pristup_k_projektu

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

128

129

Dokument Prístup k projektu obsahuje opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy.

\\

== {{id name="projekt_2642_Pristup_k_projektu_detailny-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

(% class="" %)|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

(% class="" %)|(((

Active Directory

)))|(((

Active Directory je implementácia adresárových služieb [[LDAP>>url:https://sk.wikipedia.org/wiki/LDAP||shape="rect"]] firmou [[Microsoft>>url:https://sk.wikipedia.org/wiki/Microsoft||shape="rect"]] na použitie v systéme [[Microsoft Windows>>url:https://sk.wikipedia.org/wiki/Microsoft_Windows||shape="rect"]]. Umožňuje administrátorom nastavovať politiku, inštalovať programy na mnoho počítačov alebo aplikovať kritické aktualizácie v celej organizačnej štruktúre. Active Directory svoje informácie a nastavenia ukladá v centrálnej organizovanej databáze.

)))

(% class="" %)|(((

BIA

)))|(((

Business Impact Analysis - Analýza vplyvu (BIA) je základom celého procesu riadenia kontinuity podnikania (BCM). Pozostáva z techník a metód na posúdenie vplyvu narušenia dodávok kľúčových produktov alebo služieb organizácie a iných zainteresovaných strán na organizáciu a ich podporných kritických činností

)))

(% class="" %)|(((

BCM

)))|(((

Business Continuity Management - Riadenie kontinuity podnikania je kompletný súbor procesov,

154

155

ktorý identifikuje potenciálne vplyvy , ktoré ohrozujú organizáciu z pohľadu kybernetickej bezpečnosti. Poskytuje schopnosť účinnej reakcie na vzniknutý kybernetický bezpečnostný incident

)))

(% class="" %)|(((

Core

)))|(((

Next Generation Firewall

)))

(% class="" %)|(((

DAC kábel

)))|(((

Direct attach copper kábel, slúži k pripojeniu aktívnych prvkov.

)))

(% class="" %)|(((

EDR riešenie

)))|(((

EDR (Endpoint Detection and Response) zlepšuje schopnosť identifikovať, monitorovať a reagovať na podozrivé aktivity na koncových zariadeniach, ako sú pracovné stanice, servery a mobilné zariadenia

)))

(% class="" %)|(((

EPS

)))|(((

EPS (skratka pre Encapsulated PostScript) je univerzálny [[typ súboru>>url:https://sk.wikipedia.org/wiki/Typ_s%C3%BAboru||shape="rect"]], ktorý sa využíva pri posielaní dokumentov do tlačiarne

)))

(% class="" %)|(((

Firewall

)))|(((

Sieťové zariadenie alebo softvér, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Extranet a Intranet) a kontrolovať tok dát medzi týmito sieťami

)))

(% class="" %)|(((

GDPR

)))|(((

Nariadenie EU 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov

)))

(% class="" %)|(((

HW

)))|(((

Hardvér

)))

(% class="" %)|(((

LAN

)))|(((

Lokálna (vnútorná) počítačová sieť (Local Area Network)

)))

(% class="" %)|(((

Log

)))|(((

Záznam činnosti

)))

(% class="" %)|(((

MKB

)))|(((

Manažér kybernetickej bezpečnosti

)))

(% class="" %)|(((

SIEM

)))|(((

Systém pre zber a analýzu bezpečnostných udalostí vytváraných IT prostriedkami v reálnom čase (Security Information and Event Management)

)))

(% class="" %)|(((

Spam

)))|(((

Spam je nevyžiadaná a hromadne rozosielaná správa

)))

(% class="" %)|(((

sw

)))|(((

Softvér

)))

(% class="" %)|(((

Switch

)))|(((

Prepínač ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] switch) alebo sieťový prepínač (angl. network switch) je aktívny prvok [[počítačovej siete>>url:https://sk.wikipedia.org/wiki/Po%C4%8D%C3%ADta%C4%8Dov%C3%A1_sie%C5%A5||shape="rect"]], ktorý spája jej jednotlivé časti. Prepínač slúži ako centrálny prvok v sieťach [[hviezdicovej topológie>>url:https://sk.wikipedia.org/wiki/Hviezdicov%C3%A1_sie%C5%A5||shape="rect"]]. V minulosti sa ako centrálny prvok v týchto sieťach používal [[rozbočovač>>url:https://sk.wikipedia.org/wiki/Rozbo%C4%8Dova%C4%8D_(ethernet)||shape="rect"]] ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] hub).

)))

(% class="" %)|(((

TCP

)))|(((

Protokol riadenia prenosu (angl. Transmission Control Protocol)

)))

(% class="" %)|(((

UPS

)))|(((

Zariadenie alebo systém, ktorý zabezpečuje plynulú dodávku elektriny pre zariadenia, ktoré nesmú byť neočakávane vypnuté.

)))

(% class="" %)|(((

VPN

)))|(((

VPN je počítačová sieť na prepojenie počítačov na rôznych miestach internetu do jednej virtuálnej počítačovej siete.

)))

\\

\\

== {{id name="projekt_2642_Pristup_k_projektu_detailny-2.2Konvenciepretypypožiadaviek"/}}2.2 Konvencie pre typy požiadaviek ==

N/A

\\

**~ **

= {{id name="projekt_2642_Pristup_k_projektu_detailny-3.POPISNAVRHOVANÉHORIEŠENIA"/}}3. POPIS NAVRHOVANÉHO RIEŠENIA =

258

259

Popis navrhovaného riešenia je uvedený v Projektovom zámere, kap. Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

\\

= {{id name="projekt_2642_Pristup_k_projektu_detailny-4.ARCHITEKTÚRARIEŠENIAPROJEKTU"/}}4. ARCHITEKTÚRA RIEŠENIA PROJEKTU =

\\

== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.1Biznisvrstva"/}}4.1 Biznis vrstva ==

\\

Predmetom projektu je riadenie informačnej a kybernetickej bezpečnosti a realizácia opatrení KIB definovaných najmä v zákonoch č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 69/2018 Z. z.“) a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS“).

272

273

Predmetom projektu sú primárne tie oblasti, kde žiadateľ identifikoval najvyššiu mieru rizika a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami vyplývajúcimi z vykonanej Analýzy úrovne informačnej a kybernetickej bezpečnosti Prešovskej univerzity v Prešove (ďalej aj „analýzy bezpečnosti“). Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.

274

275

Jednotlivé biznis funkcie (podaktivity výzvy realizované v rámci projektu) bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

276

277

[[image:attach:image-2024-5-30_20-49-16.png||width="676"]]

278

279

Obrázok 1 Biznis funkcie / podaktivity projektu

\\

// //

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}4.1.1 Prehľad koncových služieb – budúci stav: ===

286

287

Predmetom projektu nie je budovanie koncových služieb.

\\

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.1.2Jazykovápodporaalokalizácia"/}}4.1.2 Jazyková podpora a lokalizácia ===

292

293

Riešenie bude realizované v slovenskom jazyku.

\\

\\

**~ **

== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2Aplikačnávrstva"/}}4.2 Aplikačná vrstva ==

302

303

V kap. 4.1 (obr.1 ) sú definované biznis funkcie / podaktivity projektu s príslušnými činnosťami. Tieto činnosti realizuje UNIPO na základe výsledkov analýzy bezpečnosti ukončenej v apríli 2024. Tieto činností predstavujú tvorbu bezpečnostnej dokumentácie, aktivity manažéra kybernetickej bezpečnosti a implementáciu softvérových a hardvérových nástrojov.

304

305

Aplikačnú architektúru projektu tvoria nasledovné riešenia pre oblasť informačnej a kybernetickej bezpečnosti:

\\

[[image:attach:image-2024-5-30_20-49-47.png||width="659"]]

310

311

Obrázok 2 Model aplikačnej architektúry (oranžovou farbou vyznačené nové komponenty / nástroje)

**~ **

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2.1Manažmentlogov"/}}4.2.1 Manažment logov ===

316

317

Stále častejšie globálne sa vyskytujúce bezpečnostné incidenty si však môžu vyžadovať dohľadávanie logov aj vo vzdialenejšej minulosti a stále častejšie sú aj požiadavky na ich prípadné poskytovanie ďalším orgánom (PZ SR, SIS, CSIRT,...) pre ďalšiu forenznú analýzu, čo aktuálne riešenie neumožňuje (resp. umožňuje len pomocou komplikovaných manuálnych postupov), prípadne je možné len s obmedzením – vyžaduje si určité znalosti aj prístupy k samotným logom.

318

319

Samotné vyhľadávanie je komplikované riešené priamo prostriedkami operačného systému, pričom logy nie sú po pridelení týchto prístupov chránené proti manipulácii.

320

321

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-Navrhovanériešenie"/}}Navrhované riešenie ===

322

323

Vzhľadom na uvedené skutočnosti navrhujeme implementovať centrálny manažment logov, tak aby spĺňal legislatívne požiadavky, požiadavky na dostupnosť, výkonnosť a aby poskytoval dostatočnú úložnú kapacitu pre zbierané logy.

324

325

Tento centrálny manažment logov musí spĺňať nasledujúce požiadavky:

326

327

* Vysokú dostupnosť a odolnosť voči výpadku jedného komponentu

328

* Musí poskytovať kapacitu minimálne 80TB

329

* Musí byt schopný spracovať trvale minimálne 6000EPS

330

* Vzhľadom na použité platformy a technológie musí byt schopný prijímať udalosti prostredníctvom agenta, ale aj bez agenta

331

* Musí byt schopný prijímať a spracovávať logy uložené aj do textových súborov a DB tabuliek

332

* Musí byt schopný logy z rôznych zdrojov prekladať do jednotnej formy a obohacovať ich prípadne o ďalšie informácie, pričom musí byť zaručená nemennosť prijímaných logov

333

* Musí poskytovať rozhranie pre užívateľov s rôznymi úrovňami prístupu

334

* Poskytované rozhranie musí umožňovať rýchle vyhľadávanie v logoch a zároveň poskytovať nástroj na podrobné vyhľadávanie a forenzné analýzy.

\\

Celé riešenie manažmentu logov musí poskytovať reportovacie funkcie. Riešenie manažmentu logov musí podporovať zálohovanie logov pre dlhodobé uloženie aj mimo centrálneho manažmentu logov

339

340

Novo implementované riešenie manažmentu logov musí plniť požiadavky zákona o kybernetickej bezpečnosti a ISO 27001 na uchovanie logov na predloženie organizáciám venujúcim sa bezpečnosťou (CSIRT,...).

341

342

Zároveň sa požaduje, aby bola poskytovaná podpora dodávateľa alebo výrobcu na celé riešenie ako celok v dĺžke 5 rokov (t.j. na všetky SW aj HW komponenty riešenia).

343

344

Riešenie manažmentu logov musí byt integrovateľné so SIEM systémom. Výhodou takéhoto riešenia by bolo zavedenie komplexnej správy logov do jedného systému, kde by sa logy normalizovali a obohatili o potrebné meta údaje a zároveň by relevantné security logy boli odosielane do centrálneho SIEM-u, kde by sa vzhľadom na to že by sa identifikovali len relevantné logy ušetrili licencie (EPS) SIEM-u.

345

346

Cieľovým stavom bude centrálne nasadený manažment logov a implementovaná funkcionalita log manažmentu. Zároveň toto riešenie pokryje všetky uvedené požiadavky aj na zber logov ako z OS tak aj informačných systémov a databáz.

347

348

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-Základnášpecifikáciapožiadavieknazberlogov:"/}}Základná špecifikácia požiadaviek na zber logov: ===

349

350

* Centrálny logovací systém by mal pracovať ako fyzická appliance s jedným uceleným webovým rozhraním pre všetky administrátorské i operátorské činnosti. Nevyžaduje inštaláciu ďalších systémov a aplikácií okrem podpory zberu na iných lokalitách (mimo centrálu) a agenta pre zber Windows logov.

351

* "Konfigurácia systému sa musí vykonávať v grafickom rozhraní jednotnej užívateľskej konzoly, systém poskytuje podporu pre vizuálne programovanie pre všetky kroky spracovania strojových dát.

352

* Systém má umožňovať doplnenie parseru pre zariadenia, aplikácie alebo systémy mimo uvedeného zoznamu užívateľov bez nutnosti spolupráce s výrobcom alebo dodávateľom ponúkaného systému - užívateľsky definované parsery. Dokumentácia systému musí obsahovať prehľadný návod na vytváranie zákazníckych parserov a systém musí obsahovať možnosť testovania a ladenia parserov bez vplyvu na ostatné produkčné funkcie systému."

353

* Prijaté logy má systém štandardizovať do jednotného formátu a logy sú rozdeľované do príslušných polí podľa ich typu. Systém musí zároveň uchovávať originálne verzie správ.

354

* Pre hodnoty jednotlivých parsovaných polí musí byť možné v definícii parseru zmeniť typ a štandardizovať minimálne na tieto základné druhy: číslo, IP adresa, MAC adresa, URL. Nad uloženými dátami typu číslo je možné pri vyhľadávaní vykonávať matematické operácie (súčty všetkých hodnôt, priemery, najmenšia/najväčšia hodnota a pod.).

355

* "Centrálny logovací systém musí zachovávať pôvodné informácie zo zdroju logu o časovej značke udalosti, ale nedôveruje jej a vytvára vlastné dôveryhodná časová pečiatka ku každému logu, ktorá vzniká v okamihu prijatia logu systémom a ktorým sa systém riadi.

356

* Všetky polia a položky prijaté systémom musia byť automaticky indexované. Nad všetkými položkami musí byť možné ihneď vykonávať vyhľadávanie bez nutnosti dodatočného ručného indexovania administrátorom.

357

* Centrálny logovací systém musí umožňovať zber udalostí vo formátoch RAW, Syslog."

358

* Centrálny logovací systém neumožňuje mazanie alebo modifikovanie uložených logov ani konfiguračnou zmenou administrátorovi systému s najvyššími oprávneniami. Každý log musí mať unikátny identifikátor, ktorý umožní jeho jednoznačnú identifikáciu.

359

* Centrálny logovací systém musí umožňovať konfiguráciu filtrácie nerelevantných správ, konsolidáciu logov na vlastnom storage priestore, jednoduché vyhľadávanie udalostí a okamžité vytváranie grafických reportov (ad hoc) bez nutnosti dodatočného programovania alebo aplikovania dopytov v SQL jazyku. Reportovací nástroj musí byť integrálnou súčasťou systému a aj súčasťou jednotného rozhrania.

360

* V prípade krátkodobého preťaženia systému nemôže dochádzať k strate logov. Všetky prijaté nespracované logy/udalosti sú ukladané do vyrovnávacej pamäte.

361

* Centrálny logovací systém musí umožňovať jednoducho vytvárať grafické znázornenie udalostí nad všetkými uloženými dátami za ľubovoľné časové obdobie bez nutnosti modifikácie konfigurácie systému alebo parametrov uložených dát. Historické dáta v požadovanej dĺžke retencie uložené v systéme je možné prehľadávať okamžite bez časových strát opätovného importu alebo dekomprimácie starších dát, prehľadávanie nevyžaduje manuálnu konfiguráciu a zásahy používateľa.

362

* Systém musí podporovať natívne získavanie logov z Office365.

363

* Centrálny logovací systém musí umožňovať unifikované vyhľadávanie naprieč všetkými typmi dát a zariadení podľa normalizovaných polí a musí spĺňať požiadavky normy STN/ISO 27001:2013 pre získavanie auditných záznamov.

364

* Centrálny logovací systém má mať možnosť uloženia užívateľom vytvorených pohľadov na dáta (dashboardov) pre budúce spracovanie.

365

* Centrálny logovací systém musí obsahovať reportovací nástroj s prednastavenými najbežnejšími reportami a možnosťou vlastných úprav a vytváranie nových pohľadov.

366

* Centrálny logovací systém musí umožňovať kapacitnú i výkonovú škálovateľnosť.

367

* Monitoring stavu systému - alertovanie pri prekročení prahových hodnôt alebo chybe systému, preposlanie upozornenia pomocou SMTP alebo Syslog.

368

* Centrálny logovací systém musí obsahovať REST-API pre integráciu s externým monitorovacím systémom (Zabbix, Nagios, PRTG a pod.)

369

* Centrálny logovací systém musí umožňovať jednoduché vytváranie užívateľských rolí definujúcich prístupové práva k uloženým udalostiam a jednotlivým ovládacím komponentom systému, vykonávať parsovanie a normalizáciu prijatých udalostí bez nutnosti inštalovať externé aplikácie alebo systémy a to priamo vo svojom rozhraní.

370

* Centrálny logovací systém musí podporovať overovanie užívateľa systému na externom LDAP serveri. V prípade výpadku externého LDAP systému musí podporovať overenie z lokálnej databázy. Systém má automaticky zaznamenávať užívateľské meno ku každej akcii užívateľom.

371

372

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-Aktualizácieazálohovanie"/}}Aktualizácie a zálohovanie ===

373

374

* Aktualizácie systému by mali byť distribuované v jednotnom balíku a ich inštalácia je vykonávaná cez centrálnu správcovskú konzolu. Všetky aktualizácie by mali byť vykonávané z webového rozhrania systému bez potreby asistencie výrobcu/dodávateľa.

375

* Systém musí podporovať downgrade, napríklad pri problémoch s novou verziou systému po upgrade

376

* Licenčne musí byť neobmedzený počet zariadení pre príjem zasielaných udalostí. Licenčne musí byť neobmedzený počet udalostí v GB za deň. Integrovaná databáza musí podporovať kompresiu ukladaných dát.

377

* Centrálny logovací systém musí podporovať zálohovania alebo obnovy konfigurácie v jednom kroku a jednom súbore pre celý systém a taktiež musí podporovať zálohovanie dát na externý systém, požadované je plánované aj ad-hoc zálohovanie.

378

379

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-Alerty:"/}}Alerty: ===

380

381

* Centrálny logovací systém musí byť schopný na základe zadaných podmienok splnených v prijatých dátach vygenerovať alert.

382

* Text emailu vygenerovaného alertom môže byť užívateľsky definovaný s premennými z prijatej rozparsovanej udalosti.

383

* Centrálny logovací systém by mal obsahovať výrobcom predpripravené sety/vzory alertov a korelácií. Užívateľská konfigurácia alertov musí byť možná pomocou vizuálneho programovacieho jazyka v centrálnej správcovskej konzole. Vizuálny programovací jazyk nemôže byť prezentovaný čisto textovo, ale textovo-grafickou formou, ktorá vizualizuje aplikačnú logiku. Konfigurácia alertu alebo korelácie umožňuje okamžitú kontrolu.

384

* Ako výstupné pravidlo alertu systém musí vedieť odoslať udalosť, ktorá alert vyvolala na externý systém prostredníctvom SMTP alebo Syslog cez TCP protokol. Pre Syslog protokol musí byť možnosť definície formátu dát pre jednoduchšiu integráciu so systémami tretích strán.

385

* V alertoch by mala byť možnosť využívať značky. Systém musí podporovať funkcie SIEM - korelácie udalostí a upozornenia s hraničnými limitmi. Definícia korelačných pravidiel má mať možnosť vloženia testovacej správy a výsledku testu vykonanej akcie.

386

387

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-"/}} ===

388

389

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-ZberudalostívprostredíMicrosoft:"/}}Zber udalostí v prostredí Microsoft: ===

390

391

* Centrálny logovací systém by mal získavať udalosti z Microsoft prostredia buď pomocou agenta inštalovaného priamo na koncovom zariadení s Windows systémom, alebo iným spôsobom. Agent súčasne musí podporovať monitoring interných Windows logov, a aj monitoring textových súborových logov.

392

* Agent musí zaisťovať zber nemodifikovaných udalostí a detailné spracovanie auditných informácií.

393

* Agent musí podporovať nastavenie filtrácie odosielaných udalostí pomocou centrálnej správcovskej konzoly.

394

* Filtrácia odosielaných udalostí agentom sa musí konfigurovať pomocou vizuálneho programovacieho jazyka v centrálnej správcovskej konzole. Nerelevantné logy majú byť filtrované na strane agenta a nie sú odosielané po sieti. Vizuálny programovací jazyk nesmie byť prezentovaný textovo, ale textovo-grafickou formou, ktorá vizualizuje aplikačnú logiku.

395

* Agent nesmie vyžadovať administrátorské zásahy na koncovom systéme – je centrálne spravovaný a automaticky aktualizovaný priamo z centrálnej správcovskej konzoly systému. Správa a aktualizácia agenta sa nevykonáva z Group Policy.

396

* Komunikácia Windows agenta a centrálneho logovacieho systému je šifrovaná.

397

* Agent musí podporovať zber nielen zo základných systémových logov (Aplikácie, Zabezpečenie, Inštalácie, Systém), ale aj zber všetkých ostatných logov v zložke protokoly aplikácií a služieb. Agent musí podporovať centralizované nastavenie z administrátorskej konzoly systému pre zber textových logov vrátane možnosti výberu ich formátu.

398

* Agent musí automaticky dopĺňať ku všetkým odosielaným udalostiam ich textový popis tak, ako je zobrazený v prehliadači udalostí (Event Viewer) na koncovom systéme.

399

* Počet inštalácií agenta nemôže byť licenčne ani časovo obmedzený.

400

401

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-"/}} ===

402

403

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-HWparametresystému"/}}HW parametre systému ===

404

405

* HW musí byť v rackovom prevedení o výške max. 2U. HW bude obsahovať všetky potrebné komponenty a musí byť nezávislý na ďalších systémoch. HW musí podporovať konfiguráciu HA s podporou celkového počtu nodov minimálne 8. V cene dodania musí byť aj zberná sonda (forwarder) v počte 1 ks (HW/VM)

406

* HW bude dodaný tak, aby spĺňal nasledovné minimálne parametre:

407

** 6000 udalostí za sekundu pri priemernej veľkosti jednej udalosti 1 KB, s možnosťou výkonu pri útoku 10000 udalostí po dobu min. 10 minút.

408

** retencia logov min. pol roka;

409

** diskový subsystém s čistou dostupnou kapacitou min. 80TB pre integrovanú databázu a s redundanciou; NVMe modul pre spracovanie near-realtime procesov

410

** 4x 10Gbit SFP+ porty + 1x dedikovaný 1Gbit port pre management HW;

411

** Redundantné ventilátory, vymeniteľné za chodu;

412

** Napájacie zdroje s redundanciou 1+1, vymeniteľné za chodu, účinnosť min. 94%;

413

** Virtuálne KVM, t.j. prevzatie textovej i grafickej konzoly serveru a prenos povelov z klávesnice a myši vzdialeného počítača;

414

** Systém pre vzdialenú správu serveru vrátane potrebnej licencie,

415

** Hardvérová min. 5 ročná záručná servisná podpora na hardware appliance s opravou na mieste inštalácie serveru a s garantovanou odozvou nasledujúci pracovný deň od nahlásenia prípadnej závady.

416

417

== {{id name="projekt_2642_Pristup_k_projektu_detailny-"/}} ==

418

419

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2.2Nástrojnacentrálnymanažmentsiete"/}}4.2.2 Nástroj na centrálny manažment siete ===

420

421

Nástroj na centrálny manažment siete, ktorý poskytne centralizovaný pohľad na celú sieť s viditeľnosťou všetkých sieťových zariadení bez nutnosti integrácie viacerých aplikácií.

422

423

Tento nástroj by mal poskytovať hlavne:

424

425

* Komplexný prehľad o sieti

426

* Podrobné informácie o výkone aplikácií a siete prostredníctvom telemetrie a hĺbkovej kontroly paketov (DPI).

427

* Typologické mapy

428

* Podporu zariadení Cisco, Juniper Networks, HPE Aruba, Dell, Nokia, Allied Telesis, Zyxel, Linksys, Huawei a ďalšie. Na správu zariadení tretích strán možnosť použiť protokol SNMP (Simple Network Management Protocol) verzií 1, 2c a 3, ako aj rozhranie príkazového riadka (CLI).

429

* Identifikáciu a reporting pre podozrivé/škodlivé alebo nežiaduce aplikácie

430

* Automatizáciu každodenných činností prostredníctvom intuitívnej automatizácie úloh a orchestrácie.

431

* Podporu bežných skriptovacích jazykov, ako je napríklad Python

432

* Integráciu prostredníctvom rozhrania API

\\

Z pohľadu nasadenia by mal podporovať možnosť nasadenia ako virtuálneho zariadenia, SW, alebo HW appliance.

437

438

Z pohľadu podpory virtualizačných platforiem by mala byt možnosť nasadenia na VMWare aj Hyper-V Site.

439

440

Pri nasadení ako SW by mal podporovať tieto OS:

441

442

* Red Hat Enterprise Linux WS a ES v6 a v7

* Ubuntu 20.04 LTS

\\

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2.3Nástrojprecentrálnusprávuzariadeníaantivírovéhoprostredia"/}}4.2.3 Nástroj pre centrálnu správu zariadení a antivírového prostredia ===

448

449

V súčasnej dobe, keď organizácia nemá nasadený nástroj pre centrálnu správu zariadení, môže čeliť rôznym výzvam spojeným s efektívnym riadením IT infraštruktúry. Tento stav často vedie k fragmentácii správy, kde rôzne tímy používajú odlišné nástroje na správu hardvéru, softvéru a bezpečnosti, čo môže spôsobiť nekonzistentnosti, bezpečnostné riziká a zvýšené náklady na IT. Navyše, bez centralizovaného nástroja je ťažké udržiavať prehľad o inventári, licenciách a dodržiavaní bezpečnostných politík.

450

451

Nasadenie nástroja pre centrálnu správu bude riešiť tieto problémy tým, že poskytne jednotné riešenie pre správu všetkých aspektov IT prostredia, centralizovanú správu aplikácií, aktualizácií, bezpečnostných zásad, ako aj efektívnu distribúciu operačných systémov a softvéru. To zabezpečí, že všetky zariadenia budú aktuálne, bezpečné a v súlade s firemnými politikami.

452

453

Cieľový stav s nasadeným nástrojom pre centrálnu správu prinesie výrazné zlepšenie v efektivite správy IT, zníženie nákladov a zlepšenie bezpečnosti. S centralizovanou správou je možné lepšie monitorovať a reagovať na bezpečnostné hrozby v reálnom čase, čo znižuje potenciálne riziká pre organizáciu.

454

455

Pri nasadení tohto riešenia by tento produkt mal splniť nasledujúce úlohy a požiadavky:

456

457

* Automatizovaná správa softvéru: Produkt by mal poskytovať nástroje na centralizovanú správu softvéru, vrátane inštalácie, aktualizácií a údržby aplikácií a operačných systémov. To zahŕňa automatizované rozširovanie bezpečnostných záplat a aktualizácií, čo znižuje riziko bezpečnostných incidentov a udržiava systémy v aktuálnom stave.

458

* Rozšírené možnosti konfigurácie systémov: Produkt by mal umožňovať jednoduché nasadzovanie a konfiguráciu operačných systémov naprieč rôznymi zariadeniami. Automatizované nasadenie systémov pomôže zjednodušiť procesy a zefektívniť správu IT prostriedkov.

459

* Inventarizácia a audit zariadení a softvéru: Produkt by mal poskytovať presný prehľad o všetkom hardvére a softvére na zariadeniach v sieti. Tieto údaje by mali byť použité na správu licencií, plánovanie kapacity a bezpečnostné audity.

460

* Dodržiavanie interných a externých predpisov: Produkt by mal zabezpečiť, že všetky zariadenia spĺňajú stanovené bezpečnostné politiky a regulácie. To zahŕňa pravidelné aktualizácie bezpečnostných nastavení a zabezpečenie súladu s internými politikami a externými predpismi.

461

* Podpora a vzdialená správa: Produkt by mal poskytovať nástroje na efektívnu vzdialenú podporu a správu zariadení. Toto umožní IT oddeleniu rýchlo reagovať na problémy a vykonávať údržbu bez nutnosti fyzickej prítomnosti u zariadenia.

462

* Reporting a analýzy: Produkt by mal obsahovať pokročilé nástroje na vytváranie reportov a analýz, ktoré poskytujú prehľady o stave IT infraštruktúry, výkonnosti nasadených politík a identifikáciu možných problémov predtým, ako ovplyvnia prevádzku.

463

* Integrácia s inými nástrojmi: Produkt by mal byť kompatibilný a efektívne spolupracovať s ďalšími nástrojmi a systémami, ako sú Microsoft Intune, Active Directory a Windows Server Update Services, aby zabezpečil hladkú a koordinovanú správu všetkých IT zdrojov.

\\

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2.4Nástrojpretestovaniebezpečnosti"/}}4.2.4 Nástroj pre testovanie bezpečnosti ===

468

469

V oblasti testovania a zabezpečenia svojej IT infraštruktúry momentálne organizácia nemá pokryte riešenie testovania bezpečnosti. Medzi hlavné problémy aktuálneho stavu patria:

470

471

* Obmedzené testovanie zraniteľností: Bez pokročilých nástrojov je testovanie zraniteľností často povrchné a neúplné, čo môže viesť k prehliadnutiu kritických bezpečnostných medzier.

472

* Manuálne penetračné testy: Penetračné testy sú vykonávané manuálne, čo je časovo náročné a zvyšuje riziko ľudských chýb. Tieto testy sú často nesystematické a nákladné.

473

* Nedostatok odborných znalostí: IT tím môže postrádať pokročilé znalosti potrebné na identifikáciu a exploitáciu zraniteľností, čo znižuje efektívnosť bezpečnostných testov.

474

* Reaktívny prístup k bezpečnosti: Organizácia často reaguje na bezpečnostné incidenty až po ich vzniku, čo môže viesť k významným finančným a reputačným stratám.

475

* Nedostatočné pokrytie: Tradičné testovanie často nezahŕňa všetky aspekty IT infraštruktúry, vrátane sieťových zariadení, aplikácií a ľudských faktorov.

476

477

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-Kľúčovévlastnosti:"/}}Kľúčové vlastnosti: ===

478

479

* Široká databáza exploitov: Nástroj ponúka rozsiahlu a neustále aktualizovanú knižnicu exploitov, ktoré umožňujú testovanie najnovších zraniteľností.

480

* Automatizácia testovania: S pokročilými funkciami skriptovania a automatizácie umožňuje Nástroj efektívne a rýchlo vykonávať penetračné testy.

481

* Modulárna architektúra: Flexibilná modulárna štruktúra umožňuje užívateľom prispôsobiť a rozširovať funkčnosť podľa špecifických potrieb.

482

* Profesionálna verzia ponúka ďalšie funkcie ako automatizované reportovanie, rozšírenú integráciu a pokročilé nástroje na riadenie zraniteľností.

483

* Testovanie sociálneho inžinierstva: Umožňuje simulovať útoky sociálneho inžinierstva, ako sú phishingové kampane, pre overenie odolnosti zamestnancov proti takýmto hrozbám.

484

* Integrácia s inými nástrojmi: Nástroj sa integruje s rôznymi nástrojmi pre správu zraniteľností, SIEM, a inými bezpečnostnými riešeniami, čo umožňuje komplexnú bezpečnostnú stratégiu.

485

486

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-Predpokladyprenasadenie:"/}}Predpoklady pre nasadenie: ===

487

488

* Serverové požiadavky: Nástroj vyžaduje dedikovaný server alebo virtuálny stroj, ktorý podporuje operačné systémy ako Windows, Linux alebo macOS. Minimálne hardvérové požiadavky sú 4-jadrový procesor, 8 GB RAM a 50 GB voľného miesta na disku.

489

* Sieťová infraštruktúra: Stabilné pripojenie na interné siete je nevyhnutné pre efektívne testovanie zraniteľností a exploitácie. Prístupové práva a povolené porty sú potrebné pre komunikáciu s cieľovými systémami.

490

* Prístupové práva: Administratívne prístupové práva na cieľové systémy sú často potrebné pre vykonávanie pokročilých testov a exploitácií.

491

* Znalosti a školenie: Užívatelia Nástroj by mali mať pokročilé znalosti v oblasti kybernetickej bezpečnosti, sieťových protokolov a exploitácie zraniteľností.

492

493

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-Výhody:"/}}Výhody: ===

494

495

* Zvýšená bezpečnosť: Simulovaním reálnych útokov Nástroj pomáha identifikovať a opraviť zraniteľnosti predtým, ako ich môžu zneužiť kybernetickí útočníci.

496

* Úspora času a nákladov: Automatizácia testovania znižuje potrebu manuálnych zásahov a zrýchľuje celý proces penetračného testovania.

497

* Detailné reportovanie: Generovanie podrobných správ o zistených zraniteľnostiach a exploitoch umožňuje lepšie pochopenie bezpečnostného stavu organizácie a efektívne plánovanie nápravných opatrení.

498

* Prispôsobiteľnosť: Modulárna architektúra a podpora skriptovania umožňuje prispôsobenie nástroja presne podľa potrieb organizácie.

499

* Komplexné testovanie: Nástroj pokrýva širokú škálu zraniteľností, vrátane sieťových, aplikačných a ľudských faktorov, čo zabezpečuje dôkladné testovanie celej IT infraštruktúry.

500

* Podpora komunity: Aktívna komunita a podpora od Rapid7 zaisťuje, že Nástroj je neustále aktualizovaný o nové exploity a funkcie, čím zostáva relevantným a účinným nástrojom pre testovanie bezpečnosti.

501

* Nasadením univerzita získa organizácia robustný a flexibilný nástroj pre vykonávanie penetračných testov, identifikáciu a nápravu zraniteľností a zlepšenie celkovej bezpečnosti IT infraštruktúry.

502

503

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2.5Prevádzkovýmonitoring"/}}4.2.5 Prevádzkový monitoring ===

504

505

Navrhované technické riešenie umožní monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel. Monitorovací nástroj bude informovať o vzniknutých technických problémoch a nedostatku kapacít správcu príslušnej služby alebo servera. Bude schopný monitorovať rôzne druhy zariadení ako sú fyzické a virtuálne servery, sieťové prvky, dátové úložiská a iné zariadenia, ktoré dokážu poskytnúť údaje o svojej prevádzke. Monitoring bude v reálnom čase s možnosťou údaje okamžite vizualizovať prostredníctvom grafov, máp a rôznych náhľadov. Bude schopný porovnávať dáta v rôznych časových obdobiach, analyzovať históriu.

506

507

* Navrhované riešenie poskytne :

508

* Monitorovanie kľúčových informačných systémov a ich jednotlivých komponentov

509

* Nastavenie prahových hodnôt alertov a notifikácií

510

* Eskalácia notifikácií

511

* Tvorba reportov

512

* Tvorba vlastných sledovacích schém.

Rozsah monitoringu:

Do monitoringu bude zahrnutých 18 zariadení a služieb, komponentov infraštruktúry z množiny:

517

518

* Sieťových zariadení

519

* Virtualizačných služieb

520

* Fyzických a virtuálnych serverov

521

* Kritického hardvéru

522

523

Zber údajov bude podporovať:

524

525

* Agentov SNMP a IPM

526

* Bezagentový a špeciálny monitoring

527

* Monitoring virtuálnych zariadení

528

* Webové aplikácie a Java scenáre

529

* Monitoring databáz

530

* Kalkulované a agregované položky

531

* Interné sledovanie výkonu.

532

533

Bude podporovaná vizualizácia vo webovom rozhraní a informovanosť v rozsahu:

534

535

* Grafov a máp so zloženými pohľadmi

536

* Globálnych Dashboardov

537

* Prístupu k získaným hodnotám a zoznamu udalostí

538

* Zasielania oznámení

539

* Potvrdenia a eskalácie prijatých informácií

540

* Schopnosti prijať opatrenia.

541

542

Systém bude schopný automatizácie, napr. cez Network alebo Low-level discovery. Tiež bude schopný správy aj cez smartfón, schopný nasadenia vlastných skriptov s prístupom k funkciám cez API. Budú sa dať definovať pravidlá hodnotenia údajov poskytujúce logické definície stavu zariadení.

\\

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2.6InternýHelpdesk"/}}4.2.6 Interný Helpdesk ===

547

548

Predstavuje zavedenie interného helpdesku, ktorý bude využiteľný nielen ako centrálne úložisko požiadaviek klientov s možnosťou sledovania riešenia každej požiadavky, ale umožní aj centralizovaný zber bezpečnostných incidentov.

549

550

Zavedený systém podpory, ktorý by integroval požiadavky vytvorené prostredníctvom e-mailu a webových formulárov do jednoduchého ľahko použiteľného webového rozhrania pre viacerých používateľov. Mal by umožňovať jednoduchú správu, organizáciu a archiváciu všetkých požiadaviek a odpovede na podporu na jednom mieste.

Požadované funkcie:

* Webová a e-mailová podpora: Tickety musí byt možné vytvárať prostredníctvom e-mailu, online formulárov alebo telefónu (vytvorené zamestnancami). Flexibilná konfigurácia a mapovanie.

555

* Automatická reakcia: Automatická odpoveď, ktorá sa odošle po otvorení nového tiketu alebo prijatí správy. Prispôsobiteľné šablóny pošty.

556

* Pripravené odpovede: Preddefinované odpovede na často kladené otázky.

557

* Interné poznámky: Pridávanie interných poznámok k tiketom pre zamestnancov

558

* Témy nápovedy: Konfigurovateľné témy nápovedy pre webové tikety. Presmerovanie ticketov bez prezentovania interných oddelení alebo priorít.

559

* Upozornenia a oznámenia: Zamestnanci a klienti budú informovaní pomocou e-mailových upozornení. Konfigurovateľné a flexibilné nastavenia.

560

* Prístup na základe rolí: Riadenie úrovne prístupu zamestnancov na základe skupín a oddelení.

561

* Prideľovanie a prenos ticketov: Prideľovanie ticketov zamestnancom a/alebo oddeleniam.

562

* Nevyžaduje sa registrácia: Pre používateľov sa nevyžaduje žiadny používateľský účet ani registrácia (na prihlásenie sa používa ID lístka/email).

563

* História podpory: Všetky žiadosti o podporu a odpovede sa archivujú.

564

* Možnosť inštalácie on-premise aj na virtuálny server

**~ **

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2.7Rozsahinformačnýchsystémov–ASIS"/}}4.2.7 Rozsah informačných systémov – AS IS ===

569

570

(% class="" %)|(((

571

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

586

587

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

(% class="" %)|(((

isvs_11464

)))|(((

Aplikácie Microsoft 365

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Prezentačný

)))|(((

\\

)))

(% class="" %)|(((

isvs_11296

)))|(((

Modul OpenData UNIPO

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11295

)))|(((

Modul konsolidácie údajov UNIPO

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11290

)))|(((

E-learning Moodle

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11289

)))|(((

Knižničný informačný systém (KIS)

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11288

)))|(((

Informačný systém Kľúčový poriadok (ISKP)

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11287

)))|(((

Identifikačný IS (aplikácia UNIStudent)

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11286

)))|(((

MAIS Akademický informačný systém

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11285

)))|(((

Informačný systém MEMPHIS

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11284

)))|(((

Informačný systém Datamaster

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Integračný

)))|(((

\\

)))

(% class="" %)|(((

isvs_11283

)))|(((

CMS systém webového sídla univerzity

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11282

)))|(((

Prevádzkovo-technický IS (PTIS)

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11281

)))|(((

Stravovací IS KREDIT 8

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11280

)))|(((

Dochádzkový IS iCARD

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11279

)))|(((

Informačný systém IDM midPoint UNIPO

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Integračný

)))|(((

\\

)))

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-"/}} ===

786

787

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2.8Rozsahinformačnýchsystémov–TOBE"/}}4.2.8 Rozsah informačných systémov – TO BE ===

788

789

(% class="" %)|(((

790

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

805

806

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

(% class="" %)|(((

isvs_11464

)))|(((

Aplikácie Microsoft 365

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Prezentačný

)))|(((

\\

)))

(% class="" %)|(((

isvs_11296

)))|(((

Modul OpenData UNIPO

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11295

)))|(((

Modul konsolidácie údajov UNIPO

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11290

)))|(((

E-learning Moodle

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11289

)))|(((

Knižničný informačný systém (KIS)

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11288

)))|(((

Informačný systém Kľúčový poriadok (ISKP)

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11287

)))|(((

Identifikačný IS (aplikácia UNIStudent)

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11286

)))|(((

MAIS Akademický informačný systém

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11285

)))|(((

Informačný systém MEMPHIS

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11284

)))|(((

Informačný systém Datamaster

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Integračný

)))|(((

\\

)))

(% class="" %)|(((

isvs_11283

)))|(((

CMS systém webového sídla univerzity

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11282

)))|(((

Prevádzkovo-technický IS (PTIS)

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11281

)))|(((

Stravovací IS KREDIT 8

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11280

)))|(((

Dochádzkový IS iCARD

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_11279

)))|(((

Informačný systém IDM midPoint UNIPO

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Integračný

)))|(((

\\

)))

\\

\\

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2.9VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}4.2.9 Využívanie nadrezortných a spoločných ISVS – AS IS ===

1009

1010

Predmetom projektu nie je využívanie nadrezortných a spoločných ISVS.

1011

1012

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2.10PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}4.2.10 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE ===

1013

1014

Predmetom projektu nie je realizácia integrácií.

1015

1016

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2.11PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}4.2.11 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===

1017

1018

Predmetom projektu nie je realizácia integrácií.

1019

1020

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2.12Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}4.2.12 Aplikačné služby pre realizáciu koncových služieb – TO BE ===

1021

1022

Predmetom projektu nie je realizácia aplikačných služieb

1023

1024

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2.13Aplikačnéslužbynaintegráciu–TOBE"/}}4.2.13 Aplikačné služby na integráciu – TO BE ===

1025

1026

Predmetom projektu nie je realizácia integrácií.

1027

1028

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2.14PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}4.2.14 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===

1029

1030

Predmetom projektu nie je poskytovanie údajov do IS CSRÚ.

1031

1032

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.2.15KonzumovanieúdajovzISCSRU–TOBE"/}}4.2.15 Konzumovanie údajov z IS CSRU – TO BE ===

1033

1034

Predmetom projektu nie je konzumovanie údajov z IS CSRÚ.

\\

== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.3Dátovávrstva"/}}4.3 Dátová vrstva ==

1039

1040

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.3.1Údajevspráveorganizácie"/}}4.3.1 Údaje v správe organizácie ===

1041

1042

Predmetom projektu nie je spracovanie, resp. práca s údajmi ako objektmi evidencie.

1043

1044

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.3.2Dátovýrozsahprojektu-Prehľadobjektovevidencie-TOBE"/}}4.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE ===

1045

1046

Predmetom projektu nie je spracovanie, resp. práca s údajmi ako objektmi evidencie.

1047

1048

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.3.3Referenčnéúdaje"/}}4.3.3 Referenčné údaje ===

1049

1050

Projekt nepracuje s referenčnými údajmi.

1051

1052

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.3.4Kvalitaačistenieúdajov"/}}4.3.4 Kvalita a čistenie údajov ===

1053

1054

Predmetom projektu nie je riešenie kvality a čistenia údajov.

1055

1056

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.3.5Otvorenéúdaje"/}}4.3.5 Otvorené údaje ===

1057

1058

Predmetom projektu nie je riešenie otvorených údajov.

1059

1060

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.3.6Analytickéúdaje"/}}4.3.6 Analytické údaje ===

1061

1062

Predmetom projektu nie je riešenie analytických údajov.

1063

1064

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.3.7Mojeúdaje"/}}4.3.7 Moje údaje ===

1065

1066

Predmetom projektu nie je riešenie témy „Moje údaje“.

1067

1068

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.3.8Prehľadjednotlivýchkategóriíúdajov"/}}4.3.8 Prehľad jednotlivých kategórií údajov ===

1069

1070

Predmetom projektu nie sú „objekty evidencie“.

\\

\\

**~ **

== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.4Technologickávrstva"/}}4.4 Technologická vrstva ==

1081

1082

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.4.1Technickýprostriedokzabezpečujúcifunkcionalitunextgenerationfirewall-u(ďalejaj„NGFW“)"/}}4.4.1 Technický prostriedok zabezpečujúci funkcionalitu next generation firewall-u (ďalej aj „NGFW“) ===

1083

1084

Požiadavky na konektivitu (porty):

* 2 x USB port

* 1 x Console port

* 1 x GE RJ45 Management Port

1089

* 1 x 2.5 GE / GE HA Port

1090

* 16 x GE RJ45 Ports

1091

* 4 x 10GE/GE SFP+/SFP Slot

1092

* 8 x GE SFP Slots

1093

* 4 x 25GE/10GE SFP28/SFP+ ULL (ultra-low latency) Slot

1094

* 2x napájací zdroj

1095

* Interné úložisko 2x 480 GB

Je potrebné aby mal NGFW minimálne dva redundantné napájacie zdroje tieto budú pripojené ku dvom UPS z ktorých každá je napájaná samostatne istenou sieťovou vetvou (fázou) na to určeným rozvodom elektrickej siete.

1100

1101

Špecifikácia technických parametrov NGFW, výkon a kapacita:

1102

1103

* Form Factor 1U

1104

* Dostupná IPS priepustnosť 26 Gbps

1105

* NGFW priepustnosť 22 Gbps

1106

* Dostupná IPv4 priepustnosť Firewall-u (1518 / 512 / 64 byte, UDP): 164 / 163 / 153 Gbps

1107

* Maximálne oneskorenie (64 byte, UDP): do 3.78 μs

1108

* Dostupná priepustnosť firewall-u (Paket za sekundu): 229.5 Mpps

1109

* Súbežné relácie (TCP): 16 Million

1110

* Dosiahnuteľný počet nových spojení za sekundu (TCP): 720 000

1111

* Dostupný počet pravidiel firewall-u: 10 000

1112

* SSL-VPN priepustnosť: 10 Gbps

1113

* Dostupný počet súčasných SSL-VPN užívateľov: 10 000 (odporúčané maximum, tunnel mode)

1114

* Priepustnosť pri SSL inšpekcii: 16.7 Gbps

1115

* Redundacia (HA): Active-Active, Active-Passive, Clustering

Služby:

* Služby VPN zahrnuté v cene zariadenia

1122

* Možnosť modulárneho rozšírenia Firewall-u prostredníctvom prepínačov.

1123

* Firewall musí vystupovať pre tieto prepínače ako kontrolér

1124

* Možnosť integrácie cez Security Fabric

1125

* Záruka 5 rokov, dostupná podpora 24/7

\\

[[image:attach:image-2024-5-30_20-51-2.png||width="669"]]

Schéma č. 1

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.4.2Zálohovanie:"/}}4.4.2 Zálohovanie: ===

1134

1135

Geograficky oddelený segment infraštruktúry sa bude nachádzať v budove B a bude pozostávať z

1136

1137

* Dátové úložisko – server – na schéme č. 2: Virt NODE,

1138

* Switch na zabezpečenie iSCSI konektivity – na schéme č. 2: iSCSI SW,

1139

* Dátové úložisko – NAS – na schéme č. 2: Storage Typ 1

1140

* Dátové úložisko - Pásková knižnica - na schéme č. 2: Storage Typ 2

1141

* Zálohovací softvér.

1142

1143

Konektivita s primárnym zdrojom dát pre zálohovanie bude zabezpečená cez iSCSI SW pripojením do existujúcej infraštruktúry objednávateľa.

1144

1145

Požadovaná dostupná šírka pásma je minimálne 1Gbps vo vyhradenej VLAN BACKUP.

1146

1147

== {{id name="projekt_2642_Pristup_k_projektu_detailny-Popis:"/}}Popis: ==

1148

1149

Na HW Virt NODE bude nainštalovaný OS WIN 2022 server vo verzii Standard na ktorom bude zálohovací program Veeam. Server bude pripojený ku iSCSI SW vo vyhradenej VLAN BACKUP v ktorej bude vykonávaný dátový prenos zálohovaných údajov. Na pripojenie kanálom iSCSI bude použitý rovnako iSCSI SW na ktorom bude vytvorený vyhradený segment s IPv4 a určenou VLAN iba pre toto pripojenie / navrhujem IP rozsah s maskou ktorá neumožní bez routovania prestup z iných segmentov univerzitnej infraštruktúry / .

1150

1151

V tomto segmente sa bude nachádzať iba diskové pole STORAGE Typ 1 ktoré bude slúžiť ako dátový sklad pre zálohované dáta.

1152

1153

Virt NODE bude pripojený aj ku offline dátovému úložisku Storage// //Typ 2// //LTO páskovej knižnici cez SAS na ktorú sa budú vytvárať kópie záloh z primárneho BACKUP Sotrage Typ1.

1154

1155

Takýto typ zálohovania umožní v prípade napadnutia univerzitných systémov napríklad ransomware obnoviť znehodnotené dáta z pásky.

1156

1157

Pre zabezpečenie kontinuity prevádzky tohoto dedikovaného zálohovacieho riešenia je potrebné zabezpečiť nepretržité napájanie všetkých zariadení / UPS, generátor ... /

1158

1159

Presná stratégia zálohovania bude navrhnutá v spolupráci so zadávateľom podľa preferovanej schémy, kde bude určujúcim faktorom objem zálohovaných dát, frekvencia zálohovania ako aj požadovaná retencia.

1160

1161

[[image:attach:image-2024-5-30_20-51-30.png||width="695"]]

1162

1163

Schéma č. 2 Zjednodušená schéma navrhovaného zapojenia časti „backup“

1164

1165

== {{id name="projekt_2642_Pristup_k_projektu_detailny-Dátovéúložisko–server(VirtNODE)"/}}Dátové úložisko – server ( Virt NODE) ==

1166

1167

Technické požiadavky:

* Rack Mount (2U)

* Procesor:

** 1 x procesoru: Intel® Xeon® Gold

1172

** Model procesoru: 5318Y

1173

** Frekvencia procesora: 2,1 GHz

1174

* Pamäť:

1175

** Pamäťové sloty: 16 x DIMM

1176

** Inštalovaná pamäť min 64 GB

1177

** kapacita pamäte: až 1 000 GB

1178

** Typ vnútornej pamäte: DDR4-SDRAM

1179

* Dátové úložisko:

1180

** Veľkosť chassis: 8 x 2.5"

1181

** Počet inštalovaných SSD: 2 x 480GB SSD SATA

1182

** Vzdialená správa: integrovaný servisný procesor

1183

* Konektivita:

1184

** 2 x Broadcom 57412 - Typ rozhrania: 1Dual-Port 10 Gb/s SFP+ spolu (4 x SFP)

1185

** 2 x Ethernet/ LAN pripojenie (1Gb) - RJ-45 - Technológia kabeláže: 10/100/1000BaseT(X)

* Porty minimálne:

** 2 x USB 2.0

** 1 x USB 3.2

** 2 x VGA

** 1 x service procesor (Micro-AB USB) port

1191

** 2x SAS

1192

* Napájanie 2 x 1100 W

1193

* Rozšírenie: 4 x 1 GB Ethernet port RJ45

1194

* Licencia pre servisný procesor na prístup do konzoly

1195

* Záruka: 3roky - Basic On-Site

== {{id name="projekt_2642_Pristup_k_projektu_detailny-Dátovéúložisko–NASStorageTyp1"/}}Dátové úložisko – NAS Storage Typ1 ==

1200

1201

Technické požiadavky:

1202

1203

* 10Gb iSCSI Base-T 8 Port Dual Controller

1204

* Počet pozícii HDD: 12 x 3.5”

1205

* Inštalované HDD: 6TB Hard Disk SAS ISE 12Gbps 7.2K 512e 3.5in Hot-Plug

1206

* RAW kapacita: 72TB

1207

* Rack Rails 2U

1208

* Hard Drive Filler 3.5in Single Blank

1209

* Redundantné napájanie 2 x 580W

1210

* Podpora asynchrónnej replikácie cez FC alebo iSCSI:

** ME4 to ME5;

** ME5 to ME4;

** ME5 to ME5;

* Virtuálna Integrácia možná:

1215

** VMware vSphere (ESXi),

** vCenter;

** SRM,

** Microsoft Hyper-V

* Možnosť rozšírenia kapacity pomocou rozširujúceho modulu: Áno

1220

* Podpora manažmentu: HTML5 GUI element manager, CLI

1221

* Podpora RAID: RAID 1, 5, 6, 10, alebo ADAPT RAID, kombinácia RAID úrovní je možná v rámci jedného poľa

1222

1223

== {{id name="projekt_2642_Pristup_k_projektu_detailny-SwitchnazabezpečenieiSCSIkonektivity"/}}Switch na zabezpečenie iSCSI konektivity ==

1224

1225

Technické požiadavky:

1226

1227

* Počet LAN port: 12

1228

* Gigabit LAN port: 2

1229

* 10 Gigabit LAN port: 10

* Počet SFP+: 10

* Management: Áno

* Packet buffer 2MB

* Switching capacity (Gbps) 240

1234

* Tabuľka MAC 16k

1235

* Flash/RAM 32 MB/256 MB

// //

== {{id name="projekt_2642_Pristup_k_projektu_detailny-Dátovéúložisko-Páskováknižnica(StorageTyp2)"/}}Dátové úložisko - Pásková knižnica (Storage Typ2) ==

1240

1241

Technické požiadavky:

1242

1243

* LTO pásková knižnica

1244

* kompatibilita s :

1245

** LTO-9 Ultrium 45000

1246

** LTO-8 Ultrium 30750

1247

** LTO-7 Ultrium 15000

1248

** LTO-6 Ultrium 6250

1249

** LTO-5 Ultrium 3000

1250

* Dostupná kapacita až 08 PB (LTO-9) compressed 2.5:1

1251

* Počet slotov mechaniky: 24

1252

* Host interface : 12 Gb/sec SAS (LTO-9)

1253

1254

6 Gb/sec SAS (LTO-6, LTO-7, LTO-8)

1255

1256

* Encryption capability AES 256-bit: LTO-9, LTO-8, LTO-7, LTO-6, LTO-5

1257

* Form factor 2U

1258

* HPE StoreEver MSL LTO-9 Ultrium 45000 SAS Drive Upgrade Kit

1259

* HPE StoreEver LTO-9 Ultrium 45000 Internal Tape Drive

1260

* Host interface 6 Gb/sec SAS (LTO-6, LTO-7, LTO-8),

1261

* 12Gb/sec SAS (LTO-9)

1262

1263

== {{id name="projekt_2642_Pristup_k_projektu_detailny-"/}} ==

1264

1265

== {{id name="projekt_2642_Pristup_k_projektu_detailny-Zálohovacísoftvér"/}}Zálohovací softvér ==

1266

1267

Navrhované riešenie musí byť prítomné v prednej časti Gartner Magic Quadrant pre riešenie zálohovania a obnovy dátového centra.

1268

1269

Zálohovací softvér musí byť oficiálne podporovaný výrobcom VMware pre vSphere, vrátane verzie 7.0 U2 / VSAN 7.0 U2 (podľa oficiálneho Vmware Compatibility Guide).

1270

1271

Zálohovací softvér musí pracovať s infraštruktúrou VMware založenou na verziách 6.5 a 6.7 a Hyper-V 2012, Hyper-V 2012 R2, Hyper-V 2016 a Hyper-V 2019 aj Microsoft Windows Server 2022.

1272

1273

Software musí podporovať hostiteľov spravované serverom VMware vCenter Server a samostatných hostiteľov.

1274

1275

Softvér musí podporovať hostiteľa Hyper-V spravované produktom System Center Virtual Machine Manager, klastrové počítače a samostatné počítače a režim Nano Server.

1276

1277

Software musí podporovať zálohovanie všetkých operačných systémov, ktoré sú podporované pre prevádzku vo VMware alebo Hyper-V.

1278

1279

Software musí podporovať zálohovanie zdieľaných súborov zo zariadení založených na NAS pomocou zdieľaných zložiek SMB / CIFS a NFS a priamo zo súborových serverov Windows a Linux.

1280

1281

Software musí byť možné licencovať v režime per-cpu alebo v režime instancie (bodov). Instancie je možné použiť na rôzne pracovné zaťaženie (on-premise, cloud, fyzické servery, podnikové aplikácie…) a rôzne programové balíčky výrobcu.

1282

1283

Software musí vytvárať samostatné zálohovacie archívy vo forme súborov, ktoré sú voľne prenositeľné, s možnosťou vytvárať také súbory na úrovni zálohovacích úloh alebo na VM.

1284

1285

Software musí umožňovať vytváranie záloh v plnom, syntetickom úplnom, prírastkovom a spätnom prírastkovom režime.

1286

1287

Software musí mať mechanizmus deduplikácie a kompresie, ktorý prinesie zníženie objemu úložného priestoru pre zálohy. Povolenie deduplikácie a / alebo kompresie nesmie obmedziť žiadne funkcie uvedené v špecifikácii.

1288

1289

Software musí poskytovať abstrakčnú vrstvu cez jednotlivé úložné zariadenia, aby vytvoril jeden virtuálny fond záložného úložiska pre ukladanie záloh. Musí byť podporované neobmedzené množstvo rozsahov.

1290

1291

Software musí umožňovať rozšírenie integrácie miestneho zálohovacieho úložiska s úložiskami Microsoft Azure Blob, Amazon S3 a S3 kompatibilnými s bezproblémovou migráciou dát medzi primárnym úložiskom záloh a úložiskami sekundárnych zálohovacích objektov. Aby sa zachovali požiadavky na šírku pásma a úložiska, mali by byť extrahované iba jedinečné bloky. Prenesenie dát do objektového úložiska nemôže ovplyvniť žiadny zo scenárov obnovy.

1292

1293

Software nesmie použiť centrálnu databázu na ukladanie akýchkoľvek metadát deduplikácie. Strata databázy nemôže spôsobiť, že záložné súbory budú nestabilné. Metadata deduplikácie musia byť uložené v záložných súboroch.

1294

1295

Software musí používať „single pass backup“ s možnosťou vylúčiť spracovanie jednotlivých súborov a zložiek. „Jednopriechodová záloha“ je vyžadovaná pre všetky druhy obnovenia vrátane granulárnych obnov.

1296

1297

Software musí umožňovať pripájanie a spúšťanie akéhokoľvek skriptu pre zálohovanie pred alebo po spustení zálohovacej úlohy, alebo pred a po snapshote VM.

1298

1299

Riešenie musí podporovať obnovu zo záloh fyzických serverov a VM z platformy Vmware vSphere na platformu MS Hyper-V.

1300

1301

Software musí ponúkať samoobslužný portál, prostredníctvom ktorého si používatelia môžu obnoviť súbory, virtuálne počítače, objekty MS Exchange a databázy MS SQL, databázy Oracle (vrátane obnovenia v čase).

1302

1303

Software musí byť schopný integrácie s inými systémami pomocou zabudovaného rozhrania REST API.

1304

1305

Software musí ponúkať šifrovanie celej sieťovej prevádzky medzi všetkými komponentmi a tiež šifrovanie "na cieli" záložných súborov v úložisku. Šifrovanie nemôže obmedziť žiadne funkcie uvedené v špecifikácii.

1306

1307

Software musí mať architektúru klient / server s možnosťou inštalácie viacerých inštancií administratívnej konzoly s licenčným pokrytím na 100 zariadení (virtuálne a fyzické servery).

1308

1309

== {{id name="projekt_2642_Pristup_k_projektu_detailny-"/}} ==

1310

1311

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.4.3Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}4.4.3 Využívanie služieb z katalógu služieb vládneho cloudu ===

1312

1313

Predmetom projektu nie je využívanie služieb z katalógu služieb vládneho cloudu.

== {{id name="projekt_2642_Pristup_k_projektu_detailny-4.5Bezpečnostnáarchitektúra"/}}4.5 Bezpečnostná architektúra ==

1320

1321

Predmetom projektu je implementácia opatrení pre oblasť informačnej a kybernetickej bezpečnosti, architektúra je uvedená v kap. 4 Architektúra projektu.

\\

Navrhovaný projekt a jeho architektúra bude budovaná v súlade s nasledujúcimi právnymi predpismi:

1326

1327

* Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe

1328

* Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti

1329

* Zákon č. 45/2011 Z.z. o kritickej infraštruktúre

1330

* vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy

1331

* vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

1332

* vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov

1333

* Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

1334

* Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

\\

\\

= {{id name="projekt_2642_Pristup_k_projektu_detailny-5.ZÁVISLOSTINAOSTATNÉISVS/PROJEKTY"/}}5. ZÁVISLOSTI NA OSTATNÉ ISVS / PROJEKTY =

1341

1342

Projekt nie je závislý na iných ISVS, resp. projektoch.

**~ **

= {{id name="projekt_2642_Pristup_k_projektu_detailny-6.ZDROJOVÉKÓDY"/}}6. ZDROJOVÉ KÓDY =

1347

1348

Vlastníkom zdrojových kódov v prípade vývoja SW diela bude univerzita v súlade s platnou legislatívou.

Dôležité usmernenie pre oblasť zdrojových kódov:

1353

1354

* Centrálny repozitár zdrojových kódov: [[https:~~/~~/www.zakonypreludi.sk/zz/2020-78/znenie-20200501#p31>>url:https://www.zakonypreludi.sk/zz/2020-78/znenie-20200501#p31||shape="rect"]]

1355

* Overenie zdrojového kódu s cieľom jeho prepoužitia: [[https:~~/~~/www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p7-3-c>>url:https://www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p7-3-c||shape="rect"]]

1356

* Spôsoby zverejňovania zdrojového kódu: [[https:~~/~~/www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p8-9>>url:https://www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p8-9||shape="rect"]]

1357

* Inštrukcie k EUPL licenciám: [[https:~~/~~/joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf>>url:https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf||shape="rect"]]

= {{id name="projekt_2642_Pristup_k_projektu_detailny-7.PREVÁDZKAAÚDRŽBA"/}}7. PREVÁDZKA A ÚDRŽBA =

// //

== {{id name="projekt_2642_Pristup_k_projektu_detailny-7.1Prevádzkovépožiadavky"/}}7.1 Prevádzkové požiadavky ==

\\

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-7.1.1Úrovnepodporypoužívateľov"/}}7.1.1 Úrovne podpory používateľov ===

\\

Help Desk bude realizovaný cez 2 úrovne podpory, s nasledujúcim označením:

1374

1375

* **L1 podpory IS** (Level 1, priamy kontakt zákazníka) bude zabezpečovať MsÚ

1376

* **L2 podpory IS** (Level 2, postúpenie požiadaviek od L1) bude zabezpečovaná dodávateľom

// //

Definícia:

* **Podpora L1 (podpora 1. stupňa)** - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď.

1383

* **Podpora L2 (podpora 2. stupňa)** – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť.

// //

Pre služby sú definované takéto SLA:

1388

1389

* Help Desk pre vybrané skupiny užívateľov cez telefón a email, incidenty sú evidované v IS,

1390

* Dostupnosť L2 podpory pre IS je 8x5 (8 hodín x 5 dní od 8:00h do 16:00h počas pracovných dní),

// //

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-7.1.2Riešenieincidentov–SLAparametre"/}}7.1.2 Riešenie incidentov – SLA parametre ===

\\

Za incident je považovaná chyba IS, t.j. správanie sa v rozpore s prevádzkovou a používateľskou dokumentáciou IS. Za incident nie je považovaná chyba, ktorá nastala mimo prostredia IS napr. výpadok poskytovania konkrétnej služby Vládneho cloudu alebo komunikačnej infraštruktúry.

1399

1400

Označenie naliehavosti incidentu:

1401

1402

(% class="" %)|(((

1403

Označenie naliehavosti incidentu

)))|(((

Závažnosť incidentu

)))|(((

Popis naliehavosti incidentu

)))

(% class="" %)|(((

A

)))|(((

Kritická

)))|(((

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

)))

(% class="" %)|(((

B

)))|(((

Vysoká

)))|(((

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.

)))

(% class="" %)|(((

C

)))|(((

Stredná

)))|(((

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

)))

(% class="" %)|(((

D

)))|(((

Nízka

)))|(((

Kozmetické a drobné chyby.

)))

// //

možný dopad:

(% class="" %)|(((

Označenie závažnosti incidentu

)))|(((

\\

Dopad

)))|(((

Popis dopadu

)))

(% class="" %)|(((

1

)))|(((

katastrofický

)))|(((

katastrofický dopad, priamy finančný dopad alebo strata dát,

)))

(% class="" %)|(((

2

)))|(((

značný

)))|(((

značný dopad alebo strata dát

)))

(% class="" %)|(((

3

)))|(((

malý

)))|(((

malý dopad alebo strata dát

)))

**// //**

Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

1476

1477

(% class="" %)|(% colspan="2" rowspan="2" %)(((

1478

Matica priority incidentov

1479

)))|(% colspan="3" %)(((

Dopad

)))

(% class="" %)|(((

Katastrofický - 1

)))|(((

Značný - 2

)))|(((

Malý - 3

)))

(% class="" %)|(% rowspan="4" %)(((

**Naliehavosť**

)))|(((

**Kritická - A**

)))|(((

1

)))|(((

2

)))|(((

3

)))

(% class="" %)|(((

**Vysoká - B**

)))|(((

2

)))|(((

3

)))|(((

3

)))

(% class="" %)|(((

**Stredná - C**

)))|(((

2

)))|(((

3

)))|(((

4

)))

(% class="" %)|(((

**Nízka - D**

)))|(((

3

)))|(((

4

)))|(((

4

)))

**// //**

Vyžadované reakčné doby:

1531

1532

(% class="" %)|(((

1533

Označenie priority incidentu

1534

)))|(((

1535

Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu

1536

)))|(((

1537

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^

)))|(((

Spoľahlivosť ^^(3)^^

(počet incidentov za mesiac)

)))

(% class="" %)|(((

1

)))|(((

0,5 hod.

)))|(((

4 hodín

)))|(((

1

)))

(% class="" %)|(((

2

)))|(((

1 hod.

)))|(((

12 hodín

)))|(((

2

)))

(% class="" %)|(((

3

)))|(((

1 hod.

)))|(((

24 hodín

)))|(((

10

)))

(% class="" %)|(((

4

)))|(((

1 hod.

)))|(% colspan="2" %)(((

1575

Vyriešené a nasadené v rámci plánovaných releasov

1576

)))

1577

1578

**Vysvetlivky k tabuľke**

1579

1580

(1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L3 a jeho prevzatím na riešenie.

\\

(2) DKVI znamená obnovenie štandardnej prevádzky - čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom (DKVI) sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný uchádzač oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu.

\\

(3) Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident.

\\

(4) Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia majú prioritu 3 a nižšiu

1593

1594

Vzťahujú sa výhradne k dostupnosti testovacieho prostredia. Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite.

\\

Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby:

1599

1600

* Služby systémovej podpory na požiadanie (nad paušál)

1601

* Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)

1602

1603

Pre tieto služby budú dohodnuté osobitné parametre dodávky.

// //

== {{id name="projekt_2642_Pristup_k_projektu_detailny-7.2PožadovanádostupnosťIS:"/}}7.2 Požadovaná dostupnosť IS: ==

**// //**

(% class="" %)|(((

Popis

)))|(((

Parameter

)))|(((

Poznámka

)))

(% class="" %)|(((

**Prevádzkové hodiny**

)))|(((

12 hodín

)))|(((

od 6:00 hod. - do 18:00 hod. počas pracovných dní

1624

)))

1625

(% class="" %)|(% rowspan="2" %)(((

**Servisné okno**

)))|(((

10 hodín

)))|(((

od 19:00 hod. - do 5:00 hod. počas pracovných dní

)))

(% class="" %)|(((

24 hodín

)))|(((

od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov

1636

1637

Servis a údržba sa bude realizovať mimo pracovného času.

1638

)))

1639

(% class="" %)|(((

1640

**Dostupnosť produkčného prostredia IS**

)))|(((

96%

)))|(((

96% z 24/7/365 t.j. max ročný výpadok je 360 hod.

1645

1646

Maximálny mesačný výpadok je 30 hodín.

1647

1648

Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

1649

1650

Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L2 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

1651

1652

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

)))

// //

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-7.2.1Dostupnosť(Availability)"/}}7.2.1 Dostupnosť (Availability) ===

1658

1659

**Dostupnosť** (**Availability**) je pojem z oblasti riadenia bezpečnosti v organizácii. Dostupnosť znamená, že dáta sú prístupné v okamihu jej potreby. Narušenie dostupnosti sa označuje ako nežiaduce zničenie (destruction) alebo nedostupnosť. Dostupnosť je zvyčajne vyjadrená ako percento času v danom období, obvykle za rok.

1660

1661

* **96% dostupnosť**znamená výpadok 360 dní

\\

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-7.2.2RTO(RecoveryTimeObjective)"/}}7.2.2 RTO (Recovery Time Objective) ===

1666

1667

**Recovery Time Objective** (zvyčajne sa požíva skratka RTO) je jeden z ukazovateľov [[dostupnosti>>url:https://managementmania.com/sk/data||shape="rect"]] dát. RTO vyjadruje množstvo času potrebné pre obnovenie [[dát>>url:https://datalab.digital/legislativa/||shape="rect"]] a celej prevádzky nedostupného systému ([[softvér>>url:https://datalab.digital/dokumenty||shape="rect"]]). Môže byť, v závislosti na použitej technológii, vyjadrené v sekundách, hodinách či dňoch.

1668

1669

* Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni

// //

=== {{id name="projekt_2642_Pristup_k_projektu_detailny-7.2.3RPO(RecoveryPointObjective)"/}}7.2.3 RPO (Recovery Point Objective) ===

1674

1675

**Recovery Point Objective** (zvyčajne sa požíva skratka RPO) je jeden z ukazovateľov [[dostupnosti>>url:https://datalab.digital/legislativa/||shape="rect"]] dát. RPO vyjadruje, do akého stavu (bodu) v minulosti možno obnoviť [[dáta>>url:https://datalab.digital/||shape="rect"]]. Inými slovami množstvo dát, o ktoré môže organizácia prísť.

1676

1677

* Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni

\\

\\

**~ **

= {{id name="projekt_2642_Pristup_k_projektu_detailny-8.POŽIADAVKYNAPERSONÁL"/}}8. POŽIADAVKY NA PERSONÁL =

1686

1687

Viď. Projektový zámer, kap. 9.

\\

= {{id name="projekt_2642_Pristup_k_projektu_detailny-9.IMPLEMENTÁCIAAPREBERANIEVÝSTUPOVPROJEKTU"/}}9. IMPLEMENTÁCIA A PREBERANIE VÝSTUPOV PROJEKTU =

\\

Projekt bude realizovaný metódou Waterfall

1696

1697

Waterfall- vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

1698

1699

Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. Projektový zámer, časť 9 – Projektový tím).

\\

= {{id name="projekt_2642_Pristup_k_projektu_detailny-10.PRÍLOHY"/}}10. PRÍLOHY =

1704

1705

Príloha č.1 Zoznam rizík a závislostí