I-03 Prístup k projektu (pristup_k_projektu)

PRÍSTUP K PROJEKTU

Vzor pre manažérsky výstup I-03

podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1. História dokumentu

2. Účel dokumentu

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky má obsahovať opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Dodávané riešenie musí byť v súlade so zákonom. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.

2.1.Použité skratky a pojmy

3. Popis navrhovaného riešenia

Z hľadiska realizátora projektu bude projekt realizovaný združením DEUS, ktoré v zmysle § 9a odsek 1 zákona č. 305/2013 Z.z. o elektronickej podobe výkonu pôsobností orgánov verejnej moci (eGovernmente) vykonáva činnosti správcu a prevádzkovateľa IS DCOM. DEUS je záujmové združenie právnických osôb, ktorého jedinými členmi sú Ministerstvo financií SR (ďalej len „MF SR“) a Združenie miest a obcí Slovenska (ďalej len „ZMOS“). DEUS je špecifickým poskytovateľom cloudových služieb typu SaaS pre subjekty MÚS.

Informačný systém DCOM je nadrezortný informačný systém verejnej správy, prostredníctvom ktorého vykonávajú obce verejnú moc elektronicky. Hlavným cieľom projektu je podpora sprístupňovania údajov pre fyzické a právnické osoby a súvisiacich činností zameraných na zvyšovanie sprístupňovaných údajov v rámci IS DCOM. Projekt nadväzuje na Národnú koncepciu informatizácie verejnej správy, ktorá v rámci svojej Prioritnej osi 2: Digitálna a dátová transformácia definuje ako priority Zvýšiť otvorenosť a transparentnosť údajov verejnej správy a Dobudovať digitálne prostredie založené na zdieľaní údajov vo verejnej správe. Národná koncepcia definuje, že VS bude zavádzať koncept „Mojich údajov” do svojich informačných systémov a zvyšovať transparentnosť verejnej správy pri využívaní osobných údajov. Občan, podnikateľ aj právnická osoba budú mať transparentný prístup k dátam, ktoré sa ich týkajú. Sprístupňovanie „Mojich údajov“ občanom bude prioritou.

Projekt sa v súlade s cieľom výzvy PSK-MIRRI-617-2024-DV-EFRR zameriava na podporu sprístupňovania údajov pre fyzické a právnické osoby a súvisiacich činností zameraných na zvyšovanie sprístupňovaných údajov, a to prostredníctvom nasledovných podaktivít:

Ciele projektu:

• Sprístupnenie údajov, ktoré samospráva eviduje o fyzických a právnických osobách, vrátane poskytovania údajov prostredníctvom služby „Moje dáta“, aby občania mali jednoduchý prístup k svojim informáciám.
• Sprístupnenie relevantných údajov pre ostatné orgány verejnej moci.
• Zvýšenie kvality poskytovaných údajov zavedením systematického manažmentu údajov
• Rozvoj IS DCOM z pohľadu bezpečnosti a GDPR
• Spracovanie legislatívnej analýzy údajov v rámci IS DCOM

4. Architektúra riešenia projektu

4.1. Biznis vrstva

Z pohľadu biznis procesov územná samospráva realizuje výkon vybraných procesov štátnej správy (tzv. prenesený výkon štátnej správy) a zodpovedá za metodické riadenie a výkon procesov samosprávy (tzv. originálne kompetencie). Ďalej z hľadiska originálnych kompetencií, obec pri výkone samosprávy najmä:

• vykonáva úkony súvisiace s riadnym hospodárením s hnuteľným a nehnuteľným majetkom obce a s majetkom vo vlastníctve štátu prenechaným obci do užívania,
• zostavuje a schvaľuje rozpočet obce a záverečný účet obce; vyhlasuje dobrovoľnú zbierku,
• rozhoduje vo veciach miestnych daní a miestnych poplatkov a vykonáva ich správu,
• usmerňuje ekonomickú činnosť v obci, a ak tak ustanovuje osobitný predpis, vydáva súhlas, záväzné stanovisko, stanovisko alebo vyjadrenie k podnikateľskej a inej činnosti právnických osôb a fyzických osôb a k umiestneniu prevádzky na území obce, vydáva záväzné stanoviská k investičnej činnosti v obci,
• utvára účinný systém kontroly a vytvára vhodné organizačné, finančné, personálne a materiálne podmienky na jeho nezávislý výkon,
• zabezpečuje výstavbu a údržbu a vykonáva správu miestnych komunikácií, verejných priestranstiev, obecného cintorína, kultúrnych, športových a ďalších obecných zariadení, kultúrnych pamiatok, pamiatkových území a pamätihodností obce,
• zabezpečuje verejnoprospešné služby, najmä nakladanie s komunálnym odpadom a drobným stavebným odpadom, udržiavanie čistoty v obci, správu a údržbu verejnej zelene a verejného osvetlenia, zásobovanie vodou, odvádzanie odpadových vôd, nakladanie s odpadovými vodami zo žúmp a miestnu verejnú dopravu,
• utvára a chráni zdravé podmienky a zdravý spôsob života a práce obyvateľov obce, chráni životné prostredie, ako aj utvára podmienky na zabezpečovanie zdravotnej starostlivosti, na vzdelávanie, kultúru, osvetovú činnosť, záujmovú umeleckú činnosť, telesnú kultúru a šport,
• plní úlohy na úseku ochrany spotrebiteľa a utvára podmienky na zásobovanie obce; spravuje trhoviská,
• obstaráva a schvaľuje územnoplánovaciu dokumentáciu obcí a zón, koncepciu rozvoja jednotlivých oblastí života obce,
• obstaráva a schvaľuje programy rozvoja bývania a spolupôsobí pri utváraní vhodných podmienok na bývanie v obci,
• vykonáva vlastnú investičnú činnosť a podnikateľskú činnosť v záujme zabezpečenia potrieb obyvateľov obce a rozvoja obce,
• zakladá, zriaďuje, zrušuje a kontroluje podľa osobitných predpisov svoje rozpočtové a príspevkové organizácie, iné právnické osoby a zariadenia,
• organizuje miestne referendum o dôležitých otázkach života a rozvoja obce,
• zabezpečuje verejný poriadok v obci,
• zabezpečuje ochranu kultúrnych pamiatok v rozsahu podľa osobitných predpisov a dbá o zachovanie prírodných hodnôt,
• plní úlohy na úseku sociálnej pomoci v rozsahu podľa osobitného predpisu,
• vykonáva osvedčovanie listín a podpisov na listinách,
• vedie obecnú kroniku v štátnom jazyku, prípadne aj v jazyku národnostnej menšiny.

IS DCOM umožňuje občanom komunikovať s obcou elektronicky, prostredníctvom tzv. elektronickej schránky. Verejnosť má dispozícii elektronické komunikačné rozhranie v podobe webových stránok pre všetkých 139 poskytovaných elektronických služieb. Občania majú prostredníctvom webového portálu DCOM prístup k elektronických službám, vrátane súkromnej zóny s informáciami o aktuálnej a predchádzajúcej komunikácii s obcou, či mestom. Zamestnanci úradov majú k dispozícii plne integrované a navzájom prepojené riešenia pre spracovanie agendy. Obce majú zároveň možnosť prevádzkovať svoje webové stránky v prostredí dátového centra (DCOM). Pracovníci obcí, rovnako ako aj pracovníci technickej podpory majú prístup na samostatný intranetový portál.

Používateľov systému DCOM možno rozdeliť nasledovne:

Externí používatelia – anonymná alebo autentifikovaná osoba, pristupujúca z externých verejných sietí a využívajúca služby portálu dcom.sk. Autentifikáciu externých používateľov zabezpečuje spoločný modul IAM ÚPVS.

• Obyvatelia (fyzické osoby)
• Podnikatelia

Interní používatelia – autentifikovaní používatelia pristupujúci z externých privátnych alebo verejných sietí do back-office DCOM. Používateľské účty, oprávnenia a autentifikačné prostriedky interných používateľov pre prístup k používateľským rozhraniam DCOM sú spravované v IAM DCOM.

• Reprezentant (úradník) obce alebo mesta - autentifikovaný zamestnanec obce alebo mesta, využívajúci služby IS DCOM
• Pracovník prevádzky - autentifikovaný zamestnanec DEUS, dodávateľa DEUS, dodávateľa ISM, poskytujúci podporu prevádzky DCOM.

Z pohľadu biznis architektúry nedôjde implementáciou projektu k zmenám v porovnaní AS IS a TO BE stavu.

4.1.1. Prehľad koncových služieb – budúci stav:

Projektom nebudú budované ani upravované žiadne koncové služby pre G2C, G2B, G2G.

Obrázok 1 Model biznis architektúry (aktéri-koncoví používatelia, koncové služby, procesy)

4.1.2. Jazyková podpora a lokalizácia

Požiadavky na jazykovú lokalizáciu riešenia a používateľské prostredie bude implementované v slovenskom jazyku.

4.2. Aplikačná vrstva

Z pohľadu súčasnej architektúry IS DCOM, tento poskytuje obciam a mestám potrebnú aplikačno-programovú podporu pri spracovaní jednotlivých agend samosprávy. Informačný systém DCOM zabezpečuje tiež prepojenie informačných systémov samospráv s inými Informačnými systémami verejnej správy (IS VS) a so základnými registrami. V rámci obce zapojenej do IS DCOM, Informačný systém obce (ISO) zabezpečuje funkcie vnútornej správy obce minimálne v súlade s rozsahom základných modulov ako sú účtovníctvo obce, finančný a rozpočtový systém, banka a pokladňa, personalistika a mzdy, registratúra, správa majetku obce a systém pre zastupiteľstvo, a IS DCOM zabezpečuje agendu súvisiacu s obsluhou verejnosti. Táto časť je prepojená na ÚPVS a zabezpečuje plnohodnotnú elektronickú komunikáciu. Prostredníctvom synchronizačnej vrstvy dátovej DCOM je riešenie prepojené s registrami verejnej správy.

Architektúra riešenia DCOM vychádza z požiadaviek efektívneho prevádzkovania systémov a aplikácií obcí a miest, z požiadaviek vyššieho štandardu prevádzkovania aplikácií a z požiadavky flexibilného prispôsobovania potrebám budúcich aplikácií a modulom eGov. Riešenie IS DCOM možno rozdeliť do troch skupín – Front Office, Mid Office a Back Office. Informačný systém obce je časťou Back Office.

Front Office – prezentačná vrstva reprezentuje prezentačnú vrstvu, ktorá obsahuje interaktívne používateľské rozhrania aplikačných systémov pre používateľov IS DCOM. Front Office zabezpečuje interakciu IS DCOM s externými používateľmi, obsahuje interaktívne používateľské rozhranie pre občanov a podnikateľov a je integrovaný na ÚPVS. Prostredníctvom tejto vrstvy sú sprístupnené služby občanovi a referentovi obce v kompaktnej podobe. Je komponovaná s ohľadom na efektivitu jednotlivých konzumentov služieb a prostredníctvom silnej personalizačnej črty, kladie dôraz na rozdielny štýl práce jednotlivých rolí (občan / pracovník obce). Je adaptabilná pre používateľa a podľa kontextu vybavovanej agendy sa prispôsobuje a variuje od štýlu práce v koncepte portálu, cez koncept vybavenia služby, až po koncept práce v agendovom systéme.

Mid Office – procesno - integračná vrstva. Vrstva Mid Office je reprezentovaná procesno-integračnou vrstvou, prostredníctvom ktorej sa realizuje integračné a procesné riadenie. Komponenty BPM a Business Rules zastrešujú správu procesov a dennej agendy. Integračná platforma ESB zabezpečuje podpornú vrstvu pre integráciu systémov, orchestráciu služieb a manažment služieb podľa princípov SOA. Modul BAM zabezpečuje sledovanie a diagnostiku procesov, čo umožňuje následnú optimalizáciu.

Back Office – Aplikačná vrstva, ktorá zabezpečuje interakciu s internými používateľmi IS DCOM, úradníkmi obcí. Back Office predstavuje aplikačnú vrstvu tvorenú modulmi a komponentmi zabezpečujúcimi výkon elektronických služieb samosprávy prostredníctvom agendových systémov a podporných systémov. Obsahuje vrstvu integrácií na okolie IS DCOM, ako je napr. ISO, správu konsolidovanej dátovej vrstvy, správu cloudovej vrstvy a hardvérovej vrstvy. Súčasťou Back Office sú Informačné systémy obcí. Projekt DCOM poskytuje cloud platformu na prevádzku ISO modulov. Podporné moduly zastrešujú procesy podpory a prevádzky IS DCOM. Podporné moduly sú integrované do riešenia prostredníctvom integračnej vrstvy formou poskytovaných a konzumovaných služieb.

Z pohľadu aplikačnej architektúry nedôjde implementáciou projektu k zmenám na high-level úrovni v porovnaní AS IS a TO BE stavu.

Obrázok 2 Model aplikačnej architektúry

Pre odstránenie problémov uvedených v kapitole Motivácia bude realizovaný prechod na riešenie integračnej platformy, ktoré má za cieľ priniesť moderný a efektívny integračný systém. Riešenie bude dodané s konfiguráciou trás priamo v JAVA alebo YAML súboroch, ktoré sú prehľadné a efektívne pre budúce rozširovanie prípadne sa dajú využiť oba spôsoby súčasne. Navrhované riešenie  zjednoduší vytváranie, nasadzovanie správu, údržbu a prevádzku integrácií. Týmto prístupom sa umožní flexibilné a moderné riešenie integrácie, ktoré je pripravené na rýchle zmeny a škálovanie v moderných aplikačných prostrediach. Počas migrácie sa vykoná aj identifikácia a zjednotenie duplikovaných konfigurácií, čím sa zníži zložitosť systému a zlepšia možnosti opakovaného použitia týchto konfigurácií v rôznych trasách. Tento proces prinesie vyššiu efektivitu a zjednoduší budúce rozširovanie a údržbu.

Diagram nižšie znázorňuje navrhovanú aplikačnú architektúru integračnej platformy

Obrázok 3 Model aplikačnej architektúry integračnej platformy

Navrhovaná architektúra je navrhnutá s cieľom zabezpečiť flexibilitu, škálovateľnosť a spoľahlivosť platformy. Základné komponenty sú nasledovné:

• IP Core Services:
  • Integration Services: Slúži na smerovanie a orchestráciu integračných procesov, ktoré komunikujú medzi jednotlivými systémami.
  • Business Logic Services: Umožňujú implementáciu obchodnej logiky, vrátane validácií a transformácií dát.
• IP-UI:
  • IP Frontend: Užívateľské rozhranie pre návrh a správu integračných procesov. Poskytuje vizuálny nástroj pre administráciu.
  • IP Backend: Backend služba pre spracovanie požiadaviek z frontendu a uchovávanie nastavení.
• Data & Storage:
  • ConfigMap & Secrets: Používajú sa na bezpečné ukladanie konfiguračných súborov a citlivých údajov v rámci Kubernetes.
  •  Databáza: Slúži na trvalé uchovávanie údajov ako sú konfiguračné dáta, logy a historické záznamy.
• Messaging & Queueing:
  • Messaging System: Zabezpečuje asynchrónnu komunikáciu medzi komponentmi a spracovanie udalostí.
• Authentication & Authorization:
  •  Autentifikačný server: Poskytuje centralizované overovanie a správu užívateľov, čo umožňuje single sign-on (SSO) a bezpečnú autentifikáciu.
• Logging, Monitoring & Observability:
  • monitorovanie výkonu, vizualizáciu metrik a sledovanie systému v reálnom čase.
  • centralizované logovanie, analýzu udalostí a spracovanie dát.
• API Gateway & Load Balancer:
  •  Load Balancer spravuje prístup k službám a zabezpečuje load balancing pre zaťaženie medzi rôznymi komponentmi.
  • API Gateway: Poskytuje bezpečnostné a prístupové riadenie na úrovni API, umožňuje autentifikáciu a správu prístupových práv.
• CI/CD Pipeline:
  • Používa sa na automatizáciu nasadzovania aplikácií, čo umožňuje rýchlu iteráciu a efektívnu správu verzií.

Táto architektúra zabezpečuje modularitu a jednoduchosť správy a rozšírenia o nové funkcionality. Každý komponent je škálovateľný, čím je platforma pripravená pre rôzne požiadavky a budúci rast

4.2.1. Rozsah informačných systémov – AS IS

Uveďte dotknuté ISVS a ich moduly AS IS:

4.2.2. Rozsah informačných systémov – TO BE

Uveďte informácie o dotknutých ISVS z pohľadu ich ďalšej prevádzky po realizácii projektu – TO BE stav:

4.2.3. Využívanie nadrezortných a spoločných ISVS – AS IS

4.2.4. Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE

Realizáciou projektu nedochádza k zmene AS IS stavu a teda k zmene vo využívaní nadrezortných centrálnych blokov. V rámci predkladaného projektu sa neplánujú zmeny vo vzťahu k integrácii IS DCOM na nadrezortné ISVS – spoločné moduly.

4.2.5. Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE

V rámci predkladaného projektu sa neplánujú zmeny vo vzťahu k integrácii IS DCOM na iné ISVS.

4.2.6. Aplikačné služby pre realizáciu koncových služieb – TO BE

Predmetom projektu nie sú koncové služby.

4.2.7. Aplikačné služby na integráciu – TO BE

4.2.8. Poskytovanie údajov z ISVS do IS CSRÚ – TO BE

Uveďte v nasledujúcej tabuľke prehľad poskytovaných údajov (objektov evidencie, ďalej OE) z ISVS do IS CSRÚ v TO BE stave.

4.2.9. Konzumovanie údajov z IS CSRU – TO BE

Predmetom projektu nie je konzumovanie údajov z IS CSRÚ

4.3. Dátová vrstva

4.3.1. Údaje v správe organizácie

Back Office IS DCOM predstavuje aplikačnú vrstvu tvorenú modulmi a komponentmi zabezpečujúcimi výkon elektronických služieb samosprávy prostredníctvom agendových systémov a podporných systémov. Kľúčové moduly IS DCOM a biznis objekty v rámci týchto modulov zobrazuje nasledovná schéma.

Schéma – Kľúčové biznis moduly a biznis objekty v rámci IS DCOM

4.3.2. Dátový rozsah projektu - Prehľad objektov evidencie - TO BE

4.3.3. Referenčné údaje

4.3.3.1. Objekty evidencie z pohľadu procesu ich vyhlásenia za referenčné

IS DCOM je integrovaný na externé systémy e-Governmentu – ÚPVS (isvs_62), Centrálny metainformačný systém verejnej správy (isvs_63), Informačný systém centrálnej správy referenčných údajov verejnej správy (isvs_5836), Register fyzických osôb (isvs_191), Register právnických osôb, podnikateľov a orgánov verejnej moci (isvs_420), Register adries (isvs_192), Kataster nehnuteľností (isvs_8791), Informačný systém riadenia sociálnych dávok (isvs_279), Systém elektronických služieb (Sociálna poisťovňa) (isvs_551), Evidencia vozidiel (isvs_171). Predmetom projektu nie je vyhlásenie vyššie uvedených objektov evidencie za referenčné.

4.3.3.2. Identifikácia údajov pre konzumovanie alebo poskytovanie údajov  do/z CSRU

4.3.4. Kvalita a čistenie údajov

4.3.4.1. Zhodnotenie objektov evidencie z pohľadu dátovej kvality

Vzhľadom na charakter údajov poskytovaných IS DCOM do IS CPDI je významnosť kvality údajov pre biznis procesy je významnosť a citlivosť kvality údajov a priorita pre meranie dátovej kvality objektov evidencií rovnaká (najvyššia).

4.3.4.2. Roly a predbežné personálne zabezpečenie pri riadení dátovej kvality

4.3.5. Otvorené údaje

Predmetom projektu nie je sprístupnenie otvorených údajov.

4.3.6. Analytické údaje

Predmetom projektu nie je poskytovanie analytických údajov

4.3.7. Moje údaje

V prípade, že predkladateľ projektu disponuje údajmi, ktoré spadajú do kategórie mojich údajov, je potrebné vyplniť nasledovnú tabuľku. V tabuľke uveďte OE z tabuľky uvedenej v kapitole 4.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE.

4.3.8. Prehľad jednotlivých kategórií údajov

Vyplňte nasledujúcu súhrnnú tabuľku pre kategorizáciu údajov dotknutých projektom z pohľadu využiteľnosti týchto údajov.

V tabuľke uveďte OE z tabuľky uvedenej v kapitole 4.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE.

4.4. Technologická vrstva

4.4.1. Prehľad technologického stavu - AS IS

Z pohľadu technologickej architektúry IS DCOM, základom riešenia je cloud infraštruktúra založená na princípoch ako sú redundancia lokality, redundancia funkčnosti, oddelenie sietí, obnoviteľnosť funkčnosti, modulárna infraštruktúra a štandardov pre dátové centrá a cloud infraštruktúru. Infraštruktúra pre prevádzku cloudu a aplikácií je vybudovaná ako vysoko dostupná, prevádzkovaná v dvoch nezávislých lokalitách a v prípade výpadku primárnej lokality je poskytujúca aplikácie z druhej, záložnej lokality, bez závislosti na dostupnosti komponentov a funkcií primárnej lokality. Cloud platforma umožňuje poskytovať služby IaaS (infraštruktúra ako služba) pre prevádzku ISO balíkov pre interné agendy obcí. Prístup používateľov (pracovníkov obcí a správcov ISO) k službám je štandardný, je definovaný spôsob, akým sú služby DCOM publikované pre obce. Pracovníci obcí pristupujú predovšetkým z koncových zariadení (PC alebo notebooky) dodaných v rámci projektu DCOM alternatívne cez privátnu komunikačnú sieť budovanú DataCentrom v rámci projektu FINNET, alebo cez internet.

Aktuálne je IS DCOM postavený na dvoch dátových centrách.

1. Primárne DC je umiestnené na Kopčianskej ulici v Bratislave. Toto DC je prevádzkované na vlastných HW komponentoch. Aktuálne prebieha postupná migrácia zo starého 10 ročného HW na nový HW nakúpený v 2023. Do konca roka je plánované ukončenie tejto migrácie a celý DCOM bude prevádzkovaný na nových serveroch.
2. Záložné DC – Vládny cloud MVSR v Tajove – používa DEUS ako službu. Súčasťou služby sú aj služby core firewallov a WAF na ktoré ale máme admin prístup a vieme tak manažovať rozsiahle potreby nastavovania a sperovania prevádzky a pravidiel.

Koncové zariadenia obsahujú operačný systém s potrebným softvérovým vybavením konfigurovaný, aktualizovaný a spravovaný centrálnym systémom. Z týchto pracovných staníc DCOM je možný aj alternatívny prístup cez sieť internet prostredníctvom zabezpečeného komunikačného kanálu. Tento stav sa v priebehu projektu a udržateľnosti môže zmeniť. Nesmie tým však utrpieť úroveň bezpečnosti samotného IS DCOM. Z dlhodobého pohľadu smeruje architektúra IS DCOM k riešeniu, kde nebude potrebné využívať zabezpečený kanál formou VPN, ale bezpečnosť bude riešená na úrovni ako infraštruktúry tak aj aplikácie tak, aby bolo aplikáciu možné používať ako úplne samostatnú SaaS službu so svojimi vlastnými bezpečnostnými riešeniami. Týmto postupom sa dlhodobo zruší závislosť na prevádzkovaní HW DEUSom a implementuje sa prístup “internetového bankovníctva“, teda dostupnosti riešenia z akéhokoľvek počítača pri zachovaní požadovanej bezpečnosti.

4.4.2. Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE

4.4.3. Návrh riešenia technologickej architektúry

Oproti AS IS nedochádza k zmene.

4.4.4. Využívanie služieb z katalógu služieb vládneho cloudu

Z hľadiska využívania služieb vládneho cloudu realizácia projektu nevytvára nové požiadavky na využívanie služieb vládneho cloudu oproti súčasnému stavu.

4.5. Bezpečnostná architektúra

Bezpečnosť rozhraní

Volanie webových služieb DCOM zo strany ISO a ISM vyžaduje autentifikáciu a autorizáciu. Pre každý ISO a ISM je vytvorený v IAM DCOM technický používateľ, ktorý pre autentifikáciu používa SSL certifikát.  Jednotlivým technickým používateľom sú pridelené oprávnenia na volanie konkrétnych služieb vypublikovaným na spoločnej zbernici backendovej integrácie alebo frontendovej integrácie ÚPVS.

Autentifikácia používateľov – pracovníkov obcí miest

Autentifikácia používateľov pristupujúcich na používateľské rozhrania spoločných modulov cez Internet je 2-faktorová.

Postup pri autentifikácii používateľa:

1. Používateľ do webového prehliadača zadá webovú adresu modul.intra.dcom.sk alebo www.intra.dcom.sk
2. DCOM IAM (OpenAM) presmeruje webový prehliadač používateľa na stránku login.intra.dcom.sk
3. F5 vyzve používateľa na zadanie používateľského mena a jednorazového hesla.
4. Používateľ vypíše svoje prihlasovacie meno a presunie kurzor do poľa pre zadanie OTP. Vloží USB token do USB slotu a stlačí tlačidlo na tokene.
5. F5 overí v Active Directory, že používateľ existuje a má priradený USB token.
6. F5 odošle sériové číslo tokenu a zadané heslo na validačný server pre OTP.
7. Validačný server overí jednorazové heslo.
8. OpenAM vyzve používateľa na zadanie prístupového mena a hesla.
9. Používateľ zadá svoje používateľské meno a heslo.
10. OpenAM overí zadané heslo a vytvorí SSO session.
11. OpenAM presmeruje webový prehliadač naspäť na pôvodnú stránku alebo na intranet obce.

Tokeny sú prenosné - v prípade, že používateľ s priradeným USB tokenom tento už nebude využívať, je možné ho prekonfigurovať a priradiť inému používateľovi.

V prípade využitia LAN-to-LAN VPN pre pripojenie infraštruktúry mesta a IS DCOM sa používa pre autentifikáciu používateľa používateľské meno a heslo.

Infraštruktúrne pripojenie IS obce/mesta

Komunikácia DCOM s ISO a ISM je obojsmerná.

Podľa konkrétnych možností mesta je možné zvoliť dve alternatívy pripojenia, prípadne ich kombináciu – s využitím LAN-to-LAN VPN alebo cez Internet

Pri komunikácii cez Internet sú všetky služby IS DCOM vypublikované na niekoľkých konkrétnych IP adresách. Zároveň komunikácia prichádzajúca zo strany ISO a ISM musí byť z IP obce/mesta (ak má fixnú IP adresu) alebo FQDN servera resolvovateľné v Internete – tie budú zaradené do whitelistu. Komunikácia zo strany DCOM do ISO a ISM prichádza z konkrétnej IP adresy.

Povinnosťou v rámci projektu bude preukázať súlad so zákonom č. 95/2019 zákona o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov. Pre úspešnú realizáciu projektu je potrebné zabezpečiť dodržanie pravidiel stanovených Vyhláškou č. 78/2020 (resp. jej novelizácii) Z. z. o štandardoch pre informačné technológie verejnej správy. Z hľadiska ochrany osobných údajov bude dátový manažment realizovaný v súlade so zákonom č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Implementácia a prevádzka systému musí v oblasti bezpečnosti brať do úvahy aj Zákon 69/2018 Z. z. o kybernetickej bezpečnosti, v znení neskorších predpisov. Aktualizácia bezpečnostného projektu IS DCOM, ktorý je zdrojom poskytovaného Môjho údaja/údajov, bude realizovaná v rámci podaktivity 10.

5. Závislosti na ostatné ISVS / projekty

Realizácia pripravovaného projektu nie je závislá na iných projektoch.

6. Zdrojové kódy

Bude dodržaný princíp otvorenosti, tzn. duševným vlastníkom všetkých výstupov, vrátane technológie a zdrojového kódu bude štát.

7. Prevádzka a údržba

Riadenie incidentov a servisných požiadaviek

Voči samospráve:

• DCOM poskytuje podporu prevádzky pre zdieľané aplikačné moduly voči pomenovaným zástupcom používateľov (cca 2-3 pomenovaný používatelia za mesto)
• Zástupcovia používateľov samosprávy majú možnosť zadávať požiadavky priamo cez DCOM Service Desk.

Voči dodávateľom ISO/ISM

• DCOM poskytuje podporu prevádzky výhradne pre rozhrania na IS verejnej správy pre pomenovaných používateľom.
  • Dodávateľ ISO/ISM je povinný zrealizovať diagnostiku na vlastnej strane a na strane IS DCOM prostredníctvom modulu pre podporu prevádzky.
  • Dodávateľ ISO/ISM môže následne kontaktovať DCOM ServiceDesk: hlásenie musí obsahovať kompletnú diagnostiku, technický request/response – ktorý zlyhal a vedie k nasimulovaniu chyby, presný čas vedúci k dohľadaniu chyby.
  • Chyby tretích strán (IS VS integrované na IS DCOM):
    • IS DCOM sprostredkuje komunikáciu medzi dodávateľom ISO/ISM a prevádzkovateľom IS VS.

Riadenie zmien a vydaní

• Integračné rozhrania medzi IS DCOM a dodávateľom ISO/ISM sú súčasťou integračných kontraktov. Zmena rozhrania môže byť realizovaná po dohode medzi DEUS a dodávateľom ISO/ISM, alebo pri zmene vynútenej poskytovateľom zdrojových údajov.
• Z dôvodu eliminovania výpadkov poskytovaných služieb voči samospráve pri iných zmenách v rámci IS DCOM, je testovanie týchto rozhraní súčasťou regresných testov IS DCOM.

Podpora prevádzky

Pre správcov IT samosprávy a určených pracovníkov dodávateľa ISO/ISM je sprístupnený incident manažment systém DCOM. Modul podpory prevádzky, bude obsahovať potrebné pohľady pre:

• Náhľad do logov
• Monitoring biznis procesov
• Systém pre riadenie incidentov
• Monitoring prevádzky

Prostredníctvom „Modulu podpory prevádzky“, správcovia, prípadne poverení pracovníci, môžu dohľad nad zvereným systémom. V module podpory prevádzky je možnosť zadať požiadavku na L3 podporu cez tiketovací nástroj IS DCOM, podľa definovaných pravidiel pre zadávanie tiketov. V rámci modulu prevádzky bude pre pracovníkov ISO dodávateľa dostupná aj báza znalostí IS DCOM a oznamy o nasadených aktualizáciách, informácie o nedostupnosti integrácií na tretie strany, a podobne.

7.1. Prevádzkové požiadavky

7.1.1. Úrovne podpory používateľov:

Help Desk je realizovaný cez 3 úrovne podpory, s nasledujúcim označením:

• L1 podpory IS (Level 1, priamy kontakt zákazníka) – zabezpečuje DEUS
• L2 podpory IS (Level 2, postúpenie požiadaviek od L1) - vybraná skupina garantov, so znalosťou IS (zabezpečuje DEUS).
• L3 podpory IS (Level 3, postúpenie požiadaviek od L2) - zabezpečuje dodávateľ.

Definícia:

• Podpora L1 (podpora 1. stupňa) - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď.

• Podpora L2 (podpora 2. stupňa) – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3.

• Podpora L3 (podpora 3. stupňa) - Podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najobťažnejších Hlásení, vrátane prevádzania hĺbkových analýz a riešenie extrémnych prípadov.

Pre služby sú definované takéto SLA:

Služby call centra pre koncových používateľov (obce) Po – Pia 7:00 - 17:00

IaaS pre IS DCOM/Maintenance SW datacentra Po – Pia 8:00 - 16:30

Riešenie poruchy Po – Pia 7:00 - 19:00

Manažment a správa PROD prostredia/ Podpora a prevádzka modulov IS DCOM - Verejnosť Po – Ned 6:00 - 24:00, Referenti Po – Pia, 7:00 - 19:00

Riešenie incidentov – SLA parametre

Za incident je považovaná chyba IS, t.j. správanie sa v rozpore s prevádzkovou a používateľskou  dokumentáciou IS. Za incident nie je považovaná chyba, ktorá nastala mimo prostredia IS napr. výpadok poskytovania konkrétnej služby Vládneho cloudu alebo komunikačnej infraštruktúry.

• Označenie naliehavosti incidentu:

možný dopad:

• Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

Vyžadované reakčné doby:

• (1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L3 a jeho prevzatím na riešenie.

• (2) DKVI znamená obnovenie štandardnej prevádzky - čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom (DKVI) sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný uchádzač oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu.

• (3) Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident.

1. • • • (4) Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia
2. Majú prioritu 3 a nižšiu
3. Vzťahujú sa výhradne k dostupnosti testovacieho prostredia
4. Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite.

Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby:

• Služby systémovej podpory na požiadanie (nad paušál)
• Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)

Pre tieto služby budú dohodnuté osobitné parametre dodávky.

7.2. Požadovaná dostupnosť IS:

7.2.1. Dostupnosť (Availability)

Dostupnosť (Availability) znamená, že dáta alebo iné zariadenie sú prístupné v okamihu ich potreby. Vyjadruje sa v percentách dostupného času. Dostupnosť znamená, že dáta sú prístupné v okamihu jej potreby. Narušenie dostupnosti sa označuje ako nežiaduce zničenie (destruction) alebo nedostupnosť. Dostupnosť je zvyčajne vyjadrená ako percento času v danom období, obvykle za rok. Pre riešenie sa vyžaduje dostupnosť 97%.

7.2.2. RTO (Recovery Time Objective)

RTO (Recovery Time Objective) je jeden z ukazovateľov dostupnosti dát. RTO vyjadruje množstvo času potrebné pre obnovenie dát a celého prevádzky nedostupného systému (softvér). V rámci projektu sa očakáva tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni

7.2.3. RPO (Recovery Point Objective)

RPO (Recovery Point Objective) je jeden z ukazovateľov dostupnosti dát. RPO vyjadruje, do akého stavu (bodu) v minulosti možno obnoviť dáta. V rámci projektu sa očakáva tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni

8. Požiadavky na personál

Podrobne uvedené v Projektovom zámere.

9. Implementácia a preberanie výstupov projektu

Implementácia a preberanie výstupov projektu budú realizované v súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy v zmysle ustanovení podľa § 5 a nasledovných ustanovení.

10. Prílohy

N/A