pristup_k_projektu

Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – Slovenskej poľnohospodárskej univerzity v Nitre (ďalej ako „SPU NR“) má za cieľ zvýšiť úroveň informačnej a kybernetickej bezpečnosti v sektore verejnej správy.

131

132

Projekt v rámci výzvy poskytuje prostriedky na realizáciu základných stavebných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti. Oblasti bezpečnosti, na ktoré organizácia žiada podporu v rámci tohto projektu (výzvy) predstavujú základný rámec („baseline"), ktorý by mal byť implementovaný. Aktuálny stav implementácie týchto bezpečnostných služieb a funkcií je nízky, preto žiadame o podporu v rámci tohto definovaného rámca. Budúce riešenie základného rámca zabezpečenia informačnej a kybernetickej bezpečnosti na úrovni biznis architektúry by malo pozostávať najmä z nasledovných bezpečnostných riešení:

133

134

* Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia informačnej a kybernetickej bezpečnosti (ďalej len „KIB“).

135

* Analytické aktivity zavedenia bezpečnostných opatrení a riešení.

136

* Implementačné aktivity bezpečnostných riešení.

137

* Pre-financovanie aktivít riadenia súladu, najmä ohľadom auditu kybernetickej bezpečnosti a aktualizácie analýzy rizík a analýzy dopadov po implementácii bezpečnostných opatrení a riešení, tesne pred ukončením projektu.

138

139

Jednotlivé biznis funkcie a bezpečnostné procesy ako aj popis ďalších úrovni architektúry riešenia sú uvedené v nasledujúcich kapitolách.

140

141

[[image:attach:image-2024-5-27_12-29-35-1.png||height="400"]]

142

143

= {{id name="projekt_2612_Pristup_k_projektu_detailny-3.Architektúrariešeniaprojektu"/}}3. Architektúra riešenia projektu =

Tento projekt predstavuje riešenie základných stavebných blokov bezpečnostnej architektúry a zároveň aj ďalšie bezpečnostné funkcie realizované v organizácii. Organizácia nemá zavedený governance KIB a nemá vypracovanú analýzu rizík, taktiež sú nedostatočne riešené aj ďalšie oblasti riadenia KIB definované zákonom o KB.

148

149

Z uvedeného dôvodu bude projekt primárne zameraný na implementáciu governance procesov v oblasti riadenia KIB, kde je cieľom vypracovať dokumentáciu a zaviesť príslušné procesy. Zároveň bude SPU NR žiadať aj o ďalšie oblasti podpory.

150

151

Keďže nejde o implementáciu agendového alebo iného obdobného informačného systému verejnej správy, tak v tomto duchu je upravený aj popis jednotlivých úrovni architektúry. Najmä v prípade poskytnutia podpory pre iné ako governance aktivity, kde sa predpokladá aj implementácia bezpečnostných systémov, zariadení alebo technických riešení, sú rovnako jednotlivé bloky architektúry rozpísané spôsobom zohľadňujúcim uvedené skutočnosti.

\\

Pri biznis architektúre je potrebné si uvedomiť, že projekt, resp. jeho aktivity nerealizujú typické služby eGovernment-u a VS, ale ide o služby na úrovni bezpečnostnej architektúry VS, a ako také a z tohto dôvodu, nie sú vedené ako aplikačné služby v MetaIS.

156

157

Zároveň je potrebné uviesť, že architektúra pre as-is stav nie je uvedená z dôvodu, že aktuálne tieto služby bezpečnostnej architektúry nie sú implementované, prípadne sú implementované len čiastočne na nepostačujúcej úrovni.

158

159

Úrovne architektúry sú ďalej rozpísané podľa jednotlivých aktivít projektu a biznis bezpečnostných funkcií.

160

161

Špecifikácia výstupov jednotlivých aktivít je uvedená v kapitole Požadované výstupy (produkt projektu) v dokumente Projektový zámer.

== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.1Biznisvrstva"/}}3.1 Biznis vrstva ==

Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy:

170

171

* Riadenie aktív a riadenie.

172

** Proces evidencie a správy aktív.

173

** Proces klasifikácie informácií a kategorizácie IS a sietí.

174

** Proces realizácie AR/BIA.

175

** Proces rozhodovania ohľadom riadenia identifikovaných rizík.

176

* Riadenie prístupov.

177

** Proces vzdialeného bezpečného prístupu a viac-faktorovej autentifikácie pri vzdialenom prístupe.

178

** Proces viac-faktorovej autentifikácie pri prístupe administrátorov k IS a zariadeniam.

179

* Hodnotenie zraniteľností.

180

** Proces realizácie skenovania a identifikovania nových zraniteľností existujúcich systémov a zariadení.

181

* Ochrana proti škodlivému kódu.

182

** Proces identifikácie a ochrany koncových staníc a systémov pred škodlivým kódom (ochrana pred malware a ransomware).

183

* Sieťová a komunikačná bezpečnosť.

184

** Proces ochrany a riadenia prístupov z vonkajšieho prostredia do siete SPU NR a opačne.

185

** Proces riadenia prichádzajúcej a odchádzajúcej komunikácie.

186

** Proces segmentácie jednotlivých sietí a systémov.

187

* Zaznamenávanie udalostí a monitorovanie.

188

** Proces zberu, ukladania a riadenia logov.

189

** Proces bezpečnostného monitoringu koncových staníc.

190

** Proces bezpečnostného monitoringu systémov a dátových úložísk.

191

** Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry.

192

** Proces bezpečnostného monitoringu aktivít používateľov.

193

** Proces bezpečnostného monitoringu aktivít privilegovaných používateľov.

194

** Proces vyhodnocovania udalostí založený na “machine learning” algoritmoch a sledovaní správania sa používateľov (“behavioral analysis”).Riešenie kybernetických bezpečnostných incidentov.

195

** Proces identifikácie, vyhodnocovania a riešenia bezpečnostných incidentov a podozrivých udalostí.

\\

Okrem uvedených biznis funkcií je projekt zameraný aj na podporu pre oblasti:

202

203

* governance KIB a bezpečnostná dokumentácia,

204

* zavedenie procesov riadenia KIB pre všetky relevantné oblasti riadenia,

205

* audit, riadenie súladu a kontrolných činností - proces posudzovania súladu formou realizácie auditu KIB.

Jednotlivé biznis funkcie bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

\\

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}3.1.1 Prehľad koncových služieb – budúci stav: ===

220

221

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.1.2Jazykovápodporaalokalizácia"/}}3.1.2 Jazyková podpora a lokalizácia ===

226

227

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2Aplikačnávrstva"/}}3.2 Aplikačná vrstva ==

232

233

Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:

[[image:attach:image-2024-5-27_12-29-57-1.png||height="400"]]

238

239

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.1Požiadavkynajednotlivékomponenty"/}}3.2.1 Požiadavky na jednotlivé komponenty ===

Požiadavky na jednotlivé aplikačné komponenty pre vyššie uvedené aplikačné služby sú nasledovné:

**__ __**

**__Správa dokumentov__**

248

249

V rámci tejto aplikačnej služby bude na správu bezpečnostnej dokumentácie vytvorenej počas projektu využitý existujúci Dokument manažment systém SPU NR.

**__Riadenie aktív a rizík__**

254

255

Za účelom identifikácie aktív a ich ďalšej správy, realizáciu klasifikácie a kategorizácie a realizáciu a následne udržiavanie (aktualizácia) analýzy rizík a analýzy dopadov bude nasadená samostatná aplikácia.

256

257

Nástroj bude predstavovať SW riešenie pozostávajúce z funkcionality evidencie a správy informačných aktív organizácie, realizácie klasifikácie informácií a kategorizácie informačných systémov, realizácie analýzy rizík nad identifikovanými aktívami a podpory riadenia identifikovaných rizík, vrátane priraďovania implementovaných a plánovaných bezpečnostných opatrení k jednotlivým identifikovaným rizikám. Výsledkom bude najmä katalóg rizík s uvedením hodnoty inherentného, ale najmä reziduálneho rizika a návrh akčného plánu plánovaných bezpečnostných opatrení.

258

259

Súčasťou aktivity je samozrejme aj prvotná identifikácia a evidencia všetkých informačných aktív SPU NR, vykonanie klasifikácie informácií a následne kategorizácie IS a sietí podľa požiadaviek aktuálnej legislatívy a zrealizovanie analýzy rizík a analýzy dopadov nad identifikovanými informačnými aktívami v súlade s metodikou AR/BIA. Predmetom dodávky bude aj vytvorenie katalógu rizík a podpora pri procese jeho formálneho schvaľovania vedením SPU NR.

**__Skenovanie zraniteľností__**

264

265

Obstaranie interného nástroja na skenovanie zraniteľností (vulnerability scaner) pre testovanie interných systémov a rovnako aj IP adries SPU NR dostupných zo siete internet, vrátane pracovných staníc používateľov. Nástroj musí byť podporovaný výrobcom a musí mať prístup k aktuálnym databázam hrozieb a zraniteľností systémov. Prípadne môže byť dodané ako cloudová služba s EDR/XDR bezpečnostným riešením uvedeným nižšie.

266

267

Súčasťou aktivity bude aj vykonanie iniciálneho vulnerability testu (scanu) interných systémov a web stránky a zaškolenie administrátora SPU NR.

268

269

**__Sieťová a komunikačná bezpečnosť__**

270

271

Implementácia New Generation Firewall (NGFW) na správu sieťovej prevádzky a blokovanie nebezpečnej sieťovej komunikácie. Firewall bude disponovať rozšírenými bezpečnostnými funkciami typu:

272

273

* VPN,

274

* Intrusion Prevention (IPS),

275

* Web Filtering,

276

* Antivirus/Animalware,

277

* Application Control,

278

* Advanced Threat Protection (ATP),

279

* Cloud-Delivered Security,

280

* Sandboxing,

281

* SSL Inspection,

282

* Identity Management,

283

* Mobile Security,

284

* SD-WAN,

285

* Wireless Controller,

286

* DDoS Protection,

287

* Bandwidth Management,

288

* Logging & Reporting,

289

* Automation & API Integration,

* Muli-Tenancy,

* Geo-IP Filtering.

Základné požiadavky na FW:

294

295

* Firewall bude umožňovať aj sandboxing (možnosť využiť cloudovú funkciu, nakoľko bude zapnutá na komunikácii prichádzajúcej zo siete Internet).

296

* Napojenie na RADIUS/SSO a bude podporovať SD-WAN.

297

* VPN prístup (cca 50 konkurentných VPN používateľov).

298

* Možnosť rozdeliť firewall na min. 2 virtuálne firewally.

299

* Firewall by mal byť zložený z komponentov jedného výrobcu, vrátane všetkých poskytovaných funkcionalít typu IPS, AV, AS signatúr, databáz pre URL kategorizáciu, sandbox definícií a pod. Zároveň by mala byť týmto jedným výrobcom zaistená podpora minimálne po dobu plánovanej životnosti FW.

300

* FW by mal obsahovať jeden dedikovaný port pre správu pomocou konzoly.

301

* FW by mal obsahovať aspoň jeden dedikovaný OOB (Out-of-band) management port pre plnohodnotnú správu FW.

302

* FW by mal zároveň umožňovať funkcionalitu DHCP servera.

303

* FW by mal byť schopný ukladať údaje na interný disk.

304

* FW by mal podporovať agregáciu portov pomocou protokolu 802.3ad (LACP).

305

* FW by mal byť rozmerovo kompatibilný s 19 „rozvádzačom.

306

* FW by mal podporovať dva nezávislé redundantné zdroje napájania AC 230V, vymeniteľné za behu zariadenia.

307

* FW by mal plne podporovať IPv4 aj IPv6.

308

* FW by mal podporovať preklady adries typu Static NAT, Dynamic NAT, PAT, NAT64.

309

* FW by mal podporovať smerovanie typu Static route, RIP, OSPFv2, OSPFv3, BGP, PIM, IGMP a PBR (Policy Based Routing).

310

* PBR (Policy-Based Routing) by malo byť možné nakonfigurovať na základe všetkých dostupných metrík typu interface, zóna, IP adresa, užívateľ.

311

* FW by mal podporovať režim clusteringu, využiteľný pre prípadné dodatočné zvýšenie priepustnosti.

312

* FW by mal podporovať site-to-site VPN pomocou protokolu IPSec.

313

* FW by mal podporovať Remote Access VPN pomocou protokolov IPSec a SSL (min. TLS v 1.2 / 1.3).

314

* Počet súčasne pripojených užívateľov nesmie byť licenčne obmedzený.

315

* Jednotlivé HW appliance musia obsahovať plnohodnotné grafické rozhranie (GUI) pre správu sieťových a bezpečnostných funkcií bez nutnosti používania centrálneho management servera.

316

* FW by mal podporovať aplikačnú detekciu a kontrolu ako svoju natívnu funkcionalitu.

317

* FW by mal podporovať vytváranie bezpečnostných pravidiel na základe používateľských identít.

318

* FW by mal obsahovať integrovaný systém ochrany proti sieťovým útokom (IPS). Databáza IPS signatúr by mala byť uložená priamo vo FW.

319

* 1 Gbps priepustnosť rozhrania so zapnutými funkciami:

320

** IPS, malware protection, url filtering,

321

** SSL inšpekcia v režime pre prichádzajúci/odchádzajúci traffic na WAN rozhranie.

322

323

Požaduje sa dodanie FW s rozšírenou 5 ročnou zárukou a min. 5 ročnou technickou podporou zariadenia a podpory zo strany výrobcu (vydávanie bezpečnostných záplat).

**__ __**

**__Riadenie prístupov – Identifikácia a autentifikácia - Zavedenie 2FA (dvoj-faktorová autentifikácia)__**

328

329

Zavedenie 2FA umožní zvýšenie úrovne identifikácie a najmä autentifikácie pracovníkov, ale aj zvýšenie úrovne bezpečnosti pri správe IKT z pozície tzv. „power users" a administrátorov systémov. Dvojfaktorová autentifikáciu je v súčasnosti takmer nevyhnutnou formou zabezpečenia takmer všetkých účtov a služieb, ktoré sú dôležité. Dvojfaktorová autentifikácia umožní ochrániť od neautorizovaného prístupu útočníkov aj v prípade ak získajú prihlasovacie údaje, nakoľko sa nedostanú cez overenie v druhom kroku. S ohľadom na uvedené bude v rámci realizácie projektu riešený práve tento systém ochrany pre potreby zabezpečenia VPN pripojenia do LAN siete SPU NR.

330

331

Dvojfaktorová autentifikácia bude riešená Tokenmi generovanými mobilnou aplikáciou.

332

333

2FA je v projekte nastavená pre viacero typov používateľov:

334

335

* Obyčajný používateľ pri prístupe cez VPN, pre ktorého bude zavedenie komponentu predstavovať použitie ďalšieho prostriedku autentifikácie (2FA), ktorý bude predstavovať aplikácia v mobilnom telefóne.

336

* Administrátor, alebo „power user“ pri prístupe k správe prideleného IS bude mať k dispozícii rovnako aplikáciu v mobilnom telefóne, ktorá zabezpečí druhý autentifikačný faktor.

337

338

Funkčné a výkonové požiadavky:

339

340

* riešenie využívajúce softvérový autentifikátor dostupný pre platformy mobilných telefónov iOS a Android.

341

* auto-aktivácia používateľa bez potreby prítomnosti správcu systému,

342

* možnosť distribúcie autorizačného kódu autentifikácie druhého faktoru:

343

** formou výzvy (push notifikácia),

344

** formou SMS,

345

* pre všetkých zamestnancov pristupujúcich cez VPN (cca 50 zamestnancov),

346

* pre všetkých „power users“ (do 10 administrátorov),

347

* integrácia s vybranými existujúcimi systémami:

348

** minimálne s AD

349

** s FW na perimetri siete pre vzdialený VPN prístup používateľov do internej LAN a k sieťovým službám,

350

* prideľovanie oprávnení správcom na základe rolí (vlastník systému, IT správca systému, Správca integrácií, Správca používateľov, Podpora používateľov/Helpdesk),

351

* možnosť vytvárania skupín používateľov a zaraďovanie používateľov do skupín,

352

* možnosť vytvárania politík a ich aplikovanie:

353

** na skupiny používateľov,

354

** na používateľa podľa jeho geo-lokácie,

355

** na používateľa na základe stavu bezpečnosti jeho terminálu, ktorým sa pripája,

356

** na používateľa na základe stavu bezpečnosti mobilného zariadenia používateľa používaného na distribúciu autorizačného kódu,

357

** na základe jednotlivých integrácií,

358

* logovanie:

359

** histórie prístupov používateľov (meno, dátum, čas, terminál používateľa, sprístupnený systém, geo-lokácia IP adresy, atď.),

360

** informácií o mobilných zariadeniach používateľov použitých na distribúciu autorizačného kódu,

361

** úspešných aj neúspešných prihlásení,

362

* automatická detekcia anomálií a rizika pri prihlasovaní.

\\

**__Bezpečnostný monitoring__**

367

368

V rámci bezpečnostného monitoringu ide o dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie systému bezpečnostného monitoringu (SIEM) ako cloudovej služby, s integrovaným centrálnym log manažmentom s nepretržitou dostupnosťou bez stratovej agregácie, pre účely agentského aj bez-agentského zberu logov zo systémov SPU NR, vrátane zaškolenia administrátora SPU NR.

369

370

Tento aplikačný komponent zabezpečí zber logov zo sieťových zariadení a koncových staníc, spoločne s funkcionalitami:

371

372

* LMS (Log Management System) – retencia logov 13 mesiacov.

373

* Detekcia potencionálnych hrozieb.

374

* Možnosť tvorby vlastných korelačných pravidiel.

375

* NTA (Network Traffic Analyzer).

376

* FIM (File Integrity Monitoring).

377

378

Minimálne požadované komponenty pre zber logov:

379

380

* AD (Active Dicertory),

* DHCP,

* DNS,

* VPN,

Zber logov v prostredí Microsoft / Linux / MacOS:

386

387

* udalosti z Microsoft Serverových prostredí DHCP, DNS, Active Directory sú získavané bez agenta inštalovaného priamo na koncovom Windows Server systéme,

388

* Windows / Linux / MacOS agent nevyžaduje administrátorské zásahy na koncovom systéme – je centrálne spravovaný a automaticky aktualizovaný priamo z centrálnej správcovskej konzoly systému,

389

* Windows / Linux / MacOS agent má buffer pre prípad straty spojenia medzi koncovým systémom a centrálnym úložiskom logov,

390

* možnosť inštalácie agenta cez GPO.

391

392

Funkčné a výkonové požiadavky na SIEM / NTA:

393

394

* zbierať, detegovať a vyhodnocovať udalosti ako sú pokusy o neautorizované prístupy, zmeny integrity vybraných častí operačného systému,

395

* umožňovať monitoring, vyhodnocovanie a následné generovanie alertov a to všetko v reálnom čase, pričom nesmie technicky limitovať počet spracovávaných a ukladaných udalostí (napríklad pri prekročení licencie alebo výkonu riešenia),

396

* umožňovať uchovávanie pôvodnej informácie zo zdroja logu o časovej značke udalosti,

397

* každý log musí mať unikátny identifikátor, pre jednoznačnú identifikáciu,

398

* musí podporovať detekciu sieťových incidentov,

399

* bez nutnosti požiadaviek na externý databázový server,

400

* možnosť tvorby vlastných Dashboardov a Vizuálnych Analýz,

401

* podporuje zber dát so šifrovaným prenosom (TLS, prípadne šifrovaný obsah správ) na celej trase zdroj /kolektor/ centrálna konzola,

402

* podporuje vlastnú alebo externú integráciu na multi-faktorovú autentifikáciu, multi-faktorová autentifikácia minimálne s podporou Google Authenticator a SMS správy,

403

* musí podporovať funkcionalitu auditovania integrity súborov pre minimálne nasledujúce typy súborov Linux:

** /bin,

** /boot,

** /etc,

** /sbin,

** /usr/bin,

** /usr/local/bin,

** /usr/local/sbin,

** /usr/sbin,

** /usr/share/keyrings,

413

** /var/spool/cron,

414

* musí podporovať funkcionalitu auditovania integrity súborov pre minimálne nasledujúce typy súborov Windows:

** bat,

** .cfg,

** .conf,

** .config,

** .dll,

** .exe,

** .ini,

** .sys,

** .ps1,

** .cmd,

* NTA môže byť nasadené do internej, či externej časti siete bez licenčného obmedzenia množstva nasadených zariadení,

426

* NTA poskytuje špecifické korelačné pravidlá pre SIEM súvisiace s analýzou sieťovej prevádzky,

427

* NTA poskytuje špecifické vyhľadávacie vzory (queries) pre SIEM súvisiace s analýzou sieťovej prevádzky,

428

* NTA poskytuje špecifické šablóny pre tvorbu dashboard v SIEM súvisiace s analýzou sieťovej prevádzky,

429

* NTA musí byť možné inštalovať do fyzického, virtualizačného alebo cloud prostredia.

**__Zavedenie služby SOC as a service__**

434

435

Vybudovanie funkčného a spoľahlivého Security Operation Centra vyžaduje nemalé finančné prostriedky potrebné nielen na nákup technológie samotnej, ale aj na ľudské zdroje. Získať a predovšetkým udržať skúsený personál, schopný efektívne spracovávať veľké množstvo dát a byť schopný intuitívne rozoznať potrebu investigovania kritických situácií, je v dnešnej dobe veľmi zložité.

436

437

Práve s ohľadom na uvedené skutočnosti bude opatrenie Security Operation Center (SOC) zabezpečené formou služby od externého subjektu. Predpokladá sa obstaranie rámcovej zmluvy, ktorá sa bude čerpať podľa potrieb a požiadaviek SPU NR.

438

439

Fungovanie SOC bude riešené formou „as a service“ a teda externý dodávateľ poskytne skúsený tím odborníkov, SOC procesov, CSIRT procesov a pod. Takýto spôsob realizácie umožní jednak eliminovať mesačné náklady na prevádzku SOC-u a zároveň umožní zabezpečiť efektívny spôsob ochrany kybernetického priestoru. SOC ako služba poskytne najmä efektívny bezpečnostný monitoring výskytu mimoriadnych udalostí a bezpečnostných incidentov a zabezpečenie adekvátnej reakcie na bezpečnostné incidenty. Okrem toho poskytne pokročilé analýzy bezpečnostných incidentov a ich vyšetrovanie, podporu riešenia bezpečnostných incidentov a uvedenia systémov späť do bežnej prevádzky, knowledge base ohľadom jednotlivých incidentov a spôsobov ich riešenia a reporting a štatistiky ohľadom jednotlivých a sumárnych bezpečnostných incidentoch, ich závažnosti a dopadoch.

440

441

Zavedenie SOC as a service – Security Operation Centre ako služby prinesie najmä:

442

443

* nastavenie procesného fungovania SOC a previazanie interných a externých procesov a roly: definícia roly, procesný model, zavedenie do praxe, prispôsobenie interných nástrojov (napr. service desk) a LMS systému, právna podpora, úprava interných smerníc a pod.,

444

* vytvorenie interných KB databáz vrátane iniciálneho naplnenia a školení pre riešenie bezpečnostných incidentov.

**__Ochrana proti škodlivému kódu a EDR:__**

449

450

Súčasťou riešenia budú detailné analytické, diagnostické a detekčno-bezpečnostné práce nad všetkými existujúcimi koncovými zariadeniami z pohľadu vykonania detailného preverenia, analýzy a diagnostiky týchto zariadení na prípadnú prítomnosť infekcie malvérom a v prípade jeho identifikácie aj spoľahlivé a bezpečné odstránenie tak, aby následne mohla byť na tieto zariadenia nasadená rozšírená a najmä funkčná AV a EDR/XDR ochrana.

451

452

V rámci tejto aktivity sa požaduje rozšírenie licencií existujúceho AV riešenia (ESET) na všetky koncové stanice a servery (cca 1200ks) a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Požaduje sa dodanie technológie na prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, šifrovanie celých diskov, správu zraniteľností a patchov aplikácií tretích strán, ochranu poštových serverov/mailboxov, ochranu cloudového prostredia Microsoft365/Google Workspace a možnosť prevádzkovať jednotnú manažment konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom („on-prem“) nasadení podľa voľby SPU NR za účelom zvýšenia úrovne kybernetickej bezpečnosti. Riešenie poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou, a ktorá zahŕňa funkcie, ako napr. detekcia incidentov v reálnom čase, manažment a reakcia na incidenty, zber údajov, detekcia indikátorov ohrozenia, detekcia anomálií, detekcia správania, detekcia porušenia pravidiel atď.

453

454

Súčasťou dodávky musí byť aj konzola / systém na správu celého riešenia.

455

456

Detailné požiadavky na riešenie:

457

458

* Možnosť prevádzky centrálneho servera v cloude alebo on-premise na platforme Windows Server.

459

* Webová konzola pre správu a vyhodnotenie.

460

* Možnosť prevádzky s databázami: Microsoft SQL, MySQL.

461

* Možnosť prevádzky v offline prostredí.

462

* Autonómne správanie so schopnosťou vyhodnotiť podozrivú/ škodlivú aktivitu a zareagovať na ňu aj bez aktuálne dostupného riadiaceho servera alebo internetového pripojenia.

463

* Logovanie činností administrátora (tzv. Audit Log).

464

* Podpora EDR pre systémy Windows, Windows server, MacOS a Linux.

465

* Možnosť autentizácie do manažmentu EDR pomocou 2FA.

466

* Možnosť riadenia manažmentu EDR prostredníctvom API, a to ako pre:

467

** prijímanie informácií z EDR serverov

468

** aj zasielanie príkazov na EDR servery.

469

* Integrovaný nástroj v EDR riešení pre vzdialené zasielanie príkazov priamo z konzoly.

470

* Možnosť izolácie zariadenia od siete.

471

* Možnosť tvorby vlastných loC.

472

* Možnosť škálovania množstva historických dát vyhodnotených v EDR min. 3 mesiace pre raw-data a min. 3 roky pre detegované incidenty.

473

* „Učiaci režim" pre automatizované vytváranie výnimiek k detekčným pravidlám.

474

* Indikátory útoku pracujúce s behaviorálnou detekciou.

475

* Indikátory útoku pracujúce s reputáciou.

476

* Riešenie umožňuje analýzu vektorov útoku.

477

* Schopnosť detekcie: min. škodlivých spustiteľných súborov: skriptov, exploitov, rootkitov, sieťových útokov, zneužitie WMI nástrojov, bez-súborového malwaru, škodlivých systémových ovládačov / kernel modulov, pokusov o dump prihlasovacích údajov užívateľa.

478

* Schopnosť detegovať laterálny pohyb útočníka.

479

* Analýza procesov, všetkých spustiteľných súborov a DLL knižníc.

480

* Náhľad na spustené skripty použité pri detegovanej udalosti.

481

* Možnosť zabezpečeného vzdialeného spojenia cez servery výrobcu do konzoly EDR.

482

* Schopnosť automatizovaného response úkonu pre jednotlivé detekčné pravidlá v podobe: izolácia stanice, blokácia hash súboru, blokácia a vyčistenie siete od konkrétneho súboru, ukončení procesu, reštart počítača, vypnutie počítača.

483

* Možnosť automatického vyriešenia incidentu administrátorom.

484

* Prioritizácia vzniknutých incidentov.

485

* Možnosť stiahnutia spustiteľných súborov zo staníc pre bližšiu analýzu vo formáte archívu opatreným heslom.

486

* Integrácia a zobrazenie detekcií vykonaných antimalware produktom.

487

* Riešenie je schopné generovať tzv. forest/full execution tree model.

488

* Vyhľadávanie pomocou novo vytvorených loC nad historickými dátami.

489

* Previazanie s technikami popísanými v knowledge base MITRE ATT&CK.

490

* Integrovaný vyhľadávač VirusTotal s možnosťou rozšírenia o vlastné vyhľadávače.

491

492

Požiadavky na manažment konzolu pre správu všetkých riešení v rámci ponúkaného balíka v rozsahu:

493

494

* Možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom („on-prem“) nasadení.

495

* Webová konzola.

496

* Možnosť inštalácie na Windows aj Linux.

497

* Predpripravená „virtual appliance“ pre virtuálne prostredie VMware, Microsoft Hyper-V, Microsoft Azure, Oracle Virtual Box.

498

* Server/proxy architektúra pre sieťovú pružnosť – zníženie záťaže pri sťahovaní aktualizácií detekčných modulov výrobcu.

499

* Možnosť prebudenia klientov pomocou „Wake On Lan“ (WOL).

500

* Vzdialené vypnutie, reštart počítača alebo odhlásenie všetkých používateľov.

501

* Možnosť konfigurácie „virtual appliance“ cez užívateľsky prívetivé webové rozhranie Webmin.

502

* Nezávislý manažment agent pre platformy Windows, Linux a MacOS.

503

* Manažment agent pre architektúry na platformy Windows a MacOS: x86, x64, ARM64.

504

* Nezávislý agent (pracuje aj offline) vzdialenej správy pre zabezpečenie komunikácie a ovládania operačného systému.

505

* Offline uplatňovanie politík a spúšťanie úloh pri výskyte definovanej udalosti (napríklad: odpojenie od siete pri nájdení škodlivého kódu).

506

* Administrácia v najpoužívanejších jazykoch vrátane slovenčiny.

507

* Široké možnosti konfigurácie oprávnení administrátorov (napríklad možnosť správy iba časti infraštruktúry, ktoré konkrétnemu administrátorovi podlieha).

508

* Zabezpečenie prístupu administrátorov do vzdialenej správy pomocou 2FA.

509

* Podpora štítkov/tagovania pre jednoduchšiu správu a vyhľadávanie.

510

* Správa karantény s možnosťou vzdialeného vymazania / obnovenia / obnovenia a vylúčenia objektu z detekcie.

511

* Vzdialené získanie zachyteného škodlivého súboru.

512

* Detekcia nespravovaných (rizikových) počítačov komunikujúcich na sieti.

513

* Podpora pre inštalácie a odinštalácie aplikácií 3.strán.

514

* Vyčítanie informácií o verziách softvéru 3. strán.

515

* Možnosť vyčítať informácie o hardvéri na spravovaných zariadeniach (CPU, RAM, diskové jednotky, grafické karty…).

516

* Možnosť vyčítať sériové číslo zariadenia.

517

* Možnosť vyčítať voľné miesto na disku.

518

* Detekcia aktívneho šifrovania BitLocker na spravovanej stanici.

519

* Zobrazenie časovej informácie o poslednom boot-e stanice.

520

* Odoslanie správy na počítač / mobilné zariadenie, ktoré sa následne zobrazí užívateľovi na obrazovke.

521

* Vzdialené odinštalovanie antivírusového riešenia 3. strany.

522

* Vzdialené spustenie akéhokoľvek príkazu na cieľovej stanici pomocou Príkazového riadku.

523

* Dynamické skupiny pre možnosť definovania podmienok, za ktorých dôjde k automatickému zaradeniu klienta do požadovanej skupiny a automatickému uplatneniu klientskej úlohy.

524

* Automatické zasielanie upozornení pri dosiahnutí definovaného počtu alebo percent ovplyvnených klientov (napríklad: 5 % všetkých počítačov / 50 klientov hlási problémy).

525

* Podpora SNMP Trap, Syslogu a qRadar SIEM.

526

* Podpora formátov pre Syslog správy: CEF, JSON, LEEF.

527

* Podpora inštalácie skriptom - *.bat, *.sh, *.ini (GPO, SSCM…).

528

* Rýchle pripojenie na klienta pomocou RDP z konzoly pre vzdialenú správu.

529

* Reportovanie stavu klientov chránených inými bezpečnostnými programami.

530

* Schopnosť zaslať reporty a upozornenia na e-mail.

531

* Konzola podporuje multi-doménové prostredie (schopnosť pracovať s viacerými AD štruktúrami).

532

* Konzola podporuje multi-tenantné prostredie (schopnosť v jednej konzole spravovať viac počítačových štruktúr).

533

* Podpora VDI prostredia (Citrix, VMware, SCCM, a pod.).

534

* Podpora klonovania počítačov pomocou golden image.

535

* Podpora inštanciách klonov.

536

* Podpora obnovy identity počítača pre VDI prostredie na základe FQDN.

537

* Možnosť definovať viacero menných vzorov klonovaných počítačov pre VDI prostredie.

538

* Pridanie zariadenia do vzdialenej správy pomocou: synchronizácia s Active Directory, ručné pridanie pomocou IP adresy alebo názvu zariadenia, pomocou sieťového skenu nechránených zariadení v sieti, Import cez csv súbor.

539

540

Požiadavky na správu zraniteľností a patchov aplikácií tretích strán:

541

542

* Automatizované kontroly podľa vlastného harmonogramu na základe prispôsobiteľných pravidiel.

543

* Filtrovanie, zoskupovanie a triedenie zraniteľností podľa ich závažnosti.

544

* Možnosť manuálnych alebo automatických opráv.

545

* Prispôsobiteľné politiky záplat.

546

* Podpora multi-tenant v komplexných sieťových prostrediach - prehľad zraniteľností v konkrétnych častiach organizácie.

547

* Databáza zraniteľností, CVSS 2.0 a CVSS 3.1.

548

549

Požiadavky na ochranu poštových serverov/mailboxov:

550

551

* Komplexná vrstva ochrany na úrovni servera s cieľom zabrániť prieniku spamu a malvéru do e‑mailových schránok používateľov.

552

* Antimalvér, antispam, anti‑phishing, ochrana hostiteľských serverov, ochrana založená na strojovom učení.

* Správa karantény.

* Podpora klastrov.

Požiadavky na ochranu cloudového prostredia Microsoft365/Google Workspace:

557

558

* Pokročilá ochrana pre aplikácie služby Microsoft 365 prostredníctvom ľahko použiteľnej cloudovej konzoly.

559

* Filtrovanie spamu, antimalvérová kontrola, anti‑phishing a cloudový sandboxing.

560

* Ochrana cloudových úložísk.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.2Rozsahinformačnýchsystémov–ASIS"/}}3.2.2 Rozsah informačných systémov – AS IS ===

Implementované bezpečnostné riešenia sa budú dotýka najmä zvýšenia ochrany a bezpečnosti nasledovných IS:

569

570

(% class="" %)|(((

571

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

586

587

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

(% class="" %)|(((

\\

)))|(((

Univerzitný informačný systém (UIS)

)))|(((

☐

)))|(((

Vyberte jednu z možností

597

)))|(((

598

Vyberte jednu z možností

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

Webové sídlo

)))|(((

☐

)))|(((

Vyberte jednu z možností

610

)))|(((

611

Vyberte jednu z možností

)))|(((

\\

)))

Čiastočne a okrajovo sa implementované bezpečnostné opatrenia a riešenia budú dotýkať aj nasledovných infraštruktúrnych a podporných IS, ktoré ale nie sú ISVS:

(% class="" %)|(((

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

638

639

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

(% class="" %)|(((

\\

)))|(((

Podporný školský informačný systém (ŠIS)

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

Stravovací systém Kredit

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

Prístupový systém SALTO

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

Dochádzkový systém

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

SAP/SOFIA

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

Microsoft365

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

Profinex

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

Moodle LMS

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.3Rozsahinformačnýchsystémov–TOBE"/}}3.2.3 Rozsah informačných systémov – TO BE ===

// //

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.4VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}3.2.4 Využívanie nadrezortných a spoločných ISVS – AS IS ===

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.5PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}3.2.5 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE ===

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.6PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}3.2.6 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.7Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}3.2.7 Aplikačné služby pre realizáciu koncových služieb – TO BE ===

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.8Aplikačnéslužbynaintegráciu–TOBE"/}}3.2.8 Aplikačné služby na integráciu – TO BE ===

789

790

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.9PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}3.2.9 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===

795

796

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.2.10KonzumovanieúdajovzISCSRU–TOBE"/}}3.2.10 Konzumovanie údajov z IS CSRU – TO BE ===

801

802

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3Dátovávrstva"/}}3.3 Dátová vrstva ==

Z pohľadu dátového modelu nejde o typické biznis (agendové) dáta ale o dáta typu:

813

814

* Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. – ako výstupy aktivity projektu určené pre ďalšie riadenie rozvoja KIB,

815

* bezpečnostné konfigurácie a bezpečnostné dáta (napr. logy) – pre fungovanie jednotlivých bezpečnostných komponentov.

816

817

Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. sú určené pre proces riadenia KIB.

818

819

Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie bezpečnostných modulov, t.j. jednotlivé komponenty tohto navrhovaného riešenia a zároveň reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.1Údajevspráveorganizácie"/}}3.3.1 Údaje v správe organizácie ===

824

825

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.2Dátovýrozsahprojektu-Prehľadobjektovevidencie-TOBE"/}}3.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE ===

830

831

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.3Referenčnéúdaje"/}}3.3.3 Referenčné údaje ===

836

837

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.4Kvalitaačistenieúdajov"/}}3.3.4 Kvalita a čistenie údajov ===

842

843

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.5Otvorenéúdaje"/}}3.3.5 Otvorené údaje ===

848

849

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.6Analytickéúdaje"/}}3.3.6 Analytické údaje ===

854

855

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.7Mojeúdaje"/}}3.3.7 Moje údaje ===

860

861

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.3.8Prehľadjednotlivýchkategóriíúdajov"/}}3.3.8 Prehľad jednotlivých kategórií údajov ===

866

867

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.4Technologickávrstva"/}}3.4 Technologická vrstva ==

872

873

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.4.1Prehľadtechnologickéhostavu-ASISaTOBE"/}}3.4.1 Prehľad technologického stavu - AS IS a TO BE ===

V rámci as-is stavu dnes v rámci SPU NR neexistuje bezpečnostná technológia, ktorá je predmetom tohto projektu.

878

879

Z pohľadu to-be bude finálna technologická vrstva závislá od výsledkov verejného obstarávania a technológie, ktorú ponúkne víťazný uchádzač.

880

881

Niektoré bezpečnostné riešenia totižto poskytujú viacero alternatív a dajú sa implementovať napr. ako virtuálny appliance, ale prípadne aj ako HW appliance. Predpokladom však je, že väčšina bezpečnostných riešení bude nasadená do virtuálneho prostredia SPU NR, a niektoré riešenia budú nasadené ako samostatný HW appliance, prípadne budú nasadení rôzni agenti do infraštruktúry SPU NR.

882

883

Vzhľadom na uvedené skutočnosti predpokladáme „high level“ technologickú architektúru tak, ako je uvedené na nasledujúcom obrázku:

884

885

[[image:attach:image-2024-5-27_12-30-30-1.png||height="400"]]

\\

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.4.2Požiadavkynavýkonnostnéparametre,kapacitnépožiadavky–TOBE"/}}3.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE ===

894

895

Predpokladané výkonnostné parametre a kapacitné požiadavky sú, tam kde je to relevantné, uvedené v popise aplikačnej architektúry jednotlivých aplikačných funkcií a aplikačných modulov.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.4.3Návrhriešeniatechnologickejarchitektúry–popísanévyššievrámciASIS-TOBE"/}}3.4.3 Návrh riešenia technologickej architektúry – popísané vyššie v rámci ASIS -TOBE ===

900

901

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

// //

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.4.4Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}3.4.4 Využívanie služieb z katalógu služieb vládneho cloudu ===

906

907

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

908

909

== {{id name="projekt_2612_Pristup_k_projektu_detailny-3.5Bezpečnostnáarchitektúra"/}}3.5 Bezpečnostná architektúra ==

910

911

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia.

= {{id name="projekt_2612_Pristup_k_projektu_detailny-4.ZávislostinaostatnéISVS/projekty"/}}4. Závislosti na ostatné ISVS / projekty =

916

917

Bez závislostí na iné projekty.

**~ **

= {{id name="projekt_2612_Pristup_k_projektu_detailny-5.Zdrojovékódy"/}}5. Zdrojové kódy =

922

923

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

924

925

Riešenie nepredpokladá vývoj softvéru, ale použitie komerčných bezpečnostných produktov a zariadení.

\\

= {{id name="projekt_2612_Pristup_k_projektu_detailny-6.Prevádzkaaúdržba"/}}6. Prevádzka a údržba =

930

931

Aktivita podpora Governance v oblasti KIB si nevyžaduje žiadnu budúcu prevádzku, nakoľko ide len o analytické a konzultačné práce, ktorých výstupy budú použité pre proces riadenia KIB (Governance) . Výstupy Governance aktivít samozrejme tiež budú musieť byť udržiavané a rozvíjané, to by však malo byť realizované pomocou interných zamestnancov bez priameho vplyvu na rozpočet.

Pre aktivity napr.:

* nasadenie nástroja na podporu riadenia aktív a rizík,

936

* implementácia LMS,

937

* implementácia SIEM,

938

* implementácia AV ochrany a EDR/XDR,

939

940

sú rámcové požiadavky na prevádzku a údržbu zadefinované nižšie.

941

942

== {{id name="projekt_2612_Pristup_k_projektu_detailny-6.1Prevádzkovépožiadavky"/}}6.1 Prevádzkové požiadavky ==

943

944

Všetky ďalšie parametre a požiadavky na prevádzku a údržbu sa týkajú už len nasledovných aktivít:

945

946

* nasadenie nástroja na podporu riadenia aktív a rizík,

947

* implementácia LMS,

948

* implementácia SIEM,

949

* implementácia AV ochrany a EDR/XDR.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-6.1.1Úrovnepodporypoužívateľov"/}}6.1.1 Úrovne podpory používateľov ===

954

955

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

956

957

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-6.1.2Riešenieincidentov–SLAparametre"/}}6.1.2 Riešenie incidentov – SLA parametre ===

Označenie naliehavosti incidentu:

962

963

(% class="" %)|(((

964

Označenie naliehavosti incidentu

)))|(((

Závažnosť incidentu

)))|(((

Popis naliehavosti incidentu

)))

(% class="" %)|(((

A

)))|(((

Kritická

)))|(((

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

)))

(% class="" %)|(((

B

)))|(((

Vysoká

)))|(((

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.

)))

(% class="" %)|(((

C

)))|(((

Stredná

)))|(((

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

)))

(% class="" %)|(((

D

)))|(((

Nízka

)))|(((

Kozmetické a drobné chyby.

)))

// //

možný dopad:

(% class="" %)|(((

Označenie závažnosti incidentu

)))|(((

Dopad

)))|(((

Popis dopadu

)))

(% class="" %)|(((

1

)))|(((

katastrofický

)))|(((

katastrofický dopad, priamy finančný dopad alebo strata dát,

)))

(% class="" %)|(((

2

)))|(((

značný

)))|(((

značný dopad alebo strata dát

)))

(% class="" %)|(((

3

)))|(((

malý

)))|(((

malý dopad alebo strata dát

)))

**// //**

Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

1037

1038

(% class="" %)|(% colspan="2" rowspan="2" %)(((

1039

Matica priority incidentov

1040

)))|(% colspan="3" %)(((

Dopad

)))

(% class="" %)|(((

Katastrofický - 1

)))|(((

Značný - 2

)))|(((

Malý - 3

)))

(% class="" %)|(% rowspan="4" %)(((

**Naliehavosť**

)))|(((

**Kritická - A**

)))|(((

1

)))|(((

2

)))|(((

3

)))

(% class="" %)|(((

**Vysoká - B**

)))|(((

2

)))|(((

3

)))|(((

3

)))

(% class="" %)|(((

**Stredná - C**

)))|(((

2

)))|(((

3

)))|(((

4

)))

(% class="" %)|(((

**Nízka - D**

)))|(((

3

)))|(((

4

)))|(((

4

)))

**// //**

Vyžadované reakčné doby:

1092

1093

(% class="" %)|(((

1094

Označenie priority incidentu

1095

)))|(((

1096

Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu

1097

)))|(((

1098

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^

)))|(((

Spoľahlivosť ^^(3)^^

(počet incidentov za mesiac)

)))

(% class="" %)|(((

1

)))|(((

0,5 hod.

)))|(((

4 hodín

)))|(((

1

)))

(% class="" %)|(((

2

)))|(((

1 hod.

)))|(((

12 hodín

)))|(((

2

)))

(% class="" %)|(((

3

)))|(((

1 hod.

)))|(((

24 hodín

)))|(((

10

)))

(% class="" %)|(((

4

)))|(((

1 hod.

)))|(% colspan="2" %)(((

1136

Vyriešené a nasadené v rámci plánovaných releasov

)))

// //

== {{id name="projekt_2612_Pristup_k_projektu_detailny-6.2PožadovanádostupnosťIS:"/}}6.2 Požadovaná dostupnosť IS: ==

**// //**

(% class="" %)|(((

Popis

)))|(((

Parameter

)))|(((

Poznámka

)))

(% class="" %)|(((

**Prevádzkové hodiny**

)))|(((

12 hodín

)))|(((

od 6:00 hod. - do 18:00 hod. počas pracovných dní

1158

)))

1159

(% class="" %)|(% rowspan="2" %)(((

**Servisné okno**

)))|(((

10 hodín

)))|(((

od 19:00 hod. - do 5:00 hod. počas pracovných dní

)))

(% class="" %)|(((

24 hodín

)))|(((

od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov

1170

1171

Servis a údržba sa bude realizovať mimo pracovného času.

1172

)))

1173

(% class="" %)|(((

1174

**Dostupnosť produkčného prostredia IS**

)))|(((

98,5%

)))|(((

98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod.

1179

1180

Maximálny mesačný výpadok je 5,5 hodiny.

1181

1182

Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

1183

1184

Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L3 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

1185

1186

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

)))

// //

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-6.2.1Dostupnosť(Availability)"/}}6.2.1 Dostupnosť (Availability) ===

Požadovaná dostupnosť pre aktivity projektu:

1196

1197

* nasadenie nástroja na podporu riadenia aktív a rizík,

1198

* implementácia LMS,

1199

* implementácia SIEM,

1200

* implementácia AV ochrany a EDR/XDR

je:

* **98,5% dostupnosť** znamená výpadok 8,25 dňa.

Za týmto účelom bude aj s dodávateľom služby SOC as a service uzatvorená rovnaká dohoda o úrovni poskytovaných služieb (SLA), ktorá bude požadovať uvedenú dostupnosť poskytovanej služby.

=== {{id name="projekt_2612_Pristup_k_projektu_detailny-6.2.2RTO(RecoveryTimeObjective)"/}}6.2.2 RTO (Recovery Time Objective) ===

Zavedenie aktivít:

* nasadenie nástroja na podporu riadenia aktív a rizík,

1217