I-02 Projektový zámer (projektovy_zamer)

PROJEKTOVÝ ZÁMER

Vzor pre manažérsky výstup  I-02

 podľa vyhlášky MIRRI č. 401/2023 Z. z.  (účinnosť od 1.4.2025)

Schvaľovanie dokumentu

1. HISTÓRIA DOKUMENTU

2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

2.1 Použité skratky a pojmy

Tabuľka 1 Skratky a pojmy

2.2 Konvencie pre typy požiadaviek (príklady)

N/A

3. DEFINOVANIE PROJEKTU

3.1. Manažérske zhrnutie

Úrad potrebuje modernizovať a posilniť svoju IT infraštruktúru komplexným riešením, ktoré nielen zabezpečí bežnú prevádzku jeho systémov, ale najmä zvýši ich odolnosť voči výpadkom a kybernetickým hrozbám, ako je ransomvér, a zároveň splní zákonné požiadavky na kybernetickú bezpečnosť. Dôraz na dlhú záruku a komplexnosť dodávky (HW, SW, inštalácia) má zabezpečiť funkčné a udržateľné riešenie na niekoľko rokov dopredu.

Predpokladaná hodnota riešenia je 289 333,33 EUR bez DPH (355 880 EUR s DPH). Výsledky uskutočneného projektu budú slúžiť Úradu a verejnosti.

3.2. Motivácia a rozsah projektu

Súčasná infraštruktúra a procesy zálohovania v rámci Úradu pre ochranu osobných údajov (ÚOOÚ) vykazujú viacero významných nedostatkov a predstavujú kritické operačné aj bezpečnostné riziká. Hoci úrad prevádzkuje špecifické zálohovacie riešenie dedikované pre systémy informačnej infraštruktúry KiS, toto riešenie je limitované tým, že využíva dátové úložisko zdieľané aj s inými infraštruktúrnymi komponentmi, čo predstavuje potenciálny spoločný bod zlyhania (Single Point of Failure) a obmedzuje možnosti izolácie záloh. Zálohovanie ostatných, informačných systémov je navyše realizované prevažne neštandardizovanými metódami, primárne prostredníctvom jednoduchého kopírovania súborov alebo obrazov systémov, ktoré sú následne ukladané na tú istú zdieľanú úložnú kapacitu ako zálohy KiS. Tento prístup nezabezpečuje dostatočnú granularitu, konzistenciu ani ochranu zálohovaných dát.

Okrem toho sú doplnkové zálohy vytvárané nesystematickými, manuálnymi procesmi, často na štandardné externé dátové nosiče (disky), čo je proces náchylný na ľudskú chybu, nedôslednosť a nezabezpečuje dostatočnú ochranu pred modernými hrozbami, ako je ransomvér. Najzávažnejším zistením je však úplná absencia formalizovaného, zdokumentovaného a pravidelne testovaného Plánu obnovy po havárii (Disaster Recovery Plan - DRP) pre celú IT infraštruktúru. V dôsledku toho, v prípade závažného incidentu – či už ide o rozsiahle hardvérové zlyhanie, prírodnú katastrofu alebo úspešný kybernetický útok spojený so zašifrovaním dát – neexistujú garantované a overené mechanizmy a postupy pre komplexnú, riadenú a včasnú obnovu informačných systémov a dát ako funkčného celku.

Nerealizácia navrhovaného projektu rozšírenia zálohovacieho prostredia by mala pre ÚOOÚ závažné a potenciálne devastačné dôsledky. Pretrvávalo by neprijateľne vysoké riziko trvalej straty alebo nezvratného poškodenia systémov a nenahraditeľných dát, nakoľko súčasný stav neposkytuje dostatočné záruky ich obnoviteľnosti. Takýto stav by priamo znemožňoval úradu preukázateľne plniť svoje zákonné a regulačné povinnosti vyplývajúce z relevantných právnych predpisov (najmä Zákona o kybernetickej bezpečnosti a Vyhlášky NBÚ č. 362/2018 Z. z., ako aj predpisov o ochrane osobných údajov ako GDPR a súvisiacich noriem) v oblasti zabezpečenia kontinuity činností a ochrany informačných aktív.

Potenciálne operačné dôsledky incidentu pri súčasnom stave zahŕňajú najmä: dlhodobé prerušenie až úplné zastavenie poskytovania elektronických aj neelektronických služieb úradu verejnosti a iným subjektom; rozsiahle ochromenie až paralýza vnútornej činnosti jednotlivých organizačných útvarov úradu neschopných vykonávať svoje agendy; a v prípade nenávratnej straty dát aj definitívnu nemožnosť pokračovať v začatých správnych, kontrolných alebo iných konaniach z dôvodu straty spisovej dokumentácie, registratúrnych záznamov a kľúčových dôkazových materiálov. Takéto scenáre by mali fatálny dopad na plnenie zákonných úloh úradu a jeho reputáciu.

3.3. Zainteresované strany (Stakeholderi)

Tabuľka 2 Zainteresované strany (Stakeholderi)

3.4. Ciele projektu

V kontexte súčasného stavu zálohovacej infraštruktúry a eskalujúcich kybernetických hrozieb, vrátane sofistikovaných ransomvérových útokov, bola Úradom pre ochranu osobných údajov (ÚOOÚ) identifikovaná kritická nevyhnutnosť strategického posilnenia a modernizácie zálohovacieho prostredia úradu.

Primárnym cieľom tohto projektu je preto zabezpečenie operačnej kontinuity a integrity kľúčových informačných systémov úradu prostredníctvom rozšírenia a skvalitnenia existujúcich zálohovacích kapacít a procesov. Kľúčovým aspektom je implementácia robustných mechanizmov na ochranu zálohovaných dát pred neoprávneným zašifrovaním, čím sa signifikantne zvýši odolnosť úradu voči kybernetickým incidentom a zabezpečí schopnosť rýchlej a spoľahlivej obnovy dát (Disaster Recovery).

Nevyhnutnou súčasťou projektu je tiež dosiahnutie a udržanie plného súladu s legislatívnymi požiadavkami, predovšetkým s Vyhláškou Národného bezpečnostného úradu (NBÚ) č. 362/2018 Z. z. o kybernetickej bezpečnosti a ďalšími relevantnými právnymi predpismi a internými bezpečnostnými štandardmi.

Na dosiahnutie týchto cieľov úrad plánuje obstarať komplexné technologické riešenie. Toto riešenie bude zahŕňať dodávku a implementáciu všetkých nevyhnutných hardvérových komponentov (servery, úložiská, sieťové prvky), softvérových nástrojov (zálohovací softvér, bezpečnostné aplikácie) vrátane viacročných licencií, odbornú inštaláciu, konfiguráciu a integráciu do existujúceho prostredia. Súčasťou dodávky bude garantovaná minimálne 5-ročná záruka a technická podpora na celé riešenie.

Predpokladaná technická životnosť implementovaného riešenia je stanovená na 8 rokov, počas ktorých sa očakáva jeho spoľahlivá prevádzka a plnenie stanovených bezpečnostných a výkonnostných parametrov.

Tabuľka 3 Ciele projektu

3.5  Merateľné ukazovatele (KPI)

Tabuľka 4 Merateľné ukazovatele (KPI)

3.6. Špecifikácia potrieb koncového používateľa

Predmetom projektu je obstaranie špecifického technologického riešenia nevyhnutného pre internú infraštruktúru. Toto riešenie bude fungovať ako kľúčová backendová platforma, s ktorou koncoví používatelia neprídu do priameho styku. Jeho správa a prevádzka budú zabezpečované výhradne špecializovaným technickým personálom. Implementácia a uvedenie do prevádzky však zásadným spôsobom prispejú k zvýšeniu ochrany a stability ostatných informačných systémov organizácie. Práve tieto systémy, využívané používateľmi priamo či nepriamo, sú závislé od spoľahlivého fungovania tejto základnej vrstvy. Investícia do predmetného riešenia tak nepriamo posilní celkovú operačnú odolnosť a kontinuitu služieb poskytovaných koncovým používateľom.

3.7. Detailný opis obmedzení a predpokladov

Vymedzenie rozsahu projektu (Obmedzenia)

Súčasťou projektu je:

• Obstaranie komplexného technologického riešenia pre modernizáciu a rozšírenie zálohovacieho prostredia ÚOOU.
• Dodávka, implementácia a konfigurácia všetkých nevyhnutných hardvérových komponentov, vrátane serverov (riadiacej jednotky), špecializovaného dátového úložiska (úložného klastra) a sieťových prvkov (dva prepínače).
• Dodávka, implementácia a konfigurácia softvérových nástrojov, vrátane pokročilého zálohovacieho softvéru a bezpečnostných aplikácií, spolu s viacročnými licenciami pokrývajúcimi celú kapacitu (špecifikované ako licencie pre 10xVM a 66 používateľov). Softvérové riešenie musí bežať on-premise minimálne na OS Windows Server 2025.
• Zabezpečenie mechanizmov pre ochranu zálohovaných dát pred neoprávneným zašifrovaním (napr. ransomvér), vrátane podpory nemennosti záloh (immutability).
• Odborná inštalácia celého riešenia, jeho konfigurácia a integrácia do existujúceho IT prostredia ÚOOU.
• Zaškolenie administrátorov ÚOOU pre správu a obsluhu nového zálohovacieho riešenia.
• Zabezpečenie minimálne 5-ročnej záruky garantovanej výrobcom na celé dodané riešenie, poskytovanej na mieste inštalácie s reakčnou dobou do 24 hodín (nahlasovanie 24x7), vrátane možnosti uplatnenia záruky priamo u výrobcu, pričom chybné disky sa ponechávajú ÚOOU. Ovládače a firmvér (FW) musia byť dostupné aj po skončení záruky.
• Poskytnutie po-inštalačnej podpory v rozsahu maximálne 1 človekodeň (MD) na mieste a neobmedzenej telefonickej podpory po dobu 2 týždňov od dodania.

Nie je súčasťou projektu:

• Zásadné zmeny v architektúre alebo funkcionalite primárnych produkčných informačných systémov ÚOOU, okrem tých, ktoré sú nevyhnutné pre ich integráciu so zálohovacím riešením.
• Obstaranie a implementácia primárnych produkčných serverov a úložísk (projekt rieši zálohovaciu infraštruktúru).
• Vypracovanie úplne nového dokumentu Plánu obnovy po havárii (DRP) od základov, aj keď dodané riešenie má poskytnúť technologické predpoklady a nástroje pre jeho implementáciu a testovanie. Tvorba a údržba samotného DRP ako strategického dokumentu a súvisiacich procesov ostáva primárne v zodpovednosti ÚOOU.
• Fyzická bezpečnosť dátových centier nad rámec zabezpečenia dodaných zariadení.

 Dôvody pre vymedzenie rozsahu projektu

• Kritický stav súčasnej infraštruktúry: Súčasné zálohovacie riešenia sú limitované, neštandardizované, čiastočne manuálne a nedostatočne chránia pred modernými hrozbami, čo predstavuje vysoké operačné a bezpečnostné riziká.
• Absencia komplexného DRP: Úplná absencia formalizovaného a testovaného Plánu obnovy po havárii (DRP) znemožňuje garantovanú a včasnú obnovu systémov v prípade závažného incidentu.
• Riziko straty dát a prerušenia činnosti: Nerealizácia projektu by znamenala pretrvávanie vysokého rizika trvalej straty dát, dlhodobého prerušenia činnosti úradu a neschopnosti plniť zákonné úlohy.
• Legislatívne požiadavky: Potreba zabezpečiť súlad s platnou legislatívou, najmä Zákonom o kybernetickej bezpečnosti, Vyhláškou NBÚ č. 362/2018 Z. z. a nariadením GDPR v oblasti kontinuity činností a ochrany informačných aktív.
• Zameranie na technologickú obnovu a posilnenie: Projekt sa sústreďuje na dodávku nevyhnutnej technológie a služieb na mitigáciu identifikovaných rizík a zabezpečenie schopnosti obnovy dát a systémov.

Predpoklady pre úspešnú realizáciu projektu

Pre úspešnú realizáciu projektu sa predpokladá splnenie nasledujúcich podmienok:

• Finančné predpoklady:
  • K dispozícii bude schválený rozpočet v plnej výške predpokladanej hodnoty zákazky (PHZ) stanovenej na 289 333,33 EUR bez DPH (355 880 EUR s DPH).
  • Financovanie projektu bude zabezpečené zo štátneho rozpočtu (0EK).
  • Personálne náklady interného projektového tímu ÚOOU nebudú hradené z rozpočtu projektu.
• Technické a realizačné predpoklady:
  • Úspešné zrealizovanie transparentného verejného obstarávania a výber kvalifikovaného dodávateľa schopného dodať komplexné riešenie spĺňajúce všetky technické a funkčné požiadavky.
  • Dodané riešenie bude plne kompatibilné s existujúcou IT infraštruktúrou ÚOOU a umožní efektívnu integráciu.
  • Technické špecifikácie budú finálne aktualizované pred začatím obstarávania s ohľadom na aktuálny technologický vývoj a trhové podmienky.
  • Dodávateľ zabezpečí odbornú inštaláciu, konfiguráciu, zaškolenie administrátorov a následnú technickú podporu a záručný servis v požadovanom rozsahu a kvalite.
  • Riešenie bude implementované a prevádzkované on-premise v dátových centrách ÚOOU.
• Projektové a organizačné predpoklady:
  • Dodržanie projektového harmonogramu, najmä fáz: Prípravná a Iniciačná fáza (05/2025 – 07/2025), Realizačná fáza - Obstarávanie (08/2025 – 10/2025) a Dokončovacia fáza (11/2025 – 12/2025).
  • Efektívna činnosť a dostupnosť projektového tímu a Riadiaceho výboru ÚOOU s jasne definovanými rolami a zodpovednosťami.
  • Poskytnutie potrebnej súčinnosti zo strany relevantných pracovníkov ÚOOU počas celého životného cyklu projektu.
  • Interné kapacity ÚOOU budú pripravené na prevzatie a následnú prevádzku a údržbu nového zálohovacieho systému po ukončení implementácie a po-inštalačnej podpory.
• Legislatívne a súladové predpoklady:
  • Realizácia projektu prispeje k dosiahnutiu súladu s požiadavkami Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a Vyhlášky NBÚ č. 362/2018 Z. z..
  • Projektové riešenie bude v súlade s ostatnou relevantnou legislatívou uvedenou v kapitole 4.
  • Projekt bude realizovaný tak, aby bola dodržaná minimálne súčasná bezpečnostná úroveň systémov.

3.8. Vyhodnotenie rizík a závislostí

Tabuľka 5 Prehľad najzávažnejších rizík a závislostí

3.9. Detailný opis rozpočtu projektu a jeho prínosov

Predmetné je popísané v samostatnej prílohe dokument M-05 Analýza nákladov a prínosov (xls. BC/CBA) v predpísanej štruktúrovanej forme.

3.9.1 Sumarizácia nákladov a prínosov

S ohľadom na dynamický vývoj relevantných technológií a volatilitu cien na trhu bol rozpočet pre tento projekt stanovený zodpovedným a konzervatívnym prístupom. Vychádza z analýzy oficiálnych cenníkových cien výrobcov a predpokladaných cenových úrovní dosiahnuteľných za štandardných trhových podmienok a v súlade s bežnou praxou pri obstarávaní obdobných riešení. Na tomto základe bola celková predpokladaná hodnota zákazky (PHZ) projektu vyčíslená na sumu 289 333,33 EUR bez DPH (355 880 EUR s DPH).

Je dôležité špecifikovať, že personálne náklady interného projektového tímu nie sú súčasťou tohto rozpočtu, nakoľko členovia tímu nebudú na aktivity v rámci projektu čerpať žiadne priame finančné prostriedky z rozpočtu projektu. V dôsledku toho je celý projektový rozpočet alokovaný výhradne na pokrytie nákladov spojených s kľúčovou aktivitou projektu, ktorou je „Nákup technických prostriedkov, programových prostriedkov a služieb“. Týmto je zabezpečené transparentné a účelné viazanie finančných prostriedkov výlučne na obstaranie externých dodávok a služieb nevyhnutných pre realizáciu projektu.

3.9.2 Zdroj financovania

0EK financované zo štátneho rozpočtu

3.10. Harmonogram projektu

Projekt bude realizovaný metódou Waterfall:

Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

3.11. Návrh organizačného zabezpečenia projektu (projektový tím)

Projektoví tím bude hradený z vlastných zdrojov úradu.

Riadiaci výbor (RV) minimálne v nasledovnom zložení:

• Predseda RV
• Biznis vlastník
• Zástupca prevádzky
• Projektový manažér realizátora projektu (Objednávateľa) (PM)

Projektový tím projektu:

• IT analytik/architekt - biznis analytik/kľúčový používateľ
• manažér IT prevádzky
• manažér kybernetickej a informačnej bezpečnosti

4. LEGISLATÍVA

Projekt nemá žiadny legislatívny dopad. Zmena bezpečnostnej architektúry nie je predmetom projektu. Predmetom projektu je dodržanie minimálne súčasnej bezpečnostnej úrovne a vysokej dostupnosti výmenou zariadení. Projekt je zároveň riešený v zmysle minimálne nasledujúcej legislatívy:

• Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe  
• vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy
• Zákon č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
• Zákon č. 357/2015 Z. z. o finančnej kontrole a audite a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
• Zákon č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov
• Zákon č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy
• Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám (zákon o slobode informácií)
• Zákon č. 177/2018 Z. z. o niektorých opatreniach na znižovanie administratívnej záťaže využívaním informačných systémov verejnej správy
• Zákon č.69/2018 Z. z. o kybernetickej bezpečnosti
• Vyhláška č.401/2023 Z. z. o riadení projektov
• Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
• Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov
• Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

5. ARCHITEKTÚRA RIEŠENIA PROJEKTU

5.1. Stanovenie alternatív architektúry riešenia

5.1.1. Stanovenie alternatív v biznisovej vrstve architektúry

Vzhľadom na skutočnosť, že projekt adresuje infraštruktúrnu požiadavku, ktorá je pre ÚOOU kritická, primárne prostredníctvom obstarania hardvéru a softvéru, nebola aplikovaná štandardná metodika definovania alternatív odvodených z biznisovej vrstvy architektúry. Namiesto toho bol zvolený cielený prístup zameraný na vyhodnotenie technických riešení súčasného stavu. Na základe detailnej analýzy problému a rozsahu definovaného v schválenom projektovom zámere boli preto formulované a porovnávané dve konkrétne technologické alternatívy. Tieto varianty predstavovali dva odlišné prístupy k riešeniu identifikovaných potrieb a nedostatkov. Po dôkladnom multikriteriálnom posúdení bola ako najefektívnejšia zvolená Alternatíva č. 2. Toto rozhodnutie bolo podložené faktom, že vybraná alternatíva najkomplexnejšie pokrýva všetky špecifikované procesné a funkčné požiadavky projektu

Obrázok 5 Znázornenie alternatív riešenia v biznis vrstve architektúry

Proces výberu strategických alternatív je realizovaný na úrovni biznisovej vrstvy architektúry s využitím metódy multikriteriálnej analýzy (MCA). Hodnotiace kritériá pre túto analýzu sú formulované na základe analytickej kapitoly "Motivácia", ktorá syntetizuje ciele zainteresovaných strán (stakeholderov), ich špecifické požiadavky a identifikované obmedzenia relevantné pre dosiahnutie týchto cieľov. V rámci MCA môžu byť špecifické kritériá definované ako esenciálne vylučovacie (tzv. KO - Knock-Out) kritériá.

Tieto KO kritériá reprezentujú fundamentálne biznisové požiadavky, ktoré sú považované za absolútne nevyhnutné pre úspešné riešenie identifikovaného problému, a preto musia byť bezvýhradne splnené každou akceptovateľnou alternatívou. Akákoľvek alternatíva, ktorá nespĺňa čo i len jedno definované KO kritérium, je automaticky vyradená z ďalšieho procesu hodnotenia. Je pritom kľúčové zdôrazniť, že KO kritériá musia zachovávať striktnú technologickú neutralitu a nesmú implicitne ani explicitne preferovať žiadnu konkrétnu formu technologickej implementácie.

5.1.2 Stanovenie alternatív v aplikačnej vrstve architektúry

Posudzovanie alternatív na báze aplikačnej vrstvy architektúry nebolo realizované, nakoľko boli špecifikované iba funkčné požiadavky na výsledné komplexné riešenie.

5.1.3 Stanovenie alternatív v technologickej vrstve architektúry

Výber na úrovni technologickej vrstvy architektúry zodpovedá záverom MCA preferujúcim Alternatívu č. 2. Implementácia a prevádzka riešenia bude prebiehať na infraštruktúre v dátových centrách Úradu pre ochranu osobných údajov (ÚOOÚ).

5.2. Náhľad architektúry a popis budúceho cieľového produktu

N/A

 5.3. Biznis vrstva

N/A

5.4.  Aplikačná vrstva

N/A

5.5. Dátová architektúra

N/A

5.6. Technologická architektúra

Predmetom projektu je obstaranie komplexného riešenia pre modernizáciu zastaranej serverovej a úložnej infraštruktúry (clusteru) a obstaranie dvoch nových záložných zdrojov napájania (UPS), čím sa zabezpečí mitigácia identifikovaných bezpečnostných a operačných rizík.

Technické špecifikácie projektu reflektujú aktuálne prevádzkové potreby a dostupné trhové možnosti, pričom definujú minimálne požadované parametre; tieto bude nevyhnutné finálne aktualizovať pred začatím obstarávania s ohľadom na možný technologický vývoj a zmeny trhových podmienok.

Požaduje sa škálovateľná zálohovacie riešenie v prevedení do 19"  dátového rozvádzača, pozostávajúce z „riadiacej jednotky“ a „úložného klastra“, s integrovanými mechanizmami ochrany proti ransomvéru (napr. nemennosť záloh - immutability) a pokročilými dátovými službami. Dodávka musí predstavovať komplexné funkčné riešenie  odbornej inštalácie, konfigurácie a zaškolenia administrátorov. Vrátane všetkého inštalačného, spotrebného materiálu, periférií, software, licencií pre 10xVM a 66 user, pokrývajúc celú kapacitu. Záruka garantovaná výrobcom na celé riešenie musí byť min. 5 rokov na mieste inštalácie s reakciou do 24h s nahlasovaním 24x7, vrátane možnosti uplatnenia si priamo u výrobcu.. Vadné disky sa ponechávajú. Ovládače a FW dostupné aj po skončení záruky. Dodávateľ poskytne po inštalačnú podporu v rámci dodania v rozsahu max. 1 MD na mieste a neobmedzenú telefonickú podporu po dobu 2 týždňov od dodania. Dodávateľ musí vedieť garantovať a zabezpečiť za odplatu, v prípade potreby podporu na diaľku, alebo na mieste certifikovaným technikom pre nasledujúce 2 roky pre prípad nutnosti premastnenia napr. v prípade sťahovania.

Riadiaca jednotka je Multiprocesorový systém zložený z CPU 64 bit, 8 jadier, frekvencia 4 Ghz, UPI rýchlosť 22 GT/s, TDP 160W, 8 kanálov pre operačnú pamäť, podpora ECC pamäti, podpora technológií: TDX, SGX, VT-d, EPT, Operačná pamäť 128 GB (2x64GB) DDR5 6400 MHz Registered DIMM ECC, SDDC, ADDDC, max kapacita 8TB v 32 slotoch.Podpora CXL 2.0, MRDIMM. 2x m.2 950 GB NVMe SSD HW mirror, hot-swap, TCG Opal, 1.0 DWPD na 5 rokou, životnosť v množstve zapísaných dát 1680 TB, rIOPS 515 000, zápis do 15 µsm, podpora self-encrypting a auto-lock. Pre prípad nutnosti systém musí byť pripravený na osadenie 40 ks 2,5" hot-swap.HDD. 2x 2-portový 10/25Gbps ethernet adaptér pre pripojenie k externému prostrediu vratanie 10/25Gbps transcieverov, karty typu LoM / OCP. Podpora RoCEv2, DCB, ETS, 802.1Qau, SR-IOV, vNIC, EVB. Výkon 28M p/s. 1x 2-portový 32Gbps Fibre Channel adaptér pre pripojenie k externému prostrediu vrátanie príslušných transciever modulov. Výkon 1M IOPS/s/ch, podpora FC-NVMe, FEC, F-BLD, NPIV. 4x USB 3.0, EDP, VGA, miniDP, 1x int USB 3.0, 1x RJ45 1GbE mngmt. Podpora pre 10 x PCIe 5.0.slot, 2 x PCIe 5.0.slot OCP. Funkcia Secure Boot, podpora RoT ,PFR. Procesy podpisovania firmvéru v súlade s požiadavkami FIPS a NIST, proaktívne monitorovanie inventára hardvéru na neočakávané zmeny komponentov. Integrovaný TPM 2.0. Súlad s normou NIST SP 800-147B. 1300W, redundantné napájacie zdroje vymeniteľné za chodu typu hot-swap. Chladenie zabezpečené redundantnými hot-swap ventilátormi. Správa a monitoring v režime prísneho zabezpečenia na úrovni CNSA 1.0, vzdialený prístup rozlíšením 1600x1200 pri 75 Hz,23 bit bez ohľadu na stav systému, vzdialený prístup k serveru pomocou klávesnice a myši zo vzdialeného klienta, podpora mapovania medzinárodnej klávesnice, presmerovanie sériovej konzoly cez SSH, protokol výmeny komponentov, obmedzenie prístupu, zobrazenie grafických údajov o spotrebe energie a teplote v reálnom čase a v minulosti, mapovanie súborov ISO a obrazov umiestnených na miestnom klientovi ako virtuálnych diskov na použitie serverom, pripojenie vzdialených súborov ISO a obrazov prostredníctvom HTTPS, SFTP, CIFS a NFS, obmedzenie spotreby, podpora sieťových protokolov: DHCP, DNS, DDNS, HTTP/HTTPS, SNMPv3, SSL, SSH, SMTP, LDAP client, NTP, SSDP, LLDP. Bezpečnosť: Digitálne podpísané aktualizácie firmvéru, CRTM, RBAC, NIST SP 800-131a, RTD/ERTD, PFR, FIPS 140-3, užívatelia lokálny, alebo cez  LDAP/AD. Bezpečné vrátenie firmvéru, detekcia narušenia šasi, povolené len bezpečné, šifrované protokoly, zaznamenávanie zmien konfigurácie a činností servera do denníka auditu, overovanie pomocou verejného kľúča (PK), funkcionality a prístup k aktualizáciám časového obmedzenia. Prediktívna analýza porúch na báze umelej inteligencie - predpovedanie potreby údržby ešte pred tým, ako dôjde k poruche, s možnosťou vizualizácie súhrnných činností na zákazníckom paneli. Automatické otvorenie servisného lístka podpory, pričom využíva technológiu AI na určenie problému a jeho rýchle vyriešenie. Prémiová podpora využívajúca AI na automatické odosielanie dielov a služieb, čím minimalizuje prestoje. Prispôsobiteľné prehľady a reporty generované umelou inteligenciou, platforma riadená predikciami riadenými AI podporuje dynamické škálovanie zdrojov na základe požiadaviek na pracovné zaťaženie. Pokročilé analytické funkcie AI poskytujúce prehľad o výkone, využití zdrojov a bezpečnostných hrozbách, ktoré umožňujú odhaliť anomálie a navrhnúť optimalizácie v reálnom čase. Možnosti NLP umožňujúce správcom komunikovať pomocou hlasových príkazov alebo textových s platformou. Architektúra nulovej dôveryhodnosti a vyžadujúce overovanie pomocou aplikácie OTP pre všetkých používateľov, aby bolo možné zabezpečiť podporu. Riadenie prístupu na základe rolí.

Pokročilí dátový úložný systém navrhnutý pre vysokú spoľahlivosť minimálne z dvoch zariadení spĺňajúce nasledovné požiadavky: Podpora dvojitej a trojitej parity, ochrana pred zlyhaním dvoch až troch diskov. Dáta musia byť rozkladané  na viacerých diskoch v rámci skupiny diskov. Okrem dát na disky musia byť úkladné a distribuované naprieč skupiny diskov aj dve, alebo tri nezávislé paritné informácie, ktoré sa počítajú z uložených dát a sú určené pre rekonštrukciu dát pri zlyhaní viacerých diskov. 128 GB RAM - 64 GB /kontroler. 2TB NVMe Flash Cache - 1 TB /kontroler. 16 GB battery-backed NVRAM - 8 GB/kontroler, pamäť zrkadlena medzi kontrolermi. Možnosť klastrovania radičov vo vysokej dostupnosti,  12 párov kontrolerov v režime active-active. 2x 25Gb Ethernet, portov na kazdy radič vratanie min 2x 25Gbps SFP28 transcieverov. 2x 32Gb FibreChannel portov na každý radič vrátanie min 2x 32Gbps transcieverov. 49.8TiB čista kapacita bez kompresie a deduplikácie pomocou minimálne 18 diskov typu NVMe. Podpora NFS, CIFS/SMB, S3, iSCSI, FC, NVMe/FC, Thin provisioning, kompresie dát, kompakcie dát, geduplikacie, snapshotov, balanced placement, dynamického rozširovania kapacity, adaptivneho QoS, NVMe cez FC, NVMe cez TCP. Podpora technológie replikácie dát, ktorá umožňuje efektívne a bezpečné zálohovanie a obnovu dát medzi dvoma rovnakými diskovými poľami cez Ethernet sieť. Škálovateľný, vysoko výkonný kontajner, ktorý rozdeľuje pracovné zaťaženie medzi viaceré zložené zväzky, dedikovaný pre rozsiahle a metadátovo náročné aplikácie. Funkcia, umožňujúca rýchle obnovenie celého objemu alebo jednotlivých súborov zo snapshotu. Natívna ochrana proti ransomvéru. Autentifikácia cez SSL, SSH, RBAC, LDAP. Chladenie zabezpečené s plne redundantnými ventilátormi. 900W napajacie zdroje, plne redundantne v hot swap prevedeni.

Dva prepínače ktoré sú potrebnou súčasťou riešenia musia spĺňať nasledovné požiadavky: 24  portov s podporou 32Gbps SFP+, z toho 16 osadených. Automatická detekcia rýchlosti portov 8, 16, 32 a 64 Gb/s s rýchlosťami liniek 8,5 GB/s, full duplex, 14,025 Gb/s, full duplex, 28,05 Gb/s full duplex, 57,8 Gb/s full duplex. Maximálna latencia max. 460 ns. BB Credit Recovery;  Advanced Zoning (Default Zoning, Port/WWN Zoning, Peer Zoning); Congestion Signaling; Dynamic Path Selection (DPS); Extended Fabrics; Fabric Performance Impact Notification (FPIN); Fabric Vision; FDMI; FICON CUP; Flow Vision; F_Port Trunking; FSPF; Integrated Routing; ISL Trunking; Management Server; NPIV; NTP v3; Port Decommission/Fencing; QoS; Registered State Change Notification (RSCN); Name Server; Slow Drain Device Quarantine (SDDQ); Target-Driven Zoning; Traffic Optimizer; Virtual Fabrics (Logical Switch, Logical Fabric); VMID+ a AppServer.

Riešenie musí bežať on premise minimálne na OS Windows Server 2025 a komplexnom a integrovanom softvérové riešení, ktoré poskytuje ucelenú platformu pre ochranu, správu a riadenie kybernetickej odolnosti dátových aktív v dynamických a heterogénnych IT prostrediach. Toto riešenie ponúka kompletný súbor pokročilých technológií a funkcionalít charakteristických pre najvyššie úrovne enterprise platforiem, navrhnutých na zaistenie vysokej dostupnosti, pokročilej kybernetickej odolnosti a rýchlej, spoľahlivej obnovy kritických obchodných dát. Cieľom riešenia je efektívne reagovať na súčasné aj budúce výzvy v oblasti dátového manažmentu a bezpečnosti.

Riešenie má tieto kľúčové atribúty a funkcionality:

1.         Široká Kompatibilita a Flexibilita Platformy Riešenia

Rozsiahla podpora workloadov: Riešenie poskytuje jednotnú ochranu pre mimoriadne široké spektrum dátových zdrojov s hlbokou integráciou pre virtualizované prostredia (podpora viacerých hypervízorov vrátane VMware vSphere, Microsoft Hyper-V, Nutanix AHV, Oracle Linux Virtualization Manager, Red Hat Virtualization, Proxmox VE), fyzické serverové systémy (Windows, Linux, macOS, Unix), cloudové prostredia (AWS, Microsoft Azure, Google Cloud), moderné kontajnerové aplikácie (Kubernetes) a kľúčové podnikové a SaaS aplikácie (ako Microsoft Exchange, SharePoint, SQL Server, Active Directory, Oracle Databases, SAP HANA, MongoDB, Salesforce a ďalšie) s často bezagentovou implementáciou a pokročilým spracovaním s vedomím aplikácií.

Flexibilita úložiska a cieľov: Schopnosť riešenia ukladať záložné dáta na rôznorodé typy úložných médií (disk, páska, široká škála objektových úložísk vrátane S3-kompatibilných on-premises a vo verejných cloch) s pokročilou optimalizáciou využitia kapacity (deduplikácia, kompresia) a podporou integrácie s hardvérovými funkcionalitami úložných systémov pre akcelerované zálohovanie a obnovu.

2.         Robustná Dátová Bezpečnosť a Kybernetická Odolnosť na Pokročilej Úrovni

Vstavané mechanizmy kybernetickej odolnosti: Implementácia pokročilých bezpečnostných prvkov priamo v rámci životného cyklu ochrany dát. Zahrňuje silné šifrovanie dát počas prenosu a v kľude na úložisku, a širokú podporu pre nemennosť záložných dát (Immutability) na rôznych typoch úložiska (vrátane Hardened Repository a objektového úložiska) ako zásadnú ochranu pred ransomvérom a neoprávnenými zmenami. Inteligentná detekcia a analýza hrozieb v zálohách: Využívanie pokročilých analytických algoritmov a skenovacích techník (vrátane AI-riadených mechanizmov detekcie malvéru, skenovania pomocou YARA pravidiel a detekcie indikátorov kompromitácie - IoC) priamo v rámci záložných dát na identifikáciu anomálií, vzorov správania a špecifických signatúr malvéru ešte pred pokusom o obnovu. Integrácia so bezpečnostným ekosystémom: Rozhrania a funkcionality pre integráciu s externými bezpečnostnými monitorovacími systémami (SIEM, SOAR, EDR, systémy pre riadenie hrozieb) na automatizovanú notifikáciu o detekovaných incidentoch a riadené reakcie. Riešenie môže slúžiť ako centralizovaný bod pre prehľad o bezpečnostnom stave záloh. Zabezpečený prístup a overená obnova: Podpora viacfaktorovej autentifikácie (MFA) a robustné riadenie prístupu na základe rolí (RBAC). Funkcionalita Secure Restore umožňuje skenovať zálohy na prítomnosť malvéru v izolovanom prostredí pred vykonaním obnovy do produkčného prostredia.

3.         Pokročilá Replikácia a Orchestrácia Obnovy po Havárii (Disaster Recovery - DR)

Repliácia virtualizovaných systémov: Tvorba a údržba replík virtuálnych strojov na sekundárnej lokalite pre účely rýchleho prechodu prevádzky (failover). Podporuje rôzne režimy replikácie vrátane kontinuálnej ochrany dát (CDP) pre minimalizáciu RPO takmer na nulu pre najkritickejšie workloady. Komplexná orchestrácia plánov obnovy po havárii: Riešenie poskytuje sofistikované nástroje pre definíciu, automatizáciu, riadené vykonávanie a testovanie komplexných plánov DR pre viacvrstvové aplikácie a IT služby. Zahrňuje automatizované testovacie cykly pre validáciu obnoviteľnosti, dynamickú dokumentáciu plánov a reportovanie pre účely súladu (GRC Audit Reporting, Compliance Documentation). Riadený Failover a Failback: Procedúry pre riadené prepnutie produkčnej záťaže na repliky v prípade výpadku primárnej lokality a mechanizmy pre bezpečný a riadený návrat prevádzky po odstránení havarijného stavu s minimálnym prerušením.

4.         Centralizovaná Správa, Proaktívne Monitorovanie a Analytika

Jednotné riadenie a dohľad: Centralizovaná konzola pre efektívnu správu, konfiguráciu a dohľad nad všetkými operáciami dátovej ochrany naprieč celým IT prostredím. Proaktívne monitorovanie a alarmy: Systém aktívneho monitorovania výkonu, stavu a konfigurácie infraštruktúry a úloh v reálnom čase s detailnými upozorneniami na chyby, varovania, anomálie alebo bezpečnostné udalosti. Detailný Reporting a Analytické nástroje: Generovanie rozsiahlych a konfigurovateľných reportov o stave ochrany dát, úspešnosti a trvaní úloh, využití úložiska a metrikách RTO/RPO a súlade s politikami a predpismi. Analytické nástroje poskytujú prehľady o historickej prevádzke, trendoch a podporu pre kapacitné plánovanie a optimalizáciu zdrojov. Zahrňuje aj pokročilé funkcie ako AI-riadená asistencia a prehľady pre podporu rozhodovania a identifikáciu medzier v ochrane. WAN Akcelerácia: Technológie na optimalizáciu prenosu zálohových dát do vzdialených lokalít alebo cloudu, čím sa zvyšuje rýchlosť a znižujú požiadavky na šírku pásma. API pre integráciu: Riešenie poskytuje robustné API pre integráciu s inými IT nástrojmi a automatizačnými platformami v rámci širšieho IT ekosystému.

Toto komplexné softvérové riešenie poskytuje technicky vyspelú sadu nástrojov a funkcionalít na úrovni enterprise, zameraných na zabezpečenie najvyššej možnej úrovne dostupnosti, obnoviteľnosti a kybernetickej odolnosti dátových aktív v súčasných zložitých IT prostrediach.

5.7. Bezpečnostná architektúra

N/A

5.8. Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,

Projekt nemá žiadny legislatívny dopad. Zmena bezpečnostnej architektúry nie je predmetom projektu. Predmetom projektu je dodržanie minimálne súčasnej bezpečnostnej úrovne a vysokej dostupnosti výmenou zariadení. Projekt je zároveň riešený v zmysle minimálne nasledujúcej legislatívy:

• Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe
• Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti
• Vyhláška 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
• Zákon č. 45/2011 Z.z. o kritickej infraštruktúre
• vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy
• vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
• vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov
• Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
• Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Okrem legislatívnych nariadení môžete pre stanovenie požiadaviek na riešenie bezpečnosti v projekte použiť metodiky CSIRT: https://csirt.sk/metodiky-a-hardening.html.

6. PREVÁDZKA A ÚDRŽBA VÝSTUPOV PROJEKTU

Prevádzka a údržba bude zabezpečená prostredníctvom interných kapacít úradu.

6.1 Požiadavky na ľudské zdroje potrebné pre zabezpečenie prevádzky

Riadiaci výbor (RV) minimálne v nasledovnom zložení:

• Predseda RV
• Biznis vlastník
• Zástupca prevádzky
• Projektový manažér realizátora projektu (Objednávateľa) (PM)

Projektový tím projektu:

• IT analytik/architekt - biznis analytik/kľúčový používateľ
• manažér IT prevádzky
• manažér kybernetickej a informačnej bezpečnosti

Kľúčový používateľ:

Projektový manažér:

Biznis vlastník:

IT architekt/IT analytik:

7. OPIS IMPLEMENTÁCIE PROJEKTU A PREBERANIA VÝSTUPOV PROJEKTU

Požaduje sa komplexné riešenie virtualizačnej platformy v rackovom prevedení, pozostávajúca z serverov konfigurovaných v HA a úložiska, s integrovanými mechanizmami ochrany proti ransomvéru (napr. nemennosť záloh - immutability) a pokročilými dátovými službami, ochranou voči výpadkom el. energie. Dodávka musí predstavovať komplexné funkčné riešenie  odbornej inštalácie, konfigurácie a zaškolenia administrátorov.

Preberanie dodávky bude prebiehať na základe preberacích protokolov.

8. ODKAZY

N/A

9. PRÍLOHY

Príloha 1: Zoznam rizík a závislostí (Excel)