Vyuzivani sdilenych sluzeb ve verejne sprave

Využívání sdílených služeb ve
veřejné správě – je to možné
Záštita
Program
9:30 - 9:40
Úvod - jak poskytovat sdílené služby ve veřejné správě -
9:40 - 10:00
Sdílené služby v eGovernmentu v České republice - Mgr.
Bohdan Urban, dříve Ministerstvo vnitra ČR
10:00 - 10:30 Jak nakupovat sdílené služby ve veřejné zakázce - JUDr. Jana
Pattynová, Pierstone
10:30 - 10:50 Jaký je skutečný dopad Zákona o kybernetické bezpečnosti na
využívání cloudových služeb - Zdeněk Jiříček, JUDr. Radomír
Valica
10:50 - 11:10 Přestávka
Program
11:10 - 11:40
Využívání cloudových služeb Microsoft je jednoduché - Dalibor Kačmář,
Václav Koudele
11:40 - 11:50
Katalog řešení Microsoft Azure v CZ - Dalibor Kačmář
11:50 - 12:05
Inspirace pro portály veřejné správy - podejto.cz - Pavel Nemrava Software
602
12:05 - 12:15
StorSimple - Dalibor Kačmář
12:15 - 12:20
Estonsko a data veřejné správy v cloudu - Zdeněk Jiříček (Digital Embassy)
12:20 - 12:25
Město Záhřeb - OpenData - Zdeněk Jiříček
12:25 - 12:30
ZKB v praxi = SIEM v Azure - Ing. Petr Pavlinec
12:30 - 12:50
Zkušenosti s využíváním cloudových služeb v zahraničí a jejich porovnání
Prof. Jiří Voříšek, Vysoká škola ekonomická Praha
12:50 - 13:15
Panelová diskuze: Jana Pattynová, Bohdan Urban, Jiří Voříšek, Radomír
Valica, Petr Pavlinec, Zdeněk Jiříček
Sdílené služby v eGovernmentu v
České republice
Mgr. Bohdan Urban
Praha, 29/04/2015
Jasná terminologie
Cloud – co je a co není
… it is cheaper, more reliable, infinitely scalable, instantly adaptable …
Hybridní cloud
• Mix tzv. on-premise a
veřejných cloudových
řešení
• Reakce na nepochybné
úspory z cloudu a obav
ze ztráty dat
?
X
=
Cloud veřejné správy
• Sdílené služby informační
společnosti
• Platformově a provozně
neutrální
• Kombinace stávajících a nově
budovaných AISů
… je hybridní cloud jedním z možných řešení pro ICT veřejné správy ?…
Zahraniční zkušenosti
Cloud ve veřejné správě – situace v USA
USA
SERVICE MODELS
FEDERAL CLOUD
COMPUTING STRATEGY
(Feb 8th, 2011)
Cloud Software as a Service (SaaS)
Cloud Platform as a Service (PaaS)
Cloud Infrastructure as a Service (IaaS)
Zahraniční zkušenosti
Cloud readiness – situace v USA
… připravenost sektoru k přechodu na cloud jako součást strategie…
•
•
•
•
Soulad se zákony, předpisy, standardy a požadavky státu
Definice veřejného zájmu na ochraně datasetů
Ochrana dat proti riziku náhodného a zločinného přístupu k nim
Jistota, že data jsou autorizovaná, úplná
a správná
• Politiky kontroly virtuálního i fyzického
přístupu k datům a jejich implementace
• Pravidla zajišťující, že poskytovatelé
cloudových služeb jsou transparentní,
mají odpovídající bezpečnostní a
manažerskou kontrolu a poskytují
dostatečné množství informací pro
posouzení úrovně této kontroly
Situace v ČR
Prostor pro cloud ve veřejné správě
Buduj(e)me cloud v ČR
Cloud v ČR – aktuální situace
Strategie pro oblast
cloudu
• Zmíněno v SRRVS
• Definice připravenosti
pro přechod na
cloudová řešení chybí
Ekonomická výhodnost pro
přechod na cloud
• Ovlivněno čerpáním ESIF
• Motivace pro přechod na
veřejný cloud ovlivněna
investicemi do DC 15/85 %
Příklady přechodu do
cloudu v ČR
• ESS (PilsCom)
• Publikační modul ISVZ
• Portál podejto.cz
• Test CRŘ (MD ČR) …
Možné příklady přechodu
ISVS do cloudu v ČR
• Portál veřejné správy
• ISoISVS
• ISDP
• Obecně systémy bez OÚ…
… Zásadní překážkou je absence Katalogu SIS a definice podmínek přechodu …
Buduj(e)me cloud v ČR
Cloud v ČR –porovnání s požadavky USA
Soulad se zákony, předpisy,
standardy a požadavky státu
Definice veřejného zájmu na
ochraně datasetů
• Zákon č. 365 umožňuje
správci definovat provozní
model
• Zákony č. 365 a č. 101 činí
správce i v případě cloudu
odpovědnými za integritu
dat
• Standard / vzorový
provozní model chybí
• Migrační roadmap chybí
• Zákony č. 365 a č. 101
stanovují, že správce i v
případě cloudu jsou
odpovědnými za definování
citlivosti a ochrany
• Standard / vzorový model
vyhodnocování veřejného
zájmu a ostatních kritérií
chybí
Buduj(e)me cloud v ČR
Cloud v ČR –porovnání s požadavky USA
Ochrana dat proti úniku
Jistota stran konzistence
datových sad
•
•
•
•
•
•
• Self-cleaning mechanismus
a jeho zákonné zakotvení
• Zálohování
• Migrace (při přesunu do
cloudu, v průběhu cloud
computingu…)
Smluvní ujednání
Praktické zabezpečení
Definovaná úroveň (SLA)
Kontrola
Soulad s předpisy ČR i EU
Vymahatelnost nápravných
opatření / odškodnění
Buduj(e)me cloud v ČR
Cloud v ČR –porovnání s požadavky USA
Politiky kontroly virtuálního
i fyzického přístupu k datům
Policies ohledně poskytovatelů cloud computingu
• Obecné standardy (best
practicies)
• Možnost projednání s
ÚOOÚ při pochybnostech
• Maticové řízení oprávnění
• Pravidla fyzického zajištění
přístupu v souladu se
standardy EU
• Řešeno ad hoc
• Vyhodnocení
důvěryhodnosti partnera je
v zájmu správce
• Důvěryhodnost / kvalita
partnera není řešena
Buduj(e)me cloud v ČR
Cloud v ČR –porovnání s předpoklady USA
Situace v ČR
• Nepopsáno
• Víceméně
shodný stav
• Víceméně
shodný stav
Buduj(e)me cloud v ČR
Specificky české problémy
…strategie, implementace – ale vydefinování pojmů, zahrnutí nových trendů…
Analýza a vydefinování
pojmů v českém prostředí a
jejich legislativní zakotvení
Dotažení stávajících aktivit
ve vzájemném vztahu s
cloud computingem
• Nové možnosti poskytování
služeb (SecaaS, …)
• Analýza konkurenčního
prostředí
• Trendy v ochraně os. dat
•
•
•
•
CMS 2.0
Implementace kyberzákona
eIDAS
Atomizované agendy
… blýská se (z) cloudu na časy ???…
Buduj(e)me cloud v ČR
Specificky české problémy
… strategie, implementace – ale hlavně odstranění předsudků a obav …
Udržitelnost investic do DC
z ESIF
Zajištění vymahatelnosti
práv správce v případě
cloud computingu
• Business case vč. obnovy,
utilizace atd. – 5ti leté TCO
• Analýza kapacit privátního
cloudu a reálných potřeb
• Dlouhá, ale poctivá cesta
spolupráce soukromého a
veřejného sektoru
• Judikáty, stanoviska …
… blýská se (z) cloudu na časy ???…
Buduj(e)me cloud v ČR
Next steps…
… k diskusi…
Rámcový harmonogram
• Základní koncepce rozvoje cloudu
• Legislativní analýza v návaznosti na koncepci
• Pilotní projekty
• Legislativní zakotvení transparentní úpravy řetězce konektivitainfrastruktura-aplikační infra-aplikace-data-uživatel (standard)
• Standardizovaný obsah SLA
• Zakotvení pravidel certifikace a auditní zprávy od třetí strany nebo
pro přímý audit dodavatele zákazníkem
Děkuji za pozornost!
?
Mgr. Bohdan Urban
[email protected]
[email protected]
Mgr. Jana Pattynová, LL.M.
Nákup cloudových řešení
Vzorová zadávací dokumentace
29. duben 2015
Vzorová ZD
1. Jak lze vzorovou ZD použít?
 ZD obsahuje právní i technické části
 Připravena formou příkladu parametrů nákupu, konkrétní
parametry musí být upraveny podle potřeb zadavatele,
přiměřeně k požadované zakázce
 Vhodná pro IaaS a PaaS
 Zahrnuje související služby (technická podpora, počáteční
školení)
Vzorová ZD
2. Specifika cloudových služeb





Předmět plnění a technická specifikace
Škálovatelnost
Kvalifikační kritéria
Hodnotící kritéria
Soulad se zvláštními zákony (osobní údaje, kybernetická
bezpečnost)
Vzorová ZD
3. Cíle zadavatele
Příliš specifické požadavky
zadavatele vycházející z jeho
zkušeností s konkrétním
produktem či službou mohou
vyústit v nedodržení
zákonných požadavků
Snaha vyhovět zákonným
požadavkům bez dostatečné
specifikace plnění má na druhou
stranu častokrát za následek to, že
zadavatel získá plnění, které zcela
nevyhovuje jeho skutečným
potřebám
→ Účelem ZD je poskytnutí návodu k tomu, jak optimálně nakoupit cloudové
služby při dodržení všech zákonných omezení
Vzorová ZD
4. Definování parametrů nákupu
Předmět
plnění
Stanovení
rámcového
rozsahu
plnění
Požadavky
na právní
rámec
Požadavky
na
uchazeče
(kvalifikační
kritéria)
Hodnotící
kritéria
Předmět plnění
5. Věcné vymezení – výpočetní výkon

Předmětem plnění u IaaS a PaaS je výpočetní výkon
Např.: „Služby cloud computingu, tj. poskytnutí škálovatelného
výpočetního výkonu, diskové kapacity a dalších aplikací jako služby
způsobem umožňujícím vzdálený přístup prostřednictvím sítě Internet. “
Podrobnosti je vhodné řešit odkazem na technickou specifikaci: samostatný dokument, který bude
přílohou zadávací dokumentace a který obsahuje veškeré relevantní technické parametry; tento
dokument může IT oddělení zadavatele připravit relativně nezávisle na zbývajícím textu ZD
Předmět plnění
6. Technické parametry

Je třeba vyspecifikovat všechny parametry, které mají přímý vliv na
hodnotící kritéria, zejména na cenu
Využitý
výkon


Minimální
konfigurace
serverů
Počet
oprávněných
uživatelů
Výčet
platform/
funkcí/
služeb, které
mají být
podporovány
ZD předpokládá cca 20-30 parametrů
Tyto požadavky není možné dodatečně doplňovat, avšak ani snížit
→ vybrané plnění je musí naplnit beze zbytku
Předmět plnění
7. Technická podpora

Součástí předmětu plnění bude zpravidla i technická
podpora; je nutné definovat požadavky na poskytování
související technické podpory, např.:
– Telefonická podpora a v případě nutnosti on-site
podpora poskytována v českém jazyku alespoň v pracovních
dnech od 9:00 do 17:00, jinak v anglickém jazyku
– Reakční časy v závislosti na typu technického problému
(závažný problém znemožňující užívání plnění – do 15 min.,
závažný problém umožňující omezené užívání plnění – do 4
hodin, jiný problém – do 24 hodin
Rozsah plnění
8. Škálovatelnost vs. požadavky ZVZ
Podpora
konkrétních
řešení
(konkrétní
potřeba)
Bez rámcové
smlouvy maximální
rozsah
výpočetního
výkonu, čerpání
dle potřeby
+ opční právo
30%
Podpora
budoucích
nespecifikova
ných řešení
(předpokláda
ná potřeba)
Rámcová
smlouva –
čerpání dle
potřeby na
základě
prováděcích
smluv
+ opční právo
30%
Rozsah plnění
9. Škálovatelnost bez rámcové smlouvy
Rámcový
rozsah plnění
v technické
specifkaci

Základní
(maximální)
rozsah plnění
(uveden v ZD)
Hodnocená
nabídková
cena
Rozsah plnění
na základě
opčního práva
Max 30%
rozsahu
veřejné
zakázky
Zadavatel nemusí určit přesný rozsah služeb, který vyčerpá- lze
určit rozsah maximální, který uchazeč nacení a který poté
zadavatel čerpá dle potřeby
Rozsah plnění
10. Škálovatelnost u rámcové smlouvy
Rámcový
rozsah plnění
v technické
specifkaci

Spotřební koš
Hodnocená
nabídková
cena u
jednotlivých
položek
Rozsah plnění
na základě
opčního práva
Max 30%
rozsahu
veřejné
zakázky
Zadavatel nemusí určit přesný rozsah služeb, který vyčerpá- lze
určit rozsah maximální, který uchazeč nacení a který poté
zadavatel nemusí v plné míře čerpat
Právní rámec
11. Smluvní podmínky


Závazný návrh smlouvy
Výčet povinných ustanovení: ustanovení, které musejí být v návrhu
předloženém uchazečem obsaženy a se kterými nemůže být zbývající obsah
smlouvy v rozporu
– Např. ustanovení týkající se trvání smlouvy, odpovědnosti za plnění, požadavků na
fakturaci, ustanovení o ochraně důvěrných informací

Vzorová ZD preferuje výčet povinných ustanovení
Právní rámec
12.Škálovatelnost - čerpání dle potřeby

Zadavatel by si měl vždy vyhradit právo platby pouze za
skutečně poskytnuté služby
– Platba by měla být prováděna zpětně na základě vystavených
faktur, případně formou kreditu a následné korekce

Zadavatel by si měl dále výslovně vyhradit právo
nevyužít poptávané služby v plném rozsahu (zejména
nejedná-li se o rámcovou smlouvu)
Právní rámec
13. Soulad se zvláštními zákony
Nejdůležitější
předpisy
Zákon o ochraně osobních údajů, č. 101/2000 Sb.
Zákon o informačních systémech veřejné správy, č.
365/2000 Sb., a prováděcí vyhláška č. 529/2006 Sb.
Zákon o kybernetické bezpečnosti č. 181/2014 Sb., a
prováděcí vyhláška č. 316/2014 Sb.
Právní rámec
14. Osobní údaje

Součástí smluvní dokumentace bude téměř
bezvýjimečně i smlouva o zpracování osobních údajů,
v rámci které by se měl dodavatel zavázat k:
– Naplnění veškerých požadavků dle ZOOU
– Dodržování odpovídajících technických a organizačních opatření
– Naplnění dodatečných požadavků, které vyplývají např.
z rozhodovací praxe UOOU a které lze pro zajištění zákonnosti
legitimně požadovat
• Např. zákaz data mining, povinnost předložit podepsané standardní
smluvní doložky dle rozhodnutí Komise v případě transferu do třetích zemí
Právní rámec
15. Kybernetická bezpečnost

Dle rozhodovací praxe UOHS není obecně možné v rámci technické kvalifikace uchazečů
požadovat předložení ISO certifikací
–

Např. zákon o kybernetické bezpečnosti, č. 181/2014 Sb. a prováděcí vyhláška č. 316/2014
Sb.
–

ALE! výjimka se může uplatnit na základě zvláštních zákonů
Povinná osoba splňuje požadavky na zavedení bezpečnostních opatření podle zákona a
vyhlášky, byl-li její systém zcela zahrnut do rozsahu systému řízení bezpečnosti informací,
který byl certifikován podle ISO 27001
V takových případech je obhajitelné požadovat dodání certifikací prokazujících soulad se
zákonnými požadavky
–
tento požadavek je v takovém případě nutné zahrnout k technické specifikaci plnění
–
nutno ověřit, že předložená certifikace se vztahuje k předmětu plnění (prohlášení o
aplikovatelnosti)
–
zadavatel by měl akceptovat i jinou rovnocennou certifikaci
Kvalifikace
16. Technické kvalifikační předpoklady

Požadavek na zkušenosti dodavatele s obdobnými
dodávkami
– Hodnotu referenční dodávky je nutné určovat s přihlédnutím
na poptávané plnění, příliš vysoká hodnota by mohla
působit diskriminačně
Příklad: pokud je odhadovaná hodnota plnění 5.000.000
Kč, měla by požadovaná výše referenčních nabídek být
např. 2.500.000 Kč, nikoliv např. 10.000.000 Kč

S ohledem na striktní rozhodovací praxi ÚOHS je
důležité oddělení hodnoticích kritérií na plnění od
kvalifikačních předpokladů – kvalifikační předpoklady
nelze hodnotit!
Kvalifikace
17. Kvalifikace týmu
 Požadavek na minimální kvalifikaci osob, které budou odpovědné za
poskytování služeb
– Rámcově např. 3-5 osob na pozicích vedoucího projektu, síťového
specialisty, systémového specialisty., apod.
– Např.: Systémový specialista
• Ukončené vysokoškolské vzdělání nebo středoškolské
vzdělání; praxe v ICT minimálně 3 roky; prokazatelná znalost
cloudové platformy totožné s platformou nabízenou
Uchazečem v rámci tohoto zadávacího řízení; praktické
zkušenosti s implementací a konfigurací cloudové platformy
totožné s platformou nabízenou uchazečem v rámci tohoto
zadávacího řízení
Hodnocení
18. Ekonomická výhodnost vs. cena
Ekonomická
výhodnost
nabídky
Nejnižší
nabídková
cena
Vzhledem ke komplexitě cloudového plnění a velkým odlišnostem v technických a
bezpečnostních standardech konkrétních produktů doporučujeme zohlednit některé
parametry služeb v hodnotících kritériích. Minimálně 60% by mělo vždy připadnout
na nabídkovou cenu.
Hodnocení
19. Dílčí hodnotící kritéria

Při stanovování dílčích hodnoticích kritérií je nutné vycházet
z konkrétních potřeb zadavatele, obecně je však možné doporučit
využití např. těchto dílčích hodnoticích kritérií:
Cena
Georedundance
datových center
Úroveň
technického
zabezpečení
datových center
60%
10%
10%
Za výhodnější bude
považováno plnění, jehož
zabezpečení je
certifikováno důvěryhodným
auditem
Dodatečná
funkcionalita
nad rámec
technických
požadavků na
předmět plnění
20%
Hodnocené formou
přirazení bodů za jednotlivé
podporované funkce /
služby
20.Hlavní body


ZVZ nákupům IaaS ani PaaS nebrání
Škálovatelnost
– Max. rozsah plnění a čerpání dle potřeby
– Rámcová smlouva

Zohlednění požadavků dle zvláštních zákonů
– Povinné osoby dle ZKB mohou požadovat ISO 27001 nebo
rovnocenný certifikát

Doporučené hodnocení
– Ekonomická výhodnost nabídky (60% nabídková cena + další
dílčí kritéria)
Vzorová zadávací dokumentace je dostupná na:
http://pierstone.com/vzorova-zd-na-cloudove-sluzby-duben-2015/

Vedoucí kancelář v oblasti práva technologií ve střední a východní Evropě.

Spolu s kancelářemi v Londýně, Bruselu a Moskvě jeden z největších právních týmů
zaměřených specifické aspekty práva TMT v Evropě

Poskytuje poradenství na komplexních technologických dodávkách EU, organizacím jako NATO
či ENISA a vládám a orgánům státní správy ve více než 27 zemích

Pro více informací: www.pierstone.com
KONTAKT
Jana Pattynová
Na Příkopě 9
110 00 Praha 1
+420 777 738 040
[email protected]
Cloud
a kybernetická
bezpečnost
Zdeněk Jiříček
Microsoft Česká republika
JUDr. Radomír Valica
Národní bezpečnostní úřad
42
43
Požadavky na bezpečnost, integritu, dostupnost, interoperabilitu služeb
ISVS: NE
2.
Aplikační
služby VS
SaaS
3.
Technolog.
centra
PaaS
IaaS
4.
Komunik.
infrastruktura
Housing
Komunikace
Email, kalendáře,
voice/video conf.,
HR, finance, majetek
Multi-tenant
ISVS: „pro sebe“
ISVS:
„pro všechny“
<<Radnice>>
Místní agendy
Spisová služba
Multi-tenant
Zákl. reg., ISDS
ISKN, St. pokladna
Editační AISy
Pref. single-tenant
KIVS
44
• Vyhláška o KB č. 316/2014 Sb. následuje postupy ISO/IEC 27001
ISO/IEC 27001:2013
45
„VIS“ – pouze odst. (1)
„KII“ – dále odst (2) b
„KII“ – dále odst. (2) a, c
Zavedení pravidel pro dodavatele
pro potřeby řízení bezpečnosti
informací
Smlouva zahrnuje způsoby a úrovně
bezp. opatření a vztah odpovědnosti za
jejich zavedení a kontrolu
Pravidelné hodnocení rizik služeb (příp. i
před uzavřením smlouvy); Kontroly
zavedených bezp. opatření
Dokumentace smlouvou, jejíž
součástí je ustanovení o bezpečnosti
informací
Microsoft: „OST“ obsahuje seznam
opatření a závazek cert. ISO 27001
Microsoft: audit řízení rizik dle Přílohy 2:
Microsoft splňuje „Podmínkami pro
služby online - OST“:
oddíl „Podmínky ochrany osobních
údajů a zabezpečení“ – součást
písemné smlouvy
1. Svoji „Bezpečnostní politiku“
Pozn. OST = Online Services Terms
Microsoft dá k dispozici povinné osobě:
2. ISO 27001 certifikát (online výpis)
3. ISO 27001 prohlášení o
aplikovatelnosti (výčet opatření)
4. ISO 27001 auditní zprávu, a na
vyžádání SOC 1 & 2 audit. zprávy
Povinná osoba zapracuje do svojí
bezpečnostní politiky
1. Metodika hodnocení rizik, včetně
proměnných a jejich úrovní
2. Min. seznam hrozeb a zranitelností (§4)
3. Závazek včasného řešení vyšších úrovní
výsledných rizik
4. Pravidelnost procesů hodnocení rizik a
hierarchie jejich akceptace
Kontrola účinnosti zavedených bezp.
opatření auditními zprávami ISO 27001 a
SOC 1 & 2 Type 2
46
Standard - certifikace
Office 365
Dynamics Microsoft
CRM
Azure
ISO 27001:2013 (+ ISO 27018)
Ano
Ano
Ano
Ano
Ano
Ano (jen ISO 27001)
Standardní smluvní doložky EU,
ověřen „soulad“)
Ano
Ano
Ano
Ano
Ne
Ano
EU Safe Harbor
Ano
Ano
Ano
Ano
Ano
Ano
PCI DSS (Payment Card Industry
Data Security Standard)
N/A
N/A
Ano
N/A
N/A
Ano
Ano
Ano
Ano
Ano
Ne
Ano
Ano
Ne
Ano
Ano
Ne
Ano
UK G-Cloud
Ano
Ano
Ano
Ne
Ne
N/A
FedRAMP (US) (Moderate)
Ano
Ne
Ano
Ne
Ne
Ano
FERPA (US – Education)
Ano
N/A
Ano
N/A
Ano
N/A
HIPPA/BAA (US - Healthcare)
Ano
Ano
Ano
Ano
Ne
Ano
IPv6
Ano
Ne
Ne
Ne
Ne
N/A
CJIS (US - Criminal Justice)
Ano
Ne
Ne
Ne
Ne
N/A
SOC 1 Type 2 (Service
Organization Controls - SSAE
16/ISAE 3402)
SOC 2 Type 2 (AT Section 101)
Windows
Intune
Yammer
GFS (Global Foundation Services
– infrastruktura datových center)
47
48
Děkujeme za pozornost
Přestávka
Využívání cloud služeb je jednoduché
Václav Koudele & Dalibor Kačmář - Microsoft
Privátní cloud
Microsoft Cloud Platform System
Privátní cloudové
prostředí
připravené pro
vhodnou integraci
s vaším interním
prostředím
Snadná možnost
integrace na
veřejné cloudové
služby
Microsoft cloud služby
Produktivita
Platforma
Správa zařízení
Business řešení
Aplikační ekosystém
Hybridní cloud
Privátní cloud
Hybridní cloud
Datovémožnost
Cloud
podle potřeby
centrum
bez
hranic
Microsoft Azure
Windows Server
Neustálánáklady
Snížené
a složitost
inovace
Veřejný cloud
Dynamické
Rychlá
reakce na
požadavkyaplikací
doručení
Microsoft SQL Server
Microsoft System Center
Microsoft Azure
UNIFIED PLATFORM FOR MODERN BUSINESS
Automatizované
Elastické
Spravované zdroje
Založeno na spotřebě
Windows
Windows
Phone
Native
iOS
Native
Android
HTML5/
Javascript
Xamarin
iOS & Android
Prvotřídní
e-mail
HD video
konference
Plus
Desktopové aplikace Office
Office Online
Mobilní Office
Sdílení
souborů
Přístup
odkudkoliv
Jednoduchá
IT správa
Technická
podpora
Finančně
garantované
SLA
Výkon podle potřeby
• Rostoucí agenda
• Část dne/měsíce/roku
Geografická dostupnost
• Aplikace úřadů
• Zkušenost občanů
Vysoká dostupnost
• Spolehlivost IT
• Přístup odkudkoli
Krátká životnost
• Granty, žádosti o
podporu
• Průzkumy
Mobilita a přístup
• Mobilní zaměstnanci
• Externí dodavatelé
Data a zálohování
• Zálohování dat
• Dlouhodobá archivace
dat
Řízení identity
• Jednotná identita
• Více-faktorové
ověřování
Infrastrukturní ochrana
24 hodinové monitorování fyzické bezpečnosti
Bezpečné multi-tenantní prostředí
Firewally
Procedury pro záplatování
System monitoring a logování událostí
Antivirus/antimalware ochrana
Prevence a detekce možných průniků
Forenzní procesy
59
Ochrana dat šifrováním
Data v tranzitu
uživatel - cloud
Data v tranzitu
mezi datovými
centry
Protokol SSL/TLS
Asymetr. šifra 2048 bit
Nově: Perfect Forward
Secrecy
Perfect Forward Secrecy
Exchange online
podporuje S/MIME, PGP
Bitlocker AES 256 ochrana proti krádeži a
při likvidaci disků
Chybné disky ničeny v
datacentru (NIST 800-88)
Skype call: AES 256
Exchange Online na jiné
email servery: TLS by
default
Data v bezpečí
ukládání, zálohování a obnovení
3 kopie dat
ve 2 DC
Azure Storage
10 bilionů objektů
Export/
Import dat
Lokální data
se zálohou
Záloha dat
serverů
SQL Server
záloha
Article 29 Data Protection Working Party
Asociace národních úřadů pro ochranu
osobních údajů zemí EU:
Vyjádření z 2/4/14 k Microsoft „Enterprise
Enrollment Addendum Microsoft Online
Services Data Protection Agreement“, a
jeho Annex 1 „Standard Contractual
Clauses“
Závěr: po projednaných změnách budou
Standardní smluvní doložky v souladu s EC
Decision 2010/87/EU, a nemusí být již
posuzovány jako „ad hoc“.
http://ec.europa.eu/justice/data-protection/article-29/documentation/otherdocument/files/2014/20140402_microsoft.pdf
Vyjádření ÚOOÚ z 28/4/14
„Vyjadřuji se tímto k produktům,
poskytovaným společností Microsoft
formou služby (SaaS)....“
„ÚOOÚ potvrzuje, že výše uvedený
smluvní model služeb (EA) splňuje
požadavky kladené zákonem o
ochraně osobních údajů na předávání
osobních údajů do jiných států,
včetně zemí mimo EU...“
Výhody Microsoft Azure pro veřejnou správu
Žádný „velký třesk“
Většinou se jedná o kombinování se stávajícím datovým centrem
Životní cyklus HW (ale i SW) vyžaduje periodicky jejich obměnu - tehdy zvážit, zda nepřejít na pronajatou službou
Eliminuji investiční rozpočtové špičky do ICT
Hradím ICT prostřednictvím neinvestičních plateb za službu
Výhody Microsoft Azure pro veřejnou správu
„Nestárne mi železo“.
Neřeším problematiku majetkové a účetní evidence.
Nemusím odpisovat a vyřazovat majetek.
Neustále vím, kolik mě stojí „virtuální datové centrum“.
Nekupuji serverové hračky kterým nerozumím.
Nezavazuji se k ničemu dlouhodobě.
Knihovna scénářů
Provoz nárazově využívaných systémů
Co
Veřejná správa provozuje velké množství nárazově využívaných systémů, které vyžadují
extrémně vysoký výkon v krátkém období, jinak jsou buď zcela nevyužívány, nebo
využívány sporadicky. Příkladem je systém Státních maturit, IS pro žádost o různé dotace,
portál ČHMU přetížený v době povodní, nebo systém na elektronické daňové přiznání.
•
•
Proč
Microsoft
Řešení
Reference
•
•
Prostředí pro provoz aplikací vytvořené v Microsoft Azure lze
přizpůsobovat výkonovým a kapacitním potřebám sdíleného systému.
Vysoký, nebo nízký výkon prostředí lze řídit buď podle časového plánu,
nebo je aplikace napsaná tak, že umí využívat možnosti automatického
zvyšování, nebo snižování výkonu dle potřeby.
Platíte se jen za skutečně spotřebovaný výkon a kapacitu a tím se
dosahuje výrazné úspory nákladů.
Systémy optimalizované pro provoz v MS Azure umí automaticky
spouštět vyšší výkon (když to je potřeba) a naopak výkon snižovat,
pokud nejsou zatíženy požadavky uživatelů.
IaaS, PaaS, SaaS, vhodný návrh architektury v prostředí MS Azure umožní požadované
škálování a řízení potřebného výkonu a kapacity.
Věstník veřejných zakázek (MMR), Sochi Olympic Games, Romania Mo Education, UK Environment Agency – Flood Alerts, UK
Met Office Weather, CrisisNL – Netherlands Emergency Response Site.
• Systémy mají vždy
dostatek výkonu a
kapacity
• HW mi „neleží
ladem“
• Platím jen za to co
spotřebuji
• Není potřebná
vysoká investice
pro start
This site is very visible to the public, and any downtime
generates bad press. With the site running on Windows
Azure, we earn the public’s confidence.
Ministry Creates National Cloud
Service to Ensure Top Performance
of Exams Website
Daniel Petru Funeriu, Minister, Romanian Ministry of Education,
Research, Youth, and Sports
Business Challenges
Solution
Every year, approximately
200,000 Romanian eighthgraders submit their high
school choices. The ministry
did not have sufficient
hardware infrastructure to
properly support peak traffic
loads to the site where choices
were announced.
With the virtually unlimited
compute power made available
by using Windows Azure,
SIVECO was able to upgrade
the site from a static to a
dynamic architecture
Real Impact for a Better Tomorrow
Customer Results / Benefits
Cost-Effective Performance Scalability
Improved Reliability and Availability
HOME
READ THE FULL CASE STUDY
Provoz kritických aplikací
Co
V případě mimořádné situace (požár budovy, povodně, jiné živelné pohromy), která vyřadí
z provozu Váš informační systém (vaše datové centrum) je potřeba rychle zprovoznit
záložní instanci Vašeho informačního systému. Je potřeba rychle zajistit alespoň provizorní
činnost informačních systémů a činnost úřadu.
•
•
Proč
Microsoft
•
•
Řešení
Reference
Nemusíte investovat do vlastního záložního datového centra v jiné
lokalitě.
Namísto neefektivně vynaložené investice si můžete koupit
„virtuální datové centrum“.
Toto datové centrum nemusí být stále v plném provozu, servery se
zapínají jen pro synchronizaci dat, nebo v případě výpadku
primárního systému.
Platíte jen za to co spotřebujete, především za dobu, kdy běží
záložní systém.
IaaS, PaaS, SaaS, V Microsoft Azure vytvoříme záložní instanci vašeho krizového informačního
systému (nebo jeho požadovaných částí). „Ostrá“ data z vašeho informačního systému budou
synchronizována tak, aby byla připravena ke spuštění v případě výpadku primárního systému.
ČEPS - Mainstream
• I v kritické situaci
máte funkční vaše
kritické systémy
• Zásadní zvýšení
dostupnosti a
spolehlivosti
• Platím jen za to co
spotřebuji
• Přistupuji
odkudkoliv
Tax Service, Mexico
Mexico | SAT
“Windows Azure
was the most
mature, most
comprehensive
cloud technology
out there.”
-Antonio Obregon,
Architect at SAT
Unique capabilities and expertise
Strong collaboration
Reduced costs
Flexibility and scalability
674,755,467
Electronic invoices
received from January
2011
Mexico SAT
514,222
Bills received at the peak
of the day
MICROSOFT CONFIDENTIAL / FOR INTERNAL USE ONLY
Testovací a vývojové prostředí
Co
Testovací prostředí pro provoz testovácích aplikací je nedílnou součástí dodávky většiny
aplikačních projektů. Tento mnohdy opomíjený krok skýtá různá úskalí jak finančního tak
technologického rázu. Microsoft Azure tato úskalí výrazně minimalizuje.
•
•
•
Proč
Microsoft
Řešení
Reference
•
•
•
•
•
•
Všechna předprodukční prostřední na jednom místě
Spouštění úloh, testů, prostředí KDYKOLIV na vyžádání
Jednoduchá propagace aplikace uživatelům, testerům
Nečekám na HW, okamžitě testuji
Jednotící platforma mezi týmy na projektech
Možný hot-swap test prostředí na produkci
Možný monitoring aplikace přes System Center SCOM
Prostředí možno zřídit přímo z VS přes Test LAB
HW dodavatel mě NEPŮJČÍ 40 core server na 2 hodiny testů
• Min. investice HW a
SW
• OBROVSKÁ podpora
ostatních platforem
• Podpora VS i Eclipse
• Kompletní ALM
Testovací prostředí KD a DD / převod části DEV prostředí.
• Azure zdarma z
MSDN
NFM Hungary, MoFA Poland,
• Neřeší se bezpečnost
Konkrétní příklad
Provoz aplikace před nákupem HW infrastruktury
Co
Proč
Microsoft
Řešení
Reference
Pokud úřad spouští aplikaci, u níž neumí předem odhadnou její výkonové požadavky na
HW infrastrukturu, může využít možnosti provozu ve virtuálním prostředí v Microsoft
Azure. Snadno tak zjistí díky zkušenosti z provozu, jak dimenzovat a jak vysoutěžit
potřebnou HW infrastrukturu
• Vytvořím si optimální prostředí pro provoz
• Zákazník platí pouze za skutečné využití výkonu virtuální
infrastruktury
• Provozní, testovací, vývojové nebo školící prostřed
• Windows Server, SQL Server, SharePoint, Oracle, Linux U…
• Vytváření virtuálních strojů v Azure
• Virtualizace lokálních serverů a přesun do Azure
• Minimalizace požadavků na pořizovací investice do IT
systémů
•
•
•
•
•
IaaS, PaaS,
•
NFM Hungary
Neinvestuji zbytečně do
nepotřebného HW
Eliminuji výkonové
přetížení vlastního HW
Není potřebná vysoká
počáteční investice do
infrastruktury
Vysoká spolehlivost a
dostupnost
Vysoká bezpečnost
odpovídající
požadavkům závazné
legislativy
Platím jen za to co
spotřebuji
Situace:
Realizuji projekt „Nový portál města“
Díky odvolání jednoho z uchazečů, došlo ke
zpoždění veřejné zakázky, kterou jsem měl
nakoupit „železo“ pro provoz nového portálu.
Zákazník
• Potřebuji prostředí pro provoz IS, nemám HW
zdroje
Dodavatel
• To není žádný problém
• můžete nakoupit:
• prostřednictvím uzavřeného EA
• Pay As You Go
• Open Licensing Program
• Pozor na Exit strategii
• Dle poptávky je cena 150.000,- Kč ročně
Zákazník
• Objednávám prostřednictvím objednávky
• na dobu jednoho roku
• není to potřeba soutěžit, jedná se o VZMR, udělám
standardní průzkum trhu
Dodavatel
• Aktivace a nastavení Azure
• Jak začít…
• Jaká úskalí:
• musím zavést identifikační údaje správce
• založit obecného správce s univerzálním ID
• V EA mohu měřit i spotřebu
Zákazník
• Vytvářím si IaaS a PaaS pro potřeby IS
Dodavatel
• Zasílám měsíční vyúčtování služby
Zákazník
• Rozhoduji se co dále
• Varianta A – mažu prostředí v MS Azure a migruji svoje
data na nově nakoupené „železo“
• Varianta B - soutěžím veřejnou zakázku na dodavatele
cloudových služeb dle mé specifikace
Jak začít s cloudem?
vhodné scénáře…
•Zálohování
•Test/dev/školení
•Citydashboard
•Proměnlivě zatížený systém
• Interní
• externí
Děkujeme za pozornost
Katalog řešení Azure
Dalibor Kačmář
98
37 řešení českých společností
&
3000+ řešení na Azure Marketplace
Autentizace, CMS, CRM, ERP
Kentico CMS, FormApps, IS Galen
Týmová splupráce
ALVAO Service Desk, Getmore HRM, Hodnocení 360°, Docházka
GIRITON, K.field Lite,
Specializované aplikace
CherryStaff.com, Triobo, KdeTěMám, The KITE Homeport, Pony Expres,
Portál výběrových řízení, AthenA, Authentizer,
PODEJTO.CZ
Inspirace pro portály veřejné správy
Pavel Nemrava, Software602
29. 4. 2015
Software602 a.s. neuděluje poskytnutím informací žádné licence na užití autorských děl ani jiná práva duševního vlastnictví .
PODEJTO.CZ
▪ Co je PODEJTO.CZ?
▪ https://podejto.cz
▪ místo pro OSVČ, malé a střední firmy
▪ jednotlivé formuláře v logických souvislostech
▪ netiskneme, podáváme přímo do datové schránky
▪ PODEJTO.CZ provozují společnosti DATASYS, NEWPS.CZ a Software602
Software602 a.s.
PODEJTO.CZ
▪ Vlastnosti PODEJTO.CZ?
▪ Soustředění podacích
formulářů na jednom
místě
Software602 a.s.
PODEJTO.CZ
▪ Vlastnosti PODEJTO.CZ?
▪ Identifikace
prostřednictvím
datové schránky
nebo IČO
Software602 a.s.
PODEJTO.CZ
▪ Vlastnosti PODEJTO.CZ?
▪ Předvyplňování
formulářů
Software602 a.s.
PODEJTO.CZ
▪ Vlastnosti PODEJTO.CZ?
▪ Přístup prostřednictvím mobilních zařízení
Software602 a.s.
PODEJTO.CZ
▪ Portály OVM mohou mít daleko větší funkčnost!
PODEJTO.CZ je „pouze“ komerční projekt.
▪ Co všechno může navíc obsahovat portál OVM:
▪ Můžete autentizovat uživatele proti svým informačním systémů

Tím mu můžete nabídnout mnohem více informací v rámci předvyplnění
▪ Kontroly mohou být provedeny až na úroveň koncových informačních systémů

Tím se minimalizuje počet vrácených podání
▪ Můžete využívat centrální sdílené služby

např. zajistit jednotnost adresních míst

ověření referenčních údajů proti základním registrům
▪ Je potřeba pouze k stávajícím systémů:
▪ připravit rozhraní svých informačních systémů pro poskytování služeb k takovému portálu (logické testy,
poskytování dat …)
Software602 a.s.
PODEJTO.CZ
▪ Ukázka takového portálu v praxi: eportal.cssz.cz
Software602 a.s.
Na závěr:
Office dokumenty důvěryhodně
Proč používat důvěryhodné Office dokumenty …
Software602 a.s. neuděluje poskytnutím informací žádné licence na užití autorských děl ani jiná práva duševního vlastnictví .
Office dokumenty důvěryhodně
▪ Proč je výhodnější pracovat s nativními formáty MS Office?
▪ pokud se nejedná o dlouhodobě ověřitelný a dlouhodobě čitelný dokument (desítky let)
▪ DOC:
▪ zachovám formátování, jsem schopen použít takový dokument pro další práci
▪ analýzy, protokoly, verze smlouvy, revize, zadávací dokumentace
▪ XLS:
▪ podepisuji i správnost výpočtů
▪ kalkulace, ceníky, výstupy z ISVS
▪ PPT:
▪ podepisuji autorství prezentace, jsem schopen vkládat i právní doložku o "neoprávněné distribuci, upravování
nebo prozrazení obsahu dokumentu - což může být protiprávní."
Software602 a.s.
Office dokumenty důvěryhodně
Přichází
... a Office dokumenty mohou být důvěryhodné!
Software602 a.s.
Long-Term Docs – „kombajn“ na důvěryhodné dokumenty
▪ Zdrojem dat jsou:
▪ interní úložiště
▪ cloudové úložiště
▪ elektronická pošta
▪ webová stránka
▪ Long-Term Docs složka
▪ interní úložiště
▪ cloudové úložiště
▪ Zpracování dokumentů
▪ formátu PDF, PDF/A (PDF/A-3)
▪ formátu MS Office
▪ formátu OpenOffice
Software602 a.s.
Long-Term Docs – S aplikací pro desktop i mobil
▪ Elektronický podpis:
▪ Office dokumenty
▪ PDF, PDF/A
▪ OpenOffice
▪ Včetně časového razítka
▪ Dle ETSI
▪ Ověření podpisů
▪ Office dokumenty
▪ PDF, PDF/A
▪ OpenOffice
▪ Konverze do PDF/A
▪ Žádost o kvalifikovaný podpis
Software602 a.s.
Long-Term Docs – S aplikací pro desktop i mobil
Software602 a.s.
Long-Term Docs – kombajn na důvěryhodné dokumenty
Další informace na www.longtermdocs.eu
Software602 a.s.
Děkuji za pozornost …
www.602.cz
www.longtermdocs.eu
Estonsko: iniciativa
Virtual Data Embassies
Zdeněk Jiříček
Cíle a požadavky
estonské vlády
Zajistit digitální kontinuitu služeb
všeobecně
Zajistit služby eGovernmentu
i v případě kybernetického nebo
fyzického útoku / zabrání území
Hostovat kritické služby
eGovernmentu v důvěryhodných
datových centrech v zahraničí
Provedení a pilotní testy
Služby veřejného cloudu vybraných
poskytovatelů budou klíčovou platformou
nejprve pro backup, později produkce
První testy Nov-Dec 2014: překlopení
www.president.ee a www.riigiteataja.ee
(e-sbírka zákonů) do Microsoft Azure
Později překlopit do cloudu všechny
kritické systémy eGov:
Program vyhlášen r. 2014
Výsledky testů - závěry
Přesun app. do cloudu a zpět v cca 15 min.
Bezpečné updaty databází, auto-scaling pod
zátěží 1000 sim-users a DDoS stress-testing
U většiny operací zkrácení odezvy o 5-20%
i-policy; Postimes.ee
Zatím nejasné odpovědnosti v rámci
mezinárodního práva, utajované informace
Video-architekt.; Video-prez.
Kriticky důležité přesměrování domén .ee
Implementace řešení – viz dokument
Nutný akční plán a dořešit analýzu rizik
117
StorSimple
Datové uložiště s cloud
konektivitou
Dalibor Kačmář
Real Impact for Better Government
StorSimple a jeho benefity
Ukládání dat dnes
Microsoft Azure StorSimple
Primární úložiště
Management
nárůstu dat
Nižší cena
úschovy dat
Zjednodušení
ochrany a
obnovení dat v
případě ztráty
Zvýšení IT agility
pro naplnění
potřeb byznysu
Archivační úložiště
Diskový backup
StorSimple
Vzdálená replikace
Zálohování na pásky a DR
Snižuje náklady na úschovu dat o 40-60%
Pilíř #1: Nákladově efektivní řízení nárůstu dat
Cenové porovnání pro 60TB primárních dat
Funkce
Primární a
Archivní úložiště
Backup a Disaster
Recovery
Tradiční náklady
uložení dat
Náklady s
Microsoft Azure StorSimple1
Diskové pole s příslušným software
$90,000
$02
Backup Media Server a Software
$30,000
Disk Backup s deduplikační licencí
$120,000
Mimopodnikové ložení pásek
$30,000
Tradiční produkty datového úložiště
Kapitálové náklady zákazníka
$270,000
$0
Náklady na podporu
$130,000
$19,500
$0
$180,000
$400,000
$199,500
Náklady na cloudové úložiště
Náklady zákazníka během 3 let
40–60% úspora
$02
Další benefity pro zákazníka
Žádné
•
•
•
•
•
Eliminace ukládání na pásky
Otestované, na lokaci nezávislé DR
Cloud použit jako sekundární DC
Úspora na elektřině, místě, chlazení
Úspora produktivního času IT oddělení
Based on ASAP+ $60k offer with StorSimple 8100 array and platinum support over 3 years (EA Level-A pricing); based on 1.5x de-dupe and compression with data backup and disaster recovery
8100 storage array list price $100,000; includes de-dupe and compression, data protection and disaster recovery software, and unlimited licenses for StorSimple Virtual Appliance
3 8100 storage array built and distributed by Seagate
1
2
Pilíř #2 –Zjednodušte ukládání dat a jejich ochranu
StorSimple
Virtual
Appliance
Microsoft Azure
Cloud snímky
Produkční data
Datové centrum - 1
Pravidelné konzistentní cloud
snímky produkčních dat
Produkční data
Datové centrum - 2
Na lokaci nezávislá obnova
dat z cloud snímků
Pilíř #2 – Umožněte efektivní obnovu dat (DR)
Časy obnovení ze zálohy z
mimopodnikových zdrojů v
případě katastrofy
Doba obnovy
90 Days
Regular Cloud
Backup
30 Days
With 100 Mbps WAN
Link
7 Days
Tape
1 Day
Dostupnost úložiště
v momentě DR
nezávisle na velikosti
svazku
Rychlá obnova
umožňuje DR
testování a validaci
StorSimple
Cloud Snapshots
1 Hour
With 50 Mbps WAN Link
15 Min.
1 TB
5 TB
20 TB
Primární data
50 TB
100 TB
Pilíř #3 – Zvýšení IT agility pro naplnění priorit organizace
Úložiště podle potřeby a
škálovatelnost
Není nutné neustále plánovat a obávat se
naplnění kapacity pro primární úložiště,
backup nebo archivovaná data
Sjednocená správa dat
Není nutné separátně spravovat ochranu dat
nebo být neustále on-site. Aktuální stav a
konzistentní kontrola na všech spravovaných
datových centrech.
Mobilita dat,
infrastruktura podle potřeby
Není nutné plánovat, nastavovat nebo
spravovat on-premise infrastrukturu pro
nové a speciální projekty, jelikož jsou firemní
data přístupná podle potřeby i v cloudu
Zagreb „CityNext“ – Open
Data, mobilní aplikace
Zdeněk Jiříček
http://data.zagreb.hr/
Otevřenost města občanům
Zlepšit komunikaci s občany a soukromou
sférou
Zefektivnit výměnu informací s řízenými
organizacemi
Otevřít data o MHD / jízdní řády pro
soukromý sektor
Zvolili platformu pro otevřená data
Microsoft Azure + CKAN data katalog:
Publikování datasetů, filtrace, zobrazení,
přístup přes API
Mobilní aplikace My Zagreb
Mobilní aplikace e-Radar (aka „fix my street“)
Serverová platforma Microsoft Azure
125
126
Důvěryhodná práce s Office dokumenty
Podklady do rady města
Spisová služba
Portál občana
SIEM – monitorování bepečnostního prostředí
Městské a krajské karty
Správa a řízení identit
Monitorování krizových situací
Asistivní služby občanům
City Dashboard
AD2JIP Propojení Active Directory s JIP
Řešení CityNEXT jako služba
Řešení NetIQ Sentinel
v prostředí Microsoft Azure
pro KÚ Vysočina
Ing. Petr Pavlinec
Základní informace
 Důvody
 Proč Sentinel
 Proč Microsoft Azure
 ZKB
 Koncept řešení
29.04.2015
129
Vysočina - NetIQ Sentinel - MS Azure
Proč Sentinel?

SIEM jako nutnost v provozu velké veřejné instituce i hostingového centra

Stávající řešení NetIQ Security Manager v rámci pořízení TCK v roce 20122013 – zvažování migrace na nový produkt (v rámci podpory)

Kapacitní problémy stávajícího řešení (stovky EPS, místy tisíce IOPs,
nutnost průběžné optimalizace, nefunkční

Možnost běhu v cloudovém prostředí
– Microsoft Azure certifikován pro SUSE Linux Enterprise Server
– Splněn primární požadavek na kompatibilitu
29.04.2015
130
Vysočina - NetIQ Sentinel - MS Azure
Proč Sentinel?

Zákon o kybernetické bezpečnosti č. 181/2014 Sb.

Vyhláška č. 316/2014 Sb., o kybernetické bezpečnosti + Vyhláška č.
317/2014 Sb., o významných informačních systémech a jejich určujících
kritériích

§ 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí

Požadavky zákona o základnách registrech

Jeden ze stěžejních nástrojů práce bezpečnostního analytika a metod pro
transparentní a auditovatelný provoz informačních systémů
29.04.2015
131
Vysočina - NetIQ Sentinel - MS Azure
Koncept řešení
- Na KÚ Vysočina
spuštěn aktuálně
Proof-of-Concept
Infrastruktura KÚ Vysočina
29.04.2015
132
Vysočina - NetIQ Sentinel - MS Azure
Koncept řešení

Propojení infrastruktury KÚ Vysočina (LAN TCK) s prostředím
MS Azure realizováno bezpečným kanálem VPN (SSTP)

Na straně LAN TCK KÚ Vysočina sběrný prvek Sentinelu

Vyhodnocení, korelace a archivace událostí na straně MS Azure

MS Azure poskytuje “neomezené” úložiště pro archivaci logů a
událostí
29.04.2015
133
Vysočina - NetIQ Sentinel - MS Azure
Jak dál?

Zmapování náročnosti migrace NetIQ - Sentinel

Nedostatečné nástroje pro finanční plánování a analýzu finanční
náročnosti provozu v Azure

Bezpečnostní analýza – výhody cloudového řešení pro oddělení
dat od provozní infrastruktury
29.04.2015
134
http://www.kr-vysocina.cz/it
DĚKUJEME ZA POZORNOST.
29.04.2015
135
G-cloud v ČR
– varianty a podmínky řešení
Jiří Voříšek
katedra informačních technologií
Vysoká škola ekonomická v Praze
[email protected]
http://nb.vse.cz/~vorisek/
136
Na co navazujeme
V dokumentu „Návrh opatření zvyšujících efektivnost elektronických
služeb veřejné správy a podpůrných ICT služeb“, který v nejbližších dnech
bude projednávat vláda ČR, jsou jedněmi z navrhovaných opatření:
Od nekoordinovaného řízení ICT státu ke koordinovanému,
postavenému na jednotné architektuře a jednotných pravidlech:

O03 Pověřit ÚHA vybudováním Národní architektury, tj. architektury služeb
VS a navazujících ICT služeb na principech Enterprise architektury

O05 Pověřit ÚHA vypracováním strategie sourcingu ICT služeb (které ICT
služby bude VS zajišťovat sama a které je naopak v daném období vhodné
outsourcovat na externí dodavatele)
© prof. J.Voříšek
Vývojové etapy a varianty řešení podnikové informatiky
137
Na co navazujeme
Od izolovaných výpočetních systémů ke sdíleným ICT službám:

O21 Optimalizovat aktuálně provozované ICT služby s využitím Katalogu
provozovaných ICT služeb veřejné správy

O22 Nákup nových ICT služeb směřovat na sdílené služby s využitím Katalogu
sdílitelných certifikovaných ICT služeb

O23 Vybudovat síť Národních a regionálních datových center propojených
bezpečnou datovou komunikační infrastrukturou, která budou poskytovat
sdílené ICT služby orgánům veřejné moci

O24 Legislativně zakotvit způsob financování sdílených ICT služeb od jejich
implementace až po udržitelnost provozu a nezbytný rozvoj
© prof. J.Voříšek
Vývojové etapy a varianty řešení podnikové informatiky
138
Pro realizaci těchto
opatření je třeba v ČR
vyřešit následující otázky:
Poznámka: jako možná řešení jsou uváděny
příklady z Dánka (G-cloud od 2011),
Velké Británie (2012) a Slovenska (právě vzniká),
na zabezpečení provozu katalogu
v Dánsku pracuje 81 zaměstnanců,
ve VB 200 zaměstnanců.
© prof. J.Voříšek
139
Jaké typy ICT služeb budou přes G-cloud nabízeny ?
 Dánsko: IaaS, PaaS, SaaS, specializované služby– např. pomoc
při implementaci vybrané služby,
 VB: IaaS, PaaS, SaaS, specializované služby
 Slovensko: začínají IaaS a PaaS,
 ČR: dtto VB a Dánsko, fázování?
© prof. J.Voříšek
140
Budou přes G-cloud nabízeny služby veřejných (private
cloud) nebo soukromých poskytovatelů (public cloud)?




© prof. J.Voříšek
VB: kombinace (1200 dodavatelů)
Dánsko: kombinace (34 dodavatelů)
Slovensko: zatím jen stát
ČR: kombinace? fázování?
+ rychlejší dosažení cílového stavu
+ konkurence stlačí ceny
- obtížnější řízení
- větší rizika
141
Které instituce VS se mohou stát zákazníky G-cloudu
(ministerstva a jimi řízené instituce, kraje, obce)?
 Dánsko: Instituce a organizace vlastněné vládou, pod kontrolou
vlády, nebo takové, kde je provoz realizován minimálně na 50 %
z veřejných prostředků.
 VB: Pouze vyjmenované orgány, státní složky a organizace
 Slovensko: Veřejný i soukromý sektor (ten jen některé služby)
 ČR (státní instituce, kraje, obce?), fázování?
+ na krajích a obcích více duplicit než ve státních institucích 
větší celkové úspory
- obtížnější řízení
- větší rizika
© prof. J.Voříšek
142
Jaká datová centra státu do projektu G-cloud zapojit?
 Dánsko: do r. 2012 centralizovány výpočetní a lidské zdroje
7 ministerstev
 Slovensko: 2 datová státní centra (MV a MF)
 ČR: SPCSS, CSS ČP, CSS krajů?
© prof. J.Voříšek
143
Jaké katalogy služeb mají být realizovány?
Stát dosud nemá přehled o všech aktuálně provozovaných ICT
službách
 katalog aktuálně provozovaných ICT služeb. Řeší otázky
např.:
 jaké služby užívá daná instituce
 kdo je provozovatelem těchto služeb
 jaké jsou jejich investiční a provozní náklady služby
 benchmarking obdobných služeb u různých institucí
 kdo je zákazníkem dané služby od daného poskytovatele
 kolik má daná služba daného poskytovatele uživatelů
 jaké jsou duplicity v provozovaných službách
 jaké jsou celkové náklady ČR na ICT služby (dle služeb, dle
institucí, dle poskytovatelů,…)
 …
© prof. J.Voříšek
144
Jaké katalogy služeb mají být realizovány?
 katalog aktuálně nabízených a certifikovaných služeb přes Gcloud
 uvádí z jakých služeb může/musí instituce VS vybírat, chce-li
nakoupit ICT službu
 instituce již nemusí dělat VZ !!
Stát
Počet kategorií služeb
Počet služeb
Objednání online přes
katalog
Místo vyhlášení tendru
Vyhlášení EU tendru
Systém pro tendr
© prof. J.Voříšek
Max. délka kontraktu na
dodávku služby
Vyhledávání služeb
Filtrování ve vyhledávání
Filtrování podle kategorie
Filtrování podle
dodavatele
Počet hledisek ve filtru
Počet parametrů služby
Dánsko
Slovensko
Velká Británie
5
1 035
Ano
4
7
[není]
4
13 000
Ano
SKI Portál
[není]
ted.europa.eu
ETHICS
[není]
[není]
3 + 3x1 rok
[není]
CCS
agreements
ted.europa.eu
eSourcing
Portal
2 roky
Ano
Ano
Ano
Ano
[není]
[není]
[není]
-
Ano
Ano
Ano
Ne
5
26
13
7
35
145
Poptávka, nabídky, certifikace nabízených služeb
 jak bude vznikat poptávka na službu, která má být přes portál
nabízena, a v jaké periodě se bude opakovat? (VB: G-cloud tendr
časově omezený – viz rámcová smlouva dále, nyní verze 6)
 budou nabídky omezeny závaznou architekturou ICT služeb? (VB: ne,
ČR: ano!?)
 jak budou návrhy služeb nabízeny? (VB: vyplněním standardních
formulářů na portálu, ČR dtto)
 jak a kým budou návrhy služeb vyhodnocovány/certifikovány? (VB:
Cabinet Office, ČR: UHA nebo spec. útvar?)
 kolik služeb stejného typu bude přes portál nabízeno? (VB: mnoho
desítek, ČR: když se nebude jednat o povinnou státní službu, pak
více?)
© prof. J.Voříšek
146
Nákup služby přes G-cloud

jak bude vypadat proces nákupu služby přes G-cloud? (ve VB průměrná doba
od záměru do nasazení služby je 60 dní!!!)

bude uplatňován princip:
 cloud-first - tj. je-li požadovaná služba nabízena přes G-cloud, je možné
podobnou službu mimo G-cloud pořídit pouze tehdy, když dodavatel
nabízí lepší podmínky (VB)
Dánsko: Všechny orgány veřejné moci v současné době mají za
povinnost používat taková řešení, aby se zabránilo rozvoji paralelních
systémů a naopak se podpořilo opětovné použití příslušných dat.
 cloud-only - tj. při výběru je nutné vybrat jen službu z nabídkového
katalogu (Slovensko)

© prof. J.Voříšek
na jakou dobu (minimum, maximum) se kontrakty mohou uzavírat?
147
Které zákony bude muset G-cloud ČR zejména
respektovat? Bude nutná/vhodná některých zákonů, aby
bylo možné G-cloud realizovat efektivně?
Zákon o veřejných zakázkách – nové znění
Zákon č. 101/2000 Sb., o ochraně osobních údajů
Zákon č. 227/2000 Sb., o elektronickém podpisu
Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně
některých souvisejících zákonů (zákon o elektronických
komunikacích)
 Zákon č. 365/2000 Sb., o informačních systémech veřejné správy
 Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně
souvisejících zákonů (zákon o kybernetické bezpečnosti)




© prof. J.Voříšek
148
Kdo bude platit za užití služby ?
 VB: zákazník
 Slovensko: stát z grantu EU
 ČR ?
© prof. J.Voříšek
149
Jaké náklady a jakých úspor se dosáhne?
Stát
Dánsko
Investiční náklady
[není známo]
Úspory oproti standardnímu řešení
Plánované
15-32 %
Realizované
39 %
Náklady
Provozní
1070 mil. Kč*
2012/2013
-
Provozní
2013/2014
-
Provozní
2014/2015
Tržby
Tržby 2014
Tržby 2013
Statistiky provozu
Celkový objem tržeb za
dobu provozu
Podíl SME na
realizovaných tržbách
© prof. J.Voříšek
Slovensko
6,89 mld. Kč
Velká Británie
[není známo]
15-20 %
[není]
50 %
50 %
[není]
20,5 mil. Kč
[není]
35,4 mil. Kč
[není známo]
[není]
80,7 mil. Kč
[není známo]
[není známo]
Ne
[není]
[není]
[plánují se]
10,25 mld. Kč
3,10 mld. Kč
Ano
530 mil. Kč*
7,32 mld. Kč
13,9 mld. Kč
[není]
[nezveřejňuje se]
48 %
150
Děkuji za pozornost
© prof. J.Voříšek
151
Panelová diskuze
• Jan Pattynová
• Jiří Voříšek
• Bohdan Urban
• Radomír Valica
• Petr Pavlinec
• Zdeněk Jiříček
Závěr….
Pozor na extra levné
„cloudové služby“
Čím více využívá veřejná správa veřejných
cloudů, tím efektivněji využívá sdílené služby.
ISVS lze provozovat ve veřejném cloudu.
Microsoft díky kompetencím v oblasti
privátního i veřejného cloudu umí nabídnout
výhodné řešení pro potřeby veřejné správy.
Je jednoduché začít!
Děkujeme za váš čas! 