Naposledy upravil Jaroslav Zmajkovič 2025/09/22 08:59
Z verzie 5.339
upravil Dušan Macháček
-
Zmeniť komentár: (Autosaved)
Do verzie 5.338
upravil Dušan Macháček
-
Zmeniť komentár: (Autosaved)

Súhrn

Podrobnosti

Vlastnosti stránky
Obsah
... ... @@ -2861,8 +2861,10 @@
2861 2861  
2862 2862  Samotný Bezpečnostný projekt IS AkcieOkolo bude podrobným dokumentom, ktorý bude detailne popisovať analýzu bezpečnostných rizík, klasifikáciu a kategorizáciu aktív, navrhnuté a implementované bezpečnostné opatrenia, zodpovednosti, plány kontinuity činností a obnovy po havárii, ako aj postupy pre riadenie bezpečnostných incidentov.
2863 2863  
2864 -== **5.7.4 Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,** ==
2865 2865  
2865 +
2866 +Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,
2867 +
2866 2866  Navrhovaná bezpečnostná architektúra informačného systému AkcieOkolo a s ním súvisiace procesy musia byť v plnom súlade s relevantnými legislatívnymi, právnymi, štatutárnymi, regulačnými a zmluvnými požiadavkami. Tieto požiadavky definujú minimálnu úroveň bezpečnosti, ktorú musí systém spĺňať, ako aj povinnosti pri manipulácii s dátami, zabezpečení výpočtovej techniky a ochrane používateľov.
2867 2867  
2868 2868  **Kľúčová legislatíva a regulačné požiadavky, ktoré musí IS AkcieOkolo a jeho prevádzka spĺňať:**
... ... @@ -2914,54 +2914,3 @@
2914 2914  * Bude vypracovaná Zmluva o podpore prevádzky (SLA), ktorá bude špecifikovať parametre dostupnosti, riešenia incidentov a bezpečnostné záruky.
2915 2915  
2916 2916  Dôsledné dodržiavanie týchto legislatívnych, právnych, štatutárnych, regulačných a zmluvných požiadaviek je nevyhnutným predpokladom pre vybudovanie dôveryhodného a bezpečného informačného systému AkcieOkolo.
2917 -
2918 -== **5.7.5 Riešenie autentifikácie a prístupov používateľov** ==
2919 -
2920 -Efektívne a bezpečné riešenie autentifikácie a riadenia prístupov používateľov je kritickou súčasťou bezpečnostnej architektúry informačného systému AkcieOkolo. Cieľom je zabezpečiť, aby k systému a jeho dátam pristupovali len oprávnené osoby, a to len v rozsahu nevyhnutnom pre výkon ich úloh, pri súčasnom zabezpečení čo najvyššieho používateľského komfortu tam, kde je to možné.
2921 -
2922 -**A. Požiadavky na autentifikáciu používateľov:**
2923 -
2924 -1. **Interní používatelia (pracovníci samospráv, administrátori AkcieOkolo, z.z.p.o.):**
2925 -1*. **Preferovaná metóda: Jednotné prihlásenie (Single Sign-On - SSO) s využitím IAM ÚPVS.**
2926 -1**. Pre všetkých pracovníkov orgánov verejnej moci (samosprávy) a administrátorov systému IS AkcieOkolo (z AkcieOkolo, z.z.p.o.), ktorí vyžadujú prístup k neverejným, administratívnym častiam systému, bude primárne implementovaná autentifikácia prostredníctvom **Autentifikačného modulu IAM Ústredného portálu verejnej správy (as_59698)**.
2927 -1**. **Zdôvodnenie:** Tento prístup zabezpečuje vysokú úroveň bezpečnosti, využíva existujúcu a štandardizovanú infraštruktúru eGovernmentu (eID, menné priestory), podporuje princíp jednotného prihlásenia pre používateľov naprieč rôznymi ISVS a znižuje potrebu spravovať samostatné heslá pre IS AkcieOkolo.
2928 -1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_001: Systém musí umožniť autentifikáciu interných používateľov (pracovníci samospráv, administrátori) prostredníctvom IAM ÚPVS.
2929 -1*. **Minimálna úroveň autentifikácie:** V súlade s požiadavkami na prístup k ISVS a citlivosťou dát, bude pre prístup k administratívnym funkciám vyžadovaná primeraná úroveň zabezpečenia autentifikácie (napr. dvojfaktorová autentifikácia, ak to IAM ÚPVS podporuje a kontext vyžaduje).
2930 -1. **Externí používatelia (Organizátori podujatí, Predajcovia/Účastníci – ak nie sú pracovníkmi VS; Občania/Návštevníci):**
2931 -1*. **Organizátori a Predajcovia/Účastníci (ak ide o PO alebo FO-podnikateľov, ktorí nie sú súčasťou VS):**
2932 -1**. Bude implementovaný robustný **registračný a autentifikačný mechanizmus priamo v IS AkcieOkolo**.
2933 -1**. Počiatočná registrácia bude vyžadovať overenie identity subjektu (napr. prostredníctvom IČO a následnej validácie voči RPO/ŽR, alebo iného vhodného mechanizmu pre overenie zástupcu PO/FO).
2934 -1**. Autentifikácia bude založená na kombinácii používateľského mena (napr. e-mail) a silného hesla spĺňajúceho definované politiky komplexnosti a exspirácie.
2935 -1**. Bude zvážená implementácia **dvojfaktorovej autentifikácie (2FA)** (napr. SMS kód, OTP aplikácia) ako voliteľnej alebo povinnej pre prístup k citlivejším operáciám alebo k profilovým údajom.
2936 -1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_002: Systém musí umožniť bezpečnú registráciu a prihlásenie pre organizátorov a predajcov pomocou mena a hesla, s implementovanou politikou silných hesiel. NR_AUTH_001: Systém by mal podporovať 2FA pre organizátorov a predajcov.
2937 -1*. **Občania/Návštevníci (pre prístup k personalizovaným funkciám portálu/aplikácie):**
2938 -1**. Jednoduchá registrácia a autentifikácia pomocou e-mailu a hesla.
2939 -1**. Možnosť využitia **prihlásenia prostredníctvom sociálnych sietí** (Social Login – napr. cez Google, Facebook, Apple ID), ak to bude vyhodnotené ako bezpečné a prínosné pre používateľský komfort, s jasným informovaním o rozsahu zdieľaných dát.
2940 -1**. Anonymný prístup k verejným informáciám o podujatiach bude možný bez nutnosti autentifikácie.
2941 -1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_003: Systém musí umožniť anonymný prístup k verejným častiam. FR_AUTH_004: Systém musí umožniť registráciu občanov pomocou e-mailu a hesla. NR_AUTH_002: Zvážiť implementáciu prihlásenia cez sociálne siete.
2942 -
2943 -**B. Požiadavky na používateľské role, správu prístupov a správu aplikácie:**
2944 -
2945 -IS AkcieOkolo bude implementovať **systém riadenia prístupu založený na rolách (Role-Based Access Control - RBAC)**. Každému používateľskému účtu bude priradená jedna alebo viac rolí, ktoré budú definovať jeho oprávnenia v systéme.
2946 -
2947 -1. **Definícia hlavných používateľských rolí:**
2948 -1*. **Administrátor Systému (AkcieOkolo, z.z.p.o.):** Najvyššie oprávnenia, správa celého systému, konfigurácia, manažment používateľov najvyššej úrovne, správa číselníkov, monitoring, audit.
2949 -1*. **Pracovník Samosprávy (Schvaľovateľ/Koordinátor):** Správa podujatí v rámci územnej pôsobnosti samosprávy, schvaľovanie registrácií podujatí, schvaľovanie účasti predajcov, komunikácia s organizátormi, prístup k relevantným reportom a štatistikám. Môžu existovať pod-role (napr. referent vs. vedúci s vyššími oprávneniami).
2950 -1*. **Organizátor Podujatia:** Registrácia a správa vlastných podujatí, správa žiadostí od predajcov pre svoje podujatia (ak mu to samospráva deleguje), prístup k štatistikám o svojich podujatiach.
2951 -1*. **Predajca/Účastník Podujatia:** Vytvorenie a správa svojho digitálneho profilu, podávanie žiadostí o účasť na podujatiach, prehľad o svojich schválených účastiach.
2952 -1*. **Registrovaný Občan/Návštevník:** Prístup k personalizovaným funkciám portálu/aplikácie (napr. ukladanie obľúbených podujatí, nastavenie notifikácií, písanie recenzií – ak bude implementované).
2953 -1*. **Anonymný Návštevník:** Prístup len k verejne dostupným informáciám o podujatiach.
2954 -1*. //Katalóg požiadaviek (príklad)~:// FR_RBAC_001: Systém musí implementovať minimálne definované používateľské role (Administrátor, Pracovník Samosprávy, Organizátor, Predajca, Občan).
2955 -1. **Správa prístupov:**
2956 -1*. Princíp najnižších potrebných oprávnení (least privilege) bude aplikovaný pre všetky role.
2957 -1*. Možnosť detailnej konfigurácie oprávnení pre jednotlivé funkcie a dátové objekty administrátorom systému.
2958 -1*. Auditné záznamy o všetkých zmenách oprávnení a prístupoch k citlivým funkciám.
2959 -1*. Proces pre schvaľovanie a odoberanie prístupov.
2960 -1*. //Katalóg požiadaviek (príklad)~:// NR_RBAC_001: Prístupové práva musia byť granulárne a prideľované na základe princípu najnižších oprávnení.
2961 -1. **Správa aplikácie (z pohľadu bezpečnosti):**
2962 -1*. Možnosť centrálnej deaktivácie/aktivácie používateľských účtov.
2963 -1*. Monitoring podozrivej aktivity a bezpečnostných incidentov.
2964 -1*. Nástroje pre administrátorov na správu bezpečnostných nastavení systému (napr. politika hesiel, konfigurácia 2FA).
2965 -1*. Pravidelné bezpečnostné aktualizácie a patch management všetkých komponentov systému.
2966 -
2967 -Všetky špecifické požiadavky na autentifikáciu, autorizáciu a riadenie prístupov, vrátane detailného matice rolí a oprávnení, budú zapísané a spravované v **I-04 Katalóg požiadaviek**.