PRÍSTUP K PROJEKTU

Vzor pre manažérsky výstup I-03

podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1. História dokumentu

Účel dokumentu

Tento dokument popisuje zámer, ciele a základné východiská projektu Vybudovania redundantného dátového centra (RDC), ktorého hlavným účelom je:

• Zvýšenie súladu s požiadavkami zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB“),
• Zabezpečenie vysokej dostupnosti kritických informačných systémov a služieb,
• Zvýšenie odolnosti a kontinuity prevádzky prostredníctvom fyzickej a logickej redundancie,
• Minimalizácia dopadov výpadkov a incidentov, ktoré by mohli ohroziť bezpečnosť, dostupnosť alebo integritu dát a služieb.

Dokument zároveň slúži ako podklad pre plánovanie, návrh, implementáciu a následnú prevádzku RDC.

Použité skratky a pojmy 

Konvencie pre typy požiadaviek (príklady)

rámci projektu budú definované tri základné typy požiadaviek:

• Funkčné (používateľské) požiadavky majú nasledovnú konvenciu:

Fxx

F – funkčná požiadavka

xx – číslo požiadavky

• Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:

Nxx

N – nefunkčná požiadavka (NFR)

xx – číslo požiadavky

• Technické požiadavky majú nasledovnú konvenciu:

Txx

T – technická požiadavka

xx – číslo požiadavky

3. Popis navrhovaného riešenia

Cieľom projektu je vybudovanie geograficky oddeleného dátového centra, pre prevádzku IS kritickej infraštruktúry UNLP Košice. Tento projekt predstavuje kľúčový krok v modernizácii IT infraštruktúry, pričom jeho primárnym cieľom je zvýšiť dostupnosť a stabilitu prevádzkovaných systémov a súčasne  nevyhnutnosť realizácie kybernetických opatrení pre zvýšenie súladu s požiadavkami zákona o ISVS resp. zákona o kybernetickej bezpečnosti Zákon č. 69/2018 Z. z., ako aj Vyhlášky č. 362/2018 Z. z. Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „Vyhláška 362/2018 Z. z.“). Nová infraštruktúra umožní efektívne a jednotné riadenie, čím sa zvýši dostupnosť a spoľahlivosť informačných systémov a zjednoduší sa správa samotných systémov.

4. Architektúra riešenia projektu

Cieľom projektu je vybudovanie dvojzložkovej IT infraštruktúry, ktorá pozostáva z:

• Primárneho dátového centra – produkčné prostredie, kde bežia všetky kritické aplikácie a služby,
• Redundantného/záložného dátového centra – geograficky oddelené prostredie, pripravené na okamžité prevzatie prevádzky v prípade výpadku primárneho dátového centra (Disaster Recovery & High Availability).

Obe dátové centrá budú navzájom prepojené vysokokapacitným zabezpečeným spojom, ktorý zabezpečí:

• replikáciu dát,
• synchronizáciu systémov,
• failover mechanizmy pre zamedzenie výpadku služieb.

Týmto riešením vznikne vysoko dostupná, redundantná a legislatívne vyhovujúca IT infraštruktúra, ktorá podporuje:

• kontinuitu prevádzky (business continuity),
• obnovu po havárii (disaster recovery),
• zvýšenú úroveň kybernetickej bezpečnosti.

Ťažisko popisu architektúry nie je na biznis, aplikačnej a dátovej vrstve, ale na technologickej vrstve.

1. 
   
   1. Biznis vrstva

Predmetom projektu je obstaranie hardvérového riešenia, ktoré neobsahuje požiadavky na biznis vrstvu prevádzkovaných IS. Projekt navrhuje vybudovanie vysoko dostupnej serverovej virtualizovanej platformy, ktorá bude rozprestretá v rámci dvoch  navzájom oddelených dátových centier, v ktorých bude prevádzkovaná  HW infraštruktúra. Súčasťou tohto projektu sú výhradne hardvérové súčasti pre realizáciu vyššie uvedeného a im prislúchajúce firmwarov a operačných systémov, vrátane licencií.

1. 
   
   1. Aplikačná vrstva

Z pohľadu aplikačnej architektúry nedôjde v rámci tohto projektu k žiadnym zmenám.

1. 
   
   1. Dátová vrstva

Z pohľadu dátovej vrstvy nedôjde v rámci tohto projektu k žiadnym zmenám.

1. 
   
   1. Technologická vrstva

• Zálohovací server                     1ks
• Virtualizačný server                   2ks
• Primárne úložisko                    1ks
• Virtuálne softvérové úložisko    1ks
• Prepínač                                  2ks
• Príslušenstvo (Rack 1ks, UPS 1ks, PDU 5ks)
• Licencie Windows server 2025 6ks, VMware 128ks, Subscription 5rokov)

1. 
   11.
   1. 
      
      1. Prehľad technologického stavu - AS IS

Cieľom projektu je vybudovanie geograficky oddeleného dátového centra, pre prevádzku IS kritickej infraštruktúry UNLP Košice. Tento projekt predstavuje kľúčový krok v modernizácii IT infraštruktúry, pričom jeho primárnym cieľom je zvýšiť dostupnosť a stabilitu prevádzkovaných systémov a súčasne  nevyhnutnosť realizácie kybernetických opatrení pre zvýšenie súladu so zákona o kybernetickej bezpečnosti.

1. 
   
   1. 
      
      1. Návrh riešenia technologickej architektúry

Vytvorenie redundantných serverovní v rámci dvoch oddelených areálov UNLP KE predstavuje kľúčové opatrenie na zaistenie vysokej dostupnosti a odolnosti informačných systémov. Myšlienka spočíva v tom, že namiesto prevádzky všetkých kritických serverov a úložísk v jednej lokalite sa infraštruktúra rozdelí do dvoch fyzicky oddelených priestorov. Lokalizácia prvej - existujúcej serverovne je v areáli na Rastislavovej ulici 43 ( site A)  a druhej- plánovanej serverovne  na Triede SNP 1 (site B). Tieto areály sú navzájom prepojené dostatočne rýchlym a spoľahlivým dátovým prepojom, čo umožňuje synchronizáciu dát a služieb v reálnom čase alebo s minimálnym oneskorením.

Hlavným dôvodom pre takéto riešenie je zvýšenie odolnosti voči výpadkom. Ak by sa v jednej lokalite vyskytol problém – napríklad porucha napájania, požiar, povodeň alebo iná havária – prevádzka aplikácií a služieb môže byť okamžite alebo v krátkom čase presunutá do druhej serverovne. Tým sa eliminuje riziko dlhodobého výpadku, ktorý by mal negatívny vplyv na chod organizácie  a poskytovaných služieb.

Vďaka redundancii možno garantovať dostupnosť dát a služieb aj počas plánovaných odstávok, napríklad pri údržbe hardvéru či aktualizáciách.

Nemenej dôležitým aspektom je ochrana dát. Ukladanie a replikácia dát v dvoch geograficky oddelených lokalitách znižuje riziko ich straty pri zlyhaní diskového poľa alebo pri katastrofickej udalosti. Takéto riešenie často vyhovuje aj legislatívnym alebo bezpečnostným požiadavkám na zálohovanie a ochranu údajov.

Celkovo možno povedať, že vybudovanie redundantných serverovní v dvoch oddelených areáloch je strategická investícia, ktorá síce prináša vyššie počiatočné náklady, ale výrazne znižuje riziká spojené s nedostupnosťou systémov a umožňuje organizácii fungovať spoľahlivo aj v krízových situáciách.

1. 
   
   1. Bezpečnostná architektúra

Zmena bezpečnostnej architektúry nie je predmetom projektu. Predmetom projektu je prevádzka virtualizačnej časti na verziách podporovaných výrobcom.

1. Závislosti na ostatné ISVS / projekty

Projekt nie je závislý od iných ISVS/Projektov, vzťahy so súvisiacimi ISVS/ Projektami zobrazuje nižšie uvedený diagram:

1. Zdrojové kódy

Projekt vybudovania redundatného dátového centra je primárne zameraný na nasadenie a konfiguráciu technickej infraštruktúry, ktorá pozostáva z komerčných hardvérových a softvérových komponentov tretích strán (napr. servery, úložiská, zálohovacie systémy, sieťové prvky, virtualizačné a monitorovacie nástroje).

Tieto riešenia sú:

• štandardne dodávané ako proprietárne produkty so zmluvnou podporou a licenciami,
• prevádzkované formou konfigurácie, nie vývoja vlastného softvéru,
• podporované výrobcom prostredníctvom SLA, aktualizácií a bezpečnostných patchov.

Projekt nezahŕňa vývoj aplikácií na mieru, pri ktorých by bolo opodstatnené požadovať vlastníctvo alebo prístup k zdrojovým kódom. Všetky používané softvérové komponenty sú buď:

• komerčné produkty, pri ktorých výrobca zdrojové kódy štandardne neposkytuje,
• alebo open-source riešenia, pri ktorých sú zdrojové kódy verejne dostupné.

1. Prevádzka a údržba

Prevádzka a údržba redundatného dátového centra (RDC) bude zabezpečovaná internými zamestnancami IT oddelenia, ktorí budú zodpovední za každodenný dohľad nad infraštruktúrou, správu systémov, vykonávanie pravidelnej údržby a riešenie incidentov v súlade s definovanými procesmi a prevádzkovými štandardmi.

Interný IT tím bude zabezpečovať:

• 24/7 monitoring dostupnosti a výkonnosti systémov,
• preventívnu a reaktívnu údržbu bez výpadkov služieb,
• správu zálohovania a obnovy dát (RPO, RTO),
• koordináciu DR testov a prevádzkových zásahov.

Prevádzka bude navrhnutá s dôrazom na vysokú dostupnosť (HA) a redundanciu, čím sa zabezpečí plynulý chod kritických služieb aj počas údržby alebo výpadku primárneho dátového centra.

Úroveň poskytovania služieb (SLA) týkajúca sa hardvéru, systémových komponentov a vybraných softvérových riešení bude zabezpečená prostredníctvom podporných zmlúv s výrobcom alebo jeho oficiálnym zastúpením. Tieto SLA budú zahŕňať:

• garantované časy reakcie a opravy,
• prístup k technickej podpore výrobcu,
• aktualizácie softvéru a bezpečnostné záplaty,
• eskaláciu kritických problémov.

Kombináciou interného prevádzkového tímu a garantovaných SLA zo strany výrobcov bude zabezpečená spoľahlivá, bezpečná a kontinuálne dostupná prevádzka IT infraštruktúry, ktorá bude plne vyhovovať požiadavkám zákona o kybernetickej bezpečnosti a interným prevádzkovým štandardom organizácie.

1. 
   
   1. Prevádzkové požiadavky

Prevádzka bude zabezpečená interným personálom obstarávateľa.

1. 
   
   1. 
      
      1. Úrovne podpory používateľov

Súčasťou komplexného riešenia prevádzky redundantného dátového centra (RDC) je aj zabezpečenie viacúrovňovej technickej podpory pre používateľov a prevádzku systémov. Podpora bude organizovaná podľa modelu L1 – L2 – L3, ktorý zabezpečí efektívne riešenie incidentov, požiadaviek a problémov v súlade s úrovňami zložitosti a SLA.

L1 – Prvá úroveň podpory (Level 1 Support)

Zodpovednosť: Zákaznícka podpora / ServiceDesk

Personálne zabezpečenie: Interní pracovníci IT oddelenia

Hlavné úlohy:

• 
  
  • 
    
    • Prvý kontakt s používateľom
    • Prijímanie, zaznamenávanie a kategorizácia incidentov a požiadaviek
    • Riešenie bežných problémov
    • Poskytovanie základných informácií o stave služieb
    • Eskalácia nevyriešených incidentov na L2

L2 – Druhá úroveň podpory (Level 2 Support)

Zodpovednosť: Technická a prevádzková podpora

Personálne zabezpečenie: Interní IT špecialisti pre jednotlivé oblasti (servery, siete, bezpečnosť, zálohovanie)

Hlavné úlohy:

• 
  
  • 
    
    • Riešenie technických incidentov, ktoré presahujú možnosti L1
    • Správa a údržba IT infraštruktúry (virtualizácia, zálohovanie, monitoring
    • Realizácia plánovaných zásahov a zmien v systéme
    • Spolupráca s L3 podporou pri komplexných problémoch
    • Vyhodnocovanie opakovaných problémov a návrhy na optimalizáciu

L3 – Tretia úroveň podpory (Level 3 Support)

Zodpovednosť: Špecializovaná podpora zo strany výrobcov alebo zmluvných partnerov

Personálne zabezpečenie: Výrobcovia technológií (OEM), certifikovaní servisní partneri

Hlavné úlohy:

• 
  
  • 
    
    • Riešenie zložitých technických problémov a systémových chýb
    • Analýza hlbokých technických incidentov (core dump, log trace, systémové chyby)
    • Dodávky aktualizácií, patchov, firmvérov, opráv
    • Poskytovanie expertného poradenstva a odporúčaní pri návrhu zmien
    • Reakcia podľa zmluvne dohodnutých SLA (napr. reakčný čas do 4 hodín, NBD výmena HW)

1. 
   
   1. Požadovaná dostupnosť IS:

Možnosť nahlasovania porúch 24/7, dodávka servisu pre opravy HW nasledujúci pracovný deň. Oprava zariadenia musí byť realizovaná priamo výrobcom alebo jeho lokálnym autorizovaným servisným partnerom (zastúpením).

1. 
   
   1. 
      
      1. Dostupnosť (Availability)

IS musia byť dostupné nepretržite v režime 24x7.

1. 
   
   1. 
      
      1. RTO (Recovery Time Objective)

Garantovaná doba opravy HW do 24 hodín. Oprava zariadenia musí byť realizovaná priamo výrobcom alebo jeho lokálnym autorizovaným servisným partnerom (zastúpením).

1. Požiadavky na personál

Prevádzka bude zabezpečená interným personálom obstarávateľa.

1. Implementácia a preberanie výstupov projektu

Projekt vybudovania redundantného dátového centra bude realizovaný v niekoľkých navzájom nadväzujúcich fázach s cieľom zabezpečiť plnú technickú funkčnosť, vysokú dostupnosť, súlad s legislatívou a bezproblémové nasadenie do prevádzky.

Úvodná fáza projektu zahŕňa zber požiadaviek, analýzu súčasného stavu a návrh cieľovej architektúry. Po jej schválení nasleduje realizačná fáza, v rámci ktorej dôjde k dodávke a inštalácii hardvérových a softvérových komponentov, konfigurácii sieťovej a serverovej infraštruktúry, nastaveniu zálohovania, replikácie a failover mechanizmov medzi primárnym a záložným dátovým centrom. Po technickej realizácii prebehne komplexné testovanie vrátane záťažových testov, overenia vysokodostupnostných (HA) a havarijných (DR) scenárov, testov obnovy dát a kontroly bezpečnostných opatrení. Preberanie výstupov prebieha na základe vopred definovaných odovzdávacích protokolov a kontrolných zoznamov. Súčasťou odovzdania je fyzické a logické preverenie infraštruktúry, kontrola dokumentácie, výsledkov testov a preškolenie obslužného personálu. Formálnym aktom preberania je podpis preberacieho protokolu medzi projektovým tímom a prevádzkou, čím sa systém odovzdáva do ostrej prevádzky. Prevádzka bude zabezpečená interným IT tímom v režime L1 – L2 – L3 podpory. Prvá úroveň (L1) pokrýva základnú používateľskú podporu a evidenciu incidentov, druhá úroveň (L2) zabezpečuje technickú správu infraštruktúry a riešenie bežných problémov a tretia úroveň (L3) je poskytovaná výrobcom technológií alebo jeho servisným partnerom v rámci SLA zmlúv. Tie zabezpečujú expertnú podporu, servisné zásahy a aktualizácie v dohodnutých reakčných časoch.

Takto navrhnutý implementačný a prevádzkový model zabezpečí plynulý prechod z projektu do rutinného režimu, minimalizuje riziká spojené s prevádzkou kľúčovej infraštruktúry a vytvára spoľahlivé základy pre dlhodobú prevádzkyschopnosť a súlad s kybernetickou legislatívou.

1. Prílohy
   {{/numberedLists}}