Zmeny dokumentu I-03 Prístup k projektu (pristup_k_projektu)

Naposledy upravil Jozef Tomeček 2025/01/30 14:26

From 2.1 to 3.1 From 4.1 to 5.1

Z verzie 3.1

upravil Jozef Tomeček
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 4.1

upravil Jozef Tomeček
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)

Podrobnosti

Vlastnosti stránky

Obsah

@@ -108,7 +108,7 @@
  Predmetom projektu v súlade s hodnotiacim kritériami výzvy je zabezpečenie základných činností v oblasti kybernetickej a informačnej bezpečnosti v organizácii žiadateľa a zabezpečenie vybraných činností zameraných na prevenciu pred kybernetickými bezpečnostnými incidentmi v organizácii žiadateľa konkrétne:
--*
++*
  ** (CASB, ZTNA, DLP, WAF) ochrana prístupov k internetu, ochrana internetových aplikácií, správa prístupov k aplikáciám, sledovanie toku dát a ochrana pred odcudzením na základe kontextu a klasifikácie
  ** (HSM, KMS, HYOK) nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dátam
  ** (SIEM, SOAR) nástroj pre centrálnu evidenciu logov z informačných systémov a následné vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktivít
@@ -336,8 +336,8 @@
  Zhodnotenie existujúceho stavu bezpečnostnej architektúry a návrh požadovaného rozšírenia:
--|**Existujúce riešenie Microsoft 365 E5**|**Požadované rozšírenie:**|**Poznámka**|**Legislatívna úprava**
--|Microsoft Entra ID P2 (IAM + MFA)| |Plne vyhovujúce požiadavkám na centrálnu evidenciu účtov a zariadení. Microsoft Entra P2 + MFA je natívne využiteľné pre SAML a OpenID overovanie pre web aplikácie s tzv. Modern Authentication, pričom rozšírenie o Microsoft NPS server umožňuje použitie RADIUS protokolu pre legacy aplikácie (napr. VPN)|(((
++|(% style="width:228px" %)**Existujúce riešenie Microsoft 365 E5**|(% style="width:43px" %)**Požadované rozšírenie:**|(% style="width:656px" %)**Poznámka**|(% style="width:274px" %)**Legislatívna úprava**
++|(% style="width:228px" %)Microsoft Entra ID P2 (IAM + MFA)|(% style="width:43px" %) |(% style="width:656px" %)Plne vyhovujúce požiadavkám na centrálnu evidenciu účtov a zariadení. Microsoft Entra P2 + MFA je natívne využiteľné pre SAML a OpenID overovanie pre web aplikácie s tzv. Modern Authentication, pričom rozšírenie o Microsoft NPS server umožňuje použitie RADIUS protokolu pre legacy aplikácie (napr. VPN)|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, c.
  ZoKB 69/2018, § 20 ods. 3 písm, h.
@@ -346,7 +346,7 @@
  NIS2 A: 5,10
  )))
--|Microsoft Defender for Endpoint|ZTNA, CASB|Antivírus dostupný pre Windows, Linux, Android, iOS. Podporovaná je aj aplikačná izolácia pomocou work profile s absenciou NGFW služieb na klientskej strane. Vážne nedostatky bez ZTNA prístupu kontrolujúceho spojenie a doplňujúce URLF sú napríklad fileless útoky napr. na úrovni IPS. Nutné je rozšírenie existujúceho riešenia o NG FW služby pre aktívny Web protection a browser isolation.|(((
++|(% style="width:228px" %)Microsoft Defender for Endpoint|(% style="width:43px" %)ZTNA, CASB|(% style="width:656px" %)Antivírus dostupný pre Windows, Linux, Android, iOS. Podporovaná je aj aplikačná izolácia pomocou work profile s absenciou NGFW služieb na klientskej strane. Vážne nedostatky bez ZTNA prístupu kontrolujúceho spojenie a doplňujúce URLF sú napríklad fileless útoky napr. na úrovni IPS. Nutné je rozšírenie existujúceho riešenia o NG FW služby pre aktívny Web protection a browser isolation.|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, f.
  Dora ch.14
@@ -353,7 +353,7 @@
  NIS2 A: 5, 15
  )))
--|Microsoft Defender XDR|SIEM a SOAR riešenie|Existujúce riešenie je viazané iba na služby M365 bez dodatočnej možnosti integrácie 3rd party nástrojov pre audit a rozšírenú automatizáciu externých vendorov|(((
++|(% style="width:228px" %)Microsoft Defender XDR|(% style="width:43px" %)SIEM a SOAR riešenie|(% style="width:656px" %)Existujúce riešenie je viazané iba na služby M365 bez dodatočnej možnosti integrácie 3rd party nástrojov pre audit a rozšírenú automatizáciu externých vendorov|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, e.
  ZoKB 69/2018, § 20 ods. 3 písm, j.
@@ -360,7 +360,7 @@
  NIS2 A: 5, 6
  )))
--|Microsoft Defender for Identity| |Plne vyhovujúce riešenie|(((
++|(% style="width:228px" %)Microsoft Defender for Identity|(% style="width:43px" %) |(% style="width:656px" %)Plne vyhovujúce riešenie|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, e.
  Dora ch.4
@@ -367,7 +367,7 @@
  NIS2 A: 5,10
  )))
--|Microsoft Defender for Cloud Apps|ZTNA, CASB|Existujúce riešenie má viditeľnosť pre SaaS riešenia v rámci M365 integrácie, nerieši externé prostredie Azure, legacy systémy, vládny cloud, integrácie na microservisy z 3tích strán, nemá v bezpečnostné kontroly proti škodlivému kódu (IPS, antimalware, antibot, DNS protection, URL filtering, WAF)|(((
++|(% style="width:228px" %)Microsoft Defender for Cloud Apps|(% style="width:43px" %)ZTNA, CASB|(% style="width:656px" %)Existujúce riešenie má viditeľnosť pre SaaS riešenia v rámci M365 integrácie, nerieši externé prostredie Azure, legacy systémy, vládny cloud, integrácie na microservisy z 3tích strán, nemá v bezpečnostné kontroly proti škodlivému kódu (IPS, antimalware, antibot, DNS protection, URL filtering, WAF)|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, f.
  ZoKB 69/2018, § 20 ods. 3 písm, e.
@@ -376,7 +376,7 @@
  NIS2 A: 5,10, 15
  )))
--|Microsoft Defender for Office 365|DLP|Dostatočná ochrana pre Email, MS-Teams, Sharepoint. s absenciou DLP zabraňujúcemu úniku dát za pomoci sofistikovanejších metód.  |(((
++|(% style="width:228px" %)Microsoft Defender for Office 365|(% style="width:43px" %)DLP|(% style="width:656px" %)Dostatočná ochrana pre Email, MS-Teams, Sharepoint. s absenciou DLP zabraňujúcemu úniku dát za pomoci sofistikovanejších metód.  |(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, e.
  Dora ch.13
@@ -383,7 +383,7 @@
  NIS 2 A: 5, 9
  )))
--|Information Protection and Governance|HSM, KMS|Ochrana je výhradne v rámci M365 prostredia, bez dodatočnej kryptografie. Pri rozšírení služieb o Azure Vault nie je zabezpečená dátová suverenita, pretože kľúče aj dáta sú spravované jedným subjektom.|(((
++|(% style="width:228px" %)Information Protection and Governance|(% style="width:43px" %)HSM, KMS|(% style="width:656px" %)Ochrana je výhradne v rámci M365 prostredia, bez dodatočnej kryptografie. Pri rozšírení služieb o Azure Vault nie je zabezpečená dátová suverenita, pretože kľúče aj dáta sú spravované jedným subjektom.|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, i.
  ZoKB 69/2018, § 20 ods. 3 písm, l.
@@ -392,7 +392,7 @@
  NIS 2 A 5, 10
  )))
--|Microsoft Purview eDiscovery|CASB, DLP|Iba čiastočne vyhovujúce riešenie, zamerané výhradne na prostredie M365. Je nutné rozšíriť viditeľnosť a smerovanie dát aj mimo prostredia M365 do externých systémov. PurView eDiscovery je čiastočné riešenie pre komplexnejšie DLP.|(((
++|(% style="width:228px" %)Microsoft Purview eDiscovery|(% style="width:43px" %)CASB, DLP|(% style="width:656px" %)Iba čiastočne vyhovujúce riešenie, zamerané výhradne na prostredie M365. Je nutné rozšíriť viditeľnosť a smerovanie dát aj mimo prostredia M365 do externých systémov. PurView eDiscovery je čiastočné riešenie pre komplexnejšie DLP.|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, l.
  Dora ch.13, 15
@@ -399,7 +399,7 @@
  NIS2 A: 15
  )))
--|Microsoft Purview Insider Risk Management|DLP|Nevyhovujúce riešenie, ktoré nepokrýva Android klientov (cca 40% zariadení). Riešenie má výrazné kvalitatívne nedostatky, kde medzi hlavné patrí nefunkčnosť klienta v offline režime (teda nie je to aktívna ochrana na koncových zariadeniach), alebo ignorovanie kompresovaných dát v druhej úrovni. Samotné riešenie neefektívne vyhodnocuje potenciálne hrozby, umožňuje obmedzenie prístupu k dátam iba na úrovni conditional access namiesto napr. podmienej kryptografie|(((
++|(% style="width:228px" %)Microsoft Purview Insider Risk Management|(% style="width:43px" %)DLP|(% style="width:656px" %)Nevyhovujúce riešenie, ktoré nepokrýva Android klientov (cca 40% zariadení). Riešenie má výrazné kvalitatívne nedostatky, kde medzi hlavné patrí nefunkčnosť klienta v offline režime (teda nie je to aktívna ochrana na koncových zariadeniach), alebo ignorovanie kompresovaných dát v druhej úrovni. Samotné riešenie neefektívne vyhodnocuje potenciálne hrozby, umožňuje obmedzenie prístupu k dátam iba na úrovni conditional access namiesto napr. podmienej kryptografie|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, j.
  ZoKB 69/2018, § 20 ods. 3 písm, l.
@@ -408,13 +408,13 @@
  NIS2 A 5, 9
  )))
--|Endpoint analytics proactive remediation| |Dostatočné riešenie|(((
++|(% style="width:228px" %)Endpoint analytics proactive remediation|(% style="width:43px" %) |(% style="width:656px" %)Dostatočné riešenie|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, e.
  NIS2 A 5, 9
  )))
--|Windows Autopatch| |Akceptované riešenie s vážnymi nedostatkami na detekciu a reportovanie existujúcich zraniteľností, obmedzená funkcionalita pre patch management výrobcov tretích strán, obmedzená multiplatformová podpora|ZoKB 69/2018, § 20 ods. 3 písm, e.
--|Windows Hello| |Riešenie dostatočné,nevhodn0 bez PKI z hľadiska implementácie centralizácie správy kľúčov. Samotný Windows Hello for Business je natívne viazaný na FIDO2 alebo PKI, ktorá nie je súčasťou M365 E5. Vystavanie PKI nie je súčasťou tohto projektu, aj keď prostredie je pripravené na 802.1x, ktorú je možné naviazať na Azure CA zaistenú HSM/KMS a distribúciu cez SCEP prostredníctvom Intune. Samotný RADIUS na strane 802.1x overovania je na to prispôsobený v sekcii Port a Network security.|(((
++|(% style="width:228px" %)Windows Autopatch|(% style="width:43px" %) |(% style="width:656px" %)Akceptované riešenie s vážnymi nedostatkami na detekciu a reportovanie existujúcich zraniteľností, obmedzená funkcionalita pre patch management výrobcov tretích strán, obmedzená multiplatformová podpora|(% style="width:274px" %)ZoKB 69/2018, § 20 ods. 3 písm, e.
++|(% style="width:228px" %)Windows Hello|(% style="width:43px" %) |(% style="width:656px" %)Riešenie dostatočné,nevhodn0 bez PKI z hľadiska implementácie centralizácie správy kľúčov. Samotný Windows Hello for Business je natívne viazaný na FIDO2 alebo PKI, ktorá nie je súčasťou M365 E5. Vystavanie PKI nie je súčasťou tohto projektu, aj keď prostredie je pripravené na 802.1x, ktorú je možné naviazať na Azure CA zaistenú HSM/KMS a distribúciu cez SCEP prostredníctvom Intune. Samotný RADIUS na strane 802.1x overovania je na to prispôsobený v sekcii Port a Network security.|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, f.
  Dora ch.12, 13, 16, 17
@@ -421,7 +421,7 @@
  NIS2 A: 5,10
  )))
--|DirectAccess|ZTNA|Riešenie supluje tradičný VPN koncentrátor bez pridanej hodnoty na čistotu spojenia (NG FW ochrany toku dát) Direct Access nie je použiteľný na prepoj microservisov v rámci SaaS aplikácií.|(((
++|(% style="width:228px" %)DirectAccess|(% style="width:43px" %)ZTNA|(% style="width:656px" %)Riešenie supluje tradičný VPN koncentrátor bez pridanej hodnoty na čistotu spojenia (NG FW ochrany toku dát) Direct Access nie je použiteľný na prepoj microservisov v rámci SaaS aplikácií.|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, f.
  ZoKB 69/2018, § 20 ods. 3 písm, l.
@@ -430,13 +430,13 @@
  NIS2 A: 5,10, 15
  )))
--|Mobile Device Management| |Nevyhovujúce riešenie, ktoré však dopĺňajú dodatočné produkty v balíku (Intune + Defender)|(((
++|(% style="width:228px" %)Mobile Device Management|(% style="width:43px" %) |(% style="width:656px" %)Nevyhovujúce riešenie, ktoré však dopĺňajú dodatočné produkty v balíku (Intune + Defender)|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, e.
  NIS 2 A 5, 9
  )))
--|Microsoft Intune| |Vyhovujúce riešenie|ZoKB 69/2018, § 20 ods. 3 písm, e.
--|Microsoft Pureview Data Loss Prevention (for email and files)|DLP|Nevyhovujúce riešenie obmedzené iba na únik dát z prostredia M365. Pre DLP je nutné mať všetky vrstvy (SaaS, Cloud, Endpoint, Network) v jednom konsolidovanom prostredí s centrálnou identifikáciou hrozieb.|(((
++|(% style="width:228px" %)Microsoft Intune|(% style="width:43px" %) |(% style="width:656px" %)Vyhovujúce riešenie|(% style="width:274px" %)ZoKB 69/2018, § 20 ods. 3 písm, e.
++|(% style="width:228px" %)Microsoft Pureview Data Loss Prevention (for email and files)|(% style="width:43px" %)DLP|(% style="width:656px" %)Nevyhovujúce riešenie obmedzené iba na únik dát z prostredia M365. Pre DLP je nutné mať všetky vrstvy (SaaS, Cloud, Endpoint, Network) v jednom konsolidovanom prostredí s centrálnou identifikáciou hrozieb.|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, l.
  Dora ch.15, 18
@@ -443,9 +443,9 @@
  NIS2 A5, 9
  )))
--|Credential Guard| |Vyhovujúce riešenie|
--|Device Guard| |Vyhovujúce riešenie|
--|Microsoft Security and Compliance Center|Exposure and Risk Management|Nevyhovujúce riešenie aplikovateľné iba pre M365 platformu a spravované zariadenia. V rámci centralizácie je nutné vykryť všetky legacy systémy v každom prostredí, ako aj 3rd party SaaS aplikácie a ich vzájomné prepojenia. V rámci služby je chýbajúca kontinuálna kontrola na potenciálne exploity pre jednotlivé zariadenia a aplikácie, ako aj centrálny audit využiteľnosti práv a prístupov, kompletne absentujúca je dokumentácia kritickej cesty pre potenciálne zraniteľnosti alebo zneužitia systémov. Z pohľadu nekompletnosti vstupov nie je možné efektívne vypracovávať analýzu funkčného dopadu.|(((
++|(% style="width:228px" %)Credential Guard|(% style="width:43px" %) |(% style="width:656px" %)Vyhovujúce riešenie|(% style="width:274px" %)
++|(% style="width:228px" %)Device Guard|(% style="width:43px" %) |(% style="width:656px" %)Vyhovujúce riešenie|(% style="width:274px" %)
++|(% style="width:228px" %)Microsoft Security and Compliance Center|(% style="width:43px" %)Exposure and Risk Management|(% style="width:656px" %)Nevyhovujúce riešenie aplikovateľné iba pre M365 platformu a spravované zariadenia. V rámci centralizácie je nutné vykryť všetky legacy systémy v každom prostredí, ako aj 3rd party SaaS aplikácie a ich vzájomné prepojenia. V rámci služby je chýbajúca kontinuálna kontrola na potenciálne exploity pre jednotlivé zariadenia a aplikácie, ako aj centrálny audit využiteľnosti práv a prístupov, kompletne absentujúca je dokumentácia kritickej cesty pre potenciálne zraniteľnosti alebo zneužitia systémov. Z pohľadu nekompletnosti vstupov nie je možné efektívne vypracovávať analýzu funkčného dopadu.|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, b.
  ZoKB 69/2018, § 20 ods. 3 písm, d.
@@ -456,7 +456,7 @@
  NIS2 A: 5,6,15
  )))
--| |Threat Intelligence|Spravodajské služby pre zisťovanie existujúcich únikov dát, účtov, napodobňovaniu VIP osôb, spoofingu domén, preverovanie externých dodávateľov, Platforma pre správu externých hrozieb, plánovaných útokov a prípadných remediačných služieb pre verejný internet, alebo TakeDown služieb, služby monitorovanie Deep a Dark webu.|(((
++|(% style="width:228px" %) |(% style="width:43px" %)Threat Intelligence|(% style="width:656px" %)Spravodajské služby pre zisťovanie existujúcich únikov dát, účtov, napodobňovaniu VIP osôb, spoofingu domén, preverovanie externých dodávateľov, Platforma pre správu externých hrozieb, plánovaných útokov a prípadných remediačných služieb pre verejný internet, alebo TakeDown služieb, služby monitorovanie Deep a Dark webu.|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, d.
  ZoKB 69/2018, § 20 ods. 3 písm, k.
@@ -465,7 +465,7 @@
  NIS2 A: 5, 15
  )))
--| |DAST development|Kontinálne vyhodnocovanie a testovanie kódu web aplikácií z pohľadu bezpečnosti a doporučených best practicies na základe minimálne OWASP framework.|(((
++|(% style="width:228px" %) |(% style="width:43px" %)DAST development|(% style="width:656px" %)Kontinálne vyhodnocovanie a testovanie kódu web aplikácií z pohľadu bezpečnosti a doporučených best practicies na základe minimálne OWASP framework.|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, d
  Dora ch.3.
@@ -472,7 +472,7 @@
  NIS2 A: 5, 15
  )))
--| |IoC management|Chýbajúca tvorba vlastných Indicator of Compromise feeds, alebo import existujúcich IoC z overených zdrojov. Preverovanie podozrivých indikátorov na základe existujúcich IoC tretích strán|(((
++|(% style="width:228px" %) |(% style="width:43px" %)IoC management|(% style="width:656px" %)Chýbajúca tvorba vlastných Indicator of Compromise feeds, alebo import existujúcich IoC z overených zdrojov. Preverovanie podozrivých indikátorov na základe existujúcich IoC tretích strán|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, d.
  Dora ch. 18
@@ -479,7 +479,7 @@
  NIS2 A: 5, 15
  )))
--| |Physical NW security|Posilnenie dôveryhodnosti zariadení v rámci Intune + Device certifikáty a aplikovanie 802.1x na úrovni PKI pre pripojenie na WIFI alebo do fyzického portu (samotná CA infraštruktúra nie je predmetom tohto projektu). Aplikovanie centralizovaného mechanizmu pre nastavenie port security na switchoch, ktoré povoľujú komunikáciu pre zariadenie nekompatibilné z 802.1x štandardom, centralizovaný IP address management, ako aj vlastný DNS a DHCP server (nie je implementovaný Microsoft Networking, pretože celá infraštruktúra je cloud native v rámci Microsoft Entra a hybridný setup by bola komplikácia existujúceho stavu)|(((
++|(% style="width:228px" %) |(% style="width:43px" %)Physical NW security|(% style="width:656px" %)Posilnenie dôveryhodnosti zariadení v rámci Intune + Device certifikáty a aplikovanie 802.1x na úrovni PKI pre pripojenie na WIFI alebo do fyzického portu (samotná CA infraštruktúra nie je predmetom tohto projektu). Aplikovanie centralizovaného mechanizmu pre nastavenie port security na switchoch, ktoré povoľujú komunikáciu pre zariadenie nekompatibilné z 802.1x štandardom, centralizovaný IP address management, ako aj vlastný DNS a DHCP server (nie je implementovaný Microsoft Networking, pretože celá infraštruktúra je cloud native v rámci Microsoft Entra a hybridný setup by bola komplikácia existujúceho stavu)|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, f.
  ZoKB 69/2018, § 20 ods. 3 písm, k.
@@ -488,7 +488,7 @@
  NIS2 A: 5, 9, 15
  )))
--| |Incident Response|V rámci podpory pre všetky služby je zahrnutý „BreakFix“, čiže obnovenie operačnej prevádzky služby. Je nutné mať zakontrahované služby externého doávateľa pre vykonanie nezávislého auditu a riešenie kritických incidentov, ktoré vyplývajú z korelovaných zozbieraných dát (napríklad insider threats, ransomware multivektor attack, spear phishing), ako aj obnova služieb samotného rezortu a poskytovanie hĺbkoých forenzných vyšerovaní pre kritické prípady ohrozenia prevdzky alebo jej výpadku.|(((
++|(% style="width:228px" %) |(% style="width:43px" %)Incident Response|(% style="width:656px" %)V rámci podpory pre všetky služby je zahrnutý „BreakFix“, čiže obnovenie operačnej prevádzky služby. Je nutné mať zakontrahované služby externého doávateľa pre vykonanie nezávislého auditu a riešenie kritických incidentov, ktoré vyplývajú z korelovaných zozbieraných dát (napríklad insider threats, ransomware multivektor attack, spear phishing), ako aj obnova služieb samotného rezortu a poskytovanie hĺbkoých forenzných vyšerovaní pre kritické prípady ohrozenia prevdzky alebo jej výpadku.|(% style="width:274px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, j.
  ZoKB 69/2018, § 20 ods. 3 písm, k.

Zmeny dokumentu I-03 Prístup k projektu (pristup_k_projektu)

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?