PROJEKTOVÝ ZÁMER

Vzor pre manažérsky výstup  I-02

 podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1.     História DOKUMENTU

Tabuľka 1 – História dokumentu

2.     ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

2.1       Použité skratky a pojmy

V nasledujúcej tabuľke sú uvedené skratky a pojmy použité v tomto dokumente a jeho prílohách.

Tabuľka 2 – Použité skratky a pojmy

3.     DEFINOVANIE PROJEKTU

3.1       Manažérske zhrnutie

Organizácie štátnej a verejnej správy vynakladajú nemalé finančné prostriedky na nákup hardvéru a softvérových licencií s cieľom využívať softvérové aplikácie alebo informačné systémy. Takto vynaložené výdavky zároveň predstavujú nezanedbateľnú časť rozpočtu útvarov zodpovedných za riadenie informačných technológií jednotlivých orgánov verejnej moci – typicky náklady na licencie predstavujú cca. 30-35% z celkového rozpočtu organizácií na informačné technológie (okrem toho ďalších 15-20% predstavujú náklady súvisiace s prevádzkou cloudovej infraštruktúry, resp. cloudových zdrojov, ktorých využívanie sa v podmienkach štátnej správy SR začína taktiež postupne etablovať). Bežnou praxou však je, že ich efektívnej správe sa následne už nevenuje dostatočná pozornosť. V dôsledku toho organizácie v mnohých prípadoch nemajú dostatočný prehľad o skutočnom využívaní hardvéru (a jeho životnom cykle) a softvérových licencií, ako ani aj o skutočnej potrebe využívania týchto softvérov a ani o súvisiacej licenčnej potrebe. Takýto stav vytvára podmienky pre neefektívne hospodárenie a správu IT majetku štátu. Inými slovami organizácie buď platia za licencie, ktoré nepotrebujú alebo majú licencií nedostatok, čím dochádza k nesúladu s licenčnými podmienkami SW výrobcu. Samotní SW výrobcovia sú si vedomí situácie predstavujúcej nesúlad s ich licenčnými podmienkami a preto najmä v posledných rokoch výrazne zvyšujú intenzitu softvérových auditov, ktoré pre nich predstavujú ďalší zdroj príjmov. Táto prax, samozrejme, neobchádza ani Slovenskú republiku, a „vďačným“ cieľom takýchto auditov sú práve orgány verejnej moci.

Problematika efektívneho riadenia IT aktív vo verejnej a štátnej správe bola bližšie predstavená, resp. naštartovaná v roku 2018, kedy v rámci Úradu podpredsedu vlády SR pre investície a informatizáciu vznikli nasledujúce základné dokumenty:

• Reformný zámer – Riadenie IT aktív vo verejnej správe.
• Koncepcia riadenia IT aktív v štátnej správe.
• Štúdia uskutočniteľnosti.

V nadväznosti na uvedené iniciovalo následne Ministerstvo investícií, regionálneho rozvoja a informatizácie SR v roku 2022 projekt vybudovania centrálnej kompetencie riadenia IT aktív, ktorý pozostáva z nasledujúcich častí (ďalej tiež ako ITAM 1.0):

1. Implementáciu informačného systému riadenia IT aktív (ďalej tiež ako „IS ITAM“) – ukončený v 12/2023 (prevádzka IS bude ukončená v zmysle platnej zmluvy v 10/2024).
2. Zabezpečenie expertných služieb v oblasti optimalizácie IT aktív (ktorá zahŕňa okrem iného aj vybudovanie centrálnej kompetencie riadenia IT aktív v štátnej správe) – ukončený v 08/2024.

V rámci neho boli stanovené nasledujúce najdôležitejšie ciele:

• Výrazné zníženie nákladov na obstarávanie a využívanie softvérov a súvisiacich licencií.
• Štandardizácia nástrojov na zber a evidenciu IT aktív
• Štandardizácia procesov týkajúcich sa životného cyklu IT aktív v rámci verejnej a štátnej správy.
• Centrálna evidencia nainštalovaných, využívaných a pripojených IT aktív aktualizovanú skoro v reálnom čase.
• Identifikácia nepovoleného hardvéru a softvéru pripojeného do internej siete verejnej správy.
• Možnosť centrálne vyhodnocovať bezpečnostné riziká, licenčný súlad a identifikovať potenciálne riziká nesúladu a pod.
• Optimalizácia IT aktív naprieč verejnou správou.
• Zvyšovanie povedomia, znalostí a kompetencií zamestnancov verejnej správy v oblasti licenčnej problematiky, súvisiacich rizikách ako aj jej efektívnom riadení.

V čase  prípravy tohto dokumentu je implementácia IS ITAM dokončená, pričom k tejto kompetencii centrálneho riadenia IT aktív je pripojených 14 orgánov verejnej moci (ďalej tiež ako „OVM“), ktoré celkovo poskytujú dáta do IS ITAM približne z 30 000 zariadení vrátane osobných počítačov a serverov (fyzických a virtuálnych). Expertné služby pokračujú, pričom ich ukončenie v zmysle platnej zmluvy je stanovené na August 2024.

Už prvé dáta v IS ITAM a aktivity smerujúce k optimalizácii licenčného portfólia a zabezpečenia licenčného súladu ukazujú o významnej opodstatnenosti tejto iniciatívy, jej nevyhnutnom pokračovaní a ďalšom rozširovaní. Ako príklad možno uviesť niektoré úvodné zistenia z jedného pripojeného OVM:

• Potenciál na optimalizáciu jedného vybraného softvérového produktu jedného výrobcu softvéru vo výške takmer 160 000 EUR.
• Nainštalovaných 59 rôznych softvérov (vrátane rôznych verzií) na prácu s PDF súbormi.
• 2334 inštalácií rôznych softvérov, ktoré sú už bez podpory výrobcov týchto softvérov, čo z hľadiska riadenia kybernetickej bezpečnosti predstavuje významné bezpečnostné riziko.

Sumarizácia projektu ITAM 1.0 z finančného pohľadu:
 

Úspory z rozsahu (Economy of scale) - predstavujú hlavne úspory, ktoré boli realizované cez centrálny nákup, kde ITAM projekt poskytol doležité data pre nákup licencii.

Úspory z optimalizácie licenčných modelov - predstavujú úspory, kde ITAM poskytuje data a informácie k optimalizácii licencii.

"Vyhnutie" sa nákladom (Cost Avoidance / Risk Reduction) - predstavujú potenciálne finančné náklady na absorpciu auditných nálezov  napr. z dôvodu chýbajucich licencii, nesprávneho licenčného modelu, chýbajucich nadobúdacich dokladov a pod.

Aktuálny stav ktorý predstavuje "Vyhnutie" sa nákladom (Cost Avoidance / Risk Reduction) k 1.1.2024 a 1.12.2024.

*z dôvodu citlivej povahy informácii sú OVM anonymizované.

Procesná optimalizácia (Efficiency Gain) - predstavuje náklad na ručný zber dát a spracovávanie.

Z vyššie uvedeného vyplýva potreba vybudovania internej kompetencie ITAM expertov pre potreby štátu po uplynutí projektu. Vybudovanie tejto kompetencie poskytne úspory nielen z optimalizácie licencii, ale aj pre "Vyhnutie sa nákladom" po skončení projektu. Bez tejto kompetencie by úspory po skončení projektu neboli možné prostredníctvom interných zdrojov realizovať.

Úlohou vyškolených ITAM expertov je nielen poskytovať poradenstvo pre OVM v oblasti licencovania a licenčných politík, ale aj vypracovávanie metodík, procesov, procedúr a licenčných správ a auditné činnosti (interné a externé aktivity).

V súčastnej chvíli štát nedisponuje žiadnymi ITAM expertami na potrebnej znalostnej úrovni. Projekt počíta so školeniami pre interných pracovníkov OVM a pre pracovníkov MIRRI. Školenia budu zamerané na procesné riadenie IT aktív, vykonávaní interných licenčných auditov, vrátane špecializovaných školení pre komerčné produkty ako napríklad Microsoft, Oracle, IBM, SAP, VMWare, Cisco, Citrix, a nekomerčné produkty licencované ako napríklad EUPL a Opensource a podobne. Podrobný plán školení je uvedený v opise predmetu zakázky.

Externí ITAM experti (poradenské služby) sa budú podielať na realizácii projektu a doručenie celého diela, po odovzdaní diela sa nepočíta s ich zapojením. Ich role a zodpovednosti preberú interní vyškolení pracovníci.

V nadväznosti nielen na tieto úvodné zistenia, identifikované ďalšie prevádzkové potreby OVM v oblasti riadenia IT ale aj najnovšie globálne trendy v oblasti riadenia IT aktív, je predmetom tohto projektového zámeru:

• Pripájanie ďalších OVM k tejto centrálnej kompetencii riadenia IT aktív, pričom cieľový stav pripojených zariadení je stanovený na 150 000.
• Riadenie a optimalizácia aplikačného portfólia, ktorá okrem iného poskytne prepojenie fyzickej vrstvy softvérov dostupnej v IS ITAM s aplikačnou a biznis vrstvou zahŕňajúcou procesy, biznis služby a životné situácie (napr. v prostredí MetaIS), čím sa zabezpečia informácie v reálnom čase o technickom zdraví týchto aplikácií. Tie budú ďalej rozširované o biznis hodnotu, ktorú tieto aplikácie prinášajú svojím používateľom, čo je základom pre prípadnú optimalizáciu, konsolidáciu a modernizáciu aplikačného portfólia štátu.
• Riadenie softvérových zraniteľností, t.j. rozšírenie IS ITAM o modul riadenia softvérových zraniteľností a súvisiacu úpravu prevádzkového modelu riadenia IT aktív.
• Zabezpečenie efektívneho riadenia cloudových služieb a zavedenie finančného riadenia cloudových služieb, tzv. FinOps.
• Zapájanie interných ľudských zdrojov do ITAM procesov a platformy ITAM.

Implementácia týchto iniciatív predpokladá využitie finančných prostriedkov najmä z Programu Slovensko, pričom časový harmonogram ich implementácie je nastavený na obdobie 36 mesiacov (v období rokov 2025-2028) s predpokladanou finančnou potrebou vo výške 16 161 890 EUR bez DPH. Okrem toho predložená CBA uvažuje s ďalšími nákladmi na interné zdroje MIRRI SR ako aj vybrané OVM v celkovej výške 412 666 EUR. Tieto ďalšie náklady predstavujú náklady na ľudí, ktorí budú aktívne participovať na projekte (ako napr. projektový manažér za MIRRI SR, biznis vlastník, vlastník procesov, zástupca za riadenie architektúry, bezpečnosti a pod.) a nebudú hradení zo štátneho rozpočtu, ale podľa ich participácie na projekte, ktorá bude adekvátne hradená a bude obsiahnutá v Zmluve o spolupráci.

Čerpanie finančných prostriedkov bude postupné podľa aktuálneho použitia, či už obstarávanie licencii, prác, prevádzky.

Už z povahy projektu a jeho záberu naprieč mnohými organizáciami štátnej a verejnej správy bude projekt realizovaný prostredníctvom národného projektu. 

3.2       Motivácia a rozsah projektu

3.2.1       Motivácia a ciele

Problematika efektívneho riadenia IT aktív vo verejnej a štátnej správe bola bližšie predstavená, resp. naštartovaná v roku 2018, kedy v rámci Úradu podpredsedu vlády SR pre investície a informatizáciu (ďalej tiež ako „ÚPVII“) vznikli dva základné dokumenty:

• Reformný zámer – Riadenie IT aktív vo verejnej správe.
• Koncepcia riadenia IT aktív v štátnej správe.

V rámci týchto dokumentov boli predstavené nasledujúce základné piliere riadenia IT aktív vrátane:

• Vybudovanie kompetencie riadenia IT aktív v štátnej správe.
• Riadenie IT aktív v štátnej správe:
  • Implementácia systému riadenia hardvérových aktív.
  • Implementácia systému riadenia softvérových aktív.

pričom sa predpokladalo, že riadenie IT aktív bude implementované v prostredí všetkých ústredných orgánov štátnej správy čo z hľadiska objemu predstavovalo v tom čase približne 150 000 zariadení vrátane stolných počítačov, notebookov, a serverov (fyzických, virtuálnych), pričom podľa v tom čase dostupných údajov všetky ústredné orgány štátnej správy vynakladali celkovo na softvér, čo zahŕňa poplatky za licencie, údržbu a podporu približne 100 000 000 EUR ročne.

V nadväznosti na uvedené pripravilo Ministerstvo investícií, regionálneho rozvoja a informatizácie SR (ďalej tiež ako „MIRRI SR“ alebo „MIRRI“) štúdiu uskutočniteľnosti, ktorá zastrešovala implementáciu informačného systému riadenia IT aktív (časť softvérové aktíva) a vybudovanie centrálnej kompetencie riadenia IT aktív vo verejnej správe, na základe ktorej vyhlásila v roku 2022 dve verejné obstarávania:

1. Implementácia informačného systému riadenia IT aktív.
2. Poradenské služby v oblasti optimalizácie IT aktív (ktorá zahŕňa okrem iného aj vybudovanie centrálnej kompetencie riadenia IT aktív v štátnej správe).

pričom celkový objem z hľadiska počtu pripojených a manažovaných zariadení bol stanovený na 40.000.

Dôvodom pre pokračovanie existujúceho projektu a jeho ďalšie rozširovanie je skutočnosť, že organizácie štátnej a verejnej správy, tak ako je uvedené vyššie, vynakladajú nemalé finančné prostriedky na nákup hardvéru a softvérových licencií s cieľom využívať softvérové aplikácie alebo informačné systémy. Takto vynaložené výdavky zároveň predstavujú nezanedbateľnú časť rozpočtu útvarov zodpovedných za riadenie informačných technológií jednotlivých orgánov verejnej moci – typicky predstavujú náklady na licencie cca. 30-35% z celkového rozpočtu organizácií na informačné technológie (okrem toho ďalších 15-20% predstavujú náklady súvisiace s prevádzkou cloudovej infraštruktúry, resp. cloudových zdrojov, ktorých využívanie sa v podmienkach štátnej správy SR začína taktiež postupne etablovať). Bežnou praxou však je, že ich efektívnej správe sa následne už nevenuje dostatočná pozornosť. V dôsledku toho organizácie v mnohých prípadoch nemajú dostatočný prehľad o skutočnom využívaní hardvéru (a jeho životnom cykle) a softvérových licencií, ako ani aj o skutočnej potrebe využívania týchto softvérov (ďalej len „SW“) alebo informačných systémov a aplikácií a ani o súvisiacej licenčnej potrebe. Takýto stav vytvára podmienky pre neefektívne hospodárenie a správu IT majetku štátu.

Inými slovami organizácie buď platia za licencie, ktoré nepotrebujú alebo majú licencií nedostatok, čím dochádza k nesúladu s licenčnými podmienkami SW výrobcu. Vyplýva to najmä zo skutočnosti, že po úvodnom nákupe licencií (napr. v prípade realizácie interných projektov rozširovania alebo zmeny IT infraštruktúry) sa ich následnej správe nevenuje dostatočná, resp. žiadna pozornosť, keďže jednotlivé OVM nemajú dostatočné personálne ani odborné kapacity, aby túto oblasť mohli pokrývať v požadovanom rozsahu a kvalite. Samotní SW výrobcovia sú si vedomí situácie predstavujúcej nesúlad s ich licenčnými podmienkami a preto najmä v posledných rokoch výrazne zvyšujú intenzitu softvérových auditov, ktoré pre nich predstavujú ďalší zdroj príjmov. Táto prax, samozrejme, neobchádza ani Slovenskú republiku, a „vďačným“ cieľom takýchto auditov sú práve OVM.

V tomto kontexte čiastkové ciele riadenia IT aktív zostávajú nezmenené , resp. sa ďalej rozširujú. Celkovo ich možno zhrnúť do nasledujúcich bodov: 

• Výrazné zníženie nákladov na obstarávanie a využívanie softvérov a súvisiacich licencií.
• Štandardizáciu nástrojov na zber a evidenciu IT aktív v rámci verejnej a štátnej správy.
• Štandardizáciu procesov týkajúcich sa životného cyklu IT aktív v rámci verejnej a štátnej správy.
• Elimináciu manuálnych úloh a/alebo výrazné zníženie lokálnej administratívnej záťaže na úrovni jednotlivých OVM spojenej so životným cyklom IT aktív.
• Výrazné zníženie vplyvu ľudského faktora na sledovanie životného cyklu IT aktív na lokálnej úrovni.
• Centrálnu evidenciu nainštalovaných, využívaných a pripojených IT aktív aktualizovanú skoro v reálnom čase.
• Možnosť centrálne vyhodnocovať bezpečnostné riziká vyplývajúce zo známych softvérových zraniteľností nainštalovaného softvéru.
• Možnosť centrálne vyhodnocovať licenčný súlad a identifikovať potenciálne riziká nesúladu.
• Možnosť využitia dostupných údajov pre ďalšiu analýzu a identifikáciu optimalizácie a znižovania nákladov na IT aktíva vo verejnej správe.
• Na základe centralizovaných údajov možnosť optimalizovať IT aktíva naprieč verejnou správou.
• Zvyšovanie povedomia, znalostí a kompetencií zamestnancov verejnej správy v oblasti licenčnej problematiky, súvisiacich rizikách ako aj jej efektívnom riadení.
• Meranie technického zdravia a biznis hodnoty softvérov a aplikácií používaných vo verejnej a štátnej správe v kontexte riadenia enterprise architektúry.
• Vybudovanie ITAM kompetencie naprieč OVM a MIRRI.
• Vybudovanie Open Source Labu na posudzovanie vhodnosti použitia SW s Open Source a EUPL licenciami.
• V projekte sa počíta s prepojením Open Source Labu s repozitárom softvéru, kde sa ukladajú softvérové diela vyvinuté pre štát pre prípad znovupoužiteľnosti.

3.2.2       Rozsah projektu

V nadväznosti na informácie uvedené vyššie, boli identifikované ďalšie prevádzkové potreby OVM v oblasti riadenia IT ale aj najnovšie globálne trendy v oblasti riadenia IT aktív, čo je predmetom tohto projektového zámeru:

• Pripájanie ďalších OVM k tejto centrálnej kompetencii riadenia IT aktív, pričom cieľový stav pripojených zariadení je stanovený na 150 000.
  Napriek tomu, že sa plánujú zakúpiť licencie pre 150 000 zariadení v konečnom dôsledku možme zozbierať údaje z viac ako 150 000 zariadení a to migráciou licencii pre zber údajov. 
  Momentálny licenčný model pre pripojenie IT aktív je na počet zariadení ("per device") avšak preferujeme riešenie, ktoré nám zabezpečí časovo neobmedzenú licenciu s neobmedzeným počtom pripojených IT aktív. Takisto sa bude prihliadať na túto požiadavku pri tvorbe súťažných podkladov k verejnému obstarávaniu.
• Riadenie a optimalizácia aplikačného portfólia, ktorá okrem iného poskytne prepojenie fyzickej vrstvy softvérov dostupnej v IS ITAM s aplikačnou a biznis vrstvou zahŕňajúcou procesy, biznis služby a životné situácie (napr. v prostredí MetaIS), čím sa zabezpečia informácie v reálnom čase o technickom zdraví týchto aplikácií. Tie budú ďalej rozširované o biznis hodnotu, ktorú tieto aplikácie prinášajú svojím používateľom, čo je základom pre prípadnú optimalizáciu, konsolidáciu a modernizáciu aplikačného portfólia štátu. Súčasťou bude detailná analýza všetkých softvérových nákupov pripojených OVM na úrovni jednotlivých objednávok (za posledných 12 až 36 mesiacov) a ich mapovanie na identifikované softvéry a aplikácie v aplikačnom portfóliu OVM, ktoré budú ďalším vstupom pre návrh jednej z optimalizačných stratégií, tzv. 7Rs vrátane: Retain, Replatform, Rehost, Relicence, Retire, Refactor a Relocate.
• Riadenie softvérových zraniteľností, t.j. rozšírenie IS ITAM o modul riadenia softvérových zraniteľností a súvisiacu úpravu prevádzkového modelu riadenia IT aktív.
• Zabezpečenie efektívneho riadenia cloudových služieb a zavedenie finančného riadenia cloudových služieb, tzv. FinOps.

3.2.3       Biznis procesy / Koncové služby

Riadenia IT aktív v podmienkach Slovenskej republiky vychádza z globálneho rámca riadenia IT aktív spoločnosti SoftwareOne (dodávateľ projektu ITAM 1.0), ktorý je postavený na štandarde ISO/IEC 19770-1:2017 - Information technology — IT asset management (viď Schéma 1 – Rámec pre riadenie IT aktív), pričom tento rámec adresuje a ďalej rozširuje existujúce biznis procesy a koncové služby.

V kontexte zavedeného informačného systému riadenia IT aktív treba rozlišovať oblasti rámca, ktoré 1) sú priamo a plnohodnotne podporované zo strany IS ITAM (zvýraznené hrubou čiarov), 2) sú podporované zo strany IS ITAM len čiastočne (zvýraznené čiarkovanou čiarou), t.j. danú oblasť kvalitatívne dopĺňajú z pohľadu riadenia IT aktív, resp. existujú biznis procesy mimo IS ITAM, ktoré pre svoju potrebu čerpajú dáta z IS ITAM  a 3) zo svojej povahy nie sú IS ITAM podporované vôbec, resp. sú pokryté organizačno-procesným zabezpečením mimo informačného systému. 

Schéma 1 – Rámec pre riadenie IT aktív

Uvedený rámec riadenia IT aktív plne podporuje existujúce koncové služby, ktoré boli definované už pre projekt ITAM 1.0 a zároveň ich rozširuje o nové služby, ktoré reflektujú identifikované potreby uvedené v kapitole 3.2.2 Rozsah projektu. Takto je možné existujúce aj nové koncové služby graficky znázorniť nasledovne.

Schéma 2 – Schéma koncových služieb IS ITAM

V nasledujúcej tabuľke sú koncové služby bližšie popísané a namapované na konkrétne oblasti rámca riadenia ITAM

Tabuľka 3 – Namapovanie koncových služieb na rámec ITAM

3.3       Zainteresované strany/Stakeholderi

V nasledujúcej tabuľke sú uvedení hlavní aktéri pre projekt ITAM 2.0. V rámci nich sú to primárne organizačné útvary riadenia informačných technológií najmä IT prevádzky, IT architektúry a IT bezpečnosti.

Tabuľka 4 – Zainteresované osoby

3.4       Ciele projektu

Čiastkové ciele uvedené v 3.2.1 Motivácia a ciele možno zosumarizovať do formálnych cieľov projektu uvedených v nasledujúcej tabuľke:

Tabuľka 5 – Ciele projektu

3.5       Merateľné ukazovatele (KPI) a iné údaje (IÚ)

Ciele uvedené v predchádzajúcej kapitole možné adresovať prostredníctvom nasledujúcich merateľných ukazovateľov a iných údajov (IÚ):

Tabuľka 6 – Merateľné ukazovatele projektu ITAM 2.0

3.6       Špecifikácia potrieb koncového používateľa

IS ITAM ako aj Bizzdesign Horizzon sú etablované riešenia v prostredí štátnej a verejnej správy SR. Okrem toho bude predstavená aj platforma FinOps na efektívne riadenie cloudových zdrojov. Ani jeden z uvedených systémov neprestavuje systém, s ktorým by do priameho kontaktu prichádzali občania alebo podnikatelia a zároveň sa nejedná o agendové informačné systémy. Hlavnými používateľmi týchto systémov sú dedikovaní pracovníci z organizačných útvarov riadenia IT z jednotlivých OVM najmä  IT prevádzky, IT bezpečnosti, IT architektúry.

V prípade IS ITAM a Bizzdesign Horizzon sa jedná len o ďalšie rozširovanie a adopciu týchto riešení v prostredí štátnej a verejnej správy SR.

3.7       Riziká a závislosti

V nasledujúcej tabuľke sú uvedené riziká, ktoré môžu ovplyvniť úspešnosť realizácie projektu. Uvedené vychádza zo skúseností projektového tímu, ktorý sa podieľal na realizácii projektu ITAM 1.0:

Tabuľka 7 – Riziká a závislosti

Pre mitigáciu rizika uvedeného vyššie sme sa rozhodli proaktívne kontaktovať jednotlivé OVM. Listy na jednotlivé OVM sú zasielané prostredníctvom systému DKS. Cieľom je osloviť jednotlivé OVM a pomôcť ich pripraviť na adaptáciu ITAM procesov a nástrojov. Aktuálny zoznam oslovených OVM (podlieha aktualizácii)  a príklad listu pre OVM sa nachádza v prílohách.

Znížiť riziko pomôže aj pripravovaná vyhláška o prevádzke, kde budú bližšie a detailnejšie špecifikované povinnosti a pravidlá pri riadení IT aktív.

3.8       Stanovenie alternatív v biznisovej vrstve architektúry

Tak ako je uvedené vyššie, projekt ITAM 2.0 je len rozšírením a doplnením už existujúceho riešenia, preto nie je potrebné posudzovať rôzne alternatívy v biznisovej vrstve architektúry. Bližšie informácie k tejto časti sú uvedené v Detailnom návrhu riešenia IS ITAM – kapitola 5 Procesy podporované navrhovaným riešením a kapitola 6 Biznis architektúra riešenia.

Uvedené vychádza zo schválenej stratégie budúceho smerovania ITAMu v podmienkach verejnej správy SR, ktorý reflektuje na najnovšie potreby a trendy v oblasti IT a riadenia IT aktív. Navrhované komponenty a aplikačné služby taktiež  vychádzajú z konkrétnych potrieb, ktoré boli identifikované u už zapojených OVM v rámci realizácie ITAM 1.0.

Snow Risk Monitor - Riadenie softvérových zraniteľností

Je to modul platformy Snow, Snow Risk Monitor. Snow Risk Monitor pomáha mitigovať bezpečnostné riziká tým, že porovnáva všetky softvéri inštalované v prostredí OVM s databázou známych softvérových zraniteľnosti NIST (National Institute of Standards and Technology). Riadenie softvérových zraniteľností, t.j. rozšírenie IS ITAM o modul riadenia softvérových zraniteľností a súvisiacu úpravu prevádzkového modelu riadenia IT aktív. Mať prehľad o nainštalovanom softvéri zahŕňa mať prehľad aj o rizikách, ktoré sú s ním spojené. Implementácia IS ITAM do prostredia jednotlivých OVM preukázala veľké množstvo nainštalovaných softvérov, ktoré sú už po dobe svojej životnosti čo predstavuje bezpečnostné riziko. Na uvedené zistenia a s nimi spojené bezpečnostné riziká je potrebné nadviazať ďalšou úrovňou riadenia ITAM, ktorou je poskytovanie informácií o všetkých zraniteľnostiach, ktoré sú s daným softvérom spojené, a ktoré je potrebné eliminovať, prípadne iným spôsobom mitigovať.  Keďže komplexné a automatizované riadenie softvérových zraniteľností v prostredí verejnej a štátnej správy neexistuje, súčasťou ďalšieho rozvoja kompetencie ITAM by malo byť doplnenie modulu Snow Risk Monitor k súčasnej implementácii IS ITAM a zároveň v rámci prevádzkového modelu riadenia ITAM, nastavenie bližšej spolupráce medzi prevádzkou IT, resp. útvarmi zodpovednými za IT bezpečnosť pripojených OVM a nominovanými kľúčovými používateľmi ITAM za OVM, aby informácie zo Snow Risk Monitor boli efektívne využívanie na zvyšovanie kybernetickej bezpečnosti pripojeného OVM.

FinOps – Riadenie cloudových zdrojov:

FinOps nástroj bude doplnený ako SaaS služba k existujúcemu IS ITAM. FinOps slúži na zabezpečenie efektívneho riadenia cloudových služieb a zavedenie finančného riadenia cloudových služieb. Potreba FinOps vychádza zo zvyšujúcej sa potreby zdrojov verejného cloudu a kopíruje najnovšie trendy s nástupom cloudových riešení a s celosvetovým trendom prechodu z on-premise riešení, resp. vlastných dátových centier do prostredia cloudu a využívania služieb IaaS alebo Paas. Práve preto je rozšírenie ITAMu smerom k zabezpečeniu čo najefektívnejšieho využívania cloudových zdrojov nevyhnutné. V tomto kontexte bol etablovaný ako celosvetový štandard efektívneho riadenia cloudových zdrojov FinOps8 (z anj. Cloud Financial Management). Potreba komplexného a efektívneho riadenia cloudových zdrojov vychádza najmä z praxe, keďže skúsenosti so sveta ukazujú, že organizácie majú s riadením nákladom súvisiacich s cloudovou infraštruktúrou problémy. Priamu nadväznosť na tieto pravidlá, štandardy a konvencie má FinOps, ktorý predstavuje disciplínu, kombinujúcu princípy finančného riadenia s cloudovým inžinierstvom a jeho prevádzkou s cieľom poskytnúť organizáciám lepšie pochopenie ich výdavkov na cloud. Pomáha im tiež prijímať rozhodnutia o tom, ako prideľovať a spravovať svoje náklady na cloud, a zároveň umožňuje kontrolovať výdavky na cloud pri zachovaní úrovne výkonu, spoľahlivosti a zabezpečenia potrebnej na podporu ich biznis operácií.

Bizzdesign Horizon – Optimalizácia aplikačného portfólia:

Rozšírenie využitia platformy Bizzdesign Horizzon, pričom z architektonického hľadiska nedochádza k žiadnym zmenám. Platforma Bizzdesign Horizzon je už nasadená v prostredí štátnej a verejnej správy SR (napr. MIRRI, Ministerstvo financií SR a iné). V súčasnosti je využívaná najmä ako centrálny architektonický repozitár (aj pre potreby systému MetaIS), pričom zameranie je na modelovanie biznis vrstvy ako sú napr. procesy, biznis služby a životné situácie a modelovanie referenčných architektúr. Túto platformu je možné rozvinúť aj smerom k riadeniu aplikačného portfólia a tým maximalizovať jej pridanú hodnotu, keďže jej integrálnou súčasťou je aj komponent podporujúci kompetenciu Riadenia aplikačného portfólia. Z uvedeného vyplýva, že nie je potrebné zavádzať žiadnu novú APM technológiu, ktorá by v budúcnosti podporovala ITAM pilier. Platforma Bizzdesign je menovaná lídrom medzi nástrojmi pre enterprise architecture podľa spoločnosti Gartner (September 2023).

3.9       Multikriteriálna analýza

Neaplikované - viď predchádzajúcu kapitolu.

3.10    Stanovenie alternatív v aplikačnej vrstve architektúry

Tak ako je uvedené vyššie, projekt ITAM 2.0 je len rozšírením a doplnením už existujúceho riešenia, preto nie je potrebné posudzovať rôzne alternatívy v aplikačnej vrstve architektúry. Bližšie informácie k tejto časti sú uvedené v Detailnom návrhu riešenia IS ITAM – kapitola 10 Aplikačná architektúra.  

Okrem architektonického riešenia uvedeného v Detailnom návrhu riešenia IS ITAM, t.j. riešenia postaveného na jednom centrálnom informačnom systéme, bude v rámci projektu ITAM 2.0 predstavený architektonický model umožňujúci implementáciu aj tzv. rezortných ITAM systémov, ktoré budú konsolidovať informácie za rezort. Informácie z týchto čiastkových ITAM systémov sa budú pre účely licenčnej optimalizácie naprieč všetkými OVM následne konsolidovať prostredníctvom analytických reportov na úrovni všetkých pripojených OVM.

Tak ako je uvedené v predchádzajúcom odseku, architektonicky platforma Snow, na ktorej je IS ITAM postavený umožňuje implementáciu aj tzv. rezortných ITAM systémov, ktoré budú fyzicky aj logicky oddelené od ostatných ITAM systémov, pričom tieto môžu byť implementované do prostredia verejného vládneho cloudu alebo aj do prostredia samotného OVM (na úrovni rezortu). Rezortný IS ITAM bude mať vytvorené všetky tri časti - zbernú (tzv. Inventory Manager), aplikačnú aj databázovú, ktoré budú úplne oddelené od ostatných OVM, pričom bude zabezpečená aj oddelená správa daného systému.

V kontexte doplnenia nových modulov, projekt ITAM 2.0 zabezpečí nasledovné:

• Rozšírenie využitia platformy Bizzdesign Horizzon, pričom z architektonického hľadiska nedochádza k žiadnym zmenám.
• Snow Risk Monitor bude doplnený ako SaaS služba k existujúcemu IS ITAM.
• FinOps nástroj bude doplnený ako SaaS služba k existujúcemu IS ITAM.

3.11    Stanovenie alternatív v technologickej vrstve architektúry

Tak ako je uvedené vyššie, projekt ITAM 2.0 je len rozšírením a doplnením už existujúceho riešenia, preto nie je potrebné posudzovať rôzne alternatívy v technologickej vrstve architektúry. Súčasný IS ITAM je prevádzkovaný vo verejnej časti vládneho cloudu. Bližšie informácie k tejto časti sú uvedené v Detailnom návrhu riešenia IS ITAM – kapitola 11 Fyzická vrstva. Na technologickej vrstve nedochádza k žiadnym zmenám.

Zároveň je potrebné uviesť, že v prípade implementácie tzv. rezortných ITAM systémov bude mať dané OVM na výber, či bude preferovať jeho implementáciu v prostredí vlastného dátového centra, vo vlastnom tenante verejného cloudu (verejnej časti vládneho cloudu) alebo využije tenant MIRRI vo verejnej časti vládneho cloudu, tak ako je implementovaný aj centrálny IS ITAM. V prípade využitia kapacít vlastného dátového centra, alebo vlastného tenantu verejnej časti vládneho cloudu, bude OVM znášať náklady na zabezpečenie potrebného výpočtového výkonu. V prípade využitia tenantu MIRRI, budú náklady súvisiace s využívaním potrebných cloudových zdrojov znášané MIRRI.

4.     POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

Výstupy projektu možno rozdeliť do nasledujúcich skupín:

1. Výstupy v zmysle vyhlášky 401/2023 o riadení projektov. Tieto výstupy už boli spracované v rámci realizácie projektu ITAM 1.0 – viď Projektový iniciálny dokument Implementácie informačného systému riadenia IT aktív a poskytovania aplikačnej podpory[1]. Tieto budú v rámci ITAM 2.0 aktualizované a doplnené o špecifiká tohto projektu.
2. IS ITAM vrátane rezortných IS ITAM nasadených do prostredia jednotlivých OVM
3. Snow Risk Monitor nasadený ako SaaS
4. Platforma FinOps nasadená ako SaaS
5. Expertné výstupy:
   1. Úvodné zhodnotenie vyspelosti riadenia ITAM pre jednotlivé OVM
   2. Záverečné zhodnotenie vyspelosti riadenia ITAM pre jednotlivé OVM
   3. Stratégia rozvoja ITAM (aktualizácia)
   4. Prevádzkový model (aktualizácia)
   5. Správy o licenčnej pozícii jednotlivých výrobcov SW za OVM jednotlivo - polročne
   6. Správy o zraniteľnostiach SW - polročne
   7. Správy o riadení (finančných nákladoch) cloudových zdrojov – kvartálne
   8. Manažérske dashboardy – za OVM a konsolidovane za všetky OVM (redukcia nákladov, eliminácia budúcich nákladov, znižovanie licenčných nesúladov a pod.) - mesačne
   9. Školenia – licencie / IS ITAM
   10. Metodika, prevádzkový model a nástroj riadenia cloudových zdrojov v zmysle FinOps
   11. Správy z konsolidácie aplikačného portfólia atď. pre každé OVM

5.     NÁHĽAD ARCHITEKTÚRY

Na nasledujúcej schéme je zobrazená architektúra súčasného prostredia IS ITAM v kombinácii s budúcimi novými aplikáciami – Snow Risk Monitor, Bizzdesign Horizon a nástroja pre riadenie cloudových zdrojov – platforma FinOps:

Schéma 3 – Architektúra ITAM 2.0

Jednotlivé súčasné komponenty IS ITAM sú bližšie popísané v Detailnom návrh riešenia IS ITAM. Okrem toho v rámci realizácie projektu ITAM 2.0, budú do existujúceho riešenia doplnené nasledujúce komponenty:

• Snow Risk Monitor, štandardný softvér, ktorý pomáha mitigovať bezpečnostné riziká tým, že porovnáva všetky softvéri inštalované v prostredí OVM s databázou známych softvérových zraniteľnosti NIST (National Institute of Standards and Technology). Snow Risk Monitor poskytuje ďalej nasledujúce funkcionality:
  • Identifikuje zraniteľnosti naprieč celým aplikačným portfóliom.
  • Kategorizuje a priorizuje riziká spojené s týmito zraniteľnosťami.
  • Identifikuje možné úniky údajov.
  • Poskytuje detailný návod ako identifikované zraniteľnosti odstrániť.
  • Priorizuje nápravné činnosti na základe stupňa závažnosti.
  • Monitoruje a chráni osobné údaje prostredníctvom:
    • Identifikácie aplikácií, ktoré spracúvajú osobné údaje.
    • Identifikácie typov osobných údajov, ktoré tieto aplikácie spracovávajú.
  • Poskytuje informácie o celkovom rizikovom skóre organizácie.
• BizzDesign Horizon – zavedená platforma, ktorá podporuje tému riadenia aplikačného portfólia.
• FinOps certifikovaný nástroj, štandardný softvér, pre riadenie cloudových zdrojov pokrývajúci min. nasledujúce oblasti:
  • Riadenie rozpočtu a prognózovanie
  • „Chargeback“ a integrácia s IT financiami
  • Cloud politiky a governance
  • Alokácia nákladov
  • Analýza dáta a „showback“
  • Riadenie prístupu
  • Zakladanie rozhodovacích štruktúr a štruktúr zodpovednosti v zmysle FinOps
  • Analýza cloudových sadzieb
  • Podpora multi-cloud
  • Využitie zdrojov a „right-sizing“
  • Optimalizácia sadzieb – „right-costing“

Špecifikácia minimálnych funkčných požiadaviek Snow Risk Monitor a FinOps nástroja je uvedená v prílohe 1. Keďže sa jedná o štandardné (krabicové) nástroje, nepredpokladá sa žiadny vývoj ale skôr len nastavenie a konfigurácia týchto nástrojov do podmienok verejnej a štátnej správy SR, resp. aby sa naplnili požiadavky a ciele definované na projektom ITAM 2.0.

5.1       Prehľad e-Government komponentov

5.1.1       Prehľad koncových služieb – budúci stav:

Tabuľka 8 – Prehľad koncových služieb

5.1.2       Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav:

Tabuľka 9 – Prehľad budovaných / rozvíjaných ISVS

5.1.3       Prehľad budovaných aplikačných služieb – budúci stav:

Tabuľka 10 – Prehľad budovaných aplikačných služieb

5.1.4       Prehľad integrácii ISVS na spoločné ISVS^[2] a ISVS iných OVM alebo IS tretích strán

Predmetný projekt svojím rozsahom a zameraním nepredpokladá vytvorenie / budovanie aplikačných služieb poskytovaných na externú integráciu, integráciu na nadrezortné centrálne bloky, integráciu na Spoločné moduly ÚPVS, integráciu na Modul procesnej integrácie a integrácie údajov (IS CSRÚ), či integráciu na centrálny API GW Modul úradnej komunikácie.

Tabuľka 11 – Prehľad integrácií ISVS

5.1.5       Aplikačné služby na integráciu

Predmetný projekt svojím rozsahom a zameraním nepredpokladá vytvorenie / budovanie aplikačných služieb poskytovaných na externú integráciu, integráciu na nadrezortné centrálne bloky, integráciu na Spoločné moduly ÚPVS, integráciu na Modul procesnej integrácie a integrácie údajov (IS CSRÚ), či integráciu na centrálny API GW Modul úradnej komunikácie.

Tabuľka 12 – Prehľad aplikačných služieb na integráciu

5.1.6       Poskytovanie údajov z ISVS do IS CSRÚ

Predmetný projekt svojím rozsahom a zameraním nepredpokladá využitie ani vytvorenie referenčných údajov.

Tabuľka 13 – Prehľad poskytovania údajov z ISVS do IS CSRÚ

5.1.7       Konzumovanie údajov z IS CSRÚ

Predmetný projekt svojím rozsahom a zameraním nepredpokladá využitie ani vytvorenie referenčných údajov.

Tabuľka 14 – Prehľad konzumovania údajov z IS CSRÚ

5.1.8       Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav:

Tabuľka 15 – Prehľad plánované využívania infraštruktúrnych cloudových služieb

6.     LEGISLATÍVA

Projekt ITAM 2.0 nevyžaduje žiadne legislatívne zmeny.

7.     ROZPOČET A PRÍNOSY

7.1       Sumarizácia nákladov a prínosov

Vzhľadom na architektúru celého riešenia, boli skalkulované prínosy kumulované do Centrálneho informačného systému na riadenie IT aktív aj za ostatné modulu/aplikácie navrhovaného riešenia.

8.     HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

V nasledujúcej tabuľke je uvedený indikatívny harmonogram implementácia ITAM 2.0, ktorý zohľadňuje špecifiká týchto projektov a postupného nasadzovania riešenia do prostredí jednotlivých OVM:

Tabuľka 7 – Harmonogram projektu

 Vzhľadom na charakter projektu, ktorý nie je vývojový sme sa v CBA dokumente rozhodli použiť iba jeden inkrement. Implementácia diela bude prebiehat počas celého priebehu projektu.

9.     PROJEKTOVÝ TÍM

Projektový tím MIRRI bude konkrétnejšie definovaný až v ďalších fázach v rámci prípravných prác projektu ITAM 2.0. Avšak vzhľadom na skúsenosti z projektu ITAM 1.0 bude projektový tím za stranu MIRRI SR pozostávať z rovnakých projektových rolí ako sú uvedené v Projektovom iniciálnom dokumente k projektu implementácie informačného systému riadenia IT aktív a poskytovania aplikačnej podpory, kapitola 6.2 Riadenie projektu a kapitola 6.3 Pracovný tím.

Riadiaci výbor projektu tvorí predseda riadiaceho výboru projektu a vlastníci procesov alebo nimi poverení zástupcovia.
Riadiaci výbor sa riadi “Štatútom riadiaceho výboru”, ktorý je popísaný v dokumente Štatút RV projektu ako najvyšší riadiaci orgán na účely realizácie projektu na základe schválenej projektovej dokumentácie.
Štatút Riadiaceho výboru upravuje najmä jeho pôsobnosť, úlohy, zloženie, zasadnutie a hlasovanie. Členom riadiaceho výboru projektu môže byť aj zástupca dodávateľa. Väčšina členov riadiaceho výboru projektu s hlasovacím právom sú osoby navrhnuté objednávateľom a zastupujú záujmy objednávateľa. Riadiaci výbor projektu dozerá na hospodárnosť, efektívnosť a účelové využívanie finančných prostriedkov a môže prispôsobiť štandardy projektového riadenia na realizovaný projekt.
 

• Projektový manažér Objednávateľa – dohliada a riadi projekt v zmysle Zmluvy, dohliada na plnenia Dodávateľa, predkladá návrh akceptácie plnení Dodávateľa.
• Projektový manažér Dodávateľa – riadi dodávanie častí diela v zmysle Zmluvy na strane Dodávateľa, predkladá plnenia za Dodávateľa.
• Analytický tím Dodávateľa – analyzuje a navrhuje riešenia pre implementáciu požiadaviek.
• Vývojový tím Dodávateľa – implementuje požiadavky v zmysle schválených návrhov.
• Testovací tím Dodávateľa – overuje funkčnosť implementovaných požiadaviek.
• Tím UAT Objednávateľa – overuje funkčnosť a správnosť implementovaných požiadaviek.

Projektové role: 

• Projektový manažér
• Kľúčový používateľ
• Analytik IT
• Architekt IT
• ID Tester
• Dátový špecialista
• Manažér kybernetickej a informačnej bezpečnosti

Ďalšie projektové role:

• Finančný manažér
• Manažér kvality
• Asistent PM

9.1       PRACOVNÉ NÁPLNE

Pracovné náplne jednotlivých členov projektového tímu MIRRI SR budú definované až v ďalších fázach v rámci prípravných prác projektu ITAM 2.0.

10.   ODKAZY

Neaplikovateľné – pre tento projektový zámer nie sú uvedené žiadne relevantné odkazy na externé dokumenty alebo informačné zdroje.

11.   PRÍLOHY

Príloha 1: Katalóg požiadaviek (Excel)

Príloha 2: Zoznam rizík a závislostí (Excel)

Príloha 3: Stratégia rozvoja ITAM

Príloha 4: Detailný návrh riešenia – Implementácia informačného systému riadenia IT aktív a poskytovanie aplikačnej podpory (na vyžiadanie z dôvodu obsahu citlivých údajov)

Príloha 5: CBA

Príloha 6: Rozdielová analýza

Koniec dokumentu

[1] Pozn.: Projektový iniciálny dokument je dostupný na vyžiadanie.

[2] Spoločné moduly podľa zákona č. 305/2013  e-Governmente