8 Řešení projektu 8.1 Enterprise architektura projektu prokázání dodržení metodik, standardů a vzorů Národního architektonického plánu veřejné správy ČR Předkládaný projekt při tvorbě technického řešení vycházel z dostupných metodik, standardů a vzorů NA VS ČR a z modelů TOGAF. 8.1.1 Zasazení projektu do čtyřvrstvé architektury V rámci návrhu projektu se vycházelo z čtyřvrstvého modelu služeb Veřejné správy ČR definovaného v dokumentu Strategie egovernmentu 2014+. Popis projektu byl dále upraven tak, aby zohlednil reálnou situaci žadatele, proto nejsou dále v dokumentu uváděny informace, které jsou jednoznačně dané zákonným postavením žadatele a které jsou obsaženy v referenčním modelu úřadu pro úroveň obec (ORP). Čtyřvrstvý model vycházel ze stanovené struktury: 1. Procesní vrstva výčet základní legislativy závazné pro systém, vnější události spouštějící procesy organizace, formy rozhraní pro přístup ke službám procesů, vnější služby poskytované procesy (asistované, neasistované), základní funkce/aktivity tvořící procesy, věcný předmět/náplň klíčových procesů/agend, role vnějších/vnitřních účastníků zapojených do procesů systému, popis vzájemné interakce v rámci interních procesů systému, výčet procesů organizace potřebných pro spolupráci s externími procesy/partnery (VS), typ a způsob realizace rozhraní pro tuto vnější spolupráci. 2. Aplikační vrstva základní aplikační funkce systému, jednotlivé aplikační komponenty/moduly a jimi nabízené aplikační služby, klíčová vlastní data systému, s kterými operují aplikace, typ a způsob interakce aplikací uvnitř systému, typ a forma integrace systému na okolní systémy, formy/standardy komunikace vedené přes aplikační a datová rozhraní sloužící pro integraci s externími aplikacemi (centrálními/lokálními). 3. Technologická vrstva základní technologické služby (základní rozdělení na sdílené/nabízené a konzumované/externě zajišťované), výčet uzlů (výpočetní/úložiště) systému a jejich vztah k technologickým službám, HW (výčet základních zařízení tvořících technologický uzel a jeho služby), výčet Základního SW (typový výčet základního SW, tzn. OS, DB, a jejich výrobci), výčet a popis technologických rozhraní pro integraci, řízení provozu a správu. 4. Infrastrukturní vrstva Infrastrukturní služby (základní rozdělení na sdílené/nabízené a konzumované/externě zajišťované), výčet síťových uzlů a jejich vztah k poskytovaným službám, výčet základních síťových prvků tvořících síťový uzel, výčet Infrastrukturního SW (typový výčet komunikačního SW, jejich výrobci), hierarchie a napojení síťových uzlů na komunikační cesty vytvářené v rámci sítí, výčet a popis infrastrukturních rozhraní pro síťovou integraci, řízení provozu, monitoring a správu systému. Navrhované řešení si klade za cíl vytvořit informační systém otevřeného úřadu, kdy bude implementována funkcionalita úplné elektronické podání pro podporu elektronické komunikace občanů s úřadem prostřednictvím životních situací a jim odpovídajících inteligentních formulářů. Pro informační servis a open data občanů bude implementován portál občana, kde bude možné dohledat stavy probíhajících řízení a další informace z agend týkajících se daného občana. Portál se stane hlavním komunikačním kanálem mezi občanem a úřadem.
Navrhované řešení zajistí sdílení dat ZR uvnitř samotného úřadu a díky propojení datových fondů obsažených v jednotlivých agendách bude dosaženo stabilní a bezpečné datové komunikační infrastruktury uvnitř úřadu. Zároveň dojde k centralizaci jednotlivých agend do jediného integrovaného AIS, který zvýší možnosti poskytovat služby egovernmentu nejen z pohledu místní úrovně, ale i z pohledu propojení jednotlivých systémů a nabídky služeb v rámci České republiky. Navrhované řešení implementuje do prostředí úřadu robustní identitní systém, který zautomatizuje životní cyklus identit zaměstnanců úřadu, umožní evidovat a řídit identity občanů, umožní autentifikaci vůči NIA (případně dalším identity providerům) a zabezpečí autorizovaný auditovaný přístup všech typů identit k jednotlivým komponentám a datům integrovaného AIS. 8.1.2 Technické řešení přehled architektury Funkce, procesy, služby veřejné správy, které budou řešením podporovány Role uživatelů řešení a komunikační rozhraní, kterými budou klienti službu veřejné správy využívat Aplikační komponenty podporující služby veřejné správy, jejich základní aplikační funkce a aplikační rozhraní na ostatní komponenty Podpora elektronické komunikace občana s úřadem portál občana, inteligentní formuláře, mobilní aplikace Automatické zpracování ÚEP v AIS Naplnění nařízení eidas pro oblast identit Podpora procesů Městské policie Občan bude aktivně komunikovat s úřadem prostřednictvím portálu občana, mobilní aplikace a životních situací v nich obsažených. Zároveň mu bude umožněno získávat relevantní informace z AIS na základě své elektronické identity Zaměstnanec úřadu bude využívat implementované interní systémy pro výkon svojí činnosti, zprostředkovaně pak informace z ISZR a dalších elektronických služeb (ISDS, ISKN, CzechPOINT atd.). Komunikační rozhraní obsahují jednotlivé části AIS. Portál občana Formulářový framework Agendy pro městskou policii Technologické komponenty a platformové (IT) služby datového centra využívané pro příslušné aplikační komponenty Technologické komponenty a služby komunikační infrastruktury využívané pro příslušné aplikační komponenty Servery (rozšíření) Datové úložiště (rozšíření) Upgrade a doplnění zálohovacího systému Páteřní síťové prvky (rozšíření) Firewally (stávající) 8.2 Přehled prvků navrhovaného řešení a jejich pozice v kontextu Enterprise a aplikační architektury úřadu a navazujících subjektů veřejné správy Protože projekt vychází z modelové situace obecního úřadu, lze pro kontext úřadu vyjít z obecně platného referenčního modelu. 8.3 Způsob využití sdílených prvků architektur úřadu a egovernmentu Architektura využití sdílených prvků architektur úřadu a egovernmentu:
Protože projekt vychází z modelové situace obecního úřadu, lze pro kontext úřadu vyjít z obecně platného referenčního modelu. Aplikační vrstva projekt bude využívat data z následujících systémů: NIA integrace na Národní identitní autoritu a potažmo alternativní Identity Providers zajistí možnost autentifikace občanů prostřednictvím jejich elektronického občanského průkazu JIP identity zaměstnanců budou z lokálního identitního systému synchronizovány do jednotného identitního prostoru zároveň s členstvím v rolích JIP pro přístup například k CzechPOINTu ISZR rozšířený agendový systém úřadu bude napojen na Základní registry pro ověřování dat v registrech ROB, ROS, RUIAN prostřednictvím lokální integrační vrstvy ZR ISDS spisová služba bude pro komunikaci s účastníky řízení, kteří mají datovou schránku, využívat rozhraní na ISDS pro příjem a vypravení písemností ISEP do centrálního informačního systému evidence přestupků budou přenášeny relevantní přestupky z AIS Aplikační vrstva a zejména agendový systém bude technologicky připraven na budoucí integraci a využití sdílených služeb egon Service Bus. Technologická vrstva projekt nebude využívat regionální ani národní datová centra. Díky moderní centralizované architektuře však bude na případné připojení datových center připraven. Komunikační infrastruktura projekt počítá s přechodem současného připojení k ISZR, tzn. připojení k ZR (VITA, espis, PROXIO), k aplikacím MD ČR (řidičské průkazy, vozidla atd.), které je realizováno přes veřejný internet, k připojení přes vyhrazenou linku KIVS. K aplikacím občanských průkazů a pasů probíhá připojení přes síť MV ČR vyhrazenou linkou KIVS již nyní.
8.4 Přehled nahrazovaných procesů a technologických prvků a začlenění navrhovaného řešení do stávajícího prostředí úřadu a egovernmentu V rámci předkládaného technického řešení nedojde k nahrazení stávajících procesů úplně jinými. Cílem projektu je rozšířit agendový systém a implementovat portál občana tak, aby každá agenda umožňovala elektronický vstup podání každá agenda umožňovala automatické vytěžení podkladů z ÚEP proces výkonu agendy byl jednotný s možností poskytování informací občanům z každé agendy bylo možné aktivně elektronicky kontaktovat účastníka řízení bylo možné poskytovat občanu komplexní reporty ze všech agend úřadu najednou S ohledem na limitovanou kapacitu žadatele bude pořízení a implementace systémů realizováno externími dodavateli. V zadávací dokumentaci VZ bude uveden seznam požadovaných parametrů a definován rozsah implementačních prací. Před vlastní implementací vznikne ve spolupráci dodavatele a zadavatele cílový koncept, kde bude popsán konkrétní způsob a rozsah implementace, postupy při realizaci, popis migrace dat.
8.5 Podrobnější architektura řešení projektu, jeho funkční a ne-funkční specifikace 8.5.1 Aplikační vrstva (AV) pohled L0 V rámci projektu dojde ke konsolidaci jednotlivých systémů do jednoho integrovaného agendového informačního systému. Architektura IS vazba základních komponent IS na procesy úřadu: Portál občana bude primárním místem komunikace občana s úřadem prostřednictvím životních situací a jim odpovídajících elektronických formulářů. Portál občana zajistí služby pro: Jednoznačnou identifikaci občana Zajištění úplného elektronického podání Zobrazení dat z IS občanovi Rozšíření agendového informačního systému městského úřadu se skládá z následujících částí: Napojení na AISEO Datový sklad Datové tržiště Integrace informačního systému MP Informační systém městské policie agenda podpoří klíčové činnosti městské policie, zejména pak průběžné sledování a vyhodnocování událostí, zpracování přestupků, zpracování událostí a přestupků přímo v terénu (mobilní aplikace), a další.
8.5.2 Aplikační vrstva (AV) pohled L1 Architektura IS vazby mezi moduly a business funkce: Portál občana Portál občana bude pokrývat jak oblast úplného elektronického podání, tak oblast pro nahlížení do informací vybraných agend. Bude rozšířen stávající agendový systém tak, aby splňoval všechny náležitosti zákona a bylo možné pomocí jednotlivých modulů zajistit ověření identity občana, zajistit mu úplné elektronické podání a zobrazení dat z jednotlivých agend a stavy podání evidovaných v systému. Pro úplné elektronické podání a následné zobrazení relevantních dat pro konkrétního občana je nutné jej nejprve jednoznačně identifikovat. V rámci eidas byl zaveden požadavek na jednotnou identifikaci občana pomocí národní identifikační autority (NIA). V rámci České republiky je požadavek na jednotnou identifikaci občana vyřešen pomocí služeb datových schránek a identifikační služby mojeid od CZ.NIC. Díky tomu bude možné v agendovém systému elektronicky identifikovat subjekt (občana) pro potřeby úplného elektronického podání a následně pro zobrazení relevantních informací v rámci Portálu úředníka. V souvislosti s jednoznačnou identifikací občana je nutné zajistit ochranu osobních údajů dle zákona. Úplné elektronické podání občana bude zajištěno pomocí formulářového systému (formulářový framework), formuláře bude možné vytvářet zakázkově nebo je může úřad vytvářet sám v návrháři formulářů. Formuláře je možné vytvářet v jazykových mutacích. Formuláře pro řešení životních situací občana budou přístupné na webovém rozhraní Portálu občana. Zde bude možné formulář online vyplnit, ověřit zadané údaje a odeslat je do agendového systému. V agendovém systému budou formuláře doručeny na elektronickou podatelnu. V podatelně mohou být ručně či automaticky zaevidovány a následně předány do spisové služby. Vyplněný formulář bude
možné jednoduše zobrazit v takové podobě, v jaké je občan odeslal. Všechny vyplněné hodnoty z formuláře se vytěží a přenesou do odpovídajících položek v rámci evidovaného dokumentu ve spisové službě. Vlastnosti formulářového systému: Formuláře budou číst potřebné údaje z propojeného datového fondu veřejné správy v režimu 24 7 Vystavené formuláře budou provádět ověřování identity žadatele v režimu 24 7 Údaje dosažitelné prostřednictvím služeb základních registrů a egon Service Busu budou čerpány touto cestou Další údaje výjimečně mohou být čerpány přímo od zdroje dat, dokud tento zdroj nezahájí publikaci dat prostřednictvím služeb ZR nebo egon Service Bus Údaje vkládané žadatelem jsou vkládány, pouze pokud již nejsou v rámci ISVS dostupné. Podání prostřednictvím formuláře bude realizovatelné s využitím informačního systému datových schránek a portálu veřejné správy. Elektronické formuláře dosažitelné na portálu umožní řešení životních situací a poskytnutí služby bez zásahu úředníka. Systém umožňuje automatické vytěžování formulářů, zadané informace ihned přejdou do příslušných informačních systémů a proces vyřizování je tak okamžitě nastartován. V rámci rozšíření agendového informačního systému městského úřadu bude realizováno rozšíření napojení na SZR o propojení na AISOE Informační systém evidence obyvatel umožní získávání nereferenčních údajů z centrálního agendového systému evidence obyvatel. Data lze získat pro již ověřenou osobu v SZR. Napojení také umožní přímé vyhledání osoby v SZR AISEO při znalosti údajů v některé z následujících kombinací: jméno, příjmení, datum narození jméno, rodné příjmení, datum narození RČ, jméno, rodné příjmení RČ, jméno, příjmení Takto vyhledanou osoby z AISEO je možné následně ověřit v SZR.
8.5.4 Technologická vrstva (TV) pohled L0 Nově pořizované informační systémy budou provozovány na stávající virtualizační platformě, která bude rozšířena o: virtualizační server datové úložiště zálohování Virtualizační platforma umožnuje spolehlivý provoz informačního systému města, je založena na moderních technologiích pro maximálně efektivní využití dostupných výpočetních prostředků, díky virtualizaci je možné provozovat celou řadu serverových systémů na stejných HW prostředcích, automatizovat procesy údržby informačních systémů a ICT infrastruktury úřadu; platforma zároveň umožní virtualizovat aplikace i samotné desktopy. Serverová virtualizace umožňuje více operačním systémům běžet na jednom fyzickém počítači jako tzv. virtuální počítače. Provoz více virtuálních serverů na jediném fyzickém serveru snižuje náklady na hardware, energii, a navíc vzniká dynamičtější IT infrastruktura.
8.5.6 Technologická vrstva (TV) pohled L1 Virtualizační platforma je základním předpokladem pro provoz informačního systému, platforma bude postavena na kombinaci moderního výkonného HW a systémového SW a bude tvořit kompletní infrastrukturu s dostatečným výkonem pro provoz modernizovaného informačního systému městského úřadu. Celý koncept virtualizační platformy bude využívat redundantní zapojení, tzn. klíčové prvky systému, budou v zapojení, kdy při poruše jednoho zařízení zajistí provoz zařízení druhé kromě vysoké dostupnosti budou také využity režimy pro load-balacing, který umožní využít zařízení s maximální efektivitou. Stávající technologie byly pořízeny z výzev IOP č. 6 a IOP č. 22, jejich kapacita a technické parametry ale nejsou dostatečné pro provoz nově pořizovaných informačních systémů, proto je nutné technologickou vrstvu posílit. Virtualizační platforma bude rozšířena o následující prvky 1x server pro virtualizaci 1x datové úložiště 2x zálohovací SW 50x klientské licence OS CAL 50x klientské licence RDS CAL 1x server OS Virtualizační platforma bude využívat stávající virtualizační software (Hyper V), který pracuje principiálně tak, že umožňuje vytvářet více instancí virtuálních serverů na jednom fyzickém serveru, v rámci tohoto projektu na vysoce dostupném clusteru, tvořeném dvěma fyzickými servery. Virtualizační platforma umožňuje virtualizaci jak aplikací, tak samotných desktopů. Součástí dodávky virtualizační platformy budou všechny nezbytné licence pro 50 uživatelů informačního systému úřadu jedná se o rozšíření stávajícího počtu uživatelů z organizací MěU na celkový počet 100 klientů. Díky virtualizaci jsou aplikační prostředí i data uživatelů lokalizována na centrálních serverech a umožňují tak jednoduchou správu, a především robustní ochranu. Zároveň toto řešení umožní prodloužení životnosti stávajících koncových stanic uživatelů a do budoucna vytvoří předpoklad pro pořizování tenkých klientů, a tedy další stupeň zvýšení bezpečnosti, ochrany dat a spolehlivosti, nehledě na ekonomické úspory při pořizování a následné správě relativně jednoduchých tenkých klientů vs. stávajících PC. Virtualizační platforma bude rozšířena o 1x nový server pro virtualizaci, který bude umístěn do stávající rackové skříně. Server bude v konfiguraci vhodné pro dostupné prostory a s dostatečným výkonem pro provoz pořizovaných technologií. Technické řešení uvažuje s univerzálním 2- procesorovým serverem v prostorově úsporné velikosti 1U. Server bude vhodný pro předpokládané použití, jako je souborový / tiskový server, web, dynamické výpočetní úlohy, virtualizaci a pro poskytování terminálových služeb. Součástí konfigurace serveru budou funkce pro pokročilé možnosti správy v celém životním cyklu serverové infrastruktury, včetně poskytování 24x7 vzdáleného monitoringu a inteligentního řešení pro systematické aktualizace serverové infrastruktury, vysoce účinného napájení a teplotních senzorů, které pomáhají přesně řídit přímé chlazení serveru a tím šetřit náklady na chlazení. Technické řešení uvažuje s 1x licencí serverového operačního systému, které umožňují nasadit neomezené množství virtuálních operačních systémů a poskytne tak dostatečně výkonné prostředí pro provoz nových IS. Pro zajištění řádných záloh virtualizační platformy bude využito rozšíření stávajícího datové úložiště, které navýší kapacitu a redundanci o min. 1,8TB.
8.5.7 Infrastrukturní vrstva (IV) pohled L1 Pro řízení provozu na síti budou využity 2x nové páteřní aktivní prvky jedná se Gigabit Ethernet přepínače, které podporují statické směrování vrstvy 3, diverzifikované služby a IPv6 přesměrování. Přepínače budou vybaveny technologií, která umožňuje sloučit několika přepínačů do jednoho logického zařízení, které zvyšuje odolnost sítě, výkon a dostupnost, a zároveň snižuje provozní složitost. Tyto přepínače poskytují přístup vysokou rychlostí (Gigabit Ethernet) a budou použity k propojení serverů a klientů, kteří právě kvůli práci na serverech (virtualizační platformě) tuto rychlost potřebují. Vysoká škálovatelnost páteřních aktivních prvků bude dále podpořena rozšiřujícími sloty, z nichž každý může podporovat min. dva porty 10GbE rozšiřující moduly to je důležité pro možné dovybavení v době udržitelnosti. Páteřní prvky budou zapojeny do jednoho virtuálního přepínače s vysokou dostupností a odolností proti výpadkům.
8.6 Stanovení úrovně dodávky služeb realizovaných projektem s dodržením minimálních požadovaných standardů Z pohledu jednotlivých skupin uživatelů lze dodávané služby rozdělit do skupin: služby občanům služby pro zaměstnance MěÚ služby pro strážníky Městské policie Typ služby Dostupnost služby Úroveň dostupnosti [rok] Maximální doba obnovení dodávky Služby občanům 24 7 95 % 4 hod Služby zaměstnancům MěÚ 5 10 95 % 3 hod Služby městské policii 24 7 95 % 3 hod Dostupnost služeb je garantována navrženým řešením, kdy je celý systém provozovaný na virtualizační platformě, zálohován na datové úložiště a dohledován pomocí monitorovacích nástrojů (bude součástí služby zajištění provozu).
8.7 Popis následné technické a technologické podpory realizovaného řešení a způsobu jejího zajištění Běžná technická podpora bude zajišťována pracovníky oddělení informatiky, kteří budou pro tuto činnost vyškoleni v rámci implementace a nasazování systémů. Technická podpora pro hardwarové komponenty projektu bude zajišťována výrobcem a pro softwarové komponenty bude zajišťována dodavatelem, na základě uzavřené smlouvy o podpoře provozu, minimálně po dobu udržitelnosti projektu. Podpora provozu podpora provozu bude rozdělena na dvě části, jednak podporu provozu ve formě základní podpory tzn. zajištění maintenance a SW aktualizací dle běžných podmínek poskytovaných výrobci zajištění základní podpory bude požadováno v rámci dodávek. Dále ve formě rozšířené podpory, která zajistí maintenance a SW aktualizace nad rámec běžných podmínek poskytovaných výrobci rozšířená podpora bude zajištěna a hrazena z vlastních prostředků příjemce dotace. Záruka a servis na systémy budou řešeny servisní smlouvou ta bude hrazena z vlastních prostředků příjemce dotace. Ta bude zahrnovat minimální rozsah daný technickou podporou a dále výměnu vadného HW minimálně po dobu udržitelnosti projektu. Vyčíslené výdaje na záruku na jakost dodaného plnění jsou způsobilé pouze v období realizace projektu. Část vyčíslených výdajů spadajících do období udržitelnosti je nezpůsobilá. Výdaje na jakýkoli servis jsou nezpůsobilé. Záruka za jakost znamená závazek prodávajícího, že dodané zboží bude po určitou dobu způsobilé pro použití ke smluvenému, jinak k obvyklému účelu nebo že si zachová smluvené, jinak obvyklé vlastnosti. Záruka za jakost je tedy dobrovolným prohlášením prodávajícího ohledně jakosti jím prodávaného zboží. Převzetí závazku ze záruky může dle Obchodního zákoníku vyplynout ze smlouvy nebo i z pouhého prohlášení prodávajícího, zejména ve formě záručního listu. Účinky převzetí tohoto závazku má i vyznačení délky záruční doby nebo doby trvanlivosti nebo použitelnosti dodaného zboží v akceptačním protokolu. Běžná záruční doba, resp. délka záruky na jakost dodaného plnění se může lišit. U jednotlivých komponent ICT systémů a HW může být standardní délka záruky od jednoho roku až po celou dobu životnosti výrobku Lifetime Warranty (typicky u vybraných networking a síťových prvků). Standardní délka záruky na jakost dodaného plnění bývá dle typu zařízení 2 i více let nebo třeba 36 měsíců s možností prodloužení. Zadavatel v zadávací dokumentaci stanoví minimální délku záruky za dílo, případně jednotlivé komponenty tak, aby tato požadovaná záruka odpovídala záruce na trhu běžně dostupné nebo běžně poskytované. Takto definovaná záruka, resp. délka záruky na jakost dodaného plnění, bude zahrnovat pouze bezplatnou výměnu hardwaru, nebo komponent (včetně ventilátorů či napájecích zdrojů). Záruka se nevztahuje na vady, způsobené běžným opotřebením při používání věci nebo další servis. Doporučená doba celkové záruky je 60 měsíců u diskových polí, serverů a klíčových síťových prvků. Záruka nad rámec výše uvedeného a servis na systémy budou řešeny servisní smlouvou a budou hrazeny z rozpočtu organizace. Ta bude zahrnovat rozsah daný případnou technickou podporou a dále profylaxe, opravy nebo výměny dobu udržitelnosti projektu nad rámec sjednané záruky za jakost. S ohledem na stávající personální zabezpečení se jako postačující jeví nastavení SLA v režimu 8x5xNBD.