PROJEKTOVÝ ZÁMER

manažérsky výstup  I-02

 podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1.    HISTÓRIA DOKUMENTU

2.    ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky obsahuje manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

Použité skratky a pojmy

Konvencie pre typy požiadaviek

N/A

3.    DEFINOVANIE PROJEKTU

Manažérske zhrnutie

Projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti v rámci Prešovskej univerzity v Prešovej“ (ďalej len „projekt“) bol vypracovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v Prešovskej univerzite a zabezpečiť súlad so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“).

Hlavným cieľom projektu je zvýšenie miery ochrany informačných systémov univerzity voči potenciálnym kybernetickým incidentom.

Tento cieľ bude naplnený realizáciu činností v oblasti informačnej a kybernetickej bezpečnosti, ktoré vychádzajú z Analýzy úrovne informačnej a kybernetickej bezpečnosti Prešovskej univerzity v Prešove (ďalej aj „UNIPO“) ukončenej v priebehu mesiaca apríl 2024 (ďalej aj „analýza“).

Predmetom projektu je:

• Tvorba bezpečnostnej dokumentácie a metodiky - potreba aktualizácie vyplýva z výsledkov analýzy, v rámci ktorého bola identifikovaná potreba dopracovania existujúcej bezpečnostnej dokumentácie kybernetickej bezpečnosti,
• Implementácia softvérových a hardvérových nástrojov pre oblasť informačnej a kybernetickej bezpečnosti v nadväznosti na riziká identifikované v analýze,
• Financovanie mzdových výdavkov Manažéra kybernetickej bezpečnosti,
• Realizácia pravidelného auditu kybernetickej bezpečnosti v zmysle zákona o KB.

Po implementácii projektu bude UNIPO pripravená efektívnejšie riadiť informačnú a kybernetickú bezpečnosť (ďalej iba „IB“ a „KB“) a čeliť interným a externým hrozbám v oblasti IB a KB.

UNIPO v súčasnosti nedisponuje dostatočnými finančnými, technologickými a personálnymi zdrojmi, aby mohlo plnohodnotne vykonávať všetky potrebné aktivity v rozsahu požadovanom zákonom o KB.

Hlavnými beneficientom projektu je UNIPO a jej jednotliví zamestnanci, resp. užívatelia informačných systémov. Nepriamym beneficientom sú študenti a osoby, resp. subjekty komunikujúce s UNIPO. V dôsledku zavedených opatrení, ktoré zvýšia mieru ochrany informačných systémov bude minimalizovaný výpadok, resp. negatívny dopad bezpečnostných incidentov na riadnych chod univerzity.

Predpokladaný rozpočet projektu: 484 771,20 €

Motivácia a rozsah projektu

UNIPO v apríli 2023 zrealizovala „Analýzu úrovne informačnej a kybernetickej bezpečnosti Prešovskej univerzity v Prešove (ďalej aj „analýza bezpečnosti“)“. V rámci analýzy bolo zrealizované nezávislé externé hodnotenie kybernetickej bezpečnosti, ktoré sa zakladá na dlhoročných skúsenostiach a na základe „best practise“. Aktuálny stav dokumentácie, systémov a nastavení bol zisťovaný pomocou rozhovorov so zamestnancami univerzity. Ako šablóna pre analýzu sa zvolilo znenie Zákona o kybernetickej bezpečnosti 69/2018 Z.z. a znenie vykonávacej vyhlášky 362/2018 Z.z. V analýze sú uvedené jednotlivé oblasti problematiky kybernetickej bezpečnosti, je uvedený zistený súčasný stav a sú navrhnuté odporúčania.

Cieľom analýzy bolo preveriť zhodu prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov.

Analýzou sa identifikovali nedostatky pri zabezpečovaní kybernetickej bezpečnosti s cieľom prijať opatrenia na ich odstránenie a nápravu, a na predchádzanie kybernetických bezpečnostných incidentov.

Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale univerzita si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonanej analýzy.

Hlavné identifikované riziká, resp. nedostatky

• Firewall

Aj keď sa v poslednej dobe stráca presná hranica medzi vonkajšou (nechránenou) a vnútornou (chránenou) sieťou z dôvodu stále častejšieho využívania cloudových služieb, perimetrová ochrana stále zostáva základnou ochranou vnútornej siete a systémov.

V súčasnosti sa využívajú na univerzite primárne firewally, ktoré filtrujú prenášané dáta len na úrovni IP adries a protokolových čísiel. V rámci univerzity sa nevyužívajú tzv. next-gen firewally, ktoré by zabezpečovali sofistikovanejšiu ochranu a prípadné blokovanie nežiadúcich dátových prenosov. Tieto firewally by boli schopné odhaliť nežiadúce komunikácie buď na nelegálne alebo škodlivé stránky.

• Centrálne zálohovanie

V organizácii neexistuje vypracovaná stratégia a krízové plány pre zabezpečenie dostupnosti dôležitých systémov po prípadnom kybernetickom útoku. Nie sú určené komunikačné plány na plnenie havarijných plánov. Pre systémy nie je určený cieľový čas obnovy a cieľový bod obnovy. Nie sú zadefinované zálohovacie plány pre dôležité systémy. Zálohy nie sú pravidelne testované, testované sú len náhodne, keď je potrebné niečo obnoviť.

Pre jednotlivé dôležité systémy existujú dokumenty, ktoré popisujú „Zásady pre údržbu systému a zálohovanie dát“ a „Postup obnovy prevádzky informačného systému pri haváriách a poruchách“. V týchto dokumentoch sú stručne a v mnohých prípadoch dosť všeobecne popísané zásady údržby, zálohovania a postupov obnovy prevádzky informačných systémov.

V súčasnosti je zálohovanie dôležitých systémov riešené samostatne na každej fakulte, resp. cez CVT.

Z uvedeného dôvodu je okrem aktualizácie dokumentácie v danej oblasti na základe výsledkov analýzy bezpečnosti odporúčané vybudovanie centrálneho úložiska pre zálohy, ktoré by bolo využívané všetkými pracoviskami univerzity, ku ktorému by mali prístup a vyhradené svoje miesto pre zálohovanie všetky pracoviská univerzity.

• Centrálny monitoring a centrálne logovanie

V súčasnosti sú na jednotlivých pracoviskách využívané rôzne spôsoby monitorovania dostupnosti sieťových prvkov a systémov, pričom na niektorých pracoviskách nie je zavedený žiadny monitoring. Z uvedeného dôvodu bolo v rámci analýzy bezpečnosti odporúčané zaviesť jednotný systém dohľadu nad sieťou a systémami.

Podobný postup je možné zvoliť aj pre vybodovanie centrálneho logovania, nakoľko v súčasnosti nie je skoro na žiadnom pracovisku univerzity vybudovaný a zavedený vhodný postup na zbieranie a ukladanie logov zo sieťových prvkov a zo systémov.

• Centrálny manažment ochrany koncových bodov pred škodlivým kódom

Na všetkých pracoviskách univerzity je na ochranu koncových bodov pred škodlivým kódom primárne využívaný Microsoft Defender for Endpoint, ktorý je obsiahnutý v M365 licenciách, ktoré sú na univerzite využívané. Všetky koncové sú však spravované samostatne a neexistuje žiadny centrálny prehľad o stave ochrany na týchto koncových bodoch.

V organizácii nie je prevádzkovaný centrálny systém na správu záplat. Sieťové prvky sú aktualizované podľa potreby, ale v sieti sa nachádza väčšie množstvo už nepodporovaných zariadení zo strany výrobcov.

Rovnako je potrebné zaviesť pravidelnú kontrolu dostupných aktualizácií na dôležitých systémoch a serveroch.

• Personálne obsadenie

Na UNIPO je v súčasnej dobe poverený výkonom pozície manažéra kybernetickej bezpečnosti (ďalej aj „MKB“) vedúci CVT PU (Centrum výpočtovej techniky Prešovskej univerzity), ktorý zodpovedá za strategické riadenie informačnej a kybernetickej bezpečnosti organizácie. Pod jeho pôsobnosť patria všetci zamestnanci CVT PU a taktiež má právomoci metodicky usmerňovať IT pracovníkov na iných fakultách, ktoré majú vo vlastnej správe svoje IT.

Kybernetickú bezpečnosť po implementačnej stránke majú na starosti zamestnanci Centra výpočtovej techniky. Každý zamestnanec má pridelenú určitú technologickú oblasť, resp. informačný systém, ktorému sa venuje. Pre každý systém, resp. technológiu sú určení hlavný a zastupujúci správca. Menovite sú uvedení v pravidlách prevádzky a správy každého systému, kde sú uvedení aj garanti systému (tzv. vlastníci systému alebo procesu) a všetci administrátori.

Síce je v organizácii vymenovaný MKB, ktorý spĺňa všetky osobnostné a odborné požiadavky na výkon tejto pozície, ale nespĺňa požiadavku nezávislosti. Momentálne sa priamo podieľa na riadení IT a kybernetickej bezpečnosti.

V organizácii je potrebné rolu manažéra kybernetickej bezpečnosti nezávislou osobou. Táto osoba by mala mať na starosti komplexné riadenie bezpečnosti v organizácii. Mala by spĺňať nielen odborné, ale aj osobnostné požiadavky, ktoré sú na túto rolu kladené.

Odporúčania vyplývajúce z realizovanej analýzy je možné rozdeliť do dvoch základných skupín. Administratívne odporúčania a technologické odporúčania. Medzi administratívne odporúčania patrí prijatie rôznych smerníc, zavedenie postupov a kontrol. Medzi technologické patrí zavedenie rôznych technológií a konfiguračné zmeny.

Medzi primárne administratívne odporúčania, ktoré sú rovnako predmetom predkladaného projektu je možné uviesť:

• zavedenie samostatnej roly manažéra kybernetickej bezpečnosti, ktorý bude nezávislý od prevádzky IT,
• prijatie základných smerníc – stratégia kybernetickej bezpečnosti a bezpečnostné politiky,
• prijatie samostatnej politiky pre koncových užívateľov a ich oboznámenie s touto politikou,
• formálne pridelenie zodpovedností za jednotlivé aktíva,
• vypracovanie BIA a určenie kritických systémov univerzity,
• vypracovanie smerníc pre zabezpečenie kontinuity činností,
• vypracovanie a zavedenie kľúčovej politiky pre chránené priestory,
• vypracovanie a prijatie politiky riadenia prístupov a personálnej bezpečnosti s prihliadnutím na politiky prideľovania a odoberania prístupov do systémov pri nástupe a výstupe zamestnanca,
• vypracovanie zálohovacieho plánu so zavedením pravidelných testovacích scenárov obnovy.

Medzi primárne technologické odporúčania je možné uviesť:

• implementácia NGFW na perimetri medzi vonkajšou sieťou a vnútornými sieťami,
• presun kľúčových a dôležitých systémov na privátne IP adresy (NAT/PAT),
• presun koncových staníc užívateľov z verejných IP adries na privátne adresy, resp. spraviť túto readresáciu minimálne pre študentské siete,
• obmedziť prístupy na interné systémy pomocou ich vymapovania do internetu a sprístupnením len z povolených verejných IP adries,
• postupne zaviesť vzdialený prístup do internej siete pomocou vzdialeného VPN pripojenia,
• zaviesť pravidelné vykonávanie testov zraniteľností (externých aj interných),
• implementovať centrálny logovací systém s možnosťou alertovania v prípade výskytu incidentu,
• vytvorenie chránenej siete (DMZ) pre systémy, ktoré sú prístupné z externých sietí,
• vybodovanie jedného zálohovacieho prostredia pre všetky centrálne systémy a aj pre jednotlivé fakulty,
• zavedenie monitoringu prevádzkových parametrov (výpadky zariadení, vyťaženosť zariadení),
• zavedenie centrálnej správy pre ochranu pred škodlivým kódom. 

Po odstránení zistení a implementácii odporúčaní vyplývajúcich z analýzy bezpečnosti má univerzita vysoký potenciál dosiahnuť primeranú úroveň kybernetickej bezpečnosti na dosiahnutie bezpečnej a spoľahlivej prevádzky informačných systémov.

Realizované činnosti v rámci projektu

V rámci projektu bude univerzita realizovať činnosti, ktoré predstavujú reakciu univerzity na analýzy bezpečnosti ukončenej v apríli 2024 a sú delené do dvoch hlavných oblastí, konkrétne predstavujú tvorbu (1) bezpečnostnej dokumentácie a metodiky, (2) implementáciu softvérových a hardvérových nástrojov, (3) činnosti manažéra kybernetickej bezpečnosti.

V rámci projektu budú realizované nasledovné činnosti definované vo výzve na predkladanie žiadostí o poskytnutie NFP:

• vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení;
• vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti;
• vypracovanie štatútu bezpečnostného výboru;
• vypracovanie bezpečnostného projektu informačného systému verejnej správy.2
• identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu;
• riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení;
• vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti.
• vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík;
• vypracovanie alebo aktualizácia interného riadiaceho aktu s bezpečnostnými zásadami pre koncových používateľov;
• vypracovanie a implementácia postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu.
• vypracovanie a implementácia zásad riadenia prístupov osôb k sieti a informačnému systému;
• vypracovanie a implementácia postupov a procesov upravujúcich riadenie prístupov organizácie.
• vypracovanie analýzy rizík tretích strán a celého dodávateľského reťazca, vrátane analýzy politických rizík;
• analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou;
• vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu s návrhom potrebných úprav na zabezpečenie súladu so zákonom KB;
• vypracovanie a implementácia interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.
• zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov;
• implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení
• obstaranie služieb pre potreby správy prevádzkovej zálohy, kópie archivačnej zálohy a kópie inštalačných médií, vrátane určenia spôsobu ich ukladania, testov funkcionality dátových nosičov, testov obnovy, fyzického uloženia druhej kópie archivačnej zálohy v inom objekte a minimalizovania rizika poškodenia alebo zničenia dátových nosičov archivačných záloh vplyvom prírodných živlov alebo havárie.
• zavedenie, implementácia alebo aktualizácia nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí, prípadne obstaranie tejto funkcionality ako externej služby;
• vypracovanie a implementácia interného riadiaceho aktu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat;
• implementácia nástroja na centrálne riadenie a aplikovanie bezpečnostných záplat a pod.
• vypracovanie interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu;
• implementácia alebo aktualizácia nástrojov na ochranu, ktoré okrem iného vykonávajú kontrolu prístupu k digitálnemu obsahu, pravidelné kontroly úložísk vrátane cloudových riešení, zabraňujú prístupu neoprávnených používateľov filtrovaním obsahu a zamedzením odinštalovať alebo zakázať funkcie systému na ochranu proti škodlivému kódu;
• vypracovanie a implementácia pravidiel súvisiace s ochranou proti škodlivému kódu;
• implementácia centralizovaného systému riešenia ochrany pred škodlivým kódom s pravidelným monitorovaním vrátane detekcie inštalácie nelegálneho obsahu alebo škodlivého softvéru prostredníctvom automatizovaných nástrojov.
• implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel;
• zavedenie bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a vzdialený prístup, napríklad implementáciou dvojfaktorovej autentizácie alebo kryptografických prostriedkov;
• vytvorenie alebo aktualizácia dokumentácie počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov;
• vypracovanie a implementácia interného riadiaceho aktu upravujúceho pravidlá sieťovej a komunikačnej bezpečnosti;
• implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov;
• implementácia sond detekcie a prevencie prieniku, najmä na serveroch podporujúcich základné služby informačných technológií verejnej správy.
• zavedenie pravidiel a postupov definujúcich požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na obstarávané, vyvíjané a udržiavané komponenty s digitálnymi prvkami (napríklad prostredníctvom interného riadiaceho aktu);
• implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov;
• implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM);
• vypracovanie dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností;
• špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané a konfigurácia prvkov informačných technológií verejnej správy, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov;
• vypracovanie interného riadiaceho aktu, ktorý obsahuje a upravuje povinnosti definované platnou legislatívou;
• vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností;
• obstaranie služby monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov;
• implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí;
• vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;
• vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov.
• vypracovanie a implementácia interného riadiaceho aktu upravujúceho používanie kryptografických prostriedkov a šifrovania;
• definovanie pravidiel využitia kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy na ochranu údajov pri ich prenose alebo uložení v rámci sietí a informačných systémov;
• vypracovanie a dokumentácia systému správy kryptografických kľúčov a certifikátov;
• implementácia systému správy kryptografických kľúčov a certifikátov a pod.
• vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu;
• vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;
• vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
• vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
• implementácia systému zálohovania.
• obstaranie prvého alebo opakovaného auditu kybernetickej bezpečnosti v súlade so zákonom o KB.

Obrázok 1 Biznis funkcie / podaktivity projektu

Tieto činnosti budú naplnené podaktivitami (1), (2) a (3):

Tvorba bezpečnostnej dokumentácie a metodiky (1)

Potreba aktualizácie vyplýva z výsledkov analýzy, v rámci ktorej bola identifikovaná potreba dopracovania existujúcej bezpečnostnej dokumentácie kybernetickej bezpečnosti, ktoré aktuálna dokumentácia neobsahuje.

Jedná sa o aktualizáciu dokumentácie kybernetickej bezpečnosti v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a v Zmysle Vyhlášky NBÚ SR č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

Vypracovanie dokumentácie v zmysle výsledkov analýzy je nevyhnutné minimálne v nasledovnom rozsahu:

• vypracovanie základných smerníc – stratégia kybernetickej bezpečnosti a bezpečnostné politiky,
• vypracovanie samostatnej politiky pre koncových užívateľov,
• vypracovanie BIA a určenie kritických systémov univerzity,
• vypracovanie smerníc pre zabezpečenie kontinuity činností,
• vypracovanie kľúčovej politiky pre chránené priestory,
• vypracovanie politiky riadenia prístupov a personálnej bezpečnosti s prihliadnutím na politiky prideľovania a odoberania prístupov do systémov pri nástupe a výstupe zamestnanca,
• vypracovanie zálohovacieho plánu a testovacích scenárov obnovy,
• vykonanie analýzy aktív a spracovanie katalógu aktív.

Rovnako je potrebné vykonať analýzu dopadov na organizáciu pri prípadných incidentoch a na základe toho určiť spôsoby eliminácie dopadov. Pri vypracovaní celkovej dokumentácie je možné vychádzať aj z aktuálneho stavu dokumentácie, v rámci ktorej je potrebné dopracovať chýbajúce časti (analýza aktív a dekompozícia jednotlivých poskytovaných služieb), resp. podrobnejšie rozpracovať niektoré časti (primárne plány kontinuity a obnovy pre IS, ktoré sú v súčasnosti vypracované dosť všeobecne). Pri vypracovávaní dokumentácie je možné vychádzať z Prílohy č. 1 k vyhláške č. 362/2018 Z. z., kde je v časti A uvedená „Štruktúra stratégie kybernetickej bezpečnosti“ a v časti B je uvedená „Štruktúra bezpečnostnej politiky kybernetickej bezpečnosti“.

Implementácia softvérových a hardvérových nástrojov (2) (podrobný popis je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva) bude pozostávať z nasledovných komponentov:

• Technický prostriedok zabezpečujúci funkcionalitu next generation firewall-u (ďalej iba NGFW)

V súčasnosti sa využívajú na univerzite primárne firewally, ktoré filtrujú prenášané dáta len na úrovni IP adries a protokolových čísiel. Nikde sa nevyužívajú tzv. next-gen firewally, ktoré by zabezpečovali sofistikovanejšiu ochranu a prípadné blokovanie nežiadúcich dátových prenosov. Tieto firewally by boli schopné odhaliť nežiadúce komunikácie buď na nelegálne alebo škodlivé stránky (phishing, malware, C&C,...).

Ako primárne odporúčanie je zavedenie plnohodnotného perimetrového next-gen firewallu, ktorý by zabezpečoval chránené oddelenie vonkajších a vnútorných sietí a zabezpečoval by aj filtráciu obsahu a aplikácií.

Na firewalle by mali byť blokované všetky neoprávnené spojenia z vonkajších sietí na vnútorné siete, ale aj opačne.

Taktiež je odporúčané implementovať na perimeter NG (Next-Gen) firewall, ktorý by plnil funkcionalitu bezpečného oddelenia Internetu a vnútorných sietí. Firewall by mal plniť funkcionalitu NAT/PAT, zabezpečovať blokovanie nežiadúcej komunikácie.

Z uvedeného dôvodu je v rámci projektu navrhnutá implementácia next generation firewall-u.

• Zálohovanie

V súčasnosti je zálohovanie dôležitých systémov riešené samostatne na každej fakulte. Z realizovanej analýzy vyplýva odporúčanie vybudovania jedného centrálneho úložiska pre zálohy, ktoré by bolo využívané všetkými pracoviskami univerzity. K tomuto centrálnemu úložisku budú mať prístup všetky pracoviská a rovnako budú mať na tomto úložisku vyhradené svoje miesto pre zálohovanie.

Bude sa jednať o geograficky oddelený segment infraštruktúry a bude ho tvoriť:

• Dátové úložisko – server,
• Switch na zabezpečenie iSCSI konektivity,
• Dátové úložisko – NAS,
• Dátové úložisko - Pásková knižnica,
• Zálohovací softvér.

• Manažment logov

V organizácii neexistuje centrálny systém na zaznamenávanie udalostí z centrálnych sieťových prvkov a serverov, služieb prístupných do externých sietí a kritických interných serverov a služieb. Všetky udalosti sú zaznamenávané len lokálne na jednotlivých systémoch.

Logy z perimetrových firewallov sú zasielané na sieťové úložisko. Logy nie sú spracovávané, sú len ukladané v textových súboroch.

Rovnako stále častejšie globálne sa vyskytujúce bezpečnostné incidenty si môžu vyžadovať dohľadávanie logov aj vo vzdialenejšej minulosti a stále častejšie sú aj požiadavky na ich prípadné poskytovanie ďalším orgánom (PZ SR, SIS, CSIRT,...) pre ďalšiu forenznú analýzu, čo aktuálne riešenie neumožňuje (resp. umožňuje len pomocou komplikovaných manuálnych postupov), prípadne je možné len s obmedzením – vyžaduje si určité znalosti aj prístupy k samotným logom.

Samotné vyhľadávanie je komplikované riešené priamo prostriedkami operačného systému, pričom logy nie sú po pridelení týchto prístupov chránené proti manipulácii.

Vzhľadom na uvedené skutočnosti je navrhnuté implementovať centrálny manažment logov, tak aby spĺňal legislatívne požiadavky, požiadavky na dostupnosť, výkonnosť a aby poskytoval dostatočnú úložnú kapacitu pre zbierané logy.

• Nástroj na centrálny manažment siete

V organizácii neexistuje formálne spracovaný postup pre činnosti pokrývajúce požiadavky pre bezpečnosť prevádzky informačných systémov a sietí. Zaznamenávanie bezpečnostných a prevádzkových záznamov je len na lokálnych systémoch, neexistuje centrálny systém na zber týchto informácií. V organizácii neexistuje centrálny systém na zaznamenávanie udalostí z centrálnych sieťových prvkov.

Z uvedeného dôvodu je v rámci projektu navrhnuté nasadenie nastroja na centrálny manažment siete, ktorý by poskytol centralizovaný pohľad na celú sieť s viditeľnosťou všetkých sieťových zariadení bez nutnosti integrácie viacerých aplikácií.

• Nástroj pre centrálnu správu zariadení a antivírového prostredia

Na všetkých pracoviskách univerzity je na ochranu koncových bodov pred škodlivým kódom primárne využívaný Microsoft Defender for Endpoint, ktorý je obsiahnutý v M365 licenciách, ktoré sú na univerzite využívané. Všetky koncové body sú však spravované samostatne a neexistuje žiadny centrálny prehľad o stave ochrany na týchto koncových bodoch. V organizácii nie je prevádzkovaný centrálny systém na správu záplat.

V rámci danej oblasti je potrebné formálne prijatie smernice, ktorá by popisovala spôsob aktualizácie a manažmentu zraniteľností všetkých koncových zariadení a dôležitých systémov. Je potrebné pravidelne vykonávať testovanie zraniteľností všetkých systémov z vonkajšej siete, ale taktiež z vnútorných sietí. Je potrebné zaviesť pravidelnú kontrolu dostupných aktualizácií na dôležitých systémoch a serveroch.

V súčasnej dobe, keď organizácia nemá nasadený nástroj pre centrálnu správu zariadení, môže čeliť rôznym výzvam spojeným s efektívnym riadením IT infraštruktúry. Tento stav často vedie k fragmentácii správy, kde rôzne tímy používajú odlišné nástroje na správu hardvéru, softvéru a bezpečnosti, čo môže spôsobiť nekonzistentnosti, bezpečnostné riziká a zvýšené náklady na IT. Navyše, bez centralizovaného nástroja je ťažké udržiavať prehľad o inventári, licenciách a dodržiavaní bezpečnostných politík.

Nasadenie nástroja pre centrálnu správu by riešilo tieto problémy tým, že by poskytlo jednotné riešenie pre správu všetkých aspektov IT prostredia, centralizovanú správu aplikácií, aktualizácií, bezpečnostných zásad, ako aj efektívnu distribúciu operačných systémov a softvéru. To zabezpečí, že všetky zariadenia budú aktuálne, bezpečné a v súlade s firemnými politikami.

Cieľový stav s nasadeným nástrojom pre centrálnu správu by mal priniesť výrazné zlepšenie v efektivite správy IT, zníženie nákladov a zlepšenie bezpečnosti. S centralizovanou správou je možné lepšie monitorovať a reagovať na bezpečnostné hrozby v reálnom čase, čo znižuje potenciálne riziká pre organizáciu.

• Nástroj pre testovanie bezpečnosti

V danej oblasti analýza bezpečnosti odporúča formálne prijať smernicu, ktorá by popisovala spôsob aktualizácie a manažmentu zraniteľností všetkých koncových zariadení a dôležitých systémov a rovnako je potrebné pravidelne vykonávať testovanie zraniteľností všetkých systémov z vonkajšej siete, ale taktiež z vnútorných sietí.

Nakoľko v oblasti testovania a zabezpečenia svojej IT infraštruktúry organizácia momentálne nemá pokryté riešenie testovania bezpečnosti. Medzi hlavné problémy aktuálneho stavu patria:

• Obmedzené testovanie zraniteľností: Bez pokročilých nástrojov je testovanie zraniteľností často povrchné a neúplné, čo môže viesť k prehliadnutiu kritických bezpečnostných medzier.
• Manuálne penetračné testy: Penetračné testy sú vykonávané manuálne, čo je časovo náročné a zvyšuje riziko ľudských chýb. Tieto testy sú často nesystematické a nákladné.
• Nedostatok odborných znalostí: IT tím môže postrádať pokročilé znalosti potrebné na identifikáciu a exploitáciu zraniteľností, čo znižuje efektívnosť bezpečnostných testov.
• Reaktívny prístup k bezpečnosti: Organizácia často reaguje na bezpečnostné incidenty až po ich vzniku, čo môže viesť k významným finančným a reputačným stratám.
• Nedostatočné pokrytie: Tradičné testovanie často nezahŕňa všetky aspekty IT infraštruktúry, vrátane sieťových zariadení, aplikácií a ľudských faktorov.

• Prevádzkový monitoring

V súčasnosti sú na jednotlivých pracoviskách využívané rôzne spôsoby monitorovania dostupnosti sieťových prvkov a systémov, pričom na niektorých pracoviskách nie je zavedený žiadny monitoring.

V organizácii neexistuje formálne spracovaný postup pre činnosti pokrývajúce požiadavky pre bezpečnosť prevádzky informačných systémov a sietí. Zaznamenávanie bezpečnostných a prevádzkových záznamov je len na lokálnych systémoch, neexistuje centrálny systém na zber týchto informácií.

V rámci analýzy bezpečnosti bolo z uvedeného dôvodu odporúčané zavedenie jednotného systému dohľadu nad sieťou a systémami.

Navrhované riešenie umožní monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel. Monitorovací nástroj bude informovať o vzniknutých technických problémoch a nedostatku kapacít správcu príslušnej služby alebo servera. Bude schopný monitorovať rôzne druhy zariadení ako sú fyzické a virtuálne servery, sieťové prvky, dátové úložiská a iné zariadenia, ktoré dokážu poskytnúť údaje o svojej prevádzke. Monitoring bude v reálnom čase s možnosťou údaje okamžite vizualizovať prostredníctvom grafov, máp a rôznych náhľadov. Bude schopný porovnávať dáta v rôznych časových obdobiach, analyzovať históriu.

• Interný Helpdesk

V organizácii v súčasnosti neexistuje zadefinovaný postup nahlasovania, zisťovania a riešenia kybernetických incidentov. Nie je vypracovaný postup pre interné nahlasovanie kybernetických incidentov, pre postup ich nahlasovania relevantným inštitúciám a postup pre riešenie a evidenciu kybernetických útokov.

Nie je implementovaný žiadny centrálny systém pre zisťovanie a vyhodnocovanie kybernetických incidentov. Z uvedeného dôvodu je v rámci projektu navrhnuté zavedenie interného helpdesku, ktorý bude využiteľný nielen ako centrálne úložisko požiadaviek klientov s možnosťou sledovania riešenia každej požiadavky, ale umožní aj centralizovaný zber bezpečnostných incidentov.

Podrobný popis všetkých komponentov, vrátane špecifikácie, je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva.

Činnosti manažéra pre informačnú a kybernetickú bezpečnosť (3) – manažér bude zodpovedný za implementáciu dokumentácie, metodík a činností uvedených v bodoch (1) a (2).

Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania opakovaného auditu kybernetickej bezpečnosti realizovaného v budúcnosti.

Zainteresované strany/Stakeholderi

Ciele projektu

Merateľné ukazovatele (KPI)

Špecifikácia potrieb koncového používateľa

Z hľadiska projektu je koncovým používateľom UNIPO, resp. jej jednotliví zamestnanci a študenti. Špecifikáciu potrieb predstavujú odporúčania analýzy bezpečnosti ukončenej v apríli 2024.

Odporúčania predmetnej analýzy realizované predkladaným projektom sú nasledovné:

• zavedenie samostatnej roly manažéra kybernetickej bezpečnosti, ktorý bude nezávislý od prevádzky IT,
• prijatie základných smerníc – stratégia kybernetickej bezpečnosti a bezpečnostné politiky,
• prijatie samostatnej politiky pre koncových užívateľov a ich oboznámenie s touto politikou,
• formálne pridelenie zodpovedností za jednotlivé aktíva,
• vypracovanie BIA a určenie kritických systémov univerzity,
• vypracovanie smerníc pre zabezpečenie kontinuity činností,
• vypracovanie a zavedenie kľúčovej politiky pre chránené priestory,
• vypracovanie a prijatie politiky riadenia prístupov a personálnej bezpečnosti s prihliadnutím na politiky prideľovania a odoberania prístupov do systémov pri nástupe a výstupe zamestnanca,
• vypracovanie zálohovacieho plánu so zavedením pravidelných testovacích scenárov obnovy.
• implementácia next generation firewall („NGFW“) na perimetri medzi vonkajšou sieťou a vnútornými sieťami,
• presun kľúčových a dôležitých systémov na privátne IP adresy (NAT/PAT),
• presun koncových staníc užívateľov z verejných IP adries na privátne adresy, resp. spraviť túto readresáciu minimálne pre študentské siete,
• obmedziť prístupy na interné systémy pomocou ich vymapovania do internetu a sprístupnením len z povolených verejných IP adries,
• postupne zaviesť vzdialený prístup do internej siete pomocou vzdialeného VPN pripojenia,
• zaviesť pravidelné vykonávanie testov zraniteľností (externých aj interných),
• implementovať centrálny logovací systém s možnosťou alertovania v prípade výskytu incidentu,
• vytvorenie chránenej siete (DMZ) pre systémy, ktoré sú prístupné z externých sietí,
• vybodovanie jedného zálohovacieho prostredia pre všetky centrálne systémy a aj pre jednotlivé fakulty,
• zavedenie monitoringu prevádzkových parametrov (výpadky zariadení, vyťaženosť zariadení),
• zavedenie centrálnej správy pre ochranu pred škodlivým kódom.

Podrobný popis týchto odporúčaní je uvedený v samotnej správe Analýzy úrovne informačnej a kybernetickej bezpečnosti Prešovskej univerzity v Prešove (UNIPO).

Uvedené potreby sú riešené predkladaným projektom, resp. činnosťami, ktoré sú podrobne uvedené v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

Riziká a závislosti

Zoznam a popis rizík spojených s projektom je uvedený v prílohe ZOZNAM RIZÍK a ZÁVISLOSTI

Stanovenie alternatív v biznisovej vrstve architektúry

Z pohľadu biznisovej vrstvy prichádzajú do úvahy nasledovné alternatívy:

1. Ponechanie súčasného stavu

Alternatíva znamená nerealizovanie projektu, to zn. neprijatie opatrení potrebných na zosúladenie stavu v oblasti informačnej a kybernetickej bezpečnosti s platnou legislatívou a rovnako nerealizovanie zistení a odporúčaní vyplývajúcich z analýzy bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.

1. Čiastočná realizácia opatrení v rámci kybernetickej bezpečnosti

Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou. Realizované budú najmä opatrenia v oblasti metodiky a tvorby dokumentácie. Uvedená alternatíva (z dôvodu nedostatku finančných prostriedkov) neumožní realizáciu technologických odporúčaní, resp. len v obmedzenej miere. Alternatíva neumožňuje implementáciu automatizovaných riešení (ako napr. logmanager a pod.)

1. Plnohodnotná realizácia opatrení kybernetickej bezpečnosti

Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, realizáciu administratívnych a technologických odporúčaní, realizáciu automatizovaných riešení a nasadenie SW a HW riešení v zmysle výsledkov analýzy bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.

Multikriteriálna analýza

Vyhodnotenie MCA

Stanovenie alternatív v aplikačnej vrstve architektúry

HW a SW komponenty, tiež služby a podpora, ktoré sú s nimi spojené, musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi, ktoré vychádzajú z zistení a následných odporúčaní analýzy bezpečnosti a z požiadaviek zákona o KIB, zákona o ISVS a ďalších predpisov. Realizácia všetkých opatrení v rámci univerzity bude na úrovni kombinácie In-House riešenia a Outsourcingu

Stanovenie alternatív v technologickej vrstve architektúry

Technologická alternatíva nie je definovaná, nakoľko projekt umožňuje realizovať ľubovoľnú SW a HW technológiu. Konkrétnu technológiu navrhne úspešných uchádzač v rámci procesu verejného obstarávania.

4.    POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

Výstupom projektu budú:

• projektové výstupy podľa vyhlášky 401/2023 o riadení projektov relevantné pre predmetný typ projektu,
• vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Tvorba bezpečnostnej dokumentácie a metodiky (1)),
• nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Implementácia softvérových a hardvérových nástrojov (2))

Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. časť 9 – Projektový tím).

5.    NÁHĽAD ARCHITEKTÚRY

Podrobný popis architektúry je uvedený v dokumente Prístup k projektu. V tejto kapitole uvádzame len sumárny nákres architektúry.

Obrázok 2 Náhľad architektúry (oranžovou farbou vyznačené nové komponenty/nástroje)

Prehľad e-Government komponentov

5.1.1     Prehľad koncových služieb – budúci stav:

Projekt nebuduje koncové služby.

5.1.2     Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav:

Projekt nebuduje/nerozvíja ISVS

5.1.3     Prehľad budovaných aplikačných služieb – budúci stav:

Projekt nebuduje aplikačné služby.

5.1.4     Prehľad integrácii ISVS na spoločné ISVS^[1] a ISVS iných OVM alebo IS tretích strán

V rámci projektu nebude realizovaná integrácia.

5.1.5     Aplikačné služby na integráciu

Projekt nebuduje aplikačné služby.

5.1.6     Poskytovanie údajov z ISVS do IS CSRÚ

Projekt nebude poskytovať údaje do IS CSRÚ.

5.1.7     Konzumovanie údajov z IS CSRÚ

Projekt nebude konzumovať údaje z IS CSRÚ.

5.1.8     Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav:

Projekt neplánuje využívanie cloudových infraštruktúrnych služieb.

6.    LEGISLATÍVA

Projekt nevyžaduje vykonanie legislatívnych zmien pre naplnenie jeho cieľov a dodanie výstup. Následná realizácia činností pre oblasť kybernetickej bezpečnosti predpokladá vypracovanie interných smerníc a postupov pre implementáciu opatrení pre oblasť kybernetickej bezpečnosti.

7.    ROZPOČET A PRÍNOSY

Sumarizácia nákladov a prínosov

8.    HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU A METÓDA JEHO RIADENIA

Projekt bude realizovaný metódou Waterfall

Waterfall- vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

Objednávateľ projektu vypracuje funkčnú špecifikáciu - detailnú a technickú špecifikáciu - rámcovú.

9.    PROJEKTOVÝ TÍM

V rámci projektu je zostavený Riadiaci výbor (RV), v minimálnom zložení:

• Predseda RV
• Biznis vlastník
• Zástupca prevádzky
• Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)
• Projektový manažér objednávateľa (PM)

Zostavuje sa Projektový tím objednávateľa

• kľúčový používateľ,
• IT analytik,
• IT architekt,
• biznis vlastník,
• manažér kybernetickej a informačnej bezpečnosti,

 PRACOVNÉ NÁPLNE

10. ODKAZY

N/A

11. PRÍLOHY

Príloha : Zoznam rizík a závislostí (.xls)

[1] Spoločné moduly podľa zákona č. 305/2013  e-Governmente