PRÍSTUP K PROJEKTU

 Vzor pre manažérsky výstup I-03

podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1.    História dokumentu

2.    Účel dokumentu

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky obsahuje opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.

2.1        Použité skratky a pojmy

3.    Popis navrhovaného riešenia

Projekt je zameraný na posilnenie kybernetickej bezpečnosti v dvoch oblastiach:

1. Posilnenie infraštruktúry ochrany dát obce v dátovom centre a zabezpečenie ochrany pred stále rastúcimi kybernetickými hrozbami prostredníctvom upgrades a doplnenia centrálnej infraštruktúry. Implementáciou projektu sa zabezpečí modernizácia a posilnenie bezpečnostnej základne infraštruktúry IS DCOM. Projekt zároveň prinesie aktívny dohľad, analýzu prevádzky a priebežný monitoring bezpečnostných stavov IS DCOM. Celkovo sa týmto spôsobom zvýši úroveň ochrany, a tým aj schopnosť efektívne reagovať na rôzne typy kybernetických incidentov. Zvýšená schopnosť detekcie a prevencie hrozieb znižuje riziko kybernetických incidentov a znefunkčnenia IS DCOM. Zvýšenie kybernetickej bezpečnosti predstavuje kľúčový prvok projektu. Hlavným cieľom je zabezpečiť, že IS DCOM a úrady samospráv využívajúcich IS DCOM budú menej vystavené rizikám, ktoré sú spojené s rastúcimi a sofistikovanejšími kybernetickými hrozbami. Rozšírením kybernetickej bezpečnosti na vyššiu úroveň zabezpečíme ochranu aktív a dôveryhodnosti organizácie, čo je kritické pre klientov. Zvýšená kybernetická bezpečnosť je kľúčovým prínosom projektu a bude mať široký dosah na bezpečnosť miestnej samosprávy. Nakoľko súčasťou kybernetickej bezpečnosti je zachovanie vysokej dostupnosti základnej služby, súčasťou tohto cieľa je aj zabezpečenie komplexného monitoringu nielen bezpečnostných prvkov, ale aj všetkých komponentov IS DCOM. Zabezpečením integrovaného monitoringu od fyzickej až po aplikačnú vrstvu bude DEUS schopný efektívne identifikovať ohrozenia a zistiť, či sa jedná o ohrozenia dostupnosti spôsobené prevádzkou samotného IS DCOM, alebo či sa jedná o ohrozenie z dôvodu historického, alebo práve prebiehajúceho bezpečnostného útoku.
2. Posilnenie bezpečnosti na samotných obciach. v zmysle zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti, je každá obec s počtom obyvateľov viac než 1000 prevádzkovateľom základnej služby štátu a je povinná dodržiavať bezpečnostné opatrenia podľa §20 (1). Sú to úlohy, procesy, role a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov. Predmetom projektu je nastavenie úloh, procesov, rolí a technológií v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti. V zásade ide o opatrenia, ktoré majú za cieľ minimalizovať riziko vzniku negatívnej udalosti akými sú napríklad:
   1. Narušenie prevádzky siete alebo informačného systému, ktoré ohrozí integritu alebo dôvernosť spracovávaných osobných údajov,
   2. úniku osobných údajov v dôsledku čoho môže vzniknúť škoda na zdraví, či ujma na majetku,
   3. obmedzenie výkonu, alebo ohrozenie pôsobnosti obce, najmä s ohľadom na schopnosť zabezpečenia bezpečia, verejného poriadku alebo zvládnutia mimoriadnej udalosti.

4.    Architektúra riešenia projektu

4.1        Biznis vrstva

Z pohľadu biznis procesov územná samospráva realizuje výkon vybraných procesov štátnej správy (tzv. prenesený výkon štátnej správy) a zodpovedá za metodické riadenie a výkon procesov samosprávy (tzv. originálne kompetencie). Ďalej z hľadiska originálnych kompetencií, obec pri výkone samosprávy najmä:

• vykonáva úkony súvisiace s riadnym hospodárením s hnuteľným a nehnuteľným majetkom obce a s majetkom vo vlastníctve štátu prenechaným obci do užívania,
• zostavuje a schvaľuje rozpočet obce a záverečný účet obce; vyhlasuje dobrovoľnú zbierku,
• rozhoduje vo veciach miestnych daní a miestnych poplatkov a vykonáva ich správu,
• usmerňuje ekonomickú činnosť v obci, a ak tak ustanovuje osobitný predpis, vydáva súhlas, záväzné stanovisko, stanovisko alebo vyjadrenie k podnikateľskej a inej činnosti právnických osôb a fyzických osôb a k umiestneniu prevádzky na území obce, vydáva záväzné stanoviská k investičnej činnosti v obci,
• utvára účinný systém kontroly a vytvára vhodné organizačné, finančné, personálne a materiálne podmienky na jeho nezávislý výkon,
• zabezpečuje výstavbu a údržbu a vykonáva správu miestnych komunikácií, verejných priestranstiev, obecného cintorína, kultúrnych, športových a ďalších obecných zariadení, kultúrnych pamiatok, pamiatkových území a pamätihodností obce,
• zabezpečuje verejnoprospešné služby, najmä nakladanie s komunálnym odpadom a drobným stavebným odpadom, udržiavanie čistoty v obci, správu a údržbu verejnej zelene a verejného osvetlenia, zásobovanie vodou, odvádzanie odpadových vôd, nakladanie s odpadovými vodami zo žúmp a miestnu verejnú dopravu,
• utvára a chráni zdravé podmienky a zdravý spôsob života a práce obyvateľov obce, chráni životné prostredie, ako aj utvára podmienky na zabezpečovanie zdravotnej starostlivosti, na vzdelávanie, kultúru, osvetovú činnosť, záujmovú umeleckú činnosť, telesnú kultúru a šport,
• plní úlohy na úseku ochrany spotrebiteľa a utvára podmienky na zásobovanie obce; spravuje trhoviská,
• obstaráva a schvaľuje územnoplánovaciu dokumentáciu obcí a zón, koncepciu rozvoja jednotlivých oblastí života obce,
• obstaráva a schvaľuje programy rozvoja bývania a spolupôsobí pri utváraní vhodných podmienok na bývanie v obci,
• vykonáva vlastnú investičnú činnosť a podnikateľskú činnosť v záujme zabezpečenia potrieb obyvateľov obce a rozvoja obce,
• zakladá, zriaďuje, zrušuje a kontroluje podľa osobitných predpisov svoje rozpočtové a príspevkové organizácie, iné právnické osoby a zariadenia,
• organizuje miestne referendum o dôležitých otázkach života a rozvoja obce,
• zabezpečuje verejný poriadok v obci,
• zabezpečuje ochranu kultúrnych pamiatok v rozsahu podľa osobitných predpisov a dbá o zachovanie prírodných hodnôt,
• plní úlohy na úseku sociálnej pomoci v rozsahu podľa osobitného predpisu,
• vykonáva osvedčovanie listín a podpisov na listinách,
• vedie obecnú kroniku v štátnom jazyku, prípadne aj v jazyku národnostnej menšiny.

IS DCOM umožňuje občanom komunikovať s obcou elektronicky, prostredníctvom tzv. elektronickej schránky. Verejnosť má dispozícii elektronické komunikačné rozhranie v podobe webových stránok pre všetkých 139 poskytovaných elektronických služieb. Občania majú prostredníctvom webového portálu DCOM prístup k elektronických službám, vrátane súkromnej zóny s informáciami o aktuálnej a predchádzajúcej komunikácii s obcou, či mestom. Zamestnanci úradov majú k dispozícii plne integrované a navzájom prepojené riešenia pre spracovanie agendy. Obce majú zároveň možnosť prevádzkovať svoje webové stránky v prostredí dátového centra (DCOM). Pracovníci obcí, rovnako ako aj pracovníci technickej podpory majú prístup na samostatný intranetový portál.

Používateľov systému DCOM možno rozdeliť nasledovne:

Externí používatelia – anonymná alebo autentifikovaná osoba, pristupujúca z externých verejných sietí a využívajúca služby portálu dcom.sk. Autentifikáciu externých používateľov zabezpečuje spoločný modul IAM ÚPVS.

• Obyvatelia (fyzické osoby)
• Podnikatelia

Interní používatelia – autentifikovaní používatelia pristupujúci z externých privátnych alebo verejných sietí do back-office DCOM. Používateľské účty, oprávnenia a autentifikačné prostriedky interných používateľov pre prístup k používateľským rozhraniam DCOM sú spravované v IAM DCOM.

• Reprezentant (úradník) obce alebo mesta - autentifikovaný zamestnanec obce alebo mesta, využívajúci služby IS DCOM
• Pracovník prevádzky - autentifikovaný zamestnanec DEUS, dodávateľa DEUS, dodávateľa ISM, poskytujúci podporu prevádzky DCOM.

Schéma biznis architektúry je nasledovná

Z pohľadu biznis architektúry nedôjde implementáciou projektu k zmenám v porovnaní AS IS a TO BE stavu.

4.1.1        Prehľad koncových služieb – budúci stav:

Projektom nebudú zavedené nové koncové služby

4.1.2        Jazyková podpora a lokalizácia

Slovenský jazyk

4.2        Aplikačná vrstva

Z pohľadu súčasnej architektúry IS DCOM, tento poskytuje obciam a mestám potrebnú aplikačno-programovú podporu pri spracovaní jednotlivých agend samosprávy. Informačný systém DCOM zabezpečuje tiež prepojenie informačných systémov samospráv s inými Informačnými systémami verejnej správy (IS VS) a so základnými registrami. V rámci obce zapojenej do IS DCOM, Informačný systém obce (ISO) zabezpečuje funkcie vnútornej správy obce minimálne v súlade s rozsahom základných modulov ako sú účtovníctvo obce, finančný a rozpočtový systém, banka a pokladňa, personalistika a mzdy, registratúra, správa majetku obce a systém pre zastupiteľstvo, a IS DCOM zabezpečuje agendu súvisiacu s obsluhou verejnosti. Táto časť je prepojená na ÚPVS a zabezpečuje plnohodnotnú elektronickú komunikáciu. Prostredníctvom synchronizačnej vrstvy dátovej DCOM je riešenie prepojené s registrami verejnej správy.

Architektúra riešenia DCOM vychádza z požiadaviek efektívneho prevádzkovania systémov a aplikácií obcí a miest, z požiadaviek vyššieho štandardu prevádzkovania aplikácií a z požiadavky flexibilného prispôsobovania potrebám budúcich aplikácií a modulom eGov. Riešenie IS DCOM možno rozdeliť do troch skupín – Front Office, Mid Office a Back Office. Informačný systém obce je časťou Back Office.

Front Office – prezentačná vrstva reprezentuje prezentačnú vrstvu, ktorá obsahuje interaktívne používateľské rozhrania aplikačných systémov pre používateľov IS DCOM. Front Office zabezpečuje interakciu IS DCOM s externými používateľmi, obsahuje interaktívne používateľské rozhranie pre občanov a podnikateľov a je integrovaný na ÚPVS. Prostredníctvom tejto vrstvy sú sprístupnené služby občanovi a referentovi obce v kompaktnej podobe. Je komponovaná s ohľadom na efektivitu jednotlivých konzumentov služieb a prostredníctvom silnej personalizačnej črty, kladie dôraz na rozdielny štýl práce jednotlivých rolí (občan / pracovník obce). Je adaptabilná pre používateľa a podľa kontextu vybavovanej agendy sa prispôsobuje a variuje od štýlu práce v koncepte portálu, cez koncept vybavenia služby, až po koncept práce v agendovom systéme.

Mid Office – procesno - integračná vrstva. Vrstva Mid Office je reprezentovaná procesno-integračnou vrstvou, prostredníctvom ktorej sa realizuje integračné a procesné riadenie. Komponenty BPM a Business Rules zastrešujú správu procesov a dennej agendy. Integračná platforma ESB zabezpečuje podpornú vrstvu pre integráciu systémov, orchestráciu služieb a manažment služieb podľa princípov SOA. Modul BAM zabezpečuje sledovanie a diagnostiku procesov, čo umožňuje následnú optimalizáciu.

Back Office – Aplikačná vrstva, ktorá zabezpečuje interakciu s internými používateľmi IS DCOM, úradníkmi obcí. Back Office predstavuje aplikačnú vrstvu tvorenú modulmi a komponentmi zabezpečujúcimi výkon elektronických služieb samosprávy prostredníctvom agendových systémov a podporných systémov. Obsahuje vrstvu integrácií na okolie IS DCOM, ako je napr. ISO, správu konsolidovanej dátovej vrstvy, správu cloudovej vrstvy a hardvérovej vrstvy. Súčasťou Back Office sú Informačné systémy obcí. Projekt DCOM poskytuje cloud platformu na prevádzku ISO modulov. Podporné moduly zastrešujú procesy podpory a prevádzky IS DCOM. Podporné moduly sú integrované do riešenia prostredníctvom integračnej vrstvy formou poskytovaných a konzumovaných služieb.

Schéma aplikačná architektúra:

Z pohľadu aplikačnej architektúry nedôjde implementáciou projektu k zmenám v porovnaní AS IS a TO BE stavu.

4.2.1        Rozsah informačných systémov – AS IS

Projektom nebudú budované nové IS ani upravované existujúce IS

4.2.2        Rozsah informačných systémov – TO BE

Projektom nebudú budované nové IS ani upravované existujúce IS

4.2.3        Využívanie nadrezortných a spoločných ISVS – AS IS

Projektom nebudú využívané nadrezortné a spoločné ISVS

4.2.4        Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE

Projektom nebudú využívané nadrezortné a spoločné ISVS

4.2.5        Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE

Projektom nebudú využívané nadrezortné a spoločné ISVS

4.2.6        Aplikačné služby pre realizáciu koncových služieb – TO BE

Projektom nebudú budované aplikačné služby.

4.2.7        Aplikačné služby na integráciu – TO BE

Projektom nebudú budované aplikačné služby.

4.2.8        Poskytovanie údajov z ISVS do IS CSRÚ – TO BE

Projektom nebudú poskytované údaje do IS CSRÚ

4.2.9        Konzumovanie údajov z IS CSRU – TO BE

Projektom nebudú konzumované údaje z IS CSRÚ

4.3        Dátová vrstva

4.3.1        Údaje v správe organizácie

Predmetom projektu nie je zavedenie opatrení a nástrojov v oblasti manažmentu údajov

4.3.2        Dátový rozsah projektu - Prehľad objektov evidencie - TO BE

Projektom nebudú poskytované údaje do IS CSRÚ

4.3.3        Referenčné údaje

4.3.3.1         Objekty evidencie z pohľadu procesu ich vyhlásenia za referenčné

Predmetom projektu nie je návrh na vyhlásenie a zmeny referenčných údajov

4.3.3.2         Identifikácia údajov pre konzumovanie alebo poskytovanie údajov  do/z CSRU

Projektom nebudú poskytované údaje do IS CSRÚ ani konzumované údaje z IS CSRÚ

4.3.4        Kvalita a čistenie údajov

4.3.4.1         Zhodnotenie objektov evidencie z pohľadu dátovej kvality

Predmetom projektu nie je zavedenie opatrení a nástrojov v oblasti manažmentu údajov.

4.3.4.2         Roly a predbežné personálne zabezpečenie pri riadení dátovej kvality

Predmetom projektu nie je zavedenie opatrení a nástrojov v oblasti manažmentu údajov.

4.3.5        Otvorené údaje

Predmetom projektu nie je sprístupnenie otvorených údajov.

4.3.6        Analytické údaje

Predmetom projektu nie je sprístupnenie analytických údajov.

4.3.7        Moje údaje

Predmetom projektu nie je sprístupnenie údajov prostredníctvom modulu procesnej integrácie a integrácie údajov.

4.3.8        Prehľad jednotlivých kategórií údajov

Predmetom projektu nie je zavedenie opatrení a nástrojov v oblasti manažmentu údajov.

4.4        Technologická vrstva

4.4.1        Prehľad technologického stavu - AS IS

Z pohľadu technologickej architektúry IS DCOM, základom riešenia je cloud infraštruktúra založená na princípoch ako sú redundancia lokality, redundancia funkčnosti, oddelenie sietí, obnoviteľnosť funkčnosti, modulárna infraštruktúra a štandardov pre dátové centrá a cloud infraštruktúru. Infraštruktúra pre prevádzku cloudu a aplikácií je vybudovaná ako vysoko dostupná, prevádzkovaná v dvoch nezávislých lokalitách a v prípade výpadku primárnej lokality je poskytujúca aplikácie z druhej, záložnej lokality, bez závislosti na dostupnosti komponentov a funkcií primárnej lokality. Cloud platforma umožňuje poskytovať služby IaaS (infraštruktúra ako služba) pre prevádzku ISO balíkov pre interné agendy obcí. Prístup používateľov (pracovníkov obcí a správcov ISO) k službám je štandardný, je definovaný spôsob, akým sú služby DCOM publikované pre obce. Pracovníci obcí pristupujú predovšetkým z koncových zariadení (PC alebo notebooky) dodaných v rámci projektu DCOM alternatívne cez privátnu komunikačnú sieť budovanú DataCentrom v rámci projektu FINNET, alebo cez internet.

Koncové zariadenia obsahujú operačný systém s potrebným softvérovým vybavením konfigurovaný, aktualizovaný a spravovaný centrálnym systémom. Z týchto pracovných staníc DCOM je možný aj alternatívny prístup cez sieť internet prostredníctvom zabezpečeného komunikačného kanálu. Tento stav sa v priebehu projektu a udržateľnosti môže zmeniť. Nesmie tým však utrpieť úroveň bezpečnosti samotného IS DCOM. Z dlhodobého pohľadu smeruje architektúra IS DCOM k riešeniu, kde nebude potrebné využívať zabezpečený kanál formou VPN, ale bezpečnosť bude riešená na úrovni ako infraštruktúry tak aj aplikácie tak, aby bolo aplikáciu možné používať ako úplne samostatnú SaaS službu so svojimi vlastnými bezpečnostnými riešeniami. Týmto postupom sa dlhodobo zruší závisloť na prevádzkovaní HW DEUSom a implementuje sa prístup “internetového bankovníctva“, teda dostupnosti riešenia z akéhokoľvek počítača pri zachovaní požadovanej bezpečnosti.

4.4.2        Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE

4.4.3        Návrh riešenia technologickej architektúry

Súčasťou projektu je tiež doplnenie jednotlivých produktových položiek pre potreby rozšírenia Bezpečnostnej vrstvy. Položky sú vylistované v zozname uvedenom v dokumente BC/CBA na karte HW a licencie. Doplnením jednotlivých položiek nedochádza k zmene architektúry technologickej vrstvy. Detailný popis jednotlivých HW/SW položiek je uvedený v kap. 4.5 a v prílohe Projektového zámeru č. 2.

4.4.4        Využívanie služieb z katalógu služieb vládneho cloudu

Pre realizáciu projektu nie je potrebné využívanie infraštruktúrnych služieb vládneho cloudu

4.5        Bezpečnostná architektúra

Návrh riešenia bezpečnostnej architektúry reflektuje cieľ projektu vytvoriť prostredie na národnej úrovni v ktorom bude možné čo najefektívnejšie zvyšovať úroveň kybernetickej bezpečnosti pre samosprávy SR a občanov SR využívajúcich elektronické služby samospráv. Predmetom projektu je implementácia riešenia ktoré zabezpečí dodržanie minimálnej požadovanej bezpečnostnej úrovne. Projekt kybernetickej bezpečnosti pre samosprávy do 6000 obyvateľov bude realizovaný v dvoch častiach:

I. Infraštruktúra ochrany dát obce v dátovom centre

IIa.          Zvýšenie kybernetickej bezpečnosti obcí v súčasnosti nezapojených do IS DCOM do 6000 obyvateľov

IIb.          Zvýšenie kybernetickej bezpečnosti obcí zapojených do IS DCOM do 6000 obyvateľov

I. Infraštruktúra ochrany dát obce v dátovom centre

Táto časť projektu si dáva za cieľ poskytnúť maximálnu ochranu perimetru IS DCOM a zabezpečiť tak maximálnu ochranu procesov a najmä dát občanov všetkých obcí, ktoré v danom čase využívajú kompletné riešenie IS DCOM.

Návrh riešenia:

• Konzultačné práce pre podrobnú analýzu nutných požiadaviek na kybernetickú bezpečnosť systému DCOM, najmä vzhľadom k požiadavkám vyplývajúcim z novej smernice EU NIS2
• Nákup HW vybavenia pre zabezpečenie nutných požiadaviek KB vyplývajúcich z analýzy
• Nákup SW produktov pre zabezpečenie nutných požiadaviek KB vyplývajúcich z analýzy
• Implementačné práce spojené s realizáciou vyššie uvedených aktivít
• Posilnenie interného teamu bezpečnostného dohľadu pre zabezpečenie udržateľnosti riešenia a potrebné interné školenia

Výstupom časti projektu zvýšenie bezpečnosti IS DCOM bude dlhodobo udržateľný a kyberneticky bezpečný informačný systém DCOM.

Schéma navrhovanej bezpečnostnej architektúry:

Popis jednotlivých blokov bezpečnostnej architektúry a požiadaviek na jednotlivé technológie, ktoré budú obstarané:

HW

Iba 4ks výkonných serverov, ktoré sa zapoja do jedného clustra, na ktorom do budúcnosti budú bežať všetky bezpečnostné SW riešenia vrátane virtuálnych core firewallov, web aplikačných firewallov a všetkých ostatných SW aplikácií pre security. Tieto servery plánujeme nakúpiť iba do primárneho DC. V ostatných dvoch DC počítame, že security software nasadíme na serveroch poskytnutých ako IaaS.

SW

Core Firewally –  4 licencie

Web Applications Firewally 4 virtuálne licencie

Core aplikačné FW a WAF plánujeme nakúpiť ako virtuálne licencie pre primárne DC (Kopčianska) a pre záložné DC. To znamená, že počítame s jedným HA párom pre primár aj pre backup, teda z každej licencie po 4 kusy.

EDR - Endpoint Detection and Response

Riešenie EDR (Endpoint Detection and Response) zabezpečuje zber, koreláciu a analýzu údajov o udalostiach na endpointoch, vrátane upozornení a reakcií na bezprostredné hrozby.

DNS firewall

DNS rekurzívny resolver s bezpečnostnými funkcionalitami, ktoré zabezpečujú ochranu DNS prekladu. DNS firewall zabezpečuje ochranu voči cieleným phishingovým útokom (targeted phishing), poskytuje službu ochrany identít zamestnancov (identity protection) a alerting ich kompromitácie.

PAM - systém riadenia privilegovaných prístupov

Systém riadenia privilegovaných prístupov a vytvárania nahrávok a auditnej stopy. Riešenie umožní automatické prideľovanie oprávnení privilegovaných prístupov ku kritickým systémom, a riadi životný cyklus privilegovaných identity (vznik identity, priradenie práv, revízia práv a odňatie práv). Zároveň riešenie umožní riadiť a rotovať heslá k privilegovaným zdieľaným aj osobným účtom, aby spĺňalo požiadavky na komplexnosť a unikátnosť. Heslá si vie užívateľ vyzdvihnúť alebo sa vedia riešením priamo vložiť do relácie a užívateľ ich nemusí zadávať zo svojej pracovnej stanice.

Riešenie umožní pri citlivých reláciách alebo využitia nadštandardných oprávnení užívateľom schvaľovací workflow emailom na zodpovedných pracovníkov.

NDR – Network Detection and Response

Nástroj na analýzu sieťovej prevádzky a bezpečnostný monitoring v prostredí technologickej a klasickej siete, ktorý okamžite identifikuje bezpečnostné riziká. Jedná sa o systém zložený z HW/SW zariadení, ktorý monitoruje sieťovú aktivitu v reálnom čase a identifikuje potenciálne kybernetické hrozby, bezpečnostné riziká a anomálne správanie a vytvára o nich upozornenia v reálnom čase.  NDR analyzuje sieť na základe zrkadlenej sieťovej prevádzky zo SPAN portov alebo TAPov a zároveň analyzuje obsah dátových paketov v reálnom čase a detekuje protokol alebo aplikáciu na základe obsahu prevádzky prostredníctvom DPI (Deep Packet Inspection). NDR analyzuje sieť na základe spracovania štatistických protokolov typu NetFlow, IPFIX, NetStream, Cisco NSEL a prípadne ďalších. Network Detection and Response umožňuje spracovanie a ukladanie sieťových tokov vo formáte, ktorý umožňujé analýzu sieťovej komunikácie na úrovni jednotlivých tokov, vrátane vyhľadania informácií o aplikačných transakciách a ich metadátach z L2 až L7, obsiahnutých v danom sieťovom toku, zároveň umožňuje analýzu aplikačných a systémových logov. NDR bude zbierať a analyzovať aplikačné a systémové logy vo formáte syslog z monitorovaných zariadení a identifikovať nebezpečné alebo potenciálne škodlivé aktivity.

Antivírus pre centrálne virtuálne servery

Všetky centrálne servery riešenia IS DCOM budú zabezpečené antivírusovým programom, ktorý zabezpečí ochranu centrálnych serverov IS DCOM v rozsahu:

• Ochrana pred ransomvérom
• Centrálna správa všetkých chránených serverov
• Prevencia Zero-day hrozieb
• Pokročilá kontrola pamäte
• Sandboxing podozrivých vzoriek
• Ochrana pred botnetmi
• Ochrana pred malvérom

Vulnerability management

Jedná sa o nástroj na automatické spúšťanie skenovania zraniteľností a získavanie údajov. Riešenie bude vykonávať automatizované testovanie zraniteľností zariadení a umožňovať testovanie dynamicky pridelených IP adries prostredníctvom služby DHCP. Taktiež bude monitorovať históriu týchto adries a podávať správy pomocou DNS alebo Host name. Konzola pre centrálnu správu a skener bude kompatibilná s operačnými systémami Windows a Linux. Riešenie bude podporovať hybridné nasadenie v rôznych prostrediach, ako sú fyzické, virtualizované a cloudové prostredia. Vulnerability management bude umožňovať automatickú aktualizáciu tagov v databáze aktív na základe dynamických označení. Taktiež bude podporovať automatické aktualizácie všetkých softvérových komponentov celej architektúry s najnovšími dostupnými verziami počas celého obdobia predplatného. Riešenie bude umožňovať centralizovanú správu všetkých nájdených aktívnych systémov a ich atribútov, vrátane verzií operačného systému, aplikácií, otvorených portov TCP a UDP a sieťových protokolov. taktiež bude zahŕňať definovanie statických a dynamických hierarchických tagov na filtrovanie aktív, testovanie a vykazovanie výsledkov.

Súčasťou vulnerability managementu bude podpora automatického zisťovania aktív s minimálnymi parametrami, ako sú IP adresy, MAC adresy a názvy hostiteľov, aby sa predišlo duplicite a zároveń bude podporovať centrálnu správu v geograficky rozptýlenom nasadení skenerov a podporovať prístup založený na rôznych rolách, vrátane vlastných rolí. Riešenie bude podporovať automatizáciu pracovných postupov, ako je plánovanie skenovania, upozornenia na udalosti a zraniteľnosti, ako aj generovanie a distribúcia správ. Plánované skenovanie bude podporovať opakované skenovanie v určitých časových intervaloch.

Súčasťou riešenia je podpora neinvazívnej aj invazívnej kontroly a umožnenie používateľom upraviť výkon skenovania a vykonávaných kontrol. Administratívne poverenia budú môcť byť použité na hĺbkové autentifikované skenovanie, ktoré kontroluje aktíva na širší rozsah zraniteľností alebo porušení bezpečnostných politík.

Riešenie bude označovať nebezpečné kontroly a umožní používateľom ich vypnúť na základe jednotlivých skenov. Bude podporovať overené skenovanie a integrovať sa so SIEM riešením a platformami na penetračné testovanie. Riešenia bude zabezpečovať identifikáciu a správu výnimiek zo zraniteľnosti a podporovať vytváranie používateľom definovaných zraniteľností a kontrol zraniteľnosti. Riešenie umožní používateľom definovať kritickosť aktív, ktoré sa musí zohľadniť v hodnotení rizík, a poskytne viacero modelov hodnotenia rizík vrátane vlastných modelov.

Vulnerability management bude podporovať integráciu s produktmi na analýzu topológie siete a rizík, virtuálnymi prostrediami a umožní stanoviť ciele nápravných opatrení na základe rôznych kritérií.

Security Policy Automation

Security Policy Automation je inovatívne riešenie navrhnuté na centralizovanú a modernú správu bezpečnostných politík na rôznych sieťových zariadeniach, vrátane firewall systémov. Toto riešenie poskytuje minimálne požiadavky, ktoré zahŕňajú dynamické mapovanie topológie siete v reálnom čase, segmentáciu politík, optimalizáciu a čistenie politík, monitorovanie a upozornenia v reálnom čase, riešenie problémov s pripojením a auditovanie súladu s predpismi. Navyše, riešenie umožňuje automatizovanú správu komplexných infraštruktúr, integráciu s rôznymi systémami tretích strán a poskytuje samoobslužný portál pre používateľov. Security Policy Automation je efektívny nástroj pre správu a zlepšenie kybernetickej bezpečnosti v komplexných sieťových prostrediach.

Automatické penetračné testovanie

Nástroj na spúšťanie automatických penetračných testov nad centrálnou infraštruktúrou a nad koncovými zariadeniami. Systém vie automaticky alebo manuálne vyberať vhodné exploity a nastavenia pre objavené hostiteľské počítače. Systém organizuje údaje pomocou back-endovej databázy a automaticky sleduje hostiteľov, dôkazy a informácie o tom, ako boli hostitelia kompromitovaní. Systém poskytuje rýchly a intuitívny spôsob automatizácie skupín úloh prostredníctvom funkcie nazývanej reťazenie úloh. Umožňuje používateľom automatizovať alebo plánovať úlohy, ako je napríklad exploitácia, bruteforcing. Systém bude umožňovať používateľom testovať 20000 počítačov súčasne a vytvoriť viac ako 500 relácií naraz. Ďalšie požiadavky na systém automatického penetračného testovania:

Nástroj na riadenie rizík spojených s otvoreným zdrojovým kódom (OSS)

Nástroj na efektívne riadenie rizík spojených s používaním otvoreného zdrojového softvéru, zabezpečenie súladu s licenčnými požiadavkami a zlepšenie celkovej bezpečnosti svojich softvérových produktov. Jedná sa o nástroj na správu softverových komponentov automaticky skenuje kód a identifikuje otvorené zdrojové komponenty, ich verzie a ich závislosti.

OSS identifikuje známe bezpečnostné zraniteľnosti v skenovaných otvorených zdrojových komponentoch. Umožňuje týmto spôsobom tímom rýchlo reagovať na potenciálne hrozby. Nástroj identifikuje licencie spojené s otvoreným zdrojovým kódom a pomáha organizáciám zabezpečiť, aby boli v súlade s licenčnými požiadavkami zároveň umožňuje organizáciám vytvárať a uplatňovať politiky týkajúce sa otvoreného zdrojového kódu a automaticky generovať upozornenia, keď sú tieto politiky porušené. Okrem povrchovej analýzy môže nástroj na správu softverových komponentov vykonať hĺbkové skenovanie kódu na zistenie skrytých závislostí.

Nástroj na správu softverových komponentov sa môže integrovať do existujúcich procesov kontinuálnej integrácie a kontinuálneho dodávania, umožňujúc automatické skenovanie počas vývoja a zároveň ponúka integráciu s mnohými ďalšími nástrojmi a platformami, vrátane nástrojov na správu zraniteľností, repozitárov kódu a platformami DevOps.

Nástroj na správu softverových komponentov umožňuje organizáciám sledovať a spravovať riziká spojené s otvoreným zdrojovým kódom prostredníctvom vizuálnych dashboardov.

II. Realizácia aktivít kybernetickej bezpečnosti na obci do 6000 obyvateľov

Zadefinovanie 3 základných segmentov obcí vzhľadom k ich špecifikám s ohľadom na rôzne IS, ktoré sú na obciach využívané:

1. Segment: DCOM obce využívajúce služby registratúry a účtovníctva firiem plne integrovaných s IS DCOM a prevádzkovaných na infraštruktúre DCOM (najhlbšia integrácia);
2. Segment: DCOM obce využívajúce služby registratúry a účtovníctva partnerov, ktorí prevádzkujú vlastné IS lokálne, ale sú certifikovaní na prepojenie s IS DCOM;
3. Segment: DCOM obce bez certifikovaných partnerov, alebo bez identifikovaných prevádzkovateľov (typicky segment najmenších obcí, dáta sú ukladané v rôznych nástrojoch).

Pre samosprávu z pohľadu pripravovanej novely zákona o KB bude platiť delenie na obce a mestá.

1. KB obce : Vzťahujú sa na ňu minimálne bezpečnostné opatrenia Kategórie I. podľa zákona č. 69/2018 Z.z. a obec je povinná absolvovať sebahodnotenie.
2. KB mesta: Vzťahujú sa na neho minimálne bezpečnostné opatrenia Kategórie I. a je povinné absolvovať audit KB. (predmetom projektu nie je audit KB)

V rámci tejto časti budú realizované nasledovné aktivity kybernetickej bezpečnosti na obci do 6000 obyvateľov:

• Odladenie procesu implementácie aktivít na jednotlivých typoch obcí s cieľom potvrdenia ich užitočnosti a využitia na obciach,
• Automatizácia procesov, a výkon úloh tak, aby sa do projektu mohlo zapojiť maximum obcí so záujmom zabezpečenia vlastnej KB a súladu so zákonom o KB,
• Konzultačné práce na jednotlivých typoch obcí, pre zadefinovanie optimálnej sady opatrení KB pre každý jednotlivý typ obce,
• Vypracovanie štandardov pre rollout v spolupráci s MIRRI, pre využitie existujúcich podkladov, materiálov a vzorovej dokumentácie,
• Rollout na jednotlivé DCOM obce – kontrola procesov, aktualizácia dokumentácie, príprava na certifikáciu KB,
• Predpokladaný počet je minimálne 1000 zapojených obcí do projektu KB (viď kapitola 3.2.4)

5.    Závislosti na ostatné ISVS / projekty

Realizácia pripravovaného projektu nie je závislá na iných projektoch.

6.    Zdrojové kódy

Nerelevantné pre projekt

7.    Prevádzka a údržba

7.1        Prevádzkové požiadavky

Prevádzkové požiadavky sú uvedené v prílohe Projektového zámeru č. 2

7.2        Požadovaná dostupnosť IS:

Neaplikuje sa

8.    Požiadavky na personál

Požiadavky na personál sú definované v projektovom zámere

9.    Implementácia a preberanie výstupov projektu

Implementácia a preberanie výstupov projektu bude realizované v súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy v zmysle ustanovení podľa § 5 a nasledovných ustanovení.

10. Prílohy

Nerelevantné