#10. Инвентаризация государственных ИТ ресурсов

А надо знать, что нет дела, коего устройство было бы труднее, ведение опаснее, а успех сомнительнее, нежели замена старых порядков новыми. Никколо Макиавелли

Инвентаризация чего-бы то ни было чем занимается государство во всей его совокупности органов власти, учреждений и иных организаций - это само по себе большая работа. Часто сопряженная с наказанием виновных и невиновных в отсутствии искомого.

12 декабря Правительством Михаила Мишустина была анонсирована большая инвентаризация ИТ систем в ведении органов власти. Это большая задача, скорее нужная и важная, чем бесполезная. В каком-то смысле запоздалая, но это претензия к предыдущему Правительству Д. Медведева. А вот сроки этой инвентаризации обозначены крайне жесткие, до 31 марта 2021 года необходимо проинвентаризировать практически все ИТ ресурсы ФОИВов. Сроки, скажу честно почти невыполнимые, но, в любом случае, надо смотреть на результаты.

Я ранее немного рассказывал про инвентаризацию государственных доменов, а сейчас настала пора поговорить об инвентаризации ИТ в государстве более серьёзно. В каких-то вопросах я буду излагать начиная с самых азов, для погружения в контекст ситуации и, по возможности, простыми словами.

Зачем вообще всё это нужно

1. Зачем проводить инвентаризацию ИТ ресурсов? Что такое ИТ ресурсы?

2. ИТ ресурсы - это часть ПО или оборудования работающих в ИТ окружении/среде. Их отслеживание необходимо для своевременного их обновления, закупки, обеспечения безопасности, вывода из эксплуатации и , в принципе, понимания объекта(-ов) управления в ИТ.

3. В компаниях с хорошо построенными ИТ службами инвентаризация ИТ ресурсов - это естественная часть работы ИТ подразделения. Туда вносят закупленные лицензии, разработанное ПО, сервисы, договора с ИТ подрядчиками, оборудование и многое другое. Чем крупнее корпорация тем больше потребность в таком всеобъемлющем учёте, в этом смысле ИТ инвентаризация похожа на инвентаризацию всех остальных ресурсов и договоров корпораций (здания, помещения, иная инфраструктура).

4. В случае органов власти, а на самом деле, не только их, но и их подведомственных учреждений и иных структур, ИТ ресурсы имеют двойственную природу. Одна часть неотличима от ИТ ресурсов корпораций и связана с автоматизацией деятельности сотрудников, а другая часть - это функции органа власти, как правило, сконцентрированные в информационных системах.

5. Цели инвентаризации заявленные в распоряжении Правительства РФ, в переводе на простой русский язык - это:

   • мониторинг соблюдение требований по защите информации;

   • определение регистрации госимущества (торговых марок) по итогам создания информационных систем;

   • просто понимать чем владеем, что делается и иметь полную картину перед глазами

6. А вот о разнице между корпорациями и государством стоит поговорить подробнее.

Корпорации vs государство

1. Управление ИТ ресурсами в государстве имеет много сходства и не меньше отличий от управления ИТ ресурсами в среднего размера корпорациях.

2. Сходства в наличии таких ресурсов как информационные системы, инфраструктуры, договоров с подрядчиками, лицензии, выделенные ИТ бюджеты, интеграционные интерфейсы и многое другое.

3. Важнейшие различия в том что:

   • в отличие от корпораций государственные органы живут по законам. Эти законы определяюи наличие или отсутствие у них прав что-либо делать. В отличие от решений принимаемых в корпоративной среде где всё может быть вынесено на совет директоров/правление и решено, в итоге, в директивном порядке, процедуры принятия решений в госуправлении значительно дольше и сложнее;

   • государственное ИТ можно разделить на внутреннюю автоматизацию и выполнение функций органов власти и госучреждений. В первом случае - это мало отличается от негосударственного сектора, во втором - это вопросы политических обязательств, обещаний гражданам со стороны избранных лиц и много другое что может как повлиять на “социальную напряжённость” так и “вызвать негативную реакцию бизнеса“.

   • расходы государства на ИТ и результаты этих расходов по умолчанию значительно более открыты чем у любых корпораций, находятся под пристальным вниманием журналистов, активистов, конкурентов исполнителей по контрактам и многих других. Ошибки стоят (могут стоить) дороже чем в частном секторе.

   • жизненный цикл ИТ систем очень серьёзно привязан к отбору поставщиков и, де факто, всего имеет исключительно водопадную модель разработки для ИТ систем.

   • контроль и аудит за ИТ в государстве несопоставим с корпоративными практиками, госИТ как и любая иная расходная деятельность государства имеет много формальных точек контроля, не связанных с содержательной деятельностью, но сильно влияющей на процессную работу.

4. Несмотря на все эти сложности реальная ситуация с информатизацией всегда очень сильно зависит от конкретных людей и последовательности принимаемых решений. Есть органы власти с огромными бюджетами на ИТ и очень посредственными результатами и есть органы власти с небольшими ИТ расходами и последовательной ИТ политикой и, как следствие, заметными результатами. В этом смысле отличий от корпораций очень мало, всё решает люди и системная работа.

5. Но что было характерно очень многие годы - это из-за отсутствие изначально цельной госполитики в России, органы власти, как минимум на федеральном уровне, выстраивали свои отраслевые колодцы выступая в роли ИТ царьков (в зарубежной литературе это называется digital mandarins) когда принимаемые технологические решения были не едиными, а вертикальными в рамках одного тематического направления (обычно в рамках одного ФОИВа).

6. В результате в разных органах власти сформировался свой “зоопарк“ ИТ решений. Где-то это Oracle + решения на базе Java, где-то это Microsoft SQL + C# + в целом решения на базе экосистемы Windows, где-то это разного рода корпоративные решения от IBM и других компаний. Опять же и в этой части различия между государством и крупной корпорацией только в масштабах.

7. Нельзя при этом сказать что в какой-то момент времени это не было оправданно. Попытки выстроить единую ИТ инфраструктуру в России предпринимались неоднократно, но роли глобального CIO государства в нашей стране никогда не существовало да и сейчас не существует. Минцифры России во всех его реинкарнациях имело всегда ограниченные полномочия в отношении других министерств.

Инвентаризация информационных систем

1. В РФ практически у каждого субъекта федерации есть реестр информационных систем и ресурсов, статус которого определён региональным нормативно-правовым документом.

2. В виду отсутствия какого-либо единого стандарта, качество проработки и детализация этих реестров очень отличаются.

3. Есть субъекты федерации где информация собирается и публикуется в крайне ограниченном объёме. Например, реестр ГИС и ГИР в Москве в PDF формате или реестр ГИС Воронежской области в виде Excel файла с минимумом сведений.

4. Хотелось бы при это, конечно, предполагать что где-то внутри субъектов федерации есть более подробные и детальные реестры, но реальность такова что, как правило, их нет, либо качество их ведения оставляет желать лучшего.

5. Такой реестр существует и на федеральном уровне - это ФГИС Координация информатизации (ФГИС КИ) пришедшая на смену реестра ФГИС который ранее вёл Роскомнадзор.

6. Что важно знать про федеральный реестр - это его “координационную специфику“. Он никогда не был про всеобъемлющий охват всего созданного государством в части ИТ, а только про ту часть и в той части которая должна была согласовываться с Минцифры России другими ФОИВами и, в какой-то малой степени, субъектами федерации.

7. Сама ФГИС КИ - это закрытая система, с минимально доступным объёмом открытых данных, там нет даже карточек информационных систем как это было ранее в реестр Роскомнадзора. О качестве данных во ФГИС КИ можно судить по количество черновиков и тестовых записях упомянутых в их открытых данных.

8. В докладе Открытость ГИС 2020 году от Счетной палаты о ФГИС КИ было написано немало и дополнено в экспертной записке об ИТ бюджетах.

9. Если кратко, то состояние описания информационных систем во ФГИС КИ оставляет желать лучшего. Иначе бы и распоряжения правительства и дорожная карта не появились бы, иначе бы и в дорожной карте принятой этим распоряжением не были бы прописаны весьма жёсткие сроки.

10. Фактически распоряжение Правительства - это распоряжение по модернизации ФГИС КИ, а не полномасштабный ИТ аудит. Почему так? Потому что акцент довольно чётко сделан на государственных информационных системах и государственных информационных ресурсах, а не секрет что многое из ИТ в государственных органах власти “спрятано“ в подведомственных учреждениях, которые, либо являются единственными исполнителями по контрактам с этими ФОИВами, либо являются получателями госзаданий и субсидий.

11. Кроме того существует немалое число АО, ФГУП/ГУП, АНО и иных организаций за рамками бюджетных и казённых учреждений в которых, также, накапливаются информационные системы, часто никак не регламентированные, но с которыми работают другие органы власти. Впрочем, это отдельная большая тема про “расползание“ полномочий госорганов по негосударственным коммерческим и некоммерческим организациям.

12. Возвращаясь к инвентаризации, несмотря на бедственные примеры с инвентаризацией систем в некоторых субъектах федерации и во ФГИС КИ, есть вполне живые примеры детально спроектированных и работающих реестров информационных систем.

А есть ли хорошие примеры

1. При всей плачевности ситуации с ИТ учётом в госуправлении, хорошие примеры тоже есть. Живой пример, Реестр ГИС Санкт-Петербурга, единственный из известных мне реестров ГИС в котором собраны:

   • общие сведения о ГИС

   • сведения о владельце ГИС (наименование, контакты и тд.)

   • сведения об операторе ГИС (наименование, контакты и тд.)

   • сведения о пользователях

   • сведения о разработчиках

   • реквизиты всех НПА связанных с ГИС

   • структура подсистем

   • классификаторы и справочники

   • все контракты

   • государственные полномочия

   • интеллектуальная собственность

   • общее и специальное ПО

   • аппаратные средства и базы данных

   • … и ещё многое другое

2. В какой-то ситуации я мог бы сказать - “посмотрите как сделали в Санкт-Петербурге, возьмите их систему и используйте на всю страну”. Но сложность ситуации в том что хороший реестр информационных систем - это продолжение целостной госполитики в части госинформатизации. Эта госполитика требует организации процессов разработки информационных систем таким образом чтобы ситуация с неактуальностью сведений о информационных системах была бы невозможна.

3. Как это может быть сделано? Ключевое - это цифровизации информатизации. Приёмка систем через сдачу и заполнение всех сведений о информационных системах поставщиками или представителями заказчика, невозможность объявления конкурсов на развитие и сопровождение информационных систем без заполненных и актуальных сведений о информационных системах.

4. Это, не то чтобы просто, но реально сделать в рамках одного субъекта федерации где у губернатора есть возможность дать такие полномочия департаменту/региональному министерству ИТ. И это значительно сложнее делать на федеральном уровне, потому что Минцифры России, в первую очередь регулятор, немного (всё больше) проектный офис и совсем не операционная дирекция по сопровождению подобной работы.

5. Да, частично эта работа выведена в подведы Минцифры России, но, в них и по сей день нет того уровня погружения и проработки этой задачи чтобы подобный процесс работал бы хорошо.

6. Впрочем, возвращаясь к хорошему, примеры такие в субъектах федерации есть. Как минимум стоит поучиться у некоторых субъектов федерации тому как можно организовывать этот процесс.

Кто против

1. Важный момент в инвентаризации ИТ ресурсов в том что далеко не всем это по душе. Противников хватает, даже если они не заявляют о себе явно, но они существуют.

2. В первом ряду идут те ИТ службы в органах власти где ИТ находится в крайне запущенном состоянии. Даже новые руководители этих служб находятся в зависимости от существующего бардака и уже через первый год своей работы они не могут не брать на себя ответственность за то что происходит.

3. Вторыми идут системные интеграторы годами выполняющие многомиллиардные контракты для ФОИВов. Когда информация об этих ГИСах становится более доступной, то у них две проблемы:

   • закономерный вопрос - а на что деньги то пошли?

   • рост конкуренции на торгах, поскольку потенциальные конкуренты больше узнают о системах на которые торги разыгрываются.

4. При этом, тоже отличие государства от корпораций, некоторые интеграторы и ФОИВы могут политическое влияние способное затормозить инвентаризацию даже в ситуации когда она необходима.

Другие цели

1. За пределами информационных систем и за пределами целей по защите информации, регистрации торговых марок и реестра систем в целом, есть немало задач для которых нужна инвентаризация.

2. Пример - данные. Например, в США нет отдельного общедоступного реестра информационных систем, но есть реестр данных органов власти который ведётся в подсистеме инвентаризации inventory.data.gov портала data.gov. Фактически открытые данные на портале - это часть результатов инвентаризации ресурсов, которая определена как общедоступная.

3. В Великобритании данные инвентаризируются как IAR (Information Asset Register). Нет единого его реестра, но есть шаблон публикуемый Национальным архивом и реестры IAR публикуются как открытые данные каждым органом власти.

4. В России создать всероссийский реестр информационных ресурсов предлагал Минфин России в законопроекте о систематизации и гармонизации информации, но этот закон не был принят.

Что ещё должно быть инвентаризировано

1. Самый большой оставшийся вопрос, а что вообще правильно подвергать инвентаризации сейчас. Только ли информационные системы или есть то что также требует внимание?

2. Я могу писать об этом долго, но обращу внимание на то что важна инвентаризация не только ресурсов, но и обязательств, прав и расходов.

3. Это включает: домены, подсети, интерфейсы интеграции, мобильные приложения, архивы, исходный код, данные, права на доступ к базам данных, аккаунты в социальных сетях и многое другое.

4. Придёт ли этому время? Хочется надеяться, скорее всего придёт с неожиданных сторон, пока не хочу загадывать.

Вместо послесловия

В завершение ранее написанного, безусловно, начало ИТ инвентаризации - это правильный шаг, то что она сокращена до 3-х месяцев - это вызывает вопросы. Реестр информационных систем должен быть актуален всегда, а не на дату “последней переписи”. Хорошие и плохие примеры в России есть, важно не смотреть на плохие и использовать лучшие практики.

—

Photo by Franki Chamaki on Unsplash