Naposledy upravil Jaroslav Zmajkovič 2025/09/22 08:59
Z verzie 5.338
upravil Dušan Macháček
-
Zmeniť komentár: (Autosaved)
Do verzie 5.339
upravil Dušan Macháček
-
Zmeniť komentár: (Autosaved)

Súhrn

Podrobnosti

Vlastnosti stránky
Obsah
... ... @@ -2861,10 +2861,8 @@
2861 2861  
2862 2862  Samotný Bezpečnostný projekt IS AkcieOkolo bude podrobným dokumentom, ktorý bude detailne popisovať analýzu bezpečnostných rizík, klasifikáciu a kategorizáciu aktív, navrhnuté a implementované bezpečnostné opatrenia, zodpovednosti, plány kontinuity činností a obnovy po havárii, ako aj postupy pre riadenie bezpečnostných incidentov.
2863 2863  
2864 +== **5.7.4 Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,** ==
2864 2864  
2865 -
2866 -Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,
2867 -
2868 2868  Navrhovaná bezpečnostná architektúra informačného systému AkcieOkolo a s ním súvisiace procesy musia byť v plnom súlade s relevantnými legislatívnymi, právnymi, štatutárnymi, regulačnými a zmluvnými požiadavkami. Tieto požiadavky definujú minimálnu úroveň bezpečnosti, ktorú musí systém spĺňať, ako aj povinnosti pri manipulácii s dátami, zabezpečení výpočtovej techniky a ochrane používateľov.
2869 2869  
2870 2870  **Kľúčová legislatíva a regulačné požiadavky, ktoré musí IS AkcieOkolo a jeho prevádzka spĺňať:**
... ... @@ -2916,3 +2916,54 @@
2916 2916  * Bude vypracovaná Zmluva o podpore prevádzky (SLA), ktorá bude špecifikovať parametre dostupnosti, riešenia incidentov a bezpečnostné záruky.
2917 2917  
2918 2918  Dôsledné dodržiavanie týchto legislatívnych, právnych, štatutárnych, regulačných a zmluvných požiadaviek je nevyhnutným predpokladom pre vybudovanie dôveryhodného a bezpečného informačného systému AkcieOkolo.
2917 +
2918 +== **5.7.5 Riešenie autentifikácie a prístupov používateľov** ==
2919 +
2920 +Efektívne a bezpečné riešenie autentifikácie a riadenia prístupov používateľov je kritickou súčasťou bezpečnostnej architektúry informačného systému AkcieOkolo. Cieľom je zabezpečiť, aby k systému a jeho dátam pristupovali len oprávnené osoby, a to len v rozsahu nevyhnutnom pre výkon ich úloh, pri súčasnom zabezpečení čo najvyššieho používateľského komfortu tam, kde je to možné.
2921 +
2922 +**A. Požiadavky na autentifikáciu používateľov:**
2923 +
2924 +1. **Interní používatelia (pracovníci samospráv, administrátori AkcieOkolo, z.z.p.o.):**
2925 +1*. **Preferovaná metóda: Jednotné prihlásenie (Single Sign-On - SSO) s využitím IAM ÚPVS.**
2926 +1**. Pre všetkých pracovníkov orgánov verejnej moci (samosprávy) a administrátorov systému IS AkcieOkolo (z AkcieOkolo, z.z.p.o.), ktorí vyžadujú prístup k neverejným, administratívnym častiam systému, bude primárne implementovaná autentifikácia prostredníctvom **Autentifikačného modulu IAM Ústredného portálu verejnej správy (as_59698)**.
2927 +1**. **Zdôvodnenie:** Tento prístup zabezpečuje vysokú úroveň bezpečnosti, využíva existujúcu a štandardizovanú infraštruktúru eGovernmentu (eID, menné priestory), podporuje princíp jednotného prihlásenia pre používateľov naprieč rôznymi ISVS a znižuje potrebu spravovať samostatné heslá pre IS AkcieOkolo.
2928 +1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_001: Systém musí umožniť autentifikáciu interných používateľov (pracovníci samospráv, administrátori) prostredníctvom IAM ÚPVS.
2929 +1*. **Minimálna úroveň autentifikácie:** V súlade s požiadavkami na prístup k ISVS a citlivosťou dát, bude pre prístup k administratívnym funkciám vyžadovaná primeraná úroveň zabezpečenia autentifikácie (napr. dvojfaktorová autentifikácia, ak to IAM ÚPVS podporuje a kontext vyžaduje).
2930 +1. **Externí používatelia (Organizátori podujatí, Predajcovia/Účastníci – ak nie sú pracovníkmi VS; Občania/Návštevníci):**
2931 +1*. **Organizátori a Predajcovia/Účastníci (ak ide o PO alebo FO-podnikateľov, ktorí nie sú súčasťou VS):**
2932 +1**. Bude implementovaný robustný **registračný a autentifikačný mechanizmus priamo v IS AkcieOkolo**.
2933 +1**. Počiatočná registrácia bude vyžadovať overenie identity subjektu (napr. prostredníctvom IČO a následnej validácie voči RPO/ŽR, alebo iného vhodného mechanizmu pre overenie zástupcu PO/FO).
2934 +1**. Autentifikácia bude založená na kombinácii používateľského mena (napr. e-mail) a silného hesla spĺňajúceho definované politiky komplexnosti a exspirácie.
2935 +1**. Bude zvážená implementácia **dvojfaktorovej autentifikácie (2FA)** (napr. SMS kód, OTP aplikácia) ako voliteľnej alebo povinnej pre prístup k citlivejším operáciám alebo k profilovým údajom.
2936 +1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_002: Systém musí umožniť bezpečnú registráciu a prihlásenie pre organizátorov a predajcov pomocou mena a hesla, s implementovanou politikou silných hesiel. NR_AUTH_001: Systém by mal podporovať 2FA pre organizátorov a predajcov.
2937 +1*. **Občania/Návštevníci (pre prístup k personalizovaným funkciám portálu/aplikácie):**
2938 +1**. Jednoduchá registrácia a autentifikácia pomocou e-mailu a hesla.
2939 +1**. Možnosť využitia **prihlásenia prostredníctvom sociálnych sietí** (Social Login – napr. cez Google, Facebook, Apple ID), ak to bude vyhodnotené ako bezpečné a prínosné pre používateľský komfort, s jasným informovaním o rozsahu zdieľaných dát.
2940 +1**. Anonymný prístup k verejným informáciám o podujatiach bude možný bez nutnosti autentifikácie.
2941 +1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_003: Systém musí umožniť anonymný prístup k verejným častiam. FR_AUTH_004: Systém musí umožniť registráciu občanov pomocou e-mailu a hesla. NR_AUTH_002: Zvážiť implementáciu prihlásenia cez sociálne siete.
2942 +
2943 +**B. Požiadavky na používateľské role, správu prístupov a správu aplikácie:**
2944 +
2945 +IS AkcieOkolo bude implementovať **systém riadenia prístupu založený na rolách (Role-Based Access Control - RBAC)**. Každému používateľskému účtu bude priradená jedna alebo viac rolí, ktoré budú definovať jeho oprávnenia v systéme.
2946 +
2947 +1. **Definícia hlavných používateľských rolí:**
2948 +1*. **Administrátor Systému (AkcieOkolo, z.z.p.o.):** Najvyššie oprávnenia, správa celého systému, konfigurácia, manažment používateľov najvyššej úrovne, správa číselníkov, monitoring, audit.
2949 +1*. **Pracovník Samosprávy (Schvaľovateľ/Koordinátor):** Správa podujatí v rámci územnej pôsobnosti samosprávy, schvaľovanie registrácií podujatí, schvaľovanie účasti predajcov, komunikácia s organizátormi, prístup k relevantným reportom a štatistikám. Môžu existovať pod-role (napr. referent vs. vedúci s vyššími oprávneniami).
2950 +1*. **Organizátor Podujatia:** Registrácia a správa vlastných podujatí, správa žiadostí od predajcov pre svoje podujatia (ak mu to samospráva deleguje), prístup k štatistikám o svojich podujatiach.
2951 +1*. **Predajca/Účastník Podujatia:** Vytvorenie a správa svojho digitálneho profilu, podávanie žiadostí o účasť na podujatiach, prehľad o svojich schválených účastiach.
2952 +1*. **Registrovaný Občan/Návštevník:** Prístup k personalizovaným funkciám portálu/aplikácie (napr. ukladanie obľúbených podujatí, nastavenie notifikácií, písanie recenzií – ak bude implementované).
2953 +1*. **Anonymný Návštevník:** Prístup len k verejne dostupným informáciám o podujatiach.
2954 +1*. //Katalóg požiadaviek (príklad)~:// FR_RBAC_001: Systém musí implementovať minimálne definované používateľské role (Administrátor, Pracovník Samosprávy, Organizátor, Predajca, Občan).
2955 +1. **Správa prístupov:**
2956 +1*. Princíp najnižších potrebných oprávnení (least privilege) bude aplikovaný pre všetky role.
2957 +1*. Možnosť detailnej konfigurácie oprávnení pre jednotlivé funkcie a dátové objekty administrátorom systému.
2958 +1*. Auditné záznamy o všetkých zmenách oprávnení a prístupoch k citlivým funkciám.
2959 +1*. Proces pre schvaľovanie a odoberanie prístupov.
2960 +1*. //Katalóg požiadaviek (príklad)~:// NR_RBAC_001: Prístupové práva musia byť granulárne a prideľované na základe princípu najnižších oprávnení.
2961 +1. **Správa aplikácie (z pohľadu bezpečnosti):**
2962 +1*. Možnosť centrálnej deaktivácie/aktivácie používateľských účtov.
2963 +1*. Monitoring podozrivej aktivity a bezpečnostných incidentov.
2964 +1*. Nástroje pre administrátorov na správu bezpečnostných nastavení systému (napr. politika hesiel, konfigurácia 2FA).
2965 +1*. Pravidelné bezpečnostné aktualizácie a patch management všetkých komponentov systému.
2966 +
2967 +Všetky špecifické požiadavky na autentifikáciu, autorizáciu a riadenie prístupov, vrátane detailného matice rolí a oprávnení, budú zapísané a spravované v **I-04 Katalóg požiadaviek**.