Haridus- ja Teadusministeeriumi ning haldusala IKT baastaristu ja baasteenuste miinimumnõuded

Haridus- ja Teadusministeeriumi haldusala IKT baastaristu ja baasteenuste konsolideerimisega seotud algatused, mis hõlmavad nii vajaduste kaardistamist kui ühtsete lahenduste hankimist.
Vasta
Milana
Postitusi:56
Liitunud:E Nov 12, 2018 2:14 pm
Haridus- ja Teadusministeeriumi ning haldusala IKT baastaristu ja baasteenuste miinimumnõuded

Postitus Postitas Milana » T Nov 05, 2019 2:31 pm

Haridus- ja Teadusministeeriumi ning haldusala IKT baastaristu ja baasteenuste miinimumnõuded

1. Üldosa
Info ja kommunikatsioonitehnoloogia (edaspidi IKT) baastaristu ja baasteenuste miinimumnõuded (edaspidi miinimumnõuded) kehtestatakse eesmärgiga tagada Haridus- ja Teadusministeeriumi (edaspidi ministeerium) haldusala asutuste IKT-taristu ja sellega seotud teenuste kuluefektiivne ja nõuetekohane toimimine ning arendamine.
Miinimumnõuded kehtestatakse kooskõlas Haridus- ja Teadusministeeriumi ning haldusala infotehnoloogia arenduspõhimõtetega 2016–2019. Nõuded rakenduvad ministeeriumi: 1) valitsemisalas tegutsevatele valitsusasutustele; 2) hallatavatele riigiasutustele; 3) hallatavatele teadus- ja arendusasutustele; 4) hallatavatele rakenduskõrgkoolidele, kutseõppeasutustele, hariduslike erivajadustega õpilaste koolidele ja gümnaasiumitele; 5) ministeeriumi osalusel asutatud sihtasutustele vastavalt nendega lepingus kokkulepitule.

1.1. Üldised põhimõtted
1. Asutuse nõuetekohaseks toimimiseks vajalike IKT baastaristu ja baasteenuste tingimuste väljaselgitamise, toimimise, arendamise ja käesolevatele põhimõtetele vastamise eest vastutab asutuse juht. Kõiki käesolevas dokumendis loetletud teenuseid võib pakkuda asutus ise või tema lepinguline partner.
2. Hariduse Infotehnoloogia Sihtasutuse ülesandeks on vastavalt tema põhikirjale ja temaga lepingus kokkulepitule IKT taristu ja baasteenustega seotud ühiste haldusala üleste hangete korraldamine käesolevate miinimumnõuete täitmiseks, asutuste nõustamine IKT taristu või baasteenustega seotud teemadel, asutuste IKT taristu ja baasteenustega seotud andmete kogumine baasteenuste paremaks korraldamiseks, asutuste vahelise IKT taristu alase koostöö korraldamine ning baasteenuste osutamise korraldamine ministeeriumiga kokkulepitud ulatuses.
3. Igas asutuses peavad olema täidetud IKT juhi ja infoturbejuhi funktsioonid.
4. Kõik kasutatavad IKT teenused ja lahendused peavad olema asja- ja ajakohaselt dokumenteeritud, monitooritud ja hallatud. Iga teenuse kohta peab olema asutuses kokku lepitud selle osutamise tingimused.
5. Teenuste osutamiseks kasutatavad uued seadmed (seadmed, mis ostetakse pärast miinimumnõuete kehtestamist selle tingimustele vastavate teenuste osutamiseks) peavad olema kaetud hooldusteenuse ja vastava lepinguga.

6. Asutusel peab olema kehtiva arengukavaga kooskõlas olev IKT taristu ja baasteenuste kasutamist ja arendamist kirjeldav kava.
7. Asutuse eelarve eest vastutaja peab omama ülevaadet kuludest IKT teenustele ning planeerima IKT kulud järgmisteks perioodideks.
8. Asutused osalevad kesksetes riigihangetes ja haldusala ülestes ühistes hangetes IKT riist- ja tarkvara soetamiseks.
9. Miinimumnõuete rakendamise lõpptähtaeg on 31.12.2019, v.a kõnesideteenuse puhul, mille rakendamise lõpptähtaeg on 31.12.2022.
10. Põhjendatud juhtudel on miinimumnõuetest kõrvalekaldumine lubatud ka pärast nimetatud tähtaegu (nt vajaduse korral kasutada mõnda vanemat spetsiaaltarkvara, mis ei ole enam tootja poolt toetatud), kui need on kirjalikult fikseeritud ja asutuse juhi poolt kinnitatud. Võimalusel tuleb miinimumnõuetele mittevastavad süsteemid või nende osad hoida ja käitada muudest süsteemidest isoleerituna.

2. Baastaristu ja baasteenuste miinimumnõuded

Baastaristu ja baasteenused (edaspidi teenused) peavad vastama vähemalt alljärgnevalt esitatud miinimumnõuetele ja olema piisavad tagamaks nendele toetuvate muude teenuste nõuetekohane toimimine. Asutus võib rakendada ka miinimumnõuetest kõrgemaid nõudeid.
Iga alltoodud teenuse kohta tuleb asutuses määrata teenuse osutamise tingimused (Service Level Agreement).

2.1. Kasutajate autoriseerimisteenus
Teenus võimaldab identifitseerida kasutajaid ning hallata nende õigusi koos ligipääsude võimaldamisega eri rakendustele ja ressurssidele nii sise- kui välisvõrgus (sh pilveteenustes).
Teenus peab:
1. sisaldama üldist infot kasutaja kohta (nt nimi, kasutajatunnus, isikukood jmt);
2. sisaldama kasutajaõiguste loetelu;
3. võimaldama kasutaja ligipääsu erinevatele ressurssidele vastavalt kasutajale määratud õigustele;
4. olema seotud ühtset teenuste logimist (Single Sign-On) võimaldava lahendusega;
5. mitme üheaegse autentimislahenduse olemasolul asutuses olema omavahel sünkroniseeritud. Teenus võib:
1. olla lahendatud nii lokaalselt kui majutatud teenusena kas kohaliku teenusepakkuja kaudu või pilveteenusena;
2. autentida ainult välises (pilve)lahenduses kasutajaid, kellel pole vajadust omada ligipääsu asutuse sisevõrgu ressurssidele (näiteks õppurid);
3. olla seotud infovahetust võimaldavate lahendustega (nt. ADFS, HarID, Taat, Eesti.ee SSO).

2.2. E-posti, listide ja grupitöö teenus
Teenus võimaldab kasutajal kasutada kõiki grupitöö vahendite võimalusi info vahendamiseks, kohtumiste korraldamiseks jmt.
Teenus peab:
1. võimaldama asutuse e-posti kirjade saatmist ja vastuvõtmist;
2. sisaldama listide ja meiligruppide kasutamise võimalust;
3. sisaldama sünkroniseeritud kalendrit, mida saavad näha kõik sama lahendust kasutavad kasutajad ja määratud välised kasutajad;
4. võimaldama ühiskalendreid eri gruppidele;
5. võimaldama ressursside loomist ja broneerimist (ruumid vmt);
6. võimaldama töödelda ühiseid ja privaatseid kontakte;
7. sisaldama tööülesandeid – privaatsed ja jagatavad, k.a. määratavad ja jälgitavad tööülesanded;
8. olema kasutatav nii veebipõhiselt, aplikatsioonis kui ka erinevates mobiilsetes operatsioonisüsteemides;
9. kasutama kasutajate autoriseerimiseks keskset autentimislahendust.
Teenus võib:
1. olla lahendatud eraldi tarkvaraliste komponentide või alamteenuste kaudu;
2. olla sünkroniseeritud või lahendatud muude infosüsteemidega (nt õppeinfosüsteem).

2.3. Failihaldusteenus

Teenus võimaldab kasutajatel hoida oma tööalaseid dokumente turvalises ja keskselt administreeritud keskkonnas.

Teenus peab:
1. asutuse sisemise andmekeskuse olemasolul olema üles ehitatud kohaliku failikettana või ketastena ja ühtselt kokku lepitud struktuuriga, kus igale kasutajale/kasutajagrupile on antud kindlad õigused faile näha, muuta ja/või koostada;
2. võimaldama määrata kindel maksimummaht failihoiuks igale kasutajale;
3. võimaldama vajadusel rakendada versioonihaldust;
4. kasutama kasutajate autoriseerimiseks keskset autentimislahendust.

Teenus võib olla majutatud välises keskkonnas.

2.4. Printimisteenus

Teenus võimaldab kõigil kasutajatel vastavalt määratud kasutajaõigustele printida ja paljundada vajalikke materjale ükskõik mis asukohas asutuse sisevõrgu piires.

Teenus peab:
1. olema hallatud ja monitooritud keskselt (võib ka teenusepakkuja poolt);
2. põhinema peamiselt keskselt hallatavatel multifunktsionaalsetel printeritel;
3. võimaldama osutada vajadusel lõppkasutajatele tasulise printimisteenust.

Teenus võib kasutada haldustarkvara nii kohaliku teenusena kui teenusena välise pakkuja juures.

2.5. Lõppseadmete kaughaldusteenus

Teenus võimaldab hallata kõiki asutuse poolt kasutajatele väljastatud lõppseadmed (lauaarvutid, sülearvutid, tahvelarvutid), sh määrata kasutajate ning rakenduste õigusi, paigaldada või eemaldada rakendusi, teha keskseid ja massmuudatusi, -uuendusi, kasutada ühtset kaugligipääsu lahendust, automatiseerida IKT varade arvestust jmt.
Teenus peab:
1. võimaldama hallata nii üksikuid lõppseadmeid (kõikide enamlevinud operatsioonisüsteemide ulatuses) kui erinevate gruppide kaupa;
2. hallata kasutajate ning rakenduste õigusi ja paigaldada või eemaldada rakendusi;
3. võimaldama teha keskseid ja massmuudatusi ning uuendusi;
4. kasutama ühtset kaugligipääsu lahendust;
5. võimaldama automatiseeritud IKT-varade arvestust;
6. kasutama kasutajate autoriseerimiseks keskset autentimislahendust.

Teenus võib:
1. olla rakendatud ka mobiiltelefonidele;
2. olla lahendatud eraldi tarkvaraliste komponentide või alamteenuste kaudu.

2.6. Viiruse- ja pahavaratõrje teenus

Teenus võimaldab kaitsta servereid ja lõppseadmeid erinevat tüüpi küberrünnete eest.

Teenus peab:
1. olema rakendatud kõigile kasutatavatele Microsofti operatsioonisüsteemiga lõppseadmetele;
2. olema rakendatud kõigile füüsilistele ja virtuaalsetele Microsofti operatsioonisüsteemiga serveritele;
3. olema lõppkasutajatele kohustuslik ilma välja lülitamise võimaluseta;
4. olema regulaarselt kontrollitav süsteemihalduri poolt (vähemalt kord kvartalis või vajadusepõhiselt seoses juhtunud turvaintsidentidega);
5. olema ajakohane ja uuendatav;
6. olema keskselt rakendatav ja hallatav ning monitooritav (keskhaldusserveriga).

Teenus võib olla tellitud väliselt teenuspakkujalt, soovitatult koos keskhaldusserveri majutuse ja lahenduse hooldus- ja haldusteenusega.

2.7. Serverite majutusteenus

Teenus võimaldab majutada ja käitada asutuse töö jaoks vajalikke (virtuaal)servereid. Asutus võib osutada teenust ise või tellida selle väliselt teenusepakkujalt.

Teenus peab:

1. kasutama ajakohast ja tootja poolt toetatud tarkvara (sh serverite virtualiseerimistarkvara);
2. kasutama serveri riistvara (sh virtuaalserverite riistvara), mis vastab operatsioonisüsteemi looja poolt esitatud soovituslikele nõuetele;
3. võimaldama füüsiliste serveritele turvalist haldamist, kaugligipääs peab olema võimalik nii virtuaalses kihis kui füüsilises arvutivõrgus ainult eraldi võrguliidese kaudu toimivas hoolduskanalis;
4. kasutama serverite virtualiseerimise lahendust. Teenuste käitamine otse füüsilisel serveril on lubatud üksnes põhjendatud juhtudel;
5. olema majutatud serveriruumis, mis vastab seal asuva kõige kõrgema turbetasemega infosüsteemi ISKE tasemele.

Teenus võib:
1. olla tellitud väliselt teenuspakkujalt, võimalusel koos serveri hooldusteenusega ning andmevarundusteenusega.

2.8. Serverite hooldusteenus

Teenus sisaldab serverite ja serveri operatsioonisüsteemidele hooldamist ja võimalike probleemide lahendamist.

Teenus peab:
1. tagama, et nii füüsiline kui ka virtuaalne keskkond, serverid ja rakendused on dokumenteeritud vastavalt viimasele uuendusele;
2. tagama, et keskkondade, serverite ja rakenduste uuendused ja turvapaikamised on läbi viidud regulaarselt sagedusega vähemalt kord kuus, probleemid ja intsidendid on lahendatud ja tegevused on dokumenteeritud.

2.9. Andmevarundusteenus

Teenus tagab asutusele tema infovarade säilimise süsteemide rikke, vigade või muu andmekao puhul. Parim varunduslahendus on teostatud kolmekihiliselt – kohalik, teisene (asutusest väljas) ja pilvepõhine.

Teenus peab:
1. sisaldama varundamisplaani kõikidele asutuse süsteemidele, mida majutatakse ja pakutakse, varundusplaan tuleb dokumenteerida;
2. varundama regulaarselt asutuse infosüsteeme ja andmeid vastavalt varunduse dokumentatsioonis sätestatule (nt igapäevane/nädalane/kuine/aastane);
3. võimaldama varundada nii füüsilisi kui virtuaalseid servereid ja infosüsteeme;
4. võimaldama nii süsteemset kui faili- ja kasutajapõhist taastet;
5. olema võrguühendust säästev, kasutades nt andmete tihendamist, inkrementaalset varundust vmt;
6. olema hoiustatud viisil, mis välistab selle kiire riknemise (NAS seadmete puhul kasutada ketastel RAID6 andmeliiasust, lintide puhul hoida linte serveriruumist eraldi asuvas ruumis, pilveteenuse kasutamise korral valida selline teenus, mis tagab andmete säilimise eelpooltooduga võrreldaval tasemel);
7. sisaldama regulaarseid varundi kontrollide läbiviimist, s.h. testtaastamist. Kontrolle tuleb läbi viia sõltuvalt andmete kriitilisuse klassist, aga mitte harvem, kui üks kord aastas.

2.10. Kohtvõrguteenus

Teenus võimaldab arvutite ja serverite ühendamist asutuse piires, tagades ühendatud seadmetele võimaluse kasutada IP võrgu põhiseid teenuseid (sh internetiühendus). Kohtvõrgulahendus koosneb tulemüüri(de)st, võrgu kommutaatoritest, WiFi ligipääsupunktidest, WiFi kontrollerseadmest või rakendusest, kohtvõrgu keskhalduse lahendusest ning vajadusel muudest võrguseadmetest.

Teenus peab:
1. olema keskselt monitooritav;
2. võimaldama tuvastada võrgu kasutajad;
3. võimaldama wifi-ligipääsupunkte keskselt hallata.

Teenus võib:
1. sisaldada VPN (Virtual Private Network) teenust;
2. olla täielikult keskselt hallatav;
3. asuda võrguseadmete haldusplatvormi näol välise teenusepakkuja juures;
4. olla hallatud välise teenusena.

2.11. Kõnesideteenus

Teenus võimaldab kasutajatel helistada ja kasutada sellega seotud teenuseid (kõnede suunamist, kõnede noppimist jmt).

Teenus peab:
1. olema lauatelefoni teenuse puhul väline ehk ilma kohaliku keskjaamata andmesidevõrgul põhinev lahendus (nt VoIP);

Teenus võib:
1. võimaldada kasutada laua- ja mobiiltelefoni ühe teenusena, sh võimaldama lauatelefoni kõnesid mobiiltelefonist või arvutitelefonist;
2. kasutada nii asutuse omandis olevaid kui renditud seadmeid;
3. olla lahendatud muul viisil kuni 31.12.2022.

2.12. Kasutajatoe teenus

Teenus võimaldab lahendada ja ennetada kasutajate probleeme seoses nende kasutuses olevate IT vahenditega.

Teenus peab:
1. omama kaugligipääsu kõigile asutuse kasutaja seadmetele läbi lõppseadmete halduslahenduse;
2. võimaldama registreerida kasutaja intsidendid, teenussoovid ning lahendused ja pidada nende üle arvestust.

Teenus võib:
1. kasutada spetsiaalset tarkvara või infosüsteemi (helpdesk).

Vasta