracovného času v súlade s pracovnoprávnymi predpismi.

186

187

188

**Tieto systémy, napriek ich neaktívnemu stavu z hľadiska každodennej prevádzky, predstavujú nevyhnutnú súčasť infraštruktúry pre zachovanie historickej integrity, splnenie legislatívnych požiadaviek a podporu potenciálnych budúcich analytických alebo auditných potrieb. V priebehu roku 2029 budú uvedené systémy vypnuté.**

189

190

191

|ID|Názov cieľa|Názov strategického cieľa|Spôsob realizácie strategického cieľa

192

|1|Obmeniť zastaranú centrálnu IT infraštruktúru|Komplexné riešenie virtualizačnej platformy|Obstaraním riešenia

193

194

Tabuľka 3 Ciele projektu

195

196

197

3.5 Merateľné ukazovatele (KPI)

198

199

|ID|ID/Názov cieľa|Názov

200

ukazovateľa (KPI)|Popis

201

ukazovateľa|Merná jednotka

|AS IS

merateľné hodnoty

(aktuálne)|TO BE

Merateľné hodnoty

(cieľové hodnoty)|Spôsob ich merania a Pozn.

207

|1.|(% colspan="1" rowspan="6" %)Obmeniť zastaranú centrálnu IT infraštruktúru|Nahradenie hardvéru po životnosti|Percentuálny podiel serverov a úložných systémov starších ako 5 rokov, ktoré boli v rámci projektu plne nahradené novým riešením|%|0 |100|Fyzická kontrola inštalovaných zariadení, inventarizácia majetku a preberací protokol

208

|2.|Eliminácia nepodporovaného softvéru|Prevádzka virtualizačnej platformy na plne podporovanej verzii softvéru od výrobcu (napr. Windows Server 2025 Datacenter), bez verejne známych kritických zraniteľností|Áno / Nie (stav)|(((

209

Nie

210

211

(prevádzka na nepodporovanej verzii Proxmox V6.4)

212

)))|(((

213

Áno

214

)))|Audit verzie softvéru na nových serveroch, výpis z konfiguračného manažmentu

215

|3.|Dostatočná kapacita záložných zdrojov (UPS)|Celková inštalovaná kapacita nových záložných zdrojov napájania (UPS) pre ochranu kľúčovej infraštruktúry

216

v serverovni|VA / W|(((

217

3000 VA

218

219

(absolútne nedostačujúci stav)

220

)))|6000 VA / 5400 W|Fyzická kontrola a overenie technickej špecifikácie dodaných a inštalovaných UPS zariadení

221

|4.| | | | | |

222

|5.| | | | | |

223

|6.|Zmluvne garantovaná záruka a podpora|Existencia zmluvného vzťahu garantujúceho minimálne 5-ročnú záruku na celé dodané riešenie s podporou na mieste inštalácie (on-site) a reakčnou dobou do 24 hodín|Áno / Nie (stav)|(((

Nie

(pre nové riešenie)

)))|Áno|Kontrola obsahu a platnosti uzatvorenej zmluvy s úspešným uchádzačom

228

229

Tabuľka 4 Merateľné ukazovatele (KPI)

3.6 Špecifikácia potrieb koncového používateľa

234

235

236

Koncoví používatelia (zamestnanci ÚOOU, občania, podnikatelia využívajúci služby úradu) nevyužívajú priamo predmetnú centrálnu infraštruktúru (servery, diskové pole, UPS). Ich potreby sú však napĺňané nepriamo prostredníctvom zabezpečenia stabilnej, bezpečnej a nepretržitej prevádzky informačných systémov a aplikácií, ktoré na tejto infraštruktúre bežia. Obmena infraštruktúry a zabezpečenie záložného napájania sú kľúčové pre minimalizáciu výpadkov, ochranu dát a udržanie požadovanej úrovne služieb poskytovaných koncovým používateľom.

237

238

239

3.7 Detailný opis obmedzení a predpokladov

240

241

242

**Vymedzenie rozsahu projektu (Obmedzenia)**

243

244

Predmetom projektu je komplexná modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR (ÚOOU). Nasledujúce body detailne špecifikujú, čo je a čo nie je súčasťou tohto projektu:

245

246

* **Súčasťou projektu je:**

247

** Obmena zastaranej centrálnej IT infraštruktúry, vrátane serverov a úložiska (clusteru).

248

** Optimalizácia (znižovanie počtu) potrebného počtu zariadení.

249

** Obstaranie a implementácia nového virtualizačného riešenia v rackovom prevedení, pozostávajúceho zo serverov konfigurovaných vo vysokej dostupnosti (HA) a úložiska.

250

** Integrované mechanizmy ochrany proti ransomvéru (napr. nemennosť záloh - immutability) a pokročilé dátové služby.

251

** Obstaranie nových záložných zdrojov napájania (UPS) s celkovou kapacitou 6000 VA/5400 W na ochranu proti výpadkom elektrickej energie a prepätiu pre kľúčovú infraštruktúru v serverovni.

252

** Dodávka komplexného funkčného riešenia vrátane odbornej inštalácie, konfigurácie a zaškolenia administrátorov.

253

** Dodávka všetkého potrebného inštalačného a spotrebného materiálu, periférií, softvéru a licencií pre 10 virtuálnych strojov (VM) a 66 používateľov.

254

** Zabezpečenie minimálne 5-ročnej záruky garantovanej výrobcom na celé riešenie, poskytovanej na mieste inštalácie s reakčnou dobou do 24 hodín (nahlasovanie 24x7), vrátane možnosti uplatnenia si záruky priamo u výrobcu. Chybné disky sa ponechávajú ÚOOU. Ovládače a firmvér (FW) musia byť dostupné aj po skončení záruky.

255

** Poskytnutie po-inštalačnej podpory v rámci dodania v rozsahu maximálne 1 človekodeň (MD) na mieste a neobmedzenej telefonickej podpory po dobu 2 týždňov od dodania.

256

** Nové riešenie musí bežať on-premise (v dátových centrách ÚOOU) minimálne na operačnom systéme Windows Server 2025 v edícii Datacenter.

257

* **Nie je súčasťou projektu:**

258

** Prenos zachovávaných systémov na novú infraštruktúru a vytváranie nanovo aktívnych systémov, ktorých operačný systém a ostatný softvér je tiež zastaraný a nepodporovaný. Táto činnosť nie je súčasťou tohto projektu.

259

** Zásadné zmeny v aplikačnej vrstve existujúcich informačných systémov, ktoré budú na novej infraštruktúre prevádzkované.

260

** Zmena celkovej architektúry informačných systémov ÚOOU.

261

** Zmena bezpečnostnej architektúry (projekt má za cieľ dodržať minimálne súčasnú bezpečnostnú úroveň).

262

** Personálne náklady interného projektového tímu (členovia tímu nebudú na aktivity v rámci projektu čerpať žiadne priame finančné prostriedky z rozpočtu projektu).

263

264

**Dôvody pre vymedzenie rozsahu projektu**

265

266

* Projekt primárne rieši kritickú a nevyhnutnú potrebu obnovy základnej hardvérovej a základnej softvérovej infraštruktúry (virtualizácia, OS) a zabezpečenia napájania. Ide o vynútenú investíciu z dôvodu prevádzky systémov na zastaranej, nepodporovanej a bezpečnostne rizikovej technike.

267

* Alternatíva "nulového variantu" (ponechanie súčasného stavu) bola vyhodnotená ako neakceptovateľná z dôvodu vysokých bezpečnostných a operačných rizík.

268

* Zameranie na technologickú obnovu je považované za jedinú akceptovateľnú cestu pre mitigáciu identifikovaných rizík.

269

270

**Predpoklady pre úspešnú realizáciu projektu**

271

272

Pre úspešnú realizáciu projektu sa predpokladá splnenie nasledujúcich podmienok:

273

274

* **Finančné predpoklady:**

275

** Celková predpokladaná hodnota zákazky (PHZ) projektu je stanovená na 290 000,00 EUR bez DPH (245 166,67EUR s DPH). Virtualizačné riešenie má predpokladanú hodnotu 301 555,00€ bez DPH.

276

** Alokovaný rozpočet bude v plnej výške k dispozícii na pokrytie nákladov spojených s aktivitou „Nákup technických prostriedkov, programových prostriedkov a služieb“.

277

* **Technické a realizačné predpoklady:**

278

** Dodávateľ vybraný v rámci transparentného verejného obstarávania dodá komplexné funkčné riešenie spĺňajúce všetky minimálne technické požiadavky špecifikované v kapitole 5.6 dokumentu, vrátane serverov, úložiska, UPS, softvéru, licencií, inštalácie, konfigurácie, školení a následnej podpory.

279

** Minimálne technické špecifikácie budú finálne aktualizované pred začatím obstarávania s ohľadom na možný technologický vývoj a zmeny trhových podmienok.

280

** Implementácia a prevádzka nového riešenia bude prebiehať v dátových centrách ÚOOU.

281

** Nová infraštruktúra zabezpečí zvýšenie bezpečnosti, súlad s relevantnou legislatívou (najmä Zákon č. 69/2018 Z. z., Vyhláška NBÚ 362/2018 Z. z.), zvýšenie stability a spoľahlivosti IT prostredia a kontinuitu prevádzky pri výpadkoch napájania.

282

** Riešenie umožní prevádzku kľúčových systémov úradu nevyhnutných pre jeho chod a poskytovanie služieb.

283

** Dodávateľ bude schopný garantovať a v prípade potreby za odplatu zabezpečiť podporu na diaľku alebo na mieste certifikovaným technikom pre nasledujúce 2 roky po uplynutí po-inštalačnej podpory.

284

* **Projektové a organizačné predpoklady:**

285

** Projekt bude realizovaný v súlade so stanoveným harmonogramom: Prípravná a Iniciačná fáza (05/2025 – 05/2025), Realizačná fáza (08/2025 – 10/2025), Dokončovacia fáza (11/2025 – 12/2025).

286

** Definovaný projektový tím, vrátane Riadiaceho výboru (RV) ako najvyššej autority, bude plne funkčný a jeho členovia budú k dispozícii a budú si plniť pridelené roly a zodpovednosti.

287

** Interní členovia projektového tímu zabezpečia svoje aktivity v rámci projektu bez nároku na priame finančné prostriedky z rozpočtu projektu.

288

* **Legislatívne predpoklady:**

289

** Realizáciou projektu sa dosiahne súlad s aktuálne platnými právnymi predpismi, najmä Zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a Vyhláškou NBÚ č. 362/2018 Z. z.

290

** Projekt bude realizovaný v zmysle relevantnej legislatívy uvedenej v kapitole 4 projektového zámeru.

291

** Projekt zachová minimálne súčasnú bezpečnostnú úroveň a vysokú dostupnosť systémov.

292

293

**Spôsob integrácie na centrálne platformy VS SR**

294

295

Projekt „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“ má bez priameho dopadu na integráciu s centrálnymi platformami verejnej správy, akými sú Ústredný portál verejnej správy (ÚPVS), Identity and Access Management (IAM), Nová generácia sietí pre štátne orgány (NGSR) alebo elektronické schránky.

296

297

Odôvodnenie:

298

Charakter projektu: Predmetom projektu je výhradne technologická obmena hardvérovej a základnej softvérovej infraštruktúry (servery, úložisko, virtualizácia, OS).

299

Rozsah projektu: Projektový zámer explicitne uvádza, že jeho súčasťou nie sú zásadné zmeny v aplikačnej vrstve existujúcich informačných systémov, ani zmena ich celkovej architektúry.

300

Funkcia integrácií: Integrácie na centrálne platformy sú realizované na úrovni aplikačnej vrstvy informačných systémov, ktoré sú na danej infraštruktúre prevádzkované. Keďže tieto aplikácie sa v rámci projektu nemenia, ich existujúce integračné väzby zostávajú plne zachované a nedotknuté.

301

302

Nová infraštruktúra bude poskytovať stabilné, bezpečné a výkonné prostredie pre beh existujúcich aplikácií, ktoré budú naďalej zabezpečovať komunikáciu s centrálnymi platformami rovnakým spôsobom ako doteraz. Z tohto dôvodu nie je potrebné pripravovať samostatný integračný plán.

303

304

305

3.8 Vyhodnotenie rizík a závislostí

306

307

308

Tabuľka 5 Prehľad najzávažnejších rizík a závislostí

309

310

311

|1.|neúspešné verejné obstarávanie|C2|V prípade verejného obstarávania, do ktorého sa nikto neprihlási, alebo pri ktorom nedôjde k uzavretiu zmluvy a dodaniu obstarávaného riešenia, dôjde k predĺženiu trvania rizikového stavu.|Po neúspešnom verejnom obstarávaní bude potrebné vyhlásiť nové VO.

312

|2.|meškanie dodávky HW/ nedodanie HW|B2|V prípade meškania dodania obstarávaného riešenia, riziko predstavuje predĺženie trvania rizikového stavu..|Včasné schválenie prostriedkov na nákup HW, včasná a kvalitná príprava podkladov pre verejné obstarávanie, jasne stanovené míľniky v zmluve s dodávateľom.

313

|3.|výpadok diskového úložiska|A2|V prípade poruchy aktuálneho riešenia z akéhokoľvek dôvodu môže doisť k vážnemu narušeniu až zastaveniu služieb verejnosti, paralýzu vnútorných procesov úradu a straty dát nevyhnutných pre konania, čo by malo fatálny dopad na plnenie úloh a reputáciu úradu.|Realizácia projektu podľa harmonogramu.

314

315

V súčasnosti nie sú evidované závislosti na iných informačných systémoch alebo projektoch.

3.9 Detailný opis rozpočtu projektu a jeho prínosov

320

321

Predmetné je popísané v samostatnej prílohe dokument M-05 Analýza nákladov a prínosov (xls. BC/CBA) v predpísanej štruktúrovanej forme.

322

323

324

__Kľúčové prínosy z hľadiska nákladov:__

325

326

**Minimalizácia nákladov na odstraňovanie bezpečnostných incidentov:**

327

328

Projekt rieši prevádzku na zastaranej a bezpečnostne rizikovej technike.

329

330

Implementáciou nového riešenia sa predchádza vysokým finančným nákladom, ktoré by vznikli pri odstraňovaní následkov bezpečnostných incidentov (napr. útok ransomvéru, strata dát). Ponechanie súčasného stavu bolo vyhodnotené ako neakceptovateľné z dôvodu vysokých bezpečnostných a operačných rizík.

331

332

333

**Úspora prevádzkových nákladov na energie a správu:**

334

335

Modernizácia a konsolidácia infraštruktúry povedie k úsporám na energiách a nákladoch spojených so správou menšieho počtu efektívnejších zariadení. Projekt priamo zahŕňa „optimalizáciu (znižovanie počtu) potrebného počtu zariadení“.

336

337

338

**Ochrana pred fatálnymi finančnými dopadmi:**

339

340

Jedným z najväčších rizík súčasného stavu je možný výpadok diskového úložiska, ktorý by mohol spôsobiť „vážne narušenie až zastavenie služieb verejnosti, paralýzu vnútorných procesov úradu a straty dát“. Realizácia projektu predchádza týmto rizikám, ktorých finančný dopad by bol fatálny.

341

342

343

**Hospodárnosť riešenia:**

344

345

V porovnaní s alternatívou "nulového variantu" (ponechanie statusu quo) je realizácia projektu vyhodnotená ako hospodárnejšia, pretože minimalizuje hrozby a tým aj možné budúce náklady na odstraňovanie ich dôsledkov.

346

347

348

**Súlad s požiadavkami Zákona o kybernetickej bezpečnosti**

349

Projektová dokumentácia definuje rozsiahle technické a organizačné opatrenia, ktoré zabezpečujú súlad s požiadavkami na odolnosť a bezpečnosť vyplývajúcimi zo Zákona

350

č. 69/2018 Z.z. a súvisiacich predpisov.

351

352

353

3.9.1 Sumarizácia nákladov a prínosov

354

355

356

Uveďte prehľad nákladov a prínosov vychádzajúci z dokumentu M-05 Analýza nákladov a prínosov

357

358

| |Spolu|KOmplexné obstaranie virualizazačnej platformy|(((

Názov

modulu

)))

|Náklady| | |

|Všeobecný materiál| | |

|IT - CAPEX| | |

|Aplikácie| | |

|SW| | |

|HW|301 555,00 € s DPH|301 555,00 EUR s DPH|

369

|Riadenie projektu| | |

370

|IT - OPEX- prevádzka| | |

|Aplikácie| | |

|SW| | |

|HW| | |

|Prínosy| | |

|Finančné prínosy| | |

376

|Administratívne poplatky| | |

377

|Ostatné daňové a nedaňové príjmy| | |

378

|Ekonomické prínosy| | |

|Občania (€)| | |

|Úradníci (€)| | |

|Úradníci (FTE)| | |

|Kvalitatívne prínosy| | |

383

| | | |

384

385

Tabuľka 6 Sumarizácia nákladov a prínosov

386

387

388

3.9.2 Zdroj financovania

389

390

391

0EK financované zo štátneho rozpočtu

392

393

394

3.10 Harmonogram projektu

395

396

397

|ID|FÁZA/AKTIVITA|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))|POZNÁMKA

|1.|Prípravná fáza a Iniciačná fáza|05/2025| 07/2025|

407

|2.|Realizačná fáza - Obstarávanie|08/2025|10/2025|

408

|3.|Dokončovacia fáza|11/2025|12/2025|

409

|4. |5 ročná záruka|01/2026|12/2030|

410

411

Projekt bude riadený metódou Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

412

413

414

3.11. Návrh organizačného zabezpečenia projektu (projektový tím)

415

416

Projektoví tím bude hradený z vlastných zdrojov úradu.

417

418

419

**Riadiaci výbor (RV) **minimálne v nasledovnom zložení:

* Predseda RV

* Biznis vlastník

* Zástupca prevádzky

* Projektový manažér realizátora projektu (Objednávateľa) (PM)

425

426

**Projektový tím projektu:**

427

428

* IT analytik/architekt - biznis analytik/kľúčový používateľ

429

* manažér IT prevádzky

430

* manažér kybernetickej a informačnej bezpečnosti

4. LEGISLATÍVA

Projekt nemá žiadny legislatívny dopad. Zmena bezpečnostnej architektúry nie je predmetom projektu. Predmetom projektu je dodržanie minimálne súčasnej bezpečnostnej úrovne a vysokej dostupnosti výmenou zariadení. Projekt je zároveň riešený v zmysle minimálne nasledujúcej legislatívy:

*

**

***

**** Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe

441

**** vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy

442

**** Zákon č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

443

**** Zákon č. 357/2015 Z. z. o finančnej kontrole a audite a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

444

**** Zákon č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov

445

**** Zákon č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy

446

**** Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám (zákon o slobode informácií)

447

**** Zákon č. 177/2018 Z. z. o niektorých opatreniach na znižovanie administratívnej záťaže využívaním informačných systémov verejnej správy

448

**** Zákon č.69/2018 Z. z. o kybernetickej bezpečnosti

449

**** Vyhláška č.401/2023 Z. z. o riadení projektov

450

**** Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

451

**** Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov

452

**** Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

453

454

5. ARCHITEKTÚRA RIEŠENIA PROJEKTU

455

456

457

5.1 Stanovenie alternatív architektúry riešenia

458

459

460

**Architektúra AS IS:**

461

462

[[image:1749804174688-994.png]]

463

464

465

**Architektúra TO BE:**

466

467

[[image:1749804231349-810.png]]

468

469

470

5.1.1 Stanovenie alternatív v biznisovej vrstve architektúry

471

472

Vzhľadom na kritickú povahu identifikovaných problémov ako je prevádzka na zastaranej, bezpečnostne nevyhovujúcej infraštruktúre a absencia adekvátneho záložného napájania, projekt primárne rieši nevyhnutnú technologickú obnovu a zabezpečenie základnej prevádzkovej stability a bezpečnosti. Alternatíva "nulového variantu" (ponechanie súčasného stavu) bola vyhodnotená ako neakceptovateľná z dôvodu vysokých rizík. Posudzovanie alternatív na úrovni rôznych biznisových prístupov nebolo relevantné, nakoľko ide o vynútenú investíciu do základnej infraštruktúry.

473

474

475

**Architektonická kontrola počas realizácie projektu**

476

477

Počas realizačnej fázy je akákoľvek odchýlka od schváleného projektového zámeru a jeho detailnej technickej špecifikácie považovaná za zmenu, ktorá podlieha formálnemu procesu. Keďže projektový tím má daný minimálny priestor na zmeny, proces je navrhnutý tak, aby bol reštriktívny a každú zmenu dôkladne posúdil.

478

479

Proces riadenia zmien (Change Management):

480

Identifikácia a spracovanie požiadavky na zmenu (Change Request - CR): Akákoľvek potreba zmeny (napr. úprava technických parametrov, zmena v rozsahu dodávky) musí byť formalizovaná. Za vypracovanie požiadavky na zmenu a návrh jej prioritizácie je zodpovedný Projektový manažér.

481

Posúdenie dopadov a stanoviská: Požiadavku na zmenu posudzujú kľúčové roly z viacerých hľadísk:

482

IT Architekt: Posudzuje technický dopad zmeny na navrhovanú architektúru a zabezpečuje, aby bola zachovaná jej konzistentnosť a súlad s pôvodným zadaním.

483

Biznis vlastník: Posudzuje zmenu z pohľadu biznisových potrieb, prínosov a opodstatnenosti.

484

Manažér kybernetickej a informačnej bezpečnosti: Posudzuje dopad zmeny na bezpečnostnú architektúru, súlad s legislatívou a bezpečnostnými štandardmi.

485

Schválenie Riadiacim výborom (RV): Projektový manažér predkladá kompletnú požiadavku na zmenu, vrátane stanovísk a analýzy dopadov, na rokovanie Riadiaceho výboru, ktorý vystupuje ako najvyššia autorita projektu a má finálne schvaľovacie právo.

486

Tento mechanizmus zaisťuje, že počas celej realizácie projektu nedôjde k nekontrolovaným zmenám, ktoré by mohli ohroziť architektonickú integritu, bezpečnosť alebo ciele projektu.

487

488

489

**Architektonická kontrola počas následnej prevádzky**

490

Po úspešnom dokončení projektu a odovzdaní riešenia do prevádzky prechádza zodpovednosť za riadenie infraštruktúry z projektového tímu na interné kapacity úradu, konkrétne na príslušné oddelenie zodpovedné za prevádzku IT.

491

Architektonická kontrola je v tejto fáze zabezpečená prostredníctvom štandardných procesov správy IT služieb (ITSM), ktoré zahŕňajú:

492

Správa zmien v prevádzke: Akákoľvek požiadavka na zmenu v produkčnom prostredí (napr. upgrade OS, zmena konfigurácie sieťových prvkov, pridanie nového virtuálneho servera) musí prejsť interným schvaľovacím procesom (napr. cez Change Advisory Board - CAB, ak existuje).

493

Posúdenie dopadov: Podobne ako v projektovej fáze, každú významnejšiu zmenu posudzuje manažér IT prevádzky, manažér kybernetickej a informačnej bezpečnosti a vlastník dotknutej služby. Kľúčovým kritériom je súlad s pôvodnou, v projekte definovanou a zdokumentovanou architektúrou.

494

Udržiavanie dokumentácie: Všetky schválené zmeny musia byť riadne zdokumentované a musí byť aktualizovaná prevádzková a architektonická dokumentácia. Tým sa zabezpečí, že prehľad o aktuálnom stave architektúry zostane vždy zachovaný.

495

Pravidelný audit a kontrola: Súlad prevádzkovanej infraštruktúry s bezpečnostnými a architektonickými štandardmi (napr. v zmysle Zákona č. 69/2018 Z.z. ) je overovaný prostredníctvom pravidelných interných alebo externých auditov.

496

Základom pre priebežnú kontrolu v prevádzke je kvalitná a detailná dokumentácia vytvorená počas projektu, ktorá slúži ako referenčný bod ("baseline") pre všetky budúce zmeny a úpravy.

[[image:1748611676512-419.png]]

501

502

Obrázok 1 Znázornenie alternatív riešenia v biznis vrstve architektúry

503

504

505

V súlade so štandardnou metodikou projektového riadenia sa proces výberu strategických alternatív zvyčajne realizuje na úrovni biznisovej vrstvy architektúry s využitím metódy multikriteriálnej analýzy (MCA), pričom hodnotiace kritériá sú odvodené z motivácie, cieľov stakeholderov, ich požiadaviek a obmedzení. V rámci tohto prístupu sa často definujú esenciálne vylučovacie (KO) kritériá reprezentujúce fundamentálne biznisové požiadavky.

506

507

Vzhľadom na špecifický charakter tohto projektu, ktorý primárne adresuje kritickú a nevyhnutnú potrebu obnovy základnej infraštruktúry ako jedinú akceptovateľnú cestu pre mitigáciu identifikovaných bezpečnostných a operačných rizík, neboli však v tejto fáze identifikované a porovnávané zásadne odlišné strategické biznisové alternatívy pomocou formálnej MCA.

508

509

V rámci multikriteriálnej analýzy (MCA) nebola posudzovaná alternatíva založená na výlučne cloudovom riešení, nakoľko je z technického a koncepčného hľadiska nerealizovateľná. Predmetom projektu je obnova technológie, ktorá plní dve špecifické a na lokálne prostredie viazané funkcie, ktoré cloudová platforma nedokáže nahradiť:

510

511

Prevádzka esenciálnej on-premise infraštruktúry: Riešenie bude hostiť kľúčové systémy nevyhnutné pre samotnú správu a fungovanie lokálnej siete (napr. doménový radič, DNS servery, mail relay). Tieto komponenty z logiky svojej funkcie nie je možné prevádzkovať v externom cloudovom prostredí.

512

513

Udržiavanie nevyhnutných legacy systémov: Nová infraštruktúra bude zároveň slúžiť na prevádzku zastaraných (legacy) systémov, ktoré je úrad povinný naďalej udržiavať z legislatívnych a archivačných dôvodov. Tieto systémy nie sú technicky spôsobilé na migráciu do cloudu, hoci ich moderné verzie a nástupcovia už v cloudovom prostredí prevádzkované sú.

514

515

**Keďže alternatíva „riešenie v cloude“ nedokáže adresovať tieto fundamentálne a vylučujúce požiadavky, bola vyhodnotená ako technicky nerealizovateľná. Z tohto dôvodu nebolo možné vypracovať ani relevantný odhad nákladov pre účely porovnania.**

516

517

518

Princíp KO kritérií, ako fundamentálnych a bezvýhradne splniteľných požiadaviek, bol napriek tomu aplikovaný pri definovaní minimálnych nevyhnutných požiadaviek na samotné riešenie (technologickú obnovu), ktoré musí byť realizované. Tieto požiadavky, odvodené priamo z motivácie projektu (bezpečnosť, kontinuita, súlad s predpismi), musia byť splnené akýmkoľvek akceptovateľným riešením obstaraným v rámci projektu, pričom si zachovávajú technologickú neutralitu a nepreferujú konkrétnu implementáciu. Samotný výber konkrétnych technológií v rámci definovaného rozsahu, ktoré naplnia tieto fundamentálne požiadavky, bude predmetom transparentného verejného obstarávania v súlade so zákonom.

|(% rowspan="5" %)(((

BIZNIS VRSTVA

)))|(((

Kritérium A (KO)

Náhrada zastaranej infraštruktúry.

531

)))|Kľúčová požiadavka projektu kvôli aktuálnym hrozbám.|X|X|X

|(((

Kritérium B (KO)

Hospodárnosť riešenia

536

)))|Hospodárne vynaložené verejné zdroje|X|X|X

|(((

Kritérium C (KO)

Dosiahnutie minimálnych požadovaných výkonnostných parametrov pre prevádzku virtualizovaných systémov úradu.

541

)))|Riešenie musí mať dostatočný výkon na spoľahlivú a plynulú prevádzku kľúčových aplikácií a systémov úradu.|x|X|X

|(((

Kritérium D (KO)

Dodávka komplexného funkčného riešenia

546

)))|Požaduje sa funkčný, integrovaný celok zodpovedajúci definovanému rozsahu, nie len dodávka samostatných komponentov.| | |X

|(((

Kritérium E

Poskytnutie minimálne 5-ročnej záruky a technickej podpory na celé riešenie.

551

)))|Požiadavka na zabezpečenie dlhodobej prevádzky a podpory.|X|X|X

|Zoznam kritérií|(((

Alternatíva

1

)))|(((

Spôsob

dosiahnutia

)))|Alternatíva 2|(((

Spôsob

dosiahnutia

)))

|Kritérium B|nie|alternatíva 1 je zachovanie statusu quo bez realizácie projektu|áno|Implementáciou alternatívy 2 dôjde k úspore zdrojov, tým že sú hrozby minimalizované, ako aj možné náklady na odstraňovanie dôsledkov. K úspore dôjde aj na úrovní energií a nákladov na správu.

568

|Kritérium C|nie|alternatíva 1 je zachovanie statusu quo bez realizácie projektu|áno|Implementáciou alternatívy 2 sa zabezpečí dostatočný výkon na spoľahlivú a plynulú prevádzku kľúčových aplikácií a systémov úradu.

**Multikriteriálna analýza alternatív**

573

574

V súlade so strategickým smerovaním úradu bola posudzovaná možnosť migrácie systémov do prostredia vládneho cloudu. Analýza však preukázala, že pre špecifické systémy, ktoré sú predmetom tohto projektu, je takýto krok technicky nerealizovateľný. Dôvodom je, že sa jedná o systémy nevyhnutné pre správu a prevádzku lokálnej (on-premise) infraštruktúry a zároveň o zachovávané legacy systémy, ktoré nie sú pre migráciu vhodné. Z tohto dôvodu bola ako jediná možná a akceptovateľná alternatíva vyhodnotená obnova lokálnej on-premise infraštruktúry.

575

576

|**Kritérium**|**On-premise riešenie**|**Cloud riešenie**|**Hybridné riešenie**

577

|**Prevádzka špecifických systémov (KO kritérium)**|Jediná možnosť pre systémy spravujúce lokálnu sieť a pre zachovávané legacy systémy.|Technicky nerealizovateľné; systémy sú závislé od lokálnej infraštruktúry alebo nespôsobilé na migráciu.|Kľúčové systémy pre správu on-premise časti nemôžu byť umiestnené v cloude.

578

|**Kontrola nad infraštruktúrou a dátami**|Plná a priama fyzická aj logická kontrola nad hardvérom, softvérom a dátami.|Kontrola je obmedzená zmluvnými podmienkami a nástrojmi poskytovateľa cloudu.|Rozdelená kontrola, ktorá zvyšuje zložitosť správy a monitoringu.

579

|**Súlad s legislatívou (Zákon č. 69/2018 Z.z., GDPR)**|Dáta a systémy neopúšťajú fyzickú lokalitu úradu, čo zjednodušuje preukazovanie súladu.|Preukazovanie súladu pre špecifické systémy by bolo zložité a rizikové.|Zložité zabezpečenie a preukazovanie súladu naprieč rôznymi prostrediami.

580

|**Škálovateľnosť**|Škálovateľnosť je obmedzená obstaraným hardvérom. Rezerva pre rast je však zahrnutá v návrhu.|Flexibilné a takmer neobmedzené škálovanie zdrojov podľa aktuálnej potreby.|Možnosť škálovať cloudovú časť riešenia podľa potreby.

581

|**Náklady**|Vyššia počiatočná investícia (CAPEX), ale plne predvídateľné a kontrolované prevádzkové náklady (OPEX).|Nižšie počiatočné náklady, ale potenciálne vyššie a menej predvídateľné prevádzkové náklady v dlhodobom horizonte.|Komplexný model nákladov kombinujúci CAPEX a OPEX, riziko skrytých nákladov na integráciu.

582

583

Odporúčanie a záver analýzy

584

585

Na základe technickej nerealizovateľnosti migrácie kľúčových systémov do cloudového alebo hybridného prostredia je on-premise riešenie vyhodnotené ako jediná možná a akceptovateľná alternatíva. Tento prístup je nevyhnutný na zabezpečenie prevádzkovej kontinuity, plnej kontroly nad infraštruktúrou a bezpečnosti v súlade s platnou legislatívou.

586

587

588

5.1.2. Stanovenie alternatív v aplikačnej vrstve architektúry

589

590

591

Projekt sa primárne zameriava na obnovu hardvérovej a základnej softvérovej infraštruktúry (virtualizácia, OS) a zabezpečenie napájania. Nezahŕňa zásadné zmeny v aplikačnej vrstve existujúcich informačných systémov, ktoré budú na novej infraštruktúre prevádzkované. Z tohto dôvodu neboli posudzované alternatívy na úrovni aplikačnej vrstvy.

592

593

594

5.1.3 Stanovenie alternatív v technologickej vrstve architektúry

595

596

Výber na úrovni technologickej vrstvy architektúry je determinovaný nevyhnutnosťou realizácie projektu a zahŕňa obstaranie definovaného riešenia. Konkrétne technické riešenie spĺňajúce minimálne požiadavky bude vybrané v rámci verejného obstarávania, pričom jeho implementácia a prevádzka bude prebiehať na infraštruktúre v dátových centrách Úradu pre ochranu osobných údajov (ÚOOÚ).

597

598

**Lokalizácia dátového centra**

599

Celá technologická infraštruktúra, ktorá je predmetom projektu, bude implementovaná a prevádzkovaná výhradne lokálne, teda on-premise. Bude umiestnená priamo v priestoroch povinného subjektu, konkrétne v dátových centrách Úradu na ochranu osobných údajov SR (ÚOOU).

600

601

**Súlad s požiadavkami Zákona o kybernetickej bezpečnosti**

602

Projektová dokumentácia definuje rozsiahle technické a organizačné opatrenia, ktoré zabezpečujú súlad s požiadavkami na odolnosť a bezpečnosť vyplývajúcimi zo Zákona č. 69/2018 Z.z. a súvisiacich predpisov.

603

604

**TIER klasifikácia:**

605

Projektová dokumentácia nešpecifikuje konkrétnu TIER klasifikáciu. Požadované riešenie však v celku zodpovedá TIER III a čiastočne až TIER IV. V prípade realizácie iného pripravovaného projektu budú riešenia spolu zodpovedať TIER IV

606

607

**Fyzická ochrana:**

608

Umiestnenie infraštruktúry v priestoroch orgánu verejnej moci (OVM) zabezpečuje základnú úroveň perimetrickej a objektovej bezpečnosti. Na úrovni samotného hardvéru riešenie navyše implementuje špecifické prvky fyzickej ochrany, ako je napríklad detekcia narušenia šasi servera.

609

610

**Redundancia a vysoká dostupnosť (HA):**

611

Odolnosť a dostupnosť systému, kľúčové požiadavky Zákona o kybernetickej bezpečnosti, sú zabezpečené masívnou redundanciou na všetkých úrovniach infraštruktúry:

612

613

Napájanie: Všetky kľúčové komponenty (servery, dátové úložisko) sú vybavené redundantnými napájacími zdrojmi vymeniteľnými za chodu (hot-swap). Kritická infraštruktúra v serverovni bude chránená novými záložnými zdrojmi napájania (UPS) s celkovou kapacitou 6000 VA/5400 W , ktoré riešia absolútnu nedostatočnosť súčasného stavu.

614

Chladenie: Servery aj dátové úložisko disponujú redundantnými hot-swap ventilátormi.

615

Výpočtový výkon: Servery budú nakonfigurované do clusteru s vysokou dostupnosťou (HA).

616

Dátové úložisko: Úložný systém je navrhnutý pre vysokú spoľahlivosť s redundantnými radičmi v režime active-active a ochranou dát prostredníctvom dvojitej a trojitej parity, ktorá chráni pred zlyhaním až troch diskov súčasne.

617

Havarijné plány a obnova po havárii:

618

Projekt implementuje kľúčové technické predpoklady pre realizáciu havarijných plánov a rýchlu obnovu systémov:

619

Geografická replikácia: Dátové úložisko musí podporovať technológiu replikácie dát, ktorá umožňuje efektívnu obnovu medzi dvoma fyzicky oddelenými diskovými poľami cez sieť, čo je základom pre plán obnovy po havárii (Disaster Recovery Plan).

620

Obnova pri výpadku napájania: Nové UPS zabezpečia dostatok času pre „gracefull shutdown“ systémov, čím sa predchádza poškodeniu dát a infraštruktúry pri výpadku elektrickej energie, čo súčasný stav neumožňuje.

621

Rýchla obnova dát: Využitie technológie snapshotov umožňuje okamžité obnovenie celých zväzkov alebo jednotlivých súborov do predchádzajúceho stavu.

622

Ochrana záloh: Mechanizmy ako nemennosť záloh (immutability) chránia zálohované dáta pred zašifrovaním alebo zmazaním v prípade kybernetického útoku, čo je kľúčové pre obnovu po bezpečnostnom incidente.

5.2 Náhľad architektúry a popis budúceho cieľového produktu

627

628

Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).

629

630

Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.

5.3 Biznis vrstva

Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).

636

637

Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.

5.4 Aplikačná vrstva

Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).

643

644

Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.

645

646

647

5.5 Dátová architektúra

648

649

Vzhľadom na charakter projektu, ktorý je v projektovom zámere definovaný ako „Modernizácia centrálnej IT infraštruktúry Úradu na ochranu osobných údajov SR“, sa jedná o cielenú obmenu technologických komponentov, a nie o návrh či implementáciu komplexného informačného systému verejnej správy (ISVS).

650

651

Z tohto dôvodu sa dokumentácia architektúry, v zmysle požiadaviek Referenčnej architektúry ISVS, zameriava výhradne na relevantnú technologickú vrstvu. Biznisová, aplikačná a dátová vrstva nie sú predmetom tohto projektu a zostávajú nezmenené, preto ich detailný opis nie je súčasťou tohto zámeru. Popis technologickej architektúry uvedený v projekte je spracovaný v súlade s princípmi a požiadavkami Referenčnej architektúry ISVS.

652

653

654

5.6 Technologická architektúra

655

656

657

Predmetom projektu je obstaranie komplexného riešenia pre modernizáciu zastaranej serverovej a úložnej infraštruktúry (clusteru) a obstaranie nových záložných zdrojov napájania (UPS), čím sa zabezpečí mitigácia identifikovaných bezpečnostných a operačných rizík.

658

659

Technické špecifikácie projektu reflektujú aktuálne prevádzkové potreby a dostupné trhové možnosti, pričom definujú minimálne požadované parametre; tieto bude nevyhnutné finálne aktualizovať pred začatím obstarávania s ohľadom na možný technologický vývoj a zmeny trhových podmienok.

660

661

662

Požaduje sa komplexné riešenie virtualzačnej platformy v rackovom prevedení, pozostávajúca z serverov konfigurovaných v HA a úložiska, s integrovanými mechanizmami ochrany proti ransomvéru (napr. nemennosť záloh - immutability) a pokročilými dátovými službami, ochranou voči výpadkom el. energie. Dodávka musí predstavovať komplexné funkčné riešenie odbornej inštalácie, konfigurácie a zaškolenia administrátorov. Vrátane všetkého inštalačného, spotrebného materiálu, periférií, software, licencií pre 10xVM a 66 user. Záruka garantovaná výrobcom na celé riešenie musí byť min. 5 rokov na mieste inštalácie s reakciou do 24h s nahlasovaním 24x7, vrátane možnosti uplatnenia si priamo u výrobcu. Vadné disky sa ponechávajú. Ovládače a FW dostupné aj po skončení záruky. Dodávateľ poskytne po inštalačnú podporu v rámci dodania v rozsahu max. 1 MD na mieste a neobmedzenú telefonickú podporu po dobu 2 týždňov od dodania. Dodávateľ musí vedieť garantovať a zabezpečiť za odplatu, v prípade potreby podporu na diaľku, alebo na mieste certifikovaným technikom pre nasledujúce 2 roky pre prípad nutnosti premastnenia napr. v prípade sťahovania.

663

664

665

**Technologické a výkonnostné zdôvodnenie návrhu**

666

Návrh hardvérovej a softvérovej platformy vychádza z kapacitného modelu, ktorý zohľadňuje nielen aktuálne prevádzkové požiadavky, ale aj predpokladaný budúci rast, požiadavky na vysokú dostupnosť (HA) a špecifickú záťaž generovanú kľúčovými systémami úradu.

667

668

Zdôvodnenie hardvérových parametrov (Sizing a kapacitný model)

669

Hoci je počiatočná záťaž definovaná na 10 virtuálnych strojov (VM) a 66 používateľov , infraštruktúra musí byť dimenzovaná na životný cyklus minimálne 5-8 rokov, čo zodpovedá veku nahrádzaných zariadení. Navrhnuté parametre preto obsahujú strategickú rezervu.

670

671

Výpočtový výkon (CPU):

672

Zdôvodnenie: Požadovaný multiprocesorový systém s výkonom 49 500 bodov na CPU je navrhnutý tak, aby s rezervou pokryl nielen beh aktuálnych 10 VM, ale aj požiadavky na vysokú dostupnosť (HA): V prípade zlyhania jedného z fyzických serverov v clusteri musí zostávajúci server bezpečne prevziať celú jeho záťaž bez degradácie výkonu. To vyžaduje, aby každý server bežal v normálnej prevádzke na menej ako 50 % svojej kapacity.

673

Budúci rast: Rezerva umožňuje nasadenie ďalších systémov a aplikácií v budúcnosti bez nutnosti okamžitej investície do nového hardvéru.

674

Výkonnostné špičky a legacy systémy: Infraštruktúra musí zvládať nárazovú záťaž (napr. pri spracovaní podaní) a taktiež prevádzkovať neaktuálne (legacy) systémy, ktoré môžu byť zle optimalizované a náročnejšie na výpočtové zdroje.

675

Operačná pamäť (RAM):

676

Zdôvodnenie: Kapacita 512 GB RAM je kľúčová pre efektívnu virtualizáciu. Model alokácie počíta s priemernou potrebou 16-32 GB RAM na jeden virtuálny server, čo pre 10 VM predstavuje 160-320 GB. Zvyšná kapacita slúži ako rezerva pre hostiteľský OS: Operačný systém Windows Server 2025 Datacenter a virtualizačná vrstva si vyžadujú vlastné zdroje.

677

Flexibilita a výkon: Väčšia pamäť umožňuje dynamické prideľovanie zdrojov a efektívne využívanie mechanizmov, ako je memory caching, čo zrýchľuje odozvu aplikácií. Rezerva pre HA a rast: Podobne ako pri CPU, voľná RAM je nevyhnutná pre bezvýpadkový presun VM v rámci HA clusteru a pre budúce rozšírenie.

678

Dátové úložisko (Storage):

679

Zdôvodnenie: Voľba vysokovýkonného úložiska s čistou kapacitou 49.8 TiB na NVMe diskoch je strategická.

680

Výkon: Kľúčové systémy ako doménový radič, mail relay a databázové aplikácie generujú veľké množstvo malých I/O operácií. All-flash NVMe úložisko eliminuje úzke hrdlo v podobe pomalého diskového subsystému, čo sa priamo prejaví na rýchlej odozve aplikácií pre všetkých 66 používateľov.

681

Kapacita: Kapacita je dimenzovaná na uloženie všetkých VM, ich snapshotov, záloh a archívnych dát z legacy systémov, ktoré podliehajú povinnej dobe uchovávania.

682

Odolnosť: NVMe disky v kombinácii s dvojitou alebo trojitou paritou poskytujú nielen vysoký výkon, ale aj rýchlejšiu rekonštrukciu dát v prípade zlyhania disku, čo je kritické pre udržanie vysokej dostupnosti.

683

684

Zdôvodnenie softvérových komponentov

685

Virtualizačný nástroj:

686

Hoci dokumentácia explicitne neuvádza názov virtualizačného nástroja, voľba operačného systému Windows Server 2025 v edícii Datacenter logicky implikuje nasadenie Microsoft Hyper-V. Táto voľba je zdôvodnená ekonomicky a technicky – virtualizačná platforma Hyper-V je plne integrovaná a jej použitie je zahrnuté v cene licencie edície Datacenter, ktorá umožňuje prevádzkovať neobmedzený počet virtuálnych strojov s OS Windows Server. Tým sa eliminujú dodatočné náklady na licencie tretích strán (napr. VMware).

687

Zálohovací softvér:

688

Konkrétny zálohovací softvér nie je špecifikovaný, avšak jeho výber sa bude riadiť kľúčovými požiadavkami definovanými v projekte. Musí plne podporovať zvolenú virtualizačnú platformu (Hyper-V) a predovšetkým musí implementovať mechanizmy na ochranu proti ransomvéru, ako je nemennosť záloh (immutability).

689

Monitorovací softvér:

690

Základný monitoring a správa infraštruktúry bude zabezpečená prostredníctvom pokročilých nástrojov dodaných priamo výrobcom hardvéru. Dokumentácia detailne špecifikuje požiadavky na prediktívnu analýzu porúch na báze umelej inteligencie a zobrazenie grafických údajov o spotrebe a teplote, čo sú funkcie integrované v moderných platformách pre správu serverov.

691

Iné softvérové komponenty: nie sú súčasťou projektu

692

693

694

**Serveri konfigurované v HA minimálne z dvoch zariadení spĺňajúce nasledovné požiadavky:**

695

Multiprocesorový systém s výkonom 49 500 bodov/cpu, zloženy z 2x CPU 64 bit, 16 jadier, frekvencia 3,2 Ghz, UPI rýchlosť 23 GT/s, TDP 195W, 8 kanálov pre operačnú pamäť, podpora ECC pamäti, podpora technológií:TDX, SGX, VT-d, EPT. 512 GB (6x64GB) DDR5 6400 MHz Registered DIMM ECC, SDDC, ADDDC, max kapacita 8TB v 32 slotoch.Podpora CXL 2.0, MRDIMM. 2x m.2 950 GB NVMe SSD HW mirror, hot-swap, TCG Opal, 1.0 DWPD na 5 rokou, životnosť v množstve zapísaných dát 1680 TB, rIOPS 515 000, zápis do 15 µsm, podpora self-encrypting a auto-lock. Rozšíriteľné o 12x2,5" hot-swap. 2x 2-portový 10/25Gbps ethernet adaptér pre pripojenie k externému prostrediu vratanie 10/25Gbps transcieverov, karty typu LoM / OCP. Podpora RoCEv2, DCB, ETS, 802.1Qau, SR-IOV, vNIC, EVB. Výkon 28M p/s. 4x USB 3.0, EDP, VGA, miniDP, 1x int USB 3.0, 1x RJ45 1GbE mngmt. Podpora pre 3 x PCIe 5.0.slot, 2 x PCIe 5.0.slot OCP. Funkcia Secure Boot, Podpora RoT ,PFR, procesy podpisovania firmvéru v súlade s požiadavkami FIPS a NIST, proaktívne monitorovanie inventára hardvéru na neočakávané zmeny komponentov, Integrovaný TPM 2.0, súlad s normou NIST SP 800-147B. 1300W, redundantné napájacie zdroje vymeniteľné za chodu typu hot-swap. Chladenie zabezpečené redundantnými hot-swap ventilátormi. Správa a monitoring v režime prísneho zabezpečenia na úrovni CNSA 1.0, vzdialený prístup rozlíšením 1600x1200 pri 75 Hz,23 bit bez ohľadu na stav systému, vzdialený prístup k serveru pomocou klávesnice a myši zo vzdialeného klienta, podpora mapovania medzinárodnej klávesnice, presmerovanie sériovej konzoly cez SSH, protokol výmeny komponentov, obmedzenie prístupu, zobrazenie grafických údajov o spotrebe energie a teplote v reálnom čase a v minulosti, mapovanie súborov ISO a obrazov umiestnených na miestnom klientovi ako virtuálnych diskov na použitie serverom, pripojenie vzdialených súborov ISO a obrazov prostredníctvom HTTPS, SFTP, CIFS a NFS, obmedzenie spotreby, podpora sieťových protokolov: DHCP, DNS, DDNS, HTTP/HTTPS, SNMPv3, SSL, SSH, SMTP, LDAP client, NTP, SSDP, LLDP. Bezpečnosť: Digitálne podpísané aktualizácie firmvéru, CRTM, RBAC, NIST SP 800-131a, RTD/ERTD, PFR, FIPS 140-3, užívatelia lokálny, alebo cez LDAP/AD. Bezpečné vrátenie firmvéru, detekcia narušenia šasi, povolené len bezpečné, šifrované protokoly, zaznamenávanie zmien konfigurácie a činností servera do denníka auditu, overovanie pomocou verejného kľúča (PK), funkcionality a prístup k aktualizáciám časového obmedzenia. Prediktívna analýza porúch na báze umelej inteligencie - predpovedanie potreby údržby ešte pred tým, ako dôjde k poruche, s možnosťou vizualizácie súhrnných činností na zákazníckom paneli. Automatické otvorenie servisného lístka podpory, pričom využíva technológiu AI na určenie problému a jeho rýchle vyriešenie. Prémiová podpora využívajúca AI na automatické odosielanie dielov a služieb, čím minimalizuje prestoje. Prispôsobiteľné prehľady a reporty generované umelou inteligenciou, platforma riadená predikciami riadenými AI podporuje dynamické škálovanie zdrojov na základe požiadaviek na pracovné zaťaženie. Pokročilé analytické funkcie AI poskytujúce prehľad o výkone, využití zdrojov a bezpečnostných hrozbách, ktoré umožňujú odhaliť anomálie a navrhnúť optimalizácie v reálnom čase. Možnosti NLP umožňujúce správcom komunikovať pomocou hlasových príkazov alebo textových s platformou. Architektúra nulovej dôveryhodnosti a vyžadujúce overovanie pomocou aplikácie OTP pre všetkých používateľov, aby bolo možné zabezpečiť podporu. Riadenie prístupu na základe rolí.

696

697

Pokročilí dátový úložný systém navrhnutý pre vysokú spoľahlivosť. Podpora dvojitej a trojitej parity, ochrana pred zlyhaním dvoch až troch diskov. Dáta musia byť rozkladané na viacerých diskoch v rámci skupiny diskov. Okrem dát na disky musia byť úkladné a distribuované naprieč skupiny diskov aj dve, alebo tri nezávislé paritné informácie, ktoré sa počítajú z uložených dát a sú určené pre rekonštrukciu dát pri zlyhaní viacerých diskov. 128 GB RAM - 64 GB /kontroler. 2TB NVMe Flash Cache - 1 TB /kontroler. 16 GB battery-backed NVRAM - 8 GB/kontroler, pamäť zrkadlena medzi kontrolermi. Možnosť klastrovania radičov vo vysokej dostupnosti, 3 párov kontrolerov v režime active-active. 4x 64/32Gb FibreChannel portov na kazdy radič vrátane min 4x 32Gbps transcieverov. 49.8TiB čista kapacita bez kompresie a deduplikácie pomocou minimálne 18 diskov typu NVMe. Podpora NFS, CIFS/SMB, S3, iSCSI, FC, NVMe/FC, Thin provisioning, kompresie dát, kompakcie dát, geduplikacie, snapshotov, balanced placement, dynamického rozširovania kapacity, adaptivneho QoS, NVMe cez FC, NVMe cez TCP. Podpora technológie replikácie dát, ktorá umožňuje efektívne a bezpečné zálohovanie a obnovu dát medzi dvoma rovnakými diskovými poľami cez Ethernet sieť. Škálovateľný, vysoko výkonný kontajner, ktorý rozdeľuje pracovné zaťaženie medzi viaceré zložené zväzky, dedikovaný pre rozsiahle a metadátovo náročné aplikácie. Funkcia, umožňujúca rýchle obnovenie celého objemu alebo jednotlivých súborov zo snapshotu. Natívna ochrana proti ransomvéru. Autentifikácia cez SSL, SSH, RBAC, LDAP. Chladenie zabezpečené s plne redundantnými ventilátormi. Dva 1600W napájacie zdroje, plne redundantne v hot swap prevedení.

698

699

Riešenie musí bežať on premise minimálne na OS Windows Server 2025 v edícií Datacenter.

700

701

Úrad strategicky presadzuje konsolidáciu svojich systémov v prostredí vládneho cloudu, kde je už v súčasnosti prevádzkovaná väčšina jeho IT infraštruktúry. V súlade s touto stratégiou bola posudzovaná aj možnosť migrácie zostávajúcich systémov. Analýza však preukázala, že tento krok nie je uskutočniteľný, a to z dvoch kľúčových dôvodov:

702

703

Ide o systémy nevyhnutné pre správu a prevádzku lokálnej (on-premise) infraštruktúry.

704

705

Zahŕňa to aj už nahradené (legacy) systémy, ktoré podliehajú povinnej dobe uchovávania po dobu 5 až 8 rokov.

706

707

Z týchto dôvodov bola migrácia vyhodnotená ako technicky nerealizovateľná.

708

709

710

Ochrana voči výpadkom el. energie celkom s kapacitou 6000 VA/5400 W, 30 A, vstup IEC 320 C20 (16 A), výstup 200 - 240 V AC, 2x IEC 320-C19 (16 A), 8x IEC 320-C13 (10 A). Musí zabezpečiť prevádzku po nasledovné doby (zaťaženie v %/min): 25/85, 50/38, 75/24, 100/16. Efektivita 98%.

711

712

713

__Na základe analýzy dopadov a kritickosti prevádzkovaných systémov v rámci projektu je stanovená nasledovná klasifikácia:__

714

715

**Klasifikácia z pohľadu dôvernosti: Interné**

716

717

Odôvodnenie: Komponenty infraštruktúry, ktoré sú predmetom projektu, sú určené výhradne pre vnútornú potrebu organizácie a jej oprávnených zamestnancov. Hoci podporujú poskytovanie služieb verejnosti , priamy prístup k infraštruktúrnym systémom ako doménový radič, mail relay či DNS servery je obmedzený na interné prostredie.

718

719

**Klasifikácia z pohľadu integrity: Vysoká**

720

Odôvodnenie: Narušenie integrity kľúčových systémov, ako je doménový radič, by malo kritický dopad na bezpečnosť a riadenie prístupov v celej organizácii. Súčasná infraštruktúra obsahuje verejne známe kritické bezpečnostné chyby a zraniteľnosti, čo predstavuje vysokú hrozbu pre integritu dát a systémov. Nedostatočné záložné napájanie navyše hrozí poškodením dát pri výpadku elektrickej energie. Zabezpečenie integrity je nevyhnutné aj pre dosiahnutie súladu so Zákonom č. 69/2018 Z. z. a Vyhláškou NBÚ č. 362/2018 Z. z..

721

722

**Klasifikácia z pohľadu dostupnosti: Vysoká**

723

Odôvodnenie: Prevádzkované systémy sú pre chod úradu a poskytovanie jeho služieb nevyhnutné. Ich nedostupnosť by priamo ohrozila a paralyzovala činnosť organizácie. Súčasný stav s nedostatočným záložným zdrojom napájania neumožňuje kontrolované vypnutie systémov ("gracefull shutdown"), čo pri výpadku elektrickej energie vedie k okamžitej nedostupnosti služieb. Projekt si preto explicitne kladie za cieľ zabezpečiť kontinuitu prevádzky a minimalizovať výpadky.

724

725

726

__Nástroje a procesy pre správu infraštruktúry:__

727

728

**Monitoring a Správa**

729

Správa a monitoring infraštruktúry budú realizované prostredníctvom pokročilých, integrovaných nástrojov, ktoré umožňujú centralizovaný prehľad a proaktívne riadenie.

730

Zabezpečená správa: Celková správa a monitoring prebieha v režime prísneho zabezpečenia na úrovni CNSA 1.0, pričom vzdialený prístup je možný bez ohľadu na stav systému.

731

Monitoring v reálnom čase: Systém poskytuje grafické zobrazenie údajov o spotrebe energie a teplote v reálnom čase aj v historickom kontexte.

732

Prediktívna analýza s AI: Riešenie využíva umelú inteligenciu na predpovedanie potreby údržby ešte pred vznikom poruchy. V prípade detekcie problému dokáže automaticky otvoriť servisný lístok a odoslať potrebné diely, čím sa minimalizujú prestoje.

733

Pokročilé analytické funkcie: Platforma poskytuje pokročilé analytické funkcie s podporou AI na sledovanie výkonu, využitia zdrojov a bezpečnostných hrozieb. Umožňuje odhaliť anomálie a navrhnúť optimalizácie v reálnom čase.

734

Reportovanie: Súčasťou sú prispôsobiteľné prehľady a reporty generované umelou inteligenciou.

735

736

**Patch Management**

737

Proces správy aktualizácií (patch management) je navrhnutý tak, aby odstránil kľúčový problém súčasného stavu – prevádzku na nepodporovanom a neaktualizovateľnom systéme.

738

Podporovaná infraštruktúra: Cieľom je prevádzkovať všetky systémy na plne podporovanej a aktualizovanej infraštruktúre.

739

Bezpečnosť aktualizácií: Aktualizácie firmvéru musia byť digitálne podpísané, aby sa zaručila ich integrita a pôvod.

740

Proces obnovy: Systém musí umožňovať bezpečné vrátenie firmvéru (rollback) v prípade neúspešnej aktualizácie.

741

Dlhodobá dostupnosť: Ovládače a firmvér musia byť dostupné aj po skončení štandardnej 5-ročnej záruky.

742

743

**Logovanie (Zaznamenávanie činností)**

744

Pre zabezpečenie auditovateľnosti a podporu pri riešení bezpečnostných incidentov je definovaná požiadavka na komplexné logovanie.

745

Denník auditu: Riešenie musí zabezpečiť zaznamenávanie všetkých zmien konfigurácie a činností servera do denníka auditu.

746

747

**Zálohovanie a Obnova**

748

Procesy zálohovania a obnovy sú navrhnuté s primárnym cieľom minimalizovať riziko straty dát a zabezpečiť ochranu pred modernými hrozbami, ako je ransomvér.

749

Ochrana proti ransomvéru: Kľúčovým mechanizmom ochrany je požiadavka na nemennosť záloh (immutability), ktorá je integrovaná priamo v riešení. Úložný systém musí taktiež poskytovať natívnu ochranu proti ransomvéru.

750

Snapshoty: Dátové úložisko musí podporovať technológiu snapshotov a umožňovať rýchle obnovenie celého objemu dát alebo len jednotlivých súborov priamo zo snapshotu.

751

Replikácia dát: Pre prípad rozsiahlejšieho zlyhania musí riešenie podporovať technológiu replikácie dát, ktorá umožňuje obnovu medzi dvoma fyzickými diskovými poľami.

752

Proces pri zlyhaní diskov: Súčasťou procesu obnovy je aj striktná požiadavka, že v prípade poruchy sa chybné disky nevracajú dodávateľovi, ale ponechávajú sa ÚOOU, aby sa zabránilo úniku dát.

5.7 Bezpečnostná architektúra

758

759

Bezpečnostná architektúra projektu modernizácie centrálnej IT infraštruktúry je navrhnutá s cieľom vytvoriť robustné, odolné a dôveryhodné prostredie. Primárnym cieľom je mitigovať vysokú hrozbu v oblasti bezpečnosti , ktorá vyplýva z prevádzky na zastaranej technike s verejne známymi kritickými bezpečnostnými chybami. Architektúra je v plnom súlade s požiadavkami Zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a princípmi Nariadenia GDPR.

760

761

**Základné Princípy a Súlad**

762

Architektúra je postavená na kľúčových princípoch modernej bezpečnosti:

763

Security by Design & Default: Bezpečnosť nie je doplnkovou funkciou, ale základným stavebným kameňom celého riešenia. Každý komponent je obstarávaný s požiadavkou na integrované bezpečnostné funkcie.

764

Zero Trust (Nulová dôvera): Riešenie uplatňuje princípy architektúry nulovej dôveryhodnosti, kde je každý prístup k zdrojom overovaný. Vyžaduje sa napríklad overovanie pomocou aplikácie OTP pre zabezpečenie podpory.

765

Defense in Depth (Hĺbková ochrana): Bezpečnostné opatrenia sú implementované vo viacerých vrstvách, od fyzickej a hardvérovej úrovne až po úroveň správy a monitoringu.

766

767

Súlad so Zákonom o kybernetickej bezpečnosti (č. 69/2018 Z.z.)

768

Projekt priamo implementuje bezpečnostné opatrenia vyžadované zákonom a súvisiacimi vyhláškami:

769

Riadenie aktív a rizík: Projekt je priamou reakciou na identifikované riziká spojené so zastaraným hardvérom a softvérom.

770

Riadenie prístupu: Je implementované striktné riadenie prístupu na základe rolí (RBAC) a prístup je obmedzený len na autorizované osoby a protokoly (napr. SSH, HTTPS).

771

Zaznamenávanie činností: Riešenie zabezpečuje zaznamenávanie zmien konfigurácie a činností servera do denníka auditu, čo je kľúčové pre analýzu bezpečnostných incidentov.

772

Bezpečnosť sietí a systémov: Nasadením modernej technológie sa eliminujú známe zraniteľnosti. Platforma navyše podporuje iba bezpečné, šifrované protokoly.

773

Zabezpečenie kontinuity: Vysoká dostupnosť (HA) a nové záložné zdroje napájania (UPS) priamo napĺňajú požiadavku na dostupnosť a odolnosť systémov.

774

775

Súlad s GDPR (Nariadenie (EÚ) 2016/679)

776

Ako riešenie pre Úrad na ochranu osobných údajov SR, projekt kladie mimoriadny dôraz na ochranu dát v zmysle GDPR:

777

Technické a organizačné opatrenia (Článok 32 GDPR): Celý projekt predstavuje zásadné technické opatrenie na zaistenie bezpečnosti spracúvania.

778

Dôvernosť a Integrita: Tieto piliere sú zabezpečené hardvérovými bezpečnostnými modulmi (TPM 2.0, Secure Boot, Root of Trust), šifrovanými protokolmi a mechanizmami na ochranu proti ransomvéru.

779

Dostupnosť a Odolnosť: Je zabezpečená prostredníctvom redundantných serverov v režime vysokej dostupnosti (HA) , redundantných napájacích zdrojov a ventilátorov a nových, dostatočne dimenzovaných záložných zdrojov napájania (UPS).

780

Ochrana dát na médiách: V zmluve je stanovená požiadavka, že chybné disky sa ponechávajú ÚOOU, čím sa zabraňuje úniku dát z vyradených médií.

781

Ochrana pred neoprávneným prístupom: Fyzická bezpečnosť je posilnená detekciou narušenia šasi a logický prístup je riadený cez RBAC a silnú autentifikáciu.

782

783

Implementované Technické a Organizačné Opatrenia

784

Ochrana na hardvérovej a firmvérovej úrovni:

785

Servery sú vybavené modulom Trusted Platform Module (TPM) 2.0 a funkciami ako Secure Boot a Root of Trust (RoT), ktoré zaisťujú, že sa spúšťa len overený a nepozmenený softvér.

786

Aktualizácie firmvéru sú digitálne podpísané a procesy sú v súlade s normami FIPS a NIST.

787

Odolnosť voči kybernetickým hrozbám:

788

Riešenie musí obsahovať integrované mechanizmy ochrany proti ransomvéru, ako je nemennosť záloh (immutability) a natívna ochrana na úrovni dátového úložiska.

789

Využíva sa prediktívna analýza porúch na báze umelej inteligencie (AI) na predchádzanie zlyhaniam a odhaľovanie anomálií a bezpečnostných hrozieb v reálnom čase.

790

Zabezpečenie prevádzky a správy:

791

Vzdialená správa serverov prebieha výhradne cez zabezpečené a šifrované protokoly (SSH, HTTPS) v režime prísneho zabezpečenia na úrovni CNSA 1.0.

792

Celá infraštruktúra je prevádzkovaná lokálne (on-premise) v dátových centrách ÚOOU, čo úradu zaručuje plnú fyzickú aj logickú kontrolu nad systémami a dátami.

793

794

795

5.8 Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,

796

797

Projekt nemá žiadny legislatívny dopad. Zmena bezpečnostnej architektúry nie je predmetom projektu. Predmetom projektu je dodržanie minimálne súčasnej bezpečnostnej úrovne a vysokej dostupnosti výmenou zariadení. Projekt je zároveň riešený v zmysle minimálne nasledujúcej legislatívy:

798

799

800

* Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe

801

* Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti

802

* Vyhláška 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

803

* Zákon č. 45/2011 Z.z. o kritickej infraštruktúre

804

* vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy

805

* vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

806

* vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov

807

* Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

808

* Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

809

810

Okrem legislatívnych nariadení môžete pre stanovenie požiadaviek na riešenie bezpečnosti v projekte použiť metodiky CSIRT: [[https:~~/~~/csirt.sk/metodiky-a-hardening.html>>url:https://csirt.sk/metodiky-a-hardening.html]].

811

812

813

6. PREVÁDZKA A ÚDRŽBA VÝSTUPOV PROJEKTU

814

815

816

Prevádzka a údržba bude zabezpečená prostredníctvom interných kapacít úradu.

817

818

Predmetné riešenie je implementované na dedikovanom hardvéri a prevádzkované v lokálnej infraštruktúre (on-premise) v priestoroch úradu. Jeho primárnou funkciou je zabezpečenie chodu kľúčových prvkov lokálnej siete a hosťovanie legacy systémov, ktoré nie je možné migrovať do cloudového prostredia. Keďže správa, údržba a prevádzkové kapacity sú plne zabezpečované internými zdrojmi úradu, neuzatvára sa zmluvná Dohoda o úrovni poskytovaných služieb (SLA) s externým dodávateľom.

819

820

Technická podpora je zabezpečená prostredníctvom výrobcu a spolu s podporov ktorá bude poskytovaná internými kapacitami považujeme za dostatočnú.

821

822

**Technická podpora je definovaná nasledovnými kľúčovými komponentmi:**

823

824

~1. Základná záruka a servis (SLA)

825

Základný balík podpory predstavuje dlhodobý záväzok dodávateľa a výrobcu garantujúci spoľahlivosť a rýchlu opravu riešenia.

826

Dĺžka a rozsah: Na celé dodané riešenie sa požaduje minimálne 5-ročná záruka garantovaná priamo výrobcom.

827

Úroveň služby: Podpora je poskytovaná na mieste inštalácie s reakčnou dobou do 24 hodín od nahlásenia poruchy. Nahlasovanie problémov je možné nepretržite, 24 hodín denne, 7 dní v týždni (24x7).

828

Priama podpora: Úrad má možnosť uplatniť si záruku priamo u výrobcu hardvéru.

829

830

2. Podpora bezprostredne po inštalácii

831

Pre úspešné odovzdanie riešenia do prevádzky a zaškolenie personálu je súčasťou dodávky aj počiatočná intenzívna podpora.

832

Školenie: Súčasťou dodávky je odborná inštalácia, konfigurácia a zaškolenie administrátorov úradu.

833

Podpora na mieste: Dodávateľ poskytne po-inštalačnú podporu priamo na mieste v rozsahu maximálne 1 človekodňa (MD).

834

Telefonická podpora: Po dobu dvoch týždňov od dodania bude k dispozícii neobmedzená telefonická podpora.

835

836

3. Automatizovaná a proaktívna podpora

837

Riešenie musí obsahovať moderné nástroje podpory využívajúce umelú inteligenciu na proaktívne riešenie problémov.

838

Automatizované servisné požiadavky: Platforma dokáže na základe prediktívnej analýzy porúch automaticky otvoriť servisný lístok podpory.

839

Prediktívne zasielanie dielov: Prémiová podpora využíva AI na automatické odosielanie náhradných dielov a služieb, čím sa minimalizujú prestoje a zrýchľuje oprava.

840

841

4. Následná a voliteľná podpora

842

Pre zaistenie flexibility a podpory aj po uplynutí štandardných lehôt musí dodávateľ garantovať dostupnosť ďalších služieb.

843

Platená podpora: Dodávateľ musí byť schopný za odplatu zabezpečiť podporu na diaľku alebo na mieste prostredníctvom certifikovaného technika pre nasledujúce 2 roky. Táto podpora môže byť využitá napríklad v prípade sťahovania infraštruktúry

844

845

846

__Požiadavky na ľudské zdroje potrebné pre zabezpečenie prevádzky__

847

848

**Riadiaci výbor (RV) **minimálne v nasledovnom zložení:

* Predseda RV

* Biznis vlastník

* Zástupca prevádzky

* Projektový manažér realizátora projektu (Objednávateľa) (PM)

854

855

**Projektový tím projektu:**

856

857

* IT analytik/architekt - biznis analytik/kľúčový používateľ

858

* manažér IT prevádzky

859

* manažér kybernetickej a informačnej bezpečnosti

860

861

**Kľúčový používateľ:**

862

863

|(((

864

* zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

865

866

* zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.

867

868

* Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov

)))

|(((

Zodpovedný za:

* Návrh a špecifikáciu funkčných a technických požiadaviek

876

877

* Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

878

879

* Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,

880

881

* Špecifikáciu požiadaviek koncových používateľov na prínos systému

882

883

* Špecifikáciu požiadaviek na bezpečnosť, 

884

885

* Návrh a definovanie akceptačných kritérií,

886

887

* Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

888

889

* Finálne odsúhlasenie používateľského rozhrania

890

891

* Vykonanie akceptačného testovania (UAT)

892

893

* Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

894

895

* Finálny návrh na spustenie do produkčnej prevádzky, 

896

897

* Predkladanie požiadaviek na zmenu funkcionalít produktov

898

899

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z. z., Prílohou č.1

900

901

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

**Projektový manažér:**

907

908

|(((

909

* zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje TCO) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

910

911

* zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektu v súlade so štandardami Ministerstva spravodlivosti, zásadami a princípmi projektového riadenia.

912

913

* zodpovedá za plnenie projektových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

914

915

* zodpovedá za naplánovanie a riadenie testovania, distribúcie a nasadenie releasu. Zaisťuje prevádzkovú post-implementačnú podporu používateľov služby IT (early life support) v realizovanom projekte.

916

917

* zodpovedá za riadenie zmien v projekte

)))

|(((

Zodpovedný za:

* Riadenie projektu podľa pravidiel stanovených vo Vyhláške 401/2023 Z. z.

923

924

* Riadenie prípravy, inicializácie a realizácie projektu

925

926

* Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii

927

928

* Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

929

930

* Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

931

932

* Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

933

934

* Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z. z., Prílohou č.1

935

936

* Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z. z.

937

938

* Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 401/2023 Z. z., Prílohy č.1

939

940

* Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 401/2023 Z. z., Prílohou č.1 na rokovanie RV

941

942

* Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

943

944

* Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

945

946

* Zabezpečenie vytvorenia a pravidelnej aktualizácie TCO a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

947

948

* Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

949

950

* Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

951

952

* Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

953

954

* Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

955

956

* Riadenie implementačných a prevádzkových aktivít v rámci projektov.

957

958

* Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

959

960

* Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

961

962

* Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

963

964

* Dodržiavanie metodík projektového riadenia,

965

966

* Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),

967

968

* Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr.

)))

**Biznis vlastník:**

|(((

* zodpovedá za proces - jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi. Kľúčová rola na strane zákazníka (verejného obstarávateľa), ktorá schvaľuje biznis požiadavky a zodpovedá za výsledné riešenie, prínos požadovanú hodnotu a naplnenie merateľných ukazovateľov. Úlohou tejto roly je definovať na používateľa orientované položky (user-stories), ktoré budú zaradzované a prioritizované v produktovom zásobníku. Zodpovedá za priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane DNR z pohľadu analýzy a návrhu riešenia aplikácii IS.

977

978

* zodpovedný za schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu. Definuje očakávania na kvalitu projektu, kvalitu projektových produktov, prínosy pre koncových používateľov a požiadavky na bezpečnosť. Definuje merateľné výkonnostné ukazovatele projektov a prvkov. Vlastník procesov schvaľuje akceptačné kritériá, rozsah a kvalitu dodávaných projektových výstupov pri dosiahnutí platobných míľnikov, odsúhlasuje spustenie výstupov projektu do produkčnej prevádzky a dostupnosť ľudských zdrojov alokovaných na realizáciu projektu.

)))

|(((

Zodpovedný za:

* Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov.

984

985

* Spoluprácu pri riešení odpovedí na otvorené otázky a riziká projektu.

986

987

* Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej).

988

989

* Riešenie problémov a požiadaviek v spolupráci s odbornými garantmi.

990

* Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek.

991

992

* Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu.

993

* Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť.

994

* Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov.

995

* Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu.

996

* Schválenie akceptačných kritérií.

997

* Akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov.

998

* Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky.

999

* Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu.

1000

* Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch.

1001

* Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a prioritizácii.

1002

* Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd.

1003

* Okrem zvažovaní rizík prevádzkových alebo podporných procesov súčasne vlastník napomáha identifikovať príležitosti.

1004

* Zlepšovanie a optimalizáciu procesov v spolupráci s ďalšími prepojenými vlastníkmi procesov a manažérom kvality.

1005

* Odsúhlasenie akceptačných protokolov zmenových konaní.

1006

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z. z., Prílohou č.1.

1007

* plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu.

)))

**IT architekt/IT analytik**:

1013

1014

|(((

1015

* zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie. Podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení. Zodpovedá za výkon analýzy IS, koordináciu a dohľad nad činnosťou SW analytikov.

1016

* analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

1017

* Analytik informačných technológií pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu. Mapuje a analyzuje existujúce podnikateľské a procesné prostredie, analyzuje biznis požiadavky na informačný systém, špecifikuje požiadavky na informačnú podporu procesov, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní (akceptácie) používateľom.

1018

* Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

1019

* Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad).

)))

|(((

Zodpovedný za:

* Vykonanie analýzy procesných a ďalších požiadaviek a vytvorenie špecifikácie súčasného alebo budúceho užívateľa softwaru („zákazníka“) a následne navrhuje dizajn a programátorské riešenie.

1027

* Participáciu na vývoji nových, ale i vylepšovaní existujúcich aplikácií v rámci celého vývojového cyklu – systémová analýza, dizajn, kódovanie, užívateľské testovanie, implementácia, podpora, dokumentácia. Úzko spolupracuje aj s IT architektom.

1028

* Analýza potrieb zákazníka vrátane tvorby úplnej analytickej dokumentácie a vstupov do verejného obstarávania (VO).

1029

* Mapovanie požiadaviek do návrhu funkčných riešení.

1030

* Návrh a správa katalóg požiadaviek - registra požiadaviek riešenia

1031

* Analýza funkčných a nefunkčných požiadaviek,

1032

* Návrh fyzického a logického modelu,

1033

* Návrh testovacích scenárov,

1034

* V priebehu implementácie robí dohľad nad zhodou výstupov s pôvodným analytickým zadaním.

1035

* Zodpovednosť za dodržovanie správnej metodiky pri postupe analýzy

1036

* Definovanie akceptačných kritérií v projekte

1037

* Odsúhlasenie opisu produktov, ktoré predstavujú vstupy alebo výstupy (priebežné alebo konečné) úloh dodávateľov, alebo ktoré ich priamo ovplyvňujú a zabezpečovať akceptáciu produktov po ich dokončení

1038

* Priraďuje priority a poskytuje stanoviská používateľov na rozhodnutia Riadiaceho výboru projektu – k realizácii zmenových požiadaviek

1039

* Poskytuje merania aktuálneho stavu pre potreby porovnania s výsledkami projektu vzhľadom na realizáciu prínosov

1040

* Rieši požiadavky používateľov a konflikty iných priorít

1041

* Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1042

* Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z. z., Prílohou č.1

1043

* Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|(((

* zodpovedá za návrh architektúry riešenia IS a implementáciu technológií predovšetkým z pohľadu udržateľnosti, kvality a nákladov, za riešenie architektonických cieľov projektu dizajnu IS a súlad s architektonickými princípmi.

1049

* vykonáva, prípadne riadi vysoko odborné tvorivé činnosti v oblasti návrhu IT. Študuje a stanovuje smery technického rozvoja informačných technológií, navrhuje riešenia na optimalizáciu a zvýšenie efektívnosti prostriedkov výpočtovej techniky. Navrhuje základnú architektúru informačných systémov, ich komponentov a vzájomných väzieb. Zabezpečuje projektovanie dizajnu, architektúry IT štruktúry, špecifikácie jej prvkov a parametrov, vhodnej softvérovej a hardvérovej infraštruktúry podľa základnej špecifikácie riešenia.

1050

* zodpovedá za spracovanie a správu projektovej dokumentácie a za kontrolu súladu implementácie s dokumentáciou. Môže tiež poskytovať konzultácie, poradenstvo a vzdelávanie v oblasti svojej špecializácie. IT architekt, projektant analyzuje, vytvára a konzultuje so zákazníkom riešenia na úrovni komplexných IT systémov a IT architektúr, najmä na úrovni aplikačného vybavenia, infraštruktúrnych systémov, sietí a pod. Zaručuje, že návrh architektúry a/alebo riešenia zodpovedá zmluvne dohodnutým požiadavkám zákazníka v zmysle rozsahu, kvality a ceny celej služby/riešenia.

)))

|(((

**Manažér kybernetickej a informačnej bezpečnosti:**

|(((

* zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

1063

* koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti

1064

1065

PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KIB a ITB:

1066

1067

1. neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných.

1068

1. rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle:

1069

1070

1. § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

1071

1. ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

)))

|(((

Zodpovedný za:

* špecifikovanie štandardov, princípov a stratégií v oblasti ITB a KIB,

1077

* ak je projekt primárne zameraný na problematiku ITB a KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na ITB a KIB,

1078

* špecifikovanie požiadaviek na ITB a KIB, kontroluje ich implementáciu v realizovanom projekte,

1079

* špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

1080

* špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť ITB a KIB,

1081

* špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

1082

* špecifikovanie požiadaviek na školenia pre oblasť ITB a KIB,

1083

* špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť ITB a KIB,

1084

* špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na ITB a KIB,

1085

* realizáciu posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

1086

* špecifikovanie požiadaviek na ITB a KIB, bezpečnostný projekt a riadenie prístupu,

1087

* špecifikovanie požiadaviek na testovanie z hľadiska ITB a KIB, realizáciu kontroly zapracovania a retestu,

1088

* špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť ITB a KIB, ako aj v zmysle "best practies",

1089

* špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s ITB a KIB kontroluje ich implementáciu v realizovanom projekte,

1090

* špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu ITB a KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

1091

* špecifikáciu požiadaviek na bezpečnosť IT a KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

1092

* špecifikáciu akceptačných kritérií za oblasť ITB a KIB,

1093

* špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na ITB a KIB,

1094

* poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť ITB a KIB,

1095

* získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1096

* špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,

1097

* konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska ITB a KIB,

1098

* špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť ITB a KIB,

1099

* realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť ITB a KIB

1100

* realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

1101

* realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

1102

* realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť ITB a KIB,

1103

* realizáciu kontroly zameranú na implementovaný proces v priamom súvise s ITB a KIB,

1104

* realizáciu kontroly súladu s planou legislatívou v oblasti ITB a KIB (obsahuje aj kontrolu leg. požiadaviek)

1105

* realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

1106

* poskytovanie konzultácií a súčinnosti pre problematiku ITB a KIB,

1107

* získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1108

* aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z. z., Prílohou č.1

1109

* plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

)))

6.2 Požiadavky na zdrojové kódy

N/A

7. OPIS IMPLEMENTÁCIE PROJEKTU A PREBERANIA VÝSTUPOV PROJEKTU

1121

1122

Implementácia a preberanie výstupov projektu bude realizované v súlade s Vyhláškou MIRRI č. 401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy v zmysle ustanovení podľa § 5 a nasledovných ustanovení.

1123

1124

1125

Požaduje sa komplexné riešenie virtualizačnej platformy v rackovom prevedení, pozostávajúca z serverov konfigurovaných v HA a úložiska, s integrovanými mechanizmami ochrany proti ransomvéru (napr. nemennosť záloh - immutability) a pokročilými dátovými službami, ochranou voči výpadkom el. energie. Dodávka musí predstavovať komplexné funkčné riešenie odbornej inštalácie, konfigurácie a zaškolenia administrátorov.

8. ODKAZY

N/A

9. PRÍLOHY