projekt_2657_Pristup_k_projektu_detailny

Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni Východoslovenského ústavu srdcových a cievnych chorôb, a.s. (ďalej ako „VÚSCH“) má za cieľ zvýšiť úroveň informačnej a kybernetickej bezpečnosti v sektore zdravotníckych zariadení.

114

115

Projekt v rámci výzvy poskytuje prostriedky na realizáciu základných stavebných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti. Oblasti bezpečnosti, na ktoré organizácia žiada podporu v rámci tohto projektu (výzvy) predstavujú základný rámec („baseline"), ktorý by mal byť implementovaný. Aktuálny stav implementácie týchto bezpečnostných služieb a funkcií je nízky, preto žiadame o podporu v rámci tohto definovaného rámca. Budúce riešenie základného rámca zabezpečenia informačnej a kybernetickej bezpečnosti na úrovni biznis architektúry by malo pozostávať najmä z nasledovných bezpečnostných riešení:

116

117

* Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia informačnej a kybernetickej bezpečnosti (ďalej len „KIB“).

118

* Analytické aktivity zavedenia bezpečnostných opatrení a riešení.

119

* Implementačné aktivity bezpečnostných riešení.

120

* Pre-financovanie aktivity aktualizácie analýzy rizík a analýzy dopadov po implementácii bezpečnostných opatrení a riešení, tesne pred ukončením projektu.

121

122

Jednotlivé biznis funkcie a bezpečnostné procesy ako aj popis ďalších úrovni architektúry riešenia sú uvedené v nasledujúcich kapitolách.

123

124

125

= {{id name="projekt_2657_Pristup_k_projektu_detailny-3.Architektúrariešeniaprojektu"/}}3. Architektúra riešenia projektu =

126

127

128

Tento projekt predstavuje riešenie základných stavebných blokov bezpečnostnej architektúry a zároveň aj ďalšie bezpečnostné funkcie realizované v organizácii. Organizácia nemá zavedený governance KIB a nemá vypracovanú detailnú analýzu rizík, taktiež sú nedostatočne riešené aj ďalšie oblasti riadenia KIB definované zákonom o KB.

129

130

Z uvedeného dôvodu bude projekt primárne zameraný na implementáciu governance procesov v oblasti riadenia KIB, kde je cieľom vypracovať dokumentáciu a zaviesť príslušné procesy. Zároveň bude VÚSCH žiadať aj o ďalšie oblasti podpory.

131

132

Keďže nejde o implementáciu agendového alebo iného obdobného informačného systému verejnej správy, tak v tomto duchu je upravený aj popis jednotlivých úrovni architektúry. Najmä v prípade poskytnutia podpory pre iné ako governance aktivity, kde sa predpokladá aj implementácia bezpečnostných systémov, zariadení alebo technických riešení, sú rovnako jednotlivé bloky architektúry rozpísané spôsobom zohľadňujúcim uvedené skutočnosti.

133

134

135

Pri biznis architektúre je potrebné si uvedomiť, že projekt, resp. jeho aktivity nerealizujú typické služby eGovernment-u a VS, ale ide o služby na úrovni bezpečnostnej architektúry VS, a ako také a z tohto dôvodu, nie sú vedené ako aplikačné služby v MetaIS.

136

137

Zároveň je potrebné uviesť, že architektúra pre as-is stav nie je uvedená z dôvodu, že aktuálne tieto služby bezpečnostnej architektúry nie sú implementované, prípadne sú implementované len čiastočne na nepostačujúcej úrovni.

138

139

Úrovne architektúry sú ďalej rozpísané podľa jednotlivých aktivít projektu a biznis bezpečnostných funkcií.

140

141

Špecifikácia výstupov jednotlivých aktivít je uvedená v kapitole Požadované výstupy (produkt projektu) v dokumente Projektový zámer.

142

143

144

== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.1Biznisvrstva"/}}3.1 Biznis vrstva ==

145

146

147

Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy:

148

149

* Riadenie aktív a riadenie rizík.

150

** Proces evidencie a správy aktív.

151

** Proces klasifikácie informácií a kategorizácie IS a sietí.

152

** Proces realizácie AR/BIA.

153

** Proces rozhodovania ohľadom riadenia identifikovaných rizík.

154

** Proces stanovenia stratégie obnovy na základe výsledkov AR/BIA (RTO).

155

** Proces definovania plánu zálohovania na základe výsledkov AR/BIA (RPO).

156

* Riadenie prístupov.

157

** Proces MFA k VPN a pre prístup „power users“ k správe IS.

158

* Sieťová a komunikačná bezpečnosť.

159

** Proces „virtuálneho patchovania“ – ochrany kritických prvkov infraštrukltúry („legacy“ systémov).

160

* Zaznamenávanie udalostí a monitorovanie.

161

** Proces bezpečného ukladania a centrálneho zhrávania logov.

162

** Proces bezpečnostného monitoringu koncových staníc.

163

** Proces bezpečnostného monitoringu systémov a dátových úložísk.

164

** Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry.

165

** Proces bezpečnostného monitoringu aktivít používateľov.

166

** Proces bezpečnostného monitoringu aktivít privilegovaných používateľov.

167

** Proces vyhodnocovania udalostí založený na “machine learning” algoritmoch a sledovaní správania sa používateľov (“behavioral analysis”) a identifikácie kybernetických bezpečnostných incidentov.

168

* Riešenie bezpečnostných incidentov.

169

** Proces vyhodnocovania a riešenia bezpečnostných incidentov a podozrivých udalostí aj vo väzbe na SOC.

170

* Identifikácia zraniteľností a bezpečnostné testovanie.

171

** Proces skenovania zraniteľností jednotlivých IS a sieťových zariadení.

172

** Proces zvyšovania kybernetickej odolnosti VÚSCH formou bezpečnostných testovaní (phishing-ových simulácií).

173

174

Jednotlivé biznis funkcie bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

175

176

[[image:attach:image-2024-6-4_12-52-23-1.png||height="400"]]

177

178

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}3.1.1 Prehľad koncových služieb – budúci stav: ===

179

180

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

181

182

183

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.1.2Jazykovápodporaalokalizácia"/}}3.1.2 Jazyková podpora a lokalizácia ===

184

185

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

186

187

188

== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2Aplikačnávrstva"/}}3.2 Aplikačná vrstva ==

189

190

Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:

191

192

* Riadenie aktív a riadenie rizík.

193

** Implementácia nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti.

194

* Riadenie prístupov.

195

** Implementácia MFA – MFA k VPN a pre prístup „power users“ k správe IS.

196

* Sieťová a komunikačná bezpečnosť.

197

** Nasadenie bezpečnostného riešenia ochrany kritickej infraštruktúry („legacy“ systémov) formou „virtual patching“.

198

* Zaznamenávanie udalostí a monitorovanie.

199

** Implementácia SIEM s integrovaným LMS.

200

* Riešenie kybernetických bezpečnostných incidentov.

201

** Využitie SOC ako služby od externého subjektu.

202

* Identifikácia zraniteľností a bezpečnostné testovanie.

203

** Implementácia vulnerability skenera.

204

** Implementácia nástroja na tvorbu a testovanie phishing kampaní.

205

206

[[image:attach:image-2024-6-4_12-52-42-1.png||height="400"]]

207

208

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.1Požiadavkynajednotlivékomponenty"/}}3.2.1 Požiadavky na jednotlivé komponenty ===

209

210

211

Požiadavky na jednotlivé aplikačné komponenty pre vyššie uvedené aplikačné služby sú nasledovné:

**__ __**

**__Správa dokumentov__**

216

217

V rámci tejto aplikačnej služby bude na správu bezpečnostnej dokumentácie vytvorenej počas projektu využitý existujúci Dokument manažment systém VÚSCH.

218

219

220

**__Riadenie aktív a rizík__**

221

222

Za účelom identifikácie aktív a ich ďalšej správy, realizáciu klasifikácie a kategorizácie a realizáciu a následne udržiavanie (aktualizácia) analýzy rizík a analýzy dopadov bude nasadená samostatná aplikácia.

223

224

Nástroj bude predstavovať SW riešenie pozostávajúce z funkcionality evidencie a správy informačných aktív organizácie, realizácie klasifikácie informácií a kategorizácie informačných systémov, realizácie analýzy rizík nad identifikovanými aktívami a podpory riadenia identifikovaných rizík.

225

226

Nástroj na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti musí spĺňať najmä nasledovné:

227

228

* Centrálna konzola pre používateľov systému prístupná cez web prehliadače (Chrome, Firefox, Safari alebo Edge).

229

* Centrálna konzola lokalizovaná v Slovenskom jazyku.

230

* Centrálna správa musí byť prevádzkovaná ako SaaS.

231

* Podpora požiadaviek legislatívy SR.

232

* Centrálny dashboard pre rýchle vyhodnotenie aktív (primárne a podporné), rizík podľa kategórie, rizík podľa hrozieb a zraniteľností, aktuálne dosahovaná úroveň súladu s požiadavkami zákona č. 69/2018 Z. z. a vyhlášky č. 362/2018, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

233

* Podpora prihlásenia prostredníctvom multi-faktorovej autentifikácie.

234

* Podpora tvorby klasifikácie informácií a kategorizácie sietí a informačných systémov podľa zákona č. 69/2018 Z. z. a doporučení vyhlášky č. 362/2018, vytváranie registrov aktív, hrozieb.

235

* Parametrizácia systému:

236

** Definovanie metódy na výpočet hodnotenia aktív.

237

** Definovanie metódy na kategorizáciu rizík.

238

** Definovanie bezpečnostnej štruktúry spoločnosti (osoby, organizačné jednotky, role).

239

** Definovanie druhov aktív.

240

** Definovanie typov aktív.

241

** Definovanie vlastných atribútov aktív.

242

** Definovanie stupnice pre hodnotenie dôvernosti, dostupnosti, integrity, dopadov, hrozieb a zraniteľností.

243

** Definovanie bezpečnostných opatrení.

244

** Register dodávateľov.

245

** Definovanie kritérií na hodnotenie dodávateľov.

246

* Register rizík prostredníctvom, ktorého je možné definovať kombinácie hrozba/zraniteľnosť na konkrétne typy aktív.

247

* Evidencia aktív (manuálne alebo prostredníctvom importu z dátového súboru):

248

** Všeobecné (druh, typ, lokalita, garant, administrátor, dodávateľ, prevádzkovateľ, závislosť aktíva na iných aktívach.

249

** Hodnotenie aktíva (dôvernosť, dostupnosť a integrita).

250

** Identifikácia hrozieb/zraniteľnosti manuálne alebo priamo z registra rizík.

251

** Spôsob používania a manipulácie.

252

** Vlastné atribúty.

253

* Mapa aktív pre grafické zobrazenie závislostí medzi jednotlivými aktívami:

254

** Zobrazenie priameho vzťahu aktíva a jeho podriadených a nadriadených aktív.

255

** Komplexné zobrazenie mapy všetkých aktív.

256

** Filtrácia zobrazených aktív (druh alebo kategória aktíva).

257

* Hodnotenie rizík:

258

** Možnosť stiahnuť súbor .pdf s identifikovanými rizikami pre jedno alebo viaceré aktíva.

259

** Hodnotenie dopadu identifikovaných rizík.

260

** Návrh bezpečnostných opatrení pre zníženie rizika na úrovni aktíva.

261

** Výpočet rizika pred a po opatrení bezpečnostného opatrenia.

262

** Rozhodnutie o akceptovaní alebo neakceptovaní rizika.

263

* Hodnotenie opatrení:

264

** Zoznam rizík, ktoré bezpečnostné opatrenie rieši.

265

** Aplikovateľnosť bezpečnostného opatrenia.

266

** Zavedenie bezpečnostného opatrenia a jeho riadenie:

267

*** ľudské a finančné zdroje, časový harmonogram,

268

*** evidencia komunikácie riešiteľského tímu.

269

** Plán zvládania rizík pre riadenie implementácie bezpečnostných opatrení:

270

*** Evidencia požiadaviek na ľudské a finančné zdroje.

271

*** Dátum začatia a ukončenie implementácie.

272

*** Diskusný priestor pre riešiteľský tím.

273

** Hodnotenie dodávateľov:

274

*** Hodnotenie atribútov dodávateľov aktív.

275

*** Mapovanie dodávateľov na konkrétne aktíva.

276

*** Možnosť evidencie podpornej dokumentácie k dodávateľov (zmluvy, SLA,..).

277

** Evidencia plnenia požiadaviek legislatívy:

278

*** ZoKB (zákon č.69/2018 Z. z. a vyhláška č.362/2018 Z. z.).

279

*** ITVS (zákon č.95/2019 Z. z. a vyhláška č. 179/2020 Z. z.).

280

*** Jednotlivé požiadavky môžu byť v stave zavedené, v procese zavádzania, neaplikované alebo nezavedené.

281

*** Ku každej požiadavke je možné pripojiť komentár a záznam zo zoznamu bezpečnostných opatrení.

282

*** Hodnotenie je možné exportovať do súboru .pdf.

283

** Plán kontinuity:

284

*** Všeobecné údaje o pláne kontinuity (názov, popis, dotknuté aktíva).

285

*** Definovanie členov analytického, výkonného a riadiaceho tímu.

286

*** Popis procesu a dokumentácia.

287

*** Export plánu obnovy do súboru.

288

** Auditný log pre zaznamenávanie aktivít v systéme:

289

*** Systém zaznamenáva aktivitu používateľa (pridanie, zmena, vymazanie) pre konkrétne časti systému (aktívum, atribút aktíva, riziko, ..).

290

*** Možnosť pozrieť stav pred vykonanou zmenou a po zmene.

291

292

293

**__Riadenie prístupov – Identifikácia a autentifikácia - Zavedenie MFA (multi-faktorová autentifikácia)__**

294

295

Zavedenie MFA umožní zvýšenie úrovne identifikácie a najmä autentifikácie používateľov, najmä pri vzdialených prístupoch, ale aj zvýšenie úrovne bezpečnosti pri správe IKT z pozície tzv. „power users" a administrátorov systémov.

296

297

Kryptograficky robustná multi-faktorová autentifikácia s ochranou pred phishingom, sociálnym inžinierstvom, brute-force útokom hádania tradičných autentifikačných login mien a hesiel, resp. ochrana pred zneužitím ukradnutých hesiel.

298

299

Adaptívne autentifikačné riešenie škálujúce do dimenzií:

300

301

* S pravidlami a granularitou používateľských rolí a skupín, podľa zodpovedností a povolených prístupov toho, ktorého používateľa.

302

* S možnosťou voľby autentifikačnej metódy pravidlami nastavením adekvátne bezpečným spôsobom – napríklad používateľ autentifikovaný push notifikáciou jednorazového hesla dostáva úplnejší prístup, na rozdiel od používateľa autentifikovaného cez SMS, ktorý dostáva limitovaný prístup.

303

* Determinované aplikáciami – napríklad pre vysoko senzitívne aplikácie a dáta je vyžadovaný vyšší typ autentifikačných metód s vyšším stupňom bezpečnosti – ako sú push notifikácia a WebAuthn a podobné metódy.

304

* Možnosť reštriktívne obmedziť prihlasovanie a autentifikáciu z vopred definovanej povolenej geografickej lokácie a zamedziť prihlasovanie z iných domén a lokácií (iná krajina, iný kontinent, a pod.).

305

* Podmienečné nastavenie úrovne prihlasovania – z dôveryhodnej lokality základný stupeň bezpečnosti a overenie, z iných domén možnosť vyžadovať viac bezpečný stupeň overenia.

306

* Možnosť definovať sieťové rozsahy pre overenie užívateľa – výberom povoleného rozsahu IP adries (možnosť zakázať prípojné body anonymizačnej siete ToR, použitie proxy alebo neznámych VPN skrývajúcich identitu).

307

308

Spôsoby multi-faktorovej autentifikácie musia zahŕňať okrem iného aj tieto metódy:

309

310

Push notifikácia na uzamknutý mobil/tablet/koncové zariadenie. Push notifikácia je silnejší nástroj s menšou zraniteľnosťou ako zasielanie jednorazového hesla formou PIN-u alebo znakového reťazca. Tieto je totiž možné odpozorovať útočníkom a zneužiť neautorizovanou osobou.

311

312

WebAuth metóda – posúva autentifikáciu od potreby vlastniť predmet (a ten môže byť odcudzený za účelom zneužitia) k autentifikácii cez biometrické senzory (unikátne papilárne čiary na prstoch, alebo dúhovka oka a pod.). V koncových zariadeniach bez biometrických senzorov v zabudovanej podobe je možné cez štandardizované rozhranie, napríklad USB doplniť čítačku biometrických parametrov formou tokenu s daným rozhraním a rozpoznávaním biometrických údajov.

313

314

Podpora integrácie s aplikáciami: HOTP, alebo na HMAC - založené jednorazové heslá one-time password (OTP).

315

316

Podpora ZeroTrust a Single-Sign-On (SSO).

317

318

319

**__Sieťová a komunikačná bezpečnosť__**

320

321

Bezpečnostné riešenie ochrany kritických prvkov infraštruktúry. Zavedenie bezpečnostného riešenia pre ochranu kritických infraštruktúrnych prvkov (serverov) voči zraniteľnostiam – implementácia funkcionality „virtual patching“ pre tzv. „legacy“ systémy, na ktoré už nie sú vydávané bezpečnostné záplaty a ochrany voči tzv. „zero-day“ zraniteľnostiam a zaškolenie administrátorov VÚSCH.

322

323

Systému pre zvýšenie kybernetickej odolnosti kľúčovej infraštruktúry VUSCH musí podporovať:

324

325

* Implementovanie centrálnej správy onpremise alebo poskytovaná ako služba formou cloudu výrobcu.

326

* Možnosť inštalácie agenta na nasledujúce operačné systémy:

327

** Windows 2000 a novšie.

328

* Red Hat 5 a novšie.

329

* Ubuntu 10 a novšie.

* CentOS 5 a novšie.

* Debian 6 a novšie.

* Amazon Linux.

* Oracle Linux 5 a novší.

334

* SUSE Linux 10 a novší.

335

* CLoud Linux 5 a novší.

336

* Solaris 10 a novší.

337

* AIX 5.3, 6.1, 7.1 a 7.2.

338

* Funkcionalitu pre detekciu a blokovanie správania sa používateľa/útočníka pre detekciu podozrivých aktivít na koncovom zariadení.

339

* Funkcionalitu web reputácie url pre detekciu a blokovanie komunikácie na potenciálne škodlivú / podozrivú cieľovú adresu

340

* Funkcionalitu aplikačného monitorovania a blokovania spustenia podozrivého softvéru na koncovom zariadení.

341

* Monitorovanie integrity súborov koncového zariadenia prostredníctvom vytvorenia baseline (stav integrity súborov definovanom čase).

342

* Funkcionalitu inšpekcie logov a udalostí (log manažment) na koncovom zariadení.

343

* Natívne typy zdrojov udalostí (windows event log) ako aj vlastné zdroje logov vrátane parsovania zdrojových dát.

344

* Funkcionalitu firewall pre detekciu a blokovanie škodlivej sieťovej komunikácie, pričom podporuje režim odposluchu - sieťová komunikácia nie je rušená, firewall funguje len v režime detekcie/logovania, vhodný na testovanie alebo inline režim - sieťová komunikácia prechádza cez definované pravidlá a na prevádzku sa aplikujú definované akcie na základe zásad a nastavených pravidiel.

345

* Detekciu a blokovanie pokusov o skenovanie siete, alebo portov alebo techník ako TCP SYNFIN,TCP XMAS, TCP null a podobných.

346

* Detekciu a prevenciu prienikov (IDS resp. IPS) pre podozrivú sieťovú komunikáciu.

347

* Automatické skenovanie, ktoré skenuje operačný systém, zisťuje verziu operačného systému, zisťuje nainštalované aktualizácie, zisťuje nainštalované programy a ich verzie a odporúča príslušné pravidlá IPS (tzv. virtuálne záplaty).

348

* Kontrolu sieťovej komunikácie SSL/TLS (nahraním certifikátu so súkromným kľúčom, ktorý sa používa na dešifrovanie obsahu).

349

* Inbound a outbound aplikačné integračné rozhranie API.

350

* Tvorbu vlastných politík pre všetky funkcionality a ich aplikovanie na jednotlivé koncové zariadenia alebo skupiny zariadení.

351

352

Systému musí obsahovať:

353

354

* Funkcionalitu antimalware pre detekciu a blokovanie škodlivého kódu na koncovom zariadení.

355

* Funkcionalitu tzv. virtual patching prostredníctvom IPS pravidiel pre blokovanie zneužitia známych zraniteľností (napr. log4shell, ...).

356

357

**__Bezpečnostný monitoring__**

358

359

V rámci bezpečnostného monitoringu ide o dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie systému bezpečnostného monitoringu (SIEM) s integrovaným centrálnym log manažmentom pre účely agentského aj bez-agentského zberu logov zo systémov VÚSCH, sieťových zariadení a koncových staníc a dostatočnú kapacitu pre uloženie všetkých logov min. po dobu 12 mesiacov.

360

361

Implementovaný systém bezpečnostného monitoringu (SIEM) musí poskytovať najmä nasledovnú funkcionalitu:

362

363

* SIEM (Security Information & Event management).

364

* UBA (User Behavior Analytics).

365

* ABA (Attacker Behavior Analytics).

366

* EDR (Endpoint Detection & Response) & FIM (File Integrity Monitoring).

367

* NTA (Network Traffic Analysis).

368

* DT (Deception Technology).

369

370

Požiadavky na SIEM (Security Information & Event management):

371

372

* musí umožňovať zber aplikačných, databázových aj systémových logov zo sieťových aj bezpečnostných zariadení (napr. firewally, sieťové alebo host. IPS/IDS), pracovných staníc, serverov ako aj cloud prostredí (Microsoft Azure, Microsoft 365,..),

373

* musí zbierať, detegovať a vyhodnocovať udalosti ako sú pokusy o neautorizované prístupy, zmeny integrity vybraných častí operačného systému, útoky škodlivého kódu, botov, neoprávnený prístup k aplikáciám, neautorizovanú zmenu konfigurácií, detegovať chybové stavy siete, porušení bezpečnostných politík,

374

* musí zbierať, detegovať a vyhodnocovať udalosti ako sú pokusy o neautorizované prístupy, zmeny integrity vybraných častí operačného systému, útoky škodlivého kódu, botov, neoprávnený prístup k aplikáciám, neautorizovanú zmenu konfigurácií, detegovať chybové stavy siete, porušení bezpečnostných politík,

375

* musí umožňovať uchovávanie pôvodnej informácie zo zdroja logu o časovej značke udalosti,

376

* nesmie umožniť odstránenie alebo modifikovanie uložených logov administrátorovi systému,

377

* musí pre každý log mať unikátny identifikátor, pre jednoznačnú identifikáciu,

378

* podporuje jednoduché vyhľadávanie udalostí a okamžité vytváranie reportov bez nutnosti dodatočného programovania,

379

* musí podporovať pokročilé korelácie (časové, z viacerých zdrojov, atď.),

380

* musí podporovať integráciu s Vulnerability Management systémom pre kontextualizáciu aká zraniteľnosť na konkrétnom koncovom bode existuje,

381

* musí podporovať úpravy alertingu, parsingu bez nevyhnutnosti učiť sa akýkoľvek programovací/skriptovací jazyk (v súlade s požiadavkou na vykonanie týchto zmien vlastnými silami objednávateľa),

382

* musí podporovať detekciu sieťových incidentov na základe korelácie informácií z poskytnutých logov a bude podporovať behaviorálnu analýzu spracovaných udalostí,

383

* musí obsahovať Incident Management konzolu pre správu kybernetických bezpečnostných udalostí a incidentov, pričom v rámci konzoly je k dispozícií časový sled udalostí daného incidentu, možnosť prideľovať riešiteľov, možnosť vyvolať akcie pre zisťovanie ďalších informácií, dopĺňanie logov, vrátane podrobných informácií z koncového bodu,

384

* riešenie bude bez požiadaviek na externý databázový server,

385

* musí podporovať možnosť tvorby vlastných Dashboardov a Vizuálnych Analýz,

386

* všetky úkony užívateľa (aj interného) budú auditované,

387

* musí podporovať pokročilý reporting s možnosťou schedulingu a distribúcie reportu,

388

* musí podporovať zber dát so šifrovaným prenosom (TLS, prípadne šifrovaný obsah správ) na celej trase zdroj /kolektor/ centrálna konzola,

389

* musí podporovať outbound API (príkladom môže byť pripojenie sa na externé zariadenia alebo systémy napr. Azure, AWS, Microsoft 365, ticketing system),

390

* musí podporovať minimálne nasledujúce úrovne užívateľských oprávnení (administrátor, read/write, read/only),

391

* musí podporovať integráciu s Active Directory,

392

* podporuje vlastnú alebo externú integráciu s navrhovaným riešením pre Multifaktorovú autentifikáciu (MFA),

393

* podporuje integráciu na Microsoft Azure a Microsoft 365 pre účely monitoringu aktivít používateľov,

394

* podporuje spracovanie štruktúrovaných aj neštruktúrovaných dát,

395

* podporuje vkladanie a monitorovanie vlastných IoC (indikátorov kompromitácie) vrátane manipulácie cez inbound API,

396

* umožňuje realizáciu tzv. kaskádových dotazov (kaskádové dotazy sú dotazy generované na základe údajoch vrátených z predchádzajúceho dotazu, príkladom by mohlo byť zobrazenie aktív, na ktoré sa vzťahuje alert, s následnou možnosťou rozbalenia na používateľov, ktorých sa táto stránka s výsledkami vyhľadávania týka),

397

* podporuje zber udalostí v prostredí Microsoft:

398

* udalosti z Microsoft prostredí sú získavané pomocou agenta inštalovaného priamo na koncovom Windows systéme. Windows agent musí súčasne podporovať ako monitoring interných windows logov, tak i monitoring textových súborových logov,

399

* agent zaisťuje zber nemodifikovaných udalostí a detailné spracovávanie auditných informácií,

400

* agent zabezpečuje v prípade potreby funkcionalitu kontroly integrity súborov,

401

* agent zabezpečuje v prípade potreby funkcionalitu auditovania prístupov k súborom na zariadení,

402

* filtrácia odosielaných udalostí agentom. Nerelevantné logy sú filtrované na strane windows agenta a nie sú odosielané po sieti,

403

* Windows agent nevyžaduje administrátorské zásahy na koncovom systéme – je centrálne spravovaný a automaticky aktualizovaný priamo z centrálnej správcovskej konzoly systému,

404

* Windows agent má buffer pre prípad straty spojenia medzi koncovým systémom a centrálnym úložiskom logov,

405

* podporuje zber udalostí v prostredí Linux / MacOs:

406

* udalosti z Linux / MacOs prostredí sú získavané pomocou agenta inštalovaného priamo na koncovom Linux / MacOs systéme. Linux / MacOs agent musí súčasne podporovať ako monitoring interných,

407

* agent zaisťuje zber nemodifikovaných udalostí a detailné spracovávanie auditných informácií,

408

* agent podporuje nastavenie filtrácie odosielaných udalostí pomocou centrálnej správcovskej konzoly,

409

* filtrácia odosielaných udalostí agentom. Nerelevantné logy sú filtrované na strane Linux / MacOs agenta a nie sú odosielané po sieti,

410

* Linux / MacOs nevyžaduje administrátorské zásahy na koncovom systéme – je centrálne spravovaný a automaticky aktualizovaný priamo z centrálnej správcovskej konzoly systému,

411

* Linux / MacOs agent má buffer pre prípad straty spojenia medzi koncovým systémom a centrálnym úložiskom logov,

412

* umožňuje generovať alert na základe:

413

* zhoda s vyhľadávaním reťazcom,

414

* definovanej nečinnosti,

415

* definovanej zmeny,

416

* umožňuje nastavenie sieťových zón a sieťových politík podľa ktorých budú generované alerty,

417

* umožňuje nastavenie privilegovaných skupín užívateľov Active Directory podľa ktorých budú generované alerty.

418

419

Požiadavky na UBA (User Behavior Analytics):

420

421

* Podporuje minimálne nasledujúce korelačné pravidlá pre analýzu správania sa užívateľa: Vytvorenie/Zablokovanie/ Resetovanie / Povolenie / Únik účtu.

422

* Podporuje minimálne nasledujúce korelačné pravidlá pre analýzu správania sa užívateľa:

423

* Eskalácia privilégií.

424

* Prijatie podozrivého odkazu v emailovej správe.

425

* Prístup na podozrivý odkaz cez web.

426

* Brute Force útok na heslá – lokálny účet.

427

* Brute Force útok na heslá – doménový účet.

428

* Autentifikácia užívateľa z podozrivej databázy.

429

* Manipulácia s lokálnymi udalosťami (event logs).

430

* Prvé prihlásenie na aktívum.

431

* Prvé prihlásenie z inej krajiny.

432

* Prihlásenie z viacerých krajín súčasne.

433

* Detegovaný hash z podozrivej databáz.

434

* Spustenie procesu z podozrivej databázy.

435

* Impersonizácia administrátora.

436

* Autentifikácia servisným účtom.

437

* Autentifikácia doménovým účtom.

438

* Komunikácia s podozrivou IP.

439

* Spustenie vzdialeného súboru.

440

* Protokol poisoning.

441

* Alert z Microsoft Defender ATP.

442

* Spearphishing URL detegovaná.

443

* Podporuje úpravu špecifických korelačných pravidiel (vytvorenie investigatívy, vytvorenie informácie, ...).

444

* Vytvára rizikový profil užívateľa na základe jeho správania.

445

* Vytvára rizikový profil privilegovaného užívateľa na základe jeho správania.

446

* Podporuje podrobný monitoring definovaných užívateľov.

447

* Podporuje podrobný monitoring aktivít privilegovaného užívateľov v lokálnom aj cloud prostredí.

448

449

Požiadavky na ABA (Attacker Behavior Analytics):

450

451

* podporuje korelačné pravidlá pre analýzu správania sa útočníka ako príklad (Zistenie externej IP pomocou príkazového riadku, Spustenie klúča z registra Windows , Spúšťanie procesov pomocou MMC konzole, Rundl32.exe spúšťa súbor s adresára Program Data, Premenovanie netcat, Windows debug v príkazovom riadku a dalšie,

452

* umožňuje mapovať správanie sa útočníka podľa taktík z metodiky MITRE ATT&CK:

453

* Reconnaissance,

454

* Resource Development,

* Initial Access,

* Execution,

* Persistence,

* Privilege Escalation,

* Defense Evasion,

* Credential Access,

* Discovery,

* Lateral Movement,

* Collection,

* Command And Control,

465

* Exfiltration,

466

* Impact,

467

* podporuje úpravu korelačných pravidiel prostredníctvom výnimiek,

468

* databáza korelačných pravidiel správania sa útočníka je kontinuálne aktualizovaná o nové techniky používane útočníkmi.

469

470

Požiadavky na EDR (Endpoint Detection & Response) & FIM (File Integrity Monitoring):

471

472

* podporuje základnú funkcionalitu odozvy na incident (zrušenie bežiaceho procesu, karanténa aktíva) prostredníctvom Windows/Linux agenta priamo z centrálnej konzole,

473

* podporuje funkcionalitu vyšetrovania incidentu prostredníctvom zberu dôkazov minimálne v rozsahu:

* Arp Cache

* Current Process

* Directory Entry

* Dns Cache

* Installed Service

* Network Connection

* Prefetch Entry

* Registry Key

* Scheduled Task

* User Session

* podporuje funkcionalitu vyšetrovania incidentu prostredníctvom zberu dôkazov preverovaného uživateľa o nasledujúce udalosti:

485

* Account modified

486

* Advanced malware alert

487

* Asset authentication

488

* Cloud service account modified

* DNS query

* Firewall

* IDS

* Ingress authentication

493

* Virus infection

494

* Web proxy

495

* podporuje rozšírenú funkcionalitu odozvy na incident (spustenie automatizačného workflow,..),

496

* podporuje funkcionalitu auditovania integrity súborov pre nasledujúce typy súborov Windows:

* .bat

* .cfg

* .conf

* .config

* .dll

* .exe

* .ini

* .sys

* podporuje funkcionalitu auditovania integrity súborov pre nasledujúce typy súborov Linux:

* /bin

* /boot

* /etc

* /sbin

* /usr/bin

* /usr/local/bin

* /usr/local/sbin

* /usr/sbin

* /usr/share/keyrings

515

* /var/spool/cron

516

517

Požiadavky na NTA (Network Traffic Analysis):

518

519

* podporuje zber nasledujúcich sieťových udalostí:

* IDS udalosti

* DHCP udalosti

* DNS udalosti

* IPv4 Flows

* môže byť nasadené do internej či externej časti siete bez licenčného obmedzenia množstva nasadených zariadení,

525

* poskytuje špecifické korelačné pravidlá pre SIEM súvisiace s analýzou sieťovej prevádzky,

526

* poskytuje špecifické vyhľadávacie vzory (queries) pre SIEM súvisiace s analýzou sieťovej prevádzky,

527

* poskytuje špecifické šablóny pre tvorbu dashboard v SIEM súvisiace s analýzou sieťovej prevádzky,

528

* zariadenie pre monitoring môžeme inštalovať do fyzického, virtualizačného alebo cloud prostredia.

529

530

Požiadavky na DT (Deception Technology):

531

532

* podporuje tvorbu nasledujúcich pascí pre identifikovanie aktivít útočníka:

* HoneyPots

* HoneyFiles

* HoneyUsers

* HoneyCredentials

* poskytuje špecifické korelačné pravidlá pre SIEM súvisiacich s pascami,

538

* umožňuje vyhladávať vzory (queries) pre SIEM súvisiacich s pascami,

539

* pasce môžu byť nasadené do internej časti siete bez licenčného obmedzenia množstva nasadených zariadení.

540

541

**__Zavedenie služby SOC as a service__**

542

543

Vybudovanie funkčného a spoľahlivého Security Operation Centra vyžaduje nemalé finančné prostriedky potrebné nielen na nákup technológie samotnej, ale aj na ľudské zdroje. Získať a predovšetkým udržať skúsený personál, schopný efektívne spracovávať veľké množstvo dát a byť schopný intuitívne rozoznať potrebu investigovania kritických situácií, je v dnešnej dobe veľmi zložité.

544

545

Práve s ohľadom na uvedené skutočnosti bude opatrenie Security Operation Center (SOC) zabezpečené formou služby od externého subjektu. Predpokladá sa obstaranie rámcovej zmluvy, ktorá sa bude čerpať podľa potrieb a požiadaviek VÚSCH.

546

547

Fungovanie SOC bude riešené formou „as a service“ a teda externý dodávateľ poskytne skúsený tím odborníkov, SOC procesov, CSIRT procesov a pod. Takýto spôsob realizácie umožní jednak eliminovať mesačné náklady na prevádzku SOC-u a zároveň umožní zabezpečiť efektívny spôsob ochrany kybernetického priestoru. SOC ako služba poskytne najmä efektívny bezpečnostný monitoring výskytu mimoriadnych udalostí a bezpečnostných incidentov a zabezpečenie adekvátnej reakcie na bezpečnostné incidenty. Okrem toho poskytne pokročilé analýzy bezpečnostných incidentov a ich vyšetrovanie, podporu riešenia bezpečnostných incidentov a uvedenia systémov späť do bežnej prevádzky, knowledge base ohľadom jednotlivých incidentov a spôsobov ich riešenia a reporting a štatistiky ohľadom jednotlivých a sumárnych bezpečnostných incidentoch, ich závažnosti a dopadoch.

548

549

Zavedenie SOC as a service – Security Operation Centre ako služby prinesie najmä:

550

551

* nastavenie procesného fungovania SOC a previazanie interných a externých procesov a roly: definícia roly, procesný model, zavedenie do praxe, prispôsobenie interných nástrojov (napr. service desk) a LMS systému, právna podpora, úprava interných smerníc a pod.,

552

* vytvorenie interných KB databáz vrátane iniciálneho naplnenia a školení pre riešenie bezpečnostných incidentov.

**__ __**

**__Vulnerability manažment__**

558

559

Obstaranie nástroja na skenovanie zraniteľností (vulnerability scaner) pre testovanie interných systémov, vrátane pracovných staníc používateľov a rovnako aj IP adries VÚSCH dostupných zo siete internet. Nástroj musí byť podporovaný výrobcom a musí mať prístup k aktuálnym databázam hrozieb a zraniteľností systémov.

560

561

Systém určený na Vulnerability Management musí podporovať:

562

563

* Scanovanie minimálne nasledujúcich zariadení a systémov:

564

** Windows server.

565

** Linux server.

566

** Network switch (ako je: Cisco, MikroTik, Fortigate).

567

** Firewally (ako je: Fortigate, Cisco alebo MikroTik.

568

** SIP/IP telefónia (PBX + terminály).

569

** Web server (IIS, Apache).

570

** Mail server (ako je MS Exchange, Postfix).

571

** Windows/ Linux/ MacOS desktopy a notebooky.

572

** Tlačiarne.

573

* Inštaláciu na Windows alebo Linux operačné systémy.

574

* Hodnotenie CVSS, CVSSv2, CVSSv3 možnosť zneužitia aktív a náchylnosť k súborom škodlivého softvéru.

575

* Hybridné formy nasadenia ako fyzické, virtualizované a cloud prostredie.

576

* Automatické zisťovanie aktív, pričom sa zohľadnia minimálne tieto parametre: adresy IP, adresy MAC a názvu hostiteľa, aby sa zabránilo duplicite.

577

* Centrálnu správu v geograficky rozptýlenom nasadení skenerov.

578

* Možnosť skenovania aktív bez-agentským spôsobom.

579

* Hodnotenie kritickosti aktív definované používateľom, ktoré sa musí zohľadniť v hodnotení rizík.

580

* Prístup založený na rolách s preddefinovanými aj vlastnými rolami.

581

* Automatizáciu pracovných postupov, ako je plánovanie skenovania, upozornenia na udalosti a zraniteľnosti skenovania a generovanie a distribúcia správ.

582

* Neinvazívne aj invazívne kontroly (administrátor môže určiť rušivosť akéhokoľvek skenovania úpravou výkonu skenovania a vykonávaných kontrol pričom administratívne poverenia možno použiť na hĺbkové autentifikované skenovanie, ktoré kontroluje aktíva na širší rozsah zraniteľností alebo porušení bezpečnostných politík).

583

* Možnosť skenovania s aj bez autentizácie.

584

* Podpora opakovaných skenovaní v určitých časových oknách a intervaloch.

585

* Integrácia s virtualizačnými prostrediami.

586

* Integrácia s produktmi na analýzu topológie siete a rizík.

587

* Integrácia s platformami na penetračné testovanie.

588

* Inbound a outbound API.

589

* Natívna integrácia s navrhovaným SIEM riešením.

590

* Schvaľovanie výnimiek spôsobom žiadateľ a schvaľovateľ.

591

* Identifikácia a správa výnimiek zo zraniteľnosti.

592

* Vlastné modely hodnotenia rizík definované používateľom.

593

* Aspoň 2FA autentifikácie používateľov.

594

* Možnosť vytvárania vlastných politík určených pre skenovanie.

595

* Možnosť vytvárania používateľom definovaných zraniteľností a kontrol zraniteľnosti.

596

* Automatické zisťovanie a inventarizácia majetku (pomocou IP adresy, MAC adresy).

597

* Vytváranie používateľom definovaných zraniteľností a kontrol zraniteľnosti.

598

* Pokrytie zraniteľností z NVD, CERT, SANS, Bugtraq a Secunia.

599

* Pri skenovaní cez IPv4 musí zistiť systémy s podporou IPv6 a naopak.

600

* Možnosť tvorby dynamických dashboardov pre potrebu práce so živými dátami.

601

* Distribuované skenery musí spravovať centrálna konzola.

602

* Automatické korelovanie a konsolidovanie jednotlivých zraniteľnosti plánu prostredníctvom nápravného opatrenia.

603

* Vykonávať automatizované testovanie zraniteľnosti zariadení.

604

* Testovanie dynamicky prideľovaných IP adries prostredníctvom služby DHCP a monitorovanie ich histórie a podávanie správ pomocou "DNS name" alebo "Host name“.

605

* Umožniť automatickú aktualizáciu tagov v databáze aktív podľa týchto pravidiel dynamického označovania.

606

* Umožniť automatické aktualizácie všetkých SW komponentov celej architektúry riešenia s najnovšími dostupnými verziami jednotlivých SW komponentov.

607

* Umožniť automatickú centralizáciu všetkých nájdených aktívnych systémov a ich atribútov: verzií operačného systému, verzií aplikácií, otvorených portov TCP a UDP a sieťových protokolov do jednej databázy aktív s možnosťou definovať statické a dynamické hierarchické tagy a podľa týchto tagov vykonávať filtrovanie aktív, testovanie a vykazovanie výsledkov.

608

* Možnosť stanovenia cieľov nápravných opatrení podľa kritérií ako sú:

609

** stanovený termín ukončenia realizácie nápravných opatrení,

610

** odstránenie zraniteľností podľa závažností,

611

** odstránenie konkrétnych zraniteľností,

612

** odstránenie aktív s nepodporovaným operačným systémov.

613

614

Súčasťou aktivity bude aj vykonanie iniciálneho vulnerability testu (scanu) interných systémov, pracovných staníc a sieťovej infraštruktúry a zaškolenie administrátora VÚSCH.

615

616

**__Nástroj na bezpečnostné testovanie__**

617

618

Nástroj na bezpečnostné testovanie musí spĺňať najmenej nasledovné:

619

620

* Platforma musí umožňovať vytváranie phishing-ových kampaní.

621

* Platforma obsahuje predpripravené email šablóny a stránky najčastejšie sa vyskytujúcich podvodov.

622

* Phishing-ová kampaň sa môže realizovať manuálne alebo prostredníctvom plánovača.

623

* Minimálne ukazovatele pre vyhodnocovanie phishing-ových kampaní sú:

624

* Počet odoslaných emailov.

625

* Počet doručených emailov.

626

* Počet otvorených emailov.

627

* Počet kliknutí na odkaz.

628

* Počet kliknutí na prílohu.

629

* Počet odpovedí na email.

630

** Reporting pre vyhodnocovanie úspešnosti phishing-ových kampaní.

631

** Platforma podporuje import používateľov z Active Directory.

632

** Možnosť nastaviť akciu po úspešnom phishingu používateľa (napr. po kliknutí na podozrivú linku sa objaví vysvetlenie čo nesprávne používateľ vykonal).

633

** Možnosť vytvorenia skupín používateľov, ktorí budú účastníkmi phishing-ovej kampane.

634

** Možnosť nastavenia školenia po absolvovaní phishing-ovej kampane.

635

636

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.2Rozsahinformačnýchsystémov–ASIS"/}}3.2.2 Rozsah informačných systémov – AS IS ===

637

638

639

Implementované bezpečnostné riešenia sa budú dotýkať najmä zvýšenia ochrany a bezpečnosti nasledovných IS:

640

641

|(((

642

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

657

658

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

isvs_14285

)))|(((

Nemocničný informačný systém Promis

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

)))

|(((

isvs_14286

)))|(((

PACS

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

)))

|(((

isvs_14288

)))|(((

Laboratórny informačný systém

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

)))

|(((

isvs_14287

)))|(((

Webové sídlo VÚSCH

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Prezentačný

)))|(((

)))

Čiastočne a okrajovo sa implementované bezpečnostné opatrenia a riešenia budú dotýkať aj nasledovných infraštruktúrnych a podporných IS, ktoré ale nie sú ISVS:

|(((

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

732

733

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

)))|(((

Ekonomický informačný systém

)))|(((

☐

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

Dochádzkový informačný systém

)))|(((

☐

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

Mailový server

)))|(((

☐

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

Service desk Alvao

)))|(((

☐

)))|(((

)))|(((

)))|(((

)))

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.3Rozsahinformačnýchsystémov–TOBE"/}}3.2.3 Rozsah informačných systémov – TO BE ===

// //

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

793

794

795

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.4VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}3.2.4 Využívanie nadrezortných a spoločných ISVS – AS IS ===

796

797

798

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

799

800

801

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.5PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}3.2.5 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE ===

802

803

804

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

805

806

807

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.6PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}3.2.6 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===

808

809

810

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

811

812

813

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.7Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}3.2.7 Aplikačné služby pre realizáciu koncových služieb – TO BE ===

814

815

816

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

817

818

819

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.8Aplikačnéslužbynaintegráciu–TOBE"/}}3.2.8 Aplikačné služby na integráciu – TO BE ===

820

821

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

822

823

824

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.9PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}3.2.9 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===

825

826

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

827

828

829

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.10KonzumovanieúdajovzISCSRU–TOBE"/}}3.2.10 Konzumovanie údajov z IS CSRU – TO BE ===

830

831

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3Dátovávrstva"/}}3.3 Dátová vrstva ==

836

837

838

Z pohľadu dátového modelu nejde o typické biznis (agendové) dáta ale o dáta typu:

839

840

* Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. – ako výstupy aktivity projektu určené pre ďalšie riadenie rozvoja KIB,

841

* bezpečnostné konfigurácie a bezpečnostné dáta (napr. logy) – pre fungovanie jednotlivých bezpečnostných komponentov.

842

843

Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. sú určené pre proces riadenia KIB.

844

845

Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie bezpečnostných modulov, t.j. jednotlivé komponenty tohto navrhovaného riešenia a zároveň reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov.

846

847

848

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.1Údajevspráveorganizácie"/}}3.3.1 Údaje v správe organizácie ===

849

850

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

851

852

853

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.2Dátovýrozsahprojektu-Prehľadobjektovevidencie-TOBE"/}}3.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE ===

854

855

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

856

857

858

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.3Referenčnéúdaje"/}}3.3.3 Referenčné údaje ===

859

860

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

861

862

863

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.4Kvalitaačistenieúdajov"/}}3.3.4 Kvalita a čistenie údajov ===

864

865

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

866

867

868

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.5Otvorenéúdaje"/}}3.3.5 Otvorené údaje ===

869

870

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

871

872

873

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.6Analytickéúdaje"/}}3.3.6 Analytické údaje ===

874

875

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

876

877

878

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.7Mojeúdaje"/}}3.3.7 Moje údaje ===

879

880

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

881

882

883

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.8Prehľadjednotlivýchkategóriíúdajov"/}}3.3.8 Prehľad jednotlivých kategórií údajov ===

884

885

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

886

887

888

== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.4Technologickávrstva"/}}3.4 Technologická vrstva ==

889

890

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.4.1Prehľadtechnologickéhostavu-ASISaTOBE"/}}3.4.1 Prehľad technologického stavu - AS IS a TO BE ===

891

892

893

V rámci as-is stavu dnes v rámci VÚSCH neexistuje bezpečnostná technológia, ktorá je predmetom tohto projektu.

894

895

Z pohľadu to-be bude finálna technologická vrstva závislá od výsledkov verejného obstarávania a technológie, ktorú ponúkne víťazný uchádzač.

896

897

Niektoré bezpečnostné riešenia totižto poskytujú viacero alternatív a dajú sa implementovať napr. ako virtuálny appliance, ale prípadne aj ako HW appliance alebo ako cloudová služba výrobcu. Predpokladom však je, že väčšina bezpečnostných riešení bude nasadená do virtuálneho prostredia VÚSCH, a niektoré riešenia budú nasadené ako samostatný HW appliance alebo v rámci cloudovej infraštruktúry výrobcu, prípadne budú nasadení rôzni agenti do infraštruktúry VÚSCH.

898

899

Vzhľadom na uvedené skutočnosti predpokladáme „high level“ technologickú architektúru tak, ako je uvedené na nasledujúcom obrázku:

900

901

902

[[image:attach:image-2024-6-4_12-53-14-1.png||height="400"]]

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.4.2Požiadavkynavýkonnostnéparametre,kapacitnépožiadavky–TOBE"/}}3.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE ===

907

908

Predpokladané výkonnostné parametre a kapacitné požiadavky sú, tam kde je to relevantné, uvedené v popise aplikačnej architektúry jednotlivých aplikačných funkcií a aplikačných modulov.

909

910

911

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.4.3Návrhriešeniatechnologickejarchitektúry–popísanévyššievrámciASIS-TOBE"/}}3.4.3 Návrh riešenia technologickej architektúry – popísané vyššie v rámci ASIS -TOBE ===

912

913

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

// //

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.4.4Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}3.4.4 Využívanie služieb z katalógu služieb vládneho cloudu ===

918

919

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

920

921

== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.5Bezpečnostnáarchitektúra"/}}3.5 Bezpečnostná architektúra ==

922

923

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia.

924

925

926

= {{id name="projekt_2657_Pristup_k_projektu_detailny-4.ZávislostinaostatnéISVS/projekty"/}}4. Závislosti na ostatné ISVS / projekty =

927

928

Bez závislostí na iné projekty.

**~ **

= {{id name="projekt_2657_Pristup_k_projektu_detailny-5.Zdrojovékódy"/}}5. Zdrojové kódy =

933

934

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

935

936

Riešenie nepredpokladá vývoj softvéru, ale použitie komerčných bezpečnostných produktov a zariadení.

937

938

939

= {{id name="projekt_2657_Pristup_k_projektu_detailny-6.Prevádzkaaúdržba"/}}6. Prevádzka a údržba =

940

941

Aktivita podpora Governance v oblasti KIB si nevyžaduje žiadnu budúcu prevádzku, nakoľko ide len o analytické a konzultačné práce, ktorých výstupy budú použité pre proces riadenia KIB (Governance). Výstupy Governance aktivít samozrejme tiež budú musieť byť udržiavané a rozvíjané, to by však malo byť realizované pomocou interných zamestnancov bez priameho vplyvu na rozpočet.

Pre aktivity napr.:

* nasadenie nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti,

946

* MFA,

947

* implementácia SIEM s integrovaným LMS,

948

* vulnerability skener,

949

* bezpečnostné testovanie phishing kampaní

950

951

sú rámcové požiadavky na prevádzku a údržbu zadefinované nižšie.

952

953

== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.1Prevádzkovépožiadavky"/}}6.1 Prevádzkové požiadavky ==

954

955

Všetky ďalšie parametre a požiadavky na prevádzku a údržbu sa týkajú už len nasledovných aktivít:

956

957

* nasadenie nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti,

958

* MFA,

959

* implementácia SIEM s integrovaným LMS.

960

961

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.1.1Úrovnepodporypoužívateľov"/}}6.1.1 Úrovne podpory používateľov ===

962

963

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

964

965

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.1.2Riešenieincidentov–SLAparametre"/}}6.1.2 Riešenie incidentov – SLA parametre ===

966

967

968

Označenie naliehavosti incidentu:

969

970

|(((

971

Označenie naliehavosti incidentu

)))|(((

Závažnosť incidentu

)))|(((

Popis naliehavosti incidentu

)))

|(((

A

)))|(((

Kritická

)))|(((

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

)))

|(((

B

)))|(((

Vysoká

)))|(((

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.

)))

|(((

C

)))|(((

Stredná

)))|(((

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

)))

|(((

D

)))|(((

Nízka

)))|(((

Kozmetické a drobné chyby.

)))

// //

možný dopad:

|(((

Označenie závažnosti incidentu

)))|(((

Dopad

)))|(((

Popis dopadu

)))

|(((

1

)))|(((

katastrofický

)))|(((

katastrofický dopad, priamy finančný dopad alebo strata dát,

)))

|(((

2

)))|(((

značný

)))|(((

značný dopad alebo strata dát

)))

|(((

3

)))|(((

malý

)))|(((

malý dopad alebo strata dát

)))

**// //**

Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

1044

1045

|(% colspan="2" rowspan="2" %)(((

1046

Matica priority incidentov

1047

)))|(% colspan="3" %)(((

Dopad

)))

|(((

Katastrofický - 1

)))|(((

Značný - 2

)))|(((

Malý - 3

)))

|(% rowspan="4" %)(((

**Naliehavosť**

)))|(((

**Kritická - A**

)))|(((

1

)))|(((

2

)))|(((

3

)))

|(((

**Vysoká - B**

)))|(((

2

)))|(((

3

)))|(((

3

)))

|(((

**Stredná - C**

)))|(((

2

)))|(((

3

)))|(((

4

)))

|(((

**Nízka - D**

)))|(((

3

)))|(((

4

)))|(((

4

)))

**// //**

Vyžadované reakčné doby:

1099

1100

|(((

1101

Označenie priority incidentu

1102

)))|(((

1103

Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu

1104

)))|(((

1105

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^

)))|(((

Spoľahlivosť ^^(3)^^

(počet incidentov za mesiac)

)))

|(((

1

)))|(((

0,5 hod.

)))|(((

4 hodín

)))|(((

1

)))

|(((

2

)))|(((

1 hod.

)))|(((

12 hodín

)))|(((

2

)))

|(((

3

)))|(((

1 hod.

)))|(((

24 hodín

)))|(((

10

)))

|(((

4

)))|(((

1 hod.

)))|(% colspan="2" %)(((

1143

Vyriešené a nasadené v rámci plánovaných releasov

)))

// //

== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.2PožadovanádostupnosťIS:"/}}6.2 Požadovaná dostupnosť IS: ==

**// //**

|(((

Popis

)))|(((

Parameter

)))|(((

Poznámka

)))

|(((

**Prevádzkové hodiny**

)))|(((

12 hodín

)))|(((

od 6:00 hod. - do 18:00 hod. počas pracovných dní

1165

)))

1166

|(% rowspan="2" %)(((

**Servisné okno**

)))|(((

10 hodín

)))|(((

od 19:00 hod. - do 5:00 hod. počas pracovných dní

)))

|(((

24 hodín

)))|(((

od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov

1177

1178

Servis a údržba sa bude realizovať mimo pracovného času.

1179

)))

1180

|(((

1181

**Dostupnosť produkčného prostredia IS**

)))|(((

98,5%

)))|(((

98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod.

1186

1187

Maximálny mesačný výpadok je 5,5 hodiny.

1188

1189

Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

1190

1191

Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L3 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

1192

1193

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

)))

// //

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.2.1Dostupnosť(Availability)"/}}6.2.1 Dostupnosť (Availability) ===

1199

1200

1201

Požadovaná dostupnosť pre nasledovné aktivity projektu:

1202

1203

* nasadenie nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti,

1204

* nasadenie nástroja na skenovanie zraniteľností,

1205

* nasadenie nástroja pre bezpečnostné testovanie phishing kampaní

je:

* **98,5% dostupnosť** znamená výpadok 8,25 dňa.

1210

1211

Požadovaná dostupnosť pre aktivity projektu:

1212

1213

* MFA,

1214

* implementácia SIEM s integrovaným LMS,

je:

* **99,9% ("tri deviatky") dostupnosť** znamená výpadok 8,76 hodín.

1219

1220

Za týmto účelom bude aj s dodávateľom služby SOC as a service uzatvorená rovnaká dohoda o úrovni poskytovaných služieb (SLA), ktorá bude požadovať uvedenú dostupnosť poskytovanej služby.

1221

1222

1223

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.2.2RTO(RecoveryTimeObjective)"/}}6.2.2 RTO (Recovery Time Objective) ===

Zavedenie aktivít:

* nasadenie nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti,

1228

* MFA,