Naposledy upravil Admin-metais MetaIS 2024/11/20 14:01
Z verzie 2.2
upravil milica_okaliova
-
Zmeniť komentár: Update document after refactoring.
Do verzie 3.1
upravil Admin-metais MetaIS
-
Zmeniť komentár: Pre túto verziu nie sú komentáre

Súhrn

Podrobnosti

Vlastnosti stránky
Názov
... ... @@ -1,1 +1,1 @@
1 -projektovy_zamer
1 +projekt_2306_Projektovy_zamer_detailny
Autor dokumentu
... ... @@ -1,1 +1,1 @@
1 -projdoc:XWiki.milica_okaliova
1 +XWiki.metais@vicepremier\.gov\.sk
Obsah
... ... @@ -1,24 +1,19 @@
1 -= {{id name="projekt_2306_Projektovy_zamer_detailny-Deklaráciasúladuprojektushorizontálnymprojektom[1]predopytovúvýzvu„RozvojgovernanceaúrovneinformačnejakybernetickejbezpečnostivpodsektoreVS(ďalejako„Deklaráciasúladu“)[2]"/}}Deklarácia súladu projektu s horizontálnym projektom[[**~[1~]**>>path:#_ftn1||name="_ftnref1" shape="rect"]] pre dopytovú výzvu „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS (ďalej ako „Deklarácia súladu“)[[**~[2~]**>>path:#_ftn2||name="_ftnref2" shape="rect"]] =
1 += {{id name="projekt_2306_Projektovy_zamer_detailny-Deklaráciasúladuprojektushorizontálnymprojektom[1]predopytovúvýzvu„RozvojgovernanceaúrovneinformačnejakybernetickejbezpečnostivpodsektoreVS(ďalejako„Deklaráciasúladu“)[2]"/}}Deklarácia súladu projektu s horizontálnym projektom[[(% class="wikiinternallink" %)**~[1~]**>>path:#_ftn1||name="_ftnref1" shape="rect"]](%%) pre dopytovú výzvu „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS (ďalej ako „Deklarácia súladu“)[[(% class="wikiinternallink" %)**~[2~]**>>path:#_ftn2||name="_ftnref2" shape="rect"]](%%) =
2 2  
3 -== {{id name="projekt_2306_Projektovy_zamer_detailny-a)Popisprojektu[3]"/}}a)     Popis projektu[[**~[3~]**>>path:#_ftn3||name="_ftnref3" shape="rect"]] ==
3 +== {{id name="projekt_2306_Projektovy_zamer_detailny-a)Popisprojektu[3]"/}}a)     Popis projektu[[(% class="wikiinternallink" %)**~[3~]**>>path:#_ftn3||name="_ftnref3" shape="rect"]](%%) ==
4 4  
5 -\\
6 6  
7 7  Cieľom nasadenia informačného systému (IS) Riadenie a správa privilegovaných účtov (RaSPU) a modulu evidenciu informačných aktív (EIA) je zabezpečiť hlavne centralizovanú správu, bezpečný prístup k heslám a zdieľaným účtom, riadenie prístupu k heslám, riadenie životného cyklu hesiel, riadenie prístupu privilegovaných užívateľov, riadenie prístupu k aktívam, real-time monitoring prístupu k aktívam v ICT infraštruktúre a aplikáciách, evidenciu informačných aktív (EIA), ich klasifikáciu, kategorizáciu IS a sietí, riadenie a vyhodnocovanie identifikovaných rizík, hrozieb, incidentov a bezpečnostných udalosti, pomáhať pri odhaľovaní prístupov, ktoré môžu ohroziť prevádzku informačných systémov ÚVO a tým obmedziť, prípadne znemožniť poskytovanie základných služieb.
8 8  
9 -\\
10 10  
11 11  Úrad pre verejné obstarávanie realizoval v roku 2021 Audit kybernetickej bezpečnosti v súlade so Zákonom 69/2018 Z.z. o kybernetickej bezpečnosti a zmene a doplnení niektorých zákonov. Následne boli vypracované smernice KaIB, prijaté bezpečnostné opatrenia a nastavená realizácia jednotlivých oblastí kybernetickej bezpečnosti.
12 12  
13 -\\
14 14  
15 15  Jedným z odporúčaní auditnej správy je v rámci kybernetickej bezpečnosti v súlade s §20, ods. 2 h) oblasť riadenia prístupov (§12 vyhlášky č. 362/2018 Z.z.) zvýšiť mieru kontroly, nastavenia a správy privilegovaných účtov a v súlade s plánom zrealizovať implementáciu centrálneho nástroja, ako aj v súlade s §20, ods. 2 b) oblasť riadenia aktív, hrozieb a rizík (§6 vyhlášky č. 362/2018 Z.z.) zlepšiť bezpečnostné opatrenia pre oblasť riadenia aktív, hrozieb a rizík.
16 16  
17 -\\
18 18  
19 19  Ako KPI projektu (Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov) bude nasadený SW nástroj na monitorovanie a riadenie bezpečnostných incidentov.
20 20  
21 -\\
22 22  
23 23  == {{id name="projekt_2306_Projektovy_zamer_detailny-b)Popisvýchodiskovejsituácie,relatívnadôležitosťkybernetickejbezpečnostiužiadateľa"/}}b)     Popis východiskovej situácie, relatívna dôležitosť kybernetickej bezpečnosti u žiadateľa ==
24 24  
... ... @@ -26,7 +26,6 @@
26 26  
27 27  Spôsob riadenia a správy účtov v operačných systémoch tvorí základný prvok informačnej bezpečnosti v organizácii. Dôraz musí byť kladený najmä na privilegované účty. Jedná sa o účty, ktoré majú v operačnom systéme vysoké oprávnenia. Jedná sa o účty typu root v Linux/UNIX systémoch, účty typu Administrátor vo Windows systémoch, systémové účty používané aplikáciami alebo zdieľané účty, ktoré nie sú viazané na jedinú fyzickú osobu, atď.
28 28  
29 -\\
30 30  
31 31  V podmienkach ÚVO to znamená správu prevažne externých privilegovaných účtov k:
32 32  
... ... @@ -40,7 +40,6 @@
40 40  
41 41  - atď.
42 42  
43 -\\
44 44  
45 45  **Riadenie IB a KB**
46 46  
... ... @@ -54,7 +54,6 @@
54 54  
55 55  - Úroveň implementácie, prevádzky a administrácie
56 56  
57 -\\
58 58  
59 59  Opatrenia zatiaľ nie sú prijaté v dostatočnom rozsahu a v adekvátnej miere, a to hlavne na úrovni IKT riešení.
60 60  
... ... @@ -147,7 +147,6 @@
147 147  02/2021
148 148  )))
149 149  
150 -\\
151 151  
152 152  Analýza rizík a BIA – nie je možné zverejňovať výsledky tejto analýzy, v prípade potreby oboznámiť sa s touto dokumentáciou je to možné na vyžiadanie (podľa oprávnenia). Taký istý prístup platí aj na dokument Stratégia informačnej a kybernetickej bezpečnosti.
153 153  
... ... @@ -155,7 +155,6 @@
155 155  
156 156  Evidenciu informačných aktív, ich klasifikáciu, kategorizáciu IS a sietí a riadenie identifikovaných rizík a incidentov plánujeme implementovať prostredníctvom klientskeho nástroja (modulu) CMRKB (Centralizovaný manažment riadenia kybernetickej bezpečnosti verejnej správy)
157 157  
158 -\\
159 159  
160 160  Riadenia a správu privilegovaných účtov plánujeme implementovať v rozsahu funkcionalít **PIM a PAM**.
161 161  
... ... @@ -171,7 +171,6 @@
171 171  
172 172  Riešenie má automatizovať, kontrolovať a zabezpečovať proces prideľovania privilegovaných poverení (pomocou správy hesiel, čiže privilegovaný užívateľ nepozná heslo do doby než ho potrebuje) so schvaľovateľmi úloh, núdzový prístup a exspiráciu platnosti politiky. Má zahŕňať taktiež schvaľovanie požiadaviek na heslo.
173 173  
174 -\\
175 175  
176 176  Riešenie by malo zabezpečiť hlavne:
177 177  
... ... @@ -190,13 +190,11 @@
190 190  * tvorba black-listov a white-listov,
191 191  * behaviorálnu analýzu správania užívateľov.
192 192  
193 -\\
194 194  
195 195  ÚVO zrealizovalo prieskum trhu a pred jeho spustením boli vypracované podrobné požiadavky na riešenia RaSPU v rozsahu príloh:
196 196  
197 197  * RFI_Privil_ucty_opis – Príloha k Deklarácií súladu
198 198  
199 -\\
200 200  
201 201  Uvedené podklady boli reálne použité v rámci daného RFI (prieskumu trhu), aby sme sa uistili, že požiadavky sú vhodne navrhnuté pre realizáciu projektu RaSPU.
202 202  
... ... @@ -226,7 +226,6 @@
226 226  7
227 227  )))
228 228  
229 -\\
230 230  
231 231  **Implementácia projektu bude pozostávať z nasledovných hlavných aktivít:**
232 232  
... ... @@ -249,11 +249,11 @@
249 249  |(((
250 250  Aktivita 2 - Nákup technických prostriedkov, programových prostriedkov a služieb
251 251  )))|(((
252 -\\
238 +
253 253  
254 254  10/2022-12/2022
255 255  )))|(((
256 -\\
242 +
257 257  
258 258  3
259 259  )))
... ... @@ -272,9 +272,7 @@
272 272  1
273 273  )))
274 274  
275 -\\
276 276  
277 -\\
278 278  
279 279  Hlavné aktivity:
280 280  
... ... @@ -329,7 +329,6 @@
329 329  
330 330  - Informačný systém RaSPU
331 331  
332 -\\
333 333  
334 334  Aktivity Implementácia a Testovanie, Nasadenie  prispievajú k splneniu KPI „Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov“ tým, že sa implementuje a prispôsobí potrebám ÚVO offline klient VISKB.
335 335  
... ... @@ -349,9 +349,8 @@
349 349  1. Uzatvorenie SLA zmluvy s dodávateľom diela na (Údržbu, t.j. odstraňovanie vád kategórií A, B, C v dohodnutých dňoch a časoch s definovanými časmi odozvy (response time) a časmi fixácie vzniknutého problému (fix time), zabezpečenie maintenance softvéru (update a upgrade), poskytovanie služieb Hotline)
350 350  1. Základný bezpečnostný monitoring, reporting, analytickú činnosť - Špecialistom informačnej a kybernetickej bezpečnosti.
351 351  
352 -\\
353 353  
354 -[[//**~[1~]**//>>path:#_ftnref1||name="_ftn1" shape="rect"]]// //[[Horizontálny projekt „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“>>url:https://metais.vicepremier.gov.sk/detail/Projekt/1ee7ab77-cc98-441e-827f-872698386460/cimaster?tab=documentsForm||shape="rect"]].
336 +[[(% class="wikiinternallink" %)//**~[1~]**//>>path:#_ftnref1||name="_ftn1" shape="rect"]](%%)//   //[[Horizontálny projekt „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“>>url:https://metais.vicepremier.gov.sk/detail/Projekt/1ee7ab77-cc98-441e-827f-872698386460/cimaster?tab=documentsForm||shape="rect"]].
355 355  
356 356  [[~[2~]>>path:#_ftnref2||name="_ftn2" shape="rect"]]  Minimálne obsahové a formálne náležitosti Deklarácie súladu sú uvedené v prílohe č. 9 Výzvy.
357 357