______________________________________
Евтюшкин А.В.
Статья рекомендована И.Н. Курносовым 22.08.2013 г.
Аннотация
Предлагается методология проведения аудита информационно-технологической инфраструктуры органа государственной власти. Целью аудита является определение исходных данных для планирования развития ИТ-инфраструктуры, которая рассматривается как совокупность нормативно-правового, организационного (включая кадровое) и технологического (совокупность аппаратных и программных средств) обеспечения. Указывается, что главной задачей аудита является оценка соответствия ИТ-инфраструктуры органа государственной власти целям и задачам, а также процессам его деятельности. Предложенная методология апробирована на практике при выполнении аудита ИТ-инфраструктуры Минспорта России.
Ключевые слова:
информационно-технологическая инфраструктура, органы государственной власти, архитектурный подход, аудит, оценка.
В настоящее время органы государственной власти как федерального, так и регионального уровня ускоренными темпами переходят на предоставление государственных услуг в электронной форме. Актуальна и задача публикации открытых государственных данных, которая определена Федеральным законом от 7 июня 2013 г. № 112-ФЗ. Кроме того, в соответствии с указанием Правительственной комиссией по внедрению информационных технологий в деятельность государственных органов и органов местного самоуправления ведомства обязаны планировать информатизацию государственных органов, вести учет информационных систем и компонентов информационно-телекоммуникационной инфраструктуры [1]. Эти задачи не могут быть решены без адекватной информационно-технологической поддержки.
Однако любое планирование развития ИТ-инфраструктуры не будет адекватным, если предварительно не определить исходное ее состояние. Для этого целесообразно провести аудит (оценку) ИТ-инфраструктуры, с тем чтобы:
• определить соответствие имеющейся ИТ-инфраструктуры целям и задачам деятельности ведомства и требованиям процессов этой деятельности (то есть, в терминах архитектурного подхода, соответствие архитектуры систем и технологической архитектуры имеющейся и планируемой архитектуре деятельности ведомства);
• выявить недостающие элементы ИТ-инфраструктуры ведомства, вследствие чего не обеспечивается поддержка целей, задач и процессов его деятельности;
• определить номенклатуру элементов ИТ-инфраструктуры ведомства, необходимых для обеспечения перспективных целей, задач и направлений его деятельности (в дополнение к уже имеющимся);
• сформировать набор рекомендаций по доведению ИТ-инфраструктуры ведомства до уровня, при котором обеспечивается необходимая поддержка его целей, задач и процессов деятельности.
По результатам аудита становится возможным сформировать обоснованную программу мероприятий по развитию ИТ-инфраструктуры, определить приоритетные задачи, а также сформировать бюджет ИТ-развития ведомства.
Важный вопрос – определение требований к ИТ-инфраструктуре ведомства, прежде всего к ее составу. По сути, она является автоматизированной системой управления – в соответствии с ГОСТом 24.104-85 «Автоматизированные системы управления. Общие требования». Согласно этому стандарту в состав автоматизированной системы управления, кроме программно-аппаратного комплекса (техническое и программное обеспечение, в терминах ГОСТа), входит целый ряд видов обеспечения. Более подробно они перечислены в ГОСТе 34.602-89 «Техническое задание на создание автоматизированной системы». Применительно к ИТ-инфраструктуре уровня ведомства можно не рассматривать такие низкоуровневые виды обеспечения, как математическое и лингвистическое. Важными для этого уровня являются следующие виды обеспечения:
• правовое (так как деятельность органа государственной власти не может осуществляться вне соответствующей нормативно-правовой базы);
• организационное (включая кадровое);
• техническое;
• программное.
Информационное обеспечение предполагает:
• поступление необходимой для работы ведомства информации в электронной форме;
• обмен информацией между ведомством и внешними организациями в электронной форме;
• интероперабельность на организационном, семантическом и технологическом уровнях;
• наличие единой нормативно-справочной информации.
Очевидное требование создания в ведомстве единого информационного пространства, диктуемое лучшими современными достижениями в области электронной администрации (e-administration[2]), требует архитектурного подхода к построению ИТ-инфраструктуры ведомства, который широко используется в ведущих зарубежных странах. В качестве одного из наиболее ярких примеров можно привести США, где на федеральном уровне принят и используется комплекс руководящих документов по архитектурному подходу к построению федеральных организаций (включая построение их информационно-технологической инфраструктуры) [3]. Указанный подход представляет архитектуру организации как совокупность архитектуры деятельности, архитектуры информационных систем и технологической архитектуры. При этом архитектура информационных систем должна определяться архитектурой деятельности (которую информационные системы должны поддерживать), а технологическая архитектура – требованиями архитектуры информационных систем и архитектуры деятельности.
На каждом уровне (архитектуры деятельности, архитектуры информационных систем и технологической архитектуры) представлены такие архитектурные аспекты, как: архитектура данных; архитектура взаимодействия; архитектура информационной безопасности; архитектура результативности и эффективности.
Для целей первичного аудита сложившейся ИТ-инфраструктуры ведомства целесообразно ограничиться определением принципиального соответствия архитектуры информационных систем и обеспечивающей ее технологической инфраструктуры требованиям, соответствующим архитектуре деятельности ведомства, то есть совокупности имеющихся и требуемых процессов его деятельности (которые на практике не всегда совпадают).
Таким образом, с точки зрения аудита информационно-технологическая инфраструктура состоит из следующих элементов.
1. Нормативно-правовые.
1.1. Комплекс внутренних нормативных правовых и организационно-распорядительных актов, регламентирующих:
• организацию, полномочия, обязанности и деятельность подразделений и персонала, занимающихся разработкой, созданием, внедрением, технической эксплуатацией и поддержкой информационных систем, прикладного и системного программного обеспечения и аппаратных средств, входящих в информационно-технологическую инфраструктуру ведомства;
• деятельность, права и обязанности персонала, непосредственно использующего информационные технологии для решения задач ведомства.
1.2. Утвержденная руководителем ведомства долгосрочная стратегия информационно-технологического развития отрасли, включающая в себя:
• цели и задачи информационно-технологического развития отрасли;
• цели и задачи информационно-технологического развития ведомства;
• систему контрольных показателей, необходимых и достаточных для оценки выполнения целей и задач;
• целевую системную архитектуру, отражающую состояние текущей и прогнозируемой архитектуры деятельности ведомства.
1.3. Утвержденная руководителем ведомства техническая политика развития информационно-технологического комплекса ведомства, предусматривающая единые требования:
• к автоматизированным рабочим местам (стационарным и мобильным);
• к периферийному оборудованию;
• к центру (центрам) обработки данных;
• к локальным вычислительным сетям;
• к телекоммуникационной инфраструктуре;
• к средствам обеспечения информационной безопасности;
• к организации службы технической поддержки;
• к организации службы эксплуатации ИТ-инфраструктуры;
• к штатной численности служб;
• а также политику сорсинга для получения различных ИТ-сервисов (инсорсинг, аутсорсинг).
1.4. Комплекс организационно-распорядительных документов, относящихся к информационно-технологическому комплексу (приказы о вводе в эксплуатацию элементов информационно-технологического комплекса и др.).
1.5. Наличие соглашения, договора или организационно-распорядительного документа, устанавливающего требования к качеству технического обслуживания информационно-технологического комплекса ведомства.
2. Организационные.
2.1. Руководитель в ранге не ниже заместителя первого руководителя ведомства, курирующий вопросы внедрения и использования информационных технологий в отрасли и ведомстве, и имеющий полномочия и обязанности ИТ-директора (CIO).
2.2. Коллегиальный орган (комиссия, рабочая группа), обладающий полномочиями обсуждения и согласования мероприятий в области внедрения и развития информационных технологий в отрасли и ведомстве и включающий в себя должностных лиц, обладающих достаточными компетенциями.
2.3. Уполномоченные по информационным технологиям в департаментах и отделах ведомства.
2.6. Информационно-технологическая служба ведомства, включающая:
2.6.1. подразделение, ответственное за развитие информационных технологий в отрасли и ведомстве;
2.6.2. подразделение, ответственное за техническую эксплуатацию информационно-технологического комплекса в ведомстве;
2.6.3. подразделение, ответственное за техническую поддержку пользователей информационных технологий в ведомстве.
3. Информационно-технологический комплекс.
3.1. Общая архитектура информационно-технологического комплекса, ее соответствие архитектуре деятельности ведомства.
В качестве архитектуры деятельности должны рассматриваться полномочия и права ведомства согласно действующему Положению о нем. Для каждого полномочия и права должны быть указаны используемые при его реализации информационные системы (при использовании только офисного программного обеспечения – указать) и дана экспертная оценка соответствия этих средств решаемым задачам (экспертным методом на основании интервьюирования руководителей подразделений).
Следует также учитывать внутренние процессы ведомства: документооборот; бухгалтерский учет; кадровый учет; учет материально-технического обеспечения; телефонизацию; видеоконференцсвязь и т.д.
Общая оценка информационной архитектуры ведомства производится по следующим критериям:
• целостность (наличие единой информационной системы либо комплекса информационных систем, объединенных возможностью автоматического обмена данными);
• достаточность (наличие информационно-технологической поддержки всех полномочий и прав, реализуемых ведомством, на уровне информационных систем).
3.2. Обеспечение интероперабельности информационных систем ведомства.
3.2.1. Организационная интероперабельность.
3.2.2. Семантическая интероперабельность.
3.2.3. Технологическая интероперабельность.
3.3. Ведение нормативно-справочной информации ведомства.
Оцениваются:
• наличие специального подразделения или подразделений, ответственных за ведение отдельных видов нормативно-справочной информации ведомства;
• организационные меры по обеспечению единства нормативно-справочной информации при ее изменении (регламентированный порядок изменения и распространения);
• наличие специализированных информационно-технологических средств для ведения нормативно-справочной информации (в том числе в составе информационных систем общего назначения).
3.4. Аппаратные средства.
3.4.1. Оснащенность автоматизированными рабочими местами (персональными компьютерами).
3.4.2. Оснащенность периферийными устройствами.
3.4.3. Оснащенность серверами, наличие и уровень центра (центров) обработки данных.
3.4.4. Состояние локальной вычислительной сети: топология; активное сетевое оборудование; кабельное хозяйство.
3.5. Программные средства.
3.5.1. Офисное прикладное программное обеспечение.
Оценивается соответствие количества лицензий на офисное прикладное программное обеспечение количеству рабочих станций и решаемым задачам.
3.5.2. Системное программное обеспечение для рабочих станций; для серверов.
3.5.3. Используемые информационные системы.
Должны быть выявлены все используемые ведомством информационные системы (включая внешние, к которым ведомство имеет доступ, например, СМЭВ, МЭДО, порталы федеральных ведомств – при наличии на них соответствующих учетных записей, и др.).
4. Информационная безопасность.
4.1. Организация информационной безопасности:
• руководитель, ответственный за информационную безопасность ведомства;
• уполномоченные по информационной безопасности в департаментах и отделах ведомства;
• проведение инвентаризации и классификации информационных активов;
• политики информационной безопасности;
• модели угроз и нарушителей.
4.2. Обеспечение целостности данных.
4.3. Обеспечение доступности данных.
4.4. Обеспечение конфиденциальности данных.
4.5. Защита персональных данных.
Для проведения аудита должны быть получены все документы, относящиеся к вышеперечисленным показателям. Кроме того, проводятся экспертные интервью всех руководителей подразделений (до уровня отделов) ведомства, в ходе которых уточняются данные о фактическом использовании ИТ-инфраструктуры для решения задач подразделений.
Оценка соответствия информационно-технологической инфраструктуры производится экспертным методом по следующей методологии: каждый из вышеперечисленных показателей экспертным методом оценивается в баллах (по пятибалльной шкале) с точки зрения соответствия целям, задачам и направлениям деятельности ведомства.
Очевидно, что аудит ИТ-инфраструктуры ведомства должен проводиться независимой организацией (так как в противном случае трудно надеяться на его объективность в силу очевидного конфликта интересов). К проведению аудита ИТ-инфраструктуры следует привлекать экспертов, обладающих высокой квалификацией и опытом в области административных процессов и информационных технологий. Опыт показывает, что этап сбора информации занимает не менее 60 рабочих дней, даже при условии полного сотрудничества работников ведомства с экспертами, так как проведение интервью с руководителями подразделений, в силу их занятости, оказывается довольно непростым делом.
Данная методология прошла апробацию в ходе аудита ИТ-инфраструктуры Минспорта России, проведенного в марте–апреле 2013 г.
ВОПРОСЫ К ИНТЕРВЬЮ ДЛЯ НАЧАЛЬНИКОВ ПОДРАЗДЕЛЕНИЙ
1. Какие информационные системы используются в подразделении в настоящее время?
2. Какие административные процессы информатизированы благодаря этим системам? Есть ли на них регламенты, предусматривающие использование информационных систем? Кем утверждены? Когда?
3. Какие административные процессы в подразделении нуждаются в информатизации и не поддержаны информационными системами?
4. Какие учеты/регистры/реестры используются в подразделении? Какие сейчас не используются, но нужны?
5. Какую информацию подразделение собирает из внешних источников (подведомственные организации, региональные органы исполнительной власти и т.п.)? Используются ли для сбора данных информационные технологии?
ЛИТЕРАТУРА
1. Решение Правительственной комиссии от 13 февраля 2013 г. (протокол №1).
2. http://en.wikipedia.org/wiki/E-Administration
3. The Common Approach to Federal Enterprise Architecture (May 2, 2012). http://www.whitehouse.gov/sites/default/files/omb/assets/egov_docs/common_approach_to_federal_ea.pdf
___________________________________
ЕВТЮШКИН Александр Васильевич
Руководитель дирекции перспективных проектов Института развития информационного общества
© Информационное общество, 2013 вып. 5, с. 23-29.