Wiki zdrojový kód pre I-03 Prístup k projektu (pristup_k_projektu)
Version 12.2 by Jozef Tomeček on 2025/01/27 13:36
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | **PRÍSTUP K PROJEKTU** | ||
| 2 | **Vzor pre manažérsky výstup I-03** | ||
| 3 | **podľa vyhlášky MIRRI č. 401/2023 Z. z.** | ||
| 4 | |||
| 5 | |**Povinná osoba**|{{content id="projekt.asociovane_po" template="[[${po.nazov}]]"}}Ministerstvo cestovného ruchu a športu Slovenskej republiky{{/content}} | ||
| 6 | |**Názov projektu**|{{content id="projekt.nazov"}}Zvýšenie úrovne kybernetickej bezpečnosti Ministerstva cestovného ruchu a športu SR{{/content}} | ||
| 7 | |**Zodpovedná osoba za projekt**|Mgr. Tomáš Mésároš | ||
| 8 | |**Realizátor projektu**|{{content id="projekt.asociovane_po" template="[[${po.nazov}]]"}}Ministerstvo cestovného ruchu a športu Slovenskej republiky{{/content}} | ||
| 9 | |**Vlastník projektu**| {{content id="projekt.vlastnik.nazov"}}Ministerstvo cestovného ruchu a športu Slovenskej republiky{{/content}} | ||
| 10 | **Schvaľovanie dokumentu** | ||
| 11 | |||
| 12 | |**Položka**|**Meno a priezvisko**|(% style="width:328px" %)**Organizácia**|(% style="width:165px" %)**Pracovná pozícia**|(% style="width:170px" %)**Dátum**|((( | ||
| 13 | **Podpis** | ||
| 14 | (alebo elektronický súhlas) | ||
| 15 | ))) | ||
| 16 | |Vypracoval|Ing. Jozef Tomeček|(% style="width:328px" %)Ministerstvo cestovného ruchu a športu SR|(% style="width:165px" %)riaditeľ odboru|(% style="width:170px" %)31.12.2024| | ||
| 17 | |||
| 18 | = {{id name="_Toc2008675389"/}}1.História dokumentu = | ||
| 19 | |||
| 20 | |**Verzia**|**Dátum**|**Zmeny**|**Meno** | ||
| 21 | |//0.1//|//20.12.2024//|//Pracovný návrh//| | ||
| 22 | |//0.5//|//31.12.2024//|//Pracovný návrh//| | ||
| 23 | |1.0|27.01.2025|Zapracované pripomienky| | ||
| 24 | |||
| 25 | = {{id name="_Toc74315499"/}}2.Účel dokumentu = | ||
| 26 | |||
| 27 | Dokument je vypracovaný v súlade s Vyhláškou č. 401/2023 Z. z.. | ||
| 28 | |||
| 29 | Dokument popisuje nasledovné oblasti: | ||
| 30 | |||
| 31 | * opis navrhovaného riešenia, | ||
| 32 | * architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, | ||
| 33 | * špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, | ||
| 34 | * prevádzkové požiadavky, požiadavky na zdrojové kódy. | ||
| 35 | |||
| 36 | == {{id name="_Toc152607284"/}}{{id name="_Toc683485446"/}}{{id name="_Toc365474999"/}}{{id name="_Toc1488819067"/}}{{id name="_Toc461533771"/}}{{id name="_Toc1193242276"/}}{{id name="_Toc738207424"/}}{{id name="_Toc2067375730"/}}{{id name="_Toc336064095"/}}{{id name="_Toc62328600"/}}{{id name="_Toc1636304797"/}}{{id name="_Toc635885549"/}}2.1Použité skratky a pojmy == | ||
| 37 | |||
| 38 | |**SKRATKA/POJEM**|**POPIS** | ||
| 39 | |2FA|Dvojfaktorová autentizácia | ||
| 40 | |AP NKIVS|Akčný plán Národnej koncepcie informatizácie verejnej správy 2021 | ||
| 41 | |BCM|Riadenie kontinuity prevádzky | ||
| 42 | |BCR|Pomer prínosov a nákladov z pohľadu návratnosti | ||
| 43 | |CBA|Analýza nákladov a prínosov | ||
| 44 | |EDR|Endpoint Detection and Response | ||
| 45 | |FO|Fyzická osoba | ||
| 46 | |FTE|Ekvivalent plného pracovného úväzku | ||
| 47 | |IB|informačná bezpečnosť | ||
| 48 | |IS|informačný systém | ||
| 49 | |ISVS|Informačný systém verejnej správy | ||
| 50 | |IT|Informačná technológia | ||
| 51 | |ITVS|Informačné technológie verejnej správy | ||
| 52 | |KB|Kybernetická bezpečnosť | ||
| 53 | |KBI|Kybernetický bezpečnostný incident | ||
| 54 | |MCA|Multikriteriálna analýza | ||
| 55 | |MIRRI SR|Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky | ||
| 56 | |MinCRS SR|Ministerstvo cestovného ruchu a športu Slovenskej republiky | ||
| 57 | |NAC|Network Access Control | ||
| 58 | |NASES|Národná agentúra pre sieťové a elektronické služby | ||
| 59 | |NBÚ|Národný bezpečnostný úrad | ||
| 60 | |NDR|Network Detection and Response | ||
| 61 | |NKIVS|Národná koncepcia informatizácie verejnej správy | ||
| 62 | |NKKB|Národná koncepcia kybernetickej bezpečnosti | ||
| 63 | |OVM|Orgán verejnej moci | ||
| 64 | |OT|Operačné technológie (Operational technology) | ||
| 65 | |PID|Projektový iniciálny dokument | ||
| 66 | |PM|Projektový manažér | ||
| 67 | |PO|Právnická osoba | ||
| 68 | |PZS|Prevádzkovateľ základnej služby | ||
| 69 | |RVP|Riadiaci výbor projektu | ||
| 70 | |SAN|Storage area network | ||
| 71 | |SIEM|Systém pre management bezpečnostních informací a událostí (Security Information and Event Management) | ||
| 72 | |SOAR|Proces orchestrácie, automatizácie a odozvy zabezpečenia (Security orchestration, automation and response) | ||
| 73 | |SOC|Bezpečnostné Dohľadové Centrum (Security Operations Center) | ||
| 74 | |SR|Slovenská republika | ||
| 75 | |TCO|Total cost of ownership | ||
| 76 | |TP|Technické prostriedky | ||
| 77 | |TTP|Techniky, taktiky a procedúry | ||
| 78 | |VISKB|Vládny informačný systém kybernetickej bezpečnosti | ||
| 79 | |VJ CSIRT|Vládna jednotka CSIRT (Computer Security Incident Response Team Slovakia, niekedy označovaná aj skratkou CSIRT.SK) | ||
| 80 | |VM|Manažment zraniteľností (Vulnerability management) | ||
| 81 | |VO|Verejné obstarávanie | ||
| 82 | |XDR|Extended detection and response | ||
| 83 | |ZoBK|Zákon o kybernetickej bezpečnosti | ||
| 84 | |ŽoNFTP|Žiadosť o nenávratný finančný príspevok | ||
| 85 | |||
| 86 | == {{id name="_Toc153139681"/}}{{id name="_Toc15428557"/}}{{id name="_Toc15427667"/}}{{id name="_Toc15426945"/}}{{id name="_Toc510413655"/}}2.2Konvencie pre typy požiadaviek (príklady) == | ||
| 87 | |||
| 88 | //**Funkcionálne (používateľské) požiadavky **majú nasledovnú konvenciu~:// | ||
| 89 | //**RFxx**// | ||
| 90 | |||
| 91 | * //R – označenie požiadavky// | ||
| 92 | * //U – užívateľská požiadavka// | ||
| 93 | * //xx – číslo požiadavky// | ||
| 94 | |||
| 95 | //**Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky** majú nasledovnú konvenciu~:// | ||
| 96 | |||
| 97 | **RNF//xx//** | ||
| 98 | |||
| 99 | * //R – označenie požiadavky// | ||
| 100 | * //N – nefunkčná požiadavka (RNF)// | ||
| 101 | * //xx – číslo požiadavky// | ||
| 102 | |||
| 103 | |||
| 104 | = {{id name="_Toc1924467239"/}}{{id name="_Toc153139683"/}}3.Popis navrhovaného riešenia = | ||
| 105 | |||
| 106 | Predmetom projektu je zavedenie nástrojov kybernetickej a informačnej bezpečnosti na Ministerstve cestovného ruchu a športu SR (ďalej len „MCRaŠ SR“). Kybernetická bezpečnosť je z pohľadu architektúry prierezovou oblasťou a teda realizuje sa skrz všetky vrstvy architektúry. Toto novovzniknuté ministerstvo, ktoré iba zakladá infraštruktúru a základné aplikačné celky, považuje za nutné spísanie základných bezpečnostných štandardov a nasadenie úvodných bezpečnostných technológií pri vzniku aplikačných celkov a zavádzaní interných procesov a smerníc. Z pohľadu infraštruktúry je ideálne budovať bezpečnostné princípy na začiatku, čo zásadne znižuje náklady na dodatočné prispôsobovanie aplikácií moderným požiadavkám. | ||
| 107 | |||
| 108 | Terajšia bezpečnostná vrstva architektúry IT nezodpovedá bezpečnostnému štandardu podľa vyhlášky o kybernetickej bezpečnosti alebo svetovému CIS framework podľa NIST. Samotným skorým zavedením bezpečnostných štandardov nedochádza k podstatným zmenám v rámci MCRaŠ SR. | ||
| 109 | |||
| 110 | Predmetom projektu v súlade s hodnotiacim kritériami výzvy je zabezpečenie základných činností v oblasti kybernetickej a informačnej bezpečnosti v organizácii žiadateľa a zabezpečenie vybraných činností zameraných na prevenciu pred kybernetickými bezpečnostnými incidentmi v organizácii žiadateľa konkrétne: | ||
| 111 | |||
| 112 | * | ||
| 113 | ** (CASB, ZTNA, DLP, WAF) ochrana prístupov k internetu, ochrana internetových aplikácií, správa prístupov k aplikáciám, sledovanie toku dát a ochrana pred odcudzením na základe kontextu a klasifikácie | ||
| 114 | ** (HSM, KMS, HYOK) nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dátam | ||
| 115 | ** (SIEM, SOAR) nástroj pre centrálnu evidenciu logov z informačných systémov a následné vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktivít | ||
| 116 | ** (IPAM, 802.1x) zabezpečenie základných NW služieb heterogénnom prostredí pre DNS, DHCP, IPAM, 802.1X, physical port security | ||
| 117 | ** (Exposure, Risk, Vulnerability, CIAM) nástroj pre posudzovanie a kategorizáciu potenciálnych rizík, vrátane správy zraniteľností, aplikačného testovania, a korektnej konfigurácie cloud prostredí a prístupov. | ||
| 118 | ** (Threat Intell, IoC, Supply Chain) Nástroj na preverovanie bezpečnosti dodávateľského reťazca, integráciu známych bezpečnostných hrozieb a charakteristík do interných bezpečnostných nástrojov, zisťovanie a odhaľovanie potenciálnych plánovaných útokov, zisťovanie a dokazovanie zneužitia mena a prípadných únikov dát | ||
| 119 | ** incident response, remediation a audit služba | ||
| 120 | ** Bezpečnostný projekt pre zmapovanie prostredia, zavedenie procesov a politík podľa Zákona 69/2018 (Kybernetická bezpečnosť, 95/2019 (IT verejnej správy), 18/2018 (GDPR), Školiace materialy pre MKB, riadenie kontinuity (BCP, BIA, DRP), vulenrability a incident management a pridružené procesy podľa ITIL/ITSM, klasifikácia informácií, bezpečnosť koncových prvkov, a služby bezpečnostného architekta počas implementácie projektu. Vypracovanie bezpečnostného projektu ISVS, podľa prílohy č. 3 vyhlášky UPVII č. 179/2020 Z. z. | ||
| 121 | |||
| 122 | Danými nástrojmi spolu s existujúcim riešením dokážeme zabezpečiť súlad zo zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“), ako aj konzistenciu odporúčaní podľa CIS framework v nasledujúcich oblastiach: | ||
| 123 | |||
| 124 | * (CIS Control 1) Inventarizácia zariadení pristupujúcich k aplikáciám a dátam | ||
| 125 | * (CIS Control 2) Kontrola zariadení pristupujúcich k dátam a aplikáciám na vyžadované bezpečnostné štandardy a izoláciu dát | ||
| 126 | * (CIS Control 3) Ochrana dát pred neautorizovaným prístupom ako aj pred odcudzením a zneužitím dát | ||
| 127 | * (CIS Control 4) Zabezpečenie nasadenia konzistentných bezpečnostných politík pre prístup k aplikáciám a dátam | ||
| 128 | * (CIS Control 5) Evidencia účtov, auditné logy a správa oprávnení a to v rátane Cloud prostredia | ||
| 129 | * (CIS Control 6) Kontrola prístupov do prostredia, k aplikáciám a k dátam | ||
| 130 | * (CIS Control 7) Kontinuálna správa zraniteľností na všetkých prvkoch infraštruktúry v rátane pracovných staníc | ||
| 131 | * (CIS Control 8) Archivácia a vyhodnocovanie auditných logov | ||
| 132 | * (CIS Control 9) Správa internetových prístupov a sprístupneného obsahu, ochrana Email komunikácie | ||
| 133 | * (CIS Control 10) Ochrana proti škodlivým kódom na všetkých vrstvách | ||
| 134 | * (CIS Control 11) Ochranu záloh pred neautorizovanou obnovou | ||
| 135 | * (CIS Control 12) Správa sieťovej infraštruktúry | ||
| 136 | * (CIS Control 13) Dohľadová úroveň bezpečnosti sieťových zariadení a toku dát | ||
| 137 | * (CIS Control 15) Zabezpečenie aplikácií a dát v externom prostredí | ||
| 138 | * (CIS Control 16) Bezpečnosť aplikácií | ||
| 139 | * (CIS Control 17) Schopnosť detegovať a reagovať na bezpečnostné incidenty | ||
| 140 | * (CIS Control 18) Penetračné testovanie po technickej stránke. | ||
| 141 | |||
| 142 | Odvolávka na CIS framework je z dôvodu, že prevažná väčšina bezpečnostných nástrojov má integrované minimálne CIS normy vo svojich politikách a pravidlách pre vyhodnocovanie zhody s požadovanými nastaveniami, ktoré sú v súlade s platnou legislatívnou úpravou: | ||
| 143 | |||
| 144 | * Zákon č. 69/2018 Z.z . o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov | ||
| 145 | * Zákon č. 287/2021 Z. z. Zákon, ktorým sa mení a dopĺňa zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony | ||
| 146 | * Zákon č. 95/2019 Z.z . informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov | ||
| 147 | * Vyhláška NBÚ č. 362/2018 Z.z . ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení | ||
| 148 | * Vyhláška ÚPVII č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy | ||
| 149 | * vyhlášky NBÚ č. 165/2018 Z. z. ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov, | ||
| 150 | * vyhlášky NBÚ č. 166/2018 Z. z. o podrobnostiach o technickom, technologickom a personálnom vybavení jednotky pre riešenie kybernetických bezpečnostných incidentov, | ||
| 151 | * zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o doplnení niektorých zákonov, | ||
| 152 | * zákona č. 45/2011 Z. z. o kritickej infraštruktúre, | ||
| 153 | * zákona č. 18/2018 Z. z. o ochrane osobných údajov v znení neskorších predpisov (GDPR), | ||
| 154 | * zákona č. 272/2016 Z. z. o dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zmene a doplnení niektorých zákonov (zákon o dôveryhodných službách), | ||
| 155 | * Zákon č. 56/2018 Z.z . o posudzovaní zhody výrobku, sprístupňovaní určeného výrobku na trhu a o zmene a doplnení niektorých zákonov | ||
| 156 | * ISO/IEC 17024:2012 Posudzovanie zhody Všeobecné požiadavky na orgány vykonávajúce certifikáciu osôb | ||
| 157 | * ISO/IEC 17000:2020 Posudzovanie zhody Slovník a všeobecné zásady | ||
| 158 | * ISO/IEC 27000 „Informačné technológie Bezpečnostné metódy Systémy riadenia informačnej bezpečnosti“, | ||
| 159 | * Smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii, | ||
| 160 | * nariadenia Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013 (akt o kybernetickej bezpečnosti) | ||
| 161 | * zákona č. 18/2018 Z. z. o ochrane osobných údajov a o doplnení niektorých zákonov, | ||
| 162 | * smernice Európskeho parlamentu a Rady2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) a jej implementácie v zákone č. 351/2011 Z. z. o elektronických komunikáciách | ||
| 163 | * nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) | ||
| 164 | * nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu, | ||
| 165 | |||
| 166 | = {{id name="_Toc120655606"/}}{{id name="_Toc153139684"/}}4.Architektúra riešenia projektu = | ||
| 167 | |||
| 168 | Architektúra riešenia projektu je spracovaná v súlade s hlavnými cieľmi, ktoré sú podrobnejšie definované funkčnými resp. nefunkčnými požiadavkami uvedené v prílohe Katalóg požiadaviek. Architektúra riešenia projektu je ďalej rozpracovaná na úrovni biznis vrstvy, aplikačnej vrstvy, technologickej vrstvy a bezpečnostnej vrstvy z prihliadnutím na minimalizovanie počtu potrebných nástrojov a výrobcov, pričom dôraz je na univerzálnosť implementácie nástrojov do heterogénneho prostredia z pohľadu prepojiteľnosti cloud a onprem prostredí, platformovú univerzálnosť a aplikačnú nezávislosť. Navrhované riešenie rozširuje existujúcu bezpečnosť postavenú na produktoch a službách Microsoft 365 E5. | ||
| 169 | |||
| 170 | == {{id name="_Toc299977606"/}}{{id name="_Toc153139685"/}}4.1Biznis vrstva == | ||
| 171 | |||
| 172 | Biznis vrstva – súčasný stav a plánovaný aplikačný rozvoj: | ||
| 173 | |||
| 174 | [[image:1735650662329-664.png]] | ||
| 175 | |||
| 176 | Existujúce prostredie je umiestnené vo verejnom cloude, vládnom cloude a vo vlastných priestoroch (1 lokácia). Dominantná platforma z pohľadu počtu aplikácií, jednoduchosti a efektívnosti rozvoja je zvolená Microsoft Azure a Microsoft 365, pričom väčšina aplikácií je založená na princípe Cloud Native Appliactions & Microservices. Aplikácia IEšport je naviazaná na externé vstupy z CSRU a GP, preto je umiestnená v prostredí vládneho cloud, a prepojená prostredníctvom GOVNET siete. Celý tento aplikačný celok je izolovaný od ostatných aplikácií alebo verejného internetu. | ||
| 177 | |||
| 178 | === 4.1.1Prehľad koncových služieb – budúci stav: === | ||
| 179 | |||
| 180 | Projektom nie sú budované žiadne nové koncové služby. Cieľom projektu je izolovať jednotlivé služby od internetu a zavedenie kybernetickej a informačnej bezpečnosti a implementácie kryptografie do prostredia. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov v rámci tejto výzvy. | ||
| 181 | |||
| 182 | |||
| 183 | === {{id name="_Toc673686985"/}}{{id name="_Toc153139711"/}}4.1.2Jazyková podpora a lokalizácia === | ||
| 184 | |||
| 185 | Všetky požadované technológie musia byť dostupné v Anglickom alebo Slovenskom Jazyku vrátane technickej dokumentácie. Projektová dokumentácia musí byť vyhotovená v Slovenskom Jazyku. | ||
| 186 | |||
| 187 | == {{id name="_Toc826435347"/}}{{id name="_Toc153139686"/}}4.2Aplikačná vrstva == | ||
| 188 | |||
| 189 | Aplikačná vrstva pozostáva z plánovaných 20 aplikácií, ktoré sú postupne nasadzované, ich primárne použitie je pre interné potreby a nie je plánované ich publikovať do internetu pre širokú verejnosť. Z tohto dôvodu chceme zabezpečiť aplikácie pomocou ZTNA a SASE princípu pre minimalizovanie rizika útoku, nezaoberáme sa špecializovaným samoučiacim WAF alebo DDoS ochranou. Jednotlivé komponenty aplikácií sú prevažne postavené alebo plánované na využití microservices, čo znamená, že je nutné zabezpečiť integritu spojenia medzi jednotlivými službami. | ||
| 190 | |||
| 191 | Externé systémy nie sú pripojené k interným aplikáciám, nie je to však vylúčené v blízkej budúcnosti. Bezpečnostný systém ako celok navrhujeme tak, aby bolo možné tieto prepojenia realizovať aj medzi komponentami Cloud infraštruktúry, kde tradičné VPN riešenie je neefektívne. | ||
| 192 | |||
| 193 | === {{id name="_Toc752151050"/}}{{id name="_Toc153139687"/}}4.2.1Rozsah informačných systémov – AS IS === | ||
| 194 | |||
| 195 | Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 196 | |||
| 197 | === 4.2.2Rozsah informačných systémov – TO BE === | ||
| 198 | |||
| 199 | |||
| 200 | Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 201 | |||
| 202 | V rámci projektu budú implementované nové nástroje pre zvýšenie úrovne kybernetickej a informačnej bezpečnosti. | ||
| 203 | |||
| 204 | === 4.2.3Využívanie nadrezortných a spoločných ISVS – AS IS === | ||
| 205 | |||
| 206 | Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 207 | |||
| 208 | === 4.2.4Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE === | ||
| 209 | |||
| 210 | Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 211 | |||
| 212 | === 4.2.5Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE === | ||
| 213 | |||
| 214 | Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 215 | |||
| 216 | === 4.2.6Aplikačné služby pre realizáciu koncových služieb – TO BE === | ||
| 217 | |||
| 218 | Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 219 | |||
| 220 | === 4.2.7Aplikačné služby na integráciu – TO BE === | ||
| 221 | |||
| 222 | Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 223 | |||
| 224 | === {{id name="_Toc814509359"/}}{{id name="_Toc153139693"/}}{{id name="_Toc63764348"/}}4.2.8Poskytovanie údajov z ISVS do IS CSRÚ – TO BE === | ||
| 225 | |||
| 226 | Projektom nie je plánované poskytovanie údajov do IS CSRŮ. | ||
| 227 | |||
| 228 | Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 229 | |||
| 230 | === {{id name="_Toc63764349"/}}{{id name="_Toc1792132569"/}}{{id name="_Toc153139694"/}}4.2.9Konzumovanie údajov z IS CSRU – TO BE === | ||
| 231 | |||
| 232 | Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 233 | |||
| 234 | == {{id name="_Toc62489738"/}}{{id name="_Toc739110335"/}}{{id name="_Toc153139695"/}}{{id name="_Toc62488214"/}}{{id name="_Toc62488105"/}}{{id name="_Toc62488012"/}}{{id name="_Toc62487919"/}}{{id name="_Toc62487051"/}}{{id name="_Toc62486914"/}}{{id name="_Toc62486339"/}}{{id name="_Toc62488213"/}}{{id name="_Toc62488104"/}}{{id name="_Toc62488011"/}}{{id name="_Toc62487918"/}}{{id name="_Toc62487050"/}}{{id name="_Toc62486913"/}}{{id name="_Toc62486338"/}}{{id name="_Toc62488212"/}}{{id name="_Toc62488103"/}}{{id name="_Toc62488010"/}}{{id name="_Toc62487917"/}}{{id name="_Toc62487049"/}}{{id name="_Toc62486912"/}}{{id name="_Toc62486337"/}}{{id name="_Toc62488211"/}}{{id name="_Toc62488102"/}}{{id name="_Toc62488009"/}}{{id name="_Toc62487916"/}}{{id name="_Toc62487048"/}}{{id name="_Toc62486911"/}}{{id name="_Toc62486336"/}}{{id name="_Toc62488210"/}}{{id name="_Toc62488101"/}}{{id name="_Toc62488008"/}}{{id name="_Toc62487915"/}}{{id name="_Toc62487047"/}}{{id name="_Toc62486910"/}}{{id name="_Toc62486335"/}}{{id name="_Toc61939053"/}}{{id name="_Toc61938877"/}}{{id name="_Toc61939052"/}}{{id name="_Toc61938876"/}}{{id name="_Toc61939051"/}}{{id name="_Toc61938875"/}}{{id name="_Toc62488209"/}}{{id name="_Toc62488100"/}}{{id name="_Toc62488007"/}}{{id name="_Toc62487914"/}}{{id name="_Toc62487046"/}}{{id name="_Toc62486909"/}}{{id name="_Toc62486334"/}}{{id name="_Toc62488208"/}}{{id name="_Toc62488099"/}}{{id name="_Toc62488006"/}}{{id name="_Toc62487913"/}}{{id name="_Toc62487045"/}}{{id name="_Toc62486908"/}}{{id name="_Toc62486333"/}}{{id name="_Toc62488207"/}}{{id name="_Toc62488098"/}}{{id name="_Toc62488005"/}}{{id name="_Toc62487912"/}}{{id name="_Toc62487044"/}}{{id name="_Toc62486907"/}}{{id name="_Toc62486332"/}}{{id name="_Toc62488206"/}}{{id name="_Toc62488097"/}}{{id name="_Toc62488004"/}}{{id name="_Toc62487911"/}}{{id name="_Toc62487043"/}}{{id name="_Toc62486906"/}}{{id name="_Toc62486331"/}}{{id name="_Toc62488205"/}}{{id name="_Toc62488096"/}}{{id name="_Toc62488003"/}}{{id name="_Toc62487910"/}}{{id name="_Toc62487042"/}}{{id name="_Toc62486905"/}}{{id name="_Toc62486330"/}}{{id name="_Toc62488204"/}}{{id name="_Toc62488095"/}}{{id name="_Toc62488002"/}}{{id name="_Toc62487909"/}}{{id name="_Toc62487041"/}}{{id name="_Toc62486904"/}}{{id name="_Toc62486329"/}}{{id name="_Toc62488199"/}}{{id name="_Toc62488090"/}}{{id name="_Toc62487997"/}}{{id name="_Toc62487904"/}}{{id name="_Toc62487036"/}}{{id name="_Toc62486899"/}}{{id name="_Toc62486324"/}}{{id name="_Toc62488194"/}}{{id name="_Toc62488085"/}}{{id name="_Toc62487992"/}}{{id name="_Toc62487899"/}}{{id name="_Toc62487031"/}}{{id name="_Toc62486894"/}}{{id name="_Toc62486319"/}}{{id name="_Toc62488189"/}}{{id name="_Toc62488080"/}}{{id name="_Toc62487987"/}}{{id name="_Toc62487894"/}}{{id name="_Toc62487026"/}}{{id name="_Toc62486889"/}}{{id name="_Toc62486314"/}}{{id name="_Toc62488184"/}}{{id name="_Toc62488075"/}}{{id name="_Toc62487982"/}}{{id name="_Toc62487889"/}}{{id name="_Toc62487021"/}}{{id name="_Toc62486884"/}}{{id name="_Toc62486309"/}}{{id name="_Toc62488179"/}}{{id name="_Toc62488070"/}}{{id name="_Toc62487977"/}}{{id name="_Toc62487884"/}}{{id name="_Toc62487016"/}}{{id name="_Toc62486879"/}}{{id name="_Toc62486304"/}}{{id name="_Toc62488173"/}}{{id name="_Toc62488064"/}}{{id name="_Toc62487971"/}}{{id name="_Toc62487878"/}}{{id name="_Toc62487010"/}}{{id name="_Toc62486873"/}}{{id name="_Toc62486298"/}}{{id name="_Toc62488172"/}}{{id name="_Toc62488063"/}}{{id name="_Toc62487970"/}}{{id name="_Toc62487877"/}}{{id name="_Toc62487009"/}}{{id name="_Toc62486872"/}}{{id name="_Toc62486297"/}}{{id name="_Toc62488171"/}}{{id name="_Toc62488062"/}}{{id name="_Toc62487969"/}}{{id name="_Toc62487876"/}}{{id name="_Toc62487008"/}}{{id name="_Toc62486871"/}}{{id name="_Toc62486296"/}}{{id name="_Toc62488170"/}}{{id name="_Toc62488061"/}}{{id name="_Toc62487968"/}}{{id name="_Toc62487875"/}}{{id name="_Toc62487007"/}}{{id name="_Toc62486870"/}}{{id name="_Toc62486295"/}}{{id name="_Toc62488169"/}}{{id name="_Toc62488060"/}}{{id name="_Toc62487967"/}}{{id name="_Toc62487874"/}}{{id name="_Toc62487006"/}}{{id name="_Toc62486869"/}}{{id name="_Toc62486294"/}}{{id name="_Toc62488168"/}}{{id name="_Toc62488059"/}}{{id name="_Toc62487966"/}}{{id name="_Toc62487873"/}}{{id name="_Toc62487005"/}}{{id name="_Toc62486868"/}}{{id name="_Toc62486293"/}}{{id name="_Toc62488167"/}}{{id name="_Toc62488058"/}}{{id name="_Toc62487965"/}}{{id name="_Toc62487872"/}}{{id name="_Toc62487004"/}}{{id name="_Toc62486867"/}}{{id name="_Toc62486292"/}}4.3Dátová vrstva == | ||
| 235 | |||
| 236 | Vzhľadom na nasadenie aplikácií vo verejných cloud a vývoj aplikácií za použitia verejných komponentov je nutné zabezpečiť dátovú integritu a suverenitu za pomoci kryptografie, ktorá musí byť vo výlučnej plnej správe ministerstva a prepojiteľná zo všetkými platformami. Takto aplikovaná kryptografia pomocou KMIP štandardov následne vie zaručiť, že dáta nebudú zneužiteľné bez vedomia MCRaŠ a zároveň budú jednoducho znehodnotené pri podozrení na data breach alebo pre prípad núdzového off-boardingu. Pri nezávislej správe kryptografických tokenov je zaručená možnosť presunu dát medzi jednotlivými providermi alebo internými zdrojmi. | ||
| 237 | |||
| 238 | |||
| 239 | Samotný projekt nemení existujúcu dátovú vrstvu z pohľadu obsahu, doplňuje nástroje pre zabezpečenie integrity dát (HSM, KMS systémy) a konzistencie dát (ochrana proti škodlivému kódu a prípadnému úniku) | ||
| 240 | |||
| 241 | === {{id name="_Toc2009350815"/}}{{id name="_Toc153139696"/}}{{id name="_Toc63764351"/}}4.3.1Údaje v správe organizácie === | ||
| 242 | |||
| 243 | === (% style="font-size:14px" %)Zavedenie systematického manažmentu údajov nie je predmetom navrhovaného projektu.(%%) === | ||
| 244 | |||
| 245 | Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 246 | |||
| 247 | === {{id name="_Ref154138234"/}}{{id name="_Toc1386538966"/}}{{id name="_Toc153139697"/}}{{id name="_Toc63764352"/}}4.3.2Dátový rozsah projektu - Prehľad objektov evidencie - TO BE === | ||
| 248 | |||
| 249 | Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 250 | |||
| 251 | {{id name="_Toc62489744"/}}{{id name="_Toc58337728"/}}{{id name="_Toc2089422843"/}}{{id name="_Toc153139699"/}}(% style="color:inherit; font-family:inherit; font-size:max(18px, min(20px, 14.4444px + 0.462963vw))" %)4.3.3Referenčné údaje | ||
| 252 | |||
| 253 | Projektom nie sú plánované žiadne nové referenčné údaje ani údaje, ktoré je možné vyhlásiť za referenčné. | ||
| 254 | |||
| 255 | Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 256 | |||
| 257 | ==== {{id name="_Toc268006870"/}}{{id name="_Toc153139700"/}}{{id name="_Toc63764357"/}}4.3.3.1Objekty evidencie z pohľadu procesu ich vyhlásenia za referenčné ==== | ||
| 258 | |||
| 259 | Projektom nie sú plánované žiadne nové referenčné údaje ani údaje, ktoré je možné vyhlásiť za referenčné. | ||
| 260 | |||
| 261 | Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 262 | |||
| 263 | (% style="color:inherit; font-family:inherit; font-size:max(16px, min(17px, 14.2222px + 0.231481vw))" %)4.3.3.2Identifikácia údajov pre konzumovanie alebo poskytovanie údajov do/z CSRU | ||
| 264 | |||
| 265 | |||
| 266 | Projektom nie sú plánované žiadne nové referenčné údaje ani údaje, ktoré je možné vyhlásiť za referenčné. | ||
| 267 | |||
| 268 | Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 269 | |||
| 270 | {{id name="_Toc62489741"/}}{{id name="_Toc58337725"/}}{{id name="_Toc62488224"/}}{{id name="_Toc62488115"/}}{{id name="_Toc62488022"/}}{{id name="_Toc62487929"/}}(% style="color:inherit; font-family:inherit; font-size:max(18px, min(20px, 14.4444px + 0.462963vw))" %)4.3.4Kvalita a čistenie údajov | ||
| 271 | |||
| 272 | |||
| 273 | Cieľom projektu nie je systematický manažment údajov z hľadiska citlivosti kvality údajov a čistenia údajov. | ||
| 274 | |||
| 275 | Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 276 | |||
| 277 | ==== {{id name="_Toc63764354"/}}4.3.4.1Zhodnotenie objektov evidencie z pohľadu dátovej kvality ==== | ||
| 278 | |||
| 279 | Cieľom projektu nie je systematický manažment údajov z hľadiska citlivosti kvality údajov a čistenia údajov. | ||
| 280 | |||
| 281 | Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 282 | |||
| 283 | ==== 4.3.4.2Roly a predbežné personálne zabezpečenie pri riadení dátovej kvality ==== | ||
| 284 | |||
| 285 | Cieľom projektu nie je systematický manažment údajov z hľadiska citlivosti kvality údajov a čistenia údajov. | ||
| 286 | |||
| 287 | Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 288 | |||
| 289 | === {{id name="_Toc58337730"/}}{{id name="_Toc62489746"/}}{{id name="_Toc821791718"/}}{{id name="_Toc153139702"/}}{{id name="_Toc61939065"/}}{{id name="_Toc61938889"/}}{{id name="_Toc61939064"/}}{{id name="_Toc62488234"/}}{{id name="_Toc62488125"/}}{{id name="_Toc62488032"/}}{{id name="_Toc62487939"/}}{{id name="_Toc62488233"/}}{{id name="_Toc62488124"/}}{{id name="_Toc62488031"/}}{{id name="_Toc62487938"/}}{{id name="_Toc62488232"/}}{{id name="_Toc62488123"/}}{{id name="_Toc62488030"/}}{{id name="_Toc62487937"/}}{{id name="_Toc62488231"/}}{{id name="_Toc62488122"/}}{{id name="_Toc62488029"/}}{{id name="_Toc62487936"/}}{{id name="_Toc62488230"/}}{{id name="_Toc62488121"/}}{{id name="_Toc62488028"/}}{{id name="_Toc62487935"/}}4.3.5Otvorené údaje === | ||
| 290 | |||
| 291 | Nie je relevantné pre projekt, nebudú poskytované žiadne nové Otvorené údaje. | ||
| 292 | |||
| 293 | Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 294 | |||
| 295 | === 4.3.6Analytické údaje === | ||
| 296 | |||
| 297 | Nie je relevantné pre projekt, nebudú poskytované žiadne nové Analytické údaje. | ||
| 298 | |||
| 299 | Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 300 | |||
| 301 | Dáta neopustia EU. | ||
| 302 | |||
| 303 | === 4.3.7Moje údaje === | ||
| 304 | |||
| 305 | Nie je relevantné pre projekt, nebudú poskytované žiadne nové Moje údaje. | ||
| 306 | |||
| 307 | Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 308 | |||
| 309 | === 4.3.8Prehľad jednotlivých kategórií údajov === | ||
| 310 | |||
| 311 | Projekt nie je zameraný na systematický manažment údajov, nemení štruktúru ani obsah údajov. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. | ||
| 312 | |||
| 313 | == 4.4Technologická vrstva == | ||
| 314 | |||
| 315 | === {{id name="_Toc937277657"/}}{{id name="_Toc153139707"/}}{{id name="_Toc15428561"/}}4.4.1Prehľad technologického stavu - AS IS === | ||
| 316 | |||
| 317 | Pripojenie celej sieťovej infraštruktúry je prostredníctvom verejného internetu, v súčasnej dobe nemonitorované a dodatočne nechránené. Jediná ochrana prepoju medzi komponentami a sieťami je pomocou TLS spojení. Legacy systémy hostované v Azure a vládnom cloude sú chránené pomocou peer to site VPN, izolované štandarným firewallom poskytovaným v rámci Cloud prostredia. V prípade Azure hovoríme o statefull firewall. Pri existujúcom nasadený je iba obmedzený prehľad o dátových tokoch (v prostredí M365), nie sme schopní identifikovať insider threats. Na základe existujúcich bezpečnostných služieb, ktoré sú súčasťou M365 E5 je možné iba čiastočne identifikovať, resp. zabrániť úniku dát. | ||
| 318 | |||
| 319 | |||
| 320 | LAN sieť v centrálnej lokalite je chránená NG FW s implementovanou mikrosegmentáciou pre hosting serverových služieb v interných priestoroch. Je tu absencia centralizovaného IPAM, DNS security, DHCP security, 802.1x. Fyzická bezpečnosť portov a prestupových pravidiel je bez možnosti auditu vzhľadom na to, že nie je vo vlastníctve MCRaŠ SR a potrebnej centralizácie. Postupnou náhradou zariadení, ktoré nie sú financované týmto projektom, budú zabezpečené bezpečnostné potreby. | ||
| 321 | |||
| 322 | === {{id name="_Toc1626553566"/}}{{id name="_Toc153139708"/}}4.4.2Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE === | ||
| 323 | |||
| 324 | |||
| 325 | V rámci navrhovaného riešenia je nutné rozšíriť výpočtový výkon VMware clustra o nový node pre nasadenie potrebných onprem komponentov riešenia (napr. SOAR orchestrator, reverse proxy pre XDR, KMS servre, komponenty pre skenovací engine vulnerability management riešenia, sondy v sieti na RSPAN, atď.). Väčšina bezpečnostných technológií by mala byť poskytovaná výrobcami ako SaaS. Plánovaný nákup HW v rámci tejto výzvy je okrem výpočtového výkonu aj HSM (hardware security module – ako root of trust) a appliance pre NW physical security (kriticke NW sluzby nemôžu byť závislé na VMware clustri). | ||
| 326 | |||
| 327 | Odhadovaný potrebný výkon pre zabezpečenie virtuálnych serverov je: 70 vCPU, 250 GB RAM, 2500 GB HDD | ||
| 328 | |||
| 329 | {{id name="_Toc985091580"/}}{{id name="_Toc153139709"/}}(% style="color:inherit; font-family:inherit; font-size:max(18px, min(20px, 14.4444px + 0.462963vw))" %)4.4.3Návrh riešenia technologickej architektúry | ||
| 330 | |||
| 331 | Technologická architektúra sa oproti súčasnému stavu nemení a bude prevádzkovaná v rovnakom technologickom prostredí. Technologická vrstva budúceho stavu vychádza zo súčasného stavu a bude podporená novými nasadenými bezpečnostnými nástrojmi prevádzkovanými na viacerých technológiách. To znamená, že existujúci stav postavený na princípe dostupnosti prostredníctvom verejného internetu bude zachovaný a chceme implementovať bezpečnostné nástroje pre efektívne obmedzenie komunikácie. Takto zachovaná decentralizácia z pohľadu hostingu služieb a pripojení je efektívna pre jednoduché sťahovanie funkčných celkov a dáva možnosti optimalizácie nákladov, ako postupné navyšovanie výkonu podľa aktuálnych potrieb v čase. | ||
| 332 | |||
| 333 | === {{id name="_Toc1130364585"/}}{{id name="_Toc153139710"/}}4.4.4Využívanie služieb z katalógu služieb vládneho cloudu === | ||
| 334 | |||
| 335 | Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie vrátane poskytovaných služieb z vládneho Cloudu. Práve vďaka decentralizácii prístupov a hostingových služieb nerozdeľujeme aplikácie podľa umiestnenia v hostingu, čo naopak umožňuje jednoduchšiu migráciu aplikačných celkov do prostredia vládneho cloudu. | ||
| 336 | |||
| 337 | {{id name="_Toc1569848295"/}}{{id name="_Toc153139712"/}}(% style="color:inherit; font-family:inherit; font-size:max(20px, min(24px, 12.8889px + 0.925926vw))" %)4.5Bezpečnostná architektúra | ||
| 338 | |||
| 339 | |||
| 340 | Zhodnotenie existujúceho stavu bezpečnostnej architektúry a návrh požadovaného rozšírenia: | ||
| 341 | |||
| 342 | |(% style="width:228px" %)**Existujúce riešenie Microsoft 365 E5**|(% style="width:43px" %)**Požadované rozšírenie:**|(% style="width:656px" %)**Poznámka**|(% style="width:274px" %)**Legislatívna úprava** | ||
| 343 | |(% style="width:228px" %)Microsoft Entra ID P2 (IAM + MFA)|(% style="width:43px" %) |(% style="width:656px" %)Plne vyhovujúce požiadavkám na centrálnu evidenciu účtov a zariadení. Microsoft Entra P2 + MFA je natívne využiteľné pre SAML a OpenID overovanie pre web aplikácie s tzv. Modern Authentication, pričom rozšírenie o Microsoft NPS server umožňuje použitie RADIUS protokolu pre legacy aplikácie (napr. VPN)|(% style="width:274px" %)((( | ||
| 344 | ZoKB 69/2018, § 20 ods. 3 písm, c. | ||
| 345 | |||
| 346 | ZoKB 69/2018, § 20 ods. 3 písm, h. | ||
| 347 | |||
| 348 | Dora ch.12, 13, 17 | ||
| 349 | |||
| 350 | NIS2 A: 5,10 | ||
| 351 | ))) | ||
| 352 | |(% style="width:228px" %)Microsoft Defender for Endpoint|(% style="width:43px" %)ZTNA, CASB|(% style="width:656px" %)Antivírus dostupný pre Windows, Linux, Android, iOS. Podporovaná je aj aplikačná izolácia pomocou work profile s absenciou NGFW služieb na klientskej strane. Vážne nedostatky bez ZTNA prístupu kontrolujúceho spojenie a doplňujúce URLF sú napríklad fileless útoky napr. na úrovni IPS. Nutné je rozšírenie existujúceho riešenia o NG FW služby pre aktívny Web protection a browser isolation.|(% style="width:274px" %)((( | ||
| 353 | ZoKB 69/2018, § 20 ods. 3 písm, f. | ||
| 354 | |||
| 355 | Dora ch.14 | ||
| 356 | |||
| 357 | NIS2 A: 5, 15 | ||
| 358 | ))) | ||
| 359 | |(% style="width:228px" %)Microsoft Defender XDR|(% style="width:43px" %)SIEM a SOAR riešenie|(% style="width:656px" %)Existujúce riešenie je viazané iba na služby M365 bez dodatočnej možnosti integrácie 3rd party nástrojov pre audit a rozšírenú automatizáciu externých vendorov|(% style="width:274px" %)((( | ||
| 360 | ZoKB 69/2018, § 20 ods. 3 písm, e. | ||
| 361 | |||
| 362 | ZoKB 69/2018, § 20 ods. 3 písm, j. | ||
| 363 | |||
| 364 | NIS2 A: 5, 6 | ||
| 365 | ))) | ||
| 366 | |(% style="width:228px" %)Microsoft Defender for Identity|(% style="width:43px" %) |(% style="width:656px" %)Plne vyhovujúce riešenie|(% style="width:274px" %)((( | ||
| 367 | ZoKB 69/2018, § 20 ods. 3 písm, e. | ||
| 368 | |||
| 369 | Dora ch.4 | ||
| 370 | |||
| 371 | NIS2 A: 5,10 | ||
| 372 | ))) | ||
| 373 | |(% style="width:228px" %)Microsoft Defender for Cloud Apps|(% style="width:43px" %)ZTNA, CASB|(% style="width:656px" %)Existujúce riešenie má viditeľnosť pre SaaS riešenia v rámci M365 integrácie, nerieši externé prostredie Azure, legacy systémy, vládny cloud, integrácie na microservisy z 3tích strán, nemá v bezpečnostné kontroly proti škodlivému kódu (IPS, antimalware, antibot, DNS protection, URL filtering, WAF)|(% style="width:274px" %)((( | ||
| 374 | ZoKB 69/2018, § 20 ods. 3 písm, f. | ||
| 375 | |||
| 376 | ZoKB 69/2018, § 20 ods. 3 písm, e. | ||
| 377 | |||
| 378 | Dora ch.13, 14, 15, 17 | ||
| 379 | |||
| 380 | NIS2 A: 5,10, 15 | ||
| 381 | ))) | ||
| 382 | |(% style="width:228px" %)Microsoft Defender for Office 365|(% style="width:43px" %)DLP|(% style="width:656px" %)Dostatočná ochrana pre Email, MS-Teams, Sharepoint. s absenciou DLP zabraňujúcemu úniku dát za pomoci sofistikovanejších metód. |(% style="width:274px" %)((( | ||
| 383 | ZoKB 69/2018, § 20 ods. 3 písm, e. | ||
| 384 | |||
| 385 | Dora ch.13 | ||
| 386 | |||
| 387 | NIS 2 A: 5, 9 | ||
| 388 | ))) | ||
| 389 | |(% style="width:228px" %)Information Protection and Governance|(% style="width:43px" %)HSM, KMS|(% style="width:656px" %)Ochrana je výhradne v rámci M365 prostredia, bez dodatočnej kryptografie. Pri rozšírení služieb o Azure Vault nie je zabezpečená dátová suverenita, pretože kľúče aj dáta sú spravované jedným subjektom.|(% style="width:274px" %)((( | ||
| 390 | ZoKB 69/2018, § 20 ods. 3 písm, i. | ||
| 391 | |||
| 392 | ZoKB 69/2018, § 20 ods. 3 písm, l. | ||
| 393 | |||
| 394 | Dora ch.11, 15, 16, 19 | ||
| 395 | |||
| 396 | NIS 2 A 5, 10 | ||
| 397 | ))) | ||
| 398 | |(% style="width:228px" %)Microsoft Purview eDiscovery|(% style="width:43px" %)CASB, DLP|(% style="width:656px" %)Iba čiastočne vyhovujúce riešenie, zamerané výhradne na prostredie M365. Je nutné rozšíriť viditeľnosť a smerovanie dát aj mimo prostredia M365 do externých systémov. PurView eDiscovery je čiastočné riešenie pre komplexnejšie DLP.|(% style="width:274px" %)((( | ||
| 399 | ZoKB 69/2018, § 20 ods. 3 písm, l. | ||
| 400 | |||
| 401 | Dora ch.13, 15 | ||
| 402 | |||
| 403 | NIS2 A: 15 | ||
| 404 | ))) | ||
| 405 | |(% style="width:228px" %)Microsoft Purview Insider Risk Management|(% style="width:43px" %)DLP|(% style="width:656px" %)Nevyhovujúce riešenie, ktoré nepokrýva Android klientov (cca 40% zariadení). Riešenie má výrazné kvalitatívne nedostatky, kde medzi hlavné patrí nefunkčnosť klienta v offline režime (teda nie je to aktívna ochrana na koncových zariadeniach), alebo ignorovanie kompresovaných dát v druhej úrovni. Samotné riešenie neefektívne vyhodnocuje potenciálne hrozby, umožňuje obmedzenie prístupu k dátam iba na úrovni conditional access namiesto napr. podmienej kryptografie|(% style="width:274px" %)((( | ||
| 406 | ZoKB 69/2018, § 20 ods. 3 písm, j. | ||
| 407 | |||
| 408 | ZoKB 69/2018, § 20 ods. 3 písm, l. | ||
| 409 | |||
| 410 | Dora ch.14, 15 | ||
| 411 | |||
| 412 | NIS2 A 5, 9 | ||
| 413 | ))) | ||
| 414 | |(% style="width:228px" %)Endpoint analytics proactive remediation|(% style="width:43px" %) |(% style="width:656px" %)Dostatočné riešenie|(% style="width:274px" %)((( | ||
| 415 | ZoKB 69/2018, § 20 ods. 3 písm, e. | ||
| 416 | |||
| 417 | NIS2 A 5, 9 | ||
| 418 | ))) | ||
| 419 | |(% style="width:228px" %)Windows Autopatch|(% style="width:43px" %) |(% style="width:656px" %)Akceptované riešenie s vážnymi nedostatkami na detekciu a reportovanie existujúcich zraniteľností, obmedzená funkcionalita pre patch management výrobcov tretích strán, obmedzená multiplatformová podpora|(% style="width:274px" %)ZoKB 69/2018, § 20 ods. 3 písm, e. | ||
| 420 | |(% style="width:228px" %)Windows Hello|(% style="width:43px" %) |(% style="width:656px" %)Riešenie dostatočné,nevhodn0 bez PKI z hľadiska implementácie centralizácie správy kľúčov. Samotný Windows Hello for Business je natívne viazaný na FIDO2 alebo PKI, ktorá nie je súčasťou M365 E5. Vystavanie PKI nie je súčasťou tohto projektu, aj keď prostredie je pripravené na 802.1x, ktorú je možné naviazať na Azure CA zaistenú HSM/KMS a distribúciu cez SCEP prostredníctvom Intune. Samotný RADIUS na strane 802.1x overovania je na to prispôsobený v sekcii Port a Network security.|(% style="width:274px" %)((( | ||
| 421 | ZoKB 69/2018, § 20 ods. 3 písm, f. | ||
| 422 | |||
| 423 | Dora ch.12, 13, 16, 17 | ||
| 424 | |||
| 425 | NIS2 A: 5,10 | ||
| 426 | ))) | ||
| 427 | |(% style="width:228px" %)DirectAccess|(% style="width:43px" %)ZTNA|(% style="width:656px" %)Riešenie supluje tradičný VPN koncentrátor bez pridanej hodnoty na čistotu spojenia (NG FW ochrany toku dát) Direct Access nie je použiteľný na prepoj microservisov v rámci SaaS aplikácií.|(% style="width:274px" %)((( | ||
| 428 | ZoKB 69/2018, § 20 ods. 3 písm, f. | ||
| 429 | |||
| 430 | ZoKB 69/2018, § 20 ods. 3 písm, l. | ||
| 431 | |||
| 432 | Dora ch.12, 14, 16, 17 | ||
| 433 | |||
| 434 | NIS2 A: 5,10, 15 | ||
| 435 | ))) | ||
| 436 | |(% style="width:228px" %)Mobile Device Management|(% style="width:43px" %) |(% style="width:656px" %)Nevyhovujúce riešenie, ktoré však dopĺňajú dodatočné produkty v balíku (Intune + Defender)|(% style="width:274px" %)((( | ||
| 437 | ZoKB 69/2018, § 20 ods. 3 písm, e. | ||
| 438 | |||
| 439 | NIS 2 A 5, 9 | ||
| 440 | ))) | ||
| 441 | |(% style="width:228px" %)Microsoft Intune|(% style="width:43px" %) |(% style="width:656px" %)Vyhovujúce riešenie|(% style="width:274px" %)ZoKB 69/2018, § 20 ods. 3 písm, e. | ||
| 442 | |(% style="width:228px" %)Microsoft Pureview Data Loss Prevention (for email and files)|(% style="width:43px" %)DLP|(% style="width:656px" %)Nevyhovujúce riešenie obmedzené iba na únik dát z prostredia M365. Pre DLP je nutné mať všetky vrstvy (SaaS, Cloud, Endpoint, Network) v jednom konsolidovanom prostredí s centrálnou identifikáciou hrozieb.|(% style="width:274px" %)((( | ||
| 443 | ZoKB 69/2018, § 20 ods. 3 písm, l. | ||
| 444 | |||
| 445 | Dora ch.15, 18 | ||
| 446 | |||
| 447 | NIS2 A5, 9 | ||
| 448 | ))) | ||
| 449 | |(% style="width:228px" %)Credential Guard|(% style="width:43px" %) |(% style="width:656px" %)Vyhovujúce riešenie|(% style="width:274px" %) | ||
| 450 | |(% style="width:228px" %)Device Guard|(% style="width:43px" %) |(% style="width:656px" %)Vyhovujúce riešenie|(% style="width:274px" %) | ||
| 451 | |(% style="width:228px" %)Microsoft Security and Compliance Center|(% style="width:43px" %)Exposure and Risk Management|(% style="width:656px" %)Nevyhovujúce riešenie aplikovateľné iba pre M365 platformu a spravované zariadenia. V rámci centralizácie je nutné vykryť všetky legacy systémy v každom prostredí, ako aj 3rd party SaaS aplikácie a ich vzájomné prepojenia. V rámci služby je chýbajúca kontinuálna kontrola na potenciálne exploity pre jednotlivé zariadenia a aplikácie, ako aj centrálny audit využiteľnosti práv a prístupov, kompletne absentujúca je dokumentácia kritickej cesty pre potenciálne zraniteľnosti alebo zneužitia systémov. Z pohľadu nekompletnosti vstupov nie je možné efektívne vypracovávať analýzu funkčného dopadu.|(% style="width:274px" %)((( | ||
| 452 | ZoKB 69/2018, § 20 ods. 3 písm, b. | ||
| 453 | |||
| 454 | ZoKB 69/2018, § 20 ods. 3 písm, d. | ||
| 455 | |||
| 456 | ZoKB 69/2018, § 20 ods. 3 písm, k. | ||
| 457 | |||
| 458 | Dora ch.2, 3, 4, 20 | ||
| 459 | |||
| 460 | NIS2 A: 5,6,15 | ||
| 461 | ))) | ||
| 462 | |(% style="width:228px" %) |(% style="width:43px" %)Threat Intelligence|(% style="width:656px" %)Spravodajské služby pre zisťovanie existujúcich únikov dát, účtov, napodobňovaniu VIP osôb, spoofingu domén, preverovanie externých dodávateľov, Platforma pre správu externých hrozieb, plánovaných útokov a prípadných remediačných služieb pre verejný internet, alebo TakeDown služieb, služby monitorovanie Deep a Dark webu.|(% style="width:274px" %)((( | ||
| 463 | ZoKB 69/2018, § 20 ods. 3 písm, d. | ||
| 464 | |||
| 465 | ZoKB 69/2018, § 20 ods. 3 písm, k. | ||
| 466 | |||
| 467 | Dora ch.5, 6, 10, 20 | ||
| 468 | |||
| 469 | NIS2 A: 5, 15 | ||
| 470 | ))) | ||
| 471 | |(% style="width:228px" %) |(% style="width:43px" %)DAST development|(% style="width:656px" %)Kontinálne vyhodnocovanie a testovanie kódu web aplikácií z pohľadu bezpečnosti a doporučených best practicies na základe minimálne OWASP framework.|(% style="width:274px" %)((( | ||
| 472 | ZoKB 69/2018, § 20 ods. 3 písm, d | ||
| 473 | |||
| 474 | Dora ch.3. | ||
| 475 | |||
| 476 | NIS2 A: 5, 15 | ||
| 477 | ))) | ||
| 478 | |(% style="width:228px" %) |(% style="width:43px" %)IoC management|(% style="width:656px" %)Chýbajúca tvorba vlastných Indicator of Compromise feeds, alebo import existujúcich IoC z overených zdrojov. Preverovanie podozrivých indikátorov na základe existujúcich IoC tretích strán|(% style="width:274px" %)((( | ||
| 479 | ZoKB 69/2018, § 20 ods. 3 písm, d. | ||
| 480 | |||
| 481 | Dora ch. 18 | ||
| 482 | |||
| 483 | NIS2 A: 5, 15 | ||
| 484 | ))) | ||
| 485 | |(% style="width:228px" %) |(% style="width:43px" %)Physical NW security|(% style="width:656px" %)Posilnenie dôveryhodnosti zariadení v rámci Intune + Device certifikáty a aplikovanie 802.1x na úrovni PKI pre pripojenie na WIFI alebo do fyzického portu (samotná CA infraštruktúra nie je predmetom tohto projektu). Aplikovanie centralizovaného mechanizmu pre nastavenie port security na switchoch, ktoré povoľujú komunikáciu pre zariadenie nekompatibilné z 802.1x štandardom, centralizovaný IP address management, ako aj vlastný DNS a DHCP server (nie je implementovaný Microsoft Networking, pretože celá infraštruktúra je cloud native v rámci Microsoft Entra a hybridný setup by bola komplikácia existujúceho stavu)|(% style="width:274px" %)((( | ||
| 486 | ZoKB 69/2018, § 20 ods. 3 písm, f. | ||
| 487 | |||
| 488 | ZoKB 69/2018, § 20 ods. 3 písm, k. | ||
| 489 | |||
| 490 | Dora ch.13, 14 | ||
| 491 | |||
| 492 | NIS2 A: 5, 9, 15 | ||
| 493 | ))) | ||
| 494 | |(% style="width:228px" %) |(% style="width:43px" %)Incident Response|(% style="width:656px" %)V rámci podpory pre všetky služby je zahrnutý „BreakFix“, čiže obnovenie operačnej prevádzky služby. Je nutné mať zakontrahované služby externého doávateľa pre vykonanie nezávislého auditu a riešenie kritických incidentov, ktoré vyplývajú z korelovaných zozbieraných dát (napríklad insider threats, ransomware multivektor attack, spear phishing), ako aj obnova služieb samotného rezortu a poskytovanie hĺbkoých forenzných vyšerovaní pre kritické prípady ohrozenia prevdzky alebo jej výpadku.|(% style="width:274px" %)((( | ||
| 495 | ZoKB 69/2018, § 20 ods. 3 písm, j. | ||
| 496 | |||
| 497 | ZoKB 69/2018, § 20 ods. 3 písm, k. | ||
| 498 | |||
| 499 | Dora ch.10, 20 | ||
| 500 | |||
| 501 | NIS2 A: 5, 6 | ||
| 502 | ))) | ||
| 503 | |||
| 504 | Požadovaný stav: | ||
| 505 | |||
| 506 | * (CASB, ZTNA, DLP, WAF) ochrana prístupov k internetu, ochrana internetových aplikácií, správa prístupov k aplikáciám, sledovanie toku dát a ochrana pred odcudzením na základe kontextu a klasifikácie | ||
| 507 | ** Požadujeme nástroj, ktorý vie dodať aktívny URL filtering pre obmedzenie prístupu k nebezpečným alebo nemorálnym stránkam, phishingovým kampaniam alebo spoofovanému obsahu. | ||
| 508 | ** Súčasťou riešenia musí byť izolácia prehliadača tak, aby nemohlo byť kompromitované zariadenie pri pokuse o návštevu nebezpečných stránok, ak je povolená výnimka (napr. pre potreby threat intelligence) | ||
| 509 | ** riešenie musí pridať vrstvu bezpečnosti na úrovni NG FW (IPS, URLF, Content awareness) pre všetky zariadenia a platformy bez ohľadu na to, či sa nachádzajú na verejnom internete alebo v perimetri siete | ||
| 510 | ** Technológia musí byť integrovateľná na Microsoft Entra pre overovanie identity za účelom ZTNA prístupu k CNAPP. Zo serverovej strany je nutné vyhodnocovať, či sa jedná prístup k firemným prostriedkom zo spravovaného zariadenia alebo generický prístup a na základe toho aplikovať pravidlá prístupu (napr. prístup na OWA je povolený bez možnosti stiahnuť dokumenty, vs prístup k OneDrive a Sharepoint bude zamietnutý) | ||
| 511 | ** Publikované aplikácie musia byť chránené Web Aplikačným firewallom so základnou DDoS ochranou | ||
| 512 | ** Na spravovaných zariadeniach ako aj na sieťovej úrovni musia byť aplikovateľné DLP nastavenia pre kontrolu a obmedzenie prístupu k dokumentom podľa klasifikácie. | ||
| 513 | * (HSM, KMS, HYOK) nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dátam | ||
| 514 | ** je požadované zabezpečenie dátovej suverenity prostredníctvom on-prem HSM modulu, ktorý s nadstavbou pre KMS je schopný v Azure prostredí zabezpečiť BYOK do Azure Vault, pripadne HYOK v prostredí Azure blob encryption alebo M365 prostredníctvom Doble Key Encryption | ||
| 515 | ** Key Management systém musí umožňovať centralizovanú správu kľúčov pre Legacy aplikácie, Transprent Encryption na úrovni filesystému s možnosťou Ransomware protection na základe identity užívateľa alebo servisu a procesu. | ||
| 516 | ** Je nutná integrácia KMS servera na základe identity do SQL systémov ako aj CNAPP databáz a aplikácií pre kryptovanie štruktúrovaných dát | ||
| 517 | ** KMS systém musí zabezpečovať tokenizáciu údajov minimálne prostredníctvom REAST API, vítaná je podpora C, .NET, Java SDK | ||
| 518 | ** KMS server musí vedieť spravovať kľúče primárne pre Azure, sekundárne aj pre ďalšie nadnárodné cloud prostredia (AWS, GoogleCloud, ...) pre využitie multicloud prostredia do budúcna. Požadovaná je funkcionalita poskytovania kľúčov aj do vládneho cloud prostredia | ||
| 519 | ** Nuntý je integrovaný systém v KMS pre rotáciou a versioning kľúčov, pričom dáta musia byť rešifrované bez obmedzenia dostupnosti, nikdy sa nemôžu nachádzať v systéme v nezakryptovanom stave. | ||
| 520 | * (SIEM, XDR) nástroj pre centrálnu evidenciu logov z informačných systémov a následné vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktivít | ||
| 521 | ** Nástroj pre centrálnu archiváciu logov z IT systémov, ktorý logy normalizuje pre účely efektívneho vyhľadávania a dodatočnej korelácie údajov | ||
| 522 | ** Pravidlá pre detekciu korelačných pravidiel podľa MITRE ATTACK vektorov musí byť aktualizované pravidelne výrobcom s možnosťou doplnenia vlastných pravidiel a detekčných metód, a to aj na základe deviácie metrík. | ||
| 523 | ** Integrácia s M365 auditnými logmi, Azure logmi | ||
| 524 | ** Súčasťou produktu musí byť nástroj pre inšpekciu NW traffic | ||
| 525 | ** Súčasťou produktu musí byť nástroj pre inšpekciu aktivít na serveroch a pracovných staniciach (Linux, Windows) | ||
| 526 | ** Integrácia na 3rd party security vendorov a natívne porozumenie ich logom. | ||
| 527 | ** Súčasťou musí produktu musí byť neobmedzená SOAR platforma s verejným market place pre doplňovanie integrácií na 3ťostranové bezpečnostné produkty | ||
| 528 | ** Samotný nástroj musí umožňovať natívne komplexné DFIR analýzy minimálne za týždeň pred vznikom incidentu. Incidenty musia byt pre identitu alebo zariadenie zobrazene v časovej osi, kde musia byť viditeľné aj prislúchajúce SOAR akcie (remediačné, alebo automatické doplnenie dát) | ||
| 529 | * (Exposure, Risk, Vulnerability, CIAM) nástroj pre posudzovanie a kategorizáciu potenciálnych rizík, vrátane správy zraniteľností, aplikačného testovania, a korektnej konfigurácie cloud prostredí a prístupov. | ||
| 530 | ** Nástroj pre správu zraniteľností s detailnou možnosťou reportovania trendov a nájdených detailov. Nástroj musí mať agenta pre efektívny sken, musí vykonávať bez sken bez agenta, musí umožniť kaskádovanie skenovacieho engine do jednotlivých prostredí alebo segmentov siete | ||
| 531 | ** Nástroj zabezpečuje compliance management s preddefinovanými politikami minimálne podľa všeobecných CIS noriem | ||
| 532 | ** Nástroj pre kontrolu bezpečnosti kódu a pravidelného DAST testovania s integrovaným portálom pre evidenciu zistení a ich následné odstraňovanie | ||
| 533 | ** Nástroj pre detekciu exponovaných služieb do rôznych segmentov siete / internetu a ich zabezpečenia | ||
| 534 | ** Nástroj pre evidenciu a vyhodnocovanie Posture management minimálne pre Azure cloud aplikácie ako aj samotnú Azure infraštruktúru. Nástroj v prípade identifikovania hrozieb musí robiť kategorizáciu hrozieb ako aj musí byť schopný vykresliť prípadnú attack path | ||
| 535 | ** Nástroj pre CIAM evidenciu prav, prístupov a ich auditovanie s aktívnym upozorňovaním na nepoužívané účty, prípadne účty zo zmenou príznakov v čase (v náväznosti na atribúty Microsoft Entra účtov). | ||
| 536 | ** Posture management a CIAM nástroj musí byť univerzálny s rovnakým názvoslovým pre využitie minimálne v AWS a Google Cloud | ||
| 537 | * (Threat Intell, IoC, Supply Chain) Nástroj na preverovanie bezpečnosti dodávateľského reťazca, integráciu známych bezpečnostných hrozieb a charakteristík do interných bezpečnostných nástrojov, zisťovanie a odhaľovanie potenciálnych plánovaných útokov, zisťovanie a dokazovanie zneužitia mena a prípadných únikov dát | ||
| 538 | ** V náväznosti na identifikáciu rizík požadujeme nasadenie nástroja s prístupom k nezávislým 3ťostranovým IoC a ich prevzatie do interných bezpečnostných technológií | ||
| 539 | ** Nástroj musí mať integrovaný portál pre evidenciu externých rizík a ich vyšetrovanie | ||
| 540 | ** Nástroj musí prehľadávať deep web a dark web na prítomnosť citlivých informácií na základe kľúčových slov | ||
| 541 | ** Nástroj musí generovať reporty pre ohodnocovanie rizík 3tej strany (jednorázové a pravidelné preverovanie externých dodávateľov) | ||
| 542 | ** Nástroj musí identifikovať pokusy o zneužitie značky, VIP osôb alebo interných aplikácií a web portálov | ||
| 543 | * (IPAM, 802.1x) zabezpečenie základných NW služieb heterogénnom prostredí pre DNS, DHCP, IPAM, 802.1X, physical port security | ||
| 544 | ** všetky komponenty v clustrovom prevedení pre vysokú dostupnosť. s exportom logov do centrálneho SIEM | ||
| 545 | ** manažment cez web rozhranie pre všetky komponenty, vrátane reportingu a monitoringu | ||
| 546 | ** DNS server, DHCP server s rozšírenými rezerváciami a auditným logovaním | ||
| 547 | ** IPAM | ||
| 548 | ** 802.1x (RADIUS server vrátane suplikanta) pre iOS, Android, MacOS, Linux, Windows | ||
| 549 | ** Switch management s definiciou port rules, port protection, MAC restriction, Spanning tree definition, monitoring compliance nastavení pre jednotlivé porty, | ||
| 550 | ** Network Access Control na úrovni automatizácie zapínania portov | ||
| 551 | * incident response, remediation a audit služba | ||
| 552 | ** služba nezávislého dodávateľa pre audit prostredia, procesov | ||
| 553 | ** identifikácia komplexného vektora útoku | ||
| 554 | ** núdzová náprava škôd a zaistenia obnovy prevádzky | ||
| 555 | ** Red teaming a preverovanie pripravenosti na útoky a schopnosť interne odhaliť prebiehajúci útok | ||
| 556 | ** Kontrola a odporúčanie pre plány kritických situácii pre zastavenie prebiehajúcich útokov, zvrátenia útokov, minimalizovanie škôd | ||
| 557 | ** Identifikácia insider threads z logov | ||
| 558 | * Zabezpečenie rozšírenia výpočtového výkonu hypervisorovej farmy pre potreby nasadzovaných security technológii | ||
| 559 | ** rozšírenie VMware clustra o kompatibilný node tak, aby bol umožnený presun virtuálnych serverov medzi jednotlivými módmi bez výpadku (vMotion na základe CPU compatibility) | ||
| 560 | * Bezpečnostný projekt ISVS, podľa prílohy č. 3 vyhlášky UPVII č. 179/2020 Z. z. pre zmapovanie prostredia, zavedenie procesov a politík | ||
| 561 | ** Školiace materiály pre MKB a technikov, | ||
| 562 | ** riadenie kontinuity (BCP, BIA, DRP), | ||
| 563 | ** management zraniteľností a incident management a pridružené procesy podľa ITIL/ITSM, | ||
| 564 | ** klasifikácia informácií, | ||
| 565 | ** bezpečnosť koncových prvkov, | ||
| 566 | ** služby bezpečnostného architekta počas implementácie projektu | ||
| 567 | |||
| 568 | = {{id name="_Toc15428568"/}}{{id name="_Toc15427674"/}}{{id name="_Toc15426952"/}}{{id name="_Toc14573076"/}}{{id name="_Toc153139713"/}}5.Závislosti na ostatné ISVS / projekty = | ||
| 569 | |||
| 570 | Predkladaný projekt nie je závislý na iných pripravovaných resp. prebiehajúcich projektoch. | ||
| 571 | |||
| 572 | {{id name="_Toc15428566"/}}{{id name="_Toc15427672"/}}{{id name="_Toc15426950"/}}{{id name="_Toc740800352"/}}{{id name="_Toc153139714"/}}(% style="color:inherit; font-family:inherit; font-size:max(23px, min(29px, 12.3333px + 1.38889vw))" %)6.Zdrojové kódy | ||
| 573 | |||
| 574 | Projektom bude zvýšená úroveň kybernetickej a informačnej bezpečnosti, ktorý pozostáva z nákupu krabicových balíkov, ktoré budú dodávateľom nasadené do prevádzky. Vzhľadom na to, že predmetom nie je vývoj na mieru informačného systému je táto kapitola irelevantná. | ||
| 575 | |||
| 576 | {{id name="_Toc1202332381"/}}{{id name="_Toc153139715"/}}(% style="color:inherit; font-family:inherit; font-size:max(23px, min(29px, 12.3333px + 1.38889vw))" %)7.Prevádzka a údržba | ||
| 577 | |||
| 578 | Prevádzka a údržba navrhnutého riešenia projektu bude zabezpečená internými personálnymi kapacitami na úrovni podpory L1. L2 podporu zabezpečí dodávateľ v požadovanej dostupnosti. L3 podpora musí byť garantovaná výrobcom danej technológie počas celej doby trvania kontraktu. Predpoklad riešenia problémov a požiadaviek bude od nahlásenia problému alebo požiadavky prostredníctvom helpdesku (e-mailom, telefonicky, formulárom), identifikácia a preverenie problému/požiadavky, vykonanie opravy/podpory. Od dodávateľa sú očakávané pravidelné reporty na mesačnej úrovni a informovanosť o potenciálnych hrozbách s dostupnosťou 7x24 bez zdržania. | ||
| 579 | |||
| 580 | MCRaS má obsadenú pozíciu Manažéra kybernetickej a informačnej bezpečnosti a disponuje dostatočným počtom zamestnancov pre zabezpečenie L1 operačnej podpory počas pracovného dňa a kapacitou absorbovať nové bezpečnostné technológie pre zabezpečenie operačnej prevádzky a zmien na systémoch alebo bezpečnostných politikách. | ||
| 581 | |||
| 582 | == {{id name="_Toc1213604723"/}}{{id name="_Toc153139716"/}}7.1Prevádzkové požiadavky == | ||
| 583 | |||
| 584 | Prevádzkové požiadavky budú zabezpečené na úrovni podpory L1 interne, L2 a L3 externe. Všetky požiadavky budú evidované v centrálnom systéme pre incident a change management (ďalej iba Service Desk) | ||
| 585 | |||
| 586 | === {{id name="_Toc720375508"/}}{{id name="_Toc153139717"/}}7.1.1Úrovne podpory používateľov === | ||
| 587 | |||
| 588 | Service Desk bude realizovaný cez 3 úrovne podpory s nasledujúcim označením: | ||
| 589 | |||
| 590 | * L1 podpora - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď. Pod L1 podporu spadá prispôsobovanie bezpečnostných pravidiel aktuálnym požiadavkám ako aj reakcia na bezpečnostné incidenty podľa spísaných procesov a smerníc. | ||
| 591 | * L2 podpora - riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3. L2 podpora je zodpovedná aj za plánovanú periodickú údržbu a aktualizáciu systémov. | ||
| 592 | * L3 podpora - Podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najobťažnejších hlásení, vrátane prevádzania hĺbkových analýz a riešenie extrémnych prípadov, ktorú bude zabezpečovať výrobca implementovaných nástrojov. | ||
| 593 | |||
| 594 | === 7.1.2Riešenie incidentov – SLA parametre === | ||
| 595 | |||
| 596 | Z pohľadu incidentov rozlišujeme: | ||
| 597 | |||
| 598 | * incidenty na bezpečnostných technológiách samotných. V zásade platí, že výpadok bezpečnostných technológií by nemal ovplyvniť bežnú prevádzku. Pokiaľ hrozí riziko ovplyvnenia prevádzky, je nutné mať všetky aktívne komponenty riešenia v móde vysokej dostupnosti. | ||
| 599 | |||
| 600 | Požadované parametre sú reakcie do 15 minút od nahlásenia incidentu alebo prvej evidencie incidentu v klasifikácii kritického incidentu pre úroveň L2. Za kritický incident sa považuje výpadok alebo obmedzenie prevádzky pre všetkých užívateľov. V prípade nižšej priority a klasifikácie incidentu je požadovaná reakčná doba do 4och hodín. Incident môže vzniknúť nahlásením na Service Desk užívateľom alebo prostredníctvom automatického monitoringu dostupnosti komponentov (napr. SNMP trapy) | ||
| 601 | |||
| 602 | |||
| 603 | * incidenty zachytené a vyhodnotené bezpečnostnými nástrojmi (bezpečnostné incidenty) | ||
| 604 | |||
| 605 | Bezpečnostné incidenty spadajú do kompetencie internej L1 podpory. Pri potrebnej eskalácii na L2 podporu je potrebné mať pohotovostný kontakt (SPOC), na ktorý bude každý incident nahlasovaný telefonicky a musí prebehnúť jeho aktívne prevzatie do riešenia s jasne definovanou prioritou a klasifikáciou problému. | ||
| 606 | |||
| 607 | == {{id name="_Toc1544169800"/}}{{id name="_Toc153139718"/}}{{id name="_Toc34423613"/}}{{id name="_Toc527558121"/}}7.2Požadovaná dostupnosť IS: == | ||
| 608 | |||
| 609 | V rámci navrhovaného projektu sa nepredpokladá zmena súčasných výkonnostných požiadaviek a požiadaviek na dostupnosť, zálohovanie a obnovu prevádzkovaných ISVS v správe MCRaŠ SR. | ||
| 610 | |||
| 611 | === {{id name="_Toc992446895"/}}{{id name="_Toc153139719"/}}{{id name="_Toc34423614"/}}7.2.1Dostupnosť (Availability) === | ||
| 612 | |||
| 613 | V rámci navrhovaného projektu sa nepredpokladá zmena súčasných výkonnostných požiadaviek a požiadaviek na dostupnosť, zálohovanie a obnovu prevádzkovaných ISVS v správe MCRaŠ SR. | ||
| 614 | |||
| 615 | === {{id name="_Toc862618350"/}}{{id name="_Toc153139720"/}}{{id name="_Toc34423615"/}}{{id name="_RTO_(Recovery_Time"/}}7.2.2RTO (Recovery Time Objective) === | ||
| 616 | |||
| 617 | V rámci navrhovaného projektu sa nepredpokladá zmena súčasných výkonnostných požiadaviek a požiadaviek na dostupnosť, zálohovanie a obnovu prevádzkovaných ISVS v správe MCRaŠ SR. | ||
| 618 | |||
| 619 | === {{id name="_Toc2066578526"/}}{{id name="_Toc153139721"/}}{{id name="_Toc34423616"/}}{{id name="_RPO_(Recovery_Point"/}}7.2.3RPO (Recovery Point Objective) === | ||
| 620 | |||
| 621 | V rámci navrhovaného projektu sa nepredpokladá zmena súčasných výkonnostných požiadaviek a požiadaviek na dostupnosť, zálohovanie a obnovu prevádzkovaných ISVS v správe MCRaŠ SR. | ||
| 622 | |||
| 623 | = {{id name="_Toc2005115416"/}}{{id name="_Toc153139722"/}}{{id name="_Toc15428571"/}}{{id name="_Toc15427677"/}}{{id name="_Toc15426955"/}}8.Požiadavky na personál = | ||
| 624 | |||
| 625 | MCRaS disponuje potrebným personálom, alebo má vypísané otvorené pozície. | ||
| 626 | |||
| 627 | = {{id name="_Toc603274444"/}}{{id name="_Toc153139723"/}}{{id name="_Toc15428572"/}}{{id name="_Toc15427678"/}}{{id name="_Toc15426956"/}}9.Implementácia a preberanie výstupov projektu = | ||
| 628 | |||
| 629 | Implementácia a preberanie výstupov projektu bude realizované v súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy v zmysle ustanovení podľa § 5 a nasledovných ustanovení. | ||
| 630 | |||
| 631 | = {{id name="_Toc1624651882"/}}{{id name="_Toc153139724"/}}{{id name="_Toc15428575"/}}{{id name="_Toc15427681"/}}{{id name="_Toc15426959"/}}{{id name="_Toc510413663"/}}10.Prílohy = | ||
| 632 | |||
| 633 |