projekt_2722_Pristup_k_projektu_detailny

Version 2.1 by svetlana_hanzelyova on 2024/06/23 16:35

PRÍSTUP K PROJEKTU

 Vzor pre manažérsky výstup I-03

podľa vyhlášky MIRRI č. 401/2023 Z. z. 


 

Povinná osoba

Technická univerzita vo Zvolene

Názov projektu

Zvýšenie úrovne kybernetickej bezpečnosti na Technickej univerzite vo Zvolene

Zodpovedná osoba za projekt

Ing. Tibor Weis (projektový manažér)

Realizátor projektu

Technická univerzita vo Zvolene

Vlastník projektu

Technická univerzita vo Zvolene

 


Schvaľovanie dokumentu

Položka

Meno a priezvisko

Organizácia

Pracovná pozícia

Dátum

Podpis

(alebo elektronický súhlas)

Vypracoval

Ing. Tibor Weis

TU Zvolen

Riaditeľ CIT

23.6.2024


1.História dokumentu

Verzia

Dátum

Zmeny

Meno

0.1

01.06.2024

Pracovný návrh

Ing. Tibor Weis

1.0

23.06.2024

Zapracovanie súladu s vyhláškou č. 401/2023 Z. z., finálna verzia v súlade so ŽoNFP

Ing. Tibor Weis

2. Účel dokumentu

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky a požiadaviek výzvy: PSK-MIRRI-614-2024-DV-EFRR ( Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy) bude obsahovať opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.

V zmysle usmernenia MIRRI SR sa v projektovej dokumentácii (ani v žiadosti) nešpecifikujú detailne konkrétne riziká a dopady a nezverejňuje sa podrobná dokumentácia toho, kde sú najväčšie riziká IT systémov a uvádzajú sa iba oblasti identifikovaných rizík a dopadov. Zároveň je možné manažérske produkty napísať všeobecne.

2.1       Použité skratky a pojmy

Z hľadiska formálneho sú použité skratky a pojmy rámci celého dokumentu definované priebežne, štandardne pri prvom použití v zátvorke označením „ďalej len“).


2.2       Konvencie pre typy požiadaviek (príklady)

V rámci projektu budú definované tri základné typy požiadaviek:

Funkčné (používateľské) požiadavky majú nasledovnú konvenciu:

IDxx

ID – funkčná požiadavka xx – číslo požiadavky

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:

IDxx

ID – nefukčná požiadavka (NFR) xx – číslo požiadavky

Technické požiadavky majú nasledovnú konvenciu:

IDxx

ID – technická požiadavka xx – číslo požiadavky

3. Popis navrhovaného riešenia

Navrhované riešenie vychádza z aktuálneho stavu kybernetickej bezpečnosti TUZVO. TUZVO si uvedomuje, že v zmysle požiadaviek zákona o kybernetickej bezpečnosti a  zavedených opatrení v zmysle vyhlášky 362/2018 Z.z. (ďalej len ZoKB), ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška 362/2018 Z.z.) spĺňa len čiastočnú úroveň ustanovených požiadaviek.

V rámci projektového zámeru boli stanovené nasledovné ciele a spôsob ich riešenia:

Všetky ciele projektu sú definované v súlade s vyššie uvedenými strategickými dokumentmi:

ID

Názov cieľa

Názov strategického cieľa*

Spôsob realizácie strategického cieľa

1

Vytvorenie katalógu informačných aktív a realizovaním analýzy rizík na identifikovaných aktívach

Cieľ realizovaný v zmysle oprávnených podaktivít:
- Riadenie  rizík

Dôveryhodný štát pripravený na hrozby

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

Vypracovanie a aktualizácia stratégie kybernetickej bezpečnosti a bezpečnostnej dokumentácie s prihliadnutím na štruktúru bezpečnostnej dokumentácie podľa prílohy č.1 vyhlášky 362/2018 Z.z. Vypracovaná dokumentácia bude pokrývať všetky požadované oblasti požadovanej legislatívy.

Vypracovaný bude katalóg informačných aktív s určením vlastníkov a administrátorov jednotlivých aktív. Vypracovaný bude katalóg hrozieb a rizík a na základe týchto katalógov bude vypracovaná analýza rizík pre jednotlivé aktíva.
Kompletná identifikácia informačných aktív organizácie, vytvorenie katalógu aktív s určením vlastníkov a administrátorov jednotlivých aktív. Vypracovanie zoznamu hrozieb a ohodnotenie dopadov na aktíva z pohľadu triády CIA.
Vypracovanie smernice pre riadenie rizík, podľa ktorej bude vykonávaná analýza rizík informačných systémov univerzity.

2

Zabezpečenie organizácie kybernetickej a informačnej bezpečnosti

Cieľ realizovaný v zmysle oprávnených podaktivít:
- Organizácia kybernetickej a informačnej bezpečnosti
- Personálna bezpečnosť
- Riadenie prístupov
- Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami
- Bezpečnosť pri prevádzke informačných systémov a sietí
- Hodnotenie zraniteľností a bezpečnostné aktualizácie
- Ochrana proti škodlivému kódu
- Sieťová a komunikačná bezpečnosť
- Zaznamenávanie udalostí a monitorovanie
- Fyzická bezpečnosť a bezpečnosť prostredia
- Riešenie kybernetických bezpečnostných incidentov
- Kryptografické opatrenia
- Audit a kontrolné činnosti

Dôveryhodný štát pripravený na hrozby

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

Vytvorenie, resp. aktualizácia kompletnej bezpečnostnej dokumentácie podľa požiadaviek ZoKB Prílohy č. 1 k vyhláške č. 362/2018 Z. z.

Vypracovanie bezpečnostnej politiky pre univerzitu ohľadom riadenia, kontroly a vyhodnocovania stavu kybernetickej bezpečnosti na univerzite. Jedná sa o dokumentáciu, ktorá nie je zahrnutá v jednotlivých kapitolách - stratégia, bezpečnostná politika,...

Vypracovanie bezpečnostného projektu pre systém Memphis, ktorý spadá pod ISVS.

Vypracovanie postupov pri nástupe a odchode zamestnanca primárne z pohľadu prideľovania a odoberania prístupov do informačných systémov univerzity.

Vypracovanie smernice pre koncových užívateľov a administrátorov, podľa ktorej sa bude riadiť bezpečnosť pri narábaní s pridelenými výpočotvými prostriedkami a pri prístupe do informačných systémov univerzity.

Vypracovanie smernice pre riadenie prideľovania bezpečnostných rolí a úrovní prístupov pre interných a externých zamestnancov z dôvodu umožnenia prístupu k informačným systémom univerzity.

Určenie a revízia dodávateľských zmlúv s tretími stranami, ktoré majú vplyv na poskytovanie kritických systémov organizácie. Návrh zmien v zmluvách týkajúcich sa oblasti kybernetickej bezpečnosti.

Vypracovanie návrhu dodatku k zmluve s treťou stranou, ktorý bude pokrývať požiadavky ZoKB, ktoré sa týkajú dodávateľských vzťahov.

Vypracovanie smernice pre administrátorov, podľa ktorej sa budú riadiť pri správe interných systémov univerzity.

Vypracovanie postupov pre aplikovanie zmien v informačných systémoch univerzity a smerníc pre zaznamenávanie prevádzkových a bezpečnostných nastavení systémov.

Vypracovanie interného riadiaceho dokumentu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat.

Vypracovanie smernice na určenie zodpovednosti používateľov.

Vypracovanie interného riadiaceho dokumentu pre administrátorov ohľadom ochrany koncových bodov pred škodlivým kódom.

Vypracovanie interného riadiaceho dokumentu upravujúceho pravidlá sieťovej a komunikačnej bezpečnosti


Vypracovanie dokumentácie spôsobu monitorovania a fungovania centrálneho log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností.

Vypracovanie smernice pre fyzickú a objektovú bezpečnosť, ktorá bude definovať požiadavky na zabezpečené priestory a na prístup do týchto priestorov.

Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností, vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov.

Vypracovanie smernice pre kryptografické opatrenia, ktorá bude definovať používanie a uchovávanie informácií týkajúcich sa použitých prístupových hesiel a kľúčov, bezpečnostných cetifikátov a ostatných bezpečnostných prvkov.

Vypracovanie smernice pre posudzovanie bezpečnosti informačných systémov verejnej správy a ich vyhodnocovania.

3

Implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke

Cieľ realizovaný v zmysle oprávnených podaktivít:
- Bezpečnosť pri prevádzke informačných systémov a sietí

Dôveryhodný štát pripravený na hrozby

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

Implementácia nástroja pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení.

4

Zvýšenie sieťovej a komunikačnej bezpečnosti nasadením a implementáciou NGFW do siete

Cieľ realizovaný v zmysle oprávnených podaktivít:
- Sieťová a komunikačná bezpečnosť

Dôveryhodný štát pripravený na hrozby

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

Implementácia a konfigurácia perimetrového firewallu za účelom zabezpečenia bezpečného oddelenia internej siete a internetu. Úlohou tohto firewallu bude aj riešiť bezpečný prestup medzi segmentami siete a taktiež bude zabezpečovať bezpečný vzdialený prístup do siete na základe VPN spojení s overovaním pomocou dvojfaktorovej autentizácie. Zariadenia budú poskytovať pokročilé funkcie ako hĺbková inšpekcia sieťovej prevádzky, detekcia a prevencia hrozieb.

5

Implementácia systémov na nepretržitú kontrolu dátových tokov v interných sieťach univerzity

Cieľ realizovaný v zmysle oprávnených podaktivít:
- Sieťová a komunikačná bezpečnosť

Dôveryhodný štát pripravený na hrozby

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

Implementácia dohľadového nástroja, ktorý sleduje a identifikuje sieťové spojenia na hranici s vonkajšou sieťou, vytvára prehľady o prenesených dátach, o podozrivých prístupoch na škodlivé stránky a je schopný vytvárať automatizované reporty z pohľadu dodržiavania bezpečnostných smerníc.

Zakúpenie a implementácia nástroja na sledovanie interných dátových tokov pomocou zrkadlenia prevádzky za účelom identifikácie dátových tokov medzi jednotlivými zariadeniami v sieti s funkcionalitou deep-packet-inspection za účelom odhaľovania anomálií v sieťovej prevádzke. Implementácia a konfigurácia nástroja určeného na bezpečnostný dohľad internej komunikácie v sieti na základe deep packet inspection,  Na základe sledovania a detegovania podozrivej komunikácie bude možné na základe behaviorálnej analýzy odhaliť podozrivú aktivitu, resp. prienik na servery a systémy, ktoré podporujú základné služby organizácie.

6

Implementácia centrálneho log manažment systému pre zber a ukladanie logov zo systémov univerzity s možnosťou korelácie incidentov a eventov a vytvárania alertov

Cieľ realizovaný v zmysle oprávnených podaktivít:
- Sieťová a komunikačná bezpečnosť

Dôveryhodný štát pripravený na hrozby

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

Zakúpenie a implementácia zariadenia pre centrálny zber systémových logov z rôznych zariadení a systémov prevádzkovaných v sieti univerzity. Vypracovanie pravidiel pre nasadenie logovania na rôzne zariadenia a vytvorenie korelačných pravidiel za účelom notifikovania administrátorov ohľadom podozrivých aktivít v sieti a na systémoch.

Implementácia SIEM nástroja pre koreláciu dát a informácií z rôznych zdrojov za účelom generovania alertov a vytvárania incidentov za účelom ich evidencie a evidencie postupov riešenia.

7

Implementácia systému na sledovanie prevádzkových parametrov a kapacít využívaných systémových prostriedkov.

Cieľ realizovaný v zmysle oprávnených podaktivít:
- Sieťová a komunikačná bezpečnosť


Implementácia dohľadového systému na sledovanie prevádzkových parametrov siete a systémov. Ide primárne o sledovanie dostupnosti jednotlivých zariadení, systémov a služieb a o sledovanie vyťaženosti systémov a služieb na týchto systémoch. Vytvorenie a zadefinovanie hraničných parametrov tak, že pri ich prekročení budú administrátori notifikovaní o vzniknutí tejto udalosti.

8

Implementácia nástroja na centrálne riadenie ochrany pred škodlivým kódom

Cieľ realizovaný v zmysle oprávnených podaktivít:
- Ochrana proti škodlivému kódu

Dôveryhodný štát pripravený na hrozby

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

Implementácia nástroja na centrálne riadenie ochrany pred škodlivým kódom. Bude nasadený nástroj na riadenie aktualizácií na koncových zariadeniach a taktiež bude nakonfigurovaný systém pre centrálnu správu antivírového systému.

9

Zavedenie nástroja určeného na notifikovanie o existujúcich zraniteľnostiach programových prostriedkov a ich častí

Cieľ realizovaný v zmysle oprávnených podaktivít:
- Hodnotenie zraniteľností a bezpečnostné aktualizácie

Dôveryhodný štát pripravený na hrozby

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

Implementácia a konfigurácia nástroja, ktorý bude automaticky informovať administrátorov systémov v prípade výskytu novej zraniteľnosti na základe prístupov do databáz známych zraniteľností.

10

Zvýšenie bezpečnosti pri prevádzke informačných systémov a sietí dobudovaním záložných dátových kapacít

Cieľ realizovaný v zmysle oprávnených podaktivít:
- Kontinuita prevádzky

Dôveryhodný štát pripravený na hrozby

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

Implementácia zabezpečeného systému zálohovania vo fyzicky oddelenej budove za účelom zabezpečenia kópie dôležitých systémov a dát v prípade zlyhania alebo zničenia primárnej serverovne. Systém zálohovania by mal mať ochranu pred zmazaním a prepísaním uložených dát a mal by uchovávať zálohy v šifrovanej podobe.
Zaobstaranie licencií potrebných pre úspešné prevádzkovanie bezpečného zálohovania dôležitých systémov a dát.

11

Vypracovanie plánov kontinuíty a ich otestovanie

Cieľ realizovaný v zmysle oprávnených podaktivít:
- Kontinuita prevádzky

Dôveryhodný štát pripravený na hrozby

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu. Vypracovanie dekompozície dôležitých služieb a vypracovanie BIA pre tieto služby, resp. systémy.

Vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania.

12

Implementácia systému pre inventarizáciu aktív

Cieľ realizovaný v zmysle oprávnených podaktivít:
- Riadenie rizík

Dôveryhodný štát pripravený na hrozby

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

Implementácia jednotného informačného systému KB.
Návrh interného systému na riadenie rizík  pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení"

4. Architektúra riešenia projektu

Architektúra celého riešenia je v zmysle usmernenia MIRRI SR rámcovaná tak, aby bolo z projektu zrejmé, ktoré komponenty v rámci realizácie projektu budú vytvorené (a budú realizovať opatrenia KIB).

Primárne opatrenia kybernetickej bezpečnosti chránia IS TUZV, ktoré sú určené na prevádzkovanie univerzitných služieb. Z vyššie definovaných spôsobov realizácie cieľov (viď kapitola 3 Popis navrhovaného riešenia) je zrejmé, o aké komponenty zabezpečenia pôjde - firewally, multifaktorové overovanie, centrálny logovací nástroj, nástroj na sledovanie prevádzkových parametrov siete, nástroje na detekciu v sieti a na hranici siete, nástroj na analýzu dátových tokov v sieti, systém na vyhodnocovanie kybernetických bezpečnostných udalostí a incidentov, centrálne riadenie záplat a aktualizácií, záložná kópia prevádzkových dát, kompletná dokumentácia podľa ZoKB vrátane BCM plánov.