Bezpečnostní monitoring. Objednatel požaduje, aby byla možná integrace Systému (na úrovni operačního systému, webových serverů, redakčního systému a jeho databází a případných dalších SW komponent) do systému bezpečnostního monitoringu objednatele (SIEM QRadar). Integrace bezpečnostního monitoringu bude provedena formou logování (min. syslog). Zhotovitel zajistí všechny činnosti potřebné k zajištění uvedené integrace. Musí být logovány zejména: • všechny úspěšné i neúspěšné přístupy k Systému (v rámci Systému), • všechny akce uživatelů privilegovaných účtů (administrátor aplikace), • nově založené záznamy (články, …), • změny záznamů (musí být logováno kdo a kdy provedl změnu), • realizované komunikace s externími aplikacemi (spisová služba, …), • import a export vybraných dat, • informace o spuštění a zastavení služeb, • změny v nastavení uživatelských účtů a práv na úrovni aplikace a změn v metodě zabezpečení, • neočekávané stavy systému (poruchy a chyby; podezření na bezpečnostního incident, které mohou souviset s důvěrností, integritou a dostupnost informací). Auditní záznamy musí obsahovat minimálně následující informace (relevantní z nich): • systém, zařízení nebo aplikaci, který záznam vygenerovaly; • identifikátor (uživatelské jméno, ID procesu, IP adresu apod.) osoby, programu, služby či zařízení, které je zdrojem zaznamenané události; • datum a čas události; • popis důvodu události (přístup uživatele, systémová chyba apod.); • v případě záznamu o přístupu ještě: o zdroj, ke kterému bylo přistoupeno (informace, aplikace, disk, síť apod.); o typ přístupu (čtení, modifikace, zobrazení ve výpisy, SQL dotaz, smazání apod.); o autorizovaný/anonymní/neautorizovaný přístup (resp. pokus o přístup); o uživatelské oprávnění; o systém, ze kterého byl přístup (či pokus o přístup) učiněn. Integrita auditních záznamů musí být garantována, neautorizované smazání logů nebo deaktivace auditního mechanismu nesmí být umožněna. Přístup k logům a mechanismu, který je generuje, smí být umožněn pouze k tomu autorizovaným osobám. Přístup k logům v Systému musí být ošetřen na úrovni přístupových práv. Předávané logy mimo systém nesmí obsahovat osobní údaje.
Bezpečnostní monitoring. Zařízení musí umožnit poskytování údajů o svých bezpečnostních stavech do bezpečnostního monitoringu MZe – SIEM. Objednatel používá SIEM ArcSight výrobce Hewlet Packard. Zařízení musí poskytovat standardizované rozhraní pro vzdálený dohled bezpečnostního stavu – např. Syslog, apod. Provozní monitoring Zařízení musí poskytnout údaje o svých stavech do provozního monitoringu MZe v návaznosti na SLA definované v Příloze č.4 Specifikace katalogových listů, Smlouvy. Zařízení musí poskytovat standardizované rozhraní pro vzdálený dohled stavu svých komponent – např. SNMP, apod.
Bezpečnostní monitoring. Řešení NBA musí umožnit logovat veškeré aktivity prováděné administrátory a uživateli nad řešením. Všechny tyto logované záznamy jsou v intervalech blízkých reálnému času přenášeny do systému pro bezpečnostní monitoring (SIEM) k jejich vyhodnocení a uložení na centrálním bezpečném místě pro případnou zpětnou analýzu. MZe používá SIEM typu Arcsight výrobce HP, se kterým musí být řešení kompatibilní v části předávání a typu logů, tedy musí používat některý z typů protokolů pro předávání logů podporovaných tímto SIEM systémem. Předpokládáme integraci v místě centrálního prvku (tvz. Kolektoru) který v sobě agreguje události z ostatních částí řešení. Pokud je řešení zasílání logů členěno jinak, musí být i tak zachován požadavek na předávání logů všech subsytémů, tedy z části netflow sond, systému detekce anomalií a dohledu výkonu aplikací jednotlivě.
Bezpečnostní monitoring. 7.1 Poskytovatel nebo externí provozovatel IS pro účel pravidelného monitorování a vyhodnocování kybernetických bezpečnostních událostí a identifikace kybernetických bezpečnostních incidentů zajistí poskytování hlášení a záznamů o detekovaných kybernetických a bezpečnostních událostech pro určené bezpečnostní/provozní role Objednatele.
7.2 Poskytovatel má za povinnost hlásit veškerá podezření na kybernetické bezpečnostní události a incidenty v souladu se ZoKB:
1. Odpovědné osobě Objednatele (osoba stanovená pro tyto účely ve smlouvě);
2. V termínu bezprostředně (bez prodlení) po zjištění kybernetické bezpečnostní události/incidentu;
3. Způsobem předání e-mailem, telefonicky, nebo osobně;
4. S popisem
a) data a času zjištění;
b) povahy události;
c) zdroje události;
d) cíle/oběti události;
e) potencionálního dopadu.
7.3 Poskytovatel je povinen průběžně sledovat zveřejnění výskytu bezpečnostních chyb, které mohou ovlivnit hladký a bezpečný provoz systémů souvisejících s jím poskytovanými službami. Jedná se například o zranitelnosti v operačních systémech, software třetích stran, webových komponentách atd., a tyto případné chyby bez prodlení odstranit v rámci své vlastní ICT infrastruktury, a informovat odpovědnou osobu Objednatele o dané situaci a přijatých nápravných opatřeních.
Bezpečnostní monitoring. Předmětem Služeb je nepřetržitý bezpečnostní monitoring v režimu 24x7 (dále jen „Bezpečnostní monitoring“) aktiv objednatele. Součástí bezpečnostního monitoringu je vyhodnocování a zvládání, dokumentování kybernetických bezpečnostních incidentů (dále jen „KBI“), jejich analýza a návrhy na opatření. V rámci služby je poskytován incident management včetně přípravy podkladů pro příslušné orgány v souladu se zákonem č.181/2014 Sb., o kybernetické bezpečnosti v platném znění a podle vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti, případně na základě dohody smluvních stran. Součástí dodávky služby Bezpečnostní monitoring jsou: • proces zvládání KBU, KBI (incident management); • detekce, sběr, uchovávání a vyhodnocování kybernetických bezpečnostních událostí a incidentů; • ukládání security logů minimálně po dobu definovanou ZoKB – 18 měsíců.