Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)

Súhrn

• Vlastnosti stránky (1 modified, 0 added, 0 removed)

Podrobnosti

Vlastnosti stránky

Obsah

...	...	@@ -2600,319 +2600,4 @@
2600	2600	Hybridný cloudový model (Alternatíva Tech-2 z kap. 5.1.3) sa môže zvážiť pre niektoré špecifické, okrajové komponenty v budúcnosti, ak by vládny cloud neposkytoval adekvátne služby pre nejakú špecifickú potrebu a zároveň by bola preukázaná ekonomická a bezpečnostná opodstatnenosť takéhoto hybridného prístupu. Pre hlavné jadro IS AkcieOkolo je však preferované plné nasadenie vo vládnom cloude.
2601	2601
2602	2602
2603		-== **5.6.3 Požiadavky na výkonnostné parametre, kapacitné požiadavky – budúci stav (TO BE)** ==
2604		-
2605		-Nasledujúca tabuľka špecifikuje predpokladané výkonnostné parametre a kapacitné požiadavky pre informačný systém AkcieOkolo v jeho budúcom (TO BE) produkčnom stave. Tieto údaje sú kľúčové pre návrh a dimenzovanie (sizing) technologickej infraštruktúry, najmä v kontexte využívania služieb vládneho cloudu, a pre zabezpečenie požadovanej odozvy a dostupnosti systému pre všetkých používateľov. Odhady vychádzajú z očakávaného rozsahu využívania platformy na základe počtu samospráv, organizátorov, predajcov a predpokladaného záujmu verejnosti.
2606		-
2607		-|**Parameter**|**Jednotky**|**Predpokladaná hodnota**|**Poznámka**
2608		-|**Používatelia systému:**| | |
2609		-|Počet interných používateľov (pracovníci samospráv, admini AkcieOkolo, z.z.p.o.)|Počet|3 000 - 5 000|Odhad na základe počtu samospráv v SR a predpokladu 1-2 aktívnych používateľov na samosprávu plus administrátori systému.
2610		-|Počet súčasne pracujúcich interných používateľov v špičkovom zaťažení|Počet|500 - 1 000|Odhad počas období intenzívneho plánovania alebo schvaľovania podujatí (napr. začiatok roka, pred hlavnými sezónami).
2611		-|Počet registrovaných externých používateľov (Organizátori, Predajcovia)|Počet|10 000 - 20 000|Odhad počtu aktívnych organizátorov a predajcov na Slovensku využívajúcich digitálny profil.
2612		-|Počet externých používateľov (občania/návštevníci - webový portál a mobilná aplikácia)|Počet (unikátnych/mesiac)|100 000 - 500 000+|Veľký rozptyl v závislosti od sezóny, marketingových aktivít a atraktivity zobrazovaných podujatí. Cieľom je vysoká návštevnosť.
2613		-|Počet externých používateľov používajúcich systém v špičkovom zaťažení (občania/návštevníci)|Počet (súčasne)|5 000 - 15 000|Odhad počas konania významných celoslovenských podujatí alebo v čase masívneho vyhľadávania (napr. piatok popoludní, prázdniny).
2614		-|**Transakcie a dáta:**| | |
2615		-|Počet novo registrovaných/aktualizovaných podujatí za rok|Počet/rok|10 000 - 25 000|Odhad na základe súčasného počtu podujatí a očakávaného zvýšenia evidencie v centrálnom systéme.
2616		-|Počet transakcií registrácie/žiadostí predajcov za rok|Počet/rok|20 000 - 50 000|Každý predajca sa môže účastniť viacerých podujatí.
2617		-|Počet vyhľadávacích dopytov na portáli/aplikácii za deň (priemerná špička)|Počet/deň|50 000 - 200 000|
2618		-|Počet transakcií (podaní, požiadaviek, API volaní) za obdobie (špičková hodina)|Počet/hodina|5 000 - 20 000|Zahŕňa všetky typy interakcií so systémom (CRUD operácie, API volania).
2619		-|Priemerný objem údajov na jednu transakciu registrácie podujatia|kB/MB|500 kB - 2 MB|Zahŕňa textové dáta, súradnice, prípadne odkazy na malé obrázky/dokumenty.
2620		-|Celkový objem kmeňových dát po 5 rokoch prevádzky (databáza podujatí, profilov)|GB/TB|500 GB - 2 TB|Odhad na základe počtu podujatí, používateľov a rozsahu ukladaných informácií (vrátane histórie, logov). Nezahrňuje externé úložisko pre veľké multimediálne súbory.
2621		-|Celkový objem uložených dokumentov a multimédií po 5 rokoch (napr. S3 storage)|TB|2 TB - 10 TB|Najmä fotografie k podujatiam, naskenované dokumenty predajcov (ak relevantné).
2622		-|**Výkonnostné požiadavky (Odozva):**| | |
2623		-|Priemerná odozva načítania detailu podujatia na portáli/aplikácii|Sekundy|< 2 sekundy|Pre 95% požiadaviek pri bežnom zaťažení.
2624		-|Maximálna odozva kritických administratívnych operácií (napr. schválenie)|Sekundy|< 5 sekúnd|Pre 95% požiadaviek.
2625		-|**Iné špecifické požiadavky:**| | |
2626		-|Dostupnosť služby (SLA pre produkčné prostredie)|% (ročná)|99.8%|Mimo plánovaných odstávok na údržbu.
2627		-|RTO (Recovery Time Objective)|Hodiny|< 4 hodiny|Maximálny akceptovateľný čas na obnovu služby po kritickom zlyhaní.
2628		-|RPO (Recovery Point Objective)|Hodiny|< 1 hodina|Maximálna akceptovateľná strata dát v prípade kritického zlyhania.
2629		-|Podpora pre paralelné API volania (pre externé integrácie)|Počet/sekunda|100 - 500|Odhad pre partnerské systémy (napr. turistické portály) pristupujúce k dátam IS AkcieOkolo.
2630		-|Ďalšie kapacitné a výkonové požiadavky ...|...|...|Napríklad špecifické požiadavky na databázové operácie, priepustnosť siete v rámci vládneho cloudu pre interné komponenty, požiadavky pre BPS a PASVAS moduly (ak by sa realizovali).
2631		-
2632		-//Tabuľka 29 Požiadavky na výkonnostné parametre, kapacitné požiadavky – budúci stav (TO BE)//
2633		-
2634		-**Vysvetlivky a doplňujúce informácie k tabuľke:**
2635		-
2636		-* ¹ **PREDPOKLADANÁ HODNOTA (TO BE):** Uvedené hodnoty sú **odhady pre cieľový stav po plnom nasadení a adopcii systému**. Mnohé z nich majú charakter rozsahu (min-max), pretože presné zaťaženie bude závisieť od mnohých faktorov (sezónnosť, marketing, reálna miera využívania). Tieto odhady musia byť pravidelne revidované počas životného cyklu projektu a prevádzky.
2637		-* **Interní používatelia:** Ide najmä o pracovníkov samospráv, ktorí budú aktívne pracovať so systémom pri evidencii, schvaľovaní a koordinácii podujatí, a administrátorov systému.
2638		-* **Externí používatelia (registrovaní):** Organizátori a predajcovia, ktorí budú využívať systém na registráciu a správu svojich aktivít.
2639		-* **Externí používatelia (verejnosť):** Občania a turisti využívajúci verejný portál a mobilnú aplikáciu. Ich počet a aktivita budú generovať najväčšiu časť záťaže na frontendové služby.
2640		-* **Transakcie:** Je dôležité rozlišovať medzi rôznymi typmi transakcií – od jednoduchých vyhľadávaní až po komplexné registrácie s nahrávaním súborov.
2641		-* **Objem dát:** Zahŕňa štruktúrované dáta v databázach aj neštruktúrované dáta (dokumenty, obrázky), pre ktoré bude pravdepodobne využité objektové úložisko.
2642		-* **RTO/RPO:** Sú to kľúčové parametre pre návrh stratégie zálohovania a obnovy po havárii (Disaster Recovery).
2643		-* **Poznámka k využitiu údajov pre sizing:**
2644		-Tieto predpokladané hodnoty budú slúžiť ako vstup pre detailný sizing hardvérových a softvérových zdrojov v rámci vládneho cloudu (výpočtový výkon CPU, veľkosť RAM, kapacita a typ úložiska, sieťová priepustnosť). Vzhľadom na využitie cloudových služieb bude možné kapacity flexibilne škálovať podľa aktuálnej potreby, avšak počiatočný sizing musí byť navrhnutý tak, aby pokryl očakávané špičkové zaťaženia.
2645		-
2646		-Využívanie služieb z katalógu služieb vládneho cloudu
2647		-
2648		-V súlade s Národnou koncepciou informatizácie verejnej správy (NKIVS) a strategickým zameraním na využívanie centralizovaných a zdieľaných zdrojov bude informačný systém AkcieOkolo primárne nasadený a prevádzkovaný s využitím infraštruktúrnych služieb z Katalógu služieb vládneho cloudu Slovenskej republiky. Tento prístup zabezpečuje efektívne využitie investícií, škálovateľnosť, bezpečnosť a súlad s architektonickými štandardmi verejnej správy. Všetky využívané infraštruktúrne služby budú riadne evidované v MetaIS vrátane vzťahu na ISVS AkcieOkolo a jeho moduly.
2649		-
2650		-Pri výbere konkrétnych cloudových služieb sa zohľadňuje technologická náročnosť IS AkcieOkolo, požiadavky na jeho výkon, dostupnosť, bezpečnosť a najmä klasifikácia ISVS AkcieOkolo a jeho jednotlivých modulov (Ux, Cx, Ix, Ax), ktorá bola vykonaná v časti 5.1.3 Stanovenie alternatív v technologickej vrstve architektúry. Zvolená infraštruktúrna služba z Katalógu musí byť zaradená do rovnakej alebo vyššej klasifikačnej úrovne ako ISVS/modul, ktorý ju bude využívať.
2651		-
2652		-Prehľad plánovaného využitia infraštruktúrnych služieb z Katalógu služieb vládneho cloudu pre IS AkcieOkolo:
2653		-
2654		-|(((
2655	2655
2656		-
2657		-**Kód infraštruktúrnej služby**
2658		-
2659		-(z MetaIS)
2660		-)))|**Názov infraštruktúrnej služby**|(((
2661		-**Kód ISVS**
2662		-
2663		-(z MetaIS)
2664		-)))|**Názov Využívajúceho ISVS**|(((
2665		-**Klasifikácia ISVS**
2666		-
2667		-Ux (Cx,Ix,Ax)
2668		-)))
2669		-| |Výpočtový výkon IaaS (Virtuálny server)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Frontend a časť Backend-u)|U2 (C2,I2,A2/A3) //(podľa finálnej klasifikácie celého IS)//
2670		-| |Spravovaná databázová služba PaaS (napr. PostgreSQL as a Service)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Databázový modul)|U2 (C2,I2,A3) //(podľa klasifikácie dátového modulu a požiadavky na dostupnosť DB)//
2671		-| |Objektové úložisko IaaS/PaaS (napr. S3 kompatibilné)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (pre dokumenty a multimédiá)|U2 (C2,I2,A2) //(podľa citlivosti a dostupnosti ukladaných súborov)//
2672		-| |Kontajnerizačná platforma PaaS (napr. Kubernetes Service)|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Backendové mikroslužby)|U2/U3 (C2,I2,A2/A3) //(podľa kritickosti mikroslužieb)//
2673		-| |Služba vyrovnávania záťaže (Load Balancing as a Service) PaaS|Isvs_15263|Informačný systém pre manažment kultúrnych podujatí AkcieOkolo (Frontend vrstva)|U2 (C1,I1,A3) //(pre zabezpečenie dostupnosti verejných rozhraní)//
2674		-
2675		-//Tabuľka 30 Využívanie služieb z katalógu služieb vládneho cloudu//
2676		-
2677		-
2678		-¹ //Kód a presný názov infraštruktúrnej služby je potrebné doplniť z aktuálneho Katalógu služieb vládneho cloudu SR.//
2679		-² //Uvedené hodnoty klasifikácie ISVS sú ilustračné a musia byť nahradené výsledkami reálnej klasifikácie podľa MU pre klasifikáciu ISVS.//
2680		-
2681		-**Parametre (kapacity) požadovaných výpočtových zdrojov (sizing) a využitie služieb vládneho cloudu pre jednotlivé prevádzkové prostredia:**
2682		-
2683		-Nižšie uvedené tabuľky špecifikujú odhadované kapacitné požiadavky pre výpočtové uzly a ďalšie cloudové služby pre jednotlivé prostredia IS AkcieOkolo. Tieto hodnoty sú odvodené z požiadaviek definovaných v kapitole 5.6.2.
2684		-
2685		-|(% rowspan="2" %)**Prostredie**|(% rowspan="2" %)(((
2686		-
2687		-
2688		-**Kód infraštruktúrnej služby**
2689		-
2690		-(z MetaIS)
2691		-)))|(% rowspan="2" %)(((
2692		-**Názov infraštruktúrnej služby**
2693		-
2694		-(Služba z katalógu cloudových služieb pre zriadenie výpočtového uzla)
2695		-)))|(% colspan="4" %)**Požadované kapacitné parametre služby **
2696		-(doplňte stĺpec parametra, ak je dôležitý pre konkrétnu službu)|**POZNÁMKA K SIZINGU**
2697		-|Dátový priestor (GB)|Tier diskového priestoru|Počet vCPU|RAM (GB)|
2698		-|Vývojové| |Výpočtový výkon IaaS (Virtuálny server)|200|Štandardný (SSD)|4|16|Pre potreby vývojového tímu, integračné testy, CI/CD. Nižšie nároky na výkon a dostupnosť.
2699		-| | |Spravovaná databázová služba PaaS|100|Štandardný (SSD)|2|8|Pre vývojovú databázu.
2700		-|Testovacie| |Výpočtový výkon IaaS (Virtuálny server)|500|Štandardný/Výkonný (SSD)|8|32|Pre UAT, integračné testy, čiastočné výkonnostné testy. Malo by čo najviac pripomínať produkčné prostredie z hľadiska konfigurácie.
2701		-| | |Spravovaná databázová služba PaaS|300|Štandardný/Výkonný (SSD)|4|16|Pre testovaciu databázu.
2702		-|Produkčné| |Výpočtový výkon IaaS (Virtuálny server) / Kontajnerizačná platforma PaaS|1000+|Výkonný (SSD NVMe)|16 - 32+|64 - 128+|Pre ostrú prevádzku. Nutná vysoká dostupnosť, škálovateľnosť a výkon. Sizing na základe špičkového zaťaženia (kap. 5.6.2). Možnosť automatického škálovania.
2703		-| | |Spravovaná databázová služba PaaS (s vysokou dostupnosťou a replikáciou)|1000 - 2000+|Výkonný (SSD NVMe)|8 - 16+|32 - 64+|Kritická komponenta, zálohovanie, replikácia.
2704		-|**Predprodukčné (Staging)** (ďalšie prostredie)| |Výpočtový výkon IaaS (Virtuálny server)|500|Výkonný (SSD)|8|32|Pre finálne overenie nasadenia pred produkciou, takmer identické s produkčným.
2705		-| | |Spravovaná databázová služba PaaS|300|Výkonný (SSD)|4|16|
2706		-
2707		-//Tabuľka 31 Predpokladané kapacity požadovaných výpočtových zdrojov (sizing)//
2708		-
2709		-//³ Uvedené hodnoty (GB, Tier, vCPU, RAM) sú len ilustračné a musia byť nahradené presnými hodnotami z detailného sizingu vykonaného na základe požiadaviek v kapitole 5.6.2 a špecifík zvolených cloudových služieb. Dôležité je uviesť konkrétny parameter požadovaný službou z Katalógu (napr. typ VM inštancie, výkonnostná trieda DB služby).//
2710		-
2711		-
2712		-
2713		-|**Prostredie**|**Ďalšie služby potrebné na prevádzku projektu z katalógu služieb vládneho cloudu **(stručný popis / názov)|(((
2714		-**Kód služby**
2715		-
2716		-(z MetaIS)
2717		-)))|**Parametre pre službu **(doplňte stĺpec parametra, ak je dôležitý pre konkrétnu službu)
2718		-|**Všetky**|Objektové úložisko (S3 kompatibilné)| |**Kapacita:** 2-10 TB (celkovo, postupne narastajúca), **Tier:** Štandardný (pre dokumenty), **Požiadavky na priepustnosť, redundanciu**
2719		-|**Všetky**|Služba vyrovnávania záťaže (Load Balancing)| |**Počet spravovaných inštancií**, **Očakávaný počet pripojení/s**, **Typ (aplikačný/sieťový)**
2720		-|**Produkčné**|Služba zálohovania a obnovy (Backup and Recovery)| |**Frekvencia zálohovania (denne/hodinovo), Retenčná politika (dni/mesiace), Požadované RTO/RPO pre obnovu zo zálohy**
2721		-|**Produkčné**|Monitorovacia služba (Monitoring as a Service)| |**Rozsah monitorovaných metrík (CPU, RAM, disk, sieť, odozva aplikácie), Typy alertov, Integračné možnosti**
2722		-|**Všetky**|Služba DNS manažmentu| |**Počet spravovaných domén/záznamov**
2723		-|//(Ďalšie)//|//(Napr. API Gateway služba, Bezpečnostné služby - WAF, IDS/IPS, správa certifikátov)//| |//(Relevantné parametre)//
2724		-|(((
2725		-ďalšie...
2726		-
2727		-(uviesť názov)
2728		-)))| | |
2729		-
2730		-//Tabuľka 32 Predpokladané kapacity ďalších cloudových (infraštruktúrnych) služieb//
2731		-
2732		-//Tabuľka 32 Predpokladané kapacity ďalších cloudových (infraštruktúrnych) služieb//
2733		-⁴ //Opäť, parametre sú **ilustračné** a musia byť spresnené na základe špecifikácií služieb z Katalógu VC a potrieb projektu.//
2734		-
2735		-Požiadavky na služby vládneho cloudu budú detailne komunikované a konzultované s prevádzkovateľom vládneho cloudu (napr. MV SR) pred vyhlásením verejného obstarávania na dodávateľa IS AkcieOkolo, aby sa zabezpečila ich dostupnosť, vhodnosť a správny sizing.
2736		-
2737		-Vzhľadom na stratégiu prioritného využívania vládneho cloudu sa v tejto fáze neuvažuje o využití vlastných výpočtových zdrojov žiadateľa evidovaných v MetaIS pre produkčnú prevádzku kľúčových komponentov IS AkcieOkolo. Ak by analýza v neskorších fázach ukázala nevyhnutnosť takéhoto prístupu pre niektorú špecifickú časť, bude to riadne zdôvodnené a zaevidované.
2738		-
2739		-
2740		-= **5.7 Bezpečnostná architektúra** =
2741		-
2742		-Bezpečnostná architektúra projektu "Zaži mestá a obce, zaži Slovensko" a jeho informačného systému IS AkcieOkolo je navrhnutá tak, aby zabezpečila ochranu všetkých aktív projektu – dát, aplikácií, infraštruktúry a používateľov – pred širokým spektrom hrozieb a rizík. Cieľom je dosiahnuť požadovanú úroveň dôvernosti, integrity a dostupnosti (CIA triad) informácií a služieb poskytovaných systémom.
2743		-
2744		-== **5.7.2 Návrh riešenia bezpečnosti** ==
2745		-
2746		-**Popis súčasného (AS IS) stavu bezpečnostnej architektúry:**
2747		-
2748		-Vzhľadom na to, že v súčasnosti **neexistuje centrálny informačný systém** pre agendu manažmentu kultúrnych podujatí na celoštátnej úrovni, neexistuje ani jednotná alebo koordinovaná bezpečnostná architektúra pre túto oblasť.
2749		-
2750		-* **Dáta:** Sú fragmentované, často uložené na lokálnych nezabezpečených úložiskách, v bežných kancelárskych dokumentoch alebo v rôznych izolovaných lokálnych databázach s variabilnou úrovňou zabezpečenia. Neexistuje jednotná politika ochrany týchto dát.
2751		-* **Aplikácie:** Ak existujú lokálne aplikačné riešenia, ich úroveň zabezpečenia (napr. autentifikácia, autorizácia, ochrana pred bežnými webovými zraniteľnosťami) je veľmi rôznorodá a často nedostatočná. Neexistuje centrálny manažment zraniteľností.
2752		-* **Infraštruktúra:** Neexistuje jednotná infraštruktúra. Prípadné lokálne servery alebo hostingové služby majú rôznu úroveň fyzickej a sieťovej bezpečnosti.
2753		-* **Používatelia a prístupy:** Manažment prístupov je decentralizovaný, neštandardizovaný a často založený na slabých autentifikačných metódach. Chýba centrálny audit prístupov.
2754		-* **Celkový stav:** Súčasný stav predstavuje významné bezpečnostné riziká z hľadiska dôvernosti (únik osobných údajov organizátorov, predajcov), integrity (možnosť neoprávnenej modifikácie dát o podujatiach) a dostupnosti (výpadky lokálnych systémov, strata dát). Chýba systematický prístup k riadeniu informačnej bezpečnosti pre túto agendu.
2755		-
2756		-Rozdiel medzi súčasným stavom (absencia centrálneho zabezpečenia) a budúcim (komplexné zabezpečenie IS AkcieOkolo) je teda fundamentálny.
2757		-
2758		-**Popis navrhovaného budúceho (TO BE) stavu riešenia bezpečnostnej architektúry:**
2759		-
2760		-Navrhovaný budúci (TO BE) stav bezpečnostnej architektúry pre IS AkcieOkolo bude implementovaný na princípe "security by design" (bezpečnosť ako súčasť návrhu) a "defense in depth" (hĺbková obrana), pričom bude pokrývať všetky relevantné vrstvy a aspekty. Bezpečnostné opatrenia a požiadavky budú vychádzať z:
2761		-
2762		-1. **Ohodnotenia rizík a identifikovaných hrozieb:** Bola/Bude vykonaná analýza rizík pre IS AkcieOkolo, ktorá identifikovala potenciálne hrozby (napr. neoprávnený prístup, únik dát, DDoS útoky, malware, zlyhanie hardvéru, ľudské chyby), zraniteľnosti a odhadla ich potenciálny dopad. Na základe tejto analýzy sú navrhované primerané protiopatrenia.
2763		-1. **Legislatívnych, právnych a zmluvných požiadaviek:** Bezpečnostná architektúra bude v plnom súlade s:
2764		-1*. Zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti.
2765		-1*. Vyhláškou NBÚ č. 362/2018 Z. z. (obsah bezpečnostných opatrení a dokumentácie).
2766		-1*. Vyhláškou ÚPVII č. 179/2020 Z. z. (kategorizácia a bezpečnostné opatrenia ITVS).
2767		-1*. Zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe.
2768		-1*. Nariadením GDPR a zákonom č. 18/2018 Z. z. o ochrane osobných údajov.
2769		-1*. Relevantnými štandardmi a normami (napr. rodina ISO/IEC 27000).
2770		-1*. Zmluvnými požiadavkami voči dodávateľom a prevádzkovateľovi vládneho cloudu.
2771		-1. **Sady princípov, cieľov a interných smerníc organizácie:** Zohľadnia sa bezpečnostné politiky a smernice ZMOS a AkcieOkolo, z.z.p.o., ako aj osvedčené postupy v oblasti informačnej bezpečnosti.
2772		-
2773		-**Postupy na dosiahnutie potrebnej úrovne bezpečnosti a zabezpečenie aktív projektu:**
2774		-
2775		-**A. Dôvernosť údajov:**
2776		-
2777		-* **Kontrola prístupu:**
2778		-** Implementácia robustného systému riadenia identít a prístupov (IAM) s využitím spoločného modulu **IAM ÚPVS (as_59698)** pre autentifikáciu oprávnených pracovníkov VS.
2779		-** Pre ostatných používateľov (občania, organizátori, predajcovia) bude implementovaná bezpečná registrácia a autentifikácia (napr. silné heslá, voliteľná dvojfaktorová autentifikácia).
2780		-** Princíp najnižších potrebných oprávnení (least privilege) – používatelia budú mať prístup len k tým dátam a funkcionalitám, ktoré nevyhnutne potrebujú pre výkon svojich úloh.
2781		-** Detailné prideľovanie rolí a oprávnení v rámci IS AkcieOkolo.
2782		-* **Šifrovanie:**
2783		-** Šifrovanie citlivých dát pri prenose (HTTPS/TLS pre všetku komunikáciu).
2784		-** Šifrovanie citlivých dát v úložisku (encryption at rest), najmä pre databázy obsahujúce osobné údaje a pre zálohy. Využitie možností šifrovania poskytovaných službami vládneho cloudu.
2785		-* **Prevencia úniku dát (DLP):**
2786		-** Technické a organizačné opatrenia na minimalizáciu rizika úniku citlivých dát (napr. audit prístupov, monitoring).
2787		-* **Anonymizácia/Pseudonymizácia:**
2788		-** Pre analytické a otvorené dáta budú implementované procesy anonymizácie alebo pseudonymizácie osobných údajov.
2789		-
2790		-**B. Integrita údajov:**
2791		-
2792		-* **Validácia vstupov:** Dôsledná validácia všetkých vstupných dát na strane klienta aj servera na predchádzanie chybám a útokom (napr. SQL injection, XSS).
2793		-* **Kontrola konzistencie dát:** Implementácia databázových integritných obmedzení (constraints), transakčné spracovanie.
2794		-* **Ochrana pred neoprávnenou modifikáciou:** Riadenie prístupov, auditné záznamy o všetkých zmenách kritických dát.
2795		-* **Zálohovanie a obnova:** Pravidelné a testované zálohovanie všetkých dát s definovaným RPO (Recovery Point Objective) pre minimalizáciu straty dát.
2796		-* **Digitálne podpisy (ak relevantné):** Pre zabezpečenie integrity a autenticity dôležitých elektronických dokumentov generovaných systémom (napr. povolenia) sa zváži použitie kvalifikovaného elektronického podpisu/pečate.
2797		-
2798		-**C. Dostupnosť služieb a údajov:**
2799		-
2800		-* **Redundancia infraštruktúry:** Využitie redundantných komponentov v rámci vládneho cloudu (napr. redundantné servery, úložiská, sieťové pripojenia) na zabezpečenie vysokej dostupnosti (High Availability).
2801		-* **Vyrovnávanie záťaže (Load Balancing):** Nasadenie load balancerov na rozloženie záťaže medzi viaceré servery a zabezpečenie plynulej prevádzky aj pri vysokom počte používateľov.
2802		-* **Ochrana pred DDoS útokmi:** Implementácia opatrení na detekciu a mitigáciu DDoS útokov, využitie služieb poskytovaných vládnym cloudom alebo špecializovaných poskytovateľov.
2803		-* **Plán obnovy po havárii (Disaster Recovery Plan - DRP):** Vypracovanie a pravidelné testovanie DRP pre obnovu systému a dát v prípade rozsiahleho výpadku alebo havárie. Definované RTO (Recovery Time Objective).
2804		-* **Monitoring a proaktívna údržba:** Kontinuálny monitoring stavu systému a infraštruktúry na včasnú detekciu problémov a predchádzanie výpadkom.
2805		-
2806		-**Bezpečnosť na jednotlivých vrstvách architektúry:**
2807		-
2808		-* **Biznis vrstva:** Definovanie bezpečnostných politík, školenia používateľov o bezpečnom správaní, riadenie incidentov.
2809		-* **Aplikačná vrstva:** Bezpečný vývoj softvéru (SDL - Secure Development Lifecycle), ochrana pred bežnými aplikačnými zraniteľnosťami (OWASP Top 10), bezpečné API, riadenie prístupov na úrovni aplikácie.
2810		-* **Dátová vrstva:** Šifrovanie databáz, riadenie prístupu k databáze, audit prístupu k dátam, bezpečné zálohovanie.
2811		-* **Technologická (Infraštruktúrna) vrstva:** Zabezpečenie siete (firewally, segmentácia, IDS/IPS), zabezpečenie serverov (hardening, patch management), fyzická bezpečnosť dátových centier (zabezpečená prevádzkovateľom vládneho cloudu).
2812		-
2813		-**Bezpečnostná dokumentácia:**
2814		-Bude vypracovaný **Bezpečnostný projekt IS AkcieOkolo** v súlade s vyhláškou NBÚ č. 362/2018 Z. z. a vyhláškou ÚPVII č. 179/2020 Z. z., ktorý bude detailne popisovať všetky implementované bezpečnostné opatrenia, analýzu rizík, politiky a procedúry.
2815		-
2816		-Návrh bezpečnostnej architektúry IS AkcieOkolo bude dynamický a bude sa priebežne aktualizovať v reakcii na nové hrozby, zraniteľnosti a zmeny v legislatíve alebo technologickom prostredí.
2817		-
2818		-== **5.7.3 Určenie obsahu bezpečnostných opatrení** ==
2819		-
2820		-Určenie obsahu a rozsahu bezpečnostných opatrení pre informačný systém AkcieOkolo vychádza primárne z platnej legislatívy Slovenskej republiky, najmä z Vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu (ÚPVII, teraz MIRRI SR) č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy (ďalej len "Vyhláška ÚPVII č. 179/2020 Z. z.").
2821		-
2822		-**Kategorizácia IS AkcieOkolo:**
2823		-Pred určením minimálnych bezpečnostných opatrení je nevyhnutné vykonať **kategorizáciu IS AkcieOkolo** podľa § 2 Vyhlášky ÚPVII č. 179/2020 Z. z. Táto kategorizácia sa vykonáva na základe posúdenia klasifikačných stupňov informačných aktív (dôvernosť, integrita, dostupnosť), ktoré bude IS AkcieOkolo spracúvať, a to v súlade s Metodickým usmernením MIRRI SR č. 023107/2023/oSBATA-1.
2824		-Na základe predbežnej analýzy typov údajov (verejné informácie o podujatiach, osobné údaje organizátorov a predajcov sa predpokladá, že IS AkcieOkolo bude s najväčšou pravdepodobnosťou zaradený do **Kategórie II** alebo **Kategórie III**. Finálne zaradenie bude výsledkom detailnej klasifikácie informačných aktív. Pre účely tejto tabuľky budeme zatiaľ uvažovať s vyššou kategóriou, aby sme pokryli širší rozsah opatrení. Ak výsledná kategorizácia bude nižšia, rozsah opatrení sa adekvátne upraví.
2825		-
2826		-//Predpokladaná kategorizácia pre účely tejto tabuľky: **Kategória II / III**// (Toto sa musí nahradiť reálnym výsledkom kategorizácie!)
2827		-
2828		-**Požiadavka na vypracovanie Bezpečnostného projektu:**
2829		-V súlade s § 8a vyhlášky MIRRI SR č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy a § 23 ods. 1 a 2 zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe, **bude pre IS AkcieOkolo vypracovaný samostatný Bezpečnostný projekt**. Tento Bezpečnostný projekt bude výstupom etapy R3-4 (Detailný návrh riešenia) a jeho náležitosti budú v súlade s prílohou č. 3 Vyhlášky ÚPVII č. 179/2020 Z. z.
2830		-
2831		-**Požiadavky na aplikáciu bezpečnostných opatrení podľa osobitných predpisov:**
2832		-Okrem Vyhlášky ÚPVII č. 179/2020 Z. z. budú pri návrhu a implementácii IS AkcieOkolo aplikované bezpečnostné opatrenia vyplývajúce najmä z:
2833		-
2834		-* **Zákona č. 18/2018 Z. z. o ochrane osobných údajov** a Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) – najmä opatrenia na ochranu osobných údajov registrovaných používateľov (organizátori, predajcovia, občania).
2835		-* **Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti** – ak by bol IS AkcieOkolo identifikovaný ako súčasť kritickej infraštruktúry alebo významný informačný systém z pohľadu kybernetickej bezpečnosti.
2836		-* Relevantných technických noriem a osvedčených postupov (napr. rodina ISO/IEC 27000, odporúčania NBÚ a CSIRT.SK).
2837		-
2838		-**Prehľad hlavných zdrojov minimálnych bezpečnostných opatrení:**
2839		-
2840		-|**Obsah bezpečnostných opatrení podľa vyhlášky ÚPVII č. 179/2020 Z. z**|**Aplikované opatrenia**|**Aplikovaná legislatíva**
2841		-|Minimálne bezpečnostné opatrenia Kategórie I|Vyberte položku.|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva
2842		-|Minimálne bezpečnostné opatrenia Kategórie II|Vyberte položku.|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva
2843		-|Minimálne bezpečnostné opatrenia Kategórie III|Vyberte položku.|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva
2844		-|Bezpečnostný projekt|Vyberte položku.|§ 23 ods. 1 a 2 zákona 95/2019 Z.z.
2845		-|Bezpečnostné opatrenia podľa osobitného predpisu|Vyberte položku.|Doplňte osobitný predpis alebo odkaz na predpisy, podľa ktorých budú aplikované ďalšie bezp. opatrenia
2846		-
2847		-//Tabuľka 33 Určenie zdrojov a obsahu minimálnych bezpečnostných opatrení//
2848		-
2849		-//¹ Poznámka: Vo finálnom dokumente by mal byť stĺpec "APLIKOVANÉ OPATRENIA" vyplnený jednoznačne ("Aplikujú sa" / "Neaplikujú sa" / "Čiastočne sa aplikujú s odôvodnením") na základe výslednej kategorizácie IS AkcieOkolo. Ak je systém napr. Kategórie II, aplikujú sa opatrenia pre Kat. I aj Kat. II.//
2850		-
2851		-
2852		-**Zapísanie požiadaviek do Katalógu požiadaviek (I-04):**
2853		-
2854		-1. **Minimálne bezpečnostné opatrenia:** Do I-04 Katalógu požiadaviek budú zapísané konkrétne nefunkčné požiadavky (NRxx) odvodené z príslušnej kategórie minimálnych bezpečnostných opatrení podľa Vyhlášky ÚPVII č. 179/2020 Z. z. (Príloha č. 1 – Katalóg minimálnych bezpečnostných opatrení). Každé relevantné opatrenie bude transformované na špecifickú požiadavku pre IS AkcieOkolo.
2855		-1*. //Príklad požiadavky~:// NR_BEZP_001: Systém musí zabezpečiť silnú autentifikáciu pre administrátorské účty v súlade s opatrením XY z Katalógu MBO.
2856		-1. **Upresnenie vyplývajúce z analýzy rizík:** Do I-04 Katalógu požiadaviek budú doplnené špecifické bezpečnostné požiadavky, ktoré vyplynú z detailnej analýzy rizík (identifikované hrozby a zraniteľnosti) pre IS AkcieOkolo a dáta v ňom spracúvané. Tieto požiadavky môžu byť prísnejšie alebo špecifickejšie ako minimálne opatrenia.
2857		-1*. //Príklad požiadavky~:// NR_BEZP_002: Systém musí implementovať mechanizmus na detekciu podozrivých pokusov o prihlásenie a automaticky blokovať účty po X neúspešných pokusoch.
2858		-1. **Upresnenie podľa osobitných predpisov:** Do I-04 Katalógu požiadaviek budú zapísané bezpečnostné požiadavky vyplývajúce z GDPR (napr. požiadavky na pseudonymizáciu, právo na zabudnutie, záznamy o spracovateľských činnostiach, posúdenie vplyvu na ochranu údajov - DPIA) a prípadne zo zákona o kybernetickej bezpečnosti.
2859		-1*. //Príklad požiadavky~:// NR_GDPR_001: Systém musí umožniť export osobných údajov používateľa v strojovo čitateľnom formáte na jeho žiadosť.
2860		-1. **Požiadavka na vypracovanie Bezpečnostného projektu:** Do I-04 Katalógu požiadaviek bude explicitne zaradená požiadavka na dodanie a pravidelnú aktualizáciu komplexného Bezpečnostného projektu IS AkcieOkolo ako jedného z kľúčových výstupov. Bude definovaná jeho štruktúra a obsah v súlade s Prílohou č. 3 Vyhlášky ÚPVII č. 179/2020 Z. z. Bezpečnostný projekt bude pripravovaný a dodaný súčasne s Detailným návrhom riešenia (DNR, projektový výstup R1-1) a bude aktualizovaný počas celej realizačnej fázy.
2861		-
2862		-Samotný Bezpečnostný projekt IS AkcieOkolo bude podrobným dokumentom, ktorý bude detailne popisovať analýzu bezpečnostných rizík, klasifikáciu a kategorizáciu aktív, navrhnuté a implementované bezpečnostné opatrenia, zodpovednosti, plány kontinuity činností a obnovy po havárii, ako aj postupy pre riadenie bezpečnostných incidentov.
2863		-
2864		-
2865		-
2866		-Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,
2867		-
2868		-Navrhovaná bezpečnostná architektúra informačného systému AkcieOkolo a s ním súvisiace procesy musia byť v plnom súlade s relevantnými legislatívnymi, právnymi, štatutárnymi, regulačnými a zmluvnými požiadavkami. Tieto požiadavky definujú minimálnu úroveň bezpečnosti, ktorú musí systém spĺňať, ako aj povinnosti pri manipulácii s dátami, zabezpečení výpočtovej techniky a ochrane používateľov.
2869		-
2870		-**Kľúčová legislatíva a regulačné požiadavky, ktoré musí IS AkcieOkolo a jeho prevádzka spĺňať:**
2871		-
2872		-1. **Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (Zákon o ITVS):**
2873		-1*. Tento zákon ustanovuje základné pravidlá pre tvorbu, správu, prevádzku a rozvoj informačných technológií verejnej správy. IS AkcieOkolo musí spĺňať jeho požiadavky týkajúce sa napr. evidencie v MetaIS, dodržiavania štandardov, riadenia projektov, bezpečnosti a interoperability.
2874		-1. **Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov:**
2875		-1*. Ak by IS AkcieOkolo alebo jeho časť bola klasifikovaná ako súčasť informačného systému základnej služby alebo kritickej infraštruktúry (čo sa v tejto fáze nepredpokladá, ale treba priebežne monitorovať), vzťahovali by sa naň prísne požiadavky tohto zákona týkajúce sa bezpečnostných opatrení, hlásenia kybernetických bezpečnostných incidentov a spolupráce s Národným bezpečnostným úradom (NBÚ) a CSIRT.SK. Bez ohľadu na klasifikáciu budú princípy tohto zákona brané do úvahy pri návrhu bezpečnostných opatrení.
2876		-1. **Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (v znení neskorších predpisov):**
2877		-1*. Táto vyhláška definuje konkrétne bezpečnostné opatrenia, ktoré musia byť implementované v závislosti od klasifikácie informačného systému (najmä v kontexte ochrany utajovaných skutočností, ak by boli relevantné, čo pre IS AkcieOkolo nie je primárny predpoklad). Mnohé z jej princípov sú však aplikovateľné aj na všeobecnú informačnú bezpečnosť.
2878		-1. **Zákon č. 45/2011 Z. z. o kritickej infraštruktúre:**
2879		-1*. Momentálne sa nepredpokladá, že by IS AkcieOkolo priamo spadal pod definíciu kritickej infraštruktúry. Tento aspekt sa však bude monitorovať.
2880		-1. **Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu (teraz MIRRI SR) č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy:**
2881		-1*. IS AkcieOkolo musí byť v súlade s touto vyhláškou, ktorá definuje štandardy pre rôzne aspekty ITVS, vrátane používateľských rozhraní, interoperability, otvorených dát, bezpečnosti a formátov.
2882		-1. **Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu (teraz MIRRI SR) č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy:**
2883		-1*. Kľúčová vyhláška pre IS AkcieOkolo. Na jej základe bude systém kategorizovaný a budú implementované minimálne bezpečnostné opatrenia pre príslušnú kategóriu (I, II alebo III). Táto vyhláška je hlavným zdrojom pre definovanie bezpečnostných požiadaviek v Katalógu požiadaviek (I-04) a pre tvorbu Bezpečnostného projektu.
2884		-1. **Ochrana osobných údajov:**
2885		-1*. **Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov - GDPR):** Absolútne kľúčový predpis. IS AkcieOkolo bude spracúvať osobné údaje organizátorov, predajcov, registrovaných občanov a potenciálne aj ďalších osôb. Musia byť implementované všetky princípy GDPR (zákonnosť, spravodlivosť, transparentnosť, minimalizácia údajov, presnosť, obmedzenie uloženia, integrita a dôvernosť, zodpovednosť prevádzkovateľa).
2886		-1*. **Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov:** Národný zákon implementujúci a doplňujúci GDPR.
2887		-1*. **Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov (DPIA):** Pre spracovateľské operácie s vysokým rizikom pre práva a slobody fyzických osôb (čo môže byť relevantné pre niektoré aspekty IS AkcieOkolo, napr. rozsiahle profilovanie alebo spracovanie citlivých dát, ak by k tomu došlo) bude potrebné vykonať DPIA.
2888		-1. **Ďalšie relevantné predpisy:**
2889		-1*. Zákon č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci (Zákon o e-Governmente) – týka sa využívania spoločných modulov, elektronických schránok, referenčných údajov.
2890		-1*. Autorský zákon (zákon č. 185/2015 Z. z.) – pri spracúvaní obsahu podujatí, fotografií atď.
2891		-1*. Obchodný zákonník, Občiansky zákonník – pri uzatváraní zmlúv s dodávateľmi, používateľmi.
2892		-
2893		-**Metodiky CSIRT.SK a iné osvedčené postupy:**
2894		-Okrem legislatívnych nariadení budú pri návrhu a implementácii bezpečnostných opatrení IS AkcieOkolo využité odporúčania a metodiky vydané Jednotkou pre riešenie kybernetických bezpečnostných incidentov CSIRT.SK ([[https:~~/~~/csirt.sk/metodiky-a-hardening.html>>url:https://www.google.com/url?sa=E&q=https%3A%2F%2Fcsirt.sk%2Fmetodiky-a-hardening.html]]), ako napríklad:
2895		-
2896		-* Metodika pre systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti.
2897		-* Príručky pre hardening operačných systémov a aplikácií (napr. Ochrana pred útokmi DDoS, Linux Hardening, Windows Hardening Guides).
2898		-* Odporúčania pre bezpečnosť webových aplikácií (napr. Check list pre bezpečnosť webových aplikácií).
2899		-
2900		-Budú taktiež aplikované medzinárodne uznávané štandardy a osvedčené postupy, ako sú odporúčania OWASP pre bezpečnosť webových aplikácií, NIST Cybersecurity Framework, alebo relevantné normy z rodiny ISO/IEC 27000.
2901		-
2902		-**Interné smernice a relevantné metodické materiály organizácie (AkcieOkolo, z.z.p.o. / ZMOS):**
2903		-
2904		-* Počas realizácie projektu budú vypracované alebo aktualizované **interné bezpečnostné smernice** pre prevádzku a správu IS AkcieOkolo. Tieto smernice budú zahŕňať minimálne:
2905		-** Politiku informačnej bezpečnosti špecifickú pre IS AkcieOkolo.
2906		-** Smernicu pre riadenie prístupov a správu používateľských účtov.
2907		-** Smernicu pre zálohovanie a obnovu dát.
2908		-** Plán kontinuity činností a obnovy po havárii (BCP/DRP) pre IS AkcieOkolo.
2909		-** Postupy pre riadenie bezpečnostných incidentov.
2910		-** Smernicu pre bezpečný vývoj a údržbu softvéru (ak bude vývoj prebiehať aj interne).
2911		-* Využívať sa budú aj **metodické pokyny MIRRI SR** pre evidenciu v MetaIS, riadenie projektov ITVS, využívanie vládneho cloudu a pod.
2912		-
2913		-**Zmluvné požiadavky:**
2914		-
2915		-* Všetky zmluvy s dodávateľmi IS AkcieOkolo, poskytovateľmi cloudových služieb a inými partnermi budú obsahovať jasné ustanovenia týkajúce sa bezpečnostných povinností, ochrany dát, dodržiavania SLA a zodpovednosti za bezpečnostné incidenty.
2916		-* Bude vypracovaná Zmluva o podpore prevádzky (SLA), ktorá bude špecifikovať parametre dostupnosti, riešenia incidentov a bezpečnostné záruky.
2917		-
2918		-Dôsledné dodržiavanie týchto legislatívnych, právnych, štatutárnych, regulačných a zmluvných požiadaviek je nevyhnutným predpokladom pre vybudovanie dôveryhodného a bezpečného informačného systému AkcieOkolo.