Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)
Naposledy upravil Ján Segéň 2025/03/11 09:50
Súhrn
-
Vlastnosti stránky (1 modified, 0 added, 0 removed)
Podrobnosti
- Vlastnosti stránky
-
- Obsah
-
... ... @@ -41,7 +41,7 @@ 41 41 Projekt bude implementovať Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky (ďalej ako „MPRV SR“ ), ktoré bude zároveň prijímateľom finančného plnenia z vyhlásenej výzvy „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti “ v rámci Programu Slovensko 2021 - 2027 (ďalej len „PSK“), z ktorého má byť Projekt financovaný. 42 42 43 43 44 -== 2.1 Použité skratky a pojmy ==44 +== 2.1 Použité skratky a pojmy == 45 45 46 46 |SKRATKA/POJEM|POPIS 47 47 |2FA|Dvojfaktorová autentizácia ... ... @@ -90,10 +90,7 @@ 90 90 Tabuľka 1 Zoznam použitý skratiek a pojmov 91 91 92 92 93 -1. 94 -11. ((( 95 -=== 2.2 Konvencie pre typy požiadaviek === 96 -))) 93 +== 2.2 Konvencie pre typy požiadaviek == 97 97 98 98 V zmysle vyhlášky č. 401/2023 Z. z. o riadení projektov je zoznam funkčných, nefunkčných a technických požiadaviek špecifikovaný v samostatnom dokumente **M-05 – Analýza nákladov a prínosov **a preto nie je súčasťou tejto kapitoly. 99 99 ... ... @@ -109,24 +109,20 @@ 109 109 Pri označovaní samotných katalógových požiadaviek, ktoré sú súčasťou prílohy tohto dokumentu bola použitá nasledovná konvencia: 110 110 111 111 1. Funkčné požiadavky majú nasledovnú konvenciu: **//FP_XX//** 112 - 113 -1. FP – funkčná požiadavka 114 -1. XX – poradové číslo požiadavky 115 - 109 +11. FP – funkčná požiadavka 110 +11. XX – poradové číslo požiadavky 116 116 1. Nefunkčné požiadavky majú nasledovnú konvenciu: **//NP_XX//** 117 - 118 -1. NP – nefukčná požiadavka 119 -1. XX – poradové číslo požiadavky 120 - 112 +11. NP – nefukčná požiadavka 113 +11. XX – poradové číslo požiadavky 121 121 1. Technické požiadavky majú nasledovnú konvenciu: **//TP_XX//** 115 +11. TP – technická požiadavka 116 +11. XX – poradové číslo požiadavky 122 122 123 -1. TP – technická požiadavka 124 -1. XX – poradové číslo požiadavky 125 -1. ((( 126 -== 3. DEFINOVANIE PROJEKTU == 118 +((( 119 += 3. DEFINOVANIE PROJEKTU = 127 127 128 - 1.(((129 -== =3.1 Manažérske zhrnutie ===121 +((( 122 +== 3.1 Manažérske zhrnutie == 130 130 ))) 131 131 ))) 132 132 ... ... @@ -164,31 +164,13 @@ 164 164 165 165 V obecnej rovine sú prínosy projektu zadefinované ako: 166 166 167 -* **Zlepšenie monitorovania a detekcie kybernetických hrozieb** 160 +* **Zlepšenie monitorovania a detekcie kybernetických hrozieb**. Implementácia systému na zaznamenávanie činností sietí a informačných systémov (Log manažment) umožní efektívnejšie sledovanie prevádzkových záznamov a včasnú detekciu kybernetických** **hrozieb na predchádzanie kybernetických bezpečnostných incidentov. 161 +* **Rýchla identifikácia zraniteľností**. Implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner) zabezpečí, že potenciálne bezpečnostné slabiny v IT budú včas identifikované a môžu byť rýchlo odstránené. 162 +* **Posilnenie bezpečnosti sietí**. Zavedenie sieťových firewallov a ďalších bezpečnostných prvkov výrazne zvýši ochranu pred vonkajšími kybernetickými hrozbami a neoprávneným prístupom do IT v správe MPRV SR. 163 +* **Nepretržitý bezpečnostný dohľad**. Bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service) umožnia dohľad nad činnosťami v IT a rýchlu reakciu v prípade kybernetických hrozieb. 164 +* **Zvýšenie bezpečnosti prístupov**. Implementácia dvojfaktorovej autentizácie posilní ochranu prístupu k IT, čo zníži riziko neoprávneného prístupu. 165 +* **Testovanie účinnosti bezpečnostných opatrení**. Realizácia penetračných a phishingových testov umožní overiť, ako efektívne sú implementované bezpečnostné opatrenia a zistiť prípadné slabiny, ktoré je potrebné riešiť čo prinesie zvýšenú bezpečnosť riešení. 168 168 169 -Implementácia systému na zaznamenávanie činností sietí a informačných systémov (Log manažment) umožní efektívnejšie sledovanie prevádzkových záznamov a včasnú detekciu kybernetických** **hrozieb na predchádzanie kybernetických bezpečnostných incidentov. 170 - 171 -* **Rýchla identifikácia zraniteľností** 172 - 173 -Implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner) zabezpečí, že potenciálne bezpečnostné slabiny v IT budú včas identifikované a môžu byť rýchlo odstránené. 174 - 175 -* **Posilnenie bezpečnosti sietí** 176 - 177 -Zavedenie sieťových firewallov a ďalších bezpečnostných prvkov výrazne zvýši ochranu pred vonkajšími kybernetickými hrozbami a neoprávneným prístupom do IT v správe MPRV SR. 178 - 179 -* **Nepretržitý bezpečnostný dohľad** 180 - 181 -Bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service) umožnia dohľad nad činnosťami v IT a rýchlu reakciu v prípade kybernetických hrozieb. 182 - 183 -* **Zvýšenie bezpečnosti prístupov** 184 - 185 -Implementácia dvojfaktorovej autentizácie posilní ochranu prístupu k IT, čo zníži riziko neoprávneného prístupu. 186 - 187 -* **Testovanie účinnosti bezpečnostných opatrení** 188 - 189 -Realizácia penetračných a phishingových testov umožní overiť, ako efektívne sú implementované bezpečnostné opatrenia a zistiť prípadné slabiny, ktoré je potrebné riešiť čo prinesie zvýšenú bezpečnosť riešení. 190 - 191 - 192 192 Z pohľadu samotnej implementácie predmetu projektu a jeho jednotlivých častí, medzi prínosy projektu patria: 193 193 194 194 1. Implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov (Log manažment): ... ... @@ -256,10 +256,7 @@ 256 256 Tabuľka 1 Sumarizácia projektových údajov 257 257 258 258 259 -1. 260 -11. ((( 261 -=== 3.2 Motivácia a rozsah projektu === 262 -))) 234 +== 3.2 Motivácia a rozsah projektu == 263 263 264 264 MPRV SR ako správca ITVS a prevádzkovateľ základnej služby je povinný zabezpečiť požadovanú úroveň kybernetickej bezpečnosti informačných systémov naviazaných na poskytovanie základnej služby a celej infraštruktúry IT MPRV SR v súlade platnými všeobecne záväznými právnymi predpismi pre túto oblasť a zabezpečiť ochranu spracúvaných informácií voči kybernetickým hrozbám v súlade s povinnosťami vyplývajúcimi z ustanovení zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 69/2018 Z. z.“). 265 265 ... ... @@ -271,22 +271,17 @@ 271 271 272 272 Implementovanie navrhovaných technických opatrení v prostredí MPRV SR je kľúčové pre zabezpečenie IB a KB a ochranu pred kybernetickými hrozbami pre prevádzkované informačné technológie MPRV SR. Realizáciou projektu dôjde k zvýšeniu úrovne KB a IB v nasledujúcich oblastiach: 273 273 274 -* 275 -** 276 -*** Rýchlejšia detekcia a reakcia na kybernetické hrozby. Zlepšenie schopnosti identifikácie a reakcie na kybernetické hrozby v reálnom čase. To zahŕňa lepšiu analýzu prevádzkových záznamov, monitorovanie udalostí a upozornení a automatizáciu procesov pre rýchlejšiu identifikáciu a minimalizovanie možného dopadu kybernetických hrozieb a vzniku kybernetického bezpečnostného incidentu. 277 -*** Integrácia a efektívne využívanie nových technológii umožní rýchlejšie a presnejšie identifikovať kybernetické hrozby a kybernetické bezpečnostné incidenty a zároveň znížiť manuálne úkony. 278 -*** Posilnenie spolupráce medzi organizačnými útvarmi MPRV SR a zainteresovanými stranami, prevádzky IT a vedenia, aby sa lepšie zdieľali informácie o kybernetických hrozbách, možných dopadoch, prijatých opatreniach a koordinovali sa reakcie na kybernetické bezpečnostné incidenty. 279 -*** Pravidelné preskúmavanie a zlepšovanie pracovných postupov a procesov na základe skúseností získaných počas detekcie a riešenia kybernetických bezpečnostných incidentov, implementáciou nástrojov a overovaním znalostného povedomia zamestnancov. 280 -*** Pripravenosť na nové technológie, trendy a taktiky kybernetických útokov a prispôsobovať riadenie kybernetickej a informačnej bezpečnosti a prijímanie opatrení v čo najkratšom čase. 281 -*** Zabezpečenie, aby činnosti v oblasti KB a IB boli v súlade s platnými všeobecne záväznými právnymi predpismi a regulačnými požiadavkami týkajúcimi sa ochrany údajov a kybernetickej a informačnej bezpečnosti. 246 +* Rýchlejšia detekcia a reakcia na kybernetické hrozby. Zlepšenie schopnosti identifikácie a reakcie na kybernetické hrozby v reálnom čase. To zahŕňa lepšiu analýzu prevádzkových záznamov, monitorovanie udalostí a upozornení a automatizáciu procesov pre rýchlejšiu identifikáciu a minimalizovanie možného dopadu kybernetických hrozieb a vzniku kybernetického bezpečnostného incidentu. 247 +* Integrácia a efektívne využívanie nových technológii umožní rýchlejšie a presnejšie identifikovať kybernetické hrozby a kybernetické bezpečnostné incidenty a zároveň znížiť manuálne úkony. 248 +* Posilnenie spolupráce medzi organizačnými útvarmi MPRV SR a zainteresovanými stranami, prevádzky IT a vedenia, aby sa lepšie zdieľali informácie o kybernetických hrozbách, možných dopadoch, prijatých opatreniach a koordinovali sa reakcie na kybernetické bezpečnostné incidenty. 249 +* Pravidelné preskúmavanie a zlepšovanie pracovných postupov a procesov na základe skúseností získaných počas detekcie a riešenia kybernetických bezpečnostných incidentov, implementáciou nástrojov a overovaním znalostného povedomia zamestnancov. 250 +* Pripravenosť na nové technológie, trendy a taktiky kybernetických útokov a prispôsobovať riadenie kybernetickej a informačnej bezpečnosti a prijímanie opatrení v čo najkratšom čase. 251 +* Zabezpečenie, aby činnosti v oblasti KB a IB boli v súlade s platnými všeobecne záväznými právnymi predpismi a regulačnými požiadavkami týkajúcimi sa ochrany údajov a kybernetickej a informačnej bezpečnosti. 282 282 283 283 Implementáciou projektu „Technické opatrenia na zvýšenie úrovne kybernetickej bezpečnosti“ informačných technológií v správe MPRV SR dôjde k vytvoreniu efektívneho a odolného systému na identifikáciu, monitorovanie a riešenie kybernetických hrozieb s cieľom ochrany MPRV SR pred potenciálnymi kybernetickými útokmi v porovnaní s aktuálnym stavom a výstupom/výsledkom auditu KB. 284 284 285 285 286 -1. 287 -11. ((( 288 -=== 3.3 Zainteresované strany/Stakeholderi === 289 -))) 256 +== 3.3 Zainteresované strany/Stakeholderi == 290 290 291 291 |ID|AKTÉR / STAKEHOLDER|((( 292 292 SUBJEKT ... ... @@ -334,10 +334,7 @@ 334 334 Tabuľka 3 Zainteresované strany 335 335 336 336 337 -1. 338 -11. ((( 339 -=== 3.4 Ciele projektu === 340 -))) 304 +== 3.4 Ciele projektu == 341 341 342 342 Hlavným cieľom projektu je zabezpečenie vyššej úrovne kybernetickej a informačnej bezpečnosti v MPRV SR, najmä vo zvýšení odolnosti voči kybernetickým bezpečnostným incidentom a najmä efektívne riadenie celého životného cyklu identifikovaných kybernetických bezpečnostných incidentov. Všeobecnými cieľmi preto sú: 343 343 ... ... @@ -362,10 +362,7 @@ 362 362 Tabuľka 4 Ciele projektu 363 363 364 364 365 -1. 366 -11. ((( 367 -=== 3.5 Merateľné ukazovatele (KPI) === 368 -))) 329 +== 3.5 Merateľné ukazovatele (KPI) == 369 369 370 370 |ID|ID/Názov cieľa|Názov 371 371 ukazovateľa (KPI)|Popis ... ... @@ -395,10 +395,7 @@ 395 395 Tabuľka 5 Merateľné ukazovatele 396 396 397 397 398 -1. 399 -11. ((( 400 -=== 3.6 Špecifikácia potrieb koncového používateľa === 401 -))) 359 +== 3.6 Špecifikácia potrieb koncového používateľa == 402 402 403 403 Predmetom projektu nie je vývoj ani rozvoj informačných systémov verejnej správy (ISVS) či elektronických služieb s grafickým alebo iným používateľským rozhraním, ktoré by boli určené pre občanov, podnikateľov alebo koncových používateľov. MPRV SR má povinnosť ako správca informačného systému verejnej správy zabezpečiť kybernetickú a informačnú bezpečnosť. Pre koncových používateľov je dôležité, aby boli poskytované služby bezpečné a dostupné. 404 404 ... ... @@ -407,18 +407,12 @@ 407 407 Je však potrebné uviesť, že z pohľadu špecifikácie potrieb koncového používateľa, v tomto prípade je primárnym koncovým používateľom administrátor IT, manažér KB, sekundárne zamestnanci MPRV SR a terciárne FO/PO ako subjekty využívajúce poskytované služby ISVS, je elementárnou potrebou zabezpečiť minimalizovanie výpadkov prevádzky ISVS z dôvodu kybernetických útokov. 408 408 409 409 410 -1. 411 -11. ((( 412 -=== 3.7 Riziká a závislosti === 413 -))) 368 +== 3.7 Riziká a závislosti == 414 414 415 415 Zoznam rizík a závislostí je špecifikovaný v samostatnej prílohe **I-02 Zoznam rizík a závislostí, **ktorá je neoddeliteľnou súčasťou tohto projektového zámeru. Zoznam rizík a závislostí bude počas aktualizovaný počas celej realizačnej etapy projektu. 416 416 417 417 418 -1. 419 -11. ((( 420 -=== 3.8 Stanovenie alternatív v biznisovej vrstve architektúry === 421 -))) 373 +== 3.8 Stanovenie alternatív v biznisovej vrstve architektúry == 422 422 423 423 V rámci biznisovej vrstvy architektúry sme analyzovali tri varianty riešenia súčasného stavu. Na základe rozsahu problému identifikovaného v projektovom zámere boli navrhnuté tri alternatívne prístupy. Ako najefektívnejšia bola zvolená Alternatíva č. 2, ktorá komplexne pokrýva všetky procesy a požiadavky zainteresovaných strán (stakeholderov) a poskytuje ucelené riešenie celej životnej situácie. Nižšie sa nachádzajú alternatívy, ktoré reflektujú hlavné ciele a motiváciu pre realizáciu projektu v zmysle jednotlivých aspektov uvedených v rámci motivačnej architektúry. Vo všeobecnosti sú pre všetky vrstvy možné nasledovné všeobecné alternatívy: 424 424 ... ... @@ -426,11 +426,7 @@ 426 426 * **Alternatíva 2:** Implementácia navrhovaných technických opatrení, 427 427 * **Alternatíva 3:** Implementácia čiastkových opatrení pomocou vlastných možností a OpenSource riešení. 428 428 429 -1. 430 -11. 431 -111. ((( 432 -==== 3.8.1 Alternatíva 1 – Ponechanie súčasného stavu ==== 433 -))) 381 +=== 3.8.1 Alternatíva 1 – Ponechanie súčasného stavu === 434 434 435 435 Táto alternatíva zahŕňa zachovanie aktuálneho stavu kybernetickej a informačnej bezpečnosti MPRV SR bez prijatia ďalších opatrení. Súčasný stav odráža existujúce bezpečnostné mechanizmy a infraštruktúru, ktoré sú zosúladené s požiadavkami vyplývajúcimi zo zákona č. 69/2018 Z. z. a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len “zákon č. 95/2019 Z. z. “) a ich rozsah nezodpovedá komplexnému požadovanému rozsahu čo preukázal zistenými nesúladmi audit kybernetickej bezpečnosti. 436 436 ... ... @@ -437,18 +437,10 @@ 437 437 Dôsledky zachovania súčasného stavu: 438 438 439 439 * Ponechanie existujúceho stavu by znamenalo naďalej neplnenie zákonných povinností a nesúlad s povinnosťami vyplývajúcimi najmä zo zákona č. 69/2018 Z. z a zákona č. 95/2019 Z. z. 440 -* Nedostatočná odolnosť voči kybernetickým útokom. 388 +* Nedostatočná odolnosť voči kybernetickým útokom. Súčasné opatrenia by naďalej nezabezpečovali dostatočnú ochranu pred narastajúcimi hrozbami a sofistikovanými kybernetickými útokmi. To zvyšuje riziko narušenia informačných systémov a potenciálnych strát údajov, ekonomických alebo materiálnych škôd, prípadne poškodenie dobrého mena. 389 +* Nezmenené nesúlady. Nesúlady zistené pri audite kybernetickej bezpečnosti by zostali neodstránené. Znamená to, že súčasné bezpečnostné opatrenia sú nedostatočné , čo môže viesť k ďalším problémom pri správe a prevádzke IT. 390 +* Zvyšujúce sa náklady v budúcnosti. Ignorovanie súčasného nedostatočného pokrytia bezpečnostnými opatreniami môže viesť k závažnejším kybernetickým bezpečnostným incidentom, ktorých riešenie bude nákladnejšie a časovo náročnejšie. 441 441 442 -Súčasné opatrenia by naďalej nezabezpečovali dostatočnú ochranu pred narastajúcimi hrozbami a sofistikovanými kybernetickými útokmi. To zvyšuje riziko narušenia informačných systémov a potenciálnych strát údajov, ekonomických alebo materiálnych škôd, prípadne poškodenie dobrého mena. 443 - 444 -* Nezmenené nesúlady 445 - 446 -Nesúlady zistené pri audite kybernetickej bezpečnosti by zostali neodstránené. Znamená to, že súčasné bezpečnostné opatrenia sú nedostatočné , čo môže viesť k ďalším problémom pri správe a prevádzke IT. 447 - 448 -* Zvyšujúce sa náklady v budúcnosti 449 - 450 -Ignorovanie súčasného nedostatočného pokrytia bezpečnostnými opatreniami môže viesť k závažnejším kybernetickým bezpečnostným incidentom, ktorých riešenie bude nákladnejšie a časovo náročnejšie. 451 - 452 452 **Výhody:** 453 453 454 454 * Nulové počiatočné investície ... ... @@ -461,110 +461,54 @@ 461 461 * Nesplnenie zákonných povinností, čo môže viesť k sankciám. 462 462 * Negatívny vplyv na reputáciu MPRV SR v prípade vzniku a medializácie kybernetického bezpečnostného incidentu alebo úniku dát. 463 463 464 -1. 465 -11. 466 -111. ((( 467 -==== 3.8.2 Alternatíva 2 – Implementácia navrhovaných technických opatrení ==== 468 -))) 404 +=== 3.8.2 Alternatíva 2 – Implementácia navrhovaných technických opatrení === 469 469 470 470 Táto alternatíva predstavuje systémové a komplexné riešenie zamerané na implementáciu moderných technických opatrení, ktoré zvýšia úroveň kybernetickej a informačnej bezpečnosti MPRV SR. Ide o riešenie, ktoré zahŕňa zavedenie pokročilých technológií, ako je systém na správu prevádzkových záznamov (Log manažment), SIEM (Security Information and Event Management) pre identifikovanie a analyzovanie bezpečnostných udalostí, Vulnerability scanner na detekciu zraniteľností, implementáciu firewallov, riešenia pre správu mobilných zariadení (MDM), dvojfaktorovej autentifikácie a iných ochranných technológií. 471 471 472 472 Zmena stavu dôsledkom implementácie navrhovaných technických opatrení: 473 473 474 -* Zvýšenie súladu s požiadavkami na kybernetickú a informačnú bezpečnosť 410 +* Zvýšenie súladu s požiadavkami na kybernetickú a informačnú bezpečnosť. Implementáciou tejto alternatívy dôjde k splneniu významnej časti povinností vyplývajúcich zo zákona č. 69/2018 Z. z. a zákona č. 95/2019 Z. z., čím sa odstránia nesúlady zistené najmä auditom kybernetickej bezpečnosti. 411 +* Zvýšená odolnosť proti kybernetickým útokom. Systémové opatrenia a technológie zvyšujú celkovú odolnosť voči rôznym kybernetickým hrozbám, či už ide o malvér, phishingové útoky alebo iné formy kybernetických útokov. 412 +* Zvýšená bezpečnosť dát a infraštruktúry. Identifikácia a hodnotenie zraniteľností, modernizovaná bezpečnosť pri prevádzke informačných systémov a sietí novými firewallmi (NGFW) s funkciami jednotnej ochrany pred hrozbami a ďalšie bezpečnostné mechanizmy zabezpečia ochranu údajov. 475 475 476 -Implementáciou tejto alternatívy dôjde k splneniu významnej časti povinností vyplývajúcich zo zákona č. 69/2018 Z. z. a zákona č. 95/2019 Z. z., čím sa odstránia nesúlady zistené najmä auditom kybernetickej bezpečnosti. 477 - 478 -* Zvýšená odolnosť proti kybernetickým útokom 479 - 480 -Systémové opatrenia a technológie zvyšujú celkovú odolnosť voči rôznym kybernetickým hrozbám, či už ide o malvér, phishingové útoky alebo iné formy kybernetických útokov. 481 - 482 -* Zvýšená bezpečnosť dát a infraštruktúry 483 - 484 -Identifikácia a hodnotenie zraniteľností, modernizovaná bezpečnosť pri prevádzke informačných systémov a sietí novými firewallmi (NGFW) s funkciami jednotnej ochrany pred hrozbami a ďalšie bezpečnostné mechanizmy zabezpečia ochranu údajov. 485 - 486 486 **Výhody:** 487 487 488 -* Zvýšenie bezpečnosti infraštruktúry 416 +* Zvýšenie bezpečnosti infraštruktúry. Komplexné technické riešenie prinesie vysokú úroveň ochrany. 417 +* Prevencia pred kybernetickými bezpečnostnými incidentmi. Efektívne riadenie a monitorovanie bezpečnostných hrozieb a kybernetických bezpečnostných incidentov v reálnom čase pre odhalenie útokov zvonku aj zvnútra. 418 +* Dlhodobé úspory. Investícia do komplexného riešenia znižuje budúce náklady spojené s riešením potenciálnych kybernetických bezpečnostných incidentov alebo sankcií za nesplnenie zákonných požiadaviek. 489 489 490 -Komplexné technické riešenie prinesie vysokú úroveň ochrany. 491 - 492 -* Prevencia pred kybernetickými bezpečnostnými incidentmi 493 - 494 -Efektívne riadenie a monitorovanie bezpečnostných hrozieb a kybernetických bezpečnostných incidentov v reálnom čase pre odhalenie útokov zvonku aj zvnútra. 495 - 496 -* Dlhodobé úspory 497 - 498 -Investícia do komplexného riešenia znižuje budúce náklady spojené s riešením potenciálnych kybernetických bezpečnostných incidentov alebo sankcií za nesplnenie zákonných požiadaviek. 499 - 500 - 501 501 **Nevýhody:** 502 502 503 -* Vyššie počiatočné investície 422 +* Vyššie počiatočné investície. Táto alternatíva si vyžaduje značné finančné a personálne zdroje na implementáciu nových technických riešení. 423 +* Dlhšie implementačné obdobie. Kompletné zavedenie systémov môže trvať určitý čas, počas ktorého je potrebné zabezpečiť priebežnú ochranu. 504 504 505 - Tátoalternatívasivyžadujeznačnéfinančné a personálnezdrojeaimplementáciunových technickýchriešení.425 +=== 3.8.3 Alternatíva 3 – Implementácia čiastkových opatrení pomocou vlastných možností a OpenSource riešení === 506 506 507 -* Dlhšie implementačné obdobie 508 - 509 -Kompletné zavedenie systémov môže trvať určitý čas, počas ktorého je potrebné zabezpečiť priebežnú ochranu. 510 - 511 - 512 -1. 513 -11. 514 -111. ((( 515 -==== 3.8.3 Alternatíva 3 – Implementácia čiastkových opatrení pomocou vlastných možností a OpenSource riešení ==== 516 -))) 517 - 518 518 Táto alternatíva predpokladá implementáciu iba čiastkových technických opatrení s využitím dostupných riešení typu OpenSource a vlastných technických kapacít MPRV SR. Riešenie by sa zameriavalo len na kritické oblasti a nešlo by o komplexný systémový prístup. Technické opatrenia by boli implementované postupne, s využitím existujúcich možností a kapacít. Doba implementácie by bola príliš dlhá. 519 519 520 520 Dôsledky implementácie čiastkových opatrení pomocou vlastných možností a OpenSource riešení: 521 521 522 -* Čiastočné zlepšenie kybernetickej bezpečnosti 431 +* Čiastočné zlepšenie kybernetickej bezpečnosti. Aj keď dôjde k zlepšeniu zabezpečenia infraštruktúry, toto riešenie nebude pokrývať všetky oblasti. Môže preto vzniknúť nerovnomerná ochrana v rôznych častiach IT MPRV SR. 432 +* Nedostatočné odstránenie nesúladov z auditu kybernetickej bezpečnosti. Táto alternatíva by v krátkej dobe nezabezpečila zvýšenú zhodu so zákonnými povinnosťami, čím by zostali niektoré povinnosti aj naďalej nesplnené. Naďalej pretrváva riziko udelenia sankcií. 433 +* Obmedzené zlepšenie odolnosti proti kybernetickým útokom. Postupné a čiastkové riešenia by nezaručili úplnú ochranu, najmä v prípade vysoko sofistikovaných kybernetických útokov. 523 523 524 -Aj keď dôjde k zlepšeniu zabezpečenia infraštruktúry, toto riešenie nebude pokrývať všetky oblasti. Môže preto vzniknúť nerovnomerná ochrana v rôznych častiach IT MPRV SR. 525 - 526 -* Nedostatočné odstránenie nesúladov z auditu kybernetickej bezpečnosti 527 - 528 -Táto alternatíva by v krátkej dobe nezabezpečila zvýšenú zhodu so zákonnými povinnosťami, čím by zostali niektoré povinnosti aj naďalej nesplnené. Naďalej pretrváva riziko udelenia sankcií. 529 - 530 -* Obmedzené zlepšenie odolnosti proti kybernetickým útokom 531 - 532 -Postupné a čiastkové riešenia by nezaručili úplnú ochranu, najmä v prípade vysoko sofistikovaných kybernetických útokov. 533 - 534 534 **Výhody:** 535 535 536 -* Nižšie náklady na implementáciu 437 +* Nižšie náklady na implementáciu. Využitie OpenSource riešení a vlastných kapacít znamená nižšie počiatočné investície avšak OpenSourse si rovnako bude vyžadovať náklady spojené s poskytovaním podpory a interné kapacity ľudských zdrojov na jeho udržiavanie a upravovanie na potreby MPRV SR a nové bezpečnostné hrozby, ktoré sa dynamicky menia. 438 +* Rýchlejšia implementácia niektorých opatrení. Vzhľadom na použitie dostupných nástrojov môžu byť niektoré opatrenia zavedené rýchlejšie. 537 537 538 -Využitie OpenSource riešení a vlastných kapacít znamená nižšie počiatočné investície avšak OpenSourse si rovnako bude vyžadovať náklady spojené s poskytovaním podpory a interné kapacity ľudských zdrojov na jeho udržiavanie a upravovanie na potreby MPRV SR a nové bezpečnostné hrozby, ktoré sa dynamicky menia. 539 - 540 -* Rýchlejšia implementácia niektorých opatrení 541 - 542 -Vzhľadom na použitie dostupných nástrojov môžu byť niektoré opatrenia zavedené rýchlejšie. 543 - 544 544 **Nevýhody:** 545 545 546 -* Nízka efektivita v dlhodobom horizonte 442 +* Nízka efektivita v dlhodobom horizonte. Čiastočné riešenia nemusia zabezpečiť dostatočnú ochranu IT a je vyšší predpoklad vzniku kybernetického bezpečnostného incidentu, čo môže viesť k vyšším nákladom na riešenie kybernetických bezpečnostných incidentov. 443 +* Riziko neefektívnosti. OpenSource riešenia nemusia byť komplexné, dostatočne spoľahlivé alebo kompatibilné s ostatnými systémami, čo môže viesť k prevádzkovým problémom. 444 +* Nesplnenie zákonných povinností. Nepokrytie všetkých požiadaviek znamená pretrvávajúce riziko udelenia sankcií. 547 547 548 -Čiastočné riešenia nemusia zabezpečiť dostatočnú ochranu IT a je vyšší predpoklad vzniku kybernetického bezpečnostného incidentu, čo môže viesť k vyšším nákladom na riešenie kybernetických bezpečnostných incidentov. 549 - 550 -* Riziko neefektívnosti 551 - 552 -OpenSource riešenia nemusia byť komplexné, dostatočne spoľahlivé alebo kompatibilné s ostatnými systémami, čo môže viesť k prevádzkovým problémom. 553 - 554 -* Nesplnenie zákonných povinností 555 - 556 -Nepokrytie všetkých požiadaviek znamená pretrvávajúce riziko udelenia sankcií. 557 - 558 - 559 559 [[image:Obrázok 1 Alternatívy riešenia.png||alt="Obrázok 1 Alternatívy riešenia"]] 560 560 561 561 Obrázok 1 Alternatívy riešenia 562 562 563 563 564 -1. 565 -11. ((( 566 -=== 3.9 Multikriteriálna analýza === 567 -))) 451 +== 3.9 Multikriteriálna analýza == 568 568 569 569 V nadväznosti na rozpracovanie alternatív v kapitole 3.8 Stanovenie alternatív v biznisovej vrstve architektúry sa multikriteriálna analýza redukuje na dva základné parametre: 570 570 ... ... @@ -574,24 +574,18 @@ 574 574 Z možných a logických riešení zabezpečujúcich komplexné požiadavky na zvýšenie úrovne kybernetickej bezpečnosti a informačnej bezpečnosti, časový horizont a minimalizáciu rizík považujeme Alterantívu 2 ako najvýhodnejšiu, dlhodobo udržateľnú a racionálnu alternatívu. 575 575 576 576 577 -1. 578 -11. ((( 579 -=== 3.10 Stanovenie alternatív v aplikačnej vrstve architektúry === 580 -))) 461 +== 3.10 Stanovenie alternatív v aplikačnej vrstve architektúry == 581 581 582 582 Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry. Ako najvýhodnejšiu z danej analýzy považujeme Alternatívu 2. Výber Aplikačnej architektúry reflektuje výber nadradenej biznis architektúry. 583 583 584 584 585 -1. 586 -11. ((( 587 -=== 3.11 Stanovenie alternatív v technologickej vrstve architektúry === 588 -))) 466 +== 3.11 Stanovenie alternatív v technologickej vrstve architektúry == 589 589 590 590 Požiadavky na technológie, prostredníctvom ktorých sa naplnia ciele projektu, sú definované všeobecne a to tak, aby na naplnenie požiadaviek bolo možné použiť technické a programové prostriedky bežne dostupné na relevantnom trhu bez konkrétnych špecifických pre daný prípad jedinečných požiadaviek. 591 591 592 592 593 - 1.(((594 -= =4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) ==471 +((( 472 += 4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) = 595 595 ))) 596 596 597 597 V rámci projektu budú požadované nasledovné výstupy projektu: ... ... @@ -609,8 +609,9 @@ 609 609 ** Záverečná správa z pravidelného auditu KB 610 610 ** Záverečná správa z mimoriadneho auditu KB v prípadoch podľa 611 611 612 -1. ((( 613 -== 5. NÁHĽAD ARCHITEKTÚRY == 490 + 491 +((( 492 += 5. NÁHĽAD ARCHITEKTÚRY = 614 614 ))) 615 615 616 616 Tento projekt predstavuje riešenie vybraných základných prvkov bezpečnostnej architektúry a zároveň aj ďalšie bezpečnostné funkcie realizované v rámci MPRV SR. ... ... @@ -638,45 +638,31 @@ 638 638 Špecifikácia výstupov jednotlivých aktivít je uvedená v kapitole Požadované výstupy (produkt projektu). 639 639 640 640 641 -1. 642 -11. ((( 643 -=== 5.1 Biznis vrstva === 644 -))) 520 +== 5.1 Biznis vrstva == 645 645 646 646 Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy. 647 647 648 648 1. Bezpečnostný monitoring - zaznamenávanie udalostí a monitorovanie: 649 - 650 -* Proces bezpečného ukladania a centrálneho zberu logov. 651 -* Proces bezpečnostného monitoringu koncových staníc. 652 -* Proces bezpečnostného monitoringu informačných systémov a dátových úložísk. 653 -* Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry. 654 -* Proces bezpečnostného monitoringu aktivít používateľov. 655 -* Proces bezpečnostného monitoringu aktivít privilegovaných používateľov. 656 -* Proces vyhodnocovania udalostí podporovaný “machine learning” algoritmami a identifikácie kybernetických bezpečnostných incidentov. 657 -* Proces orchestrácie, automatizácie a odozvy zabezpečenia (SOAR - Security Orchestration, Automation and Response). 658 - 525 +11. Proces bezpečného ukladania a centrálneho zberu logov. 526 +11. Proces bezpečnostného monitoringu koncových staníc. 527 +11. Proces bezpečnostného monitoringu informačných systémov a dátových úložísk. 528 +11. Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry. 529 +11. Proces bezpečnostného monitoringu aktivít používateľov. 530 +11. Proces bezpečnostného monitoringu aktivít privilegovaných používateľov. 531 +11. Proces vyhodnocovania udalostí podporovaný “machine learning” algoritmami a identifikácie kybernetických bezpečnostných incidentov. 532 +11. Proces orchestrácie, automatizácie a odozvy zabezpečenia (SOAR - Security Orchestration, Automation and Response). 659 659 1. Identifikácia zraniteľností a bezpečnostné testovanie: 660 - 661 -* Proces skenovania zraniteľností jednotlivých IS a sieťových zariadení. 662 -* Proces zvyšovania kybernetickej odolnosti formou bezpečnostných testovaní (phishingových simulácií). 663 - 534 +11. Proces skenovania zraniteľností jednotlivých IS a sieťových zariadení. 535 +11. Proces zvyšovania kybernetickej odolnosti formou bezpečnostných testovaní (phishingových simulácií). 664 664 1. Sieťová a komunikačná bezpečnosť: 665 - 666 -* Proces ochrany kritických prvkov infraštruktúry využitím sieťových firewallov s funkciami jednotnej ochrany pred hrozbami. 667 - 537 +11. Proces ochrany kritických prvkov infraštruktúry využitím sieťových firewallov s funkciami jednotnej ochrany pred hrozbami. 668 668 1. Bezpečnosť pri prevádzke informačných systémov a sietí: 669 - 670 -* Proces zvyšovania bezpečnosti IT prostredia zavedením správy mobilných zariadení pripájaných do internej siete. 671 - 539 +11. Proces zvyšovania bezpečnosti IT prostredia zavedením správy mobilných zariadení pripájaných do internej siete. 672 672 1. Riešenie bezpečnostných incidentov: 673 - 674 -* Proces detekcie, evidencie, analýzy, vyhodnotenia a riešenie kybernetických bezpečnostných incidentov a bezpečnostne relevantných udalostí s previazaním na SOC. 675 - 541 +11. Proces detekcie, evidencie, analýzy, vyhodnotenia a riešenie kybernetických bezpečnostných incidentov a bezpečnostne relevantných udalostí s previazaním na SOC. 676 676 1. Riadenie prístupov: 543 +11. Proces dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií. 677 677 678 -* Proces dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií. 679 - 680 680 Uvedené biznis funkcie bezpečnostnej architektúry sú na obrázku. 681 681 682 682 [[image:Obrázok 2 Biznis funkcie bezpečnostnej architektúry.png||alt="Obrázok 2 Biznis funkcie bezpečnostnej architektúry"]] ... ... @@ -683,11 +683,9 @@ 683 683 684 684 Obrázok 2 Biznis funkcie bezpečnostnej architektúry 685 685 686 -1. 687 -11. ((( 688 -=== 5.2 Aplikačná vrstva === 689 -))) 690 690 552 +== 5.2 Aplikačná vrstva == 553 + 691 691 Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená ďalej popísanými aplikačnými modulmi. 692 692 693 693 ... ... @@ -722,11 +722,7 @@ 722 722 Obrázok 3 Aplikačná architektúra 723 723 724 724 725 -1. 726 -11. 727 -111. ((( 728 -==== 5.2.1 Požiadavky na aplikačné komponenty ==== 729 -))) 588 +=== 5.2.1 Požiadavky na aplikačné komponenty === 730 730 731 731 Analýzou rizík a dopadov (AR/BIA) bolo v MPRV SR identifikovaných 68 aktív informačných technológií, z toho 15 informačných systémov alebo sietí. 732 732 ... ... @@ -735,10 +735,7 @@ 735 735 MPRV SR má približne 470 zamestnancov a prevádzkuje približne 500 osobných počítačov vrátane prenosných osobných počítačov, 250 mobilných telefónov a 400 pevných IP stolových telefónov. Na centrálnej úrovni MPRV SR prevádzkuje digitálnu telekomunikačnú ústredňu, 15 informačných systémov, 60 krabicových počítačových programov, 16 pevných a 100 virtuálnych serverov. Má vybudovanú lokálnu komunikačnú sieť (LAN a SAN), ktorá sa skladá z kabeláže a 40 aktívnych prvkov, pričom sieť LAN je segmentovaná na úrovni L3 prepínačov a smerovačov. 736 736 737 737 738 -1. 739 -11. 740 -111. 741 -1111. Zaznamenávanie udalostí a monitorovanie – bezpečnostný monitoring 597 +==== 5.2.1.1 Zaznamenávanie udalostí a monitorovanie – bezpečnostný monitoring ==== 742 742 743 743 Bezpečnostný monitoring a riešenie kybernetických bezpečnostných incidentov sú založené na technológiách, procesoch a ľudských zdrojoch. V tejto kapitole sú uvedené základné kritériá a požiadavky na technológie akými sú log manažment (ďalej aj „LM“) . Procesná a ľudskozdrojová stránka je riešená samostatne a tento popis neobsahuje požiadavky na prípadné služby externého Security Operation Centra (ďalej aj „SOC“). Súčasťou bezpečnostného monitoringu je dodanie aj príslušných licencií, implementačných, konzultačných a konfiguračných prác potrebných na zavedenie LM a SIEM v IT prostredí MPRV SR s dostatočnou kapacitou na uloženie prevádzkových záznamov po dobu minimálne 18 mesiacov. 744 744 ... ... @@ -778,11 +778,7 @@ 778 778 MPRV SR požaduje pre LM splnenie minimálne nasledujúcich parametrov. 779 779 780 780 781 -1. 782 -11. 783 -111. 784 -1111. 785 -11111. Log manažment - systém správy prevádzkových záznamov 637 +===== 5.2.1.1.1 Log manažment - systém správy prevádzkových záznamov ===== 786 786 787 787 MPRV SR v pozícii prevádzkovateľa základnej služby, je povinné implementovať centrálny nástroj na zaznamenávanie činnosti sietí a informačných systémov (LM) zabezpečujúceho dohľad nad sieťami a informačnými systémami zaznamenávaním prevádzky týchto sietí a informačných systémov v súlade s najmä § 15 vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška č. 362/2018 Z. z.“). 788 788 ... ... @@ -852,12 +852,9 @@ 852 852 * Licencia musí obsahovať možnosť zbierať všetky typy výrobcom podporovaných zdrojov udalostí a vlastných proprietárnych logov. 853 853 * Primárne licencie riešenia LM musia byť vlastníctvom MPRV SR a nesmú mať formu predplatného 854 854 855 -1. 856 -11. 857 -111. 858 -1111. 859 -11111. Security Information and Event Management - SIEM 860 860 708 +5.2.1.1.2 Security Information and Event Management - SIEM 709 + 861 861 Povinnosť nástroja na vyhodnocovanie a analýzu prevádzkových záznamov vyplýva pre prevádzkovateľa základnej služby najmä z § 11, § 15 a § 17 vyhlášky č. 326/2018 Z. z. Ide o analytický nástroj na vyhodnocovanie a analýzu prevádzkových záznamov zhromaždených systémom správy prevádzkových záznamov v centrálnom úložisku, log manažmentom. MPRV SR má v testovacej prevádzke Open Source riešenie Wazuh. 862 862 863 863 ... ... @@ -911,11 +911,9 @@ 911 911 * obsahovať primárne licencie k riešeniu SIEM, ktorých vlastníkom bude MPRV SR a nesmú mať formu predplatného, 912 912 * Pri zbere a spracovaní logov nesmie v prípade prekročenia licenčného limitu dôjsť ku strate udalostí a ich nespracovaniu, t. j. SIEM nesmie technicky limitovať počet udalostí, aby nedošlo k ich zahodeniu. 913 913 914 -1. 915 -11. 916 -111. 917 -1111. Vulnerability manažment 918 918 764 +==== 5.2.1.2 Vulnerability manažment ==== 765 + 919 919 Implementácia nástroja na detegovanie existujúcich zraniteľností bude súčasťou manažmentu zraniteľností (Vulnerability management – ďalej ako „VM“), ktoré zabezpečí správu zraniteľností čo je nepretržitý, proaktívny a často automatizovaný proces, ktorý chráni informačné systémy a siete pred kybernetickými útokmi a únikmi údajov. Ako taký je dôležitou súčasťou celkového bezpečnostného portfólia. Identifikáciou, hodnotením a riešením potenciálnych bezpečnostných slabín môže pomôcť MPRV SR predchádzať útokom a minimalizovať škody, ak dôjde ku kybernetickému bezpečnostnému incidentu. 920 920 921 921 ... ... @@ -928,209 +928,190 @@ 928 928 Požiadavky kladené na riešenie pre Vulnerability Management sú nasledujúce. 929 929 930 930 * Riešenie musí mať tieto funkcie: 931 - 932 -* Hodnotenie priority zraniteľností - prediktívne stanovovanie priorít fixovania zraniteľností kombináciou Threat Intelligence a algoritmov strojového učenia tak, aby bolo možné identifikovať kritické zraniteľné miesta, ktoré môžu byť v budúcnosti pravdepodobne zneužité a nevenoval sa primárne čas tým zraniteľnostiam, ktoré predstavujú nízke, prípadne len teoretické riziko. 933 -* Report o posúdení aktuálnej bezpečnostnej situácii organizácie - kontinuálne meranie efektivity organizáciou definovanými bezpečnostnými politikami založenými na medzinárodných štandardoch a normách, aby bolo možné identifikovať a odstrániť potenciálne medzery v súlade. 934 -* Dashboardy a reporty konfigurovateľné podľa potrieb organizácie - používateľské rozhranie založené na HTML5 na definovanie špecifických potrieb MKB, organizačnej jednotky zodpovednej za IT bezpečnosť, analytikov a operátorov. 935 -* Široké pokrytie aktív – možnosť skenovať servery, koncové body, sieťové zariadenia, operačné systémy, databázy a aplikácie vo fyzických, virtuálnych a cloudových infraštruktúrach. 936 -* Dynamická klasifikácia aktív – možnosť vytvárať skupiny aktív na základe špecifických kritérií, napr. aktíva Microsoft Windows 7 so zraniteľnosťami staršími ako 30 dní a pod. 937 -* Manažment zraniteľností – viaceré možnosti realizácie skenovania, vrátane skenov bez oprávnení aj s opráveniami za účelom hĺbkovej analýzy a auditovania konfigurácií. 938 -* Riadené skenovanie - možnosť skenovania fyzických aj virtuálnych serverov, mobilných zariadení a bezpečnostných zariadení na zraniteľnosti, chyby konfigurácií a malvér použitím prispôsobiteľných plánov skenovania. 939 -* Kumulatívne výsledky skenovania – možnosť konsolidácie údajov z viacerých lokálnych skenerov a informácií o trendoch ich eliminácie. 940 -* Pokročilá analytika/trendy – poskytovanie kontextového prehľadu a použiteľných informácií na uprednostnenie bezpečnostných problémov spojených s bezpečnostnou pozíciou všetkých aktív. 941 -* Reakcia na incident/workflow – možnosť konfigurovateľného workflow a varovaní pre administrátorov prostredníctvom elektronickej pošty, notifikácií alebo tiketov za účelom manuálneho zásahu alebo možnosť nastavenia vykonania automatizovaných akcií. 942 -* Viacúrovňový model riadenia – možnosť rozdelenia zodpovednosti medzi viacero tímov prípadne aj geografické oblasti pomocou riadenia prístupu na základe rolí. 943 -* Automatický Load Balancing – možnosť optimalizácie (paralelizácie) skenovacích cyklov v distribuovaných prostrediach. 944 -* Integrácie – možnosť použiť „out-of-box“ predpripravené integrácie s riešeniami pre patch manažment, správu mobilných zariadení, Threat Intelligence a ďalšími produktami tretích strán alebo možnosť použitia API na vývoj vlastných integrácií. 945 -* Zjednodušenie sledovania súladu – možnosť využiť výrobcom preddefinované kontroly pre priemyselné štandardy a regulatórne požiadavky, ako sú napr. CERT, DISA STIG, DHS CDM, FISMA, SCADA, PCI DSS, HIPAA/HITECH a podobne. 946 -* Musí byť prevádzkovateľné on-premis. 947 -* Musí pokrývať viac ako 190 certifikovaných Center for Internet Security Benchmarks. 948 -* Potrebný hardvér musí byť súčasťou riešenia. 949 - 778 +** Hodnotenie priority zraniteľností - prediktívne stanovovanie priorít fixovania zraniteľností kombináciou Threat Intelligence a algoritmov strojového učenia tak, aby bolo možné identifikovať kritické zraniteľné miesta, ktoré môžu byť v budúcnosti pravdepodobne zneužité a nevenoval sa primárne čas tým zraniteľnostiam, ktoré predstavujú nízke, prípadne len teoretické riziko. 779 +** Report o posúdení aktuálnej bezpečnostnej situácii organizácie - kontinuálne meranie efektivity organizáciou definovanými bezpečnostnými politikami založenými na medzinárodných štandardoch a normách, aby bolo možné identifikovať a odstrániť potenciálne medzery v súlade. 780 +** Dashboardy a reporty konfigurovateľné podľa potrieb organizácie - používateľské rozhranie založené na HTML5 na definovanie špecifických potrieb MKB, organizačnej jednotky zodpovednej za IT bezpečnosť, analytikov a operátorov. 781 +** Široké pokrytie aktív – možnosť skenovať servery, koncové body, sieťové zariadenia, operačné systémy, databázy a aplikácie vo fyzických, virtuálnych a cloudových infraštruktúrach. 782 +** Dynamická klasifikácia aktív – možnosť vytvárať skupiny aktív na základe špecifických kritérií, napr. aktíva Microsoft Windows 7 so zraniteľnosťami staršími ako 30 dní a pod. 783 +** Manažment zraniteľností – viaceré možnosti realizácie skenovania, vrátane skenov bez oprávnení aj s opráveniami za účelom hĺbkovej analýzy a auditovania konfigurácií. 784 +** Riadené skenovanie - možnosť skenovania fyzických aj virtuálnych serverov, mobilných zariadení a bezpečnostných zariadení na zraniteľnosti, chyby konfigurácií a malvér použitím prispôsobiteľných plánov skenovania. 785 +** Kumulatívne výsledky skenovania – možnosť konsolidácie údajov z viacerých lokálnych skenerov a informácií o trendoch ich eliminácie. 786 +** Pokročilá analytika/trendy – poskytovanie kontextového prehľadu a použiteľných informácií na uprednostnenie bezpečnostných problémov spojených s bezpečnostnou pozíciou všetkých aktív. 787 +** Reakcia na incident/workflow – možnosť konfigurovateľného workflow a varovaní pre administrátorov prostredníctvom elektronickej pošty, notifikácií alebo tiketov za účelom manuálneho zásahu alebo možnosť nastavenia vykonania automatizovaných akcií. 788 +** Viacúrovňový model riadenia – možnosť rozdelenia zodpovednosti medzi viacero tímov prípadne aj geografické oblasti pomocou riadenia prístupu na základe rolí. 789 +** Automatický Load Balancing – možnosť optimalizácie (paralelizácie) skenovacích cyklov v distribuovaných prostrediach. 790 +** Integrácie – možnosť použiť „out-of-box“ predpripravené integrácie s riešeniami pre patch manažment, správu mobilných zariadení, Threat Intelligence a ďalšími produktami tretích strán alebo možnosť použitia API na vývoj vlastných integrácií. 791 +** Zjednodušenie sledovania súladu – možnosť využiť výrobcom preddefinované kontroly pre priemyselné štandardy a regulatórne požiadavky, ako sú napr. CERT, DISA STIG, DHS CDM, FISMA, SCADA, PCI DSS, HIPAA/HITECH a podobne. 792 +** Musí byť prevádzkovateľné on-premis. 793 +** Musí pokrývať viac ako 190 certifikovaných Center for Internet Security Benchmarks. 794 +** Potrebný hardvér musí byť súčasťou riešenia. 950 950 * Architektúra riešenia: 951 - 952 -* Poskytuje centrálny server na zber a správu informácií získaných riešením z lokálnych sietí v rámci organizácie. 953 -* Poskytuje možnosť nasadenia viac vrstvej architektúry a viacerých konzol. 954 -* Centralizovaná a plne automatizovaná aktualizácia dát o zraniteľnostiach a Threat Intelligence obsahu od dodávateľa na základe nastaviteľného denného rozvrhu. 955 -* Poskytuje offline update procesu na server v prípade od internetu oddelených sietí. 956 -* Poskytuje model integrovaného úložiska, ktorý sa nespolieha na databázový produkt tretej strany. 957 -* Konfigurovateľná retenčná politika na uchovávanie výsledkov podľa definovaného a konfigurovateľného časového obdobia, po ktorom platnosť výsledkov vyprší a automaticky sa odstránia z databázy. 958 -* Poskytuje komplexné API pre automatické skriptovanie skenovania a exportu údajov. 959 -* Licencovanie produktu musí umožňovať synchronizáciu stand-by servera s primárnym serverom pre prípad zlyhania. 960 - 796 +** Poskytuje centrálny server na zber a správu informácií získaných riešením z lokálnych sietí v rámci organizácie. 797 +** Poskytuje možnosť nasadenia viac vrstvej architektúry a viacerých konzol. 798 +** Centralizovaná a plne automatizovaná aktualizácia dát o zraniteľnostiach a Threat Intelligence obsahu od dodávateľa na základe nastaviteľného denného rozvrhu. 799 +** Poskytuje offline update procesu na server v prípade od internetu oddelených sietí. 800 +** Poskytuje model integrovaného úložiska, ktorý sa nespolieha na databázový produkt tretej strany. 801 +** Konfigurovateľná retenčná politika na uchovávanie výsledkov podľa definovaného a konfigurovateľného časového obdobia, po ktorom platnosť výsledkov vyprší a automaticky sa odstránia z databázy. 802 +** Poskytuje komplexné API pre automatické skriptovanie skenovania a exportu údajov. 803 +** Licencovanie produktu musí umožňovať synchronizáciu stand-by servera s primárnym serverom pre prípad zlyhania. 961 961 * Riadenie prístupu: 962 - 963 -* Poskytuje riadenie prístupu na základe rolí s dostatočnou granularitou na riadenie prístupu používateľov k špecifickým súborom údajov a funkciám, ktoré sú týmto používateľom k dispozícii. 964 -* Umožňuje správcom definovať vhodnú úroveň prístup k funkciám na základe rolí definovaných podľa funkcií v organizácii. 965 -* Umožňuje integráciu s LDAP na autentifikáciu používateľa. 966 -* Podpora viacerých typov serverov LDAP na autentifikáciu. 967 -* Podporuje jazyk SAML (Security Assertion Markup Language) s cieľom poskytnúť viacero možností SSO/overenia, ako sú Shibboleth a Okta. 968 -* Podporuje podrobné auditovanie aktivity používateľa manažmentu zraniteľností (napríklad aké skeny nastavoval, ako menil konfiguráciu a podobne). 969 -* Umožňuje správcom obmedziť prístup na úrovni jednotlivých používateľov alebo skupín ku konkrétnym zoznamom aktív, skenovacím politikám a repozitárom zraniteľností. 970 -* Umožňuje správcom prideľovať zdroje na základe jednotlivých používateľov alebo skupín, ako sú skenovacie politiky, zoznamy aktív, dotazy a oprávnenia. 971 -* Umožňuje správcom obmedziť povolenia na skenovanie na úplné skenovanie, skenovanie pomocou špecifických skenovacích politík alebo žiadne skenovanie. 972 -* Zahŕňa možnosť naplánovať okná bez skenovania, aby sa predišlo skenovaniu počas zakázaných hodín. 973 -* Podporuje logické usporiadanie s úplným oddelením údajov medzi rôznymi organizáciami. 974 -* Poskytuje možnosť definovať obmedzené rozsahy IP adries pre MPRV SR a každú právnickú osobu v pôsobnosti MPRV SR pre prípad, že bude zapojená do riešení. 975 -* Poskytuje možnosť obmedziť oprávnenia workflow tak, aby zahŕňali akceptovanie a prehodnotenie rizika zraniteľností. 976 - 805 +** Poskytuje riadenie prístupu na základe rolí s dostatočnou granularitou na riadenie prístupu používateľov k špecifickým súborom údajov a funkciám, ktoré sú týmto používateľom k dispozícii. 806 +** Umožňuje správcom definovať vhodnú úroveň prístup k funkciám na základe rolí definovaných podľa funkcií v organizácii. 807 +** Umožňuje integráciu s LDAP na autentifikáciu používateľa. 808 +** Podpora viacerých typov serverov LDAP na autentifikáciu. 809 +** Podporuje jazyk SAML (Security Assertion Markup Language) s cieľom poskytnúť viacero možností SSO/overenia, ako sú Shibboleth a Okta. 810 +** Podporuje podrobné auditovanie aktivity používateľa manažmentu zraniteľností (napríklad aké skeny nastavoval, ako menil konfiguráciu a podobne). 811 +** Umožňuje správcom obmedziť prístup na úrovni jednotlivých používateľov alebo skupín ku konkrétnym zoznamom aktív, skenovacím politikám a repozitárom zraniteľností. 812 +** Umožňuje správcom prideľovať zdroje na základe jednotlivých používateľov alebo skupín, ako sú skenovacie politiky, zoznamy aktív, dotazy a oprávnenia. 813 +** Umožňuje správcom obmedziť povolenia na skenovanie na úplné skenovanie, skenovanie pomocou špecifických skenovacích politík alebo žiadne skenovanie. 814 +** Zahŕňa možnosť naplánovať okná bez skenovania, aby sa predišlo skenovaniu počas zakázaných hodín. 815 +** Podporuje logické usporiadanie s úplným oddelením údajov medzi rôznymi organizáciami. 816 +** Poskytuje možnosť definovať obmedzené rozsahy IP adries pre MPRV SR a každú právnickú osobu v pôsobnosti MPRV SR pre prípad, že bude zapojená do riešení. 817 +** Poskytuje možnosť obmedziť oprávnenia workflow tak, aby zahŕňali akceptovanie a prehodnotenie rizika zraniteľností. 977 977 * Distrubované skenovanie: 978 - 979 -* Podporuje rôzne platformy skenovacích enginov vrátane Windows, Linux, macOS, ako aj virtuálne alebo hardvérové zariadenia. 980 -* Voliteľná virtuálna appliance musí byť dostupná pre skenovacie engine a konzoly bez dodatočných nákladov. 981 -* Voliteľná externe hosťovaná služba skenovania, ktorou je PCI ASV, musí byť k dispozícii na skenovanie perimetrových sietí. 982 -* Podporuje viacero geograficky alebo logicky distribuovaných skenovacích enginov riadených centrálnou konzolou. 983 -* Podporuje load balancing a failover medzi viacerými skenermi dynamickým rozložením záťaže skenovania medzi skenery na základe dostupnosti skenera počas celej úlohy skenovania. 984 -* Poskytuje možnosť nasadiť ďalšie skenery bez dodatočných nákladov. 985 -* Poskytuje možnosť konfigurovať porty, protokoly a služby pre pripojenia ku skenerom nasadeným v celej sieti. 986 -* Možnosť konfigurovať obmedzenia skenovania tak, aby sa predišlo generovaniu sieťovej premávky, ktorá by narušila normálnu sieťovú infraštruktúru. 987 -* Poskytuje možnosť podpory offline skenovania a importu výsledkov na server. 988 -* Umožňuje zadávanie a bezpečné ukladanie oprávnení vrátane lokálnych a doménových účtov Windows a Unix su a sudo cez ssh. 989 -* Poskytuje možnosť eskalovať privilégiá na ciele z bežných používateľov na root/administrátorský prístup. 990 -* Podporuje neobmedzený počet „ssh“ oprávnení. 991 -* Umožňuje integráciu s riešeniami správy privilegovaného prístupu (PAM) ako sú CyberArk, BeyondTrust, Thycotic a Lieberman. 992 - 819 +** Podporuje rôzne platformy skenovacích enginov vrátane Windows, Linux, macOS, ako aj virtuálne alebo hardvérové zariadenia. 820 +** Voliteľná virtuálna appliance musí byť dostupná pre skenovacie engine a konzoly bez dodatočných nákladov. 821 +** Voliteľná externe hosťovaná služba skenovania, ktorou je PCI ASV, musí byť k dispozícii na skenovanie perimetrových sietí. 822 +** Podporuje viacero geograficky alebo logicky distribuovaných skenovacích enginov riadených centrálnou konzolou. 823 +** Podporuje load balancing a failover medzi viacerými skenermi dynamickým rozložením záťaže skenovania medzi skenery na základe dostupnosti skenera počas celej úlohy skenovania. 824 +** Poskytuje možnosť nasadiť ďalšie skenery bez dodatočných nákladov. 825 +** Poskytuje možnosť konfigurovať porty, protokoly a služby pre pripojenia ku skenerom nasadeným v celej sieti. 826 +** Možnosť konfigurovať obmedzenia skenovania tak, aby sa predišlo generovaniu sieťovej premávky, ktorá by narušila normálnu sieťovú infraštruktúru. 827 +** Poskytuje možnosť podpory offline skenovania a importu výsledkov na server. 828 +** Umožňuje zadávanie a bezpečné ukladanie oprávnení vrátane lokálnych a doménových účtov Windows a Unix su a sudo cez ssh. 829 +** Poskytuje možnosť eskalovať privilégiá na ciele z bežných používateľov na root/administrátorský prístup. 830 +** Podporuje neobmedzený počet „ssh“ oprávnení. 831 +** Umožňuje integráciu s riešeniami správy privilegovaného prístupu (PAM) ako sú CyberArk, BeyondTrust, Thycotic a Lieberman. 993 993 * Objavovanie aktív (Assets Discovery): 994 - 995 -* Poskytuje možnosť objavovania aktív, pričom táto schopnosť sa nezapočítava do licencovania. 996 -* Pre vyhľadávanie aktív poskytuje možnosť aktívneho skenovania aj pasívneho monitorovania siete. 997 -* Umožňuje aj objavovanie (discovery) mobilných zariadení. 998 -* Nespolieha sa na žiadne skenery tretích strán pri objavovaní aktív, skenovaní portov alebo identifikácii operačných systémov. 999 -* Poskytuje integrované vyhľadávanie webových a databázových služieb. 1000 -* Detekcia služieb, ktoré bežia na neštandardných portoch. 1001 -* Detekcia služieb nakonfigurovaných tak, aby nezobrazovali bannery pripojení. 1002 -* Testovanie viacerých inštancií tej istej služby spustenej na rôznych portoch. 1003 -* Skenovanie „mŕtvych“ hostov (zariadení, ktoré nereagujú na ping). 1004 -* Podporuje voliteľné použitie netstat na rýchle a presné vyčíslenie otvorených portov v systéme, keď sú k dispozícii potrebné oprávnenia. 1005 -* Podporuje použitie SMB a WMI na skenovanie operačných systémov - napr. Microsoft Windows. 1006 -* V prípade skenu s oprávneniami automaticky spustiť služby vzdialeného registra v operačných systémoch Microsoft Windows a po dokončení skenu službu znova automaticky zastaviť. 1007 -* Skenery podporujú zabezpečený shell (ssh) so schopnosťou eskalovať privilégiá na skenovanie zraniteľností a audity konfigurácie na systémoch Unix. 1008 -* Mať schopnosť zhromažďovať/importovať a zobrazovať dáta IT aj OT aktív za účelom jednotného pohľadu na konvergované IT/OT prostredia. 1009 -* Poskytuje možnosť ladenia politiky skenovania s cieľom minimalizácie dopadu na siete a ciele. 1010 -* Riešenie musí poskytovať aktívne aj pasívne zisťovanie bezdrôtových prístupových bodov (WAP). 1011 -* Poskytuje možnosť detekovať nové zariadenia a odosielať upozornenia prostredníctvom e-mailu, syslogu alebo notifikácií konzoly. 1012 -* Poskytuje možnosť automatického spúšťania skenovania nových zariadení. 1013 -* Podporuje použitie špeciálneho agenta pre SCAP audit. 1014 -* Možnosť objavovania všetkých aktíva bez dopadu na licencovaný počet aktív s cieľom umožniť výber aktív, ktoré budú zahrnuté do aktívne manažmentu. 1015 - 833 +** Poskytuje možnosť objavovania aktív, pričom táto schopnosť sa nezapočítava do licencovania. 834 +** Pre vyhľadávanie aktív poskytuje možnosť aktívneho skenovania aj pasívneho monitorovania siete. 835 +** Umožňuje aj objavovanie (discovery) mobilných zariadení. 836 +** Nespolieha sa na žiadne skenery tretích strán pri objavovaní aktív, skenovaní portov alebo identifikácii operačných systémov. 837 +** Poskytuje integrované vyhľadávanie webových a databázových služieb. 838 +** Detekcia služieb, ktoré bežia na neštandardných portoch. 839 +** Detekcia služieb nakonfigurovaných tak, aby nezobrazovali bannery pripojení. 840 +** Testovanie viacerých inštancií tej istej služby spustenej na rôznych portoch. 841 +** Skenovanie „mŕtvych“ hostov (zariadení, ktoré nereagujú na ping). 842 +** Podporuje voliteľné použitie netstat na rýchle a presné vyčíslenie otvorených portov v systéme, keď sú k dispozícii potrebné oprávnenia. 843 +** Podporuje použitie SMB a WMI na skenovanie operačných systémov - napr. Microsoft Windows. 844 +** V prípade skenu s oprávneniami automaticky spustiť služby vzdialeného registra v operačných systémoch Microsoft Windows a po dokončení skenu službu znova automaticky zastaviť. 845 +** Skenery podporujú zabezpečený shell (ssh) so schopnosťou eskalovať privilégiá na skenovanie zraniteľností a audity konfigurácie na systémoch Unix. 846 +** Mať schopnosť zhromažďovať/importovať a zobrazovať dáta IT aj OT aktív za účelom jednotného pohľadu na konvergované IT/OT prostredia. 847 +** Poskytuje možnosť ladenia politiky skenovania s cieľom minimalizácie dopadu na siete a ciele. 848 +** Riešenie musí poskytovať aktívne aj pasívne zisťovanie bezdrôtových prístupových bodov (WAP). 849 +** Poskytuje možnosť detekovať nové zariadenia a odosielať upozornenia prostredníctvom e-mailu, syslogu alebo notifikácií konzoly. 850 +** Poskytuje možnosť automatického spúšťania skenovania nových zariadení. 851 +** Podporuje použitie špeciálneho agenta pre SCAP audit. 852 +** Možnosť objavovania všetkých aktíva bez dopadu na licencovaný počet aktív s cieľom umožniť výber aktív, ktoré budú zahrnuté do aktívne manažmentu. 1016 1016 * Skenovanie zraniteľností 1017 - 1018 -* Možnosť realizovať autentifikované aj neautentifikované skeny na lokálnu aj vzdialenú detekciu zraniteľnosti bez nutnosti inštalácie agenta na cieľovom zariadení. 1019 -* Poskytuje autentifikované aj neautentifikované sieťové skenovanie cieľových systémov. 1020 -* Pri skenovaní zraniteľností sa nespolieha na žiadne skenery tretích strán. 1021 -* Poskytuje veľký počet testov zraniteľností nie len operačného systému Windows. 1022 -* Umožňuje priradenie výsledkov testu k systémovému hostname aj v prípade zmien IP adresy cez DHCP. 1023 -* Podporuje možnosť uchovať výsledky testov neaktívnych hostov počas nastaviteľného časového obdobia. 1024 -* Zahŕňa podrobný výstup zistení skenovania vrátane informácií, ako sú očakávané a nájdené verzie DLL. 1025 -* Musí byť kompatibilný s CVE a poskytovať aspoň 10-ročné pokrytie CVE. 1026 -* Poskytuje reporty o známych slabinách v danom cieli identifikovaných bezpečnostnými poradenskými organizáciami (napr. Common Vulnerabilities and Exposures databas - CVE alebo Open Sourced Vulnerability Database - OSVDB alebo Bugtraq - BID alebo akákoľvek ich kombinácia). 1027 -* Podporuje možnosť pridať službu PCI Approved Scanning Vendor (ASV). 1028 -* Podporuje skenovanie zraniteľností podľa PCI Compliance. Obsahuje preddefinované profily skenovania PCI, ktoré spĺňajú aktuálne kritériá PCI DSS pre skenovanie siete. Funkcia musí existovať na filtrovanie všetkých ostatných zraniteľností nesúvisiacich s PCI. 1029 -* Poskytuje auditovanie záplat pre operačné systémy a aplikácie spoločnosti Microsoft ako sú Windows 10, Windows 11, Windows Server 2008/2008 R2, Windows Server 2012/2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Internet Explorer, Microsoft Edge, Microsoft Office, IIS, Exchange a ďalšie. 1030 -* Poskytuje audit záplat pre všetky hlavné operačné systémy Unix vrátane macOS, Linux (viaceré distribúcie), Solaris, IBM AIX, HP-UX a ďalšie. 1031 -* Poskytuje auditovanie záplat pre sieťovú infraštruktúru, ktorá zahŕňa Cisco, Juniper a ďalšie. 1032 -* Podporuje skenovanie SCADA a iných kompaktných zariadení. 1033 -* Mať schopnosť zhromažďovať/importovať a zobrazovať dáta IT aj OT aktív za účelom jednotného pohľadu na konvergované IT/OT prostredia. 1034 -* Poskytuje pokrytie pre aplikácie tretích strán, ako sú Java a Adobe. 1035 -* Poskytuje integráciu so systémami pre patch manažment za účelom auditovania opráv a reportovania rozdielov na základe zistení zo skenovania, ako sú Microsoft WSUS/SCCM, Red Hat Satellite, IBM BigFix (predtým IBM Tivoli Endpoint Manager), Symantec Altiris, WMware Go. 1036 -* Poskytuje integráciu s riešeniami pre manažment mobilných zariadení (MDM) za účelom objavovania mobilných zariadení a audit mobilných zariadení. 1037 -* Poskytuje možnosti auditu pre SCADA zariadenia a siete. 1038 -* Poskytuje možnosť napojenia na reputačné a Threat Intelligence obsah za účelom objavovania malvéru a botnetov. 1039 -* Poskytuje možnosť prediktívneho stanovenia priorít zraniteľností, ktoré využíva Threat Intelligence v reálnom čase a algoritmy strojového učenia na hodnotenie zraniteľností a predpovedanie, ktoré budú s najväčšou pravdepodobnosťou zneužité v blízkej budúcnosti. 1040 -* Poskytuje kontext pre prioritizáciu zraniteľností, ktorý používateľom pomáha pochopiť hlavné faktory ovplyvňujúce skóre každej zraniteľnosti. 1041 -* Podporuje hodnotenie zraniteľnosti podľa Common Vulnerability Scoring System (CVSS). 1042 -* Poskytuje prispôsobiteľný mechanizmus ohodnotenia skóre zraniteľnosti založený na priemyselných štandardoch, ako je CVSS. 1043 -* Poskytuje informácie o zneužiteľnosti zraniteľnosti z Core Impact, Metasploit a Canvas. 1044 -* Poskytuje informácie o zneužiteľnosti malvérom. 1045 -* Podporuje inteligentný výber testov na základe informácií získaných z počiatočných skenov, aby ďalšie testovanie bolo na základe predtým získaných informácií o danom zariadení alebo hostiteľovi. 1046 -* Umožňuje sledovanie životného cyklu inštancií zraniteľnosti súvisiacich s jednotlivými hostiteľskými systémami ako aj prostrediami, vrátane informácií kedy bola zraniteľnosť prvýkrát objavená, naposledy pozorovaná a zmiernená. 1047 -* Podporuje testovanie zraniteľností a zhody VMware serverov pomocou natívneho API VMware. 1048 -* Umožňuje plánované skenovanie zariadení. 1049 -* Umožňuje povoliť alebo zakázať vybrané testy počas skenovania. 1050 -* Zahŕňa možnosť deaktivovať potenciálne škodlivé testy. 1051 -* Umožňuje automaticky spúšťať a zastavovať testy podľa plánu bez zásahu používateľa. 1052 -* Umožňuje interaktívne pozastaviť a obnoviť skenovanie. 1053 -* Umožňuje skenovanie, ktoré nie je dokončené v stanovenom časovom rámci, preniesť do ďalšieho plánovaného časového rámca. 1054 -* Musí byť schopné akceptovať ciele testu vo viacerých formátoch, vrátane názvov DNS, rozsahov IP adries a tried IP adries a vopred definovaných zoznamov aktív. Napríklad 10.0.1.1 – 10.0.1.100. Podporovaný musí byť aj import zoznamu IP adries obsiahnutých v súbore. 1055 -* Podporuje skenovanie IPv6 s pasívnym objavovaním cieľov IPv6. 1056 -* Poskytuje možnosť vylúčiť skenovanie periférnych zariadení, ako sú tlačiarne. 1057 -* Poskytuje detekciu zraniteľnosti pre Novell Netware. 1058 - 854 +** Možnosť realizovať autentifikované aj neautentifikované skeny na lokálnu aj vzdialenú detekciu zraniteľnosti bez nutnosti inštalácie agenta na cieľovom zariadení. 855 +** Poskytuje autentifikované aj neautentifikované sieťové skenovanie cieľových systémov. 856 +** Pri skenovaní zraniteľností sa nespolieha na žiadne skenery tretích strán. 857 +** Poskytuje veľký počet testov zraniteľností nie len operačného systému Windows. 858 +** Umožňuje priradenie výsledkov testu k systémovému hostname aj v prípade zmien IP adresy cez DHCP. 859 +** Podporuje možnosť uchovať výsledky testov neaktívnych hostov počas nastaviteľného časového obdobia. 860 +** Zahŕňa podrobný výstup zistení skenovania vrátane informácií, ako sú očakávané a nájdené verzie DLL. 861 +** Musí byť kompatibilný s CVE a poskytovať aspoň 10-ročné pokrytie CVE. 862 +** Poskytuje reporty o známych slabinách v danom cieli identifikovaných bezpečnostnými poradenskými organizáciami (napr. Common Vulnerabilities and Exposures databas - CVE alebo Open Sourced Vulnerability Database - OSVDB alebo Bugtraq - BID alebo akákoľvek ich kombinácia). 863 +** Podporuje možnosť pridať službu PCI Approved Scanning Vendor (ASV). 864 +** Podporuje skenovanie zraniteľností podľa PCI Compliance. Obsahuje preddefinované profily skenovania PCI, ktoré spĺňajú aktuálne kritériá PCI DSS pre skenovanie siete. Funkcia musí existovať na filtrovanie všetkých ostatných zraniteľností nesúvisiacich s PCI. 865 +** Poskytuje auditovanie záplat pre operačné systémy a aplikácie spoločnosti Microsoft ako sú Windows 10, Windows 11, Windows Server 2008/2008 R2, Windows Server 2012/2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Internet Explorer, Microsoft Edge, Microsoft Office, IIS, Exchange a ďalšie. 866 +** Poskytuje audit záplat pre všetky hlavné operačné systémy Unix vrátane macOS, Linux (viaceré distribúcie), Solaris, IBM AIX, HP-UX a ďalšie. 867 +** Poskytuje auditovanie záplat pre sieťovú infraštruktúru, ktorá zahŕňa Cisco, Juniper a ďalšie. 868 +** Podporuje skenovanie SCADA a iných kompaktných zariadení. 869 +** Mať schopnosť zhromažďovať/importovať a zobrazovať dáta IT aj OT aktív za účelom jednotného pohľadu na konvergované IT/OT prostredia. 870 +** Poskytuje pokrytie pre aplikácie tretích strán, ako sú Java a Adobe. 871 +** Poskytuje integráciu so systémami pre patch manažment za účelom auditovania opráv a reportovania rozdielov na základe zistení zo skenovania, ako sú Microsoft WSUS/SCCM, Red Hat Satellite, IBM BigFix (predtým IBM Tivoli Endpoint Manager), Symantec Altiris, WMware Go. 872 +** Poskytuje integráciu s riešeniami pre manažment mobilných zariadení (MDM) za účelom objavovania mobilných zariadení a audit mobilných zariadení. 873 +** Poskytuje možnosti auditu pre SCADA zariadenia a siete. 874 +** Poskytuje možnosť napojenia na reputačné a Threat Intelligence obsah za účelom objavovania malvéru a botnetov. 875 +** Poskytuje možnosť prediktívneho stanovenia priorít zraniteľností, ktoré využíva Threat Intelligence v reálnom čase a algoritmy strojového učenia na hodnotenie zraniteľností a predpovedanie, ktoré budú s najväčšou pravdepodobnosťou zneužité v blízkej budúcnosti. 876 +** Poskytuje kontext pre prioritizáciu zraniteľností, ktorý používateľom pomáha pochopiť hlavné faktory ovplyvňujúce skóre každej zraniteľnosti. 877 +** Podporuje hodnotenie zraniteľnosti podľa Common Vulnerability Scoring System (CVSS). 878 +** Poskytuje prispôsobiteľný mechanizmus ohodnotenia skóre zraniteľnosti založený na priemyselných štandardoch, ako je CVSS. 879 +** Poskytuje informácie o zneužiteľnosti zraniteľnosti z Core Impact, Metasploit a Canvas. 880 +** Poskytuje informácie o zneužiteľnosti malvérom. 881 +** Podporuje inteligentný výber testov na základe informácií získaných z počiatočných skenov, aby ďalšie testovanie bolo na základe predtým získaných informácií o danom zariadení alebo hostiteľovi. 882 +** Umožňuje sledovanie životného cyklu inštancií zraniteľnosti súvisiacich s jednotlivými hostiteľskými systémami ako aj prostrediami, vrátane informácií kedy bola zraniteľnosť prvýkrát objavená, naposledy pozorovaná a zmiernená. 883 +** Podporuje testovanie zraniteľností a zhody VMware serverov pomocou natívneho API VMware. 884 +** Umožňuje plánované skenovanie zariadení. 885 +** Umožňuje povoliť alebo zakázať vybrané testy počas skenovania. 886 +** Zahŕňa možnosť deaktivovať potenciálne škodlivé testy. 887 +** Umožňuje automaticky spúšťať a zastavovať testy podľa plánu bez zásahu používateľa. 888 +** Umožňuje interaktívne pozastaviť a obnoviť skenovanie. 889 +** Umožňuje skenovanie, ktoré nie je dokončené v stanovenom časovom rámci, preniesť do ďalšieho plánovaného časového rámca. 890 +** Musí byť schopné akceptovať ciele testu vo viacerých formátoch, vrátane názvov DNS, rozsahov IP adries a tried IP adries a vopred definovaných zoznamov aktív. Napríklad 10.0.1.1 – 10.0.1.100. Podporovaný musí byť aj import zoznamu IP adries obsiahnutých v súbore. 891 +** Podporuje skenovanie IPv6 s pasívnym objavovaním cieľov IPv6. 892 +** Poskytuje možnosť vylúčiť skenovanie periférnych zariadení, ako sú tlačiarne. 893 +** Poskytuje detekciu zraniteľnosti pre Novell Netware. 1059 1059 * Audit súladu 1060 - 1061 -* Umožňuje autentifikovaný a neautentifikovaný audit súladu bez potreby nainštalovaného agenta na cieľovom zariadení. 1062 -* Nespolieha sa na žiadne skenery tretích strán pri audite súladu/bezpečnostnom hodnotení konfigurácie. 1063 -* Poskytuje konsolidovaný prehľad o všetkých zraniteľnostiach a výsledkoch auditu súladu. 1064 -* Poskytuje bezpečnostné a konfiguračné testy voči referenčným hodnotám (benchmarks) pre štandardy vydávané regulátormi, industriálne a medzinárodní štandardy a štandardy pre postupy najlepšej praxe. 1065 -* Poskytuje bezpečnostné a konfiguračné testy pre postupy najlepšej praxe dodávateľov ako sú Microsoft, Cisco a VMware. 1066 -* Poskytuje audit VMware ESXi a Vcenter pomocou VMware SOAP API. 1067 -* Poskytuje audit operačných systémov Microsoft pre kontrolu nastavenia zabezpečenia a konfigurácie. 1068 -* Poskytuje audit všetkých hlavných operačných systémov Unix pre kontrolu nastavenia zabezpečenia a konfigurácie. 1069 -* Poskytuje auditovanie databáz pre kontrolu nastavenia zabezpečenia a konfigurácie. 1070 -* Poskytuje audit aplikácií z hľadiska kontroly zabezpečenia a konfiguračných nastavení. 1071 -* Poskytuje audit sieťovej infraštruktúry pre kontrolu zabezpečenie a konfiguračných nastavení. 1072 -* Poskytuje auditovanie inštalácie a stavu zavádzania (boot status) špecifických produktov zabezpečenia koncových bodov (end-point-security). 1073 -* Poskytuje audit osobných údajov (PII) a iného citlivého obsahu. 1074 -* Umožňuje prispôsobiť zásady auditu špecifickým potrebám organizácie. 1075 -* Poskytuje CIS Certified Benchmarks. 1076 -* Poskytuje overený NIST SCAP 1.2. 1077 -* Umožňuje beh auditov súladu podľa DISA STIG. 1078 - 895 +** Umožňuje autentifikovaný a neautentifikovaný audit súladu bez potreby nainštalovaného agenta na cieľovom zariadení. 896 +** Nespolieha sa na žiadne skenery tretích strán pri audite súladu/bezpečnostnom hodnotení konfigurácie. 897 +** Poskytuje konsolidovaný prehľad o všetkých zraniteľnostiach a výsledkoch auditu súladu. 898 +** Poskytuje bezpečnostné a konfiguračné testy voči referenčným hodnotám (benchmarks) pre štandardy vydávané regulátormi, industriálne a medzinárodní štandardy a štandardy pre postupy najlepšej praxe. 899 +** Poskytuje bezpečnostné a konfiguračné testy pre postupy najlepšej praxe dodávateľov ako sú Microsoft, Cisco a VMware. 900 +** Poskytuje audit VMware ESXi a Vcenter pomocou VMware SOAP API. 901 +** Poskytuje audit operačných systémov Microsoft pre kontrolu nastavenia zabezpečenia a konfigurácie. 902 +** Poskytuje audit všetkých hlavných operačných systémov Unix pre kontrolu nastavenia zabezpečenia a konfigurácie. 903 +** Poskytuje auditovanie databáz pre kontrolu nastavenia zabezpečenia a konfigurácie. 904 +** Poskytuje audit aplikácií z hľadiska kontroly zabezpečenia a konfiguračných nastavení. 905 +** Poskytuje audit sieťovej infraštruktúry pre kontrolu zabezpečenie a konfiguračných nastavení. 906 +** Poskytuje auditovanie inštalácie a stavu zavádzania (boot status) špecifických produktov zabezpečenia koncových bodov (end-point-security). 907 +** Poskytuje audit osobných údajov (PII) a iného citlivého obsahu. 908 +** Umožňuje prispôsobiť zásady auditu špecifickým potrebám organizácie. 909 +** Poskytuje CIS Certified Benchmarks. 910 +** Poskytuje overený NIST SCAP 1.2. 911 +** Umožňuje beh auditov súladu podľa DISA STIG. 1079 1079 * Workflow 1080 - 1081 -* Poskytuje plnú automatizáciu skenovania, reportingu a varovania. 1082 -* Poskytuje oddelené zobrazenia pre aktívne, pasívne a mobilné zraniteľnosti a zraniteľnosti vyplývajúce z požiadaviek na súlad. 1083 -* Umožňuje agregáciu výsledkov jednotlivých skenov do kumulatívnych pohľadov zraniteľností s filtrovaním a analýzou umožňujúcou drilldown a pivotné možnosti. 1084 -* Umožňuje oddelené pohľady na aktívne a zmiernené (mitigated) zraniteľnosti s automatickou migráciou zraniteľností z aktívnych na zmiernené, keď skenovanie určí, že zraniteľnosť už nie je prítomná. 1085 -* Poskytuje možnosť označiť zraniteľnosť ako už predtým zmiernenú, ale ktorá sa objavila znova (môže nastať, keď sa systém obnoví zo zálohy alebo sa stará kópia virtuálneho počítača vráti späť do režimu online). 1086 -* Poskytuje komplexné filtrovanie výsledkov agregovaných zraniteľností s možnosťou drilldown. 1087 -* Poskytuje komplexný pohľad na pluginy s možnosťou filtrovania pluginov podľa typu. 1088 -* Poskytuje analýzu cesty útoku. 1089 -* Umožňuje označovania označovať aktíva, politiky, oprávnenia alebo dotazy vlastným popisom na zlepšenie filtrovania a správu objektov. 1090 -* Poskytuje pohľady na nápravu, ktoré sú automaticky uprednostňované a zjednodušené pre IT. 1091 -* Poskytuje schváleným používateľom možnosť spustiť skenovanie nápravy na overenie, či boli zraniteľnosti správne vyriešené. 1092 -* Poskytuje možnosť automaticky zoskupovať ciele pomocou výsledkov skenovania na generovanie dynamických zoznamov aktív. 1093 -* Umožňuje používateľovi prijať riziko (urobiť výnimku) zo zistenej zraniteľnosti s konfigurovateľnými dátumami vypršania platnosti výnimky alebo prepočítať riziko (zmeniť úrovne závažnosti) na inú úroveň, než akú pre danú zraniteľnosť definoval výrobca. 1094 -* Poskytuje funkcionalitu vytvárania tiketov a možnosť integrácie s tiketovacími systémami tretích strán. 1095 -* Podporuje priraďovanie tiketov jednotlivým používateľom. 1096 -* Poskytuje možnosti upozorňovania na zraniteľnosti a udalosti. 1097 -* Podporuje definíciu upozornení na základe skenovania zraniteľností alebo výsledkov auditu. 1098 -* Reakcie na udalosti musia zahŕňať prispôsobiteľný e-mail s viacerými kontextovými premennými, vytvorenie tiketu, spustenie skenu, vygenerovanie udalosti do syslog, generovanie reportu a notifikáciu používateľov. 1099 - 913 +** Poskytuje plnú automatizáciu skenovania, reportingu a varovania. 914 +** Poskytuje oddelené zobrazenia pre aktívne, pasívne a mobilné zraniteľnosti a zraniteľnosti vyplývajúce z požiadaviek na súlad. 915 +** Umožňuje agregáciu výsledkov jednotlivých skenov do kumulatívnych pohľadov zraniteľností s filtrovaním a analýzou umožňujúcou drilldown a pivotné možnosti. 916 +** Umožňuje oddelené pohľady na aktívne a zmiernené (mitigated) zraniteľnosti s automatickou migráciou zraniteľností z aktívnych na zmiernené, keď skenovanie určí, že zraniteľnosť už nie je prítomná. 917 +** Poskytuje možnosť označiť zraniteľnosť ako už predtým zmiernenú, ale ktorá sa objavila znova (môže nastať, keď sa systém obnoví zo zálohy alebo sa stará kópia virtuálneho počítača vráti späť do režimu online). 918 +** Poskytuje komplexné filtrovanie výsledkov agregovaných zraniteľností s možnosťou drilldown. 919 +** Poskytuje komplexný pohľad na pluginy s možnosťou filtrovania pluginov podľa typu. 920 +** Poskytuje analýzu cesty útoku. 921 +** Umožňuje označovania označovať aktíva, politiky, oprávnenia alebo dotazy vlastným popisom na zlepšenie filtrovania a správu objektov. 922 +** Poskytuje pohľady na nápravu, ktoré sú automaticky uprednostňované a zjednodušené pre IT. 923 +** Poskytuje schváleným používateľom možnosť spustiť skenovanie nápravy na overenie, či boli zraniteľnosti správne vyriešené. 924 +** Poskytuje možnosť automaticky zoskupovať ciele pomocou výsledkov skenovania na generovanie dynamických zoznamov aktív. 925 +** Umožňuje používateľovi prijať riziko (urobiť výnimku) zo zistenej zraniteľnosti s konfigurovateľnými dátumami vypršania platnosti výnimky alebo prepočítať riziko (zmeniť úrovne závažnosti) na inú úroveň, než akú pre danú zraniteľnosť definoval výrobca. 926 +** Poskytuje funkcionalitu vytvárania tiketov a možnosť integrácie s tiketovacími systémami tretích strán. 927 +** Podporuje priraďovanie tiketov jednotlivým používateľom. 928 +** Poskytuje možnosti upozorňovania na zraniteľnosti a udalosti. 929 +** Podporuje definíciu upozornení na základe skenovania zraniteľností alebo výsledkov auditu. 930 +** Reakcie na udalosti musia zahŕňať prispôsobiteľný e-mail s viacerými kontextovými premennými, vytvorenie tiketu, spustenie skenu, vygenerovanie udalosti do syslog, generovanie reportu a notifikáciu používateľov. 1100 1100 * Reporting 1101 - 1102 -* Podporuje vytváranie prispôsobených správ buď pomocou šablón dodaných výrobcom alebo bez šablón. 1103 -* Poskytuje možnosť filtrovať výsledky v reportoch podľa rôznych kritérií, vrátane zoznamov aktív, úložísk, adries, typov zraniteľností, surového textu a dátumových polí. 1104 -* Poskytuje integrovaný reporting o skenovaní, sniffovaní a logoch. 1105 -* Poskytuje možnosť plne automatizovať reporting vrátane plánovaného spustenia a doručenia reportu a doručenia reportu po skenovaní. 1106 -* Poskytuje možnosť vytvárať ad hoc reporty pri prezeraní výsledkov v konzole. 1107 -* Podporuje schopnosť vytvárať reporty v nasledujúcich formátoch: PDF, CSV, XML. 1108 -* Poskytuje prispôsobiteľné trendy výsledkov skenovania v reportoch pomocou filtrovaných výsledkov s definovanými viacerými trendovými líniami v jednom grafe. 1109 -* Poskytuje maticové tabuľky, ktoré sumarizujú čísla v mnohých filtrovaných skupinách výsledkov. 1110 -* Poskytuje automatizovaný informačný kanál zo šablón pre bezpečnosť a dodržiavanie súladu. 1111 -* Poskytuje správy o súlade s predpismi bez dodatočných nákladov. 1112 -* Reporty musia mať možnosť zahŕňať názvy hostiteľov (netbios, DNS) spolu s IP adresami. 1113 -* Poskytuje možnosť šifrovania a ochrany reportov heslom. 1114 -* Poskytuje možnosť automatického odosielania reportov e-mailom. 1115 -* Umožňuje nahrať vlastné obrázky do riešenia za účelom prispôsobenia reportu (napr. logo organizácie). 1116 - 932 +** Podporuje vytváranie prispôsobených správ buď pomocou šablón dodaných výrobcom alebo bez šablón. 933 +** Poskytuje možnosť filtrovať výsledky v reportoch podľa rôznych kritérií, vrátane zoznamov aktív, úložísk, adries, typov zraniteľností, surového textu a dátumových polí. 934 +** Poskytuje integrovaný reporting o skenovaní, sniffovaní a logoch. 935 +** Poskytuje možnosť plne automatizovať reporting vrátane plánovaného spustenia a doručenia reportu a doručenia reportu po skenovaní. 936 +** Poskytuje možnosť vytvárať ad hoc reporty pri prezeraní výsledkov v konzole. 937 +** Podporuje schopnosť vytvárať reporty v nasledujúcich formátoch: PDF, CSV, XML. 938 +** Poskytuje prispôsobiteľné trendy výsledkov skenovania v reportoch pomocou filtrovaných výsledkov s definovanými viacerými trendovými líniami v jednom grafe. 939 +** Poskytuje maticové tabuľky, ktoré sumarizujú čísla v mnohých filtrovaných skupinách výsledkov. 940 +** Poskytuje automatizovaný informačný kanál zo šablón pre bezpečnosť a dodržiavanie súladu. 941 +** Poskytuje správy o súlade s predpismi bez dodatočných nákladov. 942 +** Reporty musia mať možnosť zahŕňať názvy hostiteľov (netbios, DNS) spolu s IP adresami. 943 +** Poskytuje možnosť šifrovania a ochrany reportov heslom. 944 +** Poskytuje možnosť automatického odosielania reportov e-mailom. 945 +** Umožňuje nahrať vlastné obrázky do riešenia za účelom prispôsobenia reportu (napr. logo organizácie). 1117 1117 * Dashboardy 947 +** Poskytuje vysokoúrovňové prehľady bezpečnostných metrík a súladu. 948 +** Obsahuje prispôsobiteľné grafické prvky a zoznam prvkov dashboardu na zobrazenie zraniteľností a stavu hodnoteného prostredia. 949 +** Poskytuje prispôsobiteľné trendy výsledkov skenovania na paneloch pomocou filtrovaných výsledkov na definovanie viacerých trendových čiar v jednom grafe. 950 +** Umožňuje každému používateľovi definovať viacero používateľsky špecifických dashboardov. 951 +** Prvky dashboardu musia byť plne prispôsobiteľné filtrovaním na zobrazenie údajov na základe zoznamu aktív, zraniteľnosti alebo kontroly súladu, času, vyhľadávania kľúčových slov, IP adresy atď. 952 +** Obnovovacie frekvencie panelov musia byť konfigurovateľné tak, aby sa aktualizovali podľa plánu alebo podľa potreby. 953 +** Poskytuje možnosť importovať/exportovať dashboard a šablóny reportov. 954 +** Poskytuje možnosť definovať rôzne vizuálne prvky pre prispôsobené dashboardy, vrátane koláčových grafov, stĺpcových grafov, matice a trendov. 955 +** Poskytuje používateľom možnosť zdieľať dashboardy. 956 +** Poskytuje informačný panel, ktorý obsahuje šablóny, ktoré sú tematicky zamerané na rôzne cieľové skupiny, štandardy súladu a bezpečnostné kontroly. 957 +** Poskytuje prispôsobiteľné možnosti rozloženia a formátovania dashboardu. 1118 1118 1119 -* Poskytuje vysokoúrovňové prehľady bezpečnostných metrík a súladu. 1120 -* Obsahuje prispôsobiteľné grafické prvky a zoznam prvkov dashboardu na zobrazenie zraniteľností a stavu hodnoteného prostredia. 1121 -* Poskytuje prispôsobiteľné trendy výsledkov skenovania na paneloch pomocou filtrovaných výsledkov na definovanie viacerých trendových čiar v jednom grafe. 1122 -* Umožňuje každému používateľovi definovať viacero používateľsky špecifických dashboardov. 1123 -* Prvky dashboardu musia byť plne prispôsobiteľné filtrovaním na zobrazenie údajov na základe zoznamu aktív, zraniteľnosti alebo kontroly súladu, času, vyhľadávania kľúčových slov, IP adresy atď. 1124 -* Obnovovacie frekvencie panelov musia byť konfigurovateľné tak, aby sa aktualizovali podľa plánu alebo podľa potreby. 1125 -* Poskytuje možnosť importovať/exportovať dashboard a šablóny reportov. 1126 -* Poskytuje možnosť definovať rôzne vizuálne prvky pre prispôsobené dashboardy, vrátane koláčových grafov, stĺpcových grafov, matice a trendov. 1127 -* Poskytuje používateľom možnosť zdieľať dashboardy. 1128 -* Poskytuje informačný panel, ktorý obsahuje šablóny, ktoré sú tematicky zamerané na rôzne cieľové skupiny, štandardy súladu a bezpečnostné kontroly. 1129 -* Poskytuje prispôsobiteľné možnosti rozloženia a formátovania dashboardu. 1130 -*1. 1131 -*11. 1132 -*111. Sieťová a komunikačná bezpečnosť 1133 1133 960 +5.2.1.3 Sieťová a komunikačná bezpečnosť 961 + 1134 1134 Sieťový firewall je kľúčovým prvkom kybernetickej bezpečnosti v informačných technológiách. Tento bezpečnostný nástroj je navrhnutý na sledovanie a riadenie toku dát medzi rôznymi sieťovými zariadeniami. Jeho hlavným účelom je chrániť sieť pred neoprávneným prístupom, monitorovať sieťovú prevádzku a filtrovať nebezpečnú alebo neautorizovanú komunikáciu. Implementácia sieťových firewalov vyplýva MPRV SR najmä z § 12 vyhlášky č. 362/2018 Z. z. a z § 20 ods. 3 písm. h) zákona č. 69/2018 Z. z. MPRV SR má aktuálne túto povinnosť splnenú avšak pre súčasné firewally končí ku dňu 7.3.2025 technická podpora (EoL – End of Life) bez možnosti prolongácie tohto termínu a preto bola aj výmena týchto zariadení zaradená do predmetu projektu. 1135 1135 1136 1136 MPRV požaduje, aby nové sieťové firewally určené na výmenu za aktuálne dosluhujúce spĺňali tieto parametre, pričom pôjde o Next Generation Firewally (ďalej aj ako „NGFW“) s technickými požiadavkami: ... ... @@ -1437,7 +1437,7 @@ 1437 1437 1. 1438 1438 11. 1439 1439 111. ((( 1440 -==== 5.3.4 Prehľad integrácii ISVS na spoločné ISVS[[(% class="wikiinternallink wikiinternallink wikiinternallink" %)^^**~[2~]**^^>>path:#_ftn2]](%%) a ISVS iných orgánov verejne správy alebo IS tretích strán ==== 1268 +==== 5.3.4 Prehľad integrácii ISVS na spoločné ISVS[[(% class="wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink" %)^^**~[2~]**^^>>path:#_ftn2]](%%) a ISVS iných orgánov verejne správy alebo IS tretích strán ==== 1441 1441 ))) 1442 1442 1443 1443 Súčasťou projektu nie sú plánované žiadne integrácie na ISVS, ISVS iných orgánov verejnej správy ani na IS tretích strán.