Счётная палата завершила экспертно-аналитическое мероприятие, посвященное оценке федеральных государственных информационных систем. О том, какие проблемы цифровизации государственного управления сегодня есть и что предстоит с ними делать, D-Russia рассказал директор департамента аудита цифрового развития и государственной поддержки предпринимательства Счётной палаты Юрий Урсу.
— В России насчитывается несколько тысяч государственных информационных систем. Сколько из них вы исследовали?
— Минцифры по поручению Президента в прошлом году проводило инвентаризацию государственных информационных систем, по их подсчетам получилось 881 федеральных и 3360 региональных ГИС. Мы в ходе мероприятия исследовали только федеральные ГИС, и таковых мы насчитали 630 систем.
— Почему оценки Минцифры и Счетной палаты разнятся?
— Методология инвентаризации, которую проводило Минцифры, не предполагала ручной перепроверки результатов, они опирались на позицию каждого ФОИВ, которые заверяли представленные сведения электронной подписью. Мы же проводили аналитику самостоятельно. Во-первых, мы выявили ряд примеров, когда одна ФГИС проходила под несколькими объектами инвентаризации – такие мы объединяли, были примеры, когда объект учета ошибочно относили к категории государственных, например, какое-нибудь типовое прикладное ПО, такие девиации мы тоже вычищали. Также мы не рассматривали как ГИС сайты учреждений, подведомственных ФОИВ. Во-вторых, есть проблема, связанная с самим статусом государственных информационных систем: в законе не определены критерии, по которым ту или иную систему нужно признавать государственной в обязательном порядке. Однако именно для таких систем существует дополнительное регулирование: есть требования к порядку создания, развитию, эксплуатации и выводу из эксплуатации, дополнительные требования по безопасности, включая аттестацию. Если ведомство хочет упростить себе задачу, оно может создавать не государственную информационную систему, а назвать ее условно ведомственной. Мы для целей мероприятия считали государственными все системы, которые автоматизируют уникальные полномочия ФОИВ, обеспечивают предоставление государственных услуг, решают задачи обмена информацией между ними либо служат для раскрытия информации о деятельности ФОИВ, в том числе их официальные сайты. Даже если сами ведомства такие системы государственными не признают. Минцифры же во многом опиралось на позиции самих ФОИВ.
— В чем недостатки условной ведомственной информационной системы по сравнению с условной государственной?
— В первую очередь для государственных систем установлены особые требования по безопасности: классификация системы, создание модели угроз, согласование с ФСБ и ФСТЭК, проектирование и создание системы защиты информации, аттестация. В условиях ощутимого роста интенсивности кибератак эти аспекты жизненного цикла ГИС становятся все более актуальными. Нужно понимать, что от ряда информационных систем зависит работоспособность самих государственных органов и возможность оказывать гражданам госуслуги, то есть упущения в безопасности таких систем могут обернуться весьма болезненными последствиями.
— Что необходимо для того, чтобы ведомства стали признавать системы государственными и выполняли соответствующие требования?
— Мы рекомендовали Правительству внести изменения в закон, которые установят четкие требования к обязательности отнесения информационных систем к государственным. Такие изменения закроют существующую лазейку и при этом позволят не наказывать никого за ранее допущенные ошибки. Можно будет принять переходные положения: некую отсрочку для приведения систем в соответствие с требованиями к ГИС, потому что это потребует и времени, и затрат. Но порядок навести необходимо.
— Объектом анализа у вас были 630 информационных систем 67 ведомств. Что вы с ними делали? Как производился такой анализ?
— Проектирование мероприятий такого масштаба – отдельная большая работа. Мы глубоко погрузились в изучение международных практик и стандартов как по управлению ИТ, так и по ИТ-аудиту, чтобы найти подходы, которые при столь масштабном исследовании и сравнительно небольших сроках позволят нам сделать обоснованные аудиторские выводы. В том числе мы изучали опыт высших органов аудита других стран. В итоге в качестве методологической основы анализа мы выбрали COBIT в связке с рядом стандартов ИСО и российской нормативной базой. Методология представляет собой каскад целей, в котором отражено влияние ИТ-целей на цели условной организации. Упрощенно мы выбрали три таких сильно зависимых пересечения, которые и проанализировали: оптимизация затрат на предоставление услуг и осуществление функций, доступность информации для принятия управленческих решений и информационная безопасность. При этом объектом исследования у нас были не отдельные ФОИВ, а Правительство вместе с ФОИВ, как единая структура.
— Какие результаты?
— В первую очередь мы поставили себе задачу сопоставить все ФГИС с функциями и услугами ведомств, что в теории должно было дать оценку полноты цифровизации процессов госуправления. На практике мы пришли к неутешительному выводу, что на сегодняшний день отсутствует достоверный реестр таких услуг и функций. Мы сверяли между собой ФРГУ, соответствующий реестр в Электронном бюджете, данные ФГИС КИ, портала административной реформы – данные несопоставимы друг с другом. Даже услуги в ФРГУ и портале Госуслуг не сошлись, хотя первая система формально является источником для второй. В такой ситуации не представляется возможным выявить системы, реализующие схожие или аналогичные функции, оценить перспективы их объединения в платформенные решения, а при создании новых систем возникают риски дублирования расходов на повторную реализацию уже существующей в ранее созданных системах функциональности. Поэтому мы рекомендовали Правительству на основе одного из существующих создать достоверный реестр услуг, функций и полномочий ведомств. Без этого системно заняться устранением накопленной лоскутности информационных систем не получится. У нас на одно ведомство в среднем приходится 9 ФГИС и еще 8 иных информационных систем, в лидерах по количеству ФГИС: Росстат, Роспатент, Минцифры, Росреестр, Минздрав, Минэкономразвития (37, 35, 35, 34, 33, 30 систем соответственно).
— «ГосТех» не решит проблему лоскутности?
— Доменный и платформенный подход в «ГосТехе» помогает лоскутность не наращивать. Но «ГосТех» не решает (и не должен был решать) проблему уже накопленной за десятилетия лоскутности. Этим нужно заниматься отдельно. Мы предложили Правительству оценить существующие системы через применяемое в них программное и аппаратное обеспечение — его актуальность, соответствие требованиям безопасности информации, возможности масштабирования и потенциала развития. Сделать приоритет на вывод из эксплуатации в первую очередь устаревших и небезопасных решений. Учитывая, что совокупные затраты на все ФГИС с момента создания превысили 296 млрд рублей, а само Минцифры России заявляло, что в системах дублируется до 80% функциональности, вопрос наведения порядка в информационных системах в масштабах всего госуправления чрезвычайно актуальный.
— Какие результаты с точки зрения государственных данных?
— Мы собрали описание составов и структур данных всех ФГИС. Насколько я знаю, столь масштабный анализ ранее никем и никогда не проводился. Исходные данные представляли собой более 25 тысяч файлов. Мы увидели, что данные описываются различными способами не только внутри отдельных ведомств, но и даже внутри одной системы – для одной подсистемы описание сделано одним способом, для другой подсистемы – другим. 10% описаний в распоряжении ведомств вообще не машиночитаемы. Почти половина — машиночитаемы, но сформированы не стандартными средствами СУБД, а иными способами, что делает их агрегацию чрезвычайно трудоемкой, а в масштабах всех ФГИС фактически невозможной. Почти треть описаний не содержит метаданных, то есть понять смысл и назначение хранимых в системах данных для внешнего специалиста не представляется возможным. Общая ситуация с описанием данных противоречит мировой практике, изложенной, в частности, в сериях стандартов ГОСТ/ИСО 8000 и 10000. На данный момент сопоставить и свести воедино описание составов и структур данных всех ФГИС не представляется возможным, что влечет за собой невозможность вовлекать эти данные в принятие управленческих решений.
— Что с этим делать?
— С точки зрения составов и структур данных мы рекомендовали Правительству определить стандарт такого описания и сделать это в отношении всех ФГИС. Важно, что мы предлагаем дать доступ к таким описаниям всем ФОИВ, чтобы избавиться от пресловутого ведомственно-центричного подхода к данным. Это шаг ноль, чтобы ведомства узнали, какие данные вообще есть в распоряжении их коллег и какие из них могут оказаться для них полезными. Чем больше данных Вы используете при принятии решений, тем эффективнее и качественнее будут решения — в этом суть цифровой экономики. Все государственные данные должны максимально доступны ведомствам. Мы даже предложили ввести KPI, по которому ведомство при принятии решений должно обязательно вовлекать данные других ведомств. А для случаев, когда ФОИВ почему-то не хочет с коллегами делиться данными, должна быть быстрая и доступная система арбитража. Сейчас такие споры решаются на уровне вице-премьеров, но не каждое ведомство и не в каждом случае готово такие вопросы поднимать на столь высокий уровень. Мы убеждены, что именно в направлении использования накопленных данных кроется колоссальный потенциал повышения качества государственного управления.