brať do úvahy aj zákon 69/2018 Z. z. o kybernetickej bezpečnosti, v znení neskorších predpisov. Bude vypracovaný bezpečnostný projekt rešpektujúci tieto pravidlá.Dodávateľ sa zaväzuje, že pri dodávke informačného systému zabezpečí vzájomné oddelenie vývojového, testovacieho a prevádzkového prostredia na prevenciu neautorizovaného prístupu alebo zmien v prevádzkovom prostredí, ak je to možné.
7.1.7.1.Auditné záznamy a logovanie
-Všetky aktivity administrátorov a používateľov musia byť zaznamenávané.
-ISVS musí podporovať parametrizovateľnú tvorbu logov.
Musí byť implementované logovanie a logy sa musia zaznamenávať minimálne v rozsahu (vždy úspešné aj neúspešné):
a)Prihlásenie a odhlásenie (vrátane zdrojovej IP, mena PC, loginu AD).
b)Vytvorenie, modifikáciu alebo zmazanie používateľa alebo skupiny.
c)Pokusy pristúpiť k citlivým údajom (údaje klasifikované hornými dvomi klasifikačnými stupňami v rámci organizácie).
d)Pokusy o kritické operácie.
Logy musia byť ukladané v ISVS minimálne 6 mesiacov po skončení záručnej doby ISVS.
7.1.7.2.Bezpečnosť údajov (technické a organizačné zabezpečenie – pre prístup k údajom)
V rámci projektu bude vypracovaný bezpečnostný projekt podľa prílohy č. 3 Vyhlášky č. 179/2020, obsahujúci bezpečnostné opatrenia, minimálne v rozsahu:
-Technické opatrenie realizované prostriedkami fyzickej povahy, zabezpečenie objektu pomocou mechanických zábranných prostriedkov.
-Riadenie prístupu poverených osôb, riadenie prístupov a opatrenia na zaručenie platných politík riadenia prístupov.
-Ochrana pred neoprávneným prístupom, šifrová ochrana uložených a prenášaných údajov, pravidlá pre kryptografické opatrenia.
-Autentizácia a autorizácia osôb v informačnom systéme.
-Riadenie zraniteľností, opatrenia na detekciu a odstránenie škodlivého kódu a nápravu následkov škodlivého kódu; ochrana pred nevyžiadanou elektronickou poštou.
-Sieťová bezpečnosť, kontrola obmedzenie alebo zamedzenie prepojenia informačného systému, v ktorom sú spracúvané osobné údaje s verejne prístupnou počítačovou sieťou.
-Zálohovanie, test funkčnosti záložných dátových nosičov.
-Likvidácia osobných údajov a dátových nosičov, technické opatrenia na bezpečné vymazanie osobných údajov z dátových nosičov...
-súlad s bezpečnostnými štandardmi, právnymi predpismi.
-Keďže v projekte dôjde k spracovaniu osobných údajov, bude súčasťou aj posudok vplyvu spracovateľských operácii na ochranu osobných údajov (DPIA (Data Protection Impact Assessment) ešte pred začatím spracúvania osobných údajov.
7.1.7.3.Posúdenie vplyvu a dopadu na ochranu osobných údajov (DPIA – data protection impact assesment)
Keďže v projekte dôjde k spracovaniu osobných údajov, bude posúdený vplyv spracovateľských operácii na ochranu osobných údajov (DPIA (Data Protection Impact Assessment) ešte pred začatím spracúvania osobných údajov.
Pričom bude posúdený kontext v zmysle nasledovných právnych predpisov: