Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)

Naposledy upravil Jaroslav Zmajkovič 2025/09/22 08:59

From 5.298 to 5.299 From 5.339 to 5.340

Z verzie 5.299

upravil Dušan Macháček
-

Zmeniť komentár: (Autosaved)

Do verzie 5.339

upravil Dušan Macháček
-

Zmeniť komentár: (Autosaved)

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)
Prílohy (0 modified, 1 added, 0 removed)
- 1754826719784-979.png

Podrobnosti

Vlastnosti stránky

Obsah

@@ -2531,7 +2531,437 @@
  * Dáta zozbierané systémom budú po nevyhnutnej úprave (pseudonymizácia/anonymizácia/agregácia) cenným zdrojom pre **analytické účely**, či už pre interné potreby samospráv, alebo pre centrálne analytické jednotky štátu.
--== **5.6 Technologická architektúra** ==
++= **5.6 Technologická architektúra** =
++== **5.6.2 Návrh riešenia technologickej architektúry** ==
++
++Návrh technologickej architektúry pre informačný systém AkcieOkolo je kľúčovým prvkom pre zabezpečenie jeho spoľahlivosti, výkonnosti, bezpečnosti, škálovateľnosti a nákladovej efektívnosti. Cieľom je navrhnúť modernú, flexibilnú a udržateľnú technologickú platformu, ktorá bude optimálne podporovať aplikačné komponenty a biznis procesy projektu "Zaži mestá a obce, zaži Slovensko".
++
++**Popis súčasného (AS IS) stavu technologickej vrstvy:**
++
++Súčasný stav technologickej infraštruktúry v oblasti manažmentu kultúrnych podujatí na celoštátnej úrovni je, podobne ako aplikačná a dátová vrstva, **extrémne fragmentovaný a neštandardizovaný**, alebo v kontexte centrálneho riešenia prakticky **neexistujúci**.
++
++* **Používané výpočtové prostriedky:**
++** Neexistuje centrálne zdieľaná výpočtová infraštruktúra pre túto agendu.
++** Jednotlivé samosprávy alebo väčší organizátori môžu prevádzkovať svoje lokálne, izolované riešenia (ak existujú) na vlastnom hardvéri (lokálne servery, osobné počítače) alebo na zdieľaných hostingových službách rôznej úrovne kvality a bezpečnosti.
++** Veľká časť procesov je podporovaná len bežnými kancelárskymi aplikáciami (napr. MS Excel, MS Word) na osobných počítačoch.
++* **Komunikačné prepojenia:**
++** Neexistuje centrálna komunikačná sieť ani štandardizované rozhrania pre výmenu dát o kultúrnych podujatiach na celoštátnej úrovni.
++** Komunikácia prebieha prevažne e-mailom, telefonicky, poštou, alebo cez neštruktúrované webové formuláre jednotlivých subjektov.
++** Pripojenie k internetu je štandardné, ale jeho kvalita a rýchlosť sa môže líšiť naprieč samosprávami a organizáciami. Využívanie Govnetu nie je v tejto agende systematické.
++* **Problematické body v AS IS stave:**
++** **Absencia centrálnej a škálovateľnej infraštruktúry:** Nemožnosť nasadiť a prevádzkovať moderný, centrálny informačný systém.
++** **Nízka úroveň bezpečnosti:** Lokálne riešenia často nespĺňajú potrebné bezpečnostné štandardy pre ochranu dát a zabezpečenie dostupnosti.
++** **Vysoké náklady na správu a údržbu decentralizovaných riešení:** Každý subjekt si rieši infraštruktúru individuálne (ak vôbec), čo je neefektívne.
++** **Obmedzená alebo žiadna interoperabilita:** Neexistujú technické predpoklady pre jednoduché zdieľanie dát a integráciu systémov.
++** **Nízka dostupnosť a spoľahlivosť:** Mnohé procesy sú závislé od manuálnej práce a dostupnosti konkrétnych osôb, lokálne systémy môžu trpieť výpadkami bez adekvátnej podpory.
++** **Neudržateľnosť z dlhodobého hľadiska:** Súčasný stav neumožňuje efektívny rozvoj a modernizáciu služieb.
++
++Zvolený rozsah popisu súčasného stavu jasne ukazuje, že pre dosiahnutie cieľov projektu je nevyhnutné vybudovať **novú, modernú a centralizovanú technologickú infraštruktúru**, alebo využiť existujúce centrálne zdieľané služby.
++
++**Návrh budúceho (TO BE) stavu riešenia technologickej vrstvy architektúry:**
++
++Navrhovaný budúci (TO BE) stav technologickej architektúry pre IS AkcieOkolo bude plne podporovať jeho aplikačné komponenty, zabezpečí požadovanú úroveň výkonu, dostupnosti, bezpečnosti a škálovateľnosti a bude v súlade s modernými architektonickými princípmi a stratégiami informatizácie verejnej správy SR.
++
++* **Prístup k riešeniu technologickej architektúry a súvisiace architektonické rozhodnutia:**
++*1. **"Cloud-First" a prioritné využitie Vládneho Cloudu SR:**
++*1*. **Rozhodnutie:** IS AkcieOkolo bude primárne nasadený a prevádzkovaný s využitím služieb **vládneho cloudu Slovenskej republiky** (IaaS, PaaS podľa aktuálneho Katalógu služieb vládneho cloudu). Toto rozhodnutie je v súlade s NKIVS a strategickými cieľmi informatizácie VS.
++*1*. **Zdôvodnenie:** Vládny cloud poskytuje štandardizované, bezpečné a škálovateľné prostredie, znižuje potrebu investícií do vlastného hardvéru a jeho správy, zabezpečuje určitú úroveň dostupnosti a redundancie a uľahčuje integráciu s inými ISVS prevádzkovanými vo vládnom cloude. Ekonomická výhodnosť tohto prístupu (nižšie TCO) oproti vlastnej infraštruktúre bola analyzovaná a potvrdená v kapitole 5.1.3 a detailne v M-05 BC/CBA.
++*1. **Návrh "Cloud-Native" aplikácie:**
++*1*. **Rozhodnutie:** Aplikačné komponenty IS AkcieOkolo budú vyvíjané s ohľadom na princípy **cloud-native architektúry**. To znamená, že systém bude navrhnutý tak, aby maximálne využíval výhody cloudového prostredia, ako sú elasticita, škálovateľnosť, odolnosť voči výpadkom a využívanie spravovaných služieb (managed services).
++*1*. **Zdôvodnenie:** Tento prístup zabezpečuje, že IS AkcieOkolo bude flexibilný, ľahko nasaditeľný a spravovateľný v cloudovom prostredí, minimalizuje závislosť na konkrétnej infraštruktúre dátového centra a uľahčuje automatizáciu procesov nasadenia a prevádzky (CI/CD, DevOps).
++*1. **Modulárna architektúra založená na mikroslužbách (preferovaný prístup):**
++*1*. **Rozhodnutie:** Pre kľúčové backendové funkcionality IS AkcieOkolo sa bude preferovať návrh založený na **architektúre mikroslužieb**. Jednotlivé logické domény (napr. správa podujatí, správa profilov, koordinácia, notifikácie) budú implementované ako samostatné, nezávisle nasaditeľné a škálovateľné služby komunikujúce cez dobre definované API.
++*1*. **Zdôvodnenie:** Mikroslužby umožňujú lepšiu škálovateľnosť jednotlivých častí systému, nezávislý vývoj a nasadzovanie, technologickú diverzitu (ak je to vhodné) a vyššiu odolnosť celého systému voči výpadkom jednotlivých komponentov.
++*1. **Výber moderných a osvedčených technológií:**
++*1*. **Rozhodnutie:** Pre vývoj a prevádzku IS AkcieOkolo budú použité moderné, ale zároveň osvedčené a štandardizované technológie, programovacie jazyky a frameworky, ktoré majú dobrú podporu komunity, sú bezpečné a umožňujú efektívny vývoj. Predpokladá sa využitie kontajnerizácie (napr. Docker) a orchestrácie kontajnerov (napr. Kubernetes), ak budú dostupné ako PaaS služby vo vládnom cloude.
++*1*. **Zdôvodnenie:** Zabezpečenie dlhodobej udržateľnosti, dostupnosti expertov a zníženie rizika vendor-locku na špecifické proprietárne technológie.
++*1. **Bezpečnosť "by design":**
++*1*. **Rozhodnutie:** Bezpečnostné aspekty budú integrované do návrhu technologickej architektúry od samého začiatku ("security by design"). To zahŕňa zabezpečenie siete, serverov, aplikácií, dát, riadenie prístupov, monitoring a reakciu na bezpečnostné incidenty v súlade s vyhláškou o kybernetickej bezpečnosti a GDPR.
++*1*. **Zdôvodnenie:** Zabezpečenie dôveryhodnosti a ochrany spravovaných dát.
++* **Požiadavky na prevádzkové prostredia (vývoj, test, produkčné):**
++** Pre IS AkcieOkolo budú zabezpečené minimálne tri logicky oddelené prostredia, všetky preferovane v rámci vládneho cloudu:
++*** **Vývojové prostredie:** Určené pre vývojárov na implementáciu a základné testovanie funkcionalít.
++*** **Testovacie prostredie (UAT/Staging):** Určené na komplexné testovanie (funkčné, integračné, výkonnostné, bezpečnostné) a používateľské akceptačné testy. Malo by čo najvernejšie kopírovať produkčné prostredie.
++*** **Produkčné prostredie:** Určené pre ostrú prevádzku IS AkcieOkolo pre všetkých používateľov. Musí spĺňať najvyššie požiadavky na dostupnosť, výkon a bezpečnosť.
++** Požiadavky na HW, SW a licencie (sizing) pre tieto prostredia sú detailne špecifikované v dokumente M-05 BC/CBA (karty sizingu) a budú sa odvíjať od očakávaného zaťaženia, počtu používateľov a objemu dát. Predpokladá sa využitie škálovateľných cloudových služieb, kde je možné kapacity flexibilne prispôsobovať.
++* **Znázornenie (diagramy) modelu navrhovanej technologickej infraštruktúry a jej prepojenie na aplikačnú vrstvu:**
++
++[[image:1754826719784-979.png]]
++
++    "TO-BE Technologická Architektúra a Nasadenie IS AkcieOkolo vo Vládnom Cloude"
++
++**Záver k výberu riešenia a zdôvodnenie nevyužitia iných alternatív:**
++Preferovaný prístup k technologickej architektúre, založený na princípoch cloud-native a prioritnom využití vládneho cloudu SR, bol zvolený na základe analýzy nákladov a prínosov (M-05 BC/CBA) a multikriteriálnej analýzy (kapitola 5.1.3). Tento prístup najlepšie spĺňa požiadavky projektu na škálovateľnosť, bezpečnosť, dostupnosť, flexibilitu a nákladovú efektívnosť v dlhodobom horizonte.
++
++Alternatíva budovania a prevádzky IS AkcieOkolo na plne vlastnej fyzickej infraštruktúre žiadateľa (Alternatíva Tech-3 z kap. 5.1.3) bola vyhodnotená ako ekonomicky menej výhodná (vyššie TCO) a menej flexibilná, pričom by kládla neprimerané nároky na žiadateľa v oblasti správy a zabezpečenia komplexnej IT infraštruktúry. Neexistujú žiadne závažné bezpečnostné ani legislatívne dôvody, ktoré by znemožňovali využitie služieb vládneho cloudu pre tento typ informačného systému a spracúvané údaje (po aplikovaní potrebných bezpečnostných opatrení a v súlade s klasifikáciou ISVS).
++
++Hybridný cloudový model (Alternatíva Tech-2 z kap. 5.1.3) sa môže zvážiť pre niektoré špecifické, okrajové komponenty v budúcnosti, ak by vládny cloud neposkytoval adekvátne služby pre nejakú špecifickú potrebu a zároveň by bola preukázaná ekonomická a bezpečnostná opodstatnenosť takéhoto hybridného prístupu. Pre hlavné jadro IS AkcieOkolo je však preferované plné nasadenie vo vládnom cloude.
++
++
++== **5.6.3 Požiadavky na výkonnostné parametre, kapacitné požiadavky – budúci stav (TO BE)** ==
++
++Nasledujúca tabuľka špecifikuje predpokladané výkonnostné parametre a kapacitné požiadavky pre informačný systém AkcieOkolo v jeho budúcom (TO BE) produkčnom stave. Tieto údaje sú kľúčové pre návrh a dimenzovanie (sizing) technologickej infraštruktúry, najmä v kontexte využívania služieb vládneho cloudu, a pre zabezpečenie požadovanej odozvy a dostupnosti systému pre všetkých používateľov. Odhady vychádzajú z očakávaného rozsahu využívania platformy na základe počtu samospráv, organizátorov, predajcov a predpokladaného záujmu verejnosti.
++
++|**Parameter**|**Jednotky**|**Predpokladaná hodnota**|**Poznámka**
++|**Používatelia systému:**| | |
++|Počet interných používateľov (pracovníci samospráv, admini AkcieOkolo, z.z.p.o.)|Počet|3 000 - 5 000|Odhad na základe počtu samospráv v SR a predpokladu 1-2 aktívnych používateľov na samosprávu plus administrátori systému.
++|Počet súčasne pracujúcich interných používateľov v špičkovom zaťažení|Počet|500 - 1 000|Odhad počas období intenzívneho plánovania alebo schvaľovania podujatí (napr. začiatok roka, pred hlavnými sezónami).
++|Počet registrovaných externých používateľov (Organizátori, Predajcovia)|Počet|10 000 - 20 000|Odhad počtu aktívnych organizátorov a predajcov na Slovensku využívajúcich digitálny profil.
++|Počet externých používateľov (občania/návštevníci - webový portál a mobilná aplikácia)|Počet (unikátnych/mesiac)|100 000 - 500 000+|Veľký rozptyl v závislosti od sezóny, marketingových aktivít a atraktivity zobrazovaných podujatí. Cieľom je vysoká návštevnosť.
++|Počet externých používateľov používajúcich systém v špičkovom zaťažení (občania/návštevníci)|Počet (súčasne)|5 000 - 15 000|Odhad počas konania významných celoslovenských podujatí alebo v čase masívneho vyhľadávania (napr. piatok popoludní, prázdniny).
++|**Transakcie a dáta:**| | |
++|Počet novo registrovaných/aktualizovaných podujatí za rok|Počet/rok|10 000 - 25 000|Odhad na základe súčasného počtu podujatí a očakávaného zvýšenia evidencie v centrálnom systéme.
++|Počet transakcií registrácie/žiadostí predajcov za rok|Počet/rok|20 000 - 50 000|Každý predajca sa môže účastniť viacerých podujatí.
++|Počet vyhľadávacích dopytov na portáli/aplikácii za deň (priemerná špička)|Počet/deň|50 000 - 200 000|
++|Počet transakcií (podaní, požiadaviek, API volaní) za obdobie (špičková hodina)|Počet/hodina|5 000 - 20 000|Zahŕňa všetky typy interakcií so systémom (CRUD operácie, API volania).
++|Priemerný objem údajov na jednu transakciu registrácie podujatia|kB/MB|500 kB - 2 MB|Zahŕňa textové dáta, súradnice, prípadne odkazy na malé obrázky/dokumenty.
++|Celkový objem kmeňových dát po 5 rokoch prevádzky (databáza podujatí, profilov)|GB/TB|500 GB - 2 TB|Odhad na základe počtu podujatí, používateľov a rozsahu ukladaných informácií (vrátane histórie, logov). Nezahrňuje externé úložisko pre veľké multimediálne súbory.
++|Celkový objem uložených dokumentov a multimédií po 5 rokoch (napr. S3 storage)|TB|2 TB - 10 TB|Najmä fotografie k podujatiam, naskenované dokumenty predajcov (ak relevantné).
++|**Výkonnostné požiadavky (Odozva):**| | |
++|Priemerná odozva načítania detailu podujatia na portáli/aplikácii|Sekundy|< 2 sekundy|Pre 95% požiadaviek pri bežnom zaťažení.
++|Maximálna odozva kritických administratívnych operácií (napr. schválenie)|Sekundy|< 5 sekúnd|Pre 95% požiadaviek.
++|**Iné špecifické požiadavky:**| | |
++|Dostupnosť služby (SLA pre produkčné prostredie)|% (ročná)|99.8%|Mimo plánovaných odstávok na údržbu.
++|RTO (Recovery Time Objective)|Hodiny|< 4 hodiny|Maximálny akceptovateľný čas na obnovu služby po kritickom zlyhaní.
++|RPO (Recovery Point Objective)|Hodiny|< 1 hodina|Maximálna akceptovateľná strata dát v prípade kritického zlyhania.
++|Podpora pre paralelné API volania (pre externé integrácie)|Počet/sekunda|100 - 500|Odhad pre partnerské systémy (napr. turistické portály) pristupujúce k dátam IS AkcieOkolo.
++|Ďalšie kapacitné a výkonové požiadavky ...|...|...|Napríklad špecifické požiadavky na databázové operácie, priepustnosť siete v rámci vládneho cloudu pre interné komponenty, požiadavky pre BPS a PASVAS moduly (ak by sa realizovali).
++
++//Tabuľka 29 Požiadavky na výkonnostné parametre, kapacitné požiadavky – budúci stav (TO BE)//
++
++**Vysvetlivky a doplňujúce informácie k tabuľke:**
++
++* ¹ **PREDPOKLADANÁ HODNOTA (TO BE):** Uvedené hodnoty sú **odhady pre cieľový stav po plnom nasadení a adopcii systému**. Mnohé z nich majú charakter rozsahu (min-max), pretože presné zaťaženie bude závisieť od mnohých faktorov (sezónnosť, marketing, reálna miera využívania). Tieto odhady musia byť pravidelne revidované počas životného cyklu projektu a prevádzky.
++* **Interní používatelia:** Ide najmä o pracovníkov samospráv, ktorí budú aktívne pracovať so systémom pri evidencii, schvaľovaní a koordinácii podujatí, a administrátorov systému.
++* **Externí používatelia (registrovaní):** Organizátori a predajcovia, ktorí budú využívať systém na registráciu a správu svojich aktivít.
++* **Externí používatelia (verejnosť):** Občania a turisti využívajúci verejný portál a mobilnú aplikáciu. Ich počet a aktivita budú generovať najväčšiu časť záťaže na frontendové služby.
++* **Transakcie:** Je dôležité rozlišovať medzi rôznymi typmi transakcií – od jednoduchých vyhľadávaní až po komplexné registrácie s nahrávaním súborov.
++* **Objem dát:** Zahŕňa štruktúrované dáta v databázach aj neštruktúrované dáta (dokumenty, obrázky), pre ktoré bude pravdepodobne využité objektové úložisko.
++* **RTO/RPO:** Sú to kľúčové parametre pre návrh stratégie zálohovania a obnovy po havárii (Disaster Recovery).
++* **Poznámka k využitiu údajov pre sizing:**
++Tieto predpokladané hodnoty budú slúžiť ako vstup pre detailný sizing hardvérových a softvérových zdrojov v rámci vládneho cloudu (výpočtový výkon CPU, veľkosť RAM, kapacita a typ úložiska, sieťová priepustnosť). Vzhľadom na využitie cloudových služieb bude možné kapacity flexibilne škálovať podľa aktuálnej potreby, avšak počiatočný sizing musí byť navrhnutý tak, aby pokryl očakávané špičkové zaťaženia.
++
++Využívanie služieb z katalógu služieb vládneho cloudu
++
++V súlade s Národnou koncepciou informatizácie verejnej správy (NKIVS) a strategickým zameraním na využívanie centralizovaných a zdieľaných zdrojov bude informačný systém AkcieOkolo primárne nasadený a prevádzkovaný s využitím infraštruktúrnych služieb z Katalógu služieb vládneho cloudu Slovenskej republiky. Tento prístup zabezpečuje efektívne využitie investícií, škálovateľnosť, bezpečnosť a súlad s architektonickými štandardmi verejnej správy. Všetky využívané infraštruktúrne služby budú riadne evidované v MetaIS vrátane vzťahu na ISVS AkcieOkolo a jeho moduly.
++
++Pri výbere konkrétnych cloudových služieb sa zohľadňuje technologická náročnosť IS AkcieOkolo, požiadavky na jeho výkon, dostupnosť, bezpečnosť a najmä klasifikácia ISVS AkcieOkolo a jeho jednotlivých modulov (Ux, Cx, Ix, Ax), ktorá bola vykonaná v časti 5.1.3 Stanovenie alternatív v technologickej vrstve architektúry. Zvolená infraštruktúrna služba z Katalógu musí byť zaradená do rovnakej alebo vyššej klasifikačnej úrovne ako ISVS/modul, ktorý ju bude využívať.
++
++Prehľad plánovaného využitia infraštruktúrnych služieb z Katalógu služieb vládneho cloudu pre IS AkcieOkolo:
++
++|(((
++
++**Kód infraštruktúrnej služby**
++
++(z MetaIS)
++)))|**Názov infraštruktúrnej služby**|(((
++**Kód ISVS**
++
++(z MetaIS)
++)))|**Názov Využívajúceho ISVS**|(((
++**Klasifikácia ISVS**
++
++Ux (Cx,Ix,Ax)
++)))
++| |Výpočtový výkon IaaS (Virtuálny server)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Frontend a časť Backend-u)|U2 (C2,I2,A2/A3) //(podľa finálnej klasifikácie celého IS)//
++| |Spravovaná databázová služba PaaS (napr. PostgreSQL as a Service)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Databázový modul)|U2 (C2,I2,A3) //(podľa klasifikácie dátového modulu a požiadavky na dostupnosť DB)//
++| |Objektové úložisko IaaS/PaaS (napr. S3 kompatibilné)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (pre dokumenty a multimédiá)|U2 (C2,I2,A2) //(podľa citlivosti a dostupnosti ukladaných súborov)//
++| |Kontajnerizačná platforma PaaS (napr. Kubernetes Service)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Backendové mikroslužby)|U2/U3 (C2,I2,A2/A3) //(podľa kritickosti mikroslužieb)//
++| |Služba vyrovnávania záťaže (Load Balancing as a Service) PaaS|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Frontend vrstva)|U2 (C1,I1,A3) //(pre zabezpečenie dostupnosti verejných rozhraní)//
++
++//Tabuľka 30 Využívanie služieb z katalógu služieb vládneho cloudu//
++
++
++¹ //Kód a presný názov infraštruktúrnej služby je potrebné doplniť z aktuálneho Katalógu služieb vládneho cloudu SR.//
++² //Uvedené hodnoty klasifikácie ISVS sú ilustračné a musia byť nahradené výsledkami reálnej klasifikácie podľa MU pre klasifikáciu ISVS.//
++
++**Parametre (kapacity) požadovaných výpočtových zdrojov (sizing) a využitie služieb vládneho cloudu pre jednotlivé prevádzkové prostredia:**
++
++Nižšie uvedené tabuľky špecifikujú odhadované kapacitné požiadavky pre výpočtové uzly a ďalšie cloudové služby pre jednotlivé prostredia IS AkcieOkolo. Tieto hodnoty sú odvodené z požiadaviek definovaných v kapitole 5.6.2.
++
++|(% rowspan="2" %)**Prostredie**|(% rowspan="2" %)(((
++
++
++**Kód infraštruktúrnej služby**
++
++(z MetaIS)
++)))|(% rowspan="2" %)(((
++**Názov infraštruktúrnej služby**
++
++(Služba z katalógu cloudových služieb pre zriadenie výpočtového uzla)
++)))|(% colspan="4" %)**Požadované kapacitné parametre služby **
++(doplňte stĺpec parametra, ak je dôležitý pre konkrétnu službu)|**POZNÁMKA K SIZINGU**
++|Dátový priestor (GB)|Tier diskového priestoru|Počet vCPU|RAM (GB)|
++|Vývojové| |Výpočtový výkon IaaS (Virtuálny server)|200|Štandardný (SSD)|4|16|Pre potreby vývojového tímu, integračné testy, CI/CD. Nižšie nároky na výkon a dostupnosť.
++| | |Spravovaná databázová služba PaaS|100|Štandardný (SSD)|2|8|Pre vývojovú databázu.
++|Testovacie| |Výpočtový výkon IaaS (Virtuálny server)|500|Štandardný/Výkonný (SSD)|8|32|Pre UAT, integračné testy, čiastočné výkonnostné testy. Malo by čo najviac pripomínať produkčné prostredie z hľadiska konfigurácie.
++| | |Spravovaná databázová služba PaaS|300|Štandardný/Výkonný (SSD)|4|16|Pre testovaciu databázu.
++|Produkčné| |Výpočtový výkon IaaS (Virtuálny server) / Kontajnerizačná platforma PaaS|1000+|Výkonný (SSD NVMe)|16 - 32+|64 - 128+|Pre ostrú prevádzku. Nutná vysoká dostupnosť, škálovateľnosť a výkon. Sizing na základe špičkového zaťaženia (kap. 5.6.2). Možnosť automatického škálovania.
++| | |Spravovaná databázová služba PaaS (s vysokou dostupnosťou a replikáciou)|1000 - 2000+|Výkonný (SSD NVMe)|8 - 16+|32 - 64+|Kritická komponenta, zálohovanie, replikácia.
++|**Predprodukčné (Staging)** (ďalšie prostredie)| |Výpočtový výkon IaaS (Virtuálny server)|500|Výkonný (SSD)|8|32|Pre finálne overenie nasadenia pred produkciou, takmer identické s produkčným.
++| | |Spravovaná databázová služba PaaS|300|Výkonný (SSD)|4|16|
++
++//Tabuľka 31 Predpokladané kapacity požadovaných výpočtových zdrojov (sizing)//
++
++//³ Uvedené hodnoty (GB, Tier, vCPU, RAM) sú len ilustračné a musia byť nahradené presnými hodnotami z detailného sizingu vykonaného na základe požiadaviek v kapitole 5.6.2 a špecifík zvolených cloudových služieb. Dôležité je uviesť konkrétny parameter požadovaný službou z Katalógu (napr. typ VM inštancie, výkonnostná trieda DB služby).//
++
++
++
++|**Prostredie**|**Ďalšie služby potrebné na prevádzku projektu z katalógu služieb vládneho cloudu **(stručný popis / názov)|(((
++**Kód služby**
++
++(z MetaIS)
++)))|**Parametre pre službu **(doplňte stĺpec parametra, ak je dôležitý pre konkrétnu službu)
++|**Všetky**|Objektové úložisko (S3 kompatibilné)| |**Kapacita:** 2-10 TB (celkovo, postupne narastajúca), **Tier:** Štandardný (pre dokumenty), **Požiadavky na priepustnosť, redundanciu**
++|**Všetky**|Služba vyrovnávania záťaže (Load Balancing)| |**Počet spravovaných inštancií**, **Očakávaný počet pripojení/s**, **Typ (aplikačný/sieťový)**
++|**Produkčné**|Služba zálohovania a obnovy (Backup and Recovery)| |**Frekvencia zálohovania (denne/hodinovo), Retenčná politika (dni/mesiace), Požadované RTO/RPO pre obnovu zo zálohy**
++|**Produkčné**|Monitorovacia služba (Monitoring as a Service)| |**Rozsah monitorovaných metrík (CPU, RAM, disk, sieť, odozva aplikácie), Typy alertov, Integračné možnosti**
++|**Všetky**|Služba DNS manažmentu| |**Počet spravovaných domén/záznamov**
++|//(Ďalšie)//|//(Napr. API Gateway služba, Bezpečnostné služby - WAF, IDS/IPS, správa certifikátov)//| |//(Relevantné parametre)//
++|(((
++ďalšie...
++
++(uviesť názov)
++)))| | |
++
++//Tabuľka 32 Predpokladané kapacity ďalších cloudových (infraštruktúrnych) služieb//
++
++//Tabuľka 32 Predpokladané kapacity ďalších cloudových (infraštruktúrnych) služieb//
++⁴ //Opäť, parametre sú **ilustračné** a musia byť spresnené na základe špecifikácií služieb z Katalógu VC a potrieb projektu.//
++
++Požiadavky na služby vládneho cloudu budú detailne komunikované a konzultované s prevádzkovateľom vládneho cloudu (napr. MV SR) pred vyhlásením verejného obstarávania na dodávateľa IS AkcieOkolo, aby sa zabezpečila ich dostupnosť, vhodnosť a správny sizing.
++
++Vzhľadom na stratégiu prioritného využívania vládneho cloudu sa v tejto fáze neuvažuje o využití vlastných výpočtových zdrojov žiadateľa evidovaných v MetaIS pre produkčnú prevádzku kľúčových komponentov IS AkcieOkolo. Ak by analýza v neskorších fázach ukázala nevyhnutnosť takéhoto prístupu pre niektorú špecifickú časť, bude to riadne zdôvodnené a zaevidované.
++
++
++= **5.7 Bezpečnostná architektúra** =
++
++Bezpečnostná architektúra projektu "Zaži mestá a obce, zaži Slovensko" a jeho informačného systému IS AkcieOkolo je navrhnutá tak, aby zabezpečila ochranu všetkých aktív projektu – dát, aplikácií, infraštruktúry a používateľov – pred širokým spektrom hrozieb a rizík. Cieľom je dosiahnuť požadovanú úroveň dôvernosti, integrity a dostupnosti (CIA triad) informácií a služieb poskytovaných systémom.
++
++== **5.7.2 Návrh riešenia bezpečnosti** ==
++
++**Popis súčasného (AS IS) stavu bezpečnostnej architektúry:**
++
++Vzhľadom na to, že v súčasnosti **neexistuje centrálny informačný systém** pre agendu manažmentu kultúrnych podujatí na celoštátnej úrovni, neexistuje ani jednotná alebo koordinovaná bezpečnostná architektúra pre túto oblasť.
++
++* **Dáta:** Sú fragmentované, často uložené na lokálnych nezabezpečených úložiskách, v bežných kancelárskych dokumentoch alebo v rôznych izolovaných lokálnych databázach s variabilnou úrovňou zabezpečenia. Neexistuje jednotná politika ochrany týchto dát.
++* **Aplikácie:** Ak existujú lokálne aplikačné riešenia, ich úroveň zabezpečenia (napr. autentifikácia, autorizácia, ochrana pred bežnými webovými zraniteľnosťami) je veľmi rôznorodá a často nedostatočná. Neexistuje centrálny manažment zraniteľností.
++* **Infraštruktúra:** Neexistuje jednotná infraštruktúra. Prípadné lokálne servery alebo hostingové služby majú rôznu úroveň fyzickej a sieťovej bezpečnosti.
++* **Používatelia a prístupy:** Manažment prístupov je decentralizovaný, neštandardizovaný a často založený na slabých autentifikačných metódach. Chýba centrálny audit prístupov.
++* **Celkový stav:** Súčasný stav predstavuje významné bezpečnostné riziká z hľadiska dôvernosti (únik osobných údajov organizátorov, predajcov), integrity (možnosť neoprávnenej modifikácie dát o podujatiach) a dostupnosti (výpadky lokálnych systémov, strata dát). Chýba systematický prístup k riadeniu informačnej bezpečnosti pre túto agendu.
++
++Rozdiel medzi súčasným stavom (absencia centrálneho zabezpečenia) a budúcim (komplexné zabezpečenie IS AkcieOkolo) je teda fundamentálny.
++
++**Popis navrhovaného budúceho (TO BE) stavu riešenia bezpečnostnej architektúry:**
++
++Navrhovaný budúci (TO BE) stav bezpečnostnej architektúry pre IS AkcieOkolo bude implementovaný na princípe "security by design" (bezpečnosť ako súčasť návrhu) a "defense in depth" (hĺbková obrana), pričom bude pokrývať všetky relevantné vrstvy a aspekty. Bezpečnostné opatrenia a požiadavky budú vychádzať z:
++
++1. **Ohodnotenia rizík a identifikovaných hrozieb:** Bola/Bude vykonaná analýza rizík pre IS AkcieOkolo, ktorá identifikovala potenciálne hrozby (napr. neoprávnený prístup, únik dát, DDoS útoky, malware, zlyhanie hardvéru, ľudské chyby), zraniteľnosti a odhadla ich potenciálny dopad. Na základe tejto analýzy sú navrhované primerané protiopatrenia.
++1. **Legislatívnych, právnych a zmluvných požiadaviek:** Bezpečnostná architektúra bude v plnom súlade s:
++1*. Zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti.
++1*. Vyhláškou NBÚ č. 362/2018 Z. z. (obsah bezpečnostných opatrení a dokumentácie).
++1*. Vyhláškou ÚPVII č. 179/2020 Z. z. (kategorizácia a bezpečnostné opatrenia ITVS).
++1*. Zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe.
++1*. Nariadením GDPR a zákonom č. 18/2018 Z. z. o ochrane osobných údajov.
++1*. Relevantnými štandardmi a normami (napr. rodina ISO/IEC 27000).
++1*. Zmluvnými požiadavkami voči dodávateľom a prevádzkovateľovi vládneho cloudu.
++1. **Sady princípov, cieľov a interných smerníc organizácie:** Zohľadnia sa bezpečnostné politiky a smernice ZMOS a AkcieOkolo, z.z.p.o., ako aj osvedčené postupy v oblasti informačnej bezpečnosti.
++
++**Postupy na dosiahnutie potrebnej úrovne bezpečnosti a zabezpečenie aktív projektu:**
++
++**A. Dôvernosť údajov:**
++
++* **Kontrola prístupu:**
++** Implementácia robustného systému riadenia identít a prístupov (IAM) s využitím spoločného modulu **IAM ÚPVS (as_59698)** pre autentifikáciu oprávnených pracovníkov VS.
++** Pre ostatných používateľov (občania, organizátori, predajcovia) bude implementovaná bezpečná registrácia a autentifikácia (napr. silné heslá, voliteľná dvojfaktorová autentifikácia).
++** Princíp najnižších potrebných oprávnení (least privilege) – používatelia budú mať prístup len k tým dátam a funkcionalitám, ktoré nevyhnutne potrebujú pre výkon svojich úloh.
++** Detailné prideľovanie rolí a oprávnení v rámci IS AkcieOkolo.
++* **Šifrovanie:**
++** Šifrovanie citlivých dát pri prenose (HTTPS/TLS pre všetku komunikáciu).
++** Šifrovanie citlivých dát v úložisku (encryption at rest), najmä pre databázy obsahujúce osobné údaje a pre zálohy. Využitie možností šifrovania poskytovaných službami vládneho cloudu.
++* **Prevencia úniku dát (DLP):**
++** Technické a organizačné opatrenia na minimalizáciu rizika úniku citlivých dát (napr. audit prístupov, monitoring).
++* **Anonymizácia/Pseudonymizácia:**
++** Pre analytické a otvorené dáta budú implementované procesy anonymizácie alebo pseudonymizácie osobných údajov.
++
++**B. Integrita údajov:**
++
++* **Validácia vstupov:** Dôsledná validácia všetkých vstupných dát na strane klienta aj servera na predchádzanie chybám a útokom (napr. SQL injection, XSS).
++* **Kontrola konzistencie dát:** Implementácia databázových integritných obmedzení (constraints), transakčné spracovanie.
++* **Ochrana pred neoprávnenou modifikáciou:** Riadenie prístupov, auditné záznamy o všetkých zmenách kritických dát.
++* **Zálohovanie a obnova:** Pravidelné a testované zálohovanie všetkých dát s definovaným RPO (Recovery Point Objective) pre minimalizáciu straty dát.
++* **Digitálne podpisy (ak relevantné):** Pre zabezpečenie integrity a autenticity dôležitých elektronických dokumentov generovaných systémom (napr. povolenia) sa zváži použitie kvalifikovaného elektronického podpisu/pečate.
++
++**C. Dostupnosť služieb a údajov:**
++
++* **Redundancia infraštruktúry:** Využitie redundantných komponentov v rámci vládneho cloudu (napr. redundantné servery, úložiská, sieťové pripojenia) na zabezpečenie vysokej dostupnosti (High Availability).
++* **Vyrovnávanie záťaže (Load Balancing):** Nasadenie load balancerov na rozloženie záťaže medzi viaceré servery a zabezpečenie plynulej prevádzky aj pri vysokom počte používateľov.
++* **Ochrana pred DDoS útokmi:** Implementácia opatrení na detekciu a mitigáciu DDoS útokov, využitie služieb poskytovaných vládnym cloudom alebo špecializovaných poskytovateľov.
++* **Plán obnovy po havárii (Disaster Recovery Plan - DRP):** Vypracovanie a pravidelné testovanie DRP pre obnovu systému a dát v prípade rozsiahleho výpadku alebo havárie. Definované RTO (Recovery Time Objective).
++* **Monitoring a proaktívna údržba:** Kontinuálny monitoring stavu systému a infraštruktúry na včasnú detekciu problémov a predchádzanie výpadkom.
++
++**Bezpečnosť na jednotlivých vrstvách architektúry:**
++
++* **Biznis vrstva:** Definovanie bezpečnostných politík, školenia používateľov o bezpečnom správaní, riadenie incidentov.
++* **Aplikačná vrstva:** Bezpečný vývoj softvéru (SDL - Secure Development Lifecycle), ochrana pred bežnými aplikačnými zraniteľnosťami (OWASP Top 10), bezpečné API, riadenie prístupov na úrovni aplikácie.
++* **Dátová vrstva:** Šifrovanie databáz, riadenie prístupu k databáze, audit prístupu k dátam, bezpečné zálohovanie.
++* **Technologická (Infraštruktúrna) vrstva:** Zabezpečenie siete (firewally, segmentácia, IDS/IPS), zabezpečenie serverov (hardening, patch management), fyzická bezpečnosť dátových centier (zabezpečená prevádzkovateľom vládneho cloudu).
++
++**Bezpečnostná dokumentácia:**
++Bude vypracovaný **Bezpečnostný projekt IS AkcieOkolo** v súlade s vyhláškou NBÚ č. 362/2018 Z. z. a vyhláškou ÚPVII č. 179/2020 Z. z., ktorý bude detailne popisovať všetky implementované bezpečnostné opatrenia, analýzu rizík, politiky a procedúry.
++
++Návrh bezpečnostnej architektúry IS AkcieOkolo bude dynamický a bude sa priebežne aktualizovať v reakcii na nové hrozby, zraniteľnosti a zmeny v legislatíve alebo technologickom prostredí.
++
++== **5.7.3 Určenie obsahu bezpečnostných opatrení** ==
++
++Určenie obsahu a rozsahu bezpečnostných opatrení pre informačný systém AkcieOkolo vychádza primárne z platnej legislatívy Slovenskej republiky, najmä z Vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu (ÚPVII, teraz MIRRI SR) č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy (ďalej len "Vyhláška ÚPVII č. 179/2020 Z. z.").
++
++**Kategorizácia IS AkcieOkolo:**
++Pred určením minimálnych bezpečnostných opatrení je nevyhnutné vykonať **kategorizáciu IS AkcieOkolo** podľa § 2 Vyhlášky ÚPVII č. 179/2020 Z. z. Táto kategorizácia sa vykonáva na základe posúdenia klasifikačných stupňov informačných aktív (dôvernosť, integrita, dostupnosť), ktoré bude IS AkcieOkolo spracúvať, a to v súlade s Metodickým usmernením MIRRI SR č. 023107/2023/oSBATA-1.
++Na základe predbežnej analýzy typov údajov (verejné informácie o podujatiach, osobné údaje organizátorov a predajcov sa predpokladá, že IS AkcieOkolo bude s najväčšou pravdepodobnosťou zaradený do **Kategórie II** alebo **Kategórie III**. Finálne zaradenie bude výsledkom detailnej klasifikácie informačných aktív. Pre účely tejto tabuľky budeme zatiaľ uvažovať s vyššou kategóriou, aby sme pokryli širší rozsah opatrení. Ak výsledná kategorizácia bude nižšia, rozsah opatrení sa adekvátne upraví.
++
++//Predpokladaná kategorizácia pre účely tejto tabuľky: **Kategória II / III**// (Toto sa musí nahradiť reálnym výsledkom kategorizácie!)
++
++**Požiadavka na vypracovanie Bezpečnostného projektu:**
++V súlade s § 8a vyhlášky MIRRI SR č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy a § 23 ods. 1 a 2 zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe, **bude pre IS AkcieOkolo vypracovaný samostatný Bezpečnostný projekt**. Tento Bezpečnostný projekt bude výstupom etapy R3-4 (Detailný návrh riešenia) a jeho náležitosti budú v súlade s prílohou č. 3 Vyhlášky ÚPVII č. 179/2020 Z. z.
++
++**Požiadavky na aplikáciu bezpečnostných opatrení podľa osobitných predpisov:**
++Okrem Vyhlášky ÚPVII č. 179/2020 Z. z. budú pri návrhu a implementácii IS AkcieOkolo aplikované bezpečnostné opatrenia vyplývajúce najmä z:
++
++* **Zákona č. 18/2018 Z. z. o ochrane osobných údajov** a Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) – najmä opatrenia na ochranu osobných údajov registrovaných používateľov (organizátori, predajcovia, občania).
++* **Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti** – ak by bol IS AkcieOkolo identifikovaný ako súčasť kritickej infraštruktúry alebo významný informačný systém z pohľadu kybernetickej bezpečnosti.
++* Relevantných technických noriem a osvedčených postupov (napr. rodina ISO/IEC 27000, odporúčania NBÚ a CSIRT.SK).
++
++**Prehľad hlavných zdrojov minimálnych bezpečnostných opatrení:**
++
++|**Obsah bezpečnostných opatrení podľa vyhlášky ÚPVII č. 179/2020 Z. z**|**Aplikované opatrenia**|**Aplikovaná legislatíva**
++|Minimálne bezpečnostné opatrenia Kategórie I|Vyberte položku.|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva
++|Minimálne bezpečnostné opatrenia Kategórie II|Vyberte položku.|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva
++|Minimálne bezpečnostné opatrenia Kategórie III|Vyberte položku.|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva
++|Bezpečnostný projekt|Vyberte položku.|§ 23 ods. 1 a 2 zákona 95/2019 Z.z.
++|Bezpečnostné opatrenia podľa osobitného predpisu|Vyberte položku.|Doplňte osobitný predpis alebo odkaz na predpisy, podľa ktorých budú aplikované ďalšie bezp. opatrenia
++
++//Tabuľka 33 Určenie zdrojov a obsahu minimálnych bezpečnostných opatrení//
++
++//¹ Poznámka: Vo finálnom dokumente by mal byť stĺpec "APLIKOVANÉ OPATRENIA" vyplnený jednoznačne ("Aplikujú sa" / "Neaplikujú sa" / "Čiastočne sa aplikujú s odôvodnením") na základe výslednej kategorizácie IS AkcieOkolo. Ak je systém napr. Kategórie II, aplikujú sa opatrenia pre Kat. I aj Kat. II.//
++
++
++**Zapísanie požiadaviek do Katalógu požiadaviek (I-04):**
++
++1. **Minimálne bezpečnostné opatrenia:** Do I-04 Katalógu požiadaviek budú zapísané konkrétne nefunkčné požiadavky (NRxx) odvodené z príslušnej kategórie minimálnych bezpečnostných opatrení podľa Vyhlášky ÚPVII č. 179/2020 Z. z. (Príloha č. 1 – Katalóg minimálnych bezpečnostných opatrení). Každé relevantné opatrenie bude transformované na špecifickú požiadavku pre IS AkcieOkolo.
++1*. //Príklad požiadavky~:// NR_BEZP_001: Systém musí zabezpečiť silnú autentifikáciu pre administrátorské účty v súlade s opatrením XY z Katalógu MBO.
++1. **Upresnenie vyplývajúce z analýzy rizík:** Do I-04 Katalógu požiadaviek budú doplnené špecifické bezpečnostné požiadavky, ktoré vyplynú z detailnej analýzy rizík (identifikované hrozby a zraniteľnosti) pre IS AkcieOkolo a dáta v ňom spracúvané. Tieto požiadavky môžu byť prísnejšie alebo špecifickejšie ako minimálne opatrenia.
++1*. //Príklad požiadavky~:// NR_BEZP_002: Systém musí implementovať mechanizmus na detekciu podozrivých pokusov o prihlásenie a automaticky blokovať účty po X neúspešných pokusoch.
++1. **Upresnenie podľa osobitných predpisov:** Do I-04 Katalógu požiadaviek budú zapísané bezpečnostné požiadavky vyplývajúce z GDPR (napr. požiadavky na pseudonymizáciu, právo na zabudnutie, záznamy o spracovateľských činnostiach, posúdenie vplyvu na ochranu údajov - DPIA) a prípadne zo zákona o kybernetickej bezpečnosti.
++1*. //Príklad požiadavky~:// NR_GDPR_001: Systém musí umožniť export osobných údajov používateľa v strojovo čitateľnom formáte na jeho žiadosť.
++1. **Požiadavka na vypracovanie Bezpečnostného projektu:** Do I-04 Katalógu požiadaviek bude explicitne zaradená požiadavka na dodanie a pravidelnú aktualizáciu komplexného Bezpečnostného projektu IS AkcieOkolo ako jedného z kľúčových výstupov. Bude definovaná jeho štruktúra a obsah v súlade s Prílohou č. 3 Vyhlášky ÚPVII č. 179/2020 Z. z. Bezpečnostný projekt bude pripravovaný a dodaný súčasne s Detailným návrhom riešenia (DNR, projektový výstup R1-1) a bude aktualizovaný počas celej realizačnej fázy.
++
++Samotný Bezpečnostný projekt IS AkcieOkolo bude podrobným dokumentom, ktorý bude detailne popisovať analýzu bezpečnostných rizík, klasifikáciu a kategorizáciu aktív, navrhnuté a implementované bezpečnostné opatrenia, zodpovednosti, plány kontinuity činností a obnovy po havárii, ako aj postupy pre riadenie bezpečnostných incidentov.
++
++== **5.7.4 Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,** ==
++
++Navrhovaná bezpečnostná architektúra informačného systému AkcieOkolo a s ním súvisiace procesy musia byť v plnom súlade s relevantnými legislatívnymi, právnymi, štatutárnymi, regulačnými a zmluvnými požiadavkami. Tieto požiadavky definujú minimálnu úroveň bezpečnosti, ktorú musí systém spĺňať, ako aj povinnosti pri manipulácii s dátami, zabezpečení výpočtovej techniky a ochrane používateľov.
++
++**Kľúčová legislatíva a regulačné požiadavky, ktoré musí IS AkcieOkolo a jeho prevádzka spĺňať:**
++
++1. **Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (Zákon o ITVS):**
++1*. Tento zákon ustanovuje základné pravidlá pre tvorbu, správu, prevádzku a rozvoj informačných technológií verejnej správy. IS AkcieOkolo musí spĺňať jeho požiadavky týkajúce sa napr. evidencie v MetaIS, dodržiavania štandardov, riadenia projektov, bezpečnosti a interoperability.
++1. **Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov:**
++1*. Ak by IS AkcieOkolo alebo jeho časť bola klasifikovaná ako súčasť informačného systému základnej služby alebo kritickej infraštruktúry (čo sa v tejto fáze nepredpokladá, ale treba priebežne monitorovať), vzťahovali by sa naň prísne požiadavky tohto zákona týkajúce sa bezpečnostných opatrení, hlásenia kybernetických bezpečnostných incidentov a spolupráce s Národným bezpečnostným úradom (NBÚ) a CSIRT.SK. Bez ohľadu na klasifikáciu budú princípy tohto zákona brané do úvahy pri návrhu bezpečnostných opatrení.
++1. **Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (v znení neskorších predpisov):**
++1*. Táto vyhláška definuje konkrétne bezpečnostné opatrenia, ktoré musia byť implementované v závislosti od klasifikácie informačného systému (najmä v kontexte ochrany utajovaných skutočností, ak by boli relevantné, čo pre IS AkcieOkolo nie je primárny predpoklad). Mnohé z jej princípov sú však aplikovateľné aj na všeobecnú informačnú bezpečnosť.
++1. **Zákon č. 45/2011 Z. z. o kritickej infraštruktúre:**
++1*. Momentálne sa nepredpokladá, že by IS AkcieOkolo priamo spadal pod definíciu kritickej infraštruktúry. Tento aspekt sa však bude monitorovať.
++1. **Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu (teraz MIRRI SR) č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy:**
++1*. IS AkcieOkolo musí byť v súlade s touto vyhláškou, ktorá definuje štandardy pre rôzne aspekty ITVS, vrátane používateľských rozhraní, interoperability, otvorených dát, bezpečnosti a formátov.
++1. **Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu (teraz MIRRI SR) č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy:**
++1*. Kľúčová vyhláška pre IS AkcieOkolo. Na jej základe bude systém kategorizovaný a budú implementované minimálne bezpečnostné opatrenia pre príslušnú kategóriu (I, II alebo III). Táto vyhláška je hlavným zdrojom pre definovanie bezpečnostných požiadaviek v Katalógu požiadaviek (I-04) a pre tvorbu Bezpečnostného projektu.
++1. **Ochrana osobných údajov:**
++1*. **Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov - GDPR):** Absolútne kľúčový predpis. IS AkcieOkolo bude spracúvať osobné údaje organizátorov, predajcov, registrovaných občanov a potenciálne aj ďalších osôb. Musia byť implementované všetky princípy GDPR (zákonnosť, spravodlivosť, transparentnosť, minimalizácia údajov, presnosť, obmedzenie uloženia, integrita a dôvernosť, zodpovednosť prevádzkovateľa).
++1*. **Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov:** Národný zákon implementujúci a doplňujúci GDPR.
++1*. **Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov (DPIA):** Pre spracovateľské operácie s vysokým rizikom pre práva a slobody fyzických osôb (čo môže byť relevantné pre niektoré aspekty IS AkcieOkolo, napr. rozsiahle profilovanie alebo spracovanie citlivých dát, ak by k tomu došlo) bude potrebné vykonať DPIA.
++1. **Ďalšie relevantné predpisy:**
++1*. Zákon č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci (Zákon o e-Governmente) – týka sa využívania spoločných modulov, elektronických schránok, referenčných údajov.
++1*. Autorský zákon (zákon č. 185/2015 Z. z.) – pri spracúvaní obsahu podujatí, fotografií atď.
++1*. Obchodný zákonník, Občiansky zákonník – pri uzatváraní zmlúv s dodávateľmi, používateľmi.
++
++**Metodiky CSIRT.SK a iné osvedčené postupy:**
++Okrem legislatívnych nariadení budú pri návrhu a implementácii bezpečnostných opatrení IS AkcieOkolo využité odporúčania a metodiky vydané Jednotkou pre riešenie kybernetických bezpečnostných incidentov CSIRT.SK ([[https:~~/~~/csirt.sk/metodiky-a-hardening.html>>url:https://www.google.com/url?sa=E&q=https%3A%2F%2Fcsirt.sk%2Fmetodiky-a-hardening.html]]), ako napríklad:
++
++* Metodika pre systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti.
++* Príručky pre hardening operačných systémov a aplikácií (napr. Ochrana pred útokmi DDoS, Linux Hardening, Windows Hardening Guides).
++* Odporúčania pre bezpečnosť webových aplikácií (napr. Check list pre bezpečnosť webových aplikácií).
++
++Budú taktiež aplikované medzinárodne uznávané štandardy a osvedčené postupy, ako sú odporúčania OWASP pre bezpečnosť webových aplikácií, NIST Cybersecurity Framework, alebo relevantné normy z rodiny ISO/IEC 27000.
++
++**Interné smernice a relevantné metodické materiály organizácie (AkcieOkolo, z.z.p.o. / ZMOS):**
++
++* Počas realizácie projektu budú vypracované alebo aktualizované **interné bezpečnostné smernice** pre prevádzku a správu IS AkcieOkolo. Tieto smernice budú zahŕňať minimálne:
++** Politiku informačnej bezpečnosti špecifickú pre IS AkcieOkolo.
++** Smernicu pre riadenie prístupov a správu používateľských účtov.
++** Smernicu pre zálohovanie a obnovu dát.
++** Plán kontinuity činností a obnovy po havárii (BCP/DRP) pre IS AkcieOkolo.
++** Postupy pre riadenie bezpečnostných incidentov.
++** Smernicu pre bezpečný vývoj a údržbu softvéru (ak bude vývoj prebiehať aj interne).
++* Využívať sa budú aj **metodické pokyny MIRRI SR** pre evidenciu v MetaIS, riadenie projektov ITVS, využívanie vládneho cloudu a pod.
++
++**Zmluvné požiadavky:**
++
++* Všetky zmluvy s dodávateľmi IS AkcieOkolo, poskytovateľmi cloudových služieb a inými partnermi budú obsahovať jasné ustanovenia týkajúce sa bezpečnostných povinností, ochrany dát, dodržiavania SLA a zodpovednosti za bezpečnostné incidenty.
++* Bude vypracovaná Zmluva o podpore prevádzky (SLA), ktorá bude špecifikovať parametre dostupnosti, riešenia incidentov a bezpečnostné záruky.
++
++Dôsledné dodržiavanie týchto legislatívnych, právnych, štatutárnych, regulačných a zmluvných požiadaviek je nevyhnutným predpokladom pre vybudovanie dôveryhodného a bezpečného informačného systému AkcieOkolo.
++
++== **5.7.5 Riešenie autentifikácie a prístupov používateľov** ==
++
++Efektívne a bezpečné riešenie autentifikácie a riadenia prístupov používateľov je kritickou súčasťou bezpečnostnej architektúry informačného systému AkcieOkolo. Cieľom je zabezpečiť, aby k systému a jeho dátam pristupovali len oprávnené osoby, a to len v rozsahu nevyhnutnom pre výkon ich úloh, pri súčasnom zabezpečení čo najvyššieho používateľského komfortu tam, kde je to možné.
++
++**A. Požiadavky na autentifikáciu používateľov:**
++
++1. **Interní používatelia (pracovníci samospráv, administrátori AkcieOkolo, z.z.p.o.):**
++1*. **Preferovaná metóda: Jednotné prihlásenie (Single Sign-On - SSO) s využitím IAM ÚPVS.**
++1**. Pre všetkých pracovníkov orgánov verejnej moci (samosprávy) a administrátorov systému IS AkcieOkolo (z AkcieOkolo, z.z.p.o.), ktorí vyžadujú prístup k neverejným, administratívnym častiam systému, bude primárne implementovaná autentifikácia prostredníctvom **Autentifikačného modulu IAM Ústredného portálu verejnej správy (as_59698)**.
++1**. **Zdôvodnenie:** Tento prístup zabezpečuje vysokú úroveň bezpečnosti, využíva existujúcu a štandardizovanú infraštruktúru eGovernmentu (eID, menné priestory), podporuje princíp jednotného prihlásenia pre používateľov naprieč rôznymi ISVS a znižuje potrebu spravovať samostatné heslá pre IS AkcieOkolo.
++1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_001: Systém musí umožniť autentifikáciu interných používateľov (pracovníci samospráv, administrátori) prostredníctvom IAM ÚPVS.
++1*. **Minimálna úroveň autentifikácie:** V súlade s požiadavkami na prístup k ISVS a citlivosťou dát, bude pre prístup k administratívnym funkciám vyžadovaná primeraná úroveň zabezpečenia autentifikácie (napr. dvojfaktorová autentifikácia, ak to IAM ÚPVS podporuje a kontext vyžaduje).
++1. **Externí používatelia (Organizátori podujatí, Predajcovia/Účastníci – ak nie sú pracovníkmi VS; Občania/Návštevníci):**
++1*. **Organizátori a Predajcovia/Účastníci (ak ide o PO alebo FO-podnikateľov, ktorí nie sú súčasťou VS):**
++1**. Bude implementovaný robustný **registračný a autentifikačný mechanizmus priamo v IS AkcieOkolo**.
++1**. Počiatočná registrácia bude vyžadovať overenie identity subjektu (napr. prostredníctvom IČO a následnej validácie voči RPO/ŽR, alebo iného vhodného mechanizmu pre overenie zástupcu PO/FO).
++1**. Autentifikácia bude založená na kombinácii používateľského mena (napr. e-mail) a silného hesla spĺňajúceho definované politiky komplexnosti a exspirácie.
++1**. Bude zvážená implementácia **dvojfaktorovej autentifikácie (2FA)** (napr. SMS kód, OTP aplikácia) ako voliteľnej alebo povinnej pre prístup k citlivejším operáciám alebo k profilovým údajom.
++1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_002: Systém musí umožniť bezpečnú registráciu a prihlásenie pre organizátorov a predajcov pomocou mena a hesla, s implementovanou politikou silných hesiel. NR_AUTH_001: Systém by mal podporovať 2FA pre organizátorov a predajcov.
++1*. **Občania/Návštevníci (pre prístup k personalizovaným funkciám portálu/aplikácie):**
++1**. Jednoduchá registrácia a autentifikácia pomocou e-mailu a hesla.
++1**. Možnosť využitia **prihlásenia prostredníctvom sociálnych sietí** (Social Login – napr. cez Google, Facebook, Apple ID), ak to bude vyhodnotené ako bezpečné a prínosné pre používateľský komfort, s jasným informovaním o rozsahu zdieľaných dát.
++1**. Anonymný prístup k verejným informáciám o podujatiach bude možný bez nutnosti autentifikácie.
++1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_003: Systém musí umožniť anonymný prístup k verejným častiam. FR_AUTH_004: Systém musí umožniť registráciu občanov pomocou e-mailu a hesla. NR_AUTH_002: Zvážiť implementáciu prihlásenia cez sociálne siete.
++
++**B. Požiadavky na používateľské role, správu prístupov a správu aplikácie:**
++
++IS AkcieOkolo bude implementovať **systém riadenia prístupu založený na rolách (Role-Based Access Control - RBAC)**. Každému používateľskému účtu bude priradená jedna alebo viac rolí, ktoré budú definovať jeho oprávnenia v systéme.
++
++1. **Definícia hlavných používateľských rolí:**
++1*. **Administrátor Systému (AkcieOkolo, z.z.p.o.):** Najvyššie oprávnenia, správa celého systému, konfigurácia, manažment používateľov najvyššej úrovne, správa číselníkov, monitoring, audit.
++1*. **Pracovník Samosprávy (Schvaľovateľ/Koordinátor):** Správa podujatí v rámci územnej pôsobnosti samosprávy, schvaľovanie registrácií podujatí, schvaľovanie účasti predajcov, komunikácia s organizátormi, prístup k relevantným reportom a štatistikám. Môžu existovať pod-role (napr. referent vs. vedúci s vyššími oprávneniami).
++1*. **Organizátor Podujatia:** Registrácia a správa vlastných podujatí, správa žiadostí od predajcov pre svoje podujatia (ak mu to samospráva deleguje), prístup k štatistikám o svojich podujatiach.
++1*. **Predajca/Účastník Podujatia:** Vytvorenie a správa svojho digitálneho profilu, podávanie žiadostí o účasť na podujatiach, prehľad o svojich schválených účastiach.
++1*. **Registrovaný Občan/Návštevník:** Prístup k personalizovaným funkciám portálu/aplikácie (napr. ukladanie obľúbených podujatí, nastavenie notifikácií, písanie recenzií – ak bude implementované).
++1*. **Anonymný Návštevník:** Prístup len k verejne dostupným informáciám o podujatiach.
++1*. //Katalóg požiadaviek (príklad)~:// FR_RBAC_001: Systém musí implementovať minimálne definované používateľské role (Administrátor, Pracovník Samosprávy, Organizátor, Predajca, Občan).
++1. **Správa prístupov:**
++1*. Princíp najnižších potrebných oprávnení (least privilege) bude aplikovaný pre všetky role.
++1*. Možnosť detailnej konfigurácie oprávnení pre jednotlivé funkcie a dátové objekty administrátorom systému.
++1*. Auditné záznamy o všetkých zmenách oprávnení a prístupoch k citlivým funkciám.
++1*. Proces pre schvaľovanie a odoberanie prístupov.
++1*. //Katalóg požiadaviek (príklad)~:// NR_RBAC_001: Prístupové práva musia byť granulárne a prideľované na základe princípu najnižších oprávnení.
++1. **Správa aplikácie (z pohľadu bezpečnosti):**
++1*. Možnosť centrálnej deaktivácie/aktivácie používateľských účtov.
++1*. Monitoring podozrivej aktivity a bezpečnostných incidentov.
++1*. Nástroje pre administrátorov na správu bezpečnostných nastavení systému (napr. politika hesiel, konfigurácia 2FA).
++1*. Pravidelné bezpečnostné aktualizácie a patch management všetkých komponentov systému.
++
++Všetky špecifické požiadavky na autentifikáciu, autorizáciu a riadenie prístupov, vrátane detailného matice rolí a oprávnení, budú zapísané a spravované v **I-04 Katalóg požiadaviek**.

1754826719784-979.png

Autor

...	...	@@ -1,0 +1,1 @@
	1	+XWiki.machacek@akcieokolo\.sk

Veľkosť

...	...	@@ -1,0 +1,1 @@
	1	+112.1 KB

Obsah

Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)

Súhrn

Podrobnosti

Vitajte

Linky

Navigácia