projekt_2695_Pristup_k_projektu_ramcovy

(% id="Hprojekt_2695_Pristup_k_projektu_ramcovy" style="text-align: center;" class="with-breadcrumbs" %)

= (% id="cke_bm_4598S" style="display:none" %) (%%)[[projekt_2695_Pristup_k_projektu_ramcovy>>url:https://wiki.vicepremier.gov.sk/display/PD/projekt_2695_Pristup_k_projektu_ramcovy||shape="rect"]] =

3

4

(% style="text-align: center;" %)

5

Vzor pre manažérsky výstup I-03

6

podľa vyhlášky MIRRI č. 401/2023 Z. z.

7

8

(% class="relative-table" style="float:left; width:86.5989%" %)

|(((

Povinná osoba

)))|(((

Nemocnica s poliklinikou Brezno, n.o.

)))

|(((

Názov projektu

)))|(((

Podpora v oblasti kybernetickej a informačnej bezpečnosti v NsP Brezno

18

)))

19

|(((

20

Zodpovedná osoba za projekt

)))|(((

Ing. Ján Jagerčík

)))

|(((

Realizátor projektu

)))|(((

Nemocnica s poliklinikou Brezno, n.o.

)))

|(((

Vlastník projektu

)))|(((

Nemocnica s poliklinikou Brezno, n.o.

)))

(% style="text-align: left;" %)

42

**Schvaľovanie dokumentu**

43

44

(% class="relative-table" style="float:left; width:86.7925%" %)

|(((

Položka

)))|(((

Meno a priezvisko

)))|(((

Organizácia

)))|(((

Pracovná pozícia

)))|(((

Dátum

)))|(((

Podpis

(alebo elektronický súhlas)

)))

|(((

Vypracoval

)))|(((

Ing. Ján Jagerčík

)))|(((

Nemocnica s poliklinikou Brezno, n.o.

66

)))|(((

67

Ved. odd. IT a projektový manažér

)))|(((

23.7..2024

)))|(((

)))

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-1.Históriadokumentu"/}}1. História dokumentu =

75

76

(% class="relative-table" style="width:38.3648%" %)

|(((

Verzia

)))|(((

Dátum

)))|(((

Zmeny

)))|(((

Meno

)))

|(((

//0.1//

)))|(((

//05.06.2024//

)))|(((

//Pracovný návrh//

)))|(((

)))

|(((

//1.0//

)))|(((

//23.07.2024//

)))|(((

//Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.//

)))|(((

)))

|(((

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

)))|(((

)))|(((

)))

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-2.Účeldokumentu"/}}2. Účel dokumentu =

125

126

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

127

128

Účelom dokumentu je rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti a zabezpečiť súlad so zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej ako “zákon o ITVS”) a č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti Governance kybernetickej bezpečnosti.

129

130

Jedná sa o prístup k projektu vo výzve "Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia". Z väčšej časti sa dokument odvoláva na projektový zámer I-02.

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

135

136

137

(% class="relative-table" style="width:40.8382%" %)

|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

|(((

AR

)))|(((

Analýza rizík

)))

|(((

BCM

)))|(((

Riadenie kontinuity činností (Business Continuity Management)

)))

|(((

BIA

)))|(((

Analýza dopadov (Business Impact Assessment)

)))

|(((

KIB

)))|(((

Kybernetická a informačná bezpečnosť

)))

|(((

KyB / KB

)))|(((

Kybernetická bezpečnosť

)))

|(((

RPO

)))|(((

Cieľový bod obnovy (Recovery Point Objective)

)))

|(((

RTO

)))|(((

Cieľový čas obnovy (Recovery Time Objective)

)))

|(((

IS

)))|(((

Informačný systém

)))

|(((

VPN

)))|(((

Virtuálna privátna sieť (Virtual Private Network)

187

)))

188

189

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-3.Popisnavrhovanéhoriešenia"/}}3. Popis navrhovaného riešenia =

190

191

Aktuálna situácia v oblasti informačnej a kybernetickej bezpečnosti (ďalej ako “KIB”) v NsP Brezno n.o. nie je ideálna, nakoľko nemáme implementované všetky riešenia a opatrenia kybernetickej bezpečnosti pre zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

192

193

Z externého pohľadu sa zvyšuje frekvencia a závažnosť útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov. Realizácia projektu zabezpečí zlepšenie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností, kapacít a spôsobilostí pre plnenie úloh v oblasti KIB.

// //

**Z vykonaného auditu NsP Brezno vykonaného v januári 2024 spoločnosťou Kompetenčné a certifikačné centrum kybernetickej bezpečnosti zriadeného Národným bezpečnostným úradom boli zistené určité nedostatky v kybernetickej bezpečnosti, predovšetkým:**

198

199

* **Nie sú vytvorené záložné kapacity IS pre zabezpečenie kontinuity prevádzky - potreba vybudovania záložnej serverovne s potrebným hardvérom a softvérom**

200

* **Nie je dokončená segmentácie počítačovej siete**

201

* **Nie je zavedená dvojfaktorovej autentifikácie pre prístupy cez VPN**

202

* **Nie je zavedené riadenie rizík KB**

203

* **Nie je zaznamenávanie udalostí, monitorovanie a riešenie KB incidentov**

204

* **Nie je implementovaný centrálny nástroj na detegovanie zraniteľností a vyhodnocovanie záznamov**

205

* **Nedostatky v bezpečnostnej dokumentácii na základe požiadaviek audítora a implementovanie realizácie**

**// //**

Predmetom projektu je realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti, v nadväznosti na výsledky auditu organizácie, čo chceme naplniť nasledujúcimi hlavnými aktivitami:

210

211

212

1. **Nákupom hardvéru a softvéru na vytvorenie záložných kapacít IS**

213

1. **Dokončenie segmentácie VLAN, vytvorenie 802.1x a zavedenie dvojfaktorovej autentifikácie pre VPN užívateľov**

214

1. **Nákupom softvéru EDR/XDR na detekciu škodlivého kódu a softvéru na riadenie rizík RiA**

215

1. **Služieb na vypracovanie kontinuity činností, analýzu dopadov, manažéra riadenia rizík a manažéra riadenia kontinuity**

**// //**

V nadväznosti na hlavné aktivity sú aj podaktivity zamerané na kybernetickú bezpečnosť:

__ __

Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia KIB:

224

225

* aktualizácia stratégie kybernetickej bezpečnosti,

226

* aktualizácia bezpečnostnej politiky kybernetickej bezpečnosti,

227

* vytvorenie / aktualizácia ďalších interných smerníc a politík pre všetky relevantné oblasti riadenia KIB (najmä smernica pre používateľov

228

* ohľadom IB, BCM politika, riadenie bezpečnosti v prevádzke IT a pod.).

Analytické aktivity:

* aktualizácia identifikácie a evidencie informačných aktív,

234

* detailná klasifikácia informácií a kategorizácia IS a sietí,

235

* analýza rizík a analýza dopadov (AR/BIA) aj so zapojením vlastníkov aktív,

236

* zavedenie procesu formálneho rozhodovania ohľadom riadenia identifikovaných rizík,

237

* na základe výsledkov AR/BIA zadefinovanie stratégie obnovy pre jednotlivé IS,

238

* aktualizácia plánu zálohovania podľa výsledkov AR/BIA,

239

* identifikácia zdrojov log súborov potrebných pre komplexné vyhodnocovanie bezpečnostných udalostí, analýza štruktúry log súborov, návrh optimálneho zberu log súborov, návrh optimálneho uchovávanie log súborov pre potreby forenznej analýzy,

240

241

242

Implementačné aktivity bezpečnostných riešení:

243

244

* zavedenie nástroja na udržiavanie aktív a aktualizáciu AR/BIA a zaškolenie administrátorov NsP Brezno

245

* dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie bezpečnostného riešenia pre ochranu kritických infraštruktúrnych prvkov (serverov) voči zraniteľnostiam – implementácia funkcionality „virtual patching“ pre tzv. „legacy“ systémy, naktoré už nie sú vydávané bezpečnostné záplaty a ochrany voči tzv. „zero-day“ zraniteľnostiam a zaškolenie administrátorov NsP Brezno,

246

* s integrovaným centrálnym log manažmentom pre účely agentského aj bez-agentského zberu logov zo systémov, sieťových zariadení a koncových staníc, spoločne s funkcionalitami XDR (Extended detection and response), ABA (Attacker Behavior Analytics),

247

* UBA (User Behavior Analytics), NTA (Network Traffic Analysis), FAAM (File Access Activity Monitoring), FIM (File Integrity Monitoring),

248

* Deception Technology (Honey Pots/User/File/Credential) pre zabezpečenie komplexného monitoringu a možnosti vyhodnocovania

249

* bezpečnostných udalostí vrátane zaškolenia administrátorov NsP Brezno,

250

* dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie MFA na všetky VPN pripojenia a na prístup

251

* „power users“ k správe IS a zaškolenie administrátorov NsP Brezno

252

253

* dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie interného nástroja na skenovanie zraniteľností (vulnerability scaner) s možnosťou previazania a plnej kompatibility so SIEM riešením, pre testovanie interných systémov, pracovných staníc, sieťovej infraštruktúry a rovnako aj IP adries NsP Brezno dostupných zo siete internet, vrátane zaškolenia administrátorov NsP Brezno,

254

* dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie interného nástroja na bezpečnostné testovanie

255

* vykonanie nasledovných bezpečnostných testovaní:

256

* vulnerability test (scan) interných systémov, pracovných staníc, sieťovej infraštruktúry,

257

258

259

Pre-financovanie nasledovných, legislatívou vyžadovanej aktivity:

260

261

pre-financovanie aktualizácie inventarizácie aktív, klasifikácie IS a analýzy rizík tesne pred ukončením projektu po úspešnej

262

263

implementácii vyššie uvedených bezpečnostných riešení.

264

265

266

Celková žiadaná výška ŽoNFP je 298 953,12 EUR.

267

268

269

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.Architektúrariešeniaprojektu"/}}4. Architektúra riešenia projektu =

270

271

Hlavnou aktivitou projektu je zvýšenie úrovne KIB, aby **NsP Brezno** bola lepšie pripravená čeliť interným a externým hrozbám v oblasti kybernetickej bezpečnosti. Na rozdiel od súčasného stavu bude disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého prostredia, ako aj ochranu dát.

272

273

274

Medzi hlavné ciele systému riadenia KIB patria:

275

276

* zabezpečenie správnej a bezpečnej prevádzky prostriedkov spracúvajúcich informácie,

277

* monitorovanie prostredia,

278

* evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu.

279

280

281

Na rozdiel od súčasného stavu bude NsP Brezno disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého prostredia, ako aj ochranu dát.

282

283

284

Navrhovaný projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia" súvisí najmä s naplnením povinností:

285

286

* definovanými v zákone č. 69/2018 Z. z. Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB") a v

287

* zákone č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS"),

288

* opatreniami definovanými v § 20 zákona o KB,

289

* nutnosť zvýšenia úrovne a schopnosti zabezpečovať a riadiť informačnú a kybernetickú bezpečnosť vzhľadom na sústavne sa zvyšujúce hrozby a riziká,

290

* zabezpečenie realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti,

291

* ako reakcia na aktuálny nedostatočný stav úrovne vyspelosti procesov riadenia KIB,

292

* ako reakcia na aktuálne zmeny v používaní IT, ako aj závažné útoky v oblasti kybernetickej bezpečnosti.

293

294

Projekt rieši nasledovné špecifické problémy v oblasti kybernetickej bezpečnosti:

295

296

* Nová legislatíva v oblasti KIB je náročne implementovateľná bez značných investícií a najmä bez potrebných expertných ľudských zdrojov.

297

* Absencia fundovaných ľudí, ale aj vzorov, návodov, metodických usmernení a inštrukcií.

298

* NsP Brezno nemá vykonanú detailnú inventarizáciu informačných aktív, klasifikáciu a kategorizáciu IS a sietí, analýzu rizík a analýzu dopadov, zabezpečený formalizovaný a opakovaný proces riadenia identifikovaných rizík (ich mitigácie), ktoré sú nevyhnutným a nutným predpokladom pre efektívne riadenie KIB a ďalší rozvoj v tejto oblasti, inventarizáciu aktív a riadenie rizík vykonávajú zväčša neformalizovaným spôsobom bez IKT podpory.

299

* Nie je zadefinovaný dizajn bezpečnostných opatrení pre jednotlivé klasifikačné stupne a kategórie IS a chýba aj základná sada zákonom o KB požadovanej dokumentácie a základných interných smerníc pre niektoré oblasti riadenia KIB.

300

301

302

Implementácia projektu bude prebiehať v rámci oprávneného typu akcie: Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy a zdravotníckych zariadení v nasledovných krokoch:

303

304

305

**Hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti**

306

307

1. **Návrh infraštruktúry do záložného dátového centra:**

308

309

* Servre – 2 ks 1U serverov DELL R660xs pre zabezpečenie dostatočného výkonu a redundancie. Servery budú prevádzkovane v backup DC, aby v prípade výpadku jedného zo záložných serverov bolo možné prevádzkovať nevyhnutnú aplikačnú infraštruktúru. Záložné servre sú zrkadlom hlavných serverov v hlavnej serverovni

310

* Storage – 1 ks 2U DELL ME4024 All-Flash s kobinaciou SSD diskov a HDD diskov pre dostatočný výkon celej backup infraštruktúry a pre dostatočnú kapacitu najmä pre systém PACS. Tento storage je možné do budúcna rozširovať až do 9 extension políc s ďalšími diskami.

311

* Virtualizačný SW – 32 (2 servre po 16 cores) CPU licencie VMware vSphere Standard s licenciou management vCenter server appliance – Virtualizácia bude zabezpečovať plynulý bezvýpadkovy (HA) chod všetkých virtuálnych serverov s možnosťou automatickej migrácie medzi fyzickými servermi.

312

* Backup SW – navrhovaný je Backup SW Acronis ktorý dokáže zálohovať, replikovať na storage, NAS, tape library a má jednoduché licencovanie – 1 licencia na 1 fyzicky server s VMware – tzn. potrebujeme 2 ks licencii. Acronis ktorý bude zálohovať aj na disky NAS a pásky LTO8 v tape library podľa backup plánu.

313

* Server bude napájaný pomocou APC Smart-UPS SRT 3000VA RM 230V Network Card + externý battery pack APC Smart-UPS SRT 96V 3kVA RM Battery Pack a bude obsahovať aj 19“ rackovou skriňou pre infraštruktúru

314

* Súčasťou dodávky je monitorovací notebook DELL Latitude 5540 i5-1345U 15.6" FHD 16GB 512GB SSD Iris Xe IrCam Thb FPR SCR Win11Pro 3Y ProSpt OS

315

* Zálohovanie dát bude realizovane dvojúrovňovo - na existujúci NAS QNAP s kapacitou 12 x 8TB diskov a s možnosťou ďalšieho rozširovania kapacity pridaním extension police

316

* Serverové licencie Windows Server Datacenter 2022 za účelom prevádzkovania virtuálnych serverov, keďže jedna licencia slúži na 1 fyzicky server.

317

318

2. (% style="letter-spacing:0.0px" %)**Segmentácia stávajúcej LAN siete a zavedenie autentifikácie**

319

320

**~ a) Segmentácia siete a zavedenie 802.1x – Ochrana pred kybernetickými útokmi z LAN siete**

321

322

Autentizácia prístupu k portom pomocou protokolu IEEE 802.1x je základ dnes populárnej technológie nazvanej Network Access Control (NAC), Network Admission Control (NAC) alebo Network Access Protection (NAP), ktoré riadia prístup zariadenia k sieti.

323

324

Výhodou tohto riešenia je, že sa prístup kontroluje pred vstupom do siete, teda priamo na porte (access switch), do ktorého je zariadenie pripojené. Princíp spočíva v tom, že port na switchy je zablokovaný (nepovoľuje žiadnu komunikáciu) do tej doby, než sa pripojené zariadenie úspešne autentizuje. Pri tejto metóde je možné využiť aj rady ďalších vlastností, napríklad dynamické zaraďovanie do VLAN či zaradenie portu do hosťovskej VLANy, pokiaľ nedôjde k autentifikácii. Administrátori si tak môžu zabezpečiť prístupy do svojej siete a chrániť ju.

325

326

**~ b) Vytvorenie dvojfaktoru pre VPN užívateľov**

327

328

Vzhľadom na zraniteľnosť VPN siete cez prihlasovanie koncových zriadení odporúčame využívať dvojfaktorovú autentifikáciu pre koncové zariadenia pripájajúcich na diaľku do VPN siete Nemocnice.

329

330

Navrhované riešenie je na báze Fortinet – FortiToken, keďže nemocnica využíva služby Fortigate-u.

331

332

333

3. (% style="letter-spacing:0.0px" %)**a) Softvér EDR/XDR**

334

335

Súčasťou riešenia budú detailné analytické, diagnostické a detekčno-bezpečnostné práce nad všetkými existujúcimi koncovými zariadeniami z pohľadu vykonania detailného preverenia, analýzy a diagnostiky týchto zariadení na prípadnú prítomnosť infekcie malvérom a v prípade jeho identifikácie aj spoľahlivé a bezpečné odstránenie tak, aby následne mohla byť na tieto zariadenia nasadená rozšírená a najmä funkčná AV a EDR/XDR ochrana.

336

337

V rámci tejto aktivity sa požaduje rozšírenie licencií existujúceho AV riešenia (ESET) na všetky koncové stanice a servery a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Požaduje sa dodanie riešenia na prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, šifrovanie celých diskov, správu zraniteľností a patchov aplikácií tretích strán, ochranu poštových serverov/mailboxov, ochranu cloudového prostredia Microsoft365/Google Workspace a možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení podľa voľby SPU NR za účelom povýšenia kybernetickej bezpečnosti. Riešenie poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou, a ktorá zahŕňa funkcie, ako napr. detekcia incidentov v reálnom čase, manažment a reakcia na incidenty, zozbieravanie údajov, detekcia indikátorov ohrozenia, detekcia anomálií, detekcia správania, detekcia porušenia pravidiel atď.

338

339

Súčasťou dodávky musí byť aj konzola / systém na správu celého riešenia.

340

341

b) (% style="letter-spacing:0.0px" %)**Nasadenie informačného systému pre identifikáciu a riadenie rizík v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§6) v rovine riadenia, revízie a aktualizácie potrebnej dokumentácie**

342

343

Informačný systém pre identifikáciu a riadenie rizík musí spĺňať tieto funkčných vlastnosti:

344

345

* správa aktív – vedenie zoznamu aktív subjektu, vrátane ich vlastníkov

346

* správa zraniteľností – vedenie zoznamu rozpoznaných zraniteľností, vrátane ich vlastníkov

347

* správa hrozieb – vedenie zoznamu rozpoznaných hrozieb

348

* správa opatrení – vedenie zoznamu opatrení potrebných na potlačenie zraniteľností

349

* správa vzťahov – evidencia rozpoznaných vzťahov medzi aktívami a zraniteľnosťami

350

* správa rizík – identifikácia a ohodnotenie rizík na základe pravdepodobností hrozieb, uplatňovaných opatrení a dopadov na subjekt,

351

* semikvantitatívna prípadne kvantitatívna metóda hodnotenia významnosti rizík, • číselné ohodnotenie pravdepodobnosti hrozieb a účinnosti opatrení,

352

* významnosť rizík vyjadrená číselne a následne kategorizovaná.

353

354

4. (% style="letter-spacing:0.0px" %)**a) Vypracovanie kontinuity činností v zmysle ZoKB – riadenie kontinuity činností (BCM) v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17)**

355

356

Kontinuita činností musí zadefinovať scenáre rôznych udalostí, ktoré potencionálne môžu mať negatívny vplyv na bežné činnosti organizácie ako sú napríklad:

357

358

* náhla nedostupnosť personálu či nepoužiteľnosť pracoviska/budovy,

359

* nedostupnosť technologickej infraštruktúry či potrebných médií,

360

* incident či živelná katastrofa.

361

362

V rámci kontinuity činností musia byť stanovené požiadavky na zdroje (adekvátne finančné, materiálno-technické a personálne zdroje), ktoré budú potrebné na implementáciu vybraných stratégií kontinuity činností. V zmysle požiadaviek zákona o kybernetickej bezpečnosti sa musí určiť čo má byť:

363

364

* hlavným cieľom plánu kontinuity s ohľadom na riadenie incidentov v prípade katastrofy alebo iného rušivého incidentu a ako sa obnovia činnosti v stanovených termínoch,

365

366

367

**~ b) Požiadavky na analýzu dopadov**

368

369

Analýza dopadov musí:

370

371

- identifikovať rôzne kategórie procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti,

372

373

- určiť potenciálne dôsledky (škody/straty) pri rôznych dobách trvania kritických situácií,

374

375

- stanoviť maximálne akceptovateľné doby prerušenia (MTO),

376

377

- stanoviť minimálne ciele kontinuity podnikania (MBCO),

378

379

- určiť cieľové časy obnovy (RTO) a cieľové body obnovy (RPO),

380

381

* identifikovať potenciálne dopady vyplývajúce z možného prerušenia činností a stanoviť výšku:

382

* funkčných dopadov,

383

* finančných dopadov,

384

* dopadov spôsobených stratou údajov a dokumentov.

385

* identifikovať zdroje a prostriedky na obnovu procesov so zásadným vplyvom na kontinuitu činností organizácie na základe hodnoty RTO procesu v min. tomto typovom rozsahu zdrojov:

386

* ľudia,

387

* aplikácie / databázy,

388

* údaje uložené v elektronickej podobe (nezahrnuté v aplikáciách a databázach),

389

* údaje uložené na papierovom médiu,

390

* IT a komunikačné zariadenia,

391

* komunikačné kanály,

392

* ostatné vybavenie,

393

* vybavenie a infraštruktúra,

* pracovný kapitál.

**Záverečná správa, ako výstup z analýzy dopadov musí obsahovať:**

398

399

* prehľad vykonávaných činností, ktorý bude obsahovať názov činnosti, jej vymedzenie, vlastníka, MTO a MBCO,

400

* zoznam procesov, ktorý bude (ak to je možné) obsahovať názov procesu, druh procesu, vlastníka procesu, RTO a RPO procesu (údaje, na základe ktorých bolo stanovené príslušné RTO a RPO budú taktiež súčasťou správy),

401

* špecifikácie nevyhnutných zdrojov a prostriedkov pre zabezpečenie kontinuity činností.

402

403

Pri analýze dopadov je potrebné identifikovať:

404

405

* kritické obdobie,

406

* množstvo práce vykonanej v kritickom období,

407

* minimálne prijateľné množstvo práce vykonávanej bezprostredne po krízovej situácii,

408

* či môže definovaný typ krízovej situácie spôsobiť prerušenie procesu.

409

410

Pričom kritickým obdobím až krízovou situáciou môže byť:

411

412

* nedostupnosť informačných technológií a/alebo dát,

413

* nedostupnosť prevádzkových priestorov,

414

* nedostupnosť kritickej časti ľudských zdrojov – zamestnancov,

415

* zlyhanie kľúčového externého dodávateľa služieb.

**~ **

**Jednotlivé riešenia v rámci implementácie projektu:**

420

421

1. Analýza a dizajn bude obsahovať:

422

423

* konzultačné a analytické práce spojené s identifikáciou možností realizácie, potrebných zdrojov a riešení,

424

* identifikáciu a analýzu rolí, procesov a integrácii,

425

* funkčnú a nefunkčnú špecifikáciu celého riešenia,

426

* definíciu všetkých manažérskych a špecializovaných produktov spolu s akceptačnými kritériami.

427

428

429

2. Nákup HW a krabicového SW pozostáva z nákupu hardvérového a softvérového vybavenia

430

431

* Nástroj na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti.

432

* Bezpečnostné riešenie ochrany kritických sieťových prvkov.

433

* Vulnerability scanner.

434

435

436

3. Implementácia bude obsahovať:

437

438

* implementáciu a nastavenie jednotlivých technických služieb,

439

* implementácia bezpečnostných opatrení,

440

* implementácia proaktívnych a reaktívnych služieb,

441

* obvyklé testovanie celého riešenia popri implementácii,

442

* zabezpečenie služby SOC od externého subjektu,

443

* zladenie interných procesov riešenia bezpečnostných incidentov (internej smernice) s procesmi SOC.

444

445

446

4. Testovanie obsahuje:

447

448

* testovanie funkcionality riešenia,

449

* vulnerability testovanie,

450

* testovanie integrácii,

451

* pilotnú prevádzku,

452

* akceptačné testovanie.

453

454

455

5. Nasadenie obsahuje:

456

457

* nasadenie riešenia do produkčného prostredia,

458

* školenia pre celé riešenie,

459

* prechod na plnú prevádzku

460

461

462

6. Udržateľnosť projektu na celé obdobie:

463

464

* Dodávka hardvéru obsahuje 5 ročnú záruku v rátane servisu ProSupport and Next Business Day Onsite Service

465

* Všetok dodaný softvér obsahuje licencie na 5 ročné obdobie

466

* Všetky dojednané služby – výkon manažéra riadenia rizík, BCM, manažér riadenia kontinuity, analýza a správa analázy dopadov sa dojednáva na 5 ročné obdobie

467

468

469

**Podporná aktivita** – Projektový manažér interný/externý na riadenie hlavných aktivít projektu, manažér kybernetickej bezpečnosti – kontrola a riadenie implementácie bezpečnostných riešení, bezpečnostný analytik – podpora implementácie bezpečnostných riešení a ich bezpečnostnej konfigurácie.

470

471

472

**Podporná aktivita** – Publicita a informovanosť vzhľadom na povahu projektu obsahuje iba povinné položky, t.j. umiestnenie trvalo vysvetľujúcej tabule a dočasný veľkoplošný pútač

473

474

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.1Biznisvrstva"/}}4.1 Biznis vrstva ==

475

476

Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy:

477

478

* Riadenie aktív a riadenie rizík.

479

** Proces evidencie a správy aktív.

480

** Proces klasifikácie informácií a kategorizácie IS a sietí.

481

** Proces realizácie AR/BIA.

482

** Proces rozhodovania ohľadom riadenia identifikovaných rizík.

483

** Proces stanovenia stratégie obnovy na základe výsledkov AR/BIA (RTO).

484

** Proces definovania plánu zálohovanie na základe výsledkov AR/BIA (RPO).

485

* Riadenie prístupov.

486

** Proces riadenia prístupov do vyhradených priestorov (serverovní).

487

* Ochrana proti škodlivému kódu.

488

** Proces identifikácie a ochrany koncových staníc a systémov pred škodlivým kódom (ochrana pred malware a ransomware).

489

* Sieťová a komunikačná bezpečnosť.

490

** Proces ochrany a riadenia prístupov z vonkajšieho prostredia do siete a opačne.

491

** Proces riadenia prichádzajúcej a odchádzajúcej komunikácie.

492

** Proces segmentácie jednotlivých sietí a systémov.

493

* Zaznamenávanie udalostí a monitorovanie.

494

** Proces bezpečného ukladania a centrálneho zhrávania logov.

495

** Proces bezpečnostného monitoringu koncových staníc.

496

** Proces bezpečnostného monitoringu systémov a dátových úložísk.

497

** Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry.

498

** Proces bezpečnostného monitoringu aktivít používateľov.

499

** Proces bezpečnostného monitoringu aktivít privilegovaných používateľov.

500

** Proces vyhodnocovania udalostí založený na “machine learning” algoritmoch a sledovaní správania sa používateľov (“behavioral analysis”).Riešenie kybernetických bezpečnostných incidentov.

501

* Proces riešenia bezpečnostných incidentov.

502

** Proces identifikácie, vyhodnocovania a riešenia bezpečnostných incidentov a podozrivých udalostí aj vo väzbe na SOC.

503

* Kontinuita prevádzky.

504

** Proces riešenia obnovy v prípade mimoriadnej udalosti.

505

** Proces ochrany, čitateľnosti a dostupnosti záloh.

506

* Zabezpečenie súladu.

507

** Proces vyhodnotenia aktuálneho stavu súladu s požiadavkami legislatívy.

508

509

510

Z pohľadu biznis architektúry predstavujú niektoré, vyššie uvedené, biznis služby len analytické a konzultačné práce, pričom niektoré sú podporené aj aplikačným nástrojom na ich podporu a udržiavanie. Pre zvyšné funkcie, ktoré sú podporené aj aplikačným vybavením, alebo sú reprezentované napr. technologickým zariadením (HW appliance) a pod., sú jednotlivé komponenty rovnako uvedené v rámci popisu aplikačnej a prípadne technologickej architektúry.

511

512

Predmetom biznis funkcie „Kontinuita prevádzky“, ktorá nie je reprezentovaná na aplikačnej úrovni je najmä:

513

514

* Vytvorenie politiky riadenia kontinuity.

515

* Na základe výsledkov AR/BIA budú spracované nasledovné výstupy:

516

** Určená stratégia obnovy pre každý jeden IS (na základe výsledkov AR/BIA - RTO).

517

** Plány a postupy zálohovania (na základe výsledkov AR/BIA - RPO).

518

** BCP pre najkritickejšie biznis procesy v rámci systémov.

519

** DRP pre kľúčové systémy a podporné a infraštruktúrne IS, bez ktorých nie je možné plne prevádzkovať uvedené dva základné systémy (napr. základná sieťová infraštruktúra, FW, AD, DC, autentifikačný server a pod.).

520

521

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}4.1.1 Prehľad koncových služieb – budúci stav: ===

522

523

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

524

525

526

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.1.2Jazykovápodporaalokalizácia"/}}4.1.2 Jazyková podpora a lokalizácia ===

527

528

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

529

530

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2Aplikačnávrstva"/}}4.2 Aplikačná vrstva ==

531

532

Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:

533

534

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.1Požiadavkynajednotlivékomponenty"/}}4.2.1 Požiadavky na jednotlivé komponenty ===

535

536

Požiadavky na jednotlivé aplikačné komponenty pre vyššie uvedené aplikačné služby sú nasledovné:

537

538

==== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.1.1Riadenieaktívarizík"/}}4.2.1.1 Riadenie aktív a rizík ====

539

540

Informačný systém pre identifikáciu a riadenie rizík musí spĺňať tieto funkčných vlastnosti:

541

542

* správa aktív – vedenie zoznamu aktív subjektu, vrátane ich vlastníkov

543

* správa zraniteľností – vedenie zoznamu rozpoznaných zraniteľností, vrátane ich vlastníkov

544

* správa hrozieb – vedenie zoznamu rozpoznaných hrozieb

545

* správa opatrení – vedenie zoznamu opatrení potrebných na potlačenie zraniteľností

546

* správa vzťahov – evidencia rozpoznaných vzťahov medzi aktívami a zraniteľnosťami

547

* správa rizík – identifikácia a ohodnotenie rizík na základe pravdepodobností hrozieb, uplatňovaných opatrení a dopadov na subjekt,

548

* semikvantitatívna prípadne kvantitatívna metóda hodnotenia významnosti rizík, • číselné ohodnotenie pravdepodobnosti hrozieb a účinnosti opatrení,

549

* významnosť rizík vyjadrená číselne a následne kategorizovaná.

550

551

Užívateľské rozhranie a výstupy musia spĺňať tieto požiadavky:

552

553

- pre interakciu s používateľom musí byť k dispozícií webové rozhranie bez špeciálnych nárokov na webový prehliadač v plnej podpore slovenského jazyka,

554

555

- výstupy musia byť realizované vo forme prehľadov a zostáv vo formáte PDF vyhotovené v slovenskom jazyku vrátane šablón a komentárov,

556

557

- softvér musí umožňovať riadiť prístup užívateľov k obsahu rizikovej analýzy.

558

559

Správa používateľov musí umožňovať:

560

561

- evidenciu používateľov, oprávnených pristupovať k subjektom a identifikovať resp. manažovať ich riziká,

562

563

- širokú integráciu na existujúce systémy správy používateľov,

564

565

- prideľovanie rolí oprávneným používateľom s rôznym stupňom oprávnení.

566

567

568

IS pre identifikáciu a riadenie rizík musí byť umožňovať vykonávať revízie a aktualizáciu rizikovej analýzy, riadiť riziká, aktíva, zraniteľnosti a hrozby systémom, ktorý dokumentuje históriu a je auditovateľný. Verejný objednávateľ požaduje informačný systém typu klient – server nasadený u verejného obstarávateľa na jeho serveri bez závislosti na cloudových službách, aktualizáciách cez internet a inom komerčnom programovom vybavení okrem operačného systému.

569

570

Požiadavky na výkon činností manažéra pre riadenie rizík prostredníctvom IS pre identifikáciu a riadenie rizík:

571

572

* tvorba analýz rizík podľa potreby a požiadaviek verejného obstarávateľa,

573

* pravidelné hodnotenie a ošetrovanie rizík,

574

* tvorba plánu eliminácie rizík,

575

* správa aktív a ich vlastníkov,

576

* dohľad nad riadením rizík.

**~ **

Kontinuita činností musí zadefinovať scenáre rôznych udalostí, ktoré potencionálne môžu mať negatívny vplyv na bežné činnosti organizácie ako sú napríklad:

581

582

* náhla nedostupnosť personálu či nepoužiteľnosť pracoviska/budovy,

583

* nedostupnosť technologickej infraštruktúry či potrebných médií,

584

* incident či živelná katastrofa.

585

586

V rámci kontinuity činností musia byť stanovené požiadavky na zdroje (adekvátne finančné, materiálno-technické a personálne zdroje), ktoré budú potrebné na implementáciu vybraných stratégií kontinuity činností. V zmysle požiadaviek zákona o kybernetickej bezpečnosti sa musí určiť čo má byť:

587

588

* hlavným cieľom plánu kontinuity s ohľadom na riadenie incidentov v prípade katastrofy alebo iného rušivého incidentu a ako sa obnovia činnosti v stanovených termínoch,

589

* strategickým imperatívom procesu riadenia kontinuitu s ohľadom na predchádzanie ďalším stratám.

590

591

Súčasťou kontinuity činností musí byť vypracovanie analýzy funkčných dopadov a kvalifikácia potencionálnych dopadov a straty v prípade prerušenia alebo narušenia prevádzky u všetkých procesov organizácie. Požiadavkou analýzy funkčného dopadu musí byť určenie:

592

593

* cieľovej doby obnovy jednotlivých procesov, siete a informačných systémov a aplikácií, a to najmä určením doby obnovy prevádzky, po uplynutí ktorej je po kybernetickom bezpečnostnom incidente obnovená najnižšia úroveň poskytovania základných služieb,

594

* cieľového bodu obnovy jednotlivých procesov, siete a informačných systémov základnej služby, a to najmä určením najnižšej úrovne poskytovania služieb, ktorá je dostatočná na používanie, prevádzku a správu siete a informačného systému a zachovanie kontinuity základnej služby.

595

596

Kontinuitou musia byť zavedené postupy zálohovania na obnovy siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu obsahujúce najmenej:

597

598

1. a) frekvenciu a rozsah zdokumentovania a schvaľovania obnovy záloh,

599

1. b) určenie osoby zodpovednej za zálohovanie,

600

1. c) časový interval, identifikáciu rozsahu údajov, zadefinovanie dátového média zálohovania a zabezpečenie vedenia dokumentácie o zálohovaní,

601

1. d) umiestnenie záloh v zabezpečenom prostredí s riadeným prístupom,

602

1. e) zabezpečenie šifrovania záloh obsahujúcich aktíva klasifikačného stupňa chránené a prísne chránené,

603

1. f) vykonávanie pravidelného preverenia záloh na základe vypracovaného plánu, testovanie obnovy záloh a precvičovanie zavedených krízových plánov najmenej raz ročne.

604

605

Kontinuita činností musí obsahovať minimálne:

606

607

* plán kontinuity na stanovenie požiadaviek a zdrojov,

608

* plán reakcie na incidenty a plány havarijnej obnovy prevádzky,

609

* politiku a ciele kontinuity,

610

* analýzu funkčných dopadov,

611

* stratégiu riadenia kontinuity vrátane evakuačných postupov,

612

* plán údržby a kontroly BCMS.

613

614

Požiadavky na výkon činností manažéra pre riadenie kontinuity činností:

615

616

1. a) riadenie incidentov v prípade katastrofy alebo rušivého incidentu,

617

1. b) realizácia a výkon interných auditov a analýz dopadov,

618

1. c) precvičovanie zavedených krízových plánov,

619

1. d) aktualizácia plánov reakcie na incidenty a plánov obnovy po katastrofe,

620

1. e) návrh opatrení riadenia kontinuity,

621

1. f) monitorovanie zariadení podstatných pre prípadný vznik incidentu.

622

623

624

Analýza dopadov musí:

625

626

- identifikovať rôzne kategórie procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti,

627

628

- určiť potenciálne dôsledky (škody/straty) pri rôznych dobách trvania kritických situácií,

629

630

- stanoviť maximálne akceptovateľné doby prerušenia (MTO),

631

632

- stanoviť minimálne ciele kontinuity podnikania (MBCO),

633

634

- určiť cieľové časy obnovy (RTO) a cieľové body obnovy (RPO),

635

636

* identifikovať potenciálne dopady vyplývajúce z možného prerušenia činností a stanoviť výšku:

637

* funkčných dopadov,

638

* finančných dopadov,

639

* dopadov spôsobených stratou údajov a dokumentov.

640

* identifikovať zdroje a prostriedky na obnovu procesov so zásadným vplyvom na kontinuitu činností organizácie na základe hodnoty RTO procesu v min. tomto typovom rozsahu zdrojov:

641

* ľudia,

642

* aplikácie / databázy,

643

* údaje uložené v elektronickej podobe (nezahrnuté v aplikáciách a databázach),

644

* údaje uložené na papierovom médiu,

645

* IT a komunikačné zariadenia,

646

* komunikačné kanály,

647

* ostatné vybavenie,

648

* vybavenie a infraštruktúra,

* pracovný kapitál.

**Záverečná správa, ako výstup z analýzy dopadov musí obsahovať:**

653

654

* prehľad vykonávaných činností, ktorý bude obsahovať názov činnosti, jej vymedzenie, vlastníka, MTO a MBCO,

655

* zoznam procesov, ktorý bude (ak to je možné) obsahovať názov procesu, druh procesu, vlastníka procesu, RTO a RPO procesu (údaje, na základe ktorých bolo stanovené príslušné RTO a RPO budú taktiež súčasťou správy),

656

* špecifikácie nevyhnutných zdrojov a prostriedkov pre zabezpečenie kontinuity činností.

657

658

Pri analýze dopadov je potrebné identifikovať:

659

660

* kritické obdobie,

661

* množstvo práce vykonanej v kritickom období,

662

* minimálne prijateľné množstvo práce vykonávanej bezprostredne po krízovej situácii,

663

* či môže definovaný typ krízovej situácie spôsobiť prerušenie procesu.

664

665

Pričom kritickým obdobím až krízovou situáciou môže byť:

666

667

* nedostupnosť informačných technológií a/alebo dát,

668

* nedostupnosť prevádzkových priestorov,

669

* nedostupnosť kritickej časti ľudských zdrojov – zamestnancov,

670

* zlyhanie kľúčového externého dodávateľa služieb.

671

672

673

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.2Rozsahinformačnýchsystémov–ASIS"/}}4.2.2 Rozsah informačných systémov – AS IS ===

674

675

Implementované bezpečnostné riešenia sa budú dotýkať najmä zvýšenia ochrany a bezpečnosti nasledovných IS:

676

677

|(((

678

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

693

694

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

)))|(((

Promis

)))|(((

☐

)))|(((

Vyberte jednu z možností

704

)))|(((

705

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Tomocon

)))|(((

☐

)))|(((

Vyberte jednu z možností

717

)))|(((

718

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Tomocon Go

)))|(((

☐

)))|(((

Vyberte jednu z možností

730

)))|(((

731

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Tomocon Camera

)))|(((

☐

)))|(((

Vyberte jednu z možností

743

)))|(((

744

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

T3C

)))|(((

☐

)))|(((

Vyberte jednu z možností

756

)))|(((

757

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Pharmay HITT

)))|(((

☐

)))|(((

Vyberte jednu z možností

769

)))|(((

770

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

VEMA

)))|(((

☐

)))|(((

Vyberte jednu z možností

782

)))|(((

783

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Admis

)))|(((

☐

)))|(((

Vyberte jednu z možností

795

)))|(((

796

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

eLab(nadstavba na NIS)

)))|(((

☐

)))|(((

Vyberte jednu z možností

808

)))|(((

809

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

intranet

)))|(((

☐

)))|(((

Vyberte jednu z možností

821

)))|(((

822

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Attendance

)))|(((

☐

)))|(((

Vyberte jednu z možností

834

)))|(((

835

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Unifi Video kamery

)))|(((

☐

)))|(((

Vyberte jednu z možností

847

)))|(((

848

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

WISP majetok

)))|(((

☐

)))|(((

Vyberte jednu z možností

860

)))|(((

861

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

PROMYS

)))|(((

☐

)))|(((

Vyberte jednu z možností

873

)))|(((

874

Vyberte jednu z možností

)))|(((

)))

Čiastočne a okrajovo sa implementované bezpečnostné opatrenia a riešenia budú dotýkať aj nasledovných infraštruktúrnych a podporných IS, ktoré ale nie sú ISVS:

880

881

(% class="relative-table" style="width:59.7466%" %)

882

|(((

883

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

898

899

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

)))|(((

Active directory

)))|(((

☒

)))|(((

Vyberte jednu z možností

909

)))|(((

910

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

Webové sídlo

)))|(((

☒

)))|(((

Vyberte jednu z možností

922

)))|(((

923

Vyberte jednu z možností

)))|(((

)))

|(((

)))|(((

E-mailové služby

)))|(((

☒

)))|(((

Vyberte jednu z možností

935

)))|(((

936

Vyberte jednu z možností

)))|(((

)))

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.3Rozsahinformačnýchsystémov–TOBE"/}}4.2.3 Rozsah informačných systémov – TO BE// // ===

943

944

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

945

946

947

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.4VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}4.2.4 Využívanie nadrezortných a spoločných ISVS – AS IS ===

948

949

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

950

951

952

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.5PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}4.2.5 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE ===

953

954

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

955

956

957

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.6PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}4.2.6 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===

958

959

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

960

961

962

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.7Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}4.2.7 Aplikačné služby pre realizáciu koncových služieb – TO BE ===

963

964

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

965

966

967

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.8Aplikačnéslužbynaintegráciu–TOBE"/}}4.2.8 Aplikačné služby na integráciu – TO BE ===

968

969

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

970

971

972

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.9PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}4.2.9 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===

973

974

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

975

976

977

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.2.10KonzumovanieúdajovzISCSRU–TOBE"/}}4.2.10 Konzumovanie údajov z IS CSRU – TO BE ===

978

979

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

980

981

982

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.3Dátovávrstva"/}}4.3 Dátová vrstva ==

983

984

Z pohľadu dátového modelu nejde o typické biznis (agendové) dáta ale o dáta typu:

985

986

* Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. – ako výstupy aktivity projektu určené pre ďalšie riadenie rozvoja KIB v sektore zdravotníctva,

987

* bezpečnostné konfigurácie a bezpečnostné dáta (napr. logy) – pre fungovanie jednotlivých bezpečnostných komponentov.

988

989

Dátové objekty uvedené v aplikačnej architektúre zároveň predstavujú aj konkrétne dáta, čiže dátový model, ktorý bude predmetom tohto projektu.

990

991

Bezpečnostná dokumentácia a politiky, postupy, analýzy, reporty a pod. sú určené pre proces riadenia KIB.

992

993

Bezpečnostné konfigurácie a bezpečnostné dáta slúžia pre správne fungovanie bezpečnostných modulov, t.j. jednotlivé komponenty tohto navrhovaného riešenia a zároveň reprezentujú vyhodnocovanie bezpečnostných udalostí a potenciálnych bezpečnostných incidentov.

994

995

Súčasťou riešenia budú detailné analytické, diagnostické a detekčno-bezpečnostné práce nad všetkými existujúcimi koncovými zariadeniami z pohľadu vykonania detailného preverenia, analýzy a diagnostiky týchto zariadení na prípadnú prítomnosť infekcie malvérom a v prípade jeho identifikácie aj spoľahlivé a bezpečné odstránenie tak, aby následne mohla byť na tieto zariadenia nasadená rozšírená a najmä funkčná AV a EDR/XDR ochrana.

996

997

V rámci tejto vrstvy sa požaduje rozšírenie licencií existujúceho AV riešenia (ESET) na všetky koncové stanice a servery a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Požaduje sa dodanie riešenia na prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, šifrovanie celých diskov, správu zraniteľností a patchov aplikácií tretích strán, ochranu poštových serverov/mailboxov, ochranu cloudového prostredia Microsoft365/Google Workspace a možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení podľa voľby SPU NR za účelom povýšenia kybernetickej bezpečnosti. Riešenie poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou, a ktorá zahŕňa funkcie, ako napr. detekcia incidentov v reálnom čase, manažment a reakcia na incidenty, zozbieravanie údajov, detekcia indikátorov ohrozenia, detekcia anomálií, detekcia správania, detekcia porušenia pravidiel atď.

998

999

Súčasťou dodávky musí byť aj konzola / systém na správu celého riešenia.

1000

1001

Detailné požiadavky na riešenie:

1002

1003

* Podporované klientske platformy OS - min. Windows, Linux, MacOS, Android, všetko v slovenskom alebo českom jazyku Natívna podpora architektúr pre platformy Windows a MacOS: x86, x64, ARM64

1004

* Antimalware, antiransomware, antispyware a anti-phishing na aktívnu ochranu pred všetkými typmi hrozieb

1005

* Personálny firewall pre zabránenie neautorizovanému prístupu k zariadeniu so schopnosťou automatického prebratia pravidiel z brány Windows Firewall.

1006

* Modul pre ochranu operačného systému a elimináciu aktivít ohrozujúcich bezpečnosť zariadenia s možnosťou definovať pravidlá pre systémové registre, procesy, aplikácie a súbory

1007

* Ochrana pred neautorizovanou zmenou nastavenia / vyradenie z prevádzky / odinštalovaním antimalware riešení a kritických nastavení a súborov operačného systému

1008

* Aktívna aj pasívna heuristická analýza pre detekciu doposiaľ neznámych hrozieb

1009

* Systém na blokáciu exploitov zneužívajúcich zero-day zraniteľností, ktorý pokrýva najpoužívanejšie vektory útoku: min. sieťové protokoly, Flash Player, Java, Microsoft Office, webové prehliadače, e-mailových klientov, PDF čítačky

1010

* Systém na detekciu malwaru už na sieťovej úrovni poskytujúci ochranu aj pred zneužitím zraniteľností na sieťovej vrstve

1011

* Kontrola šifrovaných spojení (SSL, TLS, HTTPS, IMAPS…).

1012

* Anti-phishing so schopnosťou detekcie homoglyph útokov

1013

* Kontrola RAM pamäte pre lepšiu detekciu malwaru využívajúcu silnú obfuskáciu a šifrovanie

1014

* Cloud kontrola súborov pre urýchlenie skenovania fungujúce na základe reputácie súborov.

1015

* Kontrola súborov v priebehu sťahovania pre zníženie celkového času kontroly

1016

* Kontrola súborov pri zapisovaní na disku a extrahovaní archivačných súborov

1017

* Detekcia s využitím strojového učenia

1018

* Funkcia ochrany proti zapojeniu do botnetu pracujúcej s detekciou sieťových signatúr

1019

* Ochrana pred sieťovými útokmi skenujúca sieťovú komunikáciu a blokujúca pokusy o zneužitie zraniteľností na sieťovej úrovni

1020

* Kontrola s podporou cloudu pre odosielanie a online vyhodnocovanie neznámych a potenciálne škodlivých aplikácií.

1021

* Lokálny sandbox

1022

* Modul behaviorálnej analýzy pre detekciu správania nových typov ransomwaru

1023

* Systém reputácie pre získanie informácií o závadnosti súborov a URL adries

1024

* Cloudový systém na detekciu nového malwaru ešte nezaneseného v aktualizáciách signatúr

1025

* "Technológia na detekciu rootktitov obvykle sa maskujúcich za súčasti operačného systému."

1026

* Skener firmvéru BIOSu a UEFI

1027

* Skenovanie súborov v cloude OneDrive

1028

* Funkcionalita pre MS Windows v min. rozsahu: Antimalware, Antispyware, Personal Firewall, Personal IPS, Application Control, Device control, Security Memory (zabraňuje útokom na bežiace aplikácie), kontrola integrity systémových komponentov

1029

* Funkcionalita pre k MacOS v min. rozsahu- Personal Firewall, Device control, autoupgrade

1030

* Možnosť aplikovania bezpečnostných politík aj v offline režime na základe definovaných podmienok

1031

* Ochrana proti pokročilým hrozbám (APT) a 0-day zraniteľnostiam

1032

* Podpora automatického vytvárania dump súborov na stanici na základe nálezov

1033

* Okamžité blokovanie/mazanie napadnutých súborov na stanici (s možnosťou stiahnutia administrátorom na ďalšiu analýzu)

1034

* Duálny aktualizačný profil pre možnosť sťahovania aktualizácií z mirroru v lokálnej sieti a zároveň vzdialených serverov pri nedostupnosti lokálneho mirroru (pre cestujúcich používateľov s notebookmi).

1035

* Možnosť definovať webové stránky, ktoré sa spustia v chránenom režime prehliadača, pre bezpečnú prácu s kritickými systémami alebo internetovým bankovníctvo

1036

* Aktívne ochrany pred útokmi hrubou silou na protokol SMB a RDP

1037

* Možnosť zablokovania konkrétnej IP adresy po sérii neúspešných pokusov o prihlásenie pre protokoly SMB a RDP s možnosťou výnimiek vo vnútorných sieťach

1038

* Automatické aktualizácie bezpečnostného softvéru s možnosťou odloženia reštartu stanice.

1039

* "Zmrazenie“ na požadovanej verzii – produkt je možné nakonfigurovať tak, aby nedochádzalo k automatickému povyšovaniu majoritných a minoritných verzií najmä na staniciach, kde sa vyžaduje vysoká stabilita

1040

1041

1042

Integrovaná cloudová analýza neznámych vzoriek:

1043

1044

* Funkcia cloudového sandboxu je integrovaná do produktu pre koncové a serverové zariadenia, tzn. Cloudový sandbox nemá vlastného agenta, nevyžaduje inštaláciu ďalšie komponenty či už v rámci produktu alebo implementácie HW prvku do siete

1045

* Sandbox umožňujúci spustenie vzoriek malwaru pre: • Windows • Linux

1046

* Možnosť využitia na koncových bodoch a serveroch pre aktívnu detekciu škodlivých súborov

1047

* Analýza neznámych vzoriek v rade jednotiek minút

1048

* Optimalizácia pre znemožnenie obídenia anti-sandbox mechanizmy

1049

* Schopnosť analýzy rootkitov a ransomvéru

1050

* Schopnosť detekcie a zastavenie zneužitia alebo pokusu o zneužitie zero day zraniteľnosti

1051

* Riešenie pracuje s behaviorálnou analýzou

1052

* Kompletný výsledok o zanalyzovanom súbore vrátane informácie o nájdenom i nenájdenom škodlivom správaní daného súboru

1053

* Manuálne odoslanie vzorky do sandboxu

1054

* Možnosť proaktívnej ochrany, kedy je potenciálna hrozba blokovaná, pokiaľ nie je známy výsledok analýzy zo sandboxu

1055

* Neobmedzené množstvo odosielaných súborov

1056

* Všetka komunikácia prebieha šifrovaným kanálom

1057

* Okamžité odstránenie súboru po dokončení analýzy v cloudovom sandboxe

1058

* Možnosť voľby, aké kategórie súborov do cloudového sandboxu budú odchádzať (spustiteľné súbory, archívy, skripty, pravdepodobný spam, dokumenty atp.)

1059

* Veľkosť odoslaných súborov do cloudového sandboxu môže dosahovať až 64MB

1060

* Výsledky analyzovaných súborov sú dostupné a automatizovane distribuované všetkým serverom a staniciam naprieč organizáciou, tak aby nedochádzalo k duplicitnému testovaniu

1061

1062

1063

Šifrovanie celých diskov:

1064

1065

* Podpora platforiem Windows a MacOS

1066

* Správa cez jednotný centrálny manažment

1067

* Unikátna technológia pre platformu Windows (nevyužíva sa BitLocker)

1068

* Podpora Pre-Boot autentizácia

1069

* Podpora TMP modulu

1070

* Podpora Opal samošifrovacích diskov

1071

* Možnosť definovať: počet chybne zadaných pokusov, zložitosť a dĺžku autentizačného hesla

1072

* Možnosť obmedziť platnosť autentizačného hesla

1073

* Podpora okamžitého zmazania šifrovacieho kľúča a následné uzamknutie počítača

1074

* Recovery z centrálnej konzoly

XDR riešenie:

* Možnosť prevádzky centrálneho servera v cloude alebo on-premise na platforme Windows Server.

1080

* Webová konzola pre správu a vyhodnotenie.

1081

* Možnosť prevádzky s databázami: Microsoft SQL, MySQL.

1082

* Možnosť prevádzky v offline prostredí.

1083

* Autonómne správanie so schopnosťou vyhodnotiť podozrivú/ škodlivú aktivitu a zareagovať na ňu aj bez aktuálne dostupného riadiaceho servera alebo internetového pripojenia.

1084

* Logovanie činností administrátora (tzv. Audit Log).

1085

* Podpora EDR pre systémy Windows, Windows server, MacOS a Linux.

1086

* Možnosť autentizácie do manažmentu EDR pomocou 2FA.

1087

* Možnosť riadenia manažmentu EDR prostredníctvom API, a to ako pre:

1088

** prijímanie informácií z EDR serverov

1089

** aj zasielanie príkazov na EDR servery.

1090

* Integrovaný nástroj v EDR riešení pre vzdialené zasielanie príkazov priamo z konzoly.

1091

* Možnosť izolácie zariadenia od siete.

1092

* Možnosť tvorby vlastných loC.

1093

* Možnosť škálovania množstva historických dát vyhodnotených v EDR min. 3 mesiace pre raw-data a min. 3 roky pre detegované incidenty.

1094

* „Učiaci režim" pre automatizované vytváranie výnimiek k detekčným pravidlám.

1095

* Indikátory útoku pracujúce s behaviorálnou detekciou.

1096

* Indikátory útoku pracujúce s reputáciou.

1097

* Riešenie umožňuje analýzu vektorov útoku.

1098

* Schopnosť detekcie: min. škodlivých spustiteľných súborov: skriptov, exploitov, rootkitov, sieťových útokov, zneužitie WMI nástrojov, bez-súborového malwaru, škodlivých systémových ovládačov / kernel modulov, pokusov o dump prihlasovacích údajov užívateľa.

1099

* Schopnosť detegovať laterálny pohyb útočníka.

1100

* Analýza procesov, všetkých spustiteľných súborov a DLL knižníc.

1101

* Náhľad na spustené skripty použité pri detegovanej udalosti.

1102

* Možnosť zabezpečeného vzdialeného spojenia cez servery výrobcu do konzoly EDR.

1103

* Schopnosť automatizovaného response úkonu pre jednotlivé detekčné pravidlá v podobe: izolácia stanice, blokácia hash súboru, blokácia a vyčistenie siete od konkrétneho súboru, ukončení procesu, reštart počítača, vypnutie počítača.

1104

* Možnosť automatického vyriešenia incidentu administrátorom.

1105

* Prioritizácia vzniknutých incidentov.

1106

* Možnosť stiahnutia spustiteľných súborov zo staníc pre bližšiu analýzu vo formáte archívu opatreným heslom.

1107

* Integrácia a zobrazenie detekcií vykonaných antimalware produktom.

1108

* Riešenie je schopné generovať tzv. forest/full execution tree model.

1109

* Vyhľadávanie pomocou novo vytvorených loC nad historickými dátami.

1110

* Previazanie s technikami popísanými v knowledge base MITRE ATT&CK.

1111

* Integrovaný vyhľadávač VirusTotal s možnosťou rozšírenia o vlastné vyhľadávače.

1112

1113

1114

Management konzola pre správu všetkých riešení v rámci ponúkaného balíka v rozsahu:

1115

1116

* Možnosť prevádzkovať jednotnú management konzolu na správu týchto riešení v cloudovom nasadení alebo lokálnom (on-prem) nasadení

1117

* Webová konzola

1118

* Možnosť inštalácie na Windows aj Linux

1119

* Predpripravená virtual appliance pre virtuálne prostredie VMware, Microsoft Hyper-V a Microsoft Azure, Oracle Virtual Box

1120

* Server/proxy architektúra pre sieťovú pružnosť – zníženie záťaže pri sťahovaní aktualizácií detekčných modulov výrobcu

1121

* Možnosť prebudenia klientov pomocou Wake On Lan

1122

* Vzdialené vypnutie, reštart počítača alebo odhlásenie všetkých užívateľov

1123

* Možnosť konfigurácie virtual appliance cez užívateľsky prívetivé webové rozhranie Webmin

1124

* Nezávislí manažment agent pre platformy Windows, Linux a MacOS

1125

* Management agent pre architektúry na platformy Windows a MacOS: x86, x64, ARM64

1126

* Nezávislý agent (pracuje aj offline) vzdialenej správy pre zabezpečenie komunikácie a ovládania operačného systému verejného obstarávateľa

1127

* Offline uplatňovanie politík a spúšťanie úloh pri výskyte definovanej udalosti (napríklad: odpojenie od siete pri nájdení škodlivého kódu).

1128

* Administrácia v najpoužívanejších jazykoch vrátane slovenčiny

1129

* Široké možnosti konfigurácie oprávnení administrátorov (napríklad možnosť správy iba časti infraštruktúry, ktoré konkrétnemu administrátorovi podlieha)

1130

* Zabezpečenie prístupu administrátorov do vzdialenej správy pomocou 2FA

1131

* Podpora štítkov/tagovania pre jednoduchšiu správu a vyhľadávanie

1132

* Správa karantény s možnosťou vzdialeného vymazania / obnovenia / obnovenia a vylúčenia objektu z detekcie

1133

* Vzdialené získanie zachyteného škodlivého súboru

1134

* Detekcia nespravovaných (rizikových) počítačov komunikujúcich na sieti.

1135

* Podpora pre inštalácie a odinštalácie aplikácií 3.strán

1136

* Vyčítanie informácií o verziách softvéru 3. strán

1137

* Možnosť vyčítať informácie o hardvéri na spravovaných zariadeniach (CPU, RAM, diskové jednotky, grafické karty…).

1138

* Možnosť vyčítať sériové číslo zariadenia

1139

* Možnosť vyčítať voľné miesto na disku

1140

* Detekcia aktívneho šifrovania BitLocker na spravovanej stanici

1141

* Zobrazenie časovej informácie o poslednom boote stanice

1142

* Odoslanie správy na počítač / mobilné zariadenie, ktoré sa následne zobrazí užívateľovi na obrazovke

1143

* Vzdialené odinštalovanie antivírusového riešenia 3. strany

1144

* Vzdialené spustenie akéhokoľvek príkazu na cieľovej stanici pomocou Príkazového riadka

1145

* Dynamické skupiny pre možnosť definovania podmienok, za ktorých dôjde k automatickému zaradeniu klienta do požadovanej skupiny a automatickému uplatneniu klientskej úlohy

1146

* Automatické zasielanie upozornení pri dosiahnutí definovaného počtu alebo percent ovplyvnených klientov (napríklad: 5 % všetkých počítačov / 50 klientov hlási problémy)

1147

* Podpora SNMP Trap, Syslogu a qRadar SIEM

1148

* Podpora formátov pre Syslog správy: CEF, JSON, LEEF

1149

* Podpora inštalácie skriptom - *.bat, *.sh, *.ini (GPO, SSCM…).

1150

* Rýchle pripojenie na klienta pomocou RDP z konzoly pre vzdialenú správu.

1151

* Reportovanie stavu klientov chránených inými bezpečnostnými programami.

1152

* Schopnosť zaslať reporty a upozornenia na e-mail

1153

* Konzola podporuje multidoménové prostredie (schopnosť pracovať s viacerými AD štruktúrami)

1154

* Konzola podporuje multitenantné prostredie (schopnosť v jednej konzole spravovať viac počítačových štruktúr)

1155

* Podpora VDI prostredia (Citrix, VMware, SCCM, apod)

1156

* Podpora klonovania počítačov pomocou golden image

1157

* Podpora inštanciách klonov

1158

* Podpora obnovy identity počítača pre VDI prostredie na základe FQDN

1159

* Možnosť definovať viacero menných vzorov klonovaných počítačov pre VDI prostredie

1160

* Pridanie zariadenia do vzdialenej správy pomocou: synchronizácia s Active Directory, ručné pridanie pomocou podľa IP adresy alebo názvu zariadenia, pomocou sieťového skenu nechránených zariadení v sieti, Import cez csv súbor

1161

1162

1163

Správa zraniteľností a patchov aplikácií tretích strán:

1164

1165

* Automatizované kontroly podľa vlastného harmonogramu na základe prispôsobiteľných pravidiel

1166

* Filtrovanie, zoskupovanie a triedenie zraniteľností podľa ich závažnosti

1167

* Možnosť manuálnych alebo automatických opráv

1168

* Prispôsobiteľné politiky záplat

1169

* Podpora multitenant v komplexných sieťových prostrediach - prehľad zraniteľností v konkrétnych častiach organizácie

1170

* Databáza zraniteľností, CVSS 2.0 a CVSS 3.1

1171

1172

1173

Ochrana poštových serverov/mailboxov:

1174

1175

* Komplexná vrstva ochrany na úrovni servera s cieľom zabrániť prieniku spamu a malvéru do e‑mailových schránok používateľov

1176

* Antimalvér, antispam, anti‑phishing, ochrana hostiteľských serverov, ochrana založená na strojovom učení

* Správa karantény

* Podpora klastrov

Ochrana cloudového prostredia Microsoft365/Google Workspace

1182

1183

* Pokročilá ochrana pre aplikácie služby Microsoft 365 prostredníctvom ľahko použiteľnej cloudovej konzoly

1184

* Filtrovanie spamu, antimalvérová kontrola, anti‑phishing a cloudový sandboxing

1185

* Ochrana cloudových úložísk

1186

1187

1188

Nástroj na 2-faktorovú autentifikáciu:

1189

1190

* Jednoduché overovanie pre používateľov jedným ťuknutím

1191

* Overovanie cez Push notifikácie

1192

* Podpora existujúcich tokenov a hardvérových kľúčov a smartfónov

1193

* Overovanie pri prístupe k VPN, RDP a Outlooku, webové aplikácie

1194

* Riešenie bez programátorského zásahu musí mať integráciu: HOTP, alebo na HMAC- založené jednorázové heslá one-time password (OTP), Audit používateľov v denníku. (úspešné, neúspešne pokusy o overenie).

1195

1196

1197

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.4Technologickávrstva"/}}4.4 Technologická vrstva ==

1198

1199

1200

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.4.1Prehľadtechnologickéhostavu-ASIS"/}}4.4.1 Prehľad technologického stavu - AS IS ===

1201

1202

[[image:attach:image-2024-7-24_9-19-39-1.png||height="250"]]

1203

1204

1205

Sieťová infraštruktúra je komplexná a pozostáva z viacerých segmentov, ktoré sú prepojené rôznymi typmi sieťových zariadení. Hlavné prvky siete zahŕňajú core switche, access switche, firewally a rôzne typy serverov. Hlavné core switche, umiestnené v sreverovni 2 je ústredným bodom siete, ktorý prepája všetky hlavné racky a serverovne. Tieto redudantné switche sú zodpovedné za riadenie vysokorýchlostného prenosu dát medzi jednotlivými časťami siete v dvoch smeroch a sú pospájané medzi sebou cez rôzne časti budovy.

1206

1207

1208

**Návrh infraštruktúry do záložného dátového centra:**

1209

1210

* Servre – 2 ks 1U serverov DELL R660xs pre zabezpečenie dostatočného výkonu a redundancie. Servery budú prevádzkovane v backup DC, aby v prípade výpadku jedného zo záložných serverov bolo možné prevádzkovať nevyhnutnú aplikačnú infraštruktúru. Záložné servre sú zrkadlom hlavných serverov v hlavnej serverovni

1211

* Storage – 1 ks 2U DELL ME4024 All-Flash s kobinaciou SSD diskov a HDD diskov pre dostatočný výkon celej backup infraštruktúry a pre dostatočnú kapacitu najmä pre systém PACS. Tento storage je možné do budúcna rozširovať až do 9 extension políc s ďalšími diskami.

1212

* Virtualizačný SW – 32 (2 servre po 16 cores) CPU licencie VMware vSphere Standard s licenciou management vCenter server appliance – Virtualizácia bude zabezpečovať plynulý bezvýpadkovy (HA) chod všetkých virtuálnych serverov s možnosťou automatickej migrácie medzi fyzickými servermi.

1213

* Backup SW – navrhovaný je Backup SW Acronis ktorý dokáže zálohovať, replikovať na storage, NAS, tape library a má jednoduché licencovanie – 1 licencia na 1 fyzicky server s VMware – tzn. potrebujeme 2 ks licencii. Acronis ktorý bude zálohovať aj na disky NAS a pásky LTO8 v tape library podľa backup plánu.

1214

* Server bude napájaný pomocou APC Smart-UPS SRT 3000VA RM 230V Network Card + externý battery pack APC Smart-UPS SRT 96V 3kVA RM Battery Pack a bude obsahovať aj 19“ rackovou skriňou pre infraštruktúru

1215

* Súčasťou didávky je monitorovací notebook DELL Latitude 5540 i5-1345U 15.6" FHD 16GB 512GB SSD Iris Xe IrCam Thb FPR SCR Win11Pro 3Y ProSpt OS

1216

* Zálohovanie dát bude realizovane dvojúrovňovo - na existujúci NAS QNAP s kapacitou 12 x 8TB diskov a s možnosťou ďalšieho rozširovania kapacity pridaním extension police

1217

* Serverové licencie Windows Server Datacenter 2022 za účelom prevádzkovania virtuálnych serverov, keďže jedna licencia slúži na 1 fyzicky server.

1218

* Licencia na monitoring celého IT prostredia: 1000 senzorov PRTG Network Monitor – sleduje Servre-VMware hosty, storage, NAS, Cisco switche, aplikačné servre, firewall, VPN, WiFi, koncove zariadenia.

1219

1220

1221

**Segmentácia stávajúcej LAN siete a zavedenie autentifikácie**

**~ **

**~ a)Segmentácia siete a zavedenie 802.1x – Ochrana pred kybernetickými útokmi z LAN siete**

1226

1227

1228

Autentizácia prístupu k portom pomocou protokolu IEEE 802.1x je základ dnes populárnej technológie nazvanej Network Access Control (NAC), Network Admission Control (NAC) alebo Network Access Protection (NAP), ktoré riadia prístup zariadenia k sieti.

1229

1230

Výhodou tohto riešenia je, že sa prístup kontroluje pred vstupom do siete, teda priamo na porte (access switch), do ktorého je zariadenie pripojené. Princíp spočíva v tom, že port na switchy je zablokovaný (nepovoľuje žiadnu komunikáciu) do tej doby, než sa pripojené zariadenie úspešne autentizuje. Pri tejto metóde je možné využiť aj rady ďalších vlastností, napríklad dynamické zaraďovanie do VLAN či zaradenie portu do hosťovskej VLANy, pokiaľ nedôjde k autentifikácii. Administrátori si tak môžu zabezpečiť prístupy do svojej siete a chrániť ju.

Protokol IEEE 802.1x

Ide o štandard pre kontrolu prístupu do siete založenú na porte ( Port-based Network Access Control). Je založený na Extensible Authentication Protocol (EAP) RFC 3748. Používa sa na novších switchoch vyššej triedy (väčšina dnešných Cisco switchov) alebo pre bezdrôtové siete (prístupové body AP). V LAN sieťach sa jedná o fyzickú bezpečnosť na linkovej vrstve (2. vrstva ISO / OSI).

1236

1237

V tejto súvislosti je potrebné v Nemocnici vymeniť CORE switche zapojené v stacku za nové, čím sa naplní ochrana siete najnovšími sieťovými protokolmi a umožní dlhodobú udržateľnosť riešenia.

1238

1239

Fungovanie IEEE 802.1X - ak je port v neautorizovanom stave (unauthorized), tak neprijíma od klienta (označuje sa ako supplicant ) žiadnu komunikáciu mimo 802.1x prevádzky (presnejšie, na porte je povolené Extensible Authentication Protocol over LAN – EAPOL , CDP, Spanning Tree Protocol). Nasleduje fáza autentizácie, ktorú authenticator (väčšinou switch) odovzdáva autentizačnému serveru (väčšinou RADIUS (napr. v prostredí Nemocnice on Premise)).

1240

1241

Pokiaľ dôjde k úspešnej autentizáciu, tak sa port prepne do autorizovaného stavu (authorized), kedy je normálne funkčný. Klient sa môže odhlásiť, potom sa port opäť prepne do neautorizovaného stavu. Zakaždým, keď sa stav linky zmení z down na up, tak port začína pracovať v neautorizovanom stave.

1242

1243

1244

[[image:attach:image-2024-7-24_9-22-26-1.png||height="250"]]

1245

1246

Navrhovaná segmentácia siete s ohľadom na zavedenie protokolu IEEE 802.1x

1247

1248

1249

#10 - Brezno (Centrála)

#20 - Brusno

#30 - Bystrá

#40 - Maša

#50 - Huta

VLAN meno VLAN subnet (subnet-y) DHCP VLAN VLAN subnet Poznámka

1261

1262

10 konfig novych zariadení 192.168.0.0/23 DHCP 10 192.168.0.0/23

1263

1264

11 SERVERY 10.10.0.0/24 11 10.10.11.0/24

1265

1266

20 VVN 20 10.10.20.0/24

1267

1268

30 DMZ_OUT 10.30.0.0/24 30 10.10.30.0/24

1269

1270

31 DMZ_IN 10.30.10.0/24 31 10.10.31.0/24

1271

1272

32 ZZS Brusno PC 10.0.32.0/24 DHCP 210 10.20.210.0/24

1273

1274

33 ZZS Bystrá PC 10.0.33.0/24 DHCP 210 10.30.210.0/24

1275

1276

34 ZZS Maša PC 10.0.34.0/24 DHCP 210 10.40.210.0/24

1277

1278

35 ZZS M. Huta PC 10.0.35.0/24 DHCP 210 10.50.210.0/24

1279

1280

39 ZZS Brezno PC 10.0.39.0/24 DHCP 210 10.10.210.0/24

1281

1282

40 VoIP 172.16.2.0/22 DHCP 40 172.16.0.0/22

1283

1284

41 VoIP pre ZZS 172.16.0.0/24 DHCP 41 172.16.4.0/24

1285

1286

54 VLAN0054 54 Zrušiť

1287

1288

55 VLAN0055 55 Zrušiť

1289

1290

58 SWITCH_MGMT 10.10.58.0 58 10.10.58.0

1291

1292

68 IT_MGMT 10.10.68.0/24 DHCP 68 10.10.68.0/24

1293

1294

69 WIFI_MGMT 10.10.69.0/24 DHCP 69 10.10.69.0/24

1295

1296

79 VPN_WAN_BACKUP 79 Cisco, FGT - MPLS backup

1297

1298

80 INET_VOIP_BACKUP 80 Cisco - WAN INET backup

1299

1300

100 parkovaci system 10.10.100.0/24 DHCP 100 10.10.100.0/24

1301

1302

101 MaR kotolna 10.10.101.0/24 DHCP 101 10.10.101.0/24

1303

1304

102 dochadzkovy system 10.10.102.0/24 DHCP 102 10.10.102.0/24

1305

1306

103 pristupovy system 10.10.103.0/24 DHCP 103 10.10.103.0/24

1307

1308

104 kamerovy system 10.10.104.0/24 DHCP 104 10.10.104.0/24

1309

1310

105 sestersky system 10.10.105.0/24 DHCP 105 10.10.105.0/24

1311

1312

109 INET_DATA_BACKUP 109 FortiGate - Internet_Backup

1313

1314

132 Brusno WiFi zabezp 10.1.32.0/24 DHCP 220 10.20.220.0/24

1315

1316

133 Bystrá WiFi zabezp 10.1.33.0/24 DHCP 220 10.30.220.0/24

1317

1318

134 Maša WiFi zabezp 10.1.34.0/24 DHCP 220 10.40.220.0/24

1319

1320

135 M. Huta WiFi zabezp 10.1.35.0/24 DHCP 220 10.50.220.0/24

1321

1322

139 Brezno Wifi zabezp 10.1.39.0/24 DHCP 220 10.10.220.0/24

1323

1324

232 Brusno WiFi free 10.2.32.0/24 DHCP 230 10.20.230.0/24

1325

1326

233 Bystrá WiFi free 10.2.33.0/24 DHCP 230 10.30.230.0/24

1327

1328

234 Maša WiFi free 10.2.34.0/24 DHCP 230 10.40.230.0/24

1329

1330

235 M. Huta WiFi free 10.2.35.0/24 DHCP 230 10.50.230.0/24

1331

1332

240 Brezno Wifi free 10.2.40.0./21 DHCP 230 10.10.230.0./21

1333

1334

301 TCOM_BACKUP 301 Zrušiť

1335

1336

410 TCOM_BACKUP_2 410 Zrušiť

1337

1338

500 THP0 10.50.0.0/24 DHCP 150 10.10.150.0/24

1339

1340

501 THP1 10.50.1.0/24 DHCP 151 10.10.151.0/24

1341

1342

502 THP2 10.50.2.0/24 DHCP 152 10.10.152.0/24

1343

1344

503 THP3 10.50.3.0/24 DHCP 153 10.10.153.0/24

1345

1346

504 THP4 10.50.4.0/24 DHCP 154 10.10.154.0/24

1347

1348

505 THP5 10.50.5.0/24 DHCP 155 10.10.155.0/24

1349

1350

506 THP6 10.50.6.0/24 DHCP 156 10.10.156.0/24

1351

1352

507 THP7 10.50.7.0/24 DHCP 157 10.10.157.0/24

1353

1354

508 THP8 10.50.8.0/24 DHCP 158 10.10.158.0/24

1355

1356

509 THP9 10.50.9.0/24 DHCP 159 10.10.159.0/24

1357

1358

600 AMB0 10.60.0.0/24 DHCP 160 10.10.160.0/24

1359

1360

601 AMB1 10.60.1.0/24 DHCP 161 10.10.161.0/24

1361

1362

602 AMB2 10.60.2.0/24 DHCP 162 10.10.162.0/24

1363

1364

603 AMB3 10.60.3.0/24 DHCP 163 10.10.163.0/24

1365

1366

604 AMB4 10.60.4.0/24 DHCP 164 10.10.164.0/24

1367

1368

605 AMB5 10.60.5.0/24 DHCP 165 10.10.165.0/24

1369

1370

606 AMB6 10.60.6.0/24 DHCP 166 10.10.166.0/24

1371

1372

607 AMB7 10.60.7.0/24 DHCP 167 10.10.167.0/24

1373

1374

608 AMB8 10.60.8.0/24 DHCP 168 10.10.168.0/24

1375

1376

609 AMB9 10.60.9.0/24 DHCP 169 10.10.169.0/24

1377

1378

700 Lôžka1 10.70.0.0/24 DHCP 170 10.10.170.0/24

1379

1380

701 Lôžka2 10.70.1.0/24 DHCP 171 10.10.171.0/24

1381

1382

702 Lôžka3 10.70.2.0/24 DHCP 172 10.10.172.0/24

1383

1384

703 Lôžka4 10.70.3.0/24 DHCP 173 10.10.173.0/24

1385

1386

704 Lôžka5 10.70.4.0/24 DHCP 174 10.10.174.0/24

1387

1388

705 Lôžka6 10.70.5.0/24 DHCP 175 10.10.175.0/24

1389

1390

706 Lôžka7 10.70.6.0/24 DHCP 176 10.10.176.0/24

1391

1392

707 Lôžka8 10.70.7.0/24 DHCP 177 10.10.177.0/24

1393

1394

708 Lôžka9 10.70.8.0/24 DHCP 178 10.10.178.0/24

1395

1396

709 Lôžka10 10.70.9.0/24 DHCP 179 10.10.179.0/24

1397

1398

800 SVaLZ0 10.80.0.0/24 DHCP 180 10.10.180.0/24

1399

1400

801 SvaLZ1 10.80.1.0/24 DHCP 181 10.10.181.0/24

1401

1402

802 SVaLZ2 10.80.2.0/24 DHCP 182 10.10.182.0/24

1403

1404

803 SVaLZ3 10.80.3.0/24 DHCP 183 10.10.183.0/24

1405

1406

804 SVaLZ4 10.80.4.0/24 DHCP 184 10.10.184.0/24

1407

1408

805 SVaLZ5 10.80.5.0/24 DHCP 185 10.10.185.0/24

1409

1410

806 SVaLZ6 10.80.6.0/24 DHCP 186 10.10.186.0/24

1411

1412

807 SVaLZ7 10.80.7.0/24 DHCP 187 10.10.187.0/24

1413

1414

808 SVaLZ8 10.80.8.0/24 DHCP 188 10.10.188.0/24

1415

1416

809 SVaLZ9 10.80.9.0/24 DHCP 189 10.10.189.0/24

1417

1418

900 sukromnici0 10.90.0.0/24 DHCP 190 10.10.190.0/24

1419

1420

901 sukromnici1 10.90.1.0/24 DHCP 191 10.10.191.0/24

1421

1422

902 sukromnici2 10.90.2.0/24 DHCP 192 10.10.192.0/24

1423

1424

903 sukromnici3 10.90.3.0/24 DHCP 193 10.10.193.0/24

1425

1426

904 sukromnici4 10.90.4.0/24 DHCP 194 10.10.194.0/24

1427

1428

905 sukromnici5 10.90.5.0/24 DHCP 195 10.10.195.0/24

1429

1430

906 sukromnici6 10.90.6.0/24 DHCP 196 10.10.196.0/24

1431

1432

907 sukromnici7 10.90.7.0/24 DHCP 197 10.10.197.0/24

1433

1434

908 sukromnici8 10.90.8.0/24 DHCP 198 10.10.198.0/24

1435

1436

909 sukromnici9 10.90.9.0./24 DHCP 199 10.10.199.0/24

1437

1438

910 CENTR_LAN_TO_VPN 910 Pobočky

1439

1440

991 NICOTA 991 Zrušiť

1441

1442

1002 fddi-default 1002 Cisco default

1443

1444

1003 token-ring-default 1003 Cisco default

1445

1446

1004 fddinet-default 1004 Cisco default

1447

1448

1005 trnet-default 1005 Cisco default

1449

1450

1200 IPTV ??? DHCP 1200 10.200.0.0/24

1451

1452

4054 DOCASNE_SW_MGMT 4054 Naše účely

1453

1454

1455

**~ b) Vytvorenie dvojfaktoru pre VPN užívateľov**

1456

1457

1458

Vzhľadom na zraniteľnosť VPN siete cez prihlasovanie koncových zriadení odporúčame využívať dvojfaktorovú autentifikáciu pre koncové zariadenia pripájajúcich na diaľku do VPN siete Nemocnice.

1459

1460

Navrhované riešenie je na báze Fortinet – FortiToken, keďže nemocnica využíva služby Fortigate-u.

1461

1462

1463

Prihlasovanie sa iba pomocou hesla nezastaví šikovných útočníkov pred vstupom do siete či aplikácie. Autentifikácia iba heslom viedla v mnohých prípadoch k prelomeniu bezpečnosti, infikovaniu malvérom a porušeniu zásad a politík. Oveľa vyššie zabezpečenie poskytuje „viacfaktorová autentifikácia“ (MFA = multi-factor authentication) - konkrétne napr. použitie hesla súčasne s jednorazovým bezpečnostným tokenom (kódom), ktorý bude overený cez autentifikačný server (ním môže byť FortiGate alebo vo väčších nasadeniach FortiAuthenticator). Autorizovaní zamestnanci tak môžu pristupovať k firemným zdrojom bezpečne, využitím škály „overovacích“ zariadení od mobilov až po PC.

1464

1465

FortiToken Mobile je aplikácia pre iOS, Android, Windows Phone a Windows, ktorá slúži ako hardvérový token, ale využíva hardvér, ktorý už väčšina používateľov vlastní - mobilný telefón, prípadne PC. Aplikácia môže byť navyše chránená aj pomocou TouchID/FaceID.

1466

1467

FortiToken Mobile prináša flexibilne škálovateľné riešenie s nízkymi pravidelnými a vstupnými nákladmi (aj vďaka možnosti využiť existujúci FortiGate ako autentifikačný server).

1468

1469

(v individuálnych prípadoch je možné obstarať aj HW FortiTokeny, viď. obrázok)

1470

1471

Viac info: [[https:~~/~~/www.fortinet.com/content/dam/fortinet/assets/data-sheets/fortitoken.pdf>>url:https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/fortitoken.pdf||shape="rect"]]

1472

1473

1474

Dvojfaktorová / viacfaktorová autentifikácia všeobecne vzniká kombináciou nasledujúcich faktorov (napr. heslo a token) :

1475

1476

* niečo, čo človek vie (heslo, PIN, ...)

1477

* niečo, čo človek má (kľúč, token, platobná karta,...) resp. čím sa vyznačuje (otlačok prsta, face recognition, dúhovka oka, ...)

1478

1479

1480

FortiToken (MFA) spĺňa nasledovné § kyberzákona (č. 69/2018 Z. z.):

1481

1482

* 10 Riadenie bezpečnosti sietí a informačných systémov, riadenie prístupov

1483

* 12 Overovanie identity používateľa v rámci siete a informačného systému, riadenie prístupov

1484

1485

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.4.2Požiadavkynavýkonnostnéparametre,kapacitnépožiadavky–TOBE"/}}4.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE ===

1486

1487

Predpokladané výkonnostné parametre a kapacitné požiadavky sú, tam kde je to relevantné, uvedené v popise aplikačnej architektúry jednotlivých aplikačných funkcií a aplikačných modulov.

1488

1489

1490

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.4.3Návrhriešeniatechnologickejarchitektúry"/}}4.4.3 Návrh riešenia technologickej architektúry ===

1491

1492

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

1493

1494

1495

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.4.4Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}4.4.4 Využívanie služieb z katalógu služieb vládneho cloudu ===

1496

1497

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

1498

1499

1500

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-4.5Bezpečnostnáarchitektúra"/}}4.5 Bezpečnostná architektúra ==

1501

1502

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy, ale práve o implementáciu bezpečnostných riešení, takže všetky úrovne architektúry zároveň tvoria aj bezpečnostnú architektúru riešenia.

1503

1504

1505

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-5.ZávislostinaostatnéISVS/projekty"/}}5. Závislosti na ostatné ISVS / projekty =

1506

1507

Závislostí na iné projekty neboli identifikované.

**~ **

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-6.Zdrojovékódy"/}}6. Zdrojové kódy =

1512

1513

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

1514

1515

Riešenie nepredpokladá vývoj softvéru, ale použitie komerčných bezpečnostných produktov a zariadení.

1516

1517

1518

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.Prevádzkaaúdržba"/}}7. Prevádzka a údržba// // =

1519

1520

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.1Prevádzkovépožiadavky"/}}7.1 Prevádzkové požiadavky ==

1521

1522

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.1.1Úrovnepodporypoužívateľov"/}}7.1.1 Úrovne podpory používateľov ===

1523

1524

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.// //

1525

1526

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.1.2Riešenieincidentov–SLAparametre"/}}7.1.2 Riešenie incidentov – SLA parametre ===

1527

1528

Označenie naliehavosti incidentu:

1529

1530

|(((

1531

Označenie naliehavosti incidentu

)))|(((

Závažnosť incidentu

)))|(((

Popis naliehavosti incidentu

)))

|(((

A

)))|(((

Kritická

)))|(((

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

)))

|(((

B

)))|(((

Vysoká

)))|(((

Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému.

)))

|(((

C

)))|(((

Stredná

)))|(((

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.

)))

|(((

D

)))|(((

Nízka

)))|(((

Kozmetické a drobné chyby.

)))

možný dopad:

(% class="relative-table" style="width:66.5205%" %)

1570

|(((

1571

Označenie závažnosti incidentu

)))|(((

Dopad

)))|(((

Popis dopadu

)))

|(((

1

)))|(((

katastrofický

)))|(((

katastrofický dopad, priamy finančný dopad alebo strata dát,

)))

|(((

2

)))|(((

značný

)))|(((

značný dopad alebo strata dát

)))

|(((

3

)))|(((

malý

)))|(((

malý dopad alebo strata dát

)))

Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

1603

1604

(% class="relative-table" style="width:66.4717%" %)

1605

|(% colspan="2" rowspan="2" %)(((

1606

Matica priority incidentov

1607

)))|(% colspan="3" %)(((

Dopad

)))

|(((

Katastrofický - 1

)))|(((

Značný - 2

)))|(((

Malý - 3

)))

|(% rowspan="4" %)(((

**Naliehavosť**

)))|(((

**Kritická - A**

)))|(((

1

)))|(((

2

)))|(((

3

)))

|(((

**Vysoká - B**

)))|(((

2

)))|(((

3

)))|(((

3

)))

|(((

**Stredná - C**

)))|(((

2

)))|(((

3

)))|(((

4

)))

|(((

**Nízka - D**

)))|(((

3

)))|(((

4

)))|(((

4

)))

Vyžadované reakčné doby:

1657

1658

(% class="relative-table" style="width:66.6667%" %)

1659

|(((

1660

Označenie priority incidentu

1661

)))|(((

1662

Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu

1663

)))|(((

1664

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^

)))|(((

Spoľahlivosť ^^(3)^^

(počet incidentov za mesiac)

)))

|(((

1

)))|(((

0,5 hod.

)))|(((

4 hodín

)))|(((

1

)))

|(((

2

)))|(((

1 hod.

)))|(((

12 hodín

)))|(((

2

)))

|(((

3

)))|(((

1 hod.

)))|(((

24 hodín

)))|(((

10

)))

|(((

4

)))|(((

1 hod.

)))|(% colspan="2" %)(((

1702

Vyriešené a nasadené v rámci plánovaných releasov

1703

)))

1704

1705

== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.2PožadovanádostupnosťIS:"/}}7.2 Požadovaná dostupnosť IS: ==

1706

1707

(% class="relative-table" style="width:66.8129%" %)

|(((

Popis

)))|(((

Parameter

)))|(((

Poznámka

)))

|(((

**Prevádzkové hodiny**

)))|(((

24 hodín

)))|(((

Od 7:00 do 15:00 je hlavný pracovný čas

1721

)))

1722

|(% rowspan="2" %)(((

**Servisné okno**

)))|(((

16 hodín

)))|(((

od 15:00 hod. - do 7:00 hod. počas pracovných dní

)))

|(((

24 hodín

)))|(((

od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov

1733

1734

Servis a údržba sa bude realizovať podľa potreby v ohlásenom čase.

1735

)))

1736

|(((

1737

**Dostupnosť produkčného prostredia IS**

)))|(((

98,5%

)))|(((

98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod.

1742

1743

Maximálny mesačný výpadok je 5,5 hodiny.

1744

1745

Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

1746

1747

Nedostupnosť IS sa počíta od nahlásenia incidentu Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

1748

1749

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

)))

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.2.1Dostupnosť(Availability)"/}}7.2.1 Dostupnosť (Availability)** ** ===

1754

1755

Požadovaná dostupnosť pre aktivity projektu:

1756

1757

Požadovaná dostupnosť pre nasledovné aktivity projektu:

1758

1759

* **99,9% ("tri deviatky") dostupnosť** znamená výpadok 8,76 hodín.

1760

1761

1762

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.2.2RTO(RecoveryTimeObjective)"/}}7.2.2 RTO (Recovery Time Objective) ===

1763

1764

//Zavedenie aktivít~://

1765

1766

1. **Nákupom hardvéru a softvéru na vytvorenie záložných kapacít IS**

1767

1. **Dokončenie segmentácie VLAN, vytvorenie 802.1x a zavedenie dvojfaktorovej autentifikácie pre VPN užívateľov**

1768

1. **Nákupom softvéru EDR/XDR na detekciu škodlivého kódu a softvéru na riadenie rizík RiA**

1769

1. **Služieb na vypracovanie kontinuity činností, analýzu dopadov, manažéra riadenia rizík a manažéra riadenia kontinuity**

1770

1771

//si budú vyžadovať tretí stupeň, t.j. rýchlu obnovu.//

1772

1773

**//RTO pre tieto aktivity je definované na 24 hodín//**//.//

1774

1775

1776

=== {{id name="projekt_2695_Pristup_k_projektu_ramcovy-7.2.3RPO(RecoveryPointObjective)"/}}7.2.3 RPO (Recovery Point Objective) ===

1777

1778

//Nasledovné aktivity~://

1779

1780

1. **Nákupom hardvéru a softvéru na vytvorenie záložných kapacít IS**

1781

1. **Dokončenie segmentácie VLAN, vytvorenie 802.1x a zavedenie dvojfaktorovej autentifikácie pre VPN užívateľov**

1782

1. **Nákupom softvéru EDR/XDR na detekciu škodlivého kódu a softvéru na riadenie rizík RiA**

1783

1. **Služieb na vypracovanie kontinuity činností, analýzu dopadov, manažéra riadenia rizík a manažéra riadenia kontinuity**

1784

1785

//si budú vyžadovať len tradičné zálohovanie, avšak **RPO pre tieto aktivity je definované na 24 hodín**.//

1786

1787

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-8.Požiadavkynapersonál"/}}8. Požiadavky na personál =

1788

1789

Pracovníci oddelenia informatiky.

1790

1791

1792

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-9.Implementáciaapreberanievýstupovprojektu"/}}9. Implementácia a preberanie výstupov projektu =

1793

1794

V projekte neprebieha vývoj/implementácia.

// //

= {{id name="projekt_2695_Pristup_k_projektu_ramcovy-10.Prílohy"/}}10. Prílohy =

Wiki zdrojový kód pre projekt_2695_Pristup_k_projektu_ramcovy

Aplikácie

Navigácia

Moje posledné úpravy

Need help?