pristup_k_projektu

Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni Východoslovenského ústavu srdcových a cievnych chorôb, a.s. (ďalej ako „VÚSCH“) má za cieľ zvýšiť úroveň informačnej a kybernetickej bezpečnosti v sektore zdravotníckych zariadení.

120

121

Projekt v rámci výzvy poskytuje prostriedky na realizáciu základných stavebných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti. Oblasti bezpečnosti, na ktoré organizácia žiada podporu v rámci tohto projektu (výzvy) predstavujú základný rámec („baseline"), ktorý by mal byť implementovaný. Aktuálny stav implementácie týchto bezpečnostných služieb a funkcií je nízky, preto žiadame o podporu v rámci tohto definovaného rámca. Budúce riešenie základného rámca zabezpečenia informačnej a kybernetickej bezpečnosti na úrovni biznis architektúry by malo pozostávať najmä z nasledovných bezpečnostných riešení:

122

123

* Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia informačnej a kybernetickej bezpečnosti (ďalej len „KIB“).

124

* Analytické aktivity zavedenia bezpečnostných opatrení a riešení.

125

* Implementačné aktivity bezpečnostných riešení.

126

* Pre-financovanie aktivity aktualizácie analýzy rizík a analýzy dopadov po implementácii bezpečnostných opatrení a riešení, tesne pred ukončením projektu.

127

128

Jednotlivé biznis funkcie a bezpečnostné procesy ako aj popis ďalších úrovni architektúry riešenia sú uvedené v nasledujúcich kapitolách.

\\

= {{id name="projekt_2657_Pristup_k_projektu_detailny-3.Architektúrariešeniaprojektu"/}}3. Architektúra riešenia projektu =

Tento projekt predstavuje riešenie základných stavebných blokov bezpečnostnej architektúry a zároveň aj ďalšie bezpečnostné funkcie realizované v organizácii. Organizácia nemá zavedený governance KIB a nemá vypracovanú detailnú analýzu rizík, taktiež sú nedostatočne riešené aj ďalšie oblasti riadenia KIB definované zákonom o KB.

137

138

Z uvedeného dôvodu bude projekt primárne zameraný na implementáciu governance procesov v oblasti riadenia KIB, kde je cieľom vypracovať dokumentáciu a zaviesť príslušné procesy. Zároveň bude VÚSCH žiadať aj o ďalšie oblasti podpory.

139

140

Keďže nejde o implementáciu agendového alebo iného obdobného informačného systému verejnej správy, tak v tomto duchu je upravený aj popis jednotlivých úrovni architektúry. Najmä v prípade poskytnutia podpory pre iné ako governance aktivity, kde sa predpokladá aj implementácia bezpečnostných systémov, zariadení alebo technických riešení, sú rovnako jednotlivé bloky architektúry rozpísané spôsobom zohľadňujúcim uvedené skutočnosti.

\\

Pri biznis architektúre je potrebné si uvedomiť, že projekt, resp. jeho aktivity nerealizujú typické služby eGovernment-u a VS, ale ide o služby na úrovni bezpečnostnej architektúry VS, a ako také a z tohto dôvodu, nie sú vedené ako aplikačné služby v MetaIS.

145

146

Zároveň je potrebné uviesť, že architektúra pre as-is stav nie je uvedená z dôvodu, že aktuálne tieto služby bezpečnostnej architektúry nie sú implementované, prípadne sú implementované len čiastočne na nepostačujúcej úrovni.

147

148

Úrovne architektúry sú ďalej rozpísané podľa jednotlivých aktivít projektu a biznis bezpečnostných funkcií.

149

150

Špecifikácia výstupov jednotlivých aktivít je uvedená v kapitole Požadované výstupy (produkt projektu) v dokumente Projektový zámer.

== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.1Biznisvrstva"/}}3.1 Biznis vrstva ==

Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy:

159

160

* Riadenie aktív a riadenie rizík.

161

** Proces evidencie a správy aktív.

162

** Proces klasifikácie informácií a kategorizácie IS a sietí.

163

** Proces realizácie AR/BIA.

164

** Proces rozhodovania ohľadom riadenia identifikovaných rizík.

165

** Proces stanovenia stratégie obnovy na základe výsledkov AR/BIA (RTO).

166

** Proces definovania plánu zálohovania na základe výsledkov AR/BIA (RPO).

167

* Riadenie prístupov.

168

** Proces MFA k VPN a pre prístup „power users“ k správe IS.

169

* Sieťová a komunikačná bezpečnosť.

170

** Proces „virtuálneho patchovania“ – ochrany kritických prvkov infraštrukltúry („legacy“ systémov).

171

* Zaznamenávanie udalostí a monitorovanie.

172

** Proces bezpečného ukladania a centrálneho zhrávania logov.

173

** Proces bezpečnostného monitoringu koncových staníc.

174

** Proces bezpečnostného monitoringu systémov a dátových úložísk.

175

** Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry.

176

** Proces bezpečnostného monitoringu aktivít používateľov.

177

** Proces bezpečnostného monitoringu aktivít privilegovaných používateľov.

178

** Proces vyhodnocovania udalostí založený na “machine learning” algoritmoch a sledovaní správania sa používateľov (“behavioral analysis”) a identifikácie kybernetických bezpečnostných incidentov.

179

* Riešenie bezpečnostných incidentov.

180

** Proces vyhodnocovania a riešenia bezpečnostných incidentov a podozrivých udalostí aj vo väzbe na SOC.

181

* Identifikácia zraniteľností a bezpečnostné testovanie.

182

** Proces skenovania zraniteľností jednotlivých IS a sieťových zariadení.

183

** Proces zvyšovania kybernetickej odolnosti VÚSCH formou bezpečnostných testovaní (phishing-ových simulácií).

Jednotlivé biznis funkcie bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

188

189

[[image:attach:image-2024-6-4_12-52-23-1.png||height="400"]]

190

191

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}3.1.1 Prehľad koncových služieb – budúci stav: ===

192

193

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.1.2Jazykovápodporaalokalizácia"/}}3.1.2 Jazyková podpora a lokalizácia ===

198

199

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2Aplikačnávrstva"/}}3.2 Aplikačná vrstva ==

204

205

Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:

206

207

* Riadenie aktív a riadenie rizík.

208

** Implementácia nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti.

209

* Riadenie prístupov.

210

** Implementácia MFA – MFA k VPN a pre prístup „power users“ k správe IS.

211

* Sieťová a komunikačná bezpečnosť.

212

** Nasadenie bezpečnostného riešenia ochrany kritickej infraštruktúry („legacy“ systémov) formou „virtual patching“.

213

* Zaznamenávanie udalostí a monitorovanie.

214

** Implementácia SIEM s integrovaným LMS.

215

* Riešenie kybernetických bezpečnostných incidentov.

216

** Využitie SOC ako služby od externého subjektu.

217

* Identifikácia zraniteľností a bezpečnostné testovanie.

218

** Implementácia vulnerability skenera.

219

** Implementácia nástroja na tvorbu a testovanie phishing kampaní.

[[image:attach:image-2024-6-4_12-52-42-1.png||height="400"]]

224

225

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.1Požiadavkynajednotlivékomponenty"/}}3.2.1 Požiadavky na jednotlivé komponenty ===

Požiadavky na jednotlivé aplikačné komponenty pre vyššie uvedené aplikačné služby sú nasledovné:

**__ __**

**__Správa dokumentov__**

234

235

V rámci tejto aplikačnej služby bude na správu bezpečnostnej dokumentácie vytvorenej počas projektu využitý existujúci Dokument manažment systém VÚSCH.

**__Riadenie aktív a rizík__**

240

241

Za účelom identifikácie aktív a ich ďalšej správy, realizáciu klasifikácie a kategorizácie a realizáciu a následne udržiavanie (aktualizácia) analýzy rizík a analýzy dopadov bude nasadená samostatná aplikácia.

242

243

Nástroj bude predstavovať SW riešenie pozostávajúce z funkcionality evidencie a správy informačných aktív organizácie, realizácie klasifikácie informácií a kategorizácie informačných systémov, realizácie analýzy rizík nad identifikovanými aktívami a podpory riadenia identifikovaných rizík.

244

245

Nástroj na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti musí spĺňať najmä nasledovné:

246

247

* Centrálna konzola pre používateľov systému prístupná cez web prehliadače (Chrome, Firefox, Safari alebo Edge).

248

* Centrálna konzola lokalizovaná v Slovenskom jazyku.

249

* Centrálna správa musí byť prevádzkovaná ako SaaS.

250

* Podpora požiadaviek legislatívy SR.

251

* Centrálny dashboard pre rýchle vyhodnotenie aktív (primárne a podporné), rizík podľa kategórie, rizík podľa hrozieb a zraniteľností, aktuálne dosahovaná úroveň súladu s požiadavkami zákona č. 69/2018 Z. z. a vyhlášky č. 362/2018, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

252

* Podpora prihlásenia prostredníctvom multi-faktorovej autentifikácie.

253

* Podpora tvorby klasifikácie informácií a kategorizácie sietí a informačných systémov podľa zákona č. 69/2018 Z. z. a doporučení vyhlášky č. 362/2018, vytváranie registrov aktív, hrozieb.

254

* Parametrizácia systému:

255

** Definovanie metódy na výpočet hodnotenia aktív.

256

** Definovanie metódy na kategorizáciu rizík.

257

** Definovanie bezpečnostnej štruktúry spoločnosti (osoby, organizačné jednotky, role).

258

** Definovanie druhov aktív.

259

** Definovanie typov aktív.

260

** Definovanie vlastných atribútov aktív.

261

** Definovanie stupnice pre hodnotenie dôvernosti, dostupnosti, integrity, dopadov, hrozieb a zraniteľností.

262

** Definovanie bezpečnostných opatrení.

263

** Register dodávateľov.

264

** Definovanie kritérií na hodnotenie dodávateľov.

265

* Register rizík prostredníctvom, ktorého je možné definovať kombinácie hrozba/zraniteľnosť na konkrétne typy aktív.

266

* Evidencia aktív (manuálne alebo prostredníctvom importu z dátového súboru):

267

** Všeobecné (druh, typ, lokalita, garant, administrátor, dodávateľ, prevádzkovateľ, závislosť aktíva na iných aktívach.

268

** Hodnotenie aktíva (dôvernosť, dostupnosť a integrita).

269

** Identifikácia hrozieb/zraniteľnosti manuálne alebo priamo z registra rizík.

270

** Spôsob používania a manipulácie.

271

** Vlastné atribúty.

272

* Mapa aktív pre grafické zobrazenie závislostí medzi jednotlivými aktívami:

273

** Zobrazenie priameho vzťahu aktíva a jeho podriadených a nadriadených aktív.

274

** Komplexné zobrazenie mapy všetkých aktív.

275

** Filtrácia zobrazených aktív (druh alebo kategória aktíva).

276

* Hodnotenie rizík:

277

** Možnosť stiahnuť súbor .pdf s identifikovanými rizikami pre jedno alebo viaceré aktíva.

278

** Hodnotenie dopadu identifikovaných rizík.

279

** Návrh bezpečnostných opatrení pre zníženie rizika na úrovni aktíva.

280

** Výpočet rizika pred a po opatrení bezpečnostného opatrenia.

281

** Rozhodnutie o akceptovaní alebo neakceptovaní rizika.

282

* Hodnotenie opatrení:

283

** Zoznam rizík, ktoré bezpečnostné opatrenie rieši.

284

** Aplikovateľnosť bezpečnostného opatrenia.

285

** Zavedenie bezpečnostného opatrenia a jeho riadenie:

286

*** ľudské a finančné zdroje, časový harmonogram,

287

*** evidencia komunikácie riešiteľského tímu.

288

** Plán zvládania rizík pre riadenie implementácie bezpečnostných opatrení:

289

*** Evidencia požiadaviek na ľudské a finančné zdroje.

290

*** Dátum začatia a ukončenie implementácie.

291

*** Diskusný priestor pre riešiteľský tím.

292

** Hodnotenie dodávateľov:

293

*** Hodnotenie atribútov dodávateľov aktív.

294

*** Mapovanie dodávateľov na konkrétne aktíva.

295

*** Možnosť evidencie podpornej dokumentácie k dodávateľov (zmluvy, SLA,..).

296

** Evidencia plnenia požiadaviek legislatívy:

297

*** ZoKB (zákon č.69/2018 Z. z. a vyhláška č.362/2018 Z. z.).

298

*** ITVS (zákon č.95/2019 Z. z. a vyhláška č. 179/2020 Z. z.).

299

*** Jednotlivé požiadavky môžu byť v stave zavedené, v procese zavádzania, neaplikované alebo nezavedené.

300

*** Ku každej požiadavke je možné pripojiť komentár a záznam zo zoznamu bezpečnostných opatrení.

301

*** Hodnotenie je možné exportovať do súboru .pdf.

302

** Plán kontinuity:

303

*** Všeobecné údaje o pláne kontinuity (názov, popis, dotknuté aktíva).

304

*** Definovanie členov analytického, výkonného a riadiaceho tímu.

305

*** Popis procesu a dokumentácia.

306

*** Export plánu obnovy do súboru.

307

** Auditný log pre zaznamenávanie aktivít v systéme:

308

*** Systém zaznamenáva aktivitu používateľa (pridanie, zmena, vymazanie) pre konkrétne časti systému (aktívum, atribút aktíva, riziko, ..).

309

*** Možnosť pozrieť stav pred vykonanou zmenou a po zmene.

**__Riadenie prístupov – Identifikácia a autentifikácia - Zavedenie MFA (multi-faktorová autentifikácia)__**

316

317

Zavedenie MFA umožní zvýšenie úrovne identifikácie a najmä autentifikácie používateľov, najmä pri vzdialených prístupoch, ale aj zvýšenie úrovne bezpečnosti pri správe IKT z pozície tzv. „power users" a administrátorov systémov.

318

319

Kryptograficky robustná multi-faktorová autentifikácia s ochranou pred phishingom, sociálnym inžinierstvom, brute-force útokom hádania tradičných autentifikačných login mien a hesiel, resp. ochrana pred zneužitím ukradnutých hesiel.

320

321

Adaptívne autentifikačné riešenie škálujúce do dimenzií:

322

323

* S pravidlami a granularitou používateľských rolí a skupín, podľa zodpovedností a povolených prístupov toho, ktorého používateľa.

324

* S možnosťou voľby autentifikačnej metódy pravidlami nastavením adekvátne bezpečným spôsobom – napríklad používateľ autentifikovaný push notifikáciou jednorazového hesla dostáva úplnejší prístup, na rozdiel od používateľa autentifikovaného cez SMS, ktorý dostáva limitovaný prístup.

325

* Determinované aplikáciami – napríklad pre vysoko senzitívne aplikácie a dáta je vyžadovaný vyšší typ autentifikačných metód s vyšším stupňom bezpečnosti – ako sú push notifikácia a WebAuthn a podobné metódy.

326

* Možnosť reštriktívne obmedziť prihlasovanie a autentifikáciu z vopred definovanej povolenej geografickej lokácie a zamedziť prihlasovanie z iných domén a lokácií (iná krajina, iný kontinent, a pod.).

327

* Podmienečné nastavenie úrovne prihlasovania – z dôveryhodnej lokality základný stupeň bezpečnosti a overenie, z iných domén možnosť vyžadovať viac bezpečný stupeň overenia.

328

* Možnosť definovať sieťové rozsahy pre overenie užívateľa – výberom povoleného rozsahu IP adries (možnosť zakázať prípojné body anonymizačnej siete ToR, použitie proxy alebo neznámych VPN skrývajúcich identitu).

329

330

Spôsoby multi-faktorovej autentifikácie musia zahŕňať okrem iného aj tieto metódy:

331

332

Push notifikácia na uzamknutý mobil/tablet/koncové zariadenie. Push notifikácia je silnejší nástroj s menšou zraniteľnosťou ako zasielanie jednorazového hesla formou PIN-u alebo znakového reťazca. Tieto je totiž možné odpozorovať útočníkom a zneužiť neautorizovanou osobou.

333

334

WebAuth metóda – posúva autentifikáciu od potreby vlastniť predmet (a ten môže byť odcudzený za účelom zneužitia) k autentifikácii cez biometrické senzory (unikátne papilárne čiary na prstoch, alebo dúhovka oka a pod.). V koncových zariadeniach bez biometrických senzorov v zabudovanej podobe je možné cez štandardizované rozhranie, napríklad USB doplniť čítačku biometrických parametrov formou tokenu s daným rozhraním a rozpoznávaním biometrických údajov.

335

336

Podpora integrácie s aplikáciami: HOTP, alebo na HMAC - založené jednorazové heslá one-time password (OTP).

337

338

Podpora ZeroTrust a Single-Sign-On (SSO).

\\

**__Sieťová a komunikačná bezpečnosť__**

343

344

Bezpečnostné riešenie ochrany kritických prvkov infraštruktúry. Zavedenie bezpečnostného riešenia pre ochranu kritických infraštruktúrnych prvkov (serverov) voči zraniteľnostiam – implementácia funkcionality „virtual patching“ pre tzv. „legacy“ systémy, na ktoré už nie sú vydávané bezpečnostné záplaty a ochrany voči tzv. „zero-day“ zraniteľnostiam a zaškolenie administrátorov VÚSCH.

345

346

Systému pre zvýšenie kybernetickej odolnosti kľúčovej infraštruktúry VUSCH musí podporovať:

347

348

* Implementovanie centrálnej správy onpremise alebo poskytovaná ako služba formou cloudu výrobcu.

349

* Možnosť inštalácie agenta na nasledujúce operačné systémy:

350

** Windows 2000 a novšie.

351

* Red Hat 5 a novšie.

352

* Ubuntu 10 a novšie.

* CentOS 5 a novšie.

* Debian 6 a novšie.

* Amazon Linux.

* Oracle Linux 5 a novší.

357

* SUSE Linux 10 a novší.

358

* CLoud Linux 5 a novší.

359

* Solaris 10 a novší.

360

* AIX 5.3, 6.1, 7.1 a 7.2.

361

* Funkcionalitu pre detekciu a blokovanie správania sa používateľa/útočníka pre detekciu podozrivých aktivít na koncovom zariadení.

362

* Funkcionalitu web reputácie url pre detekciu a blokovanie komunikácie na potenciálne škodlivú / podozrivú cieľovú adresu

363

* Funkcionalitu aplikačného monitorovania a blokovania spustenia podozrivého softvéru na koncovom zariadení.

364

* Monitorovanie integrity súborov koncového zariadenia prostredníctvom vytvorenia baseline (stav integrity súborov definovanom čase).

365

* Funkcionalitu inšpekcie logov a udalostí (log manažment) na koncovom zariadení.

366

* Natívne typy zdrojov udalostí (windows event log) ako aj vlastné zdroje logov vrátane parsovania zdrojových dát.

367

* Funkcionalitu firewall pre detekciu a blokovanie škodlivej sieťovej komunikácie, pričom podporuje režim odposluchu - sieťová komunikácia nie je rušená, firewall funguje len v režime detekcie/logovania, vhodný na testovanie alebo inline režim - sieťová komunikácia prechádza cez definované pravidlá a na prevádzku sa aplikujú definované akcie na základe zásad a nastavených pravidiel.

368

* Detekciu a blokovanie pokusov o skenovanie siete, alebo portov alebo techník ako TCP SYNFIN,TCP XMAS, TCP null a podobných.

369

* Detekciu a prevenciu prienikov (IDS resp. IPS) pre podozrivú sieťovú komunikáciu.

370

* Automatické skenovanie, ktoré skenuje operačný systém, zisťuje verziu operačného systému, zisťuje nainštalované aktualizácie, zisťuje nainštalované programy a ich verzie a odporúča príslušné pravidlá IPS (tzv. virtuálne záplaty).

371

* Kontrolu sieťovej komunikácie SSL/TLS (nahraním certifikátu so súkromným kľúčom, ktorý sa používa na dešifrovanie obsahu).

372

* Inbound a outbound aplikačné integračné rozhranie API.

373

* Tvorbu vlastných politík pre všetky funkcionality a ich aplikovanie na jednotlivé koncové zariadenia alebo skupiny zariadení.

374

375

Systému musí obsahovať:

376

377

* Funkcionalitu antimalware pre detekciu a blokovanie škodlivého kódu na koncovom zariadení.

378

* Funkcionalitu tzv. virtual patching prostredníctvom IPS pravidiel pre blokovanie zneužitia známych zraniteľností (napr. log4shell, ...).

\\

**__Bezpečnostný monitoring__**

383

384

V rámci bezpečnostného monitoringu ide o dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie systému bezpečnostného monitoringu (SIEM) s integrovaným centrálnym log manažmentom pre účely agentského aj bez-agentského zberu logov zo systémov VÚSCH, sieťových zariadení a koncových staníc a dostatočnú kapacitu pre uloženie všetkých logov min. po dobu 12 mesiacov.

385

386

Implementovaný systém bezpečnostného monitoringu (SIEM) musí poskytovať najmä nasledovnú funkcionalitu:

387

388

* SIEM (Security Information & Event management).

389

* UBA (User Behavior Analytics).

390

* ABA (Attacker Behavior Analytics).

391

* EDR (Endpoint Detection & Response) & FIM (File Integrity Monitoring).

392

* NTA (Network Traffic Analysis).

393

* DT (Deception Technology).

394

395

Požiadavky na SIEM (Security Information & Event management):

396

397

* musí umožňovať zber aplikačných, databázových aj systémových logov zo sieťových aj bezpečnostných zariadení (napr. firewally, sieťové alebo host. IPS/IDS), pracovných staníc, serverov ako aj cloud prostredí (Microsoft Azure, Microsoft 365,..),

398

* musí zbierať, detegovať a vyhodnocovať udalosti ako sú pokusy o neautorizované prístupy, zmeny integrity vybraných častí operačného systému, útoky škodlivého kódu, botov, neoprávnený prístup k aplikáciám, neautorizovanú zmenu konfigurácií, detegovať chybové stavy siete, porušení bezpečnostných politík,

399

* musí zbierať, detegovať a vyhodnocovať udalosti ako sú pokusy o neautorizované prístupy, zmeny integrity vybraných častí operačného systému, útoky škodlivého kódu, botov, neoprávnený prístup k aplikáciám, neautorizovanú zmenu konfigurácií, detegovať chybové stavy siete, porušení bezpečnostných politík,

400

* musí umožňovať uchovávanie pôvodnej informácie zo zdroja logu o časovej značke udalosti,

401

* nesmie umožniť odstránenie alebo modifikovanie uložených logov administrátorovi systému,

402

* musí pre každý log mať unikátny identifikátor, pre jednoznačnú identifikáciu,

403

* podporuje jednoduché vyhľadávanie udalostí a okamžité vytváranie reportov bez nutnosti dodatočného programovania,

404

* musí podporovať pokročilé korelácie (časové, z viacerých zdrojov, atď.),

405

* musí podporovať integráciu s Vulnerability Management systémom pre kontextualizáciu aká zraniteľnosť na konkrétnom koncovom bode existuje,

406

* musí podporovať úpravy alertingu, parsingu bez nevyhnutnosti učiť sa akýkoľvek programovací/skriptovací jazyk (v súlade s požiadavkou na vykonanie týchto zmien vlastnými silami objednávateľa),

407

* musí podporovať detekciu sieťových incidentov na základe korelácie informácií z poskytnutých logov a bude podporovať behaviorálnu analýzu spracovaných udalostí,

408

* musí obsahovať Incident Management konzolu pre správu kybernetických bezpečnostných udalostí a incidentov, pričom v rámci konzoly je k dispozícií časový sled udalostí daného incidentu, možnosť prideľovať riešiteľov, možnosť vyvolať akcie pre zisťovanie ďalších informácií, dopĺňanie logov, vrátane podrobných informácií z koncového bodu,

409

* riešenie bude bez požiadaviek na externý databázový server,

410

* musí podporovať možnosť tvorby vlastných Dashboardov a Vizuálnych Analýz,

411

* všetky úkony užívateľa (aj interného) budú auditované,

412

* musí podporovať pokročilý reporting s možnosťou schedulingu a distribúcie reportu,

413

* musí podporovať zber dát so šifrovaným prenosom (TLS, prípadne šifrovaný obsah správ) na celej trase zdroj /kolektor/ centrálna konzola,

414

* musí podporovať outbound API (príkladom môže byť pripojenie sa na externé zariadenia alebo systémy napr. Azure, AWS, Microsoft 365, ticketing system),

415

* musí podporovať minimálne nasledujúce úrovne užívateľských oprávnení (administrátor, read/write, read/only),

416

* musí podporovať integráciu s Active Directory,

417

* podporuje vlastnú alebo externú integráciu s navrhovaným riešením pre Multifaktorovú autentifikáciu (MFA),

418

* podporuje integráciu na Microsoft Azure a Microsoft 365 pre účely monitoringu aktivít používateľov,

419

* podporuje spracovanie štruktúrovaných aj neštruktúrovaných dát,

420

* podporuje vkladanie a monitorovanie vlastných IoC (indikátorov kompromitácie) vrátane manipulácie cez inbound API,

421

* umožňuje realizáciu tzv. kaskádových dotazov (kaskádové dotazy sú dotazy generované na základe údajoch vrátených z predchádzajúceho dotazu, príkladom by mohlo byť zobrazenie aktív, na ktoré sa vzťahuje alert, s následnou možnosťou rozbalenia na používateľov, ktorých sa táto stránka s výsledkami vyhľadávania týka),

422

* podporuje zber udalostí v prostredí Microsoft:

423

* udalosti z Microsoft prostredí sú získavané pomocou agenta inštalovaného priamo na koncovom Windows systéme. Windows agent musí súčasne podporovať ako monitoring interných windows logov, tak i monitoring textových súborových logov,

424

* agent zaisťuje zber nemodifikovaných udalostí a detailné spracovávanie auditných informácií,

425

* agent zabezpečuje v prípade potreby funkcionalitu kontroly integrity súborov,

426

* agent zabezpečuje v prípade potreby funkcionalitu auditovania prístupov k súborom na zariadení,

427

* filtrácia odosielaných udalostí agentom. Nerelevantné logy sú filtrované na strane windows agenta a nie sú odosielané po sieti,

428

* Windows agent nevyžaduje administrátorské zásahy na koncovom systéme – je centrálne spravovaný a automaticky aktualizovaný priamo z centrálnej správcovskej konzoly systému,

429

* Windows agent má buffer pre prípad straty spojenia medzi koncovým systémom a centrálnym úložiskom logov,

430

* podporuje zber udalostí v prostredí Linux / MacOs:

431

* udalosti z Linux / MacOs prostredí sú získavané pomocou agenta inštalovaného priamo na koncovom Linux / MacOs systéme. Linux / MacOs agent musí súčasne podporovať ako monitoring interných,

432

* agent zaisťuje zber nemodifikovaných udalostí a detailné spracovávanie auditných informácií,

433

* agent podporuje nastavenie filtrácie odosielaných udalostí pomocou centrálnej správcovskej konzoly,

434

* filtrácia odosielaných udalostí agentom. Nerelevantné logy sú filtrované na strane Linux / MacOs agenta a nie sú odosielané po sieti,

435

* Linux / MacOs nevyžaduje administrátorské zásahy na koncovom systéme – je centrálne spravovaný a automaticky aktualizovaný priamo z centrálnej správcovskej konzoly systému,

436

* Linux / MacOs agent má buffer pre prípad straty spojenia medzi koncovým systémom a centrálnym úložiskom logov,

437

* umožňuje generovať alert na základe:

438

* zhoda s vyhľadávaním reťazcom,

439

* definovanej nečinnosti,

440

* definovanej zmeny,

441

* umožňuje nastavenie sieťových zón a sieťových politík podľa ktorých budú generované alerty,

442

* umožňuje nastavenie privilegovaných skupín užívateľov Active Directory podľa ktorých budú generované alerty.

443

444

Požiadavky na UBA (User Behavior Analytics):

445

446

* Podporuje minimálne nasledujúce korelačné pravidlá pre analýzu správania sa užívateľa: Vytvorenie/Zablokovanie/ Resetovanie / Povolenie / Únik účtu.

447

* Podporuje minimálne nasledujúce korelačné pravidlá pre analýzu správania sa užívateľa:

448

* Eskalácia privilégií.

449

* Prijatie podozrivého odkazu v emailovej správe.

450

* Prístup na podozrivý odkaz cez web.

451

* Brute Force útok na heslá – lokálny účet.

452

* Brute Force útok na heslá – doménový účet.

453

* Autentifikácia užívateľa z podozrivej databázy.

454

* Manipulácia s lokálnymi udalosťami (event logs).

455

* Prvé prihlásenie na aktívum.

456

* Prvé prihlásenie z inej krajiny.

457

* Prihlásenie z viacerých krajín súčasne.

458

* Detegovaný hash z podozrivej databáz.

459

* Spustenie procesu z podozrivej databázy.

460

* Impersonizácia administrátora.

461

* Autentifikácia servisným účtom.

462

* Autentifikácia doménovým účtom.

463

* Komunikácia s podozrivou IP.

464

* Spustenie vzdialeného súboru.

465

* Protokol poisoning.

466

* Alert z Microsoft Defender ATP.

467

* Spearphishing URL detegovaná.

468

* Podporuje úpravu špecifických korelačných pravidiel (vytvorenie investigatívy, vytvorenie informácie, ...).

469

* Vytvára rizikový profil užívateľa na základe jeho správania.

470

* Vytvára rizikový profil privilegovaného užívateľa na základe jeho správania.

471

* Podporuje podrobný monitoring definovaných užívateľov.

472

* Podporuje podrobný monitoring aktivít privilegovaného užívateľov v lokálnom aj cloud prostredí.

473

474

Požiadavky na ABA (Attacker Behavior Analytics):

475

476

* podporuje korelačné pravidlá pre analýzu správania sa útočníka ako príklad (Zistenie externej IP pomocou príkazového riadku, Spustenie klúča z registra Windows , Spúšťanie procesov pomocou MMC konzole, Rundl32.exe spúšťa súbor s adresára Program Data, Premenovanie netcat, Windows debug v príkazovom riadku a dalšie,

477

* umožňuje mapovať správanie sa útočníka podľa taktík z metodiky MITRE ATT&CK:

478

* Reconnaissance,

479

* Resource Development,

* Initial Access,

* Execution,

* Persistence,

* Privilege Escalation,

* Defense Evasion,

* Credential Access,

* Discovery,

* Lateral Movement,

* Collection,

* Command And Control,

490

* Exfiltration,

491

* Impact,

492

* podporuje úpravu korelačných pravidiel prostredníctvom výnimiek,

493

* databáza korelačných pravidiel správania sa útočníka je kontinuálne aktualizovaná o nové techniky používane útočníkmi.

494

495

Požiadavky na EDR (Endpoint Detection & Response) & FIM (File Integrity Monitoring):

496

497

* podporuje základnú funkcionalitu odozvy na incident (zrušenie bežiaceho procesu, karanténa aktíva) prostredníctvom Windows/Linux agenta priamo z centrálnej konzole,

498

* podporuje funkcionalitu vyšetrovania incidentu prostredníctvom zberu dôkazov minimálne v rozsahu:

* Arp Cache

* Current Process

* Directory Entry

* Dns Cache

* Installed Service

* Network Connection

* Prefetch Entry

* Registry Key

* Scheduled Task

* User Session

* podporuje funkcionalitu vyšetrovania incidentu prostredníctvom zberu dôkazov preverovaného uživateľa o nasledujúce udalosti:

510

* Account modified

511

* Advanced malware alert

512

* Asset authentication

513

* Cloud service account modified

* DNS query

* Firewall

* IDS

* Ingress authentication

518

* Virus infection

519

* Web proxy

520

* podporuje rozšírenú funkcionalitu odozvy na incident (spustenie automatizačného workflow,..),

521

* podporuje funkcionalitu auditovania integrity súborov pre nasledujúce typy súborov Windows:

* .bat

* .cfg

* .conf

* .config

* .dll

* .exe

* .ini

* .sys

* podporuje funkcionalitu auditovania integrity súborov pre nasledujúce typy súborov Linux:

* /bin

* /boot

* /etc

* /sbin

* /usr/bin

* /usr/local/bin

* /usr/local/sbin

* /usr/sbin

* /usr/share/keyrings

540

* /var/spool/cron

541

542

Požiadavky na NTA (Network Traffic Analysis):

543

544

* podporuje zber nasledujúcich sieťových udalostí:

* IDS udalosti

* DHCP udalosti

* DNS udalosti

* IPv4 Flows

* môže byť nasadené do internej či externej časti siete bez licenčného obmedzenia množstva nasadených zariadení,

550

* poskytuje špecifické korelačné pravidlá pre SIEM súvisiace s analýzou sieťovej prevádzky,

551

* poskytuje špecifické vyhľadávacie vzory (queries) pre SIEM súvisiace s analýzou sieťovej prevádzky,

552

* poskytuje špecifické šablóny pre tvorbu dashboard v SIEM súvisiace s analýzou sieťovej prevádzky,

553

* zariadenie pre monitoring môžeme inštalovať do fyzického, virtualizačného alebo cloud prostredia.

554

555

Požiadavky na DT (Deception Technology):

556

557

* podporuje tvorbu nasledujúcich pascí pre identifikovanie aktivít útočníka:

* HoneyPots

* HoneyFiles

* HoneyUsers

* HoneyCredentials

* poskytuje špecifické korelačné pravidlá pre SIEM súvisiacich s pascami,

563

* umožňuje vyhladávať vzory (queries) pre SIEM súvisiacich s pascami,

564

* pasce môžu byť nasadené do internej časti siete bez licenčného obmedzenia množstva nasadených zariadení.

**__Zavedenie služby SOC as a service__**

569

570

Vybudovanie funkčného a spoľahlivého Security Operation Centra vyžaduje nemalé finančné prostriedky potrebné nielen na nákup technológie samotnej, ale aj na ľudské zdroje. Získať a predovšetkým udržať skúsený personál, schopný efektívne spracovávať veľké množstvo dát a byť schopný intuitívne rozoznať potrebu investigovania kritických situácií, je v dnešnej dobe veľmi zložité.

571

572

Práve s ohľadom na uvedené skutočnosti bude opatrenie Security Operation Center (SOC) zabezpečené formou služby od externého subjektu. Predpokladá sa obstaranie rámcovej zmluvy, ktorá sa bude čerpať podľa potrieb a požiadaviek VÚSCH.

573

574

Fungovanie SOC bude riešené formou „as a service“ a teda externý dodávateľ poskytne skúsený tím odborníkov, SOC procesov, CSIRT procesov a pod. Takýto spôsob realizácie umožní jednak eliminovať mesačné náklady na prevádzku SOC-u a zároveň umožní zabezpečiť efektívny spôsob ochrany kybernetického priestoru. SOC ako služba poskytne najmä efektívny bezpečnostný monitoring výskytu mimoriadnych udalostí a bezpečnostných incidentov a zabezpečenie adekvátnej reakcie na bezpečnostné incidenty. Okrem toho poskytne pokročilé analýzy bezpečnostných incidentov a ich vyšetrovanie, podporu riešenia bezpečnostných incidentov a uvedenia systémov späť do bežnej prevádzky, knowledge base ohľadom jednotlivých incidentov a spôsobov ich riešenia a reporting a štatistiky ohľadom jednotlivých a sumárnych bezpečnostných incidentoch, ich závažnosti a dopadoch.

575

576

Zavedenie SOC as a service – Security Operation Centre ako služby prinesie najmä:

577

578

* nastavenie procesného fungovania SOC a previazanie interných a externých procesov a roly: definícia roly, procesný model, zavedenie do praxe, prispôsobenie interných nástrojov (napr. service desk) a LMS systému, právna podpora, úprava interných smerníc a pod.,

579

* vytvorenie interných KB databáz vrátane iniciálneho naplnenia a školení pre riešenie bezpečnostných incidentov.

\\

**__

__**

**__ __**

**__Vulnerability manažment__**

589

590

Obstaranie nástroja na skenovanie zraniteľností (vulnerability scaner) pre testovanie interných systémov, vrátane pracovných staníc používateľov a rovnako aj IP adries VÚSCH dostupných zo siete internet. Nástroj musí byť podporovaný výrobcom a musí mať prístup k aktuálnym databázam hrozieb a zraniteľností systémov.

591

592

Systém určený na Vulnerability Management musí podporovať:

593

594

* Scanovanie minimálne nasledujúcich zariadení a systémov:

595

** Windows server.

596

** Linux server.

597

** Network switch (ako je: Cisco, MikroTik, Fortigate).

598

** Firewally (ako je: Fortigate, Cisco alebo MikroTik.

599

** SIP/IP telefónia (PBX + terminály).

600

** Web server (IIS, Apache).

601

** Mail server (ako je MS Exchange, Postfix).

602

** Windows/ Linux/ MacOS desktopy a notebooky.

603

** Tlačiarne.

604

* Inštaláciu na Windows alebo Linux operačné systémy.

605

* Hodnotenie CVSS, CVSSv2, CVSSv3 možnosť zneužitia aktív a náchylnosť k súborom škodlivého softvéru.

606

* Hybridné formy nasadenia ako fyzické, virtualizované a cloud prostredie.

607

* Automatické zisťovanie aktív, pričom sa zohľadnia minimálne tieto parametre: adresy IP, adresy MAC a názvu hostiteľa, aby sa zabránilo duplicite.

608

* Centrálnu správu v geograficky rozptýlenom nasadení skenerov.

609

* Možnosť skenovania aktív bez-agentským spôsobom.

610

* Hodnotenie kritickosti aktív definované používateľom, ktoré sa musí zohľadniť v hodnotení rizík.

611

* Prístup založený na rolách s preddefinovanými aj vlastnými rolami.

612

* Automatizáciu pracovných postupov, ako je plánovanie skenovania, upozornenia na udalosti a zraniteľnosti skenovania a generovanie a distribúcia správ.

613

* Neinvazívne aj invazívne kontroly (administrátor môže určiť rušivosť akéhokoľvek skenovania úpravou výkonu skenovania a vykonávaných kontrol pričom administratívne poverenia možno použiť na hĺbkové autentifikované skenovanie, ktoré kontroluje aktíva na širší rozsah zraniteľností alebo porušení bezpečnostných politík).

614

* Možnosť skenovania s aj bez autentizácie.

615

* Podpora opakovaných skenovaní v určitých časových oknách a intervaloch.

616

* Integrácia s virtualizačnými prostrediami.

617

* Integrácia s produktmi na analýzu topológie siete a rizík.

618

* Integrácia s platformami na penetračné testovanie.

619

* Inbound a outbound API.

620

* Natívna integrácia s navrhovaným SIEM riešením.

621

* Schvaľovanie výnimiek spôsobom žiadateľ a schvaľovateľ.

622

* Identifikácia a správa výnimiek zo zraniteľnosti.

623

* Vlastné modely hodnotenia rizík definované používateľom.

624

* Aspoň 2FA autentifikácie používateľov.

625

* Možnosť vytvárania vlastných politík určených pre skenovanie.

626

* Možnosť vytvárania používateľom definovaných zraniteľností a kontrol zraniteľnosti.

627

* Automatické zisťovanie a inventarizácia majetku (pomocou IP adresy, MAC adresy).

628

* Vytváranie používateľom definovaných zraniteľností a kontrol zraniteľnosti.

629

* Pokrytie zraniteľností z NVD, CERT, SANS, Bugtraq a Secunia.

630

* Pri skenovaní cez IPv4 musí zistiť systémy s podporou IPv6 a naopak.

631

* Možnosť tvorby dynamických dashboardov pre potrebu práce so živými dátami.

632

* Distribuované skenery musí spravovať centrálna konzola.

633

* Automatické korelovanie a konsolidovanie jednotlivých zraniteľnosti plánu prostredníctvom nápravného opatrenia.

634

* Vykonávať automatizované testovanie zraniteľnosti zariadení.

635

* Testovanie dynamicky prideľovaných IP adries prostredníctvom služby DHCP a monitorovanie ich histórie a podávanie správ pomocou "DNS name" alebo "Host name“.

636

* Umožniť automatickú aktualizáciu tagov v databáze aktív podľa týchto pravidiel dynamického označovania.

637

* Umožniť automatické aktualizácie všetkých SW komponentov celej architektúry riešenia s najnovšími dostupnými verziami jednotlivých SW komponentov.

638

* Umožniť automatickú centralizáciu všetkých nájdených aktívnych systémov a ich atribútov: verzií operačného systému, verzií aplikácií, otvorených portov TCP a UDP a sieťových protokolov do jednej databázy aktív s možnosťou definovať statické a dynamické hierarchické tagy a podľa týchto tagov vykonávať filtrovanie aktív, testovanie a vykazovanie výsledkov.

639

* Možnosť stanovenia cieľov nápravných opatrení podľa kritérií ako sú:

640

** stanovený termín ukončenia realizácie nápravných opatrení,

641

** odstránenie zraniteľností podľa závažností,

642

** odstránenie konkrétnych zraniteľností,

643

** odstránenie aktív s nepodporovaným operačným systémov.

644

645

Súčasťou aktivity bude aj vykonanie iniciálneho vulnerability testu (scanu) interných systémov, pracovných staníc a sieťovej infraštruktúry a zaškolenie administrátora VÚSCH.

646

647

**__Nástroj na bezpečnostné testovanie__**

648

649

Nástroj na bezpečnostné testovanie musí spĺňať najmenej nasledovné:

650

651

* Platforma musí umožňovať vytváranie phishing-ových kampaní.

652

* Platforma obsahuje predpripravené email šablóny a stránky najčastejšie sa vyskytujúcich podvodov.

653

* Phishing-ová kampaň sa môže realizovať manuálne alebo prostredníctvom plánovača.

654

* Minimálne ukazovatele pre vyhodnocovanie phishing-ových kampaní sú:

655

* Počet odoslaných emailov.

656

* Počet doručených emailov.

657

* Počet otvorených emailov.

658

* Počet kliknutí na odkaz.

659

* Počet kliknutí na prílohu.

660

* Počet odpovedí na email.

661

** Reporting pre vyhodnocovanie úspešnosti phishing-ových kampaní.

662

** Platforma podporuje import používateľov z Active Directory.

663

** Možnosť nastaviť akciu po úspešnom phishingu používateľa (napr. po kliknutí na podozrivú linku sa objaví vysvetlenie čo nesprávne používateľ vykonal).

664

** Možnosť vytvorenia skupín používateľov, ktorí budú účastníkmi phishing-ovej kampane.

665

** Možnosť nastavenia školenia po absolvovaní phishing-ovej kampane.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.2Rozsahinformačnýchsystémov–ASIS"/}}3.2.2 Rozsah informačných systémov – AS IS ===

Implementované bezpečnostné riešenia sa budú dotýkať najmä zvýšenia ochrany a bezpečnosti nasledovných IS:

674

675

(% class="" %)|(((

676

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

691

692

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

(% class="" %)|(((

isvs_14285

)))|(((

Nemocničný informačný systém Promis

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14286

)))|(((

PACS

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14288

)))|(((

Laboratórny informačný systém

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

isvs_14287

)))|(((

Webové sídlo VÚSCH

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Prezentačný

)))|(((

\\

)))

Čiastočne a okrajovo sa implementované bezpečnostné opatrenia a riešenia budú dotýkať aj nasledovných infraštruktúrnych a podporných IS, ktoré ale nie sú ISVS:

(% class="" %)|(((

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

769

770

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

(% class="" %)|(((

\\

)))|(((

Ekonomický informačný systém

)))|(((

☐

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

Dochádzkový informačný systém

)))|(((

☐

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

Mailový server

)))|(((

☐

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

Service desk Alvao

)))|(((

☐

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.3Rozsahinformačnýchsystémov–TOBE"/}}3.2.3 Rozsah informačných systémov – TO BE ===

// //

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.4VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}3.2.4 Využívanie nadrezortných a spoločných ISVS – AS IS ===

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.5PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}3.2.5 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE ===

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.6PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}3.2.6 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.7Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}3.2.7 Aplikačné služby pre realizáciu koncových služieb – TO BE ===

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.8Aplikačnéslužbynaintegráciu–TOBE"/}}3.2.8 Aplikačné služby na integráciu – TO BE ===

868

869

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.9PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}3.2.9 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===

874

875

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.2.10KonzumovanieúdajovzISCSRU–TOBE"/}}3.2.10 Konzumovanie údajov z IS CSRU – TO BE ===

880

881

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3Dátovávrstva"/}}3.3 Dátová vrstva ==

Z pohľadu dátového modelu nejde o typické biznis (agendové) dáta ale o dáta typu:

892

893

* Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. – ako výstupy aktivity projektu určené pre ďalšie riadenie rozvoja KIB,

894

* bezpečnostné konfigurácie a bezpečnostné dáta (napr. logy) – pre fungovanie jednotlivých bezpečnostných komponentov.

895

896

Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. sú určené pre proces riadenia KIB.

897

898

Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie bezpečnostných modulov, t.j. jednotlivé komponenty tohto navrhovaného riešenia a zároveň reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.1Údajevspráveorganizácie"/}}3.3.1 Údaje v správe organizácie ===

903

904

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.2Dátovýrozsahprojektu-Prehľadobjektovevidencie-TOBE"/}}3.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE ===

909

910

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.3Referenčnéúdaje"/}}3.3.3 Referenčné údaje ===

915

916

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.4Kvalitaačistenieúdajov"/}}3.3.4 Kvalita a čistenie údajov ===

921

922

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.5Otvorenéúdaje"/}}3.3.5 Otvorené údaje ===

927

928

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.6Analytickéúdaje"/}}3.3.6 Analytické údaje ===

933

934

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.7Mojeúdaje"/}}3.3.7 Moje údaje ===

939

940

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.3.8Prehľadjednotlivýchkategóriíúdajov"/}}3.3.8 Prehľad jednotlivých kategórií údajov ===

945

946

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.4Technologickávrstva"/}}3.4 Technologická vrstva ==

951

952

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.4.1Prehľadtechnologickéhostavu-ASISaTOBE"/}}3.4.1 Prehľad technologického stavu - AS IS a TO BE ===

V rámci as-is stavu dnes v rámci VÚSCH neexistuje bezpečnostná technológia, ktorá je predmetom tohto projektu.

957

958

Z pohľadu to-be bude finálna technologická vrstva závislá od výsledkov verejného obstarávania a technológie, ktorú ponúkne víťazný uchádzač.

959

960

Niektoré bezpečnostné riešenia totižto poskytujú viacero alternatív a dajú sa implementovať napr. ako virtuálny appliance, ale prípadne aj ako HW appliance alebo ako cloudová služba výrobcu. Predpokladom však je, že väčšina bezpečnostných riešení bude nasadená do virtuálneho prostredia VÚSCH, a niektoré riešenia budú nasadené ako samostatný HW appliance alebo v rámci cloudovej infraštruktúry výrobcu, prípadne budú nasadení rôzni agenti do infraštruktúry VÚSCH.

961

962

Vzhľadom na uvedené skutočnosti predpokladáme „high level“ technologickú architektúru tak, ako je uvedené na nasledujúcom obrázku:

[[image:attach:image-2024-6-4_12-53-14-1.png||height="400"]]

\\

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.4.2Požiadavkynavýkonnostnéparametre,kapacitnépožiadavky–TOBE"/}}3.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE ===

973

974

Predpokladané výkonnostné parametre a kapacitné požiadavky sú, tam kde je to relevantné, uvedené v popise aplikačnej architektúry jednotlivých aplikačných funkcií a aplikačných modulov.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.4.3Návrhriešeniatechnologickejarchitektúry–popísanévyššievrámciASIS-TOBE"/}}3.4.3 Návrh riešenia technologickej architektúry – popísané vyššie v rámci ASIS -TOBE ===

979

980

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

// //

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.4.4Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}3.4.4 Využívanie služieb z katalógu služieb vládneho cloudu ===

985

986

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

987

988

== {{id name="projekt_2657_Pristup_k_projektu_detailny-3.5Bezpečnostnáarchitektúra"/}}3.5 Bezpečnostná architektúra ==

989

990

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia.

= {{id name="projekt_2657_Pristup_k_projektu_detailny-4.ZávislostinaostatnéISVS/projekty"/}}4. Závislosti na ostatné ISVS / projekty =

995

996

Bez závislostí na iné projekty.

**~ **

= {{id name="projekt_2657_Pristup_k_projektu_detailny-5.Zdrojovékódy"/}}5. Zdrojové kódy =

1001

1002

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

1003

1004

Riešenie nepredpokladá vývoj softvéru, ale použitie komerčných bezpečnostných produktov a zariadení.

\\

= {{id name="projekt_2657_Pristup_k_projektu_detailny-6.Prevádzkaaúdržba"/}}6. Prevádzka a údržba =

1009

1010

Aktivita podpora Governance v oblasti KIB si nevyžaduje žiadnu budúcu prevádzku, nakoľko ide len o analytické a konzultačné práce, ktorých výstupy budú použité pre proces riadenia KIB (Governance). Výstupy Governance aktivít samozrejme tiež budú musieť byť udržiavané a rozvíjané, to by však malo byť realizované pomocou interných zamestnancov bez priameho vplyvu na rozpočet.

Pre aktivity napr.:

* nasadenie nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti,

1015

* MFA,

1016

* implementácia SIEM s integrovaným LMS,

1017

* vulnerability skener,

1018

* bezpečnostné testovanie phishing kampaní

1019

1020

sú rámcové požiadavky na prevádzku a údržbu zadefinované nižšie.

1021

1022

== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.1Prevádzkovépožiadavky"/}}6.1 Prevádzkové požiadavky ==

1023

1024

Všetky ďalšie parametre a požiadavky na prevádzku a údržbu sa týkajú už len nasledovných aktivít:

1025

1026

* nasadenie nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti,

1027

* MFA,

1028

* implementácia SIEM s integrovaným LMS.

1029

1030

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.1.1Úrovnepodporypoužívateľov"/}}6.1.1 Úrovne podpory používateľov ===

1031

1032

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

1033

1034

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.1.2Riešenieincidentov–SLAparametre"/}}6.1.2 Riešenie incidentov – SLA parametre ===

Označenie naliehavosti incidentu:

1039

1040

(% class="" %)|(((

1041

Označenie naliehavosti incidentu

)))|(((

Závažnosť incidentu

)))|(((

Popis naliehavosti incidentu

)))

(% class="" %)|(((

A

)))|(((

Kritická

)))|(((

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

)))

(% class="" %)|(((

B

)))|(((

Vysoká

)))|(((

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.

)))

(% class="" %)|(((

C

)))|(((

Stredná

)))|(((

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

)))

(% class="" %)|(((

D

)))|(((

Nízka

)))|(((

Kozmetické a drobné chyby.

)))

// //

možný dopad:

(% class="" %)|(((

Označenie závažnosti incidentu

)))|(((

Dopad

)))|(((

Popis dopadu

)))

(% class="" %)|(((

1

)))|(((

katastrofický

)))|(((

katastrofický dopad, priamy finančný dopad alebo strata dát,

)))

(% class="" %)|(((

2

)))|(((

značný

)))|(((

značný dopad alebo strata dát

)))

(% class="" %)|(((

3

)))|(((

malý

)))|(((

malý dopad alebo strata dát

)))

**// //**

Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

1114

1115

(% class="" %)|(% colspan="2" rowspan="2" %)(((

1116

Matica priority incidentov

1117

)))|(% colspan="3" %)(((

Dopad

)))

(% class="" %)|(((

Katastrofický - 1

)))|(((

Značný - 2

)))|(((

Malý - 3

)))

(% class="" %)|(% rowspan="4" %)(((

**Naliehavosť**

)))|(((

**Kritická - A**

)))|(((

1

)))|(((

2

)))|(((

3

)))

(% class="" %)|(((

**Vysoká - B**

)))|(((

2

)))|(((

3

)))|(((

3

)))

(% class="" %)|(((

**Stredná - C**

)))|(((

2

)))|(((

3

)))|(((

4

)))

(% class="" %)|(((

**Nízka - D**

)))|(((

3

)))|(((

4

)))|(((

4

)))

**// //**

Vyžadované reakčné doby:

1169

1170

(% class="" %)|(((

1171

Označenie priority incidentu

1172

)))|(((

1173

Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu

1174

)))|(((

1175

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^

)))|(((

Spoľahlivosť ^^(3)^^

(počet incidentov za mesiac)

)))

(% class="" %)|(((

1

)))|(((

0,5 hod.

)))|(((

4 hodín

)))|(((

1

)))

(% class="" %)|(((

2

)))|(((

1 hod.

)))|(((

12 hodín

)))|(((

2

)))

(% class="" %)|(((

3

)))|(((

1 hod.

)))|(((

24 hodín

)))|(((

10

)))

(% class="" %)|(((

4

)))|(((

1 hod.

)))|(% colspan="2" %)(((

1213

Vyriešené a nasadené v rámci plánovaných releasov

)))

// //

== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.2PožadovanádostupnosťIS:"/}}6.2 Požadovaná dostupnosť IS: ==

**// //**

(% class="" %)|(((

Popis

)))|(((

Parameter

)))|(((

Poznámka

)))

(% class="" %)|(((

**Prevádzkové hodiny**

)))|(((

12 hodín

)))|(((

od 6:00 hod. - do 18:00 hod. počas pracovných dní

1235

)))

1236

(% class="" %)|(% rowspan="2" %)(((

**Servisné okno**

)))|(((

10 hodín

)))|(((

od 19:00 hod. - do 5:00 hod. počas pracovných dní

)))

(% class="" %)|(((

24 hodín

)))|(((

od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov

1247

1248

Servis a údržba sa bude realizovať mimo pracovného času.

1249

)))

1250

(% class="" %)|(((

1251

**Dostupnosť produkčného prostredia IS**

)))|(((

98,5%

)))|(((

98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod.

1256

1257

Maximálny mesačný výpadok je 5,5 hodiny.

1258

1259

Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

1260

1261

Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L3 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

1262

1263

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

)))

// //

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.2.1Dostupnosť(Availability)"/}}6.2.1 Dostupnosť (Availability) ===

Požadovaná dostupnosť pre nasledovné aktivity projektu:

1273

1274

* nasadenie nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti,

1275

* nasadenie nástroja na skenovanie zraniteľností,

1276

* nasadenie nástroja pre bezpečnostné testovanie phishing kampaní

je:

* **98,5% dostupnosť** znamená výpadok 8,25 dňa.

Požadovaná dostupnosť pre aktivity projektu:

1285

1286

* MFA,

1287

* implementácia SIEM s integrovaným LMS,

je:

* **99,9% ("tri deviatky") dostupnosť** znamená výpadok 8,76 hodín.

Za týmto účelom bude aj s dodávateľom služby SOC as a service uzatvorená rovnaká dohoda o úrovni poskytovaných služieb (SLA), ktorá bude požadovať uvedenú dostupnosť poskytovanej služby.

=== {{id name="projekt_2657_Pristup_k_projektu_detailny-6.2.2RTO(RecoveryTimeObjective)"/}}6.2.2 RTO (Recovery Time Objective) ===

Zavedenie aktivít:

* nasadenie nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti,

1304