Version 5.1 by silvia_vojtekova on 2024/08/09 14:35
Show last authors
1 OPIS NAVRHOVANÉHO RIEŠENIA
2
3 V rámci predloženého projektu sú navrhované nasledovné riešenia:
4
5 Čiastková aktivita a) Organizácia KB,
6
7 Na základe zistených nedostatkov v oblasti riadenia kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:
8
9 1. Komplexná bezpečnostná dokumentácia bude novo vypracovaná, pričom zohľadňuje predchádzajúcu dokumentáciu a jej aktualizácie vrátane rozsahu a metód dodržiavania všeobecných bezpečnostných opatrení.
10 1. Budú novo sa vyvinuté a implementované špecifické interné riadiace akty pre vybrané oblasti kybernetickej a informačnej bezpečnosti.
11 1. Bude aktualizovaný stav bezpečnostného výboru organizácie.
12 1. Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy.
13
14 Čiastková činnosť b) Softvér na automatizované riadenie rizík KB,
15
16 Na základe zistených nedostatkov v oblasti riadenia rizík kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:
17
18 1. Všetky aktíva súvisiace so spracovaním informácií a centrálnym inventárnym záznamovým zariadením budú identifikované ich hodnotou a s označením ich vlastníka, ktorý definuje ich požiadavky na dôvernosť, dostupnosť a integritu (EAM).
19 1. Riadenie rizík bude automatizované pomocou nástroja, pozostávajúce z identifikácie zraniteľnosti, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenia vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, funkčnej analýzy dopadov a pravidelného prehodnocovania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení.
20 1. Bude implementovaný automatizovaný systém správy a registrácie pre inventarizáciu majetku (EAM/).
21 1. Bude implementovaný automatizovaný systém riadenia a registrácie pre katalogizáciu hrozieb.
22
23 Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení.
24
25 - Sú identifikované všetky aktíva súvisiace so zariadením na spracovanie informácií a centrálne zaznamenávanie inventára týchto aktív podľa ich hodnoty a s určením ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu (EAM).
26 - Sú automatizovane pomocou nástroja riadené riziká skladajúce sa z identifikácie zraniteľností, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenie vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácií prijatých bezpečnostných opatrení.
27
28 \\
29
30 - Je implementovaný automatizovaný riadiaci a evidenčný systém pre inventarizáciu aktív (EAM/GRC).
31 - Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu hrozieb (GRC).
32 - Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu rizík a opatrení (GRC).- predpokladaná prácnosť v človekodňoch: 80
33
34 Nástroj na riadenie zistených aktív a rizík bude poskytovať nasledujúce funkcionality:
35 - Evidenciu aktív, rizík i hrozieb,
36 - Automatické hodnotenie a kalkulácia rizík a hrozieb,
37 - Zvládanie opatrení navrhnutá softvérovo,
38 - Automatická detekcia znižovania rizík a rekvalifikácia pôvodných aktív a hrozieb,
39 - Automatické generovanie podkladov pre audit,
40 - Integrácia s ostatnými systémami pre automatické zakladanie aktív,
41 - Podpora štandardov ISO27001, KyBe (NIS2), TISAX, DORA,
42 - Generovanie dokumentov ZHR, POA a PZR pre audit,
43 - Notifikácia opatrení.
44
45 Čiastková činnosť c) Personálna bezpečnosť,
46
47 Na základe zistených nedostatkov v oblasti personálnej bezpečnosti v organizácii je stanovený nasledovný cieľový stav:
48
49 1. Bude vyvinutý postup na priradenie osoby k jednej z rolí zabezpečenia
50 1. Bude zavedený plán na rozvoj bezpečnostného povedomia a vzdelávania
51 1. Bude vyvinutá metóda hodnotenia účinnosti rozvojového plánu bezpečnostného povedomia
52 1. Budú určené pravidlá a postupy pri riešení porušení bezpečnostnej politiky
53 1. Budú zavedené postupy na ukončenie pracovného pomeru
54 1. Budú zavedené postupy pre prípady porušenia bezpečnostných politík
55 1. Bude vypracovaný a aktualizovaný akt vnútorného riadenia s bezpečnostnými zásadami pre koncových používateľov
56 1. Postupy a procesy, ktorými sa riadi personálna bezpečnosť organizácie, budú vypracované a implementované prostredníctvom interného riadiaceho aktu.
57 1. Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD.
58
59 Čiastková aktivita k) Softvér na zaznamenávanie udalostí a monitoring sietí a IS,
60
61 Na základe zistených nedostatkov v oblasti zaznamenávania a monitorovania udalostí je stanovený nasledovný cieľový stav:
62
63 1. Implementovaný bude centrálny log management systém pre zber a ukladanie logov z jednotlivých informačných systémov s podporou napojenia na riadiace systémy a poskytovania potrebných podporných dát.
64 1. Bude vypracovaná dokumentácia metód monitorovania a fungovania systému správy log a centrálneho nástroja na monitorovanie bezpečnosti a bude definovaný spôsob evidencie prevádzkových záznamov, ich vyhodnocovanie, spôsoby hlásenia podozrivej činnosti, zodpovedné osoby a ďalšie povinnosti.
65 1. Vytvorí sa špecifikácia všetkých udalostí, ktoré sa musia zaznamenávať, a súvisiaca konfigurácia prvkov informačných technológií verejnej správy vrátane dokumentácie rozsahu údajov zaznamenaných v protokolových súboroch.
66
67 Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou.
68
69 Softvér na zaznamenávanie udalostí a monitoring sietí a IS bude spĺňať minimálne nasledovné požiadavky:
70
71 LogManagement s neobmedzeným zberom logov vrátane HW
72
73 * Spracovanie udalostí z rôznych zdrojov logov naprieč výrobcami aplikácií, operačných systémov a sieťového hardvéru.
74 * Možnosť dopísania parseru pre zariadenie aktuálne nepodporované výrobcom bez nutnosti spolupráce s výrobcom alebo dodávateľom (vr. subdodávateľov) ponúkaného systému,
75 * Systém štandardizuje prijaté logy do jednotného formátu a logy sú parserované (rozdeľované) do príslušných políčok podľa ich typu,
76 * Nad takto štandardizovanými dátami systém automaticky vytvára indexy pre rýchlejšie vyhľadávanie pre všetky polia štandardizovaného logu,
77 * Všetky rozparsované položky prijaté systémom sú automaticky indexované. Nad všetkými položkami je možné ihneď vykonávať vyhľadávanie bez nutnosti dodatočného ručného indexovania administrátorom,
78 * Systém nesmie umožniť mazanie alebo modifikovanie už uložených logov,
79 * Konsolidácia logov na centrálnom mieste,
80 * Jednoduché vyhľadávanie udalostí (ad hoc) bez nutnosti programovania,
81 * Grafické znázornenie udalostí (grafy udalostí),
82 * Grafické znázornenie TOP udalostí nad všetkými dátami za určité časové obdobie,
83 * Automatické doplňovanie GeoIP informácií k udalostiam a ich grafické znázornenie na mape,
84 * Automatické doplňovanie reverzných DNS záznamov k IP adresám,
85 * V prípade preťaženia systému sú udalosti ukladané do vyrovnávacej pamäte,
86 * Unifikované vyhľadávanie naprieč všetkými typmi dát a zariadení,
87 * HW dimenzovaný na zber logov aspoň po dobu 12 mesiacov,
88 * HW vrátane virtualizačného riešenia,
89
90 \\