I-03 Prístup k projektu (pristup_k_projektu)

**PRÍSTUP K PROJEKTU**

**Vzor pre manažérsky výstup I-03**

**podľa vyhlášky MIRRI č. 401/2023 Z. z.**

|**Povinná osoba**|{{content id="projekt.asociovane_po" template="[[${po.nazov}]]"}}Ministerstvo cestovného ruchu a športu Slovenskej republiky{{/content}}

6

|**Názov projektu**|{{content id="projekt.nazov"}}Zvýšenie úrovne kybernetickej bezpečnosti Ministerstva cestovného ruchu a športu SR{{/content}}

7

|**Zodpovedná osoba za projekt**| //Meno a priezvisko osoby, ktorá predkladá dokumenty (zamestnanec /Projektový manažér)//

8

|**Realizátor projektu**|{{content id="projekt.asociovane_po" template="[[${po.nazov}]]"}}Ministerstvo cestovného ruchu a športu Slovenskej republiky{{/content}}

9

|**Vlastník projektu**| {{content id="projekt.vlastnik.nazov"}}Ministerstvo cestovného ruchu a športu Slovenskej republiky{{/content}}

10

**Schvaľovanie dokumentu**

11

12

**Podpis**

13

(alebo elektronický súhlas)

)))

= {{id name="_Toc2008675389"/}}1.História dokumentu =

18

19

|**Verzia**|**Dátum**|**Zmeny**|**Meno**

20

|//0.1//|//20.12.2024//|//Pracovný návrh//|

21

|//1.0//|//31.12.2024//|//Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.//|

| | | |

| | | |

= {{id name="_Toc74315499"/}}2.Účel dokumentu =

26

27

Dokument je vypracovaný v súlade s Vyhláškou č. 401/2023 Z. z..

28

29

Dokument popisuje nasledovné oblasti:

30

31

* opis navrhovaného riešenia,

32

* architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry,

33

* špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu,

34

* prevádzkové požiadavky, požiadavky na zdrojové kódy.

35

36

== {{id name="_Toc152607284"/}}{{id name="_Toc683485446"/}}{{id name="_Toc365474999"/}}{{id name="_Toc1488819067"/}}{{id name="_Toc461533771"/}}{{id name="_Toc1193242276"/}}{{id name="_Toc738207424"/}}{{id name="_Toc2067375730"/}}{{id name="_Toc336064095"/}}{{id name="_Toc62328600"/}}{{id name="_Toc1636304797"/}}{{id name="_Toc635885549"/}}2.1Použité skratky a pojmy ==

37

38

|**SKRATKA/POJEM**|**POPIS**

39

|2FA|Dvojfaktorová autentizácia

40

|AP NKIVS|Akčný plán Národnej koncepcie informatizácie verejnej správy 2021

41

|BCM|Riadenie kontinuity prevádzky

42

|BCR|Pomer prínosov a nákladov z pohľadu návratnosti

43

|CBA|Analýza nákladov a prínosov

44

|EDR|Endpoint Detection and Response

45

|FO|Fyzická osoba

46

|FTE|Ekvivalent plného pracovného úväzku

47

|IB|informačná bezpečnosť

48

|IS|informačný systém

49

|ISVS|Informačný systém verejnej správy

50

|IT|Informačná technológia

51

|ITVS|Informačné technológie verejnej správy

52

|KB|Kybernetická bezpečnosť

53

|KBI|Kybernetický bezpečnostný incident

54

|MCA|Multikriteriálna analýza

55

|MIRRI SR|Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky

56

|MinCRS SR|Ministerstvo cestovného ruchu a športu Slovenskej republiky

57

|NAC|Network Access Control

58

|NASES|Národná agentúra pre sieťové a elektronické služby

59

|NBÚ|Národný bezpečnostný úrad

60

|NDR|Network Detection and Response

61

|NKIVS|Národná koncepcia informatizácie verejnej správy

62

|NKKB|Národná koncepcia kybernetickej bezpečnosti

63

|OVM|Orgán verejnej moci

64

|OT|Operačné technológie (Operational technology)

65

|PID|Projektový iniciálny dokument

66

|PM|Projektový manažér

67

|PO|Právnická osoba

68

|PZS|Prevádzkovateľ základnej služby

69

|RVP|Riadiaci výbor projektu

70

|SAN|Storage area network

71

|SIEM|Systém pre management bezpečnostních informací a událostí (Security Information and Event Management)

72

|SOAR|Proces orchestrácie, automatizácie a odozvy zabezpečenia (Security orchestration, automation and response)

73

|SOC|Bezpečnostné Dohľadové Centrum (Security Operations Center)

74

|SR|Slovenská republika

75

|TCO|Total cost of ownership

76

|TP|Technické prostriedky

77

|TTP|Techniky, taktiky a procedúry

78

|VISKB|Vládny informačný systém kybernetickej bezpečnosti

79

|VJ CSIRT|Vládna jednotka CSIRT (Computer Security Incident Response Team Slovakia, niekedy označovaná aj skratkou CSIRT.SK)

80

|VM|Manažment zraniteľností (Vulnerability management)

81

|VO|Verejné obstarávanie

82

|XDR|Extended detection and response

83

|ZoBK|Zákon o kybernetickej bezpečnosti

84

|ŽoNFTP|Žiadosť o nenávratný finančný príspevok

85

86

== {{id name="_Toc153139681"/}}{{id name="_Toc15428557"/}}{{id name="_Toc15427667"/}}{{id name="_Toc15426945"/}}{{id name="_Toc510413655"/}}2.2Konvencie pre typy požiadaviek (príklady) ==

87

88

//Zvoľte si konvenciu pre označovanie požiadaviek, súborov, atď. Hlavné kategórie požiadaviek v zmysle katalógu požiadaviek, rozdeľujeme na funkčné (funkcionálne), nefunkčné (kvalitatívne, výkonové a pod.). Podskupiny v hlavných kategóriách je možné rozšíriť podľa potrieb projektu, napríklad~://

89

//**Funkcionálne (používateľské) požiadavky **majú nasledovnú konvenciu~://

90

//**FRxx**//

91

92

* //U – užívateľská požiadavka//

93

* //R – označenie požiadavky//

94

* //xx – číslo požiadavky//

95

//**Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky** majú nasledovnú konvenciu~://

96

//**NRxx**//

97

* //N – nefunkčná požiadavka (NFR)//

98

* //R – označenie požiadavky//

99

* //xx – číslo požiadavky//

100

//Ostatné typy požiadaviek môžu byť ďalej definované objednávateľom/PM.//

101

{{id name="_Toc15428558"/}}{{id name="_Toc15427668"/}}{{id name="_Toc15426946"/}}//Všetky požiadavky uvedené v Prístupe k projektu v príslušných kapitolách, musia byť v súlade s funkčnými, nefunkčnými a technickými požiadavkami uvedenými v Katalógu požiadaviek I-04 (**M-05 Analýza nákladov a prínosov - BC/CBA, karta: Katalóg požiadaviek)**.//

102

103

= {{id name="_Toc1924467239"/}}{{id name="_Toc153139683"/}}3.Popis navrhovaného riešenia =

104

105

Predmetom projektu je zavedenie nástrojov kybernetickej a informačnej bezpečnosti na Ministerstve cestovného ruchu a športu SR (ďalej len „MCRaŠ SR“). Kybernetická bezpečnosť je z pohľadu architektúry prierezovou oblasťou a teda realizuje sa skrz všetky vrstvy architektúry. Toto novovzniknuté ministerstvo, ktoré iba zakladá infraštruktúru a základné aplikačné celky, považuje za nutné spísanie základných bezpečnostných štandardov a nasadenie úvodných bezpečnostných technológií pri vzniku aplikačných celkov a zavádzaní interných procesov a smerníc. Z pohľadu infraštruktúry je ideálne budovať bezpečnostné princípy na začiatku, čo zásadne znižuje náklady na dodatočné prispôsobovanie aplikácií moderným požiadavkám.

106

107

Terajšia biznis vrstva architektúry IT nezodpovedá bezpečnostnému štandardu podľa vyhlášky o kybernetickej bezpečnosti alebo svetovému CIS framework podľa NIST. Samotným skorým zavedením bezpečnostných štandardov nedochádza k podstatným zmenám v rámci MCRaŠ SR.

108

109

Predmetom projektu v súlade s hodnotiacim kritériami výzvy je zabezpečenie základných činností v oblasti kybernetickej a informačnej bezpečnosti v organizácii žiadateľa a zabezpečenie vybraných činností zameraných na prevenciu pred kybernetickými bezpečnostnými incidentmi v organizácii žiadateľa konkrétne:

110

111

*

112

** (CASB, ZTNA, DLP, WAF) ochrana prístupov k internetu, ochrana internetových aplikácií, správa prístupov k aplikáciám, sledovanie toku dát a ochrana pred odcudzením na základe kontextu a klasifikácie

113

** (HSM, KMS, HYOK) nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dátam

114

** (SIEM, SOAR) nástroj pre centrálnu evidenciu logov z informačných systémov a následné vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktivít

115

** (IPAM, 802.1x) zabezpečenie základných NW služieb heterogénnom prostredí pre DNS, DHCP, IPAM, 802.1X, physical port security

116

** (Exposure, Risk, Vulnerability, CIAM) nástroj pre posudzovanie a kategorizáciu potenciálnych rizík, vrátane správy zraniteľností, aplikačného testovania, a korektnej konfigurácie cloud prostredí a prístupov.

117

** (Threat Intell, IoC, Supply Chain) Nástroj na preverovanie bezpečnosti dodávateľského reťazca, integráciu známych bezpečnostných hrozieb a charakteristík do interných bezpečnostných nástrojov, zisťovanie a odhaľovanie potenciálnych plánovaných útokov, zisťovanie a dokazovanie zneužitia mena a prípadných únikov dát

118

** incident response, remediation a audit služba

119

** Bezpečnostný projekt pre zmapovanie prostredia, zavedenie procesov a politík podľa Zákona 69/2018 (Kybernetická bezpečnosť, 95/2019 (IT verejnej správy), 18/2018 (GDPR), Školiace materialy pre MKB, riadenie kontinuity (BCP, BIA, DRP), vulenrability a incident management a pridružené procesy podľa ITIL/ITSM, klasifikácia informácií, bezpečnosť koncových prvkov, a služby bezpečnostného architekta počas implementácie projektu

120

121

Danými nástrojmi spolu s existujúcim riešením dokážeme zabezpečiť súlad zo zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“), ako aj konzistenciu odporúčaní podľa CIS framework v nasledujúcich oblastiach:

122

123

* (CIS Control 1) Inventarizácia zariadení pristupujúcich k aplikáciám a dátam

124

* (CIS Control 2) Kontrola zariadení pristupujúcich k dátam a aplikáciám na vyžadované bezpečnostné štandardy a izoláciu dát

125

* (CIS Control 3) Ochrana dát pred neautorizovaným prístupom ako aj pred odcudzením a zneužitím dát

126

* (CIS Control 4) Zabezpečenie nasadenia konzistentných bezpečnostných politík pre prístup k aplikáciám a dátam

127

* (CIS Control 5) Evidencia účtov, auditné logy a správa oprávnení a to v rátane Cloud prostredia

128

* (CIS Control 6) Kontrola prístupov do prostredia, k aplikáciám a k dátam

129

* (CIS Control 7) Kontinuálna správa zraniteľností na všetkých prvkoch infraštruktúry v rátane pracovných staníc

130

* (CIS Control 8) Archivácia a vyhodnocovanie auditných logov

131

* (CIS Control 9) Správa internetových prístupov a sprístupneného obsahu, ochrana Email komunikácie

132

* (CIS Control 10) Ochrana proti škodlivým kódom na všetkých vrstvách

133

* (CIS Control 11) Ochranu záloh pred neautorizovanou obnovou

134

* (CIS Control 12) Správa sieťovej infraštruktúry

135

* (CIS Control 13) Dohľadová úroveň bezpečnosti sieťových zariadení a toku dát

136

* (CIS Control 15) Zabezpečenie aplikácií a dát v externom prostredí

137

* (CIS Control 16) Bezpečnosť aplikácií

138

* (CIS Control 17) Schopnosť detegovať a reagovať na bezpečnostné incidenty

139

* (CIS Control 18) Penetračné testovanie po technickej stránke.

140

141

Odvolávka na CIS framework je z dôvodu, že prevažná väčšina bezpečnostných nástrojov má integrované minimálne CIS normy vo svojich politikách a pravidlách pre vyhodnocovanie zhody s požadovanými nastaveniami, ktoré sú v súlade s platnou legislatívnou úpravou:

142

143

* Zákon č. 69/2018 Z.z . o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

144

* Zákon č. 287/2021 Z. z. Zákon, ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony

145

* Zákon č. 95/2019 Z.z . informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

146

* Vyhláška NBÚ č. 362/2018 Z.z . ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

147

* Vyhláška ÚPVII č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

148

* vyhlášky NBÚ č. 165/2018 Z. z. ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov,

149

* vyhlášky NBÚ č. 166/2018 Z. z. o podrobnostiach o technickom, technologickom a personálnom vybavení jednotky pre riešenie kybernetických bezpečnostných incidentov,

150

* zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o doplnení niektorých zákonov,

151

* zákona č. 45/2011 Z. z. o kritickej infraštruktúre,

152

* zákona č. 18/2018 Z. z. o ochrane osobných údajov v znení neskorších predpisov (GDPR),

153

* zákona č. 272/2016 Z. z. o dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zmene a doplnení niektorých zákonov (zákon o dôveryhodných službách),

154

* Zákon č. 56/2018 Z.z . o posudzovaní zhody výrobku, sprístupňovaní určeného výrobku na trhu a o zmene a doplnení niektorých zákonov

155

* ISO/IEC 17024:2012 Posudzovanie zhody Všeobecné požiadavky na orgány vykonávajúce certifikáciu osôb

156

* ISO/IEC 17000:2020 Posudzovanie zhody Slovník a všeobecné zásady

157

* ISO/IEC 27000 „Informačné technológie Bezpečnostné metódy Systémy riadenia informačnej bezpečnosti“,

158

* Smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii,

159

* nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti)

160

* zákona č. 18/2018 Z. z. o ochrane osobných údajov a o doplnení niektorých zákonov,

161

* smernice Európskeho parlamentu a Rady2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) a jej implementácie v zákone č. 351/2011 Z. z. o elektronických komunikáciách

162

* nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

163

* nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu,

164

165

= {{id name="_Toc120655606"/}}{{id name="_Toc153139684"/}}4.Architektúra riešenia projektu =

166

167

Architektúra riešenia projektu je spracovaná v súlade s hlavnými cieľmi, ktoré sú podrobnejšie definované funkčnými resp. nefunkčnými požiadavkami uvedené v prílohe Katalóg požiadaviek. Architektúra riešenia projektu je ďalej rozpracovaná na úrovni biznis vrstvy, aplikačnej vrstvy, technologickej vrstvy a bezpečnostnej vrstvy z prihliadnutím na minimalizovanie počtu potrebných nástrojov a výrobcov, pričom dôraz je na univerzálnosť implementácie nástrojov do heterogénneho prostredia z pohľadu prepojiteľnosti cloud a onprem prostredí, platformovú univerzálnosť a aplikačnú nezávislosť. Navrhované riešenie rozširuje existujúcu bezpečnosť postavenú na produktoch a službách Microsoft 365 E5.

168

169

== {{id name="_Toc299977606"/}}{{id name="_Toc153139685"/}}4.1Biznis vrstva ==

170

171

Biznis vrstva – súčasný stav a plánovaný aplikačný rozvoj:

172

173

[[image:1735650662329-664.png]]

174

175

Existujúce prostredie je umiestnené vo verejnom cloude, vládnom cloude a vo vlastných priestoroch (1 lokácia). Dominantná platforma z pohľadu počtu aplikácií, jednoduchosti a efektívnosti rozvoja je zvolená Microsoft Azure a Microsoft 365, pričom väčšina aplikácií je založená na princípe Cloud Native Appliactions & Microservices. Aplikácia IEšport je naviazaná na externé vstupy z CSRU a GP, preto je umiestnená v prostredí vládneho cloud, a prepojená prostredníctvom GOVNET siete. Celý tento aplikačný celok je izolovaný od ostatných aplikácií alebo verejného internetu.

176

177

=== 4.1.1Prehľad koncových služieb – budúci stav: ===

178

179

Projektom nie sú budované žiadne nové koncové služby. Cieľom projektu je izolovať jednotlivé služby od internetu a zavedenie kybernetickej a informačnej bezpečnosti a implementácie kryptografie do prostredia. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov v rámci tejto výzvy.

180

181

182

=== {{id name="_Toc673686985"/}}{{id name="_Toc153139711"/}}4.1.2Jazyková podpora a lokalizácia ===

183

184

Všetky požadované technológie musia byť dostupné v Anglickom jazyku vrátane dokumentácie. Výnimkou je Vzdelávacia platforma, ktorá musí byť okrem anglického jazyka lokalizovaná aj v slovenskom jazyku.

185

186

== {{id name="_Toc826435347"/}}{{id name="_Toc153139686"/}}4.2Aplikačná vrstva ==

187

188

Aplikačná vrstva pozostáva z plánovaných 20 aplikácií, ktoré sú postupne nasadzované, ich primárne použitie je pre interné potreby a nie je plánované ich publikovať do internetu pre širokú verejnosť. Z tohto dôvodu chceme zabezpečiť aplikácie pomocou ZTNA a SASE princípu pre minimalizovanie rizika útoku, nezaoberáme sa špecializovaným samoučiacim WAF alebo DDoS ochranou. Jednotlivé komponenty aplikácií sú prevažne postavené alebo plánované na využití microservices, čo znamená, že je nutné zabezpečiť integritu spojenia medzi jednotlivými službami.

189

190

Externé systémy nie sú pripojené k interným aplikáciám, nie je to však vylúčené v blízkej budúcnosti. Bezpečnostný systém ako celok navrhujeme tak, aby bolo možné tieto prepojenia realizovať aj medzi komponentami Cloud infraštruktúry, kde tradičné VPN riešenie je neefektívne.

191

192

=== {{id name="_Toc752151050"/}}{{id name="_Toc153139687"/}}4.2.1Rozsah informačných systémov – AS IS ===

193

194

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

195

196

=== 4.2.2Rozsah informačných systémov – TO BE ===

197

198

199

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

200

201

V rámci projektu budú implementované nové nástroje pre zvýšenie úrovne kybernetickej a informačnej bezpečnosti.

202

203

=== 4.2.3Využívanie nadrezortných a spoločných ISVS – AS IS ===

204

205

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

206

207

=== 4.2.4Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE ===

208

209

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

210

211

=== 4.2.5Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===

212

213

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

214

215

=== 4.2.6Aplikačné služby pre realizáciu koncových služieb – TO BE ===

216

217

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

218

219

=== 4.2.7Aplikačné služby na integráciu – TO BE ===

220

221

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

222

223

=== {{id name="_Toc814509359"/}}{{id name="_Toc153139693"/}}{{id name="_Toc63764348"/}}4.2.8Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===

224

225

Projektom nie je plánované poskytovanie údajov do IS CSRŮ.

226

227

Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

228

229

=== {{id name="_Toc63764349"/}}{{id name="_Toc1792132569"/}}{{id name="_Toc153139694"/}}4.2.9Konzumovanie údajov z IS CSRU – TO BE ===

230

231

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

232

233

== {{id name="_Toc62489738"/}}{{id name="_Toc739110335"/}}{{id name="_Toc153139695"/}}{{id name="_Toc62488214"/}}{{id name="_Toc62488105"/}}{{id name="_Toc62488012"/}}{{id name="_Toc62487919"/}}{{id name="_Toc62487051"/}}{{id name="_Toc62486914"/}}{{id name="_Toc62486339"/}}{{id name="_Toc62488213"/}}{{id name="_Toc62488104"/}}{{id name="_Toc62488011"/}}{{id name="_Toc62487918"/}}{{id name="_Toc62487050"/}}{{id name="_Toc62486913"/}}{{id name="_Toc62486338"/}}{{id name="_Toc62488212"/}}{{id name="_Toc62488103"/}}{{id name="_Toc62488010"/}}{{id name="_Toc62487917"/}}{{id name="_Toc62487049"/}}{{id name="_Toc62486912"/}}{{id name="_Toc62486337"/}}{{id name="_Toc62488211"/}}{{id name="_Toc62488102"/}}{{id name="_Toc62488009"/}}{{id name="_Toc62487916"/}}{{id name="_Toc62487048"/}}{{id name="_Toc62486911"/}}{{id name="_Toc62486336"/}}{{id name="_Toc62488210"/}}{{id name="_Toc62488101"/}}{{id name="_Toc62488008"/}}{{id name="_Toc62487915"/}}{{id name="_Toc62487047"/}}{{id name="_Toc62486910"/}}{{id name="_Toc62486335"/}}{{id name="_Toc61939053"/}}{{id name="_Toc61938877"/}}{{id name="_Toc61939052"/}}{{id name="_Toc61938876"/}}{{id name="_Toc61939051"/}}{{id name="_Toc61938875"/}}{{id name="_Toc62488209"/}}{{id name="_Toc62488100"/}}{{id name="_Toc62488007"/}}{{id name="_Toc62487914"/}}{{id name="_Toc62487046"/}}{{id name="_Toc62486909"/}}{{id name="_Toc62486334"/}}{{id name="_Toc62488208"/}}{{id name="_Toc62488099"/}}{{id name="_Toc62488006"/}}{{id name="_Toc62487913"/}}{{id name="_Toc62487045"/}}{{id name="_Toc62486908"/}}{{id name="_Toc62486333"/}}{{id name="_Toc62488207"/}}{{id name="_Toc62488098"/}}{{id name="_Toc62488005"/}}{{id name="_Toc62487912"/}}{{id name="_Toc62487044"/}}{{id name="_Toc62486907"/}}{{id name="_Toc62486332"/}}{{id name="_Toc62488206"/}}{{id name="_Toc62488097"/}}{{id name="_Toc62488004"/}}{{id name="_Toc62487911"/}}{{id name="_Toc62487043"/}}{{id name="_Toc62486906"/}}{{id name="_Toc62486331"/}}{{id name="_Toc62488205"/}}{{id name="_Toc62488096"/}}{{id name="_Toc62488003"/}}{{id name="_Toc62487910"/}}{{id name="_Toc62487042"/}}{{id name="_Toc62486905"/}}{{id name="_Toc62486330"/}}{{id name="_Toc62488204"/}}{{id name="_Toc62488095"/}}{{id name="_Toc62488002"/}}{{id name="_Toc62487909"/}}{{id name="_Toc62487041"/}}{{id name="_Toc62486904"/}}{{id name="_Toc62486329"/}}{{id name="_Toc62488199"/}}{{id name="_Toc62488090"/}}{{id name="_Toc62487997"/}}{{id name="_Toc62487904"/}}{{id name="_Toc62487036"/}}{{id name="_Toc62486899"/}}{{id name="_Toc62486324"/}}{{id name="_Toc62488194"/}}{{id name="_Toc62488085"/}}{{id name="_Toc62487992"/}}{{id name="_Toc62487899"/}}{{id name="_Toc62487031"/}}{{id name="_Toc62486894"/}}{{id name="_Toc62486319"/}}{{id name="_Toc62488189"/}}{{id name="_Toc62488080"/}}{{id name="_Toc62487987"/}}{{id name="_Toc62487894"/}}{{id name="_Toc62487026"/}}{{id name="_Toc62486889"/}}{{id name="_Toc62486314"/}}{{id name="_Toc62488184"/}}{{id name="_Toc62488075"/}}{{id name="_Toc62487982"/}}{{id name="_Toc62487889"/}}{{id name="_Toc62487021"/}}{{id name="_Toc62486884"/}}{{id name="_Toc62486309"/}}{{id name="_Toc62488179"/}}{{id name="_Toc62488070"/}}{{id name="_Toc62487977"/}}{{id name="_Toc62487884"/}}{{id name="_Toc62487016"/}}{{id name="_Toc62486879"/}}{{id name="_Toc62486304"/}}{{id name="_Toc62488173"/}}{{id name="_Toc62488064"/}}{{id name="_Toc62487971"/}}{{id name="_Toc62487878"/}}{{id name="_Toc62487010"/}}{{id name="_Toc62486873"/}}{{id name="_Toc62486298"/}}{{id name="_Toc62488172"/}}{{id name="_Toc62488063"/}}{{id name="_Toc62487970"/}}{{id name="_Toc62487877"/}}{{id name="_Toc62487009"/}}{{id name="_Toc62486872"/}}{{id name="_Toc62486297"/}}{{id name="_Toc62488171"/}}{{id name="_Toc62488062"/}}{{id name="_Toc62487969"/}}{{id name="_Toc62487876"/}}{{id name="_Toc62487008"/}}{{id name="_Toc62486871"/}}{{id name="_Toc62486296"/}}{{id name="_Toc62488170"/}}{{id name="_Toc62488061"/}}{{id name="_Toc62487968"/}}{{id name="_Toc62487875"/}}{{id name="_Toc62487007"/}}{{id name="_Toc62486870"/}}{{id name="_Toc62486295"/}}{{id name="_Toc62488169"/}}{{id name="_Toc62488060"/}}{{id name="_Toc62487967"/}}{{id name="_Toc62487874"/}}{{id name="_Toc62487006"/}}{{id name="_Toc62486869"/}}{{id name="_Toc62486294"/}}{{id name="_Toc62488168"/}}{{id name="_Toc62488059"/}}{{id name="_Toc62487966"/}}{{id name="_Toc62487873"/}}{{id name="_Toc62487005"/}}{{id name="_Toc62486868"/}}{{id name="_Toc62486293"/}}{{id name="_Toc62488167"/}}{{id name="_Toc62488058"/}}{{id name="_Toc62487965"/}}{{id name="_Toc62487872"/}}{{id name="_Toc62487004"/}}{{id name="_Toc62486867"/}}{{id name="_Toc62486292"/}}4.3Dátová vrstva ==

234

235

Vzhľadom na nasadenie aplikácií vo verejných cloud a vývoj aplikácií za použitia verejných komponentov je nutné zabezpečiť dátovú integritu a suverenitu za pomoci kryptografie, ktorá musí byť vo výlučnej plnej správe ministerstva a prepojiteľná zo všetkými platformami. Takto aplikovaná kryptografia pomocou KMIP štandardov následne vie zaručiť, že dáta nebudú zneužiteľné bez vedomia MCRaŠ a zároveň budú jednoducho znehodnotené pri podozrení na data breach alebo pre prípad núdzového off-boardingu. Pri nezávislej správe kryptografických tokenov je zaručená možnosť presunu dát medzi jednotlivými providermi alebo internými zdrojmi.

236

237

238

Samotný projekt nemení existujúcu dátovú vrstvu z pohľadu obsahu, doplňuje nástroje pre zabezpečenie integrity dát (HSM, KMS systémy) a konzistencie dát (ochrana proti škodlivému kódu a prípadnému úniku)

239

240

=== {{id name="_Toc2009350815"/}}{{id name="_Toc153139696"/}}{{id name="_Toc63764351"/}}4.3.1Údaje v správe organizácie ===

241

242

=== (% style="font-size:14px" %)Zavedenie systematického manažmentu údajov nie je predmetom navrhovaného projektu.(%%) ===

243

244

Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

245

246

=== {{id name="_Ref154138234"/}}{{id name="_Toc1386538966"/}}{{id name="_Toc153139697"/}}{{id name="_Toc63764352"/}}4.3.2Dátový rozsah projektu - Prehľad objektov evidencie - TO BE ===

247

248

Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

249

250

{{id name="_Toc62489744"/}}{{id name="_Toc58337728"/}}{{id name="_Toc2089422843"/}}{{id name="_Toc153139699"/}}(% style="color:inherit; font-family:inherit; font-size:max(18px, min(20px, 14.4444px + 0.462963vw))" %)4.3.3Referenčné údaje

251

252

Projektom nie sú plánované žiadne nové referenčné údaje ani údaje, ktoré je možné vyhlásiť za referenčné.

253

254

Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

255

256

==== {{id name="_Toc268006870"/}}{{id name="_Toc153139700"/}}{{id name="_Toc63764357"/}}4.3.3.1Objekty evidencie z pohľadu procesu ich vyhlásenia za referenčné ====

257

258

Projektom nie sú plánované žiadne nové referenčné údaje ani údaje, ktoré je možné vyhlásiť za referenčné.

259

260

Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

261

262

(% style="color:inherit; font-family:inherit; font-size:max(16px, min(17px, 14.2222px + 0.231481vw))" %)4.3.3.2Identifikácia údajov pre konzumovanie alebo poskytovanie údajov do/z CSRU

263

264

265

Projektom nie sú plánované žiadne nové referenčné údaje ani údaje, ktoré je možné vyhlásiť za referenčné.

266

267

Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

268

269

(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(18px, min(20px, 14.4444px + 0.462963vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc62489741~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(18px, min(20px, 14.4444px + 0.462963vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc58337725~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(18px, min(20px, 14.4444px + 0.462963vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc62488224~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(18px, min(20px, 14.4444px + 0.462963vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc62488115~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(18px, min(20px, 14.4444px + 0.462963vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc62488022~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(18px, min(20px, 14.4444px + 0.462963vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc62487929~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% style="color:inherit; font-family:inherit; font-size:max(18px, min(20px, 14.4444px + 0.462963vw))" %)4.3.4Kvalita a čistenie údajov

270

271

272

Cieľom projektu nie je systematický manažment údajov z hľadiska citlivosti kvality údajov a čistenia údajov.

273

274

Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

275

276

==== {{id name="_Toc63764354"/}}4.3.4.1Zhodnotenie objektov evidencie z pohľadu dátovej kvality ====

277

278

Cieľom projektu nie je systematický manažment údajov z hľadiska citlivosti kvality údajov a čistenia údajov.

279

280

Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

281

282

==== 4.3.4.2Roly a predbežné personálne zabezpečenie pri riadení dátovej kvality ====

283

284

Cieľom projektu nie je systematický manažment údajov z hľadiska citlivosti kvality údajov a čistenia údajov.

285

286

Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

287

288

=== {{id name="_Toc58337730"/}}{{id name="_Toc62489746"/}}{{id name="_Toc821791718"/}}{{id name="_Toc153139702"/}}{{id name="_Toc61939065"/}}{{id name="_Toc61938889"/}}{{id name="_Toc61939064"/}}{{id name="_Toc62488234"/}}{{id name="_Toc62488125"/}}{{id name="_Toc62488032"/}}{{id name="_Toc62487939"/}}{{id name="_Toc62488233"/}}{{id name="_Toc62488124"/}}{{id name="_Toc62488031"/}}{{id name="_Toc62487938"/}}{{id name="_Toc62488232"/}}{{id name="_Toc62488123"/}}{{id name="_Toc62488030"/}}{{id name="_Toc62487937"/}}{{id name="_Toc62488231"/}}{{id name="_Toc62488122"/}}{{id name="_Toc62488029"/}}{{id name="_Toc62487936"/}}{{id name="_Toc62488230"/}}{{id name="_Toc62488121"/}}{{id name="_Toc62488028"/}}{{id name="_Toc62487935"/}}4.3.5Otvorené údaje ===

289

290

Nie je relevantné pre projekt, nebudú poskytované žiadne nové Otvorené údaje.

291

292

Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

293

294

=== 4.3.6Analytické údaje ===

295

296

Nie je relevantné pre projekt, nebudú poskytované žiadne nové Analytické údaje.

297

298

Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

299

300

=== 4.3.7Moje údaje ===

301

302

Nie je relevantné pre projekt, nebudú poskytované žiadne nové Moje údaje.

303

304

Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

305

306

=== 4.3.8Prehľad jednotlivých kategórií údajov ===

307

308

Projekt nie je zameraný na systematický manažment údajov, nemení štruktúru ani obsah údajov. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

309

310

== 4.4Technologická vrstva ==

311

312

=== {{id name="_Toc937277657"/}}{{id name="_Toc153139707"/}}{{id name="_Toc15428561"/}}4.4.1Prehľad technologického stavu - AS IS ===

313

314

Pripojenie celej sieťovej infraštruktúry je prostredníctvom verejného internetu, v súčasnej dobe nemonitorované a dodatočne nechránené. Jediná ochrana prepoju medzi komponentami a sieťami je pomocou TLS spojení. Legacy systémy hostované v Azure a vládnom cloude sú chránené pomocou peer to site VPN, izolované štandarným firewallom poskytovaným v rámci Cloud prostredia. V prípade Azure hovoríme o statefull firewall. Pri existujúcom nasadený je iba obmedzený prehľad o dátových tokoch (v prostredí M365), nie sme schopní identifikovať insider threats. Na základe existujúcich bezpečnostných služieb, ktoré sú súčasťou M365 E5 je možné iba čiastočne identifikovať, resp. zabrániť úniku dát.

315

316

317

LAN sieť v centrálnej lokalite je chránená NG FW s implementovanou mikrosegmentáciou pre hosting serverových služieb v interných priestoroch. Je tu absencia centralizovaného IPAM, DNS security, DHCP security, 802.1x. Fyzická bezpečnosť portov a prestupových pravidiel je bez možnosti auditu a potrebnej centralizácie.

318

319

=== {{id name="_Toc1626553566"/}}{{id name="_Toc153139708"/}}4.4.2Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE ===

320

321

322

V rámci navrhovaného riešenia je nutné rozšíriť výpočtový výkon VMware clustra o nový node pre nasadenie potrebných onprem komponentov riešenia (napr. SOAR orchestrator, reverse proxy pre XDR, KMS servre, komponenty pre skenovací engine vulnerability management riešenia, sondy v sieti na RSPAN, atď.). Väčšina bezpečnostných technológií by mala byť poskytovaná výrobcami ako SaaS. Plánovaný nákup HW v rámci tejto výzvy je okrem výpočtového výkonu aj HSM (hardware security module – ako root of trust) a appliance pre NW physical security (kriticke NW sluzby nemôžu byť závislé na VMware clustri).

323

324

Odhadovaný potrebný výkon pre zabezpečenie virtuálnych serverov je: 70 vCPU, 250 GB RAM, 2500 GB HDD

325

326

(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(18px, min(20px, 14.4444px + 0.462963vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc985091580~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(18px, min(20px, 14.4444px + 0.462963vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc153139709~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% style="color:inherit; font-family:inherit; font-size:max(18px, min(20px, 14.4444px + 0.462963vw))" %)4.4.3Návrh riešenia technologickej architektúry

327

328

Technologická architektúra sa oproti súčasnému stavu nemení a bude prevádzkovaná v rovnakom technologickom prostredí. Technologická vrstva budúceho stavu vychádza zo súčasného stavu a bude podporená novými nasadenými bezpečnostnými nástrojmi prevádzkovanými na viacerých technológiách. To znamená, že existujúci stav postavený na princípe dostupnosti prostredníctvom verejného internetu bude zachovaný a chceme implementovať bezpečnostné nástroje pre efektívne obmedzenie komunikácie. Takto zachovaná decentralizácia z pohľadu hostingu služieb a pripojení je efektívna pre jednoduché sťahovanie funkčných celkov a dáva možnosti optimalizácie nákladov, ako postupné navyšovanie výkonu podľa aktuálnych potrieb v čase.

329

330

=== {{id name="_Toc1130364585"/}}{{id name="_Toc153139710"/}}4.4.4Využívanie služieb z katalógu služieb vládneho cloudu ===

331

332

Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie vrátane poskytovaných služieb z vládneho Cloudu. Práve vďaka decentralizácii prístupov a hostingových služieb nerozdeľujeme aplikácie podľa umiestnenia v hostingu, čo naopak umožňuje jednoduchšiu migráciu aplikačných celkov do prostredia vládneho cloudu.

333

334

(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(20px, min(24px, 12.8889px + 0.925926vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc1569848295~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(20px, min(24px, 12.8889px + 0.925926vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc153139712~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% style="color:inherit; font-family:inherit; font-size:max(20px, min(24px, 12.8889px + 0.925926vw))" %)4.5Bezpečnostná architektúra

335

336

337

Zhodnotenie existujúceho stavu bezpečnostnej architektúry a návrh požadovaného rozšírenia:

338

339

|**Existujúce riešenie Microsoft 365 E5**|**Požadované rozšírenie:**|**Poznámka**|**Legislatívna úprava**

340

|Microsoft Entra ID P2 (IAM + MFA)| |Plne vyhovujúce požiadavkám na centrálnu evidenciu účtov a zariadení. Microsoft Entra P2 + MFA je natívne využiteľné pre SAML a OpenID overovanie pre web aplikácie s tzv. Modern Authentication, pričom rozšírenie o Microsoft NPS server umožňuje použitie RADIUS protokolu pre legacy aplikácie (napr. VPN)|(((

341

ZoKB 69/2018, § 20 ods. 3 písm, c.

342

343

ZoKB 69/2018, § 20 ods. 3 písm, h.

Dora ch.12, 13, 17

NIS2 A: 5,10

)))

|Microsoft Defender for Endpoint|ZTNA, CASB|Antivírus dostupný pre Windows, Linux, Android, iOS. Podporovaná je aj aplikačná izolácia pomocou work profile s absenciou NGFW služieb na klientskej strane. Vážne nedostatky bez ZTNA prístupu kontrolujúceho spojenie a doplňujúce URLF sú napríklad fileless útoky napr. na úrovni IPS. Nutné je rozšírenie existujúceho riešenia o NG FW služby pre aktívny Web protection a browser isolation.|(((

350

ZoKB 69/2018, § 20 ods. 3 písm, f.

Dora ch.14

NIS2 A: 5, 15

)))

|Microsoft Defender XDR|SIEM a SOAR riešenie|Existujúce riešenie je viazané iba na služby M365 bez dodatočnej možnosti integrácie 3rd party nástrojov pre audit a rozšírenú automatizáciu externých vendorov|(((

357

ZoKB 69/2018, § 20 ods. 3 písm, e.

358

359

ZoKB 69/2018, § 20 ods. 3 písm, j.

NIS2 A: 5, 6

)))

|Microsoft Defender for Identity| |Plne vyhovujúce riešenie|(((

364

ZoKB 69/2018, § 20 ods. 3 písm, e.

Dora ch.4

NIS2 A: 5,10

)))

|Microsoft Defender for Cloud Apps|ZTNA, CASB|Existujúce riešenie má viditeľnosť pre SaaS riešenia v rámci M365 integrácie, nerieši externé prostredie Azure, legacy systémy, vládny cloud, integrácie na microservisy z 3tích strán, nemá v bezpečnostné kontroly proti škodlivému kódu (IPS, antimalware, antibot, DNS protection, URL filtering, WAF)|(((

371

ZoKB 69/2018, § 20 ods. 3 písm, f.

372

373

ZoKB 69/2018, § 20 ods. 3 písm, e.

374

375

Dora ch.13, 14, 15, 17

NIS2 A: 5,10, 15

)))

|Microsoft Defender for Office 365|DLP|Dostatočná ochrana pre Email, MS-Teams, Sharepoint. s absenciou DLP zabraňujúcemu úniku dát za pomoci sofistikovanejších metód. |(((

380

ZoKB 69/2018, § 20 ods. 3 písm, e.

Dora ch.13

NIS 2 A: 5, 9

)))

|Information Protection and Governance|HSM, KMS|Ochrana je výhradne v rámci M365 prostredia, bez dodatočnej kryptografie. Pri rozšírení služieb o Azure Vault nie je zabezpečená dátová suverenita, pretože kľúče aj dáta sú spravované jedným subjektom.|(((

387

ZoKB 69/2018, § 20 ods. 3 písm, i.

388

389

ZoKB 69/2018, § 20 ods. 3 písm, l.

390

391

Dora ch.11, 15, 16, 19

NIS 2 A 5, 10

)))

|Microsoft Purview eDiscovery|CASB, DLP|Iba čiastočne vyhovujúce riešenie, zamerané výhradne na prostredie M365. Je nutné rozšíriť viditeľnosť a smerovanie dát aj mimo prostredia M365 do externých systémov. PurView eDiscovery je čiastočné riešenie pre komplexnejšie DLP.|(((

396

ZoKB 69/2018, § 20 ods. 3 písm, l.

Dora ch.13, 15

NIS2 A: 15

)))

|Microsoft Purview Insider Risk Management|DLP|Nevyhovujúce riešenie, ktoré nepokrýva Android klientov (cca 40% zariadení). Riešenie má výrazné kvalitatívne nedostatky, kde medzi hlavné patrí nefunkčnosť klienta v offline režime (teda nie je to aktívna ochrana na koncových zariadeniach), alebo ignorovanie kompresovaných dát v druhej úrovni. Samotné riešenie neefektívne vyhodnocuje potenciálne hrozby, umožňuje obmedzenie prístupu k dátam iba na úrovni conditional access namiesto napr. podmienej kryptografie|(((

403

ZoKB 69/2018, § 20 ods. 3 písm, j.

404

405

ZoKB 69/2018, § 20 ods. 3 písm, l.

Dora ch.14, 15

NIS2 A 5, 9

)))

|Endpoint analytics proactive remediation| |Dostatočné riešenie|(((

412

ZoKB 69/2018, § 20 ods. 3 písm, e.

NIS2 A 5, 9

)))

|Windows Autopatch| |Akceptované riešenie s vážnymi nedostatkami na detekciu a reportovanie existujúcich zraniteľností, obmedzená funkcionalita pre patch management výrobcov tretích strán, obmedzená multiplatformová podpora|ZoKB 69/2018, § 20 ods. 3 písm, e.

417

|Windows Hello| |Riešenie dostatočné,nevhodn0 bez PKI z hľadiska implementácie centralizácie správy kľúčov. Samotný Windows Hello for Business je natívne viazaný na FIDO2 alebo PKI, ktorá nie je súčasťou M365 E5. Vystavanie PKI nie je súčasťou tohto projektu, aj keď prostredie je pripravené na 802.1x, ktorú je možné naviazať na Azure CA zaistenú HSM/KMS a distribúciu cez SCEP prostredníctvom Intune. Samotný RADIUS na strane 802.1x overovania je na to prispôsobený v sekcii Port a Network security.|(((

418

ZoKB 69/2018, § 20 ods. 3 písm, f.

419

420

Dora ch.12, 13, 16, 17

NIS2 A: 5,10

)))

|DirectAccess|ZTNA|Riešenie supluje tradičný VPN koncentrátor bez pridanej hodnoty na čistotu spojenia (NG FW ochrany toku dát) Direct Access nie je použiteľný na prepoj microservisov v rámci SaaS aplikácií.|(((

425

ZoKB 69/2018, § 20 ods. 3 písm, f.

426

427

ZoKB 69/2018, § 20 ods. 3 písm, l.

428

429

Dora ch.12, 14, 16, 17

NIS2 A: 5,10, 15

)))

|Mobile Device Management| |Nevyhovujúce riešenie, ktoré však dopĺňajú dodatočné produkty v balíku (Intune + Defender)|(((

434

ZoKB 69/2018, § 20 ods. 3 písm, e.

NIS 2 A 5, 9

)))

|Microsoft Intune| |Vyhovujúce riešenie|ZoKB 69/2018, § 20 ods. 3 písm, e.

439

|Microsoft Pureview Data Loss Prevention (for email and files)|DLP|Nevyhovujúce riešenie obmedzené iba na únik dát z prostredia M365. Pre DLP je nutné mať všetky vrstvy (SaaS, Cloud, Endpoint, Network) v jednom konsolidovanom prostredí s centrálnou identifikáciou hrozieb.|(((

440

ZoKB 69/2018, § 20 ods. 3 písm, l.

Dora ch.15, 18

NIS2 A5, 9

)))

|Credential Guard| |Vyhovujúce riešenie|

447

|Device Guard| |Vyhovujúce riešenie|

448

|Microsoft Security and Compliance Center|Exposure and Risk Management|Nevyhovujúce riešenie aplikovateľné iba pre M365 platformu a spravované zariadenia. V rámci centralizácie je nutné vykryť všetky legacy systémy v každom prostredí, ako aj 3rd party SaaS aplikácie a ich vzájomné prepojenia. V rámci služby je chýbajúca kontinuálna kontrola na potenciálne exploity pre jednotlivé zariadenia a aplikácie, ako aj centrálny audit využiteľnosti práv a prístupov, kompletne absentujúca je dokumentácia kritickej cesty pre potenciálne zraniteľnosti alebo zneužitia systémov. Z pohľadu nekompletnosti vstupov nie je možné efektívne vypracovávať analýzu funkčného dopadu.|(((

449

ZoKB 69/2018, § 20 ods. 3 písm, b.

450

451

ZoKB 69/2018, § 20 ods. 3 písm, d.

452

453

ZoKB 69/2018, § 20 ods. 3 písm, k.

Dora ch.2, 3, 4, 20

NIS2 A: 5,6,15

)))

| |Threat Intelligence|Spravodajské služby pre zisťovanie existujúcich únikov dát, účtov, napodobňovaniu VIP osôb, spoofingu domén, preverovanie externých dodávateľov, Platforma pre správu externých hrozieb, plánovaných útokov a prípadných remediačných služieb pre verejný internet, alebo TakeDown služieb, služby monitorovanie Deep a Dark webu.|(((

460

ZoKB 69/2018, § 20 ods. 3 písm, d.

461

462

ZoKB 69/2018, § 20 ods. 3 písm, k.

Dora ch.5, 6, 10, 20

NIS2 A: 5, 15

)))

| |DAST development|Kontinálne vyhodnocovanie a testovanie kódu web aplikácií z pohľadu bezpečnosti a doporučených best practicies na základe minimálne OWASP framework.|(((

469

ZoKB 69/2018, § 20 ods. 3 písm, d

Dora ch.3.

NIS2 A: 5, 15

)))

| |IoC management|Chýbajúca tvorba vlastných Indicator of Compromise feeds, alebo import existujúcich IoC z overených zdrojov. Preverovanie podozrivých indikátorov na základe existujúcich IoC tretích strán|(((

476

ZoKB 69/2018, § 20 ods. 3 písm, d.

Dora ch. 18

NIS2 A: 5, 15

)))

| |Physical NW security|Posilnenie dôveryhodnosti zariadení v rámci Intune + Device certifikáty a aplikovanie 802.1x na úrovni PKI pre pripojenie na WIFI alebo do fyzického portu (samotná CA infraštruktúra nie je predmetom tohto projektu). Aplikovanie centralizovaného mechanizmu pre nastavenie port security na switchoch, ktoré povoľujú komunikáciu pre zariadenie nekompatibilné z 802.1x štandardom, centralizovaný IP address management, ako aj vlastný DNS a DHCP server (nie je implementovaný Microsoft Networking, pretože celá infraštruktúra je cloud native v rámci Microsoft Entra a hybridný setup by bola komplikácia existujúceho stavu)|(((

483

ZoKB 69/2018, § 20 ods. 3 písm, f.

484

485

ZoKB 69/2018, § 20 ods. 3 písm, k.

Dora ch.13, 14

NIS2 A: 5, 9, 15

)))

| |Incident Response|V rámci podpory pre všetky služby je zahrnutý „BreakFix“, čiže obnovenie operačnej prevádzky služby. Je nutné mať zakontrahované služby externého doávateľa pre vykonanie nezávislého auditu a riešenie kritických incidentov, ktoré vyplývajú z korelovaných zozbieraných dát (napríklad insider threats, ransomware multivektor attack, spear phishing), ako aj obnova služieb samotného rezortu a poskytovanie hĺbkoých forenzných vyšerovaní pre kritické prípady ohrozenia prevdzky alebo jej výpadku.|(((

492

ZoKB 69/2018, § 20 ods. 3 písm, j.

493

494

ZoKB 69/2018, § 20 ods. 3 písm, k.

Dora ch.10, 20

NIS2 A: 5, 6

)))

Požadovaný stav:

* (CASB, ZTNA, DLP, WAF) ochrana prístupov k internetu, ochrana internetových aplikácií, správa prístupov k aplikáciám, sledovanie toku dát a ochrana pred odcudzením na základe kontextu a klasifikácie

505

** Požadujeme nástroj, ktorý vie dodať aktívny URL filtering pre obmedzenie prístupu k nebezpečným alebo nemorálnym stránkam, phishingovým kampaniam alebo spoofovanému obsahu.

506

** Súčasťou riešenia musí byť izolácia prehliadača tak, aby nemohlo byť kompromitované zariadenie pri pokuse o návštevu nebezpečných stránok, ak je povolená výnimka (napr. pre potreby threat intelligence)

507

** riešenie musí pridať vrstvu bezpečnosti na úrovni NG FW (IPS, URLF, Content awareness) pre všetky zariadenia a platformy bez ohľadu na to, či sa nachádzajú na verejnom internete alebo v perimetri siete

508

** Technológia musí byť integrovateľná na Microsoft Entra pre overovanie identity za účelom ZTNA prístupu k CNAPP. Zo serverovej strany je nutné vyhodnocovať, či sa jedná prístup k firemným prostriedkom zo spravovaného zariadenia alebo generický prístup a na základe toho aplikovať pravidlá prístupu (napr. prístup na OWA je povolený bez možnosti stiahnuť dokumenty, vs prístup k OneDrive a Sharepoint bude zamietnutý)

509

** Publikované aplikácie musia byť chránené Web Aplikačným firewallom so základnou DDoS ochranou

510

** Na spravovaných zariadeniach ako aj na sieťovej úrovni musia byť aplikovateľné DLP nastavenia pre kontrolu a obmedzenie prístupu k dokumentom podľa klasifikácie.

511

* (HSM, KMS, HYOK) nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dátam

512

** je požadované zabezpečenie dátovej suverenity prostredníctvom on-prem HSM modulu, ktorý s nadstavbou pre KMS je schopný v Azure prostredí zabezpečiť BYOK do Azure Vault, pripadne HYOK v prostredí Azure blob encryption alebo M365 prostredníctvom Doble Key Encryption

513

** Key Management systém musí umožňovať centralizovanú správu kľúčov pre Legacy aplikácie, Transprent Encryption na úrovni filesystému s možnosťou Ransomware protection na základe identity užívateľa alebo servisu a procesu.

514

** Je nutná integrácia KMS servera na základe identity do SQL systémov ako aj CNAPP databáz a aplikácií pre kryptovanie štruktúrovaných dát

515

** KMS systém musí zabezpečovať tokenizáciu údajov minimálne prostredníctvom REAST API, vítaná je podpora C, .NET, Java SDK

516

** KMS server musí vedieť spravovať kľúče primárne pre Azure, sekundárne aj pre ďalšie nadnárodné cloud prostredia (AWS, GoogleCloud, ...) pre využitie multicloud prostredia do budúcna. Požadovaná je funkcionalita poskytovania kľúčov aj do vládneho cloud prostredia

517

** Nuntý je integrovaný systém v KMS pre rotáciou a versioning kľúčov, pričom dáta musia byť rešifrované bez obmedzenia dostupnosti, nikdy sa nemôžu nachádzať v systéme v nezakryptovanom stave.

518

* (SIEM, XDR) nástroj pre centrálnu evidenciu logov z informačných systémov a následné vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktivít

519

** Nástroj pre centrálnu archiváciu logov z IT systémov, ktorý logy normalizuje pre účely efektívneho vyhľadávania a dodatočnej korelácie údajov

520

** Pravidlá pre detekciu korelačných pravidiel podľa MITRE ATTACK vektorov musí byť aktualizované pravidelne výrobcom s možnosťou doplnenia vlastných pravidiel a detekčných metód, a to aj na základe deviácie metrík.

521

** Integrácia s M365 auditnými logmi, Azure logmi

522

** Súčasťou produktu musí byť nástroj pre inšpekciu NW traffic

523

** Súčasťou produktu musí byť nástroj pre inšpekciu aktivít na serveroch a pracovných staniciach (Linux, Windows)

524

** Integrácia na 3rd party security vendorov a natívne porozumenie ich logom.

525

** Súčasťou musí produktu musí byť neobmedzená SOAR platforma s verejným market place pre doplňovanie integrácií na 3ťostranové bezpečnostné produkty

526

** Samotný nástroj musí umožňovať natívne komplexné DFIR analýzy minimálne za týždeň pred vznikom incidentu. Incidenty musia byt pre identitu alebo zariadenie zobrazene v časovej osi, kde musia byť viditeľné aj prislúchajúce SOAR akcie (remediačné, alebo automatické doplnenie dát)

527

* (Exposure, Risk, Vulnerability, CIAM) nástroj pre posudzovanie a kategorizáciu potenciálnych rizík, vrátane správy zraniteľností, aplikačného testovania, a korektnej konfigurácie cloud prostredí a prístupov.

528

** Nástroj pre správu zraniteľností s detailnou možnosťou reportovania trendov a nájdených detailov. Nástroj musí mať agenta pre efektívny sken, musí vykonávať bez sken bez agenta, musí umožniť kaskádovanie skenovacieho engine do jednotlivých prostredí alebo segmentov siete

529

** Nástroj zabezpečuje compliance management s preddefinovanými politikami minimálne podľa všeobecných CIS noriem

530

** Nástroj pre kontrolu bezpečnosti kódu a pravidelného DAST testovania s integrovaným portálom pre evidenciu zistení a ich následné odstraňovanie

531

** Nástroj pre detekciu exponovaných služieb do rôznych segmentov siete / internetu a ich zabezpečenia

532

** Nástroj pre evidenciu a vyhodnocovanie Posture management minimálne pre Azure cloud aplikácie ako aj samotnú Azure infraštruktúru. Nástroj v prípade identifikovania hrozieb musí robiť kategorizáciu hrozieb ako aj musí byť schopný vykresliť prípadnú attack path

533

** Nástroj pre CIAM evidenciu prav, prístupov a ich auditovanie s aktívnym upozorňovaním na nepoužívané účty, prípadne účty zo zmenou príznakov v čase (v náväznosti na atribúty Microsoft Entra účtov).

534

** Posture management a CIAM nástroj musí byť univerzálny s rovnakým názvoslovým pre využitie minimálne v AWS a Google Cloud

535

* (Threat Intell, IoC, Supply Chain) Nástroj na preverovanie bezpečnosti dodávateľského reťazca, integráciu známych bezpečnostných hrozieb a charakteristík do interných bezpečnostných nástrojov, zisťovanie a odhaľovanie potenciálnych plánovaných útokov, zisťovanie a dokazovanie zneužitia mena a prípadných únikov dát

536

** V náväznosti na identifikáciu rizík požadujeme nasadenie nástroja s prístupom k nezávislým 3ťostranovým IoC a ich prevzatie do interných bezpečnostných technológií

537

** Nástroj musí mať integrovaný portál pre evidenciu externých rizík a ich vyšetrovanie

538

** Nástroj musí prehľadávať deep web a dark web na prítomnosť citlivých informácií na základe kľúčových slov

539

** Nástroj musí generovať reporty pre ohodnocovanie rizík 3tej strany (jednorázové a pravidelné preverovanie externých dodávateľov)

540

** Nástroj musí identifikovať pokusy o zneužitie značky, VIP osôb alebo interných aplikácií a web portálov

541

* (IPAM, 802.1x) zabezpečenie základných NW služieb heterogénnom prostredí pre DNS, DHCP, IPAM, 802.1X, physical port security

542

** všetky komponenty v clustrovom prevedení pre vysokú dostupnosť. s exportom logov do centrálneho SIEM

543

** manažment cez web rozhranie pre všetky komponenty, vrátane reportingu a monitoringu

544

** DNS server, DHCP server s rozšírenými rezerváciami a auditným logovaním

545

** IPAM

546

** 802.1x (RADIUS server vrátane suplikanta) pre iOS, Android, MacOS, Linux, Windows

547

** Switch management s definiciou port rules, port protection, MAC restriction, Spanning tree definition, monitoring compliance nastavení pre jednotlivé porty,

548

** Network Access Control na úrovni automatizácie zapínania portov

549

* incident response, remediation a audit služba

550

** služba nezávislého dodávateľa pre audit prostredia, procesov

551

** identifikácia komplexného vektora útoku

552

** núdzová náprava škôd a zaistenia obnovy prevádzky

553

** Red teaming a preverovanie pripravenosti na útoky a schopnosť interne odhaliť prebiehajúci útok

554

** Kontrola a odporúčanie pre plány kritických situácii pre zastavenie prebiehajúcich útokov, zvrátenia útokov, minimalizovanie škôd

555

** Identifikácia insider threads z logov

556

* Zabezpečenie rozšírenia výpočtového výkonu hypervisorovej farmy pre potreby nasadzovaných security technológii

557

** rozšírenie VMware clustra o kompatibilný node tak, aby bol umožnený presun virtuálnych serverov medzi jednotlivými módmi bez výpadku (vMotion na základe CPU compatibility)

558

* Bezpečnostný projekt pre zmapovanie prostredia, zavedenie procesov a politík

559

** Školiace materiály pre MKB a technikov,

560

** riadenie kontinuity (BCP, BIA, DRP),

561

** management zraniteľností a incident management a pridružené procesy podľa ITIL/ITSM,

562

** klasifikácia informácií,

563

** bezpečnosť koncových prvkov,

564

** služby bezpečnostného architekta počas implementácie projektu

565

566

= {{id name="_Toc15428568"/}}{{id name="_Toc15427674"/}}{{id name="_Toc15426952"/}}{{id name="_Toc14573076"/}}{{id name="_Toc153139713"/}}5.Závislosti na ostatné ISVS / projekty =

567

568

Predkladaný projekt nie je závislý na iných pripravovaných resp. prebiehajúcich projektoch.

569

570

(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(23px, min(29px, 12.3333px + 1.38889vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc15428566~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% aria-label="macro:id widget" contenteditable="false" role="region" tabindex="-1" style="color: inherit; font-family: inherit; background-color: rgba(220, 220, 220, 0.5); background-image: url(https://metais.slovensko.sk/wiki/webjars/wiki%3Axwiki/xwiki-platform-ckeditor-webjar/15.10.7/plugins/widget/images/handle.png); left: 0px; top: -16px" %)[[image:data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==||draggable="true" height="15" role="presentation" title="Kliknite a potiahnite pre presunutie" width="15"]](% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(23px, min(29px, 12.3333px + 1.38889vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc15427672~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(23px, min(29px, 12.3333px + 1.38889vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc15426950~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(23px, min(29px, 12.3333px + 1.38889vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc740800352~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(23px, min(29px, 12.3333px + 1.38889vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc153139714~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% style="color:inherit; font-family:inherit; font-size:max(23px, min(29px, 12.3333px + 1.38889vw))" %)6.Zdrojové kódy

571

572

Projektom bude zvýšená úroveň kybernetickej a informačnej bezpečnosti, ktorý pozostáva z nákupu krabicových balíkov, ktoré budú dodávateľom nasadené do prevádzky. Vzhľadom na to, že predmetom nie je vývoj na mieru informačného systému je táto kapitola irelevantná.

573

574

(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(23px, min(29px, 12.3333px + 1.38889vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc1202332381~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% aria-label="macro:id widget" contenteditable="false" role="region" style="color:inherit; font-family:inherit; font-size:max(23px, min(29px, 12.3333px + 1.38889vw))" tabindex="-1" data-macro="startmacro:id|-|name=~"_Toc153139715~"" data-widget="xwiki-macro" data-xwiki-dom-updated="true" class="macro macro-placeholder" %)macro:id(% style="color:inherit; font-family:inherit; font-size:max(23px, min(29px, 12.3333px + 1.38889vw))" %)7.Prevádzka a údržba

575

576

Prevádzka a údržba navrhnutého riešenia projektu bude zabezpečená internými personálnymi kapacitami na úrovni podpory L1. L2 podporu zabezpečí dodávateľ v požadovanej dostupnosti. L3 podpora musí byť garantovaná výrobcom danej technológie počas celej doby trvania kontraktu. Predpoklad riešenia problémov a požiadaviek bude od nahlásenia problému alebo požiadavky prostredníctvom helpdesku (e-mailom, telefonicky, formulárom), identifikácia a preverenie problému/požiadavky, vykonanie opravy/podpory. Od dodávateľa sú očakávané pravidelné reporty na mesačnej úrovni a informovanosť o potenciálnych hrozbách s dostupnosťou 7x24 bez zdržania.

577

578

MCRaS má obsadenú pozíciu Manažéra kybernetickej a informačnej bezpečnosti a disponuje dostatočným počtom zamestnancov pre zabezpečenie L1 operačnej podpory počas pracovného dňa a kapacitou absorbovať nové bezpečnostné technológie pre zabezpečenie operačnej prevádzky a zmien na systémoch alebo bezpečnostných politikách.

579

580

== {{id name="_Toc1213604723"/}}{{id name="_Toc153139716"/}}7.1Prevádzkové požiadavky ==

581

582

Prevádzkové požiadavky budú zabezpečené na úrovni podpory L1 interne, L2 a L3 externe. Všetky požiadavky budú evidované v centrálnom systéme pre incident a change management (ďalej iba Service Desk)

583

584

=== {{id name="_Toc720375508"/}}{{id name="_Toc153139717"/}}7.1.1Úrovne podpory používateľov ===

585

586

Service Desk bude realizovaný cez 3 úrovne podpory s nasledujúcim označením:

587

588

* L1 podpora - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď. Pod L1 podporu spadá prispôsobovanie bezpečnostných pravidiel aktuálnym požiadavkám ako aj reakcia na bezpečnostné incidenty podľa spísaných procesov a smerníc.

589

* L2 podpora - riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3. L2 podpora je zodpovedná aj za plánovanú periodickú údržbu a aktualizáciu systémov.

590

* L3 podpora - Podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najobťažnejších hlásení, vrátane prevádzania hĺbkových analýz a riešenie extrémnych prípadov, ktorú bude zabezpečovať výrobca implementovaných nástrojov.

591

592

=== 7.1.2Riešenie incidentov – SLA parametre ===

593

594

Z pohľadu incidentov rozlišujeme:

595

596

* incidenty na bezpečnostných technológiách samotných. V zásade platí, že výpadok bezpečnostných technológií by nemal ovplyvniť bežnú prevádzku. Pokiaľ hrozí riziko ovplyvnenia prevádzky, je nutné mať všetky aktívne komponenty riešenia v móde vysokej dostupnosti.

597

598

599

Požadované parametre sú reakcie do 15 minút od nahlásenia incidentu alebo prvej evidencie incidentu v klasifikácii kritického incidentu pre úroveň L2. Za kritický incident sa považuje výpadok alebo obmedzenie prevádzky pre všetkých užívateľov. V prípade nižšej priority a klasifikácie incidentu je požadovaná reakčná doba do 4och hodín. Incident môže vzniknúť nahlásením na Service Desk užívateľom alebo prostredníctvom automatického monitoringu dostupnosti komponentov (napr. SNMP trapy)

600

601

602

* incidenty zachytené a vyhodnotené bezpečnostnými nástrojmi (bezpečnostné incidenty)

603

604

Bezpečnostné incidenty spadajú do kompetencie internej L1 podpory. Pri potrebnej eskalácii na L2 podporu je potrebné mať pohotovostný kontakt (SPOC), na ktorý bude každý incident nahlasovaný telefonicky a musí prebehnúť jeho aktívne prevzatie do riešenia s jasne definovanou prioritou a klasifikáciou problému.

605

606

== {{id name="_Toc1544169800"/}}{{id name="_Toc153139718"/}}{{id name="_Toc34423613"/}}{{id name="_Toc527558121"/}}7.2Požadovaná dostupnosť IS: ==

607

608

|**Popis**|**Parameter**|**Poznámka**

609

|**Prevádzkové hodiny**|//12 hodín//|//od 6:00 hod. - do 18:00 hod. počas pracovných dní//

610

|(% rowspan="2" %)**Servisné okno**|//10 hodín//|//od 19:00 hod. - do 5:00 hod. počas pracovných dní//

611

|//24 hodín//|(((

612

//od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov//

613

//Servis a údržba sa bude realizovať mimo pracovného času.//

614

)))

615

|**Dostupnosť produkčného prostredia IS**|//98,5%//|(((

616

//98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod.//

617

//Maximálny mesačný výpadok je 5,5 hodiny.//

618

//Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.//

619

//Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L3 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.//

620

//V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.//

621

)))

622

623

=== {{id name="_Toc992446895"/}}{{id name="_Toc153139719"/}}{{id name="_Toc34423614"/}}7.2.1Dostupnosť (Availability) ===

624

625

//**Dostupnosť** (**Availability**) je pojem z oblasti riadenia bezpečnosti v organizácii. Dostupnosť znamená, že dáta sú prístupné v okamihu jej potreby. Narušenie dostupnosti sa označuje ako nežiaduce zničenie (destruction) alebo nedostupnosť. Dostupnosť je zvyčajne vyjadrená ako percento času v danom období, obvykle za rok. Orientačný zoznam dostupnosti je uvedený v nasledovnom prehľade~://

626

627

* //**90% dostupnosť** znamená výpadok 36,5 dňa//

628

* //**95% dostupnosť** znamená výpadok 18,25 dňa//

629

* //**98% dostupnosť** znamená výpadok 7,30 dňa//

630

* //**99% dostupnosť** znamená výpadok 3,65 dňa//

631

* //**99,5% dostupnosť** znamená výpadok 1,83 dňa//

632

* //**99,8% dostupnosť** znamená výpadok 17,52 hodín//

633

* //**99,9%** (“**tri deviatky**”) **dostupnosť** znamená výpadok 8,76 hodín//

634

* //**99,99%** (“**štyri deviatky**”) **dostupnosť** znamená výpadok 52,6 minút//

635

* //**99,999%** (“**päť deviatok**”) **dostupnosť** znamená výpadok 5,26 minút//

636

* //**99,9999%** (“**šesť deviatok**”) **dostupnosť** znamená výpadok 31,5 sekúnd//

637

//Hoci je obvyklé uvádzať dostupnosť v percentách, presnejšie ukazovatele sú vyjadrením doby obnovenia systému a na množstvo dát, o ktoré môžeme prísť~://

638

* [[RTO (Recovery Time Objective)>>path:#_RTO_(Recovery_Time]]// - doba obnovenia systému, t.j. za ako dlho po výpadku musí byť systém funkčný (pre bližšie info klik na nadpis)//

639

* [[RPO (Recovery Point Objective) >>path:#_RPO_(Recovery_Point]]//- aké množstvo dát môže byť stratené od vymedzeného okamihu//

640

* //Recovery Time - čas potrebný k obnove//

641

//Riešenie dostupnosti v praxi: Nedostupnosť [[dát>>url:https://datalab.digital/wp-content/uploads/CSRU_poskytovatelia_polozky_v3.xlsx]] je jedným z [[rizík>>url:https://www.zakonypreludi.sk/zz/2020-78/znenie-20200501]], ktorý môže postihnúť každú [[organizáciu>>url:https://metais.vicepremier.gov.sk/publicspace]]. Dostupnosť je jedným s kľúčových požiadaviek na každý dôležitý [[informačný systém>>url:https://datalab.digital/dokumenty/]] a vplyv na dostupnosť má mnoho faktorov, napríklad~://

642

* //Dostupnosť [[servera>>url:https://metais.vicepremier.gov.sk/help]]//

643

* //Dostupnosť pripojenie k internetu//

644

* //Dostupnosť [[databázy>>url:https://www.zakonypreludi.sk/zz/2020-85/znenie-20200501]]//

645

* //Dostupnosť [[webových stránok>>url:https://managementmania.com/sk/sla-service-level-agreement]]//

646

//V prípade, že je časť softvér alebo infraštruktúra zabezpečovaná externe (napr. hosting, webhosting), prenáša sa zodpovednosť za dostupnosť týchto komponentov na dodávateľa. Potom je potrebné mať vhodným spôsobom ošetrenú úroveň dostupnosti, ktorú musí dodávateľ dodržať. Zvyčajne je dostupnosť súčasťou [[dohody o úrovni poskytovaných služieb (SLA)>>url:https://datalab.digital/referencne-udaje/]].//

647

648

=== {{id name="_Toc862618350"/}}{{id name="_Toc153139720"/}}{{id name="_Toc34423615"/}}{{id name="_RTO_(Recovery_Time"/}}7.2.2RTO (Recovery Time Objective) ===

649

650

**Recovery Time Objective**// (zvyčajne sa požíva skratka RTO) je jeden z ukazovateľov //__[[dostupnosti>>url:https://managementmania.com/sk/data]]__// dát. RTO vyjadruje množstvo času potrebné pre obnovenie //__[[dát>>url:https://datalab.digital/legislativa/]]__// a celej prevádzky nedostupného systému (//__[[softvér>>url:https://datalab.digital/dokumenty]]__//). Môže byť, v závislosti na použitej technológii, vyjadrené v sekundách, hodinách či dňoch.//

651

Využitie RTO v praxi//: Ukazovateľ RTO sa z pohľadu zákazníka využíva pre vyjadrenie doby pre obnovu dát. (napr. formou //__[[SLA>>url:https://www.minv.sk/swift_data/source/mvsr_a_eu/fabianova/np_optimalizacia/metodika-modelovania-udajov-vs.pdf]]__//). Na druhú stranu poskytovatelia dnes môžu voliť rôzne technológie zálohovanie, respektíve replikovanie dát a dobu obnovy dát znížiť až k nulovému výpadku. Existujúce technológie sa delia zhruba nasledovne~://

652

653

* //Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni//

654

* //Asynchrónne replikácie dát - výpadok a obnova v poriadku sekúnd až minút//

655

* //Synchrónny replikácie dát - nulový výpadok//

656

657

=== {{id name="_Toc2066578526"/}}{{id name="_Toc153139721"/}}{{id name="_Toc34423616"/}}{{id name="_RPO_(Recovery_Point"/}}7.2.3RPO (Recovery Point Objective) ===

658

659

**Recovery Point Objective**// (zvyčajne sa požíva skratka RPO) je jeden z ukazovateľov //__[[dostupnosti>>url:https://datalab.digital/legislativa/]]__// dát. RPO vyjadruje, do akého stavu (bodu) v minulosti možno obnoviť //__[[dáta>>url:https://datalab.digital/]]__//. Inými slovami množstvo dát, o ktoré môže organizácia prísť.//

660

Využitie RPO v praxi//**: **Ukazovateľ RPO sa z pohľadu zákazníka využíva pre vyjadrenie množstva obnoviteľných dát. (napr. formou //__[[SLA>>url:https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html]]__//). Na druhú stranu poskytovatelia dnes môžu voliť rôzne technológie //__[[zálohovanie>>url:https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf]]__//, respektíve replikovanie dát a bod obnovy dát znížiť až k nulovej strate. Existujúce technológie sa delia zhruba nasledovne~://

661

662

* //Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni//

663

* //Asynchrónne replikácie dát - výpadok a obnova v poriadku sekúnd až minút, strata sa blíži k nule//

664

* //Synchrónny replikácie dát - nulová strata//

665

666

= {{id name="_Toc2005115416"/}}{{id name="_Toc153139722"/}}{{id name="_Toc15428571"/}}{{id name="_Toc15427677"/}}{{id name="_Toc15426955"/}}8.Požiadavky na personál =

667

668

//Doplniť požiadavky na projektové personálne zabezpečenie (projektové role a ich obsadenie).//

669

//Doplniť rámcové požiadavky na obsadenie TO BE procesu.//

670

//Doplniť požiadavky potrebných školení a certifikátov.//

671

672

= {{id name="_Toc603274444"/}}{{id name="_Toc153139723"/}}{{id name="_Toc15428572"/}}{{id name="_Toc15427678"/}}{{id name="_Toc15426956"/}}9.Implementácia a preberanie výstupov projektu =

673

674

//Posúďte a doplňte spôsoby realizácie projektu a ich dopad na harmonogram projektu a preberanie výstupov pripravovaného projektu.//

675

//V zmysle Vyhlášky 401/2023 Zz o riadení projektov a zmenových požiadaviek v prevádzke je potrebné posúdiť výber spôsobu realizácie projektu metódou waterfall, metódou agile alebo metódou waterfall s prvkami metódy agile.//

676

//V zmysle vyhlášky 401/2023 Zz o riadení projektov a zmenových požiadaviek v prevádzke je možné pristupovať k realizácii projektu prostredníctvom čiastkových plnení, t.j. inkrementov, a to~://

677

678

* //Inkrement musí obsahovať z realizačnej fázy projektu aspoň etapu Implementácia a Testovanie a Nasadenia do produkcie. Je možné ho realizovať viacerými iteráciami v závislosti od charakteru projektu a každý doručený inkrement projektu je nasadený na produkčnom prostredí informačnej technológie a je možné začať s dokončovacou fázou projektu, alebo pokračovať ďalším inkrementom.//

679

* //Ak realizačná fáza veľkých projektov pozostáva z dodania jedného funkčného celku alebo dodania výlučne technických prostriedkov, objednávateľ v produkte PI-03 Prístup k projektu a v M-05 Analýza nákladov a prínosov - BC/CBA, posúdi a vyhodnotí aj alternatívy rozdelenia na inkrementy na preukázanie ekonomickej nevýhodnosti alebo technických obmedzení rozdeliť projekt na inkrementy.//

680

681

= {{id name="_Toc1624651882"/}}{{id name="_Toc153139724"/}}{{id name="_Toc15428575"/}}{{id name="_Toc15427681"/}}{{id name="_Toc15426959"/}}{{id name="_Toc510413663"/}}10.Prílohy =

682

683

//V prípade potreby doplňte zoznam príloh //

684

//Poznámka: **odporúčame**, aby ste si VŠETKY TABUĽKOVÉ VSTUPY evidovali a spravovali v jednom centrálnom súbore formátu EXCEL – s cieľom minimalizovať budúcu prácnosť s aktualizáciou a udržiavaním obsahu.//

685

//Inštrukcie k verejnému pripomienkovaniu~://

686

687

* //Podľa §4 ods. 10 vyhlášky č. 401/2023 Z.z je potrebné zrealizovať pripomienkovanie Projektového prístupu odbornou verejnosťou, zaevidovať a vyhodnotiť pripomienky odbornej verejnosti.//

688

* //Oznámenie o začatí verejného pripomienkovania zverejniť v centrálnom metainformačnom systéme verejnej správy na mieste určenom Orgánom vedenia.//

689

* //Dať na schválenie riadiacemu výboru výstupy po zverejnení vyhodnotenia pripomienok.//

690

* //Vyhodnotenie zverejniť na webovom sídle objednávateľa (do projektového adresára).//

691

[[1>>path:#sdfootnote1anc||name="sdfootnote1sym"]] Podľa § 2 ods. 1 písm. i) vyhlášky MIRRI č. 401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy sa objednávateľom rozumie správca alebo prevádzkovateľ ITVS, ktorý projekt realizuje alebo chce realizovať.

692

[[2>>path:#sdfootnote2anc||name="sdfootnote2sym"]] https:~/~/avssr.horizzon.cloud/. O prístup do repozitára a poskytnutie licencie pre modelovací nástroj pracujúci s repozitárom modelov je potrebné požiadať na e-mailovej adrese: sprava_EA@mirri.gov.sk.

693

[[3>>path:#sdfootnote3anc||name="sdfootnote3sym"]] The Open Group ArchiMate Model Exchange File Format Standard a špecifikácia BPMN 2.0

694

[[4>>path:#sdfootnote4anc||name="sdfootnote4sym"]] Napr. modelovací nástroj Archi - Open Source ArchiMate Modelling: [[https:~~/~~/www.archimatetool.com>>url:https://www.archimatetool.com/]].

695

[[5>>path:#sdfootnote5anc||name="sdfootnote5sym"]] Napr. modelovací nástroj pre BPMN - Camunda Modeler - Open Source Desktop Modeler: [[https:~~/~~/camunda.com/download/modeler/>>url:https://camunda.com/download/modeler/]].

696

[[6>>path:#sdfootnote6anc||name="sdfootnote6sym"]] Správca ISVS je povinný zaviesť v organizácii systém riadenia informačnej (a kybernetickej) bezpečnosti a vypracovať bezpečnostný projekt pre ISVS podľa vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy)

697

Strana 23/23

Wiki zdrojový kód pre I-03 Prístup k projektu (pristup_k_projektu)

Aplikácie

Navigácia

Moje posledné úpravy

Need help?