Naposledy upravil Jaroslav Zmajkovič 2025/09/22 08:59
Z verzie 5.337
upravil Dušan Macháček
-
Zmeniť komentár: (Autosaved)
Do verzie 5.335
upravil Dušan Macháček
-
Zmeniť komentár: (Autosaved)

Súhrn

Podrobnosti

Vlastnosti stránky
Obsah
... ... @@ -2735,85 +2735,3 @@
2735 2735  Požiadavky na služby vládneho cloudu budú detailne komunikované a konzultované s prevádzkovateľom vládneho cloudu (napr. MV SR) pred vyhlásením verejného obstarávania na dodávateľa IS AkcieOkolo, aby sa zabezpečila ich dostupnosť, vhodnosť a správny sizing.
2736 2736  
2737 2737  Vzhľadom na stratégiu prioritného využívania vládneho cloudu sa v tejto fáze neuvažuje o využití vlastných výpočtových zdrojov žiadateľa evidovaných v MetaIS pre produkčnú prevádzku kľúčových komponentov IS AkcieOkolo. Ak by analýza v neskorších fázach ukázala nevyhnutnosť takéhoto prístupu pre niektorú špecifickú časť, bude to riadne zdôvodnené a zaevidované.
2738 -
2739 -
2740 -= **5.7 Bezpečnostná architektúra** =
2741 -
2742 -Bezpečnostná architektúra projektu "Zaži mestá a obce, zaži Slovensko" a jeho informačného systému IS AkcieOkolo je navrhnutá tak, aby zabezpečila ochranu všetkých aktív projektu – dát, aplikácií, infraštruktúry a používateľov – pred širokým spektrom hrozieb a rizík. Cieľom je dosiahnuť požadovanú úroveň dôvernosti, integrity a dostupnosti (CIA triad) informácií a služieb poskytovaných systémom.
2743 -
2744 -== **5.7.2 Návrh riešenia bezpečnosti** ==
2745 -
2746 -**Popis súčasného (AS IS) stavu bezpečnostnej architektúry:**
2747 -
2748 -Vzhľadom na to, že v súčasnosti **neexistuje centrálny informačný systém** pre agendu manažmentu kultúrnych podujatí na celoštátnej úrovni, neexistuje ani jednotná alebo koordinovaná bezpečnostná architektúra pre túto oblasť.
2749 -
2750 -* **Dáta:** Sú fragmentované, často uložené na lokálnych nezabezpečených úložiskách, v bežných kancelárskych dokumentoch alebo v rôznych izolovaných lokálnych databázach s variabilnou úrovňou zabezpečenia. Neexistuje jednotná politika ochrany týchto dát.
2751 -* **Aplikácie:** Ak existujú lokálne aplikačné riešenia, ich úroveň zabezpečenia (napr. autentifikácia, autorizácia, ochrana pred bežnými webovými zraniteľnosťami) je veľmi rôznorodá a často nedostatočná. Neexistuje centrálny manažment zraniteľností.
2752 -* **Infraštruktúra:** Neexistuje jednotná infraštruktúra. Prípadné lokálne servery alebo hostingové služby majú rôznu úroveň fyzickej a sieťovej bezpečnosti.
2753 -* **Používatelia a prístupy:** Manažment prístupov je decentralizovaný, neštandardizovaný a často založený na slabých autentifikačných metódach. Chýba centrálny audit prístupov.
2754 -* **Celkový stav:** Súčasný stav predstavuje významné bezpečnostné riziká z hľadiska dôvernosti (únik osobných údajov organizátorov, predajcov), integrity (možnosť neoprávnenej modifikácie dát o podujatiach) a dostupnosti (výpadky lokálnych systémov, strata dát). Chýba systematický prístup k riadeniu informačnej bezpečnosti pre túto agendu.
2755 -
2756 -Rozdiel medzi súčasným stavom (absencia centrálneho zabezpečenia) a budúcim (komplexné zabezpečenie IS AkcieOkolo) je teda fundamentálny.
2757 -
2758 -**Popis navrhovaného budúceho (TO BE) stavu riešenia bezpečnostnej architektúry:**
2759 -
2760 -Navrhovaný budúci (TO BE) stav bezpečnostnej architektúry pre IS AkcieOkolo bude implementovaný na princípe "security by design" (bezpečnosť ako súčasť návrhu) a "defense in depth" (hĺbková obrana), pričom bude pokrývať všetky relevantné vrstvy a aspekty. Bezpečnostné opatrenia a požiadavky budú vychádzať z:
2761 -
2762 -1. **Ohodnotenia rizík a identifikovaných hrozieb:** Bola/Bude vykonaná analýza rizík pre IS AkcieOkolo, ktorá identifikovala potenciálne hrozby (napr. neoprávnený prístup, únik dát, DDoS útoky, malware, zlyhanie hardvéru, ľudské chyby), zraniteľnosti a odhadla ich potenciálny dopad. Na základe tejto analýzy sú navrhované primerané protiopatrenia.
2763 -1. **Legislatívnych, právnych a zmluvných požiadaviek:** Bezpečnostná architektúra bude v plnom súlade s:
2764 -1*. Zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti.
2765 -1*. Vyhláškou NBÚ č. 362/2018 Z. z. (obsah bezpečnostných opatrení a dokumentácie).
2766 -1*. Vyhláškou ÚPVII č. 179/2020 Z. z. (kategorizácia a bezpečnostné opatrenia ITVS).
2767 -1*. Zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe.
2768 -1*. Nariadením GDPR a zákonom č. 18/2018 Z. z. o ochrane osobných údajov.
2769 -1*. Relevantnými štandardmi a normami (napr. rodina ISO/IEC 27000).
2770 -1*. Zmluvnými požiadavkami voči dodávateľom a prevádzkovateľovi vládneho cloudu.
2771 -1. **Sady princípov, cieľov a interných smerníc organizácie:** Zohľadnia sa bezpečnostné politiky a smernice ZMOS a AkcieOkolo, z.z.p.o., ako aj osvedčené postupy v oblasti informačnej bezpečnosti.
2772 -
2773 -**Postupy na dosiahnutie potrebnej úrovne bezpečnosti a zabezpečenie aktív projektu:**
2774 -
2775 -**A. Dôvernosť údajov:**
2776 -
2777 -* **Kontrola prístupu:**
2778 -** Implementácia robustného systému riadenia identít a prístupov (IAM) s využitím spoločného modulu **IAM ÚPVS (as_59698)** pre autentifikáciu oprávnených pracovníkov VS.
2779 -** Pre ostatných používateľov (občania, organizátori, predajcovia) bude implementovaná bezpečná registrácia a autentifikácia (napr. silné heslá, voliteľná dvojfaktorová autentifikácia).
2780 -** Princíp najnižších potrebných oprávnení (least privilege) – používatelia budú mať prístup len k tým dátam a funkcionalitám, ktoré nevyhnutne potrebujú pre výkon svojich úloh.
2781 -** Detailné prideľovanie rolí a oprávnení v rámci IS AkcieOkolo.
2782 -* **Šifrovanie:**
2783 -** Šifrovanie citlivých dát pri prenose (HTTPS/TLS pre všetku komunikáciu).
2784 -** Šifrovanie citlivých dát v úložisku (encryption at rest), najmä pre databázy obsahujúce osobné údaje a pre zálohy. Využitie možností šifrovania poskytovaných službami vládneho cloudu.
2785 -* **Prevencia úniku dát (DLP):**
2786 -** Technické a organizačné opatrenia na minimalizáciu rizika úniku citlivých dát (napr. audit prístupov, monitoring).
2787 -* **Anonymizácia/Pseudonymizácia:**
2788 -** Pre analytické a otvorené dáta budú implementované procesy anonymizácie alebo pseudonymizácie osobných údajov.
2789 -
2790 -**B. Integrita údajov:**
2791 -
2792 -* **Validácia vstupov:** Dôsledná validácia všetkých vstupných dát na strane klienta aj servera na predchádzanie chybám a útokom (napr. SQL injection, XSS).
2793 -* **Kontrola konzistencie dát:** Implementácia databázových integritných obmedzení (constraints), transakčné spracovanie.
2794 -* **Ochrana pred neoprávnenou modifikáciou:** Riadenie prístupov, auditné záznamy o všetkých zmenách kritických dát.
2795 -* **Zálohovanie a obnova:** Pravidelné a testované zálohovanie všetkých dát s definovaným RPO (Recovery Point Objective) pre minimalizáciu straty dát.
2796 -* **Digitálne podpisy (ak relevantné):** Pre zabezpečenie integrity a autenticity dôležitých elektronických dokumentov generovaných systémom (napr. povolenia) sa zváži použitie kvalifikovaného elektronického podpisu/pečate.
2797 -
2798 -**C. Dostupnosť služieb a údajov:**
2799 -
2800 -* **Redundancia infraštruktúry:** Využitie redundantných komponentov v rámci vládneho cloudu (napr. redundantné servery, úložiská, sieťové pripojenia) na zabezpečenie vysokej dostupnosti (High Availability).
2801 -* **Vyrovnávanie záťaže (Load Balancing):** Nasadenie load balancerov na rozloženie záťaže medzi viaceré servery a zabezpečenie plynulej prevádzky aj pri vysokom počte používateľov.
2802 -* **Ochrana pred DDoS útokmi:** Implementácia opatrení na detekciu a mitigáciu DDoS útokov, využitie služieb poskytovaných vládnym cloudom alebo špecializovaných poskytovateľov.
2803 -* **Plán obnovy po havárii (Disaster Recovery Plan - DRP):** Vypracovanie a pravidelné testovanie DRP pre obnovu systému a dát v prípade rozsiahleho výpadku alebo havárie. Definované RTO (Recovery Time Objective).
2804 -* **Monitoring a proaktívna údržba:** Kontinuálny monitoring stavu systému a infraštruktúry na včasnú detekciu problémov a predchádzanie výpadkom.
2805 -
2806 -**Bezpečnosť na jednotlivých vrstvách architektúry:**
2807 -
2808 -* **Biznis vrstva:** Definovanie bezpečnostných politík, školenia používateľov o bezpečnom správaní, riadenie incidentov.
2809 -* **Aplikačná vrstva:** Bezpečný vývoj softvéru (SDL - Secure Development Lifecycle), ochrana pred bežnými aplikačnými zraniteľnosťami (OWASP Top 10), bezpečné API, riadenie prístupov na úrovni aplikácie.
2810 -* **Dátová vrstva:** Šifrovanie databáz, riadenie prístupu k databáze, audit prístupu k dátam, bezpečné zálohovanie.
2811 -* **Technologická (Infraštruktúrna) vrstva:** Zabezpečenie siete (firewally, segmentácia, IDS/IPS), zabezpečenie serverov (hardening, patch management), fyzická bezpečnosť dátových centier (zabezpečená prevádzkovateľom vládneho cloudu).
2812 -
2813 -**Bezpečnostná dokumentácia:**
2814 -Bude vypracovaný **Bezpečnostný projekt IS AkcieOkolo** v súlade s vyhláškou NBÚ č. 362/2018 Z. z. a vyhláškou ÚPVII č. 179/2020 Z. z., ktorý bude detailne popisovať všetky implementované bezpečnostné opatrenia, analýzu rizík, politiky a procedúry.
2815 -
2816 -Návrh bezpečnostnej architektúry IS AkcieOkolo bude dynamický a bude sa priebežne aktualizovať v reakcii na nové hrozby, zraniteľnosti a zmeny v legislatíve alebo technologickom prostredí.
2817 -
2818 -
2819 -