Vzor pre manažérsky výstup I-03 podľa vyhlášky MIRRI č. 401/2023 Z. z.
Povinná osoba
Nemocnica s poliklinikou Brezno, n.o.
Názov projektu
Podpora v oblasti kybernetickej a informačnej bezpečnosti v NsP Brezno
Zodpovedná osoba za projekt
Ing. Ján Jagerčík
Realizátor projektu
Nemocnica s poliklinikou Brezno, n.o.
Vlastník projektu
Nemocnica s poliklinikou Brezno, n.o.
Schvaľovanie dokumentu
Položka
Meno a priezvisko
Organizácia
Pracovná pozícia
Dátum
Podpis
(alebo elektronický súhlas)
Vypracoval
Ing. Ján Jagerčík
Nemocnica s poliklinikou Brezno, n.o.
Ved. odd. IT a projektový manažér
23.7..2024
1. História dokumentu
Verzia
Dátum
Zmeny
Meno
0.1
05.06.2024
Pracovný návrh
1.0
23.07.2024
Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.
2. Účel dokumentu
V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.
Účelom dokumentu je rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti a zabezpečiť súlad so zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej ako “zákon o ITVS”) a č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti Governance kybernetickej bezpečnosti.
Jedná sa o prístup k projektu vo výzve "Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia". Z väčšej časti sa dokument odvoláva na projektový zámer I-02.
2.1 Použité skratky a pojmy
SKRATKA/POJEM
POPIS
AR
Analýza rizík
BCM
Riadenie kontinuity činností (Business Continuity Management)
BIA
Analýza dopadov (Business Impact Assessment)
KIB
Kybernetická a informačná bezpečnosť
KyB / KB
Kybernetická bezpečnosť
RPO
Cieľový bod obnovy (Recovery Point Objective)
RTO
Cieľový čas obnovy (Recovery Time Objective)
IS
Informačný systém
VPN
Virtuálna privátna sieť (Virtual Private Network)
3. Popis navrhovaného riešenia
Aktuálna situácia v oblasti informačnej a kybernetickej bezpečnosti (ďalej ako “KIB”) v NsP Brezno n.o. nie je ideálna, nakoľko nemáme implementované všetky riešenia a opatrenia kybernetickej bezpečnosti pre zvýšenie úrovne informačnej a kybernetickej bezpečnosti.
Z externého pohľadu sa zvyšuje frekvencia a závažnosť útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov. Realizácia projektu zabezpečí zlepšenie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností, kapacít a spôsobilostí pre plnenie úloh v oblasti KIB.
Z vykonaného auditu NsP Brezno vykonaného v januári 2024 spoločnosťou Kompetenčné a certifikačné centrum kybernetickej bezpečnosti zriadeného Národným bezpečnostným úradom boli zistené určité nedostatky v kybernetickej bezpečnosti, predovšetkým:
Nie sú vytvorené záložné kapacity IS pre zabezpečenie kontinuity prevádzky - potreba vybudovania záložnej serverovne s potrebným hardvérom a softvérom
Nie je dokončená segmentácie počítačovej siete
Nie je zavedená dvojfaktorovej autentifikácie pre prístupy cez VPN
Nie je zavedené riadenie rizík KB
Nie je zaznamenávanie udalostí, monitorovanie a riešenie KB incidentov
Nie je implementovaný centrálny nástroj na detegovanie zraniteľností a vyhodnocovanie záznamov
Nedostatky v bezpečnostnej dokumentácii na základe požiadaviek audítora a implementovanie realizácie
Predmetom projektu je realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti, v nadväznosti na výsledky auditu organizácie, čo chceme naplniť nasledujúcimi hlavnými aktivitami:
Nákupom hardvéru a softvéru na vytvorenie záložných kapacít IS
Dokončenie segmentácie VLAN, vytvorenie 802.1x a zavedenie dvojfaktorovej autentifikácie pre VPN užívateľov
Nákupom softvéru EDR/XDR na detekciu škodlivého kódu a softvéru na riadenie rizík RiA
Služieb na vypracovanie kontinuity činností, analýzu dopadov, manažéra riadenia rizík a manažéra riadenia kontinuity
V nadväznosti na hlavné aktivity sú aj podaktivity zamerané na kybernetickú bezpečnosť:
Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia KIB:
aktualizácia stratégie kybernetickej bezpečnosti,
aktualizácia bezpečnostnej politiky kybernetickej bezpečnosti,
vytvorenie / aktualizácia ďalších interných smerníc a politík pre všetky relevantné oblasti riadenia KIB (najmä smernica pre používateľov
ohľadom IB, BCM politika, riadenie bezpečnosti v prevádzke IT a pod.).
Analytické aktivity:
aktualizácia identifikácie a evidencie informačných aktív,
detailná klasifikácia informácií a kategorizácia IS a sietí,
analýza rizík a analýza dopadov (AR/BIA) aj so zapojením vlastníkov aktív,
zavedenie procesu formálneho rozhodovania ohľadom riadenia identifikovaných rizík,
na základe výsledkov AR/BIA zadefinovanie stratégie obnovy pre jednotlivé IS,
aktualizácia plánu zálohovania podľa výsledkov AR/BIA,
identifikácia zdrojov log súborov potrebných pre komplexné vyhodnocovanie bezpečnostných udalostí, analýza štruktúry log súborov, návrh optimálneho zberu log súborov, návrh optimálneho uchovávanie log súborov pre potreby forenznej analýzy,
Implementačné aktivity bezpečnostných riešení:
zavedenie nástroja na udržiavanie aktív a aktualizáciu AR/BIA a zaškolenie administrátorov NsP Brezno
dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie bezpečnostného riešenia pre ochranu kritických infraštruktúrnych prvkov (serverov) voči zraniteľnostiam – implementácia funkcionality „virtual patching“ pre tzv. „legacy“ systémy, naktoré už nie sú vydávané bezpečnostné záplaty a ochrany voči tzv. „zero-day“ zraniteľnostiam a zaškolenie administrátorov NsP Brezno,
s integrovaným centrálnym log manažmentom pre účely agentského aj bez-agentského zberu logov zo systémov, sieťových zariadení a koncových staníc, spoločne s funkcionalitami XDR (Extended detection and response), ABA (Attacker Behavior Analytics),
UBA (User Behavior Analytics), NTA (Network Traffic Analysis), FAAM (File Access Activity Monitoring), FIM (File Integrity Monitoring),
Deception Technology (Honey Pots/User/File/Credential) pre zabezpečenie komplexného monitoringu a možnosti vyhodnocovania
bezpečnostných udalostí vrátane zaškolenia administrátorov NsP Brezno,
dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie MFA na všetky VPN pripojenia a na prístup
„power users“ k správe IS a zaškolenie administrátorov NsP Brezno
dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie interného nástroja na skenovanie zraniteľností (vulnerability scaner) s možnosťou previazania a plnej kompatibility so SIEM riešením, pre testovanie interných systémov, pracovných staníc, sieťovej infraštruktúry a rovnako aj IP adries NsP Brezno dostupných zo siete internet, vrátane zaškolenia administrátorov NsP Brezno,
dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie interného nástroja na bezpečnostné testovanie
vykonanie nasledovných bezpečnostných testovaní:
vulnerability test (scan) interných systémov, pracovných staníc, sieťovej infraštruktúry,
pre-financovanie aktualizácie inventarizácie aktív, klasifikácie IS a analýzy rizík tesne pred ukončením projektu po úspešnej
implementácii vyššie uvedených bezpečnostných riešení.
Celková žiadaná výška ŽoNFP je 298 953,12 EUR.
4. Architektúra riešenia projektu
Hlavnou aktivitou projektu je zvýšenie úrovne KIB, aby NsP Brezno bola lepšie pripravená čeliť interným a externým hrozbám v oblasti kybernetickej bezpečnosti. Na rozdiel od súčasného stavu bude disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého prostredia, ako aj ochranu dát.
Medzi hlavné ciele systému riadenia KIB patria:
zabezpečenie správnej a bezpečnej prevádzky prostriedkov spracúvajúcich informácie,
monitorovanie prostredia,
evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu.
Na rozdiel od súčasného stavu bude NsP Brezno disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého prostredia, ako aj ochranu dát.
Navrhovaný projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia" súvisí najmä s naplnením povinností:
definovanými v zákone č. 69/2018 Z. z. Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB") a v
zákone č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS"),
opatreniami definovanými v § 20 zákona o KB,
nutnosť zvýšenia úrovne a schopnosti zabezpečovať a riadiť informačnú a kybernetickú bezpečnosť vzhľadom na sústavne sa zvyšujúce hrozby a riziká,
zabezpečenie realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti,
ako reakcia na aktuálny nedostatočný stav úrovne vyspelosti procesov riadenia KIB,
ako reakcia na aktuálne zmeny v používaní IT, ako aj závažné útoky v oblasti kybernetickej bezpečnosti.
Projekt rieši nasledovné špecifické problémy v oblasti kybernetickej bezpečnosti:
Nová legislatíva v oblasti KIB je náročne implementovateľná bez značných investícií a najmä bez potrebných expertných ľudských zdrojov.
Absencia fundovaných ľudí, ale aj vzorov, návodov, metodických usmernení a inštrukcií.
NsP Brezno nemá vykonanú detailnú inventarizáciu informačných aktív, klasifikáciu a kategorizáciu IS a sietí, analýzu rizík a analýzu dopadov, zabezpečený formalizovaný a opakovaný proces riadenia identifikovaných rizík (ich mitigácie), ktoré sú nevyhnutným a nutným predpokladom pre efektívne riadenie KIB a ďalší rozvoj v tejto oblasti, inventarizáciu aktív a riadenie rizík vykonávajú zväčša neformalizovaným spôsobom bez IKT podpory.
Nie je zadefinovaný dizajn bezpečnostných opatrení pre jednotlivé klasifikačné stupne a kategórie IS a chýba aj základná sada zákonom o KB požadovanej dokumentácie a základných interných smerníc pre niektoré oblasti riadenia KIB.
Implementácia projektu bude prebiehať v rámci oprávneného typu akcie: Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy a zdravotníckych zariadení v nasledovných krokoch:
Hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
Návrh infraštruktúry do záložného dátového centra:
Servre – 2 ks 1U serverov DELL R660xs pre zabezpečenie dostatočného výkonu a redundancie. Servery budú prevádzkovane v backup DC, aby v prípade výpadku jedného zo záložných serverov bolo možné prevádzkovať nevyhnutnú aplikačnú infraštruktúru. Záložné servre sú zrkadlom hlavných serverov v hlavnej serverovni
Storage – 1 ks 2U DELL ME4024 All-Flash s kobinaciou SSD diskov a HDD diskov pre dostatočný výkon celej backup infraštruktúry a pre dostatočnú kapacitu najmä pre systém PACS. Tento storage je možné do budúcna rozširovať až do 9 extension políc s ďalšími diskami.
Virtualizačný SW – 32 (2 servre po 16 cores) CPU licencie VMware vSphere Standard s licenciou management vCenter server appliance – Virtualizácia bude zabezpečovať plynulý bezvýpadkovy (HA) chod všetkých virtuálnych serverov s možnosťou automatickej migrácie medzi fyzickými servermi.
Backup SW – navrhovaný je Backup SW Acronis ktorý dokáže zálohovať, replikovať na storage, NAS, tape library a má jednoduché licencovanie – 1 licencia na 1 fyzicky server s VMware – tzn. potrebujeme 2 ks licencii. Acronis ktorý bude zálohovať aj na disky NAS a pásky LTO8 v tape library podľa backup plánu.
Server bude napájaný pomocou APC Smart-UPS SRT 3000VA RM 230V Network Card + externý battery pack APC Smart-UPS SRT 96V 3kVA RM Battery Pack a bude obsahovať aj 19“ rackovou skriňou pre infraštruktúru
Súčasťou dodávky je monitorovací notebook DELL Latitude 5540 i5-1345U 15.6" FHD 16GB 512GB SSD Iris Xe IrCam Thb FPR SCR Win11Pro 3Y ProSpt OS
Zálohovanie dát bude realizovane dvojúrovňovo - na existujúci NAS QNAP s kapacitou 12 x 8TB diskov a s možnosťou ďalšieho rozširovania kapacity pridaním extension police
Serverové licencie Windows Server Datacenter 2022 za účelom prevádzkovania virtuálnych serverov, keďže jedna licencia slúži na 1 fyzicky server.
2. Segmentácia stávajúcej LAN siete a zavedenie autentifikácie
a) Segmentácia siete a zavedenie 802.1x – Ochrana pred kybernetickými útokmi z LAN siete
Autentizácia prístupu k portom pomocou protokolu IEEE 802.1x je základ dnes populárnej technológie nazvanej Network Access Control (NAC), Network Admission Control (NAC) alebo Network Access Protection (NAP), ktoré riadia prístup zariadenia k sieti.
Výhodou tohto riešenia je, že sa prístup kontroluje pred vstupom do siete, teda priamo na porte (access switch), do ktorého je zariadenie pripojené. Princíp spočíva v tom, že port na switchy je zablokovaný (nepovoľuje žiadnu komunikáciu) do tej doby, než sa pripojené zariadenie úspešne autentizuje. Pri tejto metóde je možné využiť aj rady ďalších vlastností, napríklad dynamické zaraďovanie do VLAN či zaradenie portu do hosťovskej VLANy, pokiaľ nedôjde k autentifikácii. Administrátori si tak môžu zabezpečiť prístupy do svojej siete a chrániť ju.
b) Vytvorenie dvojfaktoru pre VPN užívateľov
Vzhľadom na zraniteľnosť VPN siete cez prihlasovanie koncových zriadení odporúčame využívať dvojfaktorovú autentifikáciu pre koncové zariadenia pripájajúcich na diaľku do VPN siete Nemocnice.
Navrhované riešenie je na báze Fortinet – FortiToken, keďže nemocnica využíva služby Fortigate-u.
3. a) Softvér EDR/XDR
Súčasťou riešenia budú detailné analytické, diagnostické a detekčno-bezpečnostné práce nad všetkými existujúcimi koncovými zariadeniami z pohľadu vykonania detailného preverenia, analýzy a diagnostiky týchto zariadení na prípadnú prítomnosť infekcie malvérom a v prípade jeho identifikácie aj spoľahlivé a bezpečné odstránenie tak, aby následne mohla byť na tieto zariadenia nasadená rozšírená a najmä funkčná AV a EDR/XDR ochrana.
V rámci tejto aktivity sa požaduje rozšírenie licencií existujúceho AV riešenia (ESET) na všetky koncové stanice a servery a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Požaduje sa dodanie riešenia na prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, šifrovanie celých diskov, správu zraniteľností a patchov aplikácií tretích strán, ochranu poštových serverov/mailboxov, ochranu cloudového prostredia Microsoft365/Google Workspace a možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení podľa voľby SPU NR za účelom povýšenia kybernetickej bezpečnosti. Riešenie poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou, a ktorá zahŕňa funkcie, ako napr. detekcia incidentov v reálnom čase, manažment a reakcia na incidenty, zozbieravanie údajov, detekcia indikátorov ohrozenia, detekcia anomálií, detekcia správania, detekcia porušenia pravidiel atď.
Súčasťou dodávky musí byť aj konzola / systém na správu celého riešenia.
b) Nasadenie informačného systému pre identifikáciu a riadenie rizík v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§6) v rovine riadenia, revízie a aktualizácie potrebnej dokumentácie
Informačný systém pre identifikáciu a riadenie rizík musí spĺňať tieto funkčných vlastnosti:
správa aktív – vedenie zoznamu aktív subjektu, vrátane ich vlastníkov
správa zraniteľností – vedenie zoznamu rozpoznaných zraniteľností, vrátane ich vlastníkov
správa hrozieb – vedenie zoznamu rozpoznaných hrozieb
správa opatrení – vedenie zoznamu opatrení potrebných na potlačenie zraniteľností
správa vzťahov – evidencia rozpoznaných vzťahov medzi aktívami a zraniteľnosťami
správa rizík – identifikácia a ohodnotenie rizík na základe pravdepodobností hrozieb, uplatňovaných opatrení a dopadov na subjekt,
semikvantitatívna prípadne kvantitatívna metóda hodnotenia významnosti rizík, • číselné ohodnotenie pravdepodobnosti hrozieb a účinnosti opatrení,
významnosť rizík vyjadrená číselne a následne kategorizovaná.
4. a) Vypracovanie kontinuity činností v zmysle ZoKB – riadenie kontinuity činností (BCM) v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17)
Kontinuita činností musí zadefinovať scenáre rôznych udalostí, ktoré potencionálne môžu mať negatívny vplyv na bežné činnosti organizácie ako sú napríklad:
náhla nedostupnosť personálu či nepoužiteľnosť pracoviska/budovy,
nedostupnosť technologickej infraštruktúry či potrebných médií,
incident či živelná katastrofa.
V rámci kontinuity činností musia byť stanovené požiadavky na zdroje (adekvátne finančné, materiálno-technické a personálne zdroje), ktoré budú potrebné na implementáciu vybraných stratégií kontinuity činností. V zmysle požiadaviek zákona o kybernetickej bezpečnosti sa musí určiť čo má byť:
hlavným cieľom plánu kontinuity s ohľadom na riadenie incidentov v prípade katastrofy alebo iného rušivého incidentu a ako sa obnovia činnosti v stanovených termínoch,
b) Požiadavky na analýzu dopadov
Analýza dopadov musí:
- identifikovať rôzne kategórie procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti,
- určiť potenciálne dôsledky (škody/straty) pri rôznych dobách trvania kritických situácií,
- stanoviť maximálne akceptovateľné doby prerušenia (MTO),
- stanoviť minimálne ciele kontinuity podnikania (MBCO),
- určiť cieľové časy obnovy (RTO) a cieľové body obnovy (RPO),
identifikovať potenciálne dopady vyplývajúce z možného prerušenia činností a stanoviť výšku:
funkčných dopadov,
finančných dopadov,
dopadov spôsobených stratou údajov a dokumentov.
identifikovať zdroje a prostriedky na obnovu procesov so zásadným vplyvom na kontinuitu činností organizácie na základe hodnoty RTO procesu v min. tomto typovom rozsahu zdrojov:
ľudia,
aplikácie / databázy,
údaje uložené v elektronickej podobe (nezahrnuté v aplikáciách a databázach),
údaje uložené na papierovom médiu,
IT a komunikačné zariadenia,
komunikačné kanály,
ostatné vybavenie,
vybavenie a infraštruktúra,
pracovný kapitál.
Záverečná správa, ako výstup z analýzy dopadov musí obsahovať:
prehľad vykonávaných činností, ktorý bude obsahovať názov činnosti, jej vymedzenie, vlastníka, MTO a MBCO,
zoznam procesov, ktorý bude (ak to je možné) obsahovať názov procesu, druh procesu, vlastníka procesu, RTO a RPO procesu (údaje, na základe ktorých bolo stanovené príslušné RTO a RPO budú taktiež súčasťou správy),
špecifikácie nevyhnutných zdrojov a prostriedkov pre zabezpečenie kontinuity činností.
Pri analýze dopadov je potrebné identifikovať:
kritické obdobie,
množstvo práce vykonanej v kritickom období,
minimálne prijateľné množstvo práce vykonávanej bezprostredne po krízovej situácii,
či môže definovaný typ krízovej situácie spôsobiť prerušenie procesu.
Pričom kritickým obdobím až krízovou situáciou môže byť:
Dodávka hardvéru obsahuje 5 ročnú záruku v rátane servisu ProSupport and Next Business Day Onsite Service
Všetok dodaný softvér obsahuje licencie na 5 ročné obdobie
Všetky dojednané služby – výkon manažéra riadenia rizík, BCM, manažér riadenia kontinuity, analýza a správa analázy dopadov sa dojednáva na 5 ročné obdobie
Podporná aktivita – Projektový manažér interný/externý na riadenie hlavných aktivít projektu, manažér kybernetickej bezpečnosti – kontrola a riadenie implementácie bezpečnostných riešení, bezpečnostný analytik – podpora implementácie bezpečnostných riešení a ich bezpečnostnej konfigurácie.
Podporná aktivita – Publicita a informovanosť vzhľadom na povahu projektu obsahuje iba povinné položky, t.j. umiestnenie trvalo vysvetľujúcej tabule a dočasný veľkoplošný pútač
4.1 Biznis vrstva
Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy:
Riadenie aktív a riadenie rizík.
Proces evidencie a správy aktív.
Proces klasifikácie informácií a kategorizácie IS a sietí.
Proces realizácie AR/BIA.
Proces rozhodovania ohľadom riadenia identifikovaných rizík.
Proces stanovenia stratégie obnovy na základe výsledkov AR/BIA (RTO).
Proces definovania plánu zálohovanie na základe výsledkov AR/BIA (RPO).
Riadenie prístupov.
Proces riadenia prístupov do vyhradených priestorov (serverovní).
Ochrana proti škodlivému kódu.
Proces identifikácie a ochrany koncových staníc a systémov pred škodlivým kódom (ochrana pred malware a ransomware).
Sieťová a komunikačná bezpečnosť.
Proces ochrany a riadenia prístupov z vonkajšieho prostredia do siete a opačne.
Proces riadenia prichádzajúcej a odchádzajúcej komunikácie.
Proces segmentácie jednotlivých sietí a systémov.
Zaznamenávanie udalostí a monitorovanie.
Proces bezpečného ukladania a centrálneho zhrávania logov.
Proces bezpečnostného monitoringu koncových staníc.
Proces bezpečnostného monitoringu systémov a dátových úložísk.
Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry.
Proces bezpečnostného monitoringu aktivít používateľov.
Proces bezpečnostného monitoringu aktivít privilegovaných používateľov.
Proces vyhodnocovania udalostí založený na “machine learning” algoritmoch a sledovaní správania sa používateľov (“behavioral analysis”).Riešenie kybernetických bezpečnostných incidentov.
Proces riešenia bezpečnostných incidentov.
Proces identifikácie, vyhodnocovania a riešenia bezpečnostných incidentov a podozrivých udalostí aj vo väzbe na SOC.
Kontinuita prevádzky.
Proces riešenia obnovy v prípade mimoriadnej udalosti.
Proces ochrany, čitateľnosti a dostupnosti záloh.
Zabezpečenie súladu.
Proces vyhodnotenia aktuálneho stavu súladu s požiadavkami legislatívy.
Z pohľadu biznis architektúry predstavujú niektoré, vyššie uvedené, biznis služby len analytické a konzultačné práce, pričom niektoré sú podporené aj aplikačným nástrojom na ich podporu a udržiavanie. Pre zvyšné funkcie, ktoré sú podporené aj aplikačným vybavením, alebo sú reprezentované napr. technologickým zariadením (HW appliance) a pod., sú jednotlivé komponenty rovnako uvedené v rámci popisu aplikačnej a prípadne technologickej architektúry.
Predmetom biznis funkcie „Kontinuita prevádzky“, ktorá nie je reprezentovaná na aplikačnej úrovni je najmä:
Vytvorenie politiky riadenia kontinuity.
Na základe výsledkov AR/BIA budú spracované nasledovné výstupy:
Určená stratégia obnovy pre každý jeden IS (na základe výsledkov AR/BIA - RTO).
Plány a postupy zálohovania (na základe výsledkov AR/BIA - RPO).
BCP pre najkritickejšie biznis procesy v rámci systémov.
DRP pre kľúčové systémy a podporné a infraštruktúrne IS, bez ktorých nie je možné plne prevádzkovať uvedené dva základné systémy (napr. základná sieťová infraštruktúra, FW, AD, DC, autentifikačný server a pod.).
4.1.1 Prehľad koncových služieb – budúci stav:
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.1.2 Jazyková podpora a lokalizácia
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2 Aplikačná vrstva
Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:
4.2.1 Požiadavky na jednotlivé komponenty
Požiadavky na jednotlivé aplikačné komponenty pre vyššie uvedené aplikačné služby sú nasledovné:
4.2.1.1 Riadenie aktív a rizík
Informačný systém pre identifikáciu a riadenie rizík musí spĺňať tieto funkčných vlastnosti:
správa aktív – vedenie zoznamu aktív subjektu, vrátane ich vlastníkov
správa zraniteľností – vedenie zoznamu rozpoznaných zraniteľností, vrátane ich vlastníkov
správa hrozieb – vedenie zoznamu rozpoznaných hrozieb
správa opatrení – vedenie zoznamu opatrení potrebných na potlačenie zraniteľností
správa vzťahov – evidencia rozpoznaných vzťahov medzi aktívami a zraniteľnosťami
správa rizík – identifikácia a ohodnotenie rizík na základe pravdepodobností hrozieb, uplatňovaných opatrení a dopadov na subjekt,
semikvantitatívna prípadne kvantitatívna metóda hodnotenia významnosti rizík, • číselné ohodnotenie pravdepodobnosti hrozieb a účinnosti opatrení,
významnosť rizík vyjadrená číselne a následne kategorizovaná.
Užívateľské rozhranie a výstupy musia spĺňať tieto požiadavky:
- pre interakciu s používateľom musí byť k dispozícií webové rozhranie bez špeciálnych nárokov na webový prehliadač v plnej podpore slovenského jazyka,
- výstupy musia byť realizované vo forme prehľadov a zostáv vo formáte PDF vyhotovené v slovenskom jazyku vrátane šablón a komentárov,
- softvér musí umožňovať riadiť prístup užívateľov k obsahu rizikovej analýzy.
Správa používateľov musí umožňovať:
- evidenciu používateľov, oprávnených pristupovať k subjektom a identifikovať resp. manažovať ich riziká,
- širokú integráciu na existujúce systémy správy používateľov,
- prideľovanie rolí oprávneným používateľom s rôznym stupňom oprávnení.
IS pre identifikáciu a riadenie rizík musí byť umožňovať vykonávať revízie a aktualizáciu rizikovej analýzy, riadiť riziká, aktíva, zraniteľnosti a hrozby systémom, ktorý dokumentuje históriu a je auditovateľný. Verejný objednávateľ požaduje informačný systém typu klient – server nasadený u verejného obstarávateľa na jeho serveri bez závislosti na cloudových službách, aktualizáciách cez internet a inom komerčnom programovom vybavení okrem operačného systému.
Požiadavky na výkon činností manažéra pre riadenie rizík prostredníctvom IS pre identifikáciu a riadenie rizík:
tvorba analýz rizík podľa potreby a požiadaviek verejného obstarávateľa,
pravidelné hodnotenie a ošetrovanie rizík,
tvorba plánu eliminácie rizík,
správa aktív a ich vlastníkov,
dohľad nad riadením rizík.
Kontinuita činností musí zadefinovať scenáre rôznych udalostí, ktoré potencionálne môžu mať negatívny vplyv na bežné činnosti organizácie ako sú napríklad:
náhla nedostupnosť personálu či nepoužiteľnosť pracoviska/budovy,
nedostupnosť technologickej infraštruktúry či potrebných médií,
incident či živelná katastrofa.
V rámci kontinuity činností musia byť stanovené požiadavky na zdroje (adekvátne finančné, materiálno-technické a personálne zdroje), ktoré budú potrebné na implementáciu vybraných stratégií kontinuity činností. V zmysle požiadaviek zákona o kybernetickej bezpečnosti sa musí určiť čo má byť:
hlavným cieľom plánu kontinuity s ohľadom na riadenie incidentov v prípade katastrofy alebo iného rušivého incidentu a ako sa obnovia činnosti v stanovených termínoch,
strategickým imperatívom procesu riadenia kontinuitu s ohľadom na predchádzanie ďalším stratám.
Súčasťou kontinuity činností musí byť vypracovanie analýzy funkčných dopadov a kvalifikácia potencionálnych dopadov a straty v prípade prerušenia alebo narušenia prevádzky u všetkých procesov organizácie. Požiadavkou analýzy funkčného dopadu musí byť určenie:
cieľovej doby obnovy jednotlivých procesov, siete a informačných systémov a aplikácií, a to najmä určením doby obnovy prevádzky, po uplynutí ktorej je po kybernetickom bezpečnostnom incidente obnovená najnižšia úroveň poskytovania základných služieb,
cieľového bodu obnovy jednotlivých procesov, siete a informačných systémov základnej služby, a to najmä určením najnižšej úrovne poskytovania služieb, ktorá je dostatočná na používanie, prevádzku a správu siete a informačného systému a zachovanie kontinuity základnej služby.
Kontinuitou musia byť zavedené postupy zálohovania na obnovy siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu obsahujúce najmenej:
a) frekvenciu a rozsah zdokumentovania a schvaľovania obnovy záloh,
b) určenie osoby zodpovednej za zálohovanie,
c) časový interval, identifikáciu rozsahu údajov, zadefinovanie dátového média zálohovania a zabezpečenie vedenia dokumentácie o zálohovaní,
d) umiestnenie záloh v zabezpečenom prostredí s riadeným prístupom,
e) zabezpečenie šifrovania záloh obsahujúcich aktíva klasifikačného stupňa chránené a prísne chránené,
f) vykonávanie pravidelného preverenia záloh na základe vypracovaného plánu, testovanie obnovy záloh a precvičovanie zavedených krízových plánov najmenej raz ročne.
Kontinuita činností musí obsahovať minimálne:
plán kontinuity na stanovenie požiadaviek a zdrojov,
plán reakcie na incidenty a plány havarijnej obnovy prevádzky,
politiku a ciele kontinuity,
analýzu funkčných dopadov,
stratégiu riadenia kontinuity vrátane evakuačných postupov,
plán údržby a kontroly BCMS.
Požiadavky na výkon činností manažéra pre riadenie kontinuity činností:
a) riadenie incidentov v prípade katastrofy alebo rušivého incidentu,
b) realizácia a výkon interných auditov a analýz dopadov,
c) precvičovanie zavedených krízových plánov,
d) aktualizácia plánov reakcie na incidenty a plánov obnovy po katastrofe,
e) návrh opatrení riadenia kontinuity,
f) monitorovanie zariadení podstatných pre prípadný vznik incidentu.
Analýza dopadov musí:
- identifikovať rôzne kategórie procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti,
- určiť potenciálne dôsledky (škody/straty) pri rôznych dobách trvania kritických situácií,
- stanoviť maximálne akceptovateľné doby prerušenia (MTO),
- stanoviť minimálne ciele kontinuity podnikania (MBCO),
- určiť cieľové časy obnovy (RTO) a cieľové body obnovy (RPO),
identifikovať potenciálne dopady vyplývajúce z možného prerušenia činností a stanoviť výšku:
funkčných dopadov,
finančných dopadov,
dopadov spôsobených stratou údajov a dokumentov.
identifikovať zdroje a prostriedky na obnovu procesov so zásadným vplyvom na kontinuitu činností organizácie na základe hodnoty RTO procesu v min. tomto typovom rozsahu zdrojov:
ľudia,
aplikácie / databázy,
údaje uložené v elektronickej podobe (nezahrnuté v aplikáciách a databázach),
údaje uložené na papierovom médiu,
IT a komunikačné zariadenia,
komunikačné kanály,
ostatné vybavenie,
vybavenie a infraštruktúra,
pracovný kapitál.
Záverečná správa, ako výstup z analýzy dopadov musí obsahovať:
prehľad vykonávaných činností, ktorý bude obsahovať názov činnosti, jej vymedzenie, vlastníka, MTO a MBCO,
zoznam procesov, ktorý bude (ak to je možné) obsahovať názov procesu, druh procesu, vlastníka procesu, RTO a RPO procesu (údaje, na základe ktorých bolo stanovené príslušné RTO a RPO budú taktiež súčasťou správy),
špecifikácie nevyhnutných zdrojov a prostriedkov pre zabezpečenie kontinuity činností.
Pri analýze dopadov je potrebné identifikovať:
kritické obdobie,
množstvo práce vykonanej v kritickom období,
minimálne prijateľné množstvo práce vykonávanej bezprostredne po krízovej situácii,
či môže definovaný typ krízovej situácie spôsobiť prerušenie procesu.
Pričom kritickým obdobím až krízovou situáciou môže byť:
nedostupnosť kritickej časti ľudských zdrojov – zamestnancov,
zlyhanie kľúčového externého dodávateľa služieb.
4.2.2 Rozsah informačných systémov – AS IS
Implementované bezpečnostné riešenia sa budú dotýkať najmä zvýšenia ochrany a bezpečnosti nasledovných IS:
Kód ISVS (z MetaIS)
Názov ISVS
Modul ISVS
(zaškrtnite ak ISVS je modulom)
Stav IS VS
(AS IS)
Typ IS VS
Kód nadradeného ISVS
(v prípade zaškrtnutého checkboxu pre modul ISVS)
Promis
☐
Vyberte jednu z možností
Vyberte jednu z možností
Tomocon
☐
Vyberte jednu z možností
Vyberte jednu z možností
Tomocon Go
☐
Vyberte jednu z možností
Vyberte jednu z možností
Tomocon Camera
☐
Vyberte jednu z možností
Vyberte jednu z možností
T3C
☐
Vyberte jednu z možností
Vyberte jednu z možností
Pharmay HITT
☐
Vyberte jednu z možností
Vyberte jednu z možností
VEMA
☐
Vyberte jednu z možností
Vyberte jednu z možností
Admis
☐
Vyberte jednu z možností
Vyberte jednu z možností
eLab(nadstavba na NIS)
☐
Vyberte jednu z možností
Vyberte jednu z možností
intranet
☐
Vyberte jednu z možností
Vyberte jednu z možností
Attendance
☐
Vyberte jednu z možností
Vyberte jednu z možností
Unifi Video kamery
☐
Vyberte jednu z možností
Vyberte jednu z možností
WISP majetok
☐
Vyberte jednu z možností
Vyberte jednu z možností
PROMYS
☐
Vyberte jednu z možností
Vyberte jednu z možností
Čiastočne a okrajovo sa implementované bezpečnostné opatrenia a riešenia budú dotýkať aj nasledovných infraštruktúrnych a podporných IS, ktoré ale nie sú ISVS:
Kód ISVS (z MetaIS)
Názov ISVS
Modul ISVS
(zaškrtnite ak ISVS je modulom)
Stav IS VS
(AS IS)
Typ IS VS
Kód nadradeného ISVS
(v prípade zaškrtnutého checkboxu pre modul ISVS)
Active directory
☒
Vyberte jednu z možností
Vyberte jednu z možností
Webové sídlo
☒
Vyberte jednu z možností
Vyberte jednu z možností
E-mailové služby
☒
Vyberte jednu z možností
Vyberte jednu z možností
4.2.3 Rozsah informačných systémov – TO BE
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2.4 Využívanie nadrezortných a spoločných ISVS – AS IS
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2.5 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2.6 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2.7 Aplikačné služby pre realizáciu koncových služieb – TO BE
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2.8 Aplikačné služby na integráciu – TO BE
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2.9 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2.10 Konzumovanie údajov z IS CSRU – TO BE
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.3 Dátová vrstva
Z pohľadu dátového modelu nejde o typické biznis (agendové) dáta ale o dáta typu:
Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. – ako výstupy aktivity projektu určené pre ďalšie riadenie rozvoja KIB v sektore zdravotníctva,
bezpečnostné konfigurácie a bezpečnostné dáta (napr. logy) – pre fungovanie jednotlivých bezpečnostných komponentov.
Dátové objekty uvedené v aplikačnej architektúre zároveň predstavujú aj konkrétne dáta, čiže dátový model, ktorý bude predmetom tohto projektu.
Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. sú určené pre proces riadenia KIB.
Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie bezpečnostných modulov, t.j. jednotlivé komponenty tohto navrhovaného riešenia a zároveň reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov.
Súčasťou riešenia budú detailné analytické, diagnostické a detekčno-bezpečnostné práce nad všetkými existujúcimi koncovými zariadeniami z pohľadu vykonania detailného preverenia, analýzy a diagnostiky týchto zariadení na prípadnú prítomnosť infekcie malvérom a v prípade jeho identifikácie aj spoľahlivé a bezpečné odstránenie tak, aby následne mohla byť na tieto zariadenia nasadená rozšírená a najmä funkčná AV a EDR/XDR ochrana.
V rámci tejto vrstvy sa požaduje rozšírenie licencií existujúceho AV riešenia (ESET) na všetky koncové stanice a servery a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Požaduje sa dodanie riešenia na prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, šifrovanie celých diskov, správu zraniteľností a patchov aplikácií tretích strán, ochranu poštových serverov/mailboxov, ochranu cloudového prostredia Microsoft365/Google Workspace a možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení podľa voľby SPU NR za účelom povýšenia kybernetickej bezpečnosti. Riešenie poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou, a ktorá zahŕňa funkcie, ako napr. detekcia incidentov v reálnom čase, manažment a reakcia na incidenty, zozbieravanie údajov, detekcia indikátorov ohrozenia, detekcia anomálií, detekcia správania, detekcia porušenia pravidiel atď.
Súčasťou dodávky musí byť aj konzola / systém na správu celého riešenia.
Detailné požiadavky na riešenie:
Podporované klientske platformy OS - min. Windows, Linux, MacOS, Android, všetko v slovenskom alebo českom jazyku Natívna podpora architektúr pre platformy Windows a MacOS: x86, x64, ARM64
Antimalware, antiransomware, antispyware a anti-phishing na aktívnu ochranu pred všetkými typmi hrozieb
Personálny firewall pre zabránenie neautorizovanému prístupu k zariadeniu so schopnosťou automatického prebratia pravidiel z brány Windows Firewall.
Modul pre ochranu operačného systému a elimináciu aktivít ohrozujúcich bezpečnosť zariadenia s možnosťou definovať pravidlá pre systémové registre, procesy, aplikácie a súbory
Ochrana pred neautorizovanou zmenou nastavenia / vyradenie z prevádzky / odinštalovaním antimalware riešení a kritických nastavení a súborov operačného systému
Aktívna aj pasívna heuristická analýza pre detekciu doposiaľ neznámych hrozieb
Systém na blokáciu exploitov zneužívajúcich zero-day zraniteľností, ktorý pokrýva najpoužívanejšie vektory útoku: min. sieťové protokoly, Flash Player, Java, Microsoft Office, webové prehliadače, e-mailových klientov, PDF čítačky
Systém na detekciu malwaru už na sieťovej úrovni poskytujúci ochranu aj pred zneužitím zraniteľností na sieťovej vrstve
Kontrola šifrovaných spojení (SSL, TLS, HTTPS, IMAPS…).
Anti-phishing so schopnosťou detekcie homoglyph útokov
Kontrola RAM pamäte pre lepšiu detekciu malwaru využívajúcu silnú obfuskáciu a šifrovanie
Cloud kontrola súborov pre urýchlenie skenovania fungujúce na základe reputácie súborov.
Kontrola súborov v priebehu sťahovania pre zníženie celkového času kontroly
Kontrola súborov pri zapisovaní na disku a extrahovaní archivačných súborov
Detekcia s využitím strojového učenia
Funkcia ochrany proti zapojeniu do botnetu pracujúcej s detekciou sieťových signatúr
Ochrana pred sieťovými útokmi skenujúca sieťovú komunikáciu a blokujúca pokusy o zneužitie zraniteľností na sieťovej úrovni
Kontrola s podporou cloudu pre odosielanie a online vyhodnocovanie neznámych a potenciálne škodlivých aplikácií.
Lokálny sandbox
Modul behaviorálnej analýzy pre detekciu správania nových typov ransomwaru
Systém reputácie pre získanie informácií o závadnosti súborov a URL adries
Cloudový systém na detekciu nového malwaru ešte nezaneseného v aktualizáciách signatúr
"Technológia na detekciu rootktitov obvykle sa maskujúcich za súčasti operačného systému."
Skener firmvéru BIOSu a UEFI
Skenovanie súborov v cloude OneDrive
Funkcionalita pre MS Windows v min. rozsahu: Antimalware, Antispyware, Personal Firewall, Personal IPS, Application Control, Device control, Security Memory (zabraňuje útokom na bežiace aplikácie), kontrola integrity systémových komponentov
Funkcionalita pre k MacOS v min. rozsahu- Personal Firewall, Device control, autoupgrade
Možnosť aplikovania bezpečnostných politík aj v offline režime na základe definovaných podmienok
Ochrana proti pokročilým hrozbám (APT) a 0-day zraniteľnostiam
Podpora automatického vytvárania dump súborov na stanici na základe nálezov
Okamžité blokovanie/mazanie napadnutých súborov na stanici (s možnosťou stiahnutia administrátorom na ďalšiu analýzu)
Duálny aktualizačný profil pre možnosť sťahovania aktualizácií z mirroru v lokálnej sieti a zároveň vzdialených serverov pri nedostupnosti lokálneho mirroru (pre cestujúcich používateľov s notebookmi).
Možnosť definovať webové stránky, ktoré sa spustia v chránenom režime prehliadača, pre bezpečnú prácu s kritickými systémami alebo internetovým bankovníctvo
Aktívne ochrany pred útokmi hrubou silou na protokol SMB a RDP
Možnosť zablokovania konkrétnej IP adresy po sérii neúspešných pokusov o prihlásenie pre protokoly SMB a RDP s možnosťou výnimiek vo vnútorných sieťach
Automatické aktualizácie bezpečnostného softvéru s možnosťou odloženia reštartu stanice.
"Zmrazenie“ na požadovanej verzii – produkt je možné nakonfigurovať tak, aby nedochádzalo k automatickému povyšovaniu majoritných a minoritných verzií najmä na staniciach, kde sa vyžaduje vysoká stabilita
Integrovaná cloudová analýza neznámych vzoriek:
Funkcia cloudového sandboxu je integrovaná do produktu pre koncové a serverové zariadenia, tzn. Cloudový sandbox nemá vlastného agenta, nevyžaduje inštaláciu ďalšie komponenty či už v rámci produktu alebo implementácie HW prvku do siete
Sandbox umožňujúci spustenie vzoriek malwaru pre: • Windows • Linux
Možnosť využitia na koncových bodoch a serveroch pre aktívnu detekciu škodlivých súborov
Analýza neznámych vzoriek v rade jednotiek minút
Optimalizácia pre znemožnenie obídenia anti-sandbox mechanizmy
Schopnosť analýzy rootkitov a ransomvéru
Schopnosť detekcie a zastavenie zneužitia alebo pokusu o zneužitie zero day zraniteľnosti
Riešenie pracuje s behaviorálnou analýzou
Kompletný výsledok o zanalyzovanom súbore vrátane informácie o nájdenom i nenájdenom škodlivom správaní daného súboru
Manuálne odoslanie vzorky do sandboxu
Možnosť proaktívnej ochrany, kedy je potenciálna hrozba blokovaná, pokiaľ nie je známy výsledok analýzy zo sandboxu
Neobmedzené množstvo odosielaných súborov
Všetka komunikácia prebieha šifrovaným kanálom
Okamžité odstránenie súboru po dokončení analýzy v cloudovom sandboxe
Možnosť voľby, aké kategórie súborov do cloudového sandboxu budú odchádzať (spustiteľné súbory, archívy, skripty, pravdepodobný spam, dokumenty atp.)
Veľkosť odoslaných súborov do cloudového sandboxu môže dosahovať až 64MB
Výsledky analyzovaných súborov sú dostupné a automatizovane distribuované všetkým serverom a staniciam naprieč organizáciou, tak aby nedochádzalo k duplicitnému testovaniu
Šifrovanie celých diskov:
Podpora platforiem Windows a MacOS
Správa cez jednotný centrálny manažment
Unikátna technológia pre platformu Windows (nevyužíva sa BitLocker)
Podpora Pre-Boot autentizácia
Podpora TMP modulu
Podpora Opal samošifrovacích diskov
Možnosť definovať: počet chybne zadaných pokusov, zložitosť a dĺžku autentizačného hesla
Možnosť obmedziť platnosť autentizačného hesla
Podpora okamžitého zmazania šifrovacieho kľúča a následné uzamknutie počítača
Recovery z centrálnej konzoly
XDR riešenie:
Možnosť prevádzky centrálneho servera v cloude alebo on-premise na platforme Windows Server.
Webová konzola pre správu a vyhodnotenie.
Možnosť prevádzky s databázami: Microsoft SQL, MySQL.
Možnosť prevádzky v offline prostredí.
Autonómne správanie so schopnosťou vyhodnotiť podozrivú/ škodlivú aktivitu a zareagovať na ňu aj bez aktuálne dostupného riadiaceho servera alebo internetového pripojenia.
Logovanie činností administrátora (tzv. Audit Log).
Podpora EDR pre systémy Windows, Windows server, MacOS a Linux.
Možnosť autentizácie do manažmentu EDR pomocou 2FA.
Možnosť riadenia manažmentu EDR prostredníctvom API, a to ako pre:
prijímanie informácií z EDR serverov
aj zasielanie príkazov na EDR servery.
Integrovaný nástroj v EDR riešení pre vzdialené zasielanie príkazov priamo z konzoly.
Možnosť izolácie zariadenia od siete.
Možnosť tvorby vlastných loC.
Možnosť škálovania množstva historických dát vyhodnotených v EDR min. 3 mesiace pre raw-data a min. 3 roky pre detegované incidenty.
„Učiaci režim" pre automatizované vytváranie výnimiek k detekčným pravidlám.
Indikátory útoku pracujúce s behaviorálnou detekciou.
Indikátory útoku pracujúce s reputáciou.
Riešenie umožňuje analýzu vektorov útoku.
Schopnosť detekcie: min. škodlivých spustiteľných súborov: skriptov, exploitov, rootkitov, sieťových útokov, zneužitie WMI nástrojov, bez-súborového malwaru, škodlivých systémových ovládačov / kernel modulov, pokusov o dump prihlasovacích údajov užívateľa.
Schopnosť detegovať laterálny pohyb útočníka.
Analýza procesov, všetkých spustiteľných súborov a DLL knižníc.
Náhľad na spustené skripty použité pri detegovanej udalosti.
Možnosť zabezpečeného vzdialeného spojenia cez servery výrobcu do konzoly EDR.
Schopnosť automatizovaného response úkonu pre jednotlivé detekčné pravidlá v podobe: izolácia stanice, blokácia hash súboru, blokácia a vyčistenie siete od konkrétneho súboru, ukončení procesu, reštart počítača, vypnutie počítača.
Možnosť automatického vyriešenia incidentu administrátorom.
Prioritizácia vzniknutých incidentov.
Možnosť stiahnutia spustiteľných súborov zo staníc pre bližšiu analýzu vo formáte archívu opatreným heslom.
Integrácia a zobrazenie detekcií vykonaných antimalware produktom.
Riešenie je schopné generovať tzv. forest/full execution tree model.
Vyhľadávanie pomocou novo vytvorených loC nad historickými dátami.
Previazanie s technikami popísanými v knowledge base MITRE ATT&CK.
Integrovaný vyhľadávač VirusTotal s možnosťou rozšírenia o vlastné vyhľadávače.
Management konzola pre správu všetkých riešení v rámci ponúkaného balíka v rozsahu:
Možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení
Webová konzola
Možnosť inštalácie na Windows aj Linux
Predpripravená virtual appliance pre virtuálne prostredie VMware, Microsoft Hyper-V a Microsoft Azure, Oracle Virtual Box
Server/proxy architektúra pre sieťovú pružnosť – zníženie záťaže pri sťahovaní aktualizácií detekčných modulov výrobcu
Možnosť prebudenia klientov pomocou Wake On Lan
Vzdialené vypnutie, reštart počítača alebo odhlásenie všetkých užívateľov
Možnosť konfigurácie virtual appliance cez užívateľsky prívetivé webové rozhranie Webmin
Nezávislí manažment agent pre platformy Windows, Linux a MacOS
Management agent pre architektúry na platformy Windows a MacOS: x86, x64, ARM64
Nezávislý agent (pracuje aj offline) vzdialenej správy pre zabezpečenie komunikácie a ovládania operačného systému verejného obstarávateľa
Offline uplatňovanie politík a spúšťanie úloh pri výskyte definovanej udalosti (napríklad: odpojenie od siete pri nájdení škodlivého kódu).
Administrácia v najpoužívanejších jazykoch vrátane slovenčiny
Široké možnosti konfigurácie oprávnení administrátorov (napríklad možnosť správy iba časti infraštruktúry, ktoré konkrétnemu administrátorovi podlieha)
Zabezpečenie prístupu administrátorov do vzdialenej správy pomocou 2FA
Podpora štítkov/tagovania pre jednoduchšiu správu a vyhľadávanie
Správa karantény s možnosťou vzdialeného vymazania / obnovenia / obnovenia a vylúčenia objektu z detekcie
Vzdialené získanie zachyteného škodlivého súboru
Detekcia nespravovaných (rizikových) počítačov komunikujúcich na sieti.
Podpora pre inštalácie a odinštalácie aplikácií 3.strán
Vyčítanie informácií o verziách softvéru 3. strán
Možnosť vyčítať informácie o hardvéri na spravovaných zariadeniach (CPU, RAM, diskové jednotky, grafické karty…).
Možnosť vyčítať sériové číslo zariadenia
Možnosť vyčítať voľné miesto na disku
Detekcia aktívneho šifrovania BitLocker na spravovanej stanici
Zobrazenie časovej informácie o poslednom boote stanice
Odoslanie správy na počítač / mobilné zariadenie, ktoré sa následne zobrazí užívateľovi na obrazovke
Vzdialené odinštalovanie antivírusového riešenia 3. strany
Vzdialené spustenie akéhokoľvek príkazu na cieľovej stanici pomocou Príkazového riadka
Dynamické skupiny pre možnosť definovania podmienok, za ktorých dôjde k automatickému zaradeniu klienta do požadovanej skupiny a automatickému uplatneniu klientskej úlohy
Automatické zasielanie upozornení pri dosiahnutí definovaného počtu alebo percent ovplyvnených klientov (napríklad: 5 % všetkých počítačov / 50 klientov hlási problémy)
Podpora SNMP Trap, Syslogu a qRadar SIEM
Podpora formátov pre Syslog správy: CEF, JSON, LEEF
Rýchle pripojenie na klienta pomocou RDP z konzoly pre vzdialenú správu.
Reportovanie stavu klientov chránených inými bezpečnostnými programami.
Schopnosť zaslať reporty a upozornenia na e-mail
Konzola podporuje multidoménové prostredie (schopnosť pracovať s viacerými AD štruktúrami)
Konzola podporuje multitenantné prostredie (schopnosť v jednej konzole spravovať viac počítačových štruktúr)
Podpora VDI prostredia (Citrix, VMware, SCCM, apod)
Podpora klonovania počítačov pomocou golden image
Podpora inštanciách klonov
Podpora obnovy identity počítača pre VDI prostredie na základe FQDN
Možnosť definovať viacero menných vzorov klonovaných počítačov pre VDI prostredie
Pridanie zariadenia do vzdialenej správy pomocou: synchronizácia s Active Directory, ručné pridanie pomocou podľa IP adresy alebo názvu zariadenia, pomocou sieťového skenu nechránených zariadení v sieti, Import cez csv súbor
Správa zraniteľností a patchov aplikácií tretích strán:
Automatizované kontroly podľa vlastného harmonogramu na základe prispôsobiteľných pravidiel
Filtrovanie, zoskupovanie a triedenie zraniteľností podľa ich závažnosti
Možnosť manuálnych alebo automatických opráv
Prispôsobiteľné politiky záplat
Podpora multitenant v komplexných sieťových prostrediach - prehľad zraniteľností v konkrétnych častiach organizácie
Databáza zraniteľností, CVSS 2.0 a CVSS 3.1
Ochrana poštových serverov/mailboxov:
Komplexná vrstva ochrany na úrovni servera s cieľom zabrániť prieniku spamu a malvéru do e‑mailových schránok používateľov
Antimalvér, antispam, anti‑phishing, ochrana hostiteľských serverov, ochrana založená na strojovom učení
Správa karantény
Podpora klastrov
Ochrana cloudového prostredia Microsoft365/Google Workspace
Pokročilá ochrana pre aplikácie služby Microsoft 365 prostredníctvom ľahko použiteľnej cloudovej konzoly
Filtrovanie spamu, antimalvérová kontrola, anti‑phishing a cloudový sandboxing
Ochrana cloudových úložísk
Nástroj na 2-faktorovú autentifikáciu:
Jednoduché overovanie pre používateľov jedným ťuknutím
Overovanie cez Push notifikácie
Podpora existujúcich tokenov a hardvérových kľúčov a smartfónov
Overovanie pri prístupe k VPN, RDP a Outlooku, webové aplikácie
Riešenie bez programátorského zásahu musí mať integráciu: HOTP, alebo na HMAC- založené jednorázové heslá one-time password (OTP), Audit používateľov v denníku. (úspešné, neúspešne pokusy o overenie).
4.4 Technologická vrstva
4.4.1 Prehľad technologického stavu - AS IS
Sieťová infraštruktúra je komplexná a pozostáva z viacerých segmentov, ktoré sú prepojené rôznymi typmi sieťových zariadení. Hlavné prvky siete zahŕňajú core switche, access switche, firewally a rôzne typy serverov. Hlavné core switche, umiestnené v sreverovni 2 je ústredným bodom siete, ktorý prepája všetky hlavné racky a serverovne. Tieto redudantné switche sú zodpovedné za riadenie vysokorýchlostného prenosu dát medzi jednotlivými časťami siete v dvoch smeroch a sú pospájané medzi sebou cez rôzne časti budovy.
Návrh infraštruktúry do záložného dátového centra:
Servre – 2 ks 1U serverov DELL R660xs pre zabezpečenie dostatočného výkonu a redundancie. Servery budú prevádzkovane v backup DC, aby v prípade výpadku jedného zo záložných serverov bolo možné prevádzkovať nevyhnutnú aplikačnú infraštruktúru. Záložné servre sú zrkadlom hlavných serverov v hlavnej serverovni
Storage – 1 ks 2U DELL ME4024 All-Flash s kobinaciou SSD diskov a HDD diskov pre dostatočný výkon celej backup infraštruktúry a pre dostatočnú kapacitu najmä pre systém PACS. Tento storage je možné do budúcna rozširovať až do 9 extension políc s ďalšími diskami.
Virtualizačný SW – 32 (2 servre po 16 cores) CPU licencie VMware vSphere Standard s licenciou management vCenter server appliance – Virtualizácia bude zabezpečovať plynulý bezvýpadkovy (HA) chod všetkých virtuálnych serverov s možnosťou automatickej migrácie medzi fyzickými servermi.
Backup SW – navrhovaný je Backup SW Acronis ktorý dokáže zálohovať, replikovať na storage, NAS, tape library a má jednoduché licencovanie – 1 licencia na 1 fyzicky server s VMware – tzn. potrebujeme 2 ks licencii. Acronis ktorý bude zálohovať aj na disky NAS a pásky LTO8 v tape library podľa backup plánu.
Server bude napájaný pomocou APC Smart-UPS SRT 3000VA RM 230V Network Card + externý battery pack APC Smart-UPS SRT 96V 3kVA RM Battery Pack a bude obsahovať aj 19“ rackovou skriňou pre infraštruktúru
Súčasťou didávky je monitorovací notebook DELL Latitude 5540 i5-1345U 15.6" FHD 16GB 512GB SSD Iris Xe IrCam Thb FPR SCR Win11Pro 3Y ProSpt OS
Zálohovanie dát bude realizovane dvojúrovňovo - na existujúci NAS QNAP s kapacitou 12 x 8TB diskov a s možnosťou ďalšieho rozširovania kapacity pridaním extension police
Serverové licencie Windows Server Datacenter 2022 za účelom prevádzkovania virtuálnych serverov, keďže jedna licencia slúži na 1 fyzicky server.
Licencia na monitoring celého IT prostredia: 1000 senzorov PRTG Network Monitor – sleduje Servre-VMware hosty, storage, NAS, Cisco switche, aplikačné servre, firewall, VPN, WiFi, koncove zariadenia.
Segmentácia stávajúcej LAN siete a zavedenie autentifikácie
a)Segmentácia siete a zavedenie 802.1x – Ochrana pred kybernetickými útokmi z LAN siete
Autentizácia prístupu k portom pomocou protokolu IEEE 802.1x je základ dnes populárnej technológie nazvanej Network Access Control (NAC), Network Admission Control (NAC) alebo Network Access Protection (NAP), ktoré riadia prístup zariadenia k sieti.
Výhodou tohto riešenia je, že sa prístup kontroluje pred vstupom do siete, teda priamo na porte (access switch), do ktorého je zariadenie pripojené. Princíp spočíva v tom, že port na switchy je zablokovaný (nepovoľuje žiadnu komunikáciu) do tej doby, než sa pripojené zariadenie úspešne autentizuje. Pri tejto metóde je možné využiť aj rady ďalších vlastností, napríklad dynamické zaraďovanie do VLAN či zaradenie portu do hosťovskej VLANy, pokiaľ nedôjde k autentifikácii. Administrátori si tak môžu zabezpečiť prístupy do svojej siete a chrániť ju.
Protokol IEEE 802.1x
Ide o štandard pre kontrolu prístupu do siete založenú na porte ( Port-based Network Access Control). Je založený na Extensible Authentication Protocol (EAP) RFC 3748. Používa sa na novších switchoch vyššej triedy (väčšina dnešných Cisco switchov) alebo pre bezdrôtové siete (prístupové body AP). V LAN sieťach sa jedná o fyzickú bezpečnosť na linkovej vrstve (2. vrstva ISO / OSI).
V tejto súvislosti je potrebné v Nemocnici vymeniť CORE switche zapojené v stacku za nové, čím sa naplní ochrana siete najnovšími sieťovými protokolmi a umožní dlhodobú udržateľnosť riešenia.
Fungovanie IEEE 802.1X - ak je port v neautorizovanom stave (unauthorized), tak neprijíma od klienta (označuje sa ako supplicant ) žiadnu komunikáciu mimo 802.1x prevádzky (presnejšie, na porte je povolené Extensible Authentication Protocol over LAN – EAPOL , CDP, Spanning Tree Protocol). Nasleduje fáza autentizácie, ktorú authenticator (väčšinou switch) odovzdáva autentizačnému serveru (väčšinou RADIUS (napr. v prostredí Nemocnice on Premise)).
Pokiaľ dôjde k úspešnej autentizáciu, tak sa port prepne do autorizovaného stavu (authorized), kedy je normálne funkčný. Klient sa môže odhlásiť, potom sa port opäť prepne do neautorizovaného stavu. Zakaždým, keď sa stav linky zmení z down na up, tak port začína pracovať v neautorizovanom stave.
Navrhovaná segmentácia siete s ohľadom na zavedenie protokolu IEEE 802.1x
#10 - Brezno (Centrála)
#20 - Brusno
#30 - Bystrá
#40 - Maša
#50 - Huta
VLAN meno VLAN subnet (subnet-y) DHCP VLAN VLAN subnet Poznámka
10 konfig novych zariadení 192.168.0.0/23 DHCP 10 192.168.0.0/23
11 SERVERY 10.10.0.0/24 11 10.10.11.0/24
20 VVN 20 10.10.20.0/24
30 DMZ_OUT 10.30.0.0/24 30 10.10.30.0/24
31 DMZ_IN 10.30.10.0/24 31 10.10.31.0/24
32 ZZS Brusno PC 10.0.32.0/24 DHCP 210 10.20.210.0/24
33 ZZS Bystrá PC 10.0.33.0/24 DHCP 210 10.30.210.0/24
34 ZZS Maša PC 10.0.34.0/24 DHCP 210 10.40.210.0/24
35 ZZS M. Huta PC 10.0.35.0/24 DHCP 210 10.50.210.0/24
39 ZZS Brezno PC 10.0.39.0/24 DHCP 210 10.10.210.0/24
40 VoIP 172.16.2.0/22 DHCP 40 172.16.0.0/22
41 VoIP pre ZZS 172.16.0.0/24 DHCP 41 172.16.4.0/24
54 VLAN0054 54 Zrušiť
55 VLAN0055 55 Zrušiť
58 SWITCH_MGMT 10.10.58.0 58 10.10.58.0
68 IT_MGMT 10.10.68.0/24 DHCP 68 10.10.68.0/24
69 WIFI_MGMT 10.10.69.0/24 DHCP 69 10.10.69.0/24
79 VPN_WAN_BACKUP 79 Cisco, FGT - MPLS backup
80 INET_VOIP_BACKUP 80 Cisco - WAN INET backup
100 parkovaci system 10.10.100.0/24 DHCP 100 10.10.100.0/24
101 MaR kotolna 10.10.101.0/24 DHCP 101 10.10.101.0/24
102 dochadzkovy system 10.10.102.0/24 DHCP 102 10.10.102.0/24
103 pristupovy system 10.10.103.0/24 DHCP 103 10.10.103.0/24
104 kamerovy system 10.10.104.0/24 DHCP 104 10.10.104.0/24
105 sestersky system 10.10.105.0/24 DHCP 105 10.10.105.0/24
Vzhľadom na zraniteľnosť VPN siete cez prihlasovanie koncových zriadení odporúčame využívať dvojfaktorovú autentifikáciu pre koncové zariadenia pripájajúcich na diaľku do VPN siete Nemocnice.
Navrhované riešenie je na báze Fortinet – FortiToken, keďže nemocnica využíva služby Fortigate-u.
Prihlasovanie sa iba pomocou hesla nezastaví šikovných útočníkov pred vstupom do siete či aplikácie. Autentifikácia iba heslom viedla v mnohých prípadoch k prelomeniu bezpečnosti, infikovaniu malvérom a porušeniu zásad a politík. Oveľa vyššie zabezpečenie poskytuje „viacfaktorová autentifikácia“ (MFA = multi-factor authentication) - konkrétne napr. použitie hesla súčasne s jednorazovým bezpečnostným tokenom (kódom), ktorý bude overený cez autentifikačný server (ním môže byť FortiGate alebo vo väčších nasadeniach FortiAuthenticator). Autorizovaní zamestnanci tak môžu pristupovať k firemným zdrojom bezpečne, využitím škály „overovacích“ zariadení od mobilov až po PC.
FortiToken Mobile je aplikácia pre iOS, Android, Windows Phone a Windows, ktorá slúži ako hardvérový token, ale využíva hardvér, ktorý už väčšina používateľov vlastní - mobilný telefón, prípadne PC. Aplikácia môže byť navyše chránená aj pomocou TouchID/FaceID.
FortiToken Mobile prináša flexibilne škálovateľné riešenie s nízkymi pravidelnými a vstupnými nákladmi (aj vďaka možnosti využiť existujúci FortiGate ako autentifikačný server).
(v individuálnych prípadoch je možné obstarať aj HW FortiTokeny, viď. obrázok)
Dvojfaktorová / viacfaktorová autentifikácia všeobecne vzniká kombináciou nasledujúcich faktorov (napr. heslo a token) :
niečo, čo človek vie (heslo, PIN, ...)
niečo, čo človek má (kľúč, token, platobná karta,...) resp. čím sa vyznačuje (otlačok prsta, face recognition, dúhovka oka, ...)
FortiToken (MFA) spĺňa nasledovné § kyberzákona (č. 69/2018 Z. z.):
10 Riadenie bezpečnosti sietí a informačných systémov, riadenie prístupov
12 Overovanie identity používateľa v rámci siete a informačného systému, riadenie prístupov
4.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE
Predpokladané výkonnostné parametre a kapacitné požiadavky sú, tam kde je to relevantné, uvedené v popise aplikačnej architektúry jednotlivých aplikačných funkcií a aplikačných modulov.
4.4.3 Návrh riešenia technologickej architektúry
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.4.4 Využívanie služieb z katalógu služieb vládneho cloudu
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.5 Bezpečnostná architektúra
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia.
5. Závislosti na ostatné ISVS / projekty
Závislostí na iné projekty neboli identifikované.
6. Zdrojové kódy
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
Riešenie nepredpokladá vývoj softvéru, ale použitie komerčných bezpečnostných produktov a zariadení.
7. Prevádzka a údržba
7.1 Prevádzkové požiadavky
7.1.1 Úrovne podpory používateľov
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
7.1.2 Riešenie incidentov – SLA parametre
Označenie naliehavosti incidentu:
Označenie naliehavosti incidentu
Závažnosť incidentu
Popis naliehavosti incidentu
A
Kritická
Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.
B
Vysoká
Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.
C
Stredná
Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.
D
Nízka
Kozmetické a drobné chyby.
možný dopad:
Označenie závažnosti incidentu
Dopad
Popis dopadu
1
katastrofický
katastrofický dopad, priamy finančný dopad alebo strata dát,
2
značný
značný dopad alebo strata dát
3
malý
malý dopad alebo strata dát
Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:
Matica priority incidentov
Dopad
Katastrofický - 1
Značný - 2
Malý - 3
Naliehavosť
Kritická - A
1
2
3
Vysoká - B
2
3
3
Stredná - C
2
3
4
Nízka - D
3
4
4
Vyžadované reakčné doby:
Označenie priority incidentu
Reakčná doba(1) od nahlásenia incidentu po začiatok riešenia incidentu
Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) (2)
Spoľahlivosť (3)
(počet incidentov za mesiac)
1
0,5 hod.
4 hodín
1
2
1 hod.
12 hodín
2
3
1 hod.
24 hodín
10
4
1 hod.
Vyriešené a nasadené v rámci plánovaných releasov
7.2 Požadovaná dostupnosť IS:
Popis
Parameter
Poznámka
Prevádzkové hodiny
24 hodín
Od 7:00 do 15:00 je hlavný pracovný čas
Servisné okno
16 hodín
od 15:00 hod. - do 7:00 hod. počas pracovných dní
24 hodín
od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov
Servis a údržba sa bude realizovať podľa potreby v ohlásenom čase.
Dostupnosť produkčného prostredia IS
98,5%
98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod.
Maximálny mesačný výpadok je 5,5 hodiny.
Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.
Nedostupnosť IS sa počíta od nahlásenia incidentu Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.
V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.
7.2.1 Dostupnosť (Availability)
Požadovaná dostupnosť pre aktivity projektu:
Požadovaná dostupnosť pre nasledovné aktivity projektu:
99,9% ("tri deviatky") dostupnosť znamená výpadok 8,76 hodín.
7.2.2 RTO (Recovery Time Objective)
Zavedenie aktivít:
Nákupom hardvéru a softvéru na vytvorenie záložných kapacít IS
Dokončenie segmentácie VLAN, vytvorenie 802.1x a zavedenie dvojfaktorovej autentifikácie pre VPN užívateľov
Nákupom softvéru EDR/XDR na detekciu škodlivého kódu a softvéru na riadenie rizík RiA
Služieb na vypracovanie kontinuity činností, analýzu dopadov, manažéra riadenia rizík a manažéra riadenia kontinuity
si budú vyžadovať tretí stupeň, t.j. rýchlu obnovu.
RTO pre tieto aktivity je definované na 24 hodín.
7.2.3 RPO (Recovery Point Objective)
Nasledovné aktivity:
Nákupom hardvéru a softvéru na vytvorenie záložných kapacít IS
Dokončenie segmentácie VLAN, vytvorenie 802.1x a zavedenie dvojfaktorovej autentifikácie pre VPN užívateľov
Nákupom softvéru EDR/XDR na detekciu škodlivého kódu a softvéru na riadenie rizík RiA
Služieb na vypracovanie kontinuity činností, analýzu dopadov, manažéra riadenia rizík a manažéra riadenia kontinuity
si budú vyžadovať len tradičné zálohovanie, avšak RPO pre tieto aktivity je definované na 24 hodín.
projekt_2695_Pristup_k_projektu_ramcovy
Vzor pre manažérsky výstup I-03
podľa vyhlášky MIRRI č. 401/2023 Z. z.
Povinná osoba
Nemocnica s poliklinikou Brezno, n.o.
Názov projektu
Podpora v oblasti kybernetickej a informačnej bezpečnosti v NsP Brezno
Zodpovedná osoba za projekt
Ing. Ján Jagerčík
Realizátor projektu
Nemocnica s poliklinikou Brezno, n.o.
Vlastník projektu
Nemocnica s poliklinikou Brezno, n.o.
Schvaľovanie dokumentu
Položka
Meno a priezvisko
Organizácia
Pracovná pozícia
Dátum
Podpis
(alebo elektronický súhlas)
Vypracoval
Ing. Ján Jagerčík
Nemocnica s poliklinikou Brezno, n.o.
Ved. odd. IT a projektový manažér
23.7..2024
1. História dokumentu
Verzia
Dátum
Zmeny
Meno
0.1
05.06.2024
Pracovný návrh
1.0
23.07.2024
Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.
2. Účel dokumentu
V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.
Účelom dokumentu je rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti a zabezpečiť súlad so zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej ako “zákon o ITVS”) a č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti Governance kybernetickej bezpečnosti.
Jedná sa o prístup k projektu vo výzve "Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia". Z väčšej časti sa dokument odvoláva na projektový zámer I-02.
2.1 Použité skratky a pojmy
SKRATKA/POJEM
POPIS
AR
Analýza rizík
BCM
Riadenie kontinuity činností (Business Continuity Management)
BIA
Analýza dopadov (Business Impact Assessment)
KIB
Kybernetická a informačná bezpečnosť
KyB / KB
Kybernetická bezpečnosť
RPO
Cieľový bod obnovy (Recovery Point Objective)
RTO
Cieľový čas obnovy (Recovery Time Objective)
IS
Informačný systém
VPN
Virtuálna privátna sieť (Virtual Private Network)
3. Popis navrhovaného riešenia
Aktuálna situácia v oblasti informačnej a kybernetickej bezpečnosti (ďalej ako “KIB”) v NsP Brezno n.o. nie je ideálna, nakoľko nemáme implementované všetky riešenia a opatrenia kybernetickej bezpečnosti pre zvýšenie úrovne informačnej a kybernetickej bezpečnosti.
Z externého pohľadu sa zvyšuje frekvencia a závažnosť útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov. Realizácia projektu zabezpečí zlepšenie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností, kapacít a spôsobilostí pre plnenie úloh v oblasti KIB.
Z vykonaného auditu NsP Brezno vykonaného v januári 2024 spoločnosťou Kompetenčné a certifikačné centrum kybernetickej bezpečnosti zriadeného Národným bezpečnostným úradom boli zistené určité nedostatky v kybernetickej bezpečnosti, predovšetkým:
Predmetom projektu je realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti, v nadväznosti na výsledky auditu organizácie, čo chceme naplniť nasledujúcimi hlavnými aktivitami:
V nadväznosti na hlavné aktivity sú aj podaktivity zamerané na kybernetickú bezpečnosť:
Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia KIB:
Analytické aktivity:
Implementačné aktivity bezpečnostných riešení:
Pre-financovanie nasledovných, legislatívou vyžadovanej aktivity:
pre-financovanie aktualizácie inventarizácie aktív, klasifikácie IS a analýzy rizík tesne pred ukončením projektu po úspešnej
implementácii vyššie uvedených bezpečnostných riešení.
Celková žiadaná výška ŽoNFP je 298 953,12 EUR.
4. Architektúra riešenia projektu
Hlavnou aktivitou projektu je zvýšenie úrovne KIB, aby NsP Brezno bola lepšie pripravená čeliť interným a externým hrozbám v oblasti kybernetickej bezpečnosti. Na rozdiel od súčasného stavu bude disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého prostredia, ako aj ochranu dát.
Medzi hlavné ciele systému riadenia KIB patria:
Na rozdiel od súčasného stavu bude NsP Brezno disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého prostredia, ako aj ochranu dát.
Navrhovaný projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia" súvisí najmä s naplnením povinností:
Projekt rieši nasledovné špecifické problémy v oblasti kybernetickej bezpečnosti:
Implementácia projektu bude prebiehať v rámci oprávneného typu akcie: Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy a zdravotníckych zariadení v nasledovných krokoch:
Hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
2. Segmentácia stávajúcej LAN siete a zavedenie autentifikácie
a) Segmentácia siete a zavedenie 802.1x – Ochrana pred kybernetickými útokmi z LAN siete
Autentizácia prístupu k portom pomocou protokolu IEEE 802.1x je základ dnes populárnej technológie nazvanej Network Access Control (NAC), Network Admission Control (NAC) alebo Network Access Protection (NAP), ktoré riadia prístup zariadenia k sieti.
Výhodou tohto riešenia je, že sa prístup kontroluje pred vstupom do siete, teda priamo na porte (access switch), do ktorého je zariadenie pripojené. Princíp spočíva v tom, že port na switchy je zablokovaný (nepovoľuje žiadnu komunikáciu) do tej doby, než sa pripojené zariadenie úspešne autentizuje. Pri tejto metóde je možné využiť aj rady ďalších vlastností, napríklad dynamické zaraďovanie do VLAN či zaradenie portu do hosťovskej VLANy, pokiaľ nedôjde k autentifikácii. Administrátori si tak môžu zabezpečiť prístupy do svojej siete a chrániť ju.
b) Vytvorenie dvojfaktoru pre VPN užívateľov
Vzhľadom na zraniteľnosť VPN siete cez prihlasovanie koncových zriadení odporúčame využívať dvojfaktorovú autentifikáciu pre koncové zariadenia pripájajúcich na diaľku do VPN siete Nemocnice.
Navrhované riešenie je na báze Fortinet – FortiToken, keďže nemocnica využíva služby Fortigate-u.
3. a) Softvér EDR/XDR
Súčasťou riešenia budú detailné analytické, diagnostické a detekčno-bezpečnostné práce nad všetkými existujúcimi koncovými zariadeniami z pohľadu vykonania detailného preverenia, analýzy a diagnostiky týchto zariadení na prípadnú prítomnosť infekcie malvérom a v prípade jeho identifikácie aj spoľahlivé a bezpečné odstránenie tak, aby následne mohla byť na tieto zariadenia nasadená rozšírená a najmä funkčná AV a EDR/XDR ochrana.
V rámci tejto aktivity sa požaduje rozšírenie licencií existujúceho AV riešenia (ESET) na všetky koncové stanice a servery a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Požaduje sa dodanie riešenia na prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, šifrovanie celých diskov, správu zraniteľností a patchov aplikácií tretích strán, ochranu poštových serverov/mailboxov, ochranu cloudového prostredia Microsoft365/Google Workspace a možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení podľa voľby SPU NR za účelom povýšenia kybernetickej bezpečnosti. Riešenie poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou, a ktorá zahŕňa funkcie, ako napr. detekcia incidentov v reálnom čase, manažment a reakcia na incidenty, zozbieravanie údajov, detekcia indikátorov ohrozenia, detekcia anomálií, detekcia správania, detekcia porušenia pravidiel atď.
Súčasťou dodávky musí byť aj konzola / systém na správu celého riešenia.
b) Nasadenie informačného systému pre identifikáciu a riadenie rizík v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§6) v rovine riadenia, revízie a aktualizácie potrebnej dokumentácie
Informačný systém pre identifikáciu a riadenie rizík musí spĺňať tieto funkčných vlastnosti:
4. a) Vypracovanie kontinuity činností v zmysle ZoKB – riadenie kontinuity činností (BCM) v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17)
Kontinuita činností musí zadefinovať scenáre rôznych udalostí, ktoré potencionálne môžu mať negatívny vplyv na bežné činnosti organizácie ako sú napríklad:
V rámci kontinuity činností musia byť stanovené požiadavky na zdroje (adekvátne finančné, materiálno-technické a personálne zdroje), ktoré budú potrebné na implementáciu vybraných stratégií kontinuity činností. V zmysle požiadaviek zákona o kybernetickej bezpečnosti sa musí určiť čo má byť:
b) Požiadavky na analýzu dopadov
Analýza dopadov musí:
- identifikovať rôzne kategórie procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti,
- určiť potenciálne dôsledky (škody/straty) pri rôznych dobách trvania kritických situácií,
- stanoviť maximálne akceptovateľné doby prerušenia (MTO),
- stanoviť minimálne ciele kontinuity podnikania (MBCO),
- určiť cieľové časy obnovy (RTO) a cieľové body obnovy (RPO),
Záverečná správa, ako výstup z analýzy dopadov musí obsahovať:
Pri analýze dopadov je potrebné identifikovať:
Pričom kritickým obdobím až krízovou situáciou môže byť:
Jednotlivé riešenia v rámci implementácie projektu:
2. Nákup HW a krabicového SW pozostáva z nákupu hardvérového a softvérového vybavenia
3. Implementácia bude obsahovať:
4. Testovanie obsahuje:
5. Nasadenie obsahuje:
6. Udržateľnosť projektu na celé obdobie:
Podporná aktivita – Projektový manažér interný/externý na riadenie hlavných aktivít projektu, manažér kybernetickej bezpečnosti – kontrola a riadenie implementácie bezpečnostných riešení, bezpečnostný analytik – podpora implementácie bezpečnostných riešení a ich bezpečnostnej konfigurácie.
Podporná aktivita – Publicita a informovanosť vzhľadom na povahu projektu obsahuje iba povinné položky, t.j. umiestnenie trvalo vysvetľujúcej tabule a dočasný veľkoplošný pútač
4.1 Biznis vrstva
Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy:
Z pohľadu biznis architektúry predstavujú niektoré, vyššie uvedené, biznis služby len analytické a konzultačné práce, pričom niektoré sú podporené aj aplikačným nástrojom na ich podporu a udržiavanie. Pre zvyšné funkcie, ktoré sú podporené aj aplikačným vybavením, alebo sú reprezentované napr. technologickým zariadením (HW appliance) a pod., sú jednotlivé komponenty rovnako uvedené v rámci popisu aplikačnej a prípadne technologickej architektúry.
Predmetom biznis funkcie „Kontinuita prevádzky“, ktorá nie je reprezentovaná na aplikačnej úrovni je najmä:
4.1.1 Prehľad koncových služieb – budúci stav:
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.1.2 Jazyková podpora a lokalizácia
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2 Aplikačná vrstva
Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:
4.2.1 Požiadavky na jednotlivé komponenty
Požiadavky na jednotlivé aplikačné komponenty pre vyššie uvedené aplikačné služby sú nasledovné:
4.2.1.1 Riadenie aktív a rizík
Informačný systém pre identifikáciu a riadenie rizík musí spĺňať tieto funkčných vlastnosti:
Užívateľské rozhranie a výstupy musia spĺňať tieto požiadavky:
- pre interakciu s používateľom musí byť k dispozícií webové rozhranie bez špeciálnych nárokov na webový prehliadač v plnej podpore slovenského jazyka,
- výstupy musia byť realizované vo forme prehľadov a zostáv vo formáte PDF vyhotovené v slovenskom jazyku vrátane šablón a komentárov,
- softvér musí umožňovať riadiť prístup užívateľov k obsahu rizikovej analýzy.
Správa používateľov musí umožňovať:
- evidenciu používateľov, oprávnených pristupovať k subjektom a identifikovať resp. manažovať ich riziká,
- širokú integráciu na existujúce systémy správy používateľov,
- prideľovanie rolí oprávneným používateľom s rôznym stupňom oprávnení.
IS pre identifikáciu a riadenie rizík musí byť umožňovať vykonávať revízie a aktualizáciu rizikovej analýzy, riadiť riziká, aktíva, zraniteľnosti a hrozby systémom, ktorý dokumentuje históriu a je auditovateľný. Verejný objednávateľ požaduje informačný systém typu klient – server nasadený u verejného obstarávateľa na jeho serveri bez závislosti na cloudových službách, aktualizáciách cez internet a inom komerčnom programovom vybavení okrem operačného systému.
Požiadavky na výkon činností manažéra pre riadenie rizík prostredníctvom IS pre identifikáciu a riadenie rizík:
Kontinuita činností musí zadefinovať scenáre rôznych udalostí, ktoré potencionálne môžu mať negatívny vplyv na bežné činnosti organizácie ako sú napríklad:
V rámci kontinuity činností musia byť stanovené požiadavky na zdroje (adekvátne finančné, materiálno-technické a personálne zdroje), ktoré budú potrebné na implementáciu vybraných stratégií kontinuity činností. V zmysle požiadaviek zákona o kybernetickej bezpečnosti sa musí určiť čo má byť:
Súčasťou kontinuity činností musí byť vypracovanie analýzy funkčných dopadov a kvalifikácia potencionálnych dopadov a straty v prípade prerušenia alebo narušenia prevádzky u všetkých procesov organizácie. Požiadavkou analýzy funkčného dopadu musí byť určenie:
Kontinuitou musia byť zavedené postupy zálohovania na obnovy siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu obsahujúce najmenej:
Kontinuita činností musí obsahovať minimálne:
Požiadavky na výkon činností manažéra pre riadenie kontinuity činností:
Analýza dopadov musí:
- identifikovať rôzne kategórie procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti,
- určiť potenciálne dôsledky (škody/straty) pri rôznych dobách trvania kritických situácií,
- stanoviť maximálne akceptovateľné doby prerušenia (MTO),
- stanoviť minimálne ciele kontinuity podnikania (MBCO),
- určiť cieľové časy obnovy (RTO) a cieľové body obnovy (RPO),
Záverečná správa, ako výstup z analýzy dopadov musí obsahovať:
Pri analýze dopadov je potrebné identifikovať:
Pričom kritickým obdobím až krízovou situáciou môže byť:
4.2.2 Rozsah informačných systémov – AS IS
Implementované bezpečnostné riešenia sa budú dotýkať najmä zvýšenia ochrany a bezpečnosti nasledovných IS:
Kód ISVS (z MetaIS)
Názov ISVS
Modul ISVS
(zaškrtnite ak ISVS je modulom)
Stav IS VS
(AS IS)
Typ IS VS
Kód nadradeného ISVS
(v prípade zaškrtnutého checkboxu pre modul ISVS)
Promis
☐
Vyberte jednu z možností
Vyberte jednu z možností
Tomocon
☐
Vyberte jednu z možností
Vyberte jednu z možností
Tomocon Go
☐
Vyberte jednu z možností
Vyberte jednu z možností
Tomocon Camera
☐
Vyberte jednu z možností
Vyberte jednu z možností
T3C
☐
Vyberte jednu z možností
Vyberte jednu z možností
Pharmay HITT
☐
Vyberte jednu z možností
Vyberte jednu z možností
VEMA
☐
Vyberte jednu z možností
Vyberte jednu z možností
Admis
☐
Vyberte jednu z možností
Vyberte jednu z možností
eLab(nadstavba na NIS)
☐
Vyberte jednu z možností
Vyberte jednu z možností
intranet
☐
Vyberte jednu z možností
Vyberte jednu z možností
Attendance
☐
Vyberte jednu z možností
Vyberte jednu z možností
Unifi Video kamery
☐
Vyberte jednu z možností
Vyberte jednu z možností
WISP majetok
☐
Vyberte jednu z možností
Vyberte jednu z možností
PROMYS
☐
Vyberte jednu z možností
Vyberte jednu z možností
Čiastočne a okrajovo sa implementované bezpečnostné opatrenia a riešenia budú dotýkať aj nasledovných infraštruktúrnych a podporných IS, ktoré ale nie sú ISVS:
Kód ISVS (z MetaIS)
Názov ISVS
Modul ISVS
(zaškrtnite ak ISVS je modulom)
Stav IS VS
(AS IS)
Typ IS VS
Kód nadradeného ISVS
(v prípade zaškrtnutého checkboxu pre modul ISVS)
Active directory
☒
Vyberte jednu z možností
Vyberte jednu z možností
Webové sídlo
☒
Vyberte jednu z možností
Vyberte jednu z možností
E-mailové služby
☒
Vyberte jednu z možností
Vyberte jednu z možností
4.2.3 Rozsah informačných systémov – TO BE
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2.4 Využívanie nadrezortných a spoločných ISVS – AS IS
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2.5 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2.6 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2.7 Aplikačné služby pre realizáciu koncových služieb – TO BE
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2.8 Aplikačné služby na integráciu – TO BE
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2.9 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.2.10 Konzumovanie údajov z IS CSRU – TO BE
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.3 Dátová vrstva
Z pohľadu dátového modelu nejde o typické biznis (agendové) dáta ale o dáta typu:
Dátové objekty uvedené v aplikačnej architektúre zároveň predstavujú aj konkrétne dáta, čiže dátový model, ktorý bude predmetom tohto projektu.
Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. sú určené pre proces riadenia KIB.
Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie bezpečnostných modulov, t.j. jednotlivé komponenty tohto navrhovaného riešenia a zároveň reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov.
Súčasťou riešenia budú detailné analytické, diagnostické a detekčno-bezpečnostné práce nad všetkými existujúcimi koncovými zariadeniami z pohľadu vykonania detailného preverenia, analýzy a diagnostiky týchto zariadení na prípadnú prítomnosť infekcie malvérom a v prípade jeho identifikácie aj spoľahlivé a bezpečné odstránenie tak, aby následne mohla byť na tieto zariadenia nasadená rozšírená a najmä funkčná AV a EDR/XDR ochrana.
V rámci tejto vrstvy sa požaduje rozšírenie licencií existujúceho AV riešenia (ESET) na všetky koncové stanice a servery a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Požaduje sa dodanie riešenia na prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, šifrovanie celých diskov, správu zraniteľností a patchov aplikácií tretích strán, ochranu poštových serverov/mailboxov, ochranu cloudového prostredia Microsoft365/Google Workspace a možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení podľa voľby SPU NR za účelom povýšenia kybernetickej bezpečnosti. Riešenie poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou, a ktorá zahŕňa funkcie, ako napr. detekcia incidentov v reálnom čase, manažment a reakcia na incidenty, zozbieravanie údajov, detekcia indikátorov ohrozenia, detekcia anomálií, detekcia správania, detekcia porušenia pravidiel atď.
Súčasťou dodávky musí byť aj konzola / systém na správu celého riešenia.
Detailné požiadavky na riešenie:
Integrovaná cloudová analýza neznámych vzoriek:
Šifrovanie celých diskov:
XDR riešenie:
Management konzola pre správu všetkých riešení v rámci ponúkaného balíka v rozsahu:
Správa zraniteľností a patchov aplikácií tretích strán:
Ochrana poštových serverov/mailboxov:
Ochrana cloudového prostredia Microsoft365/Google Workspace
Nástroj na 2-faktorovú autentifikáciu:
4.4 Technologická vrstva
4.4.1 Prehľad technologického stavu - AS IS
Sieťová infraštruktúra je komplexná a pozostáva z viacerých segmentov, ktoré sú prepojené rôznymi typmi sieťových zariadení. Hlavné prvky siete zahŕňajú core switche, access switche, firewally a rôzne typy serverov. Hlavné core switche, umiestnené v sreverovni 2 je ústredným bodom siete, ktorý prepája všetky hlavné racky a serverovne. Tieto redudantné switche sú zodpovedné za riadenie vysokorýchlostného prenosu dát medzi jednotlivými časťami siete v dvoch smeroch a sú pospájané medzi sebou cez rôzne časti budovy.
Návrh infraštruktúry do záložného dátového centra:
Segmentácia stávajúcej LAN siete a zavedenie autentifikácie
a)Segmentácia siete a zavedenie 802.1x – Ochrana pred kybernetickými útokmi z LAN siete
Autentizácia prístupu k portom pomocou protokolu IEEE 802.1x je základ dnes populárnej technológie nazvanej Network Access Control (NAC), Network Admission Control (NAC) alebo Network Access Protection (NAP), ktoré riadia prístup zariadenia k sieti.
Výhodou tohto riešenia je, že sa prístup kontroluje pred vstupom do siete, teda priamo na porte (access switch), do ktorého je zariadenie pripojené. Princíp spočíva v tom, že port na switchy je zablokovaný (nepovoľuje žiadnu komunikáciu) do tej doby, než sa pripojené zariadenie úspešne autentizuje. Pri tejto metóde je možné využiť aj rady ďalších vlastností, napríklad dynamické zaraďovanie do VLAN či zaradenie portu do hosťovskej VLANy, pokiaľ nedôjde k autentifikácii. Administrátori si tak môžu zabezpečiť prístupy do svojej siete a chrániť ju.
Protokol IEEE 802.1x
Ide o štandard pre kontrolu prístupu do siete založenú na porte ( Port-based Network Access Control). Je založený na Extensible Authentication Protocol (EAP) RFC 3748. Používa sa na novších switchoch vyššej triedy (väčšina dnešných Cisco switchov) alebo pre bezdrôtové siete (prístupové body AP). V LAN sieťach sa jedná o fyzickú bezpečnosť na linkovej vrstve (2. vrstva ISO / OSI).
V tejto súvislosti je potrebné v Nemocnici vymeniť CORE switche zapojené v stacku za nové, čím sa naplní ochrana siete najnovšími sieťovými protokolmi a umožní dlhodobú udržateľnosť riešenia.
Fungovanie IEEE 802.1X - ak je port v neautorizovanom stave (unauthorized), tak neprijíma od klienta (označuje sa ako supplicant ) žiadnu komunikáciu mimo 802.1x prevádzky (presnejšie, na porte je povolené Extensible Authentication Protocol over LAN – EAPOL , CDP, Spanning Tree Protocol). Nasleduje fáza autentizácie, ktorú authenticator (väčšinou switch) odovzdáva autentizačnému serveru (väčšinou RADIUS (napr. v prostredí Nemocnice on Premise)).
Pokiaľ dôjde k úspešnej autentizáciu, tak sa port prepne do autorizovaného stavu (authorized), kedy je normálne funkčný. Klient sa môže odhlásiť, potom sa port opäť prepne do neautorizovaného stavu. Zakaždým, keď sa stav linky zmení z down na up, tak port začína pracovať v neautorizovanom stave.
Navrhovaná segmentácia siete s ohľadom na zavedenie protokolu IEEE 802.1x
#10 - Brezno (Centrála)
#20 - Brusno
#30 - Bystrá
#40 - Maša
#50 - Huta
VLAN meno VLAN subnet (subnet-y) DHCP VLAN VLAN subnet Poznámka
10 konfig novych zariadení 192.168.0.0/23 DHCP 10 192.168.0.0/23
11 SERVERY 10.10.0.0/24 11 10.10.11.0/24
20 VVN 20 10.10.20.0/24
30 DMZ_OUT 10.30.0.0/24 30 10.10.30.0/24
31 DMZ_IN 10.30.10.0/24 31 10.10.31.0/24
32 ZZS Brusno PC 10.0.32.0/24 DHCP 210 10.20.210.0/24
33 ZZS Bystrá PC 10.0.33.0/24 DHCP 210 10.30.210.0/24
34 ZZS Maša PC 10.0.34.0/24 DHCP 210 10.40.210.0/24
35 ZZS M. Huta PC 10.0.35.0/24 DHCP 210 10.50.210.0/24
39 ZZS Brezno PC 10.0.39.0/24 DHCP 210 10.10.210.0/24
40 VoIP 172.16.2.0/22 DHCP 40 172.16.0.0/22
41 VoIP pre ZZS 172.16.0.0/24 DHCP 41 172.16.4.0/24
54 VLAN0054 54 Zrušiť
55 VLAN0055 55 Zrušiť
58 SWITCH_MGMT 10.10.58.0 58 10.10.58.0
68 IT_MGMT 10.10.68.0/24 DHCP 68 10.10.68.0/24
69 WIFI_MGMT 10.10.69.0/24 DHCP 69 10.10.69.0/24
79 VPN_WAN_BACKUP 79 Cisco, FGT - MPLS backup
80 INET_VOIP_BACKUP 80 Cisco - WAN INET backup
100 parkovaci system 10.10.100.0/24 DHCP 100 10.10.100.0/24
101 MaR kotolna 10.10.101.0/24 DHCP 101 10.10.101.0/24
102 dochadzkovy system 10.10.102.0/24 DHCP 102 10.10.102.0/24
103 pristupovy system 10.10.103.0/24 DHCP 103 10.10.103.0/24
104 kamerovy system 10.10.104.0/24 DHCP 104 10.10.104.0/24
105 sestersky system 10.10.105.0/24 DHCP 105 10.10.105.0/24
109 INET_DATA_BACKUP 109 FortiGate - Internet_Backup
132 Brusno WiFi zabezp 10.1.32.0/24 DHCP 220 10.20.220.0/24
133 Bystrá WiFi zabezp 10.1.33.0/24 DHCP 220 10.30.220.0/24
134 Maša WiFi zabezp 10.1.34.0/24 DHCP 220 10.40.220.0/24
135 M. Huta WiFi zabezp 10.1.35.0/24 DHCP 220 10.50.220.0/24
139 Brezno Wifi zabezp 10.1.39.0/24 DHCP 220 10.10.220.0/24
232 Brusno WiFi free 10.2.32.0/24 DHCP 230 10.20.230.0/24
233 Bystrá WiFi free 10.2.33.0/24 DHCP 230 10.30.230.0/24
234 Maša WiFi free 10.2.34.0/24 DHCP 230 10.40.230.0/24
235 M. Huta WiFi free 10.2.35.0/24 DHCP 230 10.50.230.0/24
240 Brezno Wifi free 10.2.40.0./21 DHCP 230 10.10.230.0./21
301 TCOM_BACKUP 301 Zrušiť
410 TCOM_BACKUP_2 410 Zrušiť
500 THP0 10.50.0.0/24 DHCP 150 10.10.150.0/24
501 THP1 10.50.1.0/24 DHCP 151 10.10.151.0/24
502 THP2 10.50.2.0/24 DHCP 152 10.10.152.0/24
503 THP3 10.50.3.0/24 DHCP 153 10.10.153.0/24
504 THP4 10.50.4.0/24 DHCP 154 10.10.154.0/24
505 THP5 10.50.5.0/24 DHCP 155 10.10.155.0/24
506 THP6 10.50.6.0/24 DHCP 156 10.10.156.0/24
507 THP7 10.50.7.0/24 DHCP 157 10.10.157.0/24
508 THP8 10.50.8.0/24 DHCP 158 10.10.158.0/24
509 THP9 10.50.9.0/24 DHCP 159 10.10.159.0/24
600 AMB0 10.60.0.0/24 DHCP 160 10.10.160.0/24
601 AMB1 10.60.1.0/24 DHCP 161 10.10.161.0/24
602 AMB2 10.60.2.0/24 DHCP 162 10.10.162.0/24
603 AMB3 10.60.3.0/24 DHCP 163 10.10.163.0/24
604 AMB4 10.60.4.0/24 DHCP 164 10.10.164.0/24
605 AMB5 10.60.5.0/24 DHCP 165 10.10.165.0/24
606 AMB6 10.60.6.0/24 DHCP 166 10.10.166.0/24
607 AMB7 10.60.7.0/24 DHCP 167 10.10.167.0/24
608 AMB8 10.60.8.0/24 DHCP 168 10.10.168.0/24
609 AMB9 10.60.9.0/24 DHCP 169 10.10.169.0/24
700 Lôžka1 10.70.0.0/24 DHCP 170 10.10.170.0/24
701 Lôžka2 10.70.1.0/24 DHCP 171 10.10.171.0/24
702 Lôžka3 10.70.2.0/24 DHCP 172 10.10.172.0/24
703 Lôžka4 10.70.3.0/24 DHCP 173 10.10.173.0/24
704 Lôžka5 10.70.4.0/24 DHCP 174 10.10.174.0/24
705 Lôžka6 10.70.5.0/24 DHCP 175 10.10.175.0/24
706 Lôžka7 10.70.6.0/24 DHCP 176 10.10.176.0/24
707 Lôžka8 10.70.7.0/24 DHCP 177 10.10.177.0/24
708 Lôžka9 10.70.8.0/24 DHCP 178 10.10.178.0/24
709 Lôžka10 10.70.9.0/24 DHCP 179 10.10.179.0/24
800 SVaLZ0 10.80.0.0/24 DHCP 180 10.10.180.0/24
801 SvaLZ1 10.80.1.0/24 DHCP 181 10.10.181.0/24
802 SVaLZ2 10.80.2.0/24 DHCP 182 10.10.182.0/24
803 SVaLZ3 10.80.3.0/24 DHCP 183 10.10.183.0/24
804 SVaLZ4 10.80.4.0/24 DHCP 184 10.10.184.0/24
805 SVaLZ5 10.80.5.0/24 DHCP 185 10.10.185.0/24
806 SVaLZ6 10.80.6.0/24 DHCP 186 10.10.186.0/24
807 SVaLZ7 10.80.7.0/24 DHCP 187 10.10.187.0/24
808 SVaLZ8 10.80.8.0/24 DHCP 188 10.10.188.0/24
809 SVaLZ9 10.80.9.0/24 DHCP 189 10.10.189.0/24
900 sukromnici0 10.90.0.0/24 DHCP 190 10.10.190.0/24
901 sukromnici1 10.90.1.0/24 DHCP 191 10.10.191.0/24
902 sukromnici2 10.90.2.0/24 DHCP 192 10.10.192.0/24
903 sukromnici3 10.90.3.0/24 DHCP 193 10.10.193.0/24
904 sukromnici4 10.90.4.0/24 DHCP 194 10.10.194.0/24
905 sukromnici5 10.90.5.0/24 DHCP 195 10.10.195.0/24
906 sukromnici6 10.90.6.0/24 DHCP 196 10.10.196.0/24
907 sukromnici7 10.90.7.0/24 DHCP 197 10.10.197.0/24
908 sukromnici8 10.90.8.0/24 DHCP 198 10.10.198.0/24
909 sukromnici9 10.90.9.0./24 DHCP 199 10.10.199.0/24
910 CENTR_LAN_TO_VPN 910 Pobočky
991 NICOTA 991 Zrušiť
1002 fddi-default 1002 Cisco default
1003 token-ring-default 1003 Cisco default
1004 fddinet-default 1004 Cisco default
1005 trnet-default 1005 Cisco default
1200 IPTV ??? DHCP 1200 10.200.0.0/24
4054 DOCASNE_SW_MGMT 4054 Naše účely
b) Vytvorenie dvojfaktoru pre VPN užívateľov
Vzhľadom na zraniteľnosť VPN siete cez prihlasovanie koncových zriadení odporúčame využívať dvojfaktorovú autentifikáciu pre koncové zariadenia pripájajúcich na diaľku do VPN siete Nemocnice.
Navrhované riešenie je na báze Fortinet – FortiToken, keďže nemocnica využíva služby Fortigate-u.
Prihlasovanie sa iba pomocou hesla nezastaví šikovných útočníkov pred vstupom do siete či aplikácie. Autentifikácia iba heslom viedla v mnohých prípadoch k prelomeniu bezpečnosti, infikovaniu malvérom a porušeniu zásad a politík. Oveľa vyššie zabezpečenie poskytuje „viacfaktorová autentifikácia“ (MFA = multi-factor authentication) - konkrétne napr. použitie hesla súčasne s jednorazovým bezpečnostným tokenom (kódom), ktorý bude overený cez autentifikačný server (ním môže byť FortiGate alebo vo väčších nasadeniach FortiAuthenticator). Autorizovaní zamestnanci tak môžu pristupovať k firemným zdrojom bezpečne, využitím škály „overovacích“ zariadení od mobilov až po PC.
FortiToken Mobile je aplikácia pre iOS, Android, Windows Phone a Windows, ktorá slúži ako hardvérový token, ale využíva hardvér, ktorý už väčšina používateľov vlastní - mobilný telefón, prípadne PC. Aplikácia môže byť navyše chránená aj pomocou TouchID/FaceID.
FortiToken Mobile prináša flexibilne škálovateľné riešenie s nízkymi pravidelnými a vstupnými nákladmi (aj vďaka možnosti využiť existujúci FortiGate ako autentifikačný server).
(v individuálnych prípadoch je možné obstarať aj HW FortiTokeny, viď. obrázok)
Viac info: https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/fortitoken.pdf
Dvojfaktorová / viacfaktorová autentifikácia všeobecne vzniká kombináciou nasledujúcich faktorov (napr. heslo a token) :
FortiToken (MFA) spĺňa nasledovné § kyberzákona (č. 69/2018 Z. z.):
4.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE
Predpokladané výkonnostné parametre a kapacitné požiadavky sú, tam kde je to relevantné, uvedené v popise aplikačnej architektúry jednotlivých aplikačných funkcií a aplikačných modulov.
4.4.3 Návrh riešenia technologickej architektúry
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.4.4 Využívanie služieb z katalógu služieb vládneho cloudu
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
4.5 Bezpečnostná architektúra
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia.
5. Závislosti na ostatné ISVS / projekty
Závislostí na iné projekty neboli identifikované.
6. Zdrojové kódy
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
Riešenie nepredpokladá vývoj softvéru, ale použitie komerčných bezpečnostných produktov a zariadení.
7. Prevádzka a údržba
7.1 Prevádzkové požiadavky
7.1.1 Úrovne podpory používateľov
Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.
7.1.2 Riešenie incidentov – SLA parametre
Označenie naliehavosti incidentu:
Označenie naliehavosti incidentu
Závažnosť incidentu
Popis naliehavosti incidentu
A
Kritická
Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.
B
Vysoká
Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.
C
Stredná
Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.
D
Nízka
Kozmetické a drobné chyby.
možný dopad:
Označenie závažnosti incidentu
Dopad
Popis dopadu
1
katastrofický
katastrofický dopad, priamy finančný dopad alebo strata dát,
2
značný
značný dopad alebo strata dát
3
malý
malý dopad alebo strata dát
Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:
Matica priority incidentov
Dopad
Katastrofický - 1
Značný - 2
Malý - 3
Naliehavosť
Kritická - A
1
2
3
Vysoká - B
2
3
3
Stredná - C
2
3
4
Nízka - D
3
4
4
Vyžadované reakčné doby:
Označenie priority incidentu
Reakčná doba(1) od nahlásenia incidentu po začiatok riešenia incidentu
Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) (2)
Spoľahlivosť (3)
(počet incidentov za mesiac)
1
0,5 hod.
4 hodín
1
2
1 hod.
12 hodín
2
3
1 hod.
24 hodín
10
4
1 hod.
Vyriešené a nasadené v rámci plánovaných releasov
7.2 Požadovaná dostupnosť IS:
Popis
Parameter
Poznámka
Prevádzkové hodiny
24 hodín
Od 7:00 do 15:00 je hlavný pracovný čas
Servisné okno
16 hodín
od 15:00 hod. - do 7:00 hod. počas pracovných dní
24 hodín
od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov
Servis a údržba sa bude realizovať podľa potreby v ohlásenom čase.
Dostupnosť produkčného prostredia IS
98,5%
98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod.
Maximálny mesačný výpadok je 5,5 hodiny.
Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.
Nedostupnosť IS sa počíta od nahlásenia incidentu Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.
V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.
7.2.1 Dostupnosť (Availability)
Požadovaná dostupnosť pre aktivity projektu:
Požadovaná dostupnosť pre nasledovné aktivity projektu:
7.2.2 RTO (Recovery Time Objective)
Zavedenie aktivít:
si budú vyžadovať tretí stupeň, t.j. rýchlu obnovu.
RTO pre tieto aktivity je definované na 24 hodín.
7.2.3 RPO (Recovery Point Objective)
Nasledovné aktivity:
si budú vyžadovať len tradičné zálohovanie, avšak RPO pre tieto aktivity je definované na 24 hodín.
8. Požiadavky na personál
Pracovníci oddelenia informatiky.
9. Implementácia a preberanie výstupov projektu
V projekte neprebieha vývoj/implementácia.
10. Prílohy