Wiki zdrojový kód pre I-03 Prístup k projektu (pristup_k_projektu)
Version 14.1 by Pavel Vagaš on 2025/09/23 08:46
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | **PRÍSTUP K PROJEKTU** | ||
| 2 | |||
| 3 | **Vzor pre manažérsky výstup I-03** | ||
| 4 | |||
| 5 | **podľa vyhlášky MIRRI č. 401/2023 Z. z. ** | ||
| 6 | |||
| 7 | |||
| 8 | |||
| 9 | |Povinná osoba|Univerzitná nemocnica L. Pasteura Košice | ||
| 10 | |Názov projektu|Vybudovanie redundantného dátového centra | ||
| 11 | |Zodpovedná osoba za projekt|Ing. Pavel Vagaš, MPH –zamestnanec | ||
| 12 | |Realizátor projektu|Univerzitná nemocnica L. Pasteura Košice | ||
| 13 | |Vlastník projektu|Univerzitná nemocnica L. Pasteura Košice | ||
| 14 | |||
| 15 | **Schvaľovanie dokumentu** | ||
| 16 | |||
| 17 | |Položka|Meno a priezvisko|Organizácia|Pracovná pozícia|Dátum|((( | ||
| 18 | Podpis | ||
| 19 | |||
| 20 | (alebo elektronický súhlas) | ||
| 21 | ))) | ||
| 22 | |Vypracoval|Ing. Pavel Vagaš, MPH|Univerzitná nemocnica L. Pasteura Košice|Vedúci OIKT| | | ||
| 23 | |||
| 24 | 1. História dokumentu | ||
| 25 | |||
| 26 | |Verzia|Dátum|Zmeny|Meno | ||
| 27 | |//0.1//|//2.9.2025//|//Pracovný návrh//| | ||
| 28 | | | | | | ||
| 29 | | | | | | ||
| 30 | | | | | | ||
| 31 | |||
| 32 | (% start="2" %) | ||
| 33 | 1. Účel dokumentu | ||
| 34 | |||
| 35 | Tento dokument popisuje zámer, ciele a základné východiská projektu Vybudovania redundantného dátového centra (RDC), ktorého hlavným účelom je: | ||
| 36 | |||
| 37 | * Zvýšenie súladu s požiadavkami zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB“), | ||
| 38 | * Zabezpečenie vysokej dostupnosti kritických informačných systémov a služieb, | ||
| 39 | * Zvýšenie odolnosti a kontinuity prevádzky prostredníctvom fyzickej a logickej redundancie, | ||
| 40 | * Minimalizácia dopadov výpadkov a incidentov, ktoré by mohli ohroziť bezpečnosť, dostupnosť alebo integritu dát a služieb. | ||
| 41 | |||
| 42 | Dokument zároveň slúži ako podklad pre plánovanie, návrh, implementáciu a následnú prevádzku RDC. | ||
| 43 | |||
| 44 | (% start="2" %) | ||
| 45 | 1. | ||
| 46 | 11. Použité skratky a pojmy | ||
| 47 | |||
| 48 | |SKRATKA/POJEM|POPIS | ||
| 49 | |KB|Kybernetická bezpečnosť | ||
| 50 | |IS|Informačný systém | ||
| 51 | |SLA|Service Level Agreement (dohoda o úrovni poskytovaných služieb) | ||
| 52 | |HA|High Availability (vysoká dostupnosť) | ||
| 53 | |DR|Disaster Recovery (obnova po havárii) | ||
| 54 | |DC|Dátové centrum | ||
| 55 | |NIS2|Smernica Európskej únie o opatreniach na zaistenie vysokej úrovne kybernetickej bezpečnosti | ||
| 56 | |RTO|Recovery Time Objective (cieľový čas obnovy) | ||
| 57 | |RPO|Recovery Point Objective (cieľový bod obnovy) | ||
| 58 | |RDC|Redundantné dátové centrum | ||
| 59 | |HW|Hardvér | ||
| 60 | |SW|Softvér | ||
| 61 | |||
| 62 | 1. | ||
| 63 | 11. Konvencie pre typy požiadaviek (príklady) | ||
| 64 | |||
| 65 | rámci projektu budú definované tri základné typy požiadaviek: | ||
| 66 | |||
| 67 | |||
| 68 | * Funkčné (používateľské) požiadavky majú nasledovnú konvenciu: | ||
| 69 | |||
| 70 | Fxx | ||
| 71 | |||
| 72 | F – funkčná požiadavka | ||
| 73 | |||
| 74 | xx – číslo požiadavky | ||
| 75 | |||
| 76 | |||
| 77 | * Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu: | ||
| 78 | |||
| 79 | Nxx | ||
| 80 | |||
| 81 | N – nefunkčná požiadavka (NFR) | ||
| 82 | |||
| 83 | xx – číslo požiadavky | ||
| 84 | |||
| 85 | |||
| 86 | * Technické požiadavky majú nasledovnú konvenciu: | ||
| 87 | |||
| 88 | Txx | ||
| 89 | |||
| 90 | T – technická požiadavka | ||
| 91 | |||
| 92 | xx – číslo požiadavky | ||
| 93 | |||
| 94 | |||
| 95 | 1. Popis navrhovaného riešenia | ||
| 96 | |||
| 97 | Cieľom projektu je vybudovanie geograficky oddeleného dátového centra, pre prevádzku IS kritickej infraštruktúry UNLP Košice. Tento projekt predstavuje kľúčový krok v modernizácii IT infraštruktúry, pričom jeho primárnym cieľom je zvýšiť dostupnosť a stabilitu prevádzkovaných systémov a súčasne nevyhnutnosť realizácie kybernetických opatrení pre zvýšenie súladu s požiadavkami zákona o ISVS resp. zákona o kybernetickej bezpečnosti Zákon č. 69/2018 Z. z., ako aj Vyhlášky č. 362/2018 Z. z. Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „Vyhláška 362/2018 Z. z.“). Nová infraštruktúra umožní efektívne a jednotné riadenie, čím sa zvýši dostupnosť a spoľahlivosť informačných systémov a zjednoduší sa správa samotných systémov. | ||
| 98 | |||
| 99 | |||
| 100 | 1. Architektúra riešenia projektu | ||
| 101 | |||
| 102 | Cieľom projektu je vybudovanie dvojzložkovej IT infraštruktúry, ktorá pozostáva z: | ||
| 103 | |||
| 104 | * Primárneho dátového centra – produkčné prostredie, kde bežia všetky kritické aplikácie a služby, | ||
| 105 | * Redundantného/záložného dátového centra – geograficky oddelené prostredie, pripravené na okamžité prevzatie prevádzky v prípade výpadku primárneho dátového centra (Disaster Recovery & High Availability). | ||
| 106 | |||
| 107 | Obe dátové centrá budú navzájom prepojené vysokokapacitným zabezpečeným spojom, ktorý zabezpečí: | ||
| 108 | |||
| 109 | * replikáciu dát, | ||
| 110 | * synchronizáciu systémov, | ||
| 111 | * failover mechanizmy pre zamedzenie výpadku služieb. | ||
| 112 | |||
| 113 | Týmto riešením vznikne vysoko dostupná, redundantná a legislatívne vyhovujúca IT infraštruktúra, ktorá podporuje: | ||
| 114 | |||
| 115 | * kontinuitu prevádzky (business continuity), | ||
| 116 | * obnovu po havárii (disaster recovery), | ||
| 117 | * zvýšenú úroveň kybernetickej bezpečnosti. | ||
| 118 | |||
| 119 | Ťažisko popisu architektúry nie je na biznis, aplikačnej a dátovej vrstve, ale na technologickej vrstve. | ||
| 120 | |||
| 121 | |||
| 122 | |||
| 123 | 1. | ||
| 124 | 11. Biznis vrstva | ||
| 125 | |||
| 126 | Predmetom projektu je obstaranie hardvérového riešenia, ktoré neobsahuje požiadavky na biznis vrstvu prevádzkovaných IS. Projekt navrhuje vybudovanie vysoko dostupnej serverovej virtualizovanej platformy, ktorá bude rozprestretá v rámci dvoch navzájom oddelených dátových centier, v ktorých bude prevádzkovaná HW infraštruktúra. Súčasťou tohto projektu sú výhradne hardvérové súčasti pre realizáciu vyššie uvedeného a im prislúchajúce firmwarov a operačných systémov, vrátane licencií. | ||
| 127 | |||
| 128 | |||
| 129 | 1. | ||
| 130 | 11. Aplikačná vrstva | ||
| 131 | |||
| 132 | Z pohľadu aplikačnej architektúry nedôjde v rámci tohto projektu k žiadnym zmenám. | ||
| 133 | |||
| 134 | |||
| 135 | 1. | ||
| 136 | 11. Dátová vrstva | ||
| 137 | |||
| 138 | Z pohľadu dátovej vrstvy nedôjde v rámci tohto projektu k žiadnym zmenám. | ||
| 139 | |||
| 140 | |||
| 141 | 1. | ||
| 142 | 11. Technologická vrstva | ||
| 143 | |||
| 144 | * Zálohovací server 1ks | ||
| 145 | * Virtualizačný server 2ks | ||
| 146 | * Primárne úložisko 1ks | ||
| 147 | * Virtuálne softvérové úložisko 1ks | ||
| 148 | * Prepínač 2ks | ||
| 149 | * Príslušenstvo (Rack 1ks, UPS 1ks, PDU 5ks) | ||
| 150 | * Licencie Windows server 2025 6ks, VMware 128ks, Subscription 5rokov) | ||
| 151 | *1. | ||
| 152 | *11. Prehľad technologického stavu - AS IS | ||
| 153 | |||
| 154 | Cieľom projektu je vybudovanie geograficky oddeleného dátového centra, pre prevádzku IS kritickej infraštruktúry UNLP Košice. Tento projekt predstavuje kľúčový krok v modernizácii IT infraštruktúry, pričom jeho primárnym cieľom je zvýšiť dostupnosť a stabilitu prevádzkovaných systémov a súčasne nevyhnutnosť realizácie kybernetických opatrení pre zvýšenie súladu so zákona o kybernetickej bezpečnosti. | ||
| 155 | |||
| 156 | 1. | ||
| 157 | 11. | ||
| 158 | 111. Návrh riešenia technologickej architektúry | ||
| 159 | |||
| 160 | [[image:file:///C:/Users/un88953/AppData/Local/Temp/msohtmlclip1/01/clip_image001.png]] | ||
| 161 | |||
| 162 | Vytvorenie redundantných serverovní v rámci dvoch oddelených areálov UNLP KE predstavuje kľúčové opatrenie na zaistenie vysokej dostupnosti a odolnosti informačných systémov. Myšlienka spočíva v tom, že namiesto prevádzky všetkých kritických serverov a úložísk v jednej lokalite sa infraštruktúra rozdelí do dvoch fyzicky oddelených priestorov. Lokalizácia prvej - existujúcej serverovne je v areáli na Rastislavovej ulici 43 ( site A) a druhej- plánovanej serverovne na Triede SNP 1 (site B). Tieto areály sú navzájom prepojené dostatočne rýchlym a spoľahlivým dátovým prepojom, čo umožňuje synchronizáciu dát a služieb v reálnom čase alebo s minimálnym oneskorením. | ||
| 163 | |||
| 164 | Hlavným dôvodom pre takéto riešenie je zvýšenie odolnosti voči výpadkom. Ak by sa v jednej lokalite vyskytol problém – napríklad porucha napájania, požiar, povodeň alebo iná havária – prevádzka aplikácií a služieb môže byť okamžite alebo v krátkom čase presunutá do druhej serverovne. Tým sa eliminuje riziko dlhodobého výpadku, ktorý by mal negatívny vplyv na chod organizácie a poskytovaných služieb. | ||
| 165 | |||
| 166 | Vďaka redundancii možno garantovať dostupnosť dát a služieb aj počas plánovaných odstávok, napríklad pri údržbe hardvéru či aktualizáciách. | ||
| 167 | |||
| 168 | Nemenej dôležitým aspektom je ochrana dát. Ukladanie a replikácia dát v dvoch geograficky oddelených lokalitách znižuje riziko ich straty pri zlyhaní diskového poľa alebo pri katastrofickej udalosti. Takéto riešenie často vyhovuje aj legislatívnym alebo bezpečnostným požiadavkám na zálohovanie a ochranu údajov. | ||
| 169 | |||
| 170 | Celkovo možno povedať, že vybudovanie redundantných serverovní v dvoch oddelených areáloch je strategická investícia, ktorá síce prináša vyššie počiatočné náklady, ale výrazne znižuje riziká spojené s nedostupnosťou systémov a umožňuje organizácii fungovať spoľahlivo aj v krízových situáciách. | ||
| 171 | |||
| 172 | |||
| 173 | 1. | ||
| 174 | 11. Bezpečnostná architektúra | ||
| 175 | |||
| 176 | Zmena bezpečnostnej architektúry nie je predmetom projektu. Predmetom projektu je prevádzka virtualizačnej časti na verziách podporovaných výrobcom. | ||
| 177 | |||
| 178 | |||
| 179 | |||
| 180 | |||
| 181 | |||
| 182 | 1. Závislosti na ostatné ISVS / projekty | ||
| 183 | |||
| 184 | Projekt nie je závislý od iných ISVS/Projektov, vzťahy so súvisiacimi ISVS/ Projektami zobrazuje nižšie uvedený diagram: | ||
| 185 | |||
| 186 | [[image:file:///C:/Users/un88953/AppData/Local/Temp/msohtmlclip1/01/clip_image002.png]] | ||
| 187 | |||
| 188 | |||
| 189 | 1. Zdrojové kódy | ||
| 190 | |||
| 191 | Projekt vybudovania redundatného dátového centra je primárne zameraný na nasadenie a konfiguráciu technickej infraštruktúry, ktorá pozostáva z komerčných hardvérových a softvérových komponentov tretích strán (napr. servery, úložiská, zálohovacie systémy, sieťové prvky, virtualizačné a monitorovacie nástroje). | ||
| 192 | |||
| 193 | Tieto riešenia sú: | ||
| 194 | |||
| 195 | * štandardne dodávané ako proprietárne produkty so zmluvnou podporou a licenciami, | ||
| 196 | * prevádzkované formou konfigurácie, nie vývoja vlastného softvéru, | ||
| 197 | * podporované výrobcom prostredníctvom SLA, aktualizácií a bezpečnostných patchov. | ||
| 198 | |||
| 199 | Projekt nezahŕňa vývoj aplikácií na mieru, pri ktorých by bolo opodstatnené požadovať vlastníctvo alebo prístup k zdrojovým kódom. Všetky používané softvérové komponenty sú buď: | ||
| 200 | |||
| 201 | * komerčné produkty, pri ktorých výrobca zdrojové kódy štandardne neposkytuje, | ||
| 202 | * alebo open-source riešenia, pri ktorých sú zdrojové kódy verejne dostupné. | ||
| 203 | |||
| 204 | 1. Prevádzka a údržba | ||
| 205 | |||
| 206 | Prevádzka a údržba redundatného dátového centra (RDC) bude zabezpečovaná internými zamestnancami IT oddelenia, ktorí budú zodpovední za každodenný dohľad nad infraštruktúrou, správu systémov, vykonávanie pravidelnej údržby a riešenie incidentov v súlade s definovanými procesmi a prevádzkovými štandardmi. | ||
| 207 | |||
| 208 | Interný IT tím bude zabezpečovať: | ||
| 209 | |||
| 210 | * 24/7 monitoring dostupnosti a výkonnosti systémov, | ||
| 211 | * preventívnu a reaktívnu údržbu bez výpadkov služieb, | ||
| 212 | * správu zálohovania a obnovy dát (RPO, RTO), | ||
| 213 | * koordináciu DR testov a prevádzkových zásahov. | ||
| 214 | |||
| 215 | Prevádzka bude navrhnutá s dôrazom na vysokú dostupnosť (HA) a redundanciu, čím sa zabezpečí plynulý chod kritických služieb aj počas údržby alebo výpadku primárneho dátového centra. | ||
| 216 | |||
| 217 | Úroveň poskytovania služieb (SLA) týkajúca sa hardvéru, systémových komponentov a vybraných softvérových riešení bude zabezpečená prostredníctvom podporných zmlúv s výrobcom alebo jeho oficiálnym zastúpením. Tieto SLA budú zahŕňať: | ||
| 218 | |||
| 219 | * garantované časy reakcie a opravy, | ||
| 220 | * prístup k technickej podpore výrobcu, | ||
| 221 | * aktualizácie softvéru a bezpečnostné záplaty, | ||
| 222 | * eskaláciu kritických problémov. | ||
| 223 | |||
| 224 | Kombináciou interného prevádzkového tímu a garantovaných SLA zo strany výrobcov bude zabezpečená spoľahlivá, bezpečná a kontinuálne dostupná prevádzka IT infraštruktúry, ktorá bude plne vyhovovať požiadavkám zákona o kybernetickej bezpečnosti a interným prevádzkovým štandardom organizácie. | ||
| 225 | |||
| 226 | |||
| 227 | 1. | ||
| 228 | 11. Prevádzkové požiadavky | ||
| 229 | |||
| 230 | Prevádzka bude zabezpečená interným personálom obstarávateľa. | ||
| 231 | |||
| 232 | |||
| 233 | 1. | ||
| 234 | 11. | ||
| 235 | 111. Úrovne podpory používateľov | ||
| 236 | |||
| 237 | Súčasťou komplexného riešenia prevádzky redundantného dátového centra (RDC) je aj zabezpečenie viacúrovňovej technickej podpory pre používateľov a prevádzku systémov. Podpora bude organizovaná podľa modelu L1 – L2 – L3, ktorý zabezpečí efektívne riešenie incidentov, požiadaviek a problémov v súlade s úrovňami zložitosti a SLA. | ||
| 238 | |||
| 239 | |||
| 240 | **L1 – Prvá úroveň podpory (Level 1 Support)** | ||
| 241 | |||
| 242 | Zodpovednosť: Zákaznícka podpora / ServiceDesk | ||
| 243 | |||
| 244 | Personálne zabezpečenie: Interní pracovníci IT oddelenia | ||
| 245 | |||
| 246 | Hlavné úlohy: | ||
| 247 | |||
| 248 | * | ||
| 249 | ** | ||
| 250 | *** Prvý kontakt s používateľom | ||
| 251 | *** Prijímanie, zaznamenávanie a kategorizácia incidentov a požiadaviek | ||
| 252 | *** Riešenie bežných problémov | ||
| 253 | *** Poskytovanie základných informácií o stave služieb | ||
| 254 | *** Eskalácia nevyriešených incidentov na L2 | ||
| 255 | |||
| 256 | **L2 – Druhá úroveň podpory (Level 2 Support)** | ||
| 257 | |||
| 258 | Zodpovednosť: Technická a prevádzková podpora | ||
| 259 | |||
| 260 | Personálne zabezpečenie: Interní IT špecialisti pre jednotlivé oblasti (servery, siete, bezpečnosť, zálohovanie) | ||
| 261 | |||
| 262 | |||
| 263 | Hlavné úlohy: | ||
| 264 | |||
| 265 | * | ||
| 266 | ** | ||
| 267 | *** Riešenie technických incidentov, ktoré presahujú možnosti L1 | ||
| 268 | *** Správa a údržba IT infraštruktúry (virtualizácia, zálohovanie, monitoring | ||
| 269 | *** Realizácia plánovaných zásahov a zmien v systéme | ||
| 270 | *** Spolupráca s L3 podporou pri komplexných problémoch | ||
| 271 | *** Vyhodnocovanie opakovaných problémov a návrhy na optimalizáciu | ||
| 272 | |||
| 273 | **L3 – Tretia úroveň podpory (Level 3 Support)** | ||
| 274 | |||
| 275 | Zodpovednosť: Špecializovaná podpora zo strany výrobcov alebo zmluvných partnerov | ||
| 276 | |||
| 277 | Personálne zabezpečenie: Výrobcovia technológií (OEM), certifikovaní servisní partneri | ||
| 278 | |||
| 279 | |||
| 280 | Hlavné úlohy: | ||
| 281 | |||
| 282 | * | ||
| 283 | ** | ||
| 284 | *** Riešenie zložitých technických problémov a systémových chýb | ||
| 285 | *** Analýza hlbokých technických incidentov (core dump, log trace, systémové chyby) | ||
| 286 | *** Dodávky aktualizácií, patchov, firmvérov, opráv | ||
| 287 | *** Poskytovanie expertného poradenstva a odporúčaní pri návrhu zmien | ||
| 288 | *** Reakcia podľa zmluvne dohodnutých SLA (napr. reakčný čas do 4 hodín, NBD výmena HW) | ||
| 289 | |||
| 290 | 1. | ||
| 291 | 11. Požadovaná dostupnosť IS: | ||
| 292 | |||
| 293 | Možnosť nahlasovania porúch 24/7, dodávka servisu pre opravy HW nasledujúci pracovný deň. Oprava zariadenia musí byť realizovaná priamo výrobcom alebo jeho lokálnym autorizovaným servisným partnerom (zastúpením). | ||
| 294 | |||
| 295 | |||
| 296 | |||
| 297 | 1. | ||
| 298 | 11. | ||
| 299 | 111. Dostupnosť (Availability) | ||
| 300 | |||
| 301 | IS musia byť dostupné nepretržite v režime 24x7. | ||
| 302 | |||
| 303 | |||
| 304 | 1. | ||
| 305 | 11. | ||
| 306 | 111. RTO (Recovery Time Objective) | ||
| 307 | |||
| 308 | Garantovaná doba opravy HW do 24 hodín. Oprava zariadenia musí byť realizovaná priamo výrobcom alebo jeho lokálnym autorizovaným servisným partnerom (zastúpením). | ||
| 309 | |||
| 310 | |||
| 311 | 1. Požiadavky na personál | ||
| 312 | |||
| 313 | Prevádzka bude zabezpečená interným personálom obstarávateľa. | ||
| 314 | |||
| 315 | |||
| 316 | 1. Implementácia a preberanie výstupov projektu | ||
| 317 | |||
| 318 | Projekt vybudovania redundantného dátového centra bude realizovaný v niekoľkých navzájom nadväzujúcich fázach s cieľom zabezpečiť plnú technickú funkčnosť, vysokú dostupnosť, súlad s legislatívou a bezproblémové nasadenie do prevádzky. | ||
| 319 | |||
| 320 | Úvodná fáza projektu zahŕňa zber požiadaviek, analýzu súčasného stavu a návrh cieľovej architektúry. Po jej schválení nasleduje realizačná fáza, v rámci ktorej dôjde k dodávke a inštalácii hardvérových a softvérových komponentov, konfigurácii sieťovej a serverovej infraštruktúry, nastaveniu zálohovania, replikácie a failover mechanizmov medzi primárnym a záložným dátovým centrom. Po technickej realizácii prebehne komplexné testovanie vrátane záťažových testov, overenia vysokodostupnostných (HA) a havarijných (DR) scenárov, testov obnovy dát a kontroly bezpečnostných opatrení. Preberanie výstupov prebieha na základe vopred definovaných odovzdávacích protokolov a kontrolných zoznamov. Súčasťou odovzdania je fyzické a logické preverenie infraštruktúry, kontrola dokumentácie, výsledkov testov a preškolenie obslužného personálu. Formálnym aktom preberania je podpis preberacieho protokolu medzi projektovým tímom a prevádzkou, čím sa systém odovzdáva do ostrej prevádzky. Prevádzka bude zabezpečená interným IT tímom v režime L1 – L2 – L3 podpory. Prvá úroveň (L1) pokrýva základnú používateľskú podporu a evidenciu incidentov, druhá úroveň (L2) zabezpečuje technickú správu infraštruktúry a riešenie bežných problémov a tretia úroveň (L3) je poskytovaná výrobcom technológií alebo jeho servisným partnerom v rámci SLA zmlúv. Tie zabezpečujú expertnú podporu, servisné zásahy a aktualizácie v dohodnutých reakčných časoch. | ||
| 321 | |||
| 322 | Takto navrhnutý implementačný a prevádzkový model zabezpečí plynulý prechod z projektu do rutinného režimu, minimalizuje riziká spojené s prevádzkou kľúčovej infraštruktúry a vytvára spoľahlivé základy pre dlhodobú prevádzkyschopnosť a súlad s kybernetickou legislatívou. | ||
| 323 | |||
| 324 | 1. Prílohy |
