Naposledy upravil Marek Hronec 2025/05/23 10:59
Z verzie 40.1
upravil Marek Hronec
-
Zmeniť komentár: Added annotation on "4.4.4.6 GithubVerzionovanie..."
Do verzie 41.1
upravil Marek Hronec
-
Zmeniť komentár: Added annotation on "4.5 Bezpečnostná architektú..."

Súhrn

Podrobnosti

XWiki.XWikiComments[34]
Autor
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.marek\.hronec@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,75 @@
1 +=== **AS IS stav bezpečnosti (chýba úplne)** ===
2 +
3 +🔻 //Vyžaduje sa opis aktuálneho stavu bezpečnostnej architektúry (Ramcovo tak aby sa nedal extrahovat potencialny vektor utoku)//
4 +
5 +➡️ **Doplniť samostatnú podkapitolu AS IS bezpečnostná architektúra.**
6 +
7 +----
8 +
9 +==== **Porovnanie alternatív (tiež chýba)** ====
10 +
11 +🔻 Šablóna žiada porovnanie **alternatívnych prístupov** k navrhnutej bezpečnostnej architektúre.
12 +
13 +* Napr. pre autentifikáciu – interné IAM vs. externý GovIAM vs. SAML federácia.
14 +* Pre SIEM – vlastný Elastic vs. nákup služby z vládneho cloudu.
15 +* Pre segmentáciu – VPN vs. service mesh vs. fyzická segmentácia.
16 +
17 +----
18 +
19 +==== **Preukázanie súladu s právnymi a technickými normami** ====
20 +
21 +🔻 text tieto zákony a vyhlášky //neuvádza explicitne//:
22 +
23 +* Zákon č. 95/2019 Z. z.
24 +* Zákon č. 69/2018 Z. z.
25 +* Vyhlášky č. 78/2020, 179/2020, 158/2018 Z. z.
26 +* GDPR a zákon č. 18/2018 Z. z.
27 +
28 +➡️ Vlož **jednu vetu k jednotlivým normám**, ktorá deklaruje súlad (napr. //„Riešenie reflektuje požiadavky vyhlášky 179/2020 Z. z. a bude implementované v súlade s kategorizáciou ISVS na úrovni X.“//)
29 +
30 +----
31 +
32 +==== **Postupy na zabezpečenie dôvernosti, integrity, dostupnosti (CIA)** ====
33 +
34 +🔻 V texte je implicitne pokryté, ale nie explicitne viazané na **CIA triádu**.
35 +➡️ Odporúčame zaradiť krátku podsekciu **4.5.X Zabezpečenie CIA**:
36 +
37 +* **Dôvernosť** – IAM, šifrovanie, segmentácia.
38 +* **Integrita** – HIDS, kontrola zmien, GitOps.
39 +* **Dostupnosť** – autoscaling, HA clustre, loadbalancing, self-healing.
40 +
41 +Pre kazdy modul a ISVS vykonat klasifikaciu alebo sem odzrkadlit danu klasifikaciu/cie v prehladnej tabulke
42 +
43 +----
44 +
45 +==== 5. **Bezpečnostný projekt – požiadavky** ====
46 +
47 +🔻 Chýba informácia, že bude vypracovaný **samostatný Bezpečnostný projekt** (ako vyžaduje § 14 vyhl. č. 179/2020 Z. z.).
48 +
49 +
50 +----
51 +
52 +==== 6. **Správa prístupov, roly, administrácia (chýba)** ====
53 +
54 +🔻 Téma prístupov je zmienená v IAM sekcii, ale chýba explicitná tabuľka alebo opis rolí ako vyžaduje šablóna.
55 +➡️ Doplniť podsekciu **4.5.X Riadenie prístupov a roly**, napríklad:
56 +
57 +|=Rola|=Popis|=Prístupové práva
58 +|Občan|Koncový používateľ služby|iba čítanie/zasielanie podaní
59 +|Administrátor systému|Správa infraštruktúry|plné oprávnenia
60 +|Prevádzka podpory|Monitoring a logy|read-only prístup k logom
61 +|Vývojár|DevOps prístup v Dev environmentoch|CI/CD pipeline
62 +
63 +
64 +----
65 +
66 +=== 🔎 **Zhrnutie:** ===
67 +
68 +|=Oblasť|=Stav|=Odporúčanie
69 +|AS IS bezpečnosť|❌ chýba|Doplniť popis aktuálneho stavu
70 +|TO BE bezpečnosť|✅ veľmi dobré|Zachovať a jemne upratať štruktúru
71 +|Porovnanie alternatív|❌ chýba|Doplniť aspoň stručné porovnanie
72 +|Súlad s legislatívou|⚠️ implicitný|Deklarovať explicitne ku konkrétnym normám
73 +|CIA triáda|⚠️ implicitne|Jasne rozlíšiť opatrenia na dôvernosť, integritu, dostupnosť
74 +|Bezpečnostný projekt|❌ chýba|Pridať vetu o jeho vypracovaní
75 +|Roly a správa prístupov|⚠️ zľahka zmienené|Doplniť roly + práva pre rôzne typy používateľov
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-05-20 17:44:26.851
Selection
... ... @@ -1,0 +1,1 @@
1 +4.5 Bezpečnostná architektúraBezpečnostná architektúra systému bude navrhnutá s ohľadom na princípy Zero Trust a host-based security. Cieľom je vytvoriť prostredie, v ktorom je každý prístup overovaný a každý komponent chránený na úrovni hostov aj aplikácií. Architektúra bude podporovať proaktívnu detekciu a prevenciu bezpečnostných hrozieb, kontinuálne monitorovanie a zabezpečenie súladu s legislatívnymi a bezpečnostnými štandardmi.4.5.1 Prístup Zero TrustZásada minimálnej dôvery: V rámci Zero Trust modelu bude prístup do systému riadený princípom minimálnej dôvery, kde každý pokus o prístup bude považovaný za potenciálne rizikový, a preto bude neustále overovaný.Overovanie identity a riadenie prístupu (IAM): Každý prístup k službám, aplikáciám a dátam bude zabezpečený pomocou IAM (Identity and Access Management) systému. Budú využívané viacfaktorové overovanie (MFA) a princíp najmenej potrebných práv (least privilege).Segmentácia sietí a mikrosegmentácia: Systém bude podporovať segmentáciu sietí a mikrosegmentáciu, ktorá umožní oddeliť citlivé zóny systému a minimalizovať riziko laterálneho pohybu útočníkov.Nepretržitá autentifikácia a autorizácia: Prístupy budú priebežne overované a autorizované, a to nielen pri prihlásení, ale aj pri interakcii s jednotlivými aplikáciami a službami, čím sa zabezpečí, že každý prístup je vždy aktuálne overený.4.5.2 Host-based SecurityHost-based Intrusion Detection and Prevention Systems (HIDS/HIPS): Na všetkých hostoch (servery, koncové zariadenia) budú implementované HIDS alebo HIPS riešenia, ktoré budú monitorovať aktivitu a blokovať podozrivé správanie priamo na úrovni hostov.Zabezpečenie konfigurácií a správna konfigurácia prístupov: Každý host bude nastavený v súlade s bezpečnostnými štandardmi, čo zahŕňa nastavenie firewallov, riadenie prístupu, monitorovanie integrity súborov a konfigurácie, aby sa zabezpečila ich bezpečnosť a konzistentnosť.Skenovanie na malware a škodlivé aktivity: Priebežné skenovanie hostov na prítomnosť škodlivých programov a aktivít pomôže identifikovať a blokovať pokusy o kompromitáciu zariadení ešte predtým, ako môžu ovplyvniť zvyšok systému.4.5.3 DevSecOps – Integrácia bezpečnosti do vývojového a nasadzovacieho procesuBezpečnosť ako súčasť CI/CD: V rámci DevSecOps prístupu bude bezpečnosť integrovaná priamo do CI/CD pipeline, čo umožní priebežné skenovanie zdrojového kódu, detekciu bezpečnostných chýb a nasadenie bezpečnostných záplat v reálnom čase.Automatizované bezpečnostné testy a kontroly: CI/CD pipeline bude podporovať automatizované bezpečnostné testy, vrátane statickej analýzy zdrojového kódu, dynamického testovania aplikácií a skenovania kontajnerov. Tieto testy budú zahŕňať kontroly na zraniteľnosti, šifrovanie údajov a dodržiavanie bezpečnostných štandardov.Shift Left – Posun bezpečnosti do skorých fáz vývoja: Princíp "shift left" v DevSecOps znamená, že bezpečnostné kontroly sa budú vykonávať už počas vývojových fáz, čím sa minimalizujú riziká a náklady na opravy zraniteľností v neskorších fázach.Priebežné bezpečnostné školenia pre DevOps tím: Pravidelné školenia pre DevOps tím zabezpečia aktuálnosť v oblasti najnovších bezpečnostných hrozieb a štandardov, čo umožní vývojárom identifikovať a riešiť bezpečnostné riziká už pri návrhu aplikácie.4.5.4 Cloud-native bezpečnostný dizajn a microservices architektúraCloud-native prístup s princípom Zero Trust: Všetky cloudové služby a aplikácie budú nasadené s princípmi Zero Trust, čo zahŕňa izoláciu jednotlivých služieb, šifrovanie dát a priebežné overovanie prístupov medzi mikroservismi.Service Mesh pre bezpečnú komunikáciu medzi mikroservismi: Použitím service mesh v CNI Kubernetesového prostredia sa zabezpečí riadenie komunikácie medzi mikroservismi, čo umožní autentifikáciu a šifrovanie každej interakcie medzi jednotlivými komponentmi.Šifrovanie údajov v pokoji aj pri prenose: Všetky údaje v cloude budú šifrované počas prenosu aj pri uchovávaní, čím sa dosiahne vysoká úroveň ochrany citlivých informácií.4.5.6 Monitorovanie aplikačnej bezpečnosti a integrácia s Dynatrace a SIEMIntegrované monitorovanie aplikačnej bezpečnosti: Systém bude napojený na Dynatrace pre pokročilé monitorovanie aplikačnej bezpečnosti, aby sa zabezpečila priebežná kontrola výkonu a detekcia anomálií v reálnom čase.SIEM pre centralizovanú správu logov a udalostí: Všetky bezpečnostné logy a udalosti zo systému budú centralizovane zbierané a analyzované v SIEM riešení, čím sa zabezpečí detekcia podozrivých aktivít a umožní sa rýchla reakcia na bezpečnostné incidenty.Automatické reakcie a notifikácie na incidenty: SIEM a Dynatrace budú nastavené na automatické generovanie notifikácií pri detekcii podozrivých aktivít alebo bezpečnostných incidentov, čo umožní okamžitú reakciu bezpečnostného tímu.4.5.7 Vulnerability manažment a patch managementPriebežné skenovanie zraniteľností: Systém bude podporovať priebežné skenovanie zraniteľností na všetkých vrstvách – od aplikácií až po jednotlivé hosty, aby sa zabezpečila ochrana pred aktuálnymi hrozbami.Rýchle aplikovanie bezpečnostných záplat: Identifikované zraniteľnosti budú promptne riešené prostredníctvom patch management procesu, ktorý zabezpečí priebežnú aktualizáciu všetkých systémových komponentov a aplikácií.Reporting a prioritizácia zraniteľností: Výsledky skenovania a nápravných opatrení budú priebežne reportované objednávateľovi s priorizáciou podľa kritickosti zraniteľností, aby bola zabezpečená informovanosť a kontrola nad bezpečnostným stavom systému.4.5.8 Skenovanie zdrojových kódov a kontajnerov pre prevenciu rizíkAutomatizované skenovanie zdrojového kódu a kontajnerov: V rámci CI/CD pipeline bude implementované automatizované skenovanie zdrojového kódu a binárnych obrazov kontajnerov, aby sa identifikovali bezpečnostné chyby už počas vývoja.Kontrola kontajnerových obrazov pred nasadením: Pred každým nasadením do produkčného prostredia budú kontajnerové a VM obrazy skenované na zraniteľnosti, čím sa minimalizuje riziko nasadenia zraniteľného kódu.Vyhodnocovanie nálezov a nápravné opatrenia: Výsledky skenovania budú pravidelne analyzované a nápravné opatrenia budú implementované podľa kritickosti jednotlivých zraniteľností, pričom sa budú dodržiavať SLA pre riešenie bezpečnostných problémov.4.5.9 Dodržiavanie štandardov OWASP a pravidelné penetračné testyOWASP štandardy pre bezpečný vývoj: Vývoj aplikácií bude prebiehať podľa štandardov OWASP s cieľom minimalizovať riziko bezpečnostných zraniteľností už pri návrhu a implementácii.Testovanie na OWASP Top 10: Testovanie aplikácií bude zahŕňať ochranu proti najvýznamnejším hrozbám podľa OWASP Top 10, vrátane ochrany proti SQL Injection, XSS a nesprávnej kontrole prístupu.Pravidelné penetračné testy: Na overenie bezpečnosti aplikácií a infraštruktúry budú pravidelne vykonávané penetračné testy, ktorých výsledky budú analyzované a prijaté nápravné opatrenia na odstránenie zistených slabín.4.5.10 Integrácie s XDR, EDR a NDR systémamiXDR na centralizované riadenie bezpečnostných udalostí: Systém bude integrovaný s XDR riešením na centralizovanú analýzu a riadenie bezpečnostných udalostí, ktoré umožní celkový prehľad o bezpečnostných hrozbách.EDR pre koncové zariadenia: EDR (Endpoint Detection and Response) zabezpečí ochranu koncových zariadení, čo umožní detekciu a prevenciu pokročilých hrozieb priamo na úrovni hostov.NDR pre monitorovanie sieťovej prevádzky: Systém bude integrovaný s NDR (Network Detection and Response), ktorý umožní monitorovanie sieťového prostredia a detekciu podozrivých aktivít na úrovni sieťovej komunikácie.
State
... ... @@ -1,0 +1,1 @@
1 +SAFE
Target
... ... @@ -1,0 +1,1 @@
1 +Dokumenty.projekt_3067.pristup_k_projektu.WebHome