− Добрый день, Иван! Скажите, пожалуйста, что такое государственная информационная система?
− Понятие государственной информационной системы дано в Федеральном законе от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Оно включает в себя несколько правовых признаков: 1) ГИС формируется за счёт государственного финансирования в рамках закупочных процедур; 2) используется для реализации возложенных полномочий или взаимодействия между госорганами; 3) создаётся на основании федеральных законов, законов субъектов Российской Федерации, правовых актов государственных органов.
− Ваша деятельность предполагает сотрудничество с региональными информатизаторами?
− Да, конечно, больше половины проектов и всей профессиональной деятельности компании «Кейсистемс – Безопасность» связано с участием в создании и развитии государственных информационных систем. Мы обеспечиваем их защиту. Также на основе наших продуктов создаются региональные информационные системы по управлению информационной безопасностью. В 25 регионах России используют наши продукты при работе с ГИС, в частности в Министерстве цифрового развития Красноярского края, Министерстве цифрового развития и связи Кузбасса.
− На что стоит обратить внимание при работе с ГИС?
− В 2015 году вышло постановление Правительства РФ от 06.07.2015 № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации», которое «навело порядок» и разъяснило проблемные места, связанные с эксплуатацией ГИС. Его часто называют постановлением Правительства о жизненном цикле ГИС. Хотя многие вопросы получили однозначную трактовку в нём, на деле мы до сих пор сталкиваемся с проблемами или недопониманием некоторых моментов.
− Хотелось бы подробнее остановиться на них.
− Уже в первых редакциях постановления было прописано, что при создании государственной информационной системы должна разрабатываться концепция, содержащая целостный взгляд на её функции, содержание, финансовое обоснование. На практике же мы часто сталкивались с тем, что концепцию писали в последний момент или не писали вовсе.
В конце 2022 года появилась концептуальная возможность создавать информационные системы с осознанным выбором либо последовательного, либо итерационного подхода. Если последовательный подход предполагает разработку ГИС по каскадной модели («Водопад»), при которой в рамках проекта надо полностью создать информационную систему либо реализовать какой-то отдельный этап, то итерационный подход основан на гибкой методологии Agile, которая позволяет создавать ГИС очередями, циклами и непрерывно совершенствовать её на протяжении всего проекта. Это даёт более понятный и управляемый результат, позволяет выводить итерации в отдельные госконтракты из года в год и описывать концепцию в горизонте нескольких лет.
− Какие ещё факторы стоит учитывать при создании ГИС?
− При создании новой государственной информационной системы стоит учитывать уже реализованный IT-ландшафт региона, принятые архитектурные решения. Поэтому эти данные где-то должны консолидироваться. К сожалению, на местах редко можно получить полную актуальную информацию о структуре IT-ландшафта региона. Часто это связано с кадровыми изменениями и перестановками. Бывало, при реализации проектов и анализе защищённости выявляли государственную информационную систему, про которую уже все забыли. Также надо понимать, как взаимодействуют информационные системы друг с другом. Встречаются ситуации, когда одни и те же полномочия реализуются и в одной системе, и в другой. Это влияет на целостность IT-архитектуры.
Ещё один важный пункт – организация процесса по управлению требованиями к информационным системам: как функциональными, так и нефункциональными.
− Что вы подразумеваете под этим?
− Этот вопрос очень значим, так как создание и эксплуатация информационных систем становятся сложнее. Если раньше заказчик сам создавал ГИС и далее её использовал в своей работе, то теперь ситуация поменялась. Эксплуатацию и даже организацию закупок для функциональных заказчиков теперь организовывает министерство цифрового развития с подведомственными учреждениями, но при этом они должны учитывать требования функционального заказчика – например, министерства финансов. Соответственно, расширяется перечень заинтересованных лиц и нередко при приёмке информационной системы звучит фраза: «Мы не это имели в виду».
− Очевидно, работа с государственными информационными системами – очень ответственная и трудоёмкая. Учитываются ли требования по информационной безопасности при их создании?
− Ещё в 2013 году многие дискутировали на эту тему. Предлагали вначале запустить информационную систему, а потом подумать о её безопасности. Некоторые считали, что создание ИС и её защиту надо разносить в разные закупки. Но постановление № 676 даёт однозначное толкование на этот счёт: требования по информационной безопасности должны учитываться на каждом этапе создания или модернизации информационной системы.
− В завершение разговора скажите, пожалуйста, законодатель определил правила вывода из эксплуатации государственных информационных систем?
− Да, это важный момент, который надо организационно и технически сопровождать. Нельзя просто перестать использовать ГИС и забыть о ней, надо оформить соответствующие документы с указанием оснований для прекращения эксплуатации.
При выводе информационной системы из эксплуатации особо надо обратить внимание на два момента при работе с содержащимися в ней данными. Во-первых, если информацию не надо хранить, то стоит обеспечить её надёжное уничтожение, если надо – её архивное долговременное хранение. Во-вторых, сроки хранения информации определяются государственным органом – оператором, но они не могут быть меньше установленных сроков для такой же информации на бумажных носителях. Так, если информация, которая хранилась и обрабатывалась в ИС, на бумаге должна была храниться 50 лет, то придётся обеспечивать её долговременную сохранность.
И напоследок скажу: наша компания работает над тем, чтобы IT-ландшафт региона накапливался, консолидировался и развивался (АльфаРеестр). Весь организационный процесс по обеспечению безопасности государственных информационных систем мы реализуем в нашем зрелом приложении АльфаДок. Сейчас прототипируем и прорабатываем с заинтересованными заказчиками новый продукт по управлению содержанием проектов цифровой трансформации, который уже в этом году войдёт в экосистему приложений «Альфа». Поэтому ждите новостей!
− Благодарю за беседу, Иван! Успехов вам во всех начинаниях!
Беседовала Людмила Егорова
