Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)

Naposledy upravil Gabriela Farkašová 2025/03/20 11:35

From 51.5 to 52.1 From 52.4 to 52.5

Z verzie 52.1

upravil Jozef Tomeček
-

Zmeniť komentár: Updated annotations

Do verzie 52.4

upravil Jozef Tomeček
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)
Prílohy (0 modified, 1 added, 0 removed)
- waf_ddos.png

Podrobnosti

Vlastnosti stránky

Obsah

@@ -273,10 +273,8 @@
  |(% style="width:67px" %)**ID**|(% style="width:180px" %)
  \\**Názov cieľa**|**Názov strategického cieľa**|**Spôsob realizácie strategického cieľa**
  |1.|Centralizované zabezpečenie a správa šifrovacích kľúčov|Centralizované zabezpečenie a správa šifrovacích kľúčov pre technické zabezpečenie dátovej suverenity a elimináciu neautorizovaného prístupu k údajom.|Pre dosiahnutie cieľa budú implementované nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovaného prístupu k údajom.
--|2.|Identifikovanie a riadenie bezpečnostných incidentov|Implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM)|Vyhodnocovanie a analýzy budú zabezpečené implementáciou nástroja SIEM.
--|3.|Monitoring a správa bezpečnostných hrozieb, udalostí a rizík|Monitoring a správa zraniteľností (vulnerability scaner), bezpečnostných hrozieb a riadenie rizík informačných a komunikačných systémov a technológií podľa ich kategorizácie.|Implementácia nástroja na monitoring a správu zraniteľností (vulnerability scaner), bezpečnostných hrozieb a riadenie rizík informačných a komunikačných systémov a technológií podľa ich kategorizácie.
--|4.|Ochrana prístupov, aplikácií a zariadení|Zamedzenie prístupu k závadnému a nebezpečnému obsahu, ochrana webových aplikácií, izolácia prístupov na základe kategorizácie a klasifikácie zariadení, aplikácií a údajov.|Implementácia nástrojov umožňujúcich filtrovanie obsahu, integráciu s Microsoft Entra, poskytujúcich funkcionality web aplikačného firewallu a umožňujúcich nastavenie pravidiel pre ochranu zariadení, aplikácií a prístupov.
--|5.|Overovanie prijatých opatrení kybernetickej bezpečnosti|Overovanie prijatých opatrení kybernetickej bezpečnosti realizáciou penetračných a phishingových testov pre zabezpečenie auditných a kontrolných činností|Overovanie prijatých opatrení kybernetickej bezpečnosti bude zabezpečené vykonávaním penetračných a phishingových testov.
++|2.|Identifikovanie a riadenie bezpečnostných incidentov a správa bezpečnostných hrozieb, udalostí a rizík|Implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM), rozšírený o Monitoring a správa zraniteľností (vulnerability scanner), bezpečnostných hrozieb a riadenie rizík informačných a komunikačných systémov a technológií podľa ich kategorizácie.|Vyhodnocovanie a analýzy budú zabezpečené implementáciou nástroja SIEM. Implementácia nástroja na monitoring a správu zraniteľností (vulnerability scanner), bezpečnostných hrozieb a riadenie rizík informačných a komunikačných systémov a technológií podľa ich kategorizácie.
++|3.|Overovanie prijatých opatrení kybernetickej bezpečnosti|Overovanie prijatých opatrení kybernetickej bezpečnosti realizáciou penetračných a phishingových testov pre zabezpečenie auditných a kontrolných činností|Overovanie prijatých opatrení kybernetickej bezpečnosti bude zabezpečené vykonávaním penetračných a phishingových testov.
  Tabuľka 4 Ciele projektu
@@ -283,6 +283,7 @@
  == {{id name="_Toc152607308"/}}3.5 Merateľné ukazovatele (KPI) ==
++(% style="width:1632px" %)
  |**ID**|
  \\**ID/Názov cieľa**|**Názov
   ukazovateľa **(KPI)|**Popis
@@ -291,7 +291,7 @@
   merateľné hodnoty
   **(aktuálne)|**TO BE
  Merateľné hodnoty
-- **(cieľové hodnoty)|**Spôsob ich merania**|**Pozn.**
++ **(cieľové hodnoty)|**Spôsob ich merania**|(% style="width:60px" %)**Pozn.**
  |1.|PO095 / PSKPSOI12|Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov|Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne, napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.|Verejné inštitúcie|0|1|(((
  Vykonanie interného auditu kybernetickej bezpečnosti po implementácií  technických opatrení na zistenie skutočnej úrovne prijatých bezpečnostných opatrení
@@ -298,7 +298,7 @@
  Čas plnenia:
  Fyzické ukončenie realizácie hlavných aktivít projektu
--)))|Výstup
++)))|(% style="width:60px" %)Výstup
  |2.|PR017 / PSKPRCR11|Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov|Počet používateľov v oblasti KB a IB|Počet|0|5|(((
  Vyhodnocovanie funkciami nástroja na analýzu logov a udalostí.
@@ -305,57 +305,35 @@
  Čas plnenia:
  V rámci udržateľnosti projektu
--)))|Výstup
--|3|1.|NW security pre zariadenia|Služby súvisiace so zaistením bezpečnosti klientov a serverových aplikácií po NW úrovni|Počet|0|150|(((
--Natívnymi implementovanými nástrojmi
++)))|(% style="width:60px" %)Výstup
++|3|3|NW security pre aplikácie|Služby súvisiace so zaistením bezpečnosti serverových aplikácií po NW úrovni|Počet|0|1|(((
++Natívnymi implementovanými nástrojmi WAF a DDoS
  Čas plnenia:
  V rámci udržateľnosti projektu
--)))|výstup
--|4|1.|Zabezpečenie kryptografického materiálu|Zabezpečenie kľúčov vo FIPS140-3 lvl 3 zariadení kompatibilnom a rozšíriteľnom o možnosti vládneho cloudu|počet|0|4|(((
--2 zariadenia typu HSM a 2 zariadenia typu KMS
++)))|(% style="width:60px" %)výstup
++|4|4|Zabezpečenie kryptografického materiálu|Zabezpečenie kľúčov vo FIPS140-3 lvl 3 zariadení kompatibilnom a rozšíritešnom o možnosti vládneho cloudu|počet|0|4|(((
++2 zariadenia typu HSM a 2 zaridenia tymu KMS
  Čas plnenia:
  V rámci udržateľnosti projektu
--)))|výstup
--|5|2.|SIEM a XDR systém|Zber logov zo zariadení a aplikácií a iných XDR čiastkových nástrojov, vyhodnocovanie udalostí a možnosť automatickej reakcie|počet|0|1|(((
++)))|(% style="width:60px" %)výstup
++|5|5|SIEM a TI systém|Zber logov zo zariadení a aplikácií a iných XDR čiastkových nástrojov, vyhodnocovanie udalostí a možnož automatickej reakcie|počet|0|1|(((
  Existencia centralizovanej platformy napojenej na Risk Management, attack surface, Threat Intell a exposure management
  Čas plnenia:
  V rámci udržateľnosti projektu
--)))|Výstup
--|6|3.|Exposure, Risk, CIAM|Centrálna evidencia v rámci bezpečnosti pre attack surface a risk management|počet|0|1|(((
--Existencia centralizovanej platformy napojenej na Risk Management, attack surface, Threat Intell a exposure management, Vulnerability management, a iné nástroje
--
--Čas plnenia:
--
--V rámci udržateľnosti projektu
--)))|výstup
--|7|3.|Spravodajská platforma / threat intelligence|Sledovanie a varovanie o plánovaných útokoch, uniknutých dátach a spravodajská platforma pre doplnenie detailov pre indikátory útokov|počet|0|1|(((
--Existencia centralizovanej platformy napojenej na Risk Management, attack surface, a exposure management, Vulnerability management, a iné nástroje infraštruktúry
--
--Čas plnenia:
--
--V rámci udržateľnosti projektu
--)))|výstup
--|8|4.|Fyzická bezpečnosť siete|Nástroj pre centrálnu správu nastavenia a auditovania portov, pripojiteľnosti zariadení|počet|0|1|(((
--Existencia nástroja v prosredí a reporty o aktívnych portoch
--
--Čas plnenia:
--
--V rámci udržateľnosti projektu
--)))|Výstup
--|9|2.|Incident respose|Kontrakt pre eskaláciu problémov v prípade núdze|počet|0|1|(((
++)))|(% style="width:60px" %)Výstup
++|6|6|Incident respose|Kontrakt pre eskaláciu problémov v prípade núdze a zabezpečenie proti Ransomware|počet|0|1|(((
  Zabezpečenie eskalačného kontraktu pre riešenie pokročilých kybernetických hrozieb a audit prostredia
  Čas plnenia:
  V rámci udržateľnosti projektu
--)))|výstup
--| | | | | | | | |
++)))|(% style="width:60px" %)výstup
  Tabuľka 5 Merateľné ukazovatele
@@ -421,8 +421,7 @@
  **Nevýhody:**
--* Vyššie počiatočné investície. Táto alternatíva si vyžaduje značné finančné a personálne zdroje na implementáciu nových technických riešení.
--* Dlhšie implementačné obdobie. Kompletné zavedenie systémov môže trvať určitý čas, počas ktorého je potrebné zabezpečiť priebežnú ochranu.
++* Vyššie počiatočné investície. Táto alternatíva si vyžaduje značné finančné na implementáciu nových technických riešení.
  === 3.8.3 Alternatíva 3 – Implementácia čiastkových opatrení pomocou vlastných možností a OpenSource riešení ===
@@ -437,7 +437,6 @@
  **Výhody:**
  * Nižšie náklady na implementáciu. Využitie OpenSource riešení a vlastných kapacít znamená nižšie počiatočné investície avšak OpenSourse si rovnako bude vyžadovať náklady spojené s poskytovaním podpory a interné kapacity ľudských zdrojov na jeho udržiavanie a upravovanie na potreby MinCRS SR a nové bezpečnostné hrozby, ktoré sa dynamicky menia.
--* Rýchlejšia implementácia niektorých opatrení. Vzhľadom na použitie dostupných nástrojov môžu byť niektoré opatrenia zavedené rýchlejšie.
  **Nevýhody:**
@@ -444,6 +444,8 @@
  * Nízka efektivita v dlhodobom horizonte. Čiastočné riešenia nemusia zabezpečiť dostatočnú ochranu IT a je vyšší predpoklad vzniku kybernetického bezpečnostného incidentu, čo môže viesť k vyšším nákladom na riešenie kybernetických bezpečnostných incidentov.
  * Riziko neefektívnosti. OpenSource riešenia nemusia byť komplexné, dostatočne  spoľahlivé alebo kompatibilné s ostatnými systémami, čo môže viesť k prevádzkovým problémom.
  * Nesplnenie zákonných povinností. Nepokrytie všetkých požiadaviek znamená pretrvávajúce riziko udelenia sankcií.
++* Dlhšia implementačná doba vzhľadom na absenciu interného personálu schopného integrovať riešenia od nuly bez zazmluvnenej podpory výrobcu
++* Chýbajúce medzinárodné certifikácie o bezpečnosti nasadzovaného riešenia
  == {{id name="_Toc152607316"/}}{{id name="_Toc272880027"/}}{{id name="_Toc1555402845"/}}{{id name="_Toc202773756"/}}{{id name="_Toc184325397"/}}{{id name="_Toc668554681"/}}{{id name="_Toc1254416069"/}}{{id name="_Toc1027950788"/}}{{id name="_Toc1148271670"/}}{{id name="_Toc113941326"/}}{{id name="_Toc531942663"/}}{{id name="_Toc154507425"/}}3.9 Multikriteriálna analýza ==
@@ -464,21 +464,40 @@
  {{id name="_Toc152607317"/}}{{id name="_Toc2141037501"/}}{{id name="_Toc305797393"/}}{{id name="_Toc757025235"/}}{{id name="_Toc799792984"/}}{{id name="_Toc1320898353"/}}{{id name="_Toc662890955"/}}{{id name="_Toc2002161453"/}}{{id name="_Toc463175707"/}}{{id name="_Toc660959900"/}}{{id name="_Toc1051940062"/}}{{id name="_Toc1081082045"/}}{{id name="_Toc47815700"/}}{{id name="_Toc521508981"/}}(% style="color:inherit; font-family:inherit; font-size:max(20px, min(24px, 12.8889px + 0.925926vw))" %)3.10 Stanovenie alternatív v aplikačnej vrstve architektúry
--Aplikačná vrstva pozostáva z plánovaných 20 aplikácií, ktoré sú postupne nasadzované, ich primárne použitie je pre interné potreby a nie je plánované ich publikovať do internetu pre širokú verejnosť. Z tohto dôvodu chceme zabezpečiť aplikácie pomocou ZTNA a SASE princípu pre minimalizovanie rizika útoku, nezaoberáme sa špecializovaným samoučiacim WAF alebo DDoS ochranou. Jednotlivé komponenty aplikácií sú prevažne postavené alebo plánované na využití microservices, čo znamená, že je nutné zabezpečiť integritu spojenia medzi jednotlivými službami.
++Aplikačná vrstva pozostáva z plánovaných 20 aplikácií, ktoré sú postupne nasadzované, ich primárne použitie je pre interné potreby a nie je plánované ich publikovať do internetu pre širokú verejnosť. Publikované aplikácie budú chránené pomocou WAF s DDoS ochranou. Vzhľadom na existenciu plnohodnotného NG firewall on-prem a aj v Azure Cloud sa neuvažuje s použitím ZTNA, aplikácie budú sprístupnené pomocou už existujúcich VPN koncentrátorov. Integritu komunikácie jednotlivých microservices v rámci prostredí bude zabezpečovať NG firewall za použitia IPSec tunelov.
--Externé systémy nie sú pripojené k interným aplikáciám, nie je to však vylúčené v blízkej budúcnosti. Bezpečnostný systém ako celok navrhujeme tak, aby bolo možné tieto prepojenia realizovať aj medzi komponentami Cloud infraštruktúry, kde tradičné VPN riešenie je neefektívne.
++Externé systémy nie sú pripojené k interným aplikáciám, nie je to však vylúčené v blízkej budúcnosti. Bezpečnostný systém ako celok navrhujeme tak, aby bolo možné tieto prepojenia realizovať aj medzi komponentami Cloud infraštruktúry, zabezpečenie je plánované na úrovni WAF s inšpekciou spojenia.
++Alternatívy zabezpečenia v aplikačnej vrstve:
++**Alternatíva 1: ponechanie existujúceho riešenia**
--Alternatívy zabezpečenia v aplikačnej vrstve:
++                Alternatíva je v rozpore so zákonom 69/2018 a jeho doplňujúcimi usmerneniami. V existujúcom stave nie je ministerstvo schopné zabezpečiť bezpečnosť dát naprieč systémami, odhaliť potenciálne riziko, predchádzať riziku na viacerých vrstvách (sieť), efektívne povoľovať prístup k aplikáciám a dátam pre užívateľov za perimetrom siete (filtrovanie spravovaných zariadení od nespravovaných), ako aj neschopnosť poskytnúť dostatočné dáta pre fornezné vyšetrovanie.
++**Alternatíva 2: Implementácia čiastkových opatrení pomocou vlastných možností a OpenSource riešení**
--**Alternatíva 1: ponechanie existujúceho riešenia**
++Táto alternatíva predpokladá implementáciu iba čiastkových technických opatrení s využitím dostupných riešení typu OpenSource a vlastných technických kapacít MinCRS SR. Riešenie by sa zameriavalo len na kritické oblasti a nešlo by o komplexný systémový prístup. Technické opatrenia by boli implementované postupne, s využitím existujúcich možností a kapacít. Doba implementácie by bola príliš dlhá.
--                Alternatíva je v rozpore so zákonom 69/2018 a jeho doplňujúcimi usmerneniami. V existujúcom stave nie je ministerstvo schopné zabezpečiť bezpečnosť dát naprieč systémami, odhaliť potenciálne riziko, predchádzať riziku na viacerých vrstvách (sieť), efektívne povoľovať prístup k aplikáciám a dátam pre užívateľov za perimetrom siete (filtrovanie spravovaných zariadení od nespravovaných), ako aj neschopnosť poskytnúť dostatočné dáta pre forenezné vyšetrovanie.
++Dôsledky implementácie čiastkových opatrení pomocou vlastných možností a OpenSource riešení:
--**Alternatíva 2: Implementácia navrhovaných technických opatrení**
++* Čiastočné zlepšenie kybernetickej bezpečnosti. Aj keď dôjde k zlepšeniu zabezpečenia infraštruktúry, toto riešenie nebude pokrývať všetky oblasti. Môže preto vzniknúť nerovnomerná ochrana v rôznych častiach IT MinCRS SR.
++* Nedostatočné odstránenie nesúladov z auditu kybernetickej bezpečnosti. Táto alternatíva by v krátkej dobe nezabezpečila zvýšenú zhodu so zákonnými povinnosťami, čím by zostali niektoré povinnosti aj naďalej nesplnené. Naďalej pretrváva riziko udelenia sankcií.
++* Obmedzené zlepšenie odolnosti proti kybernetickým útokom. Postupné a čiastkové riešenia by nezaručili úplnú ochranu, najmä v prípade vysoko sofistikovaných kybernetických útokov.
++Výhody:
++
++* Nižšie náklady na implementáciu. Využitie OpenSource riešení a vlastných kapacít znamená nižšie počiatočné investície avšak OpenSourse si rovnako bude vyžadovať náklady spojené s poskytovaním podpory a interné kapacity ľudských zdrojov na jeho udržiavanie a upravovanie na potreby MinCRS SR a nové bezpečnostné hrozby, ktoré sa dynamicky menia.
++
++Nevýhody:
++
++* Nízka efektivita v dlhodobom horizonte. Čiastočné riešenia nemusia zabezpečiť dostatočnú ochranu IT a je vyšší predpoklad vzniku kybernetického bezpečnostného incidentu, čo môže viesť k vyšším nákladom na riešenie kybernetických bezpečnostných incidentov.
++* Riziko neefektívnosti. OpenSource riešenia nemusia byť komplexné, dostatočne  spoľahlivé alebo kompatibilné s ostatnými systémami, čo môže viesť k prevádzkovým problémom.
++* Nesplnenie zákonných povinností. Nepokrytie všetkých požiadaviek znamená pretrvávajúce riziko udelenia sankcií.
++* Chýbajúca zábezpeka výrobcu, že dané riešenie bude inovované súbežne s vývojom nových hrozieb
++* Potreba udržovať expertné pozície pre vývoj riešení
++
++**Alternatíva 3: Implementácia navrhovaných technických opatrení**
++
  Táto alternatíva predstavuje systémové a komplexné riešenie zamerané na implementáciu moderných technických opatrení, ktoré zvýšia úroveň kybernetickej a informačnej bezpečnosti MinCRS SR. Ide o riešenie, ktoré zahŕňa zavedenie pokročilých technológií, ako je systém na riadenie a evidenciu prístupov, inventarizáciu, ochranu a kontrolu zariadení, ochranu údajov pred neautorizovaným prístupom, odcudzením a zneužitím, SIEM (Security Information and Event Management) pre identifikovanie a analyzovanie bezpečnostných udalostí, vulnerability scanner na detekciu zraniteľností na všetkých prvkoch infraštruktúry, ochranu záloh pred neautorizovanou obnovou a iných ochranných technológií.
  Zmena stavu dôsledkom implementácie navrhovaných technických opatrení:
@@ -492,7 +492,7 @@
  * Zvýšenie bezpečnosti infraštruktúry. Komplexné technické riešenie prinesie vysokú úroveň ochrany.
  * Prevencia pred kybernetickými bezpečnostnými incidentmi. Efektívne riadenie a monitorovanie bezpečnostných hrozieb a kybernetických bezpečnostných incidentov v reálnom čase pre odhalenie útokov zvonku aj zvnútra.
  * Dlhodobé úspory. Investícia do komplexného riešenia znižuje budúce náklady spojené s riešením potenciálnych kybernetických bezpečnostných incidentov alebo sankcií za nesplnenie zákonných požiadaviek.
--* Ručenie za funkčnosť riešenia a jeho aktualizácia a adaptácia na nové hrozby 3ťou stranou
++* Ručenie za funkčnosť riečenia a jeho aktualizácia a adaptácia na nové hrozby 3ťou stranou
  * Nie je nutné mať vysoko kvalifikovaných expertov pre rozvoj a údržbu riešenia. Takýto experti nie sú ekonomicky udržateľní v rámci využiteľnosti na vnútorné potreby.
  Nevýhody:
@@ -500,53 +500,24 @@
  * Vyššie počiatočné investície. Táto alternatíva si vyžaduje finančné zdroje na implementáciu nových technických riešení.
  * Kompletné zavedenie systémov môže trvať určitý čas, počas ktorého je potrebné zabezpečiť priebežnú ochranu.
--**Alternatíva 3: Implementácia čiastkových opatrení pomocou vlastných možností a OpenSource riešení**
--
--Táto alternatíva predpokladá implementáciu iba čiastkových technických opatrení s využitím dostupných riešení typu OpenSource a vlastných technických kapacít MinCRS SR. Riešenie by sa zameriavalo len na kritické oblasti a nešlo by o komplexný systémový prístup. Technické opatrenia by boli implementované postupne, s využitím existujúcich možností a kapacít. Doba implementácie by bola príliš dlhá.
--
--Dôsledky implementácie čiastkových opatrení pomocou vlastných možností a OpenSource riešení:
--
--* Čiastočné zlepšenie kybernetickej bezpečnosti. Aj keď dôjde k zlepšeniu zabezpečenia infraštruktúry, toto riešenie nebude pokrývať všetky oblasti. Môže preto vzniknúť nerovnomerná ochrana v rôznych častiach IT MinCRS SR.
--* Nedostatočné odstránenie nesúladov z auditu kybernetickej bezpečnosti. Táto alternatíva by v krátkej dobe nezabezpečila zvýšenú zhodu so zákonnými povinnosťami, čím by zostali niektoré povinnosti aj naďalej nesplnené. Naďalej pretrváva riziko udelenia sankcií.
--* Obmedzené zlepšenie odolnosti proti kybernetickým útokom. Postupné a čiastkové riešenia by nezaručili úplnú ochranu, najmä v prípade vysoko sofistikovaných kybernetických útokov.
--
--Výhody:
--
--* Nižšie náklady na implementáciu. Využitie OpenSource riešení a vlastných kapacít znamená nižšie počiatočné investície avšak OpenSourse si rovnako bude vyžadovať náklady spojené s poskytovaním podpory a interné kapacity ľudských zdrojov na jeho udržiavanie a upravovanie na potreby MinCRS SR a nové bezpečnostné hrozby, ktoré sa dynamicky menia.
--* Rýchlejšia implementácia niektorých opatrení. Vzhľadom na použitie dostupných nástrojov môžu byť niektoré opatrenia zavedené rýchlejšie.
--
--Nevýhody:
--
--* Nízka efektivita v dlhodobom horizonte. Čiastočné riešenia nemusia zabezpečiť dostatočnú ochranu IT a je vyšší predpoklad vzniku kybernetického bezpečnostného incidentu, čo môže viesť k vyšším nákladom na riešenie kybernetických bezpečnostných incidentov.
--* Riziko neefektívnosti. OpenSource riešenia nemusia byť komplexné, dostatočne  spoľahlivé alebo kompatibilné s ostatnými systémami, čo môže viesť k prevádzkovým problémom.
--* Nesplnenie zákonných povinností. Nepokrytie všetkých požiadaviek znamená pretrvávajúce riziko udelenia sankcií.
--* Chýbajúca zábezpeka výrobcu, že dané riešenie bude inovované súbežne s vývojom nových hrozieb
--* Potreba udržovať expertné pozície pre vývoj riešení
--
  == {{id name="_Toc152607318"/}}{{id name="_Toc1308618109"/}}{{id name="_Toc1709724880"/}}{{id name="_Toc1118245238"/}}{{id name="_Toc416893103"/}}{{id name="_Toc1814703501"/}}{{id name="_Toc1969952445"/}}{{id name="_Toc1495260625"/}}{{id name="_Toc1603455053"/}}{{id name="_Toc245422461"/}}{{id name="_Toc1058442113"/}}{{id name="_Toc2040067840"/}}{{id name="_Toc47815701"/}}{{id name="_Toc521508982"/}}3.11 Stanovenie alternatív v technologickej vrstve architektúry ==
--Pripojenie celej sieťovej infraštruktúry je prostredníctvom verejného internetu, v súčasnej dobe nemonitorované a dodatočne nechránené. Jediná ochrana prepoju medzi komponentami a sieťami je pomocou TLS spojení. Legacy systémy hostované v Azure a vládnom cloude sú chránené pomocou peer to site VPN, izolované štandardným firewallom poskytovaným v rámci Cloud prostredia. V prípade Azure hovoríme o statefull firewall. Pri existujúcom nasadený je iba obmedzený prehľad o dátových tokoch (v prostredí M365), nie sme schopní identifikovať insider threats. Na základe existujúcich bezpečnostných služieb, ktoré sú súčasťou M365 E5 je možné iba čiastočne identifikovať, resp. zabrániť úniku dát.
++Pripojenie celej sieťovej infraštruktúry je prostredníctvom verejného internetu, v súčasnej dobe monitorované prostredníctvom NG FW služieb a dodatočne chránené prostredníctvom S2S VPN. Jediná ochrana prepoju medzi komponentami a sieťami je pomocou TLS spojení. LAN sieť v centrálnej lokalite je chránená NG FW s implementovanou mikrosegmentáciou pre hosting serverových služieb v interných priestoroch. FW  spolu s Microsoft Networking zabezpečuje centralizovaným spôsobom IPAM, DNS, DHCP, 802.1x. Fyzická bezpečnosť portov a prestupových pravidiel je centralizovaná prostredníctvom Network Access Control komponentu.
--LAN sieť v centrálnej lokalite je chránená NG FW s implementovanou mikrosegmentáciou pre hosting serverových služieb v interných priestoroch. Je tu absencia centralizovaného IPAM, DNS security, DHCP security, 802.1x. Fyzická bezpečnosť portov a prestupových pravidiel je bez možnosti auditu a potrebnej centralizácie.
--
  = {{id name="_Toc152607319"/}}{{id name="_Toc235638817"/}}{{id name="_Toc2038485909"/}}{{id name="_Toc1889369710"/}}{{id name="_Toc54886926"/}}{{id name="_Toc472227250"/}}{{id name="_Toc1379517775"/}}{{id name="_Toc540855301"/}}{{id name="_Toc1475201524"/}}{{id name="_Toc1214716058"/}}{{id name="_Toc240714683"/}}{{id name="_Toc476051484"/}}{{id name="_Toc47815703"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =
  * Projektové výstupy v zmysle vyhlášky 401/2023 o riadení projektov
--* (CASB, ZTNA, DLP, WAF) implementovaná ochrana prístupov k internetu, ochrana internetových aplikácií, správa prístupov k aplikáciám, sledovanie toku dát a ochrana pred odcudzením na základe kontextu a klasifikácie
--* (HSM, KMS, HYOK) implementované nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dátam
--* (SIEM, XDR) implementované nástroje pre centrálnu evidenciu logov z informačných systémov a  zavedené procesy pre vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktivít
--* (Exposure, Risk, Vulnerability, CIAM) implementované nástroje a zavedené procesy pre posudzovanie a kategorizáciu potenciálnych rizík, vrátane správy zraniteľností, aplikačného testovania, a korektnej konfigurácie cloud prostredí a prístupov
--* (Threat Intelligence, IoC, Supply Chain) implementované nástroje a zavedené procesy na preverovanie bezpečnosti dodávateľského reťazca, integráciu známych bezpečnostných hrozieb a charakteristík do interných bezpečnostných nástrojov, zisťovanie a odhaľovanie potenciálnych plánovaných útokov, zisťovanie a dokazovanie zneužitia mena a prípadných únikov dát
--* (IPAM, 802.1x) implementované zabezpečenie základných sieťových služieb v heterogénnom prostredí pre DNS, DHCP, IPAM, 802.1X, physical port security
--* implementované incident response, remediation a auditné služby a procesy
--* rozšírenie výpočtového výkonu hypervisorovej farmy pre potreby nasadzovaných security technológií
--* vypracovaný bezpečnostný projekt pre zmapovanie prostredia, zavedenie procesov a politík
++* Kryptografia: nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dátam
++* SIEM a TI:  nástroj pre centrálnu evidenciu logov z informačných systémov a následné vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktivít, platforma pre sumarizáciu a zhodnotenie Attack Surface, Risk Management, Exposure Management, obohatenie informácií z externého ako aj interného prostredia prostredníctvom Vulnerability management, Cloud Posture a nástrojov pre kontinuálne testovanie bezpečnosti webových aplikácií ako aj monitoring externého prostredia prostredníctvom Threat Intelligence a Platformy pre IoC management
++* Incident response, remediation a audit služba s proaktívnou ochranou proti Ransomware nezávislou od AV riešenia
++* Web Aplikačný Firewal s DDoS ochranou webových aplikácií
++* Bezpečnostný projekt pre zmapovanie prostredia, zavedenie procesov a politík podľa Zákona 69/2018 (Kybernetická bezpečnosť, 95/2019 (IT verejnej správy), 18/2018 (GDPR), Školiace materiály pre MKB, riadenie kontinuity (BCP, BIA, DRP), vulenrability a incident management a pridružené procesy podľa ITIL/ITSM, klasifikácia informácií, bezpečnosť koncových prvkov, a služby bezpečnostného architekta počas implementácie projektu
  = {{id name="_Toc982854671"/}}{{id name="_Toc744122543"/}}{{id name="_Toc1493751813"/}}{{id name="_Toc452731307"/}}{{id name="_Toc1695646942"/}}{{id name="_Toc534841930"/}}{{id name="_Toc654836100"/}}{{id name="_Toc1570812277"/}}{{id name="_Toc1016816405"/}}{{id name="_Toc609127555"/}}{{id name="_Toc1888607264"/}}{{id name="_Toc47815704"/}}5. NÁHĽAD ARCHITEKTÚRY =
  [[image:1735579792213-181.png]]
--Existujúce prostredie je umiestnené vo verejnom cloude, vládnom cloude a vo vlastných priestoroch (1 lokácia). Dominantná platforma z pohľadu počtu aplikácií, jednoduchosti a efektívnosti rozvoja je zvolená Microsoft Azure a Microsoft 365, pričom väčšina aplikácií je založená na princípe Cloud Native Appliactions & Microservices. Aplikácia ISšport je naviazaná na externé vstupy z CSRU a GP, preto je umiestnená v prostredí vládneho cloudu a prepojená prostredníctvom GOVNET siete. Celý tento aplikačný celok je izolovaný od ostatných aplikácií alebo verejného internetu.
++Existujúce prostredie je umiestnené vo verejnom cloude, vládnom cloude a vo vlastných priestoroch (1 lokácia). Dominantná platforma z pohľadu počtu aplikácií, jednoduchosti a efektívnosti rozvoja je zvolená Microsoft Azure a Microsoft 365, pričom väčšina aplikácií je založená na princípe Cloud Native Appliactions & Microservices. Systém ISŠport je naviazaný na externé vstupy z CSRU a GP, preto je umiestnená v prostredí vládneho cloud, a prepojená prostredníctvom GOVNET siete. Celý tento aplikačný celok je izolovaný od ostatných aplikácií alebo verejného internetu. Internú izoláciu zabezpečuje perimetrický a segmentový NG Firewall, ktorý má site-to-site VPN do Azure prostredia cez NG Firewall v Azure prostredí od rovnakého výrobcu ako v on-prem.
  Technologická architektúra sa oproti súčasnému stavu nemení a bude prevádzkovaná v rovnakom technologickom prostredí. Technologická vrstva budúceho stavu vychádza zo súčasného stavu a bude podporená novými nasadenými bezpečnostnými nástrojmi prevádzkovanými na viacerých technológiách. To znamená, že existujúci stav postavený na princípe dostupnosti prostredníctvom verejného internetu bude zachovaný a chceme implementovať bezpečnostné nástroje pre efektívne obmedzenie komunikácie. Takto zachovaná decentralizácia z pohľadu hostingu služieb a pripojení je efektívna pre jednoduché sťahovanie funkčných celkov a dáva možnosti optimalizácie nákladov, ako postupné navyšovanie výkonu podľa aktuálnych potrieb v čase.
@@ -553,12 +553,10 @@
  [[**Šifrovanie, zabezpečenie a management šifrovacích kľúčov**>>image:Encryption.png||alt="key_management_encryption"]]
--[[**Fyzická sieťová bezpečnosť**>>image:NW_physical_security.png||alt="physical_network_security"]]
++[[**WAF a DDOS ochrana**>>image:waf_ddos.png||alt="waf_ddos_protection"]]
--[[**Sieťová bezpečnosť**>>image:NW_security.png||alt="network_security"]]
--
  [[**Identifikácia a management hrozieb a útokov**>>image:xdr_ti_soar.png||alt="xdr_ti_soar"]]
@@ -565,8 +565,8 @@
  Zhodnotenie existujúceho stavu bezpečnostnej architektúry a návrh požadovaného rozšírenia:
--|**Existujúce riešenie Microsoft 365 E5**|**Požadované rozšírenie:**|(% style="width:679px" %)**Poznámka**|(% style="width:251px" %)**Legislatívna úprava**
--|Microsoft Entra ID P2 (IAM + MFA)| |(% style="width:679px" %)Plne vyhovujúce požiadavkám na centrálnu evidenciu účtov a zariadení. Microsoft Entra P2 + MFA je natívne využiteľné pre SAML a OpenID overovanie pre web aplikácie s tzv. Modern Authentication, pričom rozšírenie o Microsoft NPS server umožňuje použitie RADIUS protokolu pre legacy aplikácie (napr. VPN)|(% style="width:251px" %)(((
++|(% style="width:240px" %)**Existujúce riešenie Microsoft 365 E5**|(% style="width:80px" %)**Požadované rozšírenie:**|(% style="width:1022px" %)**Poznámka**|(% style="width:290px" %)**Legislatívna úprava**
++|(% style="width:240px" %)Microsoft Entra ID P2 (IAM + MFA)|(% style="width:80px" %) |(% style="width:1022px" %)Plne vyhovujúce požiadavkám na centrálnu evidenciu účtov a zariadení. Microsoft Entra P2 + MFA je natívne využiteľné pre SAML a OpenID overovanie pre web aplikácie s tzv. Modern Authentication, pričom rozšírenie o Microsoft NPS server umožňuje použitie RADIUS protokolu pre legacy aplikácie (napr. VPN)|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, c.
  ZoKB 69/2018, § 20 ods. 3 písm, h.
@@ -575,7 +575,7 @@
  NIS2 A: 5,10
  )))
--|Microsoft Defender for Endpoint|ZTNA, CASB|(% style="width:679px" %)Antivírus dostupný pre Windows, Linux, Android, iOS. Podporovaná je aj aplikačná izolácia pomocou work profile s absenciou NGFW služieb na klientskej strane. Vážne nedostatky bez ZTNA prístupu kontrolujúceho spojenie a doplňujúce URLF sú napríklad fileless útoky napr. na úrovni IPS. Nutné je rozšírenie existujúceho riešenia o NG FW služby pre aktívny Web protection a browser isolation.|(% style="width:251px" %)(((
++|(% style="width:240px" %)Microsoft Defender for Endpoint|(% style="width:80px" %) |(% style="width:1022px" %)Antivírus dostupný pre Windows, Linux, Android, iOS. Podporovaná je aj aplikačná izolácia pomocou work profile s absenciou NGFW služieb na klientskej strane. Tieto nedostatky sú dostatočne riešené prostredníctvom NG FW  doplneného URLF a IPS (napríklad fileless útoky).|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, f.
  Dora ch.14
@@ -582,7 +582,7 @@
  NIS2 A: 5, 15
  )))
--|Microsoft Defender XDR|SIEM a SOAR riešenie|(% style="width:679px" %)Existujúce riešenie je viazané iba na služby M365 bez dodatočnej možnosti integrácie 3rd party nástrojov pre audit a rozšírenú automatizáciu externých vendorov|(% style="width:251px" %)(((
++|(% style="width:240px" %)Microsoft Defender XDR|(% style="width:80px" %)SIEM a SOAR riešenie|(% style="width:1022px" %)Existujúce riešenie je viazané iba na služby M365 bez dodatočnej možnosti integrácie 3rd party nástrojov pre audit a rozšírenú automatizáciu externých vendorov. Potrebné je rozšírenie pre automatické vyhodnocovanie hrozieb z Azure prostredia, koncových staníc, 3ťo stranových komponentov a aplikácií s možnosťou automatických reakcií a doplňovania informácí z tretích strán.|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, e.
  ZoKB 69/2018, § 20 ods. 3 písm, j.
@@ -589,7 +589,7 @@
  NIS2 A: 5, 6
  )))
--|Microsoft Defender for Identity| |(% style="width:679px" %)Plne vyhovujúce riešenie|(% style="width:251px" %)(((
++|(% style="width:240px" %)Microsoft Defender for Identity|(% style="width:80px" %) |(% style="width:1022px" %)Plne vyhovujúce riešenie|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, e.
  Dora ch.4
@@ -596,7 +596,7 @@
  NIS2 A: 5,10
  )))
--|Microsoft Defender for Cloud Apps|ZTNA, CASB|(% style="width:679px" %)Existujúce riešenie má viditeľnosť pre SaaS riešenia v rámci M365 integrácie, nerieši externé prostredie Azure, legacy systémy, vládny cloud, integrácie na microservisy z 3tích strán, nemá v bezpečnostné kontroly proti škodlivému kódu (IPS, antimalware, antibot, DNS protection, URL filtering, WAF)|(% style="width:251px" %)(((
++|(% style="width:240px" %)Microsoft Defender for Cloud Apps|(% style="width:80px" %) |(% style="width:1022px" %)Existujúce riešenie má viditeľnosť pre SaaS riešenia v rámci M365 integrácie, nerieši externé prostredie Azure, legacy systémy, vládny cloud, integrácie na microservisy z 3tích strán. Tieto nedostatky sú riešené prostredníctvom 3rd party NG FW riešenia s plnou podporou dodtaočných služieb (IPS, antimalware, antibot, DNS protection, URL filtering, WAF)|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, f.
  ZoKB 69/2018, § 20 ods. 3 písm, e.
@@ -605,7 +605,7 @@
  NIS2 A: 5,10, 15
  )))
--|Microsoft Defender for Office 365|DLP|(% style="width:679px" %)Dostatočná ochrana pre Email, MS-Teams, Sharepoint. s absenciou DLP zabraňujúcemu úniku dát za pomoci sofistikovanejších metód. |(% style="width:251px" %)(((
++|(% style="width:240px" %)Microsoft Defender for Office 365|(% style="width:80px" %) |(% style="width:1022px" %)Dostatočná ochrana pre Email, MS-Teams, Sharepoint. DLP zabraňujúce úniku dát za pomoci sofistikovanejších metód nie je zatiaľ nutné integrovať vzhľadom na množstvo a klasifikáciu spracovaných dát. Citlivé dáta budú zaistené prostredníctvom KMS.|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, e.
  Dora ch.13
@@ -612,7 +612,7 @@
  NIS 2 A: 5, 9
  )))
--|Information Protection and Governance|HSM, KMS|(% style="width:679px" %)Ochrana je výhradne v rámci M365 prostredia, bez dodatočnej kryptografie. Pri rozšírení služieb o Azure Vault nie je zabezpečená dátová suverenita, pretože kľúče aj dáta sú spravované jedným subjektom.|(% style="width:251px" %)(((
++|(% style="width:240px" %)Information Protection and Governance|(% style="width:80px" %)HSM, KMS|(% style="width:1022px" %)Ochrana je výhradne v rámci M365 prostredia, bez dodatočnej kryptografie. Pri rozšírení služieb o Azure Vault nie je zabezpečená dátová suverenita, pretože kľúče aj dáta sú spravované jedným subjektom.|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, i.
  ZoKB 69/2018, § 20 ods. 3 písm, l.
@@ -621,7 +621,7 @@
  NIS 2 A 5, 10
  )))
--|Microsoft Purview eDiscovery|CASB, DLP|(% style="width:679px" %)Iba čiastočne vyhovujúce riešenie, zamerané výhradne na prostredie M365. Je nutné rozšíriť viditeľnosť a smerovanie dát aj mimo prostredia M365 do externých systémov. PurView eDiscovery je čiastočné riešenie pre komplexnejšie DLP.|(% style="width:251px" %)(((
++|(% style="width:240px" %)Microsoft Purview eDiscovery|(% style="width:80px" %) |(% style="width:1022px" %)čiastočne vyhovujúce riešenie, zamerané výhradne na prostredie M365. Viditeľnosť a smerovanie dát mimo prostredia M365 do externých systémov je zabezpečená prostredníctvom content filtering na úrovni NG FW. PurView eDiscovery je čiastočné riešenie pre komplexnejšie DLP, ktoré nie je nutné zatiaľ implementovať.|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, l.
  Dora ch.13, 15
@@ -628,7 +628,7 @@
  NIS2 A: 15
  )))
--|Microsoft Purview Insider Risk Management|DLP|(% style="width:679px" %)Nevyhovujúce riešenie, ktoré nepokrýva Android klientov (cca 40% zariadení). Riešenie má výrazné kvalitatívne nedostatky, kde medzi hlavné patrí nefunkčnosť klienta v offline režime (teda nie je to aktívna ochrana na koncových zariadeniach), alebo ignorovanie kompresovaných dát v druhej úrovni. Samotné riešenie neefektívne vyhodnocuje potenciálne hrozby, umožňuje obmedzenie prístupu k dátam iba na úrovni conditional access namiesto napr. podmienej kryptografie|(% style="width:251px" %)(((
++|(% style="width:240px" %)Microsoft Purview Insider Risk Management|(% style="width:80px" %) |(% style="width:1022px" %)Riešenie nepokrýva Android klientov (cca 40% zariadení). Riešenie má výrazné kvalitatívne nedostatky, kde medzi hlavné patrí nefunkčnosť klienta v offline režime (teda nie je to aktívna ochrana na koncových zariadeniach), alebo ignorovanie kompresovaných dát v druhej úrovni. Samotné riešenie neefektívne vyhodnocuje potenciálne hrozby, umožňuje obmedzenie prístupu k dátam iba na úrovni conditional access namiesto napr. podmienej kryptografie. V rámci efektívneho zabezpečenia prístup k dátam bude limitovaný výhradne na Windows pracovné stanice prostredníctvom compliance check (InTune)|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, j.
  ZoKB 69/2018, § 20 ods. 3 písm, l.
@@ -637,13 +637,13 @@
  NIS2 A 5, 9
  )))
--|Endpoint analytics proactive remediation| |(% style="width:679px" %)Dostatočné riešenie|(% style="width:251px" %)(((
++|(% style="width:240px" %)Endpoint analytics proactive remediation|(% style="width:80px" %) |(% style="width:1022px" %)Nedostatočné riešenie pre interaktívny Incident Response. Riešenie je postavené výhradne na playblocks, ktoré rozširujeme o inteaktívne riešenie v rámci Incident response nástrojov|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, e.
  NIS2 A 5, 9
  )))
--|Windows Autopatch| |(% style="width:679px" %)Akceptované riešenie s vážnymi nedostatkami na detekciu a reportovanie existujúcich zraniteľností, obmedzená funkcionalita pre patch management výrobcov tretích strán, obmedzená multiplatformová podpora|(% style="width:251px" %)ZoKB 69/2018, § 20 ods. 3 písm, e.
--|Windows Hello| |(% style="width:679px" %)Riešenie dostatočné,nevhodn0 bez PKI z hľadiska implementácie centralizácie správy kľúčov. Samotný Windows Hello for Business je natívne viazaný na FIDO2 alebo PKI, ktorá nie je súčasťou M365 E5. Vystavanie PKI nie je súčasťou tohto projektu, aj keď prostredie je pripravené na 802.1x, ktorú je možné naviazať na Azure CA zaistenú HSM/KMS a distribúciu cez SCEP prostredníctvom Intune. Samotný RADIUS na strane 802.1x overovania je na to prispôsobený v sekcii Port a Network security.|(% style="width:251px" %)(((
++|(% style="width:240px" %)Windows Autopatch|(% style="width:80px" %)Vulnerability management|(% style="width:1022px" %)Akceptované riešenie s vážnymi nedostatkami na detekciu a reportovanie existujúcich zraniteľností, obmedzená funkcionalita pre patch management výrobcov tretích strán, obmedzená multiplatformová podpora a bezagntský sken|(% style="width:290px" %)ZoKB 69/2018, § 20 ods. 3 písm, e.
++|(% style="width:240px" %)Windows Hello|(% style="width:80px" %) |(% style="width:1022px" %)Riešenie dostatočné,nevhodn0 bez PKI z hľadiska implementácie centralizácie správy kľúčov. Samotný Windows Hello for Business je natívne viazaný na FIDO2 alebo PKI, ktorá nie je súčasťou M365 E5. Vystavanie PKI nie je súčasťou tohto projektu, aj keď prostredie je pripravené na 802.1x, ktorú je možné naviazať na Azure CA zaistenú HSM/KMS a distribúciu cez SCEP prostredníctvom Intune. Samotný RADIUS na strane 802.1x overovania je na to prispôsobený v sekcii Port a Network security.|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, f.
  Dora ch.12, 13, 16, 17
@@ -650,7 +650,7 @@
  NIS2 A: 5,10
  )))
--|DirectAccess|ZTNA|(% style="width:679px" %)Riešenie supluje tradičný VPN koncentrátor bez pridanej hodnoty na čistotu spojenia (NG FW ochrany toku dát) Direct Access nie je použiteľný na prepoj microservisov v rámci SaaS aplikácií.|(% style="width:251px" %)(((
++|(% style="width:240px" %)DirectAccess|(% style="width:80px" %) |(% style="width:1022px" %)Riešenie supluje tradičný VPN koncentrátor bez pridanej hodnoty na čistotu spojenia (NG FW ochrany toku dát) Direct Access nie je použiteľný na prepoj microservisov v rámci SaaS aplikácií. Zabezpečujeme pomocou NG FW.|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, f.
  ZoKB 69/2018, § 20 ods. 3 písm, l.
@@ -659,13 +659,13 @@
  NIS2 A: 5,10, 15
  )))
--|Mobile Device Management| |(% style="width:679px" %)Nevyhovujúce riešenie, ktoré však dopĺňajú dodatočné produkty v balíku (Intune + Defender)|(% style="width:251px" %)(((
++|(% style="width:240px" %)Mobile Device Management|(% style="width:80px" %) |(% style="width:1022px" %)Nevyhovujúce riešenie, ktoré však dopĺňajú dodatočné produkty v balíku (Intune + Defender)|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, e.
  NIS 2 A 5, 9
  )))
--|Microsoft Intune| |(% style="width:679px" %)Vyhovujúce riešenie|(% style="width:251px" %)ZoKB 69/2018, § 20 ods. 3 písm, e.
--|Microsoft Pureview Data Loss Prevention (for email and files)|DLP|(% style="width:679px" %)Nevyhovujúce riešenie obmedzené iba na únik dát z prostredia M365. Pre DLP je nutné mať všetky vrstvy (SaaS, Cloud, Endpoint, Network) v jednom konsolidovanom prostredí s centrálnou identifikáciou hrozieb.|(% style="width:251px" %)(((
++|(% style="width:240px" %)Microsoft Intune|(% style="width:80px" %) |(% style="width:1022px" %)Vyhovujúce riešenie|(% style="width:290px" %)ZoKB 69/2018, § 20 ods. 3 písm, e.
++|(% style="width:240px" %)Microsoft Pureview Data Loss Prevention (for email and files)|(% style="width:80px" %) |(% style="width:1022px" %)Riešenie obmedzené iba na únik dát z prostredia M365. Pre DLP je nutné mať všetky vrstvy (SaaS, Cloud, Endpoint, Network) v jednom konsolidovanom prostredí s centrálnou identifikáciou hrozieb. Vzhľadom na dostupnosť content filtering na úrovni NG FW zatiaľ nepovažujeme za nutné doplniť sofistikované riešenie.|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, l.
  Dora ch.15, 18
@@ -672,9 +672,9 @@
  NIS2 A5, 9
  )))
--|Credential Guard| |(% style="width:679px" %)Vyhovujúce riešenie|(% style="width:251px" %)
--|Device Guard| |(% style="width:679px" %)Vyhovujúce riešenie|(% style="width:251px" %)
--|Microsoft Security and Compliance Center|Exposure and Risk Management|(% style="width:679px" %)Nevyhovujúce riešenie aplikovateľné iba pre M365 platformu a spravované zariadenia. V rámci centralizácie je nutné vykryť všetky legacy systémy v každom prostredí, ako aj 3rd party SaaS aplikácie a ich vzájomné prepojenia. V rámci služby je chýbajúca kontinuálna kontrola na potenciálne exploity pre jednotlivé zariadenia a aplikácie, ako aj centrálny audit využiteľnosti práv a prístupov, kompletne absentujúca je dokumentácia kritickej cesty pre potenciálne zraniteľnosti alebo zneužitia systémov. Z pohľadu nekompletnosti vstupov nie je možné efektívne vypracovávať analýzu funkčného dopadu.|(% style="width:251px" %)(((
++|(% style="width:240px" %)Credential Guard|(% style="width:80px" %) |(% style="width:1022px" %)Vyhovujúce riešenie|(% style="width:290px" %)
++|(% style="width:240px" %)Device Guard|(% style="width:80px" %) |(% style="width:1022px" %)Vyhovujúce riešenie|(% style="width:290px" %)
++|(% style="width:240px" %)Microsoft Security and Compliance Center|(% style="width:80px" %)Exposure and Risk Management|(% style="width:1022px" %)Nevyhovujúce riešenie aplikovateľné iba pre M365 platformu a spravované zariadenia. V rámci centralizácie je nutné vykryť všetky legacy systémy v každom prostredí, ako aj 3rd party SaaS aplikácie a ich vzájomné prepojenia. V rámci služby je chýbajúca kontinuálna kontrola na potenciálne exploity pre jednotlivé zariadenia a aplikácie, ako aj centrálny audit využiteľnosti práv a prístupov, kompletne absentujúca je dokumentácia kritickej cesty pre potenciálne zraniteľnosti alebo zneužitia systémov. Z pohľadu nekompletnosti vstupov nie je možné efektívne vypracovávať analýzu funkčného dopadu.|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, b.
  ZoKB 69/2018, § 20 ods. 3 písm, d.
@@ -685,7 +685,7 @@
  NIS2 A: 5,6,15
  )))
--| |Threat Intelligence|(% style="width:679px" %)Spravodajské služby pre zisťovanie existujúcich únikov dát, účtov, napodobňovaniu VIP osôb, spoofingu domén, preverovanie externých dodávateľov, Platforma pre správu externých hrozieb, plánovaných útokov a prípadných remediačných služieb pre verejný internet, alebo TakeDown služieb, služby monitorovanie Deep a Dark webu.|(% style="width:251px" %)(((
++|(% style="width:240px" %) |(% style="width:80px" %)Threat Intelligence|(% style="width:1022px" %)Spravodajské služby pre zisťovanie existujúcich únikov dát, účtov, napodobňovaniu VIP osôb, spoofingu domén, preverovanie externých dodávateľov, Platforma pre správu externých hrozieb, plánovaných útokov a prípadných remediačných služieb pre verejný internet, alebo TakeDown služieb, služby monitorovanie Deep a Dark webu.|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, d.
  ZoKB 69/2018, § 20 ods. 3 písm, k.
@@ -694,7 +694,7 @@
  NIS2 A: 5, 15
  )))
--| |DAST development|(% style="width:679px" %)Kontinálne vyhodnocovanie a testovanie kódu web aplikácií z pohľadu bezpečnosti a doporučených best practicies na základe minimálne OWASP framework.|(% style="width:251px" %)(((
++|(% style="width:240px" %) |(% style="width:80px" %)DAST development|(% style="width:1022px" %)Kontinálne vyhodnocovanie a testovanie kódu web aplikácií z pohľadu bezpečnosti a doporučených best practicies na základe minimálne OWASP framework.|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, d
  Dora ch.3.
@@ -701,7 +701,7 @@
  NIS2 A: 5, 15
  )))
--| |IoC management|(% style="width:679px" %)Chýbajúca tvorba vlastných Indicator of Compromise feeds, alebo import existujúcich IoC z overených zdrojov. Preverovanie podozrivých indikátorov na základe existujúcich IoC tretích strán|(% style="width:251px" %)(((
++|(% style="width:240px" %) |(% style="width:80px" %)IoC management|(% style="width:1022px" %)Chýbajúca tvorba vlastných Indicator of Compromise feeds, alebo import existujúcich IoC z overených zdrojov. Preverovanie podozrivých indikátorov na základe existujúcich IoC tretích strán|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, d.
  Dora ch. 18
@@ -708,16 +708,7 @@
  NIS2 A: 5, 15
  )))
--| |Physical NW security|(% style="width:679px" %)Posilnenie dôveryhodnosti zariadení v rámci Intune + Device certifikáty a aplikovanie 802.1x na úrovni PKI pre pripojenie na WIFI alebo do fyzického portu (samotná CA infraštruktúra nie je predmetom tohto projektu). Aplikovanie centralizovaného mechanizmu pre nastavenie port security na switchoch, ktoré povoľujú komunikáciu pre zariadenie nekompatibilné z 802.1x štandardom, centralizovaný IP address management, ako aj vlastný DNS a DHCP server (nie je implementovaný Microsoft Networking, pretože celá infraštruktúra je cloud native v rámci Microsoft Entra a hybridný setup by bola komplikácia existujúceho stavu)|(% style="width:251px" %)(((
--ZoKB 69/2018, § 20 ods. 3 písm, f.
--
--ZoKB 69/2018, § 20 ods. 3 písm, k.
--
--Dora ch.13, 14
--
--NIS2 A: 5, 9, 15
--)))
--| |Incident Response|(% style="width:679px" %)V rámci podpory pre všetky služby je zahrnutý „BreakFix“, čiže obnovenie operačnej prevádzky služby. Je nutné mať zakontrahované služby externého doávateľa pre vykonanie nezávislého auditu a riešenie kritických incidentov, ktoré vyplývajú z korelovaných zozbieraných dát (napríklad insider threats, ransomware multivektor attack, spear phishing), ako aj obnova služieb samotného rezortu a poskytovanie hĺbkoých forenzných vyšerovaní pre kritické prípady ohrozenia prevdzky alebo jej výpadku.|(% style="width:251px" %)(((
++|(% style="width:240px" %) |(% style="width:80px" %)Incident Response|(% style="width:1022px" %)V rámci podpory pre všetky služby je zahrnutý „BreakFix“, čiže obnovenie operačnej prevádzky služby. Je nutné mať zakontrahované služby externého doávateľa pre vykonanie nezávislého auditu a riešenie kritických incidentov, ktoré vyplývajú z korelovaných zozbieraných dát (napríklad insider threats, ransomware multivektor attack, spear phishing), ako aj obnova služieb samotného rezortu a poskytovanie hĺbkoých forenzných vyšerovaní pre kritické prípady ohrozenia prevdzky alebo jej výpadku.|(% style="width:290px" %)(((
  ZoKB 69/2018, § 20 ods. 3 písm, j.
  ZoKB 69/2018, § 20 ods. 3 písm, k.
@@ -729,21 +729,15 @@
  Požadovaný stav:
--* (CASB, ZTNA, DLP, WAF) ochrana prístupov k internetu, ochrana internetových aplikácií, správa prístupov k aplikáciám, sledovanie toku dát a ochrana pred odcudzením na základe kontextu a klasifikácie
--**  Požadujeme nástroj, ktorý vie dodať aktívny URL filtering pre obmedzenie prístupu k nebezpečným alebo nemorálnym stránkam, phishingovým kampaniam alebo spoofovanému obsahu.
--**  Súčasťou riešenia musí byť izolácia prehliadača tak, aby nemohlo byť kompromitované zariadenie pri pokuse o návštevu nebezpečných stránok, ak je povolená výnimka (napr. pre potreby threat intelligence)
--**  riešenie musí pridať vrstvu bezpečnosti na úrovni NG FW (IPS, URLF, Content awareness) pre všetky zariadenia a platformy bez ohľadu na to, či sa nachádzajú na verejnom internete alebo v perimetri siete
--**  Technológia musí byť integrovateľná na Microsoft Entra pre overovanie identity za účelom ZTNA prístupu k CNAPP. Zo serverovej strany je nutné vyhodnocovať, či sa jedná prístup k firemným prostriedkom zo spravovaného zariadenia alebo generický prístup a na základe toho aplikovať pravidlá prístupu (napr. prístup na OWA je povolený bez možnosti stiahnuť dokumenty, vs prístup k OneDrive a Sharepoint bude zamietnutý)
--**  Publikované aplikácie musia byť chránené Web Aplikačným firewallom so základnou DDoS ochranou
--**  Na spravovaných zariadeniach ako aj na sieťovej úrovni musia byť aplikovateľné DLP nastavenia pre kontrolu a obmedzenie prístupu k dokumentom podľa klasifikácie.
--* (HSM, KMS, HYOK) nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dátam
--**  je požadované zabezpečenie dátovej suverenity prostredníctvom on-prem HSM modulu, ktorý s nadstavbou pre KMS je schopný v Azure prostredí zabezpečiť BYOK do Azure Vault, pripadne HYOK v prostredí Azure blob encryption alebo M365 prostredníctvom Doble Key Encryption
++* Kryptografické nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dátam
++*
++** je požadované zabezpečenie dátovej suverenity prostredníctvom on-prem HSM modulu, ktorý s nadstavbou pre KMS je schopný v Azure prostredí zabezpečiť BYOK do Azure Vault, pripadne HYOK v prostredí Azure blob encryption alebo M365 prostredníctvom Doble Key Encryption
  **  Key Management systém musí umožňovať centralizovanú správu kľúčov pre Legacy aplikácie, Transprent Encryption na úrovni filesystému s možnosťou Ransomware protection na základe identity užívateľa alebo servisu a procesu.
  **  Je nutná integrácia KMS servera na základe identity do SQL systémov ako aj CNAPP databáz a aplikácií pre kryptovanie štruktúrovaných dát
  **  KMS systém musí zabezpečovať tokenizáciu údajov minimálne prostredníctvom REAST API, vítaná je podpora C, .NET, Java SDK
  **  KMS server musí vedieť spravovať kľúče primárne pre Azure, sekundárne aj pre ďalšie nadnárodné cloud prostredia (AWS, GoogleCloud, ...) pre využitie multicloud prostredia do budúcna. Požadovaná je funkcionalita poskytovania kľúčov aj do vládneho cloud prostredia
  **  Nuntý je integrovaný systém v KMS pre rotáciou a versioning kľúčov, pričom dáta musia byť rešifrované bez obmedzenia dostupnosti, nikdy sa nemôžu nachádzať v systéme v nezakryptovanom stave.
--* (SIEM, XDR) nástroj pre centrálnu evidenciu logov z informačných systémov a následné vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktivít
++* SIEM a Threat Intelligence nástroj pre centrálnu evidenciu logov z informačných systémov a následné vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktivít
  **  Nástroj pre centrálnu archiváciu logov z IT systémov, ktorý logy normalizuje pre účely efektívneho vyhľadávania a dodatočnej korelácie údajov
  **  Pravidlá pre detekciu korelačných pravidiel podľa MITRE ATTACK vektorov musí byť aktualizované pravidelne výrobcom s možnosťou doplnenia vlastných pravidiel a detekčných metód, a to aj na základe deviácie metrík.
  **  Integrácia s M365 auditnými logmi, Azure logmi
@@ -752,28 +752,19 @@
  **  Integrácia na 3rd party security vendorov a natívne porozumenie ich logom.
  **  Súčasťou musí produktu musí byť neobmedzená SOAR platforma s verejným market place pre doplňovanie integrácií na 3ťostranové bezpečnostné produkty
  **  Samotný nástroj musí umožňovať natívne komplexné DFIR analýzy minimálne za týždeň pred vznikom incidentu. Incidenty musia byt pre identitu alebo zariadenie zobrazene v časovej osi, kde musia byť viditeľné aj prislúchajúce SOAR akcie (remediačné, alebo automatické doplnenie dát)
--* (Exposure, Risk, Vulnerability, CIAM) nástroj pre posudzovanie a kategorizáciu potenciálnych rizík, vrátane správy zraniteľností, aplikačného testovania, a korektnej konfigurácie cloud prostredí a prístupov.
++** platforma pre sumarizáciu a zhodnotenie Attack Surface,
++**  platforma pre centrálnu evidenciu Risk Management,
++**  platforma pre evidenciu a tracking Exposure Management,
++**  platforma pre obohatenie informácií z externého ako aj interného prostredia prostredníctvom Vulnerability management,
++**  platforma pre kontrolu Cloud Posture, Nástroj v prípade identifikovania hrozieb musí robiť kategorizáciu hrozieb ako aj musí byť schopný vykresliť prípadnú attack path
++**  platforma pre kontinuálne testovanie bezpečnosti webových aplikácií
++**  platfroma pre monitoring externého prostredia prostredníctvom Threat Intelligence a Platformy pre IoC management
  **  Nástroj pre správu zraniteľností s detailnou možnosťou reportovania trendov a nájdených detailov. Nástroj musí mať agenta pre efektívny sken, musí vykonávať bez sken bez agenta, musí umožniť kaskádovanie skenovacieho engine do jednotlivých prostredí alebo segmentov siete
--**  Nástroj zabezpečuje compliance management s preddefinovanými politikami minimálne podľa všeobecných CIS noriem
--**  Nástroj pre kontrolu bezpečnosti kódu a pravidelného DAST testovania s integrovaným portálom pre evidenciu zistení a ich následné odstraňovanie
--**  Nástroj pre detekciu exponovaných služieb do rôznych segmentov siete / internetu a ich zabezpečenia
--**  Nástroj pre evidenciu a vyhodnocovanie Posture management minimálne pre Azure cloud aplikácie ako aj samotnú Azure infraštruktúru. Nástroj v prípade identifikovania hrozieb musí robiť kategorizáciu hrozieb ako aj musí byť schopný vykresliť prípadnú attack path
--**  Nástroj pre CIAM evidenciu prav, prístupov a ich auditovanie s aktívnym upozorňovaním na nepoužívané účty, prípadne účty zo zmenou príznakov v čase (v náväznosti na atribúty Microsoft Entra účtov).
--**  Posture management a CIAM nástroj musí byť univerzálny s rovnakým názvoslovým pre využitie minimálne v AWS a Google Cloud
--* (Threat Intell, IoC, Supply Chain) Nástroj na preverovanie bezpečnosti dodávateľského reťazca, integráciu známych bezpečnostných hrozieb a charakteristík do interných bezpečnostných nástrojov, zisťovanie a odhaľovanie potenciálnych plánovaných útokov, zisťovanie a dokazovanie zneužitia mena a prípadných únikov dát
--**  V náväznosti na identifikáciu rizík požadujeme nasadenie nástroja s prístupom k nezávislým 3ťostranovým IoC a ich prevzatie do interných bezpečnostných technológií
--**  Nástroj musí mať integrovaný portál pre evidenciu externých rizík a ich vyšetrovanie
--**  Nástroj musí prehľadávať deep web a dark web na prítomnosť citlivých informácií na základe kľúčových slov
--**  Nástroj musí generovať reporty pre ohodnocovanie rizík 3tej strany (jednorázové a pravidelné preverovanie externých dodávateľov)
--**  Nástroj musí identifikovať pokusy o zneužitie značky, VIP osôb alebo interných aplikácií a web portálov
--* (IPAM, 802.1x) zabezpečenie základných NW služieb heterogénnom prostredí pre DNS, DHCP, IPAM, 802.1X, physical port security
--** všetky komponenty v clustrovom prevedení pre vysokú dostupnosť. s exportom logov do centrálneho SIEM
--** manažment cez web rozhranie pre všetky komponenty, vrátane reportingu a monitoringu
--** DNS server, DHCP server s rozšírenými rezerváciami a auditným logovaním
--** IPAM
--** 802.1x (RADIUS server vrátane suplikanta) pre iOS, Android, MacOS, Linux, Windows
--** Switch management s definiciou port rules, port protection, MAC restriction, Spanning tree definition, monitoring compliance nastavení pre jednotlivé porty,
--**  Network Access Control na úrovni automatizácie zapínania portov
++**  Nástroj pre compliance management s preddefinovanými politikami minimálne podľa všeobecných CIS noriem
++**  Nástroj pre CIAM evidenciu práv, prístupov a ich auditovanie s aktívnym upozorňovaním na nepoužívané účty, prípadne účty zo zmenou príznakov v čase (v náväznosti na atribúty Microsoft Entra účtov).
++** Nástroj na preverovanie bezpečnosti dodávateľského reťazca, integráciu známych bezpečnostných hrozieb a charakteristík do interných bezpečnostných nástrojov, zisťovanie a odhaľovanie potenciálnych plánovaných útokov, zisťovanie a dokazovanie zneužitia mena a prípadných únikov dát
++** V nadväznosti na identifikáciu rizík požadujeme nasadenie nástroja s prístupom k nezávislým 3ťostranovým IoC a ich prevzatie do interných bezpečnostných technológií, Nástroj musí mať integrovaný portál pre evidenciu externých rizík a ich vyšetrovanie, musí prehľadávať deep web a dark web na prítomnosť citlivých informácií na základe kľúčových slov, musí generovať reporty pre ohodnocovanie rizík 3tej strany (jednorazové a pravidelné preverovanie externých dodávateľov)
++** Nástroj pre identifikáciu pokusov o zneužitie značky, VIP osôb alebo interných aplikácií a web portálov
  * incident response, remediation a audit služba
  **  služba nezávislého dodávateľa pre audit prostredia, procesov
  **  identifikácia komplexného vektora útoku
@@ -781,15 +781,14 @@
  **  Red teaming a preverovanie pripravenosti na útoky a schopnosť interne odhaliť prebiehajúci útok
  **  Kontrola a odporúčanie pre plány kritických situácii pre zastavenie prebiehajúcich útokov, zvrátenia útokov, minimalizovanie škôd
  **  Identifikácia insider threads z logov
--* Zabezpečenie rozšírenia výpočtového výkonu hypervisorovej farmy pre potreby nasadzovaných security technológii
--**  rozšírenie VMware clustra o kompatibilný node tak, aby bol umožnený presun virtuálnych serverov medzi jednotlivými módmi bez výpadku (vMotion na základe CPU compatibility)
--* Bezpečnostný projekt ISVS, podľa prílohy č. 3 vyhlášky UPVII č. 179/2020 Z. z. pre zmapovanie prostredia, zavedenie procesov a politík
++**  rozšírená ochrana proti ransomware, nezávislá od AV riešenia, s možnosťou zberu artefaktov pre DFIR vyšetrovanie a interaktívny incident response.
++* Bezpečnostný projekt pre zmapovanie prostredia, zavedenie procesov a politík
  ** Školiace materiály pre MKB a technikov,
  ** riadenie kontinuity (BCP, BIA, DRP),
  **  management zraniteľností a incident management a pridružené procesy podľa ITIL/ITSM,
  ** klasifikácia informácií,
  ** bezpečnosť koncových prvkov,
--** služby bezpečnostného architekta počas implementácie projektu.
++** služby bezpečnostného architekta počas implementácie projektu
  == {{id name="_Toc152607321"/}}{{id name="_Toc823562243"/}}5.1 Prehľad e-Government komponentov ==
@@ -871,13 +871,13 @@
  (odhad termínu)
  )))|**POZNÁMKA**
  |1.|Prípravná fáza a Iniciačná fáza|11/2024|03/2025|
--|2.|Realizačná fáza|04/2025|06/2027|
--|2a|Analýza a Dizajn|04/2025|10/2025|
--|2b|Nákup technických prostriedkov, programových prostriedkov a služieb|08/2025|04/2026|
--|2c|Implementácia a testovanie|02/2026|08/2026|
--|2d|Nasadenie a PIP|05/2026|06/2027|
--|3.|Dokončovacia fáza|07/2027|09/2027|
--|4.|Podpora prevádzky (SLA)|10/2027|09/2032|
++|2.|Realizačná fáza|04/2025|11/2025|
++|2a|Analýza a Dizajn|04/2025|05/2025|
++|2b|Nákup technických prostriedkov, programových prostriedkov a služieb|05/2025|09/2025|
++|2c|Implementácia a testovanie|06/2025|10/2025|
++|2d|Nasadenie a PIP|07/2025|10/2025|
++|3.|Dokončovacia fáza|10/2025|11/2025|
++|4.|Podpora prevádzky (SLA)|12/2025|12/2032|
  = {{id name="_Toc510413660"/}}{{id name="_Toc152607325"/}}{{id name="_Toc1722900095"/}}{{id name="_Toc1548891642"/}}{{id name="_Toc1524307507"/}}{{id name="_Toc926619902"/}}{{id name="_Toc369843141"/}}{{id name="_Toc1228095438"/}}{{id name="_Toc1350957483"/}}{{id name="_Toc1726013925"/}}{{id name="_Toc651796977"/}}{{id name="_Toc1094373969"/}}{{id name="_Toc425060707"/}}{{id name="_Toc47815708"/}}9.PROJEKTOVÝ TÍM =

waf_ddos.png

Autor

...	...	@@ -1,0 +1,1 @@
	1	+XWiki.jozef\.tomecek@mincrs\.sk

Veľkosť

...	...	@@ -1,0 +1,1 @@
	1	+8.4 KB

Obsah

Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)

Súhrn

Podrobnosti

Aplikácie

Navigácia

Tips

Moje posledné úpravy

Need help?