Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)

Súhrn

• Vlastnosti stránky (1 modified, 0 added, 0 removed)

Podrobnosti

Vlastnosti stránky

Obsah

...	...	@@ -2861,10 +2861,8 @@
2861	2861
2862	2862	Samotný Bezpečnostný projekt IS AkcieOkolo bude podrobným dokumentom, ktorý bude detailne popisovať analýzu bezpečnostných rizík, klasifikáciu a kategorizáciu aktív, navrhnuté a implementované bezpečnostné opatrenia, zodpovednosti, plány kontinuity činností a obnovy po havárii, ako aj postupy pre riadenie bezpečnostných incidentov.
2863	2863
	2864	+== **5.7.4 Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,** ==
2864	2864
2865		-
2866		-Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,
2867		-
2868	2868	Navrhovaná bezpečnostná architektúra informačného systému AkcieOkolo a s ním súvisiace procesy musia byť v plnom súlade s relevantnými legislatívnymi, právnymi, štatutárnymi, regulačnými a zmluvnými požiadavkami. Tieto požiadavky definujú minimálnu úroveň bezpečnosti, ktorú musí systém spĺňať, ako aj povinnosti pri manipulácii s dátami, zabezpečení výpočtovej techniky a ochrane používateľov.
2869	2869
2870	2870	**Kľúčová legislatíva a regulačné požiadavky, ktoré musí IS AkcieOkolo a jeho prevádzka spĺňať:**
...	...	@@ -2916,3 +2916,132 @@
2916	2916	* Bude vypracovaná Zmluva o podpore prevádzky (SLA), ktorá bude špecifikovať parametre dostupnosti, riešenia incidentov a bezpečnostné záruky.
2917	2917
2918	2918	Dôsledné dodržiavanie týchto legislatívnych, právnych, štatutárnych, regulačných a zmluvných požiadaviek je nevyhnutným predpokladom pre vybudovanie dôveryhodného a bezpečného informačného systému AkcieOkolo.
	2917	+
	2918	+== **5.7.5 Riešenie autentifikácie a prístupov používateľov** ==
	2919	+
	2920	+Efektívne a bezpečné riešenie autentifikácie a riadenia prístupov používateľov je kritickou súčasťou bezpečnostnej architektúry informačného systému AkcieOkolo. Cieľom je zabezpečiť, aby k systému a jeho dátam pristupovali len oprávnené osoby, a to len v rozsahu nevyhnutnom pre výkon ich úloh, pri súčasnom zabezpečení čo najvyššieho používateľského komfortu tam, kde je to možné.
	2921	+
	2922	+**A. Požiadavky na autentifikáciu používateľov:**
	2923	+
	2924	+1. **Interní používatelia (pracovníci samospráv, administrátori AkcieOkolo, z.z.p.o.):**
	2925	+1*. **Preferovaná metóda: Jednotné prihlásenie (Single Sign-On - SSO) s využitím IAM ÚPVS.**
	2926	+1**. Pre všetkých pracovníkov orgánov verejnej moci (samosprávy) a administrátorov systému IS AkcieOkolo (z AkcieOkolo, z.z.p.o.), ktorí vyžadujú prístup k neverejným, administratívnym častiam systému, bude primárne implementovaná autentifikácia prostredníctvom **Autentifikačného modulu IAM Ústredného portálu verejnej správy (as_59698)**.
	2927	+1**. **Zdôvodnenie:** Tento prístup zabezpečuje vysokú úroveň bezpečnosti, využíva existujúcu a štandardizovanú infraštruktúru eGovernmentu (eID, menné priestory), podporuje princíp jednotného prihlásenia pre používateľov naprieč rôznymi ISVS a znižuje potrebu spravovať samostatné heslá pre IS AkcieOkolo.
	2928	+1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_001: Systém musí umožniť autentifikáciu interných používateľov (pracovníci samospráv, administrátori) prostredníctvom IAM ÚPVS.
	2929	+1*. **Minimálna úroveň autentifikácie:** V súlade s požiadavkami na prístup k ISVS a citlivosťou dát, bude pre prístup k administratívnym funkciám vyžadovaná primeraná úroveň zabezpečenia autentifikácie (napr. dvojfaktorová autentifikácia, ak to IAM ÚPVS podporuje a kontext vyžaduje).
	2930	+1. **Externí používatelia (Organizátori podujatí, Predajcovia/Účastníci – ak nie sú pracovníkmi VS; Občania/Návštevníci):**
	2931	+1*. **Organizátori a Predajcovia/Účastníci (ak ide o PO alebo FO-podnikateľov, ktorí nie sú súčasťou VS):**
	2932	+1**. Bude implementovaný robustný **registračný a autentifikačný mechanizmus priamo v IS AkcieOkolo**.
	2933	+1**. Počiatočná registrácia bude vyžadovať overenie identity subjektu (napr. prostredníctvom IČO a následnej validácie voči RPO/ŽR, alebo iného vhodného mechanizmu pre overenie zástupcu PO/FO).
	2934	+1**. Autentifikácia bude založená na kombinácii používateľského mena (napr. e-mail) a silného hesla spĺňajúceho definované politiky komplexnosti a exspirácie.
	2935	+1**. Bude zvážená implementácia **dvojfaktorovej autentifikácie (2FA)** (napr. SMS kód, OTP aplikácia) ako voliteľnej alebo povinnej pre prístup k citlivejším operáciám alebo k profilovým údajom.
	2936	+1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_002: Systém musí umožniť bezpečnú registráciu a prihlásenie pre organizátorov a predajcov pomocou mena a hesla, s implementovanou politikou silných hesiel. NR_AUTH_001: Systém by mal podporovať 2FA pre organizátorov a predajcov.
	2937	+1*. **Občania/Návštevníci (pre prístup k personalizovaným funkciám portálu/aplikácie):**
	2938	+1**. Jednoduchá registrácia a autentifikácia pomocou e-mailu a hesla.
	2939	+1**. Možnosť využitia **prihlásenia prostredníctvom sociálnych sietí** (Social Login – napr. cez Google, Facebook, Apple ID), ak to bude vyhodnotené ako bezpečné a prínosné pre používateľský komfort, s jasným informovaním o rozsahu zdieľaných dát.
	2940	+1**. Anonymný prístup k verejným informáciám o podujatiach bude možný bez nutnosti autentifikácie.
	2941	+1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_003: Systém musí umožniť anonymný prístup k verejným častiam. FR_AUTH_004: Systém musí umožniť registráciu občanov pomocou e-mailu a hesla. NR_AUTH_002: Zvážiť implementáciu prihlásenia cez sociálne siete.
	2942	+
	2943	+**B. Požiadavky na používateľské role, správu prístupov a správu aplikácie:**
	2944	+
	2945	+IS AkcieOkolo bude implementovať **systém riadenia prístupu založený na rolách (Role-Based Access Control - RBAC)**. Každému používateľskému účtu bude priradená jedna alebo viac rolí, ktoré budú definovať jeho oprávnenia v systéme.
	2946	+
	2947	+1. **Definícia hlavných používateľských rolí:**
	2948	+1*. **Administrátor Systému (AkcieOkolo, z.z.p.o.):** Najvyššie oprávnenia, správa celého systému, konfigurácia, manažment používateľov najvyššej úrovne, správa číselníkov, monitoring, audit.
	2949	+1*. **Pracovník Samosprávy (Schvaľovateľ/Koordinátor):** Správa podujatí v rámci územnej pôsobnosti samosprávy, schvaľovanie registrácií podujatí, schvaľovanie účasti predajcov, komunikácia s organizátormi, prístup k relevantným reportom a štatistikám. Môžu existovať pod-role (napr. referent vs. vedúci s vyššími oprávneniami).
	2950	+1*. **Organizátor Podujatia:** Registrácia a správa vlastných podujatí, správa žiadostí od predajcov pre svoje podujatia (ak mu to samospráva deleguje), prístup k štatistikám o svojich podujatiach.
	2951	+1*. **Predajca/Účastník Podujatia:** Vytvorenie a správa svojho digitálneho profilu, podávanie žiadostí o účasť na podujatiach, prehľad o svojich schválených účastiach.
	2952	+1*. **Registrovaný Občan/Návštevník:** Prístup k personalizovaným funkciám portálu/aplikácie (napr. ukladanie obľúbených podujatí, nastavenie notifikácií, písanie recenzií – ak bude implementované).
	2953	+1*. **Anonymný Návštevník:** Prístup len k verejne dostupným informáciám o podujatiach.
	2954	+1*. //Katalóg požiadaviek (príklad)~:// FR_RBAC_001: Systém musí implementovať minimálne definované používateľské role (Administrátor, Pracovník Samosprávy, Organizátor, Predajca, Občan).
	2955	+1. **Správa prístupov:**
	2956	+1*. Princíp najnižších potrebných oprávnení (least privilege) bude aplikovaný pre všetky role.
	2957	+1*. Možnosť detailnej konfigurácie oprávnení pre jednotlivé funkcie a dátové objekty administrátorom systému.
	2958	+1*. Auditné záznamy o všetkých zmenách oprávnení a prístupoch k citlivým funkciám.
	2959	+1*. Proces pre schvaľovanie a odoberanie prístupov.
	2960	+1*. //Katalóg požiadaviek (príklad)~:// NR_RBAC_001: Prístupové práva musia byť granulárne a prideľované na základe princípu najnižších oprávnení.
	2961	+1. **Správa aplikácie (z pohľadu bezpečnosti):**
	2962	+1*. Možnosť centrálnej deaktivácie/aktivácie používateľských účtov.
	2963	+1*. Monitoring podozrivej aktivity a bezpečnostných incidentov.
	2964	+1*. Nástroje pre administrátorov na správu bezpečnostných nastavení systému (napr. politika hesiel, konfigurácia 2FA).
	2965	+1*. Pravidelné bezpečnostné aktualizácie a patch management všetkých komponentov systému.
	2966	+
	2967	+Všetky špecifické požiadavky na autentifikáciu, autorizáciu a riadenie prístupov, vrátane detailného matice rolí a oprávnení, budú zapísané a spravované v **I-04 Katalóg požiadaviek**.
	2968	+
	2969	+
	2970	+= **6 PREVÁDZKA A ÚDRŽBA VÝSTUPOV PROJEKTU** =
	2971	+
	2972	+Táto kapitola popisuje súčasný stav a navrhovaný budúci model zabezpečenia prevádzky, údržby a podpory informačného systému AkcieOkolo, vrátane úrovne poskytovaných služieb (SLA) a postupov obnovy systému a dát po prípadnom výpadku.
	2973	+
	2974	+6.2 Návrh riešenia prevádzky a údržby
	2975	+
	2976	+**Súčasný (AS IS) stav zabezpečenia prevádzky a údržby a úroveň poskytovania služieb (SLA):**
	2977	+
	2978	+Ako bolo konštatované v predchádzajúcich kapitolách, v súčasnosti (AS IS) **neexistuje centrálny informačný systém** pre agendu manažmentu kultúrnych podujatí na Slovensku. Z toho vyplýva, že:
	2979	+
	2980	+* **Prevádzka a údržba:** Neexistuje centrálne zabezpečená prevádzka ani údržba. Ak jednotlivé samosprávy alebo organizátori využívajú nejaké lokálne IT riešenia (často len kancelársky softvér), ich prevádzka a údržba je plne v ich vlastnej réžii, s rôznou úrovňou odbornosti a dostupných zdrojov. Často chýba systematická údržba, zálohovanie a bezpečnostné aktualizácie.
	2981	+* **Úroveň poskytovaných služieb (SLA):** Nie sú definované žiadne centrálne SLA pre služby v tejto oblasti. Dostupnosť a spoľahlivosť informácií alebo procesov je variabilná a negarantovaná. Používateľská podpora je buď žiadna, alebo poskytovaná ad-hoc na lokálnej úrovni.
	2982	+* **Oblasti na zlepšenie:** Celý koncept centralizovanej prevádzky, štandardizovanej údržby, garantovanej úrovne služieb a systematickej podpory pre IS AkcieOkolo bude **úplne novým prínosom** oproti súčasnému stavu. Kľúčovými oblasťami pre zlepšenie sú teda: zavedenie profesionálnej správy IT systému, definovanie a dodržiavanie SLA, zabezpečenie pravidelnej údržby a aktualizácií, poskytovanie technickej a používateľskej podpory, a implementácia robustných mechanizmov zálohovania a obnovy.
	2983	+
	2984	+**Navrhovaný budúci (TO BE) stav riešenia zabezpečenia prevádzky a údržby, úroveň poskytovania služieb (SLA) a obnovy systému a dát:**
	2985	+
	2986	+Pre IS AkcieOkolo bude v budúcom (TO BE) stave zabezpečená komplexná prevádzka, údržba a podpora prostredníctvom kombinácie interných zdrojov prevádzkovateľa (AkcieOkolo, z.z.p.o.) a externých dodávateľských služieb, vrátane služieb vládneho cloudu.
	2987	+
	2988	+1. **Zabezpečenie prevádzky a údržby:**
	2989	+1*. **Prevádzkovateľ systému:** AkcieOkolo, z.z.p.o. bude hlavným prevádzkovateľom IS AkcieOkolo a bude zodpovedné za celkový manažment prevádzky, koordináciu údržby, komunikáciu s používateľmi a dodávateľmi.
	2990	+1*. **Technologická infraštruktúra:** Ako bolo definované v kapitole 5.6, IS AkcieOkolo bude primárne prevádzkovaný na infraštruktúre **vládneho cloudu SR**. Zodpovednosť za prevádzku a údržbu fyzickej a virtualizačnej infraštruktúry (IaaS, PaaS) nesie poskytovateľ služieb vládneho cloudu v súlade s jeho SLA.
	2991	+1*. **Aplikačná údržba a rozvoj:**
	2992	+1**. **Korektívna údržba:** Zabezpečenie odstraňovania chýb a nedostatkov v IS AkcieOkolo bude predmetom zmluvy o podpore prevádzky (SLA) s dodávateľom informačného systému.
	2993	+1**. **Adaptívna údržba:** Prispôsobovanie systému legislatívnym zmenám alebo zmenám v technologickom prostredí.
	2994	+1**. **Perfektívna údržba a menší rozvoj:** Priebežné vylepšovanie funkcionalít na základe spätnej väzby od používateľov alebo nových potrieb, ak budú schválené a finančne kryté.
	2995	+1*. **Bezpečnostná údržba:** Pravidelné aplikovanie bezpečnostných záplat na operačné systémy, databázy, aplikačné servery a samotnú aplikáciu IS AkcieOkolo. Monitorovanie bezpečnostných incidentov a zraniteľností.
	2996	+1. **Úroveň poskytovaných služieb (SLA):**
	2997	+1*. Bude vypracovaná a zmluvne dohodnutá **Dohoda o úrovni poskytovaných služieb (SLA)** medzi AkcieOkolo, z.z.p.o. (ako objednávateľom podpory) a dodávateľom informačného systému (ako poskytovateľom podpory). SLA bude definovať minimálne:
	2998	+1**. **Dostupnosť služby (Availability):** Napr. **99,8%** ročná dostupnosť produkčného prostredia IS AkcieOkolo (mimo plánovaných odstávok), ako bolo špecifikované v kapitole 5.6.2 (KPI).
	2999	+1**. **Reakčné časy na incidenty (Response Time):** Definované podľa priority incidentu (napr. kritický – do 1 hodiny, vysoký – do 4 hodín).
	3000	+1**. **Časy na vyriešenie incidentov (Resolution Time / DKVI):** Definované podľa priority incidentu (napr. kritický – do 4 hodín, vysoký – do 8-24 hodín). Viď Tabuľka 38 v šablóne I-02 pre príklady.
	3001	+1**. **Podporné hodiny:** Napr. 8x5 pre štandardnú podporu, s možnosťou rozšírenia na 24x7 pre kritické incidenty.
	3002	+1**. **Procesy eskalácie a reportingu.**
	3003	+1*. SLA bude takisto reflektovať parametre dostupnosti a podpory poskytované prevádzkovateľom vládneho cloudu.
	3004	+1. **Obnova systému a dát po výpadku (Disaster Recovery & Backup):**
	3005	+1*. **Stratégia zálohovania:**
	3006	+1**. Pravidelné automatizované zálohovanie všetkých kľúčových dát IS AkcieOkolo (databázy, konfiguračné súbory, nahrané dokumenty).
	3007	+1**. Frekvencia zálohovania: napr. denné prírastkové/diferenciálne zálohy, týždenné plné zálohy.
	3008	+1**. Ukladanie záloh: Využitie geograficky oddelených úložísk v rámci vládneho cloudu (ak dostupné) alebo iného bezpečného externého úložiska.
	3009	+1**. Retenčná politika záloh: napr. denné zálohy držané 7 dní, týždenné 4 týždne, mesačné 12 mesiacov.
	3010	+1*. **Cieľové parametre obnovy:**
	3011	+1**. **RTO (Recovery Time Objective): < 4 hodiny** (maximálny akceptovateľný čas na obnovu plnej funkčnosti systému po kritickom zlyhaní).
	3012	+1**. **RPO (Recovery Point Objective): < 1 hodina** (maximálna akceptovateľná strata dát v prípade kritického zlyhania).
	3013	+1*. **Plán obnovy po havárii (DRP):** Bude vypracovaný detailný DRP, ktorý bude obsahovať postupy pre obnovu systému a dát v rôznych scenároch zlyhania. DRP bude pravidelne testovaný (minimálne raz ročne).
	3014	+1*. **Technické riešenia:** Využitie snapshotov virtuálnych serverov, databázových replikácií (ak relevantné a dostupné vo vládnom cloude), automatizovaných skriptov pre obnovu.
	3015	+
	3016	+**Informačný systém pre manažment služieb podpory (ITSM Tool):**
	3017	+
	3018	+* **Plánované využitie:** AkcieOkolo, z.z.p.o. ako prevádzkovateľ IS AkcieOkolo bude **využívať alebo plánuje obstarať informačný systém pre manažment služieb podpory (ITSM nástroj)**. Tento systém bude slúžiť na:
	3019	+** Evidenciu a sledovanie všetkých používateľských požiadaviek, hlásení o chybách a bezpečnostných incidentov.
	3020	+** Manažment životného cyklu incidentov a problémov (v súlade s ITIL postupmi).
	3021	+** Komunikáciu s používateľmi a dodávateľom.
	3022	+** Sledovanie plnenia SLA.
	3023	+** Vytváranie znalostnej databázy pre riešenie opakujúcich sa problémov.
	3024	+* **Požiadavky na integráciu:** Zváži sa **integrácia IS AkcieOkolo s týmto ITSM nástrojom**, napríklad pre:
	3025	+** Automatické generovanie tiketov z monitorovacích nástrojov IS AkcieOkolo.
	3026	+** Možnosť pre používateľov nahlasovať problémy priamo z rozhrania IS AkcieOkolo do ITSM systému.
	3027	+** Výmenu dát o stave riešenia incidentov.
	3028	+* Ak prevádzkovateľ vládneho cloudu alebo hlavný dodávateľ IS AkcieOkolo bude využívať vlastný ITSM nástroj, bude zabezpečená definovaná forma komunikácie a výmeny informácií medzi týmito systémami.
	3029	+
	3030	+**Prehľad predpokladaných požiadaviek na prevádzku a údržbu cieľového riešenia (súhrn):**
	3031	+
	3032	+* **Prevádzka vo vládnom cloude:** Zabezpečenie potrebnej výpočtovej kapacity, úložiska, sieťových služieb a ich správy poskytovateľom cloudu.
	3033	+* **Monitoring 24/7:** Nepretržitý monitoring dostupnosti a výkonu kľúčových komponentov IS AkcieOkolo a infraštruktúry.
	3034	+* **Zálohovanie a obnova:** Implementácia a pravidelné testovanie stratégie zálohovania a plánu obnovy.
	3035	+* **Aplikačná podpora (L2/L3):** Zabezpečenie technickej podpory pre riešenie incidentov, problémov a chýb v aplikácii IS AkcieOkolo.
	3036	+* **Používateľská podpora (L1/Helpdesk):** Poskytovanie pomoci a poradenstva koncovým používateľom (samosprávy, organizátori, predajcovia, občania) pri práci so systémom.
	3037	+* **Manažment bezpečnosti:** Pravidelné bezpečnostné audity, penetračné testy, aktualizácia bezpečnostných opatrení, riešenie bezpečnostných incidentov.
	3038	+* **Manažment zmien a releasov:** Riadený proces pre nasadzovanie nových verzií, aktualizácií a opráv systému.
	3039	+* **Školenia a dokumentácia:** Priebežná aktualizácia používateľskej a technickej dokumentácie, poskytovanie školení pre nové funkcionality alebo pre nových používateľov.
	3040	+* **Dodržiavanie SLA:** Meranie a reportovanie plnenia dohodnutých úrovní služieb.
	3041	+* **Riadenie kapacity a výkonu:** Proaktívne sledovanie využitia zdrojov a plánovanie budúcich kapacitných potrieb.
	3042	+
	3043	+Tento komplexný prístup k prevádzke a údržbe zabezpečí, že IS AkcieOkolo bude dlhodobo spoľahlivým, bezpečným a efektívnym nástrojom pre všetkých svojich používateľov.
	3044	+
	3045	+