Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)

Naposledy upravil Jaroslav Zmajkovič 2025/09/22 08:59

From 5.295 to 5.294 From 5.339 to 5.338

Z verzie 5.338

upravil Dušan Macháček
-

Zmeniť komentár: (Autosaved)

Do verzie 5.295

upravil Dušan Macháček
-

Zmeniť komentár: (Autosaved)

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)
Prílohy (0 modified, 0 added, 1 removed)
- 1754826719784-979.png

Podrobnosti

Vlastnosti stránky

Obsah

@@ -2431,488 +2431,6 @@
  Poskytovaním kvalitných a riadne spracovaných analytických údajov prispeje IS AkcieOkolo k lepšiemu pochopeniu dynamiky kultúrneho sektora na Slovensku, k efektívnejšej tvorbe verejných politík a k celkovému strategickému rozvoju tejto oblasti.
--== **5.5.10 Moje údaje** ==
--V rámci projektu "Zaži mestá a obce, zaži Slovensko" a jeho informačného systému IS AkcieOkolo bude kladený dôraz na transparentnosť a umožnenie prístupu fyzických a právnických osôb k údajom, ktoré sa ich týkajú a ktoré sú v systéme evidované. Tieto funkcionality sú v súlade s konceptom služby "Moje údaje", ktorá má občanom a podnikateľom poskytnúť prehľad o tom, aké údaje o nich verejná správa vedie a kto k nim pristupoval.
--Za "Moje údaje" v kontexte IS AkcieOkolo sa považujú najmä:
--
--* **Množina údajov o konaní, ktoré sa týkajú konkrétneho organizátora alebo predajcu/účastníka podujatia:** Napríklad história podaných žiadostí o registráciu podujatia, žiadostí o účasť na podujatí, stav ich schvaľovania, záznamy o účasti.
--* **Množina údajov viažucich sa k organizátorovi alebo predajcovi/účastníkovi ako k subjektu evidencie:** Tieto údaje sú obsiahnuté v ich digitálnych profiloch v IS AkcieOkolo, vrátane identifikačných údajov, kontaktných informácií, nahraných dokumentov (napr. živnostenský list, certifikáty), histórie akreditácií.
--* **Množina údajov obsiahnutých v dokumentoch vydávaných alebo spracúvaných systémom, ktoré sa priamo viažu ku konkrétnej FO alebo PO:** Napríklad elektronické potvrdenia o registrácii, rozhodnutia o schválení/zamietnutí účasti, vyúčtovania (v prípade modulu BPS).
--
--Relevantné údaje spadajúce do kategórie "Moje údaje" budú sprístupnené dotknutým osobám (fyzickým osobám – občanom, fyzickým osobám – podnikateľom, a zástupcom právnických osôb) prostredníctvom modulu procesnej integrácie a integrácie údajov (IS CPDI (CSRÚ)) pre modul Manažmentu osobných údajov, na základe preukázania ich elektronickej identity (napr. prostredníctvom občianskeho preukazu s čipom – eID).
--
--Podmienkou je zabezpečiť, aby údaje identifikované pre službu "Moje údaje" boli prístupné elektronicky v strojovo-spracovateľnom formáte, automatizovaným spôsobom cez aplikačné programovacie rozhranie (API) IS AkcieOkolo, alebo prostredníctvom integračných služieb IS CPDI.
--
--Informácie k sprístupneniu dátových zdrojov organizácie pre službu "Moje údaje" sú definované MIRRI SR na stránke: [[https:~~/~~/mirri.gov.sk/sekcie/informatizacia/o-sekciach/centralna-datova-kancelaria/moje-udaje/>>url:https://www.google.com/url?sa=E&q=https%3A%2F%2Fmirri.gov.sk%2Fsekcie%2Finformatizacia%2Fo-sekciach%2Fcentralna-datova-kancelaria%2Fmoje-udaje%2F]]
--
--**Minimálny rozsah pre vyhlásenie dátových prvkov za "Moje údaje", ktoré projekt IS AkcieOkolo zabezpečí:**
--
--* **Označenie povinného subjektu:** AkcieOkolo, z.z.p.o. (ako prevádzkovateľ IS AkcieOkolo) a príslušné samosprávy (v kontexte údajov, ktoré spracúvajú alebo schvaľujú).
--* **Názov ISVS, v ktorom je dátový prvok obsiahnutý:** Informačný systém pre manažment kultúrnych podujatí AkcieOkolo.
--* **Kód informačného systému (MetaIS), v ktorom je dátový prvok obsiahnutý:**  ISVS_15263
--* **Označenie dátového prvku:** Pre každý relevantný atribút v nižšie uvedenej tabuľke.
--* **Strojovo-spracovateľný formát dátového prvku:** Napr. XML, JSON.
--* **Technická špecifikácia aplikačného programovacieho rozhrania (API):** Bude definované API pre prístup k týmto údajom v súlade so štandardmi pre službu "Moje údaje".
--* **Ďalšie doplňujúce informácie:** Napr. sémantický popis, väzby na legislatívu.
--* **Transparentný pohľad na prístup k údajom subjektu, k logom (kto pristupoval k údajom, za akým účelom a kedy):** IS AkcieOkolo bude implementovať auditné záznamy o prístupe k osobným údajom a údajom subjektov, ktoré budú sprístupnené dotknutej osobe.
--
--V nasledujúcej tabuľke sú identifikované kľúčové Objekty Evidencie a ich atribúty z IS AkcieOkolo, ktoré spadajú do kategórie "Moje údaje":
--
--//V prípade, že predkladateľ projektu disponuje údajmi, ktoré spadajú do kategórie Mojich údajov, je potrebné vyplniť nasledovnú tabuľku. V tabuľke uveďte OE z tabuľky uvedenej v kapitole 5.5.1 Objekty evidencie .//
--
--|**OE ID**|(((
--**Názov registra / objektu evidencie**
--
--(uvádzať OE z tabuľky v kap. 5.5.1)
--)))|**Atribút objektu evidencie**|**Popis a špecifiká objektu evidencie**|**SÚVIS S LEGISLATÍVOU / TYP ÚDAJA PRE "MOJE ÚDAJE"**
--|OE_001|Podujatie|Názov Podujatia, Dátum Začiatku, Dátum Konca, Miesto Konania, ID Organizátora (ak som ja organizátor), Status Podujatia (ak som ja organizátor).|Informácie o podujatiach, ktoré som ako organizátor zaregistroval, alebo o podujatiach, na ktorých som sa ako predajca zúčastnil (cez OE_006).|Údaje o konaní, ktorého je FO/PO účastníkom (ako organizátor alebo predajca).
--|OE_002|Organizátor podujatia|Názov Organizátora, IČO, Typ Organizátora, Kontaktné Údaje, ID Používateľského Účtu (ak sa údaje týkajú môjho profilu ako organizátora).|Údaje evidované v mojom profile organizátora v IS AkcieOkolo.|Údaje viažuce sa k FO/PO ako subjektu evidencie.
--|OE_003|Predajca / Účastník podujatia|Názov Predajcu, IČO, Typ Sortimentu, Kontaktné Údaje, Bankové Spojenie, Status Akreditácie, Digitálny Profil Dokumenty, ID Používateľského Účtu (ak sa údaje týkajú môjho profilu ako predajcu).|Údaje evidované v mojom digitálnom profile predajcu/účastníka v IS AkcieOkolo.|Údaje viažuce sa k FO/PO ako subjektu evidencie.
--|OE_004|Používateľský účet systému|Prihlasovacie Meno, E-mail, Rola V Systéme, Dátum Registrácie, Status Účtu (ak ide o môj používateľský účet).|Základné informácie o mojom prístupovom účte do IS AkcieOkolo.|Údaje viažuce sa k FO/PO ako subjektu evidencie (ako používateľ systému).
--|OE_006|Účasť predajcu na podujatí|Status Účasti, Pridelené Miesto, Poznámka (ak sa záznam týka mojej žiadosti/účasti ako predajcu na konkrétnom podujatí).|Informácie o mojich žiadostiach o účasť na podujatiach a ich stave.|Údaje o konaní týkajúce sa FO/PO (rozhodnutia, žiadosti).
--|N/A|Auditné záznamy o prístupe k mojim údajom|Kto pristupoval (ID subjektu VS), Kedy pristupoval (časová známka), Ktoré údaje boli zobrazené/zmenené, Dôvod prístupu (ak je evidovaný).|Prehľad o tom, ktoré orgány verejnej moci alebo oprávnené osoby pristupovali k mojim údajom evidovaným v IS AkcieOkolo a za akým účelom.|Údaje o konaní (prístupe k údajom) týkajúce sa FO/PO; transparentnosť podľa zákona o e-Governmente a GDPR.
--| | | | |
--
--//Tabuľka 27 Objekty evidencie, ktoré spadajú do kategórie Mojich údajov//
--
--**Vysvetlivky a doplňujúce informácie k tabuľke:**
--
--* ¹ **OE ID:** Identifikátor Objektu Evidencie z Tabuľky 18 (kapitola 5.5.1). Riadok "Auditné záznamy" je špecifický a nemusí mať priame OE ID, ak je implementovaný ako všeobecná funkcionalita logovania.
--* **NÁZOV REGISTRA / OBJEKTU EVIDENCIE:** Názov OE, ktorý obsahuje relevantné "Moje údaje".
--* **ATRIBÚT OBJEKTU EVIDENCIE:** Uvádzajú sa príklady kľúčových atribútov v rámci daného OE, ktoré budú pre dotknutú osobu relevantné a sprístupnené. Nie je to vyčerpávajúci zoznam, detailný rozsah bude definovaný pri implementácii API pre "Moje údaje".
--* **POPIS A ŠPECIFIKÁ OBJEKTU EVIDENCIE:** Vysvetľuje význam daných údajov z pohľadu dotknutej osoby (čo sa o sebe dozvie).
--* **SÚVIS S LEGISLATÍVOU / TYP ÚDAJA PRE "MOJE ÚDAJE":** Kategorizuje typ údajov podľa definície "Mojich údajov" (údaje o konaní, údaje o subjekte evidencie, údaje v dokumentoch).
--
--**Zabezpečenie prístupu k "Mojim údajom":**
--Prístup k "Mojim údajom" bude pre oprávnené osoby zabezpečený po ich úspešnej elektronickej autentifikácii (napr. prostredníctvom eID a IAM ÚPVS). IS AkcieOkolo prostredníctvom svojho integračného modulu a definovaných API služieb poskytne štruktúrované dáta modulu Manažmentu osobných údajov v rámci IS CPDI, ktorý zabezpečí ich jednotnú prezentáciu dotknutej osobe. Technická špecifikácia týchto API bude plne v súlade s požiadavkami a štandardmi MIRRI SR pre službu "Moje údaje".
--
--Implementácia tejto funkcionality výrazne posilní transparentnosť IS AkcieOkolo a dôveru používateľov v systém.
--
--== **5.5.11 Prehľad jednotlivých kategórií údajov** ==
--
--Nasledujúca súhrnná tabuľka poskytuje kategorizáciu Objektov Evidencie (OE) definovaných v kapitole 5.5.1 pre projekt "Zaži mestá a obce, zaži Slovensko" z pohľadu ich potenciálnej využiteľnosti ako Referenčných údajov, "Mojich údajov", Otvorených údajov a Analytických údajov. Táto kategorizácia pomáha pri plánovaní implementácie princípov transparentnosti, interoperability a dátového riadenia.
--
--//.//
--
--|**ID**|(((
--**Register / Objekt evidencie**
--
--(uvádzať OE z tabuľky v kap. 5.5.1)
--)))|**Referenčné údaje**|**Moje údaje**|**Otvorené údaje**|**Analytické údaje**
--|OE_001|**Podujatie**|☑ (Potenciálne pre kľúčové atribúty ako unikátny ID, základný typ, schválený termín a miesto)|☑ (Pre organizátora daného podujatia; pre predajcu v kontexte jeho účasti)|☑ (Základné verejné informácie o podujatí)|☑ (Agregované dáta o typoch, termínoch, lokalitách, návštevnosti)
--|OE_002|**Organizátor podujatia**|☑ (Pre identifikačné údaje konzumované z RPO/ŽR)|☑ (Pre konkrétneho organizátora k jeho vlastnému profilu)|☑ (Základné verejné údaje o organizátoroch, bez citlivých dát)|☑ (Agregované dáta o typoch organizátorov, ich aktivite)
--|OE_003|**Predajca / Účastník podujatia**|☑ (Pre identifikačné údaje konzumované z RPO/ŽR)|☑ (Pre konkrétneho predajcu k jeho vlastnému digitálnemu profilu a účastiach)|☐ (Štandardne nie, iba ak by predajca explicitne súhlasil so zverejnením svojho profilu pre verejnosť, alebo agregované dáta o typoch sortimentu)|☑ (Agregované dáta o typoch predajcov, sortimentu, geografickom pôvode)
--|OE_004|**Používateľský účet systému**|☐|☑ (Pre konkrétneho používateľa k jeho vlastnému účtu)|☐|☑ (Agregované dáta o počte používateľov, ich rolách, aktivite – pseudonymizované)
--|OE_005|**Samospráva**|☑ (Identifikačné údaje konzumované z centrálnych číselníkov/RÚIAN)|☐ (Samospráva ako celok nemá "Moje údaje" v zmysle FO/PO)|☑ (Základné verejné údaje o samospráve, počet podujatí)|☑ (Agregované dáta o aktivite samospráv v organizovaní/povoľovaní podujatí)
--|OE_006|**Účasť predajcu na podujatí**|☐|☑ (Pre konkrétneho predajcu k jeho žiadostiam a účasti; pre organizátora k predajcom na jeho podujatí)|☐|☑ (Agregované dáta o počte žiadostí, úspešnosti, typoch predajcov na podujatiach)
--|OE_007|**Miesto konania podujatia**|☑ (Adresné údaje konzumované z RÚIAN)|☐|☑ (Verejne známe miesta konania, ich lokalizácia)|☑ (Agregované dáta o využívanosti lokalít, typoch miest)
--|OE_008|**Typ podujatia** (Číselník)|☑ (Potenciálne, ak bude vyhlásený za referenčný)|☐|☑ (Ako verejný číselník)|☑ (Pre kategorizáciu a analýzu podujatí)
--|OE_009|**Kategória podujatia** (Číselník)|☑ (Potenciálne, ak bude vyhlásený za referenčný)|☐|☑ (Ako verejný číselník)|☑ (Pre kategorizáciu a analýzu podujatí)
--| | |☐|☐|☐|☐
--
--//Tabuľka 28 Prehľad jednotlivých kategórií údajov//
--
--**Vysvetlivky a doplňujúce informácie k tabuľke:**
--
--* ¹ **ID OE:** Identifikátor Objektu Evidencie z Tabuľky 18 (kapitola 5.5.1).
--* ² **REFERENČNÉ ÚDAJE:** Označuje (☑), či daný OE alebo jeho kľúčové atribúty sú alebo majú potenciál byť referenčnými údajmi v zmysle zákona o e-Governmente (t.j. platí pre ne domnienka správnosti a sú určené na zdieľanie naprieč VS). Toto sa týka najmä identifikačných údajov o subjektoch (PO, FO-podnikateľ) a adresách preberaných z existujúcich referenčných registrov, ale aj potenciálne nových dát z IS AkcieOkolo (napr. identifikátor podujatia, číselníky).
--* ³ **"MOJE ÚDAJE":** Označuje (☑), či OE obsahuje údaje, ktoré by mali byť sprístupnené dotknutej fyzickej alebo právnickej osobe prostredníctvom služby "Moje údaje". Týka sa to najmä údajov o konaniach, profilových údajov a dokumentov viažucich sa ku konkrétnemu subjektu.
--* ⁴ **OTVORENÉ ÚDAJE:** Označuje (☑), či OE alebo jeho časť je vhodná na sprístupnenie ako otvorené údaje pre verejnosť, vývojárov a výskumníkov (po nevyhnutnej anonymizácii/agregácii a v súlade s legislatívou).
--* ⁵ **ANALYTICKÉ ÚDAJE:** Označuje (☑), či OE alebo jeho časť má potenciál pre analytické spracovanie (napr. pre KAV alebo interné analýzy), opäť po potrebnej pseudonymizácii, anonymizácii alebo agregácii.
--
--**Zhrnutie k využiteľnosti údajov z IS AkcieOkolo:**
--
--* IS AkcieOkolo bude **aktívnym konzumentom existujúcich referenčných údajov** (najmä o subjektoch a adresách), čím sa zabezpečí ich kvalita a zníži administratívna záťaž.
--* Systém má potenciál stať sa **zdrojom nových referenčných údajov** (napr. o samotných kultúrnych podujatiach alebo špecifických číselníkoch), čo si však vyžiada ďalší legislatívny a metodický proces.
--* Pre všetky subjekty interagujúce so systémom (organizátori, predajcovia, občania s účtom) budú relevantné údaje sprístupnené v rámci služby **"Moje údaje"**.
--* Významná časť verejne dostupných a necitlivých údajov (najmä o podujatiach, miestach konania, číselníkoch a agregovaných štatistikách) bude publikovaná ako **otvorené údaje** pre ďalšie využitie.
--* Dáta zozbierané systémom budú po nevyhnutnej úprave (pseudonymizácia/anonymizácia/agregácia) cenným zdrojom pre **analytické účely**, či už pre interné potreby samospráv, alebo pre centrálne analytické jednotky štátu.
--
--
--= **5.6 Technologická architektúra** =
--
--
--== **5.6.2 Návrh riešenia technologickej architektúry** ==
--
--Návrh technologickej architektúry pre informačný systém AkcieOkolo je kľúčovým prvkom pre zabezpečenie jeho spoľahlivosti, výkonnosti, bezpečnosti, škálovateľnosti a nákladovej efektívnosti. Cieľom je navrhnúť modernú, flexibilnú a udržateľnú technologickú platformu, ktorá bude optimálne podporovať aplikačné komponenty a biznis procesy projektu "Zaži mestá a obce, zaži Slovensko".
--
--**Popis súčasného (AS IS) stavu technologickej vrstvy:**
--
--Súčasný stav technologickej infraštruktúry v oblasti manažmentu kultúrnych podujatí na celoštátnej úrovni je, podobne ako aplikačná a dátová vrstva, **extrémne fragmentovaný a neštandardizovaný**, alebo v kontexte centrálneho riešenia prakticky **neexistujúci**.
--
--* **Používané výpočtové prostriedky:**
--** Neexistuje centrálne zdieľaná výpočtová infraštruktúra pre túto agendu.
--** Jednotlivé samosprávy alebo väčší organizátori môžu prevádzkovať svoje lokálne, izolované riešenia (ak existujú) na vlastnom hardvéri (lokálne servery, osobné počítače) alebo na zdieľaných hostingových službách rôznej úrovne kvality a bezpečnosti.
--** Veľká časť procesov je podporovaná len bežnými kancelárskymi aplikáciami (napr. MS Excel, MS Word) na osobných počítačoch.
--* **Komunikačné prepojenia:**
--** Neexistuje centrálna komunikačná sieť ani štandardizované rozhrania pre výmenu dát o kultúrnych podujatiach na celoštátnej úrovni.
--** Komunikácia prebieha prevažne e-mailom, telefonicky, poštou, alebo cez neštruktúrované webové formuláre jednotlivých subjektov.
--** Pripojenie k internetu je štandardné, ale jeho kvalita a rýchlosť sa môže líšiť naprieč samosprávami a organizáciami. Využívanie Govnetu nie je v tejto agende systematické.
--* **Problematické body v AS IS stave:**
--** **Absencia centrálnej a škálovateľnej infraštruktúry:** Nemožnosť nasadiť a prevádzkovať moderný, centrálny informačný systém.
--** **Nízka úroveň bezpečnosti:** Lokálne riešenia často nespĺňajú potrebné bezpečnostné štandardy pre ochranu dát a zabezpečenie dostupnosti.
--** **Vysoké náklady na správu a údržbu decentralizovaných riešení:** Každý subjekt si rieši infraštruktúru individuálne (ak vôbec), čo je neefektívne.
--** **Obmedzená alebo žiadna interoperabilita:** Neexistujú technické predpoklady pre jednoduché zdieľanie dát a integráciu systémov.
--** **Nízka dostupnosť a spoľahlivosť:** Mnohé procesy sú závislé od manuálnej práce a dostupnosti konkrétnych osôb, lokálne systémy môžu trpieť výpadkami bez adekvátnej podpory.
--** **Neudržateľnosť z dlhodobého hľadiska:** Súčasný stav neumožňuje efektívny rozvoj a modernizáciu služieb.
--
--Zvolený rozsah popisu súčasného stavu jasne ukazuje, že pre dosiahnutie cieľov projektu je nevyhnutné vybudovať **novú, modernú a centralizovanú technologickú infraštruktúru**, alebo využiť existujúce centrálne zdieľané služby.
--
--**Návrh budúceho (TO BE) stavu riešenia technologickej vrstvy architektúry:**
--
--Navrhovaný budúci (TO BE) stav technologickej architektúry pre IS AkcieOkolo bude plne podporovať jeho aplikačné komponenty, zabezpečí požadovanú úroveň výkonu, dostupnosti, bezpečnosti a škálovateľnosti a bude v súlade s modernými architektonickými princípmi a stratégiami informatizácie verejnej správy SR.
--
--* **Prístup k riešeniu technologickej architektúry a súvisiace architektonické rozhodnutia:**
--*1. **"Cloud-First" a prioritné využitie Vládneho Cloudu SR:**
--*1*. **Rozhodnutie:** IS AkcieOkolo bude primárne nasadený a prevádzkovaný s využitím služieb **vládneho cloudu Slovenskej republiky** (IaaS, PaaS podľa aktuálneho Katalógu služieb vládneho cloudu). Toto rozhodnutie je v súlade s NKIVS a strategickými cieľmi informatizácie VS.
--*1*. **Zdôvodnenie:** Vládny cloud poskytuje štandardizované, bezpečné a škálovateľné prostredie, znižuje potrebu investícií do vlastného hardvéru a jeho správy, zabezpečuje určitú úroveň dostupnosti a redundancie a uľahčuje integráciu s inými ISVS prevádzkovanými vo vládnom cloude. Ekonomická výhodnosť tohto prístupu (nižšie TCO) oproti vlastnej infraštruktúre bola analyzovaná a potvrdená v kapitole 5.1.3 a detailne v M-05 BC/CBA.
--*1. **Návrh "Cloud-Native" aplikácie:**
--*1*. **Rozhodnutie:** Aplikačné komponenty IS AkcieOkolo budú vyvíjané s ohľadom na princípy **cloud-native architektúry**. To znamená, že systém bude navrhnutý tak, aby maximálne využíval výhody cloudového prostredia, ako sú elasticita, škálovateľnosť, odolnosť voči výpadkom a využívanie spravovaných služieb (managed services).
--*1*. **Zdôvodnenie:** Tento prístup zabezpečuje, že IS AkcieOkolo bude flexibilný, ľahko nasaditeľný a spravovateľný v cloudovom prostredí, minimalizuje závislosť na konkrétnej infraštruktúre dátového centra a uľahčuje automatizáciu procesov nasadenia a prevádzky (CI/CD, DevOps).
--*1. **Modulárna architektúra založená na mikroslužbách (preferovaný prístup):**
--*1*. **Rozhodnutie:** Pre kľúčové backendové funkcionality IS AkcieOkolo sa bude preferovať návrh založený na **architektúre mikroslužieb**. Jednotlivé logické domény (napr. správa podujatí, správa profilov, koordinácia, notifikácie) budú implementované ako samostatné, nezávisle nasaditeľné a škálovateľné služby komunikujúce cez dobre definované API.
--*1*. **Zdôvodnenie:** Mikroslužby umožňujú lepšiu škálovateľnosť jednotlivých častí systému, nezávislý vývoj a nasadzovanie, technologickú diverzitu (ak je to vhodné) a vyššiu odolnosť celého systému voči výpadkom jednotlivých komponentov.
--*1. **Výber moderných a osvedčených technológií:**
--*1*. **Rozhodnutie:** Pre vývoj a prevádzku IS AkcieOkolo budú použité moderné, ale zároveň osvedčené a štandardizované technológie, programovacie jazyky a frameworky, ktoré majú dobrú podporu komunity, sú bezpečné a umožňujú efektívny vývoj. Predpokladá sa využitie kontajnerizácie (napr. Docker) a orchestrácie kontajnerov (napr. Kubernetes), ak budú dostupné ako PaaS služby vo vládnom cloude.
--*1*. **Zdôvodnenie:** Zabezpečenie dlhodobej udržateľnosti, dostupnosti expertov a zníženie rizika vendor-locku na špecifické proprietárne technológie.
--*1. **Bezpečnosť "by design":**
--*1*. **Rozhodnutie:** Bezpečnostné aspekty budú integrované do návrhu technologickej architektúry od samého začiatku ("security by design"). To zahŕňa zabezpečenie siete, serverov, aplikácií, dát, riadenie prístupov, monitoring a reakciu na bezpečnostné incidenty v súlade s vyhláškou o kybernetickej bezpečnosti a GDPR.
--*1*. **Zdôvodnenie:** Zabezpečenie dôveryhodnosti a ochrany spravovaných dát.
--* **Požiadavky na prevádzkové prostredia (vývoj, test, produkčné):**
--** Pre IS AkcieOkolo budú zabezpečené minimálne tri logicky oddelené prostredia, všetky preferovane v rámci vládneho cloudu:
--*** **Vývojové prostredie:** Určené pre vývojárov na implementáciu a základné testovanie funkcionalít.
--*** **Testovacie prostredie (UAT/Staging):** Určené na komplexné testovanie (funkčné, integračné, výkonnostné, bezpečnostné) a používateľské akceptačné testy. Malo by čo najvernejšie kopírovať produkčné prostredie.
--*** **Produkčné prostredie:** Určené pre ostrú prevádzku IS AkcieOkolo pre všetkých používateľov. Musí spĺňať najvyššie požiadavky na dostupnosť, výkon a bezpečnosť.
--** Požiadavky na HW, SW a licencie (sizing) pre tieto prostredia sú detailne špecifikované v dokumente M-05 BC/CBA (karty sizingu) a budú sa odvíjať od očakávaného zaťaženia, počtu používateľov a objemu dát. Predpokladá sa využitie škálovateľných cloudových služieb, kde je možné kapacity flexibilne prispôsobovať.
--* **Znázornenie (diagramy) modelu navrhovanej technologickej infraštruktúry a jej prepojenie na aplikačnú vrstvu:**
--
--[[image:1754826719784-979.png]]
--
--    "TO-BE Technologická Architektúra a Nasadenie IS AkcieOkolo vo Vládnom Cloude"
--
--**Záver k výberu riešenia a zdôvodnenie nevyužitia iných alternatív:**
--Preferovaný prístup k technologickej architektúre, založený na princípoch cloud-native a prioritnom využití vládneho cloudu SR, bol zvolený na základe analýzy nákladov a prínosov (M-05 BC/CBA) a multikriteriálnej analýzy (kapitola 5.1.3). Tento prístup najlepšie spĺňa požiadavky projektu na škálovateľnosť, bezpečnosť, dostupnosť, flexibilitu a nákladovú efektívnosť v dlhodobom horizonte.
--
--Alternatíva budovania a prevádzky IS AkcieOkolo na plne vlastnej fyzickej infraštruktúre žiadateľa (Alternatíva Tech-3 z kap. 5.1.3) bola vyhodnotená ako ekonomicky menej výhodná (vyššie TCO) a menej flexibilná, pričom by kládla neprimerané nároky na žiadateľa v oblasti správy a zabezpečenia komplexnej IT infraštruktúry. Neexistujú žiadne závažné bezpečnostné ani legislatívne dôvody, ktoré by znemožňovali využitie služieb vládneho cloudu pre tento typ informačného systému a spracúvané údaje (po aplikovaní potrebných bezpečnostných opatrení a v súlade s klasifikáciou ISVS).
--
--Hybridný cloudový model (Alternatíva Tech-2 z kap. 5.1.3) sa môže zvážiť pre niektoré špecifické, okrajové komponenty v budúcnosti, ak by vládny cloud neposkytoval adekvátne služby pre nejakú špecifickú potrebu a zároveň by bola preukázaná ekonomická a bezpečnostná opodstatnenosť takéhoto hybridného prístupu. Pre hlavné jadro IS AkcieOkolo je však preferované plné nasadenie vo vládnom cloude.
--
--
--== **5.6.3 Požiadavky na výkonnostné parametre, kapacitné požiadavky – budúci stav (TO BE)** ==
--
--Nasledujúca tabuľka špecifikuje predpokladané výkonnostné parametre a kapacitné požiadavky pre informačný systém AkcieOkolo v jeho budúcom (TO BE) produkčnom stave. Tieto údaje sú kľúčové pre návrh a dimenzovanie (sizing) technologickej infraštruktúry, najmä v kontexte využívania služieb vládneho cloudu, a pre zabezpečenie požadovanej odozvy a dostupnosti systému pre všetkých používateľov. Odhady vychádzajú z očakávaného rozsahu využívania platformy na základe počtu samospráv, organizátorov, predajcov a predpokladaného záujmu verejnosti.
--
--|**Parameter**|**Jednotky**|**Predpokladaná hodnota**|**Poznámka**
--|**Používatelia systému:**| | |
--|Počet interných používateľov (pracovníci samospráv, admini AkcieOkolo, z.z.p.o.)|Počet|3 000 - 5 000|Odhad na základe počtu samospráv v SR a predpokladu 1-2 aktívnych používateľov na samosprávu plus administrátori systému.
--|Počet súčasne pracujúcich interných používateľov v špičkovom zaťažení|Počet|500 - 1 000|Odhad počas období intenzívneho plánovania alebo schvaľovania podujatí (napr. začiatok roka, pred hlavnými sezónami).
--|Počet registrovaných externých používateľov (Organizátori, Predajcovia)|Počet|10 000 - 20 000|Odhad počtu aktívnych organizátorov a predajcov na Slovensku využívajúcich digitálny profil.
--|Počet externých používateľov (občania/návštevníci - webový portál a mobilná aplikácia)|Počet (unikátnych/mesiac)|100 000 - 500 000+|Veľký rozptyl v závislosti od sezóny, marketingových aktivít a atraktivity zobrazovaných podujatí. Cieľom je vysoká návštevnosť.
--|Počet externých používateľov používajúcich systém v špičkovom zaťažení (občania/návštevníci)|Počet (súčasne)|5 000 - 15 000|Odhad počas konania významných celoslovenských podujatí alebo v čase masívneho vyhľadávania (napr. piatok popoludní, prázdniny).
--|**Transakcie a dáta:**| | |
--|Počet novo registrovaných/aktualizovaných podujatí za rok|Počet/rok|10 000 - 25 000|Odhad na základe súčasného počtu podujatí a očakávaného zvýšenia evidencie v centrálnom systéme.
--|Počet transakcií registrácie/žiadostí predajcov za rok|Počet/rok|20 000 - 50 000|Každý predajca sa môže účastniť viacerých podujatí.
--|Počet vyhľadávacích dopytov na portáli/aplikácii za deň (priemerná špička)|Počet/deň|50 000 - 200 000|
--|Počet transakcií (podaní, požiadaviek, API volaní) za obdobie (špičková hodina)|Počet/hodina|5 000 - 20 000|Zahŕňa všetky typy interakcií so systémom (CRUD operácie, API volania).
--|Priemerný objem údajov na jednu transakciu registrácie podujatia|kB/MB|500 kB - 2 MB|Zahŕňa textové dáta, súradnice, prípadne odkazy na malé obrázky/dokumenty.
--|Celkový objem kmeňových dát po 5 rokoch prevádzky (databáza podujatí, profilov)|GB/TB|500 GB - 2 TB|Odhad na základe počtu podujatí, používateľov a rozsahu ukladaných informácií (vrátane histórie, logov). Nezahrňuje externé úložisko pre veľké multimediálne súbory.
--|Celkový objem uložených dokumentov a multimédií po 5 rokoch (napr. S3 storage)|TB|2 TB - 10 TB|Najmä fotografie k podujatiam, naskenované dokumenty predajcov (ak relevantné).
--|**Výkonnostné požiadavky (Odozva):**| | |
--|Priemerná odozva načítania detailu podujatia na portáli/aplikácii|Sekundy|< 2 sekundy|Pre 95% požiadaviek pri bežnom zaťažení.
--|Maximálna odozva kritických administratívnych operácií (napr. schválenie)|Sekundy|< 5 sekúnd|Pre 95% požiadaviek.
--|**Iné špecifické požiadavky:**| | |
--|Dostupnosť služby (SLA pre produkčné prostredie)|% (ročná)|99.8%|Mimo plánovaných odstávok na údržbu.
--|RTO (Recovery Time Objective)|Hodiny|< 4 hodiny|Maximálny akceptovateľný čas na obnovu služby po kritickom zlyhaní.
--|RPO (Recovery Point Objective)|Hodiny|< 1 hodina|Maximálna akceptovateľná strata dát v prípade kritického zlyhania.
--|Podpora pre paralelné API volania (pre externé integrácie)|Počet/sekunda|100 - 500|Odhad pre partnerské systémy (napr. turistické portály) pristupujúce k dátam IS AkcieOkolo.
--|Ďalšie kapacitné a výkonové požiadavky ...|...|...|Napríklad špecifické požiadavky na databázové operácie, priepustnosť siete v rámci vládneho cloudu pre interné komponenty, požiadavky pre BPS a PASVAS moduly (ak by sa realizovali).
--
--//Tabuľka 29 Požiadavky na výkonnostné parametre, kapacitné požiadavky – budúci stav (TO BE)//
--
--**Vysvetlivky a doplňujúce informácie k tabuľke:**
--
--* ¹ **PREDPOKLADANÁ HODNOTA (TO BE):** Uvedené hodnoty sú **odhady pre cieľový stav po plnom nasadení a adopcii systému**. Mnohé z nich majú charakter rozsahu (min-max), pretože presné zaťaženie bude závisieť od mnohých faktorov (sezónnosť, marketing, reálna miera využívania). Tieto odhady musia byť pravidelne revidované počas životného cyklu projektu a prevádzky.
--* **Interní používatelia:** Ide najmä o pracovníkov samospráv, ktorí budú aktívne pracovať so systémom pri evidencii, schvaľovaní a koordinácii podujatí, a administrátorov systému.
--* **Externí používatelia (registrovaní):** Organizátori a predajcovia, ktorí budú využívať systém na registráciu a správu svojich aktivít.
--* **Externí používatelia (verejnosť):** Občania a turisti využívajúci verejný portál a mobilnú aplikáciu. Ich počet a aktivita budú generovať najväčšiu časť záťaže na frontendové služby.
--* **Transakcie:** Je dôležité rozlišovať medzi rôznymi typmi transakcií – od jednoduchých vyhľadávaní až po komplexné registrácie s nahrávaním súborov.
--* **Objem dát:** Zahŕňa štruktúrované dáta v databázach aj neštruktúrované dáta (dokumenty, obrázky), pre ktoré bude pravdepodobne využité objektové úložisko.
--* **RTO/RPO:** Sú to kľúčové parametre pre návrh stratégie zálohovania a obnovy po havárii (Disaster Recovery).
--* **Poznámka k využitiu údajov pre sizing:**
--Tieto predpokladané hodnoty budú slúžiť ako vstup pre detailný sizing hardvérových a softvérových zdrojov v rámci vládneho cloudu (výpočtový výkon CPU, veľkosť RAM, kapacita a typ úložiska, sieťová priepustnosť). Vzhľadom na využitie cloudových služieb bude možné kapacity flexibilne škálovať podľa aktuálnej potreby, avšak počiatočný sizing musí byť navrhnutý tak, aby pokryl očakávané špičkové zaťaženia.
--
--Využívanie služieb z katalógu služieb vládneho cloudu
--
--V súlade s Národnou koncepciou informatizácie verejnej správy (NKIVS) a strategickým zameraním na využívanie centralizovaných a zdieľaných zdrojov bude informačný systém AkcieOkolo primárne nasadený a prevádzkovaný s využitím infraštruktúrnych služieb z Katalógu služieb vládneho cloudu Slovenskej republiky. Tento prístup zabezpečuje efektívne využitie investícií, škálovateľnosť, bezpečnosť a súlad s architektonickými štandardmi verejnej správy. Všetky využívané infraštruktúrne služby budú riadne evidované v MetaIS vrátane vzťahu na ISVS AkcieOkolo a jeho moduly.
--
--Pri výbere konkrétnych cloudových služieb sa zohľadňuje technologická náročnosť IS AkcieOkolo, požiadavky na jeho výkon, dostupnosť, bezpečnosť a najmä klasifikácia ISVS AkcieOkolo a jeho jednotlivých modulov (Ux, Cx, Ix, Ax), ktorá bola vykonaná v časti 5.1.3 Stanovenie alternatív v technologickej vrstve architektúry. Zvolená infraštruktúrna služba z Katalógu musí byť zaradená do rovnakej alebo vyššej klasifikačnej úrovne ako ISVS/modul, ktorý ju bude využívať.
--
--Prehľad plánovaného využitia infraštruktúrnych služieb z Katalógu služieb vládneho cloudu pre IS AkcieOkolo:
--
--|(((
--
--**Kód infraštruktúrnej služby**
--
--(z MetaIS)
--)))|**Názov infraštruktúrnej služby**|(((
--**Kód ISVS**
--
--(z MetaIS)
--)))|**Názov Využívajúceho ISVS**|(((
--**Klasifikácia ISVS**
--
--Ux (Cx,Ix,Ax)
--)))
--| |Výpočtový výkon IaaS (Virtuálny server)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Frontend a časť Backend-u)|U2 (C2,I2,A2/A3) //(podľa finálnej klasifikácie celého IS)//
--| |Spravovaná databázová služba PaaS (napr. PostgreSQL as a Service)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Databázový modul)|U2 (C2,I2,A3) //(podľa klasifikácie dátového modulu a požiadavky na dostupnosť DB)//
--| |Objektové úložisko IaaS/PaaS (napr. S3 kompatibilné)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (pre dokumenty a multimédiá)|U2 (C2,I2,A2) //(podľa citlivosti a dostupnosti ukladaných súborov)//
--| |Kontajnerizačná platforma PaaS (napr. Kubernetes Service)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Backendové mikroslužby)|U2/U3 (C2,I2,A2/A3) //(podľa kritickosti mikroslužieb)//
--| |Služba vyrovnávania záťaže (Load Balancing as a Service) PaaS|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Frontend vrstva)|U2 (C1,I1,A3) //(pre zabezpečenie dostupnosti verejných rozhraní)//
--
--//Tabuľka 30 Využívanie služieb z katalógu služieb vládneho cloudu//
--
--
--¹ //Kód a presný názov infraštruktúrnej služby je potrebné doplniť z aktuálneho Katalógu služieb vládneho cloudu SR.//
--² //Uvedené hodnoty klasifikácie ISVS sú ilustračné a musia byť nahradené výsledkami reálnej klasifikácie podľa MU pre klasifikáciu ISVS.//
--
--**Parametre (kapacity) požadovaných výpočtových zdrojov (sizing) a využitie služieb vládneho cloudu pre jednotlivé prevádzkové prostredia:**
--
--Nižšie uvedené tabuľky špecifikujú odhadované kapacitné požiadavky pre výpočtové uzly a ďalšie cloudové služby pre jednotlivé prostredia IS AkcieOkolo. Tieto hodnoty sú odvodené z požiadaviek definovaných v kapitole 5.6.2.
--
--|(% rowspan="2" %)**Prostredie**|(% rowspan="2" %)(((
--
--
--**Kód infraštruktúrnej služby**
--
--(z MetaIS)
--)))|(% rowspan="2" %)(((
--**Názov infraštruktúrnej služby**
--
--(Služba z katalógu cloudových služieb pre zriadenie výpočtového uzla)
--)))|(% colspan="4" %)**Požadované kapacitné parametre služby **
--(doplňte stĺpec parametra, ak je dôležitý pre konkrétnu službu)|**POZNÁMKA K SIZINGU**
--|Dátový priestor (GB)|Tier diskového priestoru|Počet vCPU|RAM (GB)|
--|Vývojové| |Výpočtový výkon IaaS (Virtuálny server)|200|Štandardný (SSD)|4|16|Pre potreby vývojového tímu, integračné testy, CI/CD. Nižšie nároky na výkon a dostupnosť.
--| | |Spravovaná databázová služba PaaS|100|Štandardný (SSD)|2|8|Pre vývojovú databázu.
--|Testovacie| |Výpočtový výkon IaaS (Virtuálny server)|500|Štandardný/Výkonný (SSD)|8|32|Pre UAT, integračné testy, čiastočné výkonnostné testy. Malo by čo najviac pripomínať produkčné prostredie z hľadiska konfigurácie.
--| | |Spravovaná databázová služba PaaS|300|Štandardný/Výkonný (SSD)|4|16|Pre testovaciu databázu.
--|Produkčné| |Výpočtový výkon IaaS (Virtuálny server) / Kontajnerizačná platforma PaaS|1000+|Výkonný (SSD NVMe)|16 - 32+|64 - 128+|Pre ostrú prevádzku. Nutná vysoká dostupnosť, škálovateľnosť a výkon. Sizing na základe špičkového zaťaženia (kap. 5.6.2). Možnosť automatického škálovania.
--| | |Spravovaná databázová služba PaaS (s vysokou dostupnosťou a replikáciou)|1000 - 2000+|Výkonný (SSD NVMe)|8 - 16+|32 - 64+|Kritická komponenta, zálohovanie, replikácia.
--|**Predprodukčné (Staging)** (ďalšie prostredie)| |Výpočtový výkon IaaS (Virtuálny server)|500|Výkonný (SSD)|8|32|Pre finálne overenie nasadenia pred produkciou, takmer identické s produkčným.
--| | |Spravovaná databázová služba PaaS|300|Výkonný (SSD)|4|16|
--
--//Tabuľka 31 Predpokladané kapacity požadovaných výpočtových zdrojov (sizing)//
--
--//³ Uvedené hodnoty (GB, Tier, vCPU, RAM) sú len ilustračné a musia byť nahradené presnými hodnotami z detailného sizingu vykonaného na základe požiadaviek v kapitole 5.6.2 a špecifík zvolených cloudových služieb. Dôležité je uviesť konkrétny parameter požadovaný službou z Katalógu (napr. typ VM inštancie, výkonnostná trieda DB služby).//
--
--
--
--|**Prostredie**|**Ďalšie služby potrebné na prevádzku projektu z katalógu služieb vládneho cloudu **(stručný popis / názov)|(((
--**Kód služby**
--
--(z MetaIS)
--)))|**Parametre pre službu **(doplňte stĺpec parametra, ak je dôležitý pre konkrétnu službu)
--|**Všetky**|Objektové úložisko (S3 kompatibilné)| |**Kapacita:** 2-10 TB (celkovo, postupne narastajúca), **Tier:** Štandardný (pre dokumenty), **Požiadavky na priepustnosť, redundanciu**
--|**Všetky**|Služba vyrovnávania záťaže (Load Balancing)| |**Počet spravovaných inštancií**, **Očakávaný počet pripojení/s**, **Typ (aplikačný/sieťový)**
--|**Produkčné**|Služba zálohovania a obnovy (Backup and Recovery)| |**Frekvencia zálohovania (denne/hodinovo), Retenčná politika (dni/mesiace), Požadované RTO/RPO pre obnovu zo zálohy**
--|**Produkčné**|Monitorovacia služba (Monitoring as a Service)| |**Rozsah monitorovaných metrík (CPU, RAM, disk, sieť, odozva aplikácie), Typy alertov, Integračné možnosti**
--|**Všetky**|Služba DNS manažmentu| |**Počet spravovaných domén/záznamov**
--|//(Ďalšie)//|//(Napr. API Gateway služba, Bezpečnostné služby - WAF, IDS/IPS, správa certifikátov)//| |//(Relevantné parametre)//
--|(((
--ďalšie...
--
--(uviesť názov)
--)))| | |
--
--//Tabuľka 32 Predpokladané kapacity ďalších cloudových (infraštruktúrnych) služieb//
--
--//Tabuľka 32 Predpokladané kapacity ďalších cloudových (infraštruktúrnych) služieb//
--⁴ //Opäť, parametre sú **ilustračné** a musia byť spresnené na základe špecifikácií služieb z Katalógu VC a potrieb projektu.//
--
--Požiadavky na služby vládneho cloudu budú detailne komunikované a konzultované s prevádzkovateľom vládneho cloudu (napr. MV SR) pred vyhlásením verejného obstarávania na dodávateľa IS AkcieOkolo, aby sa zabezpečila ich dostupnosť, vhodnosť a správny sizing.
--
--Vzhľadom na stratégiu prioritného využívania vládneho cloudu sa v tejto fáze neuvažuje o využití vlastných výpočtových zdrojov žiadateľa evidovaných v MetaIS pre produkčnú prevádzku kľúčových komponentov IS AkcieOkolo. Ak by analýza v neskorších fázach ukázala nevyhnutnosť takéhoto prístupu pre niektorú špecifickú časť, bude to riadne zdôvodnené a zaevidované.
--
--
--= **5.7 Bezpečnostná architektúra** =
--
--Bezpečnostná architektúra projektu "Zaži mestá a obce, zaži Slovensko" a jeho informačného systému IS AkcieOkolo je navrhnutá tak, aby zabezpečila ochranu všetkých aktív projektu – dát, aplikácií, infraštruktúry a používateľov – pred širokým spektrom hrozieb a rizík. Cieľom je dosiahnuť požadovanú úroveň dôvernosti, integrity a dostupnosti (CIA triad) informácií a služieb poskytovaných systémom.
--
--== **5.7.2 Návrh riešenia bezpečnosti** ==
--
--**Popis súčasného (AS IS) stavu bezpečnostnej architektúry:**
--
--Vzhľadom na to, že v súčasnosti **neexistuje centrálny informačný systém** pre agendu manažmentu kultúrnych podujatí na celoštátnej úrovni, neexistuje ani jednotná alebo koordinovaná bezpečnostná architektúra pre túto oblasť.
--
--* **Dáta:** Sú fragmentované, často uložené na lokálnych nezabezpečených úložiskách, v bežných kancelárskych dokumentoch alebo v rôznych izolovaných lokálnych databázach s variabilnou úrovňou zabezpečenia. Neexistuje jednotná politika ochrany týchto dát.
--* **Aplikácie:** Ak existujú lokálne aplikačné riešenia, ich úroveň zabezpečenia (napr. autentifikácia, autorizácia, ochrana pred bežnými webovými zraniteľnosťami) je veľmi rôznorodá a často nedostatočná. Neexistuje centrálny manažment zraniteľností.
--* **Infraštruktúra:** Neexistuje jednotná infraštruktúra. Prípadné lokálne servery alebo hostingové služby majú rôznu úroveň fyzickej a sieťovej bezpečnosti.
--* **Používatelia a prístupy:** Manažment prístupov je decentralizovaný, neštandardizovaný a často založený na slabých autentifikačných metódach. Chýba centrálny audit prístupov.
--* **Celkový stav:** Súčasný stav predstavuje významné bezpečnostné riziká z hľadiska dôvernosti (únik osobných údajov organizátorov, predajcov), integrity (možnosť neoprávnenej modifikácie dát o podujatiach) a dostupnosti (výpadky lokálnych systémov, strata dát). Chýba systematický prístup k riadeniu informačnej bezpečnosti pre túto agendu.
--
--Rozdiel medzi súčasným stavom (absencia centrálneho zabezpečenia) a budúcim (komplexné zabezpečenie IS AkcieOkolo) je teda fundamentálny.
--
--**Popis navrhovaného budúceho (TO BE) stavu riešenia bezpečnostnej architektúry:**
--
--Navrhovaný budúci (TO BE) stav bezpečnostnej architektúry pre IS AkcieOkolo bude implementovaný na princípe "security by design" (bezpečnosť ako súčasť návrhu) a "defense in depth" (hĺbková obrana), pričom bude pokrývať všetky relevantné vrstvy a aspekty. Bezpečnostné opatrenia a požiadavky budú vychádzať z:
--
--1. **Ohodnotenia rizík a identifikovaných hrozieb:** Bola/Bude vykonaná analýza rizík pre IS AkcieOkolo, ktorá identifikovala potenciálne hrozby (napr. neoprávnený prístup, únik dát, DDoS útoky, malware, zlyhanie hardvéru, ľudské chyby), zraniteľnosti a odhadla ich potenciálny dopad. Na základe tejto analýzy sú navrhované primerané protiopatrenia.
--1. **Legislatívnych, právnych a zmluvných požiadaviek:** Bezpečnostná architektúra bude v plnom súlade s:
--1*. Zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti.
--1*. Vyhláškou NBÚ č. 362/2018 Z. z. (obsah bezpečnostných opatrení a dokumentácie).
--1*. Vyhláškou ÚPVII č. 179/2020 Z. z. (kategorizácia a bezpečnostné opatrenia ITVS).
--1*. Zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe.
--1*. Nariadením GDPR a zákonom č. 18/2018 Z. z. o ochrane osobných údajov.
--1*. Relevantnými štandardmi a normami (napr. rodina ISO/IEC 27000).
--1*. Zmluvnými požiadavkami voči dodávateľom a prevádzkovateľovi vládneho cloudu.
--1. **Sady princípov, cieľov a interných smerníc organizácie:** Zohľadnia sa bezpečnostné politiky a smernice ZMOS a AkcieOkolo, z.z.p.o., ako aj osvedčené postupy v oblasti informačnej bezpečnosti.
--
--**Postupy na dosiahnutie potrebnej úrovne bezpečnosti a zabezpečenie aktív projektu:**
--
--**A. Dôvernosť údajov:**
--
--* **Kontrola prístupu:**
--** Implementácia robustného systému riadenia identít a prístupov (IAM) s využitím spoločného modulu **IAM ÚPVS (as_59698)** pre autentifikáciu oprávnených pracovníkov VS.
--** Pre ostatných používateľov (občania, organizátori, predajcovia) bude implementovaná bezpečná registrácia a autentifikácia (napr. silné heslá, voliteľná dvojfaktorová autentifikácia).
--** Princíp najnižších potrebných oprávnení (least privilege) – používatelia budú mať prístup len k tým dátam a funkcionalitám, ktoré nevyhnutne potrebujú pre výkon svojich úloh.
--** Detailné prideľovanie rolí a oprávnení v rámci IS AkcieOkolo.
--* **Šifrovanie:**
--** Šifrovanie citlivých dát pri prenose (HTTPS/TLS pre všetku komunikáciu).
--** Šifrovanie citlivých dát v úložisku (encryption at rest), najmä pre databázy obsahujúce osobné údaje a pre zálohy. Využitie možností šifrovania poskytovaných službami vládneho cloudu.
--* **Prevencia úniku dát (DLP):**
--** Technické a organizačné opatrenia na minimalizáciu rizika úniku citlivých dát (napr. audit prístupov, monitoring).
--* **Anonymizácia/Pseudonymizácia:**
--** Pre analytické a otvorené dáta budú implementované procesy anonymizácie alebo pseudonymizácie osobných údajov.
--
--**B. Integrita údajov:**
--
--* **Validácia vstupov:** Dôsledná validácia všetkých vstupných dát na strane klienta aj servera na predchádzanie chybám a útokom (napr. SQL injection, XSS).
--* **Kontrola konzistencie dát:** Implementácia databázových integritných obmedzení (constraints), transakčné spracovanie.
--* **Ochrana pred neoprávnenou modifikáciou:** Riadenie prístupov, auditné záznamy o všetkých zmenách kritických dát.
--* **Zálohovanie a obnova:** Pravidelné a testované zálohovanie všetkých dát s definovaným RPO (Recovery Point Objective) pre minimalizáciu straty dát.
--* **Digitálne podpisy (ak relevantné):** Pre zabezpečenie integrity a autenticity dôležitých elektronických dokumentov generovaných systémom (napr. povolenia) sa zváži použitie kvalifikovaného elektronického podpisu/pečate.
--
--**C. Dostupnosť služieb a údajov:**
--
--* **Redundancia infraštruktúry:** Využitie redundantných komponentov v rámci vládneho cloudu (napr. redundantné servery, úložiská, sieťové pripojenia) na zabezpečenie vysokej dostupnosti (High Availability).
--* **Vyrovnávanie záťaže (Load Balancing):** Nasadenie load balancerov na rozloženie záťaže medzi viaceré servery a zabezpečenie plynulej prevádzky aj pri vysokom počte používateľov.
--* **Ochrana pred DDoS útokmi:** Implementácia opatrení na detekciu a mitigáciu DDoS útokov, využitie služieb poskytovaných vládnym cloudom alebo špecializovaných poskytovateľov.
--* **Plán obnovy po havárii (Disaster Recovery Plan - DRP):** Vypracovanie a pravidelné testovanie DRP pre obnovu systému a dát v prípade rozsiahleho výpadku alebo havárie. Definované RTO (Recovery Time Objective).
--* **Monitoring a proaktívna údržba:** Kontinuálny monitoring stavu systému a infraštruktúry na včasnú detekciu problémov a predchádzanie výpadkom.
--
--**Bezpečnosť na jednotlivých vrstvách architektúry:**
--
--* **Biznis vrstva:** Definovanie bezpečnostných politík, školenia používateľov o bezpečnom správaní, riadenie incidentov.
--* **Aplikačná vrstva:** Bezpečný vývoj softvéru (SDL - Secure Development Lifecycle), ochrana pred bežnými aplikačnými zraniteľnosťami (OWASP Top 10), bezpečné API, riadenie prístupov na úrovni aplikácie.
--* **Dátová vrstva:** Šifrovanie databáz, riadenie prístupu k databáze, audit prístupu k dátam, bezpečné zálohovanie.
--* **Technologická (Infraštruktúrna) vrstva:** Zabezpečenie siete (firewally, segmentácia, IDS/IPS), zabezpečenie serverov (hardening, patch management), fyzická bezpečnosť dátových centier (zabezpečená prevádzkovateľom vládneho cloudu).
--
--**Bezpečnostná dokumentácia:**
--Bude vypracovaný **Bezpečnostný projekt IS AkcieOkolo** v súlade s vyhláškou NBÚ č. 362/2018 Z. z. a vyhláškou ÚPVII č. 179/2020 Z. z., ktorý bude detailne popisovať všetky implementované bezpečnostné opatrenia, analýzu rizík, politiky a procedúry.
--
--Návrh bezpečnostnej architektúry IS AkcieOkolo bude dynamický a bude sa priebežne aktualizovať v reakcii na nové hrozby, zraniteľnosti a zmeny v legislatíve alebo technologickom prostredí.
--
--== **5.7.3 Určenie obsahu bezpečnostných opatrení** ==
--
--Určenie obsahu a rozsahu bezpečnostných opatrení pre informačný systém AkcieOkolo vychádza primárne z platnej legislatívy Slovenskej republiky, najmä z Vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu (ÚPVII, teraz MIRRI SR) č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy (ďalej len "Vyhláška ÚPVII č. 179/2020 Z. z.").
--
--**Kategorizácia IS AkcieOkolo:**
--Pred určením minimálnych bezpečnostných opatrení je nevyhnutné vykonať **kategorizáciu IS AkcieOkolo** podľa § 2 Vyhlášky ÚPVII č. 179/2020 Z. z. Táto kategorizácia sa vykonáva na základe posúdenia klasifikačných stupňov informačných aktív (dôvernosť, integrita, dostupnosť), ktoré bude IS AkcieOkolo spracúvať, a to v súlade s Metodickým usmernením MIRRI SR č. 023107/2023/oSBATA-1.
--Na základe predbežnej analýzy typov údajov (verejné informácie o podujatiach, osobné údaje organizátorov a predajcov sa predpokladá, že IS AkcieOkolo bude s najväčšou pravdepodobnosťou zaradený do **Kategórie II** alebo **Kategórie III**. Finálne zaradenie bude výsledkom detailnej klasifikácie informačných aktív. Pre účely tejto tabuľky budeme zatiaľ uvažovať s vyššou kategóriou, aby sme pokryli širší rozsah opatrení. Ak výsledná kategorizácia bude nižšia, rozsah opatrení sa adekvátne upraví.
--
--//Predpokladaná kategorizácia pre účely tejto tabuľky: **Kategória II / III**// (Toto sa musí nahradiť reálnym výsledkom kategorizácie!)
--
--**Požiadavka na vypracovanie Bezpečnostného projektu:**
--V súlade s § 8a vyhlášky MIRRI SR č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy a § 23 ods. 1 a 2 zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe, **bude pre IS AkcieOkolo vypracovaný samostatný Bezpečnostný projekt**. Tento Bezpečnostný projekt bude výstupom etapy R3-4 (Detailný návrh riešenia) a jeho náležitosti budú v súlade s prílohou č. 3 Vyhlášky ÚPVII č. 179/2020 Z. z.
--
--**Požiadavky na aplikáciu bezpečnostných opatrení podľa osobitných predpisov:**
--Okrem Vyhlášky ÚPVII č. 179/2020 Z. z. budú pri návrhu a implementácii IS AkcieOkolo aplikované bezpečnostné opatrenia vyplývajúce najmä z:
--
--* **Zákona č. 18/2018 Z. z. o ochrane osobných údajov** a Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) – najmä opatrenia na ochranu osobných údajov registrovaných používateľov (organizátori, predajcovia, občania).
--* **Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti** – ak by bol IS AkcieOkolo identifikovaný ako súčasť kritickej infraštruktúry alebo významný informačný systém z pohľadu kybernetickej bezpečnosti.
--* Relevantných technických noriem a osvedčených postupov (napr. rodina ISO/IEC 27000, odporúčania NBÚ a CSIRT.SK).
--
--**Prehľad hlavných zdrojov minimálnych bezpečnostných opatrení:**
--
--|**Obsah bezpečnostných opatrení podľa vyhlášky ÚPVII č. 179/2020 Z. z**|**Aplikované opatrenia**|**Aplikovaná legislatíva**
--|Minimálne bezpečnostné opatrenia Kategórie I|Vyberte položku.|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva
--|Minimálne bezpečnostné opatrenia Kategórie II|Vyberte položku.|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva
--|Minimálne bezpečnostné opatrenia Kategórie III|Vyberte položku.|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva
--|Bezpečnostný projekt|Vyberte položku.|§ 23 ods. 1 a 2 zákona 95/2019 Z.z.
--|Bezpečnostné opatrenia podľa osobitného predpisu|Vyberte položku.|Doplňte osobitný predpis alebo odkaz na predpisy, podľa ktorých budú aplikované ďalšie bezp. opatrenia
--
--//Tabuľka 33 Určenie zdrojov a obsahu minimálnych bezpečnostných opatrení//
--
--//¹ Poznámka: Vo finálnom dokumente by mal byť stĺpec "APLIKOVANÉ OPATRENIA" vyplnený jednoznačne ("Aplikujú sa" / "Neaplikujú sa" / "Čiastočne sa aplikujú s odôvodnením") na základe výslednej kategorizácie IS AkcieOkolo. Ak je systém napr. Kategórie II, aplikujú sa opatrenia pre Kat. I aj Kat. II.//
--
--
--**Zapísanie požiadaviek do Katalógu požiadaviek (I-04):**
--
--1. **Minimálne bezpečnostné opatrenia:** Do I-04 Katalógu požiadaviek budú zapísané konkrétne nefunkčné požiadavky (NRxx) odvodené z príslušnej kategórie minimálnych bezpečnostných opatrení podľa Vyhlášky ÚPVII č. 179/2020 Z. z. (Príloha č. 1 – Katalóg minimálnych bezpečnostných opatrení). Každé relevantné opatrenie bude transformované na špecifickú požiadavku pre IS AkcieOkolo.
--1*. //Príklad požiadavky~:// NR_BEZP_001: Systém musí zabezpečiť silnú autentifikáciu pre administrátorské účty v súlade s opatrením XY z Katalógu MBO.
--1. **Upresnenie vyplývajúce z analýzy rizík:** Do I-04 Katalógu požiadaviek budú doplnené špecifické bezpečnostné požiadavky, ktoré vyplynú z detailnej analýzy rizík (identifikované hrozby a zraniteľnosti) pre IS AkcieOkolo a dáta v ňom spracúvané. Tieto požiadavky môžu byť prísnejšie alebo špecifickejšie ako minimálne opatrenia.
--1*. //Príklad požiadavky~:// NR_BEZP_002: Systém musí implementovať mechanizmus na detekciu podozrivých pokusov o prihlásenie a automaticky blokovať účty po X neúspešných pokusoch.
--1. **Upresnenie podľa osobitných predpisov:** Do I-04 Katalógu požiadaviek budú zapísané bezpečnostné požiadavky vyplývajúce z GDPR (napr. požiadavky na pseudonymizáciu, právo na zabudnutie, záznamy o spracovateľských činnostiach, posúdenie vplyvu na ochranu údajov - DPIA) a prípadne zo zákona o kybernetickej bezpečnosti.
--1*. //Príklad požiadavky~:// NR_GDPR_001: Systém musí umožniť export osobných údajov používateľa v strojovo čitateľnom formáte na jeho žiadosť.
--1. **Požiadavka na vypracovanie Bezpečnostného projektu:** Do I-04 Katalógu požiadaviek bude explicitne zaradená požiadavka na dodanie a pravidelnú aktualizáciu komplexného Bezpečnostného projektu IS AkcieOkolo ako jedného z kľúčových výstupov. Bude definovaná jeho štruktúra a obsah v súlade s Prílohou č. 3 Vyhlášky ÚPVII č. 179/2020 Z. z. Bezpečnostný projekt bude pripravovaný a dodaný súčasne s Detailným návrhom riešenia (DNR, projektový výstup R1-1) a bude aktualizovaný počas celej realizačnej fázy.
--
--Samotný Bezpečnostný projekt IS AkcieOkolo bude podrobným dokumentom, ktorý bude detailne popisovať analýzu bezpečnostných rizík, klasifikáciu a kategorizáciu aktív, navrhnuté a implementované bezpečnostné opatrenia, zodpovednosti, plány kontinuity činností a obnovy po havárii, ako aj postupy pre riadenie bezpečnostných incidentov.
--
--
--
--Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,
--
--Navrhovaná bezpečnostná architektúra informačného systému AkcieOkolo a s ním súvisiace procesy musia byť v plnom súlade s relevantnými legislatívnymi, právnymi, štatutárnymi, regulačnými a zmluvnými požiadavkami. Tieto požiadavky definujú minimálnu úroveň bezpečnosti, ktorú musí systém spĺňať, ako aj povinnosti pri manipulácii s dátami, zabezpečení výpočtovej techniky a ochrane používateľov.
--
--**Kľúčová legislatíva a regulačné požiadavky, ktoré musí IS AkcieOkolo a jeho prevádzka spĺňať:**
--
--1. **Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (Zákon o ITVS):**
--1*. Tento zákon ustanovuje základné pravidlá pre tvorbu, správu, prevádzku a rozvoj informačných technológií verejnej správy. IS AkcieOkolo musí spĺňať jeho požiadavky týkajúce sa napr. evidencie v MetaIS, dodržiavania štandardov, riadenia projektov, bezpečnosti a interoperability.
--1. **Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov:**
--1*. Ak by IS AkcieOkolo alebo jeho časť bola klasifikovaná ako súčasť informačného systému základnej služby alebo kritickej infraštruktúry (čo sa v tejto fáze nepredpokladá, ale treba priebežne monitorovať), vzťahovali by sa naň prísne požiadavky tohto zákona týkajúce sa bezpečnostných opatrení, hlásenia kybernetických bezpečnostných incidentov a spolupráce s Národným bezpečnostným úradom (NBÚ) a CSIRT.SK. Bez ohľadu na klasifikáciu budú princípy tohto zákona brané do úvahy pri návrhu bezpečnostných opatrení.
--1. **Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (v znení neskorších predpisov):**
--1*. Táto vyhláška definuje konkrétne bezpečnostné opatrenia, ktoré musia byť implementované v závislosti od klasifikácie informačného systému (najmä v kontexte ochrany utajovaných skutočností, ak by boli relevantné, čo pre IS AkcieOkolo nie je primárny predpoklad). Mnohé z jej princípov sú však aplikovateľné aj na všeobecnú informačnú bezpečnosť.
--1. **Zákon č. 45/2011 Z. z. o kritickej infraštruktúre:**
--1*. Momentálne sa nepredpokladá, že by IS AkcieOkolo priamo spadal pod definíciu kritickej infraštruktúry. Tento aspekt sa však bude monitorovať.
--1. **Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu (teraz MIRRI SR) č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy:**
--1*. IS AkcieOkolo musí byť v súlade s touto vyhláškou, ktorá definuje štandardy pre rôzne aspekty ITVS, vrátane používateľských rozhraní, interoperability, otvorených dát, bezpečnosti a formátov.
--1. **Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu (teraz MIRRI SR) č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy:**
--1*. Kľúčová vyhláška pre IS AkcieOkolo. Na jej základe bude systém kategorizovaný a budú implementované minimálne bezpečnostné opatrenia pre príslušnú kategóriu (I, II alebo III). Táto vyhláška je hlavným zdrojom pre definovanie bezpečnostných požiadaviek v Katalógu požiadaviek (I-04) a pre tvorbu Bezpečnostného projektu.
--1. **Ochrana osobných údajov:**
--1*. **Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov - GDPR):** Absolútne kľúčový predpis. IS AkcieOkolo bude spracúvať osobné údaje organizátorov, predajcov, registrovaných občanov a potenciálne aj ďalších osôb. Musia byť implementované všetky princípy GDPR (zákonnosť, spravodlivosť, transparentnosť, minimalizácia údajov, presnosť, obmedzenie uloženia, integrita a dôvernosť, zodpovednosť prevádzkovateľa).
--1*. **Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov:** Národný zákon implementujúci a doplňujúci GDPR.
--1*. **Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov (DPIA):** Pre spracovateľské operácie s vysokým rizikom pre práva a slobody fyzických osôb (čo môže byť relevantné pre niektoré aspekty IS AkcieOkolo, napr. rozsiahle profilovanie alebo spracovanie citlivých dát, ak by k tomu došlo) bude potrebné vykonať DPIA.
--1. **Ďalšie relevantné predpisy:**
--1*. Zákon č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci (Zákon o e-Governmente) – týka sa využívania spoločných modulov, elektronických schránok, referenčných údajov.
--1*. Autorský zákon (zákon č. 185/2015 Z. z.) – pri spracúvaní obsahu podujatí, fotografií atď.
--1*. Obchodný zákonník, Občiansky zákonník – pri uzatváraní zmlúv s dodávateľmi, používateľmi.
--
--**Metodiky CSIRT.SK a iné osvedčené postupy:**
--Okrem legislatívnych nariadení budú pri návrhu a implementácii bezpečnostných opatrení IS AkcieOkolo využité odporúčania a metodiky vydané Jednotkou pre riešenie kybernetických bezpečnostných incidentov CSIRT.SK ([[https:~~/~~/csirt.sk/metodiky-a-hardening.html>>url:https://www.google.com/url?sa=E&q=https%3A%2F%2Fcsirt.sk%2Fmetodiky-a-hardening.html]]), ako napríklad:
--
--* Metodika pre systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti.
--* Príručky pre hardening operačných systémov a aplikácií (napr. Ochrana pred útokmi DDoS, Linux Hardening, Windows Hardening Guides).
--* Odporúčania pre bezpečnosť webových aplikácií (napr. Check list pre bezpečnosť webových aplikácií).
--
--Budú taktiež aplikované medzinárodne uznávané štandardy a osvedčené postupy, ako sú odporúčania OWASP pre bezpečnosť webových aplikácií, NIST Cybersecurity Framework, alebo relevantné normy z rodiny ISO/IEC 27000.
--
--**Interné smernice a relevantné metodické materiály organizácie (AkcieOkolo, z.z.p.o. / ZMOS):**
--
--* Počas realizácie projektu budú vypracované alebo aktualizované **interné bezpečnostné smernice** pre prevádzku a správu IS AkcieOkolo. Tieto smernice budú zahŕňať minimálne:
--** Politiku informačnej bezpečnosti špecifickú pre IS AkcieOkolo.
--** Smernicu pre riadenie prístupov a správu používateľských účtov.
--** Smernicu pre zálohovanie a obnovu dát.
--** Plán kontinuity činností a obnovy po havárii (BCP/DRP) pre IS AkcieOkolo.
--** Postupy pre riadenie bezpečnostných incidentov.
--** Smernicu pre bezpečný vývoj a údržbu softvéru (ak bude vývoj prebiehať aj interne).
--* Využívať sa budú aj **metodické pokyny MIRRI SR** pre evidenciu v MetaIS, riadenie projektov ITVS, využívanie vládneho cloudu a pod.
--
--**Zmluvné požiadavky:**
--
--* Všetky zmluvy s dodávateľmi IS AkcieOkolo, poskytovateľmi cloudových služieb a inými partnermi budú obsahovať jasné ustanovenia týkajúce sa bezpečnostných povinností, ochrany dát, dodržiavania SLA a zodpovednosti za bezpečnostné incidenty.
--* Bude vypracovaná Zmluva o podpore prevádzky (SLA), ktorá bude špecifikovať parametre dostupnosti, riešenia incidentov a bezpečnostné záruky.
--
--Dôsledné dodržiavanie týchto legislatívnych, právnych, štatutárnych, regulačných a zmluvných požiadaviek je nevyhnutným predpokladom pre vybudovanie dôveryhodného a bezpečného informačného systému AkcieOkolo.

1754826719784-979.png

Autor

...	...	@@ -1,1 +1,0 @@
1		-XWiki.machacek@akcieokolo\.sk

Veľkosť

...	...	@@ -1,1 +1,0 @@
1		-112.1 KB

Obsah

Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)

Súhrn

Podrobnosti

Vitajte

Linky

Navigácia