Wiki zdrojový kód pre projekt_2612_Pristup_k_projektu_detailny
Version 2.1 by ivana_pukajova on 2024/05/23 16:58
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | **PRÍSTUP K PROJEKTU** | ||
| 2 | |||
| 3 | **manažérsky výstup I-03** | ||
| 4 | |||
| 5 | **podľa vyhlášky MIRRI č. 401/2023 Z. z.** | ||
| 6 | |||
| 7 | \\ | ||
| 8 | |||
| 9 | \\ | ||
| 10 | |||
| 11 | (% class="" %)|((( | ||
| 12 | Povinná osoba | ||
| 13 | )))|((( | ||
| 14 | Slovenská poľnohospodárska univerzita v Nitre | ||
| 15 | |||
| 16 | |||
| 17 | ))) | ||
| 18 | (% class="" %)|((( | ||
| 19 | Názov projektu | ||
| 20 | )))|((( | ||
| 21 | Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni Slovenskej poľnohospodárskej univerzity v Nitre | ||
| 22 | ))) | ||
| 23 | (% class="" %)|((( | ||
| 24 | Zodpovedná osoba za projekt | ||
| 25 | )))|((( | ||
| 26 | Ing. Ľubica Požgajová (Projektový manažér) | ||
| 27 | ))) | ||
| 28 | (% class="" %)|((( | ||
| 29 | Realizátor projektu | ||
| 30 | )))|((( | ||
| 31 | Slovenská poľnohospodárska univerzita v Nitre | ||
| 32 | ))) | ||
| 33 | (% class="" %)|((( | ||
| 34 | Vlastník projektu | ||
| 35 | )))|((( | ||
| 36 | Slovenská poľnohospodárska univerzita v Nitre | ||
| 37 | ))) | ||
| 38 | |||
| 39 | **~ ** | ||
| 40 | |||
| 41 | **Schvaľovanie dokumentu** | ||
| 42 | |||
| 43 | (% class="" %)|((( | ||
| 44 | Položka | ||
| 45 | )))|((( | ||
| 46 | Meno a priezvisko | ||
| 47 | )))|((( | ||
| 48 | Organizácia | ||
| 49 | )))|((( | ||
| 50 | Pracovná pozícia | ||
| 51 | )))|((( | ||
| 52 | Dátum | ||
| 53 | )))|((( | ||
| 54 | Podpis | ||
| 55 | |||
| 56 | (alebo elektronický súhlas) | ||
| 57 | ))) | ||
| 58 | (% class="" %)|((( | ||
| 59 | Vypracoval | ||
| 60 | )))|((( | ||
| 61 | Ing. Ľuboš Határ | ||
| 62 | )))|((( | ||
| 63 | SPU NR | ||
| 64 | )))|((( | ||
| 65 | Riaditeľ Centra IKT | ||
| 66 | )))|((( | ||
| 67 | 22.5.2024 | ||
| 68 | )))|((( | ||
| 69 | |||
| 70 | ))) | ||
| 71 | |||
| 72 | **~ ** | ||
| 73 | |||
| 74 | = {{id name="projekt_2612_Pristup_k_projektu_detailny-1.Históriadokumentu"/}}1. História dokumentu = | ||
| 75 | |||
| 76 | (% class="" %)|((( | ||
| 77 | Verzia | ||
| 78 | )))|((( | ||
| 79 | Dátum | ||
| 80 | )))|((( | ||
| 81 | Zmeny | ||
| 82 | )))|((( | ||
| 83 | Meno | ||
| 84 | ))) | ||
| 85 | (% class="" %)|((( | ||
| 86 | 0.1 | ||
| 87 | )))|((( | ||
| 88 | 6.5.2024 | ||
| 89 | )))|((( | ||
| 90 | Pracovný návrh | ||
| 91 | )))|((( | ||
| 92 | \\ | ||
| 93 | ))) | ||
| 94 | (% class="" %)|((( | ||
| 95 | 0.2 | ||
| 96 | )))|((( | ||
| 97 | 20.5.2024 | ||
| 98 | )))|((( | ||
| 99 | Pracovný návrh | ||
| 100 | )))|((( | ||
| 101 | \\ | ||
| 102 | ))) | ||
| 103 | (% class="" %)|((( | ||
| 104 | 0.3 | ||
| 105 | )))|((( | ||
| 106 | 23.5.2024 | ||
| 107 | )))|((( | ||
| 108 | Zapracovanie pripomienok | ||
| 109 | )))|((( | ||
| 110 | \\ | ||
| 111 | ))) | ||
| 112 | (% class="" %)|((( | ||
| 113 | \\ | ||
| 114 | )))|((( | ||
| 115 | \\ | ||
| 116 | )))|((( | ||
| 117 | \\ | ||
| 118 | )))|((( | ||
| 119 | \\ | ||
| 120 | ))) | ||
| 121 | |||
| 122 | \\ | ||
| 123 | |||
| 124 | |||
| 125 | |||
| 126 | = {{id name="projekt_2612_Pristup_k_projektu_detailny-2.Popisnavrhovanéhoriešenia"/}}2. Popis navrhovaného riešenia = | ||
| 127 | |||
| 128 | |||
| 129 | |||
| 130 | Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – Slovenskej poľnohospodárskej univerzity v Nitre (ďalej ako „SPU NR“) má za cieľ zvýšiť úroveň informačnej a kybernetickej bezpečnosti v sektore verejnej správy. | ||
| 131 | |||
| 132 | Projekt v rámci výzvy poskytuje prostriedky na realizáciu základných stavebných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti. Oblasti bezpečnosti, na ktoré organizácia žiada podporu v rámci tohto projektu (výzvy) predstavujú základný rámec („baseline"), ktorý by mal byť implementovaný. Aktuálny stav implementácie týchto bezpečnostných služieb a funkcií je nízky, preto žiadame o podporu v rámci tohto definovaného rámca. Budúce riešenie základného rámca zabezpečenia informačnej a kybernetickej bezpečnosti na úrovni biznis architektúry by malo pozostávať najmä z nasledovných bezpečnostných riešení: | ||
| 133 | |||
| 134 | * Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia informačnej a kybernetickej bezpečnosti (ďalej len „KIB“). | ||
| 135 | * Analytické aktivity zavedenia bezpečnostných opatrení a riešení. | ||
| 136 | * Implementačné aktivity bezpečnostných riešení. | ||
| 137 | * Pre-financovanie aktivít riadenia súladu, najmä ohľadom auditu kybernetickej bezpečnosti a aktualizácie analýzy rizík a analýzy dopadov po implementácii bezpečnostných opatrení a riešení, tesne pred ukončením projektu. | ||
| 138 | |||
| 139 | Jednotlivé biznis funkcie a bezpečnostné procesy ako aj popis ďalších úrovni architektúry riešenia sú uvedené v nasledujúcich kapitolách. | ||
| 140 | |||
| 141 | \\ | ||
| 142 | |||
| 143 | = {{id name="projekt_2612_Pristup_k_projektu_detailny-3.Architektúrariešeniaprojektu"/}}3. Architektúra riešenia projektu = | ||
| 144 | |||
| 145 | |||
| 146 | |||
| 147 | Tento projekt predstavuje riešenie základných stavebných blokov bezpečnostnej architektúry a zároveň aj ďalšie bezpečnostné funkcie realizované v organizácii. Organizácia nemá zavedený governance KIB a nemá vypracovanú analýzu rizík, taktiež sú nedostatočne riešené aj ďalšie oblasti riadenia KIB definované zákonom o KB. | ||
| 148 | |||
| 149 | Z uvedeného dôvodu bude projekt primárne zameraný na implementáciu governance procesov v oblasti riadenia KIB, kde je cieľom vypracovať dokumentáciu a zaviesť príslušné procesy. Zároveň bude SPU NR žiadať aj o ďalšie oblasti podpory. | ||
| 150 | |||
| 151 | Keďže nejde o implementáciu agendového alebo iného obdobného informačného systému verejnej správy, tak v tomto duchu je upravený aj popis jednotlivých úrovni architektúry. Najmä v prípade poskytnutia podpory pre iné ako governance aktivity, kde sa predpokladá aj implementácia bezpečnostných systémov, zariadení alebo technických riešení, sú rovnako jednotlivé bloky architektúry rozpísané spôsobom zohľadňujúcim uvedené skutočnosti. | ||
| 152 | |||
| 153 | \\ | ||
| 154 | |||
| 155 | Pri biznis architektúre je potrebné si uvedomiť, že projekt, resp. jeho aktivity nerealizujú typické služby eGovernment-u a VS, ale ide o služby na úrovni bezpečnostnej architektúry VS, a ako také a z tohto dôvodu, nie sú vedené ako aplikačné služby v MetaIS. | ||
| 156 | |||
| 157 | Zároveň je potrebné uviesť, že architektúra pre as-is stav nie je uvedená z dôvodu, že aktuálne tieto služby bezpečnostnej architektúry nie sú implementované, prípadne sú implementované len čiastočne na nepostačujúcej úrovni. | ||
| 158 | |||
| 159 | Úrovne architektúry sú ďalej rozpísané podľa jednotlivých aktivít projektu a biznis bezpečnostných funkcií. | ||
| 160 | |||
| 161 | Špecifikácia výstupov jednotlivých aktivít je uvedená v kapitole Požadované výstupy (produkt projektu) v dokumente Projektový zámer. | ||
| 162 | |||
| 163 | |||
| 164 | |||
| 165 | == {{id name="projekt_2612_Pristup_k_projektu_detailny-3.1Biznisvrstva"/}}3.1 Biznis vrstva == | ||
| 166 | |||
| 167 | |||
| 168 | |||
| 169 | Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy: | ||
| 170 | |||
| 171 | * Riadenie aktív a riadenie. | ||
| 172 | ** Proces evidencie a správy aktív. | ||
| 173 | ** Proces klasifikácie informácií a kategorizácie IS a sietí. | ||
| 174 | ** Proces realizácie AR/BIA. | ||
| 175 | ** Proces rozhodovania ohľadom riadenia identifikovaných rizík. | ||
| 176 | * Riadenie prístupov. | ||
| 177 | ** Proces vzdialeného bezpečného prístupu a viac-faktorovej autentifikácie pri vzdialenom prístupe. | ||
| 178 | ** Proces viac-faktorovej autentifikácie pri prístupe administrátorov k IS a zariadeniam. | ||
| 179 | * Hodnotenie zraniteľností. | ||
| 180 | ** Proces realizácie skenovania a identifikovania nových zraniteľností existujúcich systémov a zariadení. | ||
| 181 | * Ochrana proti škodlivému kódu. | ||
| 182 | ** Proces identifikácie a ochrany koncových staníc a systémov pred škodlivým kódom (ochrana pred malware a ransomware). | ||
| 183 | * Sieťová a komunikačná bezpečnosť. | ||
| 184 | ** Proces ochrany a riadenia prístupov z vonkajšieho prostredia do siete SPU NR a opačne. | ||
| 185 | ** Proces riadenia prichádzajúcej a odchádzajúcej komunikácie. | ||
| 186 | ** Proces segmentácie jednotlivých sietí a systémov. | ||
| 187 | * Zaznamenávanie udalostí a monitorovanie. | ||
| 188 | ** Proces zberu, ukladania a riadenia logov. | ||
| 189 | ** Proces bezpečnostného monitoringu koncových staníc. | ||
| 190 | ** Proces bezpečnostného monitoringu systémov a dátových úložísk. | ||
| 191 | ** Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry. | ||
| 192 | ** Proces bezpečnostného monitoringu aktivít používateľov. | ||
| 193 | ** Proces bezpečnostného monitoringu aktivít privilegovaných používateľov. | ||
| 194 | ** Proces vyhodnocovania udalostí založený na “machine learning” algoritmoch a sledovaní správania sa používateľov (“behavioral analysis”).Riešenie kybernetických bezpečnostných incidentov. | ||
| 195 | ** Proces identifikácie, vyhodnocovania a riešenia bezpečnostných incidentov a podozrivých udalostí. | ||
| 196 | |||
| 197 | \\ | ||
| 198 | |||
| 199 | |||
| 200 | |||
| 201 | Okrem uvedených biznis funkcií je projekt zameraný aj na podporu pre oblasti: | ||
| 202 | |||
| 203 | * governance KIB a bezpečnostná dokumentácia, | ||
| 204 | * zavedenie procesov riadenia KIB pre všetky relevantné oblasti riadenia, | ||
| 205 | * audit, riadenie súladu a kontrolných činností - proces posudzovania súladu formou realizácie auditu KIB. | ||
| 206 | |||
| 207 | |||
| 208 | |||
| 209 | |||
| 210 | |||
| 211 | |||
| 212 | |||
| 213 | |||
| 214 | |||
| 215 | Jednotlivé biznis funkcie bezpečnostnej architektúry sú znázornené na nasledovnom obrázku: | ||
| 216 | |||
| 217 | [[image:attach:image-2024-5-23_16-56-50-1.png||height="400"]] | ||
| 218 | |||
| 219 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}3.1.1 Prehľad koncových služieb – budúci stav: === | ||
| 220 | |||
| 221 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 222 | |||
| 223 | |||
| 224 | |||
| 225 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.1.2Jazykovápodporaalokalizácia"/}}3.1.2 Jazyková podpora a lokalizácia === | ||
| 226 | |||
| 227 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 228 | |||
| 229 | |||
| 230 | |||
| 231 | == {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2Aplikačnávrstva"/}}3.2 Aplikačná vrstva == | ||
| 232 | |||
| 233 | Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi: | ||
| 234 | |||
| 235 | [[image:attach:image-2024-5-23_16-57-10-1.png||height="400"]] | ||
| 236 | |||
| 237 | \\ | ||
| 238 | |||
| 239 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.1Požiadavkynajednotlivékomponenty"/}}3.2.1 Požiadavky na jednotlivé komponenty === | ||
| 240 | |||
| 241 | |||
| 242 | |||
| 243 | Požiadavky na jednotlivé aplikačné komponenty pre vyššie uvedené aplikačné služby sú nasledovné: | ||
| 244 | |||
| 245 | **__ __** | ||
| 246 | |||
| 247 | **__Správa dokumentov__** | ||
| 248 | |||
| 249 | V rámci tejto aplikačnej služby bude na správu bezpečnostnej dokumentácie vytvorenej počas projektu využitý existujúci Dokument manažment systém SPU NR. | ||
| 250 | |||
| 251 | |||
| 252 | |||
| 253 | **__Riadenie aktív a rizík__** | ||
| 254 | |||
| 255 | Za účelom identifikácie aktív a ich ďalšej správy, realizáciu klasifikácie a kategorizácie a realizáciu a následne udržiavanie (aktualizácia) analýzy rizík a analýzy dopadov bude nasadená samostatná aplikácia. | ||
| 256 | |||
| 257 | Nástroj bude predstavovať SW riešenie pozostávajúce z funkcionality evidencie a správy informačných aktív organizácie, realizácie klasifikácie informácií a kategorizácie informačných systémov, realizácie analýzy rizík nad identifikovanými aktívami a podpory riadenia identifikovaných rizík, vrátane priraďovania implementovaných a plánovaných bezpečnostných opatrení k jednotlivým identifikovaným rizikám. Výsledkom bude najmä katalóg rizík s uvedením hodnoty inherentného, ale najmä reziduálneho rizika a návrh akčného plánu plánovaných bezpečnostných opatrení. | ||
| 258 | |||
| 259 | Súčasťou aktivity je samozrejme aj prvotná identifikácia a evidencia všetkých informačných aktív SPU NR, vykonanie klasifikácie informácií a následne kategorizácie IS a sietí podľa požiadaviek aktuálnej legislatívy a zrealizovanie analýzy rizík a analýzy dopadov nad identifikovanými informačnými aktívami v súlade s metodikou AR/BIA. Predmetom dodávky bude aj vytvorenie katalógu rizík a podpora pri procese jeho formálneho schvaľovania vedením SPU NR. | ||
| 260 | |||
| 261 | |||
| 262 | |||
| 263 | **__Skenovanie zraniteľností__** | ||
| 264 | |||
| 265 | Obstaranie interného nástroja na skenovanie zraniteľností (vulnerability scaner) pre testovanie interných systémov a rovnako aj IP adries SPU NR dostupných zo siete internet, vrátane pracovných staníc používateľov. Nástroj musí byť podporovaný výrobcom a musí mať prístup k aktuálnym databázam hrozieb a zraniteľností systémov. | ||
| 266 | |||
| 267 | Súčasťou aktivity bude aj vykonanie iniciálneho vulnerability testu (scanu) interných systémov a web stránky a zaškolenie administrátora SPU NR. | ||
| 268 | |||
| 269 | **__Sieťová a komunikačná bezpečnosť__** | ||
| 270 | |||
| 271 | Implementácia New Generation Firewall (NGFW) na správu sieťovej prevádzky a blokovanie nebezpečnej sieťovej komunikácie. Firewall bude disponovať rozšírenými bezpečnostnými funkciami typu sandboxing, content filtering and inspection, file filtering, TLS inspection, IPS, detekcia malvér a pod. | ||
| 272 | |||
| 273 | Základné požiadavky na FW: | ||
| 274 | |||
| 275 | * Firewall bude umožňovať aj sandboxing (možnosť využiť cloudovú funkciu, nakoľko bude zapnutá na komunikácii prichádzajúcej zo siete Internet). | ||
| 276 | * Napojenie na RADIUS/SSO a bude podporovať SD-WAN. | ||
| 277 | * VPN prístup (cca 50 konkurentných VPN používateľov). | ||
| 278 | * Možnosť rozdeliť firewall na min. 2 virtuálne firewally. | ||
| 279 | * Firewall by mal byť zložený z komponentov jedného výrobcu, vrátane všetkých poskytovaných funkcionalít typu IPS, AV, AS signatúr, databáz pre URL kategorizáciu, sandbox definícií a pod. Zároveň by mala byť týmto jedným výrobcom zaistená podpora minimálne po dobu plánovanej životnosti FW. | ||
| 280 | * FW by mal obsahovať jeden dedikovaný port pre správu pomocou konzoly. | ||
| 281 | * FW by mal obsahovať aspoň jeden dedikovaný OOB (Out-of-band) management port pre plnohodnotnú správu FW. | ||
| 282 | * FW by mal zároveň umožňovať funkcionalitu DHCP servera. | ||
| 283 | * FW by mal byť schopný ukladať údaje na interný disk. | ||
| 284 | * FW by mal podporovať agregáciu portov pomocou protokolu 802.3ad (LACP). | ||
| 285 | * FW by mal byť rozmerovo kompatibilný s 19 „rozvádzačom. | ||
| 286 | * FW by mal podporovať dva nezávislé redundantné zdroje napájania AC 230V, vymeniteľné za behu zariadenia. | ||
| 287 | * FW by mal plne podporovať IPv4 aj IPv6. | ||
| 288 | * FW by mal podporovať preklady adries typu Static NAT, Dynamic NAT, PAT, NAT64. | ||
| 289 | * FW by mal podporovať smerovanie typu Static route, RIP, OSPFv2, OSPFv3, BGP, PIM, IGMP a PBR (Policy Based Routing). | ||
| 290 | * PBR (Policy-Based Routing) by malo byť možné nakonfigurovať na základe všetkých dostupných metrík typu interface, zóna, IP adresa, užívateľ. | ||
| 291 | * FW by mal podporovať režim clusteringu, využiteľný pre prípadné dodatočné zvýšenie priepustnosti. | ||
| 292 | * FW by mal podporovať site-to-site VPN pomocou protokolu IPSec. | ||
| 293 | * FW by mal podporovať Remote Access VPN pomocou protokolov IPSec a SSL (min. TLS v 1.2 / 1.3). | ||
| 294 | * Počet súčasne pripojených užívateľov nesmie byť licenčne obmedzený. | ||
| 295 | * Jednotlivé HW appliance musia obsahovať plnohodnotné grafické rozhranie (GUI) pre správu sieťových a bezpečnostných funkcií bez nutnosti používania centrálneho management servera. | ||
| 296 | * FW by mal podporovať aplikačnú detekciu a kontrolu ako svoju natívnu funkcionalitu. | ||
| 297 | * FW by mal podporovať vytváranie bezpečnostných pravidiel na základe používateľských identít. | ||
| 298 | * FW by mal obsahovať integrovaný systém ochrany proti sieťovým útokom (IPS). Databáza IPS signatúr by mala byť uložená priamo vo FW. | ||
| 299 | * 1 Gbps priepustnosť rozhrania so zapnutými funkciami: | ||
| 300 | ** IPS, malware protection, url filtering, | ||
| 301 | ** SSL inšpekcia v režime pre prichádzajúci/odchádzajúci traffic na WAN rozhranie. | ||
| 302 | |||
| 303 | Požaduje sa dodanie FW s rozšírenou 5 ročnou zárukou a min. 5 ročnou technickou podporou zariadenia a podpory zo strany výrobcu (vydávanie bezpečnostných záplat). | ||
| 304 | |||
| 305 | **__ __** | ||
| 306 | |||
| 307 | **__Riadenie prístupov – Identifikácia a autentifikácia - Zavedenie 2FA (dvoj-faktorová autentifikácia)__** | ||
| 308 | |||
| 309 | Zavedenie 2FA umožní zvýšenie úrovne identifikácie a najmä autentifikácie pracovníkov, ale aj zvýšenie úrovne bezpečnosti pri správe IKT z pozície tzv. „power users" a administrátorov systémov. Dvojfaktorová autentifikáciu je v súčasnosti takmer nevyhnutnou formou zabezpečenia takmer všetkých účtov a služieb, ktoré sú dôležité. Dvojfaktorová autentifikácia umožní ochrániť od neautorizovaného prístupu útočníkov aj v prípade ak získajú prihlasovacie údaje, nakoľko sa nedostanú cez overenie v druhom kroku. S ohľadom na uvedené bude v rámci realizácie projektu riešený práve tento systém ochrany pre potreby zabezpečenia VPN pripojenia do LAN siete SPU NR. | ||
| 310 | |||
| 311 | Dvojfaktorová autentifikácia bude riešená Tokenmi generovanými mobilnou aplikáciou. | ||
| 312 | |||
| 313 | 2FA je v projekte nastavená pre viacero typov používateľov: | ||
| 314 | |||
| 315 | * Obyčajný používateľ pri prístupe cez VPN, pre ktorého bude zavedenie komponentu predstavovať použitie ďalšieho prostriedku autentifikácie (2FA), ktorý bude predstavovať aplikácia v mobilnom telefóne. | ||
| 316 | * Administrátor, alebo „power user“ pri prístupe k správe prideleného IS bude mať k dispozícii rovnako aplikáciu v mobilnom telefóne, ktorá zabezpečí druhý autentifikačný faktor. | ||
| 317 | |||
| 318 | Funkčné a výkonové požiadavky: | ||
| 319 | |||
| 320 | * riešenie využívajúce softvérový autentifikátor dostupný pre platformy mobilných telefónov iOS a Android. | ||
| 321 | * auto-aktivácia používateľa bez potreby prítomnosti správcu systému, | ||
| 322 | * možnosť distribúcie autorizačného kódu autentifikácie druhého faktoru: | ||
| 323 | ** formou výzvy (push notifikácia), | ||
| 324 | ** formou SMS, | ||
| 325 | * pre všetkých zamestnancov pristupujúcich cez VPN (cca 50 zamestnancov), | ||
| 326 | * pre všetkých „power users“ (do 10 administrátorov), | ||
| 327 | * integrácia s vybranými existujúcimi systémami: | ||
| 328 | ** minimálne s AD | ||
| 329 | ** s FW na perimetri siete pre vzdialený VPN prístup používateľov do internej LAN a k sieťovým službám, | ||
| 330 | * prideľovanie oprávnení správcom na základe rolí (vlastník systému, IT správca systému, Správca integrácií, Správca používateľov, Podpora používateľov/Helpdesk), | ||
| 331 | * možnosť vytvárania skupín používateľov a zaraďovanie používateľov do skupín, | ||
| 332 | * možnosť vytvárania politík a ich aplikovanie: | ||
| 333 | ** na skupiny používateľov, | ||
| 334 | ** na používateľa podľa jeho geo-lokácie, | ||
| 335 | ** na používateľa na základe stavu bezpečnosti jeho terminálu, ktorým sa pripája, | ||
| 336 | ** na používateľa na základe stavu bezpečnosti mobilného zariadenia používateľa používaného na distribúciu autorizačného kódu, | ||
| 337 | ** na základe jednotlivých integrácií, | ||
| 338 | * logovanie: | ||
| 339 | ** histórie prístupov používateľov (meno, dátum, čas, terminál používateľa, sprístupnený systém, geo-lokácia IP adresy, atď.), | ||
| 340 | ** informácií o mobilných zariadeniach používateľov použitých na distribúciu autorizačného kódu, | ||
| 341 | ** úspešných aj neúspešných prihlásení, | ||
| 342 | * automatická detekcia anomálií a rizika pri prihlasovaní. | ||
| 343 | |||
| 344 | \\ | ||
| 345 | |||
| 346 | **__Bezpečnostný monitoring__** | ||
| 347 | |||
| 348 | V rámci bezpečnostného monitoringu ide o dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie systému bezpečnostného monitoringu (SIEM) ako cloudovej služby, s integrovaným centrálnym log manažmentom pre účely agentského aj bez-agentského zberu logov zo systémov SPU, vrátane zaškolenia administrátora SPU NR. | ||
| 349 | |||
| 350 | Tento aplikačný komponent zabezpečí zber logov zo sieťových zariadení a koncových staníc, spoločne s funkcionalitami: | ||
| 351 | |||
| 352 | * XDR (Extended detection and response), | ||
| 353 | * ABA (Attacker Behavior Analytics), | ||
| 354 | * UBA (User Behavior Analytics), | ||
| 355 | * NTA (Network Traffic Analysis), | ||
| 356 | * FAAM (File Access Activity Monitoring), | ||
| 357 | * FIM (File Integrity Monitoring), | ||
| 358 | * Deception Technology (Honey Pots/User/File/Credential) | ||
| 359 | |||
| 360 | pre zabezpečenie komplexného monitoringu a možnosti vyhodnocovania bezpečnostných udalostí. Je nevyhnutné, aby monitorovací systém bol úplne nezávislý od použitej sieťovej infraštruktúry a neovplyvňoval monitorovanú sieť, systémy a zariadenia v ich funkcii. Monitorovací systém nesmie byť zistiteľný z monitorovanej siete. Systém musí podporovať infraštruktúru typu: IPv4, IPv6, VLAN, MPLS, Ethernet 10 Mb/s až 100 Gb/s. Riešenie bude centrálne spravované a konfigurované z centrálnej jednotky a poskytne centrálny prehľad o analýze tokov, upozorneniach a hláseniach. Riešenie bude nezávislé od existujúcej sieťovej infraštruktúry (optická alebo metalická dátová kabeláž) a použitých aktívnych prvkov (typ alebo výrobca). Systém musí umožniť detekciu na základe správania a reputácie, rýchlu reakciu na identifikované incidenty, automatické prerušenie pokročilých kybernetických útokov na úrovni jednotlivých zariadení, pokročilú analytiku a automatizáciu, prioritizáciu incidentov a pod. | ||
| 361 | |||
| 362 | Ukladanie údajov musí byť nepretržité s dostupnosťou bez stratovej agregácie na niekoľko mesiacov (min. 6 mesiacov). | ||
| 363 | |||
| 364 | |||
| 365 | |||
| 366 | **__Zavedenie služby SOC as a service__** | ||
| 367 | |||
| 368 | Vybudovanie funkčného a spoľahlivého Security Operation Centra vyžaduje nemalé finančné prostriedky potrebné nielen na nákup technológie samotnej, ale aj na ľudské zdroje. Získať a predovšetkým udržať skúsený personál, schopný efektívne spracovávať veľké množstvo dát a byť schopný intuitívne rozoznať potrebu investigovania kritických situácií, je v dnešnej dobe veľmi zložité. | ||
| 369 | |||
| 370 | Práve s ohľadom na uvedené skutočnosti bude opatrenie Security Operation Center (SOC) zabezpečené formou služby od externého subjektu. Predpokladá sa obstaranie rámcovej zmluvy, ktorá sa bude čerpať podľa potrieb a požiadaviek SPU NR. | ||
| 371 | |||
| 372 | Fungovanie SOC bude riešené formou „as a service“ a teda externý dodávateľ poskytne skúsený tím odborníkov, SOC procesov, CSIRT procesov a pod. Takýto spôsob realizácie umožní jednak eliminovať mesačné náklady na prevádzku SOC-u a zároveň umožní zabezpečiť efektívny spôsob ochrany kybernetického priestoru. SOC ako služba poskytne najmä efektívny bezpečnostný monitoring výskytu mimoriadnych udalostí a bezpečnostných incidentov a zabezpečenie adekvátnej reakcie na bezpečnostné incidenty. Okrem toho poskytne pokročilé analýzy bezpečnostných incidentov a ich vyšetrovanie, podporu riešenia bezpečnostných incidentov a uvedenia systémov späť do bežnej prevádzky, knowledge base ohľadom jednotlivých incidentov a spôsobov ich riešenia a reporting a štatistiky ohľadom jednotlivých a sumárnych bezpečnostných incidentoch, ich závažnosti a dopadoch. | ||
| 373 | |||
| 374 | Zavedenie SOC as a service – Security Operation Centre ako služby prinesie najmä: | ||
| 375 | |||
| 376 | * nastavenie procesného fungovania SOC a previazanie interných a externých procesov a roly: definícia roly, procesný model, zavedenie do praxe, prispôsobenie interných nástrojov (napr. service desk) a LMS systému, právna podpora, úprava interných smerníc a pod., | ||
| 377 | * vytvorenie interných KB databáz vrátane iniciálneho naplnenia a školení pre riešenie bezpečnostných incidentov. | ||
| 378 | |||
| 379 | |||
| 380 | |||
| 381 | **__Ochrana proti škodlivému kódu a EDR:__** | ||
| 382 | |||
| 383 | Súčasťou riešenia budú detailné analytické, diagnostické a detekčno-bezpečnostné práce nad všetkými existujúcimi koncovými zariadeniami z pohľadu vykonania detailného preverenia, analýzy a diagnostiky týchto zariadení na prípadnú prítomnosť infekcie malvérom a v prípade jeho identifikácie aj spoľahlivé a bezpečné odstránenie tak, aby následne mohla byť na tieto zariadenia nasadená rozšírená a najmä funkčná AV a EDR/XDR ochrana. | ||
| 384 | |||
| 385 | V rámci tejto aktivity sa požaduje rozšírenie licencií existujúceho AV riešenia (ESET) na všetky koncové stanice a servery (cca 1200ks) a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Požaduje sa dodanie technológie na prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, ktorá poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou, a ktorá zahŕňa funkcie, ako napr. detekcia incidentov v reálnom čase, manažment a reakcia na incidenty, zozbieravanie údajov, detekcia indikátorov ohrozenia, detekcia anomálií, detekcia správania, detekcia porušenia pravidiel atď. | ||
| 386 | |||
| 387 | Súčasťou dodávky musí byť aj konzola / systém na správu celého riešenia. | ||
| 388 | |||
| 389 | |||
| 390 | |||
| 391 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.2Rozsahinformačnýchsystémov–ASIS"/}}3.2.2 Rozsah informačných systémov – AS IS === | ||
| 392 | |||
| 393 | |||
| 394 | |||
| 395 | Implementované bezpečnostné riešenia sa budú dotýkať najmä zvýšenia ochrany a bezpečnosti nasledovných IS: | ||
| 396 | |||
| 397 | (% class="" %)|((( | ||
| 398 | **Kód ISVS **//(z MetaIS)// | ||
| 399 | )))|((( | ||
| 400 | **Názov ISVS** | ||
| 401 | )))|((( | ||
| 402 | **Modul ISVS** | ||
| 403 | |||
| 404 | //(zaškrtnite ak ISVS je modulom)// | ||
| 405 | )))|((( | ||
| 406 | **Stav IS VS** | ||
| 407 | |||
| 408 | (AS IS) | ||
| 409 | )))|((( | ||
| 410 | **Typ IS VS** | ||
| 411 | )))|((( | ||
| 412 | **Kód nadradeného ISVS** | ||
| 413 | |||
| 414 | //(v prípade zaškrtnutého checkboxu pre modul ISVS)// | ||
| 415 | ))) | ||
| 416 | (% class="" %)|((( | ||
| 417 | \\ | ||
| 418 | )))|((( | ||
| 419 | Univerzitný informačný systém (UIS) | ||
| 420 | )))|((( | ||
| 421 | ☐ | ||
| 422 | )))|((( | ||
| 423 | Vyberte jednu z možností | ||
| 424 | )))|((( | ||
| 425 | Vyberte jednu z možností | ||
| 426 | )))|((( | ||
| 427 | \\ | ||
| 428 | ))) | ||
| 429 | (% class="" %)|((( | ||
| 430 | \\ | ||
| 431 | )))|((( | ||
| 432 | Webové sídlo | ||
| 433 | )))|((( | ||
| 434 | ☐ | ||
| 435 | )))|((( | ||
| 436 | Vyberte jednu z možností | ||
| 437 | )))|((( | ||
| 438 | Vyberte jednu z možností | ||
| 439 | )))|((( | ||
| 440 | \\ | ||
| 441 | ))) | ||
| 442 | |||
| 443 | |||
| 444 | |||
| 445 | Čiastočne a okrajovo sa implementované bezpečnostné opatrenia a riešenia budú dotýkať aj nasledovných infraštruktúrnych a podporných IS, ktoré ale nie sú ISVS: | ||
| 446 | |||
| 447 | |||
| 448 | |||
| 449 | (% class="" %)|((( | ||
| 450 | **Kód ISVS **//(z MetaIS)// | ||
| 451 | )))|((( | ||
| 452 | **Názov ISVS** | ||
| 453 | )))|((( | ||
| 454 | **Modul ISVS** | ||
| 455 | |||
| 456 | //(zaškrtnite ak ISVS je modulom)// | ||
| 457 | )))|((( | ||
| 458 | **Stav IS VS** | ||
| 459 | |||
| 460 | (AS IS) | ||
| 461 | )))|((( | ||
| 462 | **Typ IS VS** | ||
| 463 | )))|((( | ||
| 464 | **Kód nadradeného ISVS** | ||
| 465 | |||
| 466 | //(v prípade zaškrtnutého checkboxu pre modul ISVS)// | ||
| 467 | ))) | ||
| 468 | (% class="" %)|((( | ||
| 469 | \\ | ||
| 470 | )))|((( | ||
| 471 | Podporný školský informačný systém (ŠIS) | ||
| 472 | )))|((( | ||
| 473 | \\ | ||
| 474 | )))|((( | ||
| 475 | \\ | ||
| 476 | )))|((( | ||
| 477 | \\ | ||
| 478 | )))|((( | ||
| 479 | \\ | ||
| 480 | ))) | ||
| 481 | (% class="" %)|((( | ||
| 482 | \\ | ||
| 483 | )))|((( | ||
| 484 | Stravovací systém Kredit | ||
| 485 | )))|((( | ||
| 486 | \\ | ||
| 487 | )))|((( | ||
| 488 | \\ | ||
| 489 | )))|((( | ||
| 490 | \\ | ||
| 491 | )))|((( | ||
| 492 | \\ | ||
| 493 | ))) | ||
| 494 | (% class="" %)|((( | ||
| 495 | \\ | ||
| 496 | )))|((( | ||
| 497 | Prístupový systém SALTO | ||
| 498 | )))|((( | ||
| 499 | \\ | ||
| 500 | )))|((( | ||
| 501 | \\ | ||
| 502 | )))|((( | ||
| 503 | \\ | ||
| 504 | )))|((( | ||
| 505 | \\ | ||
| 506 | ))) | ||
| 507 | (% class="" %)|((( | ||
| 508 | \\ | ||
| 509 | )))|((( | ||
| 510 | Dochádzkový systém | ||
| 511 | )))|((( | ||
| 512 | \\ | ||
| 513 | )))|((( | ||
| 514 | \\ | ||
| 515 | )))|((( | ||
| 516 | \\ | ||
| 517 | )))|((( | ||
| 518 | \\ | ||
| 519 | ))) | ||
| 520 | (% class="" %)|((( | ||
| 521 | \\ | ||
| 522 | )))|((( | ||
| 523 | SAP/SOFIA | ||
| 524 | )))|((( | ||
| 525 | \\ | ||
| 526 | )))|((( | ||
| 527 | \\ | ||
| 528 | )))|((( | ||
| 529 | \\ | ||
| 530 | )))|((( | ||
| 531 | \\ | ||
| 532 | ))) | ||
| 533 | (% class="" %)|((( | ||
| 534 | \\ | ||
| 535 | )))|((( | ||
| 536 | Microsoft365 | ||
| 537 | )))|((( | ||
| 538 | \\ | ||
| 539 | )))|((( | ||
| 540 | \\ | ||
| 541 | )))|((( | ||
| 542 | \\ | ||
| 543 | )))|((( | ||
| 544 | \\ | ||
| 545 | ))) | ||
| 546 | (% class="" %)|((( | ||
| 547 | \\ | ||
| 548 | )))|((( | ||
| 549 | Profinex | ||
| 550 | )))|((( | ||
| 551 | \\ | ||
| 552 | )))|((( | ||
| 553 | \\ | ||
| 554 | )))|((( | ||
| 555 | \\ | ||
| 556 | )))|((( | ||
| 557 | \\ | ||
| 558 | ))) | ||
| 559 | (% class="" %)|((( | ||
| 560 | \\ | ||
| 561 | )))|((( | ||
| 562 | Moodle LMS | ||
| 563 | )))|((( | ||
| 564 | \\ | ||
| 565 | )))|((( | ||
| 566 | \\ | ||
| 567 | )))|((( | ||
| 568 | \\ | ||
| 569 | )))|((( | ||
| 570 | \\ | ||
| 571 | ))) | ||
| 572 | |||
| 573 | |||
| 574 | |||
| 575 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.3Rozsahinformačnýchsystémov–TOBE"/}}3.2.3 Rozsah informačných systémov – TO BE === | ||
| 576 | |||
| 577 | // // | ||
| 578 | |||
| 579 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 580 | |||
| 581 | |||
| 582 | |||
| 583 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.4VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}3.2.4 Využívanie nadrezortných a spoločných ISVS – AS IS === | ||
| 584 | |||
| 585 | |||
| 586 | |||
| 587 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 588 | |||
| 589 | |||
| 590 | |||
| 591 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.5PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}3.2.5 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE === | ||
| 592 | |||
| 593 | |||
| 594 | |||
| 595 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 596 | |||
| 597 | |||
| 598 | |||
| 599 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.6PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}3.2.6 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE === | ||
| 600 | |||
| 601 | |||
| 602 | |||
| 603 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 604 | |||
| 605 | |||
| 606 | |||
| 607 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.7Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}3.2.7 Aplikačné služby pre realizáciu koncových služieb – TO BE === | ||
| 608 | |||
| 609 | |||
| 610 | |||
| 611 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 612 | |||
| 613 | |||
| 614 | |||
| 615 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.8Aplikačnéslužbynaintegráciu–TOBE"/}}3.2.8 Aplikačné služby na integráciu – TO BE === | ||
| 616 | |||
| 617 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 618 | |||
| 619 | |||
| 620 | |||
| 621 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.9PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}3.2.9 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE === | ||
| 622 | |||
| 623 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 624 | |||
| 625 | |||
| 626 | |||
| 627 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.10KonzumovanieúdajovzISCSRU–TOBE"/}}3.2.10 Konzumovanie údajov z IS CSRU – TO BE === | ||
| 628 | |||
| 629 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 630 | |||
| 631 | |||
| 632 | |||
| 633 | |||
| 634 | |||
| 635 | == {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3Dátovávrstva"/}}3.3 Dátová vrstva == | ||
| 636 | |||
| 637 | |||
| 638 | |||
| 639 | Z pohľadu dátového modelu nejde o typické biznis (agendové) dáta ale o dáta typu: | ||
| 640 | |||
| 641 | * Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. – ako výstupy aktivity projektu určené pre ďalšie riadenie rozvoja KIB, | ||
| 642 | * bezpečnostné konfigurácie a bezpečnostné dáta (napr. logy) – pre fungovanie jednotlivých bezpečnostných komponentov. | ||
| 643 | |||
| 644 | Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. sú určené pre proces riadenia KIB. | ||
| 645 | |||
| 646 | Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie bezpečnostných modulov, t.j. jednotlivé komponenty tohto navrhovaného riešenia a zároveň reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov. | ||
| 647 | |||
| 648 | |||
| 649 | |||
| 650 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.1Údajevspráveorganizácie"/}}3.3.1 Údaje v správe organizácie === | ||
| 651 | |||
| 652 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 653 | |||
| 654 | |||
| 655 | |||
| 656 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.2Dátovýrozsahprojektu-Prehľadobjektovevidencie-TOBE"/}}3.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE === | ||
| 657 | |||
| 658 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 659 | |||
| 660 | |||
| 661 | |||
| 662 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.3Referenčnéúdaje"/}}3.3.3 Referenčné údaje === | ||
| 663 | |||
| 664 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 665 | |||
| 666 | |||
| 667 | |||
| 668 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.4Kvalitaačistenieúdajov"/}}3.3.4 Kvalita a čistenie údajov === | ||
| 669 | |||
| 670 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 671 | |||
| 672 | |||
| 673 | |||
| 674 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.5Otvorenéúdaje"/}}3.3.5 Otvorené údaje === | ||
| 675 | |||
| 676 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 677 | |||
| 678 | |||
| 679 | |||
| 680 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.6Analytickéúdaje"/}}3.3.6 Analytické údaje === | ||
| 681 | |||
| 682 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 683 | |||
| 684 | |||
| 685 | |||
| 686 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.7Mojeúdaje"/}}3.3.7 Moje údaje === | ||
| 687 | |||
| 688 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 689 | |||
| 690 | |||
| 691 | |||
| 692 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.8Prehľadjednotlivýchkategóriíúdajov"/}}3.3.8 Prehľad jednotlivých kategórií údajov === | ||
| 693 | |||
| 694 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 695 | |||
| 696 | |||
| 697 | |||
| 698 | == {{id name="projekt_2612_Pristup_k_projektu_detailny-3.4Technologickávrstva"/}}3.4 Technologická vrstva == | ||
| 699 | |||
| 700 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.4.1Prehľadtechnologickéhostavu-ASISaTOBE"/}}3.4.1 Prehľad technologického stavu - AS IS a TO BE === | ||
| 701 | |||
| 702 | |||
| 703 | |||
| 704 | V rámci as-is stavu dnes v rámci SPU NR neexistuje bezpečnostná technológia, ktorá je predmetom tohto projektu. | ||
| 705 | |||
| 706 | Z pohľadu to-be bude finálna technologická vrstva závislá od výsledkov verejného obstarávania a technológie, ktorú ponúkne víťazný uchádzač. | ||
| 707 | |||
| 708 | Niektoré bezpečnostné riešenia totižto poskytujú viacero alternatív a dajú sa implementovať napr. ako virtuálny appliance, ale prípadne aj ako HW appliance. Predpokladom však je, že väčšina bezpečnostných riešení bude nasadená do virtuálneho prostredia SPU NR, a niektoré riešenia budú nasadené ako samostatný HW appliance, prípadne budú nasadení rôzni agenti do infraštruktúry SPU NR. | ||
| 709 | |||
| 710 | Vzhľadom na uvedené skutočnosti predpokladáme „high level“ technologickú architektúru tak, ako je uvedené na nasledujúcom obrázku: | ||
| 711 | |||
| 712 | [[image:attach:image-2024-5-23_16-57-44-1.png||height="400"]] | ||
| 713 | |||
| 714 | |||
| 715 | |||
| 716 | \\ | ||
| 717 | |||
| 718 | |||
| 719 | |||
| 720 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.4.2Požiadavkynavýkonnostnéparametre,kapacitnépožiadavky–TOBE"/}}3.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE === | ||
| 721 | |||
| 722 | Predpokladané výkonnostné parametre a kapacitné požiadavky sú, tam kde je to relevantné, uvedené v popise aplikačnej architektúry jednotlivých aplikačných funkcií a aplikačných modulov. | ||
| 723 | |||
| 724 | |||
| 725 | |||
| 726 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.4.3Návrhriešeniatechnologickejarchitektúry–popísanévyššievrámciASIS-TOBE"/}}3.4.3 Návrh riešenia technologickej architektúry – popísané vyššie v rámci ASIS -TOBE === | ||
| 727 | |||
| 728 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 729 | |||
| 730 | // // | ||
| 731 | |||
| 732 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-3.4.4Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}3.4.4 Využívanie služieb z katalógu služieb vládneho cloudu === | ||
| 733 | |||
| 734 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 735 | |||
| 736 | == {{id name="projekt_2612_Pristup_k_projektu_detailny-3.5Bezpečnostnáarchitektúra"/}}3.5 Bezpečnostná architektúra == | ||
| 737 | |||
| 738 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia. | ||
| 739 | |||
| 740 | |||
| 741 | |||
| 742 | = {{id name="projekt_2612_Pristup_k_projektu_detailny-4.ZávislostinaostatnéISVS/projekty"/}}4. Závislosti na ostatné ISVS / projekty = | ||
| 743 | |||
| 744 | Bez závislostí na iné projekty. | ||
| 745 | |||
| 746 | **~ ** | ||
| 747 | |||
| 748 | = {{id name="projekt_2612_Pristup_k_projektu_detailny-5.Zdrojovékódy"/}}5. Zdrojové kódy = | ||
| 749 | |||
| 750 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 751 | |||
| 752 | Riešenie nepredpokladá vývoj softvéru, ale použitie komerčných bezpečnostných produktov a zariadení. | ||
| 753 | |||
| 754 | \\ | ||
| 755 | |||
| 756 | = {{id name="projekt_2612_Pristup_k_projektu_detailny-6.Prevádzkaaúdržba"/}}6. Prevádzka a údržba = | ||
| 757 | |||
| 758 | Aktivita podpora Governance v oblasti KIB si nevyžaduje žiadnu budúcu prevádzku, nakoľko ide len o analytické a konzultačné práce, ktorých výstupy budú použité pre proces riadenia KIB (Governance) . Výstupy Governance aktivít samozrejme tiež budú musieť byť udržiavané a rozvíjané, to by však malo byť realizované pomocou interných zamestnancov bez priameho vplyvu na rozpočet. | ||
| 759 | |||
| 760 | Pre aktivity napr.: | ||
| 761 | |||
| 762 | * nasadenie nástroja na podporu riadenia aktív a rizík, | ||
| 763 | * implementácia LMS, | ||
| 764 | * implementácia SIEM, | ||
| 765 | * implementácia AV ochrany a EDR/XDR, | ||
| 766 | |||
| 767 | sú rámcové požiadavky na prevádzku a údržbu zadefinované nižšie. | ||
| 768 | |||
| 769 | == {{id name="projekt_2612_Pristup_k_projektu_detailny-6.1Prevádzkovépožiadavky"/}}6.1 Prevádzkové požiadavky == | ||
| 770 | |||
| 771 | Všetky ďalšie parametre a požiadavky na prevádzku a údržbu sa týkajú už len nasledovných aktivít: | ||
| 772 | |||
| 773 | * nasadenie nástroja na podporu riadenia aktív a rizík, | ||
| 774 | * implementácia LMS, | ||
| 775 | * implementácia SIEM, | ||
| 776 | * implementácia AV ochrany a EDR/XDR. | ||
| 777 | |||
| 778 | |||
| 779 | |||
| 780 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-6.1.1Úrovnepodporypoužívateľov"/}}6.1.1 Úrovne podpory používateľov === | ||
| 781 | |||
| 782 | Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy. | ||
| 783 | |||
| 784 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-6.1.2Riešenieincidentov–SLAparametre"/}}6.1.2 Riešenie incidentov – SLA parametre === | ||
| 785 | |||
| 786 | |||
| 787 | |||
| 788 | Označenie naliehavosti incidentu: | ||
| 789 | |||
| 790 | (% class="" %)|((( | ||
| 791 | Označenie naliehavosti incidentu | ||
| 792 | )))|((( | ||
| 793 | Závažnosť incidentu | ||
| 794 | )))|((( | ||
| 795 | Popis naliehavosti incidentu | ||
| 796 | ))) | ||
| 797 | (% class="" %)|((( | ||
| 798 | A | ||
| 799 | )))|((( | ||
| 800 | Kritická | ||
| 801 | )))|((( | ||
| 802 | Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS. | ||
| 803 | ))) | ||
| 804 | (% class="" %)|((( | ||
| 805 | B | ||
| 806 | )))|((( | ||
| 807 | Vysoká | ||
| 808 | )))|((( | ||
| 809 | Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému. | ||
| 810 | ))) | ||
| 811 | (% class="" %)|((( | ||
| 812 | C | ||
| 813 | )))|((( | ||
| 814 | Stredná | ||
| 815 | )))|((( | ||
| 816 | Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému. | ||
| 817 | ))) | ||
| 818 | (% class="" %)|((( | ||
| 819 | D | ||
| 820 | )))|((( | ||
| 821 | Nízka | ||
| 822 | )))|((( | ||
| 823 | Kozmetické a drobné chyby. | ||
| 824 | ))) | ||
| 825 | |||
| 826 | // // | ||
| 827 | |||
| 828 | možný dopad: | ||
| 829 | |||
| 830 | (% class="" %)|((( | ||
| 831 | Označenie závažnosti incidentu | ||
| 832 | )))|((( | ||
| 833 | |||
| 834 | |||
| 835 | Dopad | ||
| 836 | )))|((( | ||
| 837 | Popis dopadu | ||
| 838 | ))) | ||
| 839 | (% class="" %)|((( | ||
| 840 | 1 | ||
| 841 | )))|((( | ||
| 842 | katastrofický | ||
| 843 | )))|((( | ||
| 844 | katastrofický dopad, priamy finančný dopad alebo strata dát, | ||
| 845 | ))) | ||
| 846 | (% class="" %)|((( | ||
| 847 | 2 | ||
| 848 | )))|((( | ||
| 849 | značný | ||
| 850 | )))|((( | ||
| 851 | značný dopad alebo strata dát | ||
| 852 | ))) | ||
| 853 | (% class="" %)|((( | ||
| 854 | 3 | ||
| 855 | )))|((( | ||
| 856 | malý | ||
| 857 | )))|((( | ||
| 858 | malý dopad alebo strata dát | ||
| 859 | ))) | ||
| 860 | |||
| 861 | **// //** | ||
| 862 | |||
| 863 | Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici: | ||
| 864 | |||
| 865 | (% class="" %)|(% colspan="2" rowspan="2" %)((( | ||
| 866 | Matica priority incidentov | ||
| 867 | )))|(% colspan="3" %)((( | ||
| 868 | Dopad | ||
| 869 | ))) | ||
| 870 | (% class="" %)|((( | ||
| 871 | Katastrofický - 1 | ||
| 872 | )))|((( | ||
| 873 | Značný - 2 | ||
| 874 | )))|((( | ||
| 875 | Malý - 3 | ||
| 876 | ))) | ||
| 877 | (% class="" %)|(% rowspan="4" %)((( | ||
| 878 | **Naliehavosť** | ||
| 879 | )))|((( | ||
| 880 | **Kritická - A** | ||
| 881 | )))|((( | ||
| 882 | 1 | ||
| 883 | )))|((( | ||
| 884 | 2 | ||
| 885 | )))|((( | ||
| 886 | 3 | ||
| 887 | ))) | ||
| 888 | (% class="" %)|((( | ||
| 889 | **Vysoká - B** | ||
| 890 | )))|((( | ||
| 891 | 2 | ||
| 892 | )))|((( | ||
| 893 | 3 | ||
| 894 | )))|((( | ||
| 895 | 3 | ||
| 896 | ))) | ||
| 897 | (% class="" %)|((( | ||
| 898 | **Stredná - C** | ||
| 899 | )))|((( | ||
| 900 | 2 | ||
| 901 | )))|((( | ||
| 902 | 3 | ||
| 903 | )))|((( | ||
| 904 | 4 | ||
| 905 | ))) | ||
| 906 | (% class="" %)|((( | ||
| 907 | **Nízka - D** | ||
| 908 | )))|((( | ||
| 909 | 3 | ||
| 910 | )))|((( | ||
| 911 | 4 | ||
| 912 | )))|((( | ||
| 913 | 4 | ||
| 914 | ))) | ||
| 915 | |||
| 916 | **// //** | ||
| 917 | |||
| 918 | Vyžadované reakčné doby: | ||
| 919 | |||
| 920 | (% class="" %)|((( | ||
| 921 | Označenie priority incidentu | ||
| 922 | )))|((( | ||
| 923 | Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu | ||
| 924 | )))|((( | ||
| 925 | Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^ | ||
| 926 | )))|((( | ||
| 927 | Spoľahlivosť ^^(3)^^ | ||
| 928 | |||
| 929 | (počet incidentov za mesiac) | ||
| 930 | ))) | ||
| 931 | (% class="" %)|((( | ||
| 932 | 1 | ||
| 933 | )))|((( | ||
| 934 | 0,5 hod. | ||
| 935 | )))|((( | ||
| 936 | 4 hodín | ||
| 937 | )))|((( | ||
| 938 | 1 | ||
| 939 | ))) | ||
| 940 | (% class="" %)|((( | ||
| 941 | 2 | ||
| 942 | )))|((( | ||
| 943 | 1 hod. | ||
| 944 | )))|((( | ||
| 945 | 12 hodín | ||
| 946 | )))|((( | ||
| 947 | 2 | ||
| 948 | ))) | ||
| 949 | (% class="" %)|((( | ||
| 950 | 3 | ||
| 951 | )))|((( | ||
| 952 | 1 hod. | ||
| 953 | )))|((( | ||
| 954 | 24 hodín | ||
| 955 | )))|((( | ||
| 956 | 10 | ||
| 957 | ))) | ||
| 958 | (% class="" %)|((( | ||
| 959 | 4 | ||
| 960 | )))|((( | ||
| 961 | 1 hod. | ||
| 962 | )))|(% colspan="2" %)((( | ||
| 963 | Vyriešené a nasadené v rámci plánovaných releasov | ||
| 964 | ))) | ||
| 965 | |||
| 966 | // // | ||
| 967 | |||
| 968 | == {{id name="projekt_2612_Pristup_k_projektu_detailny-6.2PožadovanádostupnosťIS:"/}}6.2 Požadovaná dostupnosť IS: == | ||
| 969 | |||
| 970 | **// //** | ||
| 971 | |||
| 972 | (% class="" %)|((( | ||
| 973 | Popis | ||
| 974 | )))|((( | ||
| 975 | Parameter | ||
| 976 | )))|((( | ||
| 977 | Poznámka | ||
| 978 | ))) | ||
| 979 | (% class="" %)|((( | ||
| 980 | **Prevádzkové hodiny** | ||
| 981 | )))|((( | ||
| 982 | 12 hodín | ||
| 983 | )))|((( | ||
| 984 | od 6:00 hod. - do 18:00 hod. počas pracovných dní | ||
| 985 | ))) | ||
| 986 | (% class="" %)|(% rowspan="2" %)((( | ||
| 987 | **Servisné okno** | ||
| 988 | )))|((( | ||
| 989 | 10 hodín | ||
| 990 | )))|((( | ||
| 991 | od 19:00 hod. - do 5:00 hod. počas pracovných dní | ||
| 992 | ))) | ||
| 993 | (% class="" %)|((( | ||
| 994 | 24 hodín | ||
| 995 | )))|((( | ||
| 996 | od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov | ||
| 997 | |||
| 998 | Servis a údržba sa bude realizovať mimo pracovného času. | ||
| 999 | ))) | ||
| 1000 | (% class="" %)|((( | ||
| 1001 | **Dostupnosť produkčného prostredia IS** | ||
| 1002 | )))|((( | ||
| 1003 | 98,5% | ||
| 1004 | )))|((( | ||
| 1005 | 98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod. | ||
| 1006 | |||
| 1007 | Maximálny mesačný výpadok je 5,5 hodiny. | ||
| 1008 | |||
| 1009 | Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni. | ||
| 1010 | |||
| 1011 | Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L3 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS. | ||
| 1012 | |||
| 1013 | V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu. | ||
| 1014 | ))) | ||
| 1015 | |||
| 1016 | // // | ||
| 1017 | |||
| 1018 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-6.2.1Dostupnosť(Availability)"/}}6.2.1 Dostupnosť (Availability) === | ||
| 1019 | |||
| 1020 | |||
| 1021 | |||
| 1022 | Požadovaná dostupnosť pre aktivity projektu: | ||
| 1023 | |||
| 1024 | * nasadenie nástroja na podporu riadenia aktív a rizík, | ||
| 1025 | * implementácia LMS, | ||
| 1026 | * implementácia SIEM, | ||
| 1027 | * implementácia AV ochrany a EDR/XDR | ||
| 1028 | |||
| 1029 | je: | ||
| 1030 | |||
| 1031 | * **98,5% dostupnosť** znamená výpadok 8,25 dňa. | ||
| 1032 | |||
| 1033 | |||
| 1034 | |||
| 1035 | Za týmto účelom bude aj s dodávateľom služby SOC as a service uzatvorená rovnaká dohoda o úrovni poskytovaných služieb (SLA), ktorá bude požadovať uvedenú dostupnosť poskytovanej služby. | ||
| 1036 | |||
| 1037 | |||
| 1038 | |||
| 1039 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-6.2.2RTO(RecoveryTimeObjective)"/}}6.2.2 RTO (Recovery Time Objective) === | ||
| 1040 | |||
| 1041 | Zavedenie aktivít: | ||
| 1042 | |||
| 1043 | * nasadenie nástroja na podporu riadenia aktív a rizík, | ||
| 1044 | * implementácia LMS, | ||
| 1045 | * implementácia SIEM, | ||
| 1046 | * implementácia AV ochrany a EDR/XDR | ||
| 1047 | |||
| 1048 | si budú vyžadovať tretí stupeň, t.j. rýchlu obnovu. | ||
| 1049 | |||
| 1050 | **RTO pre tieto aktivity je definované na 24 hodín**. | ||
| 1051 | |||
| 1052 | \\ | ||
| 1053 | |||
| 1054 | === {{id name="projekt_2612_Pristup_k_projektu_detailny-6.2.3RPO(RecoveryPointObjective)"/}}6.2.3 RPO (Recovery Point Objective) === | ||
| 1055 | |||
| 1056 | \\ | ||
| 1057 | |||
| 1058 | Aktivita: | ||
| 1059 | |||
| 1060 | * nasadenie nástroja na podporu riadenia aktív a rizík, | ||
| 1061 | |||
| 1062 | si bude vyžadovať len tradičné zálohovanie, avšak **RPO pre tieto aktivity je definované na 24 hodín**. | ||
| 1063 | |||
| 1064 | \\ | ||
| 1065 | |||
| 1066 | Nasledovné aktivity: | ||
| 1067 | |||
| 1068 | * implementácia LMS, | ||
| 1069 | * implementácia SIEM, | ||
| 1070 | * implementácia AV ochrany a EDR/XDR | ||
| 1071 | |||
| 1072 | si bude vyžadovať asynchrónnu replikáciu dát. **RPO pre tieto aktivity je definované na 4 hodiny**. | ||
| 1073 | |||
| 1074 | \\ | ||
| 1075 | |||
| 1076 | = {{id name="projekt_2612_Pristup_k_projektu_detailny-7.Požiadavkynapersonál"/}}7. Požiadavky na personál = | ||
| 1077 | |||
| 1078 | Požiadavky sú popísané v dokumente Projektový zámer. | ||
| 1079 | |||
| 1080 | \\ | ||
| 1081 | |||
| 1082 | = {{id name="projekt_2612_Pristup_k_projektu_detailny-8.Implementáciaapreberanievýstupovprojektu"/}}8. Implementácia a preberanie výstupov projektu = | ||
| 1083 | |||
| 1084 | |||
| 1085 | |||
| 1086 | V projekte neprebieha vývoj/implementácia. | ||
| 1087 | |||
| 1088 | = {{id name="projekt_2612_Pristup_k_projektu_detailny-9.Prílohy"/}}9. Prílohy = | ||
| 1089 | |||
| 1090 | // // | ||
| 1091 | |||
| 1092 | \\ | ||
| 1093 | |||
| 1094 | \\ |