Viešieji pirkimai ir Agile.
Rekomendacijos
Marius Žemaitis, Viešųjų pirkimų tarnyba
Aleksej Kovaliov, EIS Group, Agile Lietuva

Tai prasidėjo seniai-seniai....
▪ 2014 „VALSTYBĖS INFORMACINIŲ SISTEMŲ
GYVAVIMO CIKLO VALDYMO METODIKA“
▪ 2017 “… TECHNINĖS PRIEŽIŪROS
REKOMENDACIJOS"
▪ 2018 AGILE PUSRYČIAI

2020 iniciatyva
▪ Kodėl:
▪ Perkančiosioms organizacijoms reikia detalesnių oficialių
patarimų, IT pirkimų gairių
▪ Infobalt nariai iškėlė tam tikras IT viešųjų pirkimų
problemas, kurios sukelia tiekėjams papildomų rizikų
▪ Kas:
▪ Infobalt viešųjų pirkimų darbo grupė parengė dokumentą
▪ „Rekomendacijos IT pirkimams 2020 06 30.docx“
▪ Dokumentas gali tapti oficialiųjų VPT rekomendacijų
pagrindu

IT pirkimų tipai rekomendacijos
1. IT infrastruktūros nuomos (serverių talpinimo,
virtualių serverių, debesijos paslaugų) pirkimai
2. Techninės įrangos, Programinės įrangos
licencijų, licencijų atnaujinimų ir/arba gamintojo
garantinio palaikymo pirkimai
3. El. paslaugos arba IT sprendimo įgyvendinimo,
modernizavimo, diegimo ir priežiūros paslaugų
pirkimai
4. IT ekspertų (architektų, programuotojų,
analitikų, administratorių ir kt.) paslaugų
pirkimai
5. Saugos testavimo paslaugų pirkimai

Kas čia naujo nuo 2018?
1. IT infrastruktūros nuomos (serverių talpinimo,
virtualių serverių, debesijos paslaugų) pirkimai
2. Techninės įrangos, Programinės įrangos
licencijų, licencijų atnaujinimų ir/arba gamintojo
garantinio palaikymo pirkimai
3. El. paslaugos arba IT sprendimo įgyvendinimo,
modernizavimo, diegimo ir priežiūros paslaugų
pirkimai
4. IT ekspertų (architektų, programuotojų,
analitikų, administratorių ir kt.) paslaugų
pirkimai
5. Saugos testavimo paslaugų pirkimai
NaujaNauja
Patikslinta

Kur čia Agile?
1. IT infrastruktūros nuomos (serverių talpinimo,
virtualių serverių, debesijos paslaugų) pirkimai
2. Techninės įrangos, Programinės įrangos
licencijų, licencijų atnaujinimų ir/arba gamintojo
garantinio palaikymo pirkimai
3. El. paslaugos arba IT sprendimo įgyvendinimo,
modernizavimo, diegimo ir priežiūros paslaugų
pirkimai
4. IT ekspertų (architektų, programuotojų,
analitikų, administratorių ir kt.) paslaugų
pirkimai
5. Saugos testavimo paslaugų pirkimai
“Didelisprojektas”irpakeitimai

Prisiminkime
Kaip pirkti Agile

„Didelio projekto“ pirkimai
▪ Ekonominis naudingumas
▪ Pirkimo objekto struktūra
▪ Techninės specifikacijos apimtis
▪ Realizavimo / įgyvendinimo etapai
▪ Priežiūros ir pakeitimų realizavimo paslaugos
▪ Rekomenduojama Užduotis tiekėjui
▪ pasiūlymo dalis

Ekonominis naudingumas
▪ Kaina 30% / Kriterijai 70%
▪ Pvz. 70% =
▪ 20% - Įgyvendinimo vizija bei kokybė
▪ Plano veiklų išdėstymo racionalumas, realizavimo etapų plano efektyvumas
▪ Funkcinių ir nefunkcinių reikalavimų tenkinimas bei papildomos galimybės
▪ 40% - Architektūros efektyvumas ir atvirumas plėtrai
▪ Architektūros atitikimas Pirkėjo esamiems ištekliams, investicijoms,
kompetencijoms
▪ Licencinės programinės įrangos licencijavimo modelio optimalumas
▪ Efektyvumas IT resursų ir investicijų į IT infrastruktūrą atžvilgiu, bendra
nuosavybės kainą 3-5 metų perspektyvoje (angl. TCO)
▪ 10% - Papildomų reikalavimų įgyvendinimas, papildomos vertės
suteikimas
▪ Papildomų funkcinių/nefunkcinių reikalavimų, kurie nėra būtina Techninės
specifikacijos dalis, sąrašas ir jų vertinimas balais
▪ Papildomos reikalavimuose ir kituose kriterijų parametruose nenustatytos
naudos ir jų vertinimas balais

Pirkimo objektas ir 2-3 dalių
Pirkimo objektas Kaina Įsigijimo
įsipareigojimai
Apmokėjimo tvarka
IT sprendimo
sukūrimas ir
diegimas
Bendra kaina už
kūrimo ir diegimo
projektą
100% Etapais, iteracinis-
inkrementinis būdas
Papildomų
pakeitimų prašymų
įgyvendinimo
paslaugos
Bendra kaina už X
valandų
X% Pagal suderintų pakeitimų
prašymų įgyvendinimo
faktą, iteracinis -
inkrementinis būdas
Priežiūros paslaugos Bendra kaina už X
mėnesių
X% Fiksuotas mėnesio
mokestis po pirmo
paleidimo gamybinei
eksploatacijai.
Prasidėjus anksčiau nei
baigtas pilnas kūrimas, g.
b. taikoma mažesnė kaina

Techninė specifikacija
▪ Pirkimo tikslai ir prioritetai
▪ Veiklos modelis, veiklos procesai
▪ Naudotojų tipai, kiekiai, charakteristikos
▪ Kiekybiniai parametrai ir srautai
▪ Esamos (-ų) informacinės (-ių) sistemų (-ų) aprašymas
▪ Funkciniai reikalavimai / Veiklos procesų reikalavimai
▪ Nefunkciniai reikalavimai
▪ Diegimo architektūros reikalavimai
▪ Reikalavimai įgyvendinimo būdui ir etapams
▪ Reikalavimai papildomų vystymo paslaugų teikimui
▪ Reikalavimai priežiūros paslaugų teikimui
Rekomenduojama vadovautis IVPK metodinėmis rekomendacijomis:
1. PROJEKTŲ, KURIŲ ĮGYVENDINIMO METU KURIAMOS ELEKTRONINĖS PASLAUGOS IR INFORMACINIŲ
TECHNOLOGIJŲ SPRENDIMAI, TECHNINĖS PRIEŽIŪROS REKOMENDACIJOS, 2017.11.22
2. TINKAMUMO NAUDOTOJAMS UŽTIKRINIMO PRIEMONIŲ METODINĖS REKOMENDACIJOS“

Įgyvendinimo etapai ir apmokėjimo tvarka
Etapas Trukmė Apmokėjimas Rezultatų eksploatacija
Inicijavimas 1-2 sav. % nuo realizavimo sumos -
Detali analizė ir
planavimas
Tinkamumas
naudotojams 1
2 sav. – 1
mėn.
- -
Realizavimas 1 2 - 3 mėn. % nuo realizavimo sumos Bandomoji eksploatacija
Realizavimas 2
Tinkamumas
naudotojams 2
2 - 3 mėn. % nuo realizavimo sumos
[+ vystymo valandos]
Bandomoji eksploatacija
Realizavimas 3 2 - 3 mėn. % nuo realizavimo sumos
[+ vystymo valandos]
[+ palaikymas]
Gamybinė eksploatacija
... ... ... ...
Realizavimas galutinis 1 - 2 mėn. % nuo realizavimo sumos
[+ vystymo valandos]
[+ palaikymas]
Gamybinė eksploatacija
Uždarymas 1 – 2 sav. % nuo realizavimo sumos Gamybinė eksploatacija

Užduotis tiekėjui
▪ Planas su etapais, patikslintais terminais,
metodais, veiklomis, šalių darbų organizavimu
▪ Siūlomo sprendimo technologinė architektūra
▪ Minimalūs reikalavimai diegimo aplinkoms
▪ Eksploatacijos sąnaudų (TCO) prognozė 3-5m
▪ Tiekėjo palaikymo ir priežiūros sąnaudos
▪ PĮ licencijavimo modelis ir kaina
▪ IT infrastruktūros parengimo, plėtros, palaikymo
sąnaudos
▪ TS reikalavimų tenkinimo suvestinė
▪ Priežiūros ir palaikymo procedūros

Nauji akcentai
Nieko apie Agile, bet viskas apie IT

Esamų sistemų aprašymas tai ne IS “ABC”
abreviatūros paminėjimas
▪ Funkcinė specifikacija
▪ Architektūra, išskiriant standartinius bei specializuotus
komponentus, saugumą, duomenų bazes
▪ Specializuotų modulių realizavimo technologijos
▪ Integracijos su kitomis sistemomis, nurodant techninės
realizacijos aspektus
▪ Duomenų bazių struktūros
▪ arba procesas, kaip tiekėjas su jomis susipažins
▪ Programinis kodas (išeities tekstai)
▪ arba procesas, kaip tiekėjas su jomis susipažins
▪ Diegimo architektūra (infrastruktūra)
▪ arba procesas, kaip tiekėjas su jomis susipažins
▪ Duomenų srautai ir apimtys
▪ Eksploataciniai nefunkciniai reikalavimai

Pasistengti nepersistengti su technologiniais
reikalavimais
▪ Reikalavimus realizavimo technologijoms prasminga
kelti, jeigu
▪ paruošta pagrįsta architektūros vizija
▪ perkančioji organizacija turi tam tikras
▪ IT kompetencijas,
▪ esamų IT sistemų architektūros vientisumą aprašančias tvarkas
▪ esamas investicijas į tam tikrus IT išteklius ar pan.
▪ Neturint rimto pagrindimo
▪ technologijų pasirinkimą prasminga palikti tiekėjams
▪ numatyti balus ekonominio naudingumo vertinime už
artimiausias technologijas

Aprašyti tai, ką labiausiai norisi praleisti
▪ Numatomo diegimo architektūra ir eksploatacija
▪ įskaitant, kur tai bus diegiama, kada perkama įranga, kas diegs
ir eksploatuos
▪ Reikalavimai duomenų / veiklos analitikai (BI)
▪ Esamų ir/arba norimų veiklos ataskaitų šablonai
▪ Duomenų dimensijų ir metrikų sudėtis
▪ Reikalavimai integracijoms:
▪ Įėjimo / išėjimo srautai – duomenų struktūros, kiekiai, mainų
dažniai
▪ Protokolai, formatai, integracinių sąsajų standartai
▪ Sinchroninis ar asinchroninis veikimas
▪ Prieigos ir duomenų perdavimo saugos reikalavimai
▪ Reikalavimai nesėkmės atvejų apdorojimui
▪ Reikalavimai duomenų mainų stebėsenai

Realizavimo etapai tai ne vien tik kūrimas
▪ Diegimus skirtingose aplinkose
▪ Taikomąjį vartotojų grupės testavimą,
nurodytose aplinkose (angl. UAT)
▪ Priežiūros ir pakeitimų realizavimo paslaugų
teikimo įvertinimą (žr. toliau)
▪ Techninį priėmimą - programinio kodo priėmimo
testavimą (žr. toliau)
▪ Saugos testavimą
▪ Kitas realizavimo projekto reglamente
numatytas kontrolės veiklas

Techninis priėmimas
▪ IT sprendimo surinkimas ir diegimas skirtingomis nei kūrėjo
rankomis
▪ Perkančiosios organizacijos IT padalinio ekspertai
▪ Perkančiosios organizacijos projekto partnerio organizacijos ekspertai
▪ Techninę priežiūrą vykdančio Tiekėjo ekspertai
▪ Atskirai pasamdyti 3-ios šalies ekspertai (atskiras paslaugų pirkimas)
▪ Pilna programinio kodo ir surinkimo instrukcijų apimtis:
▪ Programavimo kalbas ir 3-iųjų šalių gaires (angl. frameworks),
bibliotekas (angl. libraries), binarinius komponentus (angl.
components)
▪ Programavimo aplinkos įrankius (ang. Integrated Development
Environment, IDE) arba atskirus kompiliatorius, kurių pagalba turi būti
surenkami ir kompiliuojami programiniai moduliai
▪ Būtina surinkimo ir kompiliavimo veiksmų seka, atsižvelgiant į modulių
tarpusavio priklausomybes
▪ Nekompiliuojamų modulių, pavyzdžiui, duomenų bazės, skriptai
surinkimo ir diegimo instrukcijos
▪ Galutinių diegiamų modulių (binarinių arba ne) rinkinys, kuriuo
pagalba vykdomas tolesnis diegimas

Techninis priėmimas
▪ IT sprendimo surinkimas ir diegimas skirtingomis nei kūrėjo
rankomis
▪ Perkančiosios organizacijos IT padalinio ekspertai
▪ Perkančiosios organizacijos projekto partnerio organizacijos ekspertai
▪ Techninę priežiūrą vykdančio Tiekėjo ekspertai
▪ Atskirai pasamdyti 3-ios šalies ekspertai (atskiras paslaugų pirkimas)
▪ Pilna programinio kodo ir surinkimo instrukcijų apimtis:
▪ Programavimo kalbas ir 3-iųjų šalių gaires (angl. frameworks),
bibliotekas (angl. libraries), binarinius komponentus (angl.
components)
▪ Programavimo aplinkos įrankius (ang. Integrated Development
Environment, IDE) arba atskirus kompiliatorius, kurių pagalba turi būti
surenkami ir kompiliuojami programiniai moduliai
▪ Būtina surinkimo ir kompiliavimo veiksmų seka, atsižvelgiant į modulių
tarpusavio priklausomybes
▪ Nekompiliuojamų modulių, pavyzdžiui, duomenų bazės, skriptai
surinkimo ir diegimo instrukcijos
▪ Galutinių diegiamų modulių (binarinių arba ne) rinkinys, kuriuo
pagalba vykdomas tolesnis diegimas
Arba tiesiog reikalaukite projekto apimtyje
diegimo bei testavimo automatizavimo ir
tiesiog pasiimkite
CICD pipelines

Ko dar reikia techniniam priėmimui?
▪ Programinio kodo saugyklos (angl. source control)
▪ Programinis kodas Perkančiosios organizacijos saugyklose turi
būti atnaujinamas po kiekvieno IT sprendimo programinio
pakeitimo, kuriant, plečiant arba taisant IT sprendimą, teikiant
priežiūros arba pakeitimų prašymų realizacijos paslaugas
▪ Aplinkos, kur galima atlikti surinkimą ir testavimą
▪ nėra būtina po kiekvieno kodo pakeitimo, pakanka 1-2 kartus
per metus audito rėmuose
▪ Ypatingos svarbos IT sprendimams rekomenduojama
pasitelkti atskirą patikimą trečiąją šalį (angl. escrow agent)
▪ ilgalaikiam Programinio kodo saugojimui be teisės naudoti arba
perduoti Programinį kodą, išskyrus kritinės rizikos atvejus (force
majeure)

Palaikymas
Palaikymas
Pakeitimų
realizavimas
Priežiūra
Projekto eigoje
Gamybinė
eksploatacija
Projekto eigoje
Gamybinės
eksploatacija ir
plėtra

Priežiūra
▪ Pirkimo dokumentuose turi būti aprašyti
▪ Reguliarūs aptarnavimo ir administravimo darbai
▪ Kreipinių klasifikacija (gedimai, incidentai, konsultacijos).
▪ Būtini reakcijos ir incidentų sprendimo laikai
▪ Paslaugų teikimo tvarkaraštis, komunikacijos ir prieigos prie aplinkų
kanalai
▪ Pakeitimų pateikimas, IT sprendimo ir dokumentacijos atnaujinimo
tvarkos
▪ Galimos baudos už incidentų reakcijos ir/arba sprendimo laikų
pažeidimus, išskaitomos iš mėnesinio mokesčio.
▪ Reguliarias priežiūros paslaugų teikimo ir paslaugos lygio (angl. Service
Level Agreement, SLA) vertinimo ataskaitas.
▪ Kada startuoja ir kiek tęsiasi Priežiūros paslaugų teikimas
▪ Rekomenduojama taikyti fiksuotą mėnesinį mokestį
▪ reguliariems nustatytiems priežiūros darbams
▪ defektų šalinimui, SLA užtikrinimui

Pakeitimų realizavimo paslaugos
▪ Pirkimo dokumentuose turi būti aprašyta “užsakymų vystymui” tvarka
▪ Užsakymų kategorijos, darbų rūšių apimtys
▪ Užsakymo pateikimo formatas/procesas
▪ Užsakymo gyvavimo ciklas
▪ Preliminari analizė - pradinės sąmata - tvirtinimas -
realizavimas - diegimas - priėmimas - apmokėjimas
▪ Užsakymo įgyvendinimo tvarka, kontrolės taškai, tarpinių
rezultatų pristatymas (pavyzdžiui, Agile!)
▪ Rezultatų diegimas į nurodytas aplinkas (pavyzdžiui, testavimo
ir/arba gamybinę aplinką)
▪ Apmokėjimas pagal faktą patvirtintos sąmatos ribose, max +10%
▪ Galimos baudos už vėlavimus bet kokiame iš gyvavimo ciklo etapų
▪ Klaidos, defektai, gedimai šalinami tiekėjo sąskaita arba,
pavyzdžiui, priežiūros paslaugų ir fiksuoto mokesčio rėmuose
▪ Turi būti tinkama naudoti tiek kūrimo eigoje, tiek po paleidimo

Saugos testavimo pirkimai
▪ Saugos testavimas negali būti perkamas iš to paties tiekėjo, kuris
realizuoja ir/arba palaiko IT sprendimą
▪ Tik atitinkamą sertifikaciją ir/arba objektyviai įrodoma kompetenciją bei
priemones turintys tiekėjai/ekspertai
▪ Saugos testavimas turi būti vykdomas ne rečiau nei vieną kartą per
metus
▪ arba po kiekvieno esminio IT sprendimo pakeitimo
▪ Galimos saugos testavimo apimtys
▪ Programinio kodo ir 3-ųjų šalių gairių, bibliotekų, komponentų saugos spragų
(angl. vulnerabilities) skenavimas standartinių įrankių pagalba
▪ Įsibrovimo į sistemą simuliavimas (ang. penetration testing)
▪ Paskirstyto atsisakymo aptarnauti (angl. Distributed Denial of Service, DDoS)
atakų simuliavimas
▪ Architektūros saugos vertinimas
▪ IT sprendimo infrastruktūros saugos auditas;
▪ IT sprendimo saugos administravimo procesų ir tvarkų auditas
▪ IT sprendimo realizacijos / priežiūros tiekėjo, perkančiosios organizacijos
ekspertų saugos mokymai
▪ ….

Saugos testavimo pirkimai
▪ Saugos testavimas negali būti perkamas iš to paties tiekėjo, kuris
realizuoja ir/arba palaiko IT sprendimą
▪ Tik atitinkamą sertifikaciją ir/arba objektyviai įrodoma kompetenciją bei
priemones turintys tiekėjai/ekspertai
▪ Saugos testavimas turi būti vykdomas ne rečiau nei vieną kartą per
metus
▪ arba po kiekvieno esminio IT sprendimo pakeitimo
▪ Galimos saugos testavimo apimtys
▪ Programinio kodo ir 3-ųjų šalių gairių, bibliotekų, komponentų saugos spragų
(angl. vulnerabilities) skenavimas standartinių įrankių pagalba
▪ Įsibrovimo į sistemą simuliavimas (ang. penetration testing)
▪ Paskirstyto atsisakymo aptarnauti (angl. Distributed Denial of Service, DDoS)
atakų simuliavimas
▪ Architektūros saugos vertinimas
▪ IT sprendimo infrastruktūros saugos auditas;
▪ IT sprendimo saugos administravimo procesų ir tvarkų auditas
▪ IT sprendimo realizacijos / priežiūros tiekėjo, perkančiosios organizacijos
ekspertų saugos mokymai
▪ ….
Pasitarkite su NKSC

IT ekspertų paslaugų pirkimai
▪ Tik ribotos apimties darbams, užtikrinant kompetentingą darbų
koordinavimą ir kontrolę iš perkančiosios organizacijos pusės, pvz.
▪ programavimo užsakymai, kuomet yra tiksliai žinomi architektūra ir
apimtis
▪ ekspertinės konsultacijos dėl architektūros, realizavimo planų, kito
tiekėjo vertinimų
▪ esamų arba vystomų sprendimų optimizavimas
▪ techninių artefaktų testavimas, kito tiekėjo programinio kodo
priėmimas
▪ saugos testavimas
▪ Jeigu pirkimo tikslas yra esamos sistemos modernizavimas ir
plėtra, turi būti pateikti
▪ subalansuotas Esamos (-ų) sistemos (-ų) aprašymas,
▪ užsakymų vystymui tvarka
▪ Pirkimo objektas - valandos
▪ Pirkimo vertinimas - mažiausios kainos

Tolesni veiksmai
▪ VPT tikisi sulaukti pastabų bei siūlymų
▪ Parengti galutines rekomendacijų formuluotes ir
paviešinti, kaip VPT rekomendacijas

Ačiū
Klausimai?