Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál smlouvy stáhnete odsud
EVROPSKÁ UNIE MINISTERSTVO Evropský fond pro regionální rozvoj PRO MÍSTNÍ Integrovaný regionální operační program ROZVOJ ČR INTEGROVANÝ REGIONÁ LNÍ OPERAČNÍ PROGRAM Prokázání a kontrola naplnění standardu konektivity ve výzvách IROP (infrastruktura základních a středních škol) verze k 30. 6. 2017 Tento dokument definuje princip ověření a kontroly naplnění standardu konektivity v projektech IROP SC 2.4 zaměřených na zvýšení kvality a dostupnosti infrastruktury pro vzdělá vá ní a celoživotní učení v oblasti zajištění vnitřní konektivity škol a připojení k internetu - rozvoj vnitřní konektivity v prostorá ch škol a školských zařízení a připojení k internetu. Dokument nemá žá dnou prá vní zá vaznost, a byl vydá n jako informativní příručka pro žadatele a příjemce v SC 2.4 IROP. Kontrola parametrů konektivity je relevantní pouze v případě, když v rámci projektu na podporu infrastruktury základních, středních nebo vyšších odborných škol je tato aktivita realizována. Obecně příjemce prokazuje naplnění standardu konektivity v rá mci Zá věrečné zprá vy o realizaci projektu (ZZoR). Jakýkoliv projekt mů že být ná sledně zkontrolován administrativním ověřením nebo kontrolou na místě pracovníky CRR nebo Ř ídicího orgá nu IROP. Výčty příkladů aplikace ověření na místě jsou demonstrativní. V případě nenaplnění všech bodů standardu konektivity hrozí odebrá ní celé dotace na projekt! Všechny povinné body standardu konektivity je nutné plnit po celou dobu udržitelnosti projektu. Strana 1 z 10 UPOZORNĚNÍ: Do MS2014+ se vklá dá ZZoR ve formě textového pole, ovšem je možné přiklá dat přílohy. V tomto směru je doporučeno, aby pro doložení naplnění jednotlivých bodů standardu konektivity byl použit systém příloh, kdy „pá teřní příloha" bude strukturovaně popisovat naplnění jednotlivých bodů , a z této přílohy pak bude odkazová no na další jednotlivé přílohy (prinstcreeny apod.J prokazující naplnění jednotlivých bodů standardu konektivity. Samozřejmě je na žadateli, jak tento systém pojme - je samozřejmě možné z textu ZZoR odkazovat na jednotlivé čá sti jediné přílohy, kde bude vše potřebné zahrnuto (např. podrobná komplexní dokumentace k vnitřní konektivitě školy). U příloh žadatel vždy uvede, k jakému datu byl daný stav zachycen. Pro ověření některých parametrů standardu bude využívá n ná stroj na adrese www.standardkonektivity.cz s těmito funkcionalitami: 1. Rychlost, kvalita a typ připojení • Podpora IPv4: ANO/NE • IPv4 adresa • Podpora IPv6: ANO/NE • IPv6 adresa • DNS SEC RSA: ANO/NE • DNSSEC ECDSA: ANO/NE • Připojeno do sítě FÉ NIX1: ANO/NE • Down-load: hodnota • Up-load: hodnota • Rozdíl Up-load a Down-rychlostí • Ping 2. Podpora služeb • Zadá ní URL (např. www.zsjizni.cz) • IPv4 DNS zá znam (A): ANO/NE • IPvó DNS zá znam (AAAA): ANO / NE • Zabezpečení domény DNSSEC: ANO / NE • HTTPS: ANO/NE Aby škola splň ovala standard konektivity jako celek, je potřeba u všech sledovaných dílčích parametrů s možnostmi ANO/NE dosá hnout hodnoty ANO ( ), kromě parametru „Připojeno do sítě FÉ NIX“, který mů že být vyhodnocen negativně, a přesto projekt splní standard konektivity (viz pozná mka pod čarou). ¹ V rámci nástroje je ověřováno pouze připojení prostřednictvím ISP zapojeného do projektu FÉNIX. Negativní vyhodnocení tohoto kritéria však automaticky nemusí znamenat nesplnění podmínek Standardu konektivity škol, který umožňuje splnění podmínek i bez přijetí za člena projektu FÉNIX. Strana 2 z 10 MANUÁ L KE ZPŮ SOBU OVĚ Ř ENÍ JEDNOTLIVÝ CH BODŮ STANDARDU Zapracování zásad využívání ICT a přístupu ksíti do vnitřních předpisů školy, v případě, že je tato aktivita realizována v rámci projektu IROP. Proká zá ní: • příjemce uvede, kdy a jakým způ sobem byly zá sady využívá ní ICT a přístupu k síti zapracová ny do vnitřních předpisů školy. Příjemce povinně doloží k ZZoR příslušnou pasá ž/směrnici. 1. Konektivita školy k veřejnému internetu (WAN) Obecný popis: pro zá kladní způ sobilost projektu naplň ujícího opatření „vnitřní konektivita škol" musí příslušná škola zajistit kvalitní připojení ke službá m veřejného internetu, a to i v případě, že vybavení pro připojení k internetu není předmětem projektové žá dosti. Za toto připojení je považová no zajištění konektivity splň ující ná sledující minimá lní parametry nejpozději ke dni ukončení realizace projektu: Šíře pásma (bandwidth) odpovídající 128kbps/student2 nebo 512kbps/počítač3 nebo taková šířka pásma, která neomezuje provoz zařízení a uživatelů4 Proká zá ní: • příjemce si ověří šíři pá sma ná strojem na webu www.standardkonektivity.cz a přiloží export výsledku k ZZoR, nebo • smlouva s providerem musí být nastavena tak, aby poskytovaná šíře pá sma neomezovala běžný školní provoz, příjemce přiloží smlouvu k ZZoR, nebo • příjemce v ZZoR (kapitola 6. Informace o zajištění provozu / ú držby výstupů projektu po jeho ukončení) slovně popíše a vypočítá , že v rámci jeho parametrů (počet studentů , počet počítačů , počet zařízení přistupujících k internetu) dané připojení nijak neomezuje provoz zařízení a uživatelů Symetrické připojení bez agregace a omezení (FUP) Proká zá ní: • příjemce ověří ná strojem na webu www.standardkonektivity.cz a přiloží export výsledku k ZZoR Vlastní nebo poskytovatelem přidělené veřejné IPv4 i IPv6 adresy Proká zá ní: 2 . , . 3Počet studentů je definovaný celkový počet studentů školy Metrika vhodná typicky pro školy bez mobilních popř BYOD zařízení 4 Definováno jako saturace šířky pásma připojení k veřejnému internetu, která ani ve špičkách nedosáhne a to ani krátkodobě 100% Strana 3 z 10 • příjemce ověří ná strojem na webu www.standardkonektivity.cz a přiloží export výsledku k ZZoR, společně s doprovodným XML otiskem databá ze RIPE Plná podpora připojení do veřejného internetu přes protokol IPv4 i IPv6 (dual- stack) Proká zá ní: • příjemce ověří ná strojem na webu www.standardkonektivity.cz a přiloží export výsledku k ZZoR Validující DNSSEC resolver na straně školy Proká zá ní: • příjemce ověří ná strojem na webu www.standardkonektivity.cz a přiloží export výsledku k ZZoR Ověření na místě: • Kontrolor se připojí zařízením do Wifi sítě a připojí se na strá nky www.standardkonektivity.cz. Podpora monitoringu a logování NAT (RFC 2663) provozu za účelem dohledatelnosti veřejného provozu k vnitřnímu zařízení Proká zá ní: • příjemce přiloží k ZZoR zá znam logu, a popíše, jaký mechanismus logová ní používá (jak loguje a jak dlouho uklá dá zá znamy] Ověření na místě: • v případě prověření na místě (pokud to v ZZoR nebude prů kazné], bude přivolá n technik a kontrolor ověří, že příjemce uklá dá logy po deklarovanou dobu (namá tkový zá znam logu] Logování přístupu uživatelů do sítě umožňující dohledání vazeb IP adresa - čas - uživatel, a to včetně ošetření v případě sdílených učeben (pracovních stanic apod.) Proká zá ní: • příjemce přiloží k ZZoR zá znam logu DHCP, a popíše, jaký mechanismus logová ní používá (jak loguje a jak dlouho uklá dá zá znamy] Ověření na místě: Strana 4 z 10 • v případě prověření na místě (pokud to v ZZoR nebude prů kazné), bude přivolá n technik a kontrolor ověří, že příjemce uklá dá DHCP logy po deklarovanou dobu (namá tkový zá znam logu - kontrola, kam který uživatel přistupoval v určitý časový okamž ik) Síťové zařízení podporující rate limiting, antispoofing, ACL/xACL, rozhraní musí obsahovat všechny potřebné komponenty a licence pro zajištění řádné funkcionality Proká zá ní: • příjemce přiloží buď smlouvu, ze které bude patrná podpora rate limitingu, antispoofingu a ACL/xACL, nebo datasheet zařízení, ze kterého to bude patrné • příjemce dále slovně obhá jí, že rozhraní obsahuje všechny potřebné komponenty a licence a popíše jaké Zařízení umožňující kontrolu http a https provozu, kategorizaci a selekci obsahu dostupného pro vybrané skupiny uživatel (učitel, žák), blokování nežádoucích kategorií obsahu, antivirovou kontrolou stahovaného obsahu Proká zá ní: • příjemce popíše, jakým způ sobem je realizová no - jak kategorizuje, jak selektuje apod., u antiviru popíše, jak ho používá a jak často ho a jakým způ sobem aktualizuje. Zá roveň doloží prinstcreen nastavení blokovaných adres v zařízení Ověření na místě: • kontrolor mů že chtít na požá dá ní zablokovat ad hoc URL Možnost snadné/automatické rekonjigurace ACL/FW na základě identifikovaných útoků Proká zá ní: • příjemce popíše, jakým způ sobem je realizová no Ověření na místě: • kontrolor mů že chtít na požá dá ní blokaci určitého rozsahu Podpora DNSSEC a lPv6 protokolů pro služby školy dostupné online Proká zá ní: • příjemce ověří ná strojem na webu www.standardkonektivitv.cz a přiloží export výsledku k ZzoR Strana 5 z 10 Zapojení poskytovatele připojení v bezpečnostním projektu FÉNIX resp. veřejné adresy využívané školou jsou zapojeny do infrastruktury FÉNIX5 nebo ISP splňuje alespoň technické standardy definované projektem FÉNIX - viz http://nix.cz/cs/file/NIX PRAVIDLA FÉNIX Proká zá ní: • příjemce ověří ná strojem na webu www.standardkonektivitv.cz a přiloží export výsledku k ZZoR, nebo • příjemce doloží čestným prohlá šením, že, jeho poskytovatel je členem FÉ NIX, nebo příjemce doloží čestným prohlá šením, že jeho poskytovatel jej propaguje do projektu FÉ NIX prostřednictvím jiného operá tora -člena FÉ NIX U software a firmware je vyžadována dostupnost aktualizací, zejména bezpečnostního charakteru po celou dobu udržitelnosti projektu. Proká zá ní: • příjemce popíše, jak tento bod zajišťuje (smlouva, zaplacené aktualizace, komunitní open source SW nebo další relevantní dokument, ve kterém je to ošetřeno) 2. Vnitřní konektivita školy (LAN) Obecný popis: vnitřní síťové prostředí školy pořizované v rá mci projektu mů že být řešeno pevnou sítí, bezdrá tovou sítí, nebo kombinací těchto síťových technologií. Připojením je nutné pokrýt prostory dotčené hlavním projektem, rovněž je možné pokrýt ostatní prostory školy, včetně chodeb, jídelen, interná tu a dalších školských zařízení. Potřebnost a ú čelnost takového pokrytí musí být zdů vodněna ve studii proveditelnosti. Povinné minimální bezpečnostní parametry projektu (bez ohledu na typ síťového připojení): • Monitorování IP (IPv4 a IPv6) datových toků formou exportu provozních informací o přenesených datech včlenění minimálně zdrojová/cílová IP adresa, zdrojový/cílový TCP/UDP port (či ICMP typ) - RFC3954 nebo ekvivalent (např. NetFlow) - systém pro monitorování a sběr provozně- lokačních údajů minimálně na úrovni rozhraní WAN, ideálně i LAN) a to bez negativních vlivů na zátěž a propustnost zařízení s kapacitou pro uchování dat po dobu minimálně 2 měsíců • Povinné řešení systému správy uživatelů (Identity Management), tj. centrální databáze identit (LDAP, AD, apod.) a její využití pro autentizaci uživatelů 5V případě, kdy má ISP přidělené IP adresy od člena FÉNIX, musí být součástí projektu prohlášení ISP, ze kterého bude patrné, že příslušné adresy jsou v rámci FÉNIX propagovány. V případě, kdy má ISP vlastní ASn a není přímý člen FÉNIX, musí být součástí projektu prohlášení ISP, ze kterého bude patrné, že příslušné ASn propaguje do FÉNIX na základě smluvního vztahu některý ze členů FÉNIX. Strana 6 z 10 (žáci i učitelé) za účelem bezpečného a auditovatelného přístupu k síti, resp. síťovým službám. • logování přístupu uživatelů do sítě umožňující dohledání vazeb IP adresa - čas - uživatel Proká zá ní: • Příjemce detailně popíše, jak je tento bod standardu naplň ová n Ověření na místě: • Kontrolor mů že ad hoc ověřit výpis konkrétního provozu (zachycení pohybu uživatele na určité adrese v určitém čase] V oblasti pevné LAN musí projekt splňovat následující minimální parametry: • Minimální konektivita stanic a dalších koncových zařízení lOOMbit/s fullduplex • Strukturovaná kabeláž pro připojení pracovních stanic a dalších zařízení (tiskárny, servery, AP,...) • Technická specifikace řešení LAN, žadatel popíše co používá • Minimální konektivita serverů, aktivních síťových prvků, bezpečnostních zařízení, NAS lGbit/s fullduplex • Páteřní rozvody mezi budovami v areálu realizovány prostřednictvím optických nebo metalických vláken • Aktivní prvky (centrální směrovače a centrální přepínače; L2 i L3)6 s neblokující architekturou přepínacího subsystému (wire speed), podpora 802.IQ VLÁN, podpora 802.IX, rádius basedMACautentizace,... Proká zá ní: • Příjemce detailně popíše technickou specifikaci řešení LAN, co všechno využívá , a ideá lně doloží smlouvami nebo datasheety Ověření na místě: • Kontrola infrastruktury, popř. datasheetů V případě řešení bezdrátových sítí (wifi) pak musí projekt naplňovat následující minimální parametry: Podpora mechanismu izolace klientů Proká zá ní: 6Požadavek se týká prvků, přes které je veden vešketý provoz, resp. jde o centrální prvky. Podružné přepínače (chodbové, učebnové) musí splňovat pouze požadavek na neblokující architekturou přepínacího subsystému Strana 7 z 10 • Příjemce detailně popíše technickou specifikaci řešení, jak je to nakonfigurová no a ideá lně doloží smlouvami nebo datasheety Ověření na místě: • Kontrolor se připojí 2 zařízeními do wifi sítě, mezi zařízeními by neměl projít žá dný provoz Návrh topologie wifi sítě a analýza pokrytí signálem počítající s konzistentní Wi-Fi službou v příslušných prostorách školy a s kapacitami pro provoz mobilních zařízení pedagogického sboru i studentů Proká zá ní: • Příjemce detailně popíše technickou specifikaci řešení, doloží dokumentaci provedení (mapa, model pokrytí) Centralizovaná architektura správy wifi sítě (centrální řadič, centrální management, tzv. thin access pointy, popř. alespoň centrální řešení distribuce konfigurací s podporou automatického rozložení zátěže klientů, roamingu mezi spravované access pointy a automatickým laděním kanálů a síly signálu včetně detekce a reakce na non-Wi-Fi rušení) Proká zá ní: • Příjemce detailně popíše technickou specifikaci řešení, doloží technickou specifikaci ř eš ení Podpora protokolu IEEE 802.IX resp. ověřování uživatelů oproti databázi účtů přes protokol rádius (např. LDAP, MS AD ...) Proká zá ní: • Příjemce detailně popíše technickou specifikaci řešení a doloží datasheety Podpora standardu IEEE 802. lln a případně novějších (ac, ad), současná funkce AP v pásmu 2,4 a 5 GHz Proká zá ní: • Příjemce detailně popíše technickou specifikaci řešení a doloží datasheety Strana 8 z 10 Minimálně pasivní zapojení7 do federovaného systému eduroam (www.eduroam.cz). Optimálně aktivní zapojení do systému eduroam, pro zajištění národní i mezinárodní mobility žáků a učitelů. Proká zá ní: • Příjemce doloží potvrzení od CESNET, že u něj funguje min. pasivní zapojení do eduroam,kontaktní adresa: eduioam-IROP@cesnet.cz Ověření na místě: • Kontrolor se svým eduroam ú čtem připojí do sítě příjemce a ověří, že se připojí např. na strá nku www.standardkonektivity.cz. Podpora WPA2, PoE, multi SS1D, ACL pro jiltrováníprovozu Proká zá ní: • Příjemce detailně popíše technickou specifikaci řešení a doloží datasheety 3. Další bezpečnostní prvky Obecný popis: v rá mci projektů je možné realizovat další aktivity naplň ující principy bezpečného využívá ní 1T prostředků . Pokud příjemce v rámci projektu uplatnil způ sobilé výdaje na některé z bodů uvedených níže, je třeba proká zat v ZZoR ná sledující: Identity management systém (1DM) - systém správy identit, řízení životního cyklu uživatelů, integrace do provozních a bezpečnostních systémů Proká zá ní: • Příjemce detailně popíše systém IDM, počet identit, a pro co všechno je to využívá no, jak je řízen životní cyklus identity Centralizovaný autentizační systém napojení na systém správy identit (např. na bázi LDAP, AD, studijní a personální agendy apod.) Řešení dočasných přístupů (hosté, brigádníci, praktikanti, zákonní zástupci, externí subjekty, blokace wifi v určitém čase) 7Pasivním zapojením se rozumí poskytování služeb sítě eduroam na úrovni poskytovatele zdrojů — viz. hily: uuu.eduroam.cz media es cz roam ijolicv v2.tl.pdf Strana 9 z 10 Federované služby autentizace a autorizace (včetně aktivního zapojení do národních vzdělávacích federací a zpřístupnění jejich služeb) Systémy nebo zařízení pro sledování infrastruktury sítě a sledování IP provozu sítě (umožňujícífunkce RFC 3954 nebo ekvivalent (NetFlow)) Systémy schopné detekovat nelegitimní provoz nebo síťové anomálie Systémy vyhodnocování a správy událostí a bezpečnostních incidentů (log management, incident management) Systémy pro monitorování funkčnosti síťové a serverové infrastruktury (např. Nagios /Icinga) Systémy uživatelské podpory naplňující principy ITIL (HelpDesk, ServiceDesk) Nástroje pro centrální správu a audit ICT prostředků Systémy zálohování a obnovy dat serverové infrastruktury Systémy pro antivirovou ochranu zařízení, antispamovou ochranu poštovních serverů Zabezpečení přístupových protokolů (SSL/TLS) služeb (např. emailové služby, webové servery, studijní a ekonomické agendy) atp. Podpora vzdáleného přístupu (VPN) Proká zá ní: • Příjemce detailně popíše implementaci a design daného systému / ná stroje, doloží datasheety 1HDOPORUČENÍ: ideální je mít vše ohledně konektivity podrobně zdokumentováno a pak z jednotlivých bodů jen odkazovat na dokumentaci, přiloženou k ZZoR!!! Strana 10 z 10