Аудит информационно-технологической инфраструктуры органа государственной власти
Евтюшкин А.В.

Статья рекомендована И.Н. Курносовым 22.08.2013 г.

Аннотация

Предлагается методология проведения аудита информационно-технологической инфраструктуры органа государственной власти. Целью аудита является определение исходных данных для планирования развития ИТ-инфраструктуры, которая рассматривается как совокупность нормативно-правового, организационного (включая кадровое) и технологического (совокупность аппаратных и программных средств) обеспечения. Указывается, что главной задачей аудита является оценка соответствия ИТ-инфраструктуры органа государственной власти целям и задачам, а также процессам его деятельности. Предложенная методология апробирована на практике при выполнении аудита ИТ-инфраструктуры Минспорта России.

Ключевые слова:

информационно-технологическая инфраструктура, органы государственной власти, архитектурный подход, аудит, оценка.

В настоящее время органы государственной власти как федерального, так и регионального уровня ускоренными темпами переходят на предоставление государственных услуг в электронной форме. Актуальна и задача публикации открытых государственных данных, которая определена Федеральным законом от 7 июня 2013 г. № 112-ФЗ. Кроме того, в соответствии с указанием Правительственной комиссией по внедрению информационных технологий в деятельность государственных органов и органов местного самоуправления ведомства обязаны планировать информатизацию государственных органов, вести учет информационных систем и компонентов информационно-телекоммуникационной инфраструктуры [1]. Эти задачи не могут быть решены без адекватной информационно-технологической поддержки.

Однако любое планирование развития ИТ-инфраструктуры не будет адекватным, если предварительно не определить исходное ее состояние. Для этого целесообразно провести аудит (оценку) ИТ-инфраструктуры, с тем чтобы:

• определить соответствие имеющейся ИТ-инфраструктуры целям и задачам деятельности ведомства и требованиям процессов этой деятельности (то есть, в терминах архитектурного подхода, соответствие архитектуры систем и технологической архитектуры имеющейся и планируемой архитектуре деятельности ведомства);

• выявить недостающие элементы ИТ-инфраструктуры ведомства, вследствие чего не обеспечивается поддержка целей, задач и процессов его деятельности;

• определить номенклатуру элементов ИТ-инфраструктуры ведомства, необходимых для обеспечения перспективных целей, задач и направлений его деятельности (в дополнение к уже имеющимся);

• сформировать набор рекомендаций по доведению ИТ-инфраструктуры ведомства до уровня, при котором обеспечивается необходимая поддержка его целей, задач и процессов деятельности.

По результатам аудита становится возможным сформировать обоснованную программу мероприятий по развитию ИТ-инфраструктуры, определить приоритетные задачи, а также сформировать бюджет ИТ-развития ведомства.

Важный вопрос – определение требований к ИТ-инфраструктуре ведомства, прежде всего к ее составу. По сути, она является автоматизированной системой управления – в соответствии с ГОСТом 24.104-85 «Автоматизированные системы управления. Общие требования». Согласно этому стандарту в состав автоматизированной системы управления, кроме программно-аппаратного комплекса (техническое и программное обеспечение, в терминах ГОСТа), входит целый ряд видов обеспечения. Более подробно они перечислены в ГОСТе 34.602-89 «Техническое задание на создание автоматизированной системы». Применительно к ИТ-инфраструктуре уровня ведомства можно не рассматривать такие низкоуровневые виды обеспечения, как математическое и лингвистическое. Важными для этого уровня являются следующие виды обеспечения:

• правовое (так как деятельность органа государственной власти не может осуществляться вне соответствующей нормативно-правовой базы);

• организационное (включая кадровое);

• техническое;

• программное.

Информационное обеспечение предполагает:

• поступление необходимой для работы ведомства информации в электронной форме;

• обмен информацией между ведомством и внешними организациями в электронной форме;

• интероперабельность на организационном, семантическом и технологическом уровнях;

• наличие единой нормативно-справочной информации.

Очевидное требование создания в ведомстве единого информационного пространства, диктуемое лучшими современными достижениями в области электронной администрации (e-administration[2]), требует архитектурного подхода к построению ИТ-инфраструктуры ведомства, который широко используется в ведущих зарубежных странах. В качестве одного из наиболее ярких примеров можно привести США, где на федеральном уровне принят и используется комплекс руководящих документов по архитектурному подходу к построению федеральных организаций (включая построение их информационно-технологической инфраструктуры) [3]. Указанный подход представляет архитектуру организации как совокупность архитектуры деятельности, архитектуры информационных систем и технологической архитектуры. При этом архитектура информационных систем должна определяться архитектурой деятельности (которую информационные системы должны поддерживать), а технологическая архитектура – требованиями архитектуры информационных систем и архитектуры деятельности.

На каждом уровне (архитектуры деятельности, архитектуры информационных систем и технологической архитектуры) представлены такие архитектурные аспекты, как: архитектура данных; архитектура взаимодействия; архитектура информационной безопасности; архитектура результативности и эффективности.

Для целей первичного аудита сложившейся ИТ-инфраструктуры ведомства целесообразно ограничиться определением принципиального соответствия архитектуры информационных систем и обеспечивающей ее технологической инфраструктуры требованиям, соответствующим архитектуре деятельности ведомства, то есть совокупности имеющихся и требуемых процессов его деятельности (которые на практике не всегда совпадают).

Таким образом, с точки зрения аудита информационно-технологическая инфраструктура состоит из следующих элементов.

1. Нормативно-правовые.

1.1. Комплекс внутренних нормативных правовых и организационно-распорядительных актов, регламентирующих:

• организацию, полномочия, обязанности и деятельность подразделений и персонала, занимающихся разработкой, созданием, внедрением, технической эксплуатацией и поддержкой информационных систем, прикладного и системного программного обеспечения и аппаратных средств, входящих в информационно-технологическую инфраструктуру ведомства;

• деятельность, права и обязанности персонала, непосредственно использующего информационные технологии для решения задач ведомства.

1.2. Утвержденная руководителем ведомства долгосрочная стратегия информационно-технологического развития отрасли, включающая в себя:

• цели и задачи информационно-технологического развития отрасли;

• цели и задачи информационно-технологического развития ведомства;

• систему контрольных показателей, необходимых и достаточных для оценки выполнения целей и задач;

• целевую системную архитектуру, отражающую состояние текущей и прогнозируемой архитектуры деятельности ведомства.

1.3. Утвержденная руководителем ведомства техническая политика развития информационно-технологического комплекса ведомства, предусматривающая единые требования:

• к автоматизированным рабочим местам (стационарным и мобильным);

• к периферийному оборудованию;

• к центру (центрам) обработки данных;

• к локальным вычислительным сетям;

• к телекоммуникационной инфраструктуре;

• к средствам обеспечения информационной безопасности;

• к организации службы технической поддержки;

• к организации службы эксплуатации ИТ-инфраструктуры;

• к штатной численности служб;

• а также политику сорсинга для получения различных ИТ-сервисов (инсорсинг, аутсорсинг).

1.4. Комплекс организационно-распорядительных документов, относящихся к информационно-технологическому комплексу (приказы о вводе в эксплуатацию элементов информационно-технологического комплекса и др.).

1.5. Наличие соглашения, договора или организационно-распорядительного документа, устанавливающего требования к качеству технического обслуживания информационно-технологического комплекса ведомства.

2. Организационные.

2.1. Руководитель в ранге не ниже заместителя первого руководителя ведомства, курирующий вопросы внедрения и использования информационных технологий в отрасли и ведомстве, и имеющий полномочия и обязанности ИТ-директора (CIO).

2.2. Коллегиальный орган (комиссия, рабочая группа), обладающий полномочиями обсуждения и согласования мероприятий в области внедрения и развития информационных технологий в отрасли и ведомстве и включающий в себя должностных лиц, обладающих достаточными компетенциями.

2.3. Уполномоченные по информационным технологиям в департаментах и отделах ведомства.

2.6. Информационно-технологическая служба ведомства, включающая:

2.6.1. подразделение, ответственное за развитие информационных технологий в отрасли и ведомстве;

2.6.2. подразделение, ответственное за техническую эксплуатацию информационно-технологического комплекса в ведомстве;

2.6.3. подразделение, ответственное за техническую поддержку пользователей информационных технологий в ведомстве.

3. Информационно-технологический комплекс.

3.1. Общая архитектура информационно-технологического комплекса, ее соответствие архитектуре деятельности ведомства.

В качестве архитектуры деятельности должны рассматриваться полномочия и права ведомства согласно действующему Положению о нем. Для каждого полномочия и права должны быть указаны используемые при его реализации информационные системы (при использовании только офисного программного обеспечения – указать) и дана экспертная оценка соответствия этих средств решаемым задачам (экспертным методом на основании интервьюирования руководителей подразделений).

Следует также учитывать внутренние процессы ведомства: документооборот; бухгалтерский учет; кадровый учет; учет материально-технического обеспечения; телефонизацию; видеоконференцсвязь и т.д.

Общая оценка информационной архитектуры ведомства производится по следующим критериям:

• целостность (наличие единой информационной системы либо комплекса информационных систем, объединенных возможностью автоматического обмена данными);

• достаточность (наличие информационно-технологической поддержки всех полномочий и прав, реализуемых ведомством, на уровне информационных систем).

3.2. Обеспечение интероперабельности информационных систем ведомства.

3.2.1. Организационная интероперабельность.

3.2.2. Семантическая интероперабельность.

3.2.3. Технологическая интероперабельность.

3.3. Ведение нормативно-справочной информации ведомства.

Оцениваются:

• наличие специального подразделения или подразделений, ответственных за ведение отдельных видов нормативно-справочной информации ведомства;

• организационные меры по обеспечению единства нормативно-справочной информации при ее изменении (регламентированный порядок изменения и распространения);

• наличие специализированных информационно-технологических средств для ведения нормативно-справочной информации (в том числе в составе информационных систем общего назначения).

3.4. Аппаратные средства.

3.4.1. Оснащенность автоматизированными рабочими местами (персональными компьютерами).

3.4.2. Оснащенность периферийными устройствами.

3.4.3. Оснащенность серверами, наличие и уровень центра (центров) обработки данных.

3.4.4. Состояние локальной вычислительной сети: топология; активное сетевое оборудование; кабельное хозяйство.

3.5. Программные средства.

3.5.1. Офисное прикладное программное обеспечение.

Оценивается соответствие количества лицензий на офисное прикладное программное обеспечение количеству рабочих станций и решаемым задачам.

3.5.2. Системное программное обеспечение для рабочих станций; для серверов.

3.5.3. Используемые информационные системы.

Должны быть выявлены все используемые ведомством информационные системы (включая внешние, к которым ведомство имеет доступ, например, СМЭВ, МЭДО, порталы федеральных ведомств – при наличии на них соответствующих учетных записей, и др.).

4. Информационная безопасность.

4.1. Организация информационной безопасности:

• руководитель, ответственный за информационную безопасность ведомства;

• уполномоченные по информационной безопасности в департаментах и отделах ведомства;

• проведение инвентаризации и классификации информационных активов;

• политики информационной безопасности;

• модели угроз и нарушителей.

4.2. Обеспечение целостности данных.

4.3. Обеспечение доступности данных.

4.4. Обеспечение конфиденциальности данных.

4.5. Защита персональных данных.

Для проведения аудита должны быть получены все документы, относящиеся к вышеперечисленным показателям. Кроме того, проводятся экспертные интервью всех руководителей подразделений (до уровня отделов) ведомства, в ходе которых уточняются данные о фактическом использовании ИТ-инфраструктуры для решения задач подразделений.

Оценка соответствия информационно-технологической инфраструктуры производится экспертным методом по следующей методологии: каждый из вышеперечисленных показателей экспертным методом оценивается в баллах (по пятибалльной шкале) с точки зрения соответствия целям, задачам и направлениям деятельности ведомства.

Очевидно, что аудит ИТ-инфраструктуры ведомства должен проводиться независимой организацией (так как в противном случае трудно надеяться на его объективность в силу очевидного конфликта интересов). К проведению аудита ИТ-инфраструктуры следует привлекать экспертов, обладающих высокой квалификацией и опытом в области административных процессов и информационных технологий. Опыт показывает, что этап сбора информации занимает не менее 60 рабочих дней, даже при условии полного сотрудничества работников ведомства с экспертами, так как проведение интервью с руководителями подразделений, в силу их занятости, оказывается довольно непростым делом.

Данная методология прошла апробацию в ходе аудита ИТ-инфраструктуры Минспорта России, проведенного в марте–апреле 2013 г.

ВОПРОСЫ К ИНТЕРВЬЮ ДЛЯ НАЧАЛЬНИКОВ ПОДРАЗДЕЛЕНИЙ

1. Какие информационные системы используются в подразделении в настоящее время?

2. Какие административные процессы информатизированы благодаря этим системам? Есть ли на них регламенты, предусматривающие использование информационных систем? Кем утверждены? Когда?

3. Какие административные процессы в подразделении нуждаются в информатизации и не поддержаны информационными системами?

4. Какие учеты/регистры/реестры используются в подразделении? Какие сейчас не используются, но нужны?

5. Какую информацию подразделение собирает из внешних источников (подведомственные организации, региональные органы исполнительной власти и т.п.)? Используются ли для сбора данных информационные технологии?

ЛИТЕРАТУРА

1. Решение Правительственной комиссии от 13 февраля 2013 г. (протокол №1).

2. http://en.wikipedia.org/wiki/E-Administration

3. The Common Approach to Federal Enterprise Architecture (May 2, 2012). http://www.whitehouse.gov/sites/default/files/omb/assets/egov_docs/common_approach_to_federal_ea.pdf

___________________________________

ЕВТЮШКИН Александр Васильевич

Руководитель дирекции перспективных проектов Института развития информационного общества