projekt_2791_Pristup_k_projektu_detailny

Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – Mestská časť Ružinov má za cieľ zvýšiť úroveň informačnej a kybernetickej bezpečnosti v sektore verejnej správy.

115

116

Projekt v rámci výzvy poskytuje prostriedky na realizáciu základných stavebných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti. Oblasti bezpečnosti, na ktoré organizácia žiada podporu v rámci tohto projektu (výzvy) predstavujú základný rámec („baseline"), ktorý by mal byť implementovaný. Aktuálny stav implementácie týchto bezpečnostných služieb a funkcií je nízky, preto žiadame o podporu v rámci tohto definovaného rámca. Budúce riešenie základného rámca zabezpečenia informačnej a kybernetickej bezpečnosti na úrovni biznis architektúry by malo pozostávať najmä z nasledovných bezpečnostných riešení:

117

118

* Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia informačnej a kybernetickej bezpečnosti (ďalej len „KIB“).

119

* Analytické aktivity zavedenia bezpečnostných opatrení a riešení.

120

* Implementačné aktivity bezpečnostných riešení.

121

* Pre-financovanie aktivít riadenia súladu, najmä ohľadom auditu kybernetickej bezpečnosti a aktualizácie analýzy rizík a analýzy dopadov po implementácii bezpečnostných opatrení a riešení, tesne pred ukončením projektu.

122

123

Jednotlivé biznis funkcie a bezpečnostné procesy ako aj popis ďalších úrovni architektúry riešenia sú uvedené v nasledujúcich kapitolách.

124

125

126

= {{id name="projekt_2791_Pristup_k_projektu_detailny-3.Architektúrariešeniaprojektu"/}}3. Architektúra riešenia projektu =

127

128

129

Tento projekt predstavuje riešenie základných stavebných blokov bezpečnostnej architektúry a zároveň aj ďalšie bezpečnostné funkcie realizované v organizácii. Organizácia nemá zavedený governance KIB a nemá vypracovanú analýzu rizík, taktiež sú nedostatočne riešené aj ďalšie oblasti riadenia KIB definované zákonom o KB.

130

131

Z uvedeného dôvodu bude projekt primárne zameraný na implementáciu governance procesov v oblasti riadenia KIB, kde je cieľom vypracovať dokumentáciu a zaviesť príslušné procesy. Zároveň bude Mestská časť Bratislava – Ružinov (ďalej len „Mestská časť Ružinov“) žiadať aj o ďalšie oblasti podpory.

132

133

Keďže nejde o implementáciu agendového alebo iného obdobného informačného systému verejnej správy, tak v tomto duchu je upravený aj popis jednotlivých úrovni architektúry. Najmä v prípade poskytnutia podpory pre iné ako governance aktivity, kde sa predpokladá aj implementácia bezpečnostných systémov, zariadení alebo technických riešení, sú rovnako jednotlivé bloky architektúry rozpísané spôsobom zohľadňujúcim uvedené skutočnosti.

134

135

136

Pri biznis architektúre je potrebné si uvedomiť, že projekt, resp. jeho aktivity nerealizujú typické služby eGovernment-u a VS, ale ide o služby na úrovni bezpečnostnej architektúry VS, a ako také a z tohto dôvodu, nie sú vedené ako aplikačné služby v MetaIS.

137

138

Zároveň je potrebné uviesť, že architektúra pre as-is stav nie je uvedená z dôvodu, že aktuálne tieto služby bezpečnostnej architektúry nie sú implementované, prípadne sú implementované len čiastočne na nepostačujúcej úrovni.

139

140

Úrovne architektúry sú ďalej rozpísané podľa jednotlivých aktivít projektu a biznis bezpečnostných funkcií.

141

142

Špecifikácia výstupov jednotlivých aktivít je uvedená v kapitole Požadované výstupy (produkt projektu) v dokumente Projektový zámer.

143

144

145

== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.1Biznisvrstva"/}}3.1 Biznis vrstva ==

146

147

148

Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy:

149

150

* Riadenie aktív a riadenie rizík.

151

** Proces evidencie a správy aktív.

152

** Proces klasifikácie informácií a kategorizácie IS a sietí.

153

** Proces realizácie AR/BIA.

154

** Proces rozhodovania ohľadom riadenia identifikovaných rizík.

155

* Riadenie prístupov.

156

** Proces vzdialeného bezpečného prístupu a viac-faktorovej autentifikácie pri vzdialenom prístupe.

157

** Proces viac-faktorovej autentifikácie pri prístupe administrátorov k IS a zariadeniam.

158

** Proces autentifikácie a prístupu k sieti len autorizovaných zariadení.

159

* Ochrana proti škodlivému kódu.

160

** Proces identifikácie a ochrany koncových staníc a systémov pred škodlivým kódom (ochrana pred malware a ransomware).

161

* Sieťová a komunikačná bezpečnosť.

162

** Proces ochrany a riadenia prístupov z vonkajšieho prostredia do siete Mestskej časti Ružinov a opačne.

163

** Proces riadenia prichádzajúcej a odchádzajúcej komunikácie.

164

** Proces segmentácie jednotlivých sietí a systémov.

165

* Zaznamenávanie udalostí a monitorovanie.

166

** Proces zberu, ukladania a riadenia logov.

167

** Proces bezpečnostného monitoringu koncových staníc.

168

** Proces bezpečnostného monitoringu systémov a dátových úložísk.

169

** Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry.

170

** Proces bezpečnostného monitoringu aktivít používateľov.

171

** Proces bezpečnostného monitoringu aktivít privilegovaných používateľov.

172

** Proces vyhodnocovania udalostí založený na “machine learning” algoritmoch a sledovaní správania sa používateľov (“behavioral analysis”).Riešenie kybernetických bezpečnostných incidentov.

173

** Proces identifikácie, vyhodnocovania a riešenia bezpečnostných incidentov a podozrivých udalostí.

174

* Riadenie kontinuity činností.

175

** Proces zálohovania.

176

** Proces ochrany a redundancie záloh.

Okrem uvedených biznis funkcií je projekt zameraný aj na podporu pre oblasti:

181

182

* governance KIB a bezpečnostná dokumentácia,

183

* zavedenie procesov riadenia KIB pre všetky relevantné oblasti riadenia,

184

* audit, riadenie súladu a kontrolných činností - proces posudzovania súladu formou realizácie auditu KIB.

Jednotlivé biznis funkcie bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

193

194

[[image:attach:image-2024-7-1_16-40-59-1.png||height="400"]]

195

196

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}3.1.1 Prehľad koncových služieb – budúci stav: ===

197

198

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

199

200

201

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.1.2Jazykovápodporaalokalizácia"/}}3.1.2 Jazyková podpora a lokalizácia ===

202

203

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

204

205

206

== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.2Aplikačnávrstva"/}}3.2 Aplikačná vrstva ==

207

208

Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:

209

210

211

[[image:attach:image-2024-7-1_16-41-57-1.png||height="400"]]

212

213

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.2.1Požiadavkynajednotlivékomponenty"/}}3.2.1 Požiadavky na jednotlivé komponenty ===

214

215

216

Požiadavky na jednotlivé aplikačné komponenty pre vyššie uvedené aplikačné služby sú nasledovné:

**__ __**

**__Správa dokumentov__**

221

222

V rámci tejto aplikačnej služby bude na správu bezpečnostnej dokumentácie vytvorenej počas projektu využitý existujúci Dokument manažment systém Mestská časť Ružinov.

223

224

225

**__Riadenie aktív a rizík__**

226

227

Za účelom identifikácie aktív a ich ďalšej správy, realizáciu klasifikácie a kategorizácie a realizáciu a následne udržiavanie (aktualizácia) analýzy rizík a analýzy dopadov bude nasadená samostatná aplikácia.

228

229

Nástroj bude predstavovať SW riešenie pozostávajúce z funkcionality:

230

231

* evidencie a správy informačných aktív organizácie,

232

* realizácie klasifikácie informácií a kategorizácie informačných systémov,

233

* realizácie analýzy rizík nad identifikovanými aktívami a podpory riadenia identifikovaných rizík,

234

* priraďovania implementovaných a plánovaných bezpečnostných opatrení k jednotlivým identifikovaným rizikám.

235

236

Výsledkom bude najmä katalóg rizík s uvedením hodnoty inherentného, ale najmä reziduálneho rizika a návrh akčného plánu plánovaných bezpečnostných opatrení.

237

238

Súčasťou aktivity je samozrejme aj prvotná identifikácia a evidencia všetkých informačných aktív Mestská časť Ružinov, vykonanie klasifikácie informácií a následne kategorizácie IS a sietí podľa požiadaviek aktuálnej legislatívy a zrealizovanie analýzy rizík a analýzy dopadov nad identifikovanými informačnými aktívami v súlade s metodikou AR/BIA. Predmetom dodávky bude aj vytvorenie katalógu rizík a podpora pri procese jeho formálneho schvaľovania vedením Mestskej časti Ružinov.

239

240

241

**__Riadenie prístupov – Identifikácia a autentifikácia - Zavedenie 2FA (dvoj-faktorová autentifikácia)__**

242

243

Zavedenie 2FA umožní zvýšenie úrovne identifikácie a najmä autentifikácie pracovníkov pri vzdialenom prístupe, ale aj zvýšenie úrovne bezpečnosti pri správe IKT z pozície tzv. „power users" a administrátorov systémov. Dvojfaktorová autentifikáciu je v súčasnosti takmer nevyhnutnou formou zabezpečenia takmer všetkých účtov a služieb, ktoré sú dôležité. Dvojfaktorová autentifikácia umožní ochrániť od neautorizovaného prístupu útočníkov aj v prípade ak získajú prihlasovacie údaje, nakoľko sa nedostanú cez overenie v druhom kroku. S ohľadom na uvedené bude v rámci realizácie projektu riešený práve tento systém ochrany pre potreby zabezpečenia VPN pripojenia do LAN siete Mestská časť Ružinov a pre potreby 2FA na strane privilegovaných používateľov pri správe IS mesta.

244

245

Dvojfaktorová autentifikácia bude riešená Tokenmi generovanými mobilnou aplikáciou.

246

247

2FA je v projekte nastavená pre viacero typov používateľov:

248

249

* Obyčajný používateľ pri prístupe cez VPN, pre ktorého bude zavedenie komponentu predstavovať použitie ďalšieho prostriedku autentifikácie (2FA), ktorý bude predstavovať aplikácia v mobilnom telefóne.

250

* Administrátor, alebo „power user“ pri prístupe k správe prideleného IS bude mať k dispozícii rovnako aplikáciu v mobilnom telefóne, ktorá zabezpečí druhý autentifikačný faktor.

251

252

Funkčné a výkonové požiadavky:

253

254

* riešenie využívajúce softvérový autentifikátor dostupný pre platformy mobilných telefónov iOS a Android.

255

* auto-aktivácia používateľa bez potreby prítomnosti správcu systému,

256

* možnosť distribúcie autorizačného kódu autentifikácie druhého faktoru:

257

** formou výzvy (push notifikácia),

258

** formou SMS,

259

* pre všetkých zamestnancov pristupujúcich cez VPN (cca 50 zamestnancov),

260

* pre všetkých „power users“ (do 10 administrátorov),

261

* integrácia s vybranými existujúcimi systémami:

262

** minimálne s AD

263

** s FW na perimetri siete pre vzdialený VPN prístup používateľov do internej LAN a k sieťovým službám,

264

* prideľovanie oprávnení správcom na základe rolí (vlastník systému, IT správca systému, Správca integrácií, Správca používateľov, Podpora používateľov/Helpdesk),

265

* možnosť vytvárania skupín používateľov a zaraďovanie používateľov do skupín,

266

* možnosť vytvárania politík a ich aplikovanie:

267

** na skupiny používateľov,

268

** na používateľa podľa jeho geo-lokácie,

269

** na používateľa na základe stavu bezpečnosti jeho terminálu, ktorým sa pripája,

270

** na používateľa na základe stavu bezpečnosti mobilného zariadenia používateľa používaného na distribúciu autorizačného kódu,

271

** na základe jednotlivých integrácií,

272

* logovanie:

273

** histórie prístupov používateľov (meno, dátum, čas, terminál používateľa, sprístupnený systém, geo-lokácia IP adresy, atď.),

274

** informácií o mobilných zariadeniach používateľov použitých na distribúciu autorizačného kódu,

275

** úspešných aj neúspešných prihlásení,

276

* automatická detekcia anomálií a rizika pri prihlasovaní.

277

278

__Riadenie prístupov zariadení v sieti (NAC):__

279

280

V rámci tejto časti bude predmetom projektu implementácia Network Access Control (NAC) v súlade so štandardom IEEE 802.1x pre cca 250 zariadení. Súčasťou riešenia bude technologické vybavenie pre autentifikáciu zariadení v sieti, najmä autentifikačný server (RADIUS) a PKI infraštruktúra pre generovanie a distribúciu šifrovacích kľúčov.

281

282

Súčasťou riešenia riadenia prístupov bude aj re-konfigurácia a “hardening” existujúceho AD riešenia, tak aby bola zabezpečená plná funkčnosť nasadzovaných riešení 2FA a NAC.

283

284

285

**__Sieťová a komunikačná bezpečnosť__**

286

287

Implementácia New Generation Firewall (NGFW) na správu sieťovej prevádzky a blokovanie nebezpečnej sieťovej komunikácie. Firewall bude disponovať rozšírenými bezpečnostnými funkciami typu sandboxing, content filtering and inspection, file filtering, TLS inspection, IPS, detekcia malvér a pod.

288

289

Základné požiadavky na FW:

290

291

* Firewall bude umožňovať aj sandboxing (možnosť využiť cloudovú funkciu, nakoľko bude zapnutá na komunikácii prichádzajúcej zo siete Internet).

292

* Napojenie na RADIUS/SSO a bude podporovať SD-WAN.

293

* VPN prístup (cca 50 konkurentných VPN používateľov).

294

* Možnosť rozdeliť firewall na min. 2 virtuálne firewally.

295

* Firewall by mal byť zložený z komponentov jedného výrobcu, vrátane všetkých poskytovaných funkcionalít typu IPS, AV, AS signatúr, databáz pre URL kategorizáciu, sandbox definícií a pod. Zároveň by mala byť týmto jedným výrobcom zaistená podpora minimálne po dobu plánovanej životnosti FW.

296

* FW by mal obsahovať jeden dedikovaný port pre správu pomocou konzoly.

297

* FW by mal obsahovať aspoň jeden dedikovaný OOB (Out-of-band) management port pre plnohodnotnú správu FW.

298

* FW by mal zároveň umožňovať funkcionalitu DHCP servera.

299

* FW by mal byť schopný ukladať údaje na interný disk.

300

* FW by mal podporovať agregáciu portov pomocou protokolu 802.3ad (LACP).

301

* FW by mal byť rozmerovo kompatibilný s 19 „rozvádzačom.

302

* FW by mal podporovať dva nezávislé redundantné zdroje napájania AC 230V.

303

* FW by mal plne podporovať IPv4 aj IPv6.

304

* FW by mal podporovať preklady adries typu Static NAT, Dynamic NAT, PAT, NAT64.

305

* FW by mal podporovať smerovanie typu Static route, RIP, OSPFv2, OSPFv3, BGP, PIM, IGMP a PBR (Policy Based Routing).

306

* PBR (Policy-Based Routing) by malo byť možné nakonfigurovať na základe všetkých dostupných metrík typu interface, zóna, IP adresa, užívateľ.

307

* FW by mal podporovať režim clusteringu, využiteľný pre prípadné dodatočné zvýšenie priepustnosti.

308

* FW by mal podporovať site-to-site VPN pomocou protokolu IPSec.

309

* FW by mal podporovať Remote Access VPN pomocou protokolov IPSec a SSL (min. TLS v 1.2 / 1.3).

310

* Počet súčasne pripojených užívateľov nesmie byť licenčne obmedzený.

311

* Jednotlivé HW appliance musia obsahovať plnohodnotné grafické rozhranie (GUI) pre správu sieťových a bezpečnostných funkcií bez nutnosti používania centrálneho management servera.

312

* FW by mal podporovať aplikačnú detekciu a kontrolu ako svoju natívnu funkcionalitu.

313

* FW by mal podporovať vytváranie bezpečnostných pravidiel na základe používateľských identít.

314

* FW by mal obsahovať integrovaný systém ochrany proti sieťovým útokom (IPS). Databáza IPS signatúr by mala byť uložená priamo vo FW.

315

* 1 Gbps Threat Protection priepustnosť rozhrania so zapnutými funkciami:

316

** IPS, malware protection, Application Control, IPS a malware protection,

317

** SSL inšpekcia v režime pre prichádzajúci/odchádzajúci traffic na WAN rozhranie.

**__ __**

**__Ochrana proti škodlivému kódu a EDR/XDR:__**

322

323

V rámci tejto aktivity sa požaduje rozšírenie licencií existujúceho AV riešenia (ESET) alebo ekvivalent riešenia na všetky koncové stanice (cca 190 zariadení, 150 mobilných zariadení) a servery (cca 6 serverov) a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Požaduje sa dodanie technológie na prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, ktorá poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou, a ktorá zahŕňa funkcie, ako napr. detekcia incidentov v reálnom čase, manažment a reakcia na incidenty, zozbieravanie údajov, detekcia indikátorov ohrozenia, detekcia anomálií, detekcia správania, detekcia porušenia pravidiel atď.

324

325

__Požiadavky na EDR:__

326

327

Bude implementovaný aplikačný komponent (EDR) pozostávajúci z centralizovaného analytického nástroja a klientskeho softvér približne pre 190 koncových staníc.

328

329

Minimálne požiadavky sú nasledovné:

330

331

* kompatibilita s OS Windows, Mac OS, Linux,

332

* požadovaná implementácia riešenia je cloudová služba (SaaS),

333

* riešenie musí poskytovať retenciu údajov z agentov nasadených na koncových bodoch, ktoré sú uložené v centrálnom úložisku, po dobu minimálne 30 dní, pod údajmi sa myslí všetky telemetrické dáta alebo raw udalosti (spustenie procesu, príkazu alebo inej aktivity), ktoré riešenie z koncového bodu kontinuálne získava,

334

* uchovávanie údajov možno predĺžiť minimálne na 365 dní,

335

* podpora inštalácie samostatného agenta XDR pre Windows, Linux, MaxOS (možnosť koexistencie s EPP tretej strany),

336

* obsahuje pravidlá XDR spravované dodávateľom, na základe ktorých sa vykonáva korelácia údajov XDR, možnosť nastavenia výnimiek pre dané pravidlá,

337

* možnosť vytvoriť vlastné pravidlá detekcie XDR,

338

* podpora zdieľania blokovaných objektov (hash, IP, doména) s riešeniami tretích strán (napr. NGFW),

339

* obsahuje pravidlá XDR spravované dodávateľom, na základe ktorých sa vykonáva korelácia údajov XDR, možnosť nastavenia výnimiek pre dané pravidlá,

340

* centrálna správa nastavení a politík v rámci siete,

341

* analytický nástroj na vyhodnocovanie kybernetických incidentov a správania,

342

* integrácia s Active directory,

343

* proaktívna ochrana pred známymi hrozbami a hrozbami „nultého dňa“,

344

* ochrana proti ransomware,

345

* automatické aktualizácie signatúr,

346

* technológia sandboxing.

347

348

EDR musí podporovať funkcionalitu odozvy na incident:

349

350

* Izolácia agenta od siete.

351

* Odoslanie súboru do Sandboxu.

352

* Stiahnutie súboru z agenta na ďalšiu analýzu.

353

* Prihlásenie do príkazového riadku agenta.

354

* Spustenie skriptu (powershell/bash).

355

* Zablokovanie objektu (súbor, hash, ip adresa, doména).

356

357

prostredníctvom Windows/Linux agenta priamo z centrálnej konzoly pre cca 190 koncových staníc. Bude podporovať funkcionalitu vyšetrovania incidentu prostredníctvom zberu dôkazov minimálne v rozsahu:

358

359

* Systémové informácie.

360

* Informácie o používateľskom účte.

361

* Informácie o sieti.

362

* Informácie o spustených procesoch.

363

* Zoznam služieb.

364

* Zoznam objektov po spustení.

365

* AmCache a ShimCache.

366

* Protokoly udalostí.

367

368

369

**__Bezpečnostný monitoring__**

370

371

Súčasťou aplikačnej služby „Bezpečnostný monitoring a ochrana proti škodlivému kódu“ budú nasledovné moduly:

372

373

* Centrálny Log Manažment systém (LMS).

374

* Systém pre bezpečnostný monitoring (SIEM).

375

376

V rámci bezpečnostného monitoringu ide o dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie systému bezpečnostného monitoringu (SIEM) s integrovaným centrálnym log manažmentom pre účely agentského aj bez-agentského zberu logov zo systémov Mestskej časti Ružinov, vrátane zaškolenia administrátora Mestskej časti Ružinov. Riešenie môže byť implementované aj ako cloudová služba.

377

378

Tento aplikačný komponent zabezpečí zber logov zo sieťových zariadení a koncových staníc, spoločne s funkcionalitami:

379

380

* LMS (Log Management System),

381

* XDR (Extended detection and response),

382

* ABA (Attacker Behavior Analytics),

383

* UBA (User Behavior Analytics),

384

* NTA (Network Traffic Analysis),

385

* FAAM (File Access Activity Monitoring),

386

* FIM (File Integrity Monitoring),

387

* Deception Technology (Honey Pots/User/File/Credential)

388

389

pre zabezpečenie komplexného monitoringu a možnosti vyhodnocovania bezpečnostných udalostí.

Funkčné požiadavky:

* zbierať, detegovať a vyhodnocovať udalosti ako sú pokusy o neautorizované prístupy, zmeny integrity vybraných častí operačného systému,

394

* umožňovať monitoring, vyhodnocovanie a následné generovanie alertov a to všetko v reálnom čase, pričom nesmie technicky limitovať počet spracovávaných a ukladaných udalostí (napríklad pri prekročení licencie alebo výkonu riešenia),

395

* umožňovať uchovávanie pôvodnej informácie zo zdroja logu o časovej značke udalosti,

396

* každý log musí mať unikátny identifikátor, pre jednoznačnú identifikáciu,

397

* musí podporovať detekciu sieťových incidentov,

398

* bez nutnosti požiadaviek na externý databázový server,

399

* možnosť tvorby vlastných Dashboardov a Vizuálnych Analýz,

400

* podporuje zber dát so šifrovaným prenosom (TLS, prípadne šifrovaný obsah správ) na celej trase zdroj /kolektor/ centrálna konzola,

401

* podporuje vlastnú alebo externú integráciu na multifaktorovú autentifikáciu, multi-faktorová autentifikácia minimálne s podporou Google Authenticator a SMS správ,

402

* poskytuje špecifické korelačné pravidlá pre SIEM súvisiace s analýzou sieťovej prevádzky,

403

* poskytuje špecifické vyhľadávacie vzory (queries) pre SIEM súvisiace s analýzou sieťovej prevádzky,

404

* poskytuje špecifické šablóny pre tvorbu dashboard v SIEM súvisiace s analýzou sieťovej prevádzky.

405

406

Je nevyhnutné, aby monitorovací systém bol inštalovateľný do fyzického, virtualizačného alebo cloud prostredia a bol úplne nezávislý od použitej sieťovej infraštruktúry a neovplyvňoval monitorovanú sieť, systémy a zariadenia v ich funkcii. Monitorovací systém nesmie byť zistiteľný z monitorovanej siete. Systém musí podporovať infraštruktúru typu: IPv4, IPv6, VLAN, MPLS, Ethernet 10 Mb/s až 100 Gb/s. Riešenie bude centrálne spravované a konfigurované z centrálnej jednotky a poskytne centrálny prehľad o analýze tokov, upozorneniach a hláseniach. Riešenie bude nezávislé od existujúcej sieťovej infraštruktúry (optická alebo metalická dátová kabeláž) a použitých aktívnych prvkov (typ alebo výrobca).

407

408

Systém musí umožniť detekciu na základe správania a reputácie, rýchlu reakciu na identifikované incidenty, automatické prerušenie pokročilých kybernetických útokov na úrovni jednotlivých zariadení, pokročilú analytiku a automatizáciu, prioritizáciu incidentov a pod.

409

410

Ukladanie údajov musí byť nepretržité s dostupnosťou bez stratovej agregácie na niekoľko mesiacov (min. 6 mesiacov).

411

412

413

**__Zavedenie služby SOC as a service__**

414

415

Vybudovanie funkčného a spoľahlivého Security Operation Centra vyžaduje nemalé finančné prostriedky potrebné nielen na nákup technológie samotnej, ale aj na ľudské zdroje. Získať a predovšetkým udržať skúsený personál, schopný efektívne spracovávať veľké množstvo dát a byť schopný intuitívne rozoznať potrebu investigovania kritických situácií, je v dnešnej dobe veľmi zložité.

416

417

Práve s ohľadom na uvedené skutočnosti bude opatrenie Security Operation Center (SOC) zabezpečené formou služby od externého subjektu. Predpokladá sa obstaranie rámcovej zmluvy, ktorá sa bude čerpať podľa potrieb a požiadaviek Mestskej časti Ružinov.

418

419

Fungovanie SOC bude riešené formou „as a service“ a teda externý dodávateľ poskytne skúsený tím odborníkov, SOC procesov, CSIRT procesov a pod. Takýto spôsob realizácie umožní jednak eliminovať mesačné náklady na prevádzku SOC-u a zároveň umožní zabezpečiť efektívny spôsob ochrany kybernetického priestoru. SOC ako služba poskytne najmä efektívny bezpečnostný monitoring výskytu mimoriadnych udalostí a bezpečnostných incidentov a zabezpečenie adekvátnej reakcie na bezpečnostné incidenty. Okrem toho poskytne pokročilé analýzy bezpečnostných incidentov a ich vyšetrovanie, podporu riešenia bezpečnostných incidentov a uvedenia systémov späť do bežnej prevádzky, knowledge base ohľadom jednotlivých incidentov a spôsobov ich riešenia a reporting a štatistiky ohľadom jednotlivých a sumárnych bezpečnostných incidentoch, ich závažnosti a dopadoch.

420

421

Minimálne požiadavky na SOC as a service sú nasledovné:

422

423

* Nepretržité 24/7 monitorovanie, korelácia a prioritizácia výstrah pomocou automatizácie a analýzy.

424

* Pravidelné prehľadávanie prostredia pre novo identifikované indikátory kompromitácie (IoC) a indikátory útoku (IoA).

425

* Implementácia reakčných opatrení na zamedzenie hrozieb a automatické generovanie IoCs na predchádzanie budúcim útokom.

426

* Vykonanie analýzy útoku vrátane identifikácie vektoru útoku, času trvania, šírenia a dopadu.

427

* Identifikácia aktív (interných aj externých).

428

* Identifikácia zraniteľností aktív.

429

* Vyhodnotenie rizík (zraniteľnosti, zneužívanie účtu, detekcie útočníka, správanie používateľa,...).

430

* Odporúčania pre zníženie rizík.

431

* Mesačné správy s prehľadom aktivity za predchádzajúci mesiac vrátane detailov o incidente, zasiahnutých hostiteľoch, IoCs a odporúčaných opatreniach.

432

433

434

**__Riadenie kontinuity činností__**

435

436

Nasadenie nástroja pre manažovanie a automatické spúšťanie záloh systémov a dát a rovnako aj technologické vybavenie pre bezpečné uloženie záloh v primárnej lokalite a zároveň aj v inej lokalite mimo primárnych systémov formou automatickej replikácie záloh do tejto vzdialenej lokality.

437

438

Súčasťou riešenia musia byť supportované licencie pre existujúce riešenie Veeam, konkrétne Veeam Backup & Replication Enterprise vo vlastníctve mestskej časti Ružinov po celú dobu poskytovania služby a taktiež aj vytvorenie dostatočnej lokálnej kapacita na ukladanie záloh mimo hlavnej serverovne pri nastavení služby (NAS).

Požiadavky na NAS:

* RackStation 2,2GHz, 4GBRAM, 8xSATA, 2xUSB3.0

443

* záruka 5 rokov

444

* kapacita 22 TB SATA, 6Gb/s, 256MB cache, 7200 ot. – 6ks

445

* čítanie / zápis dát min.: 2300 / 1100 MB/s

446

* podpora sieťových kariet 10GbE SFP+/RJ-45 a 25GbE SFP28

447

* redundantný zdroj napájania

448

* technická a systémová podpora 8/5.

449

450

Riešenie musí obsahovať:

451

452

* pokročilú technológiu vytvárania snímkou zaisťujúcu plánovateľnú a temer okamžitú ochranu dát zdieľaných zložiek a jednotiek LUN,

453

* obnovu dát na úrovni súborov a zložiek s obnovením konkrétnych súborov alebo zložiek,

454

* flexibilný systém kvóty pre zálohy,

455

* automatické opravy súborov napr. pomocou zrkadlených metadát a konfiguráciou RAID,

456

* vloženú komprimáciu dát pred zápisom na disk,

457

* možnosť integrácie s ľubovoľnou virtualizačnou platformou,

458

* zálohovanie bez licencií určených k ochrane počítačov a serverov so systémom Windows,

459

* virtuálnych počítačov, ďalších súborových serverov a cloudových aplikácií,

460

* konsolidáciu úloh zálohovania pre fyzické i virtuálne prostredie s možnosťou rýchleho obnovenia súborov, celých fyzických počítačov a virtuálnych počítačov,

461

* zálohovanie v prostredí Google Workspace, Gmail, kontaktov, kalendárov a služby Drive zálohovanie dát sady Microsoft 365, OneDrive for Business, SharePoint Online, e-mailov, kontaktov a kalendárov.

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.2.2Rozsahinformačnýchsystémov–ASIS"/}}3.2.2 Rozsah informačných systémov – AS IS ===

466

467

468

Implementované bezpečnostné riešenia sa budú dotýkať najmä zvýšenia ochrany a bezpečnosti nasledovných IS:

469

470

|(((

471

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

486

487

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

14405

)))|(((

IS sprava webstránok

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Prezentačný

)))|(((

)))

|(((

14404

)))|(((

IS SAMO

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Agendový

)))|(((

)))

Čiastočne a okrajovo sa implementované bezpečnostné opatrenia a riešenia budú dotýkať aj nasledovných infraštruktúrnych a podporných IS, ktoré ale nie sú ISVS:

|(((

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

536

537

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

14406

)))|(((

IS Vema

)))|(((

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

agendový

)))|(((

)))

|(((

14407

)))|(((

IS eSpis

)))|(((

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

agendový

)))|(((

)))

|(((

)))|(((

)))|(((

)))|(((

)))|(((

)))|(((

)))

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.2.3Rozsahinformačnýchsystémov–TOBE"/}}3.2.3 Rozsah informačných systémov – TO BE ===

// //

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

585

586

587

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.2.4VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}3.2.4 Využívanie nadrezortných a spoločných ISVS – AS IS ===

588

589

590

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

591

592

593

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.2.5PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}3.2.5 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE ===

594

595

596

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

597

598

599

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.2.6PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}3.2.6 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===

600

601

602

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

603

604

605

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.2.7Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}3.2.7 Aplikačné služby pre realizáciu koncových služieb – TO BE ===

606

607

608

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

609

610

611

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.2.8Aplikačnéslužbynaintegráciu–TOBE"/}}3.2.8 Aplikačné služby na integráciu – TO BE ===

612

613

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

614

615

616

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.2.9PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}3.2.9 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===

617

618

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

619

620

621

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.2.10KonzumovanieúdajovzISCSRU–TOBE"/}}3.2.10 Konzumovanie údajov z IS CSRU – TO BE ===

622

623

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.3Dátovávrstva"/}}3.3 Dátová vrstva ==

628

629

630

Z pohľadu dátového modelu nejde o typické biznis (agendové) dáta ale o dáta typu:

631

632

* Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. – ako výstupy aktivity projektu určené pre ďalšie riadenie rozvoja KIB,

633

* bezpečnostné konfigurácie a bezpečnostné dáta (napr. logy) – pre fungovanie jednotlivých bezpečnostných komponentov.

634

635

Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. sú určené pre proces riadenia KIB.

636

637

Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie bezpečnostných modulov, t.j. jednotlivé komponenty tohto navrhovaného riešenia a zároveň reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov.

638

639

640

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.3.1Údajevspráveorganizácie"/}}3.3.1 Údaje v správe organizácie ===

641

642

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

643

644

645

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.3.2Dátovýrozsahprojektu-Prehľadobjektovevidencie-TOBE"/}}3.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE ===

646

647

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

648

649

650

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.3.3Referenčnéúdaje"/}}3.3.3 Referenčné údaje ===

651

652

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

653

654

655

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.3.4Kvalitaačistenieúdajov"/}}3.3.4 Kvalita a čistenie údajov ===

656

657

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

658

659

660

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.3.5Otvorenéúdaje"/}}3.3.5 Otvorené údaje ===

661

662

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

663

664

665

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.3.6Analytickéúdaje"/}}3.3.6 Analytické údaje ===

666

667

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

668

669

670

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.3.7Mojeúdaje"/}}3.3.7 Moje údaje ===

671

672

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

673

674

675

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.3.8Prehľadjednotlivýchkategóriíúdajov"/}}3.3.8 Prehľad jednotlivých kategórií údajov ===

676

677

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

678

679

680

== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.4Technologickávrstva"/}}3.4 Technologická vrstva ==

681

682

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.4.1Prehľadtechnologickéhostavu-ASISaTOBE"/}}3.4.1 Prehľad technologického stavu - AS IS a TO BE ===

683

684

685

V rámci as-is stavu dnes v rámci Mestskej časti Ružinov neexistuje bezpečnostná technológia, ktorá je predmetom tohto projektu.

686

687

Z pohľadu to-be bude finálna technologická vrstva závislá od výsledkov verejného obstarávania a technológie, ktorú ponúkne víťazný uchádzač.

688

689

Niektoré bezpečnostné riešenia totižto poskytujú viacero alternatív a dajú sa implementovať napr. ako virtuálny appliance, ale prípadne aj ako HW appliance. Predpokladom však je, že väčšina bezpečnostných riešení bude nasadená do virtuálneho prostredia Mestskej časti Ružinov, a niektoré riešenia budú nasadené ako samostatný HW appliance, prípadne budú nasadení rôzni agenti do infraštruktúry Mestskej časti Ružinov.

690

691

Vzhľadom na uvedené skutočnosti predpokladáme „high level“ technologickú architektúru tak, ako je uvedené na nasledujúcom obrázku:

[[image:attach:image-2024-7-1_16-42-26-1.png||height="400"]]

696

697

698

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.4.2Požiadavkynavýkonnostnéparametre,kapacitnépožiadavky–TOBE"/}}3.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE ===

699

700

Predpokladané výkonnostné parametre a kapacitné požiadavky sú, tam kde je to relevantné, uvedené v popise aplikačnej architektúry jednotlivých aplikačných funkcií a aplikačných modulov.

701

702

703

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.4.3Návrhriešeniatechnologickejarchitektúry–popísanévyššievrámciASIS-TOBE"/}}3.4.3 Návrh riešenia technologickej architektúry – popísané vyššie v rámci ASIS -TOBE ===

704

705

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

// //

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.4.4Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}3.4.4 Využívanie služieb z katalógu služieb vládneho cloudu ===

710

711

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

712

713

== {{id name="projekt_2791_Pristup_k_projektu_detailny-3.5Bezpečnostnáarchitektúra"/}}3.5 Bezpečnostná architektúra ==

714

715

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia.

716

717

718

= {{id name="projekt_2791_Pristup_k_projektu_detailny-4.ZávislostinaostatnéISVS/projekty"/}}4. Závislosti na ostatné ISVS / projekty =

719

720

Bez závislostí na iné projekty.

**~ **

= {{id name="projekt_2791_Pristup_k_projektu_detailny-5.Zdrojovékódy"/}}5. Zdrojové kódy =

725

726

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

727

728

Riešenie nepredpokladá vývoj softvéru, ale použitie komerčných bezpečnostných produktov a zariadení.

729

730

731

= {{id name="projekt_2791_Pristup_k_projektu_detailny-6.Prevádzkaaúdržba"/}}6. Prevádzka a údržba =

732

733

Aktivita podpora Governance v oblasti KIB si nevyžaduje žiadnu budúcu prevádzku, nakoľko ide len o analytické a konzultačné práce, ktorých výstupy budú použité pre proces riadenia KIB (Governance) . Výstupy Governance aktivít samozrejme tiež budú musieť byť udržiavané a rozvíjané, to by však malo byť realizované pomocou interných zamestnancov bez priameho vplyvu na rozpočet.

Pre aktivity napr.:

* nasadenie nástroja na podporu riadenia aktív a rizík,

738

* nástroj pre 2FA,

739

* implementácia LMS,

740

* implementácia SIEM,

741

* implementácia AV ochrany a EDR/XDR,

742

* implementácia zálohovania.

743

744

sú rámcové požiadavky na prevádzku a údržbu zadefinované nižšie.

745

746

== {{id name="projekt_2791_Pristup_k_projektu_detailny-6.1Prevádzkovépožiadavky"/}}6.1 Prevádzkové požiadavky ==

747

748

Všetky ďalšie parametre a požiadavky na prevádzku a údržbu sa týkajú už len nasledovných aktivít:

749

750

* nasadenie nástroja na podporu riadenia aktív a rizík,

751

* implementácia LMS,

752

* implementácia SIEM,

753

* implementácia AV ochrany a EDR/XDR.

754

755

756

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-6.1.1Úrovnepodporypoužívateľov"/}}6.1.1 Úrovne podpory používateľov ===

757

758

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

759

760

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-6.1.2Riešenieincidentov–SLAparametre"/}}6.1.2 Riešenie incidentov – SLA parametre ===

761

762

763

Označenie naliehavosti incidentu:

764

765

|(((

766

Označenie naliehavosti incidentu

)))|(((

Závažnosť incidentu

)))|(((

Popis naliehavosti incidentu

)))

|(((

A

)))|(((

Kritická

)))|(((

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

)))

|(((

B

)))|(((

Vysoká

)))|(((

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.

)))

|(((

C

)))|(((

Stredná

)))|(((

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

)))

|(((

D

)))|(((

Nízka

)))|(((

Kozmetické a drobné chyby.

)))

// //

možný dopad:

|(((

Označenie závažnosti incidentu

)))|(((

Dopad

)))|(((

Popis dopadu

)))

|(((

1

)))|(((

katastrofický

)))|(((

katastrofický dopad, priamy finančný dopad alebo strata dát,

)))

|(((

2

)))|(((

značný

)))|(((

značný dopad alebo strata dát

)))

|(((

3

)))|(((

malý

)))|(((

malý dopad alebo strata dát

)))

**// //**

Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

839

840

|(% colspan="2" rowspan="2" %)(((

841

Matica priority incidentov

842

)))|(% colspan="3" %)(((

Dopad

)))

|(((

Katastrofický - 1

)))|(((

Značný - 2

)))|(((

Malý - 3

)))

|(% rowspan="4" %)(((

**Naliehavosť**

)))|(((

**Kritická - A**

)))|(((

1

)))|(((

2

)))|(((

3

)))

|(((

**Vysoká - B**

)))|(((

2

)))|(((

3

)))|(((

3

)))

|(((

**Stredná - C**

)))|(((

2

)))|(((

3

)))|(((

4

)))

|(((

**Nízka - D**

)))|(((

3

)))|(((

4

)))|(((

4

)))

**// //**

Vyžadované reakčné doby:

894

895

|(((

896

Označenie priority incidentu

897

)))|(((

898

Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu

899

)))|(((

900

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^

)))|(((

Spoľahlivosť ^^(3)^^

(počet incidentov za mesiac)

)))

|(((

1

)))|(((

0,5 hod.

)))|(((

4 hodín

)))|(((

1

)))

|(((

2

)))|(((

1 hod.

)))|(((

12 hodín

)))|(((

2

)))

|(((

3

)))|(((

1 hod.

)))|(((

24 hodín

)))|(((

10

)))

|(((

4

)))|(((

1 hod.

)))|(% colspan="2" %)(((

938

Vyriešené a nasadené v rámci plánovaných releasov

)))

// //

== {{id name="projekt_2791_Pristup_k_projektu_detailny-6.2PožadovanádostupnosťIS:"/}}6.2 Požadovaná dostupnosť IS: ==

**// //**

|(((

Popis

)))|(((

Parameter

)))|(((

Poznámka

)))

|(((

**Prevádzkové hodiny**

)))|(((

12 hodín

)))|(((

od 6:00 hod. - do 18:00 hod. počas pracovných dní

960

)))

961

|(% rowspan="2" %)(((

**Servisné okno**

)))|(((

10 hodín

)))|(((

od 19:00 hod. - do 5:00 hod. počas pracovných dní

)))

|(((

24 hodín

)))|(((

od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov

972

973

Servis a údržba sa bude realizovať mimo pracovného času.

974

)))

975

|(((

976

**Dostupnosť produkčného prostredia IS**

)))|(((

98,5%

)))|(((

98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod.

981

982

Maximálny mesačný výpadok je 5,5 hodiny.

983

984

Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

985

986

Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L3 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

987

988

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

)))

// //

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-6.2.1Dostupnosť(Availability)"/}}6.2.1 Dostupnosť (Availability) ===

994

995

996

Požadovaná dostupnosť pre aktivitu projektu:

997

998

* nasadenie nástroja na podporu riadenia aktív a rizík,

je:

* **96% dostupnosť** znamená výpadok 15 dní.

Požadovaná dostupnosť pre aktivity projektu:

1007

1008

* implementácia LMS,

1009

* implementácia SIEM,

1010

* implementácia AV ochrany a EDR/XDR

je:

* **98,5% dostupnosť** znamená výpadok 8,25 dňa.

1015

1016

1017

Za týmto účelom bude aj s dodávateľom služby SOC as a service uzatvorená rovnaká dohoda o úrovni poskytovaných služieb (SLA), ktorá bude požadovať uvedenú dostupnosť poskytovanej služby.

1018

1019

1020

=== {{id name="projekt_2791_Pristup_k_projektu_detailny-6.2.2RTO(RecoveryTimeObjective)"/}}6.2.2 RTO (Recovery Time Objective) ===

Zavedenie aktivity:

* nasadenie nástroja na podporu riadenia aktív a rizík,

1025

1026