Naposledy upravil Admin-metais MetaIS 2024/11/20 14:01
Z verzie 3.1
upravil Admin-metais MetaIS
-
Zmeniť komentár: Pre túto verziu nie sú komentáre
Do verzie 2.2
upravil milica_okaliova
-
Zmeniť komentár: Update document after refactoring.

Súhrn

Podrobnosti

Vlastnosti stránky
Názov
... ... @@ -1,1 +1,1 @@
1 -projekt_2306_Projektovy_zamer_detailny
1 +projektovy_zamer
Autor dokumentu
... ... @@ -1,1 +1,1 @@
1 -XWiki.metais@vicepremier\.gov\.sk
1 +projdoc:XWiki.milica_okaliova
Obsah
... ... @@ -1,19 +1,24 @@
1 -= {{id name="projekt_2306_Projektovy_zamer_detailny-Deklaráciasúladuprojektushorizontálnymprojektom[1]predopytovúvýzvu„RozvojgovernanceaúrovneinformačnejakybernetickejbezpečnostivpodsektoreVS(ďalejako„Deklaráciasúladu“)[2]"/}}Deklarácia súladu projektu s horizontálnym projektom[[(% class="wikiinternallink" %)**~[1~]**>>path:#_ftn1||name="_ftnref1" shape="rect"]](%%) pre dopytovú výzvu „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS (ďalej ako „Deklarácia súladu“)[[(% class="wikiinternallink" %)**~[2~]**>>path:#_ftn2||name="_ftnref2" shape="rect"]](%%) =
1 += {{id name="projekt_2306_Projektovy_zamer_detailny-Deklaráciasúladuprojektushorizontálnymprojektom[1]predopytovúvýzvu„RozvojgovernanceaúrovneinformačnejakybernetickejbezpečnostivpodsektoreVS(ďalejako„Deklaráciasúladu“)[2]"/}}Deklarácia súladu projektu s horizontálnym projektom[[**~[1~]**>>path:#_ftn1||name="_ftnref1" shape="rect"]] pre dopytovú výzvu „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS (ďalej ako „Deklarácia súladu“)[[**~[2~]**>>path:#_ftn2||name="_ftnref2" shape="rect"]] =
2 2  
3 -== {{id name="projekt_2306_Projektovy_zamer_detailny-a)Popisprojektu[3]"/}}a)     Popis projektu[[(% class="wikiinternallink" %)**~[3~]**>>path:#_ftn3||name="_ftnref3" shape="rect"]](%%) ==
3 +== {{id name="projekt_2306_Projektovy_zamer_detailny-a)Popisprojektu[3]"/}}a)     Popis projektu[[**~[3~]**>>path:#_ftn3||name="_ftnref3" shape="rect"]] ==
4 4  
5 +\\
5 5  
6 6  Cieľom nasadenia informačného systému (IS) Riadenie a správa privilegovaných účtov (RaSPU) a modulu evidenciu informačných aktív (EIA) je zabezpečiť hlavne centralizovanú správu, bezpečný prístup k heslám a zdieľaným účtom, riadenie prístupu k heslám, riadenie životného cyklu hesiel, riadenie prístupu privilegovaných užívateľov, riadenie prístupu k aktívam, real-time monitoring prístupu k aktívam v ICT infraštruktúre a aplikáciách, evidenciu informačných aktív (EIA), ich klasifikáciu, kategorizáciu IS a sietí, riadenie a vyhodnocovanie identifikovaných rizík, hrozieb, incidentov a bezpečnostných udalosti, pomáhať pri odhaľovaní prístupov, ktoré môžu ohroziť prevádzku informačných systémov ÚVO a tým obmedziť, prípadne znemožniť poskytovanie základných služieb.
7 7  
9 +\\
8 8  
9 9  Úrad pre verejné obstarávanie realizoval v roku 2021 Audit kybernetickej bezpečnosti v súlade so Zákonom 69/2018 Z.z. o kybernetickej bezpečnosti a zmene a doplnení niektorých zákonov. Následne boli vypracované smernice KaIB, prijaté bezpečnostné opatrenia a nastavená realizácia jednotlivých oblastí kybernetickej bezpečnosti.
10 10  
13 +\\
11 11  
12 12  Jedným z odporúčaní auditnej správy je v rámci kybernetickej bezpečnosti v súlade s §20, ods. 2 h) oblasť riadenia prístupov (§12 vyhlášky č. 362/2018 Z.z.) zvýšiť mieru kontroly, nastavenia a správy privilegovaných účtov a v súlade s plánom zrealizovať implementáciu centrálneho nástroja, ako aj v súlade s §20, ods. 2 b) oblasť riadenia aktív, hrozieb a rizík (§6 vyhlášky č. 362/2018 Z.z.) zlepšiť bezpečnostné opatrenia pre oblasť riadenia aktív, hrozieb a rizík.
13 13  
17 +\\
14 14  
15 15  Ako KPI projektu (Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov) bude nasadený SW nástroj na monitorovanie a riadenie bezpečnostných incidentov.
16 16  
21 +\\
17 17  
18 18  == {{id name="projekt_2306_Projektovy_zamer_detailny-b)Popisvýchodiskovejsituácie,relatívnadôležitosťkybernetickejbezpečnostiužiadateľa"/}}b)     Popis východiskovej situácie, relatívna dôležitosť kybernetickej bezpečnosti u žiadateľa ==
19 19  
... ... @@ -21,6 +21,7 @@
21 21  
22 22  Spôsob riadenia a správy účtov v operačných systémoch tvorí základný prvok informačnej bezpečnosti v organizácii. Dôraz musí byť kladený najmä na privilegované účty. Jedná sa o účty, ktoré majú v operačnom systéme vysoké oprávnenia. Jedná sa o účty typu root v Linux/UNIX systémoch, účty typu Administrátor vo Windows systémoch, systémové účty používané aplikáciami alebo zdieľané účty, ktoré nie sú viazané na jedinú fyzickú osobu, atď.
23 23  
29 +\\
24 24  
25 25  V podmienkach ÚVO to znamená správu prevažne externých privilegovaných účtov k:
26 26  
... ... @@ -34,6 +34,7 @@
34 34  
35 35  - atď.
36 36  
43 +\\
37 37  
38 38  **Riadenie IB a KB**
39 39  
... ... @@ -47,6 +47,7 @@
47 47  
48 48  - Úroveň implementácie, prevádzky a administrácie
49 49  
57 +\\
50 50  
51 51  Opatrenia zatiaľ nie sú prijaté v dostatočnom rozsahu a v adekvátnej miere, a to hlavne na úrovni IKT riešení.
52 52  
... ... @@ -139,6 +139,7 @@
139 139  02/2021
140 140  )))
141 141  
150 +\\
142 142  
143 143  Analýza rizík a BIA – nie je možné zverejňovať výsledky tejto analýzy, v prípade potreby oboznámiť sa s touto dokumentáciou je to možné na vyžiadanie (podľa oprávnenia). Taký istý prístup platí aj na dokument Stratégia informačnej a kybernetickej bezpečnosti.
144 144  
... ... @@ -146,6 +146,7 @@
146 146  
147 147  Evidenciu informačných aktív, ich klasifikáciu, kategorizáciu IS a sietí a riadenie identifikovaných rizík a incidentov plánujeme implementovať prostredníctvom klientskeho nástroja (modulu) CMRKB (Centralizovaný manažment riadenia kybernetickej bezpečnosti verejnej správy)
148 148  
158 +\\
149 149  
150 150  Riadenia a správu privilegovaných účtov plánujeme implementovať v rozsahu funkcionalít **PIM a PAM**.
151 151  
... ... @@ -161,6 +161,7 @@
161 161  
162 162  Riešenie má automatizovať, kontrolovať a zabezpečovať proces prideľovania privilegovaných poverení (pomocou správy hesiel, čiže privilegovaný užívateľ nepozná heslo do doby než ho potrebuje) so schvaľovateľmi úloh, núdzový prístup a exspiráciu platnosti politiky. Má zahŕňať taktiež schvaľovanie požiadaviek na heslo.
163 163  
174 +\\
164 164  
165 165  Riešenie by malo zabezpečiť hlavne:
166 166  
... ... @@ -179,11 +179,13 @@
179 179  * tvorba black-listov a white-listov,
180 180  * behaviorálnu analýzu správania užívateľov.
181 181  
193 +\\
182 182  
183 183  ÚVO zrealizovalo prieskum trhu a pred jeho spustením boli vypracované podrobné požiadavky na riešenia RaSPU v rozsahu príloh:
184 184  
185 185  * RFI_Privil_ucty_opis – Príloha k Deklarácií súladu
186 186  
199 +\\
187 187  
188 188  Uvedené podklady boli reálne použité v rámci daného RFI (prieskumu trhu), aby sme sa uistili, že požiadavky sú vhodne navrhnuté pre realizáciu projektu RaSPU.
189 189  
... ... @@ -213,6 +213,7 @@
213 213  7
214 214  )))
215 215  
229 +\\
216 216  
217 217  **Implementácia projektu bude pozostávať z nasledovných hlavných aktivít:**
218 218  
... ... @@ -235,11 +235,11 @@
235 235  |(((
236 236  Aktivita 2 - Nákup technických prostriedkov, programových prostriedkov a služieb
237 237  )))|(((
238 -
252 +\\
239 239  
240 240  10/2022-12/2022
241 241  )))|(((
242 -
256 +\\
243 243  
244 244  3
245 245  )))
... ... @@ -258,7 +258,9 @@
258 258  1
259 259  )))
260 260  
275 +\\
261 261  
277 +\\
262 262  
263 263  Hlavné aktivity:
264 264  
... ... @@ -313,6 +313,7 @@
313 313  
314 314  - Informačný systém RaSPU
315 315  
332 +\\
316 316  
317 317  Aktivity Implementácia a Testovanie, Nasadenie  prispievajú k splneniu KPI „Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov“ tým, že sa implementuje a prispôsobí potrebám ÚVO offline klient VISKB.
318 318  
... ... @@ -332,8 +332,9 @@
332 332  1. Uzatvorenie SLA zmluvy s dodávateľom diela na (Údržbu, t.j. odstraňovanie vád kategórií A, B, C v dohodnutých dňoch a časoch s definovanými časmi odozvy (response time) a časmi fixácie vzniknutého problému (fix time), zabezpečenie maintenance softvéru (update a upgrade), poskytovanie služieb Hotline)
333 333  1. Základný bezpečnostný monitoring, reporting, analytickú činnosť - Špecialistom informačnej a kybernetickej bezpečnosti.
334 334  
352 +\\
335 335  
336 -[[(% class="wikiinternallink" %)//**~[1~]**//>>path:#_ftnref1||name="_ftn1" shape="rect"]](%%)//   //[[Horizontálny projekt „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“>>url:https://metais.vicepremier.gov.sk/detail/Projekt/1ee7ab77-cc98-441e-827f-872698386460/cimaster?tab=documentsForm||shape="rect"]].
354 +[[//**~[1~]**//>>path:#_ftnref1||name="_ftn1" shape="rect"]]// //[[Horizontálny projekt „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“>>url:https://metais.vicepremier.gov.sk/detail/Projekt/1ee7ab77-cc98-441e-827f-872698386460/cimaster?tab=documentsForm||shape="rect"]].
337 337  
338 338  [[~[2~]>>path:#_ftnref2||name="_ftn2" shape="rect"]]  Minimálne obsahové a formálne náležitosti Deklarácie súladu sú uvedené v prílohe č. 9 Výzvy.
339 339