Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)
Naposledy upravil Jaroslav Zmajkovič 2025/09/22 08:59
Súhrn
-
Vlastnosti stránky (1 modified, 0 added, 0 removed)
-
Prílohy (0 modified, 1 added, 0 removed)
Podrobnosti
- Vlastnosti stránky
-
- Obsah
-
... ... @@ -2431,6 +2431,537 @@ 2431 2431 2432 2432 Poskytovaním kvalitných a riadne spracovaných analytických údajov prispeje IS AkcieOkolo k lepšiemu pochopeniu dynamiky kultúrneho sektora na Slovensku, k efektívnejšej tvorbe verejných politík a k celkovému strategickému rozvoju tejto oblasti. 2433 2433 2434 +== **5.5.10 Moje údaje** == 2434 2434 2436 +V rámci projektu "Zaži mestá a obce, zaži Slovensko" a jeho informačného systému IS AkcieOkolo bude kladený dôraz na transparentnosť a umožnenie prístupu fyzických a právnických osôb k údajom, ktoré sa ich týkajú a ktoré sú v systéme evidované. Tieto funkcionality sú v súlade s konceptom služby "Moje údaje", ktorá má občanom a podnikateľom poskytnúť prehľad o tom, aké údaje o nich verejná správa vedie a kto k nim pristupoval. 2435 2435 2438 +Za "Moje údaje" v kontexte IS AkcieOkolo sa považujú najmä: 2439 + 2440 +* **Množina údajov o konaní, ktoré sa týkajú konkrétneho organizátora alebo predajcu/účastníka podujatia:** Napríklad história podaných žiadostí o registráciu podujatia, žiadostí o účasť na podujatí, stav ich schvaľovania, záznamy o účasti. 2441 +* **Množina údajov viažucich sa k organizátorovi alebo predajcovi/účastníkovi ako k subjektu evidencie:** Tieto údaje sú obsiahnuté v ich digitálnych profiloch v IS AkcieOkolo, vrátane identifikačných údajov, kontaktných informácií, nahraných dokumentov (napr. živnostenský list, certifikáty), histórie akreditácií. 2442 +* **Množina údajov obsiahnutých v dokumentoch vydávaných alebo spracúvaných systémom, ktoré sa priamo viažu ku konkrétnej FO alebo PO:** Napríklad elektronické potvrdenia o registrácii, rozhodnutia o schválení/zamietnutí účasti, vyúčtovania (v prípade modulu BPS). 2443 + 2444 +Relevantné údaje spadajúce do kategórie "Moje údaje" budú sprístupnené dotknutým osobám (fyzickým osobám – občanom, fyzickým osobám – podnikateľom, a zástupcom právnických osôb) prostredníctvom modulu procesnej integrácie a integrácie údajov (IS CPDI (CSRÚ)) pre modul Manažmentu osobných údajov, na základe preukázania ich elektronickej identity (napr. prostredníctvom občianskeho preukazu s čipom – eID). 2445 + 2446 +Podmienkou je zabezpečiť, aby údaje identifikované pre službu "Moje údaje" boli prístupné elektronicky v strojovo-spracovateľnom formáte, automatizovaným spôsobom cez aplikačné programovacie rozhranie (API) IS AkcieOkolo, alebo prostredníctvom integračných služieb IS CPDI. 2447 + 2448 +Informácie k sprístupneniu dátových zdrojov organizácie pre službu "Moje údaje" sú definované MIRRI SR na stránke: [[https:~~/~~/mirri.gov.sk/sekcie/informatizacia/o-sekciach/centralna-datova-kancelaria/moje-udaje/>>url:https://www.google.com/url?sa=E&q=https%3A%2F%2Fmirri.gov.sk%2Fsekcie%2Finformatizacia%2Fo-sekciach%2Fcentralna-datova-kancelaria%2Fmoje-udaje%2F]] 2449 + 2450 +**Minimálny rozsah pre vyhlásenie dátových prvkov za "Moje údaje", ktoré projekt IS AkcieOkolo zabezpečí:** 2451 + 2452 +* **Označenie povinného subjektu:** AkcieOkolo, z.z.p.o. (ako prevádzkovateľ IS AkcieOkolo) a príslušné samosprávy (v kontexte údajov, ktoré spracúvajú alebo schvaľujú). 2453 +* **Názov ISVS, v ktorom je dátový prvok obsiahnutý:** Informačný systém pre manažment kultúrnych podujatí AkcieOkolo. 2454 +* **Kód informačného systému (MetaIS), v ktorom je dátový prvok obsiahnutý:** ISVS_15263 2455 +* **Označenie dátového prvku:** Pre každý relevantný atribút v nižšie uvedenej tabuľke. 2456 +* **Strojovo-spracovateľný formát dátového prvku:** Napr. XML, JSON. 2457 +* **Technická špecifikácia aplikačného programovacieho rozhrania (API):** Bude definované API pre prístup k týmto údajom v súlade so štandardmi pre službu "Moje údaje". 2458 +* **Ďalšie doplňujúce informácie:** Napr. sémantický popis, väzby na legislatívu. 2459 +* **Transparentný pohľad na prístup k údajom subjektu, k logom (kto pristupoval k údajom, za akým účelom a kedy):** IS AkcieOkolo bude implementovať auditné záznamy o prístupe k osobným údajom a údajom subjektov, ktoré budú sprístupnené dotknutej osobe. 2460 + 2461 +V nasledujúcej tabuľke sú identifikované kľúčové Objekty Evidencie a ich atribúty z IS AkcieOkolo, ktoré spadajú do kategórie "Moje údaje": 2462 + 2463 +//V prípade, že predkladateľ projektu disponuje údajmi, ktoré spadajú do kategórie Mojich údajov, je potrebné vyplniť nasledovnú tabuľku. V tabuľke uveďte OE z tabuľky uvedenej v kapitole 5.5.1 Objekty evidencie .// 2464 + 2465 +|**OE ID**|((( 2466 +**Názov registra / objektu evidencie** 2467 + 2468 +(uvádzať OE z tabuľky v kap. 5.5.1) 2469 +)))|**Atribút objektu evidencie**|**Popis a špecifiká objektu evidencie**|**SÚVIS S LEGISLATÍVOU / TYP ÚDAJA PRE "MOJE ÚDAJE"** 2470 +|OE_001|Podujatie|Názov Podujatia, Dátum Začiatku, Dátum Konca, Miesto Konania, ID Organizátora (ak som ja organizátor), Status Podujatia (ak som ja organizátor).|Informácie o podujatiach, ktoré som ako organizátor zaregistroval, alebo o podujatiach, na ktorých som sa ako predajca zúčastnil (cez OE_006).|Údaje o konaní, ktorého je FO/PO účastníkom (ako organizátor alebo predajca). 2471 +|OE_002|Organizátor podujatia|Názov Organizátora, IČO, Typ Organizátora, Kontaktné Údaje, ID Používateľského Účtu (ak sa údaje týkajú môjho profilu ako organizátora).|Údaje evidované v mojom profile organizátora v IS AkcieOkolo.|Údaje viažuce sa k FO/PO ako subjektu evidencie. 2472 +|OE_003|Predajca / Účastník podujatia|Názov Predajcu, IČO, Typ Sortimentu, Kontaktné Údaje, Bankové Spojenie, Status Akreditácie, Digitálny Profil Dokumenty, ID Používateľského Účtu (ak sa údaje týkajú môjho profilu ako predajcu).|Údaje evidované v mojom digitálnom profile predajcu/účastníka v IS AkcieOkolo.|Údaje viažuce sa k FO/PO ako subjektu evidencie. 2473 +|OE_004|Používateľský účet systému|Prihlasovacie Meno, E-mail, Rola V Systéme, Dátum Registrácie, Status Účtu (ak ide o môj používateľský účet).|Základné informácie o mojom prístupovom účte do IS AkcieOkolo.|Údaje viažuce sa k FO/PO ako subjektu evidencie (ako používateľ systému). 2474 +|OE_006|Účasť predajcu na podujatí|Status Účasti, Pridelené Miesto, Poznámka (ak sa záznam týka mojej žiadosti/účasti ako predajcu na konkrétnom podujatí).|Informácie o mojich žiadostiach o účasť na podujatiach a ich stave.|Údaje o konaní týkajúce sa FO/PO (rozhodnutia, žiadosti). 2475 +|N/A|Auditné záznamy o prístupe k mojim údajom|Kto pristupoval (ID subjektu VS), Kedy pristupoval (časová známka), Ktoré údaje boli zobrazené/zmenené, Dôvod prístupu (ak je evidovaný).|Prehľad o tom, ktoré orgány verejnej moci alebo oprávnené osoby pristupovali k mojim údajom evidovaným v IS AkcieOkolo a za akým účelom.|Údaje o konaní (prístupe k údajom) týkajúce sa FO/PO; transparentnosť podľa zákona o e-Governmente a GDPR. 2476 +| | | | | 2477 + 2478 +//Tabuľka 27 Objekty evidencie, ktoré spadajú do kategórie Mojich údajov// 2479 + 2480 +**Vysvetlivky a doplňujúce informácie k tabuľke:** 2481 + 2482 +* ¹ **OE ID:** Identifikátor Objektu Evidencie z Tabuľky 18 (kapitola 5.5.1). Riadok "Auditné záznamy" je špecifický a nemusí mať priame OE ID, ak je implementovaný ako všeobecná funkcionalita logovania. 2483 +* **NÁZOV REGISTRA / OBJEKTU EVIDENCIE:** Názov OE, ktorý obsahuje relevantné "Moje údaje". 2484 +* **ATRIBÚT OBJEKTU EVIDENCIE:** Uvádzajú sa príklady kľúčových atribútov v rámci daného OE, ktoré budú pre dotknutú osobu relevantné a sprístupnené. Nie je to vyčerpávajúci zoznam, detailný rozsah bude definovaný pri implementácii API pre "Moje údaje". 2485 +* **POPIS A ŠPECIFIKÁ OBJEKTU EVIDENCIE:** Vysvetľuje význam daných údajov z pohľadu dotknutej osoby (čo sa o sebe dozvie). 2486 +* **SÚVIS S LEGISLATÍVOU / TYP ÚDAJA PRE "MOJE ÚDAJE":** Kategorizuje typ údajov podľa definície "Mojich údajov" (údaje o konaní, údaje o subjekte evidencie, údaje v dokumentoch). 2487 + 2488 +**Zabezpečenie prístupu k "Mojim údajom":** 2489 +Prístup k "Mojim údajom" bude pre oprávnené osoby zabezpečený po ich úspešnej elektronickej autentifikácii (napr. prostredníctvom eID a IAM ÚPVS). IS AkcieOkolo prostredníctvom svojho integračného modulu a definovaných API služieb poskytne štruktúrované dáta modulu Manažmentu osobných údajov v rámci IS CPDI, ktorý zabezpečí ich jednotnú prezentáciu dotknutej osobe. Technická špecifikácia týchto API bude plne v súlade s požiadavkami a štandardmi MIRRI SR pre službu "Moje údaje". 2490 + 2491 +Implementácia tejto funkcionality výrazne posilní transparentnosť IS AkcieOkolo a dôveru používateľov v systém. 2492 + 2493 +== **5.5.11 Prehľad jednotlivých kategórií údajov** == 2494 + 2495 +Nasledujúca súhrnná tabuľka poskytuje kategorizáciu Objektov Evidencie (OE) definovaných v kapitole 5.5.1 pre projekt "Zaži mestá a obce, zaži Slovensko" z pohľadu ich potenciálnej využiteľnosti ako Referenčných údajov, "Mojich údajov", Otvorených údajov a Analytických údajov. Táto kategorizácia pomáha pri plánovaní implementácie princípov transparentnosti, interoperability a dátového riadenia. 2496 + 2497 +//.// 2498 + 2499 +|**ID**|((( 2500 +**Register / Objekt evidencie** 2501 + 2502 +(uvádzať OE z tabuľky v kap. 5.5.1) 2503 +)))|**Referenčné údaje**|**Moje údaje**|**Otvorené údaje**|**Analytické údaje** 2504 +|OE_001|**Podujatie**|☑ (Potenciálne pre kľúčové atribúty ako unikátny ID, základný typ, schválený termín a miesto)|☑ (Pre organizátora daného podujatia; pre predajcu v kontexte jeho účasti)|☑ (Základné verejné informácie o podujatí)|☑ (Agregované dáta o typoch, termínoch, lokalitách, návštevnosti) 2505 +|OE_002|**Organizátor podujatia**|☑ (Pre identifikačné údaje konzumované z RPO/ŽR)|☑ (Pre konkrétneho organizátora k jeho vlastnému profilu)|☑ (Základné verejné údaje o organizátoroch, bez citlivých dát)|☑ (Agregované dáta o typoch organizátorov, ich aktivite) 2506 +|OE_003|**Predajca / Účastník podujatia**|☑ (Pre identifikačné údaje konzumované z RPO/ŽR)|☑ (Pre konkrétneho predajcu k jeho vlastnému digitálnemu profilu a účastiach)|☐ (Štandardne nie, iba ak by predajca explicitne súhlasil so zverejnením svojho profilu pre verejnosť, alebo agregované dáta o typoch sortimentu)|☑ (Agregované dáta o typoch predajcov, sortimentu, geografickom pôvode) 2507 +|OE_004|**Používateľský účet systému**|☐|☑ (Pre konkrétneho používateľa k jeho vlastnému účtu)|☐|☑ (Agregované dáta o počte používateľov, ich rolách, aktivite – pseudonymizované) 2508 +|OE_005|**Samospráva**|☑ (Identifikačné údaje konzumované z centrálnych číselníkov/RÚIAN)|☐ (Samospráva ako celok nemá "Moje údaje" v zmysle FO/PO)|☑ (Základné verejné údaje o samospráve, počet podujatí)|☑ (Agregované dáta o aktivite samospráv v organizovaní/povoľovaní podujatí) 2509 +|OE_006|**Účasť predajcu na podujatí**|☐|☑ (Pre konkrétneho predajcu k jeho žiadostiam a účasti; pre organizátora k predajcom na jeho podujatí)|☐|☑ (Agregované dáta o počte žiadostí, úspešnosti, typoch predajcov na podujatiach) 2510 +|OE_007|**Miesto konania podujatia**|☑ (Adresné údaje konzumované z RÚIAN)|☐|☑ (Verejne známe miesta konania, ich lokalizácia)|☑ (Agregované dáta o využívanosti lokalít, typoch miest) 2511 +|OE_008|**Typ podujatia** (Číselník)|☑ (Potenciálne, ak bude vyhlásený za referenčný)|☐|☑ (Ako verejný číselník)|☑ (Pre kategorizáciu a analýzu podujatí) 2512 +|OE_009|**Kategória podujatia** (Číselník)|☑ (Potenciálne, ak bude vyhlásený za referenčný)|☐|☑ (Ako verejný číselník)|☑ (Pre kategorizáciu a analýzu podujatí) 2513 +| | |☐|☐|☐|☐ 2514 + 2515 +//Tabuľka 28 Prehľad jednotlivých kategórií údajov// 2516 + 2517 +**Vysvetlivky a doplňujúce informácie k tabuľke:** 2518 + 2519 +* ¹ **ID OE:** Identifikátor Objektu Evidencie z Tabuľky 18 (kapitola 5.5.1). 2520 +* ² **REFERENČNÉ ÚDAJE:** Označuje (☑), či daný OE alebo jeho kľúčové atribúty sú alebo majú potenciál byť referenčnými údajmi v zmysle zákona o e-Governmente (t.j. platí pre ne domnienka správnosti a sú určené na zdieľanie naprieč VS). Toto sa týka najmä identifikačných údajov o subjektoch (PO, FO-podnikateľ) a adresách preberaných z existujúcich referenčných registrov, ale aj potenciálne nových dát z IS AkcieOkolo (napr. identifikátor podujatia, číselníky). 2521 +* ³ **"MOJE ÚDAJE":** Označuje (☑), či OE obsahuje údaje, ktoré by mali byť sprístupnené dotknutej fyzickej alebo právnickej osobe prostredníctvom služby "Moje údaje". Týka sa to najmä údajov o konaniach, profilových údajov a dokumentov viažucich sa ku konkrétnemu subjektu. 2522 +* ⁴ **OTVORENÉ ÚDAJE:** Označuje (☑), či OE alebo jeho časť je vhodná na sprístupnenie ako otvorené údaje pre verejnosť, vývojárov a výskumníkov (po nevyhnutnej anonymizácii/agregácii a v súlade s legislatívou). 2523 +* ⁵ **ANALYTICKÉ ÚDAJE:** Označuje (☑), či OE alebo jeho časť má potenciál pre analytické spracovanie (napr. pre KAV alebo interné analýzy), opäť po potrebnej pseudonymizácii, anonymizácii alebo agregácii. 2524 + 2525 +**Zhrnutie k využiteľnosti údajov z IS AkcieOkolo:** 2526 + 2527 +* IS AkcieOkolo bude **aktívnym konzumentom existujúcich referenčných údajov** (najmä o subjektoch a adresách), čím sa zabezpečí ich kvalita a zníži administratívna záťaž. 2528 +* Systém má potenciál stať sa **zdrojom nových referenčných údajov** (napr. o samotných kultúrnych podujatiach alebo špecifických číselníkoch), čo si však vyžiada ďalší legislatívny a metodický proces. 2529 +* Pre všetky subjekty interagujúce so systémom (organizátori, predajcovia, občania s účtom) budú relevantné údaje sprístupnené v rámci služby **"Moje údaje"**. 2530 +* Významná časť verejne dostupných a necitlivých údajov (najmä o podujatiach, miestach konania, číselníkoch a agregovaných štatistikách) bude publikovaná ako **otvorené údaje** pre ďalšie využitie. 2531 +* Dáta zozbierané systémom budú po nevyhnutnej úprave (pseudonymizácia/anonymizácia/agregácia) cenným zdrojom pre **analytické účely**, či už pre interné potreby samospráv, alebo pre centrálne analytické jednotky štátu. 2532 + 2533 + 2534 += **5.6 Technologická architektúra** = 2535 + 2536 + 2537 +== **5.6.2 Návrh riešenia technologickej architektúry** == 2538 + 2539 +Návrh technologickej architektúry pre informačný systém AkcieOkolo je kľúčovým prvkom pre zabezpečenie jeho spoľahlivosti, výkonnosti, bezpečnosti, škálovateľnosti a nákladovej efektívnosti. Cieľom je navrhnúť modernú, flexibilnú a udržateľnú technologickú platformu, ktorá bude optimálne podporovať aplikačné komponenty a biznis procesy projektu "Zaži mestá a obce, zaži Slovensko". 2540 + 2541 +**Popis súčasného (AS IS) stavu technologickej vrstvy:** 2542 + 2543 +Súčasný stav technologickej infraštruktúry v oblasti manažmentu kultúrnych podujatí na celoštátnej úrovni je, podobne ako aplikačná a dátová vrstva, **extrémne fragmentovaný a neštandardizovaný**, alebo v kontexte centrálneho riešenia prakticky **neexistujúci**. 2544 + 2545 +* **Používané výpočtové prostriedky:** 2546 +** Neexistuje centrálne zdieľaná výpočtová infraštruktúra pre túto agendu. 2547 +** Jednotlivé samosprávy alebo väčší organizátori môžu prevádzkovať svoje lokálne, izolované riešenia (ak existujú) na vlastnom hardvéri (lokálne servery, osobné počítače) alebo na zdieľaných hostingových službách rôznej úrovne kvality a bezpečnosti. 2548 +** Veľká časť procesov je podporovaná len bežnými kancelárskymi aplikáciami (napr. MS Excel, MS Word) na osobných počítačoch. 2549 +* **Komunikačné prepojenia:** 2550 +** Neexistuje centrálna komunikačná sieť ani štandardizované rozhrania pre výmenu dát o kultúrnych podujatiach na celoštátnej úrovni. 2551 +** Komunikácia prebieha prevažne e-mailom, telefonicky, poštou, alebo cez neštruktúrované webové formuláre jednotlivých subjektov. 2552 +** Pripojenie k internetu je štandardné, ale jeho kvalita a rýchlosť sa môže líšiť naprieč samosprávami a organizáciami. Využívanie Govnetu nie je v tejto agende systematické. 2553 +* **Problematické body v AS IS stave:** 2554 +** **Absencia centrálnej a škálovateľnej infraštruktúry:** Nemožnosť nasadiť a prevádzkovať moderný, centrálny informačný systém. 2555 +** **Nízka úroveň bezpečnosti:** Lokálne riešenia často nespĺňajú potrebné bezpečnostné štandardy pre ochranu dát a zabezpečenie dostupnosti. 2556 +** **Vysoké náklady na správu a údržbu decentralizovaných riešení:** Každý subjekt si rieši infraštruktúru individuálne (ak vôbec), čo je neefektívne. 2557 +** **Obmedzená alebo žiadna interoperabilita:** Neexistujú technické predpoklady pre jednoduché zdieľanie dát a integráciu systémov. 2558 +** **Nízka dostupnosť a spoľahlivosť:** Mnohé procesy sú závislé od manuálnej práce a dostupnosti konkrétnych osôb, lokálne systémy môžu trpieť výpadkami bez adekvátnej podpory. 2559 +** **Neudržateľnosť z dlhodobého hľadiska:** Súčasný stav neumožňuje efektívny rozvoj a modernizáciu služieb. 2560 + 2561 +Zvolený rozsah popisu súčasného stavu jasne ukazuje, že pre dosiahnutie cieľov projektu je nevyhnutné vybudovať **novú, modernú a centralizovanú technologickú infraštruktúru**, alebo využiť existujúce centrálne zdieľané služby. 2562 + 2563 +**Návrh budúceho (TO BE) stavu riešenia technologickej vrstvy architektúry:** 2564 + 2565 +Navrhovaný budúci (TO BE) stav technologickej architektúry pre IS AkcieOkolo bude plne podporovať jeho aplikačné komponenty, zabezpečí požadovanú úroveň výkonu, dostupnosti, bezpečnosti a škálovateľnosti a bude v súlade s modernými architektonickými princípmi a stratégiami informatizácie verejnej správy SR. 2566 + 2567 +* **Prístup k riešeniu technologickej architektúry a súvisiace architektonické rozhodnutia:** 2568 +*1. **"Cloud-First" a prioritné využitie Vládneho Cloudu SR:** 2569 +*1*. **Rozhodnutie:** IS AkcieOkolo bude primárne nasadený a prevádzkovaný s využitím služieb **vládneho cloudu Slovenskej republiky** (IaaS, PaaS podľa aktuálneho Katalógu služieb vládneho cloudu). Toto rozhodnutie je v súlade s NKIVS a strategickými cieľmi informatizácie VS. 2570 +*1*. **Zdôvodnenie:** Vládny cloud poskytuje štandardizované, bezpečné a škálovateľné prostredie, znižuje potrebu investícií do vlastného hardvéru a jeho správy, zabezpečuje určitú úroveň dostupnosti a redundancie a uľahčuje integráciu s inými ISVS prevádzkovanými vo vládnom cloude. Ekonomická výhodnosť tohto prístupu (nižšie TCO) oproti vlastnej infraštruktúre bola analyzovaná a potvrdená v kapitole 5.1.3 a detailne v M-05 BC/CBA. 2571 +*1. **Návrh "Cloud-Native" aplikácie:** 2572 +*1*. **Rozhodnutie:** Aplikačné komponenty IS AkcieOkolo budú vyvíjané s ohľadom na princípy **cloud-native architektúry**. To znamená, že systém bude navrhnutý tak, aby maximálne využíval výhody cloudového prostredia, ako sú elasticita, škálovateľnosť, odolnosť voči výpadkom a využívanie spravovaných služieb (managed services). 2573 +*1*. **Zdôvodnenie:** Tento prístup zabezpečuje, že IS AkcieOkolo bude flexibilný, ľahko nasaditeľný a spravovateľný v cloudovom prostredí, minimalizuje závislosť na konkrétnej infraštruktúre dátového centra a uľahčuje automatizáciu procesov nasadenia a prevádzky (CI/CD, DevOps). 2574 +*1. **Modulárna architektúra založená na mikroslužbách (preferovaný prístup):** 2575 +*1*. **Rozhodnutie:** Pre kľúčové backendové funkcionality IS AkcieOkolo sa bude preferovať návrh založený na **architektúre mikroslužieb**. Jednotlivé logické domény (napr. správa podujatí, správa profilov, koordinácia, notifikácie) budú implementované ako samostatné, nezávisle nasaditeľné a škálovateľné služby komunikujúce cez dobre definované API. 2576 +*1*. **Zdôvodnenie:** Mikroslužby umožňujú lepšiu škálovateľnosť jednotlivých častí systému, nezávislý vývoj a nasadzovanie, technologickú diverzitu (ak je to vhodné) a vyššiu odolnosť celého systému voči výpadkom jednotlivých komponentov. 2577 +*1. **Výber moderných a osvedčených technológií:** 2578 +*1*. **Rozhodnutie:** Pre vývoj a prevádzku IS AkcieOkolo budú použité moderné, ale zároveň osvedčené a štandardizované technológie, programovacie jazyky a frameworky, ktoré majú dobrú podporu komunity, sú bezpečné a umožňujú efektívny vývoj. Predpokladá sa využitie kontajnerizácie (napr. Docker) a orchestrácie kontajnerov (napr. Kubernetes), ak budú dostupné ako PaaS služby vo vládnom cloude. 2579 +*1*. **Zdôvodnenie:** Zabezpečenie dlhodobej udržateľnosti, dostupnosti expertov a zníženie rizika vendor-locku na špecifické proprietárne technológie. 2580 +*1. **Bezpečnosť "by design":** 2581 +*1*. **Rozhodnutie:** Bezpečnostné aspekty budú integrované do návrhu technologickej architektúry od samého začiatku ("security by design"). To zahŕňa zabezpečenie siete, serverov, aplikácií, dát, riadenie prístupov, monitoring a reakciu na bezpečnostné incidenty v súlade s vyhláškou o kybernetickej bezpečnosti a GDPR. 2582 +*1*. **Zdôvodnenie:** Zabezpečenie dôveryhodnosti a ochrany spravovaných dát. 2583 +* **Požiadavky na prevádzkové prostredia (vývoj, test, produkčné):** 2584 +** Pre IS AkcieOkolo budú zabezpečené minimálne tri logicky oddelené prostredia, všetky preferovane v rámci vládneho cloudu: 2585 +*** **Vývojové prostredie:** Určené pre vývojárov na implementáciu a základné testovanie funkcionalít. 2586 +*** **Testovacie prostredie (UAT/Staging):** Určené na komplexné testovanie (funkčné, integračné, výkonnostné, bezpečnostné) a používateľské akceptačné testy. Malo by čo najvernejšie kopírovať produkčné prostredie. 2587 +*** **Produkčné prostredie:** Určené pre ostrú prevádzku IS AkcieOkolo pre všetkých používateľov. Musí spĺňať najvyššie požiadavky na dostupnosť, výkon a bezpečnosť. 2588 +** Požiadavky na HW, SW a licencie (sizing) pre tieto prostredia sú detailne špecifikované v dokumente M-05 BC/CBA (karty sizingu) a budú sa odvíjať od očakávaného zaťaženia, počtu používateľov a objemu dát. Predpokladá sa využitie škálovateľných cloudových služieb, kde je možné kapacity flexibilne prispôsobovať. 2589 +* **Znázornenie (diagramy) modelu navrhovanej technologickej infraštruktúry a jej prepojenie na aplikačnú vrstvu:** 2590 + 2591 +[[image:1754826719784-979.png]] 2592 + 2593 + "TO-BE Technologická Architektúra a Nasadenie IS AkcieOkolo vo Vládnom Cloude" 2594 + 2595 +**Záver k výberu riešenia a zdôvodnenie nevyužitia iných alternatív:** 2596 +Preferovaný prístup k technologickej architektúre, založený na princípoch cloud-native a prioritnom využití vládneho cloudu SR, bol zvolený na základe analýzy nákladov a prínosov (M-05 BC/CBA) a multikriteriálnej analýzy (kapitola 5.1.3). Tento prístup najlepšie spĺňa požiadavky projektu na škálovateľnosť, bezpečnosť, dostupnosť, flexibilitu a nákladovú efektívnosť v dlhodobom horizonte. 2597 + 2598 +Alternatíva budovania a prevádzky IS AkcieOkolo na plne vlastnej fyzickej infraštruktúre žiadateľa (Alternatíva Tech-3 z kap. 5.1.3) bola vyhodnotená ako ekonomicky menej výhodná (vyššie TCO) a menej flexibilná, pričom by kládla neprimerané nároky na žiadateľa v oblasti správy a zabezpečenia komplexnej IT infraštruktúry. Neexistujú žiadne závažné bezpečnostné ani legislatívne dôvody, ktoré by znemožňovali využitie služieb vládneho cloudu pre tento typ informačného systému a spracúvané údaje (po aplikovaní potrebných bezpečnostných opatrení a v súlade s klasifikáciou ISVS). 2599 + 2600 +Hybridný cloudový model (Alternatíva Tech-2 z kap. 5.1.3) sa môže zvážiť pre niektoré špecifické, okrajové komponenty v budúcnosti, ak by vládny cloud neposkytoval adekvátne služby pre nejakú špecifickú potrebu a zároveň by bola preukázaná ekonomická a bezpečnostná opodstatnenosť takéhoto hybridného prístupu. Pre hlavné jadro IS AkcieOkolo je však preferované plné nasadenie vo vládnom cloude. 2601 + 2602 + 2603 +== **5.6.3 Požiadavky na výkonnostné parametre, kapacitné požiadavky – budúci stav (TO BE)** == 2604 + 2605 +Nasledujúca tabuľka špecifikuje predpokladané výkonnostné parametre a kapacitné požiadavky pre informačný systém AkcieOkolo v jeho budúcom (TO BE) produkčnom stave. Tieto údaje sú kľúčové pre návrh a dimenzovanie (sizing) technologickej infraštruktúry, najmä v kontexte využívania služieb vládneho cloudu, a pre zabezpečenie požadovanej odozvy a dostupnosti systému pre všetkých používateľov. Odhady vychádzajú z očakávaného rozsahu využívania platformy na základe počtu samospráv, organizátorov, predajcov a predpokladaného záujmu verejnosti. 2606 + 2607 +|**Parameter**|**Jednotky**|**Predpokladaná hodnota**|**Poznámka** 2608 +|**Používatelia systému:**| | | 2609 +|Počet interných používateľov (pracovníci samospráv, admini AkcieOkolo, z.z.p.o.)|Počet|3 000 - 5 000|Odhad na základe počtu samospráv v SR a predpokladu 1-2 aktívnych používateľov na samosprávu plus administrátori systému. 2610 +|Počet súčasne pracujúcich interných používateľov v špičkovom zaťažení|Počet|500 - 1 000|Odhad počas období intenzívneho plánovania alebo schvaľovania podujatí (napr. začiatok roka, pred hlavnými sezónami). 2611 +|Počet registrovaných externých používateľov (Organizátori, Predajcovia)|Počet|10 000 - 20 000|Odhad počtu aktívnych organizátorov a predajcov na Slovensku využívajúcich digitálny profil. 2612 +|Počet externých používateľov (občania/návštevníci - webový portál a mobilná aplikácia)|Počet (unikátnych/mesiac)|100 000 - 500 000+|Veľký rozptyl v závislosti od sezóny, marketingových aktivít a atraktivity zobrazovaných podujatí. Cieľom je vysoká návštevnosť. 2613 +|Počet externých používateľov používajúcich systém v špičkovom zaťažení (občania/návštevníci)|Počet (súčasne)|5 000 - 15 000|Odhad počas konania významných celoslovenských podujatí alebo v čase masívneho vyhľadávania (napr. piatok popoludní, prázdniny). 2614 +|**Transakcie a dáta:**| | | 2615 +|Počet novo registrovaných/aktualizovaných podujatí za rok|Počet/rok|10 000 - 25 000|Odhad na základe súčasného počtu podujatí a očakávaného zvýšenia evidencie v centrálnom systéme. 2616 +|Počet transakcií registrácie/žiadostí predajcov za rok|Počet/rok|20 000 - 50 000|Každý predajca sa môže účastniť viacerých podujatí. 2617 +|Počet vyhľadávacích dopytov na portáli/aplikácii za deň (priemerná špička)|Počet/deň|50 000 - 200 000| 2618 +|Počet transakcií (podaní, požiadaviek, API volaní) za obdobie (špičková hodina)|Počet/hodina|5 000 - 20 000|Zahŕňa všetky typy interakcií so systémom (CRUD operácie, API volania). 2619 +|Priemerný objem údajov na jednu transakciu registrácie podujatia|kB/MB|500 kB - 2 MB|Zahŕňa textové dáta, súradnice, prípadne odkazy na malé obrázky/dokumenty. 2620 +|Celkový objem kmeňových dát po 5 rokoch prevádzky (databáza podujatí, profilov)|GB/TB|500 GB - 2 TB|Odhad na základe počtu podujatí, používateľov a rozsahu ukladaných informácií (vrátane histórie, logov). Nezahrňuje externé úložisko pre veľké multimediálne súbory. 2621 +|Celkový objem uložených dokumentov a multimédií po 5 rokoch (napr. S3 storage)|TB|2 TB - 10 TB|Najmä fotografie k podujatiam, naskenované dokumenty predajcov (ak relevantné). 2622 +|**Výkonnostné požiadavky (Odozva):**| | | 2623 +|Priemerná odozva načítania detailu podujatia na portáli/aplikácii|Sekundy|< 2 sekundy|Pre 95% požiadaviek pri bežnom zaťažení. 2624 +|Maximálna odozva kritických administratívnych operácií (napr. schválenie)|Sekundy|< 5 sekúnd|Pre 95% požiadaviek. 2625 +|**Iné špecifické požiadavky:**| | | 2626 +|Dostupnosť služby (SLA pre produkčné prostredie)|% (ročná)|99.8%|Mimo plánovaných odstávok na údržbu. 2627 +|RTO (Recovery Time Objective)|Hodiny|< 4 hodiny|Maximálny akceptovateľný čas na obnovu služby po kritickom zlyhaní. 2628 +|RPO (Recovery Point Objective)|Hodiny|< 1 hodina|Maximálna akceptovateľná strata dát v prípade kritického zlyhania. 2629 +|Podpora pre paralelné API volania (pre externé integrácie)|Počet/sekunda|100 - 500|Odhad pre partnerské systémy (napr. turistické portály) pristupujúce k dátam IS AkcieOkolo. 2630 +|Ďalšie kapacitné a výkonové požiadavky ...|...|...|Napríklad špecifické požiadavky na databázové operácie, priepustnosť siete v rámci vládneho cloudu pre interné komponenty, požiadavky pre BPS a PASVAS moduly (ak by sa realizovali). 2631 + 2632 +//Tabuľka 29 Požiadavky na výkonnostné parametre, kapacitné požiadavky – budúci stav (TO BE)// 2633 + 2634 +**Vysvetlivky a doplňujúce informácie k tabuľke:** 2635 + 2636 +* ¹ **PREDPOKLADANÁ HODNOTA (TO BE):** Uvedené hodnoty sú **odhady pre cieľový stav po plnom nasadení a adopcii systému**. Mnohé z nich majú charakter rozsahu (min-max), pretože presné zaťaženie bude závisieť od mnohých faktorov (sezónnosť, marketing, reálna miera využívania). Tieto odhady musia byť pravidelne revidované počas životného cyklu projektu a prevádzky. 2637 +* **Interní používatelia:** Ide najmä o pracovníkov samospráv, ktorí budú aktívne pracovať so systémom pri evidencii, schvaľovaní a koordinácii podujatí, a administrátorov systému. 2638 +* **Externí používatelia (registrovaní):** Organizátori a predajcovia, ktorí budú využívať systém na registráciu a správu svojich aktivít. 2639 +* **Externí používatelia (verejnosť):** Občania a turisti využívajúci verejný portál a mobilnú aplikáciu. Ich počet a aktivita budú generovať najväčšiu časť záťaže na frontendové služby. 2640 +* **Transakcie:** Je dôležité rozlišovať medzi rôznymi typmi transakcií – od jednoduchých vyhľadávaní až po komplexné registrácie s nahrávaním súborov. 2641 +* **Objem dát:** Zahŕňa štruktúrované dáta v databázach aj neštruktúrované dáta (dokumenty, obrázky), pre ktoré bude pravdepodobne využité objektové úložisko. 2642 +* **RTO/RPO:** Sú to kľúčové parametre pre návrh stratégie zálohovania a obnovy po havárii (Disaster Recovery). 2643 +* **Poznámka k využitiu údajov pre sizing:** 2644 +Tieto predpokladané hodnoty budú slúžiť ako vstup pre detailný sizing hardvérových a softvérových zdrojov v rámci vládneho cloudu (výpočtový výkon CPU, veľkosť RAM, kapacita a typ úložiska, sieťová priepustnosť). Vzhľadom na využitie cloudových služieb bude možné kapacity flexibilne škálovať podľa aktuálnej potreby, avšak počiatočný sizing musí byť navrhnutý tak, aby pokryl očakávané špičkové zaťaženia. 2645 + 2646 +Využívanie služieb z katalógu služieb vládneho cloudu 2647 + 2648 +V súlade s Národnou koncepciou informatizácie verejnej správy (NKIVS) a strategickým zameraním na využívanie centralizovaných a zdieľaných zdrojov bude informačný systém AkcieOkolo primárne nasadený a prevádzkovaný s využitím infraštruktúrnych služieb z Katalógu služieb vládneho cloudu Slovenskej republiky. Tento prístup zabezpečuje efektívne využitie investícií, škálovateľnosť, bezpečnosť a súlad s architektonickými štandardmi verejnej správy. Všetky využívané infraštruktúrne služby budú riadne evidované v MetaIS vrátane vzťahu na ISVS AkcieOkolo a jeho moduly. 2649 + 2650 +Pri výbere konkrétnych cloudových služieb sa zohľadňuje technologická náročnosť IS AkcieOkolo, požiadavky na jeho výkon, dostupnosť, bezpečnosť a najmä klasifikácia ISVS AkcieOkolo a jeho jednotlivých modulov (Ux, Cx, Ix, Ax), ktorá bola vykonaná v časti 5.1.3 Stanovenie alternatív v technologickej vrstve architektúry. Zvolená infraštruktúrna služba z Katalógu musí byť zaradená do rovnakej alebo vyššej klasifikačnej úrovne ako ISVS/modul, ktorý ju bude využívať. 2651 + 2652 +Prehľad plánovaného využitia infraštruktúrnych služieb z Katalógu služieb vládneho cloudu pre IS AkcieOkolo: 2653 + 2654 +|((( 2436 2436 2656 + 2657 +**Kód infraštruktúrnej služby** 2658 + 2659 +(z MetaIS) 2660 +)))|**Názov infraštruktúrnej služby**|((( 2661 +**Kód ISVS** 2662 + 2663 +(z MetaIS) 2664 +)))|**Názov Využívajúceho ISVS**|((( 2665 +**Klasifikácia ISVS** 2666 + 2667 +Ux (Cx,Ix,Ax) 2668 +))) 2669 +| |Výpočtový výkon IaaS (Virtuálny server)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Frontend a časť Backend-u)|U2 (C2,I2,A2/A3) //(podľa finálnej klasifikácie celého IS)// 2670 +| |Spravovaná databázová služba PaaS (napr. PostgreSQL as a Service)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Databázový modul)|U2 (C2,I2,A3) //(podľa klasifikácie dátového modulu a požiadavky na dostupnosť DB)// 2671 +| |Objektové úložisko IaaS/PaaS (napr. S3 kompatibilné)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (pre dokumenty a multimédiá)|U2 (C2,I2,A2) //(podľa citlivosti a dostupnosti ukladaných súborov)// 2672 +| |Kontajnerizačná platforma PaaS (napr. Kubernetes Service)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Backendové mikroslužby)|U2/U3 (C2,I2,A2/A3) //(podľa kritickosti mikroslužieb)// 2673 +| |Služba vyrovnávania záťaže (Load Balancing as a Service) PaaS|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Frontend vrstva)|U2 (C1,I1,A3) //(pre zabezpečenie dostupnosti verejných rozhraní)// 2674 + 2675 +//Tabuľka 30 Využívanie služieb z katalógu služieb vládneho cloudu// 2676 + 2677 + 2678 +¹ //Kód a presný názov infraštruktúrnej služby je potrebné doplniť z aktuálneho Katalógu služieb vládneho cloudu SR.// 2679 +² //Uvedené hodnoty klasifikácie ISVS sú ilustračné a musia byť nahradené výsledkami reálnej klasifikácie podľa MU pre klasifikáciu ISVS.// 2680 + 2681 +**Parametre (kapacity) požadovaných výpočtových zdrojov (sizing) a využitie služieb vládneho cloudu pre jednotlivé prevádzkové prostredia:** 2682 + 2683 +Nižšie uvedené tabuľky špecifikujú odhadované kapacitné požiadavky pre výpočtové uzly a ďalšie cloudové služby pre jednotlivé prostredia IS AkcieOkolo. Tieto hodnoty sú odvodené z požiadaviek definovaných v kapitole 5.6.2. 2684 + 2685 +|(% rowspan="2" %)**Prostredie**|(% rowspan="2" %)((( 2686 + 2687 + 2688 +**Kód infraštruktúrnej služby** 2689 + 2690 +(z MetaIS) 2691 +)))|(% rowspan="2" %)((( 2692 +**Názov infraštruktúrnej služby** 2693 + 2694 +(Služba z katalógu cloudových služieb pre zriadenie výpočtového uzla) 2695 +)))|(% colspan="4" %)**Požadované kapacitné parametre služby ** 2696 +(doplňte stĺpec parametra, ak je dôležitý pre konkrétnu službu)|**POZNÁMKA K SIZINGU** 2697 +|Dátový priestor (GB)|Tier diskového priestoru|Počet vCPU|RAM (GB)| 2698 +|Vývojové| |Výpočtový výkon IaaS (Virtuálny server)|200|Štandardný (SSD)|4|16|Pre potreby vývojového tímu, integračné testy, CI/CD. Nižšie nároky na výkon a dostupnosť. 2699 +| | |Spravovaná databázová služba PaaS|100|Štandardný (SSD)|2|8|Pre vývojovú databázu. 2700 +|Testovacie| |Výpočtový výkon IaaS (Virtuálny server)|500|Štandardný/Výkonný (SSD)|8|32|Pre UAT, integračné testy, čiastočné výkonnostné testy. Malo by čo najviac pripomínať produkčné prostredie z hľadiska konfigurácie. 2701 +| | |Spravovaná databázová služba PaaS|300|Štandardný/Výkonný (SSD)|4|16|Pre testovaciu databázu. 2702 +|Produkčné| |Výpočtový výkon IaaS (Virtuálny server) / Kontajnerizačná platforma PaaS|1000+|Výkonný (SSD NVMe)|16 - 32+|64 - 128+|Pre ostrú prevádzku. Nutná vysoká dostupnosť, škálovateľnosť a výkon. Sizing na základe špičkového zaťaženia (kap. 5.6.2). Možnosť automatického škálovania. 2703 +| | |Spravovaná databázová služba PaaS (s vysokou dostupnosťou a replikáciou)|1000 - 2000+|Výkonný (SSD NVMe)|8 - 16+|32 - 64+|Kritická komponenta, zálohovanie, replikácia. 2704 +|**Predprodukčné (Staging)** (ďalšie prostredie)| |Výpočtový výkon IaaS (Virtuálny server)|500|Výkonný (SSD)|8|32|Pre finálne overenie nasadenia pred produkciou, takmer identické s produkčným. 2705 +| | |Spravovaná databázová služba PaaS|300|Výkonný (SSD)|4|16| 2706 + 2707 +//Tabuľka 31 Predpokladané kapacity požadovaných výpočtových zdrojov (sizing)// 2708 + 2709 +//³ Uvedené hodnoty (GB, Tier, vCPU, RAM) sú len ilustračné a musia byť nahradené presnými hodnotami z detailného sizingu vykonaného na základe požiadaviek v kapitole 5.6.2 a špecifík zvolených cloudových služieb. Dôležité je uviesť konkrétny parameter požadovaný službou z Katalógu (napr. typ VM inštancie, výkonnostná trieda DB služby).// 2710 + 2711 + 2712 + 2713 +|**Prostredie**|**Ďalšie služby potrebné na prevádzku projektu z katalógu služieb vládneho cloudu **(stručný popis / názov)|((( 2714 +**Kód služby** 2715 + 2716 +(z MetaIS) 2717 +)))|**Parametre pre službu **(doplňte stĺpec parametra, ak je dôležitý pre konkrétnu službu) 2718 +|**Všetky**|Objektové úložisko (S3 kompatibilné)| |**Kapacita:** 2-10 TB (celkovo, postupne narastajúca), **Tier:** Štandardný (pre dokumenty), **Požiadavky na priepustnosť, redundanciu** 2719 +|**Všetky**|Služba vyrovnávania záťaže (Load Balancing)| |**Počet spravovaných inštancií**, **Očakávaný počet pripojení/s**, **Typ (aplikačný/sieťový)** 2720 +|**Produkčné**|Služba zálohovania a obnovy (Backup and Recovery)| |**Frekvencia zálohovania (denne/hodinovo), Retenčná politika (dni/mesiace), Požadované RTO/RPO pre obnovu zo zálohy** 2721 +|**Produkčné**|Monitorovacia služba (Monitoring as a Service)| |**Rozsah monitorovaných metrík (CPU, RAM, disk, sieť, odozva aplikácie), Typy alertov, Integračné možnosti** 2722 +|**Všetky**|Služba DNS manažmentu| |**Počet spravovaných domén/záznamov** 2723 +|//(Ďalšie)//|//(Napr. API Gateway služba, Bezpečnostné služby - WAF, IDS/IPS, správa certifikátov)//| |//(Relevantné parametre)// 2724 +|((( 2725 +ďalšie... 2726 + 2727 +(uviesť názov) 2728 +)))| | | 2729 + 2730 +//Tabuľka 32 Predpokladané kapacity ďalších cloudových (infraštruktúrnych) služieb// 2731 + 2732 +//Tabuľka 32 Predpokladané kapacity ďalších cloudových (infraštruktúrnych) služieb// 2733 +⁴ //Opäť, parametre sú **ilustračné** a musia byť spresnené na základe špecifikácií služieb z Katalógu VC a potrieb projektu.// 2734 + 2735 +Požiadavky na služby vládneho cloudu budú detailne komunikované a konzultované s prevádzkovateľom vládneho cloudu (napr. MV SR) pred vyhlásením verejného obstarávania na dodávateľa IS AkcieOkolo, aby sa zabezpečila ich dostupnosť, vhodnosť a správny sizing. 2736 + 2737 +Vzhľadom na stratégiu prioritného využívania vládneho cloudu sa v tejto fáze neuvažuje o využití vlastných výpočtových zdrojov žiadateľa evidovaných v MetaIS pre produkčnú prevádzku kľúčových komponentov IS AkcieOkolo. Ak by analýza v neskorších fázach ukázala nevyhnutnosť takéhoto prístupu pre niektorú špecifickú časť, bude to riadne zdôvodnené a zaevidované. 2738 + 2739 + 2740 += **5.7 Bezpečnostná architektúra** = 2741 + 2742 +Bezpečnostná architektúra projektu "Zaži mestá a obce, zaži Slovensko" a jeho informačného systému IS AkcieOkolo je navrhnutá tak, aby zabezpečila ochranu všetkých aktív projektu – dát, aplikácií, infraštruktúry a používateľov – pred širokým spektrom hrozieb a rizík. Cieľom je dosiahnuť požadovanú úroveň dôvernosti, integrity a dostupnosti (CIA triad) informácií a služieb poskytovaných systémom. 2743 + 2744 +== **5.7.2 Návrh riešenia bezpečnosti** == 2745 + 2746 +**Popis súčasného (AS IS) stavu bezpečnostnej architektúry:** 2747 + 2748 +Vzhľadom na to, že v súčasnosti **neexistuje centrálny informačný systém** pre agendu manažmentu kultúrnych podujatí na celoštátnej úrovni, neexistuje ani jednotná alebo koordinovaná bezpečnostná architektúra pre túto oblasť. 2749 + 2750 +* **Dáta:** Sú fragmentované, často uložené na lokálnych nezabezpečených úložiskách, v bežných kancelárskych dokumentoch alebo v rôznych izolovaných lokálnych databázach s variabilnou úrovňou zabezpečenia. Neexistuje jednotná politika ochrany týchto dát. 2751 +* **Aplikácie:** Ak existujú lokálne aplikačné riešenia, ich úroveň zabezpečenia (napr. autentifikácia, autorizácia, ochrana pred bežnými webovými zraniteľnosťami) je veľmi rôznorodá a často nedostatočná. Neexistuje centrálny manažment zraniteľností. 2752 +* **Infraštruktúra:** Neexistuje jednotná infraštruktúra. Prípadné lokálne servery alebo hostingové služby majú rôznu úroveň fyzickej a sieťovej bezpečnosti. 2753 +* **Používatelia a prístupy:** Manažment prístupov je decentralizovaný, neštandardizovaný a často založený na slabých autentifikačných metódach. Chýba centrálny audit prístupov. 2754 +* **Celkový stav:** Súčasný stav predstavuje významné bezpečnostné riziká z hľadiska dôvernosti (únik osobných údajov organizátorov, predajcov), integrity (možnosť neoprávnenej modifikácie dát o podujatiach) a dostupnosti (výpadky lokálnych systémov, strata dát). Chýba systematický prístup k riadeniu informačnej bezpečnosti pre túto agendu. 2755 + 2756 +Rozdiel medzi súčasným stavom (absencia centrálneho zabezpečenia) a budúcim (komplexné zabezpečenie IS AkcieOkolo) je teda fundamentálny. 2757 + 2758 +**Popis navrhovaného budúceho (TO BE) stavu riešenia bezpečnostnej architektúry:** 2759 + 2760 +Navrhovaný budúci (TO BE) stav bezpečnostnej architektúry pre IS AkcieOkolo bude implementovaný na princípe "security by design" (bezpečnosť ako súčasť návrhu) a "defense in depth" (hĺbková obrana), pričom bude pokrývať všetky relevantné vrstvy a aspekty. Bezpečnostné opatrenia a požiadavky budú vychádzať z: 2761 + 2762 +1. **Ohodnotenia rizík a identifikovaných hrozieb:** Bola/Bude vykonaná analýza rizík pre IS AkcieOkolo, ktorá identifikovala potenciálne hrozby (napr. neoprávnený prístup, únik dát, DDoS útoky, malware, zlyhanie hardvéru, ľudské chyby), zraniteľnosti a odhadla ich potenciálny dopad. Na základe tejto analýzy sú navrhované primerané protiopatrenia. 2763 +1. **Legislatívnych, právnych a zmluvných požiadaviek:** Bezpečnostná architektúra bude v plnom súlade s: 2764 +1*. Zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti. 2765 +1*. Vyhláškou NBÚ č. 362/2018 Z. z. (obsah bezpečnostných opatrení a dokumentácie). 2766 +1*. Vyhláškou ÚPVII č. 179/2020 Z. z. (kategorizácia a bezpečnostné opatrenia ITVS). 2767 +1*. Zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe. 2768 +1*. Nariadením GDPR a zákonom č. 18/2018 Z. z. o ochrane osobných údajov. 2769 +1*. Relevantnými štandardmi a normami (napr. rodina ISO/IEC 27000). 2770 +1*. Zmluvnými požiadavkami voči dodávateľom a prevádzkovateľovi vládneho cloudu. 2771 +1. **Sady princípov, cieľov a interných smerníc organizácie:** Zohľadnia sa bezpečnostné politiky a smernice ZMOS a AkcieOkolo, z.z.p.o., ako aj osvedčené postupy v oblasti informačnej bezpečnosti. 2772 + 2773 +**Postupy na dosiahnutie potrebnej úrovne bezpečnosti a zabezpečenie aktív projektu:** 2774 + 2775 +**A. Dôvernosť údajov:** 2776 + 2777 +* **Kontrola prístupu:** 2778 +** Implementácia robustného systému riadenia identít a prístupov (IAM) s využitím spoločného modulu **IAM ÚPVS (as_59698)** pre autentifikáciu oprávnených pracovníkov VS. 2779 +** Pre ostatných používateľov (občania, organizátori, predajcovia) bude implementovaná bezpečná registrácia a autentifikácia (napr. silné heslá, voliteľná dvojfaktorová autentifikácia). 2780 +** Princíp najnižších potrebných oprávnení (least privilege) – používatelia budú mať prístup len k tým dátam a funkcionalitám, ktoré nevyhnutne potrebujú pre výkon svojich úloh. 2781 +** Detailné prideľovanie rolí a oprávnení v rámci IS AkcieOkolo. 2782 +* **Šifrovanie:** 2783 +** Šifrovanie citlivých dát pri prenose (HTTPS/TLS pre všetku komunikáciu). 2784 +** Šifrovanie citlivých dát v úložisku (encryption at rest), najmä pre databázy obsahujúce osobné údaje a pre zálohy. Využitie možností šifrovania poskytovaných službami vládneho cloudu. 2785 +* **Prevencia úniku dát (DLP):** 2786 +** Technické a organizačné opatrenia na minimalizáciu rizika úniku citlivých dát (napr. audit prístupov, monitoring). 2787 +* **Anonymizácia/Pseudonymizácia:** 2788 +** Pre analytické a otvorené dáta budú implementované procesy anonymizácie alebo pseudonymizácie osobných údajov. 2789 + 2790 +**B. Integrita údajov:** 2791 + 2792 +* **Validácia vstupov:** Dôsledná validácia všetkých vstupných dát na strane klienta aj servera na predchádzanie chybám a útokom (napr. SQL injection, XSS). 2793 +* **Kontrola konzistencie dát:** Implementácia databázových integritných obmedzení (constraints), transakčné spracovanie. 2794 +* **Ochrana pred neoprávnenou modifikáciou:** Riadenie prístupov, auditné záznamy o všetkých zmenách kritických dát. 2795 +* **Zálohovanie a obnova:** Pravidelné a testované zálohovanie všetkých dát s definovaným RPO (Recovery Point Objective) pre minimalizáciu straty dát. 2796 +* **Digitálne podpisy (ak relevantné):** Pre zabezpečenie integrity a autenticity dôležitých elektronických dokumentov generovaných systémom (napr. povolenia) sa zváži použitie kvalifikovaného elektronického podpisu/pečate. 2797 + 2798 +**C. Dostupnosť služieb a údajov:** 2799 + 2800 +* **Redundancia infraštruktúry:** Využitie redundantných komponentov v rámci vládneho cloudu (napr. redundantné servery, úložiská, sieťové pripojenia) na zabezpečenie vysokej dostupnosti (High Availability). 2801 +* **Vyrovnávanie záťaže (Load Balancing):** Nasadenie load balancerov na rozloženie záťaže medzi viaceré servery a zabezpečenie plynulej prevádzky aj pri vysokom počte používateľov. 2802 +* **Ochrana pred DDoS útokmi:** Implementácia opatrení na detekciu a mitigáciu DDoS útokov, využitie služieb poskytovaných vládnym cloudom alebo špecializovaných poskytovateľov. 2803 +* **Plán obnovy po havárii (Disaster Recovery Plan - DRP):** Vypracovanie a pravidelné testovanie DRP pre obnovu systému a dát v prípade rozsiahleho výpadku alebo havárie. Definované RTO (Recovery Time Objective). 2804 +* **Monitoring a proaktívna údržba:** Kontinuálny monitoring stavu systému a infraštruktúry na včasnú detekciu problémov a predchádzanie výpadkom. 2805 + 2806 +**Bezpečnosť na jednotlivých vrstvách architektúry:** 2807 + 2808 +* **Biznis vrstva:** Definovanie bezpečnostných politík, školenia používateľov o bezpečnom správaní, riadenie incidentov. 2809 +* **Aplikačná vrstva:** Bezpečný vývoj softvéru (SDL - Secure Development Lifecycle), ochrana pred bežnými aplikačnými zraniteľnosťami (OWASP Top 10), bezpečné API, riadenie prístupov na úrovni aplikácie. 2810 +* **Dátová vrstva:** Šifrovanie databáz, riadenie prístupu k databáze, audit prístupu k dátam, bezpečné zálohovanie. 2811 +* **Technologická (Infraštruktúrna) vrstva:** Zabezpečenie siete (firewally, segmentácia, IDS/IPS), zabezpečenie serverov (hardening, patch management), fyzická bezpečnosť dátových centier (zabezpečená prevádzkovateľom vládneho cloudu). 2812 + 2813 +**Bezpečnostná dokumentácia:** 2814 +Bude vypracovaný **Bezpečnostný projekt IS AkcieOkolo** v súlade s vyhláškou NBÚ č. 362/2018 Z. z. a vyhláškou ÚPVII č. 179/2020 Z. z., ktorý bude detailne popisovať všetky implementované bezpečnostné opatrenia, analýzu rizík, politiky a procedúry. 2815 + 2816 +Návrh bezpečnostnej architektúry IS AkcieOkolo bude dynamický a bude sa priebežne aktualizovať v reakcii na nové hrozby, zraniteľnosti a zmeny v legislatíve alebo technologickom prostredí. 2817 + 2818 +== **5.7.3 Určenie obsahu bezpečnostných opatrení** == 2819 + 2820 +Určenie obsahu a rozsahu bezpečnostných opatrení pre informačný systém AkcieOkolo vychádza primárne z platnej legislatívy Slovenskej republiky, najmä z Vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu (ÚPVII, teraz MIRRI SR) č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy (ďalej len "Vyhláška ÚPVII č. 179/2020 Z. z."). 2821 + 2822 +**Kategorizácia IS AkcieOkolo:** 2823 +Pred určením minimálnych bezpečnostných opatrení je nevyhnutné vykonať **kategorizáciu IS AkcieOkolo** podľa § 2 Vyhlášky ÚPVII č. 179/2020 Z. z. Táto kategorizácia sa vykonáva na základe posúdenia klasifikačných stupňov informačných aktív (dôvernosť, integrita, dostupnosť), ktoré bude IS AkcieOkolo spracúvať, a to v súlade s Metodickým usmernením MIRRI SR č. 023107/2023/oSBATA-1. 2824 +Na základe predbežnej analýzy typov údajov (verejné informácie o podujatiach, osobné údaje organizátorov a predajcov sa predpokladá, že IS AkcieOkolo bude s najväčšou pravdepodobnosťou zaradený do **Kategórie II** alebo **Kategórie III**. Finálne zaradenie bude výsledkom detailnej klasifikácie informačných aktív. Pre účely tejto tabuľky budeme zatiaľ uvažovať s vyššou kategóriou, aby sme pokryli širší rozsah opatrení. Ak výsledná kategorizácia bude nižšia, rozsah opatrení sa adekvátne upraví. 2825 + 2826 +//Predpokladaná kategorizácia pre účely tejto tabuľky: **Kategória II / III**// (Toto sa musí nahradiť reálnym výsledkom kategorizácie!) 2827 + 2828 +**Požiadavka na vypracovanie Bezpečnostného projektu:** 2829 +V súlade s § 8a vyhlášky MIRRI SR č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy a § 23 ods. 1 a 2 zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe, **bude pre IS AkcieOkolo vypracovaný samostatný Bezpečnostný projekt**. Tento Bezpečnostný projekt bude výstupom etapy R3-4 (Detailný návrh riešenia) a jeho náležitosti budú v súlade s prílohou č. 3 Vyhlášky ÚPVII č. 179/2020 Z. z. 2830 + 2831 +**Požiadavky na aplikáciu bezpečnostných opatrení podľa osobitných predpisov:** 2832 +Okrem Vyhlášky ÚPVII č. 179/2020 Z. z. budú pri návrhu a implementácii IS AkcieOkolo aplikované bezpečnostné opatrenia vyplývajúce najmä z: 2833 + 2834 +* **Zákona č. 18/2018 Z. z. o ochrane osobných údajov** a Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) – najmä opatrenia na ochranu osobných údajov registrovaných používateľov (organizátori, predajcovia, občania). 2835 +* **Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti** – ak by bol IS AkcieOkolo identifikovaný ako súčasť kritickej infraštruktúry alebo významný informačný systém z pohľadu kybernetickej bezpečnosti. 2836 +* Relevantných technických noriem a osvedčených postupov (napr. rodina ISO/IEC 27000, odporúčania NBÚ a CSIRT.SK). 2837 + 2838 +**Prehľad hlavných zdrojov minimálnych bezpečnostných opatrení:** 2839 + 2840 +|**Obsah bezpečnostných opatrení podľa vyhlášky ÚPVII č. 179/2020 Z. z**|**Aplikované opatrenia**|**Aplikovaná legislatíva** 2841 +|Minimálne bezpečnostné opatrenia Kategórie I|Vyberte položku.|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva 2842 +|Minimálne bezpečnostné opatrenia Kategórie II|Vyberte položku.|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva 2843 +|Minimálne bezpečnostné opatrenia Kategórie III|Vyberte položku.|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva 2844 +|Bezpečnostný projekt|Vyberte položku.|§ 23 ods. 1 a 2 zákona 95/2019 Z.z. 2845 +|Bezpečnostné opatrenia podľa osobitného predpisu|Vyberte položku.|Doplňte osobitný predpis alebo odkaz na predpisy, podľa ktorých budú aplikované ďalšie bezp. opatrenia 2846 + 2847 +//Tabuľka 33 Určenie zdrojov a obsahu minimálnych bezpečnostných opatrení// 2848 + 2849 +//¹ Poznámka: Vo finálnom dokumente by mal byť stĺpec "APLIKOVANÉ OPATRENIA" vyplnený jednoznačne ("Aplikujú sa" / "Neaplikujú sa" / "Čiastočne sa aplikujú s odôvodnením") na základe výslednej kategorizácie IS AkcieOkolo. Ak je systém napr. Kategórie II, aplikujú sa opatrenia pre Kat. I aj Kat. II.// 2850 + 2851 + 2852 +**Zapísanie požiadaviek do Katalógu požiadaviek (I-04):** 2853 + 2854 +1. **Minimálne bezpečnostné opatrenia:** Do I-04 Katalógu požiadaviek budú zapísané konkrétne nefunkčné požiadavky (NRxx) odvodené z príslušnej kategórie minimálnych bezpečnostných opatrení podľa Vyhlášky ÚPVII č. 179/2020 Z. z. (Príloha č. 1 – Katalóg minimálnych bezpečnostných opatrení). Každé relevantné opatrenie bude transformované na špecifickú požiadavku pre IS AkcieOkolo. 2855 +1*. //Príklad požiadavky~:// NR_BEZP_001: Systém musí zabezpečiť silnú autentifikáciu pre administrátorské účty v súlade s opatrením XY z Katalógu MBO. 2856 +1. **Upresnenie vyplývajúce z analýzy rizík:** Do I-04 Katalógu požiadaviek budú doplnené špecifické bezpečnostné požiadavky, ktoré vyplynú z detailnej analýzy rizík (identifikované hrozby a zraniteľnosti) pre IS AkcieOkolo a dáta v ňom spracúvané. Tieto požiadavky môžu byť prísnejšie alebo špecifickejšie ako minimálne opatrenia. 2857 +1*. //Príklad požiadavky~:// NR_BEZP_002: Systém musí implementovať mechanizmus na detekciu podozrivých pokusov o prihlásenie a automaticky blokovať účty po X neúspešných pokusoch. 2858 +1. **Upresnenie podľa osobitných predpisov:** Do I-04 Katalógu požiadaviek budú zapísané bezpečnostné požiadavky vyplývajúce z GDPR (napr. požiadavky na pseudonymizáciu, právo na zabudnutie, záznamy o spracovateľských činnostiach, posúdenie vplyvu na ochranu údajov - DPIA) a prípadne zo zákona o kybernetickej bezpečnosti. 2859 +1*. //Príklad požiadavky~:// NR_GDPR_001: Systém musí umožniť export osobných údajov používateľa v strojovo čitateľnom formáte na jeho žiadosť. 2860 +1. **Požiadavka na vypracovanie Bezpečnostného projektu:** Do I-04 Katalógu požiadaviek bude explicitne zaradená požiadavka na dodanie a pravidelnú aktualizáciu komplexného Bezpečnostného projektu IS AkcieOkolo ako jedného z kľúčových výstupov. Bude definovaná jeho štruktúra a obsah v súlade s Prílohou č. 3 Vyhlášky ÚPVII č. 179/2020 Z. z. Bezpečnostný projekt bude pripravovaný a dodaný súčasne s Detailným návrhom riešenia (DNR, projektový výstup R1-1) a bude aktualizovaný počas celej realizačnej fázy. 2861 + 2862 +Samotný Bezpečnostný projekt IS AkcieOkolo bude podrobným dokumentom, ktorý bude detailne popisovať analýzu bezpečnostných rizík, klasifikáciu a kategorizáciu aktív, navrhnuté a implementované bezpečnostné opatrenia, zodpovednosti, plány kontinuity činností a obnovy po havárii, ako aj postupy pre riadenie bezpečnostných incidentov. 2863 + 2864 +== **5.7.4 Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,** == 2865 + 2866 +Navrhovaná bezpečnostná architektúra informačného systému AkcieOkolo a s ním súvisiace procesy musia byť v plnom súlade s relevantnými legislatívnymi, právnymi, štatutárnymi, regulačnými a zmluvnými požiadavkami. Tieto požiadavky definujú minimálnu úroveň bezpečnosti, ktorú musí systém spĺňať, ako aj povinnosti pri manipulácii s dátami, zabezpečení výpočtovej techniky a ochrane používateľov. 2867 + 2868 +**Kľúčová legislatíva a regulačné požiadavky, ktoré musí IS AkcieOkolo a jeho prevádzka spĺňať:** 2869 + 2870 +1. **Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (Zákon o ITVS):** 2871 +1*. Tento zákon ustanovuje základné pravidlá pre tvorbu, správu, prevádzku a rozvoj informačných technológií verejnej správy. IS AkcieOkolo musí spĺňať jeho požiadavky týkajúce sa napr. evidencie v MetaIS, dodržiavania štandardov, riadenia projektov, bezpečnosti a interoperability. 2872 +1. **Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov:** 2873 +1*. Ak by IS AkcieOkolo alebo jeho časť bola klasifikovaná ako súčasť informačného systému základnej služby alebo kritickej infraštruktúry (čo sa v tejto fáze nepredpokladá, ale treba priebežne monitorovať), vzťahovali by sa naň prísne požiadavky tohto zákona týkajúce sa bezpečnostných opatrení, hlásenia kybernetických bezpečnostných incidentov a spolupráce s Národným bezpečnostným úradom (NBÚ) a CSIRT.SK. Bez ohľadu na klasifikáciu budú princípy tohto zákona brané do úvahy pri návrhu bezpečnostných opatrení. 2874 +1. **Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (v znení neskorších predpisov):** 2875 +1*. Táto vyhláška definuje konkrétne bezpečnostné opatrenia, ktoré musia byť implementované v závislosti od klasifikácie informačného systému (najmä v kontexte ochrany utajovaných skutočností, ak by boli relevantné, čo pre IS AkcieOkolo nie je primárny predpoklad). Mnohé z jej princípov sú však aplikovateľné aj na všeobecnú informačnú bezpečnosť. 2876 +1. **Zákon č. 45/2011 Z. z. o kritickej infraštruktúre:** 2877 +1*. Momentálne sa nepredpokladá, že by IS AkcieOkolo priamo spadal pod definíciu kritickej infraštruktúry. Tento aspekt sa však bude monitorovať. 2878 +1. **Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu (teraz MIRRI SR) č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy:** 2879 +1*. IS AkcieOkolo musí byť v súlade s touto vyhláškou, ktorá definuje štandardy pre rôzne aspekty ITVS, vrátane používateľských rozhraní, interoperability, otvorených dát, bezpečnosti a formátov. 2880 +1. **Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu (teraz MIRRI SR) č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy:** 2881 +1*. Kľúčová vyhláška pre IS AkcieOkolo. Na jej základe bude systém kategorizovaný a budú implementované minimálne bezpečnostné opatrenia pre príslušnú kategóriu (I, II alebo III). Táto vyhláška je hlavným zdrojom pre definovanie bezpečnostných požiadaviek v Katalógu požiadaviek (I-04) a pre tvorbu Bezpečnostného projektu. 2882 +1. **Ochrana osobných údajov:** 2883 +1*. **Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov - GDPR):** Absolútne kľúčový predpis. IS AkcieOkolo bude spracúvať osobné údaje organizátorov, predajcov, registrovaných občanov a potenciálne aj ďalších osôb. Musia byť implementované všetky princípy GDPR (zákonnosť, spravodlivosť, transparentnosť, minimalizácia údajov, presnosť, obmedzenie uloženia, integrita a dôvernosť, zodpovednosť prevádzkovateľa). 2884 +1*. **Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov:** Národný zákon implementujúci a doplňujúci GDPR. 2885 +1*. **Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov (DPIA):** Pre spracovateľské operácie s vysokým rizikom pre práva a slobody fyzických osôb (čo môže byť relevantné pre niektoré aspekty IS AkcieOkolo, napr. rozsiahle profilovanie alebo spracovanie citlivých dát, ak by k tomu došlo) bude potrebné vykonať DPIA. 2886 +1. **Ďalšie relevantné predpisy:** 2887 +1*. Zákon č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci (Zákon o e-Governmente) – týka sa využívania spoločných modulov, elektronických schránok, referenčných údajov. 2888 +1*. Autorský zákon (zákon č. 185/2015 Z. z.) – pri spracúvaní obsahu podujatí, fotografií atď. 2889 +1*. Obchodný zákonník, Občiansky zákonník – pri uzatváraní zmlúv s dodávateľmi, používateľmi. 2890 + 2891 +**Metodiky CSIRT.SK a iné osvedčené postupy:** 2892 +Okrem legislatívnych nariadení budú pri návrhu a implementácii bezpečnostných opatrení IS AkcieOkolo využité odporúčania a metodiky vydané Jednotkou pre riešenie kybernetických bezpečnostných incidentov CSIRT.SK ([[https:~~/~~/csirt.sk/metodiky-a-hardening.html>>url:https://www.google.com/url?sa=E&q=https%3A%2F%2Fcsirt.sk%2Fmetodiky-a-hardening.html]]), ako napríklad: 2893 + 2894 +* Metodika pre systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti. 2895 +* Príručky pre hardening operačných systémov a aplikácií (napr. Ochrana pred útokmi DDoS, Linux Hardening, Windows Hardening Guides). 2896 +* Odporúčania pre bezpečnosť webových aplikácií (napr. Check list pre bezpečnosť webových aplikácií). 2897 + 2898 +Budú taktiež aplikované medzinárodne uznávané štandardy a osvedčené postupy, ako sú odporúčania OWASP pre bezpečnosť webových aplikácií, NIST Cybersecurity Framework, alebo relevantné normy z rodiny ISO/IEC 27000. 2899 + 2900 +**Interné smernice a relevantné metodické materiály organizácie (AkcieOkolo, z.z.p.o. / ZMOS):** 2901 + 2902 +* Počas realizácie projektu budú vypracované alebo aktualizované **interné bezpečnostné smernice** pre prevádzku a správu IS AkcieOkolo. Tieto smernice budú zahŕňať minimálne: 2903 +** Politiku informačnej bezpečnosti špecifickú pre IS AkcieOkolo. 2904 +** Smernicu pre riadenie prístupov a správu používateľských účtov. 2905 +** Smernicu pre zálohovanie a obnovu dát. 2906 +** Plán kontinuity činností a obnovy po havárii (BCP/DRP) pre IS AkcieOkolo. 2907 +** Postupy pre riadenie bezpečnostných incidentov. 2908 +** Smernicu pre bezpečný vývoj a údržbu softvéru (ak bude vývoj prebiehať aj interne). 2909 +* Využívať sa budú aj **metodické pokyny MIRRI SR** pre evidenciu v MetaIS, riadenie projektov ITVS, využívanie vládneho cloudu a pod. 2910 + 2911 +**Zmluvné požiadavky:** 2912 + 2913 +* Všetky zmluvy s dodávateľmi IS AkcieOkolo, poskytovateľmi cloudových služieb a inými partnermi budú obsahovať jasné ustanovenia týkajúce sa bezpečnostných povinností, ochrany dát, dodržiavania SLA a zodpovednosti za bezpečnostné incidenty. 2914 +* Bude vypracovaná Zmluva o podpore prevádzky (SLA), ktorá bude špecifikovať parametre dostupnosti, riešenia incidentov a bezpečnostné záruky. 2915 + 2916 +Dôsledné dodržiavanie týchto legislatívnych, právnych, štatutárnych, regulačných a zmluvných požiadaviek je nevyhnutným predpokladom pre vybudovanie dôveryhodného a bezpečného informačného systému AkcieOkolo. 2917 + 2918 +== **5.7.5 Riešenie autentifikácie a prístupov používateľov** == 2919 + 2920 +Efektívne a bezpečné riešenie autentifikácie a riadenia prístupov používateľov je kritickou súčasťou bezpečnostnej architektúry informačného systému AkcieOkolo. Cieľom je zabezpečiť, aby k systému a jeho dátam pristupovali len oprávnené osoby, a to len v rozsahu nevyhnutnom pre výkon ich úloh, pri súčasnom zabezpečení čo najvyššieho používateľského komfortu tam, kde je to možné. 2921 + 2922 +**A. Požiadavky na autentifikáciu používateľov:** 2923 + 2924 +1. **Interní používatelia (pracovníci samospráv, administrátori AkcieOkolo, z.z.p.o.):** 2925 +1*. **Preferovaná metóda: Jednotné prihlásenie (Single Sign-On - SSO) s využitím IAM ÚPVS.** 2926 +1**. Pre všetkých pracovníkov orgánov verejnej moci (samosprávy) a administrátorov systému IS AkcieOkolo (z AkcieOkolo, z.z.p.o.), ktorí vyžadujú prístup k neverejným, administratívnym častiam systému, bude primárne implementovaná autentifikácia prostredníctvom **Autentifikačného modulu IAM Ústredného portálu verejnej správy (as_59698)**. 2927 +1**. **Zdôvodnenie:** Tento prístup zabezpečuje vysokú úroveň bezpečnosti, využíva existujúcu a štandardizovanú infraštruktúru eGovernmentu (eID, menné priestory), podporuje princíp jednotného prihlásenia pre používateľov naprieč rôznymi ISVS a znižuje potrebu spravovať samostatné heslá pre IS AkcieOkolo. 2928 +1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_001: Systém musí umožniť autentifikáciu interných používateľov (pracovníci samospráv, administrátori) prostredníctvom IAM ÚPVS. 2929 +1*. **Minimálna úroveň autentifikácie:** V súlade s požiadavkami na prístup k ISVS a citlivosťou dát, bude pre prístup k administratívnym funkciám vyžadovaná primeraná úroveň zabezpečenia autentifikácie (napr. dvojfaktorová autentifikácia, ak to IAM ÚPVS podporuje a kontext vyžaduje). 2930 +1. **Externí používatelia (Organizátori podujatí, Predajcovia/Účastníci – ak nie sú pracovníkmi VS; Občania/Návštevníci):** 2931 +1*. **Organizátori a Predajcovia/Účastníci (ak ide o PO alebo FO-podnikateľov, ktorí nie sú súčasťou VS):** 2932 +1**. Bude implementovaný robustný **registračný a autentifikačný mechanizmus priamo v IS AkcieOkolo**. 2933 +1**. Počiatočná registrácia bude vyžadovať overenie identity subjektu (napr. prostredníctvom IČO a následnej validácie voči RPO/ŽR, alebo iného vhodného mechanizmu pre overenie zástupcu PO/FO). 2934 +1**. Autentifikácia bude založená na kombinácii používateľského mena (napr. e-mail) a silného hesla spĺňajúceho definované politiky komplexnosti a exspirácie. 2935 +1**. Bude zvážená implementácia **dvojfaktorovej autentifikácie (2FA)** (napr. SMS kód, OTP aplikácia) ako voliteľnej alebo povinnej pre prístup k citlivejším operáciám alebo k profilovým údajom. 2936 +1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_002: Systém musí umožniť bezpečnú registráciu a prihlásenie pre organizátorov a predajcov pomocou mena a hesla, s implementovanou politikou silných hesiel. NR_AUTH_001: Systém by mal podporovať 2FA pre organizátorov a predajcov. 2937 +1*. **Občania/Návštevníci (pre prístup k personalizovaným funkciám portálu/aplikácie):** 2938 +1**. Jednoduchá registrácia a autentifikácia pomocou e-mailu a hesla. 2939 +1**. Možnosť využitia **prihlásenia prostredníctvom sociálnych sietí** (Social Login – napr. cez Google, Facebook, Apple ID), ak to bude vyhodnotené ako bezpečné a prínosné pre používateľský komfort, s jasným informovaním o rozsahu zdieľaných dát. 2940 +1**. Anonymný prístup k verejným informáciám o podujatiach bude možný bez nutnosti autentifikácie. 2941 +1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_003: Systém musí umožniť anonymný prístup k verejným častiam. FR_AUTH_004: Systém musí umožniť registráciu občanov pomocou e-mailu a hesla. NR_AUTH_002: Zvážiť implementáciu prihlásenia cez sociálne siete. 2942 + 2943 +**B. Požiadavky na používateľské role, správu prístupov a správu aplikácie:** 2944 + 2945 +IS AkcieOkolo bude implementovať **systém riadenia prístupu založený na rolách (Role-Based Access Control - RBAC)**. Každému používateľskému účtu bude priradená jedna alebo viac rolí, ktoré budú definovať jeho oprávnenia v systéme. 2946 + 2947 +1. **Definícia hlavných používateľských rolí:** 2948 +1*. **Administrátor Systému (AkcieOkolo, z.z.p.o.):** Najvyššie oprávnenia, správa celého systému, konfigurácia, manažment používateľov najvyššej úrovne, správa číselníkov, monitoring, audit. 2949 +1*. **Pracovník Samosprávy (Schvaľovateľ/Koordinátor):** Správa podujatí v rámci územnej pôsobnosti samosprávy, schvaľovanie registrácií podujatí, schvaľovanie účasti predajcov, komunikácia s organizátormi, prístup k relevantným reportom a štatistikám. Môžu existovať pod-role (napr. referent vs. vedúci s vyššími oprávneniami). 2950 +1*. **Organizátor Podujatia:** Registrácia a správa vlastných podujatí, správa žiadostí od predajcov pre svoje podujatia (ak mu to samospráva deleguje), prístup k štatistikám o svojich podujatiach. 2951 +1*. **Predajca/Účastník Podujatia:** Vytvorenie a správa svojho digitálneho profilu, podávanie žiadostí o účasť na podujatiach, prehľad o svojich schválených účastiach. 2952 +1*. **Registrovaný Občan/Návštevník:** Prístup k personalizovaným funkciám portálu/aplikácie (napr. ukladanie obľúbených podujatí, nastavenie notifikácií, písanie recenzií – ak bude implementované). 2953 +1*. **Anonymný Návštevník:** Prístup len k verejne dostupným informáciám o podujatiach. 2954 +1*. //Katalóg požiadaviek (príklad)~:// FR_RBAC_001: Systém musí implementovať minimálne definované používateľské role (Administrátor, Pracovník Samosprávy, Organizátor, Predajca, Občan). 2955 +1. **Správa prístupov:** 2956 +1*. Princíp najnižších potrebných oprávnení (least privilege) bude aplikovaný pre všetky role. 2957 +1*. Možnosť detailnej konfigurácie oprávnení pre jednotlivé funkcie a dátové objekty administrátorom systému. 2958 +1*. Auditné záznamy o všetkých zmenách oprávnení a prístupoch k citlivým funkciám. 2959 +1*. Proces pre schvaľovanie a odoberanie prístupov. 2960 +1*. //Katalóg požiadaviek (príklad)~:// NR_RBAC_001: Prístupové práva musia byť granulárne a prideľované na základe princípu najnižších oprávnení. 2961 +1. **Správa aplikácie (z pohľadu bezpečnosti):** 2962 +1*. Možnosť centrálnej deaktivácie/aktivácie používateľských účtov. 2963 +1*. Monitoring podozrivej aktivity a bezpečnostných incidentov. 2964 +1*. Nástroje pre administrátorov na správu bezpečnostných nastavení systému (napr. politika hesiel, konfigurácia 2FA). 2965 +1*. Pravidelné bezpečnostné aktualizácie a patch management všetkých komponentov systému. 2966 + 2967 +Všetky špecifické požiadavky na autentifikáciu, autorizáciu a riadenie prístupov, vrátane detailného matice rolí a oprávnení, budú zapísané a spravované v **I-04 Katalóg požiadaviek**.
- 1754826719784-979.png
-
- Autor
-
... ... @@ -1,0 +1,1 @@ 1 +XWiki.machacek@akcieokolo\.sk - Veľkosť
-
... ... @@ -1,0 +1,1 @@ 1 +112.1 KB - Obsah