pristup_k_projektuprojekt_2657_Pristup_k_projektu_detailny

Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni Východoslovenského ústavu srdcových a cievnych chorôb, a.s. (ďalej ako „VÚSCH“) má za cieľ zvýšiť úroveň informačnej a kybernetickej bezpečnosti v sektore zdravotníckych zariadení.

115

116

Projekt v rámci výzvy poskytuje prostriedky na realizáciu základných stavebných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti. Oblasti bezpečnosti, na ktoré organizácia žiada podporu v rámci tohto projektu (výzvy) predstavujú základný rámec („baseline"), ktorý by mal byť implementovaný. Aktuálny stav implementácie týchto bezpečnostných služieb a funkcií je nízky, preto žiadame o podporu v rámci tohto definovaného rámca. Budúce riešenie základného rámca zabezpečenia informačnej a kybernetickej bezpečnosti na úrovni biznis architektúry by malo pozostávať najmä z nasledovných bezpečnostných riešení:

117

118

* Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia informačnej a kybernetickej bezpečnosti (ďalej len „KIB“).

119

* Analytické aktivity zavedenia bezpečnostných opatrení a riešení.

120

* Implementačné aktivity bezpečnostných riešení.

121

* Pre-financovanie aktivity aktualizácie analýzy rizík a analýzy dopadov po implementácii bezpečnostných opatrení a riešení, tesne pred ukončením projektu.

122

123

Jednotlivé biznis funkcie a bezpečnostné procesy ako aj popis ďalších úrovni architektúry riešenia sú uvedené v nasledujúcich kapitolách.

124

125

126

= {{id name="projekt_2657_Pristup_k_projektu_detailny-3.Architektúrariešeniaprojektu"/}}3. Architektúra riešenia projektu =

127

128

129

Tento projekt predstavuje riešenie základných stavebných blokov bezpečnostnej architektúry a zároveň aj ďalšie bezpečnostné funkcie realizované v organizácii. Organizácia nemá zavedený governance KIB a nemá vypracovanú detailnú analýzu rizík, taktiež sú nedostatočne riešené aj ďalšie oblasti riadenia KIB definované zákonom o KB.

130

131

Z uvedeného dôvodu bude projekt primárne zameraný na implementáciu governance procesov v oblasti riadenia KIB, kde je cieľom vypracovať dokumentáciu a zaviesť príslušné procesy. Zároveň bude VÚSCH žiadať aj o ďalšie oblasti podpory.

132

133

Keďže nejde o implementáciu agendového alebo iného obdobného informačného systému verejnej správy, tak v tomto duchu je upravený aj popis jednotlivých úrovni architektúry. Najmä v prípade poskytnutia podpory pre iné ako governance aktivity, kde sa predpokladá aj implementácia bezpečnostných systémov, zariadení alebo technických riešení, sú rovnako jednotlivé bloky architektúry rozpísané spôsobom zohľadňujúcim uvedené skutočnosti.

134

135

136

Pri biznis architektúre je potrebné si uvedomiť, že projekt, resp. jeho aktivity nerealizujú typické služby eGovernment-u a VS, ale ide o služby na úrovni bezpečnostnej architektúry VS, a ako také a z tohto dôvodu, nie sú vedené ako aplikačné služby v MetaIS.

137

138

Zároveň je potrebné uviesť, že architektúra pre as-is stav nie je uvedená z dôvodu, že aktuálne tieto služby bezpečnostnej architektúry nie sú implementované, prípadne sú implementované len čiastočne na nepostačujúcej úrovni.

139

140

Úrovne architektúry sú ďalej rozpísané podľa jednotlivých aktivít projektu a biznis bezpečnostných funkcií.

141

142

Špecifikácia výstupov jednotlivých aktivít je uvedená v kapitole Požadované výstupy (produkt projektu) v dokumente Projektový zámer.

143

144

145

== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.1Biznisvrstva"/}}3.1 Biznis vrstva ==

146

147

148

Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy:

149

150

* Riadenie aktív a riadenie rizík.

151

** Proces evidencie a správy aktív.

152

** Proces klasifikácie informácií a kategorizácie IS a sietí.

153

** Proces realizácie AR/BIA.

154

** Proces rozhodovania ohľadom riadenia identifikovaných rizík.

155

** Proces stanovenia stratégie obnovy na základe výsledkov AR/BIA (RTO).

156

** Proces definovania plánu zálohovania na základe výsledkov AR/BIA (RPO).

157

* Riadenie prístupov.

158

** Proces MFA k VPN a pre prístup „power users“ k správe IS.

159

* Sieťová a komunikačná bezpečnosť.

160

** Proces „virtuálneho patchovania“ – ochrany kritických prvkov infraštrukltúry („legacy“ systémov).

161

* Zaznamenávanie udalostí a monitorovanie.

162

** Proces bezpečného ukladania a centrálneho zhrávania logov.

163

** Proces bezpečnostného monitoringu koncových staníc.

164

** Proces bezpečnostného monitoringu systémov a dátových úložísk.

165

** Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry.

166

** Proces bezpečnostného monitoringu aktivít používateľov.

167

** Proces bezpečnostného monitoringu aktivít privilegovaných používateľov.

168

** Proces vyhodnocovania udalostí založený na “machine learning” algoritmoch a sledovaní správania sa používateľov (“behavioral analysis”) a identifikácie kybernetických bezpečnostných incidentov.

169

* Riešenie bezpečnostných incidentov.

170

** Proces vyhodnocovania a riešenia bezpečnostných incidentov a podozrivých udalostí aj vo väzbe na SOC.

171

* Identifikácia zraniteľností a bezpečnostné testovanie.

172

** Proces skenovania zraniteľností jednotlivých IS a sieťových zariadení.

173

** Proces zvyšovania kybernetickej odolnosti VÚSCH formou bezpečnostných testovaní (phishing-ových simulácií).

174

175

176

Jednotlivé biznis funkcie bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

177

178

[[image:attach:image-2024-6-4_12-52-23-1.png||height="400"]]

179

180

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}3.1.1 Prehľad koncových služieb – budúci stav: ===

181

182

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

183

184

185

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.1.2Jazykovápodporaalokalizácia"/}}3.1.2 Jazyková podpora a lokalizácia ===

186

187

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

188

189

190

== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2Aplikačnávrstva"/}}3.2 Aplikačná vrstva ==

191

192

Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:

193

194

* Riadenie aktív a riadenie rizík.

195

** Implementácia nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti.

196

* Riadenie prístupov.

197

** Implementácia MFA – MFA k VPN a pre prístup „power users“ k správe IS.

198

* Sieťová a komunikačná bezpečnosť.

199

** Nasadenie bezpečnostného riešenia ochrany kritickej infraštruktúry („legacy“ systémov) formou „virtual patching“.

200

* Zaznamenávanie udalostí a monitorovanie.

201

** Implementácia SIEM s integrovaným LMS.

202

* Riešenie kybernetických bezpečnostných incidentov.

203

** Využitie SOC ako služby od externého subjektu.

204

* Identifikácia zraniteľností a bezpečnostné testovanie.

205

** Implementácia vulnerability skenera.

206

** Implementácia nástroja na tvorbu a testovanie phishing kampaní.

207

208

209

[[image:attach:image-2024-6-4_12-52-42-1.png||height="400"]]

210

211

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.1Požiadavkynajednotlivékomponenty"/}}3.2.1 Požiadavky na jednotlivé komponenty ===

212

213

214

Požiadavky na jednotlivé aplikačné komponenty pre vyššie uvedené aplikačné služby sú nasledovné:

**__ __**

**__Správa dokumentov__**

219

220

V rámci tejto aplikačnej služby bude na správu bezpečnostnej dokumentácie vytvorenej počas projektu využitý existujúci Dokument manažment systém VÚSCH.

221

222

223

**__Riadenie aktív a rizík__**

224

225

Za účelom identifikácie aktív a ich ďalšej správy, realizáciu klasifikácie a kategorizácie a realizáciu a následne udržiavanie (aktualizácia) analýzy rizík a analýzy dopadov bude nasadená samostatná aplikácia.

226

227

Nástroj bude predstavovať SW riešenie pozostávajúce z funkcionality evidencie a správy informačných aktív organizácie, realizácie klasifikácie informácií a kategorizácie informačných systémov, realizácie analýzy rizík nad identifikovanými aktívami a podpory riadenia identifikovaných rizík.

228

229

Nástroj na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti musí spĺňať najmä nasledovné:

230

231

* Centrálna konzola pre používateľov systému prístupná cez web prehliadače (Chrome, Firefox, Safari alebo Edge).

232

* Centrálna konzola lokalizovaná v Slovenskom jazyku.

233

* Centrálna správa musí byť prevádzkovaná ako SaaS.

234

* Podpora požiadaviek legislatívy SR.

235

* Centrálny dashboard pre rýchle vyhodnotenie aktív (primárne a podporné), rizík podľa kategórie, rizík podľa hrozieb a zraniteľností, aktuálne dosahovaná úroveň súladu s požiadavkami zákona č. 69/2018 Z. z. a vyhlášky č. 362/2018, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

236

* Podpora prihlásenia prostredníctvom multi-faktorovej autentifikácie.

237

* Podpora tvorby klasifikácie informácií a kategorizácie sietí a informačných systémov podľa zákona č. 69/2018 Z. z. a doporučení vyhlášky č. 362/2018, vytváranie registrov aktív, hrozieb.

238

* Parametrizácia systému:

239

** Definovanie metódy na výpočet hodnotenia aktív.

240

** Definovanie metódy na kategorizáciu rizík.

241

** Definovanie bezpečnostnej štruktúry spoločnosti (osoby, organizačné jednotky, role).

242

** Definovanie druhov aktív.

243

** Definovanie typov aktív.

244

** Definovanie vlastných atribútov aktív.

245

** Definovanie stupnice pre hodnotenie dôvernosti, dostupnosti, integrity, dopadov, hrozieb a zraniteľností.

246

** Definovanie bezpečnostných opatrení.

247

** Register dodávateľov.

248

** Definovanie kritérií na hodnotenie dodávateľov.

249

* Register rizík prostredníctvom, ktorého je možné definovať kombinácie hrozba/zraniteľnosť na konkrétne typy aktív.

250

* Evidencia aktív (manuálne alebo prostredníctvom importu z dátového súboru):

251

** Všeobecné (druh, typ, lokalita, garant, administrátor, dodávateľ, prevádzkovateľ, závislosť aktíva na iných aktívach.

252

** Hodnotenie aktíva (dôvernosť, dostupnosť a integrita).

253

** Identifikácia hrozieb/zraniteľnosti manuálne alebo priamo z registra rizík.

254

** Spôsob používania a manipulácie.

255

** Vlastné atribúty.

256

* Mapa aktív pre grafické zobrazenie závislostí medzi jednotlivými aktívami:

257

** Zobrazenie priameho vzťahu aktíva a jeho podriadených a nadriadených aktív.

258

** Komplexné zobrazenie mapy všetkých aktív.

259

** Filtrácia zobrazených aktív (druh alebo kategória aktíva).

260

* Hodnotenie rizík:

261

** Možnosť stiahnuť súbor .pdf s identifikovanými rizikami pre jedno alebo viaceré aktíva.

262

** Hodnotenie dopadu identifikovaných rizík.

263

** Návrh bezpečnostných opatrení pre zníženie rizika na úrovni aktíva.

264

** Výpočet rizika pred a po opatrení bezpečnostného opatrenia.

265

** Rozhodnutie o akceptovaní alebo neakceptovaní rizika.

266

* Hodnotenie opatrení:

267

** Zoznam rizík, ktoré bezpečnostné opatrenie rieši.

268

** Aplikovateľnosť bezpečnostného opatrenia.

269

** Zavedenie bezpečnostného opatrenia a jeho riadenie:

270

*** ľudské a finančné zdroje, časový harmonogram,

271

*** evidencia komunikácie riešiteľského tímu.

272

** Plán zvládania rizík pre riadenie implementácie bezpečnostných opatrení:

273

*** Evidencia požiadaviek na ľudské a finančné zdroje.

274

*** Dátum začatia a ukončenie implementácie.

275

*** Diskusný priestor pre riešiteľský tím.

276

** Hodnotenie dodávateľov:

277

*** Hodnotenie atribútov dodávateľov aktív.

278

*** Mapovanie dodávateľov na konkrétne aktíva.

279

*** Možnosť evidencie podpornej dokumentácie k dodávateľov (zmluvy, SLA,..).

280

** Evidencia plnenia požiadaviek legislatívy:

281

*** ZoKB (zákon č.69/2018 Z. z. a vyhláška č.362/2018 Z. z.).

282

*** ITVS (zákon č.95/2019 Z. z. a vyhláška č. 179/2020 Z. z.).

283

*** Jednotlivé požiadavky môžu byť v stave zavedené, v procese zavádzania, neaplikované alebo nezavedené.

284

*** Ku každej požiadavke je možné pripojiť komentár a záznam zo zoznamu bezpečnostných opatrení.

285

*** Hodnotenie je možné exportovať do súboru .pdf.

286

** Plán kontinuity:

287

*** Všeobecné údaje o pláne kontinuity (názov, popis, dotknuté aktíva).

288

*** Definovanie členov analytického, výkonného a riadiaceho tímu.

289

*** Popis procesu a dokumentácia.

290

*** Export plánu obnovy do súboru.

291

** Auditný log pre zaznamenávanie aktivít v systéme:

292

*** Systém zaznamenáva aktivitu používateľa (pridanie, zmena, vymazanie) pre konkrétne časti systému (aktívum, atribút aktíva, riziko, ..).

293

*** Možnosť pozrieť stav pred vykonanou zmenou a po zmene.

**__Riadenie prístupov – Identifikácia a autentifikácia - Zavedenie MFA (multi-faktorová autentifikácia)__**

298

299

Zavedenie MFA umožní zvýšenie úrovne identifikácie a najmä autentifikácie používateľov, najmä pri vzdialených prístupoch, ale aj zvýšenie úrovne bezpečnosti pri správe IKT z pozície tzv. „power users" a administrátorov systémov.

300

301

Kryptograficky robustná multi-faktorová autentifikácia s ochranou pred phishingom, sociálnym inžinierstvom, brute-force útokom hádania tradičných autentifikačných login mien a hesiel, resp. ochrana pred zneužitím ukradnutých hesiel.

302

303

Adaptívne autentifikačné riešenie škálujúce do dimenzií:

304

305

* S pravidlami a granularitou používateľských rolí a skupín, podľa zodpovedností a povolených prístupov toho, ktorého používateľa.

306

* S možnosťou voľby autentifikačnej metódy pravidlami nastavením adekvátne bezpečným spôsobom – napríklad používateľ autentifikovaný push notifikáciou jednorazového hesla dostáva úplnejší prístup, na rozdiel od používateľa autentifikovaného cez SMS, ktorý dostáva limitovaný prístup.

307

* Determinované aplikáciami – napríklad pre vysoko senzitívne aplikácie a dáta je vyžadovaný vyšší typ autentifikačných metód s vyšším stupňom bezpečnosti – ako sú push notifikácia a WebAuthn a podobné metódy.

308

* Možnosť reštriktívne obmedziť prihlasovanie a autentifikáciu z vopred definovanej povolenej geografickej lokácie a zamedziť prihlasovanie z iných domén a lokácií (iná krajina, iný kontinent, a pod.).

309

* Podmienečné nastavenie úrovne prihlasovania – z dôveryhodnej lokality základný stupeň bezpečnosti a overenie, z iných domén možnosť vyžadovať viac bezpečný stupeň overenia.

310

* Možnosť definovať sieťové rozsahy pre overenie užívateľa – výberom povoleného rozsahu IP adries (možnosť zakázať prípojné body anonymizačnej siete ToR, použitie proxy alebo neznámych VPN skrývajúcich identitu).

311

312

Spôsoby multi-faktorovej autentifikácie musia zahŕňať okrem iného aj tieto metódy:

313

314

Push notifikácia na uzamknutý mobil/tablet/koncové zariadenie. Push notifikácia je silnejší nástroj s menšou zraniteľnosťou ako zasielanie jednorazového hesla formou PIN-u alebo znakového reťazca. Tieto je totiž možné odpozorovať útočníkom a zneužiť neautorizovanou osobou.

315

316

WebAuth metóda – posúva autentifikáciu od potreby vlastniť predmet (a ten môže byť odcudzený za účelom zneužitia) k autentifikácii cez biometrické senzory (unikátne papilárne čiary na prstoch, alebo dúhovka oka a pod.). V koncových zariadeniach bez biometrických senzorov v zabudovanej podobe je možné cez štandardizované rozhranie, napríklad USB doplniť čítačku biometrických parametrov formou tokenu s daným rozhraním a rozpoznávaním biometrických údajov.

317

318

Podpora integrácie s aplikáciami: HOTP, alebo na HMAC - založené jednorazové heslá one-time password (OTP).

319

320

Podpora ZeroTrust a Single-Sign-On (SSO).

321

322

323

**__Sieťová a komunikačná bezpečnosť__**

324

325

Bezpečnostné riešenie ochrany kritických prvkov infraštruktúry. Zavedenie bezpečnostného riešenia pre ochranu kritických infraštruktúrnych prvkov (serverov) voči zraniteľnostiam – implementácia funkcionality „virtual patching“ pre tzv. „legacy“ systémy, na ktoré už nie sú vydávané bezpečnostné záplaty a ochrany voči tzv. „zero-day“ zraniteľnostiam a zaškolenie administrátorov VÚSCH.

326

327

Systému pre zvýšenie kybernetickej odolnosti kľúčovej infraštruktúry VUSCH musí podporovať:

328

329

* Implementovanie centrálnej správy onpremise alebo poskytovaná ako služba formou cloudu výrobcu.

330

* Možnosť inštalácie agenta na nasledujúce operačné systémy:

331

** Windows 2000 a novšie.

332

* Red Hat 5 a novšie.

333

* Ubuntu 10 a novšie.

* CentOS 5 a novšie.

* Debian 6 a novšie.

* Amazon Linux.

* Oracle Linux 5 a novší.

338

* SUSE Linux 10 a novší.

339

* CLoud Linux 5 a novší.

340

* Solaris 10 a novší.

341

* AIX 5.3, 6.1, 7.1 a 7.2.

342

* Funkcionalitu pre detekciu a blokovanie správania sa používateľa/útočníka pre detekciu podozrivých aktivít na koncovom zariadení.

343

* Funkcionalitu web reputácie url pre detekciu a blokovanie komunikácie na potenciálne škodlivú / podozrivú cieľovú adresu

344

* Funkcionalitu aplikačného monitorovania a blokovania spustenia podozrivého softvéru na koncovom zariadení.

345

* Monitorovanie integrity súborov koncového zariadenia prostredníctvom vytvorenia baseline (stav integrity súborov definovanom čase).

346

* Funkcionalitu inšpekcie logov a udalostí (log manažment) na koncovom zariadení.

347

* Natívne typy zdrojov udalostí (windows event log) ako aj vlastné zdroje logov vrátane parsovania zdrojových dát.

348

* Funkcionalitu firewall pre detekciu a blokovanie škodlivej sieťovej komunikácie, pričom podporuje režim odposluchu - sieťová komunikácia nie je rušená, firewall funguje len v režime detekcie/logovania, vhodný na testovanie alebo inline režim - sieťová komunikácia prechádza cez definované pravidlá a na prevádzku sa aplikujú definované akcie na základe zásad a nastavených pravidiel.

349

* Detekciu a blokovanie pokusov o skenovanie siete, alebo portov alebo techník ako TCP SYNFIN,TCP XMAS, TCP null a podobných.

350

* Detekciu a prevenciu prienikov (IDS resp. IPS) pre podozrivú sieťovú komunikáciu.

351

* Automatické skenovanie, ktoré skenuje operačný systém, zisťuje verziu operačného systému, zisťuje nainštalované aktualizácie, zisťuje nainštalované programy a ich verzie a odporúča príslušné pravidlá IPS (tzv. virtuálne záplaty).

352

* Kontrolu sieťovej komunikácie SSL/TLS (nahraním certifikátu so súkromným kľúčom, ktorý sa používa na dešifrovanie obsahu).

353

* Inbound a outbound aplikačné integračné rozhranie API.

354

* Tvorbu vlastných politík pre všetky funkcionality a ich aplikovanie na jednotlivé koncové zariadenia alebo skupiny zariadení.

355

356

Systému musí obsahovať:

357

358

* Funkcionalitu antimalware pre detekciu a blokovanie škodlivého kódu na koncovom zariadení.

359

* Funkcionalitu tzv. virtual patching prostredníctvom IPS pravidiel pre blokovanie zneužitia známych zraniteľností (napr. log4shell, ...).

360

361

362

**__Bezpečnostný monitoring__**

363

364

V rámci bezpečnostného monitoringu ide o dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie systému bezpečnostného monitoringu (SIEM) s integrovaným centrálnym log manažmentom pre účely agentského aj bez-agentského zberu logov zo systémov VÚSCH, sieťových zariadení a koncových staníc a dostatočnú kapacitu pre uloženie všetkých logov min. po dobu 12 mesiacov.

365

366

Implementovaný systém bezpečnostného monitoringu (SIEM) musí poskytovať najmä nasledovnú funkcionalitu:

367

368

* SIEM (Security Information & Event management).

369

* UBA (User Behavior Analytics).

370

* ABA (Attacker Behavior Analytics).

371

* EDR (Endpoint Detection & Response) & FIM (File Integrity Monitoring).

372

* NTA (Network Traffic Analysis).

373

* DT (Deception Technology).

374

375

Požiadavky na SIEM (Security Information & Event management):

376

377

* musí umožňovať zber aplikačných, databázových aj systémových logov zo sieťových aj bezpečnostných zariadení (napr. firewally, sieťové alebo host. IPS/IDS), pracovných staníc, serverov ako aj cloud prostredí (Microsoft Azure, Microsoft 365,..),

378

* musí zbierať, detegovať a vyhodnocovať udalosti ako sú pokusy o neautorizované prístupy, zmeny integrity vybraných častí operačného systému, útoky škodlivého kódu, botov, neoprávnený prístup k aplikáciám, neautorizovanú zmenu konfigurácií, detegovať chybové stavy siete, porušení bezpečnostných politík,

379

* musí zbierať, detegovať a vyhodnocovať udalosti ako sú pokusy o neautorizované prístupy, zmeny integrity vybraných častí operačného systému, útoky škodlivého kódu, botov, neoprávnený prístup k aplikáciám, neautorizovanú zmenu konfigurácií, detegovať chybové stavy siete, porušení bezpečnostných politík,

380

* musí umožňovať uchovávanie pôvodnej informácie zo zdroja logu o časovej značke udalosti,

381

* nesmie umožniť odstránenie alebo modifikovanie uložených logov administrátorovi systému,

382

* musí pre každý log mať unikátny identifikátor, pre jednoznačnú identifikáciu,

383

* podporuje jednoduché vyhľadávanie udalostí a okamžité vytváranie reportov bez nutnosti dodatočného programovania,

384

* musí podporovať pokročilé korelácie (časové, z viacerých zdrojov, atď.),

385

* musí podporovať integráciu s Vulnerability Management systémom pre kontextualizáciu aká zraniteľnosť na konkrétnom koncovom bode existuje,

386

* musí podporovať úpravy alertingu, parsingu bez nevyhnutnosti učiť sa akýkoľvek programovací/skriptovací jazyk (v súlade s požiadavkou na vykonanie týchto zmien vlastnými silami objednávateľa),

387

* musí podporovať detekciu sieťových incidentov na základe korelácie informácií z poskytnutých logov a bude podporovať behaviorálnu analýzu spracovaných udalostí,

388

* musí obsahovať Incident Management konzolu pre správu kybernetických bezpečnostných udalostí a incidentov, pričom v rámci konzoly je k dispozícií časový sled udalostí daného incidentu, možnosť prideľovať riešiteľov, možnosť vyvolať akcie pre zisťovanie ďalších informácií, dopĺňanie logov, vrátane podrobných informácií z koncového bodu,

389

* riešenie bude bez požiadaviek na externý databázový server,

390

* musí podporovať možnosť tvorby vlastných Dashboardov a Vizuálnych Analýz,

391

* všetky úkony užívateľa (aj interného) budú auditované,

392

* musí podporovať pokročilý reporting s možnosťou schedulingu a distribúcie reportu,

393

* musí podporovať zber dát so šifrovaným prenosom (TLS, prípadne šifrovaný obsah správ) na celej trase zdroj /kolektor/ centrálna konzola,

394

* musí podporovať outbound API (príkladom môže byť pripojenie sa na externé zariadenia alebo systémy napr. Azure, AWS, Microsoft 365, ticketing system),

395

* musí podporovať minimálne nasledujúce úrovne užívateľských oprávnení (administrátor, read/write, read/only),

396

* musí podporovať integráciu s Active Directory,

397

* podporuje vlastnú alebo externú integráciu s navrhovaným riešením pre Multifaktorovú autentifikáciu (MFA),

398

* podporuje integráciu na Microsoft Azure a Microsoft 365 pre účely monitoringu aktivít používateľov,

399

* podporuje spracovanie štruktúrovaných aj neštruktúrovaných dát,

400

* podporuje vkladanie a monitorovanie vlastných IoC (indikátorov kompromitácie) vrátane manipulácie cez inbound API,

401

* umožňuje realizáciu tzv. kaskádových dotazov (kaskádové dotazy sú dotazy generované na základe údajoch vrátených z predchádzajúceho dotazu, príkladom by mohlo byť zobrazenie aktív, na ktoré sa vzťahuje alert, s následnou možnosťou rozbalenia na používateľov, ktorých sa táto stránka s výsledkami vyhľadávania týka),

402

* podporuje zber udalostí v prostredí Microsoft:

403

* udalosti z Microsoft prostredí sú získavané pomocou agenta inštalovaného priamo na koncovom Windows systéme. Windows agent musí súčasne podporovať ako monitoring interných windows logov, tak i monitoring textových súborových logov,

404

* agent zaisťuje zber nemodifikovaných udalostí a detailné spracovávanie auditných informácií,

405

* agent zabezpečuje v prípade potreby funkcionalitu kontroly integrity súborov,

406

* agent zabezpečuje v prípade potreby funkcionalitu auditovania prístupov k súborom na zariadení,

407

* filtrácia odosielaných udalostí agentom. Nerelevantné logy sú filtrované na strane windows agenta a nie sú odosielané po sieti,

408

* Windows agent nevyžaduje administrátorské zásahy na koncovom systéme – je centrálne spravovaný a automaticky aktualizovaný priamo z centrálnej správcovskej konzoly systému,

409

* Windows agent má buffer pre prípad straty spojenia medzi koncovým systémom a centrálnym úložiskom logov,

410

* podporuje zber udalostí v prostredí Linux / MacOs:

411

* udalosti z Linux / MacOs prostredí sú získavané pomocou agenta inštalovaného priamo na koncovom Linux / MacOs systéme. Linux / MacOs agent musí súčasne podporovať ako monitoring interných,

412

* agent zaisťuje zber nemodifikovaných udalostí a detailné spracovávanie auditných informácií,

413

* agent podporuje nastavenie filtrácie odosielaných udalostí pomocou centrálnej správcovskej konzoly,

414

* filtrácia odosielaných udalostí agentom. Nerelevantné logy sú filtrované na strane Linux / MacOs agenta a nie sú odosielané po sieti,

415

* Linux / MacOs nevyžaduje administrátorské zásahy na koncovom systéme – je centrálne spravovaný a automaticky aktualizovaný priamo z centrálnej správcovskej konzoly systému,

416

* Linux / MacOs agent má buffer pre prípad straty spojenia medzi koncovým systémom a centrálnym úložiskom logov,

417

* umožňuje generovať alert na základe:

418

* zhoda s vyhľadávaním reťazcom,

419

* definovanej nečinnosti,

420

* definovanej zmeny,

421

* umožňuje nastavenie sieťových zón a sieťových politík podľa ktorých budú generované alerty,

422

* umožňuje nastavenie privilegovaných skupín užívateľov Active Directory podľa ktorých budú generované alerty.

423

424

Požiadavky na UBA (User Behavior Analytics):

425

426

* Podporuje minimálne nasledujúce korelačné pravidlá pre analýzu správania sa užívateľa: Vytvorenie/Zablokovanie/ Resetovanie / Povolenie / Únik účtu.

427

* Podporuje minimálne nasledujúce korelačné pravidlá pre analýzu správania sa užívateľa:

428

* Eskalácia privilégií.

429

* Prijatie podozrivého odkazu v emailovej správe.

430

* Prístup na podozrivý odkaz cez web.

431

* Brute Force útok na heslá – lokálny účet.

432

* Brute Force útok na heslá – doménový účet.

433

* Autentifikácia užívateľa z podozrivej databázy.

434

* Manipulácia s lokálnymi udalosťami (event logs).

435

* Prvé prihlásenie na aktívum.

436

* Prvé prihlásenie z inej krajiny.

437

* Prihlásenie z viacerých krajín súčasne.

438

* Detegovaný hash z podozrivej databáz.

439

* Spustenie procesu z podozrivej databázy.

440

* Impersonizácia administrátora.

441

* Autentifikácia servisným účtom.

442

* Autentifikácia doménovým účtom.

443

* Komunikácia s podozrivou IP.

444

* Spustenie vzdialeného súboru.

445

* Protokol poisoning.

446

* Alert z Microsoft Defender ATP.

447

* Spearphishing URL detegovaná.

448

* Podporuje úpravu špecifických korelačných pravidiel (vytvorenie investigatívy, vytvorenie informácie, ...).

449

* Vytvára rizikový profil užívateľa na základe jeho správania.

450

* Vytvára rizikový profil privilegovaného užívateľa na základe jeho správania.

451

* Podporuje podrobný monitoring definovaných užívateľov.

452

* Podporuje podrobný monitoring aktivít privilegovaného užívateľov v lokálnom aj cloud prostredí.

453

454

Požiadavky na ABA (Attacker Behavior Analytics):

455

456

* podporuje korelačné pravidlá pre analýzu správania sa útočníka ako príklad (Zistenie externej IP pomocou príkazového riadku, Spustenie klúča z registra Windows , Spúšťanie procesov pomocou MMC konzole, Rundl32.exe spúšťa súbor s adresára Program Data, Premenovanie netcat, Windows debug v príkazovom riadku a dalšie,

457

* umožňuje mapovať správanie sa útočníka podľa taktík z metodiky MITRE ATT&CK:

458

* Reconnaissance,

459

* Resource Development,

* Initial Access,

* Execution,

* Persistence,

* Privilege Escalation,

* Defense Evasion,

* Credential Access,

* Discovery,

* Lateral Movement,

* Collection,

* Command And Control,

470

* Exfiltration,

471

* Impact,

472

* podporuje úpravu korelačných pravidiel prostredníctvom výnimiek,

473

* databáza korelačných pravidiel správania sa útočníka je kontinuálne aktualizovaná o nové techniky používane útočníkmi.

474

475

Požiadavky na EDR (Endpoint Detection & Response) & FIM (File Integrity Monitoring):

476

477

* podporuje základnú funkcionalitu odozvy na incident (zrušenie bežiaceho procesu, karanténa aktíva) prostredníctvom Windows/Linux agenta priamo z centrálnej konzole,

478

* podporuje funkcionalitu vyšetrovania incidentu prostredníctvom zberu dôkazov minimálne v rozsahu:

* Arp Cache

* Current Process

* Directory Entry

* Dns Cache

* Installed Service

* Network Connection

* Prefetch Entry

* Registry Key

* Scheduled Task

* User Session

* podporuje funkcionalitu vyšetrovania incidentu prostredníctvom zberu dôkazov preverovaného uživateľa o nasledujúce udalosti:

490

* Account modified

491

* Advanced malware alert

492

* Asset authentication

493

* Cloud service account modified

* DNS query

* Firewall

* IDS

* Ingress authentication

498

* Virus infection

499

* Web proxy

500

* podporuje rozšírenú funkcionalitu odozvy na incident (spustenie automatizačného workflow,..),

501

* podporuje funkcionalitu auditovania integrity súborov pre nasledujúce typy súborov Windows:

* .bat

* .cfg

* .conf

* .config

* .dll

* .exe

* .ini

* .sys

* podporuje funkcionalitu auditovania integrity súborov pre nasledujúce typy súborov Linux:

* /bin

* /boot

* /etc

* /sbin

* /usr/bin

* /usr/local/bin

* /usr/local/sbin

* /usr/sbin

* /usr/share/keyrings

520

* /var/spool/cron

521

522

Požiadavky na NTA (Network Traffic Analysis):

523

524

* podporuje zber nasledujúcich sieťových udalostí:

* IDS udalosti

* DHCP udalosti

* DNS udalosti

* IPv4 Flows

* môže byť nasadené do internej či externej časti siete bez licenčného obmedzenia množstva nasadených zariadení,

530

* poskytuje špecifické korelačné pravidlá pre SIEM súvisiace s analýzou sieťovej prevádzky,

531

* poskytuje špecifické vyhľadávacie vzory (queries) pre SIEM súvisiace s analýzou sieťovej prevádzky,

532

* poskytuje špecifické šablóny pre tvorbu dashboard v SIEM súvisiace s analýzou sieťovej prevádzky,

533

* zariadenie pre monitoring môžeme inštalovať do fyzického, virtualizačného alebo cloud prostredia.

534

535

Požiadavky na DT (Deception Technology):

536

537

* podporuje tvorbu nasledujúcich pascí pre identifikovanie aktivít útočníka:

* HoneyPots

* HoneyFiles

* HoneyUsers

* HoneyCredentials

* poskytuje špecifické korelačné pravidlá pre SIEM súvisiacich s pascami,

543

* umožňuje vyhladávať vzory (queries) pre SIEM súvisiacich s pascami,

544

* pasce môžu byť nasadené do internej časti siete bez licenčného obmedzenia množstva nasadených zariadení.

545

546

547

**__Zavedenie služby SOC as a service__**

548

549

Vybudovanie funkčného a spoľahlivého Security Operation Centra vyžaduje nemalé finančné prostriedky potrebné nielen na nákup technológie samotnej, ale aj na ľudské zdroje. Získať a predovšetkým udržať skúsený personál, schopný efektívne spracovávať veľké množstvo dát a byť schopný intuitívne rozoznať potrebu investigovania kritických situácií, je v dnešnej dobe veľmi zložité.

550

551

Práve s ohľadom na uvedené skutočnosti bude opatrenie Security Operation Center (SOC) zabezpečené formou služby od externého subjektu. Predpokladá sa obstaranie rámcovej zmluvy, ktorá sa bude čerpať podľa potrieb a požiadaviek VÚSCH.

552

553

Fungovanie SOC bude riešené formou „as a service“ a teda externý dodávateľ poskytne skúsený tím odborníkov, SOC procesov, CSIRT procesov a pod. Takýto spôsob realizácie umožní jednak eliminovať mesačné náklady na prevádzku SOC-u a zároveň umožní zabezpečiť efektívny spôsob ochrany kybernetického priestoru. SOC ako služba poskytne najmä efektívny bezpečnostný monitoring výskytu mimoriadnych udalostí a bezpečnostných incidentov a zabezpečenie adekvátnej reakcie na bezpečnostné incidenty. Okrem toho poskytne pokročilé analýzy bezpečnostných incidentov a ich vyšetrovanie, podporu riešenia bezpečnostných incidentov a uvedenia systémov späť do bežnej prevádzky, knowledge base ohľadom jednotlivých incidentov a spôsobov ich riešenia a reporting a štatistiky ohľadom jednotlivých a sumárnych bezpečnostných incidentoch, ich závažnosti a dopadoch.

554

555

Zavedenie SOC as a service – Security Operation Centre ako služby prinesie najmä:

556

557

* nastavenie procesného fungovania SOC a previazanie interných a externých procesov a roly: definícia roly, procesný model, zavedenie do praxe, prispôsobenie interných nástrojov (napr. service desk) a LMS systému, právna podpora, úprava interných smerníc a pod.,

558

* vytvorenie interných KB databáz vrátane iniciálneho naplnenia a školení pre riešenie bezpečnostných incidentov.

**__ __**

**__Vulnerability manažment__**

565

566

Obstaranie nástroja na skenovanie zraniteľností (vulnerability scaner) pre testovanie interných systémov, vrátane pracovných staníc používateľov a rovnako aj IP adries VÚSCH dostupných zo siete internet. Nástroj musí byť podporovaný výrobcom a musí mať prístup k aktuálnym databázam hrozieb a zraniteľností systémov.

567

568

Systém určený na Vulnerability Management musí podporovať:

569

570

* Scanovanie minimálne nasledujúcich zariadení a systémov:

571

** Windows server.

572

** Linux server.

573

** Network switch (ako je: Cisco, MikroTik, Fortigate).

574

** Firewally (ako je: Fortigate, Cisco alebo MikroTik.

575

** SIP/IP telefónia (PBX + terminály).

576

** Web server (IIS, Apache).

577

** Mail server (ako je MS Exchange, Postfix).

578

** Windows/ Linux/ MacOS desktopy a notebooky.

579

** Tlačiarne.

580

* Inštaláciu na Windows alebo Linux operačné systémy.

581

* Hodnotenie CVSS, CVSSv2, CVSSv3 možnosť zneužitia aktív a náchylnosť k súborom škodlivého softvéru.

582

* Hybridné formy nasadenia ako fyzické, virtualizované a cloud prostredie.

583

* Automatické zisťovanie aktív, pričom sa zohľadnia minimálne tieto parametre: adresy IP, adresy MAC a názvu hostiteľa, aby sa zabránilo duplicite.

584

* Centrálnu správu v geograficky rozptýlenom nasadení skenerov.

585

* Možnosť skenovania aktív bez-agentským spôsobom.

586

* Hodnotenie kritickosti aktív definované používateľom, ktoré sa musí zohľadniť v hodnotení rizík.

587

* Prístup založený na rolách s preddefinovanými aj vlastnými rolami.

588

* Automatizáciu pracovných postupov, ako je plánovanie skenovania, upozornenia na udalosti a zraniteľnosti skenovania a generovanie a distribúcia správ.

589

* Neinvazívne aj invazívne kontroly (administrátor môže určiť rušivosť akéhokoľvek skenovania úpravou výkonu skenovania a vykonávaných kontrol pričom administratívne poverenia možno použiť na hĺbkové autentifikované skenovanie, ktoré kontroluje aktíva na širší rozsah zraniteľností alebo porušení bezpečnostných politík).

590

* Možnosť skenovania s aj bez autentizácie.

591

* Podpora opakovaných skenovaní v určitých časových oknách a intervaloch.

592

* Integrácia s virtualizačnými prostrediami.

593

* Integrácia s produktmi na analýzu topológie siete a rizík.

594

* Integrácia s platformami na penetračné testovanie.

595

* Inbound a outbound API.

596

* Natívna integrácia s navrhovaným SIEM riešením.

597

* Schvaľovanie výnimiek spôsobom žiadateľ a schvaľovateľ.

598

* Identifikácia a správa výnimiek zo zraniteľnosti.

599

* Vlastné modely hodnotenia rizík definované používateľom.

600

* Aspoň 2FA autentifikácie používateľov.

601

* Možnosť vytvárania vlastných politík určených pre skenovanie.

602

* Možnosť vytvárania používateľom definovaných zraniteľností a kontrol zraniteľnosti.

603

* Automatické zisťovanie a inventarizácia majetku (pomocou IP adresy, MAC adresy).

604

* Vytváranie používateľom definovaných zraniteľností a kontrol zraniteľnosti.

605

* Pokrytie zraniteľností z NVD, CERT, SANS, Bugtraq a Secunia.

606

* Pri skenovaní cez IPv4 musí zistiť systémy s podporou IPv6 a naopak.

607

* Možnosť tvorby dynamických dashboardov pre potrebu práce so živými dátami.

608

* Distribuované skenery musí spravovať centrálna konzola.

609

* Automatické korelovanie a konsolidovanie jednotlivých zraniteľnosti plánu prostredníctvom nápravného opatrenia.

610

* Vykonávať automatizované testovanie zraniteľnosti zariadení.

611

* Testovanie dynamicky prideľovaných IP adries prostredníctvom služby DHCP a monitorovanie ich histórie a podávanie správ pomocou "DNS name" alebo "Host name“.

612

* Umožniť automatickú aktualizáciu tagov v databáze aktív podľa týchto pravidiel dynamického označovania.

613

* Umožniť automatické aktualizácie všetkých SW komponentov celej architektúry riešenia s najnovšími dostupnými verziami jednotlivých SW komponentov.

614

* Umožniť automatickú centralizáciu všetkých nájdených aktívnych systémov a ich atribútov: verzií operačného systému, verzií aplikácií, otvorených portov TCP a UDP a sieťových protokolov do jednej databázy aktív s možnosťou definovať statické a dynamické hierarchické tagy a podľa týchto tagov vykonávať filtrovanie aktív, testovanie a vykazovanie výsledkov.

615

* Možnosť stanovenia cieľov nápravných opatrení podľa kritérií ako sú:

616

** stanovený termín ukončenia realizácie nápravných opatrení,

617

** odstránenie zraniteľností podľa závažností,

618

** odstránenie konkrétnych zraniteľností,

619

** odstránenie aktív s nepodporovaným operačným systémov.

620

621

Súčasťou aktivity bude aj vykonanie iniciálneho vulnerability testu (scanu) interných systémov, pracovných staníc a sieťovej infraštruktúry a zaškolenie administrátora VÚSCH.

622

623

**__Nástroj na bezpečnostné testovanie__**

624

625

Nástroj na bezpečnostné testovanie musí spĺňať najmenej nasledovné:

626

627

* Platforma musí umožňovať vytváranie phishing-ových kampaní.

628

* Platforma obsahuje predpripravené email šablóny a stránky najčastejšie sa vyskytujúcich podvodov.

629

* Phishing-ová kampaň sa môže realizovať manuálne alebo prostredníctvom plánovača.

630

* Minimálne ukazovatele pre vyhodnocovanie phishing-ových kampaní sú:

631

* Počet odoslaných emailov.

632

* Počet doručených emailov.

633

* Počet otvorených emailov.

634

* Počet kliknutí na odkaz.

635

* Počet kliknutí na prílohu.

636

* Počet odpovedí na email.

637

** Reporting pre vyhodnocovanie úspešnosti phishing-ových kampaní.

638

** Platforma podporuje import používateľov z Active Directory.

639

** Možnosť nastaviť akciu po úspešnom phishingu používateľa (napr. po kliknutí na podozrivú linku sa objaví vysvetlenie čo nesprávne používateľ vykonal).

640

** Možnosť vytvorenia skupín používateľov, ktorí budú účastníkmi phishing-ovej kampane.

641

** Možnosť nastavenia školenia po absolvovaní phishing-ovej kampane.

642

643

644

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.2Rozsahinformačnýchsystémov–ASIS"/}}3.2.2 Rozsah informačných systémov – AS IS ===

645

646

647

Implementované bezpečnostné riešenia sa budú dotýkať najmä zvýšenia ochrany a bezpečnosti nasledovných IS:

648

649

|(((

650

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

665

666

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

isvs_14285

)))|(((

Nemocničný informačný systém Promis

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

)))

|(((

isvs_14286

)))|(((

PACS

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

)))

|(((

isvs_14288

)))|(((

Laboratórny informačný systém

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

)))

|(((

isvs_14287

)))|(((

Webové sídlo VÚSCH

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Prezentačný

)))|(((

)))

Čiastočne a okrajovo sa implementované bezpečnostné opatrenia a riešenia budú dotýkať aj nasledovných infraštruktúrnych a podporných IS, ktoré ale nie sú ISVS:

|(((

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

741

742

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

)))|(((

Ekonomický informačný systém

)))|(((

☐

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

Dochádzkový informačný systém

)))|(((

☐

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

Mailový server

)))|(((

☐

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

Service desk Alvao

)))|(((

☐

)))|(((

)))|(((

)))|(((

)))

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.3Rozsahinformačnýchsystémov–TOBE"/}}3.2.3 Rozsah informačných systémov – TO BE ===

// //

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

803

804

805

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.4VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}3.2.4 Využívanie nadrezortných a spoločných ISVS – AS IS ===

806

807

808

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

809

810

811

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.5PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}3.2.5 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE ===

812

813

814

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

815

816

817

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.6PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}3.2.6 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===

818

819

820

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

821

822

823

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.7Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}3.2.7 Aplikačné služby pre realizáciu koncových služieb – TO BE ===

824

825

826

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

827

828

829

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.8Aplikačnéslužbynaintegráciu–TOBE"/}}3.2.8 Aplikačné služby na integráciu – TO BE ===

830

831

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

832

833

834

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.9PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}3.2.9 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===

835

836

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

837

838

839

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.10KonzumovanieúdajovzISCSRU–TOBE"/}}3.2.10 Konzumovanie údajov z IS CSRU – TO BE ===

840

841

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3Dátovávrstva"/}}3.3 Dátová vrstva ==

846

847

848

Z pohľadu dátového modelu nejde o typické biznis (agendové) dáta ale o dáta typu:

849

850

* Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. – ako výstupy aktivity projektu určené pre ďalšie riadenie rozvoja KIB,

851

* bezpečnostné konfigurácie a bezpečnostné dáta (napr. logy) – pre fungovanie jednotlivých bezpečnostných komponentov.

852

853

Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. sú určené pre proces riadenia KIB.

854

855

Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie bezpečnostných modulov, t.j. jednotlivé komponenty tohto navrhovaného riešenia a zároveň reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov.

856

857

858

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.1Údajevspráveorganizácie"/}}3.3.1 Údaje v správe organizácie ===

859

860

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

861

862

863

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.2Dátovýrozsahprojektu-Prehľadobjektovevidencie-TOBE"/}}3.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE ===

864

865

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

866

867

868

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.3Referenčnéúdaje"/}}3.3.3 Referenčné údaje ===

869

870

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

871

872

873

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.4Kvalitaačistenieúdajov"/}}3.3.4 Kvalita a čistenie údajov ===

874

875

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

876

877

878

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.5Otvorenéúdaje"/}}3.3.5 Otvorené údaje ===

879

880

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

881

882

883

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.6Analytickéúdaje"/}}3.3.6 Analytické údaje ===

884

885

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

886

887

888

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.7Mojeúdaje"/}}3.3.7 Moje údaje ===

889

890

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

891

892

893

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.8Prehľadjednotlivýchkategóriíúdajov"/}}3.3.8 Prehľad jednotlivých kategórií údajov ===

894

895

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

896

897

898

== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.4Technologickávrstva"/}}3.4 Technologická vrstva ==

899

900

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.4.1Prehľadtechnologickéhostavu-ASISaTOBE"/}}3.4.1 Prehľad technologického stavu - AS IS a TO BE ===

901

902

903

V rámci as-is stavu dnes v rámci VÚSCH neexistuje bezpečnostná technológia, ktorá je predmetom tohto projektu.

904

905

Z pohľadu to-be bude finálna technologická vrstva závislá od výsledkov verejného obstarávania a technológie, ktorú ponúkne víťazný uchádzač.

906

907

Niektoré bezpečnostné riešenia totižto poskytujú viacero alternatív a dajú sa implementovať napr. ako virtuálny appliance, ale prípadne aj ako HW appliance alebo ako cloudová služba výrobcu. Predpokladom však je, že väčšina bezpečnostných riešení bude nasadená do virtuálneho prostredia VÚSCH, a niektoré riešenia budú nasadené ako samostatný HW appliance alebo v rámci cloudovej infraštruktúry výrobcu, prípadne budú nasadení rôzni agenti do infraštruktúry VÚSCH.

908

909

Vzhľadom na uvedené skutočnosti predpokladáme „high level“ technologickú architektúru tak, ako je uvedené na nasledujúcom obrázku:

910

911

912

[[image:attach:image-2024-6-4_12-53-14-1.png||height="400"]]

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.4.2Požiadavkynavýkonnostnéparametre,kapacitnépožiadavky–TOBE"/}}3.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE ===

917

918

Predpokladané výkonnostné parametre a kapacitné požiadavky sú, tam kde je to relevantné, uvedené v popise aplikačnej architektúry jednotlivých aplikačných funkcií a aplikačných modulov.

919

920

921

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.4.3Návrhriešeniatechnologickejarchitektúry–popísanévyššievrámciASIS-TOBE"/}}3.4.3 Návrh riešenia technologickej architektúry – popísané vyššie v rámci ASIS -TOBE ===

922

923

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

// //

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.4.4Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}3.4.4 Využívanie služieb z katalógu služieb vládneho cloudu ===

928

929

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

930

931

== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.5Bezpečnostnáarchitektúra"/}}3.5 Bezpečnostná architektúra ==

932

933

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia.

934

935

936

= {{id name="projekt_2657_Pristup_k_projektu_detailny-4.ZávislostinaostatnéISVS/projekty"/}}4. Závislosti na ostatné ISVS / projekty =

937

938

Bez závislostí na iné projekty.

**~ **

= {{id name="projekt_2657_Pristup_k_projektu_detailny-5.Zdrojovékódy"/}}5. Zdrojové kódy =

943

944

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

945

946

Riešenie nepredpokladá vývoj softvéru, ale použitie komerčných bezpečnostných produktov a zariadení.

947

948

949

= {{id name="projekt_2657_Pristup_k_projektu_detailny-6.Prevádzkaaúdržba"/}}6. Prevádzka a údržba =

950

951

Aktivita podpora Governance v oblasti KIB si nevyžaduje žiadnu budúcu prevádzku, nakoľko ide len o analytické a konzultačné práce, ktorých výstupy budú použité pre proces riadenia KIB (Governance). Výstupy Governance aktivít samozrejme tiež budú musieť byť udržiavané a rozvíjané, to by však malo byť realizované pomocou interných zamestnancov bez priameho vplyvu na rozpočet.

Pre aktivity napr.:

* nasadenie nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti,

956

* MFA,

957

* implementácia SIEM s integrovaným LMS,

958

* vulnerability skener,

959

* bezpečnostné testovanie phishing kampaní

960

961

sú rámcové požiadavky na prevádzku a údržbu zadefinované nižšie.

962

963

== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.1Prevádzkovépožiadavky"/}}6.1 Prevádzkové požiadavky ==

964

965

Všetky ďalšie parametre a požiadavky na prevádzku a údržbu sa týkajú už len nasledovných aktivít:

966

967

* nasadenie nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti,

968

* MFA,

969

* implementácia SIEM s integrovaným LMS.

970

971

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.1.1Úrovnepodporypoužívateľov"/}}6.1.1 Úrovne podpory používateľov ===

972

973

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

974

975

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.1.2Riešenieincidentov–SLAparametre"/}}6.1.2 Riešenie incidentov – SLA parametre ===

976

977

978

Označenie naliehavosti incidentu:

979

980

|(((

981

Označenie naliehavosti incidentu

)))|(((

Závažnosť incidentu

)))|(((

Popis naliehavosti incidentu

)))

|(((

A

)))|(((

Kritická

)))|(((

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

)))

|(((

B

)))|(((

Vysoká

)))|(((

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.

)))

|(((

C

)))|(((

Stredná

)))|(((

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

)))

|(((

D

)))|(((

Nízka

)))|(((

Kozmetické a drobné chyby.

)))

// //

možný dopad:

|(((

Označenie závažnosti incidentu

)))|(((

Dopad

)))|(((

Popis dopadu

)))

|(((

1

)))|(((

katastrofický

)))|(((

katastrofický dopad, priamy finančný dopad alebo strata dát,

)))

|(((

2

)))|(((

značný

)))|(((

značný dopad alebo strata dát

)))

|(((

3

)))|(((

malý

)))|(((

malý dopad alebo strata dát

)))

**// //**

Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

1054

1055

|(% colspan="2" rowspan="2" %)(((

1056

Matica priority incidentov

1057

)))|(% colspan="3" %)(((

Dopad

)))

|(((

Katastrofický - 1

)))|(((

Značný - 2

)))|(((

Malý - 3

)))

|(% rowspan="4" %)(((

**Naliehavosť**

)))|(((

**Kritická - A**

)))|(((

1

)))|(((

2

)))|(((

3

)))

|(((

**Vysoká - B**

)))|(((

2

)))|(((

3

)))|(((

3

)))

|(((

**Stredná - C**

)))|(((

2

)))|(((

3

)))|(((

4

)))

|(((

**Nízka - D**

)))|(((

3

)))|(((

4

)))|(((

4

)))

**// //**

Vyžadované reakčné doby:

1109

1110

|(((

1111

Označenie priority incidentu

1112

)))|(((

1113

Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu

1114

)))|(((

1115

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^

)))|(((

Spoľahlivosť ^^(3)^^

(počet incidentov za mesiac)

)))

|(((

1

)))|(((

0,5 hod.

)))|(((

4 hodín

)))|(((

1

)))

|(((

2

)))|(((

1 hod.

)))|(((

12 hodín

)))|(((

2

)))

|(((

3

)))|(((

1 hod.

)))|(((

24 hodín

)))|(((

10

)))

|(((

4

)))|(((

1 hod.

)))|(% colspan="2" %)(((

1153

Vyriešené a nasadené v rámci plánovaných releasov

)))

// //

== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.2PožadovanádostupnosťIS:"/}}6.2 Požadovaná dostupnosť IS: ==

**// //**

|(((

Popis

)))|(((

Parameter

)))|(((

Poznámka

)))

|(((

**Prevádzkové hodiny**

)))|(((

12 hodín

)))|(((

od 6:00 hod. - do 18:00 hod. počas pracovných dní

1175

)))

1176

|(% rowspan="2" %)(((

**Servisné okno**

)))|(((

10 hodín

)))|(((

od 19:00 hod. - do 5:00 hod. počas pracovných dní

)))

|(((

24 hodín

)))|(((

od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov

1187

1188

Servis a údržba sa bude realizovať mimo pracovného času.

1189

)))

1190

|(((

1191

**Dostupnosť produkčného prostredia IS**

)))|(((

98,5%

)))|(((

98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod.

1196

1197

Maximálny mesačný výpadok je 5,5 hodiny.

1198

1199

Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

1200

1201

Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L3 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

1202

1203

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

)))

// //

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.2.1Dostupnosť(Availability)"/}}6.2.1 Dostupnosť (Availability) ===

1209

1210

1211

Požadovaná dostupnosť pre nasledovné aktivity projektu:

1212

1213

* nasadenie nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti,

1214

* nasadenie nástroja na skenovanie zraniteľností,

1215

* nasadenie nástroja pre bezpečnostné testovanie phishing kampaní

je:

* **98,5% dostupnosť** znamená výpadok 8,25 dňa.

1220

1221

1222

Požadovaná dostupnosť pre aktivity projektu:

1223

1224

* MFA,

1225

* implementácia SIEM s integrovaným LMS,

je:

* **99,9% ("tri deviatky") dostupnosť** znamená výpadok 8,76 hodín.

1230

1231

1232

Za týmto účelom bude aj s dodávateľom služby SOC as a service uzatvorená rovnaká dohoda o úrovni poskytovaných služieb (SLA), ktorá bude požadovať uvedenú dostupnosť poskytovanej služby.

1233

1234

1235

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.2.2RTO(RecoveryTimeObjective)"/}}6.2.2 RTO (Recovery Time Objective) ===

Zavedenie aktivít:

* nasadenie nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti,

1240

* MFA,