Вчера, 28 июля, в США вступил в силу обновленный циркуляр A-130, определяющий государственную IT-политику. Изменения подготовило административно-бюджетное управление США (Office of Management and Budget, OMB). В последний раз руководство обновлялось в 2000 году.
Требования циркуляра относятся к управлению информационными системами (ИС) и ресурсами всех федеральных органов исполнительной власти США. Они охватывают активности во всех ИС и медиа (если иное не оговорено отдельно), включая «бумажные» и электронные, говорится в документе.
Циркуляр закрепляет основные положения политики в области планирования, формирования бюджета, управления, закупок и работ, связанных с государственными данными, персоналом, оборудованием, фондами, IT-ресурсами, сопутствующими службами и инфраструктурой. Документ акцентирует роль безопасности и приватности в жизненном цикле государственных информационных систем.
Как сказано в преамбуле к документу, информационные и IT-ресурсы критически важны для социального, политического и экономического процветания США. Они позволяют правительству предоставлять гражданам качественные услуги, с их помощью формируются и распространяются знания, они способствуют повышению продуктивности и развитию нации. Максимальное качество и безопасность федеральных ИС, развитие и внедрение унифицированных всеобъемлющих политик управления информационными ресурсами — важный пункт в деле информирования населения и повышения продуктивности, эффективности и КПД ведомственных программ.
Описываемая циркуляром политика касается следующих областей:
- планирование и бюджет;
- организация управления;
- руководство и персонал;
- управление IT-инвестициями;
- управление и доступ к информации;
- конфиденциальность и безопасность информации;
- электронные подписи;
- делопроизводство;
- эффективное использование развивающегося Интернета.
Также циркуляр устанавливает сферы ответственности отдельных ведомств.
В документе отдельно подчеркивается важность гибкости, динамичности (agile) в работе госструктур: агентства должны структурировать IT-закупки, выделяя из общих инвестиций «практичные» сегменты, т.е. части ИС с более узким диапазоном функций и коротким сроком действия — чтобы снизить риски, повысить гибкость и совместимость продуктов, улучшить подотчетность и соответствие целям агентства, исходя из современного состояния технологий и реалий рынка.
IT-директор государственной организации, одобряя стратегии, планы, запросы закупок или межведомственные соглашения, относящиеся к IT, должен убедиться, что предмет закупки (софт, оборудование, услуга) действительно способен в приемлемый срок нарастить функционал ИС. В любом случае инвестиции в государственные ИС должны обеспечивать гибкость дальнейшего развития в зависимости от будущих обстоятельств, которые нельзя предвидеть в точности.
Читать также: «Администрация США планирует сэкономить на ПО за счет централизации закупок»>>
Обновленный циркуляр также приведен в соответствие с новыми законами в IT-сфере (например, законом о реформировании процесса закупок в сфере IT (Federal IT Acquisition Reform Act, FITARA) и закона о цифровой подотчетности и прозрачности (Digital Accountability and Transparency Act, DATA Act)), директивами президента, постановлениями правительства и новыми технологическими стандартами.
Поскольку важной частью управления цифровыми активами сегодня является защита информации от хакеров, к циркуляру добавлено приложение (Appendix I), касающееся кибербезопасности. Документ содержит минимальные необходимые стандарты и требования безопасности для федеральных агентств:
- производить перепроверку прав систем на доступ к информации постоянно (а не раз в три года, как было предписано ранее) — для лучшей защиты ИС;
- постоянно мониторить активность пользователей, вести необходимые записи, проводить аудит активности — для защиты от внутренних угроз;
- периодически тестировать процедуры обратной связи и документировать выводы по итогам инцидентов — для совершенствования реагирования на чрезвычайные ситуации;
- шифровать информацию высокой и средней важности при ее передаче и хранении;
- убедиться, что условия контрактов удовлетворяют требованиям защиты госданных;
- принять меры, устраняющие угрозы цепочке поставок (не исключено, что к числу таковых относится работа с российскими поставщиками программного обеспечения, сотрудничество с которыми может попасть под санкции – ред.);
- обеспечить гарантии достоверности идентификации пользователей государственных IT-сервисов;
- удостовериться, что сотрудники госораганизации ответственны за соблюдение политики и процедур безопасности и конфиденциальности.
Предыдущий Appendix I, описывавший, как ведомства должны соблюдать закон о неприкосновенности частной жизни (Privacy Act), удалён из новой редакции циркуляра и будет позже в этом году перенесен в циркуляр A-108, посвященный обращению и отчетности по чувствительной информации, говорится в официальном сообщении.
Тем не менее, часть из прежнего Appendix I перенесена в A-130 в виде второго приложения (Appendix II) под названием «Ответственность за управление данными, идентифицирующими личность» (personally identifiable information, PII, данные, при утечке которых их владельцу может быть нанесен существенный вред).
Appendix II требует, чтобы агентства предприняли ряд шагов, в том числе:
- учредить и поддерживать полномасштабную стратегическую программу приватности;
- назначить главу ведомства по конфиденциальности;
- обучить и содержать эффективный штат, занимающийся вопросами конфиденциальности;
- осуществлять оценку нарушений приватности;
- использовать инструмент для риск-менджмента Национального института по стандартам и технологиям (NIST’s Risk Management Framework), чтобы управлять рисками приватности при разработке ИС;
- применять принципы честного использования данных при оценке информационных систем, процессов, программ и активностей, которые затрагивают вопросы конфиденциальности;
- составить опись PII и довести использование PII до минимума, необходимого для выполнения функций ведомства, требующих авторизации;
- ограничить создание, сбор, использование, обработку, хранение, содержание, распространение и раскрытие PII до необходимого минимума.
