pristup_k_projektu

(% id="Hprojekt_2695_Pristup_k_projektu_ramcovy" style="text-align: center;" class="with-breadcrumbs" %)

= (% id="cke_bm_4598S" style="display:none" %) (%%)[[projekt_2695_Pristup_k_projektu_ramcovy>>url:https://wiki.vicepremier.gov.sk/display/PD/projekt_2695_Pristup_k_projektu_ramcovy||shape="rect"]] =

3

4

(% style="text-align: center;" %)

5

Vzor pre manažérsky výstup I-03

6

podľa vyhlášky MIRRI č. 401/2023 Z. z.

7

8

(% class="relative-table" style="float:left; width:86.5989%" %)

|(((

Povinná osoba

)))|(((

Nemocnica s poliklinikou Brezno, n.o.

)))

|(((

Názov projektu

)))|(((

Podpora v oblasti kybernetickej a informačnej bezpečnosti v NsP Brezno

18

)))

19

|(((

20

Zodpovedná osoba za projekt

)))|(((

Ing. Ján Jagerčík

)))

|(((

Realizátor projektu

)))|(((

Nemocnica s poliklinikou Brezno, n.o.

)))

|(((

Vlastník projektu

)))|(((

Nemocnica s poliklinikou Brezno, n.o.

)))

(% style="text-align: left;" %)

45

**Schvaľovanie dokumentu**

46

47

(% class="relative-table" style="float:left; width:86.7925%" %)

|(((

Položka

)))|(((

Meno a priezvisko

)))|(((

Organizácia

)))|(((

Pracovná pozícia

)))|(((

Dátum

)))|(((

Podpis

(alebo elektronický súhlas)

)))

|(((

Vypracoval

)))|(((

Ing. Ján Jagerčík

)))|(((

Nemocnica s poliklinikou Brezno, n.o.

69

)))|(((

70

Ved. odd. IT a projektový manažér

)))|(((

23.7..2024

)))|(((

)))

= =

= =

= =

= =

= História dokumentu =

88

89

(% class="relative-table" style="width:38.3648%" %)

|(((

Verzia

)))|(((

Dátum

)))|(((

Zmeny

)))|(((

Meno

)))

|(((

//0.1//

)))|(((

//05.06.2024//

)))|(((

//Pracovný návrh//

)))|(((

)))

|(((

//1.0//

)))|(((

//23.07.2024//

)))|(((

//Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.//

)))|(((

)))

|(((

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

)))|(((

)))|(((

)))

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-2.Účeldokumentu"/}}2. Účel dokumentu =

137

138

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

139

140

Účelom dokumentu je rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti a zabezpečiť súlad so zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej ako “zákon o ITVS”) a č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti Governance kybernetickej bezpečnosti.

141

142

Jedná sa o prístup k projektu vo výzve "Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia". Z väčšej časti sa dokument odvoláva na projektový zámer I-02.

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

147

148

149

(% class="relative-table" style="width:40.8382%" %)

|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

|(((

AR

)))|(((

Analýza rizík

)))

|(((

BCM

)))|(((

Riadenie kontinuity činností (Business Continuity Management)

)))

|(((

BIA

)))|(((

Analýza dopadov (Business Impact Assessment)

)))

|(((

KIB

)))|(((

Kybernetická a informačná bezpečnosť

)))

|(((

KyB / KB

)))|(((

Kybernetická bezpečnosť

)))

|(((

RPO

)))|(((

Cieľový bod obnovy (Recovery Point Objective)

)))

|(((

RTO

)))|(((

Cieľový čas obnovy (Recovery Time Objective)

)))

|(((

IS

)))|(((

Informačný systém

)))

|(((

VPN

)))|(((

Virtuálna privátna sieť (Virtual Private Network)

199

)))

200

201

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-3.Popisnavrhovanéhoriešenia"/}}3. Popis navrhovaného riešenia =

202

203

Aktuálna situácia v oblasti informačnej a kybernetickej bezpečnosti (ďalej ako “KIB”) v NsP Brezno n.o. nie je ideálna, nakoľko nemáme implementované všetky riešenia a opatrenia kybernetickej bezpečnosti pre zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

204

205

Z externého pohľadu sa zvyšuje frekvencia a závažnosť útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov. Realizácia projektu zabezpečí zlepšenie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností, kapacít a spôsobilostí pre plnenie úloh v oblasti KIB.

// //

**Z vykonaného auditu NsP Brezno vykonaného v januári 2024 spoločnosťou Kompetenčné a certifikačné centrum kybernetickej bezpečnosti zriadeného Národným bezpečnostným úradom boli zistené určité nedostatky v kybernetickej bezpečnosti, predovšetkým:**

210

211

* **Nie sú vytvorené záložné kapacity IS pre zabezpečenie kontinuity prevádzky - potreba vybudovania záložnej serverovne s potrebným hardvérom a softvérom**

212

* **Nie je dokončená segmentácie počítačovej siete**

213

* **Nie je zavedená dvojfaktorovej autentifikácie pre prístupy cez VPN**

214

* **Nie je zavedené riadenie rizík KB**

215

* **Nie je zaznamenávanie udalostí, monitorovanie a riešenie KB incidentov**

216

* **Nie je implementovaný centrálny nástroj na detegovanie zraniteľností a vyhodnocovanie záznamov**

217

* **Nedostatky v bezpečnostnej dokumentácii na základe požiadaviek audítora a implementovanie realizácie**

**// //**

Predmetom projektu je realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti, v nadväznosti na výsledky auditu organizácie, čo chceme naplniť nasledujúcimi hlavnými aktivitami:

222

223

224

1. **Nákupom hardvéru a softvéru na vytvorenie záložných kapacít IS**

225

1. **Dokončenie segmentácie VLAN, vytvorenie 802.1x a zavedenie dvojfaktorovej autentifikácie pre VPN užívateľov**

226

1. **Nákupom softvéru EDR/XDR na detekciu škodlivého kódu a softvéru na riadenie rizík RiA**

227

1. **Služieb na vypracovanie kontinuity činností, analýzu dopadov, manažéra riadenia rizík a manažéra riadenia kontinuity**

**// //**

V nadväznosti na hlavné aktivity sú aj podaktivity zamerané na kybernetickú bezpečnosť:

__ __

Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia KIB:

236

237

* aktualizácia stratégie kybernetickej bezpečnosti,

238

* aktualizácia bezpečnostnej politiky kybernetickej bezpečnosti,

239

* vytvorenie / aktualizácia ďalších interných smerníc a politík pre všetky relevantné oblasti riadenia KIB (najmä smernica pre používateľov

240

* ohľadom IB, BCM politika, riadenie bezpečnosti v prevádzke IT a pod.).

Analytické aktivity:

* aktualizácia identifikácie a evidencie informačných aktív,

245

* detailná klasifikácia informácií a kategorizácia IS a sietí,

246

* analýza rizík a analýza dopadov (AR/BIA) aj so zapojením vlastníkov aktív,

247

* zavedenie procesu formálneho rozhodovania ohľadom riadenia identifikovaných rizík,

248

* na základe výsledkov AR/BIA zadefinovanie stratégie obnovy pre jednotlivé IS,

249

* aktualizácia plánu zálohovania podľa výsledkov AR/BIA,

250

* identifikácia zdrojov log súborov potrebných pre komplexné vyhodnocovanie bezpečnostných udalostí, analýza štruktúry log súborov, návrh optimálneho zberu log súborov, návrh optimálneho uchovávanie log súborov pre potreby forenznej analýzy,

251

252

Implementačné aktivity bezpečnostných riešení:

253

254

* zavedenie nástroja na udržiavanie aktív a aktualizáciu AR/BIA a zaškolenie administrátorov NsP Brezno

255

* dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie bezpečnostného riešenia pre ochranu kritických infraštruktúrnych prvkov (serverov) voči zraniteľnostiam – implementácia funkcionality „virtual patching“ pre tzv. „legacy“ systémy, naktoré už nie sú vydávané bezpečnostné záplaty a ochrany voči tzv. „zero-day“ zraniteľnostiam a zaškolenie administrátorov NsP Brezno,

256

* s integrovaným centrálnym log manažmentom pre účely agentského aj bez-agentského zberu logov zo systémov, sieťových zariadení a koncových staníc, spoločne s funkcionalitami XDR (Extended detection and response), ABA (Attacker Behavior Analytics),

257

* UBA (User Behavior Analytics), NTA (Network Traffic Analysis), FAAM (File Access Activity Monitoring), FIM (File Integrity Monitoring),

258

* Deception Technology (Honey Pots/User/File/Credential) pre zabezpečenie komplexného monitoringu a možnosti vyhodnocovania

259

* bezpečnostných udalostí vrátane zaškolenia administrátorov NsP Brezno,

260

* dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie MFA na všetky VPN pripojenia a na prístup

261

* „power users“ k správe IS a zaškolenie administrátorov NsP Brezno

262

263

* dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie interného nástroja na skenovanie zraniteľností (vulnerability scaner) s možnosťou previazania a plnej kompatibility so SIEM riešením, pre testovanie interných systémov, pracovných staníc, sieťovej infraštruktúry a rovnako aj IP adries NsP Brezno dostupných zo siete internet, vrátane zaškolenia administrátorov NsP Brezno,

264

* dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie interného nástroja na bezpečnostné testovanie

265

* vykonanie nasledovných bezpečnostných testovaní:

266

* vulnerability test (scan) interných systémov, pracovných staníc, sieťovej infraštruktúry,

267

268

Pre-financovanie nasledovných, legislatívou vyžadovanej aktivity:

269

270

pre-financovanie aktualizácie inventarizácie aktív, klasifikácie IS a analýzy rizík tesne pred ukončením projektu po úspešnej

271

272

implementácii vyššie uvedených bezpečnostných riešení.

273

274

275

Celková žiadaná výška ŽoNFP je 298 953,12 EUR.

276

277

278

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.Architektúrariešeniaprojektu"/}}4. Architektúra riešenia projektu =

279

280

Hlavnou aktivitou projektu je zvýšenie úrovne KIB, aby **NsP Brezno** bola lepšie pripravená čeliť interným a externým hrozbám v oblasti kybernetickej bezpečnosti. Na rozdiel od súčasného stavu bude disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého prostredia, ako aj ochranu dát.

281

282

283

Medzi hlavné ciele systému riadenia KIB patria:

284

285

* zabezpečenie správnej a bezpečnej prevádzky prostriedkov spracúvajúcich informácie,

286

* monitorovanie prostredia,

287

* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu.

288

289

Na rozdiel od súčasného stavu bude NsP Brezno disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého prostredia, ako aj ochranu dát.

290

291

292

Navrhovaný projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia" súvisí najmä s naplnením povinností:

293

294

* definovanými v zákone č. 69/2018 Z. z. Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB") a v

295

* zákone č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS"),

296

* opatreniami definovanými v § 20 zákona o KB,

297

* nutnosť zvýšenia úrovne a schopnosti zabezpečovať a riadiť informačnú a kybernetickú bezpečnosť vzhľadom na sústavne sa zvyšujúce hrozby a riziká,

298

* zabezpečenie realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti,

299

* ako reakcia na aktuálny nedostatočný stav úrovne vyspelosti procesov riadenia KIB,

300

* ako reakcia na aktuálne zmeny v používaní IT, ako aj závažné útoky v oblasti kybernetickej bezpečnosti.

301

302

Projekt rieši nasledovné špecifické problémy v oblasti kybernetickej bezpečnosti:

303

304

* Nová legislatíva v oblasti KIB je náročne implementovateľná bez značných investícií a najmä bez potrebných expertných ľudských zdrojov.

305

* Absencia fundovaných ľudí, ale aj vzorov, návodov, metodických usmernení a inštrukcií.

306

* NsP Brezno nemá vykonanú detailnú inventarizáciu informačných aktív, klasifikáciu a kategorizáciu IS a sietí, analýzu rizík a analýzu dopadov, zabezpečený formalizovaný a opakovaný proces riadenia identifikovaných rizík (ich mitigácie), ktoré sú nevyhnutným a nutným predpokladom pre efektívne riadenie KIB a ďalší rozvoj v tejto oblasti, inventarizáciu aktív a riadenie rizík vykonávajú zväčša neformalizovaným spôsobom bez IKT podpory.

307

* Nie je zadefinovaný dizajn bezpečnostných opatrení pre jednotlivé klasifikačné stupne a kategórie IS a chýba aj základná sada zákonom o KB požadovanej dokumentácie a základných interných smerníc pre niektoré oblasti riadenia KIB.

308

309

Implementácia projektu bude prebiehať v rámci oprávneného typu akcie: Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy a zdravotníckych zariadení v nasledovných krokoch:

310

311

312

**Hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti**

313

314

1. **Návrh infraštruktúry do záložného dátového centra:**

315

316

* Servre – 2 ks 1U serverov DELL R660xs pre zabezpečenie dostatočného výkonu a redundancie. Servery budú prevádzkovane v backup DC, aby v prípade výpadku jedného zo záložných serverov bolo možné prevádzkovať nevyhnutnú aplikačnú infraštruktúru. Záložné servre sú zrkadlom hlavných serverov v hlavnej serverovni

317

* Storage – 1 ks 2U DELL ME4024 All-Flash s kobinaciou SSD diskov a HDD diskov pre dostatočný výkon celej backup infraštruktúry a pre dostatočnú kapacitu najmä pre systém PACS. Tento storage je možné do budúcna rozširovať až do 9 extension políc s ďalšími diskami.

318

* Virtualizačný SW – 32 (2 servre po 16 cores) CPU licencie VMware vSphere Standard s licenciou management vCenter server appliance – Virtualizácia bude zabezpečovať plynulý bezvýpadkovy (HA) chod všetkých virtuálnych serverov s možnosťou automatickej migrácie medzi fyzickými servermi.

319

* Backup SW – navrhovaný je Backup SW Acronis ktorý dokáže zálohovať, replikovať na storage, NAS, tape library a má jednoduché licencovanie – 1 licencia na 1 fyzicky server s VMware – tzn. potrebujeme 2 ks licencii. Acronis ktorý bude zálohovať aj na disky NAS a pásky LTO8 v tape library podľa backup plánu.

320

* Server bude napájaný pomocou APC Smart-UPS SRT 3000VA RM 230V Network Card + externý battery pack APC Smart-UPS SRT 96V 3kVA RM Battery Pack a bude obsahovať aj 19“ rackovou skriňou pre infraštruktúru

321

* Súčasťou dodávky je monitorovací notebook DELL Latitude 5540 i5-1345U 15.6" FHD 16GB 512GB SSD Iris Xe IrCam Thb FPR SCR Win11Pro 3Y ProSpt OS

322

* Zálohovanie dát bude realizovane dvojúrovňovo - na existujúci NAS QNAP s kapacitou 12 x 8TB diskov a s možnosťou ďalšieho rozširovania kapacity pridaním extension police

323

* Serverové licencie Windows Server Datacenter 2022 za účelom prevádzkovania virtuálnych serverov, keďže jedna licencia slúži na 1 fyzicky server.

324

325

2. (% style="letter-spacing:0.0px" %)**Segmentácia stávajúcej LAN siete a zavedenie autentifikácie**

326

327

**~ a) Segmentácia siete a zavedenie 802.1x – Ochrana pred kybernetickými útokmi z LAN siete**

328

329

Autentizácia prístupu k portom pomocou protokolu IEEE 802.1x je základ dnes populárnej technológie nazvanej Network Access Control (NAC), Network Admission Control (NAC) alebo Network Access Protection (NAP), ktoré riadia prístup zariadenia k sieti.

330

331

Výhodou tohto riešenia je, že sa prístup kontroluje pred vstupom do siete, teda priamo na porte (access switch), do ktorého je zariadenie pripojené. Princíp spočíva v tom, že port na switchy je zablokovaný (nepovoľuje žiadnu komunikáciu) do tej doby, než sa pripojené zariadenie úspešne autentizuje. Pri tejto metóde je možné využiť aj rady ďalších vlastností, napríklad dynamické zaraďovanie do VLAN či zaradenie portu do hosťovskej VLANy, pokiaľ nedôjde k autentifikácii. Administrátori si tak môžu zabezpečiť prístupy do svojej siete a chrániť ju.

332

333

**~ b) Vytvorenie dvojfaktoru pre VPN užívateľov**

334

335

Vzhľadom na zraniteľnosť VPN siete cez prihlasovanie koncových zriadení odporúčame využívať dvojfaktorovú autentifikáciu pre koncové zariadenia pripájajúcich na diaľku do VPN siete Nemocnice.

336

337

Navrhované riešenie je na báze Fortinet – FortiToken, keďže nemocnica využíva služby Fortigate-u.

338

339

340

3. (% style="letter-spacing:0.0px" %)**a) Softvér EDR/XDR**

341

342

Súčasťou riešenia budú detailné analytické, diagnostické a detekčno-bezpečnostné práce nad všetkými existujúcimi koncovými zariadeniami z pohľadu vykonania detailného preverenia, analýzy a diagnostiky týchto zariadení na prípadnú prítomnosť infekcie malvérom a v prípade jeho identifikácie aj spoľahlivé a bezpečné odstránenie tak, aby následne mohla byť na tieto zariadenia nasadená rozšírená a najmä funkčná AV a EDR/XDR ochrana.

343

344

V rámci tejto aktivity sa požaduje rozšírenie licencií existujúceho AV riešenia (ESET) na všetky koncové stanice a servery a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Požaduje sa dodanie riešenia na prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, šifrovanie celých diskov, správu zraniteľností a patchov aplikácií tretích strán, ochranu poštových serverov/mailboxov, ochranu cloudového prostredia Microsoft365/Google Workspace a možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení podľa voľby SPU NR za účelom povýšenia kybernetickej bezpečnosti. Riešenie poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou, a ktorá zahŕňa funkcie, ako napr. detekcia incidentov v reálnom čase, manažment a reakcia na incidenty, zozbieravanie údajov, detekcia indikátorov ohrozenia, detekcia anomálií, detekcia správania, detekcia porušenia pravidiel atď.

345

346

Súčasťou dodávky musí byť aj konzola / systém na správu celého riešenia.

347

348

b) (% style="letter-spacing:0.0px" %)**Nasadenie informačného systému pre identifikáciu a riadenie rizík v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§6) v rovine riadenia, revízie a aktualizácie potrebnej dokumentácie**

349

350

Informačný systém pre identifikáciu a riadenie rizík musí spĺňať tieto funkčných vlastnosti:

351

352

* správa aktív – vedenie zoznamu aktív subjektu, vrátane ich vlastníkov

353

* správa zraniteľností – vedenie zoznamu rozpoznaných zraniteľností, vrátane ich vlastníkov

354

* správa hrozieb – vedenie zoznamu rozpoznaných hrozieb

355

* správa opatrení – vedenie zoznamu opatrení potrebných na potlačenie zraniteľností

356

* správa vzťahov – evidencia rozpoznaných vzťahov medzi aktívami a zraniteľnosťami

357

* správa rizík – identifikácia a ohodnotenie rizík na základe pravdepodobností hrozieb, uplatňovaných opatrení a dopadov na subjekt,

358

* semikvantitatívna prípadne kvantitatívna metóda hodnotenia významnosti rizík, • číselné ohodnotenie pravdepodobnosti hrozieb a účinnosti opatrení,

359

* významnosť rizík vyjadrená číselne a následne kategorizovaná.

360

361

4. (% style="letter-spacing:0.0px" %)**a) Vypracovanie kontinuity činností v zmysle ZoKB – riadenie kontinuity činností (BCM) v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17)**

362

363

Kontinuita činností musí zadefinovať scenáre rôznych udalostí, ktoré potencionálne môžu mať negatívny vplyv na bežné činnosti organizácie ako sú napríklad:

364

365

* náhla nedostupnosť personálu či nepoužiteľnosť pracoviska/budovy,

366

* nedostupnosť technologickej infraštruktúry či potrebných médií,

367

* incident či živelná katastrofa.

368

369

V rámci kontinuity činností musia byť stanovené požiadavky na zdroje (adekvátne finančné, materiálno-technické a personálne zdroje), ktoré budú potrebné na implementáciu vybraných stratégií kontinuity činností. V zmysle požiadaviek zákona o kybernetickej bezpečnosti sa musí určiť čo má byť:

370

371

* hlavným cieľom plánu kontinuity s ohľadom na riadenie incidentov v prípade katastrofy alebo iného rušivého incidentu a ako sa obnovia činnosti v stanovených termínoch,

372

373

**~ b) Požiadavky na analýzu dopadov**

374

375

Analýza dopadov musí:

376

377

- identifikovať rôzne kategórie procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti,

378

379

- určiť potenciálne dôsledky (škody/straty) pri rôznych dobách trvania kritických situácií,

380

381

- stanoviť maximálne akceptovateľné doby prerušenia (MTO),

382

383

- stanoviť minimálne ciele kontinuity podnikania (MBCO),

384

385

- určiť cieľové časy obnovy (RTO) a cieľové body obnovy (RPO),

386

387

* identifikovať potenciálne dopady vyplývajúce z možného prerušenia činností a stanoviť výšku:

388

* funkčných dopadov,

389

* finančných dopadov,

390

* dopadov spôsobených stratou údajov a dokumentov.

391

* identifikovať zdroje a prostriedky na obnovu procesov so zásadným vplyvom na kontinuitu činností organizácie na základe hodnoty RTO procesu v min. tomto typovom rozsahu zdrojov:

392

* ľudia,

393

* aplikácie / databázy,

394

* údaje uložené v elektronickej podobe (nezahrnuté v aplikáciách a databázach),

395

* údaje uložené na papierovom médiu,

396

* IT a komunikačné zariadenia,

397

* komunikačné kanály,

398

* ostatné vybavenie,

399

* vybavenie a infraštruktúra,

400

* pracovný kapitál.

401

402

**Záverečná správa, ako výstup z analýzy dopadov musí obsahovať:**

403

404

* prehľad vykonávaných činností, ktorý bude obsahovať názov činnosti, jej vymedzenie, vlastníka, MTO a MBCO,

405

* zoznam procesov, ktorý bude (ak to je možné) obsahovať názov procesu, druh procesu, vlastníka procesu, RTO a RPO procesu (údaje, na základe ktorých bolo stanovené príslušné RTO a RPO budú taktiež súčasťou správy),

406

* špecifikácie nevyhnutných zdrojov a prostriedkov pre zabezpečenie kontinuity činností.

407

408

Pri analýze dopadov je potrebné identifikovať:

409

410

* kritické obdobie,

411

* množstvo práce vykonanej v kritickom období,

412

* minimálne prijateľné množstvo práce vykonávanej bezprostredne po krízovej situácii,

413

* či môže definovaný typ krízovej situácie spôsobiť prerušenie procesu.

414

415

Pričom kritickým obdobím až krízovou situáciou môže byť:

416

417

* nedostupnosť informačných technológií a/alebo dát,

418

* nedostupnosť prevádzkových priestorov,

419

* nedostupnosť kritickej časti ľudských zdrojov – zamestnancov,

420

* zlyhanie kľúčového externého dodávateľa služieb.

**~ **

**Jednotlivé riešenia v rámci implementácie projektu:**

425

426

1. Analýza a dizajn bude obsahovať:

427

428

* konzultačné a analytické práce spojené s identifikáciou možností realizácie, potrebných zdrojov a riešení,

429

* identifikáciu a analýzu rolí, procesov a integrácii,

430

* funkčnú a nefunkčnú špecifikáciu celého riešenia,

431

* definíciu všetkých manažérskych a špecializovaných produktov spolu s akceptačnými kritériami.

432

433

2. Nákup HW a krabicového SW pozostáva z nákupu hardvérového a softvérového vybavenia

434

435

* Nástroj na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti.

436

* Bezpečnostné riešenie ochrany kritických sieťových prvkov.

437

* Vulnerability scanner.

438

439

3. Implementácia bude obsahovať:

440

441

* implementáciu a nastavenie jednotlivých technických služieb,

442

* implementácia bezpečnostných opatrení,

443

* implementácia proaktívnych a reaktívnych služieb,

444

* obvyklé testovanie celého riešenia popri implementácii,

445

* zabezpečenie služby SOC od externého subjektu,

446

* zladenie interných procesov riešenia bezpečnostných incidentov (internej smernice) s procesmi SOC.

447

448

4. Testovanie obsahuje:

449

450

* testovanie funkcionality riešenia,

451

* vulnerability testovanie,

452

* testovanie integrácii,

453

* pilotnú prevádzku,

454

* akceptačné testovanie.

455

456

5. Nasadenie obsahuje:

457

458

* nasadenie riešenia do produkčného prostredia,

459

* školenia pre celé riešenie,

460

* prechod na plnú prevádzku

461

462

6. Udržateľnosť projektu na celé obdobie:

463

464

* Dodávka hardvéru obsahuje 5 ročnú záruku v rátane servisu ProSupport and Next Business Day Onsite Service

465

* Všetok dodaný softvér obsahuje licencie na 5 ročné obdobie

466

* Všetky dojednané služby – výkon manažéra riadenia rizík, BCM, manažér riadenia kontinuity, analýza a správa analázy dopadov sa dojednáva na 5 ročné obdobie

467

468

**Podporná aktivita** – Projektový manažér interný/externý na riadenie hlavných aktivít projektu, manažér kybernetickej bezpečnosti – kontrola a riadenie implementácie bezpečnostných riešení, bezpečnostný analytik – podpora implementácie bezpečnostných riešení a ich bezpečnostnej konfigurácie.

469

470

471

**Podporná aktivita** – Publicita a informovanosť vzhľadom na povahu projektu obsahuje iba povinné položky, t.j. umiestnenie trvalo vysvetľujúcej tabule a dočasný veľkoplošný pútač

472

473

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.1Biznisvrstva"/}}4.1 Biznis vrstva ==

474

475

Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy:

476

477

* Riadenie aktív a riadenie rizík.

478

** Proces evidencie a správy aktív.

479

** Proces klasifikácie informácií a kategorizácie IS a sietí.

480

** Proces realizácie AR/BIA.

481

** Proces rozhodovania ohľadom riadenia identifikovaných rizík.

482

** Proces stanovenia stratégie obnovy na základe výsledkov AR/BIA (RTO).

483

** Proces definovania plánu zálohovanie na základe výsledkov AR/BIA (RPO).

484

* Riadenie prístupov.

485

** Proces riadenia prístupov do vyhradených priestorov (serverovní).

486

* Ochrana proti škodlivému kódu.

487

** Proces identifikácie a ochrany koncových staníc a systémov pred škodlivým kódom (ochrana pred malware a ransomware).

488

* Sieťová a komunikačná bezpečnosť.

489

** Proces ochrany a riadenia prístupov z vonkajšieho prostredia do siete a opačne.

490

** Proces riadenia prichádzajúcej a odchádzajúcej komunikácie.

491

** Proces segmentácie jednotlivých sietí a systémov.

492

* Zaznamenávanie udalostí a monitorovanie.

493

** Proces bezpečného ukladania a centrálneho zhrávania logov.

494

** Proces bezpečnostného monitoringu koncových staníc.

495

** Proces bezpečnostného monitoringu systémov a dátových úložísk.

496

** Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry.

497

** Proces bezpečnostného monitoringu aktivít používateľov.

498

** Proces bezpečnostného monitoringu aktivít privilegovaných používateľov.

499

** Proces vyhodnocovania udalostí založený na “machine learning” algoritmoch a sledovaní správania sa používateľov (“behavioral analysis”).Riešenie kybernetických bezpečnostných incidentov.

500

* Proces riešenia bezpečnostných incidentov.

501

** Proces identifikácie, vyhodnocovania a riešenia bezpečnostných incidentov a podozrivých udalostí aj vo väzbe na SOC.

502

* Kontinuita prevádzky.

503

** Proces riešenia obnovy v prípade mimoriadnej udalosti.

504

** Proces ochrany, čitateľnosti a dostupnosti záloh.

505

* Zabezpečenie súladu.

506

** Proces vyhodnotenia aktuálneho stavu súladu s požiadavkami legislatívy.

507

508

Z pohľadu biznis architektúry predstavujú niektoré, vyššie uvedené, biznis služby len analytické a konzultačné práce, pričom niektoré sú podporené aj aplikačným nástrojom na ich podporu a udržiavanie. Pre zvyšné funkcie, ktoré sú podporené aj aplikačným vybavením, alebo sú reprezentované napr. technologickým zariadením (HW appliance) a pod., sú jednotlivé komponenty rovnako uvedené v rámci popisu aplikačnej a prípadne technologickej architektúry.

509

510

Predmetom biznis funkcie „Kontinuita prevádzky“, ktorá nie je reprezentovaná na aplikačnej úrovni je najmä:

511

512

* Vytvorenie politiky riadenia kontinuity.

513

* Na základe výsledkov AR/BIA budú spracované nasledovné výstupy:

514

** Určená stratégia obnovy pre každý jeden IS (na základe výsledkov AR/BIA - RTO).

515

** Plány a postupy zálohovania (na základe výsledkov AR/BIA - RPO).

516

** BCP pre najkritickejšie biznis procesy v rámci systémov.

517

** DRP pre kľúčové systémy a podporné a infraštruktúrne IS, bez ktorých nie je možné plne prevádzkovať uvedené dva základné systémy (napr. základná sieťová infraštruktúra, FW, AD, DC, autentifikačný server a pod.).

518

519

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}4.1.1 Prehľad koncových služieb – budúci stav: ===

520

521

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

522

523

524

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.1.2Jazykovápodporaalokalizácia"/}}4.1.2 Jazyková podpora a lokalizácia ===

525

526

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

527

528

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2Aplikačnávrstva"/}}4.2 Aplikačná vrstva ==

529

530

Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:

531

532

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.1Požiadavkynajednotlivékomponenty"/}}4.2.1 Požiadavky na jednotlivé komponenty ===

533

534

Požiadavky na jednotlivé aplikačné komponenty pre vyššie uvedené aplikačné služby sú nasledovné:

535

536

==== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.1.1Riadenieaktívarizík"/}}4.2.1.1 Riadenie aktív a rizík ====

537

538

Informačný systém pre identifikáciu a riadenie rizík musí spĺňať tieto funkčných vlastnosti:

539

540

* správa aktív – vedenie zoznamu aktív subjektu, vrátane ich vlastníkov

541

* správa zraniteľností – vedenie zoznamu rozpoznaných zraniteľností, vrátane ich vlastníkov

542

* správa hrozieb – vedenie zoznamu rozpoznaných hrozieb

543

* správa opatrení – vedenie zoznamu opatrení potrebných na potlačenie zraniteľností

544

* správa vzťahov – evidencia rozpoznaných vzťahov medzi aktívami a zraniteľnosťami

545

* správa rizík – identifikácia a ohodnotenie rizík na základe pravdepodobností hrozieb, uplatňovaných opatrení a dopadov na subjekt,

546

* semikvantitatívna prípadne kvantitatívna metóda hodnotenia významnosti rizík, • číselné ohodnotenie pravdepodobnosti hrozieb a účinnosti opatrení,

547

* významnosť rizík vyjadrená číselne a následne kategorizovaná.

548

549

Užívateľské rozhranie a výstupy musia spĺňať tieto požiadavky:

550

551

- pre interakciu s používateľom musí byť k dispozícií webové rozhranie bez špeciálnych nárokov na webový prehliadač v plnej podpore slovenského jazyka,

552

553

- výstupy musia byť realizované vo forme prehľadov a zostáv vo formáte PDF vyhotovené v slovenskom jazyku vrátane šablón a komentárov,

554

555

- softvér musí umožňovať riadiť prístup užívateľov k obsahu rizikovej analýzy.

556

557

Správa používateľov musí umožňovať:

558

559

- evidenciu používateľov, oprávnených pristupovať k subjektom a identifikovať resp. manažovať ich riziká,

560

561

- širokú integráciu na existujúce systémy správy používateľov,

562

563

- prideľovanie rolí oprávneným používateľom s rôznym stupňom oprávnení.

564

565

566

IS pre identifikáciu a riadenie rizík musí byť umožňovať vykonávať revízie a aktualizáciu rizikovej analýzy, riadiť riziká, aktíva, zraniteľnosti a hrozby systémom, ktorý dokumentuje históriu a je auditovateľný. Verejný objednávateľ požaduje informačný systém typu klient – server nasadený u verejného obstarávateľa na jeho serveri bez závislosti na cloudových službách, aktualizáciách cez internet a inom komerčnom programovom vybavení okrem operačného systému.

567

568

Požiadavky na výkon činností manažéra pre riadenie rizík prostredníctvom IS pre identifikáciu a riadenie rizík:

569

570

* tvorba analýz rizík podľa potreby a požiadaviek verejného obstarávateľa,

571

* pravidelné hodnotenie a ošetrovanie rizík,

572

* tvorba plánu eliminácie rizík,

573

* správa aktív a ich vlastníkov,

574

* dohľad nad riadením rizík.

**~ **

Kontinuita činností musí zadefinovať scenáre rôznych udalostí, ktoré potencionálne môžu mať negatívny vplyv na bežné činnosti organizácie ako sú napríklad:

579

580

* náhla nedostupnosť personálu či nepoužiteľnosť pracoviska/budovy,

581

* nedostupnosť technologickej infraštruktúry či potrebných médií,

582

* incident či živelná katastrofa.

583

584

V rámci kontinuity činností musia byť stanovené požiadavky na zdroje (adekvátne finančné, materiálno-technické a personálne zdroje), ktoré budú potrebné na implementáciu vybraných stratégií kontinuity činností. V zmysle požiadaviek zákona o kybernetickej bezpečnosti sa musí určiť čo má byť:

585

586

* hlavným cieľom plánu kontinuity s ohľadom na riadenie incidentov v prípade katastrofy alebo iného rušivého incidentu a ako sa obnovia činnosti v stanovených termínoch,

587

* strategickým imperatívom procesu riadenia kontinuitu s ohľadom na predchádzanie ďalším stratám.

588

589

Súčasťou kontinuity činností musí byť vypracovanie analýzy funkčných dopadov a kvalifikácia potencionálnych dopadov a straty v prípade prerušenia alebo narušenia prevádzky u všetkých procesov organizácie. Požiadavkou analýzy funkčného dopadu musí byť určenie:

590

591

* cieľovej doby obnovy jednotlivých procesov, siete a informačných systémov a aplikácií, a to najmä určením doby obnovy prevádzky, po uplynutí ktorej je po kybernetickom bezpečnostnom incidente obnovená najnižšia úroveň poskytovania základných služieb,

592

* cieľového bodu obnovy jednotlivých procesov, siete a informačných systémov základnej služby, a to najmä určením najnižšej úrovne poskytovania služieb, ktorá je dostatočná na používanie, prevádzku a správu siete a informačného systému a zachovanie kontinuity základnej služby.

593

594

Kontinuitou musia byť zavedené postupy zálohovania na obnovy siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu obsahujúce najmenej:

595

596

1. a) frekvenciu a rozsah zdokumentovania a schvaľovania obnovy záloh,

597

1. b) určenie osoby zodpovednej za zálohovanie,

598

1. c) časový interval, identifikáciu rozsahu údajov, zadefinovanie dátového média zálohovania a zabezpečenie vedenia dokumentácie o zálohovaní,

599

1. d) umiestnenie záloh v zabezpečenom prostredí s riadeným prístupom,

600

1. e) zabezpečenie šifrovania záloh obsahujúcich aktíva klasifikačného stupňa chránené a prísne chránené,

601

1. f) vykonávanie pravidelného preverenia záloh na základe vypracovaného plánu, testovanie obnovy záloh a precvičovanie zavedených krízových plánov najmenej raz ročne.

602

603

Kontinuita činností musí obsahovať minimálne:

604

605

* plán kontinuity na stanovenie požiadaviek a zdrojov,

606

* plán reakcie na incidenty a plány havarijnej obnovy prevádzky,

607

* politiku a ciele kontinuity,

608

* analýzu funkčných dopadov,

609

* stratégiu riadenia kontinuity vrátane evakuačných postupov,

610

* plán údržby a kontroly BCMS.

611

612

Požiadavky na výkon činností manažéra pre riadenie kontinuity činností:

613

614

1. a) riadenie incidentov v prípade katastrofy alebo rušivého incidentu,

615

1. b) realizácia a výkon interných auditov a analýz dopadov,

616

1. c) precvičovanie zavedených krízových plánov,

617

1. d) aktualizácia plánov reakcie na incidenty a plánov obnovy po katastrofe,

618

1. e) návrh opatrení riadenia kontinuity,

619

1. f) monitorovanie zariadení podstatných pre prípadný vznik incidentu.

620

621

Analýza dopadov musí:

622

623

- identifikovať rôzne kategórie procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti,

624

625

- určiť potenciálne dôsledky (škody/straty) pri rôznych dobách trvania kritických situácií,

626

627

- stanoviť maximálne akceptovateľné doby prerušenia (MTO),

628

629

- stanoviť minimálne ciele kontinuity podnikania (MBCO),

630

631

- určiť cieľové časy obnovy (RTO) a cieľové body obnovy (RPO),

632

633

* identifikovať potenciálne dopady vyplývajúce z možného prerušenia činností a stanoviť výšku:

634

* funkčných dopadov,

635

* finančných dopadov,

636

* dopadov spôsobených stratou údajov a dokumentov.

637

* identifikovať zdroje a prostriedky na obnovu procesov so zásadným vplyvom na kontinuitu činností organizácie na základe hodnoty RTO procesu v min. tomto typovom rozsahu zdrojov:

638

* ľudia,

639

* aplikácie / databázy,

640

* údaje uložené v elektronickej podobe (nezahrnuté v aplikáciách a databázach),

641

* údaje uložené na papierovom médiu,

642

* IT a komunikačné zariadenia,

643

* komunikačné kanály,

644

* ostatné vybavenie,

645

* vybavenie a infraštruktúra,

646

* pracovný kapitál.

647

648

**Záverečná správa, ako výstup z analýzy dopadov musí obsahovať:**

649

650

* prehľad vykonávaných činností, ktorý bude obsahovať názov činnosti, jej vymedzenie, vlastníka, MTO a MBCO,

651

* zoznam procesov, ktorý bude (ak to je možné) obsahovať názov procesu, druh procesu, vlastníka procesu, RTO a RPO procesu (údaje, na základe ktorých bolo stanovené príslušné RTO a RPO budú taktiež súčasťou správy),

652

* špecifikácie nevyhnutných zdrojov a prostriedkov pre zabezpečenie kontinuity činností.

653

654

Pri analýze dopadov je potrebné identifikovať:

655

656

* kritické obdobie,

657

* množstvo práce vykonanej v kritickom období,

658

* minimálne prijateľné množstvo práce vykonávanej bezprostredne po krízovej situácii,

659

* či môže definovaný typ krízovej situácie spôsobiť prerušenie procesu.

660

661

Pričom kritickým obdobím až krízovou situáciou môže byť:

662

663

* nedostupnosť informačných technológií a/alebo dát,

664

* nedostupnosť prevádzkových priestorov,

665

* nedostupnosť kritickej časti ľudských zdrojov – zamestnancov,

666

* zlyhanie kľúčového externého dodávateľa služieb.

667

668

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.2Rozsahinformačnýchsystémov–ASIS"/}}4.2.2 Rozsah informačných systémov – AS IS ===

669

670

Implementované bezpečnostné riešenia sa budú dotýkať najmä zvýšenia ochrany a bezpečnosti nasledovných IS:

671

672

|(((

673

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

688

689

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

)))|(((

Promis

)))|(((

☐

)))|(((

Vyberte jednu z možností

699

)))|(((

700

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Tomocon

)))|(((

☐

)))|(((

Vyberte jednu z možností

712

)))|(((

713

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Tomocon Go

)))|(((

☐

)))|(((

Vyberte jednu z možností

725

)))|(((

726

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Tomocon Camera

)))|(((

☐

)))|(((

Vyberte jednu z možností

738

)))|(((

739

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

T3C

)))|(((

☐

)))|(((

Vyberte jednu z možností

751

)))|(((

752

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Pharmay HITT

)))|(((

☐

)))|(((

Vyberte jednu z možností

764

)))|(((

765

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

VEMA

)))|(((

☐

)))|(((

Vyberte jednu z možností

777

)))|(((

778

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Admis

)))|(((

☐

)))|(((

Vyberte jednu z možností

790

)))|(((

791

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

eLab(nadstavba na NIS)

)))|(((

☐

)))|(((

Vyberte jednu z možností

803

)))|(((

804

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

intranet

)))|(((

☐

)))|(((

Vyberte jednu z možností

816

)))|(((

817

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Attendance

)))|(((

☐

)))|(((

Vyberte jednu z možností

829

)))|(((

830

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Unifi Video kamery

)))|(((

☐

)))|(((

Vyberte jednu z možností

842

)))|(((

843

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

WISP majetok

)))|(((

☐

)))|(((

Vyberte jednu z možností

855

)))|(((

856

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

PROMYS

)))|(((

☐

)))|(((

Vyberte jednu z možností

868

)))|(((

869

Vyberte jednu z možností

)))|(((

)))

Čiastočne a okrajovo sa implementované bezpečnostné opatrenia a riešenia budú dotýkať aj nasledovných infraštruktúrnych a podporných IS, ktoré ale nie sú ISVS:

875

876

(% class="relative-table" style="width:59.7466%" %)

877

|(((

878

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

893

894

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

)))|(((

Active directory

)))|(((

☒

)))|(((

Vyberte jednu z možností

904

)))|(((

905

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Webové sídlo

)))|(((

☒

)))|(((

Vyberte jednu z možností

917

)))|(((

918

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

E-mailové služby

)))|(((

☒

)))|(((

Vyberte jednu z možností

930

)))|(((

931

Vyberte jednu z možností

)))|(((

)))

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.3Rozsahinformačnýchsystémov–TOBE"/}}4.2.3 Rozsah informačných systémov – TO BE// // ===

937

938

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

939

940

941

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.4VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}4.2.4 Využívanie nadrezortných a spoločných ISVS – AS IS ===

942

943

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

944

945

946

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.5PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}4.2.5 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE ===

947

948

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

949

950

951

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.6PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}4.2.6 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===

952

953

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

954

955

956

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.7Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}4.2.7 Aplikačné služby pre realizáciu koncových služieb – TO BE ===

957

958

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

959

960

961

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.8Aplikačnéslužbynaintegráciu–TOBE"/}}4.2.8 Aplikačné služby na integráciu – TO BE ===

962

963

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

964

965

966

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.9PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}4.2.9 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===

967

968

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

969

970

971

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.10KonzumovanieúdajovzISCSRU–TOBE"/}}4.2.10 Konzumovanie údajov z IS CSRU – TO BE ===

972

973

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

974

975

976

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.3Dátovávrstva"/}}4.3 Dátová vrstva ==

977

978

Z pohľadu dátového modelu nejde o typické biznis (agendové) dáta ale o dáta typu:

979

980

* Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. – ako výstupy aktivity projektu určené pre ďalšie riadenie rozvoja KIB v sektore zdravotníctva,

981

* bezpečnostné konfigurácie a bezpečnostné dáta (napr. logy) – pre fungovanie jednotlivých bezpečnostných komponentov.

982

983

Dátové objekty uvedené v aplikačnej architektúre zároveň predstavujú aj konkrétne dáta, čiže dátový model, ktorý bude predmetom tohto projektu.

984

985

Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. sú určené pre proces riadenia KIB.

986

987

Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie bezpečnostných modulov, t.j. jednotlivé komponenty tohto navrhovaného riešenia a zároveň reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov.

988

989

Súčasťou riešenia budú detailné analytické, diagnostické a detekčno-bezpečnostné práce nad všetkými existujúcimi koncovými zariadeniami z pohľadu vykonania detailného preverenia, analýzy a diagnostiky týchto zariadení na prípadnú prítomnosť infekcie malvérom a v prípade jeho identifikácie aj spoľahlivé a bezpečné odstránenie tak, aby následne mohla byť na tieto zariadenia nasadená rozšírená a najmä funkčná AV a EDR/XDR ochrana.

990

991

V rámci tejto vrstvy sa požaduje rozšírenie licencií existujúceho AV riešenia (ESET) na všetky koncové stanice a servery a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Požaduje sa dodanie riešenia na prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, šifrovanie celých diskov, správu zraniteľností a patchov aplikácií tretích strán, ochranu poštových serverov/mailboxov, ochranu cloudového prostredia Microsoft365/Google Workspace a možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení podľa voľby SPU NR za účelom povýšenia kybernetickej bezpečnosti. Riešenie poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou, a ktorá zahŕňa funkcie, ako napr. detekcia incidentov v reálnom čase, manažment a reakcia na incidenty, zozbieravanie údajov, detekcia indikátorov ohrozenia, detekcia anomálií, detekcia správania, detekcia porušenia pravidiel atď.

992

993

Súčasťou dodávky musí byť aj konzola / systém na správu celého riešenia.

994

995

Detailné požiadavky na riešenie:

996

997

* Podporované klientske platformy OS - min. Windows, Linux, MacOS, Android, všetko v slovenskom alebo českom jazyku Natívna podpora architektúr pre platformy Windows a MacOS: x86, x64, ARM64

998

* Antimalware, antiransomware, antispyware a anti-phishing na aktívnu ochranu pred všetkými typmi hrozieb

999

* Personálny firewall pre zabránenie neautorizovanému prístupu k zariadeniu so schopnosťou automatického prebratia pravidiel z brány Windows Firewall.

1000

* Modul pre ochranu operačného systému a elimináciu aktivít ohrozujúcich bezpečnosť zariadenia s možnosťou definovať pravidlá pre systémové registre, procesy, aplikácie a súbory

1001

* Ochrana pred neautorizovanou zmenou nastavenia / vyradenie z prevádzky / odinštalovaním antimalware riešení a kritických nastavení a súborov operačného systému

1002

* Aktívna aj pasívna heuristická analýza pre detekciu doposiaľ neznámych hrozieb

1003

* Systém na blokáciu exploitov zneužívajúcich zero-day zraniteľností, ktorý pokrýva najpoužívanejšie vektory útoku: min. sieťové protokoly, Flash Player, Java, Microsoft Office, webové prehliadače, e-mailových klientov, PDF čítačky

1004

* Systém na detekciu malwaru už na sieťovej úrovni poskytujúci ochranu aj pred zneužitím zraniteľností na sieťovej vrstve

1005

* Kontrola šifrovaných spojení (SSL, TLS, HTTPS, IMAPS…).

1006

* Anti-phishing so schopnosťou detekcie homoglyph útokov

1007

* Kontrola RAM pamäte pre lepšiu detekciu malwaru využívajúcu silnú obfuskáciu a šifrovanie

1008

* Cloud kontrola súborov pre urýchlenie skenovania fungujúce na základe reputácie súborov.

1009

* Kontrola súborov v priebehu sťahovania pre zníženie celkového času kontroly

1010

* Kontrola súborov pri zapisovaní na disku a extrahovaní archivačných súborov

1011

* Detekcia s využitím strojového učenia

1012

* Funkcia ochrany proti zapojeniu do botnetu pracujúcej s detekciou sieťových signatúr

1013

* Ochrana pred sieťovými útokmi skenujúca sieťovú komunikáciu a blokujúca pokusy o zneužitie zraniteľností na sieťovej úrovni

1014

* Kontrola s podporou cloudu pre odosielanie a online vyhodnocovanie neznámych a potenciálne škodlivých aplikácií.

1015

* Lokálny sandbox

1016

* Modul behaviorálnej analýzy pre detekciu správania nových typov ransomwaru

1017

* Systém reputácie pre získanie informácií o závadnosti súborov a URL adries

1018

* Cloudový systém na detekciu nového malwaru ešte nezaneseného v aktualizáciách signatúr

1019

* "Technológia na detekciu rootktitov obvykle sa maskujúcich za súčasti operačného systému."

1020

* Skener firmvéru BIOSu a UEFI

1021

* Skenovanie súborov v cloude OneDrive

1022

* Funkcionalita pre MS Windows v min. rozsahu: Antimalware, Antispyware, Personal Firewall, Personal IPS, Application Control, Device control, Security Memory (zabraňuje útokom na bežiace aplikácie), kontrola integrity systémových komponentov

1023

* Funkcionalita pre k MacOS v min. rozsahu- Personal Firewall, Device control, autoupgrade

1024

* Možnosť aplikovania bezpečnostných politík aj v offline režime na základe definovaných podmienok

1025

* Ochrana proti pokročilým hrozbám (APT) a 0-day zraniteľnostiam

1026

* Podpora automatického vytvárania dump súborov na stanici na základe nálezov

1027

* Okamžité blokovanie/mazanie napadnutých súborov na stanici (s možnosťou stiahnutia administrátorom na ďalšiu analýzu)

1028

* Duálny aktualizačný profil pre možnosť sťahovania aktualizácií z mirroru v lokálnej sieti a zároveň vzdialených serverov pri nedostupnosti lokálneho mirroru (pre cestujúcich používateľov s notebookmi).

1029

* Možnosť definovať webové stránky, ktoré sa spustia v chránenom režime prehliadača, pre bezpečnú prácu s kritickými systémami alebo internetovým bankovníctvo

1030

* Aktívne ochrany pred útokmi hrubou silou na protokol SMB a RDP

1031

* Možnosť zablokovania konkrétnej IP adresy po sérii neúspešných pokusov o prihlásenie pre protokoly SMB a RDP s možnosťou výnimiek vo vnútorných sieťach

1032

* Automatické aktualizácie bezpečnostného softvéru s možnosťou odloženia reštartu stanice.

1033

* "Zmrazenie“ na požadovanej verzii – produkt je možné nakonfigurovať tak, aby nedochádzalo k automatickému povyšovaniu majoritných a minoritných verzií najmä na staniciach, kde sa vyžaduje vysoká stabilita

1034

1035

Integrovaná cloudová analýza neznámych vzoriek:

1036

1037

* Funkcia cloudového sandboxu je integrovaná do produktu pre koncové a serverové zariadenia, tzn. Cloudový sandbox nemá vlastného agenta, nevyžaduje inštaláciu ďalšie komponenty či už v rámci produktu alebo implementácie HW prvku do siete

1038

* Sandbox umožňujúci spustenie vzoriek malwaru pre: • Windows • Linux

1039

* Možnosť využitia na koncových bodoch a serveroch pre aktívnu detekciu škodlivých súborov

1040

* Analýza neznámych vzoriek v rade jednotiek minút

1041

* Optimalizácia pre znemožnenie obídenia anti-sandbox mechanizmy

1042

* Schopnosť analýzy rootkitov a ransomvéru

1043

* Schopnosť detekcie a zastavenie zneužitia alebo pokusu o zneužitie zero day zraniteľnosti

1044

* Riešenie pracuje s behaviorálnou analýzou

1045

* Kompletný výsledok o zanalyzovanom súbore vrátane informácie o nájdenom i nenájdenom škodlivom správaní daného súboru

1046

* Manuálne odoslanie vzorky do sandboxu

1047

* Možnosť proaktívnej ochrany, kedy je potenciálna hrozba blokovaná, pokiaľ nie je známy výsledok analýzy zo sandboxu

1048

* Neobmedzené množstvo odosielaných súborov

1049

* Všetka komunikácia prebieha šifrovaným kanálom

1050

* Okamžité odstránenie súboru po dokončení analýzy v cloudovom sandboxe

1051

* Možnosť voľby, aké kategórie súborov do cloudového sandboxu budú odchádzať (spustiteľné súbory, archívy, skripty, pravdepodobný spam, dokumenty atp.)

1052

* Veľkosť odoslaných súborov do cloudového sandboxu môže dosahovať až 64MB

1053

* Výsledky analyzovaných súborov sú dostupné a automatizovane distribuované všetkým serverom a staniciam naprieč organizáciou, tak aby nedochádzalo k duplicitnému testovaniu

1054

1055

Šifrovanie celých diskov:

1056

1057

* Podpora platforiem Windows a MacOS

1058

* Správa cez jednotný centrálny manažment

1059

* Unikátna technológia pre platformu Windows (nevyužíva sa BitLocker)

1060

* Podpora Pre-Boot autentizácia

1061

* Podpora TMP modulu

1062

* Podpora Opal samošifrovacích diskov

1063

* Možnosť definovať: počet chybne zadaných pokusov, zložitosť a dĺžku autentizačného hesla

1064

* Možnosť obmedziť platnosť autentizačného hesla

1065

* Podpora okamžitého zmazania šifrovacieho kľúča a následné uzamknutie počítača

1066

* Recovery z centrálnej konzoly

XDR riešenie:

* Možnosť prevádzky centrálneho servera v cloude alebo on-premise na platforme Windows Server.

1071

* Webová konzola pre správu a vyhodnotenie.

1072

* Možnosť prevádzky s databázami: Microsoft SQL, MySQL.

1073

* Možnosť prevádzky v offline prostredí.

1074

* Autonómne správanie so schopnosťou vyhodnotiť podozrivú/ škodlivú aktivitu a zareagovať na ňu aj bez aktuálne dostupného riadiaceho servera alebo internetového pripojenia.

1075

* Logovanie činností administrátora (tzv. Audit Log).

1076

* Podpora EDR pre systémy Windows, Windows server, MacOS a Linux.

1077

* Možnosť autentizácie do manažmentu EDR pomocou 2FA.

1078

* Možnosť riadenia manažmentu EDR prostredníctvom API, a to ako pre:

1079

** prijímanie informácií z EDR serverov

1080

** aj zasielanie príkazov na EDR servery.

1081

* Integrovaný nástroj v EDR riešení pre vzdialené zasielanie príkazov priamo z konzoly.

1082

* Možnosť izolácie zariadenia od siete.

1083

* Možnosť tvorby vlastných loC.

1084

* Možnosť škálovania množstva historických dát vyhodnotených v EDR min. 3 mesiace pre raw-data a min. 3 roky pre detegované incidenty.

1085

* „Učiaci režim" pre automatizované vytváranie výnimiek k detekčným pravidlám.

1086

* Indikátory útoku pracujúce s behaviorálnou detekciou.

1087

* Indikátory útoku pracujúce s reputáciou.

1088

* Riešenie umožňuje analýzu vektorov útoku.

1089

* Schopnosť detekcie: min. škodlivých spustiteľných súborov: skriptov, exploitov, rootkitov, sieťových útokov, zneužitie WMI nástrojov, bez-súborového malwaru, škodlivých systémových ovládačov / kernel modulov, pokusov o dump prihlasovacích údajov užívateľa.

1090

* Schopnosť detegovať laterálny pohyb útočníka.

1091

* Analýza procesov, všetkých spustiteľných súborov a DLL knižníc.

1092

* Náhľad na spustené skripty použité pri detegovanej udalosti.

1093

* Možnosť zabezpečeného vzdialeného spojenia cez servery výrobcu do konzoly EDR.

1094

* Schopnosť automatizovaného response úkonu pre jednotlivé detekčné pravidlá v podobe: izolácia stanice, blokácia hash súboru, blokácia a vyčistenie siete od konkrétneho súboru, ukončení procesu, reštart počítača, vypnutie počítača.

1095

* Možnosť automatického vyriešenia incidentu administrátorom.

1096

* Prioritizácia vzniknutých incidentov.

1097

* Možnosť stiahnutia spustiteľných súborov zo staníc pre bližšiu analýzu vo formáte archívu opatreným heslom.

1098

* Integrácia a zobrazenie detekcií vykonaných antimalware produktom.

1099

* Riešenie je schopné generovať tzv. forest/full execution tree model.

1100

* Vyhľadávanie pomocou novo vytvorených loC nad historickými dátami.

1101

* Previazanie s technikami popísanými v knowledge base MITRE ATT&CK.

1102

* Integrovaný vyhľadávač VirusTotal s možnosťou rozšírenia o vlastné vyhľadávače.

1103

1104

Management konzola pre správu všetkých riešení v rámci ponúkaného balíka v rozsahu:

1105

1106

* Možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení

1107

* Webová konzola

1108

* Možnosť inštalácie na Windows aj Linux

1109

* Predpripravená virtual appliance pre virtuálne prostredie VMware, Microsoft Hyper-V a Microsoft Azure, Oracle Virtual Box

1110

* Server/proxy architektúra pre sieťovú pružnosť – zníženie záťaže pri sťahovaní aktualizácií detekčných modulov výrobcu

1111

* Možnosť prebudenia klientov pomocou Wake On Lan

1112

* Vzdialené vypnutie, reštart počítača alebo odhlásenie všetkých užívateľov

1113

* Možnosť konfigurácie virtual appliance cez užívateľsky prívetivé webové rozhranie Webmin

1114

* Nezávislí manažment agent pre platformy Windows, Linux a MacOS

1115

* Management agent pre architektúry na platformy Windows a MacOS: x86, x64, ARM64

1116

* Nezávislý agent (pracuje aj offline) vzdialenej správy pre zabezpečenie komunikácie a ovládania operačného systému verejného obstarávateľa

1117

* Offline uplatňovanie politík a spúšťanie úloh pri výskyte definovanej udalosti (napríklad: odpojenie od siete pri nájdení škodlivého kódu).

1118

* Administrácia v najpoužívanejších jazykoch vrátane slovenčiny

1119

* Široké možnosti konfigurácie oprávnení administrátorov (napríklad možnosť správy iba časti infraštruktúry, ktoré konkrétnemu administrátorovi podlieha)

1120

* Zabezpečenie prístupu administrátorov do vzdialenej správy pomocou 2FA

1121

* Podpora štítkov/tagovania pre jednoduchšiu správu a vyhľadávanie

1122

* Správa karantény s možnosťou vzdialeného vymazania / obnovenia / obnovenia a vylúčenia objektu z detekcie

1123

* Vzdialené získanie zachyteného škodlivého súboru

1124

* Detekcia nespravovaných (rizikových) počítačov komunikujúcich na sieti.

1125

* Podpora pre inštalácie a odinštalácie aplikácií 3.strán

1126

* Vyčítanie informácií o verziách softvéru 3. strán

1127

* Možnosť vyčítať informácie o hardvéri na spravovaných zariadeniach (CPU, RAM, diskové jednotky, grafické karty…).

1128

* Možnosť vyčítať sériové číslo zariadenia

1129

* Možnosť vyčítať voľné miesto na disku

1130

* Detekcia aktívneho šifrovania BitLocker na spravovanej stanici

1131

* Zobrazenie časovej informácie o poslednom boote stanice

1132

* Odoslanie správy na počítač / mobilné zariadenie, ktoré sa následne zobrazí užívateľovi na obrazovke

1133

* Vzdialené odinštalovanie antivírusového riešenia 3. strany

1134

* Vzdialené spustenie akéhokoľvek príkazu na cieľovej stanici pomocou Príkazového riadka

1135

* Dynamické skupiny pre možnosť definovania podmienok, za ktorých dôjde k automatickému zaradeniu klienta do požadovanej skupiny a automatickému uplatneniu klientskej úlohy

1136

* Automatické zasielanie upozornení pri dosiahnutí definovaného počtu alebo percent ovplyvnených klientov (napríklad: 5 % všetkých počítačov / 50 klientov hlási problémy)

1137

* Podpora SNMP Trap, Syslogu a qRadar SIEM

1138

* Podpora formátov pre Syslog správy: CEF, JSON, LEEF

1139

* Podpora inštalácie skriptom - *.bat, *.sh, *.ini (GPO, SSCM…).

1140

* Rýchle pripojenie na klienta pomocou RDP z konzoly pre vzdialenú správu.

1141

* Reportovanie stavu klientov chránených inými bezpečnostnými programami.

1142

* Schopnosť zaslať reporty a upozornenia na e-mail

1143

* Konzola podporuje multidoménové prostredie (schopnosť pracovať s viacerými AD štruktúrami)

1144

* Konzola podporuje multitenantné prostredie (schopnosť v jednej konzole spravovať viac počítačových štruktúr)

1145

* Podpora VDI prostredia (Citrix, VMware, SCCM, apod)

1146

* Podpora klonovania počítačov pomocou golden image

1147

* Podpora inštanciách klonov

1148

* Podpora obnovy identity počítača pre VDI prostredie na základe FQDN

1149

* Možnosť definovať viacero menných vzorov klonovaných počítačov pre VDI prostredie

1150

* Pridanie zariadenia do vzdialenej správy pomocou: synchronizácia s Active Directory, ručné pridanie pomocou podľa IP adresy alebo názvu zariadenia, pomocou sieťového skenu nechránených zariadení v sieti, Import cez csv súbor

1151

1152

Správa zraniteľností a patchov aplikácií tretích strán:

1153

1154

* Automatizované kontroly podľa vlastného harmonogramu na základe prispôsobiteľných pravidiel

1155

* Filtrovanie, zoskupovanie a triedenie zraniteľností podľa ich závažnosti

1156

* Možnosť manuálnych alebo automatických opráv

1157

* Prispôsobiteľné politiky záplat

1158

* Podpora multitenant v komplexných sieťových prostrediach - prehľad zraniteľností v konkrétnych častiach organizácie

1159

* Databáza zraniteľností, CVSS 2.0 a CVSS 3.1

1160

1161

Ochrana poštových serverov/mailboxov:

1162

1163

* Komplexná vrstva ochrany na úrovni servera s cieľom zabrániť prieniku spamu a malvéru do e‑mailových schránok používateľov

1164

* Antimalvér, antispam, anti‑phishing, ochrana hostiteľských serverov, ochrana založená na strojovom učení

* Správa karantény

* Podpora klastrov

Ochrana cloudového prostredia Microsoft365/Google Workspace

1169

1170

* Pokročilá ochrana pre aplikácie služby Microsoft 365 prostredníctvom ľahko použiteľnej cloudovej konzoly

1171

* Filtrovanie spamu, antimalvérová kontrola, anti‑phishing a cloudový sandboxing

1172

* Ochrana cloudových úložísk

1173

1174

Nástroj na 2-faktorovú autentifikáciu:

1175

1176

* Jednoduché overovanie pre používateľov jedným ťuknutím

1177

* Overovanie cez Push notifikácie

1178

* Podpora existujúcich tokenov a hardvérových kľúčov a smartfónov

1179

* Overovanie pri prístupe k VPN, RDP a Outlooku, webové aplikácie

1180

* Riešenie bez programátorského zásahu musí mať integráciu: HOTP, alebo na HMAC- založené jednorázové heslá one-time password (OTP), Audit používateľov v denníku. (úspešné, neúspešne pokusy o overenie).

1181

1182

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.4Technologickávrstva"/}}4.4 Technologická vrstva ==

1183

1184

1185

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.4.1Prehľadtechnologickéhostavu-ASIS"/}}4.4.1 Prehľad technologického stavu - AS IS ===

1186

1187

[[image:attach:image-2024-7-24_9-19-39-1.png||height="250"]]

1188

1189

1190

Sieťová infraštruktúra je komplexná a pozostáva z viacerých segmentov, ktoré sú prepojené rôznymi typmi sieťových zariadení. Hlavné prvky siete zahŕňajú core switche, access switche, firewally a rôzne typy serverov. Hlavné core switche, umiestnené v sreverovni 2 je ústredným bodom siete, ktorý prepája všetky hlavné racky a serverovne. Tieto redudantné switche sú zodpovedné za riadenie vysokorýchlostného prenosu dát medzi jednotlivými časťami siete v dvoch smeroch a sú pospájané medzi sebou cez rôzne časti budovy.

1191

1192

1193

**Návrh infraštruktúry do záložného dátového centra:**

1194

1195

* Servre – 2 ks 1U serverov DELL R660xs pre zabezpečenie dostatočného výkonu a redundancie. Servery budú prevádzkovane v backup DC, aby v prípade výpadku jedného zo záložných serverov bolo možné prevádzkovať nevyhnutnú aplikačnú infraštruktúru. Záložné servre sú zrkadlom hlavných serverov v hlavnej serverovni

1196

* Storage – 1 ks 2U DELL ME4024 All-Flash s kobinaciou SSD diskov a HDD diskov pre dostatočný výkon celej backup infraštruktúry a pre dostatočnú kapacitu najmä pre systém PACS. Tento storage je možné do budúcna rozširovať až do 9 extension políc s ďalšími diskami.

1197

* Virtualizačný SW – 32 (2 servre po 16 cores) CPU licencie VMware vSphere Standard s licenciou management vCenter server appliance – Virtualizácia bude zabezpečovať plynulý bezvýpadkovy (HA) chod všetkých virtuálnych serverov s možnosťou automatickej migrácie medzi fyzickými servermi.

1198

* Backup SW – navrhovaný je Backup SW Acronis ktorý dokáže zálohovať, replikovať na storage, NAS, tape library a má jednoduché licencovanie – 1 licencia na 1 fyzicky server s VMware – tzn. potrebujeme 2 ks licencii. Acronis ktorý bude zálohovať aj na disky NAS a pásky LTO8 v tape library podľa backup plánu.

1199

* Server bude napájaný pomocou APC Smart-UPS SRT 3000VA RM 230V Network Card + externý battery pack APC Smart-UPS SRT 96V 3kVA RM Battery Pack a bude obsahovať aj 19“ rackovou skriňou pre infraštruktúru

1200

* Súčasťou didávky je monitorovací notebook DELL Latitude 5540 i5-1345U 15.6" FHD 16GB 512GB SSD Iris Xe IrCam Thb FPR SCR Win11Pro 3Y ProSpt OS

1201

* Zálohovanie dát bude realizovane dvojúrovňovo - na existujúci NAS QNAP s kapacitou 12 x 8TB diskov a s možnosťou ďalšieho rozširovania kapacity pridaním extension police

1202

* Serverové licencie Windows Server Datacenter 2022 za účelom prevádzkovania virtuálnych serverov, keďže jedna licencia slúži na 1 fyzicky server.

1203

* Licencia na monitoring celého IT prostredia: 1000 senzorov PRTG Network Monitor – sleduje Servre-VMware hosty, storage, NAS, Cisco switche, aplikačné servre, firewall, VPN, WiFi, koncove zariadenia.

1204

1205

**Segmentácia stávajúcej LAN siete a zavedenie autentifikácie**

**~ **

**~ a)Segmentácia siete a zavedenie 802.1x – Ochrana pred kybernetickými útokmi z LAN siete**

1210

1211

1212

Autentizácia prístupu k portom pomocou protokolu IEEE 802.1x je základ dnes populárnej technológie nazvanej Network Access Control (NAC), Network Admission Control (NAC) alebo Network Access Protection (NAP), ktoré riadia prístup zariadenia k sieti.

1213

1214

Výhodou tohto riešenia je, že sa prístup kontroluje pred vstupom do siete, teda priamo na porte (access switch), do ktorého je zariadenie pripojené. Princíp spočíva v tom, že port na switchy je zablokovaný (nepovoľuje žiadnu komunikáciu) do tej doby, než sa pripojené zariadenie úspešne autentizuje. Pri tejto metóde je možné využiť aj rady ďalších vlastností, napríklad dynamické zaraďovanie do VLAN či zaradenie portu do hosťovskej VLANy, pokiaľ nedôjde k autentifikácii. Administrátori si tak môžu zabezpečiť prístupy do svojej siete a chrániť ju.

Protokol IEEE 802.1x

Ide o štandard pre kontrolu prístupu do siete založenú na porte ( Port-based Network Access Control). Je založený na Extensible Authentication Protocol (EAP) RFC 3748. Používa sa na novších switchoch vyššej triedy (väčšina dnešných Cisco switchov) alebo pre bezdrôtové siete (prístupové body AP). V LAN sieťach sa jedná o fyzickú bezpečnosť na linkovej vrstve (2. vrstva ISO / OSI).

1220

1221

V tejto súvislosti je potrebné v Nemocnici vymeniť CORE switche zapojené v stacku za nové, čím sa naplní ochrana siete najnovšími sieťovými protokolmi a umožní dlhodobú udržateľnosť riešenia.

1222

1223

Fungovanie IEEE 802.1X - ak je port v neautorizovanom stave (unauthorized), tak neprijíma od klienta (označuje sa ako supplicant ) žiadnu komunikáciu mimo 802.1x prevádzky (presnejšie, na porte je povolené Extensible Authentication Protocol over LAN – EAPOL , CDP, Spanning Tree Protocol). Nasleduje fáza autentizácie, ktorú authenticator (väčšinou switch) odovzdáva autentizačnému serveru (väčšinou RADIUS (napr. v prostredí Nemocnice on Premise)).

1224

1225

Pokiaľ dôjde k úspešnej autentizáciu, tak sa port prepne do autorizovaného stavu (authorized), kedy je normálne funkčný. Klient sa môže odhlásiť, potom sa port opäť prepne do neautorizovaného stavu. Zakaždým, keď sa stav linky zmení z down na up, tak port začína pracovať v neautorizovanom stave.

1226

1227

1228

[[image:attach:image-2024-7-24_9-22-26-1.png||height="250"]]

1229

1230

Navrhovaná segmentácia siete s ohľadom na zavedenie protokolu IEEE 802.1x

1231

1232

1233

#10 - Brezno (Centrála)

#20 - Brusno

#30 - Bystrá

#40 - Maša

#50 - Huta

VLAN meno VLAN subnet (subnet-y) DHCP VLAN VLAN subnet Poznámka

1245

1246

10 konfig novych zariadení 192.168.0.0/23 DHCP 10 192.168.0.0/23

1247

1248

11 SERVERY 10.10.0.0/24 11 10.10.11.0/24

1249

1250

20 VVN 20 10.10.20.0/24

1251

1252

30 DMZ_OUT 10.30.0.0/24 30 10.10.30.0/24

1253

1254

31 DMZ_IN 10.30.10.0/24 31 10.10.31.0/24

1255

1256

32 ZZS Brusno PC 10.0.32.0/24 DHCP 210 10.20.210.0/24

1257

1258

33 ZZS Bystrá PC 10.0.33.0/24 DHCP 210 10.30.210.0/24

1259

1260

34 ZZS Maša PC 10.0.34.0/24 DHCP 210 10.40.210.0/24

1261

1262

35 ZZS M. Huta PC 10.0.35.0/24 DHCP 210 10.50.210.0/24

1263

1264

39 ZZS Brezno PC 10.0.39.0/24 DHCP 210 10.10.210.0/24

1265

1266

40 VoIP 172.16.2.0/22 DHCP 40 172.16.0.0/22

1267

1268

41 VoIP pre ZZS 172.16.0.0/24 DHCP 41 172.16.4.0/24

1269

1270

54 VLAN0054 54 Zrušiť

1271

1272

55 VLAN0055 55 Zrušiť

1273

1274

58 SWITCH_MGMT 10.10.58.0 58 10.10.58.0

1275

1276

68 IT_MGMT 10.10.68.0/24 DHCP 68 10.10.68.0/24

1277

1278

69 WIFI_MGMT 10.10.69.0/24 DHCP 69 10.10.69.0/24

1279

1280

79 VPN_WAN_BACKUP 79 Cisco, FGT - MPLS backup

1281

1282

80 INET_VOIP_BACKUP 80 Cisco - WAN INET backup

1283

1284

100 parkovaci system 10.10.100.0/24 DHCP 100 10.10.100.0/24

1285

1286

101 MaR kotolna 10.10.101.0/24 DHCP 101 10.10.101.0/24

1287

1288

102 dochadzkovy system 10.10.102.0/24 DHCP 102 10.10.102.0/24

1289

1290

103 pristupovy system 10.10.103.0/24 DHCP 103 10.10.103.0/24

1291

1292

104 kamerovy system 10.10.104.0/24 DHCP 104 10.10.104.0/24

1293

1294

105 sestersky system 10.10.105.0/24 DHCP 105 10.10.105.0/24

1295

1296

109 INET_DATA_BACKUP 109 FortiGate - Internet_Backup

1297

1298

132 Brusno WiFi zabezp 10.1.32.0/24 DHCP 220 10.20.220.0/24

1299

1300

133 Bystrá WiFi zabezp 10.1.33.0/24 DHCP 220 10.30.220.0/24

1301

1302

134 Maša WiFi zabezp 10.1.34.0/24 DHCP 220 10.40.220.0/24

1303

1304

135 M. Huta WiFi zabezp 10.1.35.0/24 DHCP 220 10.50.220.0/24

1305

1306

139 Brezno Wifi zabezp 10.1.39.0/24 DHCP 220 10.10.220.0/24

1307

1308

232 Brusno WiFi free 10.2.32.0/24 DHCP 230 10.20.230.0/24

1309

1310

233 Bystrá WiFi free 10.2.33.0/24 DHCP 230 10.30.230.0/24

1311

1312

234 Maša WiFi free 10.2.34.0/24 DHCP 230 10.40.230.0/24

1313

1314

235 M. Huta WiFi free 10.2.35.0/24 DHCP 230 10.50.230.0/24

1315

1316

240 Brezno Wifi free 10.2.40.0./21 DHCP 230 10.10.230.0./21

1317

1318

301 TCOM_BACKUP 301 Zrušiť

1319

1320

410 TCOM_BACKUP_2 410 Zrušiť

1321

1322

500 THP0 10.50.0.0/24 DHCP 150 10.10.150.0/24

1323

1324

501 THP1 10.50.1.0/24 DHCP 151 10.10.151.0/24

1325

1326

502 THP2 10.50.2.0/24 DHCP 152 10.10.152.0/24

1327

1328

503 THP3 10.50.3.0/24 DHCP 153 10.10.153.0/24

1329

1330

504 THP4 10.50.4.0/24 DHCP 154 10.10.154.0/24

1331

1332

505 THP5 10.50.5.0/24 DHCP 155 10.10.155.0/24

1333

1334

506 THP6 10.50.6.0/24 DHCP 156 10.10.156.0/24

1335

1336

507 THP7 10.50.7.0/24 DHCP 157 10.10.157.0/24

1337

1338

508 THP8 10.50.8.0/24 DHCP 158 10.10.158.0/24

1339

1340

509 THP9 10.50.9.0/24 DHCP 159 10.10.159.0/24

1341

1342

600 AMB0 10.60.0.0/24 DHCP 160 10.10.160.0/24

1343

1344

601 AMB1 10.60.1.0/24 DHCP 161 10.10.161.0/24

1345

1346

602 AMB2 10.60.2.0/24 DHCP 162 10.10.162.0/24

1347

1348

603 AMB3 10.60.3.0/24 DHCP 163 10.10.163.0/24

1349

1350

604 AMB4 10.60.4.0/24 DHCP 164 10.10.164.0/24

1351

1352

605 AMB5 10.60.5.0/24 DHCP 165 10.10.165.0/24

1353

1354

606 AMB6 10.60.6.0/24 DHCP 166 10.10.166.0/24

1355

1356

607 AMB7 10.60.7.0/24 DHCP 167 10.10.167.0/24

1357

1358

608 AMB8 10.60.8.0/24 DHCP 168 10.10.168.0/24

1359

1360

609 AMB9 10.60.9.0/24 DHCP 169 10.10.169.0/24

1361

1362

700 Lôžka1 10.70.0.0/24 DHCP 170 10.10.170.0/24

1363

1364

701 Lôžka2 10.70.1.0/24 DHCP 171 10.10.171.0/24

1365

1366

702 Lôžka3 10.70.2.0/24 DHCP 172 10.10.172.0/24

1367

1368

703 Lôžka4 10.70.3.0/24 DHCP 173 10.10.173.0/24

1369

1370

704 Lôžka5 10.70.4.0/24 DHCP 174 10.10.174.0/24

1371

1372

705 Lôžka6 10.70.5.0/24 DHCP 175 10.10.175.0/24

1373

1374

706 Lôžka7 10.70.6.0/24 DHCP 176 10.10.176.0/24

1375

1376

707 Lôžka8 10.70.7.0/24 DHCP 177 10.10.177.0/24

1377

1378

708 Lôžka9 10.70.8.0/24 DHCP 178 10.10.178.0/24

1379

1380

709 Lôžka10 10.70.9.0/24 DHCP 179 10.10.179.0/24

1381

1382

800 SVaLZ0 10.80.0.0/24 DHCP 180 10.10.180.0/24

1383

1384

801 SvaLZ1 10.80.1.0/24 DHCP 181 10.10.181.0/24

1385

1386

802 SVaLZ2 10.80.2.0/24 DHCP 182 10.10.182.0/24

1387

1388

803 SVaLZ3 10.80.3.0/24 DHCP 183 10.10.183.0/24

1389

1390

804 SVaLZ4 10.80.4.0/24 DHCP 184 10.10.184.0/24

1391

1392

805 SVaLZ5 10.80.5.0/24 DHCP 185 10.10.185.0/24

1393

1394

806 SVaLZ6 10.80.6.0/24 DHCP 186 10.10.186.0/24

1395

1396

807 SVaLZ7 10.80.7.0/24 DHCP 187 10.10.187.0/24

1397

1398

808 SVaLZ8 10.80.8.0/24 DHCP 188 10.10.188.0/24

1399

1400

809 SVaLZ9 10.80.9.0/24 DHCP 189 10.10.189.0/24

1401

1402

900 sukromnici0 10.90.0.0/24 DHCP 190 10.10.190.0/24

1403

1404

901 sukromnici1 10.90.1.0/24 DHCP 191 10.10.191.0/24

1405

1406

902 sukromnici2 10.90.2.0/24 DHCP 192 10.10.192.0/24

1407

1408

903 sukromnici3 10.90.3.0/24 DHCP 193 10.10.193.0/24

1409

1410

904 sukromnici4 10.90.4.0/24 DHCP 194 10.10.194.0/24

1411

1412

905 sukromnici5 10.90.5.0/24 DHCP 195 10.10.195.0/24

1413

1414

906 sukromnici6 10.90.6.0/24 DHCP 196 10.10.196.0/24

1415

1416

907 sukromnici7 10.90.7.0/24 DHCP 197 10.10.197.0/24

1417

1418

908 sukromnici8 10.90.8.0/24 DHCP 198 10.10.198.0/24

1419

1420

909 sukromnici9 10.90.9.0./24 DHCP 199 10.10.199.0/24

1421

1422

910 CENTR_LAN_TO_VPN 910 Pobočky

1423

1424

991 NICOTA 991 Zrušiť

1425

1426

1002 fddi-default 1002 Cisco default

1427

1428

1003 token-ring-default 1003 Cisco default

1429

1430

1004 fddinet-default 1004 Cisco default

1431

1432

1005 trnet-default 1005 Cisco default

1433

1434

1200 IPTV ??? DHCP 1200 10.200.0.0/24

1435

1436

4054 DOCASNE_SW_MGMT 4054 Naše účely

1437

1438

1439

**~ b) Vytvorenie dvojfaktoru pre VPN užívateľov**

1440

1441

1442

Vzhľadom na zraniteľnosť VPN siete cez prihlasovanie koncových zriadení odporúčame využívať dvojfaktorovú autentifikáciu pre koncové zariadenia pripájajúcich na diaľku do VPN siete Nemocnice.

1443

1444

Navrhované riešenie je na báze Fortinet – FortiToken, keďže nemocnica využíva služby Fortigate-u.

1445

1446

1447

Prihlasovanie sa iba pomocou hesla nezastaví šikovných útočníkov pred vstupom do siete či aplikácie. Autentifikácia iba heslom viedla v mnohých prípadoch k prelomeniu bezpečnosti, infikovaniu malvérom a porušeniu zásad a politík. Oveľa vyššie zabezpečenie poskytuje „viacfaktorová autentifikácia“ (MFA = multi-factor authentication) - konkrétne napr. použitie hesla súčasne s jednorazovým bezpečnostným tokenom (kódom), ktorý bude overený cez autentifikačný server (ním môže byť FortiGate alebo vo väčších nasadeniach FortiAuthenticator). Autorizovaní zamestnanci tak môžu pristupovať k firemným zdrojom bezpečne, využitím škály „overovacích“ zariadení od mobilov až po PC.

1448

1449

FortiToken Mobile je aplikácia pre iOS, Android, Windows Phone a Windows, ktorá slúži ako hardvérový token, ale využíva hardvér, ktorý už väčšina používateľov vlastní - mobilný telefón, prípadne PC. Aplikácia môže byť navyše chránená aj pomocou TouchID/FaceID.

1450

1451

FortiToken Mobile prináša flexibilne škálovateľné riešenie s nízkymi pravidelnými a vstupnými nákladmi (aj vďaka možnosti využiť existujúci FortiGate ako autentifikačný server).

1452

1453

(v individuálnych prípadoch je možné obstarať aj HW FortiTokeny, viď. obrázok)

1454

1455

Viac info: [[https:~~/~~/www.fortinet.com/content/dam/fortinet/assets/data-sheets/fortitoken.pdf>>url:https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/fortitoken.pdf||shape="rect"]]

1456

1457

1458

Dvojfaktorová / viacfaktorová autentifikácia všeobecne vzniká kombináciou nasledujúcich faktorov (napr. heslo a token) :

1459

1460

* niečo, čo človek vie (heslo, PIN, ...)

1461

* niečo, čo človek má (kľúč, token, platobná karta,...) resp. čím sa vyznačuje (otlačok prsta, face recognition, dúhovka oka, ...)

1462

1463

FortiToken (MFA) spĺňa nasledovné § kyberzákona (č. 69/2018 Z. z.):

1464

1465

* 10 Riadenie bezpečnosti sietí a informačných systémov, riadenie prístupov

1466

* 12 Overovanie identity používateľa v rámci siete a informačného systému, riadenie prístupov

1467

1468

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.4.2Požiadavkynavýkonnostnéparametre,kapacitnépožiadavky–TOBE"/}}4.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE ===

1469

1470

Predpokladané výkonnostné parametre a kapacitné požiadavky sú, tam kde je to relevantné, uvedené v popise aplikačnej architektúry jednotlivých aplikačných funkcií a aplikačných modulov.

1471

1472

1473

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.4.3Návrhriešeniatechnologickejarchitektúry"/}}4.4.3 Návrh riešenia technologickej architektúry ===

1474

1475

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

1476

1477

1478

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.4.4Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}4.4.4 Využívanie služieb z katalógu služieb vládneho cloudu ===

1479

1480

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

1481

1482

1483

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.5Bezpečnostnáarchitektúra"/}}4.5 Bezpečnostná architektúra ==

1484

1485

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia.

1486

1487

1488

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-5.ZávislostinaostatnéISVS/projekty"/}}5. Závislosti na ostatné ISVS / projekty =

1489

1490

Závislostí na iné projekty neboli identifikované.

**~ **

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-6.Zdrojovékódy"/}}6. Zdrojové kódy =

1495

1496

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

1497

1498

Riešenie nepredpokladá vývoj softvéru, ale použitie komerčných bezpečnostných produktov a zariadení.

1499

1500

1501

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.Prevádzkaaúdržba"/}}7. Prevádzka a údržba// // =

1502

1503

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.1Prevádzkovépožiadavky"/}}7.1 Prevádzkové požiadavky ==

1504

1505

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.1.1Úrovnepodporypoužívateľov"/}}7.1.1 Úrovne podpory používateľov ===

1506

1507

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.// //

1508

1509

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.1.2Riešenieincidentov–SLAparametre"/}}7.1.2 Riešenie incidentov – SLA parametre ===

1510

1511

Označenie naliehavosti incidentu:

1512

1513

|(((

1514

Označenie naliehavosti incidentu

)))|(((

Závažnosť incidentu

)))|(((

Popis naliehavosti incidentu

)))

|(((

A

)))|(((

Kritická

)))|(((

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

)))

|(((

B

)))|(((

Vysoká

)))|(((

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.

)))

|(((

C

)))|(((

Stredná

)))|(((

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

)))

|(((

D

)))|(((

Nízka

)))|(((

Kozmetické a drobné chyby.

)))

možný dopad:

(% class="relative-table" style="width:66.5205%" %)

1552

|(((

1553

Označenie závažnosti incidentu

)))|(((

Dopad

)))|(((

Popis dopadu

)))

|(((

1

)))|(((

katastrofický

)))|(((

katastrofický dopad, priamy finančný dopad alebo strata dát,

)))

|(((

2

)))|(((

značný

)))|(((

značný dopad alebo strata dát

)))

|(((

3

)))|(((

malý

)))|(((

malý dopad alebo strata dát

1581

)))

1582

1583

Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

1584

1585

(% class="relative-table" style="width:66.4717%" %)

1586

|(% colspan="2" rowspan="2" %)(((

1587

Matica priority incidentov

1588

)))|(% colspan="3" %)(((

Dopad

)))

|(((

Katastrofický - 1

)))|(((

Značný - 2

)))|(((

Malý - 3

)))

|(% rowspan="4" %)(((

**Naliehavosť**

)))|(((

**Kritická - A**

)))|(((

1

)))|(((

2

)))|(((

3

)))

|(((

**Vysoká - B**

)))|(((

2

)))|(((

3

)))|(((

3

)))

|(((

**Stredná - C**

)))|(((

2

)))|(((

3

)))|(((

4

)))

|(((

**Nízka - D**

)))|(((

3

)))|(((

4

)))|(((

4

)))

Vyžadované reakčné doby:

1638

1639

(% class="relative-table" style="width:66.6667%" %)

1640

|(((

1641

Označenie priority incidentu

1642

)))|(((

1643

Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu

1644

)))|(((

1645

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^

)))|(((

Spoľahlivosť ^^(3)^^

(počet incidentov za mesiac)

)))

|(((

1

)))|(((

0,5 hod.

)))|(((

4 hodín

)))|(((

1

)))

|(((

2

)))|(((

1 hod.

)))|(((

12 hodín

)))|(((

2

)))

|(((

3

)))|(((

1 hod.

)))|(((

24 hodín

)))|(((

10

)))

|(((

4

)))|(((

1 hod.

)))|(% colspan="2" %)(((

1683

Vyriešené a nasadené v rámci plánovaných releasov

1684

)))

1685

1686

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.2PožadovanádostupnosťIS:"/}}7.2 Požadovaná dostupnosť IS: ==

1687

1688

(% class="relative-table" style="width:66.8129%" %)

|(((

Popis

)))|(((

Parameter

)))|(((

Poznámka

)))

|(((

**Prevádzkové hodiny**

)))|(((

24 hodín

)))|(((

Od 7:00 do 15:00 je hlavný pracovný čas

1702

)))

1703

|(% rowspan="2" %)(((

**Servisné okno**

)))|(((

16 hodín

)))|(((

od 15:00 hod. - do 7:00 hod. počas pracovných dní

)))

|(((

24 hodín

)))|(((

od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov

1714

1715

Servis a údržba sa bude realizovať podľa potreby v ohlásenom čase.

1716

)))

1717

|(((

1718

**Dostupnosť produkčného prostredia IS**

)))|(((

98,5%

)))|(((

98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod.

1723

1724

Maximálny mesačný výpadok je 5,5 hodiny.

1725

1726

Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

1727

1728

Nedostupnosť IS sa počíta od nahlásenia incidentu Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

1729

1730

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

1731

)))

1732

1733

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.2.1Dostupnosť(Availability)"/}}7.2.1 Dostupnosť (Availability)** ** ===

1734

1735

Požadovaná dostupnosť pre aktivity projektu:

1736

1737

Požadovaná dostupnosť pre nasledovné aktivity projektu:

1738

1739

* **99,9% ("tri deviatky") dostupnosť** znamená výpadok 8,76 hodín.

1740

1741

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.2.2RTO(RecoveryTimeObjective)"/}}7.2.2 RTO (Recovery Time Objective) ===

1742

1743

//Zavedenie aktivít~://

1744

1745

1. **Nákupom hardvéru a softvéru na vytvorenie záložných kapacít IS**

1746

1. **Dokončenie segmentácie VLAN, vytvorenie 802.1x a zavedenie dvojfaktorovej autentifikácie pre VPN užívateľov**

1747

1. **Nákupom softvéru EDR/XDR na detekciu škodlivého kódu a softvéru na riadenie rizík RiA**

1748

1. **Služieb na vypracovanie kontinuity činností, analýzu dopadov, manažéra riadenia rizík a manažéra riadenia kontinuity**

1749

1750

//si budú vyžadovať tretí stupeň, t.j. rýchlu obnovu.//

1751

1752

**//RTO pre tieto aktivity je definované na 24 hodín//**//.//

1753

1754

1755

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.2.3RPO(RecoveryPointObjective)"/}}7.2.3 RPO (Recovery Point Objective) ===

1756

1757

//Nasledovné aktivity~://

1758

1759

1. **Nákupom hardvéru a softvéru na vytvorenie záložných kapacít IS**

1760

1. **Dokončenie segmentácie VLAN, vytvorenie 802.1x a zavedenie dvojfaktorovej autentifikácie pre VPN užívateľov**

1761

1. **Nákupom softvéru EDR/XDR na detekciu škodlivého kódu a softvéru na riadenie rizík RiA**

1762

1. **Služieb na vypracovanie kontinuity činností, analýzu dopadov, manažéra riadenia rizík a manažéra riadenia kontinuity**

1763

1764

//si budú vyžadovať len tradičné zálohovanie, avšak **RPO pre tieto aktivity je definované na 24 hodín**.//

1765

1766

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-8.Požiadavkynapersonál"/}}8. Požiadavky na personál =

1767

1768

Pracovníci oddelenia informatiky.

1769

1770

1771

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-9.Implementáciaapreberanievýstupovprojektu"/}}9. Implementácia a preberanie výstupov projektu =

1772

1773

V projekte neprebieha vývoj/implementácia.

// //

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-10.Prílohy"/}}10. Prílohy =

Wiki zdrojový kód pre pristup_k_projektu

Aplikácie

Navigácia

Moje posledné úpravy

Need help?