Naposledy upravil Jaroslav Zmajkovič 2025/09/22 08:59
Z verzie 5.343
upravil Dušan Macháček
-
Zmeniť komentár: Pre túto verziu nie sú komentáre
Do verzie 5.334
upravil Dušan Macháček
-
Zmeniť komentár: (Autosaved)

Súhrn

Podrobnosti

Vlastnosti stránky
Obsah
... ... @@ -2600,8 +2600,11 @@
2600 2600  Hybridný cloudový model (Alternatíva Tech-2 z kap. 5.1.3) sa môže zvážiť pre niektoré špecifické, okrajové komponenty v budúcnosti, ak by vládny cloud neposkytoval adekvátne služby pre nejakú špecifickú potrebu a zároveň by bola preukázaná ekonomická a bezpečnostná opodstatnenosť takéhoto hybridného prístupu. Pre hlavné jadro IS AkcieOkolo je však preferované plné nasadenie vo vládnom cloude.
2601 2601  
2602 2602  
2603 -== **5.6.3 Požiadavky na výkonnostné parametre, kapacitné požiadavky – budúci stav (TO BE)** ==
2604 2604  
2604 +1.
2605 +11.
2606 +111. Požiadavky na výkonnostné parametre, kapacitné požiadavky – budúci stav (TO BE)
2607 +
2605 2605  Nasledujúca tabuľka špecifikuje predpokladané výkonnostné parametre a kapacitné požiadavky pre informačný systém AkcieOkolo v jeho budúcom (TO BE) produkčnom stave. Tieto údaje sú kľúčové pre návrh a dimenzovanie (sizing) technologickej infraštruktúry, najmä v kontexte využívania služieb vládneho cloudu, a pre zabezpečenie požadovanej odozvy a dostupnosti systému pre všetkých používateľov. Odhady vychádzajú z očakávaného rozsahu využívania platformy na základe počtu samospráv, organizátorov, predajcov a predpokladaného záujmu verejnosti.
2606 2606  
2607 2607  |**Parameter**|**Jednotky**|**Predpokladaná hodnota**|**Poznámka**
... ... @@ -2735,389 +2735,3 @@
2735 2735  Požiadavky na služby vládneho cloudu budú detailne komunikované a konzultované s prevádzkovateľom vládneho cloudu (napr. MV SR) pred vyhlásením verejného obstarávania na dodávateľa IS AkcieOkolo, aby sa zabezpečila ich dostupnosť, vhodnosť a správny sizing.
2736 2736  
2737 2737  Vzhľadom na stratégiu prioritného využívania vládneho cloudu sa v tejto fáze neuvažuje o využití vlastných výpočtových zdrojov žiadateľa evidovaných v MetaIS pre produkčnú prevádzku kľúčových komponentov IS AkcieOkolo. Ak by analýza v neskorších fázach ukázala nevyhnutnosť takéhoto prístupu pre niektorú špecifickú časť, bude to riadne zdôvodnené a zaevidované.
2738 -
2739 -
2740 -= **5.7 Bezpečnostná architektúra** =
2741 -
2742 -Bezpečnostná architektúra projektu "Zaži mestá a obce, zaži Slovensko" a jeho informačného systému IS AkcieOkolo je navrhnutá tak, aby zabezpečila ochranu všetkých aktív projektu – dát, aplikácií, infraštruktúry a používateľov – pred širokým spektrom hrozieb a rizík. Cieľom je dosiahnuť požadovanú úroveň dôvernosti, integrity a dostupnosti (CIA triad) informácií a služieb poskytovaných systémom.
2743 -
2744 -== **5.7.2 Návrh riešenia bezpečnosti** ==
2745 -
2746 -**Popis súčasného (AS IS) stavu bezpečnostnej architektúry:**
2747 -
2748 -Vzhľadom na to, že v súčasnosti **neexistuje centrálny informačný systém** pre agendu manažmentu kultúrnych podujatí na celoštátnej úrovni, neexistuje ani jednotná alebo koordinovaná bezpečnostná architektúra pre túto oblasť.
2749 -
2750 -* **Dáta:** Sú fragmentované, často uložené na lokálnych nezabezpečených úložiskách, v bežných kancelárskych dokumentoch alebo v rôznych izolovaných lokálnych databázach s variabilnou úrovňou zabezpečenia. Neexistuje jednotná politika ochrany týchto dát.
2751 -* **Aplikácie:** Ak existujú lokálne aplikačné riešenia, ich úroveň zabezpečenia (napr. autentifikácia, autorizácia, ochrana pred bežnými webovými zraniteľnosťami) je veľmi rôznorodá a často nedostatočná. Neexistuje centrálny manažment zraniteľností.
2752 -* **Infraštruktúra:** Neexistuje jednotná infraštruktúra. Prípadné lokálne servery alebo hostingové služby majú rôznu úroveň fyzickej a sieťovej bezpečnosti.
2753 -* **Používatelia a prístupy:** Manažment prístupov je decentralizovaný, neštandardizovaný a často založený na slabých autentifikačných metódach. Chýba centrálny audit prístupov.
2754 -* **Celkový stav:** Súčasný stav predstavuje významné bezpečnostné riziká z hľadiska dôvernosti (únik osobných údajov organizátorov, predajcov), integrity (možnosť neoprávnenej modifikácie dát o podujatiach) a dostupnosti (výpadky lokálnych systémov, strata dát). Chýba systematický prístup k riadeniu informačnej bezpečnosti pre túto agendu.
2755 -
2756 -Rozdiel medzi súčasným stavom (absencia centrálneho zabezpečenia) a budúcim (komplexné zabezpečenie IS AkcieOkolo) je teda fundamentálny.
2757 -
2758 -**Popis navrhovaného budúceho (TO BE) stavu riešenia bezpečnostnej architektúry:**
2759 -
2760 -Navrhovaný budúci (TO BE) stav bezpečnostnej architektúry pre IS AkcieOkolo bude implementovaný na princípe "security by design" (bezpečnosť ako súčasť návrhu) a "defense in depth" (hĺbková obrana), pričom bude pokrývať všetky relevantné vrstvy a aspekty. Bezpečnostné opatrenia a požiadavky budú vychádzať z:
2761 -
2762 -1. **Ohodnotenia rizík a identifikovaných hrozieb:** Bola/Bude vykonaná analýza rizík pre IS AkcieOkolo, ktorá identifikovala potenciálne hrozby (napr. neoprávnený prístup, únik dát, DDoS útoky, malware, zlyhanie hardvéru, ľudské chyby), zraniteľnosti a odhadla ich potenciálny dopad. Na základe tejto analýzy sú navrhované primerané protiopatrenia.
2763 -1. **Legislatívnych, právnych a zmluvných požiadaviek:** Bezpečnostná architektúra bude v plnom súlade s:
2764 -1*. Zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti.
2765 -1*. Vyhláškou NBÚ č. 362/2018 Z. z. (obsah bezpečnostných opatrení a dokumentácie).
2766 -1*. Vyhláškou ÚPVII č. 179/2020 Z. z. (kategorizácia a bezpečnostné opatrenia ITVS).
2767 -1*. Zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe.
2768 -1*. Nariadením GDPR a zákonom č. 18/2018 Z. z. o ochrane osobných údajov.
2769 -1*. Relevantnými štandardmi a normami (napr. rodina ISO/IEC 27000).
2770 -1*. Zmluvnými požiadavkami voči dodávateľom a prevádzkovateľovi vládneho cloudu.
2771 -1. **Sady princípov, cieľov a interných smerníc organizácie:** Zohľadnia sa bezpečnostné politiky a smernice ZMOS a AkcieOkolo, z.z.p.o., ako aj osvedčené postupy v oblasti informačnej bezpečnosti.
2772 -
2773 -**Postupy na dosiahnutie potrebnej úrovne bezpečnosti a zabezpečenie aktív projektu:**
2774 -
2775 -**A. Dôvernosť údajov:**
2776 -
2777 -* **Kontrola prístupu:**
2778 -** Implementácia robustného systému riadenia identít a prístupov (IAM) s využitím spoločného modulu **IAM ÚPVS (as_59698)** pre autentifikáciu oprávnených pracovníkov VS.
2779 -** Pre ostatných používateľov (občania, organizátori, predajcovia) bude implementovaná bezpečná registrácia a autentifikácia (napr. silné heslá, voliteľná dvojfaktorová autentifikácia).
2780 -** Princíp najnižších potrebných oprávnení (least privilege) – používatelia budú mať prístup len k tým dátam a funkcionalitám, ktoré nevyhnutne potrebujú pre výkon svojich úloh.
2781 -** Detailné prideľovanie rolí a oprávnení v rámci IS AkcieOkolo.
2782 -* **Šifrovanie:**
2783 -** Šifrovanie citlivých dát pri prenose (HTTPS/TLS pre všetku komunikáciu).
2784 -** Šifrovanie citlivých dát v úložisku (encryption at rest), najmä pre databázy obsahujúce osobné údaje a pre zálohy. Využitie možností šifrovania poskytovaných službami vládneho cloudu.
2785 -* **Prevencia úniku dát (DLP):**
2786 -** Technické a organizačné opatrenia na minimalizáciu rizika úniku citlivých dát (napr. audit prístupov, monitoring).
2787 -* **Anonymizácia/Pseudonymizácia:**
2788 -** Pre analytické a otvorené dáta budú implementované procesy anonymizácie alebo pseudonymizácie osobných údajov.
2789 -
2790 -**B. Integrita údajov:**
2791 -
2792 -* **Validácia vstupov:** Dôsledná validácia všetkých vstupných dát na strane klienta aj servera na predchádzanie chybám a útokom (napr. SQL injection, XSS).
2793 -* **Kontrola konzistencie dát:** Implementácia databázových integritných obmedzení (constraints), transakčné spracovanie.
2794 -* **Ochrana pred neoprávnenou modifikáciou:** Riadenie prístupov, auditné záznamy o všetkých zmenách kritických dát.
2795 -* **Zálohovanie a obnova:** Pravidelné a testované zálohovanie všetkých dát s definovaným RPO (Recovery Point Objective) pre minimalizáciu straty dát.
2796 -* **Digitálne podpisy (ak relevantné):** Pre zabezpečenie integrity a autenticity dôležitých elektronických dokumentov generovaných systémom (napr. povolenia) sa zváži použitie kvalifikovaného elektronického podpisu/pečate.
2797 -
2798 -**C. Dostupnosť služieb a údajov:**
2799 -
2800 -* **Redundancia infraštruktúry:** Využitie redundantných komponentov v rámci vládneho cloudu (napr. redundantné servery, úložiská, sieťové pripojenia) na zabezpečenie vysokej dostupnosti (High Availability).
2801 -* **Vyrovnávanie záťaže (Load Balancing):** Nasadenie load balancerov na rozloženie záťaže medzi viaceré servery a zabezpečenie plynulej prevádzky aj pri vysokom počte používateľov.
2802 -* **Ochrana pred DDoS útokmi:** Implementácia opatrení na detekciu a mitigáciu DDoS útokov, využitie služieb poskytovaných vládnym cloudom alebo špecializovaných poskytovateľov.
2803 -* **Plán obnovy po havárii (Disaster Recovery Plan - DRP):** Vypracovanie a pravidelné testovanie DRP pre obnovu systému a dát v prípade rozsiahleho výpadku alebo havárie. Definované RTO (Recovery Time Objective).
2804 -* **Monitoring a proaktívna údržba:** Kontinuálny monitoring stavu systému a infraštruktúry na včasnú detekciu problémov a predchádzanie výpadkom.
2805 -
2806 -**Bezpečnosť na jednotlivých vrstvách architektúry:**
2807 -
2808 -* **Biznis vrstva:** Definovanie bezpečnostných politík, školenia používateľov o bezpečnom správaní, riadenie incidentov.
2809 -* **Aplikačná vrstva:** Bezpečný vývoj softvéru (SDL - Secure Development Lifecycle), ochrana pred bežnými aplikačnými zraniteľnosťami (OWASP Top 10), bezpečné API, riadenie prístupov na úrovni aplikácie.
2810 -* **Dátová vrstva:** Šifrovanie databáz, riadenie prístupu k databáze, audit prístupu k dátam, bezpečné zálohovanie.
2811 -* **Technologická (Infraštruktúrna) vrstva:** Zabezpečenie siete (firewally, segmentácia, IDS/IPS), zabezpečenie serverov (hardening, patch management), fyzická bezpečnosť dátových centier (zabezpečená prevádzkovateľom vládneho cloudu).
2812 -
2813 -**Bezpečnostná dokumentácia:**
2814 -Bude vypracovaný **Bezpečnostný projekt IS AkcieOkolo** v súlade s vyhláškou NBÚ č. 362/2018 Z. z. a vyhláškou ÚPVII č. 179/2020 Z. z., ktorý bude detailne popisovať všetky implementované bezpečnostné opatrenia, analýzu rizík, politiky a procedúry.
2815 -
2816 -Návrh bezpečnostnej architektúry IS AkcieOkolo bude dynamický a bude sa priebežne aktualizovať v reakcii na nové hrozby, zraniteľnosti a zmeny v legislatíve alebo technologickom prostredí.
2817 -
2818 -== **5.7.3 Určenie obsahu bezpečnostných opatrení** ==
2819 -
2820 -Určenie obsahu a rozsahu bezpečnostných opatrení pre informačný systém AkcieOkolo vychádza primárne z platnej legislatívy Slovenskej republiky, najmä z Vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu (ÚPVII, teraz MIRRI SR) č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy (ďalej len "Vyhláška ÚPVII č. 179/2020 Z. z.").
2821 -
2822 -**Kategorizácia IS AkcieOkolo:**
2823 -Pred určením minimálnych bezpečnostných opatrení je nevyhnutné vykonať **kategorizáciu IS AkcieOkolo** podľa § 2 Vyhlášky ÚPVII č. 179/2020 Z. z. Táto kategorizácia sa vykonáva na základe posúdenia klasifikačných stupňov informačných aktív (dôvernosť, integrita, dostupnosť), ktoré bude IS AkcieOkolo spracúvať, a to v súlade s Metodickým usmernením MIRRI SR č. 023107/2023/oSBATA-1.
2824 -Na základe predbežnej analýzy typov údajov (verejné informácie o podujatiach, osobné údaje organizátorov a predajcov sa predpokladá, že IS AkcieOkolo bude s najväčšou pravdepodobnosťou zaradený do **Kategórie II** alebo **Kategórie III**. Finálne zaradenie bude výsledkom detailnej klasifikácie informačných aktív. Pre účely tejto tabuľky budeme zatiaľ uvažovať s vyššou kategóriou, aby sme pokryli širší rozsah opatrení. Ak výsledná kategorizácia bude nižšia, rozsah opatrení sa adekvátne upraví.
2825 -
2826 -//Predpokladaná kategorizácia pre účely tejto tabuľky: **Kategória II / III**// (Toto sa musí nahradiť reálnym výsledkom kategorizácie!)
2827 -
2828 -**Požiadavka na vypracovanie Bezpečnostného projektu:**
2829 -V súlade s § 8a vyhlášky MIRRI SR č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy a § 23 ods. 1 a 2 zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe, **bude pre IS AkcieOkolo vypracovaný samostatný Bezpečnostný projekt**. Tento Bezpečnostný projekt bude výstupom etapy R3-4 (Detailný návrh riešenia) a jeho náležitosti budú v súlade s prílohou č. 3 Vyhlášky ÚPVII č. 179/2020 Z. z.
2830 -
2831 -**Požiadavky na aplikáciu bezpečnostných opatrení podľa osobitných predpisov:**
2832 -Okrem Vyhlášky ÚPVII č. 179/2020 Z. z. budú pri návrhu a implementácii IS AkcieOkolo aplikované bezpečnostné opatrenia vyplývajúce najmä z:
2833 -
2834 -* **Zákona č. 18/2018 Z. z. o ochrane osobných údajov** a Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) – najmä opatrenia na ochranu osobných údajov registrovaných používateľov (organizátori, predajcovia, občania).
2835 -* **Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti** – ak by bol IS AkcieOkolo identifikovaný ako súčasť kritickej infraštruktúry alebo významný informačný systém z pohľadu kybernetickej bezpečnosti.
2836 -* Relevantných technických noriem a osvedčených postupov (napr. rodina ISO/IEC 27000, odporúčania NBÚ a CSIRT.SK).
2837 -
2838 -**Prehľad hlavných zdrojov minimálnych bezpečnostných opatrení:**
2839 -
2840 -|**Obsah bezpečnostných opatrení podľa vyhlášky ÚPVII č. 179/2020 Z. z**|**Aplikované opatrenia**|**Aplikovaná legislatíva**
2841 -|Minimálne bezpečnostné opatrenia Kategórie I|Vyberte položku.|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva
2842 -|Minimálne bezpečnostné opatrenia Kategórie II|Vyberte položku.|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva
2843 -|Minimálne bezpečnostné opatrenia Kategórie III|Vyberte položku.|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva
2844 -|Bezpečnostný projekt|Vyberte položku.|§ 23 ods. 1 a 2 zákona 95/2019 Z.z.
2845 -|Bezpečnostné opatrenia podľa osobitného predpisu|Vyberte položku.|Doplňte osobitný predpis alebo odkaz na predpisy, podľa ktorých budú aplikované ďalšie bezp. opatrenia
2846 -
2847 -//Tabuľka 33 Určenie zdrojov a obsahu minimálnych bezpečnostných opatrení//
2848 -
2849 -//¹ Poznámka: Vo finálnom dokumente by mal byť stĺpec "APLIKOVANÉ OPATRENIA" vyplnený jednoznačne ("Aplikujú sa" / "Neaplikujú sa" / "Čiastočne sa aplikujú s odôvodnením") na základe výslednej kategorizácie IS AkcieOkolo. Ak je systém napr. Kategórie II, aplikujú sa opatrenia pre Kat. I aj Kat. II.//
2850 -
2851 -
2852 -**Zapísanie požiadaviek do Katalógu požiadaviek (I-04):**
2853 -
2854 -1. **Minimálne bezpečnostné opatrenia:** Do I-04 Katalógu požiadaviek budú zapísané konkrétne nefunkčné požiadavky (NRxx) odvodené z príslušnej kategórie minimálnych bezpečnostných opatrení podľa Vyhlášky ÚPVII č. 179/2020 Z. z. (Príloha č. 1 – Katalóg minimálnych bezpečnostných opatrení). Každé relevantné opatrenie bude transformované na špecifickú požiadavku pre IS AkcieOkolo.
2855 -1*. //Príklad požiadavky~:// NR_BEZP_001: Systém musí zabezpečiť silnú autentifikáciu pre administrátorské účty v súlade s opatrením XY z Katalógu MBO.
2856 -1. **Upresnenie vyplývajúce z analýzy rizík:** Do I-04 Katalógu požiadaviek budú doplnené špecifické bezpečnostné požiadavky, ktoré vyplynú z detailnej analýzy rizík (identifikované hrozby a zraniteľnosti) pre IS AkcieOkolo a dáta v ňom spracúvané. Tieto požiadavky môžu byť prísnejšie alebo špecifickejšie ako minimálne opatrenia.
2857 -1*. //Príklad požiadavky~:// NR_BEZP_002: Systém musí implementovať mechanizmus na detekciu podozrivých pokusov o prihlásenie a automaticky blokovať účty po X neúspešných pokusoch.
2858 -1. **Upresnenie podľa osobitných predpisov:** Do I-04 Katalógu požiadaviek budú zapísané bezpečnostné požiadavky vyplývajúce z GDPR (napr. požiadavky na pseudonymizáciu, právo na zabudnutie, záznamy o spracovateľských činnostiach, posúdenie vplyvu na ochranu údajov - DPIA) a prípadne zo zákona o kybernetickej bezpečnosti.
2859 -1*. //Príklad požiadavky~:// NR_GDPR_001: Systém musí umožniť export osobných údajov používateľa v strojovo čitateľnom formáte na jeho žiadosť.
2860 -1. **Požiadavka na vypracovanie Bezpečnostného projektu:** Do I-04 Katalógu požiadaviek bude explicitne zaradená požiadavka na dodanie a pravidelnú aktualizáciu komplexného Bezpečnostného projektu IS AkcieOkolo ako jedného z kľúčových výstupov. Bude definovaná jeho štruktúra a obsah v súlade s Prílohou č. 3 Vyhlášky ÚPVII č. 179/2020 Z. z. Bezpečnostný projekt bude pripravovaný a dodaný súčasne s Detailným návrhom riešenia (DNR, projektový výstup R1-1) a bude aktualizovaný počas celej realizačnej fázy.
2861 -
2862 -Samotný Bezpečnostný projekt IS AkcieOkolo bude podrobným dokumentom, ktorý bude detailne popisovať analýzu bezpečnostných rizík, klasifikáciu a kategorizáciu aktív, navrhnuté a implementované bezpečnostné opatrenia, zodpovednosti, plány kontinuity činností a obnovy po havárii, ako aj postupy pre riadenie bezpečnostných incidentov.
2863 -
2864 -== **5.7.4 Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,** ==
2865 -
2866 -Navrhovaná bezpečnostná architektúra informačného systému AkcieOkolo a s ním súvisiace procesy musia byť v plnom súlade s relevantnými legislatívnymi, právnymi, štatutárnymi, regulačnými a zmluvnými požiadavkami. Tieto požiadavky definujú minimálnu úroveň bezpečnosti, ktorú musí systém spĺňať, ako aj povinnosti pri manipulácii s dátami, zabezpečení výpočtovej techniky a ochrane používateľov.
2867 -
2868 -**Kľúčová legislatíva a regulačné požiadavky, ktoré musí IS AkcieOkolo a jeho prevádzka spĺňať:**
2869 -
2870 -1. **Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (Zákon o ITVS):**
2871 -1*. Tento zákon ustanovuje základné pravidlá pre tvorbu, správu, prevádzku a rozvoj informačných technológií verejnej správy. IS AkcieOkolo musí spĺňať jeho požiadavky týkajúce sa napr. evidencie v MetaIS, dodržiavania štandardov, riadenia projektov, bezpečnosti a interoperability.
2872 -1. **Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov:**
2873 -1*. Ak by IS AkcieOkolo alebo jeho časť bola klasifikovaná ako súčasť informačného systému základnej služby alebo kritickej infraštruktúry (čo sa v tejto fáze nepredpokladá, ale treba priebežne monitorovať), vzťahovali by sa naň prísne požiadavky tohto zákona týkajúce sa bezpečnostných opatrení, hlásenia kybernetických bezpečnostných incidentov a spolupráce s Národným bezpečnostným úradom (NBÚ) a CSIRT.SK. Bez ohľadu na klasifikáciu budú princípy tohto zákona brané do úvahy pri návrhu bezpečnostných opatrení.
2874 -1. **Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (v znení neskorších predpisov):**
2875 -1*. Táto vyhláška definuje konkrétne bezpečnostné opatrenia, ktoré musia byť implementované v závislosti od klasifikácie informačného systému (najmä v kontexte ochrany utajovaných skutočností, ak by boli relevantné, čo pre IS AkcieOkolo nie je primárny predpoklad). Mnohé z jej princípov sú však aplikovateľné aj na všeobecnú informačnú bezpečnosť.
2876 -1. **Zákon č. 45/2011 Z. z. o kritickej infraštruktúre:**
2877 -1*. Momentálne sa nepredpokladá, že by IS AkcieOkolo priamo spadal pod definíciu kritickej infraštruktúry. Tento aspekt sa však bude monitorovať.
2878 -1. **Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu (teraz MIRRI SR) č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy:**
2879 -1*. IS AkcieOkolo musí byť v súlade s touto vyhláškou, ktorá definuje štandardy pre rôzne aspekty ITVS, vrátane používateľských rozhraní, interoperability, otvorených dát, bezpečnosti a formátov.
2880 -1. **Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu (teraz MIRRI SR) č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy:**
2881 -1*. Kľúčová vyhláška pre IS AkcieOkolo. Na jej základe bude systém kategorizovaný a budú implementované minimálne bezpečnostné opatrenia pre príslušnú kategóriu (I, II alebo III). Táto vyhláška je hlavným zdrojom pre definovanie bezpečnostných požiadaviek v Katalógu požiadaviek (I-04) a pre tvorbu Bezpečnostného projektu.
2882 -1. **Ochrana osobných údajov:**
2883 -1*. **Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov - GDPR):** Absolútne kľúčový predpis. IS AkcieOkolo bude spracúvať osobné údaje organizátorov, predajcov, registrovaných občanov a potenciálne aj ďalších osôb. Musia byť implementované všetky princípy GDPR (zákonnosť, spravodlivosť, transparentnosť, minimalizácia údajov, presnosť, obmedzenie uloženia, integrita a dôvernosť, zodpovednosť prevádzkovateľa).
2884 -1*. **Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov:** Národný zákon implementujúci a doplňujúci GDPR.
2885 -1*. **Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov (DPIA):** Pre spracovateľské operácie s vysokým rizikom pre práva a slobody fyzických osôb (čo môže byť relevantné pre niektoré aspekty IS AkcieOkolo, napr. rozsiahle profilovanie alebo spracovanie citlivých dát, ak by k tomu došlo) bude potrebné vykonať DPIA.
2886 -1. **Ďalšie relevantné predpisy:**
2887 -1*. Zákon č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci (Zákon o e-Governmente) – týka sa využívania spoločných modulov, elektronických schránok, referenčných údajov.
2888 -1*. Autorský zákon (zákon č. 185/2015 Z. z.) – pri spracúvaní obsahu podujatí, fotografií atď.
2889 -1*. Obchodný zákonník, Občiansky zákonník – pri uzatváraní zmlúv s dodávateľmi, používateľmi.
2890 -
2891 -**Metodiky CSIRT.SK a iné osvedčené postupy:**
2892 -Okrem legislatívnych nariadení budú pri návrhu a implementácii bezpečnostných opatrení IS AkcieOkolo využité odporúčania a metodiky vydané Jednotkou pre riešenie kybernetických bezpečnostných incidentov CSIRT.SK ([[https:~~/~~/csirt.sk/metodiky-a-hardening.html>>url:https://www.google.com/url?sa=E&q=https%3A%2F%2Fcsirt.sk%2Fmetodiky-a-hardening.html]]), ako napríklad:
2893 -
2894 -* Metodika pre systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti.
2895 -* Príručky pre hardening operačných systémov a aplikácií (napr. Ochrana pred útokmi DDoS, Linux Hardening, Windows Hardening Guides).
2896 -* Odporúčania pre bezpečnosť webových aplikácií (napr. Check list pre bezpečnosť webových aplikácií).
2897 -
2898 -Budú taktiež aplikované medzinárodne uznávané štandardy a osvedčené postupy, ako sú odporúčania OWASP pre bezpečnosť webových aplikácií, NIST Cybersecurity Framework, alebo relevantné normy z rodiny ISO/IEC 27000.
2899 -
2900 -**Interné smernice a relevantné metodické materiály organizácie (AkcieOkolo, z.z.p.o. / ZMOS):**
2901 -
2902 -* Počas realizácie projektu budú vypracované alebo aktualizované **interné bezpečnostné smernice** pre prevádzku a správu IS AkcieOkolo. Tieto smernice budú zahŕňať minimálne:
2903 -** Politiku informačnej bezpečnosti špecifickú pre IS AkcieOkolo.
2904 -** Smernicu pre riadenie prístupov a správu používateľských účtov.
2905 -** Smernicu pre zálohovanie a obnovu dát.
2906 -** Plán kontinuity činností a obnovy po havárii (BCP/DRP) pre IS AkcieOkolo.
2907 -** Postupy pre riadenie bezpečnostných incidentov.
2908 -** Smernicu pre bezpečný vývoj a údržbu softvéru (ak bude vývoj prebiehať aj interne).
2909 -* Využívať sa budú aj **metodické pokyny MIRRI SR** pre evidenciu v MetaIS, riadenie projektov ITVS, využívanie vládneho cloudu a pod.
2910 -
2911 -**Zmluvné požiadavky:**
2912 -
2913 -* Všetky zmluvy s dodávateľmi IS AkcieOkolo, poskytovateľmi cloudových služieb a inými partnermi budú obsahovať jasné ustanovenia týkajúce sa bezpečnostných povinností, ochrany dát, dodržiavania SLA a zodpovednosti za bezpečnostné incidenty.
2914 -* Bude vypracovaná Zmluva o podpore prevádzky (SLA), ktorá bude špecifikovať parametre dostupnosti, riešenia incidentov a bezpečnostné záruky.
2915 -
2916 -Dôsledné dodržiavanie týchto legislatívnych, právnych, štatutárnych, regulačných a zmluvných požiadaviek je nevyhnutným predpokladom pre vybudovanie dôveryhodného a bezpečného informačného systému AkcieOkolo.
2917 -
2918 -== **5.7.5 Riešenie autentifikácie a prístupov používateľov** ==
2919 -
2920 -Efektívne a bezpečné riešenie autentifikácie a riadenia prístupov používateľov je kritickou súčasťou bezpečnostnej architektúry informačného systému AkcieOkolo. Cieľom je zabezpečiť, aby k systému a jeho dátam pristupovali len oprávnené osoby, a to len v rozsahu nevyhnutnom pre výkon ich úloh, pri súčasnom zabezpečení čo najvyššieho používateľského komfortu tam, kde je to možné.
2921 -
2922 -**A. Požiadavky na autentifikáciu používateľov:**
2923 -
2924 -1. **Interní používatelia (pracovníci samospráv, administrátori AkcieOkolo, z.z.p.o.):**
2925 -1*. **Preferovaná metóda: Jednotné prihlásenie (Single Sign-On - SSO) s využitím IAM ÚPVS.**
2926 -1**. Pre všetkých pracovníkov orgánov verejnej moci (samosprávy) a administrátorov systému IS AkcieOkolo (z AkcieOkolo, z.z.p.o.), ktorí vyžadujú prístup k neverejným, administratívnym častiam systému, bude primárne implementovaná autentifikácia prostredníctvom **Autentifikačného modulu IAM Ústredného portálu verejnej správy (as_59698)**.
2927 -1**. **Zdôvodnenie:** Tento prístup zabezpečuje vysokú úroveň bezpečnosti, využíva existujúcu a štandardizovanú infraštruktúru eGovernmentu (eID, menné priestory), podporuje princíp jednotného prihlásenia pre používateľov naprieč rôznymi ISVS a znižuje potrebu spravovať samostatné heslá pre IS AkcieOkolo.
2928 -1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_001: Systém musí umožniť autentifikáciu interných používateľov (pracovníci samospráv, administrátori) prostredníctvom IAM ÚPVS.
2929 -1*. **Minimálna úroveň autentifikácie:** V súlade s požiadavkami na prístup k ISVS a citlivosťou dát, bude pre prístup k administratívnym funkciám vyžadovaná primeraná úroveň zabezpečenia autentifikácie (napr. dvojfaktorová autentifikácia, ak to IAM ÚPVS podporuje a kontext vyžaduje).
2930 -1. **Externí používatelia (Organizátori podujatí, Predajcovia/Účastníci – ak nie sú pracovníkmi VS; Občania/Návštevníci):**
2931 -1*. **Organizátori a Predajcovia/Účastníci (ak ide o PO alebo FO-podnikateľov, ktorí nie sú súčasťou VS):**
2932 -1**. Bude implementovaný robustný **registračný a autentifikačný mechanizmus priamo v IS AkcieOkolo**.
2933 -1**. Počiatočná registrácia bude vyžadovať overenie identity subjektu (napr. prostredníctvom IČO a následnej validácie voči RPO/ŽR, alebo iného vhodného mechanizmu pre overenie zástupcu PO/FO).
2934 -1**. Autentifikácia bude založená na kombinácii používateľského mena (napr. e-mail) a silného hesla spĺňajúceho definované politiky komplexnosti a exspirácie.
2935 -1**. Bude zvážená implementácia **dvojfaktorovej autentifikácie (2FA)** (napr. SMS kód, OTP aplikácia) ako voliteľnej alebo povinnej pre prístup k citlivejším operáciám alebo k profilovým údajom.
2936 -1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_002: Systém musí umožniť bezpečnú registráciu a prihlásenie pre organizátorov a predajcov pomocou mena a hesla, s implementovanou politikou silných hesiel. NR_AUTH_001: Systém by mal podporovať 2FA pre organizátorov a predajcov.
2937 -1*. **Občania/Návštevníci (pre prístup k personalizovaným funkciám portálu/aplikácie):**
2938 -1**. Jednoduchá registrácia a autentifikácia pomocou e-mailu a hesla.
2939 -1**. Možnosť využitia **prihlásenia prostredníctvom sociálnych sietí** (Social Login – napr. cez Google, Facebook, Apple ID), ak to bude vyhodnotené ako bezpečné a prínosné pre používateľský komfort, s jasným informovaním o rozsahu zdieľaných dát.
2940 -1**. Anonymný prístup k verejným informáciám o podujatiach bude možný bez nutnosti autentifikácie.
2941 -1**. //Katalóg požiadaviek (príklad)~:// FR_AUTH_003: Systém musí umožniť anonymný prístup k verejným častiam. FR_AUTH_004: Systém musí umožniť registráciu občanov pomocou e-mailu a hesla. NR_AUTH_002: Zvážiť implementáciu prihlásenia cez sociálne siete.
2942 -
2943 -**B. Požiadavky na používateľské role, správu prístupov a správu aplikácie:**
2944 -
2945 -IS AkcieOkolo bude implementovať **systém riadenia prístupu založený na rolách (Role-Based Access Control - RBAC)**. Každému používateľskému účtu bude priradená jedna alebo viac rolí, ktoré budú definovať jeho oprávnenia v systéme.
2946 -
2947 -1. **Definícia hlavných používateľských rolí:**
2948 -1*. **Administrátor Systému (AkcieOkolo, z.z.p.o.):** Najvyššie oprávnenia, správa celého systému, konfigurácia, manažment používateľov najvyššej úrovne, správa číselníkov, monitoring, audit.
2949 -1*. **Pracovník Samosprávy (Schvaľovateľ/Koordinátor):** Správa podujatí v rámci územnej pôsobnosti samosprávy, schvaľovanie registrácií podujatí, schvaľovanie účasti predajcov, komunikácia s organizátormi, prístup k relevantným reportom a štatistikám. Môžu existovať pod-role (napr. referent vs. vedúci s vyššími oprávneniami).
2950 -1*. **Organizátor Podujatia:** Registrácia a správa vlastných podujatí, správa žiadostí od predajcov pre svoje podujatia (ak mu to samospráva deleguje), prístup k štatistikám o svojich podujatiach.
2951 -1*. **Predajca/Účastník Podujatia:** Vytvorenie a správa svojho digitálneho profilu, podávanie žiadostí o účasť na podujatiach, prehľad o svojich schválených účastiach.
2952 -1*. **Registrovaný Občan/Návštevník:** Prístup k personalizovaným funkciám portálu/aplikácie (napr. ukladanie obľúbených podujatí, nastavenie notifikácií, písanie recenzií – ak bude implementované).
2953 -1*. **Anonymný Návštevník:** Prístup len k verejne dostupným informáciám o podujatiach.
2954 -1*. //Katalóg požiadaviek (príklad)~:// FR_RBAC_001: Systém musí implementovať minimálne definované používateľské role (Administrátor, Pracovník Samosprávy, Organizátor, Predajca, Občan).
2955 -1. **Správa prístupov:**
2956 -1*. Princíp najnižších potrebných oprávnení (least privilege) bude aplikovaný pre všetky role.
2957 -1*. Možnosť detailnej konfigurácie oprávnení pre jednotlivé funkcie a dátové objekty administrátorom systému.
2958 -1*. Auditné záznamy o všetkých zmenách oprávnení a prístupoch k citlivým funkciám.
2959 -1*. Proces pre schvaľovanie a odoberanie prístupov.
2960 -1*. //Katalóg požiadaviek (príklad)~:// NR_RBAC_001: Prístupové práva musia byť granulárne a prideľované na základe princípu najnižších oprávnení.
2961 -1. **Správa aplikácie (z pohľadu bezpečnosti):**
2962 -1*. Možnosť centrálnej deaktivácie/aktivácie používateľských účtov.
2963 -1*. Monitoring podozrivej aktivity a bezpečnostných incidentov.
2964 -1*. Nástroje pre administrátorov na správu bezpečnostných nastavení systému (napr. politika hesiel, konfigurácia 2FA).
2965 -1*. Pravidelné bezpečnostné aktualizácie a patch management všetkých komponentov systému.
2966 -
2967 -Všetky špecifické požiadavky na autentifikáciu, autorizáciu a riadenie prístupov, vrátane detailného matice rolí a oprávnení, budú zapísané a spravované v **I-04 Katalóg požiadaviek**.
2968 -
2969 -
2970 -= **6 PREVÁDZKA A ÚDRŽBA VÝSTUPOV PROJEKTU** =
2971 -
2972 -Táto kapitola popisuje súčasný stav a navrhovaný budúci model zabezpečenia prevádzky, údržby a podpory informačného systému AkcieOkolo, vrátane úrovne poskytovaných služieb (SLA) a postupov obnovy systému a dát po prípadnom výpadku.
2973 -
2974 -== **6.2 Návrh riešenia prevádzky a údržby** ==
2975 -
2976 -**Súčasný (AS IS) stav zabezpečenia prevádzky a údržby a úroveň poskytovania služieb (SLA):**
2977 -
2978 -Ako bolo konštatované v predchádzajúcich kapitolách, v súčasnosti (AS IS) **neexistuje centrálny informačný systém** pre agendu manažmentu kultúrnych podujatí na Slovensku. Z toho vyplýva, že:
2979 -
2980 -* **Prevádzka a údržba:** Neexistuje centrálne zabezpečená prevádzka ani údržba. Ak jednotlivé samosprávy alebo organizátori využívajú nejaké lokálne IT riešenia (často len kancelársky softvér), ich prevádzka a údržba je plne v ich vlastnej réžii, s rôznou úrovňou odbornosti a dostupných zdrojov. Často chýba systematická údržba, zálohovanie a bezpečnostné aktualizácie.
2981 -* **Úroveň poskytovaných služieb (SLA):** Nie sú definované žiadne centrálne SLA pre služby v tejto oblasti. Dostupnosť a spoľahlivosť informácií alebo procesov je variabilná a negarantovaná. Používateľská podpora je buď žiadna, alebo poskytovaná ad-hoc na lokálnej úrovni.
2982 -* **Oblasti na zlepšenie:** Celý koncept centralizovanej prevádzky, štandardizovanej údržby, garantovanej úrovne služieb a systematickej podpory pre IS AkcieOkolo bude **úplne novým prínosom** oproti súčasnému stavu. Kľúčovými oblasťami pre zlepšenie sú teda: zavedenie profesionálnej správy IT systému, definovanie a dodržiavanie SLA, zabezpečenie pravidelnej údržby a aktualizácií, poskytovanie technickej a používateľskej podpory, a implementácia robustných mechanizmov zálohovania a obnovy.
2983 -
2984 -**Navrhovaný budúci (TO BE) stav riešenia zabezpečenia prevádzky a údržby, úroveň poskytovania služieb (SLA) a obnovy systému a dát:**
2985 -
2986 -Pre IS AkcieOkolo bude v budúcom (TO BE) stave zabezpečená komplexná prevádzka, údržba a podpora prostredníctvom kombinácie interných zdrojov prevádzkovateľa (AkcieOkolo, z.z.p.o.) a externých dodávateľských služieb, vrátane služieb vládneho cloudu.
2987 -
2988 -1. **Zabezpečenie prevádzky a údržby:**
2989 -1*. **Prevádzkovateľ systému:** AkcieOkolo, z.z.p.o. bude hlavným prevádzkovateľom IS AkcieOkolo a bude zodpovedné za celkový manažment prevádzky, koordináciu údržby, komunikáciu s používateľmi a dodávateľmi.
2990 -1*. **Technologická infraštruktúra:** Ako bolo definované v kapitole 5.6, IS AkcieOkolo bude primárne prevádzkovaný na infraštruktúre **vládneho cloudu SR**. Zodpovednosť za prevádzku a údržbu fyzickej a virtualizačnej infraštruktúry (IaaS, PaaS) nesie poskytovateľ služieb vládneho cloudu v súlade s jeho SLA.
2991 -1*. **Aplikačná údržba a rozvoj:**
2992 -1**. **Korektívna údržba:** Zabezpečenie odstraňovania chýb a nedostatkov v IS AkcieOkolo bude predmetom zmluvy o podpore prevádzky (SLA) s dodávateľom informačného systému.
2993 -1**. **Adaptívna údržba:** Prispôsobovanie systému legislatívnym zmenám alebo zmenám v technologickom prostredí.
2994 -1**. **Perfektívna údržba a menší rozvoj:** Priebežné vylepšovanie funkcionalít na základe spätnej väzby od používateľov alebo nových potrieb, ak budú schválené a finančne kryté.
2995 -1*. **Bezpečnostná údržba:** Pravidelné aplikovanie bezpečnostných záplat na operačné systémy, databázy, aplikačné servery a samotnú aplikáciu IS AkcieOkolo. Monitorovanie bezpečnostných incidentov a zraniteľností.
2996 -1. **Úroveň poskytovaných služieb (SLA):**
2997 -1*. Bude vypracovaná a zmluvne dohodnutá **Dohoda o úrovni poskytovaných služieb (SLA)** medzi AkcieOkolo, z.z.p.o. (ako objednávateľom podpory) a dodávateľom informačného systému (ako poskytovateľom podpory). SLA bude definovať minimálne:
2998 -1**. **Dostupnosť služby (Availability):** Napr. **99,8%** ročná dostupnosť produkčného prostredia IS AkcieOkolo (mimo plánovaných odstávok), ako bolo špecifikované v kapitole 5.6.2 (KPI).
2999 -1**. **Reakčné časy na incidenty (Response Time):** Definované podľa priority incidentu (napr. kritický – do 1 hodiny, vysoký – do 4 hodín).
3000 -1**. **Časy na vyriešenie incidentov (Resolution Time / DKVI):** Definované podľa priority incidentu (napr. kritický – do 4 hodín, vysoký – do 8-24 hodín). Viď Tabuľka 38 v šablóne I-02 pre príklady.
3001 -1**. **Podporné hodiny:** Napr. 8x5 pre štandardnú podporu, s možnosťou rozšírenia na 24x7 pre kritické incidenty.
3002 -1**. **Procesy eskalácie a reportingu.**
3003 -1*. SLA bude takisto reflektovať parametre dostupnosti a podpory poskytované prevádzkovateľom vládneho cloudu.
3004 -1. **Obnova systému a dát po výpadku (Disaster Recovery & Backup):**
3005 -1*. **Stratégia zálohovania:**
3006 -1**. Pravidelné automatizované zálohovanie všetkých kľúčových dát IS AkcieOkolo (databázy, konfiguračné súbory, nahrané dokumenty).
3007 -1**. Frekvencia zálohovania: napr. denné prírastkové/diferenciálne zálohy, týždenné plné zálohy.
3008 -1**. Ukladanie záloh: Využitie geograficky oddelených úložísk v rámci vládneho cloudu (ak dostupné) alebo iného bezpečného externého úložiska.
3009 -1**. Retenčná politika záloh: napr. denné zálohy držané 7 dní, týždenné 4 týždne, mesačné 12 mesiacov.
3010 -1*. **Cieľové parametre obnovy:**
3011 -1**. **RTO (Recovery Time Objective): < 4 hodiny** (maximálny akceptovateľný čas na obnovu plnej funkčnosti systému po kritickom zlyhaní).
3012 -1**. **RPO (Recovery Point Objective): < 1 hodina** (maximálna akceptovateľná strata dát v prípade kritického zlyhania).
3013 -1*. **Plán obnovy po havárii (DRP):** Bude vypracovaný detailný DRP, ktorý bude obsahovať postupy pre obnovu systému a dát v rôznych scenároch zlyhania. DRP bude pravidelne testovaný (minimálne raz ročne).
3014 -1*. **Technické riešenia:** Využitie snapshotov virtuálnych serverov, databázových replikácií (ak relevantné a dostupné vo vládnom cloude), automatizovaných skriptov pre obnovu.
3015 -
3016 -**Informačný systém pre manažment služieb podpory (ITSM Tool):**
3017 -
3018 -* **Plánované využitie:** AkcieOkolo, z.z.p.o. ako prevádzkovateľ IS AkcieOkolo bude **využívať alebo plánuje obstarať informačný systém pre manažment služieb podpory (ITSM nástroj)**. Tento systém bude slúžiť na:
3019 -** Evidenciu a sledovanie všetkých používateľských požiadaviek, hlásení o chybách a bezpečnostných incidentov.
3020 -** Manažment životného cyklu incidentov a problémov (v súlade s ITIL postupmi).
3021 -** Komunikáciu s používateľmi a dodávateľom.
3022 -** Sledovanie plnenia SLA.
3023 -** Vytváranie znalostnej databázy pre riešenie opakujúcich sa problémov.
3024 -* **Požiadavky na integráciu:** Zváži sa **integrácia IS AkcieOkolo s týmto ITSM nástrojom**, napríklad pre:
3025 -** Automatické generovanie tiketov z monitorovacích nástrojov IS AkcieOkolo.
3026 -** Možnosť pre používateľov nahlasovať problémy priamo z rozhrania IS AkcieOkolo do ITSM systému.
3027 -** Výmenu dát o stave riešenia incidentov.
3028 -* Ak prevádzkovateľ vládneho cloudu alebo hlavný dodávateľ IS AkcieOkolo bude využívať vlastný ITSM nástroj, bude zabezpečená definovaná forma komunikácie a výmeny informácií medzi týmito systémami.
3029 -
3030 -**Prehľad predpokladaných požiadaviek na prevádzku a údržbu cieľového riešenia (súhrn):**
3031 -
3032 -* **Prevádzka vo vládnom cloude:** Zabezpečenie potrebnej výpočtovej kapacity, úložiska, sieťových služieb a ich správy poskytovateľom cloudu.
3033 -* **Monitoring 24/7:** Nepretržitý monitoring dostupnosti a výkonu kľúčových komponentov IS AkcieOkolo a infraštruktúry.
3034 -* **Zálohovanie a obnova:** Implementácia a pravidelné testovanie stratégie zálohovania a plánu obnovy.
3035 -* **Aplikačná podpora (L2/L3):** Zabezpečenie technickej podpory pre riešenie incidentov, problémov a chýb v aplikácii IS AkcieOkolo.
3036 -* **Používateľská podpora (L1/Helpdesk):** Poskytovanie pomoci a poradenstva koncovým používateľom (samosprávy, organizátori, predajcovia, občania) pri práci so systémom.
3037 -* **Manažment bezpečnosti:** Pravidelné bezpečnostné audity, penetračné testy, aktualizácia bezpečnostných opatrení, riešenie bezpečnostných incidentov.
3038 -* **Manažment zmien a releasov:** Riadený proces pre nasadzovanie nových verzií, aktualizácií a opráv systému.
3039 -* **Školenia a dokumentácia:** Priebežná aktualizácia používateľskej a technickej dokumentácie, poskytovanie školení pre nové funkcionality alebo pre nových používateľov.
3040 -* **Dodržiavanie SLA:** Meranie a reportovanie plnenia dohodnutých úrovní služieb.
3041 -* **Riadenie kapacity a výkonu:** Proaktívne sledovanie využitia zdrojov a plánovanie budúcich kapacitných potrieb.
3042 -
3043 -Tento komplexný prístup k prevádzke a údržbe zabezpečí, že IS AkcieOkolo bude dlhodobo spoľahlivým, bezpečným a efektívnym nástrojom pre všetkých svojich používateľov.
3044 -
3045 -== 6.3 Zabezpečenie podpory používateľov a prevádzky ==
3046 -
3047 -Zabezpečenie kontinuálnej a kvalitnej podpory pre koncových používateľov informačného systému AkcieOkolo, ako aj pre jeho samotnú technickú prevádzku, je kľúčové pre jeho dlhodobú udržateľnosť a spokojnosť všetkých zainteresovaných strán. Model podpory bude viacúrovňový a bude zahŕňať interné kapacity prevádzkovateľa (AkcieOkolo, z.z.p.o.) aj externé služby dodávateľov.
3048 -
3049 -
3050 -**Štruktúra a úrovne podpory pre IS AkcieOkolo:**
3051 -
3052 -Podpora prevádzky a používateľov IS AkcieOkolo bude realizovaná prostredníctvom štandardizovaného trojúrovňového modelu:
3053 -
3054 -* **Podpora L1 (podpora 1. stupňa - Level 1) - Jednotné kontaktné miesto (JKM) / Helpdesk:**
3055 -** **Obsah činnosti:** Začiatočná úroveň podpory, primárny kontaktný bod pre všetkých používateľov (samosprávy, organizátori, predajcovia, občania). Hlavnou funkciou L1 podpory bude:
3056 -*** Prijímanie a evidencia všetkých požiadaviek, hlásení o problémoch a incidentoch (cez telefón, e-mail, webový formulár ITSM nástroja).
3057 -*** Základná analýza a klasifikácia požiadavky (typ, priorita, dopad).
3058 -*** Poskytovanie okamžitej pomoci pri riešení jednoduchých, často kladených otázok (FAQ-based support), problémov s prihlásením (reset hesla pre lokálne účty), navigáciou v systéme, základným nastavením.
3059 -*** Diagnostika a overenie dostupnosti základných služieb a komponentov IS AkcieOkolo.
3060 -*** Vedenie používateľov k dostupnej dokumentácii a školiacim materiálom.
3061 -*** Eskalácia komplexnejších problémov a incidentov na úroveň L2 podpory.
3062 -*** Informovanie používateľov o stave riešenia ich požiadaviek.
3063 -** **Zabezpečenie:** L1 podpora bude zabezpečovaná tímom **prevádzkovateľa systému (AkcieOkolo, z.z.p.o.)**. Bude vytvorené dedikované pracovisko jednotného kontaktného miesta.
3064 -* **Podpora L2 (podpora 2. stupňa - Level 2) - Špecializovaná aplikačná a technická podpora:**
3065 -** **Obsah činnosti:** Riešiteľské tímy s hlbšou technickou a aplikačnou znalosťou IS AkcieOkolo. Na túto úroveň budú eskalované požiadavky, ktoré L1 podpora nedokáže vyriešiť. Hlavné činnosti L2 podpory:
3066 -*** Detailná analýza a diagnostika komplexnejších incidentov a problémov týkajúcich sa funkcionality IS AkcieOkolo, dátovej konzistencie, výkonu, integrácií.
3067 -*** Riešenie problémov vyžadujúcich administrátorské zásahy do systému (napr. konfigurácia, správa pokročilých používateľských oprávnení, analýza logov).
3068 -*** Spolupráca s L1 podporou pri poskytovaní informácií a usmernení.
3069 -*** Reprodukcia a dokumentácia chýb pre eskaláciu na L3 podporu (dodávateľa).
3070 -*** Implementácia workaroundov (dočasných riešení) pre minimalizáciu dopadu incidentov.
3071 -*** Menšie konfiguračné zmeny a úpravy v systéme, ktoré nevyžadujú zásah do zdrojového kódu.
3072 -** **Zabezpečenie:** L2 podpora bude primárne zabezpečovaná **internými špecialistami prevádzkovateľa systému (AkcieOkolo, z.z.p.o.)** – napr. administrátori IS, databázoví špecialisti. Časť špecializovaných činností (napr. týkajúcich sa hlbokej expertízy na konkrétny technologický stack, na ktorom beží vládny cloud) môže byť po dohode a v rámci SLA zmluvy zabezpečovaná aj **externým dodávateľom/implementátorom IS AkcieOkolo** alebo **poskytovateľom služieb vládneho cloudu**.
3073 -* **Podpora L3 (podpora 3. stupňa - Level 3) - Expertná dodávateľská podpora:**
3074 -** **Obsah činnosti:** Najvyššia úroveň podpory, určená na riešenie najzávažnejších a najkomplexnejších incidentov, problémov a chýb, najmä tých, ktoré si vyžadujú zásah do zdrojového kódu aplikácie, hĺbkovú analýzu na úrovni dodávateľských komponentov alebo riešenie problémov v integrácii s platformou vládneho cloudu.
3075 -*** Oprava chýb v zdrojovom kóde aplikácie (bug fixing).
3076 -*** Vývoj a nasadenie bezpečnostných záplat a kritických aktualizácií.
3077 -*** Hĺbková analýza výkonnostných problémov a návrh optimalizácií.
3078 -*** Riešenie problémov súvisiacich s dodanými technologickými komponentmi alebo komplexnými integráciami.
3079 -** **Zabezpečenie:** L3 podpora bude zabezpečovaná **primárne externým dodávateľom/implementátorom IS AkcieOkolo** na základe zmluvy o podpore a údržbe (SLA). V prípade problémov na úrovni infraštruktúry vládneho cloudu bude L3 podpora eskalovaná na **poskytovateľa služieb vládneho cloudu**.
3080 -
3081 -**Zabezpečenie podpory infraštruktúrnych služieb:**
3082 -Podpora pre infraštruktúrne služby, na ktorých bude IS AkcieOkolo prevádzkovaný (primárne služby vládneho cloudu – IaaS, PaaS), bude zabezpečená prevádzkovateľom vládneho cloudu (napr. MV SR alebo ním poverená organizácia) v súlade s jeho štandardnými podmienkami poskytovania služieb a dohodnutými SLA pre tieto služby. Prevádzkovateľ IS AkcieOkolo (AkcieOkolo, z.z.p.o.) bude mať definované kontaktné body a postupy pre nahlasovanie a riešenie incidentov na úrovni infraštruktúry s poskytovateľom vládneho cloudu. Spôsob komunikácie bude jasne definovaný.
3083 -
3084 -**Prehľad očakávaného riešenia zabezpečenia podpory používateľov a prevádzky:**
3085 -
3086 -|**PodPora**|(((
3087 -**Poskytovateľ**
3088 -
3089 -(subjekt zodpovedný za poskytnutie podpory)
3090 -)))|**Požadovaný Čas dostupnosti**|**STAV zabezpečenia**|(((
3091 -**Pozn.**
3092 -
3093 -(napr. známe obmedzenia služby, špeciálne zodpovednosti, a pod.)
3094 -)))
3095 -|**Podpora L1** - jednotný kontaktný bod|AkcieOkolo, z.z.p.o. (interný tím Helpdesku)|Pracovné dni, 8:00 - 17:00 (8x5)|Bude vytvorený v rámci projektu (personálne, procesne, nástrojovo - ITSM).|Primárny kontakt pre všetkých používateľov. Kapacita bude dimenzovaná na očakávaný počet požiadaviek. Znalostná databáza.
3096 -|**Podpora L2**|AkcieOkolo, z.z.p.o. (interní IT špecialisti, admini) a čiastočne Dodávateľ IS AkcieOkolo|Pracovné dni, 8:00 - 17:00 (8x5); Pre kritické incidenty aj mimo pracovnej doby (on-call).|Bude zabezpečené internými zdrojmi; Špecializované externé L2 služby budú súčasťou SLA zmluvy s dodávateľom IS.|Zodpovednosť za aplikačnú logiku a dáta. Spolupráca s L3.
3097 -|**Podpora L3**|Dodávateľ IS AkcieOkolo|Podľa SLA zmluvy (napr. reakcia do 1h pre kritické, riešenie do 4h).|Bude súčasťou obstarania IS AkcieOkolo a následnej zmluvy o podpore a údržbe (SLA).|Zodpovednosť za zdrojový kód, komplexné chyby, bezpečnostné záplaty.
3098 -|**Podpora infraštruktúrnych služieb** (Vládny Cloud)|Poskytovateľ služieb vládneho cloudu (napr. MV SR)|Podľa štandardných SLA pre služby vládneho cloudu (napr. 24x7 pre kritické infraštruktúrne incidenty).|Existujúca zmluva/dohoda o využívaní služieb vládneho cloudu.|Zodpovednosť za dostupnosť a funkčnosť IaaS/PaaS služieb. Jasne definované rozhranie pre nahlasovanie problémov s cloudovou infraštruktúrou.
3099 -
3100 -//Tabuľka 34 Prehľad riešenia zabezpečenia podpory používateľov a prevádzky//
3101 -
3102 -**Špeciálne požiadavky na podporu a ich zapísanie do Katalógu požiadaviek (I-04):**
3103 -
3104 -Do I-04 Katalógu požiadaviek budú zapísané nasledujúce špecifické požiadavky týkajúce sa zabezpečenia podpory:
3105 -
3106 -* **Požiadavky na ITSM nástroj:**
3107 -** NR_SUPP_001: Prevádzkovateľ musí disponovať ITSM nástrojom pre evidenciu a manažment všetkých používateľských požiadaviek a incidentov.
3108 -** NR_SUPP_002: ITSM nástroj musí umožňovať klasifikáciu, priorizáciu a eskaláciu tiketov medzi úrovňami L1, L2 a L3.
3109 -** NR_SUPP_003: ITSM nástroj musí poskytovať reportingové funkcie pre sledovanie plnenia SLA.
3110 -* **Požiadavky na SLA s dodávateľom IS AkcieOkolo (L3 podpora):**
3111 -** NR_SUPP_004: Zmluva o podpore musí definovať garantované reakčné časy a časy na vyriešenie incidentov pre L3 podporu, minimálne podľa parametrov uvedených v Tabuľke 38 Projektového zámeru (Parametre služby Riešenia incidentov v prevádzke).
3112 -** NR_SUPP_005: Súčasťou L3 podpory musí byť poskytovanie bezpečnostných záplat a opráv kritických chýb v dohodnutých termínoch.
3113 -* **Požiadavky na školenia a dokumentáciu pre podporné tímy:**
3114 -** NR_SUPP_006: Dodávateľ IS AkcieOkolo musí poskytnúť komplexné technické školenia a dokumentáciu pre pracovníkov L1 a L2 podpory prevádzkovateľa.
3115 -* **Požiadavky na používateľskú dokumentáciu a FAQ:**
3116 -** NR_SUPP_007: Musí byť vytvorená a pravidelne aktualizovaná používateľská príručka a sekcia často kladených otázok (FAQ) pre všetky hlavné používateľské skupiny.
3117 -* **Obmedzenia/Rozšírenia služieb:**
3118 -** NR_SUPP_008: L1 podpora bude primárne poskytovaná v slovenskom jazyku. Pre zahraničných používateľov (v kontexte portálu a aplikácie) bude zvážená základná podpora v anglickom jazyku (minimálne e-mailom).
3119 -** NR_SUPP_009: SLA parametre pre obnovu po havárii (RTO/RPO) musia byť v súlade s definíciami v kapitole 6.1 a ich dodržiavanie bude súčasťou monitoringu a reportingu.
3120 -
3121 -Tieto požiadavky zabezpečia, že proces obstarania dodávateľa riešenia a následná zmluva o podpore budú adekvátne pokrývať potreby podpory používateľov a prevádzky IS AkcieOkolo počas celého jeho životného cyklu.
3122 -
3123 -