Рубрика "Циничная информатизация"
Этот пост - чтобы закрыть гештальт с информационной системой взаимодействия по нацпрограмме ЦЭ в АЦ при Правительстве РФ.
Вчера Циникс уже написал, что система таки существует. За вчера и сегодня Циникс предпринял некоторые раскопки в открытых источниках информации (раздел "Закупки" на сайте АЦ) и не только окончательно убедился в существовании этой системы. но и смог собрать материалы по истории ее разработки (ТЗ и ценовые параметры к закупкам).
Возможно, это будет интересно кому-то еще, кроме Циникса.
Итак:
1. Первый вариант системы был разработан в конце 2017 года на базе платформенного решения от компании "1Форма" ("Первая Форма"). Стоимость проекта - 2,8 млн, исполнитель проекта - "1Форма". Эта же компания делала для АЦ аналогичную систему для управления проектами по реформе контрольно-надзорной деятельности. В начале 2018 года АЦ заключил с "1Формой " еще один договор - на техподдержку пользователей системы, 900 тыс. рублей до конца года.
2. В мае 2018 был заключен второй договор с "1Формой" - на доработку системы, стоимостью 2 млн рублей.
3. Через год, в мае 2019 была объявлена новая закупка - формально на модернизацию системы, но фактически предполагалась разработка на новой платформе "Битрикс 24". Исполнителем проекта стоимостью 8,3 млн (начальная цена не понизилась) стала компания "1С-Рарус". Срок завершения разработки - начало сентября 2019.
Собственно, это всё. Есть еще ТЗ по всем закупкам с описанием функциональности системы. Но ни вешать здесь ТЗ, ни расписывать его в постах Циникс не собирается. Если кому интересно, Циникс дал целеуказание по местоположению этой информации.
Гештальт закрыт.
Но только с этой системой, а не с АЦ. Про АЦ в контексте НП ЦЭ Циникс еще планирует много чего понаписать
Этот пост - чтобы закрыть гештальт с информационной системой взаимодействия по нацпрограмме ЦЭ в АЦ при Правительстве РФ.
Вчера Циникс уже написал, что система таки существует. За вчера и сегодня Циникс предпринял некоторые раскопки в открытых источниках информации (раздел "Закупки" на сайте АЦ) и не только окончательно убедился в существовании этой системы. но и смог собрать материалы по истории ее разработки (ТЗ и ценовые параметры к закупкам).
Возможно, это будет интересно кому-то еще, кроме Циникса.
Итак:
1. Первый вариант системы был разработан в конце 2017 года на базе платформенного решения от компании "1Форма" ("Первая Форма"). Стоимость проекта - 2,8 млн, исполнитель проекта - "1Форма". Эта же компания делала для АЦ аналогичную систему для управления проектами по реформе контрольно-надзорной деятельности. В начале 2018 года АЦ заключил с "1Формой " еще один договор - на техподдержку пользователей системы, 900 тыс. рублей до конца года.
2. В мае 2018 был заключен второй договор с "1Формой" - на доработку системы, стоимостью 2 млн рублей.
3. Через год, в мае 2019 была объявлена новая закупка - формально на модернизацию системы, но фактически предполагалась разработка на новой платформе "Битрикс 24". Исполнителем проекта стоимостью 8,3 млн (начальная цена не понизилась) стала компания "1С-Рарус". Срок завершения разработки - начало сентября 2019.
Собственно, это всё. Есть еще ТЗ по всем закупкам с описанием функциональности системы. Но ни вешать здесь ТЗ, ни расписывать его в постах Циникс не собирается. Если кому интересно, Циникс дал целеуказание по местоположению этой информации.
Гештальт закрыт.
Но только с этой системой, а не с АЦ. Про АЦ в контексте НП ЦЭ Циникс еще планирует много чего понаписать
Рубрика "Циничное напоминание"
И чтобы закрыть гештальт окончательно и бесповоротно, Циникс здесь оставляет циничное напоминание самому себе.
Факт-чекинг! Факт-чекинг!
Трижды факт-чекинг - и только потом постинг!
Но, тем не менее, право на высказывание гипотез, основанных на глубоком анализе, Циникс оставляет за собой
И чтобы закрыть гештальт окончательно и бесповоротно, Циникс здесь оставляет циничное напоминание самому себе.
Факт-чекинг! Факт-чекинг!
Трижды факт-чекинг - и только потом постинг!
Но, тем не менее, право на высказывание гипотез, основанных на глубоком анализе, Циникс оставляет за собой
Рубрика "Циничное импортозамещение"
Сегодня утром Циникс, как известно, зашел на сайт Минкомсвязи. Что из этого получилось - в сегодняшних постах, которые появлялись в течение дня. Но, вообще-то, с утра у Циникса была совершенно другая цель - проверить, как там поживают реестры ПО, российского и евразийского.
А проверить реестры Циникс собирался в связи с засвеченным вчера письмом министра К.Носкова министру Д.Мантурову. Вот этим самым, которое на картинках ниже. Вчера про это письмо, оказывается, не только в Телеге у Незыгаря написали, но и в "Ведомостях". Правда, понаписали, как всегда - на уровне журналистского недопонимания и цитирования крайне заинтересованных персон из министерства и околореестровых кругов (здесь Циникс хотел написать "главных лоббистов реестра", но не написал).
Обещанные комментарии Циникса по письму ниже
Сегодня утром Циникс, как известно, зашел на сайт Минкомсвязи. Что из этого получилось - в сегодняшних постах, которые появлялись в течение дня. Но, вообще-то, с утра у Циникса была совершенно другая цель - проверить, как там поживают реестры ПО, российского и евразийского.
А проверить реестры Циникс собирался в связи с засвеченным вчера письмом министра К.Носкова министру Д.Мантурову. Вот этим самым, которое на картинках ниже. Вчера про это письмо, оказывается, не только в Телеге у Незыгаря написали, но и в "Ведомостях". Правда, понаписали, как всегда - на уровне журналистского недопонимания и цитирования крайне заинтересованных персон из министерства и околореестровых кругов (здесь Циникс хотел написать "главных лоббистов реестра", но не написал).
Обещанные комментарии Циникса по письму ниже
Рубрика "Циничное импортозамещение"
Итак про письмо одного министра другому.
Понятно, что, хоть письмо и подписано министром, писалось оно совсем другими людьми. Конкретно - в департаменте, подчиняющемся замминистра А.Соколову, который в Минкомсвязи отвечает за всю движуху, связанную с импортозамещением и централизованными закупками ПО. Если Циникс правильно ориентируется в нынешней структуре министерства, то это Департамент развития отрасли ИТ (кстати, директор этого департамента Д.Никитин выступал на совещании с ФОИВами 6 августа как раз по теме централизованных закупок ПО в сфере ответственности Минкомсвязи - и про централизованные закупки Циникс тоже еще напишет).
Поэтому, когда дальше Циникс будет нелицеприятно высказываться по поводу письма, это будут высказывания не по адресу министра, а по адресу конкретных письмописателей (хотя, конечно же, общую направленность письма все равно задавал кто-то на уровне руководства министерства).
Общий тон письма - истерика в связи с весьма вероятной угрозой отмены жесткого (хотя, ну какой он жесткий-то?) запрета на закупки иностранного ПО. Типа - мы тут уже третий год всем госам запрещаем закупать иностранное ПО (хоть нас и мало кто слушается), а тут вдруг этот запрет отменят. Как же дальше-то жить и работать, без возможности нанести максимальную пользу стране?
Аргументы и факты, которые приводятся в письме, возможно, на уровне межминистерских переписок и отмазок могут и проканать, но въедливый глаз Циникса "горбуху" сразу различает - тем более, что раньше он уже писал на эти темы.
Пойдем по пунктам (курсивом - цитаты из письма, ниже - комментарии Циникса).
1. "Минкомсвязью России в 2018-2019 гг. проведена работа по актуализации нормативной правовой базы, регламентирующей функционирование Реестров"
В пункте 7 ПП 1236, в котором расписаны все обязательные действия Минкомсвязи в связи с принятием ПП 1236 и сроки выполнения этих действий, в конце 2017 года (после изменений, внесенных ПП 1594) появился подпункт "з" - "утвердить положение об информационной системе "Реестры программного обеспечения". Контрольного срока исполнения у этого подпункта нет, но вообще-то с момента его включения в ПП прошло уже более полутора лет - можно было бы уже сподобиться и разработать хотя бы первую версию такого положения. Но - нет.
2. "... утвержден порядок и методика подтверждения соответствия ПО дополнительным требованиям, утвержденным постановлением Правительства Российской Федерации от 23.03.2017 № 325 (приказ Минкомсвязи России 19.12.2018 №722)"
Циникс уже писал раньше про это пресловутое ПП 325 от 2017 года и методику к нему в виде приказа 722 от конца 2018 года. Министерство только с третьей попытки и с опозданием более, чем на год, смогло родить эту методику и даже сподобилось проверить по ней целых 3 (прописью - три!) офисных пакета, с перечня функциональности одного из которых, собственно, все требования ПП 325 и списаны. При этом, до сих пор (то есть, через полгода после состоявшейся проверки по методике и через два года после контрольного срока) факт соответствия, как минимум, одного офисного пакета требованиям ПП 325 не отражен в реестре ПО - просто потому, что там так и не появились поля для отображения подобных сведений.
Итак про письмо одного министра другому.
Понятно, что, хоть письмо и подписано министром, писалось оно совсем другими людьми. Конкретно - в департаменте, подчиняющемся замминистра А.Соколову, который в Минкомсвязи отвечает за всю движуху, связанную с импортозамещением и централизованными закупками ПО. Если Циникс правильно ориентируется в нынешней структуре министерства, то это Департамент развития отрасли ИТ (кстати, директор этого департамента Д.Никитин выступал на совещании с ФОИВами 6 августа как раз по теме централизованных закупок ПО в сфере ответственности Минкомсвязи - и про централизованные закупки Циникс тоже еще напишет).
Поэтому, когда дальше Циникс будет нелицеприятно высказываться по поводу письма, это будут высказывания не по адресу министра, а по адресу конкретных письмописателей (хотя, конечно же, общую направленность письма все равно задавал кто-то на уровне руководства министерства).
Общий тон письма - истерика в связи с весьма вероятной угрозой отмены жесткого (хотя, ну какой он жесткий-то?) запрета на закупки иностранного ПО. Типа - мы тут уже третий год всем госам запрещаем закупать иностранное ПО (хоть нас и мало кто слушается), а тут вдруг этот запрет отменят. Как же дальше-то жить и работать, без возможности нанести максимальную пользу стране?
Аргументы и факты, которые приводятся в письме, возможно, на уровне межминистерских переписок и отмазок могут и проканать, но въедливый глаз Циникса "горбуху" сразу различает - тем более, что раньше он уже писал на эти темы.
Пойдем по пунктам (курсивом - цитаты из письма, ниже - комментарии Циникса).
1. "Минкомсвязью России в 2018-2019 гг. проведена работа по актуализации нормативной правовой базы, регламентирующей функционирование Реестров"
В пункте 7 ПП 1236, в котором расписаны все обязательные действия Минкомсвязи в связи с принятием ПП 1236 и сроки выполнения этих действий, в конце 2017 года (после изменений, внесенных ПП 1594) появился подпункт "з" - "утвердить положение об информационной системе "Реестры программного обеспечения". Контрольного срока исполнения у этого подпункта нет, но вообще-то с момента его включения в ПП прошло уже более полутора лет - можно было бы уже сподобиться и разработать хотя бы первую версию такого положения. Но - нет.
2. "... утвержден порядок и методика подтверждения соответствия ПО дополнительным требованиям, утвержденным постановлением Правительства Российской Федерации от 23.03.2017 № 325 (приказ Минкомсвязи России 19.12.2018 №722)"
Циникс уже писал раньше про это пресловутое ПП 325 от 2017 года и методику к нему в виде приказа 722 от конца 2018 года. Министерство только с третьей попытки и с опозданием более, чем на год, смогло родить эту методику и даже сподобилось проверить по ней целых 3 (прописью - три!) офисных пакета, с перечня функциональности одного из которых, собственно, все требования ПП 325 и списаны. При этом, до сих пор (то есть, через полгода после состоявшейся проверки по методике и через два года после контрольного срока) факт соответствия, как минимум, одного офисного пакета требованиям ПП 325 не отражен в реестре ПО - просто потому, что там так и не появились поля для отображения подобных сведений.
3. "Механизм осуществления закупок из Реестров является ключевым инструментом в проведении государственной политики по импортозамещению ПО в рамках государственного заказа, что подтверждается ежегодной тенденцией роста указанных показателей (с 2016 по 2018 гг. доля государственных закупок отечественного ПО увеличилась с 25% до 65%)."
Этот пункт - песня! Вот про эти странные темпы роста - то ли с 20%, в 2015 году, то ли с 25% в 2016 году до 65% то ли в 2017,то ли в 2018 году, Минкомсвязь рапортует уже, как минимум, в третий раз. Причем, первый раз про рост с 20% до 65% в 2015-2017 годах рапортовал еще прошлый министр, в аккурат за месяц до своей отставки в мае 2018 года. Второй раз ровно с этими же цифрами 20-65, про это говорил год спустя, уже в апреле 2019, главный импортозаместительный замминистра А.Соколов. И вот теперь новая версия - рост с 25% в 2016 до всё тех же 65% в 2018 - уже в переписке двух министров.
"Про долю в 65% российского софта в общем объеме ПО, закупаемого госорганами, — вранье". Это слова не Циникса (хотя, он с ними полностью солидарен, а цитата из публикации нежно любимого Циниксом Синуса еще от апреля 2018 года.
И через год, после очередного рапорта министерства об "успехах" импортозамешения, Синус снова писал про эти странные цифры 20-65.
Циникс очень рекомендует тем своим читателям, кто не читал вышеупомянутые тексты Синуса, сходить по ссылкам и почитать их. Там неплохой анализ про "успехи импортозамещения ПО".
Сам же Циникс дальше попробует объяснить, откуда все-таки взялись эти цифры 20-65 и насколько они похожи на правду.
Этот пункт - песня! Вот про эти странные темпы роста - то ли с 20%, в 2015 году, то ли с 25% в 2016 году до 65% то ли в 2017,то ли в 2018 году, Минкомсвязь рапортует уже, как минимум, в третий раз. Причем, первый раз про рост с 20% до 65% в 2015-2017 годах рапортовал еще прошлый министр, в аккурат за месяц до своей отставки в мае 2018 года. Второй раз ровно с этими же цифрами 20-65, про это говорил год спустя, уже в апреле 2019, главный импортозаместительный замминистра А.Соколов. И вот теперь новая версия - рост с 25% в 2016 до всё тех же 65% в 2018 - уже в переписке двух министров.
"Про долю в 65% российского софта в общем объеме ПО, закупаемого госорганами, — вранье". Это слова не Циникса (хотя, он с ними полностью солидарен, а цитата из публикации нежно любимого Циниксом Синуса еще от апреля 2018 года.
И через год, после очередного рапорта министерства об "успехах" импортозамешения, Синус снова писал про эти странные цифры 20-65.
Циникс очень рекомендует тем своим читателям, кто не читал вышеупомянутые тексты Синуса, сходить по ссылкам и почитать их. Там неплохой анализ про "успехи импортозамещения ПО".
Сам же Циникс дальше попробует объяснить, откуда все-таки взялись эти цифры 20-65 и насколько они похожи на правду.
CNews.ru
Почему Реестр российского ПО так и не смог запустить в стране импортозамещение
По итогам двухлетней работы Реестра российского ПО при Минкомсвязи рынок делает вывод о его безусловной полезности...
Рубрика "Циничная аттестация"
Сегодня у той части читателей Циникса, кто имеет непосредственное отношение к координации информатизации, большой праздник (но многие о нем еще не знают, потому что пашут, как папы Карлы, над всеми этими МПИ, ПИ, ОУ, ЭЗ и ЭПОУ).
Опубликовано постановление Правительства Российской Федерации от 07.08.2019 № 1026 "О применении пункта 19-1 требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации".
Картинка - вместо многих слов. Кому надо, тот поймет - и рванет в ближайший алкогольный магазин за вискарём.
Комментарии Циникса будут.
Сегодня у той части читателей Циникса, кто имеет непосредственное отношение к координации информатизации, большой праздник (но многие о нем еще не знают, потому что пашут, как папы Карлы, над всеми этими МПИ, ПИ, ОУ, ЭЗ и ЭПОУ).
Опубликовано постановление Правительства Российской Федерации от 07.08.2019 № 1026 "О применении пункта 19-1 требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации".
Картинка - вместо многих слов. Кому надо, тот поймет - и рванет в ближайший алкогольный магазин за вискарём.
Комментарии Циникса будут.
Рубрика "Циничная аттестация"
В связи с опубликованной вчера новостью про ПП 1026 (картинка выше) имеет смысл напомнить, что на Регулейшене уже давно , еще с апреля, лежит проект приказа по изменениям в приказ 17 ФСТЭК. Обсуждение уже давно закончилось, в карточке проекта есть свод предложенных и принятых изменений.
Главное новшество этого приказа - аттестат соответствия ГИС будет действовать до конца срока эксплуатации ГИС:
"8. Абзац первый пункта 17.4 изложить в следующей редакции:
«Аттестат соответствия выдается на весь срок эксплуатации информационной системы. Оператор (обладатель информации) в ходе эксплуатации информационной системы обеспечивает поддержку соответствия системы защиты информации аттестату соответствия в рамках реализации мероприятий, предусмотренных пунктом 18 настоящих Требований.»."
Это, конечно, существенно облегчает жизнь информатизаторам - нужно напрячься и пройти эту чертову аттестацию один раз. Вообще, ФСТЭК вносит изменения в свои приказы крайне неохотно, поэтому то, что такой проект появился и прошел обсуждение, не может не радовать. Есть надежда, что новая версия приказа выйдет все-так раньше, чем закончится срок "заморозки" аттестации ГИС по ПП 1026.
До выхода этого приказа, наверно, имеет смысл приостановить активности по аттестации ГИС в тех ФОИВах, где этой темой все-таки занимались. Сейчас (после изменений в приказ 17 от 15.02.2017) срок действия аттестата составляет 5 лет (раньше было 3 года) и не факт, что аттестаты, выданные до утверждения последних изменений в приказе 17 автоматически станут бессрочными.
Ссылка на карточку проекта на Регулейшене - https://regulation.gov.ru/projects/List/AdvancedSearch#npa=90839&departments=48
В связи с опубликованной вчера новостью про ПП 1026 (картинка выше) имеет смысл напомнить, что на Регулейшене уже давно , еще с апреля, лежит проект приказа по изменениям в приказ 17 ФСТЭК. Обсуждение уже давно закончилось, в карточке проекта есть свод предложенных и принятых изменений.
Главное новшество этого приказа - аттестат соответствия ГИС будет действовать до конца срока эксплуатации ГИС:
"8. Абзац первый пункта 17.4 изложить в следующей редакции:
«Аттестат соответствия выдается на весь срок эксплуатации информационной системы. Оператор (обладатель информации) в ходе эксплуатации информационной системы обеспечивает поддержку соответствия системы защиты информации аттестату соответствия в рамках реализации мероприятий, предусмотренных пунктом 18 настоящих Требований.»."
Это, конечно, существенно облегчает жизнь информатизаторам - нужно напрячься и пройти эту чертову аттестацию один раз. Вообще, ФСТЭК вносит изменения в свои приказы крайне неохотно, поэтому то, что такой проект появился и прошел обсуждение, не может не радовать. Есть надежда, что новая версия приказа выйдет все-так раньше, чем закончится срок "заморозки" аттестации ГИС по ПП 1026.
До выхода этого приказа, наверно, имеет смысл приостановить активности по аттестации ГИС в тех ФОИВах, где этой темой все-таки занимались. Сейчас (после изменений в приказ 17 от 15.02.2017) срок действия аттестата составляет 5 лет (раньше было 3 года) и не факт, что аттестаты, выданные до утверждения последних изменений в приказе 17 автоматически станут бессрочными.
Ссылка на карточку проекта на Регулейшене - https://regulation.gov.ru/projects/List/AdvancedSearch#npa=90839&departments=48
regulation.gov.ru
Нормативные правовые акты - Официальный сайт для размещения информации о подготовке нормативных правовых актов и результатах их…
Официальный сайт для размещения информации о подготовке федеральными органами исполнительной власти проектов нормативных правовых актов и результатах их общественного обсуждения
Рубрика «Циничная аттестация»
Исторические хроники.
Вообще, история с «принуждением к аттестации» ГИС продолжается уже 3,5 года.
Как известно, приказ 17 ФСТЭК появился еще в 2013 году, но до поры до времени ни регулятор защиты информации в лице ФСТЭК, ни сами ФОИВы как-то не спешили с его практическим применением. Конечно, самые продвинутые и самые замороченные на информационной безопасности ведомства начали практиковать аттестацию своих основных систем в соответствии с требованиями новоизданного приказа, но основной массе было не до того – их целью было просто продраться через рогатки и препоны координации (которые, как выясняется теперь, вовсе не были рогатками и препонами, а были прямой и светлой дорогой из желтого кирпича – как раз таки к нынешним рогаткам и препонам).
Но в самом конце 2015 года появился перечень поручений по итогам совещания у Президента по вопросам защиты информации в государственных системах (как принято писать у «посвященных» журналистов, Циникс имел возможность ознакомиться с данным перечнем). Одно из поручений перечня обязывало Минкомсвязи (тогда еще во главе с министром Никоифоровым) усилить контроль за соблюдением требований ИБ-ЗИ в государственных информационных системах. Вот, с самого начала 2016 года это «принуждение к аттестации» и началось.
Правда, поначалу это было не принуждение, а уговоры. В Минкомсвязи довольно долго размышляли, на какой из департаментов возложить эту ответственную задачу, и в итоге решили возложить ее на департамент координации информатизации (ДКИ) и увязать с согласованием планов информатизации. Но в действовавшей на тот момент версии Положения о координации не было подходящего критерия, к которому можно было бы привязать требование о необходимости проведения аттестации ГИС, поэтому вначале все ограничивалось только рекомендациями о необходимости соблюдения приказа 17 ФСТЭК.
Кстати, именно с «принуждения к аттестации» началось абсолютно вольное толкование Минкомсвязью правил оценки ведомственных планов и мероприятий по информатизации (ПИ-МПИ). Все новые «вводные» по госИТ, которые в то время достаточно активно прилетали с уровня Правительства или Администрации Президента, оперативно подверстывались к правилам оценки ПИ-МПИ и становились частью процесса координации, которая уже тогда начала превращаться в профанацию. После «принуждения к аттестации» появились такие же слабо продуманные с методической и организационной точек зрения «принуждение к импортозамещению», «принуждение к централизованной закупке офисного ПО» - и, видимо, очень скоро грядет «принуждение к цифровизации».
Исторические хроники.
Вообще, история с «принуждением к аттестации» ГИС продолжается уже 3,5 года.
Как известно, приказ 17 ФСТЭК появился еще в 2013 году, но до поры до времени ни регулятор защиты информации в лице ФСТЭК, ни сами ФОИВы как-то не спешили с его практическим применением. Конечно, самые продвинутые и самые замороченные на информационной безопасности ведомства начали практиковать аттестацию своих основных систем в соответствии с требованиями новоизданного приказа, но основной массе было не до того – их целью было просто продраться через рогатки и препоны координации (которые, как выясняется теперь, вовсе не были рогатками и препонами, а были прямой и светлой дорогой из желтого кирпича – как раз таки к нынешним рогаткам и препонам).
Но в самом конце 2015 года появился перечень поручений по итогам совещания у Президента по вопросам защиты информации в государственных системах (как принято писать у «посвященных» журналистов, Циникс имел возможность ознакомиться с данным перечнем). Одно из поручений перечня обязывало Минкомсвязи (тогда еще во главе с министром Никоифоровым) усилить контроль за соблюдением требований ИБ-ЗИ в государственных информационных системах. Вот, с самого начала 2016 года это «принуждение к аттестации» и началось.
Правда, поначалу это было не принуждение, а уговоры. В Минкомсвязи довольно долго размышляли, на какой из департаментов возложить эту ответственную задачу, и в итоге решили возложить ее на департамент координации информатизации (ДКИ) и увязать с согласованием планов информатизации. Но в действовавшей на тот момент версии Положения о координации не было подходящего критерия, к которому можно было бы привязать требование о необходимости проведения аттестации ГИС, поэтому вначале все ограничивалось только рекомендациями о необходимости соблюдения приказа 17 ФСТЭК.
Кстати, именно с «принуждения к аттестации» началось абсолютно вольное толкование Минкомсвязью правил оценки ведомственных планов и мероприятий по информатизации (ПИ-МПИ). Все новые «вводные» по госИТ, которые в то время достаточно активно прилетали с уровня Правительства или Администрации Президента, оперативно подверстывались к правилам оценки ПИ-МПИ и становились частью процесса координации, которая уже тогда начала превращаться в профанацию. После «принуждения к аттестации» появились такие же слабо продуманные с методической и организационной точек зрения «принуждение к импортозамещению», «принуждение к централизованной закупке офисного ПО» - и, видимо, очень скоро грядет «принуждение к цифровизации».
Рубрика «Циничная аттестация»
Исторические хроники.
В мае 2016 года вышло постановление Правительства 392, в народе известное как «новое 365-ое», потому что оно достаточно кардинально изменило содержание и смысл Положения о координации, утвержденного «старым 365-м», которое, на самом деле было не 365-м (ПП 365 вышло в 2010 году, но в его составе тогда не было Положения о координации), а было 394-м (ПП 394 от апреля 2012, изменившее ПП 365 от мая 2010). Принципиально новым в «новом 365-м» версии 2016 года было появление нового перечня так называемых приоритетных направлений (ПН), среди которых появилось и ПН 4 – «Защита информации, содержащейся в государственных информационных системах, и обеспечение информационной безопасности при использовании информационно-коммуникационных технологий в деятельности федеральных органов исполнительной власти и органов управления государственными внебюджетными фондами». К каждому ПН прилагался перечень так называемых целевых показателей (ЦП), которые полагалось указывать при планировании МПИ.
ПН 4 и соответствующий ЦП к нему как раз и явились тем средством, которое Минкомсвязи намеревалось использовать уже для более жесткого «принуждения к аттестации». Но вместо того, чтобы сделать значением ЦП для ПН 4 совершенно логично напрашивающееся отношение числа аттестованных ГИС к общему количеству ГИС в ведомстве, в методику оценки был включен совершенно идиотский показатель, названный «Наличие мероприятий по защите информации в соответствии с требованиями».
Ниже Циникс цитирует формулировку этого ЦП в соответствии с одним из основных действующих до настоящего времени методических приказов по координации – приказом 420 от августа 2016:
По приоритетному направлению N 4.
Базовый показатель: "Наличие мероприятий по защите информации в соответствии с требованиями".
Данный показатель рекомендуется устанавливать для мероприятий по информатизации, направленных на создание, развитие, эксплуатацию или вывод из эксплуатации информационных систем. Значение данного показателя устанавливается "Да", если орган государственной власти осуществляет (планирует осуществить) в составе работ мероприятия по защите информации в соответствии с требованиями приказа ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (зарегистрирован в Министерстве юстиции Российской Федерации 31 мая 2013 г., регистрационный N 28608), в обратном случае в значение показателя устанавливается "Нет".
Данный показатель является основным для информационных систем.
То есть, вместо четкого «Аттестовано 7 ГИС из имеющихся 20», который нужно было бы выставлять на уровне всего ПИ, в методике предлагалось для каждого МПИ, направленного на ГИС, писать «Да» или «Нет» в каждом году планирования. А поскольку таких значений в МПИ нужно было указывать 4 (одно базовое, фиксирующее текущее состояние, и по одному для каждых из 3-лет планового периода) шкала значений ЦП для ПН 4 в МПИ выглядела примерно так – «Нет-Нет-Нет-Да» (что на на простом русском языке означало «Сейчас эта ГИС не аттестована, но, возможно, мы займемся аттестацией через 2 года. Но это не точно») или «Нет-Да-Да-Да» (что означало – «Сейчас аттестации нет, но мы обещаем, что начнем ею заниматься в следующем году. Но получим аттестат или нет, неизвестно»).
Эксперты ЦЭКИ, занимающиеся оценкой МПИ, были обучены реагировать на последовательность четырех подряд «Нет» в целевом показателе (потому что это означало, что аттестации нет, и ведомство на эту тему не заморачивается) и в этом случае выставлять замечание к МПИ. В остальных же случаях всё прокатывало – МПИ получало положительную оценку по соответствующему правилу проверки.
Что совсем не гарантировало, что аттестация конкретной ГИС все-таки состоится.
Исторические хроники.
В мае 2016 года вышло постановление Правительства 392, в народе известное как «новое 365-ое», потому что оно достаточно кардинально изменило содержание и смысл Положения о координации, утвержденного «старым 365-м», которое, на самом деле было не 365-м (ПП 365 вышло в 2010 году, но в его составе тогда не было Положения о координации), а было 394-м (ПП 394 от апреля 2012, изменившее ПП 365 от мая 2010). Принципиально новым в «новом 365-м» версии 2016 года было появление нового перечня так называемых приоритетных направлений (ПН), среди которых появилось и ПН 4 – «Защита информации, содержащейся в государственных информационных системах, и обеспечение информационной безопасности при использовании информационно-коммуникационных технологий в деятельности федеральных органов исполнительной власти и органов управления государственными внебюджетными фондами». К каждому ПН прилагался перечень так называемых целевых показателей (ЦП), которые полагалось указывать при планировании МПИ.
ПН 4 и соответствующий ЦП к нему как раз и явились тем средством, которое Минкомсвязи намеревалось использовать уже для более жесткого «принуждения к аттестации». Но вместо того, чтобы сделать значением ЦП для ПН 4 совершенно логично напрашивающееся отношение числа аттестованных ГИС к общему количеству ГИС в ведомстве, в методику оценки был включен совершенно идиотский показатель, названный «Наличие мероприятий по защите информации в соответствии с требованиями».
Ниже Циникс цитирует формулировку этого ЦП в соответствии с одним из основных действующих до настоящего времени методических приказов по координации – приказом 420 от августа 2016:
По приоритетному направлению N 4.
Базовый показатель: "Наличие мероприятий по защите информации в соответствии с требованиями".
Данный показатель рекомендуется устанавливать для мероприятий по информатизации, направленных на создание, развитие, эксплуатацию или вывод из эксплуатации информационных систем. Значение данного показателя устанавливается "Да", если орган государственной власти осуществляет (планирует осуществить) в составе работ мероприятия по защите информации в соответствии с требованиями приказа ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (зарегистрирован в Министерстве юстиции Российской Федерации 31 мая 2013 г., регистрационный N 28608), в обратном случае в значение показателя устанавливается "Нет".
Данный показатель является основным для информационных систем.
То есть, вместо четкого «Аттестовано 7 ГИС из имеющихся 20», который нужно было бы выставлять на уровне всего ПИ, в методике предлагалось для каждого МПИ, направленного на ГИС, писать «Да» или «Нет» в каждом году планирования. А поскольку таких значений в МПИ нужно было указывать 4 (одно базовое, фиксирующее текущее состояние, и по одному для каждых из 3-лет планового периода) шкала значений ЦП для ПН 4 в МПИ выглядела примерно так – «Нет-Нет-Нет-Да» (что на на простом русском языке означало «Сейчас эта ГИС не аттестована, но, возможно, мы займемся аттестацией через 2 года. Но это не точно») или «Нет-Да-Да-Да» (что означало – «Сейчас аттестации нет, но мы обещаем, что начнем ею заниматься в следующем году. Но получим аттестат или нет, неизвестно»).
Эксперты ЦЭКИ, занимающиеся оценкой МПИ, были обучены реагировать на последовательность четырех подряд «Нет» в целевом показателе (потому что это означало, что аттестации нет, и ведомство на эту тему не заморачивается) и в этом случае выставлять замечание к МПИ. В остальных же случаях всё прокатывало – МПИ получало положительную оценку по соответствующему правилу проверки.
Что совсем не гарантировало, что аттестация конкретной ГИС все-таки состоится.
Рубрика «Циничная аттестация»
Исторические хроники.
Лафа с «данетками» по ПН 4 продолжалась до начала 2019 года. На самом деле, первые признаки очередного ужесточения ситуации с обязательной аттестацией ГИС случились еще весной 2017 года – тогда вышло ПП 555, которое внесло серьезные изменения в ПП 676 от 2015 года (Циникс здесь не всегда пишет даты и полные названия ПП, потому что эта тема интересна, по-видимому, только «боевым» координаторам, а они в курсе действующей нормативки – ну, по крайней мере, Циникс надеется, что в курсе). Суть изменений в ПП 676 сводилась к тому, что, начиная с 2019 года, не допускается эксплуатация ГИС, не имеющих действующего аттестата соответствия.
Циникс с трудом себе представляет ситуацию, когда в ведомственный ЦОД приходит контролер Минкомсвязи и выключает рубильник в ряду стоек, где размещена неаттестованная ГИС. Хотя, посмотреть на такой цирковой номер Циникс бы не отказался. На практике, конечно, все выглядит проще и бюрократичнее – Минкомсвязи просто перестало согласовывать в планах 2019 года мероприятия по эксплуатации ГИС, у которых нет аттестата соответствия. Всё по любимой классике Циникса – «Нет ручек – нет конфеток!». А раз МПИ не согласовано, Минфин и Казначейство не открывают «шлагбаум» по его финансированию.
В середине 2017 года, когда появились эти изменения в ПП 676, многим координаторам казалось, что 2019 год далеко, до него еще нужно дожить, а потом еще в 2018 году практически целиком сменился состав Минкомсвязи, в том числе, и на координацию пришли совершенно новые люди. Ведомства выжидали, руководствуясь бессмертным принципом Ходжи Насреддина – «А к тому времени или падишах умрёт, или осёл копыта откинет – как-нибудь прокатит».
Но не прокатило. Уже в начале 2019 года ситуация с никак не согласовывающимися МПИ по эксплуатации ГИС стала подниматься наверх – сначала на уровень министра К.Носкова, а потом и на уровень вице-премьера М.Акимова. В начале апреля 2019 вопрос о временной приостановке действия соответствующих пунктов ПП 676 слушался на заседании президиума Правкомиссии по ИТ. Добрые люди еще тогда подогнали Циниксу протокол того заседания, но Циникс до поры до времени хранил молчание – хотя, знал, что запрет на эксплуатацию нетаттестованных ГИС будет приостановлен.
Исторические хроники.
Лафа с «данетками» по ПН 4 продолжалась до начала 2019 года. На самом деле, первые признаки очередного ужесточения ситуации с обязательной аттестацией ГИС случились еще весной 2017 года – тогда вышло ПП 555, которое внесло серьезные изменения в ПП 676 от 2015 года (Циникс здесь не всегда пишет даты и полные названия ПП, потому что эта тема интересна, по-видимому, только «боевым» координаторам, а они в курсе действующей нормативки – ну, по крайней мере, Циникс надеется, что в курсе). Суть изменений в ПП 676 сводилась к тому, что, начиная с 2019 года, не допускается эксплуатация ГИС, не имеющих действующего аттестата соответствия.
Циникс с трудом себе представляет ситуацию, когда в ведомственный ЦОД приходит контролер Минкомсвязи и выключает рубильник в ряду стоек, где размещена неаттестованная ГИС. Хотя, посмотреть на такой цирковой номер Циникс бы не отказался. На практике, конечно, все выглядит проще и бюрократичнее – Минкомсвязи просто перестало согласовывать в планах 2019 года мероприятия по эксплуатации ГИС, у которых нет аттестата соответствия. Всё по любимой классике Циникса – «Нет ручек – нет конфеток!». А раз МПИ не согласовано, Минфин и Казначейство не открывают «шлагбаум» по его финансированию.
В середине 2017 года, когда появились эти изменения в ПП 676, многим координаторам казалось, что 2019 год далеко, до него еще нужно дожить, а потом еще в 2018 году практически целиком сменился состав Минкомсвязи, в том числе, и на координацию пришли совершенно новые люди. Ведомства выжидали, руководствуясь бессмертным принципом Ходжи Насреддина – «А к тому времени или падишах умрёт, или осёл копыта откинет – как-нибудь прокатит».
Но не прокатило. Уже в начале 2019 года ситуация с никак не согласовывающимися МПИ по эксплуатации ГИС стала подниматься наверх – сначала на уровень министра К.Носкова, а потом и на уровень вице-премьера М.Акимова. В начале апреля 2019 вопрос о временной приостановке действия соответствующих пунктов ПП 676 слушался на заседании президиума Правкомиссии по ИТ. Добрые люди еще тогда подогнали Циниксу протокол того заседания, но Циникс до поры до времени хранил молчание – хотя, знал, что запрет на эксплуатацию нетаттестованных ГИС будет приостановлен.
Рубрика «Циничная аттестация»
Циничные прогнозы.
Итак, надежды и чаяния координаторов всея федеральных ведомств сбылись – запрет на эксплуатацию неаттестованных ГИС отложен до 1 июля 2020 года. Что это означат на практике?
Начнем с неочевидных обстоятельств. Сам по себе запрет на эксплуатацию ГИС не очень-то и пугает ведомства. Уже достаточно широко распространена практика, когда ФОИВы вообще не планируют мероприятия по эксплуатации своих ГИС (которые в абсолютном большинстве не аттестованы), а перебрасывают эту функцию (и соответствующие финансовые средства) на свои подведы, которые совсем не обязаны согласовывать свои бюджетные расходы с Минкомсвязью. При этом, на справедливо возникающие у Минкомсвязи вопросы об отсутствии в планах ведомств мероприятий по эксплуатации ГИС ведомства на голубом глазу отвечают, что таковая эксплуатация будет проводиться силами собственных ИТ-специалистов ведомства и подведомственных учреждений.
Но засада кроется в том, что, помимо эксплуатации, ведомства довольно часто планируют развитие своих ГИС. А вот развивать – по методикам координации – можно только такую ГИС, которая официально находится в эксплуатации. Ранее выпущенные приказы ведомств о вводе в эксплуатацию ГИС без аттестации их по требованиям приказа 17 ФСТЭК, фактически, являются юридически ничтожными, потому что этот самый приказ 17 (и ПП 676 заодно) нарушают. А раз не было официального ввода в эксплуатацию, значит, не может быть и развития такой ГИС. То есть, ведомства находятся под угрозой (у Циникса нет полной картины – только гипотезы, основанные на знании практики Минкомсвязи и экспертов ЦЭКИ) отказа в согласовании им мероприятий, связанных с развитием ГИС. А поскольку особенности государственной автоматизации таковы, что реальные работы по развитию систем начинаются и ведутся задолго до официального согласования плановых мероприятий и объявления соответствующих закупок (именно отсюда и возникают контракты, в которых за 2-3 недели перед концом года нужно разработать систему стоимостью в несколько сот миллионов рублей), то ведомства оказываются в ситуации, когда не могут соблюсти собственные неформальные обязательства, данные компаниям-разработчикам. «Придворным» разработчикам, конечно, особо деваться некуда – они терпят, работают без авансов, под честное слово заказчиков из ФОИВов, но и у самых терпеливых, бывает, заканчивается терпение.
Сейчас очень быстро будут согласованы все ранее несогласовывающиеся мероприятия, связанные с неаттестованными ГИС. Но это планы 2019 года. Учитывая, что приостановка действия пунктов 15 и 19-1 ПП 676 в части недопуска к эксплуатации неаттестованных ГИС имеет крайним сроком 1 июля 2020 года, это означает, что и мероприятия 2020 года большинство ФОИВов успеет согласовать без заморочек с аттестацией. То есть, неотвратимая угроза аттестации отодвинута, по крайней мере, до цикла планирования 2021-2023 гг.
Но! В пункте 3 апрельского протокола Правкомиссии, вырезку из которого Циникс повесил выше, есть еще слова про план-график аттестации ГИС, который все ФОИвы должны были представить в президум Правкомиссии еще в апреле 2019 – вместе с указанием «подрасстрельных» замов руководителей ФОИВ, которые за эту аттестацию будут отвечать. Если допустить, что в ФОИВах знали о готовящейся отсрочке обязательности аттестации, можно предположить, что в графике они назвали сроки, максимально приближенные к 1 июля 2020 года.
Циничные прогнозы.
Итак, надежды и чаяния координаторов всея федеральных ведомств сбылись – запрет на эксплуатацию неаттестованных ГИС отложен до 1 июля 2020 года. Что это означат на практике?
Начнем с неочевидных обстоятельств. Сам по себе запрет на эксплуатацию ГИС не очень-то и пугает ведомства. Уже достаточно широко распространена практика, когда ФОИВы вообще не планируют мероприятия по эксплуатации своих ГИС (которые в абсолютном большинстве не аттестованы), а перебрасывают эту функцию (и соответствующие финансовые средства) на свои подведы, которые совсем не обязаны согласовывать свои бюджетные расходы с Минкомсвязью. При этом, на справедливо возникающие у Минкомсвязи вопросы об отсутствии в планах ведомств мероприятий по эксплуатации ГИС ведомства на голубом глазу отвечают, что таковая эксплуатация будет проводиться силами собственных ИТ-специалистов ведомства и подведомственных учреждений.
Но засада кроется в том, что, помимо эксплуатации, ведомства довольно часто планируют развитие своих ГИС. А вот развивать – по методикам координации – можно только такую ГИС, которая официально находится в эксплуатации. Ранее выпущенные приказы ведомств о вводе в эксплуатацию ГИС без аттестации их по требованиям приказа 17 ФСТЭК, фактически, являются юридически ничтожными, потому что этот самый приказ 17 (и ПП 676 заодно) нарушают. А раз не было официального ввода в эксплуатацию, значит, не может быть и развития такой ГИС. То есть, ведомства находятся под угрозой (у Циникса нет полной картины – только гипотезы, основанные на знании практики Минкомсвязи и экспертов ЦЭКИ) отказа в согласовании им мероприятий, связанных с развитием ГИС. А поскольку особенности государственной автоматизации таковы, что реальные работы по развитию систем начинаются и ведутся задолго до официального согласования плановых мероприятий и объявления соответствующих закупок (именно отсюда и возникают контракты, в которых за 2-3 недели перед концом года нужно разработать систему стоимостью в несколько сот миллионов рублей), то ведомства оказываются в ситуации, когда не могут соблюсти собственные неформальные обязательства, данные компаниям-разработчикам. «Придворным» разработчикам, конечно, особо деваться некуда – они терпят, работают без авансов, под честное слово заказчиков из ФОИВов, но и у самых терпеливых, бывает, заканчивается терпение.
Сейчас очень быстро будут согласованы все ранее несогласовывающиеся мероприятия, связанные с неаттестованными ГИС. Но это планы 2019 года. Учитывая, что приостановка действия пунктов 15 и 19-1 ПП 676 в части недопуска к эксплуатации неаттестованных ГИС имеет крайним сроком 1 июля 2020 года, это означает, что и мероприятия 2020 года большинство ФОИВов успеет согласовать без заморочек с аттестацией. То есть, неотвратимая угроза аттестации отодвинута, по крайней мере, до цикла планирования 2021-2023 гг.
Но! В пункте 3 апрельского протокола Правкомиссии, вырезку из которого Циникс повесил выше, есть еще слова про план-график аттестации ГИС, который все ФОИвы должны были представить в президум Правкомиссии еще в апреле 2019 – вместе с указанием «подрасстрельных» замов руководителей ФОИВ, которые за эту аттестацию будут отвечать. Если допустить, что в ФОИВах знали о готовящейся отсрочке обязательности аттестации, можно предположить, что в графике они назвали сроки, максимально приближенные к 1 июля 2020 года.
Рубрика «Циничная аттестация»
Циничные прогнозы.
Неискушенный читатель (хотя, Циникс надеется, что среди его аудитории таких нет) может спросить: «А в чем, собственно, проблема с аттестацией ГИС? Ведь если судить по доступным госконтрактам в ЕИС госзакупок, подобные работы обходятся в достаточно скромные суммы – как правило, единицы миллионов рублей для ГИС, разработка которых стоила десятки (а нередко и сотни) миллионов рублей. Разве так сложно потратить несколько процентов бюджета разработки и эксплуатации ГИС на то, чтобы выполнить формальные требования по защите информации и получить аттестат соответствия?» Вот в этом-то и корень проблемы.
Дело даже не в том, что у координаторов федеральных ведомств бюджеты информатизации напоминают «тришкин кафтан», и они постоянно вынуждены решать, затыкание какой конкретной «дыры» является в настоящий момент наиболее приоритетным – и если есть возможность оставить какую-то «дыру» неприкрытой (например, ту самую аттестацию ГИС – вроде бы, обязательную, а вроде и не очень), то «дыру» так и оставляют. Проблема в том, что аттестация ГИС – это айсберг, у которого, как известно, над поверхностью видна только малая часть.
Сами работы по аттестации – их состав в зависимости от класса защищенности ГИС, сложность и стоимость – вполне понятны, предсказуемы и измеримы в деньгах. Но непредсказуемой очень часто бывает степень готовности самой ГИС к аттестации. Совершенно не секрет, что многие системы ваяются по хорошо известному принципу (Циникс здесь приводит его цензурный вариант) – «Хрена-хренак – и в продакшен!» «Подсистемы защиты информации» в таких ГИС нередко являют собой стандартный модуль парольной защиты на входе и, в лучшем случае, разграничение доступа к функциям, информации и документам внутри системы по ролевому принципу. При аттестационных проверках отрицательное заключение о невозможности аттестации может появиться уже на первом десятке пунктов из чек-листа. Именно поэтому существуют весьма востребованные услуги предаттестационного аудита ГИС и подготовки к аттестации. И вот эти-то услуги по стоимости уже вполне сопоставимы со стоимостью разработки системы – ведь, фактически, подготовка к аттестации такой ГИС нередко превращается в полноценную разработку подсистемы ЗИ-ИБ, которая была «оптимизирована» при первоначальной разработке.
И речь идет уже не о единицах миллионов, а о десятках миллионов рублей – в расчете на одну ГИС. В среднем, на одно федеральное ведомство приходится около десятка ГИС (Циникс не случайно подчеркнул слова «в среднем» - реальный разброс очень значительный), а это значит, что на честную подготовку и проведение аттестации – снова, в среднем – каждоиу ФОИВу потребуются бюджеты, измеряемые сотнями миллионов рублей. А где их взять? Вопрос риторический.
Поэтому Циникс совершенно не исключает такого сценария развития ситуации, при котором ряд ГИС будет принудительно лишаться своего государственного статуса и, следовательно, выводиться из-под нависающей «гильотины аттестации» (в последнее время слово «гильотина» - в хорошем его смысле – стало весьма популярным в кругах реформаторов госуправления, вот Циникс решил его тоже употребить).
Но фокус с «разгосударствлением» ГИС удастся провернуть далеко не всем ФОИВам и далеко не со всеми ныне существующими ГИС. В этом случае вполне реальным выглядит вариант с уводом ГИС в подведы ФОИВов. Сейчас на подведы уже сбрасываются не подлежащие координационному контролю бюджеты эксплуатации ГИС (а иногда – и бюджеты развития), поэтому полная передача ГИС на баланс подведов, хотя, и будет выглядеть с точки зрения контролеров координации, включая Счетную палату, нарушением нормативки, но позволит осуществлять их финансирование за границами действия ПП 365.
Циничные прогнозы.
Неискушенный читатель (хотя, Циникс надеется, что среди его аудитории таких нет) может спросить: «А в чем, собственно, проблема с аттестацией ГИС? Ведь если судить по доступным госконтрактам в ЕИС госзакупок, подобные работы обходятся в достаточно скромные суммы – как правило, единицы миллионов рублей для ГИС, разработка которых стоила десятки (а нередко и сотни) миллионов рублей. Разве так сложно потратить несколько процентов бюджета разработки и эксплуатации ГИС на то, чтобы выполнить формальные требования по защите информации и получить аттестат соответствия?» Вот в этом-то и корень проблемы.
Дело даже не в том, что у координаторов федеральных ведомств бюджеты информатизации напоминают «тришкин кафтан», и они постоянно вынуждены решать, затыкание какой конкретной «дыры» является в настоящий момент наиболее приоритетным – и если есть возможность оставить какую-то «дыру» неприкрытой (например, ту самую аттестацию ГИС – вроде бы, обязательную, а вроде и не очень), то «дыру» так и оставляют. Проблема в том, что аттестация ГИС – это айсберг, у которого, как известно, над поверхностью видна только малая часть.
Сами работы по аттестации – их состав в зависимости от класса защищенности ГИС, сложность и стоимость – вполне понятны, предсказуемы и измеримы в деньгах. Но непредсказуемой очень часто бывает степень готовности самой ГИС к аттестации. Совершенно не секрет, что многие системы ваяются по хорошо известному принципу (Циникс здесь приводит его цензурный вариант) – «Хрена-хренак – и в продакшен!» «Подсистемы защиты информации» в таких ГИС нередко являют собой стандартный модуль парольной защиты на входе и, в лучшем случае, разграничение доступа к функциям, информации и документам внутри системы по ролевому принципу. При аттестационных проверках отрицательное заключение о невозможности аттестации может появиться уже на первом десятке пунктов из чек-листа. Именно поэтому существуют весьма востребованные услуги предаттестационного аудита ГИС и подготовки к аттестации. И вот эти-то услуги по стоимости уже вполне сопоставимы со стоимостью разработки системы – ведь, фактически, подготовка к аттестации такой ГИС нередко превращается в полноценную разработку подсистемы ЗИ-ИБ, которая была «оптимизирована» при первоначальной разработке.
И речь идет уже не о единицах миллионов, а о десятках миллионов рублей – в расчете на одну ГИС. В среднем, на одно федеральное ведомство приходится около десятка ГИС (Циникс не случайно подчеркнул слова «в среднем» - реальный разброс очень значительный), а это значит, что на честную подготовку и проведение аттестации – снова, в среднем – каждоиу ФОИВу потребуются бюджеты, измеряемые сотнями миллионов рублей. А где их взять? Вопрос риторический.
Поэтому Циникс совершенно не исключает такого сценария развития ситуации, при котором ряд ГИС будет принудительно лишаться своего государственного статуса и, следовательно, выводиться из-под нависающей «гильотины аттестации» (в последнее время слово «гильотина» - в хорошем его смысле – стало весьма популярным в кругах реформаторов госуправления, вот Циникс решил его тоже употребить).
Но фокус с «разгосударствлением» ГИС удастся провернуть далеко не всем ФОИВам и далеко не со всеми ныне существующими ГИС. В этом случае вполне реальным выглядит вариант с уводом ГИС в подведы ФОИВов. Сейчас на подведы уже сбрасываются не подлежащие координационному контролю бюджеты эксплуатации ГИС (а иногда – и бюджеты развития), поэтому полная передача ГИС на баланс подведов, хотя, и будет выглядеть с точки зрения контролеров координации, включая Счетную палату, нарушением нормативки, но позволит осуществлять их финансирование за границами действия ПП 365.
Кстати, в «самом новом ПП 365» - очередном проекте изменений в главный координационный НПА – хоть и провозглашается распространение норм координации на подведы ФОИВов, но делается это очень своеобразно. Под «каток координации» попадают только подведы, являющиеся казенными учреждениями (навскидку Циникс знает такие только в Минфине и ФСИНе, но это навскидку), а вот бюджетные и автономные учреждения обязаны будут только отчитываться о своих ИТ-расходах, но не согласовывать их через все механизмы координации.
Интересно, вот тот умник, который придумал именно такой вариант расширения действия ПП 365, держал в голове мысль про ГИСы и подведы?
В качестве вишенки на торте ко всем вышеприведенным рассуждениям Циникса. Главная координационная система Минкомсвязи - ФГИС КИ - еще с 2017 года находится в полном финансовом ведении министерского координационного подведа ЦЭКИ. Ее развитие и эксплуатация осуществляются за счет субсидий, которые Минкомсвязь распределяет на ЦЭКИ. И никаких проблем с согласованием МПИ по этой ФГИС...
Интересно, вот тот умник, который придумал именно такой вариант расширения действия ПП 365, держал в голове мысль про ГИСы и подведы?
В качестве вишенки на торте ко всем вышеприведенным рассуждениям Циникса. Главная координационная система Минкомсвязи - ФГИС КИ - еще с 2017 года находится в полном финансовом ведении министерского координационного подведа ЦЭКИ. Ее развитие и эксплуатация осуществляются за счет субсидий, которые Минкомсвязь распределяет на ЦЭКИ. И никаких проблем с согласованием МПИ по этой ФГИС...
Рубрика "Циничный учет"
Кстати, в протоколе президиума Правкомиссии, вырезку из которого Циникс повесил выше, в том самом вопросе про "заморозку" требования аттестации ГИС есть еще четвертый пункт (он просто на другой странице протокола оказался и в вырезку не попал.
Циникс цитирует:
"Минкомсвязи России (К.Ю.Носкову) в срок до 18 апреля 2019 г. представить в президиум Комиссии предложения по совершенствованию учета и классификации информационных систем".
Учитывая, что протокол заседания датирован 4 апреля, на подготовку предложений было отведено 2 недели - что, в общем-то, немало для подготовки рабочей записки.
Для уверенного толкования этого пункта протокола у Циникса информации недостаточно, но есть общее понимание, про что могла пойти речь в контексте, с одной стороны, аттестации ГИС, а с другой, отмеченной в протоколе необходимости совершенствования учета и классификации информационных систем.
Можно допустить, что представителям Минкомсвязи был задан вполне естественный вопрос со стороны вице-премьера, например - "А сколько у нас всего ГИС в ведомствах и сколько из них имеют аттестаты соответствия?" И вот тут министерские, наверняка, поплыли...
Потому что точного ответа ни на первую часть вопроса, ни на вторую не знает никто. То есть, совсем никто. Даже Циникс имеет приблизительные (хотя, и похожие на правду) оценки по первой части вопроса, но не представляет, какая цифра является ответом на вторую часть.
И скорее всего, в этом месте министерские начали объяснять вице-премьеру, насколько сложно (на самом деле, бестолково - это мнение Циникса) устроен учет информационных систем ведомств, что не всегда понятно, какие системы нужно относить к ГИС, а какие не нужно (хотя, и здесь все ясно - если просто сесть и подумать), что некоторые системы являются комплексными и состоят из нескольких ГИС, для каждой из которых нужен отдельный аттестат соответствия (вот, например в ГИИС "Электронный бюджет" практически два десятка подсистем, каждую их которых аттестовали отдельно). И так далее...
Запутаться во всей этой мешанине несложно, даже Циникс - несмотря на свой богатый жизненный опыт - иногда путается. Что же взять с простого вице-премьера, привыкшего воспринимать ИТ-системы исключительно как объекты расходования бюджетных средств? Вот, скорее всего, после таких объяснений и появился в протоколе четвертый пункт поручений.
Интересно в этой истории то, что после того заседания прошло уже 4 месяца, а каких-то заметных утечек из Минкомсвязи про готовящуюся реформу учета не появлялось. Хотя, ей уже давно следовало бы случиться - учет ИС до сих пор ведется по дурацким методикам 2013 года. И вот то, что утечек не было, скорее всего, говорит не о качестве контроля за рапространением конфиденциальной информации, а о том, что до настоящего времени ничего стоящего на тему учета и классификации ведомственных ИС в Минкомсвязи не придумали.
Кстати, в протоколе президиума Правкомиссии, вырезку из которого Циникс повесил выше, в том самом вопросе про "заморозку" требования аттестации ГИС есть еще четвертый пункт (он просто на другой странице протокола оказался и в вырезку не попал.
Циникс цитирует:
"Минкомсвязи России (К.Ю.Носкову) в срок до 18 апреля 2019 г. представить в президиум Комиссии предложения по совершенствованию учета и классификации информационных систем".
Учитывая, что протокол заседания датирован 4 апреля, на подготовку предложений было отведено 2 недели - что, в общем-то, немало для подготовки рабочей записки.
Для уверенного толкования этого пункта протокола у Циникса информации недостаточно, но есть общее понимание, про что могла пойти речь в контексте, с одной стороны, аттестации ГИС, а с другой, отмеченной в протоколе необходимости совершенствования учета и классификации информационных систем.
Можно допустить, что представителям Минкомсвязи был задан вполне естественный вопрос со стороны вице-премьера, например - "А сколько у нас всего ГИС в ведомствах и сколько из них имеют аттестаты соответствия?" И вот тут министерские, наверняка, поплыли...
Потому что точного ответа ни на первую часть вопроса, ни на вторую не знает никто. То есть, совсем никто. Даже Циникс имеет приблизительные (хотя, и похожие на правду) оценки по первой части вопроса, но не представляет, какая цифра является ответом на вторую часть.
И скорее всего, в этом месте министерские начали объяснять вице-премьеру, насколько сложно (на самом деле, бестолково - это мнение Циникса) устроен учет информационных систем ведомств, что не всегда понятно, какие системы нужно относить к ГИС, а какие не нужно (хотя, и здесь все ясно - если просто сесть и подумать), что некоторые системы являются комплексными и состоят из нескольких ГИС, для каждой из которых нужен отдельный аттестат соответствия (вот, например в ГИИС "Электронный бюджет" практически два десятка подсистем, каждую их которых аттестовали отдельно). И так далее...
Запутаться во всей этой мешанине несложно, даже Циникс - несмотря на свой богатый жизненный опыт - иногда путается. Что же взять с простого вице-премьера, привыкшего воспринимать ИТ-системы исключительно как объекты расходования бюджетных средств? Вот, скорее всего, после таких объяснений и появился в протоколе четвертый пункт поручений.
Интересно в этой истории то, что после того заседания прошло уже 4 месяца, а каких-то заметных утечек из Минкомсвязи про готовящуюся реформу учета не появлялось. Хотя, ей уже давно следовало бы случиться - учет ИС до сих пор ведется по дурацким методикам 2013 года. И вот то, что утечек не было, скорее всего, говорит не о качестве контроля за рапространением конфиденциальной информации, а о том, что до настоящего времени ничего стоящего на тему учета и классификации ведомственных ИС в Минкомсвязи не придумали.
Рубрика "Циничная статистика"
А вот это реально круто - пост Циникса про проект изменений в приказе 17 ФСТЭК с момента его публикации прочитало втрое больше людей, чем имеется подписчиков у Циникса. И это в выходной день!
Наверняка, кто-то из читателей забросил ссылку на пост в какую-то специальную группу глубокого изучения приказа 17.
Ну что ж, это радует - хоть и отдельными постами, но Циникс уже приносит пользу людям
А вот это реально круто - пост Циникса про проект изменений в приказе 17 ФСТЭК с момента его публикации прочитало втрое больше людей, чем имеется подписчиков у Циникса. И это в выходной день!
Наверняка, кто-то из читателей забросил ссылку на пост в какую-то специальную группу глубокого изучения приказа 17.
Ну что ж, это радует - хоть и отдельными постами, но Циникс уже приносит пользу людям
Рубрика "Циничное импортозамещение"
Помните, Циникс обещал тут пару дней назад прокомментировать цифры "20-65", два года подряд звучавшие в высказываниях минкомсвязевских представителей относительно роста доли закупок отечественного ПО? Так вот, Циникс не забыл и честно исследовал этот вопрос - нашел первоисточники этих цифр (не статистику закупок и не аналитику, а то, откуда эти цифры попали в публичные высказывания представителей министерства и в официальные письма).
Ничего удивительного - цифры взялись из годовых отчетов, готовившихся к итоговым заседаниям расширенной коллегии Минкомсвязи в 2017-2018 гг. Кстати (и это стало для Циникса откровением), в 2019 году традиционной весенней расширенной коллегии (обычно она проходила в апреле-мае) не было. Это было завершение первого года в кресле министра для К.Носкова и вот почему-то подведения итогов этого года не состоялось. Интересно, почему?
Вернемся к цифрам по закупкам отечественного ПО.
Сейчас Циникс расскажет анекдот из категории "18+" (Циникс рассчитывает, что среди его читателей нет таких, кто не попадает в эту возрастную категорию), а потом объяснит, к чему это было.
В расположенных по соседству и постоянно конкурирующих друг с другом деревнях Вилларибо и Виллабаджо однажды проводили антропологическое исследование - устанавливали средний размер полового члена у мужской части жителей каждой из деревень.
Оказалось что средний размер члена в Вилларибо — 14 см, а в Виллабаджо — 25 см.
Как могла возникнуть такая разница?
Очень просто - в Вилларибо измеряли линейкой, а в Виллабаджо проводили опрос.
Так вот. Рост объема закупок отечественного ПО был выявлен путем опросов, проведенных в ФОИВах (причем, эти опросы проводились исключительно в отношении импортозамещаемого офисного ПО), а также на основании данных подсистемы ФГИС КИ "Электронный регион", куда субъекты РФ тоже самостоятельно вводят показатели.
Вот такое Виллабаджо у нас в импортозамещении...
Помните, Циникс обещал тут пару дней назад прокомментировать цифры "20-65", два года подряд звучавшие в высказываниях минкомсвязевских представителей относительно роста доли закупок отечественного ПО? Так вот, Циникс не забыл и честно исследовал этот вопрос - нашел первоисточники этих цифр (не статистику закупок и не аналитику, а то, откуда эти цифры попали в публичные высказывания представителей министерства и в официальные письма).
Ничего удивительного - цифры взялись из годовых отчетов, готовившихся к итоговым заседаниям расширенной коллегии Минкомсвязи в 2017-2018 гг. Кстати (и это стало для Циникса откровением), в 2019 году традиционной весенней расширенной коллегии (обычно она проходила в апреле-мае) не было. Это было завершение первого года в кресле министра для К.Носкова и вот почему-то подведения итогов этого года не состоялось. Интересно, почему?
Вернемся к цифрам по закупкам отечественного ПО.
Сейчас Циникс расскажет анекдот из категории "18+" (Циникс рассчитывает, что среди его читателей нет таких, кто не попадает в эту возрастную категорию), а потом объяснит, к чему это было.
В расположенных по соседству и постоянно конкурирующих друг с другом деревнях Вилларибо и Виллабаджо однажды проводили антропологическое исследование - устанавливали средний размер полового члена у мужской части жителей каждой из деревень.
Оказалось что средний размер члена в Вилларибо — 14 см, а в Виллабаджо — 25 см.
Как могла возникнуть такая разница?
Очень просто - в Вилларибо измеряли линейкой, а в Виллабаджо проводили опрос.
Так вот. Рост объема закупок отечественного ПО был выявлен путем опросов, проведенных в ФОИВах (причем, эти опросы проводились исключительно в отношении импортозамещаемого офисного ПО), а также на основании данных подсистемы ФГИС КИ "Электронный регион", куда субъекты РФ тоже самостоятельно вводят показатели.
Вот такое Виллабаджо у нас в импортозамещении...
Рубрика «Циничное импортозамещение»
В принципе, по теме обсуждения успехов Минкомсвязи в части импортозамещения ПО (см. предыдущий пост) можно было бы остановиться на констатации того факта, что Минкомсвязь – это такое наше Виллабаджо, где исследователи верят опрашиваемым на слово.
Но у нас есть и собственное Вилларибо, в котором все исследователи оснащены линейками – это Счетная палата. В январском (2019 г.) номере бюллетеня СП помещен материал с длинным названием «Отчет о результатах экспертно-аналитического мероприятия «Мониторинг и оценка эффективности мер по импортозамещению в части осуществления закупок программного обеспечения для государственных и муниципальных нужд за истекший период 2018 года». Циникс обращает внимание читателей на дату публикации – январь 2019 – и напоминает, что высказывания минкомсвязевских деятелей в духе «Широко шагает импортозамещение ПО по российским просторам!» с ключевой вилкой «20-65» датированы весной 2018 и 2019 годов (то есть, к моменту второго заявления отчет СП уже существовал в опубликованном виде).
Вот дословная цитата из годового отчета Минкомсвязи за 2017 год, подготовленного в апреле 2018:
В результате с 2015 года доля отечественного ПО при осуществлении госзакупок федеральными органами исполнительной власти (ФОИВ), субъектами РФ, органами местного самоуправления (ОМСУ) увеличилась с 20% до 65%.
Среднестатистическое значение показателя доли закупок отечественного готового ПО в общем объеме закупок готового ПО показывает рост с 2015 года более чем в два раза: для органов исполнительной власти субъектов РФ и ОМСУ составляет 68,4%, для ФОИВ — 73,5%.
Итак, фиксируем для памяти – доля импортозамещения ПО в ФОИВ за 2017 год оценивается Минкомсвязью весной 2018 года в 73,5%.
А теперь читаем отчет СП, готовившийся в течение практически всего 2018 года:
Среднестатистическое значение показателя «Доля закупок отечественного программного обеспечения, включенного в Реестр, в общем объеме закупок программного обеспечения» за период 2017-2018 годов для федеральных органов исполнительной власти Российской Федерации, государственных внебюджетных фондов Российской Федерации составила 50,1 %, что соответствуют уровню, указанному в проекте паспорта национального проекта «Цифровая экономика Российской Федерации»
В отчете СП указан источник информации – письмо Минкомсвязи от 24 октября 2018 года № КН-П8-074-25124. Первые две буквы “КН” в номере письма означают, что оно подписано министром К.Носковым, а следующий дальше префикс “П8” говорит о том, что готовилось письмо в Департаменте развития архитектуры и координации информатизации (это именно тот департамент, который рулит всем процессом координации и добывает из ФГИС КИ все цифры,которые нужны руководству).
Чувствуете разницу? В апреле 2018 уровень импортозамещения ПО в ФОИВах 73,5% (это со слов представителей «Виллабаджо»), а в октябре 2018 он уже вдруг падает до 50,1% (а это измерения линейкой из «Вилларибо»).
Насчет того, куда делись с апреля по октябрь 2018 года более 23% импортозамещенного ПО, у Циникса есть несколько версий, самая правдоподобная из которых – козни инопланетян.
Зато в апреле 2019 всё опять здорово, и уровень импортозамещения подпрыгивает до 65% (видимо, инопланетянам стало стыдно, и они вернули похищенное назад, удержав НДС).
В принципе, по теме обсуждения успехов Минкомсвязи в части импортозамещения ПО (см. предыдущий пост) можно было бы остановиться на констатации того факта, что Минкомсвязь – это такое наше Виллабаджо, где исследователи верят опрашиваемым на слово.
Но у нас есть и собственное Вилларибо, в котором все исследователи оснащены линейками – это Счетная палата. В январском (2019 г.) номере бюллетеня СП помещен материал с длинным названием «Отчет о результатах экспертно-аналитического мероприятия «Мониторинг и оценка эффективности мер по импортозамещению в части осуществления закупок программного обеспечения для государственных и муниципальных нужд за истекший период 2018 года». Циникс обращает внимание читателей на дату публикации – январь 2019 – и напоминает, что высказывания минкомсвязевских деятелей в духе «Широко шагает импортозамещение ПО по российским просторам!» с ключевой вилкой «20-65» датированы весной 2018 и 2019 годов (то есть, к моменту второго заявления отчет СП уже существовал в опубликованном виде).
Вот дословная цитата из годового отчета Минкомсвязи за 2017 год, подготовленного в апреле 2018:
В результате с 2015 года доля отечественного ПО при осуществлении госзакупок федеральными органами исполнительной власти (ФОИВ), субъектами РФ, органами местного самоуправления (ОМСУ) увеличилась с 20% до 65%.
Среднестатистическое значение показателя доли закупок отечественного готового ПО в общем объеме закупок готового ПО показывает рост с 2015 года более чем в два раза: для органов исполнительной власти субъектов РФ и ОМСУ составляет 68,4%, для ФОИВ — 73,5%.
Итак, фиксируем для памяти – доля импортозамещения ПО в ФОИВ за 2017 год оценивается Минкомсвязью весной 2018 года в 73,5%.
А теперь читаем отчет СП, готовившийся в течение практически всего 2018 года:
Среднестатистическое значение показателя «Доля закупок отечественного программного обеспечения, включенного в Реестр, в общем объеме закупок программного обеспечения» за период 2017-2018 годов для федеральных органов исполнительной власти Российской Федерации, государственных внебюджетных фондов Российской Федерации составила 50,1 %, что соответствуют уровню, указанному в проекте паспорта национального проекта «Цифровая экономика Российской Федерации»
В отчете СП указан источник информации – письмо Минкомсвязи от 24 октября 2018 года № КН-П8-074-25124. Первые две буквы “КН” в номере письма означают, что оно подписано министром К.Носковым, а следующий дальше префикс “П8” говорит о том, что готовилось письмо в Департаменте развития архитектуры и координации информатизации (это именно тот департамент, который рулит всем процессом координации и добывает из ФГИС КИ все цифры,которые нужны руководству).
Чувствуете разницу? В апреле 2018 уровень импортозамещения ПО в ФОИВах 73,5% (это со слов представителей «Виллабаджо»), а в октябре 2018 он уже вдруг падает до 50,1% (а это измерения линейкой из «Вилларибо»).
Насчет того, куда делись с апреля по октябрь 2018 года более 23% импортозамещенного ПО, у Циникса есть несколько версий, самая правдоподобная из которых – козни инопланетян.
Зато в апреле 2019 всё опять здорово, и уровень импортозамещения подпрыгивает до 65% (видимо, инопланетянам стало стыдно, и они вернули похищенное назад, удержав НДС).
Если говорить серьезно, Циникс никогда и не заблуждался насчет корректности цифр, сообщаемых Минкомсвязью по теме координации – просто потому, что очень хорошо представляет, как эти цифры готовятся.
Когда прилетает очередная «генеральская» команда о подготовке справки об успехах, в битву за цифры бросаются все доступные ресурсы – сотрудники департамента координации и эксперты ЦЭКИ. Проблема в том, что структура хранения информации в ФГИС КИ и ее функциональность не позволяют получать необходимые аналитические срезы автоматически – все цифры приходится собирать вручную, препарируя под нужным углом выгрузки данных из ФГИС КИ.
Неискушенный читатель отчета СП, наверное, не обратил внимания на то, что неоднократно в тексте упоминаются данные о закупках, собранные из ЕИС госзакупок. И если в отношении закупок субъектов РФ и муниципалов такие ссылки вполне логичны (потому что ФГИС КИ не охватывает информатизацию на этих уровнях – если не считать подсистему «Электронный регион», куда данные вносятся самими субъектами без всякого перекрестного контроля), то почему за данными по ИТ-закупкам ФОИВов тоже пришлось обращаться в ЕИС, а не в ФГИС КИ, не очень понятно – если не знать, что качество информации в ФГИС КИ просто не позволяет получить нужные данные, а то, что получается, несет на себе печать «опроса в Виллабаджо».
Теме качества информации по госинформатизации Циникс планирует посвятить еще не один пост, но это точно будет не сегодня и не завтра. Следите за анонсами.
А для тех, кому интересно почитать полный отчет Счетной палаты по импортозамещению ПО, Циникс выкладывает ниже файл с этим отчетом. Это небольшое отступление от принципа Циникса не выкладывать в канал материалы, доступные на сайтах первоисточников, но оно объясняется человеколюбием Циникса - в файле только текст одного отчета, а не весь бюллетень СП.
⬇️⬇️⬇️
Когда прилетает очередная «генеральская» команда о подготовке справки об успехах, в битву за цифры бросаются все доступные ресурсы – сотрудники департамента координации и эксперты ЦЭКИ. Проблема в том, что структура хранения информации в ФГИС КИ и ее функциональность не позволяют получать необходимые аналитические срезы автоматически – все цифры приходится собирать вручную, препарируя под нужным углом выгрузки данных из ФГИС КИ.
Неискушенный читатель отчета СП, наверное, не обратил внимания на то, что неоднократно в тексте упоминаются данные о закупках, собранные из ЕИС госзакупок. И если в отношении закупок субъектов РФ и муниципалов такие ссылки вполне логичны (потому что ФГИС КИ не охватывает информатизацию на этих уровнях – если не считать подсистему «Электронный регион», куда данные вносятся самими субъектами без всякого перекрестного контроля), то почему за данными по ИТ-закупкам ФОИВов тоже пришлось обращаться в ЕИС, а не в ФГИС КИ, не очень понятно – если не знать, что качество информации в ФГИС КИ просто не позволяет получить нужные данные, а то, что получается, несет на себе печать «опроса в Виллабаджо».
Теме качества информации по госинформатизации Циникс планирует посвятить еще не один пост, но это точно будет не сегодня и не завтра. Следите за анонсами.
А для тех, кому интересно почитать полный отчет Счетной палаты по импортозамещению ПО, Циникс выкладывает ниже файл с этим отчетом. Это небольшое отступление от принципа Циникса не выкладывать в канал материалы, доступные на сайтах первоисточников, но оно объясняется человеколюбием Циникса - в файле только текст одного отчета, а не весь бюллетень СП.
⬇️⬇️⬇️