projekt_2695_Pristup_k_projektu_ramcovy

(% id="Hprojekt_2695_Pristup_k_projektu_ramcovy" style="text-align: center;" class="with-breadcrumbs" %)

= (% id="cke_bm_4598S" style="display:none" %) (%%)[[projekt_2695_Pristup_k_projektu_ramcovy>>url:https://wiki.vicepremier.gov.sk/display/PD/projekt_2695_Pristup_k_projektu_ramcovy||shape="rect"]] =

3

4

(% style="text-align: center;" %)

5

Vzor pre manažérsky výstup I-03

6

podľa vyhlášky MIRRI č. 401/2023 Z. z.

7

8

(% class="relative-table" style="float:left; width:86.5989%" %)

|(((

Povinná osoba

)))|(((

Nemocnica s poliklinikou Brezno, n.o.

)))

|(((

Názov projektu

)))|(((

Podpora v oblasti kybernetickej a informačnej bezpečnosti v NsP Brezno

18

)))

19

|(((

20

Zodpovedná osoba za projekt

)))|(((

Ing. Ján Jagerčík

)))

|(((

Realizátor projektu

)))|(((

Nemocnica s poliklinikou Brezno, n.o.

)))

|(((

Vlastník projektu

)))|(((

Nemocnica s poliklinikou Brezno, n.o.

)))

(% style="text-align: left;" %)

44

**Schvaľovanie dokumentu**

45

46

(% class="relative-table" style="float:left; width:86.7925%" %)

|(((

Položka

)))|(((

Meno a priezvisko

)))|(((

Organizácia

)))|(((

Pracovná pozícia

)))|(((

Dátum

)))|(((

Podpis

(alebo elektronický súhlas)

)))

|(((

Vypracoval

)))|(((

Ing. Ján Jagerčík

)))|(((

Nemocnica s poliklinikou Brezno, n.o.

68

)))|(((

69

Ved. odd. IT a projektový manažér

)))|(((

23.7..2024

)))|(((

)))

= =

= =

= =

= =

= História dokumentu =

87

88

(% class="relative-table" style="width:38.3648%" %)

|(((

Verzia

)))|(((

Dátum

)))|(((

Zmeny

)))|(((

Meno

)))

|(((

//0.1//

)))|(((

//05.06.2024//

)))|(((

//Pracovný návrh//

)))|(((

)))

|(((

//1.0//

)))|(((

//23.07.2024//

)))|(((

//Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.//

)))|(((

)))

|(((

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

)))|(((

)))|(((

)))

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-2.Účeldokumentu"/}}2. Účel dokumentu =

136

137

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

138

139

Účelom dokumentu je rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti a zabezpečiť súlad so zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej ako “zákon o ITVS”) a č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti Governance kybernetickej bezpečnosti.

140

141

Jedná sa o prístup k projektu vo výzve "Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia". Z väčšej časti sa dokument odvoláva na projektový zámer I-02.

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

146

147

148

(% class="relative-table" style="width:40.8382%" %)

|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

|(((

AR

)))|(((

Analýza rizík

)))

|(((

BCM

)))|(((

Riadenie kontinuity činností (Business Continuity Management)

)))

|(((

BIA

)))|(((

Analýza dopadov (Business Impact Assessment)

)))

|(((

KIB

)))|(((

Kybernetická a informačná bezpečnosť

)))

|(((

KyB / KB

)))|(((

Kybernetická bezpečnosť

)))

|(((

RPO

)))|(((

Cieľový bod obnovy (Recovery Point Objective)

)))

|(((

RTO

)))|(((

Cieľový čas obnovy (Recovery Time Objective)

)))

|(((

IS

)))|(((

Informačný systém

)))

|(((

VPN

)))|(((

Virtuálna privátna sieť (Virtual Private Network)

198

)))

199

200

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-3.Popisnavrhovanéhoriešenia"/}}3. Popis navrhovaného riešenia =

201

202

Aktuálna situácia v oblasti informačnej a kybernetickej bezpečnosti (ďalej ako “KIB”) v NsP Brezno n.o. nie je ideálna, nakoľko nemáme implementované všetky riešenia a opatrenia kybernetickej bezpečnosti pre zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

203

204

Z externého pohľadu sa zvyšuje frekvencia a závažnosť útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov. Realizácia projektu zabezpečí zlepšenie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností, kapacít a spôsobilostí pre plnenie úloh v oblasti KIB.

// //

**Z vykonaného auditu NsP Brezno vykonaného v januári 2024 spoločnosťou Kompetenčné a certifikačné centrum kybernetickej bezpečnosti zriadeného Národným bezpečnostným úradom boli zistené určité nedostatky v kybernetickej bezpečnosti, predovšetkým:**

209

210

* **Nie sú vytvorené záložné kapacity IS pre zabezpečenie kontinuity prevádzky - potreba vybudovania záložnej serverovne s potrebným hardvérom a softvérom**

211

* **Nie je dokončená segmentácie počítačovej siete**

212

* **Nie je zavedená dvojfaktorovej autentifikácie pre prístupy cez VPN**

213

* **Nie je zavedené riadenie rizík KB**

214

* **Nie je zaznamenávanie udalostí, monitorovanie a riešenie KB incidentov**

215

* **Nie je implementovaný centrálny nástroj na detegovanie zraniteľností a vyhodnocovanie záznamov**

216

* **Nedostatky v bezpečnostnej dokumentácii na základe požiadaviek audítora a implementovanie realizácie**

**// //**

Predmetom projektu je realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti, v nadväznosti na výsledky auditu organizácie, čo chceme naplniť nasledujúcimi hlavnými aktivitami:

221

222

223

1. **Nákupom hardvéru a softvéru na vytvorenie záložných kapacít IS**

224

1. **Dokončenie segmentácie VLAN, vytvorenie 802.1x a zavedenie dvojfaktorovej autentifikácie pre VPN užívateľov**

225

1. **Nákupom softvéru EDR/XDR na detekciu škodlivého kódu a softvéru na riadenie rizík RiA**

226

1. **Služieb na vypracovanie kontinuity činností, analýzu dopadov, manažéra riadenia rizík a manažéra riadenia kontinuity**

**// //**

V nadväznosti na hlavné aktivity sú aj podaktivity zamerané na kybernetickú bezpečnosť:

__ __

Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia KIB:

235

236

* aktualizácia stratégie kybernetickej bezpečnosti,

237

* aktualizácia bezpečnostnej politiky kybernetickej bezpečnosti,

238

* vytvorenie / aktualizácia ďalších interných smerníc a politík pre všetky relevantné oblasti riadenia KIB (najmä smernica pre používateľov

239

* ohľadom IB, BCM politika, riadenie bezpečnosti v prevádzke IT a pod.).

Analytické aktivity:

* aktualizácia identifikácie a evidencie informačných aktív,

244

* detailná klasifikácia informácií a kategorizácia IS a sietí,

245

* analýza rizík a analýza dopadov (AR/BIA) aj so zapojením vlastníkov aktív,

246

* zavedenie procesu formálneho rozhodovania ohľadom riadenia identifikovaných rizík,

247

* na základe výsledkov AR/BIA zadefinovanie stratégie obnovy pre jednotlivé IS,

248

* aktualizácia plánu zálohovania podľa výsledkov AR/BIA,

249

* identifikácia zdrojov log súborov potrebných pre komplexné vyhodnocovanie bezpečnostných udalostí, analýza štruktúry log súborov, návrh optimálneho zberu log súborov, návrh optimálneho uchovávanie log súborov pre potreby forenznej analýzy,

250

251

Implementačné aktivity bezpečnostných riešení:

252

253

* zavedenie nástroja na udržiavanie aktív a aktualizáciu AR/BIA a zaškolenie administrátorov NsP Brezno

254

* dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie bezpečnostného riešenia pre ochranu kritických infraštruktúrnych prvkov (serverov) voči zraniteľnostiam – implementácia funkcionality „virtual patching“ pre tzv. „legacy“ systémy, naktoré už nie sú vydávané bezpečnostné záplaty a ochrany voči tzv. „zero-day“ zraniteľnostiam a zaškolenie administrátorov NsP Brezno,

255

* s integrovaným centrálnym log manažmentom pre účely agentského aj bez-agentského zberu logov zo systémov, sieťových zariadení a koncových staníc, spoločne s funkcionalitami XDR (Extended detection and response), ABA (Attacker Behavior Analytics),

256

* UBA (User Behavior Analytics), NTA (Network Traffic Analysis), FAAM (File Access Activity Monitoring), FIM (File Integrity Monitoring),

257

* Deception Technology (Honey Pots/User/File/Credential) pre zabezpečenie komplexného monitoringu a možnosti vyhodnocovania

258

* bezpečnostných udalostí vrátane zaškolenia administrátorov NsP Brezno,

259

* dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie MFA na všetky VPN pripojenia a na prístup

260

* „power users“ k správe IS a zaškolenie administrátorov NsP Brezno

261

262

* dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie interného nástroja na skenovanie zraniteľností (vulnerability scaner) s možnosťou previazania a plnej kompatibility so SIEM riešením, pre testovanie interných systémov, pracovných staníc, sieťovej infraštruktúry a rovnako aj IP adries NsP Brezno dostupných zo siete internet, vrátane zaškolenia administrátorov NsP Brezno,

263

* dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie interného nástroja na bezpečnostné testovanie

264

* vykonanie nasledovných bezpečnostných testovaní:

265

* vulnerability test (scan) interných systémov, pracovných staníc, sieťovej infraštruktúry,

266

267

Pre-financovanie nasledovných, legislatívou vyžadovanej aktivity:

268

269

pre-financovanie aktualizácie inventarizácie aktív, klasifikácie IS a analýzy rizík tesne pred ukončením projektu po úspešnej

270

271

implementácii vyššie uvedených bezpečnostných riešení.

272

273

274

Celková žiadaná výška ŽoNFP je 298 953,12 EUR.

275

276

277

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.Architektúrariešeniaprojektu"/}}4. Architektúra riešenia projektu =

278

279

Hlavnou aktivitou projektu je zvýšenie úrovne KIB, aby **NsP Brezno** bola lepšie pripravená čeliť interným a externým hrozbám v oblasti kybernetickej bezpečnosti. Na rozdiel od súčasného stavu bude disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého prostredia, ako aj ochranu dát.

280

281

282

Medzi hlavné ciele systému riadenia KIB patria:

283

284

* zabezpečenie správnej a bezpečnej prevádzky prostriedkov spracúvajúcich informácie,

285

* monitorovanie prostredia,

286

* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu.

287

288

Na rozdiel od súčasného stavu bude NsP Brezno disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého prostredia, ako aj ochranu dát.

289

290

291

Navrhovaný projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia" súvisí najmä s naplnením povinností:

292

293

* definovanými v zákone č. 69/2018 Z. z. Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB") a v

294

* zákone č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS"),

295

* opatreniami definovanými v § 20 zákona o KB,

296

* nutnosť zvýšenia úrovne a schopnosti zabezpečovať a riadiť informačnú a kybernetickú bezpečnosť vzhľadom na sústavne sa zvyšujúce hrozby a riziká,

297

* zabezpečenie realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti,

298

* ako reakcia na aktuálny nedostatočný stav úrovne vyspelosti procesov riadenia KIB,

299

* ako reakcia na aktuálne zmeny v používaní IT, ako aj závažné útoky v oblasti kybernetickej bezpečnosti.

300

301

Projekt rieši nasledovné špecifické problémy v oblasti kybernetickej bezpečnosti:

302

303

* Nová legislatíva v oblasti KIB je náročne implementovateľná bez značných investícií a najmä bez potrebných expertných ľudských zdrojov.

304

* Absencia fundovaných ľudí, ale aj vzorov, návodov, metodických usmernení a inštrukcií.

305

* NsP Brezno nemá vykonanú detailnú inventarizáciu informačných aktív, klasifikáciu a kategorizáciu IS a sietí, analýzu rizík a analýzu dopadov, zabezpečený formalizovaný a opakovaný proces riadenia identifikovaných rizík (ich mitigácie), ktoré sú nevyhnutným a nutným predpokladom pre efektívne riadenie KIB a ďalší rozvoj v tejto oblasti, inventarizáciu aktív a riadenie rizík vykonávajú zväčša neformalizovaným spôsobom bez IKT podpory.

306

* Nie je zadefinovaný dizajn bezpečnostných opatrení pre jednotlivé klasifikačné stupne a kategórie IS a chýba aj základná sada zákonom o KB požadovanej dokumentácie a základných interných smerníc pre niektoré oblasti riadenia KIB.

307

308

Implementácia projektu bude prebiehať v rámci oprávneného typu akcie: Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy a zdravotníckych zariadení v nasledovných krokoch:

309

310

311

**Hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti**

312

313

1. **Návrh infraštruktúry do záložného dátového centra:**

314

315

* Servre – 2 ks 1U serverov DELL R660xs pre zabezpečenie dostatočného výkonu a redundancie. Servery budú prevádzkovane v backup DC, aby v prípade výpadku jedného zo záložných serverov bolo možné prevádzkovať nevyhnutnú aplikačnú infraštruktúru. Záložné servre sú zrkadlom hlavných serverov v hlavnej serverovni

316

* Storage – 1 ks 2U DELL ME4024 All-Flash s kobinaciou SSD diskov a HDD diskov pre dostatočný výkon celej backup infraštruktúry a pre dostatočnú kapacitu najmä pre systém PACS. Tento storage je možné do budúcna rozširovať až do 9 extension políc s ďalšími diskami.

317

* Virtualizačný SW – 32 (2 servre po 16 cores) CPU licencie VMware vSphere Standard s licenciou management vCenter server appliance – Virtualizácia bude zabezpečovať plynulý bezvýpadkovy (HA) chod všetkých virtuálnych serverov s možnosťou automatickej migrácie medzi fyzickými servermi.

318

* Backup SW – navrhovaný je Backup SW Acronis ktorý dokáže zálohovať, replikovať na storage, NAS, tape library a má jednoduché licencovanie – 1 licencia na 1 fyzicky server s VMware – tzn. potrebujeme 2 ks licencii. Acronis ktorý bude zálohovať aj na disky NAS a pásky LTO8 v tape library podľa backup plánu.

319

* Server bude napájaný pomocou APC Smart-UPS SRT 3000VA RM 230V Network Card + externý battery pack APC Smart-UPS SRT 96V 3kVA RM Battery Pack a bude obsahovať aj 19“ rackovou skriňou pre infraštruktúru

320

* Súčasťou dodávky je monitorovací notebook DELL Latitude 5540 i5-1345U 15.6" FHD 16GB 512GB SSD Iris Xe IrCam Thb FPR SCR Win11Pro 3Y ProSpt OS

321

* Zálohovanie dát bude realizovane dvojúrovňovo - na existujúci NAS QNAP s kapacitou 12 x 8TB diskov a s možnosťou ďalšieho rozširovania kapacity pridaním extension police

322

* Serverové licencie Windows Server Datacenter 2022 za účelom prevádzkovania virtuálnych serverov, keďže jedna licencia slúži na 1 fyzicky server.

323

324

2. (% style="letter-spacing:0.0px" %)**Segmentácia stávajúcej LAN siete a zavedenie autentifikácie**

325

326

**~ a) Segmentácia siete a zavedenie 802.1x – Ochrana pred kybernetickými útokmi z LAN siete**

327

328

Autentizácia prístupu k portom pomocou protokolu IEEE 802.1x je základ dnes populárnej technológie nazvanej Network Access Control (NAC), Network Admission Control (NAC) alebo Network Access Protection (NAP), ktoré riadia prístup zariadenia k sieti.

329

330

Výhodou tohto riešenia je, že sa prístup kontroluje pred vstupom do siete, teda priamo na porte (access switch), do ktorého je zariadenie pripojené. Princíp spočíva v tom, že port na switchy je zablokovaný (nepovoľuje žiadnu komunikáciu) do tej doby, než sa pripojené zariadenie úspešne autentizuje. Pri tejto metóde je možné využiť aj rady ďalších vlastností, napríklad dynamické zaraďovanie do VLAN či zaradenie portu do hosťovskej VLANy, pokiaľ nedôjde k autentifikácii. Administrátori si tak môžu zabezpečiť prístupy do svojej siete a chrániť ju.

331

332

**~ b) Vytvorenie dvojfaktoru pre VPN užívateľov**

333

334

Vzhľadom na zraniteľnosť VPN siete cez prihlasovanie koncových zriadení odporúčame využívať dvojfaktorovú autentifikáciu pre koncové zariadenia pripájajúcich na diaľku do VPN siete Nemocnice.

335

336

Navrhované riešenie je na báze Fortinet – FortiToken, keďže nemocnica využíva služby Fortigate-u.

337

338

339

3. (% style="letter-spacing:0.0px" %)**a) Softvér EDR/XDR**

340

341

Súčasťou riešenia budú detailné analytické, diagnostické a detekčno-bezpečnostné práce nad všetkými existujúcimi koncovými zariadeniami z pohľadu vykonania detailného preverenia, analýzy a diagnostiky týchto zariadení na prípadnú prítomnosť infekcie malvérom a v prípade jeho identifikácie aj spoľahlivé a bezpečné odstránenie tak, aby následne mohla byť na tieto zariadenia nasadená rozšírená a najmä funkčná AV a EDR/XDR ochrana.

342

343

V rámci tejto aktivity sa požaduje rozšírenie licencií existujúceho AV riešenia (ESET) na všetky koncové stanice a servery a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Požaduje sa dodanie riešenia na prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, šifrovanie celých diskov, správu zraniteľností a patchov aplikácií tretích strán, ochranu poštových serverov/mailboxov, ochranu cloudového prostredia Microsoft365/Google Workspace a možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení podľa voľby SPU NR za účelom povýšenia kybernetickej bezpečnosti. Riešenie poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou, a ktorá zahŕňa funkcie, ako napr. detekcia incidentov v reálnom čase, manažment a reakcia na incidenty, zozbieravanie údajov, detekcia indikátorov ohrozenia, detekcia anomálií, detekcia správania, detekcia porušenia pravidiel atď.

344

345

Súčasťou dodávky musí byť aj konzola / systém na správu celého riešenia.

346

347

b) (% style="letter-spacing:0.0px" %)**Nasadenie informačného systému pre identifikáciu a riadenie rizík v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§6) v rovine riadenia, revízie a aktualizácie potrebnej dokumentácie**

348

349

Informačný systém pre identifikáciu a riadenie rizík musí spĺňať tieto funkčných vlastnosti:

350

351

* správa aktív – vedenie zoznamu aktív subjektu, vrátane ich vlastníkov

352

* správa zraniteľností – vedenie zoznamu rozpoznaných zraniteľností, vrátane ich vlastníkov

353

* správa hrozieb – vedenie zoznamu rozpoznaných hrozieb

354

* správa opatrení – vedenie zoznamu opatrení potrebných na potlačenie zraniteľností

355

* správa vzťahov – evidencia rozpoznaných vzťahov medzi aktívami a zraniteľnosťami

356

* správa rizík – identifikácia a ohodnotenie rizík na základe pravdepodobností hrozieb, uplatňovaných opatrení a dopadov na subjekt,

357

* semikvantitatívna prípadne kvantitatívna metóda hodnotenia významnosti rizík, • číselné ohodnotenie pravdepodobnosti hrozieb a účinnosti opatrení,

358

* významnosť rizík vyjadrená číselne a následne kategorizovaná.

359

360

4. (% style="letter-spacing:0.0px" %)**a) Vypracovanie kontinuity činností v zmysle ZoKB – riadenie kontinuity činností (BCM) v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17)**

361

362

Kontinuita činností musí zadefinovať scenáre rôznych udalostí, ktoré potencionálne môžu mať negatívny vplyv na bežné činnosti organizácie ako sú napríklad:

363

364

* náhla nedostupnosť personálu či nepoužiteľnosť pracoviska/budovy,

365

* nedostupnosť technologickej infraštruktúry či potrebných médií,

366

* incident či živelná katastrofa.

367

368

V rámci kontinuity činností musia byť stanovené požiadavky na zdroje (adekvátne finančné, materiálno-technické a personálne zdroje), ktoré budú potrebné na implementáciu vybraných stratégií kontinuity činností. V zmysle požiadaviek zákona o kybernetickej bezpečnosti sa musí určiť čo má byť:

369

370

* hlavným cieľom plánu kontinuity s ohľadom na riadenie incidentov v prípade katastrofy alebo iného rušivého incidentu a ako sa obnovia činnosti v stanovených termínoch,

371

372

**~ b) Požiadavky na analýzu dopadov**

373

374

Analýza dopadov musí:

375

376

- identifikovať rôzne kategórie procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti,

377

378

- určiť potenciálne dôsledky (škody/straty) pri rôznych dobách trvania kritických situácií,

379

380

- stanoviť maximálne akceptovateľné doby prerušenia (MTO),

381

382

- stanoviť minimálne ciele kontinuity podnikania (MBCO),

383

384

- určiť cieľové časy obnovy (RTO) a cieľové body obnovy (RPO),

385

386

* identifikovať potenciálne dopady vyplývajúce z možného prerušenia činností a stanoviť výšku:

387

* funkčných dopadov,

388

* finančných dopadov,

389

* dopadov spôsobených stratou údajov a dokumentov.

390

* identifikovať zdroje a prostriedky na obnovu procesov so zásadným vplyvom na kontinuitu činností organizácie na základe hodnoty RTO procesu v min. tomto typovom rozsahu zdrojov:

391

* ľudia,

392

* aplikácie / databázy,

393

* údaje uložené v elektronickej podobe (nezahrnuté v aplikáciách a databázach),

394

* údaje uložené na papierovom médiu,

395

* IT a komunikačné zariadenia,

396

* komunikačné kanály,

397

* ostatné vybavenie,

398

* vybavenie a infraštruktúra,

399

* pracovný kapitál.

400

401

**Záverečná správa, ako výstup z analýzy dopadov musí obsahovať:**

402

403

* prehľad vykonávaných činností, ktorý bude obsahovať názov činnosti, jej vymedzenie, vlastníka, MTO a MBCO,

404

* zoznam procesov, ktorý bude (ak to je možné) obsahovať názov procesu, druh procesu, vlastníka procesu, RTO a RPO procesu (údaje, na základe ktorých bolo stanovené príslušné RTO a RPO budú taktiež súčasťou správy),

405

* špecifikácie nevyhnutných zdrojov a prostriedkov pre zabezpečenie kontinuity činností.

406

407

Pri analýze dopadov je potrebné identifikovať:

408

409

* kritické obdobie,

410

* množstvo práce vykonanej v kritickom období,

411

* minimálne prijateľné množstvo práce vykonávanej bezprostredne po krízovej situácii,

412

* či môže definovaný typ krízovej situácie spôsobiť prerušenie procesu.

413

414

Pričom kritickým obdobím až krízovou situáciou môže byť:

415

416

* nedostupnosť informačných technológií a/alebo dát,

417

* nedostupnosť prevádzkových priestorov,

418

* nedostupnosť kritickej časti ľudských zdrojov – zamestnancov,

419

* zlyhanie kľúčového externého dodávateľa služieb.

**~ **

**Jednotlivé riešenia v rámci implementácie projektu:**

424

425

1. Analýza a dizajn bude obsahovať:

426

427

* konzultačné a analytické práce spojené s identifikáciou možností realizácie, potrebných zdrojov a riešení,

428

* identifikáciu a analýzu rolí, procesov a integrácii,

429

* funkčnú a nefunkčnú špecifikáciu celého riešenia,

430

* definíciu všetkých manažérskych a špecializovaných produktov spolu s akceptačnými kritériami.

431

432

2. Nákup HW a krabicového SW pozostáva z nákupu hardvérového a softvérového vybavenia

433

434

* Nástroj na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti.

435

* Bezpečnostné riešenie ochrany kritických sieťových prvkov.

436

* Vulnerability scanner.

437

438

3. Implementácia bude obsahovať:

439

440

* implementáciu a nastavenie jednotlivých technických služieb,

441

* implementácia bezpečnostných opatrení,

442

* implementácia proaktívnych a reaktívnych služieb,

443

* obvyklé testovanie celého riešenia popri implementácii,

444

* zabezpečenie služby SOC od externého subjektu,

445

* zladenie interných procesov riešenia bezpečnostných incidentov (internej smernice) s procesmi SOC.

446

447

4. Testovanie obsahuje:

448

449

* testovanie funkcionality riešenia,

450

* vulnerability testovanie,

451

* testovanie integrácii,

452

* pilotnú prevádzku,

453

* akceptačné testovanie.

454

455

5. Nasadenie obsahuje:

456

457

* nasadenie riešenia do produkčného prostredia,

458

* školenia pre celé riešenie,

459

* prechod na plnú prevádzku

460

461

6. Udržateľnosť projektu na celé obdobie:

462

463

* Dodávka hardvéru obsahuje 5 ročnú záruku v rátane servisu ProSupport and Next Business Day Onsite Service

464

* Všetok dodaný softvér obsahuje licencie na 5 ročné obdobie

465

* Všetky dojednané služby – výkon manažéra riadenia rizík, BCM, manažér riadenia kontinuity, analýza a správa analázy dopadov sa dojednáva na 5 ročné obdobie

466

467

**Podporná aktivita** – Projektový manažér interný/externý na riadenie hlavných aktivít projektu, manažér kybernetickej bezpečnosti – kontrola a riadenie implementácie bezpečnostných riešení, bezpečnostný analytik – podpora implementácie bezpečnostných riešení a ich bezpečnostnej konfigurácie.

468

469

470

**Podporná aktivita** – Publicita a informovanosť vzhľadom na povahu projektu obsahuje iba povinné položky, t.j. umiestnenie trvalo vysvetľujúcej tabule a dočasný veľkoplošný pútač

471

472

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.1Biznisvrstva"/}}4.1 Biznis vrstva ==

473

474

Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy:

475

476

* Riadenie aktív a riadenie rizík.

477

** Proces evidencie a správy aktív.

478

** Proces klasifikácie informácií a kategorizácie IS a sietí.

479

** Proces realizácie AR/BIA.

480

** Proces rozhodovania ohľadom riadenia identifikovaných rizík.

481

** Proces stanovenia stratégie obnovy na základe výsledkov AR/BIA (RTO).

482

** Proces definovania plánu zálohovanie na základe výsledkov AR/BIA (RPO).

483

* Riadenie prístupov.

484

** Proces riadenia prístupov do vyhradených priestorov (serverovní).

485

* Ochrana proti škodlivému kódu.

486

** Proces identifikácie a ochrany koncových staníc a systémov pred škodlivým kódom (ochrana pred malware a ransomware).

487

* Sieťová a komunikačná bezpečnosť.

488

** Proces ochrany a riadenia prístupov z vonkajšieho prostredia do siete a opačne.

489

** Proces riadenia prichádzajúcej a odchádzajúcej komunikácie.

490

** Proces segmentácie jednotlivých sietí a systémov.

491

* Zaznamenávanie udalostí a monitorovanie.

492

** Proces bezpečného ukladania a centrálneho zhrávania logov.

493

** Proces bezpečnostného monitoringu koncových staníc.

494

** Proces bezpečnostného monitoringu systémov a dátových úložísk.

495

** Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry.

496

** Proces bezpečnostného monitoringu aktivít používateľov.

497

** Proces bezpečnostného monitoringu aktivít privilegovaných používateľov.

498

** Proces vyhodnocovania udalostí založený na “machine learning” algoritmoch a sledovaní správania sa používateľov (“behavioral analysis”).Riešenie kybernetických bezpečnostných incidentov.

499

* Proces riešenia bezpečnostných incidentov.

500

** Proces identifikácie, vyhodnocovania a riešenia bezpečnostných incidentov a podozrivých udalostí aj vo väzbe na SOC.

501

* Kontinuita prevádzky.

502

** Proces riešenia obnovy v prípade mimoriadnej udalosti.

503

** Proces ochrany, čitateľnosti a dostupnosti záloh.

504

* Zabezpečenie súladu.

505

** Proces vyhodnotenia aktuálneho stavu súladu s požiadavkami legislatívy.

506

507

Z pohľadu biznis architektúry predstavujú niektoré, vyššie uvedené, biznis služby len analytické a konzultačné práce, pričom niektoré sú podporené aj aplikačným nástrojom na ich podporu a udržiavanie. Pre zvyšné funkcie, ktoré sú podporené aj aplikačným vybavením, alebo sú reprezentované napr. technologickým zariadením (HW appliance) a pod., sú jednotlivé komponenty rovnako uvedené v rámci popisu aplikačnej a prípadne technologickej architektúry.

508

509

Predmetom biznis funkcie „Kontinuita prevádzky“, ktorá nie je reprezentovaná na aplikačnej úrovni je najmä:

510

511

* Vytvorenie politiky riadenia kontinuity.

512

* Na základe výsledkov AR/BIA budú spracované nasledovné výstupy:

513

** Určená stratégia obnovy pre každý jeden IS (na základe výsledkov AR/BIA - RTO).

514

** Plány a postupy zálohovania (na základe výsledkov AR/BIA - RPO).

515

** BCP pre najkritickejšie biznis procesy v rámci systémov.

516

** DRP pre kľúčové systémy a podporné a infraštruktúrne IS, bez ktorých nie je možné plne prevádzkovať uvedené dva základné systémy (napr. základná sieťová infraštruktúra, FW, AD, DC, autentifikačný server a pod.).

517

518

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}4.1.1 Prehľad koncových služieb – budúci stav: ===

519

520

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

521

522

523

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.1.2Jazykovápodporaalokalizácia"/}}4.1.2 Jazyková podpora a lokalizácia ===

524

525

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

526

527

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2Aplikačnávrstva"/}}4.2 Aplikačná vrstva ==

528

529

Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:

530

531

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.1Požiadavkynajednotlivékomponenty"/}}4.2.1 Požiadavky na jednotlivé komponenty ===

532

533

Požiadavky na jednotlivé aplikačné komponenty pre vyššie uvedené aplikačné služby sú nasledovné:

534

535

==== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.1.1Riadenieaktívarizík"/}}4.2.1.1 Riadenie aktív a rizík ====

536

537

Informačný systém pre identifikáciu a riadenie rizík musí spĺňať tieto funkčných vlastnosti:

538

539

* správa aktív – vedenie zoznamu aktív subjektu, vrátane ich vlastníkov

540

* správa zraniteľností – vedenie zoznamu rozpoznaných zraniteľností, vrátane ich vlastníkov

541

* správa hrozieb – vedenie zoznamu rozpoznaných hrozieb

542

* správa opatrení – vedenie zoznamu opatrení potrebných na potlačenie zraniteľností

543

* správa vzťahov – evidencia rozpoznaných vzťahov medzi aktívami a zraniteľnosťami

544

* správa rizík – identifikácia a ohodnotenie rizík na základe pravdepodobností hrozieb, uplatňovaných opatrení a dopadov na subjekt,

545

* semikvantitatívna prípadne kvantitatívna metóda hodnotenia významnosti rizík, • číselné ohodnotenie pravdepodobnosti hrozieb a účinnosti opatrení,

546

* významnosť rizík vyjadrená číselne a následne kategorizovaná.

547

548

Užívateľské rozhranie a výstupy musia spĺňať tieto požiadavky:

549

550

- pre interakciu s používateľom musí byť k dispozícií webové rozhranie bez špeciálnych nárokov na webový prehliadač v plnej podpore slovenského jazyka,

551

552

- výstupy musia byť realizované vo forme prehľadov a zostáv vo formáte PDF vyhotovené v slovenskom jazyku vrátane šablón a komentárov,

553

554

- softvér musí umožňovať riadiť prístup užívateľov k obsahu rizikovej analýzy.

555

556

Správa používateľov musí umožňovať:

557

558

- evidenciu používateľov, oprávnených pristupovať k subjektom a identifikovať resp. manažovať ich riziká,

559

560

- širokú integráciu na existujúce systémy správy používateľov,

561

562

- prideľovanie rolí oprávneným používateľom s rôznym stupňom oprávnení.

563

564

565

IS pre identifikáciu a riadenie rizík musí byť umožňovať vykonávať revízie a aktualizáciu rizikovej analýzy, riadiť riziká, aktíva, zraniteľnosti a hrozby systémom, ktorý dokumentuje históriu a je auditovateľný. Verejný objednávateľ požaduje informačný systém typu klient – server nasadený u verejného obstarávateľa na jeho serveri bez závislosti na cloudových službách, aktualizáciách cez internet a inom komerčnom programovom vybavení okrem operačného systému.

566

567

Požiadavky na výkon činností manažéra pre riadenie rizík prostredníctvom IS pre identifikáciu a riadenie rizík:

568

569

* tvorba analýz rizík podľa potreby a požiadaviek verejného obstarávateľa,

570

* pravidelné hodnotenie a ošetrovanie rizík,

571

* tvorba plánu eliminácie rizík,

572

* správa aktív a ich vlastníkov,

573

* dohľad nad riadením rizík.

**~ **

Kontinuita činností musí zadefinovať scenáre rôznych udalostí, ktoré potencionálne môžu mať negatívny vplyv na bežné činnosti organizácie ako sú napríklad:

578

579

* náhla nedostupnosť personálu či nepoužiteľnosť pracoviska/budovy,

580

* nedostupnosť technologickej infraštruktúry či potrebných médií,

581

* incident či živelná katastrofa.

582

583

V rámci kontinuity činností musia byť stanovené požiadavky na zdroje (adekvátne finančné, materiálno-technické a personálne zdroje), ktoré budú potrebné na implementáciu vybraných stratégií kontinuity činností. V zmysle požiadaviek zákona o kybernetickej bezpečnosti sa musí určiť čo má byť:

584

585

* hlavným cieľom plánu kontinuity s ohľadom na riadenie incidentov v prípade katastrofy alebo iného rušivého incidentu a ako sa obnovia činnosti v stanovených termínoch,

586

* strategickým imperatívom procesu riadenia kontinuitu s ohľadom na predchádzanie ďalším stratám.

587

588

Súčasťou kontinuity činností musí byť vypracovanie analýzy funkčných dopadov a kvalifikácia potencionálnych dopadov a straty v prípade prerušenia alebo narušenia prevádzky u všetkých procesov organizácie. Požiadavkou analýzy funkčného dopadu musí byť určenie:

589

590

* cieľovej doby obnovy jednotlivých procesov, siete a informačných systémov a aplikácií, a to najmä určením doby obnovy prevádzky, po uplynutí ktorej je po kybernetickom bezpečnostnom incidente obnovená najnižšia úroveň poskytovania základných služieb,

591

* cieľového bodu obnovy jednotlivých procesov, siete a informačných systémov základnej služby, a to najmä určením najnižšej úrovne poskytovania služieb, ktorá je dostatočná na používanie, prevádzku a správu siete a informačného systému a zachovanie kontinuity základnej služby.

592

593

Kontinuitou musia byť zavedené postupy zálohovania na obnovy siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu obsahujúce najmenej:

594

595

1. a) frekvenciu a rozsah zdokumentovania a schvaľovania obnovy záloh,

596

1. b) určenie osoby zodpovednej za zálohovanie,

597

1. c) časový interval, identifikáciu rozsahu údajov, zadefinovanie dátového média zálohovania a zabezpečenie vedenia dokumentácie o zálohovaní,

598

1. d) umiestnenie záloh v zabezpečenom prostredí s riadeným prístupom,

599

1. e) zabezpečenie šifrovania záloh obsahujúcich aktíva klasifikačného stupňa chránené a prísne chránené,

600

1. f) vykonávanie pravidelného preverenia záloh na základe vypracovaného plánu, testovanie obnovy záloh a precvičovanie zavedených krízových plánov najmenej raz ročne.

601

602

Kontinuita činností musí obsahovať minimálne:

603

604

* plán kontinuity na stanovenie požiadaviek a zdrojov,

605

* plán reakcie na incidenty a plány havarijnej obnovy prevádzky,

606

* politiku a ciele kontinuity,

607

* analýzu funkčných dopadov,

608

* stratégiu riadenia kontinuity vrátane evakuačných postupov,

609

* plán údržby a kontroly BCMS.

610

611

Požiadavky na výkon činností manažéra pre riadenie kontinuity činností:

612

613

1. a) riadenie incidentov v prípade katastrofy alebo rušivého incidentu,

614

1. b) realizácia a výkon interných auditov a analýz dopadov,

615

1. c) precvičovanie zavedených krízových plánov,

616

1. d) aktualizácia plánov reakcie na incidenty a plánov obnovy po katastrofe,

617

1. e) návrh opatrení riadenia kontinuity,

618

1. f) monitorovanie zariadení podstatných pre prípadný vznik incidentu.

619

620

Analýza dopadov musí:

621

622

- identifikovať rôzne kategórie procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti,

623

624

- určiť potenciálne dôsledky (škody/straty) pri rôznych dobách trvania kritických situácií,

625

626

- stanoviť maximálne akceptovateľné doby prerušenia (MTO),

627

628

- stanoviť minimálne ciele kontinuity podnikania (MBCO),

629

630

- určiť cieľové časy obnovy (RTO) a cieľové body obnovy (RPO),

631

632

* identifikovať potenciálne dopady vyplývajúce z možného prerušenia činností a stanoviť výšku:

633

* funkčných dopadov,

634

* finančných dopadov,

635

* dopadov spôsobených stratou údajov a dokumentov.

636

* identifikovať zdroje a prostriedky na obnovu procesov so zásadným vplyvom na kontinuitu činností organizácie na základe hodnoty RTO procesu v min. tomto typovom rozsahu zdrojov:

637

* ľudia,

638

* aplikácie / databázy,

639

* údaje uložené v elektronickej podobe (nezahrnuté v aplikáciách a databázach),

640

* údaje uložené na papierovom médiu,

641

* IT a komunikačné zariadenia,

642

* komunikačné kanály,

643

* ostatné vybavenie,

644

* vybavenie a infraštruktúra,

645

* pracovný kapitál.

646

647

**Záverečná správa, ako výstup z analýzy dopadov musí obsahovať:**

648

649

* prehľad vykonávaných činností, ktorý bude obsahovať názov činnosti, jej vymedzenie, vlastníka, MTO a MBCO,

650

* zoznam procesov, ktorý bude (ak to je možné) obsahovať názov procesu, druh procesu, vlastníka procesu, RTO a RPO procesu (údaje, na základe ktorých bolo stanovené príslušné RTO a RPO budú taktiež súčasťou správy),

651

* špecifikácie nevyhnutných zdrojov a prostriedkov pre zabezpečenie kontinuity činností.

652

653

Pri analýze dopadov je potrebné identifikovať:

654

655

* kritické obdobie,

656

* množstvo práce vykonanej v kritickom období,

657

* minimálne prijateľné množstvo práce vykonávanej bezprostredne po krízovej situácii,

658

* či môže definovaný typ krízovej situácie spôsobiť prerušenie procesu.

659

660

Pričom kritickým obdobím až krízovou situáciou môže byť:

661

662

* nedostupnosť informačných technológií a/alebo dát,

663

* nedostupnosť prevádzkových priestorov,

664

* nedostupnosť kritickej časti ľudských zdrojov – zamestnancov,

665

* zlyhanie kľúčového externého dodávateľa služieb.

666

667

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.2Rozsahinformačnýchsystémov–ASIS"/}}4.2.2 Rozsah informačných systémov – AS IS ===

668

669

Implementované bezpečnostné riešenia sa budú dotýkať najmä zvýšenia ochrany a bezpečnosti nasledovných IS:

670

671

|(((

672

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

687

688

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

)))|(((

Promis

)))|(((

☐

)))|(((

Vyberte jednu z možností

698

)))|(((

699

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Tomocon

)))|(((

☐

)))|(((

Vyberte jednu z možností

711

)))|(((

712

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Tomocon Go

)))|(((

☐

)))|(((

Vyberte jednu z možností

724

)))|(((

725

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Tomocon Camera

)))|(((

☐

)))|(((

Vyberte jednu z možností

737

)))|(((

738

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

T3C

)))|(((

☐

)))|(((

Vyberte jednu z možností

750

)))|(((

751

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Pharmay HITT

)))|(((

☐

)))|(((

Vyberte jednu z možností

763

)))|(((

764

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

VEMA

)))|(((

☐

)))|(((

Vyberte jednu z možností

776

)))|(((

777

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Admis

)))|(((

☐

)))|(((

Vyberte jednu z možností

789

)))|(((

790

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

eLab(nadstavba na NIS)

)))|(((

☐

)))|(((

Vyberte jednu z možností

802

)))|(((

803

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

intranet

)))|(((

☐

)))|(((

Vyberte jednu z možností

815

)))|(((

816

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Attendance

)))|(((

☐

)))|(((

Vyberte jednu z možností

828

)))|(((

829

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Unifi Video kamery

)))|(((

☐

)))|(((

Vyberte jednu z možností

841

)))|(((

842

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

WISP majetok

)))|(((

☐

)))|(((

Vyberte jednu z možností

854

)))|(((

855

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

PROMYS

)))|(((

☐

)))|(((

Vyberte jednu z možností

867

)))|(((

868

Vyberte jednu z možností

)))|(((

)))

Čiastočne a okrajovo sa implementované bezpečnostné opatrenia a riešenia budú dotýkať aj nasledovných infraštruktúrnych a podporných IS, ktoré ale nie sú ISVS:

874

875

(% class="relative-table" style="width:59.7466%" %)

876

|(((

877

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

892

893

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

)))|(((

Active directory

)))|(((

☒

)))|(((

Vyberte jednu z možností

903

)))|(((

904

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Webové sídlo

)))|(((

☒

)))|(((

Vyberte jednu z možností

916

)))|(((

917

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

E-mailové služby

)))|(((

☒

)))|(((

Vyberte jednu z možností

929

)))|(((

930

Vyberte jednu z možností

)))|(((

)))

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.3Rozsahinformačnýchsystémov–TOBE"/}}4.2.3 Rozsah informačných systémov – TO BE// // ===

936

937

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

938

939

940

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.4VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}4.2.4 Využívanie nadrezortných a spoločných ISVS – AS IS ===

941

942

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

943

944

945

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.5PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}4.2.5 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE ===

946

947

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

948

949

950

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.6PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}4.2.6 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===

951

952

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

953

954

955

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.7Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}4.2.7 Aplikačné služby pre realizáciu koncových služieb – TO BE ===

956

957

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

958

959

960

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.8Aplikačnéslužbynaintegráciu–TOBE"/}}4.2.8 Aplikačné služby na integráciu – TO BE ===

961

962

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

963

964

965

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.9PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}4.2.9 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===

966

967

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

968

969

970

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.10KonzumovanieúdajovzISCSRU–TOBE"/}}4.2.10 Konzumovanie údajov z IS CSRU – TO BE ===

971

972

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

973

974

975

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.3Dátovávrstva"/}}4.3 Dátová vrstva ==

976

977

Z pohľadu dátového modelu nejde o typické biznis (agendové) dáta ale o dáta typu:

978

979

* Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. – ako výstupy aktivity projektu určené pre ďalšie riadenie rozvoja KIB v sektore zdravotníctva,

980

* bezpečnostné konfigurácie a bezpečnostné dáta (napr. logy) – pre fungovanie jednotlivých bezpečnostných komponentov.

981

982

Dátové objekty uvedené v aplikačnej architektúre zároveň predstavujú aj konkrétne dáta, čiže dátový model, ktorý bude predmetom tohto projektu.

983

984

Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. sú určené pre proces riadenia KIB.

985

986

Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie bezpečnostných modulov, t.j. jednotlivé komponenty tohto navrhovaného riešenia a zároveň reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov.

987

988

Súčasťou riešenia budú detailné analytické, diagnostické a detekčno-bezpečnostné práce nad všetkými existujúcimi koncovými zariadeniami z pohľadu vykonania detailného preverenia, analýzy a diagnostiky týchto zariadení na prípadnú prítomnosť infekcie malvérom a v prípade jeho identifikácie aj spoľahlivé a bezpečné odstránenie tak, aby následne mohla byť na tieto zariadenia nasadená rozšírená a najmä funkčná AV a EDR/XDR ochrana.

989

990

V rámci tejto vrstvy sa požaduje rozšírenie licencií existujúceho AV riešenia (ESET) na všetky koncové stanice a servery a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Požaduje sa dodanie riešenia na prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, šifrovanie celých diskov, správu zraniteľností a patchov aplikácií tretích strán, ochranu poštových serverov/mailboxov, ochranu cloudového prostredia Microsoft365/Google Workspace a možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení podľa voľby SPU NR za účelom povýšenia kybernetickej bezpečnosti. Riešenie poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou, a ktorá zahŕňa funkcie, ako napr. detekcia incidentov v reálnom čase, manažment a reakcia na incidenty, zozbieravanie údajov, detekcia indikátorov ohrozenia, detekcia anomálií, detekcia správania, detekcia porušenia pravidiel atď.

991

992

Súčasťou dodávky musí byť aj konzola / systém na správu celého riešenia.

993

994

Detailné požiadavky na riešenie:

995

996

* Podporované klientske platformy OS - min. Windows, Linux, MacOS, Android, všetko v slovenskom alebo českom jazyku Natívna podpora architektúr pre platformy Windows a MacOS: x86, x64, ARM64

997

* Antimalware, antiransomware, antispyware a anti-phishing na aktívnu ochranu pred všetkými typmi hrozieb

998

* Personálny firewall pre zabránenie neautorizovanému prístupu k zariadeniu so schopnosťou automatického prebratia pravidiel z brány Windows Firewall.

999

* Modul pre ochranu operačného systému a elimináciu aktivít ohrozujúcich bezpečnosť zariadenia s možnosťou definovať pravidlá pre systémové registre, procesy, aplikácie a súbory

1000

* Ochrana pred neautorizovanou zmenou nastavenia / vyradenie z prevádzky / odinštalovaním antimalware riešení a kritických nastavení a súborov operačného systému

1001

* Aktívna aj pasívna heuristická analýza pre detekciu doposiaľ neznámych hrozieb

1002

* Systém na blokáciu exploitov zneužívajúcich zero-day zraniteľností, ktorý pokrýva najpoužívanejšie vektory útoku: min. sieťové protokoly, Flash Player, Java, Microsoft Office, webové prehliadače, e-mailových klientov, PDF čítačky

1003

* Systém na detekciu malwaru už na sieťovej úrovni poskytujúci ochranu aj pred zneužitím zraniteľností na sieťovej vrstve

1004

* Kontrola šifrovaných spojení (SSL, TLS, HTTPS, IMAPS…).

1005

* Anti-phishing so schopnosťou detekcie homoglyph útokov

1006

* Kontrola RAM pamäte pre lepšiu detekciu malwaru využívajúcu silnú obfuskáciu a šifrovanie

1007

* Cloud kontrola súborov pre urýchlenie skenovania fungujúce na základe reputácie súborov.

1008

* Kontrola súborov v priebehu sťahovania pre zníženie celkového času kontroly

1009

* Kontrola súborov pri zapisovaní na disku a extrahovaní archivačných súborov

1010

* Detekcia s využitím strojového učenia

1011

* Funkcia ochrany proti zapojeniu do botnetu pracujúcej s detekciou sieťových signatúr

1012

* Ochrana pred sieťovými útokmi skenujúca sieťovú komunikáciu a blokujúca pokusy o zneužitie zraniteľností na sieťovej úrovni

1013

* Kontrola s podporou cloudu pre odosielanie a online vyhodnocovanie neznámych a potenciálne škodlivých aplikácií.

1014

* Lokálny sandbox

1015

* Modul behaviorálnej analýzy pre detekciu správania nových typov ransomwaru

1016

* Systém reputácie pre získanie informácií o závadnosti súborov a URL adries

1017

* Cloudový systém na detekciu nového malwaru ešte nezaneseného v aktualizáciách signatúr

1018

* "Technológia na detekciu rootktitov obvykle sa maskujúcich za súčasti operačného systému."

1019

* Skener firmvéru BIOSu a UEFI

1020

* Skenovanie súborov v cloude OneDrive

1021

* Funkcionalita pre MS Windows v min. rozsahu: Antimalware, Antispyware, Personal Firewall, Personal IPS, Application Control, Device control, Security Memory (zabraňuje útokom na bežiace aplikácie), kontrola integrity systémových komponentov

1022

* Funkcionalita pre k MacOS v min. rozsahu- Personal Firewall, Device control, autoupgrade

1023

* Možnosť aplikovania bezpečnostných politík aj v offline režime na základe definovaných podmienok

1024

* Ochrana proti pokročilým hrozbám (APT) a 0-day zraniteľnostiam

1025

* Podpora automatického vytvárania dump súborov na stanici na základe nálezov

1026

* Okamžité blokovanie/mazanie napadnutých súborov na stanici (s možnosťou stiahnutia administrátorom na ďalšiu analýzu)

1027

* Duálny aktualizačný profil pre možnosť sťahovania aktualizácií z mirroru v lokálnej sieti a zároveň vzdialených serverov pri nedostupnosti lokálneho mirroru (pre cestujúcich používateľov s notebookmi).

1028

* Možnosť definovať webové stránky, ktoré sa spustia v chránenom režime prehliadača, pre bezpečnú prácu s kritickými systémami alebo internetovým bankovníctvo

1029

* Aktívne ochrany pred útokmi hrubou silou na protokol SMB a RDP

1030

* Možnosť zablokovania konkrétnej IP adresy po sérii neúspešných pokusov o prihlásenie pre protokoly SMB a RDP s možnosťou výnimiek vo vnútorných sieťach

1031

* Automatické aktualizácie bezpečnostného softvéru s možnosťou odloženia reštartu stanice.

1032

* "Zmrazenie“ na požadovanej verzii – produkt je možné nakonfigurovať tak, aby nedochádzalo k automatickému povyšovaniu majoritných a minoritných verzií najmä na staniciach, kde sa vyžaduje vysoká stabilita

1033

1034

Integrovaná cloudová analýza neznámych vzoriek:

1035

1036

* Funkcia cloudového sandboxu je integrovaná do produktu pre koncové a serverové zariadenia, tzn. Cloudový sandbox nemá vlastného agenta, nevyžaduje inštaláciu ďalšie komponenty či už v rámci produktu alebo implementácie HW prvku do siete

1037

* Sandbox umožňujúci spustenie vzoriek malwaru pre: • Windows • Linux

1038

* Možnosť využitia na koncových bodoch a serveroch pre aktívnu detekciu škodlivých súborov

1039

* Analýza neznámych vzoriek v rade jednotiek minút

1040

* Optimalizácia pre znemožnenie obídenia anti-sandbox mechanizmy

1041

* Schopnosť analýzy rootkitov a ransomvéru

1042

* Schopnosť detekcie a zastavenie zneužitia alebo pokusu o zneužitie zero day zraniteľnosti

1043

* Riešenie pracuje s behaviorálnou analýzou

1044

* Kompletný výsledok o zanalyzovanom súbore vrátane informácie o nájdenom i nenájdenom škodlivom správaní daného súboru

1045

* Manuálne odoslanie vzorky do sandboxu

1046

* Možnosť proaktívnej ochrany, kedy je potenciálna hrozba blokovaná, pokiaľ nie je známy výsledok analýzy zo sandboxu

1047

* Neobmedzené množstvo odosielaných súborov

1048

* Všetka komunikácia prebieha šifrovaným kanálom

1049

* Okamžité odstránenie súboru po dokončení analýzy v cloudovom sandboxe

1050

* Možnosť voľby, aké kategórie súborov do cloudového sandboxu budú odchádzať (spustiteľné súbory, archívy, skripty, pravdepodobný spam, dokumenty atp.)

1051

* Veľkosť odoslaných súborov do cloudového sandboxu môže dosahovať až 64MB

1052

* Výsledky analyzovaných súborov sú dostupné a automatizovane distribuované všetkým serverom a staniciam naprieč organizáciou, tak aby nedochádzalo k duplicitnému testovaniu

1053

1054

Šifrovanie celých diskov:

1055

1056

* Podpora platforiem Windows a MacOS

1057

* Správa cez jednotný centrálny manažment

1058

* Unikátna technológia pre platformu Windows (nevyužíva sa BitLocker)

1059

* Podpora Pre-Boot autentizácia

1060

* Podpora TMP modulu

1061

* Podpora Opal samošifrovacích diskov

1062

* Možnosť definovať: počet chybne zadaných pokusov, zložitosť a dĺžku autentizačného hesla

1063

* Možnosť obmedziť platnosť autentizačného hesla

1064

* Podpora okamžitého zmazania šifrovacieho kľúča a následné uzamknutie počítača

1065

* Recovery z centrálnej konzoly

XDR riešenie:

* Možnosť prevádzky centrálneho servera v cloude alebo on-premise na platforme Windows Server.

1070

* Webová konzola pre správu a vyhodnotenie.

1071

* Možnosť prevádzky s databázami: Microsoft SQL, MySQL.

1072

* Možnosť prevádzky v offline prostredí.

1073

* Autonómne správanie so schopnosťou vyhodnotiť podozrivú/ škodlivú aktivitu a zareagovať na ňu aj bez aktuálne dostupného riadiaceho servera alebo internetového pripojenia.

1074

* Logovanie činností administrátora (tzv. Audit Log).

1075

* Podpora EDR pre systémy Windows, Windows server, MacOS a Linux.

1076

* Možnosť autentizácie do manažmentu EDR pomocou 2FA.

1077

* Možnosť riadenia manažmentu EDR prostredníctvom API, a to ako pre:

1078

** prijímanie informácií z EDR serverov

1079

** aj zasielanie príkazov na EDR servery.

1080

* Integrovaný nástroj v EDR riešení pre vzdialené zasielanie príkazov priamo z konzoly.

1081

* Možnosť izolácie zariadenia od siete.

1082

* Možnosť tvorby vlastných loC.

1083

* Možnosť škálovania množstva historických dát vyhodnotených v EDR min. 3 mesiace pre raw-data a min. 3 roky pre detegované incidenty.

1084

* „Učiaci režim" pre automatizované vytváranie výnimiek k detekčným pravidlám.

1085

* Indikátory útoku pracujúce s behaviorálnou detekciou.

1086

* Indikátory útoku pracujúce s reputáciou.

1087

* Riešenie umožňuje analýzu vektorov útoku.

1088

* Schopnosť detekcie: min. škodlivých spustiteľných súborov: skriptov, exploitov, rootkitov, sieťových útokov, zneužitie WMI nástrojov, bez-súborového malwaru, škodlivých systémových ovládačov / kernel modulov, pokusov o dump prihlasovacích údajov užívateľa.

1089

* Schopnosť detegovať laterálny pohyb útočníka.

1090

* Analýza procesov, všetkých spustiteľných súborov a DLL knižníc.

1091

* Náhľad na spustené skripty použité pri detegovanej udalosti.

1092

* Možnosť zabezpečeného vzdialeného spojenia cez servery výrobcu do konzoly EDR.

1093

* Schopnosť automatizovaného response úkonu pre jednotlivé detekčné pravidlá v podobe: izolácia stanice, blokácia hash súboru, blokácia a vyčistenie siete od konkrétneho súboru, ukončení procesu, reštart počítača, vypnutie počítača.

1094

* Možnosť automatického vyriešenia incidentu administrátorom.

1095

* Prioritizácia vzniknutých incidentov.

1096

* Možnosť stiahnutia spustiteľných súborov zo staníc pre bližšiu analýzu vo formáte archívu opatreným heslom.

1097

* Integrácia a zobrazenie detekcií vykonaných antimalware produktom.

1098

* Riešenie je schopné generovať tzv. forest/full execution tree model.

1099

* Vyhľadávanie pomocou novo vytvorených loC nad historickými dátami.

1100

* Previazanie s technikami popísanými v knowledge base MITRE ATT&CK.

1101

* Integrovaný vyhľadávač VirusTotal s možnosťou rozšírenia o vlastné vyhľadávače.

1102

1103

Management konzola pre správu všetkých riešení v rámci ponúkaného balíka v rozsahu:

1104

1105

* Možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení

1106

* Webová konzola

1107

* Možnosť inštalácie na Windows aj Linux

1108

* Predpripravená virtual appliance pre virtuálne prostredie VMware, Microsoft Hyper-V a Microsoft Azure, Oracle Virtual Box

1109

* Server/proxy architektúra pre sieťovú pružnosť – zníženie záťaže pri sťahovaní aktualizácií detekčných modulov výrobcu

1110

* Možnosť prebudenia klientov pomocou Wake On Lan

1111

* Vzdialené vypnutie, reštart počítača alebo odhlásenie všetkých užívateľov

1112

* Možnosť konfigurácie virtual appliance cez užívateľsky prívetivé webové rozhranie Webmin

1113

* Nezávislí manažment agent pre platformy Windows, Linux a MacOS

1114

* Management agent pre architektúry na platformy Windows a MacOS: x86, x64, ARM64

1115

* Nezávislý agent (pracuje aj offline) vzdialenej správy pre zabezpečenie komunikácie a ovládania operačného systému verejného obstarávateľa

1116

* Offline uplatňovanie politík a spúšťanie úloh pri výskyte definovanej udalosti (napríklad: odpojenie od siete pri nájdení škodlivého kódu).

1117

* Administrácia v najpoužívanejších jazykoch vrátane slovenčiny

1118

* Široké možnosti konfigurácie oprávnení administrátorov (napríklad možnosť správy iba časti infraštruktúry, ktoré konkrétnemu administrátorovi podlieha)

1119

* Zabezpečenie prístupu administrátorov do vzdialenej správy pomocou 2FA

1120

* Podpora štítkov/tagovania pre jednoduchšiu správu a vyhľadávanie

1121

* Správa karantény s možnosťou vzdialeného vymazania / obnovenia / obnovenia a vylúčenia objektu z detekcie

1122

* Vzdialené získanie zachyteného škodlivého súboru

1123

* Detekcia nespravovaných (rizikových) počítačov komunikujúcich na sieti.

1124

* Podpora pre inštalácie a odinštalácie aplikácií 3.strán

1125

* Vyčítanie informácií o verziách softvéru 3. strán

1126

* Možnosť vyčítať informácie o hardvéri na spravovaných zariadeniach (CPU, RAM, diskové jednotky, grafické karty…).

1127

* Možnosť vyčítať sériové číslo zariadenia

1128

* Možnosť vyčítať voľné miesto na disku

1129

* Detekcia aktívneho šifrovania BitLocker na spravovanej stanici

1130

* Zobrazenie časovej informácie o poslednom boote stanice

1131

* Odoslanie správy na počítač / mobilné zariadenie, ktoré sa následne zobrazí užívateľovi na obrazovke

1132

* Vzdialené odinštalovanie antivírusového riešenia 3. strany

1133

* Vzdialené spustenie akéhokoľvek príkazu na cieľovej stanici pomocou Príkazového riadka

1134

* Dynamické skupiny pre možnosť definovania podmienok, za ktorých dôjde k automatickému zaradeniu klienta do požadovanej skupiny a automatickému uplatneniu klientskej úlohy

1135

* Automatické zasielanie upozornení pri dosiahnutí definovaného počtu alebo percent ovplyvnených klientov (napríklad: 5 % všetkých počítačov / 50 klientov hlási problémy)

1136

* Podpora SNMP Trap, Syslogu a qRadar SIEM

1137

* Podpora formátov pre Syslog správy: CEF, JSON, LEEF

1138

* Podpora inštalácie skriptom - *.bat, *.sh, *.ini (GPO, SSCM…).

1139

* Rýchle pripojenie na klienta pomocou RDP z konzoly pre vzdialenú správu.

1140

* Reportovanie stavu klientov chránených inými bezpečnostnými programami.

1141

* Schopnosť zaslať reporty a upozornenia na e-mail

1142

* Konzola podporuje multidoménové prostredie (schopnosť pracovať s viacerými AD štruktúrami)

1143

* Konzola podporuje multitenantné prostredie (schopnosť v jednej konzole spravovať viac počítačových štruktúr)

1144

* Podpora VDI prostredia (Citrix, VMware, SCCM, apod)

1145

* Podpora klonovania počítačov pomocou golden image

1146

* Podpora inštanciách klonov

1147

* Podpora obnovy identity počítača pre VDI prostredie na základe FQDN

1148

* Možnosť definovať viacero menných vzorov klonovaných počítačov pre VDI prostredie

1149

* Pridanie zariadenia do vzdialenej správy pomocou: synchronizácia s Active Directory, ručné pridanie pomocou podľa IP adresy alebo názvu zariadenia, pomocou sieťového skenu nechránených zariadení v sieti, Import cez csv súbor

1150

1151

Správa zraniteľností a patchov aplikácií tretích strán:

1152

1153

* Automatizované kontroly podľa vlastného harmonogramu na základe prispôsobiteľných pravidiel

1154

* Filtrovanie, zoskupovanie a triedenie zraniteľností podľa ich závažnosti

1155

* Možnosť manuálnych alebo automatických opráv

1156

* Prispôsobiteľné politiky záplat

1157

* Podpora multitenant v komplexných sieťových prostrediach - prehľad zraniteľností v konkrétnych častiach organizácie

1158

* Databáza zraniteľností, CVSS 2.0 a CVSS 3.1

1159

1160

Ochrana poštových serverov/mailboxov:

1161

1162

* Komplexná vrstva ochrany na úrovni servera s cieľom zabrániť prieniku spamu a malvéru do e‑mailových schránok používateľov

1163

* Antimalvér, antispam, anti‑phishing, ochrana hostiteľských serverov, ochrana založená na strojovom učení

* Správa karantény

* Podpora klastrov

Ochrana cloudového prostredia Microsoft365/Google Workspace

1168

1169

* Pokročilá ochrana pre aplikácie služby Microsoft 365 prostredníctvom ľahko použiteľnej cloudovej konzoly

1170

* Filtrovanie spamu, antimalvérová kontrola, anti‑phishing a cloudový sandboxing

1171

* Ochrana cloudových úložísk

1172

1173

Nástroj na 2-faktorovú autentifikáciu:

1174

1175

* Jednoduché overovanie pre používateľov jedným ťuknutím

1176

* Overovanie cez Push notifikácie

1177

* Podpora existujúcich tokenov a hardvérových kľúčov a smartfónov

1178

* Overovanie pri prístupe k VPN, RDP a Outlooku, webové aplikácie

1179

* Riešenie bez programátorského zásahu musí mať integráciu: HOTP, alebo na HMAC- založené jednorázové heslá one-time password (OTP), Audit používateľov v denníku. (úspešné, neúspešne pokusy o overenie).

1180

1181

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.4Technologickávrstva"/}}4.4 Technologická vrstva ==

1182

1183

1184

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.4.1Prehľadtechnologickéhostavu-ASIS"/}}4.4.1 Prehľad technologického stavu - AS IS ===

1185

1186

[[image:attach:image-2024-7-24_9-19-39-1.png||height="250"]]

1187

1188

1189

Sieťová infraštruktúra je komplexná a pozostáva z viacerých segmentov, ktoré sú prepojené rôznymi typmi sieťových zariadení. Hlavné prvky siete zahŕňajú core switche, access switche, firewally a rôzne typy serverov. Hlavné core switche, umiestnené v sreverovni 2 je ústredným bodom siete, ktorý prepája všetky hlavné racky a serverovne. Tieto redudantné switche sú zodpovedné za riadenie vysokorýchlostného prenosu dát medzi jednotlivými časťami siete v dvoch smeroch a sú pospájané medzi sebou cez rôzne časti budovy.

1190

1191

1192

**Návrh infraštruktúry do záložného dátového centra:**

1193

1194

* Servre – 2 ks 1U serverov DELL R660xs pre zabezpečenie dostatočného výkonu a redundancie. Servery budú prevádzkovane v backup DC, aby v prípade výpadku jedného zo záložných serverov bolo možné prevádzkovať nevyhnutnú aplikačnú infraštruktúru. Záložné servre sú zrkadlom hlavných serverov v hlavnej serverovni

1195

* Storage – 1 ks 2U DELL ME4024 All-Flash s kobinaciou SSD diskov a HDD diskov pre dostatočný výkon celej backup infraštruktúry a pre dostatočnú kapacitu najmä pre systém PACS. Tento storage je možné do budúcna rozširovať až do 9 extension políc s ďalšími diskami.

1196

* Virtualizačný SW – 32 (2 servre po 16 cores) CPU licencie VMware vSphere Standard s licenciou management vCenter server appliance – Virtualizácia bude zabezpečovať plynulý bezvýpadkovy (HA) chod všetkých virtuálnych serverov s možnosťou automatickej migrácie medzi fyzickými servermi.

1197

* Backup SW – navrhovaný je Backup SW Acronis ktorý dokáže zálohovať, replikovať na storage, NAS, tape library a má jednoduché licencovanie – 1 licencia na 1 fyzicky server s VMware – tzn. potrebujeme 2 ks licencii. Acronis ktorý bude zálohovať aj na disky NAS a pásky LTO8 v tape library podľa backup plánu.

1198

* Server bude napájaný pomocou APC Smart-UPS SRT 3000VA RM 230V Network Card + externý battery pack APC Smart-UPS SRT 96V 3kVA RM Battery Pack a bude obsahovať aj 19“ rackovou skriňou pre infraštruktúru

1199

* Súčasťou didávky je monitorovací notebook DELL Latitude 5540 i5-1345U 15.6" FHD 16GB 512GB SSD Iris Xe IrCam Thb FPR SCR Win11Pro 3Y ProSpt OS

1200

* Zálohovanie dát bude realizovane dvojúrovňovo - na existujúci NAS QNAP s kapacitou 12 x 8TB diskov a s možnosťou ďalšieho rozširovania kapacity pridaním extension police

1201

* Serverové licencie Windows Server Datacenter 2022 za účelom prevádzkovania virtuálnych serverov, keďže jedna licencia slúži na 1 fyzicky server.

1202

* Licencia na monitoring celého IT prostredia: 1000 senzorov PRTG Network Monitor – sleduje Servre-VMware hosty, storage, NAS, Cisco switche, aplikačné servre, firewall, VPN, WiFi, koncove zariadenia.

1203

1204

**Segmentácia stávajúcej LAN siete a zavedenie autentifikácie**

**~ **

**~ a)Segmentácia siete a zavedenie 802.1x – Ochrana pred kybernetickými útokmi z LAN siete**

1209

1210

1211

Autentizácia prístupu k portom pomocou protokolu IEEE 802.1x je základ dnes populárnej technológie nazvanej Network Access Control (NAC), Network Admission Control (NAC) alebo Network Access Protection (NAP), ktoré riadia prístup zariadenia k sieti.

1212

1213

Výhodou tohto riešenia je, že sa prístup kontroluje pred vstupom do siete, teda priamo na porte (access switch), do ktorého je zariadenie pripojené. Princíp spočíva v tom, že port na switchy je zablokovaný (nepovoľuje žiadnu komunikáciu) do tej doby, než sa pripojené zariadenie úspešne autentizuje. Pri tejto metóde je možné využiť aj rady ďalších vlastností, napríklad dynamické zaraďovanie do VLAN či zaradenie portu do hosťovskej VLANy, pokiaľ nedôjde k autentifikácii. Administrátori si tak môžu zabezpečiť prístupy do svojej siete a chrániť ju.

Protokol IEEE 802.1x

Ide o štandard pre kontrolu prístupu do siete založenú na porte ( Port-based Network Access Control). Je založený na Extensible Authentication Protocol (EAP) RFC 3748. Používa sa na novších switchoch vyššej triedy (väčšina dnešných Cisco switchov) alebo pre bezdrôtové siete (prístupové body AP). V LAN sieťach sa jedná o fyzickú bezpečnosť na linkovej vrstve (2. vrstva ISO / OSI).

1219

1220

V tejto súvislosti je potrebné v Nemocnici vymeniť CORE switche zapojené v stacku za nové, čím sa naplní ochrana siete najnovšími sieťovými protokolmi a umožní dlhodobú udržateľnosť riešenia.

1221

1222

Fungovanie IEEE 802.1X - ak je port v neautorizovanom stave (unauthorized), tak neprijíma od klienta (označuje sa ako supplicant ) žiadnu komunikáciu mimo 802.1x prevádzky (presnejšie, na porte je povolené Extensible Authentication Protocol over LAN – EAPOL , CDP, Spanning Tree Protocol). Nasleduje fáza autentizácie, ktorú authenticator (väčšinou switch) odovzdáva autentizačnému serveru (väčšinou RADIUS (napr. v prostredí Nemocnice on Premise)).

1223

1224

Pokiaľ dôjde k úspešnej autentizáciu, tak sa port prepne do autorizovaného stavu (authorized), kedy je normálne funkčný. Klient sa môže odhlásiť, potom sa port opäť prepne do neautorizovaného stavu. Zakaždým, keď sa stav linky zmení z down na up, tak port začína pracovať v neautorizovanom stave.

1225

1226

1227

[[image:attach:image-2024-7-24_9-22-26-1.png||height="250"]]

1228

1229

Navrhovaná segmentácia siete s ohľadom na zavedenie protokolu IEEE 802.1x

1230

1231

1232

#10 - Brezno (Centrála)

#20 - Brusno

#30 - Bystrá

#40 - Maša

#50 - Huta

VLAN meno VLAN subnet (subnet-y) DHCP VLAN VLAN subnet Poznámka

1244

1245

10 konfig novych zariadení 192.168.0.0/23 DHCP 10 192.168.0.0/23

1246

1247

11 SERVERY 10.10.0.0/24 11 10.10.11.0/24

1248

1249

20 VVN 20 10.10.20.0/24

1250

1251

30 DMZ_OUT 10.30.0.0/24 30 10.10.30.0/24

1252

1253

31 DMZ_IN 10.30.10.0/24 31 10.10.31.0/24

1254

1255

32 ZZS Brusno PC 10.0.32.0/24 DHCP 210 10.20.210.0/24

1256

1257

33 ZZS Bystrá PC 10.0.33.0/24 DHCP 210 10.30.210.0/24

1258

1259

34 ZZS Maša PC 10.0.34.0/24 DHCP 210 10.40.210.0/24

1260

1261

35 ZZS M. Huta PC 10.0.35.0/24 DHCP 210 10.50.210.0/24

1262

1263

39 ZZS Brezno PC 10.0.39.0/24 DHCP 210 10.10.210.0/24

1264

1265

40 VoIP 172.16.2.0/22 DHCP 40 172.16.0.0/22

1266

1267

41 VoIP pre ZZS 172.16.0.0/24 DHCP 41 172.16.4.0/24

1268

1269

54 VLAN0054 54 Zrušiť

1270

1271

55 VLAN0055 55 Zrušiť

1272

1273

58 SWITCH_MGMT 10.10.58.0 58 10.10.58.0

1274

1275

68 IT_MGMT 10.10.68.0/24 DHCP 68 10.10.68.0/24

1276

1277

69 WIFI_MGMT 10.10.69.0/24 DHCP 69 10.10.69.0/24

1278

1279

79 VPN_WAN_BACKUP 79 Cisco, FGT - MPLS backup

1280

1281

80 INET_VOIP_BACKUP 80 Cisco - WAN INET backup

1282

1283

100 parkovaci system 10.10.100.0/24 DHCP 100 10.10.100.0/24

1284

1285

101 MaR kotolna 10.10.101.0/24 DHCP 101 10.10.101.0/24

1286

1287

102 dochadzkovy system 10.10.102.0/24 DHCP 102 10.10.102.0/24

1288

1289

103 pristupovy system 10.10.103.0/24 DHCP 103 10.10.103.0/24

1290

1291

104 kamerovy system 10.10.104.0/24 DHCP 104 10.10.104.0/24

1292

1293

105 sestersky system 10.10.105.0/24 DHCP 105 10.10.105.0/24

1294

1295

109 INET_DATA_BACKUP 109 FortiGate - Internet_Backup

1296

1297

132 Brusno WiFi zabezp 10.1.32.0/24 DHCP 220 10.20.220.0/24

1298

1299

133 Bystrá WiFi zabezp 10.1.33.0/24 DHCP 220 10.30.220.0/24

1300

1301

134 Maša WiFi zabezp 10.1.34.0/24 DHCP 220 10.40.220.0/24

1302

1303

135 M. Huta WiFi zabezp 10.1.35.0/24 DHCP 220 10.50.220.0/24

1304

1305

139 Brezno Wifi zabezp 10.1.39.0/24 DHCP 220 10.10.220.0/24

1306

1307

232 Brusno WiFi free 10.2.32.0/24 DHCP 230 10.20.230.0/24

1308

1309

233 Bystrá WiFi free 10.2.33.0/24 DHCP 230 10.30.230.0/24

1310

1311

234 Maša WiFi free 10.2.34.0/24 DHCP 230 10.40.230.0/24

1312

1313

235 M. Huta WiFi free 10.2.35.0/24 DHCP 230 10.50.230.0/24

1314

1315

240 Brezno Wifi free 10.2.40.0./21 DHCP 230 10.10.230.0./21

1316

1317

301 TCOM_BACKUP 301 Zrušiť

1318

1319

410 TCOM_BACKUP_2 410 Zrušiť

1320

1321

500 THP0 10.50.0.0/24 DHCP 150 10.10.150.0/24

1322

1323

501 THP1 10.50.1.0/24 DHCP 151 10.10.151.0/24

1324

1325

502 THP2 10.50.2.0/24 DHCP 152 10.10.152.0/24

1326

1327

503 THP3 10.50.3.0/24 DHCP 153 10.10.153.0/24

1328

1329

504 THP4 10.50.4.0/24 DHCP 154 10.10.154.0/24

1330

1331

505 THP5 10.50.5.0/24 DHCP 155 10.10.155.0/24

1332

1333

506 THP6 10.50.6.0/24 DHCP 156 10.10.156.0/24

1334

1335

507 THP7 10.50.7.0/24 DHCP 157 10.10.157.0/24

1336

1337

508 THP8 10.50.8.0/24 DHCP 158 10.10.158.0/24

1338

1339

509 THP9 10.50.9.0/24 DHCP 159 10.10.159.0/24

1340

1341

600 AMB0 10.60.0.0/24 DHCP 160 10.10.160.0/24

1342

1343

601 AMB1 10.60.1.0/24 DHCP 161 10.10.161.0/24

1344

1345

602 AMB2 10.60.2.0/24 DHCP 162 10.10.162.0/24

1346

1347

603 AMB3 10.60.3.0/24 DHCP 163 10.10.163.0/24

1348

1349

604 AMB4 10.60.4.0/24 DHCP 164 10.10.164.0/24

1350

1351

605 AMB5 10.60.5.0/24 DHCP 165 10.10.165.0/24

1352

1353

606 AMB6 10.60.6.0/24 DHCP 166 10.10.166.0/24

1354

1355

607 AMB7 10.60.7.0/24 DHCP 167 10.10.167.0/24

1356

1357

608 AMB8 10.60.8.0/24 DHCP 168 10.10.168.0/24

1358

1359

609 AMB9 10.60.9.0/24 DHCP 169 10.10.169.0/24

1360

1361

700 Lôžka1 10.70.0.0/24 DHCP 170 10.10.170.0/24

1362

1363

701 Lôžka2 10.70.1.0/24 DHCP 171 10.10.171.0/24

1364

1365

702 Lôžka3 10.70.2.0/24 DHCP 172 10.10.172.0/24

1366

1367

703 Lôžka4 10.70.3.0/24 DHCP 173 10.10.173.0/24

1368

1369

704 Lôžka5 10.70.4.0/24 DHCP 174 10.10.174.0/24

1370

1371

705 Lôžka6 10.70.5.0/24 DHCP 175 10.10.175.0/24

1372

1373

706 Lôžka7 10.70.6.0/24 DHCP 176 10.10.176.0/24

1374

1375

707 Lôžka8 10.70.7.0/24 DHCP 177 10.10.177.0/24

1376

1377

708 Lôžka9 10.70.8.0/24 DHCP 178 10.10.178.0/24

1378

1379

709 Lôžka10 10.70.9.0/24 DHCP 179 10.10.179.0/24

1380

1381

800 SVaLZ0 10.80.0.0/24 DHCP 180 10.10.180.0/24

1382

1383

801 SvaLZ1 10.80.1.0/24 DHCP 181 10.10.181.0/24

1384

1385

802 SVaLZ2 10.80.2.0/24 DHCP 182 10.10.182.0/24

1386

1387

803 SVaLZ3 10.80.3.0/24 DHCP 183 10.10.183.0/24

1388

1389

804 SVaLZ4 10.80.4.0/24 DHCP 184 10.10.184.0/24

1390

1391

805 SVaLZ5 10.80.5.0/24 DHCP 185 10.10.185.0/24

1392

1393

806 SVaLZ6 10.80.6.0/24 DHCP 186 10.10.186.0/24

1394

1395

807 SVaLZ7 10.80.7.0/24 DHCP 187 10.10.187.0/24

1396

1397

808 SVaLZ8 10.80.8.0/24 DHCP 188 10.10.188.0/24

1398

1399

809 SVaLZ9 10.80.9.0/24 DHCP 189 10.10.189.0/24

1400

1401

900 sukromnici0 10.90.0.0/24 DHCP 190 10.10.190.0/24

1402

1403

901 sukromnici1 10.90.1.0/24 DHCP 191 10.10.191.0/24

1404

1405

902 sukromnici2 10.90.2.0/24 DHCP 192 10.10.192.0/24

1406

1407

903 sukromnici3 10.90.3.0/24 DHCP 193 10.10.193.0/24

1408

1409

904 sukromnici4 10.90.4.0/24 DHCP 194 10.10.194.0/24

1410

1411

905 sukromnici5 10.90.5.0/24 DHCP 195 10.10.195.0/24

1412

1413

906 sukromnici6 10.90.6.0/24 DHCP 196 10.10.196.0/24

1414

1415

907 sukromnici7 10.90.7.0/24 DHCP 197 10.10.197.0/24

1416

1417

908 sukromnici8 10.90.8.0/24 DHCP 198 10.10.198.0/24

1418

1419

909 sukromnici9 10.90.9.0./24 DHCP 199 10.10.199.0/24

1420

1421

910 CENTR_LAN_TO_VPN 910 Pobočky

1422

1423

991 NICOTA 991 Zrušiť

1424

1425

1002 fddi-default 1002 Cisco default

1426

1427

1003 token-ring-default 1003 Cisco default

1428

1429

1004 fddinet-default 1004 Cisco default

1430

1431

1005 trnet-default 1005 Cisco default

1432

1433

1200 IPTV ??? DHCP 1200 10.200.0.0/24

1434

1435

4054 DOCASNE_SW_MGMT 4054 Naše účely

1436

1437

1438

**~ b) Vytvorenie dvojfaktoru pre VPN užívateľov**

1439

1440

1441

Vzhľadom na zraniteľnosť VPN siete cez prihlasovanie koncových zriadení odporúčame využívať dvojfaktorovú autentifikáciu pre koncové zariadenia pripájajúcich na diaľku do VPN siete Nemocnice.

1442

1443

Navrhované riešenie je na báze Fortinet – FortiToken, keďže nemocnica využíva služby Fortigate-u.

1444

1445

1446

Prihlasovanie sa iba pomocou hesla nezastaví šikovných útočníkov pred vstupom do siete či aplikácie. Autentifikácia iba heslom viedla v mnohých prípadoch k prelomeniu bezpečnosti, infikovaniu malvérom a porušeniu zásad a politík. Oveľa vyššie zabezpečenie poskytuje „viacfaktorová autentifikácia“ (MFA = multi-factor authentication) - konkrétne napr. použitie hesla súčasne s jednorazovým bezpečnostným tokenom (kódom), ktorý bude overený cez autentifikačný server (ním môže byť FortiGate alebo vo väčších nasadeniach FortiAuthenticator). Autorizovaní zamestnanci tak môžu pristupovať k firemným zdrojom bezpečne, využitím škály „overovacích“ zariadení od mobilov až po PC.

1447

1448

FortiToken Mobile je aplikácia pre iOS, Android, Windows Phone a Windows, ktorá slúži ako hardvérový token, ale využíva hardvér, ktorý už väčšina používateľov vlastní - mobilný telefón, prípadne PC. Aplikácia môže byť navyše chránená aj pomocou TouchID/FaceID.

1449

1450

FortiToken Mobile prináša flexibilne škálovateľné riešenie s nízkymi pravidelnými a vstupnými nákladmi (aj vďaka možnosti využiť existujúci FortiGate ako autentifikačný server).

1451

1452

(v individuálnych prípadoch je možné obstarať aj HW FortiTokeny, viď. obrázok)

1453

1454

Viac info: [[https:~~/~~/www.fortinet.com/content/dam/fortinet/assets/data-sheets/fortitoken.pdf>>url:https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/fortitoken.pdf||shape="rect"]]

1455

1456

1457

Dvojfaktorová / viacfaktorová autentifikácia všeobecne vzniká kombináciou nasledujúcich faktorov (napr. heslo a token) :

1458

1459

* niečo, čo človek vie (heslo, PIN, ...)

1460

* niečo, čo človek má (kľúč, token, platobná karta,...) resp. čím sa vyznačuje (otlačok prsta, face recognition, dúhovka oka, ...)

1461

1462

FortiToken (MFA) spĺňa nasledovné § kyberzákona (č. 69/2018 Z. z.):

1463

1464

* 10 Riadenie bezpečnosti sietí a informačných systémov, riadenie prístupov

1465

* 12 Overovanie identity používateľa v rámci siete a informačného systému, riadenie prístupov

1466

1467

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.4.2Požiadavkynavýkonnostnéparametre,kapacitnépožiadavky–TOBE"/}}4.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE ===

1468

1469

Predpokladané výkonnostné parametre a kapacitné požiadavky sú, tam kde je to relevantné, uvedené v popise aplikačnej architektúry jednotlivých aplikačných funkcií a aplikačných modulov.

1470

1471

1472

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.4.3Návrhriešeniatechnologickejarchitektúry"/}}4.4.3 Návrh riešenia technologickej architektúry ===

1473

1474

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

1475

1476

1477

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.4.4Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}4.4.4 Využívanie služieb z katalógu služieb vládneho cloudu ===

1478

1479

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

1480

1481

1482

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.5Bezpečnostnáarchitektúra"/}}4.5 Bezpečnostná architektúra ==

1483

1484

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia.

1485

1486

1487

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-5.ZávislostinaostatnéISVS/projekty"/}}5. Závislosti na ostatné ISVS / projekty =

1488

1489

Závislostí na iné projekty neboli identifikované.

**~ **

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-6.Zdrojovékódy"/}}6. Zdrojové kódy =

1494

1495

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

1496

1497

Riešenie nepredpokladá vývoj softvéru, ale použitie komerčných bezpečnostných produktov a zariadení.

1498

1499

1500

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.Prevádzkaaúdržba"/}}7. Prevádzka a údržba// // =

1501

1502

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.1Prevádzkovépožiadavky"/}}7.1 Prevádzkové požiadavky ==

1503

1504

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.1.1Úrovnepodporypoužívateľov"/}}7.1.1 Úrovne podpory používateľov ===

1505

1506

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.// //

1507

1508

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.1.2Riešenieincidentov–SLAparametre"/}}7.1.2 Riešenie incidentov – SLA parametre ===

1509

1510

Označenie naliehavosti incidentu:

1511

1512

|(((

1513

Označenie naliehavosti incidentu

)))|(((

Závažnosť incidentu

)))|(((

Popis naliehavosti incidentu

)))

|(((

A

)))|(((

Kritická

)))|(((

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

)))

|(((

B

)))|(((

Vysoká

)))|(((

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.

)))

|(((

C

)))|(((

Stredná

)))|(((

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

)))

|(((

D

)))|(((

Nízka

)))|(((

Kozmetické a drobné chyby.

)))

možný dopad:

(% class="relative-table" style="width:66.5205%" %)

1551

|(((

1552

Označenie závažnosti incidentu

)))|(((

Dopad

)))|(((

Popis dopadu

)))

|(((

1

)))|(((

katastrofický

)))|(((

katastrofický dopad, priamy finančný dopad alebo strata dát,

)))

|(((

2

)))|(((

značný

)))|(((

značný dopad alebo strata dát

)))

|(((

3

)))|(((

malý

)))|(((

malý dopad alebo strata dát

1580

)))

1581

1582

Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

1583

1584

(% class="relative-table" style="width:66.4717%" %)

1585

|(% colspan="2" rowspan="2" %)(((

1586

Matica priority incidentov

1587

)))|(% colspan="3" %)(((

Dopad

)))

|(((

Katastrofický - 1

)))|(((

Značný - 2

)))|(((

Malý - 3

)))

|(% rowspan="4" %)(((

**Naliehavosť**

)))|(((

**Kritická - A**

)))|(((

1

)))|(((

2

)))|(((

3

)))

|(((

**Vysoká - B**

)))|(((

2

)))|(((

3

)))|(((

3

)))

|(((

**Stredná - C**

)))|(((

2

)))|(((

3

)))|(((

4

)))

|(((

**Nízka - D**

)))|(((

3

)))|(((

4

)))|(((

4

)))

Vyžadované reakčné doby:

1637

1638

(% class="relative-table" style="width:66.6667%" %)

1639

|(((

1640

Označenie priority incidentu

1641

)))|(((

1642

Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu

1643

)))|(((

1644

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^

)))|(((

Spoľahlivosť ^^(3)^^

(počet incidentov za mesiac)

)))

|(((

1

)))|(((

0,5 hod.

)))|(((

4 hodín

)))|(((

1

)))

|(((

2

)))|(((

1 hod.

)))|(((

12 hodín

)))|(((

2

)))

|(((

3

)))|(((

1 hod.

)))|(((

24 hodín

)))|(((

10

)))

|(((

4

)))|(((

1 hod.

)))|(% colspan="2" %)(((

1682

Vyriešené a nasadené v rámci plánovaných releasov

1683

)))

1684

1685

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.2PožadovanádostupnosťIS:"/}}7.2 Požadovaná dostupnosť IS: ==

1686

1687

(% class="relative-table" style="width:66.8129%" %)

|(((

Popis

)))|(((

Parameter

)))|(((

Poznámka

)))

|(((

**Prevádzkové hodiny**

)))|(((

24 hodín

)))|(((

Od 7:00 do 15:00 je hlavný pracovný čas

1701

)))

1702

|(% rowspan="2" %)(((

**Servisné okno**

)))|(((

16 hodín

)))|(((

od 15:00 hod. - do 7:00 hod. počas pracovných dní

)))

|(((

24 hodín

)))|(((

od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov

1713

1714

Servis a údržba sa bude realizovať podľa potreby v ohlásenom čase.

1715

)))

1716

|(((

1717

**Dostupnosť produkčného prostredia IS**

)))|(((

98,5%

)))|(((

98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod.

1722

1723

Maximálny mesačný výpadok je 5,5 hodiny.

1724

1725

Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

1726

1727

Nedostupnosť IS sa počíta od nahlásenia incidentu Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

1728

1729

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

1730

)))

1731

1732

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.2.1Dostupnosť(Availability)"/}}7.2.1 Dostupnosť (Availability)** ** ===

1733

1734

Požadovaná dostupnosť pre aktivity projektu:

1735

1736

Požadovaná dostupnosť pre nasledovné aktivity projektu:

1737

1738

* **99,9% ("tri deviatky") dostupnosť** znamená výpadok 8,76 hodín.

1739

1740

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.2.2RTO(RecoveryTimeObjective)"/}}7.2.2 RTO (Recovery Time Objective) ===

1741

1742

//Zavedenie aktivít~://

1743

1744

1. **Nákupom hardvéru a softvéru na vytvorenie záložných kapacít IS**

1745

1. **Dokončenie segmentácie VLAN, vytvorenie 802.1x a zavedenie dvojfaktorovej autentifikácie pre VPN užívateľov**

1746

1. **Nákupom softvéru EDR/XDR na detekciu škodlivého kódu a softvéru na riadenie rizík RiA**

1747

1. **Služieb na vypracovanie kontinuity činností, analýzu dopadov, manažéra riadenia rizík a manažéra riadenia kontinuity**

1748

1749

//si budú vyžadovať tretí stupeň, t.j. rýchlu obnovu.//

1750

1751

**//RTO pre tieto aktivity je definované na 24 hodín//**//.//

1752

1753

1754

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.2.3RPO(RecoveryPointObjective)"/}}7.2.3 RPO (Recovery Point Objective) ===

1755

1756

//Nasledovné aktivity~://

1757

1758

1. **Nákupom hardvéru a softvéru na vytvorenie záložných kapacít IS**

1759

1. **Dokončenie segmentácie VLAN, vytvorenie 802.1x a zavedenie dvojfaktorovej autentifikácie pre VPN užívateľov**

1760

1. **Nákupom softvéru EDR/XDR na detekciu škodlivého kódu a softvéru na riadenie rizík RiA**

1761

1. **Služieb na vypracovanie kontinuity činností, analýzu dopadov, manažéra riadenia rizík a manažéra riadenia kontinuity**

1762

1763

//si budú vyžadovať len tradičné zálohovanie, avšak **RPO pre tieto aktivity je definované na 24 hodín**.//

1764

1765

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-8.Požiadavkynapersonál"/}}8. Požiadavky na personál =

1766

1767

Pracovníci oddelenia informatiky.

1768

1769

1770

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-9.Implementáciaapreberanievýstupovprojektu"/}}9. Implementácia a preberanie výstupov projektu =

1771

1772

V projekte neprebieha vývoj/implementácia.

// //

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-10.Prílohy"/}}10. Prílohy =

Wiki zdrojový kód pre projekt_2695_Pristup_k_projektu_ramcovy

Aplikácie

Navigácia

Moje posledné úpravy

Need help?