PROJEKTOVÝ ZÁMER
Vzor pre manažérsky výstup I-02
podľa vyhlášky MIRRI č. 401/2023 Z. z.

Schvaľovanie dokumentu

1.História DOKUMENTU

2.ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s vyhláškou MIRRI č. 401/2023 Z.z. v znení neskorších predpisov je tento výstup I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravnej a iniciačnej fázy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

Dokument Projektový zámer má obsahovať manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, návrh merateľných ukazovateľov a obsahuje aj

            1. detailný opis požadovaných projektových výstupov,

            2. detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu,

            3. detailný opis rozpočtu projektu a jeho prínosov,

            4. harmonogram projektu,

            5. vyhodnotenie rizík a závislostí,

            6. architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy a bezpečnostnej architektúry,

            7. vyhodnotenie alternatív riešenia projektu pre každú vrstvu architektúry riešenia,

            8. špecifikáciu a klasifikáciu údajov spracovaných v projekte,

            9. požiadavky na prevádzku a údržbu výstupov projektu,

            10. požiadavky na technologickú infraštruktúru a posúdenie alternatív prevádzky infraštruktúry cloud computingom,

            11. požiadavky na zdrojové kódy,

            12. opis implementácie projektu a preberania výstupov projektu.

  2.1Použité skratky a pojmy

3.DEFINOVANIE PROJEKTU

3.1Manažérske zhrnutie

Tento projekt je vypracovaný v súlade s vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy a Zmluvou o poskytnutí prostriedkov mechanizmu č. ZL-2023-074.

Z hľadiska realizátora projektu bude projekt realizovaný združením DEUS, ktoré v zmysle § 9a odsek 1 zákona č. 305/2013 Z.z. o elektronickej podobe výkonu pôsobností orgánov verejnej moci (eGovernmente) vykonáva činnosti správcu a prevádzkovateľa IS DCOM. DEUS je záujmové združenie právnických osôb, ktorého jedinými členmi sú Ministerstvo financií SR (ďalej len „MF SR“) a Združenie miest a obcí Slovenska (ďalej len „ZMOS“). DEUS je špecifickým poskytovateľom cloudových služieb typu SaaS pre subjekty MÚS.

Cieľom projektu životných situácií ako celku je zjednodušenie a sprístupnenie digitálnej cesty občana k naplneniu jeho potrieb pri kontakte so štátom

Životná situácia má zjednodušiť elektronickú komunikáciu občana so štátom:

• jasná a jednoduchá komunikácia, minimalizovať úkony na strane občana
• 1x a dosť – prepájanie s registrami a databázami
• digital first, redukovať vstupy občana  a redukovať formuláre
• vedieť ľahko zistiť v akom stave je požiadavka
• overenie cez počítač, mobil 
• Informácie na jednom mieste – hľadanie informácií aj vyriešenie 
• proaktívnosť štátu – notifikácie, možnosť autorizácie, vybavenie úkonov
• poskytovať zrozumiteľné návody aj ich aktualizovanie 
• dostupná online podpora

Motiváciou je výmena existujúceho IDM riešenia MidPoint za nové IDM riešenie pri zachovaní existujúcich funkčností, napojených aplikácií a potenciálom k zvýšeniu výkonu a bezpečnosti. V novom riešení dôjde k napojeniu nového systému Jira Service Desk. Jednotlivé funkcionality napojenie na zdrojové či cieľové systémy budú v novom riešení novo naprogramované s prípadným využitím dostupných zdrojových kódov existujúceho riešenia. Zdrojové kódy budú využité najmä k implementácii logiky, v niektorých prípadoch môžu byť použité aj celé funkčné bloky. Všetky zdrojové kódy budú umiestnené v Gitlabe Deus v separátnom projekte.

Časový harmonogram realizačnej fázy projektu je nastavený na 9 mesiacov so začiatkom realizačnej fázy 09/2025 a finálnym termínom dokončenia do 05/2026. Následne v rámci prevádzky bude prebiehať podpora prevádzky.

Projekt bude realizovaný v rámci Plánu obnovy a odolnosti:

Komponent 17: Digitálne Slovensko (štát v mobile, kybernetická bezpečnosť, rýchly internet pre každého, digitálna ekonomika)

Investícia 1: Lepšie služby pre občanov a podnikateľov

Celkové indikatívne náklady projektu sú vo výške 676 500,00 EUR s DPH.

3.2Motivácia a rozsah projektu

3.2.1. Problém, ktorý bude realizáciou projektu odstránený

IS DCOM je nadrezortný informačný systém pre samosprávu. Ponúka nielen elektronické služby, ale aj integrácie na ostatné registre a databázy verejnej správy a zároveň aj prepojenie na pôvodné informačný systémy samospráv. Vďaka tomu zahŕňa celú agendu vyplývajúcu z originálnych kompetencií samospráv. V rámci IS DCOM je spravovaných viac ako 20 tisíc identít rôznych typov, pričom používateľov miest a obcí je z celkového počtu viac ako 14 tisíc. Identity sú spravované nástrojom MidPoint, ktorý je neoddeliteľnou súčasťou celého riešenia IAM IS DCOM.

MidPoint je open-source identity provisioning systém, ktorý poskytuje unifikovaný model pre provisioning identít, privilégií a správu organizačnej štruktúry. Systém vytvára vzťah medzi identitami a ich účtami a poskytuje globálny pohľad na stav účtov, ich vlastníkov a v čiastočnej miere aj ich práva na všetkých koncových systémoch pripojených do riešenia. Obdobným spôsobom umožňuje systém provisioning služieb v multi-tenantných koncových systémoch.

Pre potreby IAM DCOM umožňuje MidPoint:

•          správu identít používateľov IS DCOM, 

•          synchronizáciu používateľských účtov do koncovými modulov IS DCOM,

•          správu rolí a privilégií prideľovaných identitám a ich synchronizáciu do modulov IS DCOM,

•          správu organizačnej štruktúry, synchronizáciu tenantov do koncových modulov IS DCOM,

•          správu meta-rolí a oprávnení prideľovaných obciam (ako organizačným jednotkám, resp. tenantom) a ich synchronizáciu do modulov IS DCOM.

MidPoint ako nástroj spravujúci identity je nasadený vo verzii 3.4.2-SNAPSHOT, ktorej podpora bola ukončená v roku 2018, čo predstavuje vysoké riziko prelomenia systému a obsiahnutých dát. MidPoint v rámci IS DCOM beží na JavaSe 1.8.0_241 na aplikačnom serveri Tomcat v7.x, ktoré nie je možné aktualizovať. V riešení sú využívané nepodporované konektory, ktorých architektúra taktiež nie je podporovaná ani samotnou platformou MidPoint. Nakoľko téma IDM je veľmi komplexná a má praktický dopad na funkcionalitu samotného IS DCOM, po zohľadnení všetkých rizík je nevyhnutné zabezpečiť nové IDM riešenie, ktoré bude na základe dodržaných kritérií následne implementované v rámci IS DCOM.

3.2.2. Biznis procesy, ktoré sú predmetom projektu

Z pohľadu biznis procesov územná samospráva realizuje výkon vybraných procesov štátnej správy (tzv. prenesený výkon štátnej správy) a zodpovedá za metodické riadenie a výkon procesov samosprávy (tzv. originálne kompetencie).  Z hľadiska zabezpečenia biznis procesov je predmetom projektu bezpečné pripojenie pracovníkov samosprávy, vrátane kompletnej zmeny mechanizmu prístupových rolí.

3.2.3. Informácie o oblasti (OBSAH / AGENDA / ŽIVOTNÁ SITUÁCIA), ktorým sa projekt venuje

Riadiaci výbor pre Investíciu 1 „Lepšie služby pre občanov a podnikateľov“ a pre Reformu 1 „Budovanie eGovernment riešení prioritných životných situácií“ v rámci Komponentu 17 „Digitálne Slovensko“ Plánu obnovy a odolnosti Slovenskej republiky schválil Prioritný zoznam vybraných 16 životných situácií:

ZS1 - Strata a hľadanie zamestnania

ZS2 - Kúpa a vlastnenie nehnuteľnosti na bývanie

ZS3 - Začatie podnikania

ZS4 - Kúpa a vlastnenie motorového vozidla

ZS5 - Administratívny chod podniku

ZS6 - Presťahovanie

ZS7 - Narodenie dieťaťa

ZS8 - Som chorý, mám chorého člena rodiny

ZS9 - Som odkázaný, mám odkázaného člena rodiny

ZS10 - Hmotná núdza

ZS11 - Materská škola

ZS12 - Základná škola

ZS13 - Stredná škola

ZS14 - Odchod do dôchodku

ZS15 - Úmrtie a dedičské konanie

ZS16 - Uzavretie manželstva

Výnos MF SR č. 478/2010 Z. z. o základnom číselníku úsekov verejnej správy a agend verejnej správy nedefinoval pre samotného žiadateľa žiaden úsek. Avšak pre  tento projekt je relevantný nasledovný úsek:

Tabuľka č. 2 - Zoznam projektom zlepšovaných úsekov

3.2.4. ROZSAH PROJEKTU

Z hľadiska realizátora bude ŽS realizovaná združením DEUS, ktoré v zmysle § 9a odsek 1 zákona č. 305/2013 Z.z. o elektronickej podobe výkonu pôsobností orgánov verejnej moci (eGovernmente) vykonáva činnosti správcu a prevádzkovateľa IS DCOM (isvs_6391). DEUS je záujmové združenie právnických osôb, ktorého jedinými členmi sú Ministerstvo financií SR (ďalej len „MF SR“) a Združenie miest a obcí Slovenska (ďalej len „ZMOS“). DEUS je špecifickým poskytovateľom cloudových služieb typu SaaS pre subjekty MÚS. Informačný systém DCOM je nadrezortný informačný systém verejnej správy, prostredníctvom, ktorého vykonávajú obce verejnú moc elektronicky.

Cieľom projektu životných situácií ako celku je zjednodušenie a sprístupnenie digitálnej cesty občana k naplneniu jeho potrieb pri kontakte so štátom

Životná situácia má zjednodušiť elektronickú komunikáciu občana so štátom:

• jasná a jednoduchá komunikácia, minimalizovať úkony na strane občana
• 1x a dosť – prepájanie s registrami a databázami
• digital first, redukovať vstupy občana  a redukovať formuláre
• vedieť ľahko zistiť v akom stave je požiadavka
• overenie cez počítač, mobil 
• Informácie na jednom mieste – hľadanie informácií aj vyriešenie 
• proaktívnosť štátu – notifikácie, možnosť autorizácie, vybavenie úkonov
• poskytovať zrozumiteľné návody aj ich aktualizovanie 
• dostupná online podpora

Projektom bude realizovaná výmena existujúceho IDM riešenia MidPoint za nové IDM riešenie pri zachovaní existujúcich funkčností, napojených aplikácií a potenciálom k zvýšeniu výkonu a bezpečnosti. V novom riešení dôjde k napojeniu nového systému Jira Service Desk. Jednotlivé funkcionality napojenie na zdrojové či cieľové systémy budú v novom riešení novo naprogramované s prípadným využitím dostupných zdrojových kódov existujúceho riešenia. Zdrojové kódy budú využité najmä k implementácii logiky, v niektorých prípadoch môžu byť použité aj celé funkčné bloky. Všetky zdrojové kódy budú umiestnené v Gitlabe Deus v separátnom projekte.

3.2.5. MOTIVÁCIA PROJEKTU

Hlavným cieľom združenia DEUS je podpora informatizácie a elektronizácie územnej samosprávy na Slovensku. DEUS je implementátorom štátnej stratégie a politík týkajúcich sa digitalizácie služieb miest a obcí, ktorým umožňuje plniť svoje zákonné povinnosti v súlade s legislatívou eGovernmentu a zásady „jedenkrát a dosť“. Deje sa tak predovšetkým prostredníctvom informačného systému Dátové centrum obcí a miest (DCOM), ktorý je centrálnym riešením dostupným pre všetky obce a mestá na Slovensku, a ktorý garantuje súlad s platnou legislatívou ohľadom povinností miest a obcí o eGovernmente. DCOM je na Slovensku unikátny svojou komplexnosťou a množstvom integrácií na ostatné informačné systémy verejnej správy na Slovensku. V rámci projektu je významnou motiváciou prispieť k naplneniu komplexného cieľa, a to nasadeniu eGovernment riešenia komplexných prioritných životných situácií pre občanov a podnikateľov EÚ, a to v súlade s investičným plánom, ktorý je výsledkom biznis časti projektu budovania prioritných životných situácií.

Motiváciou je výmena existujúceho IDM riešenia MidPoint za nové IDM riešenie pri zachovaní existujúcich funkčností, napojených aplikácií a potenciálom k zvýšeniu výkonu a bezpečnosti. V novom riešení dôjde k napojeniu nového systému Jira Service Desk. Jednotlivé funkcionality napojenie na zdrojové či cieľové systémy budú v novom riešení novo naprogramované s prípadným využitím dostupných zdrojových kódov existujúceho riešenia. Zdrojové kódy budú využité najmä k implementácii logiky, v niektorých prípadoch môžu byť použité aj celé funkčné bloky. Všetky zdrojové kódy budú umiestnené v Gitlabe Deus v separátnom projekte.

Projekt je v súlade s „Národnou koncepciou informatizácie verejnej správy“, schválenou Vládou SR uznesením č. 763/2021, ktorá definuje, že v prostredí miestnej samosprávy bude naďalej zohrávať úlohu centralizované riešenie IS DCOM a zdôrazňuje, že prepojenie agendových systémov a centrálnych referenčných registrov bude zvlášť podstatné v prostredí územnej a miestnej samosprávy, ktorá používa centralizované riešenie DCOM ako aj viacero decentralizovaných riešení. Bez takéhoto prepojenia nebude možné zabezpečiť on-line riešenie viacerých životných situácií.

3.3Zainteresované strany/Stakeholderi

• Doplňte KTO (zoznam subjektov/osôb) sa zúčastňuje projektu a akú rolu zastáva

Popis stakeholderov:

• MIRRI SR ako vykonávateľ sa zaväzuje, že na základe Zmluvy PPM č. 1604/2023 poskytne Prostriedky mechanizmu Prijímateľovi za účelom financovania Projektu. MIRRI SR zároveň ako autorita zodpovedná za centrálne riadenie informatizácie v Investičnom pláne definuje sadu legislatívnych, organizačných a procesných zmien, ktorými zavedie centralizovaný postup pre dizajn služieb a návodov. MIRRI SR  riadi, validuje a tiež koordinuje tvorbu a zmeny služieb v kontexte prioritných životných situácií, pričom dbá na zohľadnenie potrieb používateľa a dosahovanie nadrezortnej spolupráce.
• Ministerstvo financií ako OVM je prispievateľom do rozpočtu DEUS a očakáva efektívne vynakladanie prostriedkov a zároveň zníženie nákladov na prevádzku samosprávy v oblasti papierovo realizovanej agendy v prospech digitálne realizovanej agendy.
• ZMOS nie je definične OVM ale je prispievateľom do rozpočtu DEUS a zastupuje starostov obcí, ktorí sú predstaviteľmi OVM. ZMOS, podobne ako Ministerstvo financií, očakáva efektívne vynakladanie prostriedkov a zároveň zníženie nákladov na realizáciu agendových procesov.
• DEUS ako prijímateľ sa zaväzuje prijať poskytnuté Prostriedky mechanizmu, použiť ich v súlade s podmienkami stanovenými v Zmluve PPM č. ZL-2023-074, Právnom rámci a Záväznej dokumentácii a zabezpečiť Realizáciu Projektu podľa Zmluvy Riadne a Včas tak, aby bol dosiahnutý Cieľ Projektu a udržaný počas Doby udržateľnosti Projektu. DEUS ako OVM je z pohľadu Zákona o ITVS orgánom riadenia a správcom ISVS. Z pohľadu projektu predstavuje realizátora zámeru. DEUS je na top úrovni riadený Správnou radou pozostávajúcou zo zástupcov Ministerstva financií a ZMOS.
• Občan/podnikateľ - cieľová skupina projektu, cca 3,1 mil. osôb. Rola pracuje so systémom DCOM za účelom používania elektronických služieb samosprávy poskytovaných systémom DCOM. Pomocou mID  sa autentifikuje do systému v súlade s § 24 a nasl. Zákona o eGov.
• Samospráva – cieľová skupina projektu, obce zapojené do IS DCOM.

3.4Ciele projektu

3.5Merateľné ukazovatele (KPI)

3.6Špecifikácia potrieb koncového používateľa

Realizácia programu budovania životných situácií je rozložená do viacerých projektov a zmenových požiadaviek, ktoré sú zamerané na vývoj alebo rozvoj  ISVS/s elektronickými službami , ktoré  majú grafické alebo iné používateľské rozhranie a sú určené pre občanov/podnikateľov (alebo aj pracovníkov verejnej správy pracujúcich s agendovým systémom), ďalej označených ako koncoví používatelia. 

• Špecifikácia požiadaviek bola realizovaná koncovými používateľmi a je v súlade s legislatívou (s aktuálne platnou a s návrhom jej zmien ako súčasť projektov) a s postupmi pri vytváraní elektronických služieb verejnej správy, ako sú napríklad používateľský prieskum, mapovanie používateľskej cesty, vytváranie informačnej architektúry a testovanie prototypov podľa vyhlášky 547/2021 Z. z. o elektronizácii agendy verejnej správy.
• Projekt definujte základné skupiny koncových používateľov elektronických služieb a popisuje cieľové skupiny koncových používateľov, vrátane sociodemografických charakteristík cieľových skupín a účastníkov používateľského prieskumu. 
• Špecifikácia potrieb resp. cieľov koncových používateľov, ktoré identifikujú, čo jednotlivé skupiny koncových používateľov od elektronickej služby požadujú bola realizovaná prostredníctvom používateľského prieskumu realizovaného  MIRRI SR.
• Pri rozvoji existujúcej elektronickej služby sme použili výstupy zo zisťovania spätnej väzby k elektronickej službe, ak z nich vyplývajú požiadavky koncových používateľov na rozvoj služby.  

3.7Detailný opis obmedzení a predpokladov

Rozsah projektu „Identity Management Upgrade“ je jednoznačne vymedzený ako výmena existujúceho IDM riešenia MidPoint za modernú a dlhodobo udržateľnú platformu, ktorá zachová súčasné funkcionality, integrácie a zároveň prinesie nové možnosti z pohľadu výkonu, bezpečnosti a flexibility. Projekt sa sústreďuje na zachovanie prevádzky všetkých procesov súvisiacich so správou identít, rolí, organizačných štruktúr a prístupových práv v rámci IS DCOM, pričom súčasťou realizácie je aj vybudovanie nových integrácií na systém Jira Service Desk. Implementácia zahŕňa prepracovanie napojení na zdrojové a cieľové systémy s využitím dostupného zdrojového kódu z existujúceho riešenia tam, kde to je možné a efektívne. Nové IDM riešenie pokryje celý životný cyklus identít od ich vzniku, cez zmenu a správu oprávnení až po deaktiváciu a zánik, pričom poskytne jednotné používateľské rozhranie pre administrátorov aj bežných používateľov. Autorizačný model bude založený na princípoch RBAC s dôrazom na parametrizáciu a vynucovanie bezpečnostných politík. Riešenie bude pripravené na rozširovanie dátových modelov a atribútov bez zásahu do zdrojového kódu, ponúkne reporting, notifikácie a workflow so schvaľovacími procesmi a bude nasaditeľné vo viacerých prevádzkových režimoch – on-premise, v cloude alebo v hybridnom prostredí. Časový rámec projektu je presne stanovený od septembra 2025 do mája 2026, pričom po nasadení do prevádzky bude nasledovať fáza podpory a údržby.

Dôvody pre takéto vymedzenie rozsahu vyplývajú predovšetkým z technologického zastarania existujúceho riešenia MidPoint, ktoré je nasadené vo verzii bez oficiálnej podpory už od roku 2018 a beží na neudržateľných komponentoch ako Java SE 1.8 a Tomcat 7.x. Tento stav predstavuje významné bezpečnostné riziko, keďže systém obsahuje nepodporované konektory a neposkytuje možnosti moderného rozvoja. Ďalším dôvodom je potreba zabezpečiť kontinuitu služieb IS DCOM, ktorý spravuje viac než dvadsaťtisíc identít a je nadrezortným riešením pre výkon originálnych aj prenesených kompetencií samospráv. Bez výmeny IDM by hrozilo ohrozenie funkčnosti celého systému a tým aj schopnosti samospráv poskytovať elektronické služby občanom. Vymedzenie rozsahu bolo zároveň podmienené požiadavkami Plánu obnovy a odolnosti SR v rámci komponentu Digitálne Slovensko, ktorý kladie dôraz na elektronizáciu životných situácií občanov a na zavedenie moderných, bezpečných a interoperabilných riešení. Do rozsahu boli preto zahrnuté len tie činnosti, ktoré priamo súvisia s výmenou IDM riešenia a so zachovaním alebo rozšírením jeho funkčnosti, aby bolo možné garantovať dosiahnutie merateľných cieľov a prínosov stanovených v projekte.

Úspešná realizácia projektu je podmienená viacerými predpokladmi. V prvom rade je potrebné zabezpečiť dostupnosť a kompatibilitu všetkých potrebných komponentov infraštruktúry, aby implementácia nebola zdržaná oneskorenými dodávkami alebo technickými problémami. Rovnako dôležité je presné a včasné zadefinovanie požiadaviek všetkých kľúčových používateľov, pretože neúplné alebo oneskorené požiadavky by mohli viesť k predlžovaniu harmonogramu či zvyšovaniu nákladov. Realizácia si vyžaduje aktívnu súčinnosť dodávateľa, dodržiavanie harmonogramu a kvalitatívnych požiadaviek, ako aj dostupnosť dostatočných ľudských zdrojov na strane DEUS a dodávateľov, ktorí zabezpečia analýzu, návrh architektúry, implementáciu, testovanie a prevádzku. Z pohľadu riadenia je nevyhnutné dodržiavať metodiky projektového riadenia, platnú legislatívu a pravidelné monitorovanie rizík vrátane kybernetických hrozieb. Predpokladom úspechu je aj dôsledné riadenie kvality a priebežné testovanie, ktoré pomôže odhaliť slabé miesta ešte pred nasadením. Nemenej dôležitá je pripravenosť organizačných a technických kapacít na strane DEUS, vrátane školení používateľov a zabezpečenia rozšírenej podpory po ukončení implementácie. Len splnením týchto predpokladov bude možné dosiahnuť, aby nové IDM riešenie plnilo svoju úlohu ako stabilný, bezpečný a dlhodobo udržateľný pilier informačného systému DCOM.

3.8Riziká a závislosti

3.9Detailný opis rozpočtu projektu a jeho prínosov

3.9.1. Sumarizácia nákladov a prínosov

Tabuľka 1 Sumarizácia nákladov a prínosov

3.9.2. Zdroj financovania

Projekt bude realizovaný v rámci Plánu obnovy a odolnosti:

Komponent 17: Digitálne Slovensko (štát v mobile, kybernetická bezpečnosť, rýchly internet pre každého, digitálna ekonomika)

Investícia 1: Lepšie služby pre občanov a podnikateľov

3.10Harmonogram projektu

Projekt bude v DEUS realizovaný metódou Waterfall.

3.11Návrh organizačného zabezpečenia projektu (projektový tím)

Projekt sa bude riadiť v súlade s platnou legislatívou v oblasti riadenia projektov IT. Pre potreby riadenia projektu bude vytvorený riadiaci výbor projektu a budú menovaní členovia Riadiaceho výboru projektu (ďalej len „RV“), projektový manažér a členovia projektového tímu.

Najvyššou autoritou projektu je RV, ktorý tvorí:

• predseda RV
• zástupca vlastníkov procesov - zástupca predsedu RV (podpredseda RV)
• zástupca kľúčových používateľov
• Projektový manažér
• zástupca dodávateľa

Zloženie riadiaceho výboru:

Projektový tím:

Tabuľka 1 Projektový tím

4.LEGISLATÍVA

Nie sú potrebné zmeny v oblasti legislatívy pre naplnenie cieľov a dodanie výstupov projektu.

5.ARCHITEKTÚRA RIEŠENIA PROJEKTU

• Projekt je súčasťou súboru viacerých projektov verejnej správy, ktorých cieľom je zlepšenie služieb a ich spájanie hlavne do prioritných životných situácií, v rámci Investície 1: Nasadenie eGovernment riešenia 16 komplexných prioritných životných situácií pre občanov a podnikateľov EÚ.

  

  Prehľad architektúry budúceho stavu ŽS

5.1Stanovenie alternatív architektúry riešenia

Nerelevantné - DEUS je ako prijímateľ prostredníctvom Zmluvy o PPM č. 1604/2023 je zapojený do projektu Budovanie životných situácií. Zmluva o PPM č. 1604/2023 presne definuje súbor požiadaviek, ktoré musí DEUS implementovať v zmysle definovaných spoločných cieľov programu Životných situácií. Z tohoto dôvodu neboli stanovené alternatívne riešenia, ich porovnanie ani realizovaná MCA analýza.

5.1.1. Stanovenie alternatív v biznisovej vrstve architektúry

Nerelevantné - DEUS je ako prijímateľ prostredníctvom Zmluvy o PPM č. 1604/2023 je zapojený do projektu Budovanie životných situácií. Zmluva o PPM č. 1604/2023 presne definuje súbor požiadaviek, ktoré musí DEUS implementovať v zmysle definovaných spoločných cieľov programu Životných situácií. Z tohoto dôvodu neboli stanovené alternatívne riešenia, ich porovnanie ani realizovaná MCA analýza.

5.1.2. Stanovenie alternatív v aplikačnej vrstve architektúry

Nerelevantné - DEUS je ako prijímateľ prostredníctvom Zmluvy o PPM č. 1604/2023 je zapojený do projektu Budovanie životných situácií. Zmluva o PPM č. 1604/2023 presne definuje súbor požiadaviek, ktoré musí DEUS implementovať v zmysle definovaných spoločných cieľov programu Životných situácií. Z tohoto dôvodu neboli stanovené alternatívne riešenia, ich porovnanie ani realizovaná MCA analýza.

5.1.3. Stanovenie alternatív v technologickej vrstve architektúry

Nerelevantné - DEUS je ako prijímateľ prostredníctvom Zmluvy o PPM č. 1604/2023 je zapojený do projektu Budovanie životných situácií. Zmluva o PPM č. 1604/2023 presne definuje súbor požiadaviek, ktoré musí DEUS implementovať v zmysle definovaných spoločných cieľov programu Životných situácií. Z tohoto dôvodu neboli stanovené alternatívne riešenia, ich porovnanie ani realizovaná MCA analýza.

5.2Náhľad architektúry a popis budúceho cieľového produktu

Nové IDM riešenie je navrhnuté ako moderná, škálovateľná a dlhodobo udržateľná platforma so životnosťou a podporou minimálne na desať rokov. Umožňuje neustály rozvoj funkcionalít, pravidelné bezpečnostné aktualizácie a jednoduchú konfiguráciu bez nutnosti zásahov do zdrojového kódu. Riešenie podporuje správu rôznych typov objektov, identít, rolí a organizačných štruktúr s možnosťou ich rozširovania o nové atribúty a dátové modely. Poskytuje funkcie hromadných akcií, importu a exportu dát v štandardných formátoch, rozsiahle možnosti vyhľadávania a filtrovania, ako aj konfigurovateľné logovanie.

Autorizačný model je postavený na RBAC so silnou parametrizáciou a umožňuje detailné riadenie prístupov vrátane definovania granulity na úrovni používateľských rolí či jednotlivých častí rozhrania. Riešenie podporuje politiky hesiel a účtov.

Integrácie sú zabezpečené prostredníctvom API rozhraní, najmä REST, pričom je zachovaná spätná kompatibilita pre SOAP tam, kde je nevyhnutná. Platforma je schopná prepájať sa s externými systémami vrátane ITSM nástrojov ako Jira či Jira Service Desk a zároveň podporuje integráciu s nástrojmi pre Access Management, napríklad Keycloak, ktorý zabezpečuje SSO. Synchronizácia dát medzi IDM a koncovými systémami je obojsmerná, s podporou binárnych dát a možnosťou opakovanej propagácie zmien pri neúspešných operáciách.

Správa identít pokrýva celý životný cyklus – od ich vzniku cez zmenu, aktiváciu či deaktiváciu, až po zánik. Identity môžu obsahovať jednotypové aj viacnásobné atribúty, binárne údaje ako fotografie či komplexné štruktúry vo forme tabuliek. K dispozícii sú nástroje na automatizované aj manuálne prideľovanie rolí, viacúrovňové schvaľovacie procesy, workflow s eskaláciami a možnosť podávania žiadostí o prístup, ktoré sú podrobené schvaľovaciemu procesu. Organizačné štruktúry je možné spravovať priamo v používateľskom rozhraní, pričom podporujú existenciu viacerých štruktúr a flexibilné väzby medzi používateľmi a rolami.

Používateľské rozhranie je jednotné pre bežných používateľov aj administrátorov a prístup k informáciám je riadený autorizačnými pravidlami. Rozhranie je prístupné z rôznych zariadení a podporuje moderné webové prehliadače. Delegovaní administrátori majú rozdielne prístupové práva podľa definovaných rolí, čo umožňuje rozdeliť kompetencie napríklad medzi pracovníkov call centra a vyšších administrátorov. Koncoví používatelia môžu cez rozhranie spravovať svoj profil, meniť heslo a atribúty či vykonávať zmeny v organizačnej štruktúre.

Riešenie umožňuje generovanie reportov v štandardných výstupných formátoch a podporuje notifikácie prostredníctvom SMTP, ktoré informujú o aktivitách čakajúcich na zásah používateľa. Prevádzka je prispôsobiteľná na on-premise, cloud aj hybridné nasadenie bez obmedzenia dostupných funkcií, čo uľahčuje prípadný prechod do cloudu. Aktualizácie sú testované v nižších prostrediach pred nasadením do produkcie a následne monitorované, aby bol zabezpečený bezproblémový chod.

Súčasťou riešenia je vysoká dostupnosť, rozšírený model podpory aj vzdelávacie služby, ktoré pomáhajú zvyšovať bezpečnosť a efektívne využitie systému. Platforma je navrhnutá tak, aby nemala obmedzenia na počet používateľov a umožňovala plynulé škálovanie podľa potrieb organizácie. Tým vznikne komplexné riešenie schopné pokrývať všetky aspekty správy identít a prístupov s dôrazom na bezpečnosť, flexibilitu a dlhodobú udržateľnosť.

Obrázok 9 IDM a jeho prepojenia

5.3Biznis vrstva

5.3.1. Návrh riešenia v biznis vrstve architektúry

Z pohľadu biznis procesov územná samospráva realizuje výkon vybraných procesov štátnej správy (tzv. prenesený výkon štátnej správy) a zodpovedá za metodické riadenie a výkon procesov samosprávy (tzv. originálne kompetencie). Ďalej z hľadiska originálnych kompetencií, obec pri výkone samosprávy najmä:

• vykonáva úkony súvisiace s riadnym hospodárením s hnuteľným a nehnuteľným majetkom obce a s majetkom vo vlastníctve štátu prenechaným obci do užívania,
• zostavuje a schvaľuje rozpočet obce a záverečný účet obce; vyhlasuje dobrovoľnú zbierku,
• rozhoduje vo veciach miestnych daní a miestnych poplatkov a vykonáva ich správu,
• usmerňuje ekonomickú činnosť v obci, a ak tak ustanovuje osobitný predpis, vydáva súhlas, záväzné stanovisko, stanovisko alebo vyjadrenie k podnikateľskej a inej činnosti právnických osôb a fyzických osôb a k umiestneniu prevádzky na území obce, vydáva záväzné stanoviská k investičnej činnosti v obci,
• utvára účinný systém kontroly a vytvára vhodné organizačné, finančné, personálne a materiálne podmienky na jeho nezávislý výkon,
• zabezpečuje výstavbu a údržbu a vykonáva správu miestnych komunikácií, verejných priestranstiev, obecného cintorína, kultúrnych, športových a ďalších obecných zariadení, kultúrnych pamiatok, pamiatkových území a pamätihodností obce,
• zabezpečuje verejnoprospešné služby, najmä nakladanie s komunálnym odpadom a drobným stavebným odpadom, udržiavanie čistoty v obci, správu a údržbu verejnej zelene a verejného osvetlenia, zásobovanie vodou, odvádzanie odpadových vôd, nakladanie s odpadovými vodami zo žúmp a miestnu verejnú dopravu,
• utvára a chráni zdravé podmienky a zdravý spôsob života a práce obyvateľov obce, chráni životné prostredie, ako aj utvára podmienky na zabezpečovanie zdravotnej starostlivosti, na vzdelávanie, kultúru, osvetovú činnosť, záujmovú umeleckú činnosť, telesnú kultúru a šport,
• plní úlohy na úseku ochrany spotrebiteľa a utvára podmienky na zásobovanie obce; spravuje trhoviská,
• obstaráva a schvaľuje územnoplánovaciu dokumentáciu obcí a zón, koncepciu rozvoja jednotlivých oblastí života obce,
• obstaráva a schvaľuje programy rozvoja bývania a spolupôsobí pri utváraní vhodných podmienok na bývanie v obci,
• vykonáva vlastnú investičnú činnosť a podnikateľskú činnosť v záujme zabezpečenia potrieb obyvateľov obce a rozvoja obce,
• zakladá, zriaďuje, zrušuje a kontroluje podľa osobitných predpisov svoje rozpočtové a príspevkové organizácie, iné právnické osoby a zariadenia,
• organizuje miestne referendum o dôležitých otázkach života a rozvoja obce,
• zabezpečuje verejný poriadok v obci,
• zabezpečuje ochranu kultúrnych pamiatok v rozsahu podľa osobitných predpisov a dbá o zachovanie prírodných hodnôt,
• plní úlohy na úseku sociálnej pomoci v rozsahu podľa osobitného predpisu,
• vykonáva osvedčovanie listín a podpisov na listinách,
• vedie obecnú kroniku v štátnom jazyku, prípadne aj v jazyku národnostnej menšiny.

IS DCOM umožňuje občanom komunikovať s obcou elektronicky, prostredníctvom tzv. elektronickej schránky. Verejnosť má dispozícii elektronické komunikačné rozhranie v podobe webových stránok pre všetkých 139 poskytovaných elektronických služieb. Občania majú prostredníctvom webového portálu DCOM prístup k elektronických službám, vrátane súkromnej zóny s informáciami o aktuálnej a predchádzajúcej komunikácii s obcou, či mestom. Zamestnanci úradov majú k dispozícii plne integrované a navzájom prepojené riešenia pre spracovanie agendy. Obce majú zároveň možnosť prevádzkovať svoje webové stránky v prostredí dátového centra (DCOM). Pracovníci obcí, rovnako ako aj pracovníci technickej podpory majú prístup na samostatný intranetový portál.

Z hľadiska používateľov systému DCOM, týchto môžeme rozdeliť na nasledovné 2 skupiny:

Externí používatelia – anonymná alebo autentifikovaná osoba, pristupujúca z externých verejných sietí a využívajúca služby portálu dcom.sk. Autentifikáciu externých používateľov zabezpečuje spoločný modul IAM ÚPVS.

• Obyvatelia (fyzické osoby)
• Podnikatelia

Interní používatelia – autentifikovaní používatelia pristupujúci z externých privátnych alebo verejných sietí do back-office DCOM. Používateľské účty, oprávnenia a autentifikačné prostriedky interných používateľov pre prístup k používateľským rozhraniam DCOM sú spravované v IAM DCOM.

• Reprezentant (úradník) obce alebo mesta - autentifikovaný zamestnanec obce alebo mesta, využívajúci služby IS DCOM
• Pracovník prevádzky - autentifikovaný zamestnanec DEUS, dodávateľa DEUS, dodávateľa ISM, poskytujúci podporu prevádzky DCOM.

Schéma biznis architektúry je nasledovná

Obrázok 1 Biznis architektúra 

Schéma Biznis architektúry - Pod službami UPVS sa rozumejú služby UPVS dostupné cez verejnú časť slovensko.sk a služby integračné. Pod službami mesta sa rozumejú služby mesta, ktoré IS mesta poskytuje svojim úradníkom.

Z pohľadu biznis architektúry nedochádza projektom k zmene oproti AS IS stavu

5.3.2. Prehľad koncových služieb – budúci stav (TO BE):

Projektom nebudú budované/upravované koncové služby pre občanov a podnikateľov ani služby pre OVM

Tabuľka 1Prehľad koncových služieb - budúci stav (TO BE)

5.3.3. Organizačné zmeny a Procesy dotknuté navrhovaným riešením

Implementácia projektu nebude mať organizačné dopady.

5.3.4. Jazyková podpora lokalizácia

Požiadavky na jazykovú lokalizáciu riešenia a používateľské prostredie bude implementované v slovenskom jazyku.

5.4Aplikačná vrstva

5.4.1. Návrh riešenia v aplikačnej vrstve architektúry

Z pohľadu súčasnej architektúry IS DCOM, tento poskytuje obciam a mestám potrebnú aplikačno-programovú podporu pri spracovaní jednotlivých agend samosprávy. Informačný systém DCOM zabezpečuje tiež prepojenie informačných systémov samospráv s inými Informačnými systémami verejnej správy (IS VS) a so základnými registrami. V rámci obce zapojenej do IS DCOM, Informačný systém obce (ISO) zabezpečuje funkcie vnútornej správy obce minimálne v súlade s rozsahom základných modulov ako sú účtovníctvo obce, finančný a rozpočtový systém, banka a pokladňa, personalistika a mzdy, registratúra, správa majetku obce a systém pre zastupiteľstvo, a IS DCOM zabezpečuje agendu súvisiacu s obsluhou verejnosti. Táto časť je prepojená na ÚPVS a zabezpečuje plnohodnotnú elektronickú komunikáciu. Prostredníctvom synchronizačnej vrstvy dátovej DCOM je riešenie prepojené s registrami verejnej správy.

Architektúra riešenia DCOM vychádza z požiadaviek efektívneho prevádzkovania systémov a aplikácií obcí a miest, z požiadaviek vyššieho štandardu prevádzkovania aplikácií a z požiadavky flexibilného prispôsobovania potrebám budúcich aplikácií a modulom eGov. Riešenie IS DCOM možno rozdeliť do troch skupín – Front Office, Mid Office a Back Office. Informačný systém obce je časťou Back Office.

Front Office – prezentačná vrstva reprezentuje prezentačnú vrstvu, ktorá obsahuje interaktívne používateľské rozhrania aplikačných systémov pre používateľov IS DCOM. Front Office zabezpečuje interakciu IS DCOM s externými používateľmi, obsahuje interaktívne používateľské rozhranie pre občanov a podnikateľov a je integrovaný na ÚPVS. Prostredníctvom tejto vrstvy sú sprístupnené služby občanovi a referentovi obce v kompaktnej podobe. Je komponovaná s ohľadom na efektivitu jednotlivých konzumentov služieb a prostredníctvom silnej personalizačnej črty, kladie dôraz na rozdielny štýl práce jednotlivých rolí (občan / pracovník obce). Je adaptabilná pre používateľa a podľa kontextu vybavovanej agendy sa prispôsobuje a variuje od štýlu práce v koncepte portálu, cez koncept vybavenia služby, až po koncept práce v agendovom systéme.

Mid Office – procesno - integračná vrstva. Vrstva Mid Office je reprezentovaná procesno-integračnou vrstvou, prostredníctvom ktorej sa realizuje integračné a procesné riadenie. Komponenty BPM a Business Rules zastrešujú správu procesov a dennej agendy. Integračná platforma ESB zabezpečuje podpornú vrstvu pre integráciu systémov, orchestráciu služieb a manažment služieb podľa princípov SOA. Modul BAM zabezpečuje sledovanie a diagnostiku procesov, čo umožňuje následnú optimalizáciu.

Back Office – Aplikačná vrstva, ktorá zabezpečuje interakciu s internými používateľmi IS DCOM, úradníkmi obcí. Back Office predstavuje aplikačnú vrstvu tvorenú modulmi a komponentmi zabezpečujúcimi výkon elektronických služieb samosprávy prostredníctvom agendových systémov a podporných systémov. Obsahuje vrstvu integrácií na okolie IS DCOM, ako je napr. ISO, správu konsolidovanej dátovej vrstvy, správu cloudovej vrstvy a hardvérovej vrstvy. Súčasťou Back Office sú Informačné systémy obcí. Projekt DCOM poskytuje cloud platformu na prevádzku ISO modulov. Podporné moduly zastrešujú procesy podpory a prevádzky IS DCOM. Podporné moduly sú integrované do riešenia prostredníctvom integračnej vrstvy formou poskytovaných a konzumovaných služieb.

Schéma aplikačná architektúra:

Obrázok 1 Aplikačná architektúra 

5.4.2. Rozsah informačných systémov – budúci stav (TO BE)

Tabuľka 1 Rozsah informačných systémov - budúci stav (TO BE)

5.4.3. Využívanie nadrezortných a spoločných ISVS – AS IS

Tabuľka 2 Využívanie nadrezortných a spoločných ISVS – súčasný stav (AS IS)

5.4.4. Prehľad plánovaných integrácií na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 Z.z. o  e-Governmente – budúci stav (TO BE)

Realizáciou projektu nedochádza k zmene AS IS stavu a teda k zmene vo využívaní nadrezortných centrálnych blokov. V rámci predkladaného projektu sa neplánujú zmeny vo vzťahu k integrácii IS DCOM na nadrezortné ISVS – spoločné moduly.

Tabuľka 3 Prehľad plánovaných integrácií na spoločné moduly – budúci stav (TO BE)

5.4.5. Prehľad plánovaných integrácií na iné ISVS  – budúci stav (TO BE)

V rámci predkladaného projektu sa neplánujú zmeny vo vzťahu k integrácii IS DCOM na iné ISVS.

Tabuľka 4 Prehľad plánovaných integrácií na iné ISVS  – budúci stav (TO BE)

5.4.6. Aplikačné služby pre Koncové služby – budúci stav (TO BE)

Predmetom projektu nie je budovanie alebo rozvíjanie aplikačných služieb.

Tabuľka 5 Aplikačné služby pre Koncové služby – budúci stav (TO BE)

5.4.7. Aplikačné služby na integráciu – budúci stav (TO BE)

Predmetom projektu nie sú aplikačné služby na integráciu

Tabuľka 6 Aplikačné služby na integráciu – budúci stav (TO BE)

5.5Dátová architektúra

Back Office IS DCOM predstavuje aplikačnú vrstvu tvorenú modulmi a komponentmi zabezpečujúcimi výkon elektronických služieb samosprávy prostredníctvom agendových systémov a podporných systémov. Kľúčové moduly IS DCOM a biznis objekty v rámci týchto modulov zobrazuje nasledovná schéma.

5.5.1. Objekty evidencie

Predmetom projektu nie sú nové objekty evidencie

Tabuľka 1 Objekty evidencie

5.5.2. Referenčné údaje

IS DCOM je integrovaný na externé systémy e-Governmentu – ÚPVS (isvs_62), Centrálny metainformačný systém verejnej správy (isvs_63), Informačný systém centrálnej správy referenčných údajov verejnej správy (isvs_5836), Register fyzických osôb (isvs_191), Register právnických osôb, podnikateľov a orgánov verejnej moci (isvs_420), Register adries (isvs_192), Kataster nehnuteľností (isvs_8791), Informačný systém riadenia sociálnych dávok (isvs_279), Systém elektronických služieb (Sociálna poisťovňa) (isvs_551), Evidencia vozidiel (isvs_171). Predmetom projektu nie je vyhlásenie nových objektov evidencie za referenčné.

Tabuľka 2 Návrh na vyhlásenie a zmeny referenčných údajov

5.5.3. Poskytovanie údajov z ISVS do IS CPDI – budúci stav (TO BE)

Predmetom projektu nie je poskytovanie nových údajov do IS CPDI

Tabuľka 3 Poskytovanie údajov z ISVS do IS CPDI – budúci stav (TO BE)

5.5.4. Konzumovanie údajov z IS CPDI – budúci stav (TO BE)

Predmetom projektu nie je konzumovanie nových údajov z IS CPDI

Tabuľka 4 Konzumovanie údajov z IS CPDI – budúci stav (TO BE)

5.5.5. Identifikácia údajov a subjektov pre konzumovanie alebo poskytovanie údajov do/z CPDI (CSRÚ)

Predmetom projektu nie je konzumovanie nových údajov z IS CPDI ani poskytovanie nových údajov do IS CPDI

Tabuľka 5 Identifikácia údajov pre konzumovanie alebo poskytovanie údajov do/z CPDI (CSRÚ)

5.5.6. Kvalita a čistenie údajov

Predmetom projektu nie sú nové objekty evidencie

Tabuľka 6 Zhodnotenie dátovej kvality objektov evidencie

Tabuľka 7 Personálne zabezpečenie a roly pri riadení dátovej kvality

5.5.7. Otvorené údaje

Predmetom projektu nie je sprístupnenie otvorených údajov.

Tabuľka 8 Objekty evidencie, ktoré budú sprístupnené ako otvorené údaje

5.5.8. Analytické údaje

Predmetom projektu nie je poskytovanie analytických údajov

Tabuľka 9 Objekty evidencie, ktoré budú projektom pripravené pre analytické účely

5.5.9. Moje údaje

Predmetom projektu nie je poskytovanie údajov pre službu Moje údaje

Tabuľka 10 Objekty evidencie, ktoré spadajú do kategórie Mojich údajov

5.5.10. Prehľad jednotlivých kategórií údajov

Predmetom projektu nie sú nové objekty evidencie

Tabuľka 11 Prehľad jednotlivých kategórií údajov

5.6Technologická architektúra

5.6.1. Návrh riešenia technologickej architektúry

Z pohľadu technologickej architektúry IS DCOM, základom riešenia je cloud infraštruktúra založená na princípoch ako sú redundancia lokality, redundancia funkčnosti, oddelenie sietí, obnoviteľnosť funkčnosti, modulárna infraštruktúra a štandardov pre dátové centrá a cloud infraštruktúru. Infraštruktúra pre prevádzku cloudu a aplikácií je vybudovaná ako vysoko dostupná, prevádzkovaná v dvoch nezávislých lokalitách a v prípade výpadku primárnej lokality je poskytujúca aplikácie z druhej, záložnej lokality, bez závislosti na dostupnosti komponentov a funkcií primárnej lokality. Cloud platforma umožňuje poskytovať služby IaaS (infraštruktúra ako služba) pre prevádzku ISO balíkov pre interné agendy obcí. Prístup používateľov (pracovníkov obcí a správcov ISO) k službám je štandardný, je definovaný spôsob, akým sú služby DCOM publikované pre obce. Pracovníci obcí pristupujú predovšetkým z koncových zariadení (PC alebo notebooky) dodaných v rámci projektu DCOM alternatívne cez privátnu komunikačnú sieť budovanú DataCentrom v rámci projektu FINNET, alebo cez internet.

Aktuálne je IS DCOM postavený na dvoch dátových centrách.

1. Primárne DC je umiestnené na Kopčianskej ulici v Bratislave. Toto DC je prevádzkované na vlastných HW komponentoch. Aktuálne prebieha postupná migrácia zo starého 10 ročného HW na nový HW nakúpený v 2023. Do konca roka je plánované ukončenie tejto migrácie a celý DCOM bude prevádzkovaný na nových serveroch.
2. Záložné DC – Vládny cloud MVSR v Tajove – používa DEUS ako službu. Súčasťou služby sú aj služby core firewallov a WAF na ktoré ale máme admin prístup a vieme tak manažovať rozsiahle potreby nastavovania a sperovania prevádzky a pravidiel.

Koncové zariadenia obsahujú operačný systém s potrebným softvérovým vybavením konfigurovaný, aktualizovaný a spravovaný centrálnym systémom. Z týchto pracovných staníc DCOM je možný aj alternatívny prístup cez sieť internet prostredníctvom zabezpečeného komunikačného kanálu. Tento stav sa v priebehu projektu a udržateľnosti môže zmeniť. Nesmie tým však utrpieť úroveň bezpečnosti samotného IS DCOM. Z dlhodobého pohľadu smeruje architektúra IS DCOM k riešeniu, kde nebude potrebné využívať zabezpečený kanál formou VPN, ale bezpečnosť bude riešená na úrovni ako infraštruktúry tak aj aplikácie tak, aby bolo aplikáciu možné používať ako úplne samostatnú SaaS službu so svojimi vlastnými bezpečnostnými riešeniami. Týmto postupom sa dlhodobo zruší závislosť na prevádzkovaní HW DEUSom a implementuje sa prístup “internetového bankovníctva“, teda dostupnosti riešenia z akéhokoľvek počítača pri zachovaní požadovanej bezpečnosti.

5.6.2. Požiadavky na výkonnostné parametre, kapacitné požiadavky – budúci stav (TO BE)

Tabuľka 1 Požiadavky na výkonnostné parametre, kapacitné požiadavky – budúci stav (TO BE)

5.6.3. Využívanie služieb z katalógu služieb vládneho cloudu

Z hľadiska využívania služieb vládneho cloudu realizácia projektu nevytvára nové požiadavky na využívanie služieb vládneho cloudu oproti súčasnému stavu.

Tabuľka 2 Využívanie služieb z katalógu služieb vládneho cloudu

Tabuľka 3Predpokladané kapacity požadovaných výpočtových zdrojov (sizing)

Tabuľka 4 Predpokladané kapacity ďalších cloudových (infraštruktúrnych) služieb

5.7Bezpečnostná architektúra

5.7.1. Návrh riešenia bezpečnosti

Bezpečnosť rozhraní

Volanie webových služieb DCOM zo strany ISO a ISM vyžaduje autentifikáciu a autorizáciu. Pre každý ISO a ISM je vytvorený v IAM DCOM technický používateľ, ktorý pre autentifikáciu používa SSL certifikát.  Jednotlivým technickým používateľom sú pridelené oprávnenia na volanie konkrétnych služieb vypublikovaným na spoločnej zbernici backendovej integrácie alebo frontendovej integrácie ÚPVS.

Autentifikácia používateľov – pracovníkov obcí miest

Autentifikácia používateľov pristupujúcich na používateľské rozhrania spoločných modulov cez Internet je 2-faktorová.

Postup pri autentifikácii používateľa:

1. Používateľ do webového prehliadača zadá webovú adresu modul.intra.dcom.sk alebo www.intra.dcom.sk
2. DCOM IAM (OpenAM) presmeruje webový prehliadač používateľa na stránku login.intra.dcom.sk
3. F5 vyzve používateľa na zadanie používateľského mena a jednorazového hesla.
4. Používateľ vypíše svoje prihlasovacie meno a presunie kurzor do poľa pre zadanie OTP. Vloží USB token do USB slotu a stlačí tlačidlo na tokene.
5. F5 overí v Active Directory, že používateľ existuje a má priradený USB token.
6. F5 odošle sériové číslo tokenu a zadané heslo na validačný server pre OTP.
7. Validačný server overí jednorazové heslo.
8. OpenAM vyzve používateľa na zadanie prístupového mena a hesla.
9. Používateľ zadá svoje používateľské meno a heslo.
10. OpenAM overí zadané heslo a vytvorí SSO session.
11. OpenAM presmeruje webový prehliadač naspäť na pôvodnú stránku alebo na intranet obce.

Tokeny sú prenosné - v prípade, že používateľ s priradeným USB tokenom tento už nebude využívať, je možné ho prekonfigurovať a priradiť inému používateľovi.

V prípade využitia LAN-to-LAN VPN pre pripojenie infraštruktúry mesta a IS DCOM sa používa pre autentifikáciu používateľa používateľské meno a heslo.

Infraštruktúrne pripojenie IS obce/mesta  

Komunikácia DCOM s ISO a ISM je obojsmerná. Podľa konkrétnych možností mesta je možné zvoliť dve alternatívy pripojenia, prípadne ich kombináciu – s využitím LAN-to-LAN VPN alebo cez Internet.

Pri komunikácii cez Internet sú všetky služby IS DCOM vypublikované na niekoľkých konkrétnych IP adresách. Zároveň komunikácia prichádzajúca zo strany ISO a ISM musí byť z IP obce/mesta (ak má fixnú IP adresu) alebo FQDN servera resolvovateľné v Internete – tie budú zaradené do whitelistu. Komunikácia zo strany DCOM do ISO a ISM prichádza z konkrétnej IP adresy.

Povinnosťou v rámci projektu bude preukázať súlad so zákonom č. 95/2019 zákona o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov. Pre úspešnú realizáciu projektu je potrebné zabezpečiť dodržanie pravidiel stanovených Vyhláškou č. 78/2020 (resp. jej novelizácii) Z. z. o štandardoch pre informačné technológie verejnej správy. Z hľadiska ochrany osobných údajov bude dátový manažment realizovaný v súlade so zákonom č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Implementácia a prevádzka systému musí v oblasti bezpečnosti brať do úvahy aj Zákon 69/2018 Z. z. o kybernetickej bezpečnosti, v znení neskorších predpisov. Aktualizácia bezpečnostného projektu IS DCOM, ktorý je zdrojom poskytovaného Môjho údaja/údajov, bude realizovaná v rámci podaktivity 10.

5.7.2. Určenie obsahu bezpečnostných opatrení

Tabuľka 1 Určenie zdrojov a obsahu minimálnych bezpečnostných opatrení

5.7.3. Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,

Projekt nemá žiadny legislatívny dopad. Nové riešenie musí byť v súlade s platnou legislatívou a to najmä:

• Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti
• Zákon č. 45/2011 Z.z. o kritickej infraštruktúre
• Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,
• Zákon č. 272/2016 Z. z. o dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zmene a doplnení niektorých zákonov (zákon o dôveryhodných službách),
• Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov, v znení neskorších predpisov
• Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy
• Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov
• Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
• Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

5.7.4. Riešenie autentifikácie a prístupov používateľov

Autentifikácia používateľov – pracovníkov obcí miest

Autentifikácia používateľov pristupujúcich na používateľské rozhrania spoločných modulov cez Internet je 2-faktorová.

Postup pri autentifikácii používateľa:

1. Používateľ sa ako prvý krok prihlási do VPN prevádzkovaného IS DCOM svojim prihlasovaím menom a heslom. Tieto sú uložené v Active Directory.
2. Po úspešnom prihlásení sa do VPN sa užívateľ prihlasuje do aplikácie samotnej prostredníctvom prihlasovacej stránky cez webový prehliadač.
3. Keycloak vyzve používateľa na zadanie prístupového mena a hesla.
4. Používateľ zadá svoje používateľské meno a heslo.
5. Keycloak overí zadané heslo a vytvorí SSO session.
6. Keycoak presmeruje webový prehliadač naspäť na pôvodnú stránku alebo na intranet obce.

V prípade využitia LAN-to-LAN VPN pre pripojenie infraštruktúry mesta a IS DCOM sa používa pre autentifikáciu používateľa používateľské meno a heslo.

6.PREVÁDZKA A ÚDRŽBA VÝSTUPOV PROJEKTU

6.1Riadenie incidentov a servisných požiadaviek

Voči samospráve:

• DCOM poskytuje podporu prevádzky pre zdieľané aplikačné moduly voči pomenovaným zástupcom používateľov (cca 2-3 pomenovaný používatelia za mesto).
• Zástupcovia používateľov samosprávy majú možnosť zadávať požiadavky priamo cez DCOM Service Desk.

Voči dodávateľom ISO/ISM

• DCOM poskytuje podporu prevádzky výhradne pre rozhrania na IS verejnej správy pre pomenovaných používateľom.
  • Dodávateľ ISO/ISM je povinný zrealizovať diagnostiku na vlastnej strane a na strane IS DCOM prostredníctvom modulu pre podporu prevádzky.
  • Dodávateľ ISO/ISM môže následne kontaktovať DCOM ServiceDesk: hlásenie musí obsahovať kompletnú diagnostiku, technický request/response – ktorý zlyhal a vedie k nasimulovaniu chyby, presný čas vedúci k dohľadaniu chyby.
  • Chyby tretích strán (IS VS integrované na IS DCOM):
    • IS DCOM sprostredkuje komunikáciu medzi dodávateľom ISO/ISM a prevádzkovateľom IS VS.

Riadenie zmien a vydaní

• Integračné rozhrania medzi IS DCOM a dodávateľom ISO/ISM sú súčasťou integračných kontraktov. Zmena rozhrania môže byť realizovaná po dohode medzi DEUS a dodávateľom ISO/ISM, alebo pri zmene vynútenej poskytovateľom zdrojových údajov.
• Z dôvodu eliminovania výpadkov poskytovaných služieb voči samospráve pri iných zmenách v rámci IS DCOM, je testovanie týchto rozhraní súčasťou regresných testov IS DCOM.

Podpora prevádzky

Pre správcov IT samosprávy a určených pracovníkov dodávateľa ISO/ISM je sprístupnený incident manažment systém DCOM. Modul podpory prevádzky, bude obsahovať potrebné pohľady pre:

• Náhľad do logov
• Monitoring biznis procesov
• Systém pre riadenie incidentov
• Monitoring prevádzky

Prostredníctvom „Modulu podpory prevádzky“, správcovia, prípadne poverení pracovníci, môžu dohľad nad zvereným systémom. V module podpory prevádzky je možnosť zadať požiadavku na L3 podporu cez tiketovací nástroj IS DCOM, podľa definovaných pravidiel pre zadávanie tiketov. V rámci modulu prevádzky bude pre pracovníkov ISO dodávateľa dostupná aj báza znalostí IS DCOM a oznamy o nasadených aktualizáciách, informácie o nedostupnosti integrácií na tretie strany, a podobne.

6.2Zabezpečenie podpory používateľov a prevádzky

Help Desk je realizovaný cez 3 úrovne podpory, s nasledujúcim označením:

• L1 podpory IS (Level 1, priamy kontakt zákazníka) – zabezpečuje DEUS
• L2 podpory IS (Level 2, postúpenie požiadaviek od L1) - vybraná skupina garantov, so znalosťou IS (zabezpečuje DEUS).
• L3 podpory IS (Level 3, postúpenie požiadaviek od L2) - zabezpečuje dodávateľ.

Definícia:

• Podpora L1 (podpora 1. stupňa) - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď.

• Podpora L2 (podpora 2. stupňa) – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3.

• Podpora L3 (podpora 3. stupňa) - Podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najobťažnejších Hlásení, vrátane prevádzania hĺbkových analýz a riešenie extrémnych prípadov.

Pre služby sú definované takéto SLA:

Služby call centra pre koncových používateľov (obce) Po – Pia 7:00 - 17:00

IaaS pre IS DCOM/Maintenance SW datacentra Po – Pia 8:00 - 16:30

Riešenie poruchy Po – Pia 7:00 - 19:00

Manažment a správa PROD prostredia/ Podpora a prevádzka modulov IS DCOM - Verejnosť Po – Ned 6:00 - 24:00, Referenti Po – Pia, 7:00 - 19:00

Prehľad očakávaného riešenia zabezpečenia podpory používateľov a prevádzky, hlavné zodpovednosti a očakávanú úroveň poskytovaných služieb:

Tabuľka 1 Prehľad riešenia zabezpečenia podpory používateľov a prevádzky

6.3Riešenie incidentov v prevádzke - parametre úrovní služby

Parametre služby riešenia incidentov v prevádzke sú špecifikované na základe určenia priority incidentu pomocou kombinácie jeho naliehavosti a dopadu podľa najlepších skúseností z praxe (best practice) z oblasti manažmentu IT služieb (  Information Technology Infrastructure Library - ITIL V3) nasledovným spôsobom:

Incident - za incident je považovaná každá nahlásená alebo inak zistená relevantná skutočnosť týkajúca sa aktíva (informačného systému) alebo jeho časti, ktorého nedostupnosť alebo nefunkčnosť má vplyv na poskytovanie služieb.

Tabuľka 1 Klasifikácia Naliehavosti incidentu

Tabuľka 2 Klasifikácia Závažnosti incidentu

Určenie priority incidentu je kombináciou dopadu a naliehavosti podľa nasledovnej matice:

Tabuľka 3 Určenie priority incidentu

Parametre služby Riešenia incidentov v prevádzke:

Tabuľka 4 Parametre služby Riešenia incidentov v prevádzke

Vysvetlivky k tabuľke

(1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L3 a jeho prevzatím na riešenie.

(2) DKVI (Doba konečného vyriešenia incidentu) - znamená čas obnovenia štandardnej prevádzky - čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu poskytovateľom podpory (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je poskytovateľ podpory oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu.

(3) Spoľahlivosť - maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident.

(4) Incidenty nahlásené verejným obstarávateľom poskytovateľovi podpory v rámci testovacieho prostredia majú prioritu 3 a nižšiu. Vzťahujú sa výhradne k dostupnosti testovacieho prostredia. Za incident v testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite.

Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby:

• Služby systémovej podpory na požiadanie (nad paušál)
• Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)

Pre tieto služby budú dohodnuté osobitné parametre dodávky.

6.4Požadovaná dostupnosť informačného systému:

6.4.1 Dostupnosť (Availability)

Dostupnosť (Availability) znamená, že dáta alebo iné zariadenie sú prístupné v okamihu ich potreby. Vyjadruje sa v percentách dostupného času. Dostupnosť znamená, že dáta sú prístupné v okamihu jej potreby. Narušenie dostupnosti sa označuje ako nežiaduce zničenie (destruction) alebo nedostupnosť. Dostupnosť je zvyčajne vyjadrená ako percento času v danom období, obvykle za rok. Pre riešenie sa vyžaduje dostupnosť 97%.

6.4.2. RTO (Recovery Time Objective)

RTO (Recovery Time Objective) je jeden z ukazovateľov dostupnosti dát. RTO vyjadruje množstvo času potrebné pre obnovenie dát a celého prevádzky nedostupného systému (softvér). V rámci projektu sa očakáva tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni

6.4.3. RPO (Recovery Point Objective)

RPO (Recovery Point Objective) je jeden z ukazovateľov dostupnosti dát. RPO vyjadruje, do akého stavu (bodu) v minulosti možno obnoviť dáta. V rámci projektu sa očakáva tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni

6.5Požiadavky na ľudské zdroje potrebné pre zabezpečenie prevádzky

Zástupca vlastníkov procesov

Zástupca kľúčových používateľov

Projektový tím

6.6Požiadavky na zdrojové kódy

Združenie DEUS získa majetkové práva k zdrojovým kódom podľa EUPL pre časti, ktoré budú preňho špecificky vyvinuté. Súčasťou zdrojových kódov budú aj komentáre, technická dokumentácia a spôsob kompilácie a/alebo zostavenia príslušných komponentov z kódu. Zdrojový kód, vytvorený počas zhotovovania, bude otvorený v súlade s licenčnými podmienkami verejnej softvérovej licencie Európskej únie podľa osobitného predpisu a to v rozsahu, v akom zverejnenie tohto kódu nemôže byť zneužité na činnosť smerujúcu k narušeniu alebo k zničeniu informačného systému. Časti riešenia a dokumentáciu, ktoré sú distribuované ako bežne distribuovaný OSS bude deklarovaný s uvedením licencie a zdroja. Pokiaľ ide o licenciu špecializovaného SW, obstaranie a užívanie špecializovaného SW sa bude riadiť štandardnými zmluvnými podmienkami dodávateľa. Požadovaná bude podrobná dokumentácia, aby bolo možná prevádzkovanie a rozvoj aj inými dodávateľmi.

7.OPIS IMPLEMENTÁCIE PROJEKTU A PREBERANIA VÝSTUPOV PROJEKTU

Výstupom projektu je funkčný, stabilný, efektívny, bezpečný systém, ktorý sa dosiahne Implementovaním projektu do prostredia DEUS. DEUS bude pri implementácii postupovať v zmysle vyhlášky 401/2023 Z.z.

Realizácia projektu bude v zmysle vyhlášky 401/2023 Z.z. pozostávať z uvedených etáp:

• Analýza a dizajn,
• Implementácia a testovanie,
• Nasadenie.

8.ODKAZY

9.PRÍLOHY

Príloha 1: Zoznam rizík a závislostí

Príloha 2: Katalóg požiadaviek