Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)

Súhrn

• Vlastnosti stránky (1 modified, 0 added, 0 removed)

Podrobnosti

Vlastnosti stránky

Obsah

...	...	@@ -27,6 +27,8 @@
27	27
28	28	V súlade **s vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z.** **o riadení projektov** **a zmenových požiadaviek v prevádzke informačných technológií verejnej správy **(ďalej len „vyhláška MIRRI SR č. 401/2023 Z. z. o riadení projektov“), je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií k  projektu „Zvýšenie úrovne kybernetickej bezpečnosti Ministerstva cestovného ruchu a športu SR” (ďalej len “projekt”), aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.
29	29
	30	+Účelom predkladaného dokumentu je v rámci iniciačnej fázy projektu súhrnne popísať hlavné informácie o navrhovanom projekte so zameraním na technický návrh riešenia.
	31	+
30	30	Projekt bude implementovať Ministerstvo cestovného ruchu a športu Slovenskej republiky (ďalej ako „MinCRS SR“ ), ktoré bude zároveň prijímateľom finančného plnenia z vyhlásenej výzvy „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti “ v rámci Programu Slovensko 2021 - 2027 (ďalej len „PSK“), z ktorého má byť Projekt financovaný.
31	31
32	32	== 2.1Použité skratky a pojmy ==
...	...	@@ -37,6 +37,7 @@
37	37	|BCM|Riadenie kontinuity prevádzky
38	38	|BCR|Pomer prínosov a nákladov z pohľadu návratnosti
39	39	|CBA|Analýza nákladov a prínosov
	42	+|EDR|Endpoint Detection and Response
40	40	|FO|Fyzická osoba
41	41	|FTE|Ekvivalent plného pracovného úväzku
42	42	|IB|informačná bezpečnosť
...	...	@@ -49,8 +49,10 @@
49	49	|MCA|Multikriteriálna analýza
50	50	|MIRRI SR|Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
51	51	|MinCRS SR|Ministerstvo cestovného ruchu a športu Slovenskej republiky
	55	+|NAC|Network Access Control
52	52	|NASES|Národná agentúra pre sieťové a elektronické služby
53	53	|NBÚ|Národný bezpečnostný úrad
	58	+|NDR|Network Detection and Response
54	54	|NKIVS|Národná koncepcia informatizácie verejnej správy
55	55	|NKKB|Národná koncepcia kybernetickej bezpečnosti
56	56	|OVM|Orgán verejnej moci
...	...	@@ -60,10 +60,12 @@
60	60	|PO|Právnická osoba
61	61	|PZS|Prevádzkovateľ základnej služby
62	62	|RVP|Riadiaci výbor projektu
	68	+|SAN|Storage area network
63	63	|SIEM|Systém pre management bezpečnostních informací a událostí (Security Information and Event Management)
64	64	|SOAR|Proces orchestrácie, automatizácie a odozvy zabezpečenia (Security orchestration, automation and response)
65	65	|SOC|Bezpečnostné Dohľadové Centrum (Security Operations Center)
66	66	|SR|Slovenská republika
	73	+|TCO|Total cost of ownership
67	67	|TP|Technické prostriedky
68	68	|TTP|Techniky, taktiky a procedúry
69	69	|VISKB|Vládny informačný systém kybernetickej bezpečnosti
...	...	@@ -70,6 +70,9 @@
70	70	|VJ CSIRT|Vládna jednotka CSIRT (Computer Security Incident Response Team Slovakia, niekedy označovaná aj skratkou CSIRT.SK)
71	71	|VM|Manažment zraniteľností (Vulnerability management)
72	72	|VO|Verejné obstarávanie
	80	+|XDR|Extended detection and response
	81	+|ZoBK|Zákon o kybernetickej bezpečnosti
	82	+|ŽoNFTP|Žiadosť o nenávratný finančný príspevok
73	73
74	74	Tabuľka 1 Zoznam použitý skratiek a pojmov
75	75
...	...	@@ -83,8 +83,11 @@
83	83	* //U – užívateľská požiadavka//
84	84	* //R – označenie požiadavky//
85	85	* //xx – číslo požiadavky//
	96	+
86	86	//**Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky** majú nasledovnú konvenciu~://
	98	+
87	87	//**NRxx**//
	100	+
88	88	* //N – nefukčná požiadavka (NFR)//
89	89	* //R – označenie požiadavky//
90	90	* //xx – číslo požiadavky//
...	...	@@ -98,15 +98,19 @@
98	98
99	99	**Predmet projektu:**
100	100
101		-* --implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov[[~[1~]>>url:https://metais.slovensko.sk/wiki/bin/view/Dokumenty/projekt_3187/projektovy_zamer/#_ftn1]] (Log manažment),--
102		-* --konfigurácia a plná implementácia nástroja na analýzu a vyhodnocovanie prevádzkových záznamov (SIEM),--
103		-* --implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner),--
104		-* --implementácia bezpečnostných sieťových prvkov (napr. sieťový firewall),--
105		-* --implementácia nástroja pre správu mobilných zariadení (MDM - Mobile Device Management),--
106		-* --riešenie bezpečnostných incidentov a kontrola prevádzkových záznamov na dennej báze (SOC as a Service - SOCaaS), vrátane podpory analýzy bezpečnostne relevantných udalostí a vykonávanie bezpečnostného dohľadu v režime 8/5,--
107		-* --implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií,--
108		-* --testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov).--
	114	+Predmetom projektu je zavedenie nástrojov kybernetickej a informačnej bezpečnosti na Ministerstve cestovného ruchu a športu SR. Kybernetická bezpečnosť je z pohľadu architektúry prierezovou oblasťou a teda realizuje sa skrz všetky vrstvy architektúry. Toto novovzniknuté ministerstvo, ktoré iba zakladá infraštruktúru a základné aplikačné celky, považuje za nutné spísanie základných bezpečnostných štandardov a nasadenie úvodných bezpečnostných technológií pri vzniku aplikačných celkov a zavádzaní interných procesov a smerníc. Z pohľadu infraštruktúry je ideálne budovať bezpečnostné princípy na začiatku, čo zásadne znižuje náklady na dodatočné prispôsobovanie aplikácií moderným požiadavkám.
109	109
	116	+Predmetom projektu v súlade s hodnotiacim kritériami výzvy je zvýšenie úrovne kybernetickej a informačnej bezpečnosti zabezpečením základných činností v oblasti kybernetickej a informačnej bezpečnosti v organizácii žiadateľa a zabezpečením iných vybraných činností zameraných na prevenciu pred kybernetickými bezpečnostnými incidentmi v organizácii žiadateľa konkrétne:
	117	+
	118	+* (CASB, ZTNA, DLP, WAF) ochrana prístupov k internetu, ochrana internetových aplikácií, správa prístupov k aplikáciám, sledovanie toku dát a ochrana pred odcudzením na základe kontextu a klasifikácie
	119	+* (HSM, KMS, HYOK) nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dáta
	120	+* (SIEM, SOAR) nástroj pre centrálnu evidenciu logov z informačných systémov a následné vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktiví
	121	+* (IPAM, 802.1x) zabezpečenie základných NW služieb heterogénnom prostredí pre DNS, DHCP, IPAM, 802.1X, physical port securit
	122	+* (Exposure, Risk, Vulnerability, CIAM) nástroj pre posudzovanie a kategorizáciu potenciálnych rizík, vrátane správy zraniteľností, aplikačného testovania, a korektnej konfigurácie cloud prostredí a prístupov
	123	+* (Threat Intell, IoC, Supply Chain) Nástroj na preverovanie bezpečnosti dodávateľského reťazca, integráciu známych bezpečnostných hrozieb a charakteristík do interných bezpečnostných nástrojov, zisťovanie a odhaľovanie potenciálnych plánovaných útokov, zisťovanie a dokazovanie zneužitia mena a prípadných únikov dát
	124	+* incident response, remediation a audit služba
	125	+* Bezpečnostný projekt pre zmapovanie prostredia, zavedenie procesov a politík podľa Zákona 69/2018 (Kybernetická bezpečnosť, 95/2019 (IT verejnej správy), 18/2018 (GDPR), Školiace materialy pre MKB, riadenie kontinuity (BCP, BIA, DRP), vulenrability a incident management a pridružené procesy podľa ITIL/ITSM, klasifikácia informácií, bezpečnosť koncových prvkov, a služby bezpečnostného architekta počas implementácie projektu
	126	+
110	110	Pri realizácií projektu **nebudú** realizované aktivity, ktoré súvisia s:
111	111
112	112	* vybudovaním jednotky na reakciu na kybernetické bezpečnostné incidenty (jednotka CSIRT),
...	...	@@ -162,6 +162,50 @@
162	162
163	163	Okrem požiadaviek vyplývajúcich zo všeobecne záväzných právnych predpisov je nevyhnutné brať do úvahy aj prípadnú negatívnu publicitu a poškodzovanie reputácie a dobrého mena MinCRS SR, ktorá môže byť spôsobená aj nedostatočnou schopnosťou včasnej detekcie možného kybernetického útoku z dôvodu chýbajúcich analytických nástrojov a nedostatku kvalitných zdrojov bezpečnostne relevantných záznamov.
164	164
	182	+Danými nástrojmi spolu s existujúcim riešením dokážeme zabezpečiť súlad zo zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“), ako aj konzistenciu odporúčaní podľa CIS framework v nasledujúcich oblastiach:
	183	+
	184	+* (CIS Control 1) Inventarizácia zariadení pristupujúcich k aplikáciám a dátam
	185	+* (CIS Control 2) Kontrola zariadení pristupujúcich k dátam a aplikáciám na vyžadované bezpečnostné štandardy a izoláciu dát
	186	+* (CIS Control 3) Ochrana dát pred neautorizovaným prístupom ako aj pred odcudzením a zneužitím dát
	187	+* (CIS Control 4) Zabezpečenie nasadenia konzistentných bezpečnostných politík pre prístup k aplikáciám a dátam
	188	+* (CIS Control 5) Evidencia účtov, auditné logy a správa oprávnení a to v rátane Cloud prostredia
	189	+* (CIS Control 6) Kontrola prístupov do prostredia, k aplikáciám a k dátam
	190	+* (CIS Control 7) Kontinuálna správa zraniteľností na všetkých prvkoch infraštruktúry v rátane pracovných staníc
	191	+* (CIS Control 8) Archivácia a vyhodnocovanie auditných logov
	192	+* (CIS Control 9) Správa internetových prístupov a sprístupneného obsahu, ochrana Email komunikácie
	193	+* (CIS Control 10) Ochrana proti škodlivým kódom na všetkých vrstvách
	194	+* (CIS Control 11) Ochranu záloh pred neautorizovanou obnovou
	195	+* (CIS Control 12) Správa sieťovej infraštruktúry
	196	+* (CIS Control 13) Dohľadová úroveň bezpečnosti sieťových zariadení a toku dát
	197	+* (CIS Control 15) Zabezpečenie aplikácií a dát v externom prostredí
	198	+* (CIS Control 16) Bezpečnosť aplikácií
	199	+* (CIS Control 17) Schopnosť detegovať a reagovať na bezpečnostné incidenty
	200	+* (CIS Control 18) Penetračné testovanie po technickej stránke.
	201	+
	202	+Odvolávka na CIS framework je z dôvodu, že prevažná väčšina bezpečnostných nástrojov má integrované minimálne CIS normy vo svojich politikách a pravidlách pre vyhodnocovanie zhody s požadovanými nastaveniami, ktoré sú v súlade s platnou legislatívnou úpravou:
	203	+
	204	+* Zákon č. 69/2018 Z.z . o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
	205	+* Zákon č. 287/2021 Z. z. Zákon, ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony
	206	+* Zákon č. 95/2019 Z.z . informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov
	207	+* Vyhláška NBÚ č. 362/2018 Z.z . ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
	208	+* Vyhláška ÚPVII č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
	209	+* vyhlášky NBÚ č. 165/2018 Z. z. ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov,
	210	+* vyhlášky NBÚ č. 166/2018 Z. z. o podrobnostiach o technickom, technologickom a personálnom vybavení jednotky pre riešenie kybernetických bezpečnostných incidentov,
	211	+* zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o doplnení niektorých zákonov,
	212	+* zákona č. 45/2011 Z. z. o kritickej infraštruktúre,
	213	+* zákona č. 18/2018 Z. z. o ochrane osobných údajov v znení neskorších predpisov (GDPR),
	214	+* zákona č. 272/2016 Z. z. o dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zmene a doplnení niektorých zákonov (zákon o dôveryhodných službách),
	215	+* Zákon č. 56/2018 Z.z . o posudzovaní zhody výrobku, sprístupňovaní určeného výrobku na trhu a o zmene a doplnení niektorých zákonov
	216	+* ISO/IEC 17024:2012 Posudzovanie zhody Všeobecné požiadavky na orgány vykonávajúce certifikáciu osôb
	217	+* ISO/IEC 17000:2020 Posudzovanie zhody Slovník a všeobecné zásady
	218	+* ISO/IEC 27000 „Informačné technológie Bezpečnostné metódy Systémy riadenia informačnej bezpečnosti“,
	219	+* Smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii,
	220	+* nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti)
	221	+* zákona č. 18/2018 Z. z. o ochrane osobných údajov a o doplnení niektorých zákonov,
	222	+* smernice Európskeho parlamentu a Rady2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) a jej implementácie v zákone č. 351/2011 Z. z. o elektronických komunikáciách
	223	+* nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
	224	+* nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu,
	225	+
165	165	Implementovanie navrhovaných technických opatrení v prostredí MinCRS SR je kľúčové pre zabezpečenie IB a KB a ochranu pred kybernetickými hrozbami pre prevádzkované informačné technológie MinCRS SR. Realizáciou projektu dôjde k zvýšeniu úrovne KB a IB v nasledujúcich oblastiach:
166	166
167	167	* Rýchlejšia detekcia a reakcia na kybernetické hrozby. Zlepšenie schopnosti identifikácie a reakcie na kybernetické hrozby v reálnom čase. To zahŕňa lepšiu analýzu prevádzkových záznamov, monitorovanie udalostí a upozornení a automatizáciu procesov pre rýchlejšiu identifikáciu a minimalizovanie možného dopadu kybernetických hrozieb a vzniku kybernetického bezpečnostného incidentu.
...	...	@@ -171,7 +171,7 @@
171	171	* Pripravenosť na nové technológie, trendy a taktiky kybernetických útokov a prispôsobovať riadenie kybernetickej a informačnej bezpečnosti a prijímanie opatrení v čo najkratšom čase.
172	172	* Zabezpečenie, aby činnosti v oblasti KB a IB boli v súlade s platnými všeobecne záväznými právnymi predpismi a regulačnými požiadavkami týkajúcimi sa ochrany údajov a kybernetickej a informačnej bezpečnosti.
173	173	* (((
174		-Implementáciou projektu informačných technológií v správe MinCRS SR dôjde k vytvoreniu efektívneho a odolného systému na identifikáciu, monitorovanie a riešenie kybernetických hrozieb s cieľom ochrany MinCRS SR pred potenciálnymi kybernetickými útokmi v porovnaní s aktuálnym stavom a výstupom/výsledkom auditu KB.
	235	+Implementáciou projektu informačných technológií v správe MinCRS SR dôjde k vytvoreniu efektívneho a odolného systému na identifikáciu, monitorovanie a riešenie kybernetických hrozieb s cieľom ochrany MinCRS SR pred potenciálnymi kybernetickými útokmi v porovnaní s aktuálnym stavom a výstupom/výsledkom auditu KB.Danými nástrojmi spolu s existujúcim riešením dokážeme zabezpečiť súlad zo zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“), ako aj konzistenciu odporúčaní podľa CIS framework v nasledujúcich oblastiach:
175	175	)))
176	176
177	177	== {{id name="_Toc152607293"/}}{{id name="_Toc1804717142"/}}{{id name="_Toc2082286828"/}}{{id name="_Toc408208333"/}}{{id name="_Toc2091742582"/}}{{id name="_Toc1276965606"/}}{{id name="_Toc1095995576"/}}{{id name="_Toc1849077951"/}}{{id name="_Toc1415248283"/}}{{id name="_Toc213456280"/}}{{id name="_Toc1645756734"/}}{{id name="_Toc305576249"/}}{{id name="_Toc47815695"/}}3.3 Zainteresované strany/Stakeholderi ==
...	...	@@ -204,7 +204,7 @@
204	204
205	205	Hlavným cieľom projektu je zabezpečenie vyššej úrovne kybernetickej a informačnej bezpečnosti v MinCRS SR, najmä vo zvýšení odolnosti voči kybernetickým bezpečnostným incidentom a najmä efektívne riadenie celého životného cyklu identifikovaných kybernetických bezpečnostných incidentov. Všeobecnými cieľmi preto sú:
206	206
207		-* V maximálnej možnej miere odstránenie nesúladov zistených pri audite kybernetickej bezpečnosti a splnenie povinností vyplývajúcich zo všeobecne záväzných právnych predpisov pre oblasť kybernetickej a informačnej bezpečnosti,
	268	+* V maximálnej možnej miere splnenie povinností vyplývajúcich zo všeobecne záväzných právnych predpisov pre oblasť kybernetickej a informačnej bezpečnosti,
208	208	* Zvýšenie úrovne kybernetickej a informačnej bezpečnosti na MinCRS SR v porovnaní s aktuálnym stavom,
209	209	* Zvýšenie efektívnosti ochrany informačných technológií v správe a prevádzke MinCRS SR,
210	210	* Zvýšenie odolnosti sietí a informačných systémov v správe a prevádzke MinCRS SR voči kybernetickým útokom.
...	...	@@ -213,10 +213,10 @@
213	213
214	214	|(% style="width:67px" %)**ID**|(% style="width:180px" %)
215	215	\\**Názov cieľa**|**Názov strategického cieľa**|**Spôsob realizácie strategického cieľa**
216		-|1.|Centralizované ukladanie a správa prevádzkových záznamov|Centralizované ukladanie a správa prevádzkových záznamov/logov, chránených proti modifikácii pre analýzu správania s v sieti a informačnom systéme pri  kybernetických bezpečnostných incidentoch|Pre dosiahnutie cieľa bude implementovaný nástroj pre zber a ukladanie prevádzkových záznamov tzv. log manažment.
	277	+|1.|Centralizované zabezpečenie a správa šifrovacích kľúčov|Centralizované zabezpečenie a správa šifrovacích kľúčov pre technické zabezpečenie dátovej suverenity a elimináciu neautorizovaného prístupu k údajom.|Pre dosiahnutie cieľa budú implementované nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovaného prístupu k údajom.
217	217	|2.|Identifikovanie a riadenie bezpečnostných incidentov|Implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM)|Vyhodnocovanie a analýzy budú zabezpečené implementáciou nástroja SIEM.
218	218	|3.|Bezpečnostné hrozby/udalosti|Implementácia automatizovaného nástroja na skenovanie zraniteľností (vulnerability scaner) informačných systémov podľa ich kategorizácie a prvkov sieťovej infraštruktúry.|Implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner).
219		-|4.|Riešenie kybernetických bezpečnostných incidentov|Nepretržitý bezpečnostný monitoring IT vrátane podpory analýzy bezpečnostne relevantných udalostí a vykonávanie bezpečnostného dohľadu|Implementáciou služby SOC (SOCaaS) sa zabezpečí nepretržitý bezpečnostný monitoring a  vykonávanie bezpečnostného dohľadu v režime 8/5 .
	280	+|4.|Ochrana prístupov, aplikácií a zariadení|Zamedzenie prístupu k závadnému a nebezpečnému obsahu, ochrana webových aplikácií, izolácia prístupov na základe kategorizácie a klasifikácie zariadení, aplikácií a údajov.|Implementácia nástrojov umožňujúcich filtrovanie obsahu, integráciu s Microsoft Entra, poskytujúcich funkcionality web aplikačného firewallu a umožňujúcich nastavenie pravidiel pre ochranu zariadení, aplikácií a prístupov.
220	220	|5.|Overovanie prijatých opatrení kybernetickej bezpečnosti|Overovanie prijatých opatrení kybernetickej bezpečnosti realizáciou penetračných a phishingových testov pre zabezpečenie auditných a kontrolných činností|Overovanie prijatých opatrení kybernetickej bezpečnosti bude zabezpečené vykonávaním penetračných a pishingových testov.
221	221
222	222	Tabuľka 4 Ciele projektu
...	...	@@ -380,26 +380,15 @@
380	380
381	381	== {{id name="_Toc152607317"/}}{{id name="_Toc2141037501"/}}{{id name="_Toc305797393"/}}{{id name="_Toc757025235"/}}{{id name="_Toc799792984"/}}{{id name="_Toc1320898353"/}}{{id name="_Toc662890955"/}}{{id name="_Toc2002161453"/}}{{id name="_Toc463175707"/}}{{id name="_Toc660959900"/}}{{id name="_Toc1051940062"/}}{{id name="_Toc1081082045"/}}{{id name="_Toc47815700"/}}{{id name="_Toc521508981"/}}3.10 Stanovenie alternatív v aplikačnej vrstve architektúry ==
382	382
383		-//Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej“ architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry.//
384		-//Pre klasifikáciu alternatív za účelom ďalšieho porovnania aplikačnej vrstvy a architektúry je potrebné zadefinovať nasledovné požiadavky~://
	444	+Aplikačná vrstva pozostáva z plánovaných 20 aplikácií, ktoré sú postupne nasadzované, ich primárne použitie je pre interné potreby a nie je plánované ich publikovať do internetu pre širokú verejnosť. Z tohto dôvodu chceme zabezpečiť aplikácie pomocou ZTNA a SASE princípu pre minimalizovanie rizika útoku, nezaoberáme sa špecializovaným samoučiacim WAF alebo DDoS ochranou. Jednotlivé komponenty aplikácií sú prevažne postavené alebo plánované na využití microservices, čo znamená, že je nutné zabezpečiť integritu spojenia medzi jednotlivými službami.
385	385
386		-* //Nutné – aplikačné moduly/funkcionality, ktoré sú nevyhnutné pre dosiahnutie cieľov//
387		-* //Preferované – aplikačné moduly/funkcionality, ktoré rozvíjajú biznis alternatívu a vytvárajú dodatočné prínosy, započítané v Analýze nákladov a prínosov M-05 (BC/CBA povinná pre projekty nad 1 000 000,- EUR)//
388		-* //Aplikačná vrstva by mala byť schopná rozdeliť moduly do skupín podľa koncových služieb/funkcionalít, ktoré plnia nutné a preferované požiadavky.//
389		-[[image:projektrozvojait:Šablóny.projektovy_zamer@SABLONA_I-02_PROJEKTOVY_ZAMER_Projekt_XYZ_YYMMDD_v0.1_5701ef6f26440efc.png||height="156" width="288"]]
	446	+Externé systémy nie sú pripojené k interným aplikáciám, nie je to však vylúčené v blízkej budúcnosti. Bezpečnostný systém ako celok navrhujeme tak, aby bolo možné tieto prepojenia realizovať aj medzi komponentami Cloud infraštruktúry, kde tradičné VPN riešenie je neefektívne.
390	390
391	391	== {{id name="_Toc152607318"/}}{{id name="_Toc1308618109"/}}{{id name="_Toc1709724880"/}}{{id name="_Toc1118245238"/}}{{id name="_Toc416893103"/}}{{id name="_Toc1814703501"/}}{{id name="_Toc1969952445"/}}{{id name="_Toc1495260625"/}}{{id name="_Toc1603455053"/}}{{id name="_Toc245422461"/}}{{id name="_Toc1058442113"/}}{{id name="_Toc2040067840"/}}{{id name="_Toc47815701"/}}{{id name="_Toc521508982"/}}3.11 Stanovenie alternatív v technologickej vrstve architektúry ==
392	392
393		-//Alternatívy na úrovni technologickej architektúry reflektujú alternatívy vypracované na základe „nadradenej“ architektonickej aplikačnej vrstvy, pričom sa prioritne uvažuje o využití služieb vládneho cloudu (privátne aj verejné cloudové služby zverejnené v katalógu služieb vládneho cloudu (//__[[odkaz na katalóg>>url:https://mirri.gov.sk/sekcie/informatizacia/egovernment/vladny-cloud/katalog-cloudovych-sluzieb/]] služieb __//).//
394		-//V prípadoch, kedy by nebolo ekonomicky výhodné využiť vládny cloud v plnom rozsahu projektu, je možné uvažovať aj o iných/ďalších alternatívach: hybridnej (časť aplikácií využíva privátny vládny cloud a časť vlastný HW žiadateľa, resp. časť aplikácii využíva služby komerčného poskytovateľa cloudových služieb), nasadenie v prostredí komerčného cloudu alebo v krajnom prípade sú všetky aplikácie nasadené v prostredí vlastného HW žiadateľa (prípady zohľadnenia bezpečnosti alebo iných povinností).//
395		-//Ekonomická výhodnosť technologickej alternatívy je preukázaná nižšími nákladmi na TCO projektu. Spracovateľ projektového zámeru je povinný preukázať, že zvolené riešenie je ekonomicky výhodnejšie. V prípade, že z bezpečnostných alebo iných dôvodov nezvolil najvýhodnejšiu alternatívu (resp. neposudzoval viacero alternatív), spracovateľ doloží zdôvodnenie potreby daného technologického riešenia. V zdôvodnení sú uvedené konkrétne požiadavky a ich parametre, ktoré neumožnili zvoliť najvýhodnejšie riešenie alebo porovnať viacero alternatív.//
396		-[[image:projektrozvojait:Šablóny.projektovy_zamer@SABLONA_I-02_PROJEKTOVY_ZAMER_Projekt_XYZ_YYMMDD_v0.1_a966e8b8a99b13da.png||height="311" width="542"]]
397		-//Ako alternatívu nepovažujeme porovnanie krabicových „off-the-shelf“ riešení (COTS) riešení s alternatívou vývoja aplikácií „na zelenej lúke“ a to z dôvodu toho, že žiadateľ pre zachovanie nediskriminačných podmienok vo verejnom obstarávaní nevie vopred určiť, či dostane ponuku od uchádzača k vývoju na zelenej lúke, alebo sa všetky ponuky od uchádzačov vo verejnom obstarávaní budú vzťahovať na COTS riešenie. Výnimka je v prípade, ak žiadateľ uvažuje použiť konkrétne COTS riešenie ako podmienku pre uchádzača v rámci procesu verejného obstarávania a to vzhľadom na ekonomické alebo iné dôvody preukázané v dokumente.//
398		-//Výber alternatív prebieha v dvoch kolách. Prvé kolo predstavuje uplatnenie multikriteriálnej analýzy (ďalej len „MCA“) – výber relevantných alternatív. Druhé kolo predstavuje vypracovanie Analýzy nákladov M-05 BC/CBA. Do druhého kola vstupujú alternatívy ktoré splnili všetky vylučovacie kritéria stanovené v multikritériálnej analýze. Minimálny počet variant, je stanovený na 3~://
	450	+Pripojenie celej sieťovej infraštruktúry je prostredníctvom verejného internetu, v súčasnej dobe nemonitorované a dodatočne nechránené. Jediná ochrana prepoju medzi komponentami a sieťami je pomocou TLS spojení. Legacy systémy hostované v Azure a vládnom cloude sú chránené pomocou peer to site VPN, izolované štandarným firewallom poskytovaným v rámci Cloud prostredia. V prípade Azure hovoríme o statefull firewall. Pri existujúcom nasadený je iba obmedzený prehľad o dátových tokoch (v prostredí M365), nie sme schopní identifikovať insider threats. Na základe existujúcich bezpečnostných služieb, ktoré sú súčasťou M365 E5 je možné iba čiastočne identifikovať, resp. zabrániť úniku dát.
399	399
400		-* //nulový variant, ktorý sa neposudzuje v MCA a je automaticky porovnávajúcim variantom v M-05 Analýza nákladov a prínosov,//
401		-* //preferovaný variant, ktorý splnil všetky kritéria MCA,//
402		-* „//minimalistický variant“, ktorý vychádza z rovnakého biznis variantu ako preferovaný variant, ale realizuje iba „nutné“ aplikačné moduly.//
	452	+LAN sieť v centrálnej lokalite je chránená NG FW s implementovanou mikrosegmentáciou pre hosting serverových služieb v interných priestoroch. Je tu absencia centralizovaného IPAM, DNS security, DHCP security, 802.1x. Fyzická bezpečnosť portov a prestupových pravidiel je bez možnosti auditu a potrebnej centralizácie.
403	403
404	404	= {{id name="_Toc152607319"/}}{{id name="_Toc235638817"/}}{{id name="_Toc2038485909"/}}{{id name="_Toc1889369710"/}}{{id name="_Toc54886926"/}}{{id name="_Toc472227250"/}}{{id name="_Toc1379517775"/}}{{id name="_Toc540855301"/}}{{id name="_Toc1475201524"/}}{{id name="_Toc1214716058"/}}{{id name="_Toc240714683"/}}{{id name="_Toc476051484"/}}{{id name="_Toc47815703"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =
405	405
...	...	@@ -660,7 +660,7 @@
660	660	* //Doplňte a detailne spracujte funkčné a nefunkčné požiadavky vyplývajúce z analýz alternatív riešenia vo všetkých vrstvách architektúry a vyplňte požiadavky v dokumente M-05 Analýza nákladov a prínosov, karta Katalóg požiadaviek., I-04 Katalóg požiadaviek//
661	661	* //Doplňte stručný náhľad budúcej IT architektúry (biznis, aplikačná, technologická) riešenia, ktorý podľa potreby pozostáva aj z viacerých obrázkov (diagramov), aby dostatočne zrozumiteľne znázornil predmet dodávky, jeho kontext a zmeny v architektúre verejnej správy (objednávateľa, realizátora projektu), ktoré projekt realizuje,//
662	662	** //Náhľad architektúry vytvorte v modelovacom nástroji pomocou notácie ArchiMate (//__[[https:~~/~~/publications.opengroup.org/standards/archimate>>url:https://publications.opengroup.org/standards/archimate]]__//), v prípade potreby väčšej detailizácie biznis procesov môžete použiť notáciu BPMN (//__[[http:~~/~~/www.omg.org/spec/BPMN/2.0/>>url:http://www.omg.org/spec/BPMN/2.0/]]__//),//
663		-** {{id name="_Ref152763300"/}} //Pre vytvorenie náhľadu architektúry použite modelovací nástroj, ktoré môže byť buď integrovaný na spoločný repozitár//[[(% class="wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink" %)^^2^^>>path:#sdfootnote2sym||name="sdfootnote2anc"]](%%)// architektonických modelov verejnej správy, alebo modelovací nástroj, ktorý podporuje export modelu do štandardizovaných výmenných formátov súborov (The Open Group ArchiMate Model Exchange File Format Standard)^^ [[(% class="wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink" %)^^3^^>>path:#sdfootnote3sym||name="sdfootnote3anc"]](%%)^^ a export súborov podľa špecifikácie BPMN 2.0//[[(% class="wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink" %)^^4^^>>path:#sdfootnote4sym||name="sdfootnote4anc"]](%%)//,//
	713	+** {{id name="_Ref152763300"/}} //Pre vytvorenie náhľadu architektúry použite modelovací nástroj, ktoré môže byť buď integrovaný na spoločný repozitár//[[(% class="wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink" %)^^2^^>>path:#sdfootnote2sym||name="sdfootnote2anc"]](%%)// architektonických modelov verejnej správy, alebo modelovací nástroj, ktorý podporuje export modelu do štandardizovaných výmenných formátov súborov (The Open Group ArchiMate Model Exchange File Format Standard)^^ [[(% class="wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink" %)^^3^^>>path:#sdfootnote3sym||name="sdfootnote3anc"]](%%)^^ a export súborov podľa špecifikácie BPMN 2.0//[[(% class="wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink" %)^^4^^>>path:#sdfootnote4sym||name="sdfootnote4anc"]](%%)//,//
664	664	** //Pre jednoznačnú identifikovateľnosť komponentov v náhľade architektúry uveďte aj ich MetaIS kódy//
665	665	** //Očakáva sa, že ak realizujete popis dizajn procesov podľa pravidiel EVS, tak všetky výstupy musia byť v súlade s metodikou a postupom: //__[[https:~~/~~/www.minv.sk/?np-optimalizacia-procesov-vo-verejnej-sprave&subor=255448>>url:https://www.minv.sk/?np-optimalizacia-procesov-vo-verejnej-sprave&subor=255448]]__ .
666	666	** //Náhľad architektúry v tomto výstupe I-02 Projektový zámer by mal byť v súlade s jeho detailizáciou vo výstupe I-03 Prístup k projektu, ak objednávateľ podľa prílohy č. 1 vyhlášky 401/2023 Zz pripravuje aj výstup I-03 Prístup k projektu.//