projekt_2849_Pristup_k_projektu_detailny

Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – Mesto Stará Ľubovňa má za cieľ zvýšiť úroveň informačnej a kybernetickej bezpečnosti v sektore verejnej správy.

106

107

Projekt v rámci výzvy poskytuje prostriedky na realizáciu základných stavebných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti. Oblasti bezpečnosti, na ktoré organizácia žiada podporu v rámci tohto projektu (výzvy) predstavujú základný rámec („baseline"), ktorý by mal byť implementovaný. Aktuálny stav implementácie týchto bezpečnostných služieb a funkcií je nízky, preto žiadame o podporu v rámci tohto definovaného rámca. Budúce riešenie základného rámca zabezpečenia informačnej a kybernetickej bezpečnosti na úrovni biznis architektúry by malo pozostávať najmä z nasledovných bezpečnostných riešení:

108

109

* Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia informačnej a kybernetickej bezpečnosti (ďalej len „KIB“) a aktivity ohľadom vypracovania kontinuity činností v zmysle zákona o KB.

110

* Analytické aktivity zavedenia bezpečnostných opatrení a riešení.

111

* Implementačné aktivity bezpečnostných riešení.

112

* Pre-financovanie aktivít riadenia súladu, najmä ohľadom auditu kybernetickej bezpečnosti a aktualizácie analýzy rizík a analýzy dopadov po implementácii bezpečnostných opatrení a riešení, tesne pred ukončením projektu.

113

114

Jednotlivé biznis funkcie a bezpečnostné procesy ako aj popis ďalších úrovni architektúry riešenia sú uvedené v nasledujúcich kapitolách.

115

116

117

= {{id name="projekt_2849_Pristup_k_projektu_detailny-3.Architektúrariešeniaprojektu"/}}3. Architektúra riešenia projektu =

118

119

120

Tento projekt predstavuje riešenie základných stavebných blokov bezpečnostnej architektúry a zároveň aj ďalšie bezpečnostné funkcie realizované v organizácii. Organizácia nemá zavedený governance KIB na dostatočnej úrovni a nemá vypracovanú detailnú analýzu rizík a analýzu dopadov, taktiež sú nedostatočne riešené aj ďalšie oblasti riadenia KIB definované zákonom o KB.

121

122

Z uvedeného dôvodu bude projekt primárne zameraný na implementáciu governance procesov v oblasti riadenia KIB, kde je cieľom vypracovať dokumentáciu a zaviesť príslušné procesy. Zároveň bude Mesto Stará Ľubovňa žiadať aj o ďalšie oblasti podpory.

123

124

Keďže nejde o implementáciu agendového alebo iného obdobného informačného systému verejnej správy, tak v tomto duchu je upravený aj popis jednotlivých úrovni architektúry. Najmä v prípade poskytnutia podpory pre iné ako governance aktivity, kde sa predpokladá aj implementácia bezpečnostných systémov, zariadení alebo technických riešení, sú rovnako jednotlivé bloky architektúry rozpísané spôsobom zohľadňujúcim uvedené skutočnosti.

125

126

127

Pri biznis architektúre je potrebné si uvedomiť, že projekt, resp. jeho aktivity nerealizujú typické služby eGovernment-u a VS, ale ide o služby na úrovni bezpečnostnej architektúry VS, a ako také a z tohto dôvodu, nie sú vedené ako aplikačné služby v MetaIS.

128

129

Zároveň je potrebné uviesť, že architektúra pre as-is stav nie je uvedená z dôvodu, že aktuálne tieto služby bezpečnostnej architektúry nie sú implementované, prípadne sú implementované len čiastočne na nepostačujúcej úrovni.

130

131

Úrovne architektúry sú ďalej rozpísané podľa jednotlivých aktivít projektu a biznis bezpečnostných funkcií.

132

133

Špecifikácia výstupov jednotlivých aktivít je uvedená v kapitole Požadované výstupy (produkt projektu) v dokumente Projektový zámer.

134

135

136

== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.1Biznisvrstva"/}}3.1 Biznis vrstva ==

137

138

139

Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy:

140

141

* Riadenie aktív a riadenie rizík.

142

** Proces evidencie a správy aktív.

143

** Proces klasifikácie informácií a kategorizácie IS a sietí.

144

** Proces realizácie AR/BIA.

145

** Proces rozhodovania ohľadom riadenia identifikovaných rizík.

146

* Riadenie prístupov.

147

** Proces vzdialeného bezpečného prístupu a viac-faktorovej autentifikácie pri vzdialenom prístupe.

148

** Proces viac-faktorovej autentifikácie pri prístupe administrátorov k IS a zariadeniam.

149

* Riadenie kontinuity činností.

150

** Proces zálohovania.

151

** Proces ochrany a redundancie záloh.

152

** Proces riadenia kontinuity procesov, systémov a služieb.

153

* Bezpečnostný monitoring.

154

** Proces zberu a správy logov.

155

** Proces identifikácie bezpečnostných incidentov.

156

** Proces riešenia bezpečnostných incidentov.

157

* Riadenie kapacít.

158

** Proces monitoringu a vyhodnocovania dostatočnosti prevádzkových kapacít najmä z pohľadu dostupnosti.

159

* Hodnotenie zraniteľností.

160

** Proces realizácie skenovania a identifikovania nových zraniteľností existujúcich systémov a zariadení.

161

162

163

Okrem uvedených biznis funkcií je projekt zameraný aj na podporu pre oblasti:

164

165

* governance KIB a bezpečnostná dokumentácia,

166

* zavedenie procesov riadenia KIB pre všetky relevantné oblasti riadenia,

167

* audit, riadenie súladu a kontrolných činností - proces posudzovania súladu formou realizácie auditu KIB.

168

169

170

**__Požiadavky na AR/BIA sú nasledovné:__**

171

172

Zrealizovanie aktualizácie analýzy rizík a vykonanie analýzy dopadov nad identifikovanými informačnými aktívami v súlade s metodikou AR/BIA vytvorenou v rámci projektu a zaevidovanie výsledkov do nástroja na evidenciu aktív a aktualizáciu AR/BIA. Predmetom dodávky bude aj vytvorenie katalógu rizík a podpora pri procese jeho formálneho schvaľovania vedením Mesta Stará Ľubovňa.

173

174

Analýza dopadov musí:

175

176

* identifikovať rôzne kategórie procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti,

177

* určiť potenciálne dôsledky (škody/straty) pri rôznych dobách trvania kritických situácií,

178

* stanoviť maximálne akceptovateľné doby prerušenia (MTO),

179

* stanoviť minimálne ciele kontinuity podnikania (MBCO),

180

* určiť cieľové časy obnovy (RTO) a cieľové body obnovy (RPO),

181

* identifikovať potenciálne dopady vyplývajúce z možného prerušenia činností a stanoviť výšku:

182

** funkčných dopadov,

183

** finančných dopadov,

184

** dopadov spôsobených stratou údajov a dokumentov.

185

* identifikovať zdroje a prostriedky na obnovu procesov so zásadným vplyvom na kontinuitu činností organizácie na základe hodnoty RTO procesu v min. tomto typovom rozsahu zdrojov:

186

** ľudia,

187

** aplikácie / databázy,

188

** údaje uložené v elektronickej podobe (nezahrnuté v aplikáciách a databázach),

189

** údaje uložené na papierovom médiu,

190

** IT a komunikačné zariadenia,

191

** komunikačné kanály,

192

** ostatné vybavenie,

193

** vybavenie a infraštruktúra,

194

** pracovný kapitál.

195

196

Záverečná správa, ako výstup z analýzy dopadov musí obsahovať:

197

198

* prehľad vykonávaných činností, ktorý bude obsahovať názov činnosti, jej vymedzenie, vlastníka, MTO a MBCO,

199

* zoznam procesov, ktorý bude (ak to je možné) obsahovať názov procesu, druh procesu, vlastníka procesu, RTO a RPO procesu (údaje, na základe ktorých bolo stanovené príslušné RTO a RPO budú taktiež súčasťou správy),

200

* špecifikácie nevyhnutných zdrojov a prostriedkov pre zabezpečenie kontinuity činností.

201

202

Pri analýze dopadov je potrebné identifikovať:

203

204

* kritické obdobie,

205

* množstvo práce vykonanej v kritickom období,

206

* minimálne prijateľné množstvo práce vykonávanej bezprostredne po krízovej situácii,

207

* či môže definovaný typ krízovej situácie spôsobiť prerušenie procesu.

208

209

Pričom kritickým obdobím až krízovou situáciou môže byť:

210

211

* nedostupnosť informačných technológií a/alebo dát,

212

* nedostupnosť prevádzkových priestorov,

213

* nedostupnosť kritickej časti ľudských zdrojov – zamestnancov,

214

215

zlyhanie kľúčového externého dodávateľa služieb.

216

217

218

**__Požiadavky na kontinuitu činností:__**

219

220

Súčasťou kontinuity činností bude aj zadefinovanie scenárov rôznych udalostí, ktoré potencionálne môžu mať negatívny vplyv na bežné činnosti organizácie ako sú napríklad:

221

222

* náhla nedostupnosť personálu či nepoužiteľnosť pracoviska/budovy,

223

* nedostupnosť technologickej infraštruktúry či potrebných médií,

224

* incident či živelná katastrofa.

225

226

V rámci kontinuity činností musia byť stanovené požiadavky na zdroje (adekvátne finančné, materiálno-technické a personálne zdroje), ktoré budú potrebné na implementáciu vybraných stratégií kontinuity činností. V zmysle požiadaviek zákona o kybernetickej bezpečnosti sa musí určiť čo má byť:

227

228

* hlavným cieľom plánu kontinuity s ohľadom na riadenie incidentov v prípade katastrofy alebo iného rušivého incidentu a ako sa obnovia činnosti v stanovených termínoch,

229

* strategickým imperatívom procesu riadenia kontinuitu s ohľadom na predchádzanie ďalším stratám.

230

231

Súčasťou kontinuity činností musí byť vypracovanie analýzy funkčných dopadov a kvalifikácia potencionálnych dopadov a straty v prípade prerušenia alebo narušenia prevádzky u všetkých procesov organizácie. Požiadavkou analýzy funkčného dopadu musí byť určenie:

232

233

* cieľovej doby obnovy jednotlivých procesov, siete a informačných systémov a aplikácií, a to najmä určením doby obnovy prevádzky, po uplynutí ktorej je po kybernetickom bezpečnostnom incidente obnovená najnižšia úroveň poskytovania základných služieb,

234

* cieľového bodu obnovy jednotlivých procesov, siete a informačných systémov základnej služby, a to najmä určením najnižšej úrovne poskytovania služieb, ktorá je dostatočná na používanie, prevádzku a správu siete a informačného systému a zachovanie kontinuity základnej služby.

235

236

Kontinuitou musia byť zavedené postupy zálohovania na obnovy siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu obsahujúce najmenej:

237

238

* frekvenciu a rozsah zdokumentovania a schvaľovania obnovy záloh,

239

* určenie osoby zodpovednej za zálohovanie,

240

* časový interval, identifikáciu rozsahu údajov, zadefinovanie dátového média zálohovania a zabezpečenie vedenia dokumentácie o zálohovaní,

241

* umiestnenie záloh v zabezpečenom prostredí s riadeným prístupom,

242

* zabezpečenie šifrovania záloh obsahujúcich aktíva klasifikačného stupňa chránené a prísne chránené,

243

* vykonávanie pravidelného preverenia záloh na základe vypracovaného plánu, testovanie obnovy záloh a precvičovanie zavedených krízových plánov najmenej raz ročne.

244

245

Kontinuita činností musí obsahovať minimálne:

246

247

* plán kontinuity na stanovenie požiadaviek a zdrojov,

248

* plán reakcie na incidenty a plány havarijnej obnovy prevádzky,

249

* politiku a ciele kontinuity,

250

* analýzu funkčných dopadov,

251

* stratégiu riadenia kontinuity vrátane evakuačných postupov,

252

253

plán údržby a kontroly BCMS.

Jednotlivé biznis funkcie bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

259

260

[[image:attach:image-2024-7-4_16-28-13-1.png||height="400"]]

261

262

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}3.1.1 Prehľad koncových služieb – budúci stav: ===

263

264

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

265

266

267

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.1.2Jazykovápodporaalokalizácia"/}}3.1.2 Jazyková podpora a lokalizácia ===

268

269

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

270

271

272

== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.2Aplikačnávrstva"/}}3.2 Aplikačná vrstva ==

273

274

Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:

275

276

277

[[image:attach:image-2024-7-4_16-28-29-1.png||height="400"]]

278

279

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.2.1Požiadavkynajednotlivékomponenty"/}}3.2.1 Požiadavky na jednotlivé komponenty ===

280

281

282

Požiadavky na jednotlivé aplikačné komponenty pre vyššie uvedené aplikačné služby sú nasledovné:

**__ __**

**__Správa dokumentov__**

287

288

V rámci tejto aplikačnej služby bude na správu bezpečnostnej dokumentácie vytvorenej počas projektu využitý existujúci Dokument manažment systém Mesto Stará Ľubovňa.

289

290

291

**__Riadenie aktív a rizík__**

292

293

Za účelom identifikácie aktív a ich ďalšej správy, realizáciu klasifikácie a kategorizácie a realizáciu a následne udržiavanie (aktualizácia) analýzy rizík a analýzy dopadov bude nasadená samostatná aplikácia.

294

295

Informačný systém pre identifikáciu a riadenie rizík musí spĺňať tieto funkčných vlastnosti:

296

297

* správa aktív – vedenie zoznamu aktív subjektu, vrátane ich vlastníkov,

298

* správa zraniteľností – vedenie zoznamu rozpoznaných zraniteľností, vrátane ich vlastníkov,

299

* správa hrozieb – vedenie zoznamu rozpoznaných hrozieb,

300

* správa opatrení – vedenie zoznamu opatrení potrebných na potlačenie zraniteľností,

301

* správa vzťahov – evidencia rozpoznaných vzťahov medzi aktívami a zraniteľnosťami,

302

* správa rizík – identifikácia a ohodnotenie rizík na základe pravdepodobností hrozieb, uplatňovaných opatrení a dopadov na subjekt,

303

* semikvantitatívna prípadne kvantitatívna metóda hodnotenia významnosti rizík,

304

* číselné ohodnotenie pravdepodobnosti hrozieb a účinnosti opatrení,

305

* významnosť rizík vyjadrená číselne a následne kategorizovaná.

306

307

Užívateľské rozhranie a výstupy musia spĺňať tieto požiadavky:

308

309

* pre interakciu s používateľom musí byť k dispozícií webové rozhranie bez špeciálnych nárokov na webový prehliadač v plnej podpore slovenského jazyka,

310

* výstupy musia byť realizované vo forme prehľadov a zostáv vo formáte PDF vyhotovené v slovenskom jazyku vrátane šablón a komentárov,

311

* softvér musí umožňovať riadiť prístup užívateľov k obsahu rizikovej analýzy.

312

313

Správa používateľov musí umožňovať:

314

315

* evidenciu používateľov, oprávnených pristupovať k subjektom a identifikovať resp. manažovať ich riziká,

316

* širokú integráciu na existujúce systémy správy používateľov,

317

* prideľovanie rolí oprávneným používateľom s rôznym stupňom oprávnení.

318

319

IS pre identifikáciu a riadenie rizík musí byť umožňovať vykonávať revízie a aktualizáciu rizikovej analýzy, riadiť riziká, aktíva, zraniteľnosti a hrozby systémom, ktorý dokumentuje históriu a je auditovateľný. Verejný objednávateľ požaduje informačný systém typu klient – server nasadený u verejného obstarávateľa na jeho servery bez závislosti na cloudových službách, aktualizáciách cez internet a inom komerčnom programovom vybavení okrem operačného systému.

320

321

Požiadavky na výkon činností manažéra pre riadenie rizík prostredníctvom IS pre identifikáciu a riadenie rizík:

322

323

* tvorba analýz rizík podľa potreby a požiadaviek verejného obstarávateľa,

324

* pravidelné hodnotenie a ošetrovanie rizík,

325

* tvorba plánu eliminácie rizík,

326

* správa aktív a ich vlastníkov,

327

* dohľad nad riadením rizík.

328

329

Súčasťou aktivity je samozrejme aj prvotná identifikácia a evidencia všetkých informačných aktív Mesta Stará Ľubovňa, vykonanie klasifikácie informácií a následne kategorizácie IS a sietí podľa požiadaviek aktuálnej legislatívy a zrealizovanie analýzy rizík a analýzy dopadov nad identifikovanými informačnými aktívami v súlade s metodikou AR/BIA. Predmetom dodávky bude aj vytvorenie katalógu rizík a podpora pri procese jeho formálneho schvaľovania vedením Mesta Stará Ľubovňa.

330

331

332

**__Riadenie kontinuity činností__**

333

334

Nasadenie cloudového nástroja pre manažovanie a automatické spúšťanie záloh systémov a dát a rovnako aj technologické vybavenie (NAS úložisko) pre bezpečné uloženie záloh v inej serverovni mimo primárnych systémov formou automatickej replikácie záloh do tejto vzdialenej serverovne.

335

336

Požiadavky na cloudovú službu pre zálohovanie:

337

338

* Vytvorenie a správa backup konta a úložiska v cene predplateného balíka údajov.

339

* Nastavenie a zálohovania na úložisko.

340

* Bezplatný prenos údajov do úložiska, platí sa iba za uložený objem, nie za prenos údajov do úložiska.

341

* Kontrola a správa zálohovania do úložiska, riešenie problémov s prenosom údajov do úložiska v cene predplateného balíka údajov.

342

* požadovaná kapacita 25 TB.

343

* Údaje uložené v rámci EÚ.

344

* Údaje sú kryptované a v prípade úniku teda nečitateľné pre útočníka.

345

* Nastavenia nemennosti záloh (immutability) – ochrana pred prepísaním/vymazaním, ako ochrana záloh proti ransomware - min. retenčná doba 30 dní.

346

347

Cieľom je zároveň vytvorenie aj jednej lokálnej repliky záloh s nasledovnou špecifikáciou:

348

349

* Server DELL PE R750xs alebo ekvivalent s rovnakými alebo lepšími parametrami:

350

* 1 PowerEdge R750xs Motherboard with Broadcom 5720 Dual Port 1Gb On-Board LOM, Ti

351

* 1x Intel® Xeon® Silver 4314 2.4G, 16C/32T, 10.4GT/s, 24M Cache, Turbo, HT (135W) DDR4-2666 (možnosť doplniť druhý CPU)

352

* (výkon 1 CPU podľa PassMark Software CPU Benchmark minimálne na úrovni 29 340 bodov k 5.4.2024)

353

* 1 Chassis with up to 16x2.5“ Drives

354

* 1 Riser config 4, Half Length, Low Profile, 1x16 + 1x4 slots, 1 CPU

355

* 1 PowerEdge 2U Standard Bezel

356

* 6x 32GB RDIMM, 3200MT/s, Dual Rank, 16Gb BASE x8 (minimálne 2 DIMM sloty voľné na doplnenie RAM, pri osadení 1CPU; minimálne 10 voľných DIMM slotov pri osadení 2CPU)

357

* 1 iDRAC9, Enterprise 15G (možnosť úplného manažmentu servera, vr. BIOS/UEFI; možnosť úplnej konfigurácia RAID controllera z prostredia manažment konzoly a i.)

358

* 1 Server Secured Component Verification

359

* 1x BOSS-S2 controller card + with min. 2x M.2 240GB, Hot-Plug (RAID 1)

360

* 16x 2,4TB HDD SAS 12Gbps 10K 2.5in Hot-Plug (RAID6)

361

* 1 PERC H755 Adapter LP

362

* 1 Dual, Fully Redundant(1+1), Hot-Plug Power Supply,1100W MM(100-240Vac) Titanium

363

* 2x Rack Power Cord 2M (C13/C14 10A)

364

* 1 Trusted Platform Module 2.0 V3

365

* 1 Intel E810-XXVDA4 Quad Port 10/25GbE SFP28 Adapter, OCP NIC 3.0

366

* 1 High Performance Fan x5

367

* 1 ReadyRails Sliding Rails with Cable Management Arm

368

* 1 ProSupport and Next Business Day Onsite Service, 60 Month(s)

369

* ~/~/ Servis v trvaní 60 mesiacov, nástup na opravu v nasledujúci pracovný deň v rámci podmienok služby, nahlasovanie porúch 24/7 ~/~/

370

* Server a všetky jeho relevantné komponenty (napr. CPU, NIC, RAID Controller, ai.) musia byť certifikované pre VMware vSphere ESXi 7.0 U3, 8.0, 8.0 U1, 8.0 U2, 8.0 U3, prípadne novšie verzie v čase predkladania ponuky – (preukázateľne na [[https:~~/~~/www.vmware.com/resources/>>url:https://www.vmware.com/resources/||shape="rect"]]

371

* compatibility/search.php), keďže verejný obstarávateľ vlastní a mieni využiť existujúce softvérové vybavenie VMware a taktiež z dôvodu kompatibility a interoperability s existujúcou infraštruktúrou.

Požiadavky na UPS:

* UPS Eaton 5PX 3000i RT2U G2 (5PX3000IRT2UG2) + 1ks sieťová manažment karta (NMC) alebo ekvivalent rovnakými alebo lepšími parametrami, s priamou podporou IPM (alebo PCNS) pre riadenie autoshutdown cez vCenter Server

376

* Technológia: Line-interactive

377

* Konfigurácia: Rack – možnosť osadiť do racku ako 2U zariadenie – vrátane dodania koľajníc

378

* Výkon (VA/W): 3000 VA / 3000 W

379

* Doba zálohovania:

380

* Pre samotné UPS:

381

** Pri 50 % vyťažení: 14 min.

382

** Pri 70 % vyťažení: 9 min.

383

* + 1 EBM:

384

** Pri 50 % vyťažení: 66 min.

385

** Pri 70 % vyťažení: 38 min.

386

* + 4 EBM:

387

** Pri 50 % vyťažení: 213 min.

388

** Pri 70 % vyťažení: 121 min.

389

* Užívateľské rozhranie:

390

** Komunikačné porty: USB, RS232, 1 mini svorkovnica pre diaľkové zapnutie, vypnutie a pre diaľkove odstavenie (RPO)

391

** Slot pre komunikačné adaptéry: 1 miesto pre NMC Minislot kartu (NMC karta je súčasťou balenia), NMC ModBus/Jbus alebo MC Contacts/Serial

392

** Displej: Graficky LCD displej

393

* Vstup: C20

394

* Výstupy: 8 x C13, 2 x C19 (10 zásuviek so zálohováním a prepäťovou ochranou)

395

* Diaľkovo ovládané výstupy: 2 skupiny po 2 x C13

396

* Vstupné napätie: rozsah 160-294 V ( nastaviteľné 150-294 V)

397

* Výstupné napätie: 230 V

398

* Kmitočet: 50-60 Hz ( rozsah pre 50 Hz 47-70 Hz, pre 60 Hz 56.5-70 Hz), 40 Hz v režime s nízkou citlivosťou

399

* Záťažové segmenty: 2 skupiny po dvoch individuálne ovládaných zásuvkách

400

* Záruka výrobcu na elektroniku 3 roky a batérie 2 roky.

401

* COMPLIANCE:

402

** IEC/EN 62040-1, IEC/EN 62040-2, IEC/EN 62040-3, RoHS Compliant, REACH, UL 1778, CSA 22.2

403

* CERTIFICATIONS:

404

** CE, cTUVus, EAC, Cm, UKCA, Ukr, KCC, ENERGY STAR certified

Požiadavky na rack:

* Serverový rack 42U

* Rozmer ŠxHxV (600mm x 1000mm x 42U)

410

* Perforované predné a zadné dvere

411

* Polica 19“

412

* PDU C14/8x C13 19“ a C14/6-8x eurozásuvka 19“

Požiadavky na NAS:

* RackStation 2,2GHz, 4GBRAM, 8xSATA, 2xUSB3.0

417

* záruka 5 rokov

418

* kapacita 22 TB SATA, 6Gb/s, 256MB cache, 7200 ot. – 6ks

419

* čítanie / zápis dát min.: 2300 / 1100 MB/s

420

* podpora sieťových kariet 10GbE SFP+/RJ-45 a 25GbE SFP28

421

* redundantný zdroj napájania

422

* technická a systémová podpora 8/5.

423

424

Riešenie musí obsahovať:

425

426

* pokročilú technológiu vytvárania snímkou zaisťujúcu plánovateľnú a temer okamžitú ochranu dát zdieľaných zložiek a jednotiek LUN,

427

* obnovu dát na úrovni súborov a zložiek s obnovením konkrétnych súborov alebo zložiek,

428

* flexibilný systém kvóty pre zálohy,

429

* automatické opravy súborov napr. pomocou zrkadlených metadát a konfiguráciou RAID,

430

* vloženú komprimáciu dát pred zápisom na disk,

431

* možnosť integrácie s ľubovoľnou virtualizačnou platformou,

432

* zálohovanie bez licencií určených k ochrane počítačov a serverov so systémom Windows,

433

* virtuálnych počítačov, ďalších súborových serverov a cloudových aplikácií,

434

* konsolidáciu úloh zálohovania pre fyzické i virtuálne prostredie s možnosťou rýchleho obnovenia súborov, celých fyzických počítačov a virtuálnych počítačov,

435

* zálohovanie v prostredí Google Workspace, Gmail, kontaktov, kalendárov a služby Drive zálohovanie dát sady Microsoft 365, OneDrive for Business, SharePoint Online, e-mailov, kontaktov a kalendárov.

436

437

Súčasťou riešenia budú aj inštalačné, konfiguračné a migračné práce:

438

439

* Analýza a zber údajov

440

** 1 Analýza prostredia, plán implementácie, projektové riadenie.

441

* Inštalácia a konfigurácia HW/SW

442

** 1 Inštalácia a konfigurácia Server (Upgr. Firmware, konfigurácia RAID, nastavenie BIOS, Management)

443

** 2 Upgrade Firmware UPS MNC

444

** 2 Upgrade Firmware UPS

445

** 1 Inštalácia a konfigurácia vSphere ESXi (existujúca licencia)

446

** 1 Inštalácia a Konfigurácia IPM (alebo obdobného softvéru k UPS podľa bodu 2, vrátane licencie pre min. 3 power nodes

447

* Inštalácia a konfigurácia Backup/Replica SW

448

** 1 VEEAM BACKUP Infraštruktúry (mng, proxy, repository, ...)

449

** 1 Nastavenie replikačných jobov vo Veeam B&R

450

** 1 Opatrenia na zabezpečenie zálohovacej infraštruktúry Veeam, minimalizácia „viditeľnosti“ zálohovacej infraštruktúry v LAN

451

* Fyzické zapojenie HW

452

** 1 Montáž rack, polica, PDU

453

** 1 SERVER - montáž do racku, zapojenie - napájanie, networking, manažment

454

** 2 UPS – montáž do racku, zapojenie - napájanie, manažment

455

* Odovzdanie projektu

456

** 1 Základné zaškolenie

457

** 1 Základná dokumentácia

458

459

460

**__Bezpečnostný monitoring ako služba__**

461

462

Súčasťou tejto aplikačnej služby je implementácia centrálneho Log Manažment Systému (LMS) pre účely zberu logov z jednotlivých agendových, podporných a infraštruktúrnych systémov a koncových zariadení. Zariadenia pre LMS sa nakúpia do majetku mesta, ale ďalšia správa LMS bude následne zabezpečená formou služby (LMS as a service) externým dodávateľom spolu so službou bezpečnostného monitoringu (SIEM/SOC as a service).

463

464

LMS bude poskytovať dostatočnú kapacitu pre uloženie všetkých logov min. po dobu 6 mesiacov. Implementácia zahŕňa zmapovania súčasných logov, nastavenie logovania zo všetkých relevantných systémov, aplikácii a sieťových zariadení a ich konsolidácia. Predpokladaná kapacita pre uloženie logov je 10 TB. Predpokladaný počet EPS je 500. Počet účtov v AD cca 90.

465

466

Súčasťou aktivity bude aj zladenie interných procesov riešenia bezpečnostných incidentov (smernica o monitorovaní a riešení bezpečnostných incidentov uvedená v bode 1.1) s procesmi SOC externého dodávateľa a zabezpečenie a sprevádzkovanie sieťovej konektivity.

467

468

Služba SIEM/SOC musí zahŕňať:

469

470

* zber a monitorovanie udalostí v sieťach a kritických prvkoch informačných systémov v režime 24 x 7,

471

* sondu pre zber údajov – virtuálne zariadenie,

472

* nepretržitá detekcia kyberneticko-bezpečnostných incidentov,

473

* zber relevantných informácií pri zistených kybernetických incidentoch,

474

* návrh riešenia kybernetických bezpečnostných incidentov a zníženia následkov zistených kybernetických bezpečnostných incidentov,

475

* vyhodnocovanie riešenia kybernetických bezpečnostných incidentov a návrh systémových opatrení s cieľom minimalizovať výskyt obdobných kybernetických bezpečnostných incidentov,

476

* podrobná evidencia bezpečnostných incidentov, ich riešení a príslušnej komunikácie prostredníctvom na to určeného nástroja (ticketing/service desk),

477

* pravidelný reporting (1 x mesačne).

478

479

Predmetom monitoringu budú nasledovné zariadenia:

480

481

* Firewall

482

* virtuálny server pre informačný systém samosprávy (MS Windows 2012 R2)

483

* virtuálny server pre zálohovanie (MS Windows 2012 R2)

484

* Domain Controler (Active Directory s počtom účtov cca 90) (MS Windows 2012 R2)

485

* virtuálny server pre zverejňovanie na (MS Windows 2012 R2)

486

* pracovné stanice a noteboky W7 (cca 30), W8 (cca 10), W10 (cca 40) , W11 (cca 20) v počte spolu cca 100 ks.

487

488

Súčasťou služby a jej ceny musia byť všetky implementačné, softvérové, hardvérové a licenčné prostriedky potrebné pre jej chod.

489

490

Fungovanie SOC bude riešené formou „as a service“ a teda externý dodávateľ poskytne skúsený tím odborníkov, SOC procesov, CSIRT procesov a pod. Takýto spôsob realizácie umožní jednak eliminovať mesačné náklady na prevádzku SOC-u a zároveň umožní zabezpečiť efektívny spôsob ochrany kybernetického priestoru. SOC ako služba poskytne najmä efektívny bezpečnostný monitoring výskytu mimoriadnych udalostí a bezpečnostných incidentov a zabezpečenie adekvátnej reakcie na bezpečnostné incidenty. Okrem toho poskytne pokročilé analýzy bezpečnostných incidentov a ich vyšetrovanie, podporu riešenia bezpečnostných incidentov a uvedenia systémov späť do bežnej prevádzky, knowledge base ohľadom jednotlivých incidentov a spôsobov ich riešenia a reporting a štatistiky ohľadom jednotlivých a sumárnych bezpečnostných incidentoch, ich závažnosti a dopadoch.

491

492

Zavedenie SOC as a service – Security Operation Centre ako služby prinesie najmä:

493

494

* nastavenie procesného fungovania SOC a previazanie interných a externých procesov a roly: definícia roly, procesný model, zavedenie do praxe, prispôsobenie interných nástrojov (napr. service desk) a LMS systému, právna podpora, úprava interných smerníc a pod.,

495

* vytvorenie interných KB databáz vrátane iniciálneho naplnenia a školení pre riešenie bezpečnostných incidentov.

496

497

Pre službu SOC požadujeme nasledovné SLA parametre:

498

499

* Incident kategórie HIGH - vysoko nebezpečné incidenty, ktoré môžu spôsobiť vážne škody resp. môžu mať negatívny dopad na kritické aktíva.

500

** maximálne 2 hodiny.

501

* Incident kategórie MEDIUM - incidenty strednej závažnosti, t.j. ktoré akútne neohrozujú kritické časti prostredia.

502

** maximálne 4 hodiny.

503

* Incident kategórie LOW - incidenty nízkej závažnosti bez priameho negatívneho vplyvu na kontinuitu služby.

504

** maximálne 8 hodín.

505

506

507

**__Riadenie kapacít__**

508

509

Požadujeme nasadenie nástroja na riadenie kapacít v súlade s §10 písm. b) vyhlášky NBÚ č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

510

511

Musí byť pokryté monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel. Monitorovací nástroj musí informovať o vzniknutých technických problémoch a nedostatku kapacít správcu príslušnej služby alebo servera. Musí byť schopný monitorovať rôzne druhy zariadení ako sú fyzické a virtuálne servery, sieťové prvky, dátové úložiská a iné zariadenia, ktoré dokážu poskytnúť údaje o svojej prevádzke. Monitoring musí byť v reálnom čase s možnosťou údaje okamžite vizualizovať prostredníctvom grafov, máp a rôznych náhľadov. Musí byť schopný porovnávať dáta v rôznych časových obdobiach, analyzovať históriu.

Funkčné požiadavky:

* Monitorovanie kľúčových informačných systémov a ich jednotlivých komponentov.

516

* Nastavenie prahových hodnôt alertov a notifikácií.

517

* Eskalácia notifikácií.

518

* Tvorba reportov.

519

* Tvorba vlastných sledovacích schém.

520

521

Do monitoringu bude zahrnutých 10 zariadení a služieb, komponentov infraštruktúry z množiny:

522

523

* Sieťových a výkonových zariadení.

524

* VMware služieb.

525

* Databázových a zálohovacích zariadení.

526

* Webových služieb.

527

* Kritického hardvéru.

528

529

Zber údajov musí podporovať:

530

531

* Agentov SNMP a IPM.

532

* Bezagentový a špeciálny monitoring.

533

* Monitoring virtuálnych zariadení.

534

* Webové aplikácie a Java scenáre.

535

* Monitoring databáz.

536

* Kalkulované a agregované položky.

537

* Interné sledovanie výkonu.

538

539

Musí byť podporovaná vizualizácia vo webovom rozhraní a informovanosť v rozsahu:

540

541

* Grafov a máp so zloženými pohľadmi.

542

* Globálnych Dashboardov.

543

* Prístupu k získaným hodnotám a zoznamu udalostí.

544

* Zasielania oznámení.

545

* Potvrdenia a eskalácie prijatých informácií.

546

* Schopnosti prijať opatrenia.

547

548

Systém musí byť schopný automatizácie, napr. cez Network alebo Low-level discovery. Musí byť schopný správy aj cez smartfón, schopný nasadenia vlastných skriptov s prístupom k funkciám cez API. Musia sa dať definovať pravidlá hodnotenia údajov poskytujúce logické definície stavu zariadení.

549

550

Súčasťou implementácie nástroja bude aj zabezpečenie skenovania zraniteľností interných systémov mesta formou služby min. 1x ročne. Súčasťou projektu bude pilotné otestovanie zraniteľností a preukázanie funkčnosti dodávanej služby počas nasledujúceho obdobia. Výsledkom pilotného testovania bude report obsahujúci zoznam identifikovaných zraniteľností, úroveň ich závažnosti a návrh na ich odstránenie.

551

552

Okrem toho bude súčasťou riešenia aj dokončenie návrhu segmentácie sietí, za účelom odčlenenia pracovných staníc do samostatného segmentu a nastavenie prestupových FW pravidiel.

553

554

555

**__Riadenie prístupov – Identifikácia a autentifikácia - Zavedenie 2FA (dvoj-faktorová autentifikácia)__**

556

557

Návrh a zabezpečenie SW/HW riešenia 2FA (formou mobilnej autentifikácie) na strane používateľov pri vzdialenom prístupe (VPN) a na strane administrátorov, resp. tzv. „power users“ pri prístupe k správe systémov Mesta Stará Ľubovňa. Požadujeme:

558

559

* rozšírenie licencií existujúceho NGFW Fortigate pre VPN vzdialený prístup s využitím 2FA pre cca 50 používateľov (Forti Token Mobile licencie),

560

* zabezpečenie licencií a SW riešenia pre 2FA na prístup tzv. “privilegovaných používateľov” k jednotlivým IS Mesta Stará Ľubovňa – cca do 10 administrátorov, dvojfaktorová autentifikácia bude riešená mobilnou aplikáciou, ktorá zabezpečí druhý autentifikačný faktor.

561

562

Zavedenie 2FA umožní zvýšenie úrovne identifikácie a najmä autentifikácie pracovníkov, ale aj zvýšenie úrovne bezpečnosti pri správe IKT z pozície tzv. „power users" a administrátorov systémov. Dvojfaktorová autentifikáciu je v súčasnosti takmer nevyhnutnou formou zabezpečenia takmer všetkých účtov a služieb, ktoré sú dôležité. Dvojfaktorová autentifikácia umožní ochrániť od neautorizovaného prístupu útočníkov aj v prípade ak získajú prihlasovacie údaje, nakoľko sa nedostanú cez overenie v druhom kroku. S ohľadom na uvedené bude v rámci realizácie projektu riešený práve tento systém ochrany pre potreby zabezpečenia VPN pripojenia do LAN siete Mesta Stará Ľubovňa.

563

564

Dvojfaktorová autentifikácia bude riešená Tokenmi generovanými mobilnou aplikáciou.

565

566

2FA je v projekte nastavená pre viacero typov používateľov:

567

568

* Obyčajný používateľ pri prístupe cez VPN, pre ktorého bude zavedenie komponentu predstavovať použitie ďalšieho prostriedku autentifikácie (2FA), ktorý bude predstavovať aplikácia v mobilnom telefóne.

569

* Administrátor, alebo „power user“ pri prístupe k správe prideleného IS bude mať k dispozícii rovnako aplikáciu v mobilnom telefóne, ktorá zabezpečí druhý autentifikačný faktor.

570

571

Funkčné a výkonové požiadavky:

572

573

* riešenie využívajúce softvérový autentifikátor dostupný pre platformy mobilných telefónov iOS a Android.

574

* auto-aktivácia používateľa bez potreby prítomnosti správcu systému,

575

* možnosť distribúcie autorizačného kódu autentifikácie druhého faktoru:

576

** formou výzvy (push notifikácia),

577

** formou SMS,

578

* pre všetkých zamestnancov pristupujúcich cez VPN (cca 50 zamestnancov),

579

* pre všetkých „power users“ (do 10 administrátorov),

580

* integrácia s vybranými existujúcimi systémami:

581

** minimálne s AD,

582

** s FW na perimetri siete pre vzdialený VPN prístup používateľov do internej LAN a k sieťovým službám,

583

* prideľovanie oprávnení správcom na základe rolí (vlastník systému, IT správca systému, Správca integrácií, Správca používateľov, Podpora používateľov/Helpdesk),

584

* možnosť vytvárania skupín používateľov a zaraďovanie používateľov do skupín,

585

* možnosť vytvárania politík a ich aplikovanie:

586

** na skupiny používateľov,

587

** na používateľa podľa jeho geo-lokácie,

588

** na používateľa na základe stavu bezpečnosti jeho terminálu, ktorým sa pripája,

589

** na používateľa na základe stavu bezpečnosti mobilného zariadenia používateľa používaného na distribúciu autorizačného kódu,

590

** na základe jednotlivých integrácií,

591

* logovanie:

592

** histórie prístupov používateľov (meno, dátum, čas, terminál používateľa, sprístupnený systém, geo-lokácia IP adresy, atď.),

593

** informácií o mobilných zariadeniach používateľov použitých na distribúciu autorizačného kódu,

594

** úspešných aj neúspešných prihlásení,

595

* automatická detekcia anomálií a rizika pri prihlasovaní.

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.2.2Rozsahinformačnýchsystémov–ASIS"/}}3.2.2 Rozsah informačných systémov – AS IS ===

600

601

602

Implementované bezpečnostné riešenia sa budú dotýkať najmä zvýšenia ochrany a bezpečnosti nasledovných IS:

603

604

|(((

605

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

620

621

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

Isvs_14460

)))|(((

Informačný systém samosprávy CG ISS – agendový IS

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

)))

|(((

Isvs_14461

)))|(((

Informačný systém na správu registratúry CG DISS

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

)))

|(((

Isvs_14463

)))|(((

Informačný systém CG eGOV – web aplikácia pre verejnosť

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Prezentačný

)))|(((

)))

Čiastočne a okrajovo sa implementované bezpečnostné opatrenia a riešenia budú dotýkať aj nasledovných infraštruktúrnych a podporných IS, ktoré ale nie sú ISVS:

|(((

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

683

684

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

)))|(((

Dochádzkový systém

)))|(((

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

DC/AD

)))|(((

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

Zálohovací systém

)))|(((

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

)))|(((

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

)))|(((

)))|(((

)))|(((

)))|(((

)))

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.2.3Rozsahinformačnýchsystémov–TOBE"/}}3.2.3 Rozsah informačných systémov – TO BE ===

// //

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

758

759

760

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.2.4VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}3.2.4 Využívanie nadrezortných a spoločných ISVS – AS IS ===

761

762

763

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

764

765

766

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.2.5PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}3.2.5 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE ===

767

768

769

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

770

771

772

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.2.6PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}3.2.6 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===

773

774

775

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

776

777

778

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.2.7Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}3.2.7 Aplikačné služby pre realizáciu koncových služieb – TO BE ===

779

780

781

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

782

783

784

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.2.8Aplikačnéslužbynaintegráciu–TOBE"/}}3.2.8 Aplikačné služby na integráciu – TO BE ===

785

786

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

787

788

789

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.2.9PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}3.2.9 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===

790

791

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

792

793

794

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.2.10KonzumovanieúdajovzISCSRU–TOBE"/}}3.2.10 Konzumovanie údajov z IS CSRU – TO BE ===

795

796

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.3Dátovávrstva"/}}3.3 Dátová vrstva ==

801

802

803

Z pohľadu dátového modelu nejde o typické biznis (agendové) dáta ale o dáta typu:

804

805

* Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. – ako výstupy aktivity projektu určené pre ďalšie riadenie rozvoja KIB,

806

* bezpečnostné konfigurácie a bezpečnostné dáta (napr. logy) – pre fungovanie jednotlivých bezpečnostných komponentov.

807

808

Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. sú určené pre proces riadenia KIB.

809

810

Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie bezpečnostných modulov, t.j. jednotlivé komponenty tohto navrhovaného riešenia a zároveň reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov.

811

812

813

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.3.1Údajevspráveorganizácie"/}}3.3.1 Údaje v správe organizácie ===

814

815

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

816

817

818

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.3.2Dátovýrozsahprojektu-Prehľadobjektovevidencie-TOBE"/}}3.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE ===

819

820

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

821

822

823

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.3.3Referenčnéúdaje"/}}3.3.3 Referenčné údaje ===

824

825

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

826

827

828

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.3.4Kvalitaačistenieúdajov"/}}3.3.4 Kvalita a čistenie údajov ===

829

830

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

831

832

833

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.3.5Otvorenéúdaje"/}}3.3.5 Otvorené údaje ===

834

835

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

836

837

838

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.3.6Analytickéúdaje"/}}3.3.6 Analytické údaje ===

839

840

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

841

842

843

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.3.7Mojeúdaje"/}}3.3.7 Moje údaje ===

844

845

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

846

847

848

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.3.8Prehľadjednotlivýchkategóriíúdajov"/}}3.3.8 Prehľad jednotlivých kategórií údajov ===

849

850

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

851

852

853

== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.4Technologickávrstva"/}}3.4 Technologická vrstva ==

854

855

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.4.1Prehľadtechnologickéhostavu-ASISaTOBE"/}}3.4.1 Prehľad technologického stavu - AS IS a TO BE ===

856

857

858

V rámci as-is stavu dnes v rámci Mesta Stará Ľubovňa neexistuje bezpečnostná technológia, ktorá je predmetom tohto projektu.

859

860

Z pohľadu to-be bude finálna technologická vrstva závislá od výsledkov verejného obstarávania a technológie, ktorú ponúkne víťazný uchádzač.

861

862

Niektoré bezpečnostné riešenia totižto poskytujú viacero alternatív a dajú sa implementovať napr. ako virtuálny appliance, ale prípadne aj ako HW appliance. Predpokladom však je, že väčšina bezpečnostných riešení bude nasadená do virtuálneho prostredia Mesta Stará Ľubovňa, a niektoré riešenia budú nasadené ako cloudová služba, a niektoré ako samostatný HW appliance, prípadne budú nasadení rôzni agenti do infraštruktúry Mesta Stará Ľubovňa.

863

864

Vzhľadom na uvedené skutočnosti predpokladáme „high level“ technologickú architektúru tak, ako je uvedené na nasledujúcom obrázku:

865

866

867

[[image:attach:image-2024-7-4_16-28-56-1.png||height="400"]]

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.4.2Požiadavkynavýkonnostnéparametre,kapacitnépožiadavky–TOBE"/}}3.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE ===

872

873

Predpokladané výkonnostné parametre a kapacitné požiadavky sú, tam kde je to relevantné, uvedené v popise aplikačnej architektúry jednotlivých aplikačných funkcií a aplikačných modulov.

874

875

876

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.4.3Návrhriešeniatechnologickejarchitektúry–popísanévyššievrámciASIS-TOBE"/}}3.4.3 Návrh riešenia technologickej architektúry – popísané vyššie v rámci ASIS -TOBE ===

877

878

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

// //

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.4.4Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}3.4.4 Využívanie služieb z katalógu služieb vládneho cloudu ===

883

884

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

885

886

== {{id name="projekt_2849_Pristup_k_projektu_detailny-3.5Bezpečnostnáarchitektúra"/}}3.5 Bezpečnostná architektúra ==

887

888

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia.

889

890

891

= {{id name="projekt_2849_Pristup_k_projektu_detailny-4.ZávislostinaostatnéISVS/projekty"/}}4. Závislosti na ostatné ISVS / projekty =

892

893

Bez závislostí na iné projekty.

**~ **

= {{id name="projekt_2849_Pristup_k_projektu_detailny-5.Zdrojovékódy"/}}5. Zdrojové kódy =

898

899

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

900

901

Riešenie nepredpokladá vývoj softvéru, ale použitie komerčných bezpečnostných produktov a zariadení.

902

903

904

= {{id name="projekt_2849_Pristup_k_projektu_detailny-6.Prevádzkaaúdržba"/}}6. Prevádzka a údržba =

905

906

Aktivita podpora Governance v oblasti KIB si nevyžaduje žiadnu budúcu prevádzku, nakoľko ide len o analytické a konzultačné práce, ktorých výstupy budú použité pre proces riadenia KIB (Governance) . Výstupy Governance aktivít samozrejme tiež budú musieť byť udržiavané a rozvíjané, to by však malo byť realizované pomocou interných zamestnancov bez priameho vplyvu na rozpočet.

Pre aktivity napr.:

* nasadenie nástroja na podporu riadenia aktív a rizík,

911

* poskytovanie LMS/SIEM/SOC ako služby,

912

* implementácia riadenia kapacít,

913

* nasadenie ochrany citlivých dát (DLP),

914

* implementácia riadenie prístupov (2FA),

915

* implementácia riadenie kontinuity (zálohovanie)

916

917

sú rámcové požiadavky na prevádzku a údržbu zadefinované nižšie.

918

919

== {{id name="projekt_2849_Pristup_k_projektu_detailny-6.1Prevádzkovépožiadavky"/}}6.1 Prevádzkové požiadavky ==

920

921

Všetky ďalšie parametre a požiadavky na prevádzku a údržbu sa týkajú už len nasledovných aktivít:

922

923

* nasadenie nástroja na podporu riadenia aktív a rizík,

924

* poskytovanie LMS/SIEM/SOC ako služby,

925

* implementácia riadenia kapacít,

926

* nasadenie ochrany citlivých dát (DLP),

927

* implementácia riadenie prístupov (2FA),

928

* implementácia riadenie kontinuity (zálohovanie).

929

930

931

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-6.1.1Úrovnepodporypoužívateľov"/}}6.1.1 Úrovne podpory používateľov ===

932

933

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

934

935

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-6.1.2Riešenieincidentov–SLAparametre"/}}6.1.2 Riešenie incidentov – SLA parametre ===

936

937

938

Označenie naliehavosti incidentu:

939

940

|(((

941

Označenie naliehavosti incidentu

)))|(((

Závažnosť incidentu

)))|(((

Popis naliehavosti incidentu

)))

|(((

A

)))|(((

Kritická

)))|(((

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

)))

|(((

B

)))|(((

Vysoká

)))|(((

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.

)))

|(((

C

)))|(((

Stredná

)))|(((

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

)))

|(((

D

)))|(((

Nízka

)))|(((

Kozmetické a drobné chyby.

)))

// //

možný dopad:

|(((

Označenie závažnosti incidentu

)))|(((

Dopad

)))|(((

Popis dopadu

)))

|(((

1

)))|(((

katastrofický

)))|(((

katastrofický dopad, priamy finančný dopad alebo strata dát,

)))

|(((

2

)))|(((

značný

)))|(((

značný dopad alebo strata dát

)))

|(((

3

)))|(((

malý

)))|(((

malý dopad alebo strata dát

)))

**// //**

Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

1014

1015

|(% colspan="2" rowspan="2" %)(((

1016

Matica priority incidentov

1017

)))|(% colspan="3" %)(((

Dopad

)))

|(((

Katastrofický - 1

)))|(((

Značný - 2

)))|(((

Malý - 3

)))

|(% rowspan="4" %)(((

**Naliehavosť**

)))|(((

**Kritická - A**

)))|(((

1

)))|(((

2

)))|(((

3

)))

|(((

**Vysoká - B**

)))|(((

2

)))|(((

3

)))|(((

3

)))

|(((

**Stredná - C**

)))|(((

2

)))|(((

3

)))|(((

4

)))

|(((

**Nízka - D**

)))|(((

3

)))|(((

4

)))|(((

4

)))

**// //**

Vyžadované reakčné doby:

1069

1070

|(((

1071

Označenie priority incidentu

1072

)))|(((

1073

Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu

1074

)))|(((

1075

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^

)))|(((

Spoľahlivosť ^^(3)^^

(počet incidentov za mesiac)

)))

|(((

1

)))|(((

0,5 hod.

)))|(((

4 hodín

)))|(((

1

)))

|(((

2

)))|(((

1 hod.

)))|(((

12 hodín

)))|(((

2

)))

|(((

3

)))|(((

1 hod.

)))|(((

24 hodín

)))|(((

10

)))

|(((

4

)))|(((

1 hod.

)))|(% colspan="2" %)(((

1113

Vyriešené a nasadené v rámci plánovaných releasov

)))

// //

== {{id name="projekt_2849_Pristup_k_projektu_detailny-6.2PožadovanádostupnosťIS:"/}}6.2 Požadovaná dostupnosť IS: ==

**// //**

|(((

Popis

)))|(((

Parameter

)))|(((

Poznámka

)))

|(((

**Prevádzkové hodiny**

)))|(((

12 hodín

)))|(((

od 6:00 hod. - do 18:00 hod. počas pracovných dní

1135

)))

1136

|(% rowspan="2" %)(((

**Servisné okno**

)))|(((

10 hodín

)))|(((

od 19:00 hod. - do 5:00 hod. počas pracovných dní

)))

|(((

24 hodín

)))|(((

od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov

1147

1148

Servis a údržba sa bude realizovať mimo pracovného času.

1149

)))

1150

|(((

1151

**Dostupnosť produkčného prostredia IS**

)))|(((

98,5%

)))|(((

98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod.

1156

1157

Maximálny mesačný výpadok je 5,5 hodiny.

1158

1159

Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

1160

1161

Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L3 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

1162

1163

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

)))

// //

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-6.2.1Dostupnosť(Availability)"/}}6.2.1 Dostupnosť (Availability) ===

1169

1170

1171

Požadovaná dostupnosť pre aktivitu projektu:

1172

1173

* nasadenie nástroja na podporu riadenia aktív a rizík,

je:

* **96% dostupnosť** znamená výpadok 15 dní.

1178

1179

1180

Požadovaná dostupnosť pre aktivity projektu:

1181

1182

* poskytovanie LMS/SIEM/SOC ako služby,

1183

* implementácia riadenia kapacít,

1184

* nasadenie ochrany citlivých dát (DLP),

1185

* implementácia riadenie prístupov (2FA),

1186

* implementácia riadenie kontinuity (zálohovanie)

je:

* **98,5% dostupnosť** znamená výpadok 8,25 dňa.

1191

1192

1193

Za týmto účelom bude aj s dodávateľom služby LMS/SIEM/SOC as a service uzatvorená rovnaká dohoda o úrovni poskytovaných služieb (SLA), ktorá bude požadovať uvedenú dostupnosť poskytovanej služby.

1194

1195

1196

=== {{id name="projekt_2849_Pristup_k_projektu_detailny-6.2.2RTO(RecoveryTimeObjective)"/}}6.2.2 RTO (Recovery Time Objective) ===

Zavedenie aktivity:

* nasadenie nástroja na podporu riadenia aktív a rizík,

1201

1202