Wiki zdrojový kód pre projekt_2685_Pristup_k_projektu_detailny
Version 2.1 by rudolf_zenis on 2024/06/11 13:09
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | (% style="text-align: center;" align="center" %) | ||
| 2 | **PRÍSTUP K PROJEKTU** | ||
| 3 | |||
| 4 | (% style="text-align: center;" align="center" %) | ||
| 5 | **~ Manažérsky výstup I-03** | ||
| 6 | |||
| 7 | (% style="text-align: center;" align="center" %) | ||
| 8 | podľa vyhlášky MIRRI č. 401/2023 Z. z. | ||
| 9 | |||
| 10 | (% style="text-align: center;" align="center" %) | ||
| 11 | \\ | ||
| 12 | |||
| 13 | (% style="text-align: center;" align="center" %) | ||
| 14 | \\ | ||
| 15 | |||
| 16 | \\ | ||
| 17 | |||
| 18 | (% class="" %)|((( | ||
| 19 | Povinná osoba | ||
| 20 | )))|((( | ||
| 21 | TA SR - Tlačová agentúra Slovenskej Republiky | ||
| 22 | ))) | ||
| 23 | (% class="" %)|((( | ||
| 24 | Názov projektu | ||
| 25 | )))|((( | ||
| 26 | Zvýšenie úrovne kybernetickej bezpečnosti TASR | ||
| 27 | ))) | ||
| 28 | (% class="" %)|((( | ||
| 29 | Zodpovedná osoba za projekt | ||
| 30 | )))|((( | ||
| 31 | Rudolf Ženiš | ||
| 32 | ))) | ||
| 33 | (% class="" %)|((( | ||
| 34 | Realizátor projektu | ||
| 35 | )))|((( | ||
| 36 | TA SR - Tlačová agentúra Slovenskej Republiky | ||
| 37 | ))) | ||
| 38 | (% class="" %)|((( | ||
| 39 | Vlastník projektu | ||
| 40 | )))|((( | ||
| 41 | TA SR - Tlačová agentúra Slovenskej Republiky | ||
| 42 | ))) | ||
| 43 | |||
| 44 | \\ | ||
| 45 | |||
| 46 | Schvaľovanie dokumentu | ||
| 47 | |||
| 48 | (% class="" %)|((( | ||
| 49 | Položka | ||
| 50 | )))|((( | ||
| 51 | Meno a priezvisko | ||
| 52 | )))|((( | ||
| 53 | Organizácia | ||
| 54 | )))|((( | ||
| 55 | Pracovná pozícia | ||
| 56 | )))|((( | ||
| 57 | Dátum | ||
| 58 | )))|((( | ||
| 59 | Podpis | ||
| 60 | |||
| 61 | (alebo elektronický súhlas) | ||
| 62 | ))) | ||
| 63 | (% class="" %)|((( | ||
| 64 | Vypracoval | ||
| 65 | )))|((( | ||
| 66 | Rudolf Ženiš | ||
| 67 | )))|((( | ||
| 68 | TASR | ||
| 69 | )))|((( | ||
| 70 | Riaditeľ Úseku informačných technológií | ||
| 71 | )))|((( | ||
| 72 | 10.6.2024 | ||
| 73 | )))|((( | ||
| 74 | \\ | ||
| 75 | ))) | ||
| 76 | |||
| 77 | \\ | ||
| 78 | |||
| 79 | = {{id name="projekt_2685_Pristup_k_projektu_detailny-1.Históriadokumentu"/}}**1. História dokumentu** = | ||
| 80 | |||
| 81 | (% class="" %)|((( | ||
| 82 | Verzia | ||
| 83 | )))|((( | ||
| 84 | Dátum | ||
| 85 | )))|((( | ||
| 86 | Zmeny | ||
| 87 | )))|((( | ||
| 88 | Meno | ||
| 89 | ))) | ||
| 90 | (% class="" %)|((( | ||
| 91 | //0.1// | ||
| 92 | )))|((( | ||
| 93 | //20.05.2024// | ||
| 94 | )))|((( | ||
| 95 | //Pracovný návrh// | ||
| 96 | )))|((( | ||
| 97 | Rudolf Ženiš | ||
| 98 | ))) | ||
| 99 | (% class="" %)|((( | ||
| 100 | //1.0// | ||
| 101 | )))|((( | ||
| 102 | //10.6.2024// | ||
| 103 | )))|((( | ||
| 104 | //Zapracovanie súladu s vyhláškou č. 401/2023 Z. z., finálna verzia v súlade so ŽoNFP// | ||
| 105 | )))|((( | ||
| 106 | Rudolf Ženiš | ||
| 107 | ))) | ||
| 108 | |||
| 109 | = {{id name="projekt_2685_Pristup_k_projektu_detailny-2.Účeldokumentu"/}}**2. Účel dokumentu** = | ||
| 110 | |||
| 111 | \\ | ||
| 112 | |||
| 113 | V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia. | ||
| 114 | |||
| 115 | \\ | ||
| 116 | |||
| 117 | Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky a požiadaviek výzvy „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa“ (ďalej len výzva) bude obsahovať opis navrhovaného riešenia, architektúru riešenia projektu na úrovniach biznis vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia a bezpečnostnej architektúry. Dokument tiež popisuje aj implementáciu projektu a preberanie výstupov projektu. | ||
| 118 | |||
| 119 | V zmysle usmernenia MIRRI SR sa v projektovej dokumentácii (ani v žiadosti) nešpecifikujú detailne konkrétne riziká a dopady a nezverejňuje sa podrobná dokumentácia toho, kde sú najväčšie riziká IT systémov a uvádzajú sa iba oblasti identifikovaných rizík a dopadov. Zároveň je možné manažérske produkty napísať všeobecne. | ||
| 120 | |||
| 121 | \\ | ||
| 122 | |||
| 123 | == {{id name="projekt_2685_Pristup_k_projektu_detailny-1.1Použitéskratkyapojmy"/}}**1.1 Použité skratky a pojmy** == | ||
| 124 | |||
| 125 | \\ | ||
| 126 | |||
| 127 | Z hľadiska formálneho sú použité skratky a pojmy v rámci celého dokumentu definované v nasledujúcej tabuľke a priebežne v texte. Pri definovaní v texte sa pri prvom použití skratky v zátvorke označí „ďalej len“. | ||
| 128 | |||
| 129 | // // | ||
| 130 | |||
| 131 | (% class="" %)|((( | ||
| 132 | SKRATKA/POJEM | ||
| 133 | )))|((( | ||
| 134 | POPIS | ||
| 135 | ))) | ||
| 136 | (% class="" %)|((( | ||
| 137 | SIEM | ||
| 138 | )))|((( | ||
| 139 | Security Information and Event Management | ||
| 140 | ))) | ||
| 141 | (% class="" %)|((( | ||
| 142 | WAF | ||
| 143 | )))|((( | ||
| 144 | Web Application Firewall | ||
| 145 | ))) | ||
| 146 | (% class="" %)|((( | ||
| 147 | MFA | ||
| 148 | )))|((( | ||
| 149 | Multi-Factor Authentication (Dual-Factor Authentication) | ||
| 150 | ))) | ||
| 151 | (% class="" %)|((( | ||
| 152 | HW | ||
| 153 | )))|((( | ||
| 154 | Hardware | ||
| 155 | ))) | ||
| 156 | (% class="" %)|((( | ||
| 157 | SW | ||
| 158 | )))|((( | ||
| 159 | Software | ||
| 160 | ))) | ||
| 161 | (% class="" %)|((( | ||
| 162 | LAN | ||
| 163 | )))|((( | ||
| 164 | Local Area Network | ||
| 165 | ))) | ||
| 166 | (% class="" %)|((( | ||
| 167 | IPS | ||
| 168 | )))|((( | ||
| 169 | Intrusion Prevention System | ||
| 170 | ))) | ||
| 171 | (% class="" %)|((( | ||
| 172 | URL | ||
| 173 | )))|((( | ||
| 174 | Uniform Resource Locator | ||
| 175 | ))) | ||
| 176 | (% class="" %)|((( | ||
| 177 | DNS | ||
| 178 | )))|((( | ||
| 179 | Domain Name System | ||
| 180 | ))) | ||
| 181 | (% class="" %)|((( | ||
| 182 | RA VPN | ||
| 183 | )))|((( | ||
| 184 | Remote Access Virtual Private Network | ||
| 185 | ))) | ||
| 186 | (% class="" %)|((( | ||
| 187 | MGMT | ||
| 188 | )))|((( | ||
| 189 | Management | ||
| 190 | ))) | ||
| 191 | (% class="" %)|((( | ||
| 192 | HA | ||
| 193 | )))|((( | ||
| 194 | High Availability | ||
| 195 | ))) | ||
| 196 | (% class="" %)|((( | ||
| 197 | GE | ||
| 198 | )))|((( | ||
| 199 | Gigabit Ethernet | ||
| 200 | ))) | ||
| 201 | (% class="" %)|((( | ||
| 202 | SSD | ||
| 203 | )))|((( | ||
| 204 | Solid-State Drive | ||
| 205 | ))) | ||
| 206 | (% class="" %)|((( | ||
| 207 | SFP | ||
| 208 | )))|((( | ||
| 209 | Small form-Factor Pluggable | ||
| 210 | ))) | ||
| 211 | (% class="" %)|((( | ||
| 212 | DHCP | ||
| 213 | )))|((( | ||
| 214 | Dynamic Host Configuration Protocol | ||
| 215 | ))) | ||
| 216 | (% class="" %)|((( | ||
| 217 | ARP | ||
| 218 | )))|((( | ||
| 219 | Address Resolution Protocol | ||
| 220 | ))) | ||
| 221 | |||
| 222 | \\ | ||
| 223 | |||
| 224 | == {{id name="projekt_2685_Pristup_k_projektu_detailny-1.2Konvenciepretypypožiadaviek(príklady)"/}}**1.2 Konvencie pre typy požiadaviek (príklady)** == | ||
| 225 | |||
| 226 | \\ | ||
| 227 | |||
| 228 | V rámci projektu budú definované nasledujúce základné typy požiadaviek: | ||
| 229 | |||
| 230 | \\ | ||
| 231 | |||
| 232 | Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu: | ||
| 233 | |||
| 234 | FRxx | ||
| 235 | |||
| 236 | * F funkčná užívateľská požiadavka | ||
| 237 | * xx číslo požiadavky | ||
| 238 | |||
| 239 | Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu: | ||
| 240 | |||
| 241 | NRxx | ||
| 242 | |||
| 243 | * N – nefunkčná požiadavka (NFR) | ||
| 244 | * xx – číslo požiadavky | ||
| 245 | |||
| 246 | \\ | ||
| 247 | |||
| 248 | Technické požiadavky majú nasledovnú konvenciu: | ||
| 249 | |||
| 250 | Txx | ||
| 251 | |||
| 252 | * T technická požiadavka | ||
| 253 | * xx číslo požiadavky | ||
| 254 | |||
| 255 | \\ | ||
| 256 | |||
| 257 | = {{id name="projekt_2685_Pristup_k_projektu_detailny-3.Popisnavrhovanéhoriešenia"/}}**3. Popis navrhovaného riešenia** = | ||
| 258 | |||
| 259 | \\ | ||
| 260 | |||
| 261 | Navrhované riešenie vychádza z aktuálnych zistení posledného auditu kybernetickej bezpečnosti s názvom „Záverečná správa o výsledkoch auditu prevádzkovateľa základnej služby TA SR“. | ||
| 262 | Závery auditu kybernetickej bezpečnosti definujú aktuálny stav a potreby, ktoré je nevyhnuté riešiť pre dosiahnutie súladu úrovne kybernetickej a informačnej bezpečnosti (ďalej len KIB) so zákonom č. 69/2018 Z. z. O kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len “zákon o kybernetickej bezpečnosti), Zákonom č. 95/2019 Z. z. O informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len “zákon o ISVS”), vyhláškou 362/2018 Z.z. o obsahu bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len vyhláška č. 362 /2018 Z. z.) a ďalšími súvisiacimi predpismi. | ||
| 263 | Navrhované riešenie tiež zohľadňuje požiadavky definované v smernici európskej únie NIS2. | ||
| 264 | |||
| 265 | \\ | ||
| 266 | |||
| 267 | V rámci projektového zámeru boli stanovené nasledovné ciele a spôsob ich dosiahnutia: | ||
| 268 | |||
| 269 | (% class="" %)|((( | ||
| 270 | //ID// | ||
| 271 | )))|((( | ||
| 272 | //Názov cieľa// | ||
| 273 | )))|((( | ||
| 274 | //Názov strategického cieľa// | ||
| 275 | )))|((( | ||
| 276 | //Spôsob realizácie strategického cieľa// | ||
| 277 | ))) | ||
| 278 | (% class="" %)|((( | ||
| 279 | //1// | ||
| 280 | )))|((( | ||
| 281 | //Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti// | ||
| 282 | |||
| 283 | // // | ||
| 284 | |||
| 285 | //Aktualizácia zariadení LAN siete TA SR s cieľom zabezpečenia autentifikovaných a autorizovaných prístupov používateľov a zariadení do LAN siete TA SR. | ||
| 286 | \\Cieľ realizovaný v zmysle oprávnených pod aktivít: „Sieťová a komunikačná bezpečnosť“ a „Riadenie prístupov do LAN siete“// | ||
| 287 | )))|((( | ||
| 288 | //Dôveryhodný štát pripravený// | ||
| 289 | |||
| 290 | //na hrozby// | ||
| 291 | |||
| 292 | // // | ||
| 293 | |||
| 294 | //Realizovanie opatrení kybernetickej a informačnej bezpečnosti// | ||
| 295 | )))|((( | ||
| 296 | //Zakúpenie, inštalácia a konfigurácia sieťových zariadení umožňujúcich automaticky riadiť a definovať prístup užívateľov a zariadení na základe rolí do infraštruktúry perimetra LAN siete TA SR použitím protokolu 802.1x. Aplikovanie bezpečnostných mechanizmov DHCP snooping a ARP inspection v LAN sieti TA SR navýšením kybernetickej odolnosti siete. | ||
| 297 | Vytvorenie dokumentácie skutočného vyhotovenia infraštruktúrnej LAN siete TA SR.// | ||
| 298 | ))) | ||
| 299 | (% class="" %)|((( | ||
| 300 | //2// | ||
| 301 | )))|((( | ||
| 302 | //Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti// | ||
| 303 | |||
| 304 | // // | ||
| 305 | |||
| 306 | //Aplikovanie viacfaktorovej autentifikácie užívateľov pristupujúcich na aktíva infraštruktúry TA SR prostredníctvom RA VPN alebo na publikované WEB portály spolu s kontrolou technických prostriedkov používaných pri prístupoch. | ||
| 307 | \\Cieľ realizovaný v zmysle oprávnených pod aktivít: „Riadenie prístupov do LAN siete“// | ||
| 308 | )))|((( | ||
| 309 | //Dôveryhodný štát pripravený// | ||
| 310 | |||
| 311 | //na hrozby// | ||
| 312 | |||
| 313 | // // | ||
| 314 | |||
| 315 | //Realizovanie opatrení kybernetickej a informačnej bezpečnosti// | ||
| 316 | )))|((( | ||
| 317 | //Zakúpenie systému umožňujúceho aplikovanie a nasadenie viacfaktorovej autentifikácie a overovanie požadovaného stavu zariadení, osoby na základe definovaných rolí prístupu, ktoré sa pripájajú do siete a na systémy TA SR. Konfigurácia systému viacfaktorovej autentifikácie pre jednotlivé skupiny užívateľov pristupujúcich na aktíva IT služieb TA SR. Definovanie politík pre prístupy. Vytvorenie dokumentácie skutočného vyhotovenia viacfaktorovej autentifikácie TA SR.// | ||
| 318 | ))) | ||
| 319 | (% class="" %)|((( | ||
| 320 | //3// | ||
| 321 | )))|((( | ||
| 322 | //Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti// | ||
| 323 | |||
| 324 | // // | ||
| 325 | |||
| 326 | //Zaznamenávanie udalostí, ich vyhodnocovanie, korelácia a monitorovanie. Monitorovanie a riešenie KIB incidentov. | ||
| 327 | \\Cieľ realizovaný v zmysle oprávnených pod aktivít: „Zaznamenávanie udalostí a monitorovanie“ a „Riešenie kybernetických bezpečnostných incidentov“// | ||
| 328 | )))|((( | ||
| 329 | //Dôveryhodný štát pripravený// | ||
| 330 | |||
| 331 | //na hrozby// | ||
| 332 | |||
| 333 | // // | ||
| 334 | |||
| 335 | //Realizovanie opatrení kybernetickej a informačnej bezpečnosti// | ||
| 336 | )))|((( | ||
| 337 | //Zakúpenie, inštalácia a konfigurácia SIEM systému spolu s nevyhnutnými hardwarovými prvkami potrebnými pre jeho prevádzkovanie na infraštruktúre TA SR. | ||
| 338 | Definovanie, konfigurácia a ladenie SIEM systému a jednotlivých „prípad použitia“.// | ||
| 339 | |||
| 340 | //Vytvorenie dokumentácie skutočného vyhotovenia SIEM nástroja na monitorovanie aktív v prostredí TA SR.// | ||
| 341 | ))) | ||
| 342 | (% class="" %)|((( | ||
| 343 | //4// | ||
| 344 | )))|((( | ||
| 345 | //Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti// | ||
| 346 | |||
| 347 | // // | ||
| 348 | |||
| 349 | //Ochrana web portálov TA SR// | ||
| 350 | |||
| 351 | // // | ||
| 352 | |||
| 353 | //Cieľ realizovaný v zmysle oprávnených pod aktivít: „Sieťová a komunikačná bezpečnosť“ a „Riadenie prístupov do LAN siete“// | ||
| 354 | )))|((( | ||
| 355 | //Dôveryhodný štát pripravený// | ||
| 356 | |||
| 357 | //na hrozby// | ||
| 358 | |||
| 359 | // // | ||
| 360 | |||
| 361 | //Realizovanie opatrení kybernetickej a informačnej bezpečnosti// | ||
| 362 | )))|((( | ||
| 363 | //Inštalácia a konfigurácia WAF - systému určeného pre zabezpečenie web portálov, ktoré sú dostupné zo siete Internet a na ktoré pristupujú interní a externí užívatelia. Vytvorenie dokumentácie skutočného vyhotovenia WAF nástroja na monitorovanie aktív v prostredí TA SR.// | ||
| 364 | ))) | ||
| 365 | (% class="" %)|((( | ||
| 366 | //5// | ||
| 367 | )))|((( | ||
| 368 | //Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti// | ||
| 369 | |||
| 370 | // // | ||
| 371 | |||
| 372 | //Aktualizácia doménového kontroléra na podporovanú verziu, inštalácia a konfigurácia AAA servera pre// | ||
| 373 | |||
| 374 | //prevádzkovanie a nasadenie štandardizovaného overovacieho protokolu 802.1x// | ||
| 375 | |||
| 376 | // // | ||
| 377 | |||
| 378 | //Cieľ realizovaný v zmysle oprávnených pod aktivít: „Sieťová a komunikačná bezpečnosť“ a „Riadenie prístupov do LAN siete“// | ||
| 379 | )))|((( | ||
| 380 | //Dôveryhodný štát pripravený// | ||
| 381 | |||
| 382 | //na hrozby// | ||
| 383 | |||
| 384 | // // | ||
| 385 | |||
| 386 | //Realizovanie opatrení kybernetickej a informačnej bezpečnosti// | ||
| 387 | )))|((( | ||
| 388 | //Zakúpenie, inštalácia a konfigurácia systému pre správu užívateľov a zariadení TA SR – doménový kontrolér. Inštalácia a konfigurácia AAA Rádius servera pre potreby nasadenia autentifikácia a autorizácie na základe rolí pri prístupe do LAN siete TA SR. Vytvorenie dokumentácie skutočného vyhotovenia v prostredí TA SR.// | ||
| 389 | ))) | ||
| 390 | (% class="" %)|((( | ||
| 391 | //6// | ||
| 392 | )))|((( | ||
| 393 | //Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti// | ||
| 394 | |||
| 395 | // // | ||
| 396 | |||
| 397 | //Ochrana dátového centra a kontrolovaný prístup zamestnancov na publikované a prevádzkované IT služby v dátovom centre on-premise.// | ||
| 398 | |||
| 399 | // // | ||
| 400 | |||
| 401 | //Cieľ realizovaný v zmysle oprávnených pod aktivít: „Sieťová a komunikačná bezpečnosť“// | ||
| 402 | )))|((( | ||
| 403 | //Dôveryhodný štát pripravený// | ||
| 404 | |||
| 405 | //na hrozby// | ||
| 406 | |||
| 407 | // // | ||
| 408 | |||
| 409 | //Realizovanie opatrení kybernetickej a informačnej bezpečnosti// | ||
| 410 | )))|((( | ||
| 411 | //Zakúpenie, inštalácia a konfigurácia dáta center firewall zariadenia na kontrolu a inšpekciu aplikačnej komunikácie od koncových bodov a zamestnancov TA SR. Nasadenie inšpekčnej kybernetickej kontroly medzi aplikačnou, middle ware a dátovou vrstvou dátového centra, oddelením jednotlivých segmentov datecenter architektúry a jej vrstiev. Vytvorenie dokumentácie skutočného vyhotovenia WAF nástroja na monitorovanie aktív v prostredí TA SR.// | ||
| 412 | ))) | ||
| 413 | |||
| 414 | = {{id name="projekt_2685_Pristup_k_projektu_detailny-4.Architektúrariešeniaprojektu"/}}**4. Architektúra riešenia projektu** = | ||
| 415 | |||
| 416 | \\ | ||
| 417 | |||
| 418 | Architektúra celého riešenia je v zmysle usmernenia MIRRI SR rámcová tak, aby bolo z projektu zrejmé, ktoré komponenty v rámci realizácie projektu budú vytvorené (a budú realizovať konkrétne opatrenia KIB). | ||
| 419 | |||
| 420 | \\ | ||
| 421 | |||
| 422 | Primárne opatrenia kybernetickej bezpečnosti chránia IS TA SR. Z vyššie definovaných spôsobov realizácie cieľov (viď kapitola 3 Popis navrhovaného riešenia) je zrejmé, o aké komponenty zabezpečenia pôjde – prepínače (switch-e), nástroje na micro segmentáciu siete, systém SIEM s potrebným hardwarom na jeho prevádzku, systémy zabezpečujúce viacfaktorové overovanie, systémy pre kontrolu web komunikácie smerom od zamestnancov TA SR do siete Internet, ale aj zabezpečenie web portálov TA SR, oddelenie jednotlivých aplikačných vrtieva v dátovom centre, ktoré sú dostupné zo siete Internet ako aj ochrana komunikácie v dátovom centre on-premise. | ||
| 423 | |||
| 424 | \\ | ||
| 425 | |||
| 426 | //Obrázok~:// | ||
| 427 | |||
| 428 | \\ | ||
| 429 | |||
| 430 | \\ | ||
| 431 | |||
| 432 | \\ | ||
| 433 | |||
| 434 | \\ |