Рубрика "Циничные ссылки"
Нет, что ни говори, а ведомственные и подведомственные (в смысле - в подведах) пиарщики это особая порода людей.
Вот и пиарщики подведа Минкомсвязи ЦЭКИ, делая перепост новости о позавчерашнем совещании в министерстве, забывают указать сайт министерства как первоисточник новости, но не забывают при этом поставить над текстом портрет собственного директора, который занимает весь экран.
Но Циникс вообще-то не об этом хотел написать, это просто к слову пришлось.
А главное то, что под этой новостью на сайте ЦЭКИ расположены ссылки на все презентации, демонстрировавшиеся на совещании в Минкомсвязи. И вот за это пиарщикам ЦЭКИ большое и искреннее человеческое спасибо.
Циникс не стал перетаскивать эти презентации к себе в канал - это не в правилах Циникса. Если есть живые ссылки на первоисточниках, Циникс всегда дает такие ссылки, потому что уважает права первого публикатора.
А у себя Циникс даст избранные картинки из этих презентаций со своими комментариями. Но немного позже
Нет, что ни говори, а ведомственные и подведомственные (в смысле - в подведах) пиарщики это особая порода людей.
Вот и пиарщики подведа Минкомсвязи ЦЭКИ, делая перепост новости о позавчерашнем совещании в министерстве, забывают указать сайт министерства как первоисточник новости, но не забывают при этом поставить над текстом портрет собственного директора, который занимает весь экран.
Но Циникс вообще-то не об этом хотел написать, это просто к слову пришлось.
А главное то, что под этой новостью на сайте ЦЭКИ расположены ссылки на все презентации, демонстрировавшиеся на совещании в Минкомсвязи. И вот за это пиарщикам ЦЭКИ большое и искреннее человеческое спасибо.
Циникс не стал перетаскивать эти презентации к себе в канал - это не в правилах Циникса. Если есть живые ссылки на первоисточниках, Циникс всегда дает такие ссылки, потому что уважает права первого публикатора.
А у себя Циникс даст избранные картинки из этих презентаций со своими комментариями. Но немного позже
Рубрика "Циничные комментарии"
#нампишут
Читатель(ница) прислал(а) в секретную почту Циникса комментарий к первому сегодняшнему посту с картинками:
"В публикации от 08.08.19 три первых фотокарточки - это не "одухотворенные лица участников от ФОИВов", а представители ФГБУ ЦЭКИ в основном из высшего руководящего состава и у них на лицах застыли эмоции диаметрально противоположные как по сути, так и по силе ;)"
Циникс на это может заметить только одно - лица представителей ФГБУ ЦЭКИ одухотворены не меньше, чем лица представителей ФОИВов. "Шлите-шлите нам свои мероприятия - уж мы их проэкспертируем, мало не покажется", - как бы говорят они зрителям (и ФОИВам).
#нампишут
Читатель(ница) прислал(а) в секретную почту Циникса комментарий к первому сегодняшнему посту с картинками:
"В публикации от 08.08.19 три первых фотокарточки - это не "одухотворенные лица участников от ФОИВов", а представители ФГБУ ЦЭКИ в основном из высшего руководящего состава и у них на лицах застыли эмоции диаметрально противоположные как по сути, так и по силе ;)"
Циникс на это может заметить только одно - лица представителей ФГБУ ЦЭКИ одухотворены не меньше, чем лица представителей ФОИВов. "Шлите-шлите нам свои мероприятия - уж мы их проэкспертируем, мало не покажется", - как бы говорят они зрителям (и ФОИВам).
Рубрика "Циничная (контр)цензура"
Смешная история с презентациями с позавчерашнего координационного совещания в Минкомсвязи.
Сначала ссылки на 5 презентаций появились на сайте ФГБУ ЦЭКИ под дублем новости про совещание в министерстве.
При этом под новостью на министерском сайте поначалу ссылок на презентации не было, но около 13 часов они там тоже появились, и их тоже было пять.
А спустя примерно час презентаций на министерском сайте стало 4 - исчезла вводная презентация, сопровождавшая выступление замминистра Е.Кислякова. Циникс тут же сбегал на сайт ЦЭКИ, и его опасения подтвердились - презентацию Кислякова убрали и оттуда.
Смешного здесь то, что, во-первых, сама преза была суперкороткой - всего 4 слайда, из которых на трех были расположены титульная заставка, повестка совещания и надпись "Благодарим за внимание", и во-вторых, что те, кто дал команду убрать презентацию из паблика, забыли азбучную истину - "это интернет, детка!". Всё, что единожды попало в интернет, остается в нем навечно.
А убрали презентацию, очевидно, из-за четвертого слайда (в презе он под номером 3), на нем были представлены два списка ФОИВов - те, кто уже смог загнать в свои планы информатизации на 2019-2021 годы 90-100% ЛБО по 242 ВР, и те, кто не добрался даже до уровня 50% ЛБО (а есть и такие ФОИВы среди второй группы, у кого уровень наполнения плана едва достигает 10% ЛБО). Обобщенно про эти две группы ФОИВов есть даже в тексте пресс-релиза, но поименно они были названы только на слайде. И вот, видимо, кому-то в Минкомсвязи (а возможно, в одном из ФОИВов-"двоечников", среди которых фигурирует и сама Минкомсвязь) такая гласность не пришлась по душе - и пролетела команда презу убрать.
И вот теперь Циникс, ощущая себя практически последним оплотом открытости государства, считает просто необходимым эту презентацию опубликовать (естественно, она есть у Циникса и была получена вполне легально - загружена из открытого источника).
Берите, кому надо
⬇️⬇️⬇️
Смешная история с презентациями с позавчерашнего координационного совещания в Минкомсвязи.
Сначала ссылки на 5 презентаций появились на сайте ФГБУ ЦЭКИ под дублем новости про совещание в министерстве.
При этом под новостью на министерском сайте поначалу ссылок на презентации не было, но около 13 часов они там тоже появились, и их тоже было пять.
А спустя примерно час презентаций на министерском сайте стало 4 - исчезла вводная презентация, сопровождавшая выступление замминистра Е.Кислякова. Циникс тут же сбегал на сайт ЦЭКИ, и его опасения подтвердились - презентацию Кислякова убрали и оттуда.
Смешного здесь то, что, во-первых, сама преза была суперкороткой - всего 4 слайда, из которых на трех были расположены титульная заставка, повестка совещания и надпись "Благодарим за внимание", и во-вторых, что те, кто дал команду убрать презентацию из паблика, забыли азбучную истину - "это интернет, детка!". Всё, что единожды попало в интернет, остается в нем навечно.
А убрали презентацию, очевидно, из-за четвертого слайда (в презе он под номером 3), на нем были представлены два списка ФОИВов - те, кто уже смог загнать в свои планы информатизации на 2019-2021 годы 90-100% ЛБО по 242 ВР, и те, кто не добрался даже до уровня 50% ЛБО (а есть и такие ФОИВы среди второй группы, у кого уровень наполнения плана едва достигает 10% ЛБО). Обобщенно про эти две группы ФОИВов есть даже в тексте пресс-релиза, но поименно они были названы только на слайде. И вот, видимо, кому-то в Минкомсвязи (а возможно, в одном из ФОИВов-"двоечников", среди которых фигурирует и сама Минкомсвязь) такая гласность не пришлась по душе - и пролетела команда презу убрать.
И вот теперь Циникс, ощущая себя практически последним оплотом открытости государства, считает просто необходимым эту презентацию опубликовать (естественно, она есть у Циникса и была получена вполне легально - загружена из открытого источника).
Берите, кому надо
⬇️⬇️⬇️
Рубрика "Циничная информатизация"
Этот пост - чтобы закрыть гештальт с информационной системой взаимодействия по нацпрограмме ЦЭ в АЦ при Правительстве РФ.
Вчера Циникс уже написал, что система таки существует. За вчера и сегодня Циникс предпринял некоторые раскопки в открытых источниках информации (раздел "Закупки" на сайте АЦ) и не только окончательно убедился в существовании этой системы. но и смог собрать материалы по истории ее разработки (ТЗ и ценовые параметры к закупкам).
Возможно, это будет интересно кому-то еще, кроме Циникса.
Итак:
1. Первый вариант системы был разработан в конце 2017 года на базе платформенного решения от компании "1Форма" ("Первая Форма"). Стоимость проекта - 2,8 млн, исполнитель проекта - "1Форма". Эта же компания делала для АЦ аналогичную систему для управления проектами по реформе контрольно-надзорной деятельности. В начале 2018 года АЦ заключил с "1Формой " еще один договор - на техподдержку пользователей системы, 900 тыс. рублей до конца года.
2. В мае 2018 был заключен второй договор с "1Формой" - на доработку системы, стоимостью 2 млн рублей.
3. Через год, в мае 2019 была объявлена новая закупка - формально на модернизацию системы, но фактически предполагалась разработка на новой платформе "Битрикс 24". Исполнителем проекта стоимостью 8,3 млн (начальная цена не понизилась) стала компания "1С-Рарус". Срок завершения разработки - начало сентября 2019.
Собственно, это всё. Есть еще ТЗ по всем закупкам с описанием функциональности системы. Но ни вешать здесь ТЗ, ни расписывать его в постах Циникс не собирается. Если кому интересно, Циникс дал целеуказание по местоположению этой информации.
Гештальт закрыт.
Но только с этой системой, а не с АЦ. Про АЦ в контексте НП ЦЭ Циникс еще планирует много чего понаписать
Этот пост - чтобы закрыть гештальт с информационной системой взаимодействия по нацпрограмме ЦЭ в АЦ при Правительстве РФ.
Вчера Циникс уже написал, что система таки существует. За вчера и сегодня Циникс предпринял некоторые раскопки в открытых источниках информации (раздел "Закупки" на сайте АЦ) и не только окончательно убедился в существовании этой системы. но и смог собрать материалы по истории ее разработки (ТЗ и ценовые параметры к закупкам).
Возможно, это будет интересно кому-то еще, кроме Циникса.
Итак:
1. Первый вариант системы был разработан в конце 2017 года на базе платформенного решения от компании "1Форма" ("Первая Форма"). Стоимость проекта - 2,8 млн, исполнитель проекта - "1Форма". Эта же компания делала для АЦ аналогичную систему для управления проектами по реформе контрольно-надзорной деятельности. В начале 2018 года АЦ заключил с "1Формой " еще один договор - на техподдержку пользователей системы, 900 тыс. рублей до конца года.
2. В мае 2018 был заключен второй договор с "1Формой" - на доработку системы, стоимостью 2 млн рублей.
3. Через год, в мае 2019 была объявлена новая закупка - формально на модернизацию системы, но фактически предполагалась разработка на новой платформе "Битрикс 24". Исполнителем проекта стоимостью 8,3 млн (начальная цена не понизилась) стала компания "1С-Рарус". Срок завершения разработки - начало сентября 2019.
Собственно, это всё. Есть еще ТЗ по всем закупкам с описанием функциональности системы. Но ни вешать здесь ТЗ, ни расписывать его в постах Циникс не собирается. Если кому интересно, Циникс дал целеуказание по местоположению этой информации.
Гештальт закрыт.
Но только с этой системой, а не с АЦ. Про АЦ в контексте НП ЦЭ Циникс еще планирует много чего понаписать
Рубрика "Циничное напоминание"
И чтобы закрыть гештальт окончательно и бесповоротно, Циникс здесь оставляет циничное напоминание самому себе.
Факт-чекинг! Факт-чекинг!
Трижды факт-чекинг - и только потом постинг!
Но, тем не менее, право на высказывание гипотез, основанных на глубоком анализе, Циникс оставляет за собой
И чтобы закрыть гештальт окончательно и бесповоротно, Циникс здесь оставляет циничное напоминание самому себе.
Факт-чекинг! Факт-чекинг!
Трижды факт-чекинг - и только потом постинг!
Но, тем не менее, право на высказывание гипотез, основанных на глубоком анализе, Циникс оставляет за собой
Рубрика "Циничное импортозамещение"
Сегодня утром Циникс, как известно, зашел на сайт Минкомсвязи. Что из этого получилось - в сегодняшних постах, которые появлялись в течение дня. Но, вообще-то, с утра у Циникса была совершенно другая цель - проверить, как там поживают реестры ПО, российского и евразийского.
А проверить реестры Циникс собирался в связи с засвеченным вчера письмом министра К.Носкова министру Д.Мантурову. Вот этим самым, которое на картинках ниже. Вчера про это письмо, оказывается, не только в Телеге у Незыгаря написали, но и в "Ведомостях". Правда, понаписали, как всегда - на уровне журналистского недопонимания и цитирования крайне заинтересованных персон из министерства и околореестровых кругов (здесь Циникс хотел написать "главных лоббистов реестра", но не написал).
Обещанные комментарии Циникса по письму ниже
Сегодня утром Циникс, как известно, зашел на сайт Минкомсвязи. Что из этого получилось - в сегодняшних постах, которые появлялись в течение дня. Но, вообще-то, с утра у Циникса была совершенно другая цель - проверить, как там поживают реестры ПО, российского и евразийского.
А проверить реестры Циникс собирался в связи с засвеченным вчера письмом министра К.Носкова министру Д.Мантурову. Вот этим самым, которое на картинках ниже. Вчера про это письмо, оказывается, не только в Телеге у Незыгаря написали, но и в "Ведомостях". Правда, понаписали, как всегда - на уровне журналистского недопонимания и цитирования крайне заинтересованных персон из министерства и околореестровых кругов (здесь Циникс хотел написать "главных лоббистов реестра", но не написал).
Обещанные комментарии Циникса по письму ниже
Рубрика "Циничное импортозамещение"
Итак про письмо одного министра другому.
Понятно, что, хоть письмо и подписано министром, писалось оно совсем другими людьми. Конкретно - в департаменте, подчиняющемся замминистра А.Соколову, который в Минкомсвязи отвечает за всю движуху, связанную с импортозамещением и централизованными закупками ПО. Если Циникс правильно ориентируется в нынешней структуре министерства, то это Департамент развития отрасли ИТ (кстати, директор этого департамента Д.Никитин выступал на совещании с ФОИВами 6 августа как раз по теме централизованных закупок ПО в сфере ответственности Минкомсвязи - и про централизованные закупки Циникс тоже еще напишет).
Поэтому, когда дальше Циникс будет нелицеприятно высказываться по поводу письма, это будут высказывания не по адресу министра, а по адресу конкретных письмописателей (хотя, конечно же, общую направленность письма все равно задавал кто-то на уровне руководства министерства).
Общий тон письма - истерика в связи с весьма вероятной угрозой отмены жесткого (хотя, ну какой он жесткий-то?) запрета на закупки иностранного ПО. Типа - мы тут уже третий год всем госам запрещаем закупать иностранное ПО (хоть нас и мало кто слушается), а тут вдруг этот запрет отменят. Как же дальше-то жить и работать, без возможности нанести максимальную пользу стране?
Аргументы и факты, которые приводятся в письме, возможно, на уровне межминистерских переписок и отмазок могут и проканать, но въедливый глаз Циникса "горбуху" сразу различает - тем более, что раньше он уже писал на эти темы.
Пойдем по пунктам (курсивом - цитаты из письма, ниже - комментарии Циникса).
1. "Минкомсвязью России в 2018-2019 гг. проведена работа по актуализации нормативной правовой базы, регламентирующей функционирование Реестров"
В пункте 7 ПП 1236, в котором расписаны все обязательные действия Минкомсвязи в связи с принятием ПП 1236 и сроки выполнения этих действий, в конце 2017 года (после изменений, внесенных ПП 1594) появился подпункт "з" - "утвердить положение об информационной системе "Реестры программного обеспечения". Контрольного срока исполнения у этого подпункта нет, но вообще-то с момента его включения в ПП прошло уже более полутора лет - можно было бы уже сподобиться и разработать хотя бы первую версию такого положения. Но - нет.
2. "... утвержден порядок и методика подтверждения соответствия ПО дополнительным требованиям, утвержденным постановлением Правительства Российской Федерации от 23.03.2017 № 325 (приказ Минкомсвязи России 19.12.2018 №722)"
Циникс уже писал раньше про это пресловутое ПП 325 от 2017 года и методику к нему в виде приказа 722 от конца 2018 года. Министерство только с третьей попытки и с опозданием более, чем на год, смогло родить эту методику и даже сподобилось проверить по ней целых 3 (прописью - три!) офисных пакета, с перечня функциональности одного из которых, собственно, все требования ПП 325 и списаны. При этом, до сих пор (то есть, через полгода после состоявшейся проверки по методике и через два года после контрольного срока) факт соответствия, как минимум, одного офисного пакета требованиям ПП 325 не отражен в реестре ПО - просто потому, что там так и не появились поля для отображения подобных сведений.
Итак про письмо одного министра другому.
Понятно, что, хоть письмо и подписано министром, писалось оно совсем другими людьми. Конкретно - в департаменте, подчиняющемся замминистра А.Соколову, который в Минкомсвязи отвечает за всю движуху, связанную с импортозамещением и централизованными закупками ПО. Если Циникс правильно ориентируется в нынешней структуре министерства, то это Департамент развития отрасли ИТ (кстати, директор этого департамента Д.Никитин выступал на совещании с ФОИВами 6 августа как раз по теме централизованных закупок ПО в сфере ответственности Минкомсвязи - и про централизованные закупки Циникс тоже еще напишет).
Поэтому, когда дальше Циникс будет нелицеприятно высказываться по поводу письма, это будут высказывания не по адресу министра, а по адресу конкретных письмописателей (хотя, конечно же, общую направленность письма все равно задавал кто-то на уровне руководства министерства).
Общий тон письма - истерика в связи с весьма вероятной угрозой отмены жесткого (хотя, ну какой он жесткий-то?) запрета на закупки иностранного ПО. Типа - мы тут уже третий год всем госам запрещаем закупать иностранное ПО (хоть нас и мало кто слушается), а тут вдруг этот запрет отменят. Как же дальше-то жить и работать, без возможности нанести максимальную пользу стране?
Аргументы и факты, которые приводятся в письме, возможно, на уровне межминистерских переписок и отмазок могут и проканать, но въедливый глаз Циникса "горбуху" сразу различает - тем более, что раньше он уже писал на эти темы.
Пойдем по пунктам (курсивом - цитаты из письма, ниже - комментарии Циникса).
1. "Минкомсвязью России в 2018-2019 гг. проведена работа по актуализации нормативной правовой базы, регламентирующей функционирование Реестров"
В пункте 7 ПП 1236, в котором расписаны все обязательные действия Минкомсвязи в связи с принятием ПП 1236 и сроки выполнения этих действий, в конце 2017 года (после изменений, внесенных ПП 1594) появился подпункт "з" - "утвердить положение об информационной системе "Реестры программного обеспечения". Контрольного срока исполнения у этого подпункта нет, но вообще-то с момента его включения в ПП прошло уже более полутора лет - можно было бы уже сподобиться и разработать хотя бы первую версию такого положения. Но - нет.
2. "... утвержден порядок и методика подтверждения соответствия ПО дополнительным требованиям, утвержденным постановлением Правительства Российской Федерации от 23.03.2017 № 325 (приказ Минкомсвязи России 19.12.2018 №722)"
Циникс уже писал раньше про это пресловутое ПП 325 от 2017 года и методику к нему в виде приказа 722 от конца 2018 года. Министерство только с третьей попытки и с опозданием более, чем на год, смогло родить эту методику и даже сподобилось проверить по ней целых 3 (прописью - три!) офисных пакета, с перечня функциональности одного из которых, собственно, все требования ПП 325 и списаны. При этом, до сих пор (то есть, через полгода после состоявшейся проверки по методике и через два года после контрольного срока) факт соответствия, как минимум, одного офисного пакета требованиям ПП 325 не отражен в реестре ПО - просто потому, что там так и не появились поля для отображения подобных сведений.
3. "Механизм осуществления закупок из Реестров является ключевым инструментом в проведении государственной политики по импортозамещению ПО в рамках государственного заказа, что подтверждается ежегодной тенденцией роста указанных показателей (с 2016 по 2018 гг. доля государственных закупок отечественного ПО увеличилась с 25% до 65%)."
Этот пункт - песня! Вот про эти странные темпы роста - то ли с 20%, в 2015 году, то ли с 25% в 2016 году до 65% то ли в 2017,то ли в 2018 году, Минкомсвязь рапортует уже, как минимум, в третий раз. Причем, первый раз про рост с 20% до 65% в 2015-2017 годах рапортовал еще прошлый министр, в аккурат за месяц до своей отставки в мае 2018 года. Второй раз ровно с этими же цифрами 20-65, про это говорил год спустя, уже в апреле 2019, главный импортозаместительный замминистра А.Соколов. И вот теперь новая версия - рост с 25% в 2016 до всё тех же 65% в 2018 - уже в переписке двух министров.
"Про долю в 65% российского софта в общем объеме ПО, закупаемого госорганами, — вранье". Это слова не Циникса (хотя, он с ними полностью солидарен, а цитата из публикации нежно любимого Циниксом Синуса еще от апреля 2018 года.
И через год, после очередного рапорта министерства об "успехах" импортозамешения, Синус снова писал про эти странные цифры 20-65.
Циникс очень рекомендует тем своим читателям, кто не читал вышеупомянутые тексты Синуса, сходить по ссылкам и почитать их. Там неплохой анализ про "успехи импортозамещения ПО".
Сам же Циникс дальше попробует объяснить, откуда все-таки взялись эти цифры 20-65 и насколько они похожи на правду.
Этот пункт - песня! Вот про эти странные темпы роста - то ли с 20%, в 2015 году, то ли с 25% в 2016 году до 65% то ли в 2017,то ли в 2018 году, Минкомсвязь рапортует уже, как минимум, в третий раз. Причем, первый раз про рост с 20% до 65% в 2015-2017 годах рапортовал еще прошлый министр, в аккурат за месяц до своей отставки в мае 2018 года. Второй раз ровно с этими же цифрами 20-65, про это говорил год спустя, уже в апреле 2019, главный импортозаместительный замминистра А.Соколов. И вот теперь новая версия - рост с 25% в 2016 до всё тех же 65% в 2018 - уже в переписке двух министров.
"Про долю в 65% российского софта в общем объеме ПО, закупаемого госорганами, — вранье". Это слова не Циникса (хотя, он с ними полностью солидарен, а цитата из публикации нежно любимого Циниксом Синуса еще от апреля 2018 года.
И через год, после очередного рапорта министерства об "успехах" импортозамешения, Синус снова писал про эти странные цифры 20-65.
Циникс очень рекомендует тем своим читателям, кто не читал вышеупомянутые тексты Синуса, сходить по ссылкам и почитать их. Там неплохой анализ про "успехи импортозамещения ПО".
Сам же Циникс дальше попробует объяснить, откуда все-таки взялись эти цифры 20-65 и насколько они похожи на правду.
CNews.ru
Почему Реестр российского ПО так и не смог запустить в стране импортозамещение - CNews
По итогам двухлетней работы Реестра российского ПО при Минкомсвязи рынок делает вывод о его безусловной полезности...
Рубрика "Циничная аттестация"
Сегодня у той части читателей Циникса, кто имеет непосредственное отношение к координации информатизации, большой праздник (но многие о нем еще не знают, потому что пашут, как папы Карлы, над всеми этими МПИ, ПИ, ОУ, ЭЗ и ЭПОУ).
Опубликовано постановление Правительства Российской Федерации от 07.08.2019 № 1026 "О применении пункта 19-1 требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации".
Картинка - вместо многих слов. Кому надо, тот поймет - и рванет в ближайший алкогольный магазин за вискарём.
Комментарии Циникса будут.
Сегодня у той части читателей Циникса, кто имеет непосредственное отношение к координации информатизации, большой праздник (но многие о нем еще не знают, потому что пашут, как папы Карлы, над всеми этими МПИ, ПИ, ОУ, ЭЗ и ЭПОУ).
Опубликовано постановление Правительства Российской Федерации от 07.08.2019 № 1026 "О применении пункта 19-1 требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации".
Картинка - вместо многих слов. Кому надо, тот поймет - и рванет в ближайший алкогольный магазин за вискарём.
Комментарии Циникса будут.
Рубрика "Циничная аттестация"
В связи с опубликованной вчера новостью про ПП 1026 (картинка выше) имеет смысл напомнить, что на Регулейшене уже давно , еще с апреля, лежит проект приказа по изменениям в приказ 17 ФСТЭК. Обсуждение уже давно закончилось, в карточке проекта есть свод предложенных и принятых изменений.
Главное новшество этого приказа - аттестат соответствия ГИС будет действовать до конца срока эксплуатации ГИС:
"8. Абзац первый пункта 17.4 изложить в следующей редакции:
«Аттестат соответствия выдается на весь срок эксплуатации информационной системы. Оператор (обладатель информации) в ходе эксплуатации информационной системы обеспечивает поддержку соответствия системы защиты информации аттестату соответствия в рамках реализации мероприятий, предусмотренных пунктом 18 настоящих Требований.»."
Это, конечно, существенно облегчает жизнь информатизаторам - нужно напрячься и пройти эту чертову аттестацию один раз. Вообще, ФСТЭК вносит изменения в свои приказы крайне неохотно, поэтому то, что такой проект появился и прошел обсуждение, не может не радовать. Есть надежда, что новая версия приказа выйдет все-так раньше, чем закончится срок "заморозки" аттестации ГИС по ПП 1026.
До выхода этого приказа, наверно, имеет смысл приостановить активности по аттестации ГИС в тех ФОИВах, где этой темой все-таки занимались. Сейчас (после изменений в приказ 17 от 15.02.2017) срок действия аттестата составляет 5 лет (раньше было 3 года) и не факт, что аттестаты, выданные до утверждения последних изменений в приказе 17 автоматически станут бессрочными.
Ссылка на карточку проекта на Регулейшене - https://regulation.gov.ru/projects/List/AdvancedSearch#npa=90839&departments=48
В связи с опубликованной вчера новостью про ПП 1026 (картинка выше) имеет смысл напомнить, что на Регулейшене уже давно , еще с апреля, лежит проект приказа по изменениям в приказ 17 ФСТЭК. Обсуждение уже давно закончилось, в карточке проекта есть свод предложенных и принятых изменений.
Главное новшество этого приказа - аттестат соответствия ГИС будет действовать до конца срока эксплуатации ГИС:
"8. Абзац первый пункта 17.4 изложить в следующей редакции:
«Аттестат соответствия выдается на весь срок эксплуатации информационной системы. Оператор (обладатель информации) в ходе эксплуатации информационной системы обеспечивает поддержку соответствия системы защиты информации аттестату соответствия в рамках реализации мероприятий, предусмотренных пунктом 18 настоящих Требований.»."
Это, конечно, существенно облегчает жизнь информатизаторам - нужно напрячься и пройти эту чертову аттестацию один раз. Вообще, ФСТЭК вносит изменения в свои приказы крайне неохотно, поэтому то, что такой проект появился и прошел обсуждение, не может не радовать. Есть надежда, что новая версия приказа выйдет все-так раньше, чем закончится срок "заморозки" аттестации ГИС по ПП 1026.
До выхода этого приказа, наверно, имеет смысл приостановить активности по аттестации ГИС в тех ФОИВах, где этой темой все-таки занимались. Сейчас (после изменений в приказ 17 от 15.02.2017) срок действия аттестата составляет 5 лет (раньше было 3 года) и не факт, что аттестаты, выданные до утверждения последних изменений в приказе 17 автоматически станут бессрочными.
Ссылка на карточку проекта на Регулейшене - https://regulation.gov.ru/projects/List/AdvancedSearch#npa=90839&departments=48
Рубрика «Циничная аттестация»
Исторические хроники.
Вообще, история с «принуждением к аттестации» ГИС продолжается уже 3,5 года.
Как известно, приказ 17 ФСТЭК появился еще в 2013 году, но до поры до времени ни регулятор защиты информации в лице ФСТЭК, ни сами ФОИВы как-то не спешили с его практическим применением. Конечно, самые продвинутые и самые замороченные на информационной безопасности ведомства начали практиковать аттестацию своих основных систем в соответствии с требованиями новоизданного приказа, но основной массе было не до того – их целью было просто продраться через рогатки и препоны координации (которые, как выясняется теперь, вовсе не были рогатками и препонами, а были прямой и светлой дорогой из желтого кирпича – как раз таки к нынешним рогаткам и препонам).
Но в самом конце 2015 года появился перечень поручений по итогам совещания у Президента по вопросам защиты информации в государственных системах (как принято писать у «посвященных» журналистов, Циникс имел возможность ознакомиться с данным перечнем). Одно из поручений перечня обязывало Минкомсвязи (тогда еще во главе с министром Никоифоровым) усилить контроль за соблюдением требований ИБ-ЗИ в государственных информационных системах. Вот, с самого начала 2016 года это «принуждение к аттестации» и началось.
Правда, поначалу это было не принуждение, а уговоры. В Минкомсвязи довольно долго размышляли, на какой из департаментов возложить эту ответственную задачу, и в итоге решили возложить ее на департамент координации информатизации (ДКИ) и увязать с согласованием планов информатизации. Но в действовавшей на тот момент версии Положения о координации не было подходящего критерия, к которому можно было бы привязать требование о необходимости проведения аттестации ГИС, поэтому вначале все ограничивалось только рекомендациями о необходимости соблюдения приказа 17 ФСТЭК.
Кстати, именно с «принуждения к аттестации» началось абсолютно вольное толкование Минкомсвязью правил оценки ведомственных планов и мероприятий по информатизации (ПИ-МПИ). Все новые «вводные» по госИТ, которые в то время достаточно активно прилетали с уровня Правительства или Администрации Президента, оперативно подверстывались к правилам оценки ПИ-МПИ и становились частью процесса координации, которая уже тогда начала превращаться в профанацию. После «принуждения к аттестации» появились такие же слабо продуманные с методической и организационной точек зрения «принуждение к импортозамещению», «принуждение к централизованной закупке офисного ПО» - и, видимо, очень скоро грядет «принуждение к цифровизации».
Исторические хроники.
Вообще, история с «принуждением к аттестации» ГИС продолжается уже 3,5 года.
Как известно, приказ 17 ФСТЭК появился еще в 2013 году, но до поры до времени ни регулятор защиты информации в лице ФСТЭК, ни сами ФОИВы как-то не спешили с его практическим применением. Конечно, самые продвинутые и самые замороченные на информационной безопасности ведомства начали практиковать аттестацию своих основных систем в соответствии с требованиями новоизданного приказа, но основной массе было не до того – их целью было просто продраться через рогатки и препоны координации (которые, как выясняется теперь, вовсе не были рогатками и препонами, а были прямой и светлой дорогой из желтого кирпича – как раз таки к нынешним рогаткам и препонам).
Но в самом конце 2015 года появился перечень поручений по итогам совещания у Президента по вопросам защиты информации в государственных системах (как принято писать у «посвященных» журналистов, Циникс имел возможность ознакомиться с данным перечнем). Одно из поручений перечня обязывало Минкомсвязи (тогда еще во главе с министром Никоифоровым) усилить контроль за соблюдением требований ИБ-ЗИ в государственных информационных системах. Вот, с самого начала 2016 года это «принуждение к аттестации» и началось.
Правда, поначалу это было не принуждение, а уговоры. В Минкомсвязи довольно долго размышляли, на какой из департаментов возложить эту ответственную задачу, и в итоге решили возложить ее на департамент координации информатизации (ДКИ) и увязать с согласованием планов информатизации. Но в действовавшей на тот момент версии Положения о координации не было подходящего критерия, к которому можно было бы привязать требование о необходимости проведения аттестации ГИС, поэтому вначале все ограничивалось только рекомендациями о необходимости соблюдения приказа 17 ФСТЭК.
Кстати, именно с «принуждения к аттестации» началось абсолютно вольное толкование Минкомсвязью правил оценки ведомственных планов и мероприятий по информатизации (ПИ-МПИ). Все новые «вводные» по госИТ, которые в то время достаточно активно прилетали с уровня Правительства или Администрации Президента, оперативно подверстывались к правилам оценки ПИ-МПИ и становились частью процесса координации, которая уже тогда начала превращаться в профанацию. После «принуждения к аттестации» появились такие же слабо продуманные с методической и организационной точек зрения «принуждение к импортозамещению», «принуждение к централизованной закупке офисного ПО» - и, видимо, очень скоро грядет «принуждение к цифровизации».
Рубрика «Циничная аттестация»
Исторические хроники.
В мае 2016 года вышло постановление Правительства 392, в народе известное как «новое 365-ое», потому что оно достаточно кардинально изменило содержание и смысл Положения о координации, утвержденного «старым 365-м», которое, на самом деле было не 365-м (ПП 365 вышло в 2010 году, но в его составе тогда не было Положения о координации), а было 394-м (ПП 394 от апреля 2012, изменившее ПП 365 от мая 2010). Принципиально новым в «новом 365-м» версии 2016 года было появление нового перечня так называемых приоритетных направлений (ПН), среди которых появилось и ПН 4 – «Защита информации, содержащейся в государственных информационных системах, и обеспечение информационной безопасности при использовании информационно-коммуникационных технологий в деятельности федеральных органов исполнительной власти и органов управления государственными внебюджетными фондами». К каждому ПН прилагался перечень так называемых целевых показателей (ЦП), которые полагалось указывать при планировании МПИ.
ПН 4 и соответствующий ЦП к нему как раз и явились тем средством, которое Минкомсвязи намеревалось использовать уже для более жесткого «принуждения к аттестации». Но вместо того, чтобы сделать значением ЦП для ПН 4 совершенно логично напрашивающееся отношение числа аттестованных ГИС к общему количеству ГИС в ведомстве, в методику оценки был включен совершенно идиотский показатель, названный «Наличие мероприятий по защите информации в соответствии с требованиями».
Ниже Циникс цитирует формулировку этого ЦП в соответствии с одним из основных действующих до настоящего времени методических приказов по координации – приказом 420 от августа 2016:
По приоритетному направлению N 4.
Базовый показатель: "Наличие мероприятий по защите информации в соответствии с требованиями".
Данный показатель рекомендуется устанавливать для мероприятий по информатизации, направленных на создание, развитие, эксплуатацию или вывод из эксплуатации информационных систем. Значение данного показателя устанавливается "Да", если орган государственной власти осуществляет (планирует осуществить) в составе работ мероприятия по защите информации в соответствии с требованиями приказа ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (зарегистрирован в Министерстве юстиции Российской Федерации 31 мая 2013 г., регистрационный N 28608), в обратном случае в значение показателя устанавливается "Нет".
Данный показатель является основным для информационных систем.
То есть, вместо четкого «Аттестовано 7 ГИС из имеющихся 20», который нужно было бы выставлять на уровне всего ПИ, в методике предлагалось для каждого МПИ, направленного на ГИС, писать «Да» или «Нет» в каждом году планирования. А поскольку таких значений в МПИ нужно было указывать 4 (одно базовое, фиксирующее текущее состояние, и по одному для каждых из 3-лет планового периода) шкала значений ЦП для ПН 4 в МПИ выглядела примерно так – «Нет-Нет-Нет-Да» (что на на простом русском языке означало «Сейчас эта ГИС не аттестована, но, возможно, мы займемся аттестацией через 2 года. Но это не точно») или «Нет-Да-Да-Да» (что означало – «Сейчас аттестации нет, но мы обещаем, что начнем ею заниматься в следующем году. Но получим аттестат или нет, неизвестно»).
Эксперты ЦЭКИ, занимающиеся оценкой МПИ, были обучены реагировать на последовательность четырех подряд «Нет» в целевом показателе (потому что это означало, что аттестации нет, и ведомство на эту тему не заморачивается) и в этом случае выставлять замечание к МПИ. В остальных же случаях всё прокатывало – МПИ получало положительную оценку по соответствующему правилу проверки.
Что совсем не гарантировало, что аттестация конкретной ГИС все-таки состоится.
Исторические хроники.
В мае 2016 года вышло постановление Правительства 392, в народе известное как «новое 365-ое», потому что оно достаточно кардинально изменило содержание и смысл Положения о координации, утвержденного «старым 365-м», которое, на самом деле было не 365-м (ПП 365 вышло в 2010 году, но в его составе тогда не было Положения о координации), а было 394-м (ПП 394 от апреля 2012, изменившее ПП 365 от мая 2010). Принципиально новым в «новом 365-м» версии 2016 года было появление нового перечня так называемых приоритетных направлений (ПН), среди которых появилось и ПН 4 – «Защита информации, содержащейся в государственных информационных системах, и обеспечение информационной безопасности при использовании информационно-коммуникационных технологий в деятельности федеральных органов исполнительной власти и органов управления государственными внебюджетными фондами». К каждому ПН прилагался перечень так называемых целевых показателей (ЦП), которые полагалось указывать при планировании МПИ.
ПН 4 и соответствующий ЦП к нему как раз и явились тем средством, которое Минкомсвязи намеревалось использовать уже для более жесткого «принуждения к аттестации». Но вместо того, чтобы сделать значением ЦП для ПН 4 совершенно логично напрашивающееся отношение числа аттестованных ГИС к общему количеству ГИС в ведомстве, в методику оценки был включен совершенно идиотский показатель, названный «Наличие мероприятий по защите информации в соответствии с требованиями».
Ниже Циникс цитирует формулировку этого ЦП в соответствии с одним из основных действующих до настоящего времени методических приказов по координации – приказом 420 от августа 2016:
По приоритетному направлению N 4.
Базовый показатель: "Наличие мероприятий по защите информации в соответствии с требованиями".
Данный показатель рекомендуется устанавливать для мероприятий по информатизации, направленных на создание, развитие, эксплуатацию или вывод из эксплуатации информационных систем. Значение данного показателя устанавливается "Да", если орган государственной власти осуществляет (планирует осуществить) в составе работ мероприятия по защите информации в соответствии с требованиями приказа ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (зарегистрирован в Министерстве юстиции Российской Федерации 31 мая 2013 г., регистрационный N 28608), в обратном случае в значение показателя устанавливается "Нет".
Данный показатель является основным для информационных систем.
То есть, вместо четкого «Аттестовано 7 ГИС из имеющихся 20», который нужно было бы выставлять на уровне всего ПИ, в методике предлагалось для каждого МПИ, направленного на ГИС, писать «Да» или «Нет» в каждом году планирования. А поскольку таких значений в МПИ нужно было указывать 4 (одно базовое, фиксирующее текущее состояние, и по одному для каждых из 3-лет планового периода) шкала значений ЦП для ПН 4 в МПИ выглядела примерно так – «Нет-Нет-Нет-Да» (что на на простом русском языке означало «Сейчас эта ГИС не аттестована, но, возможно, мы займемся аттестацией через 2 года. Но это не точно») или «Нет-Да-Да-Да» (что означало – «Сейчас аттестации нет, но мы обещаем, что начнем ею заниматься в следующем году. Но получим аттестат или нет, неизвестно»).
Эксперты ЦЭКИ, занимающиеся оценкой МПИ, были обучены реагировать на последовательность четырех подряд «Нет» в целевом показателе (потому что это означало, что аттестации нет, и ведомство на эту тему не заморачивается) и в этом случае выставлять замечание к МПИ. В остальных же случаях всё прокатывало – МПИ получало положительную оценку по соответствующему правилу проверки.
Что совсем не гарантировало, что аттестация конкретной ГИС все-таки состоится.
Рубрика «Циничная аттестация»
Исторические хроники.
Лафа с «данетками» по ПН 4 продолжалась до начала 2019 года. На самом деле, первые признаки очередного ужесточения ситуации с обязательной аттестацией ГИС случились еще весной 2017 года – тогда вышло ПП 555, которое внесло серьезные изменения в ПП 676 от 2015 года (Циникс здесь не всегда пишет даты и полные названия ПП, потому что эта тема интересна, по-видимому, только «боевым» координаторам, а они в курсе действующей нормативки – ну, по крайней мере, Циникс надеется, что в курсе). Суть изменений в ПП 676 сводилась к тому, что, начиная с 2019 года, не допускается эксплуатация ГИС, не имеющих действующего аттестата соответствия.
Циникс с трудом себе представляет ситуацию, когда в ведомственный ЦОД приходит контролер Минкомсвязи и выключает рубильник в ряду стоек, где размещена неаттестованная ГИС. Хотя, посмотреть на такой цирковой номер Циникс бы не отказался. На практике, конечно, все выглядит проще и бюрократичнее – Минкомсвязи просто перестало согласовывать в планах 2019 года мероприятия по эксплуатации ГИС, у которых нет аттестата соответствия. Всё по любимой классике Циникса – «Нет ручек – нет конфеток!». А раз МПИ не согласовано, Минфин и Казначейство не открывают «шлагбаум» по его финансированию.
В середине 2017 года, когда появились эти изменения в ПП 676, многим координаторам казалось, что 2019 год далеко, до него еще нужно дожить, а потом еще в 2018 году практически целиком сменился состав Минкомсвязи, в том числе, и на координацию пришли совершенно новые люди. Ведомства выжидали, руководствуясь бессмертным принципом Ходжи Насреддина – «А к тому времени или падишах умрёт, или осёл копыта откинет – как-нибудь прокатит».
Но не прокатило. Уже в начале 2019 года ситуация с никак не согласовывающимися МПИ по эксплуатации ГИС стала подниматься наверх – сначала на уровень министра К.Носкова, а потом и на уровень вице-премьера М.Акимова. В начале апреля 2019 вопрос о временной приостановке действия соответствующих пунктов ПП 676 слушался на заседании президиума Правкомиссии по ИТ. Добрые люди еще тогда подогнали Циниксу протокол того заседания, но Циникс до поры до времени хранил молчание – хотя, знал, что запрет на эксплуатацию нетаттестованных ГИС будет приостановлен.
Исторические хроники.
Лафа с «данетками» по ПН 4 продолжалась до начала 2019 года. На самом деле, первые признаки очередного ужесточения ситуации с обязательной аттестацией ГИС случились еще весной 2017 года – тогда вышло ПП 555, которое внесло серьезные изменения в ПП 676 от 2015 года (Циникс здесь не всегда пишет даты и полные названия ПП, потому что эта тема интересна, по-видимому, только «боевым» координаторам, а они в курсе действующей нормативки – ну, по крайней мере, Циникс надеется, что в курсе). Суть изменений в ПП 676 сводилась к тому, что, начиная с 2019 года, не допускается эксплуатация ГИС, не имеющих действующего аттестата соответствия.
Циникс с трудом себе представляет ситуацию, когда в ведомственный ЦОД приходит контролер Минкомсвязи и выключает рубильник в ряду стоек, где размещена неаттестованная ГИС. Хотя, посмотреть на такой цирковой номер Циникс бы не отказался. На практике, конечно, все выглядит проще и бюрократичнее – Минкомсвязи просто перестало согласовывать в планах 2019 года мероприятия по эксплуатации ГИС, у которых нет аттестата соответствия. Всё по любимой классике Циникса – «Нет ручек – нет конфеток!». А раз МПИ не согласовано, Минфин и Казначейство не открывают «шлагбаум» по его финансированию.
В середине 2017 года, когда появились эти изменения в ПП 676, многим координаторам казалось, что 2019 год далеко, до него еще нужно дожить, а потом еще в 2018 году практически целиком сменился состав Минкомсвязи, в том числе, и на координацию пришли совершенно новые люди. Ведомства выжидали, руководствуясь бессмертным принципом Ходжи Насреддина – «А к тому времени или падишах умрёт, или осёл копыта откинет – как-нибудь прокатит».
Но не прокатило. Уже в начале 2019 года ситуация с никак не согласовывающимися МПИ по эксплуатации ГИС стала подниматься наверх – сначала на уровень министра К.Носкова, а потом и на уровень вице-премьера М.Акимова. В начале апреля 2019 вопрос о временной приостановке действия соответствующих пунктов ПП 676 слушался на заседании президиума Правкомиссии по ИТ. Добрые люди еще тогда подогнали Циниксу протокол того заседания, но Циникс до поры до времени хранил молчание – хотя, знал, что запрет на эксплуатацию нетаттестованных ГИС будет приостановлен.
Рубрика «Циничная аттестация»
Циничные прогнозы.
Итак, надежды и чаяния координаторов всея федеральных ведомств сбылись – запрет на эксплуатацию неаттестованных ГИС отложен до 1 июля 2020 года. Что это означат на практике?
Начнем с неочевидных обстоятельств. Сам по себе запрет на эксплуатацию ГИС не очень-то и пугает ведомства. Уже достаточно широко распространена практика, когда ФОИВы вообще не планируют мероприятия по эксплуатации своих ГИС (которые в абсолютном большинстве не аттестованы), а перебрасывают эту функцию (и соответствующие финансовые средства) на свои подведы, которые совсем не обязаны согласовывать свои бюджетные расходы с Минкомсвязью. При этом, на справедливо возникающие у Минкомсвязи вопросы об отсутствии в планах ведомств мероприятий по эксплуатации ГИС ведомства на голубом глазу отвечают, что таковая эксплуатация будет проводиться силами собственных ИТ-специалистов ведомства и подведомственных учреждений.
Но засада кроется в том, что, помимо эксплуатации, ведомства довольно часто планируют развитие своих ГИС. А вот развивать – по методикам координации – можно только такую ГИС, которая официально находится в эксплуатации. Ранее выпущенные приказы ведомств о вводе в эксплуатацию ГИС без аттестации их по требованиям приказа 17 ФСТЭК, фактически, являются юридически ничтожными, потому что этот самый приказ 17 (и ПП 676 заодно) нарушают. А раз не было официального ввода в эксплуатацию, значит, не может быть и развития такой ГИС. То есть, ведомства находятся под угрозой (у Циникса нет полной картины – только гипотезы, основанные на знании практики Минкомсвязи и экспертов ЦЭКИ) отказа в согласовании им мероприятий, связанных с развитием ГИС. А поскольку особенности государственной автоматизации таковы, что реальные работы по развитию систем начинаются и ведутся задолго до официального согласования плановых мероприятий и объявления соответствующих закупок (именно отсюда и возникают контракты, в которых за 2-3 недели перед концом года нужно разработать систему стоимостью в несколько сот миллионов рублей), то ведомства оказываются в ситуации, когда не могут соблюсти собственные неформальные обязательства, данные компаниям-разработчикам. «Придворным» разработчикам, конечно, особо деваться некуда – они терпят, работают без авансов, под честное слово заказчиков из ФОИВов, но и у самых терпеливых, бывает, заканчивается терпение.
Сейчас очень быстро будут согласованы все ранее несогласовывающиеся мероприятия, связанные с неаттестованными ГИС. Но это планы 2019 года. Учитывая, что приостановка действия пунктов 15 и 19-1 ПП 676 в части недопуска к эксплуатации неаттестованных ГИС имеет крайним сроком 1 июля 2020 года, это означает, что и мероприятия 2020 года большинство ФОИВов успеет согласовать без заморочек с аттестацией. То есть, неотвратимая угроза аттестации отодвинута, по крайней мере, до цикла планирования 2021-2023 гг.
Но! В пункте 3 апрельского протокола Правкомиссии, вырезку из которого Циникс повесил выше, есть еще слова про план-график аттестации ГИС, который все ФОИвы должны были представить в президум Правкомиссии еще в апреле 2019 – вместе с указанием «подрасстрельных» замов руководителей ФОИВ, которые за эту аттестацию будут отвечать. Если допустить, что в ФОИВах знали о готовящейся отсрочке обязательности аттестации, можно предположить, что в графике они назвали сроки, максимально приближенные к 1 июля 2020 года.
Циничные прогнозы.
Итак, надежды и чаяния координаторов всея федеральных ведомств сбылись – запрет на эксплуатацию неаттестованных ГИС отложен до 1 июля 2020 года. Что это означат на практике?
Начнем с неочевидных обстоятельств. Сам по себе запрет на эксплуатацию ГИС не очень-то и пугает ведомства. Уже достаточно широко распространена практика, когда ФОИВы вообще не планируют мероприятия по эксплуатации своих ГИС (которые в абсолютном большинстве не аттестованы), а перебрасывают эту функцию (и соответствующие финансовые средства) на свои подведы, которые совсем не обязаны согласовывать свои бюджетные расходы с Минкомсвязью. При этом, на справедливо возникающие у Минкомсвязи вопросы об отсутствии в планах ведомств мероприятий по эксплуатации ГИС ведомства на голубом глазу отвечают, что таковая эксплуатация будет проводиться силами собственных ИТ-специалистов ведомства и подведомственных учреждений.
Но засада кроется в том, что, помимо эксплуатации, ведомства довольно часто планируют развитие своих ГИС. А вот развивать – по методикам координации – можно только такую ГИС, которая официально находится в эксплуатации. Ранее выпущенные приказы ведомств о вводе в эксплуатацию ГИС без аттестации их по требованиям приказа 17 ФСТЭК, фактически, являются юридически ничтожными, потому что этот самый приказ 17 (и ПП 676 заодно) нарушают. А раз не было официального ввода в эксплуатацию, значит, не может быть и развития такой ГИС. То есть, ведомства находятся под угрозой (у Циникса нет полной картины – только гипотезы, основанные на знании практики Минкомсвязи и экспертов ЦЭКИ) отказа в согласовании им мероприятий, связанных с развитием ГИС. А поскольку особенности государственной автоматизации таковы, что реальные работы по развитию систем начинаются и ведутся задолго до официального согласования плановых мероприятий и объявления соответствующих закупок (именно отсюда и возникают контракты, в которых за 2-3 недели перед концом года нужно разработать систему стоимостью в несколько сот миллионов рублей), то ведомства оказываются в ситуации, когда не могут соблюсти собственные неформальные обязательства, данные компаниям-разработчикам. «Придворным» разработчикам, конечно, особо деваться некуда – они терпят, работают без авансов, под честное слово заказчиков из ФОИВов, но и у самых терпеливых, бывает, заканчивается терпение.
Сейчас очень быстро будут согласованы все ранее несогласовывающиеся мероприятия, связанные с неаттестованными ГИС. Но это планы 2019 года. Учитывая, что приостановка действия пунктов 15 и 19-1 ПП 676 в части недопуска к эксплуатации неаттестованных ГИС имеет крайним сроком 1 июля 2020 года, это означает, что и мероприятия 2020 года большинство ФОИВов успеет согласовать без заморочек с аттестацией. То есть, неотвратимая угроза аттестации отодвинута, по крайней мере, до цикла планирования 2021-2023 гг.
Но! В пункте 3 апрельского протокола Правкомиссии, вырезку из которого Циникс повесил выше, есть еще слова про план-график аттестации ГИС, который все ФОИвы должны были представить в президум Правкомиссии еще в апреле 2019 – вместе с указанием «подрасстрельных» замов руководителей ФОИВ, которые за эту аттестацию будут отвечать. Если допустить, что в ФОИВах знали о готовящейся отсрочке обязательности аттестации, можно предположить, что в графике они назвали сроки, максимально приближенные к 1 июля 2020 года.
Рубрика «Циничная аттестация»
Циничные прогнозы.
Неискушенный читатель (хотя, Циникс надеется, что среди его аудитории таких нет) может спросить: «А в чем, собственно, проблема с аттестацией ГИС? Ведь если судить по доступным госконтрактам в ЕИС госзакупок, подобные работы обходятся в достаточно скромные суммы – как правило, единицы миллионов рублей для ГИС, разработка которых стоила десятки (а нередко и сотни) миллионов рублей. Разве так сложно потратить несколько процентов бюджета разработки и эксплуатации ГИС на то, чтобы выполнить формальные требования по защите информации и получить аттестат соответствия?» Вот в этом-то и корень проблемы.
Дело даже не в том, что у координаторов федеральных ведомств бюджеты информатизации напоминают «тришкин кафтан», и они постоянно вынуждены решать, затыкание какой конкретной «дыры» является в настоящий момент наиболее приоритетным – и если есть возможность оставить какую-то «дыру» неприкрытой (например, ту самую аттестацию ГИС – вроде бы, обязательную, а вроде и не очень), то «дыру» так и оставляют. Проблема в том, что аттестация ГИС – это айсберг, у которого, как известно, над поверхностью видна только малая часть.
Сами работы по аттестации – их состав в зависимости от класса защищенности ГИС, сложность и стоимость – вполне понятны, предсказуемы и измеримы в деньгах. Но непредсказуемой очень часто бывает степень готовности самой ГИС к аттестации. Совершенно не секрет, что многие системы ваяются по хорошо известному принципу (Циникс здесь приводит его цензурный вариант) – «Хрена-хренак – и в продакшен!» «Подсистемы защиты информации» в таких ГИС нередко являют собой стандартный модуль парольной защиты на входе и, в лучшем случае, разграничение доступа к функциям, информации и документам внутри системы по ролевому принципу. При аттестационных проверках отрицательное заключение о невозможности аттестации может появиться уже на первом десятке пунктов из чек-листа. Именно поэтому существуют весьма востребованные услуги предаттестационного аудита ГИС и подготовки к аттестации. И вот эти-то услуги по стоимости уже вполне сопоставимы со стоимостью разработки системы – ведь, фактически, подготовка к аттестации такой ГИС нередко превращается в полноценную разработку подсистемы ЗИ-ИБ, которая была «оптимизирована» при первоначальной разработке.
И речь идет уже не о единицах миллионов, а о десятках миллионов рублей – в расчете на одну ГИС. В среднем, на одно федеральное ведомство приходится около десятка ГИС (Циникс не случайно подчеркнул слова «в среднем» - реальный разброс очень значительный), а это значит, что на честную подготовку и проведение аттестации – снова, в среднем – каждоиу ФОИВу потребуются бюджеты, измеряемые сотнями миллионов рублей. А где их взять? Вопрос риторический.
Поэтому Циникс совершенно не исключает такого сценария развития ситуации, при котором ряд ГИС будет принудительно лишаться своего государственного статуса и, следовательно, выводиться из-под нависающей «гильотины аттестации» (в последнее время слово «гильотина» - в хорошем его смысле – стало весьма популярным в кругах реформаторов госуправления, вот Циникс решил его тоже употребить).
Но фокус с «разгосударствлением» ГИС удастся провернуть далеко не всем ФОИВам и далеко не со всеми ныне существующими ГИС. В этом случае вполне реальным выглядит вариант с уводом ГИС в подведы ФОИВов. Сейчас на подведы уже сбрасываются не подлежащие координационному контролю бюджеты эксплуатации ГИС (а иногда – и бюджеты развития), поэтому полная передача ГИС на баланс подведов, хотя, и будет выглядеть с точки зрения контролеров координации, включая Счетную палату, нарушением нормативки, но позволит осуществлять их финансирование за границами действия ПП 365.
Циничные прогнозы.
Неискушенный читатель (хотя, Циникс надеется, что среди его аудитории таких нет) может спросить: «А в чем, собственно, проблема с аттестацией ГИС? Ведь если судить по доступным госконтрактам в ЕИС госзакупок, подобные работы обходятся в достаточно скромные суммы – как правило, единицы миллионов рублей для ГИС, разработка которых стоила десятки (а нередко и сотни) миллионов рублей. Разве так сложно потратить несколько процентов бюджета разработки и эксплуатации ГИС на то, чтобы выполнить формальные требования по защите информации и получить аттестат соответствия?» Вот в этом-то и корень проблемы.
Дело даже не в том, что у координаторов федеральных ведомств бюджеты информатизации напоминают «тришкин кафтан», и они постоянно вынуждены решать, затыкание какой конкретной «дыры» является в настоящий момент наиболее приоритетным – и если есть возможность оставить какую-то «дыру» неприкрытой (например, ту самую аттестацию ГИС – вроде бы, обязательную, а вроде и не очень), то «дыру» так и оставляют. Проблема в том, что аттестация ГИС – это айсберг, у которого, как известно, над поверхностью видна только малая часть.
Сами работы по аттестации – их состав в зависимости от класса защищенности ГИС, сложность и стоимость – вполне понятны, предсказуемы и измеримы в деньгах. Но непредсказуемой очень часто бывает степень готовности самой ГИС к аттестации. Совершенно не секрет, что многие системы ваяются по хорошо известному принципу (Циникс здесь приводит его цензурный вариант) – «Хрена-хренак – и в продакшен!» «Подсистемы защиты информации» в таких ГИС нередко являют собой стандартный модуль парольной защиты на входе и, в лучшем случае, разграничение доступа к функциям, информации и документам внутри системы по ролевому принципу. При аттестационных проверках отрицательное заключение о невозможности аттестации может появиться уже на первом десятке пунктов из чек-листа. Именно поэтому существуют весьма востребованные услуги предаттестационного аудита ГИС и подготовки к аттестации. И вот эти-то услуги по стоимости уже вполне сопоставимы со стоимостью разработки системы – ведь, фактически, подготовка к аттестации такой ГИС нередко превращается в полноценную разработку подсистемы ЗИ-ИБ, которая была «оптимизирована» при первоначальной разработке.
И речь идет уже не о единицах миллионов, а о десятках миллионов рублей – в расчете на одну ГИС. В среднем, на одно федеральное ведомство приходится около десятка ГИС (Циникс не случайно подчеркнул слова «в среднем» - реальный разброс очень значительный), а это значит, что на честную подготовку и проведение аттестации – снова, в среднем – каждоиу ФОИВу потребуются бюджеты, измеряемые сотнями миллионов рублей. А где их взять? Вопрос риторический.
Поэтому Циникс совершенно не исключает такого сценария развития ситуации, при котором ряд ГИС будет принудительно лишаться своего государственного статуса и, следовательно, выводиться из-под нависающей «гильотины аттестации» (в последнее время слово «гильотина» - в хорошем его смысле – стало весьма популярным в кругах реформаторов госуправления, вот Циникс решил его тоже употребить).
Но фокус с «разгосударствлением» ГИС удастся провернуть далеко не всем ФОИВам и далеко не со всеми ныне существующими ГИС. В этом случае вполне реальным выглядит вариант с уводом ГИС в подведы ФОИВов. Сейчас на подведы уже сбрасываются не подлежащие координационному контролю бюджеты эксплуатации ГИС (а иногда – и бюджеты развития), поэтому полная передача ГИС на баланс подведов, хотя, и будет выглядеть с точки зрения контролеров координации, включая Счетную палату, нарушением нормативки, но позволит осуществлять их финансирование за границами действия ПП 365.
Кстати, в «самом новом ПП 365» - очередном проекте изменений в главный координационный НПА – хоть и провозглашается распространение норм координации на подведы ФОИВов, но делается это очень своеобразно. Под «каток координации» попадают только подведы, являющиеся казенными учреждениями (навскидку Циникс знает такие только в Минфине и ФСИНе, но это навскидку), а вот бюджетные и автономные учреждения обязаны будут только отчитываться о своих ИТ-расходах, но не согласовывать их через все механизмы координации.
Интересно, вот тот умник, который придумал именно такой вариант расширения действия ПП 365, держал в голове мысль про ГИСы и подведы?
В качестве вишенки на торте ко всем вышеприведенным рассуждениям Циникса. Главная координационная система Минкомсвязи - ФГИС КИ - еще с 2017 года находится в полном финансовом ведении министерского координационного подведа ЦЭКИ. Ее развитие и эксплуатация осуществляются за счет субсидий, которые Минкомсвязь распределяет на ЦЭКИ. И никаких проблем с согласованием МПИ по этой ФГИС...
Интересно, вот тот умник, который придумал именно такой вариант расширения действия ПП 365, держал в голове мысль про ГИСы и подведы?
В качестве вишенки на торте ко всем вышеприведенным рассуждениям Циникса. Главная координационная система Минкомсвязи - ФГИС КИ - еще с 2017 года находится в полном финансовом ведении министерского координационного подведа ЦЭКИ. Ее развитие и эксплуатация осуществляются за счет субсидий, которые Минкомсвязь распределяет на ЦЭКИ. И никаких проблем с согласованием МПИ по этой ФГИС...
Рубрика "Циничный учет"
Кстати, в протоколе президиума Правкомиссии, вырезку из которого Циникс повесил выше, в том самом вопросе про "заморозку" требования аттестации ГИС есть еще четвертый пункт (он просто на другой странице протокола оказался и в вырезку не попал.
Циникс цитирует:
"Минкомсвязи России (К.Ю.Носкову) в срок до 18 апреля 2019 г. представить в президиум Комиссии предложения по совершенствованию учета и классификации информационных систем".
Учитывая, что протокол заседания датирован 4 апреля, на подготовку предложений было отведено 2 недели - что, в общем-то, немало для подготовки рабочей записки.
Для уверенного толкования этого пункта протокола у Циникса информации недостаточно, но есть общее понимание, про что могла пойти речь в контексте, с одной стороны, аттестации ГИС, а с другой, отмеченной в протоколе необходимости совершенствования учета и классификации информационных систем.
Можно допустить, что представителям Минкомсвязи был задан вполне естественный вопрос со стороны вице-премьера, например - "А сколько у нас всего ГИС в ведомствах и сколько из них имеют аттестаты соответствия?" И вот тут министерские, наверняка, поплыли...
Потому что точного ответа ни на первую часть вопроса, ни на вторую не знает никто. То есть, совсем никто. Даже Циникс имеет приблизительные (хотя, и похожие на правду) оценки по первой части вопроса, но не представляет, какая цифра является ответом на вторую часть.
И скорее всего, в этом месте министерские начали объяснять вице-премьеру, насколько сложно (на самом деле, бестолково - это мнение Циникса) устроен учет информационных систем ведомств, что не всегда понятно, какие системы нужно относить к ГИС, а какие не нужно (хотя, и здесь все ясно - если просто сесть и подумать), что некоторые системы являются комплексными и состоят из нескольких ГИС, для каждой из которых нужен отдельный аттестат соответствия (вот, например в ГИИС "Электронный бюджет" практически два десятка подсистем, каждую их которых аттестовали отдельно). И так далее...
Запутаться во всей этой мешанине несложно, даже Циникс - несмотря на свой богатый жизненный опыт - иногда путается. Что же взять с простого вице-премьера, привыкшего воспринимать ИТ-системы исключительно как объекты расходования бюджетных средств? Вот, скорее всего, после таких объяснений и появился в протоколе четвертый пункт поручений.
Интересно в этой истории то, что после того заседания прошло уже 4 месяца, а каких-то заметных утечек из Минкомсвязи про готовящуюся реформу учета не появлялось. Хотя, ей уже давно следовало бы случиться - учет ИС до сих пор ведется по дурацким методикам 2013 года. И вот то, что утечек не было, скорее всего, говорит не о качестве контроля за рапространением конфиденциальной информации, а о том, что до настоящего времени ничего стоящего на тему учета и классификации ведомственных ИС в Минкомсвязи не придумали.
Кстати, в протоколе президиума Правкомиссии, вырезку из которого Циникс повесил выше, в том самом вопросе про "заморозку" требования аттестации ГИС есть еще четвертый пункт (он просто на другой странице протокола оказался и в вырезку не попал.
Циникс цитирует:
"Минкомсвязи России (К.Ю.Носкову) в срок до 18 апреля 2019 г. представить в президиум Комиссии предложения по совершенствованию учета и классификации информационных систем".
Учитывая, что протокол заседания датирован 4 апреля, на подготовку предложений было отведено 2 недели - что, в общем-то, немало для подготовки рабочей записки.
Для уверенного толкования этого пункта протокола у Циникса информации недостаточно, но есть общее понимание, про что могла пойти речь в контексте, с одной стороны, аттестации ГИС, а с другой, отмеченной в протоколе необходимости совершенствования учета и классификации информационных систем.
Можно допустить, что представителям Минкомсвязи был задан вполне естественный вопрос со стороны вице-премьера, например - "А сколько у нас всего ГИС в ведомствах и сколько из них имеют аттестаты соответствия?" И вот тут министерские, наверняка, поплыли...
Потому что точного ответа ни на первую часть вопроса, ни на вторую не знает никто. То есть, совсем никто. Даже Циникс имеет приблизительные (хотя, и похожие на правду) оценки по первой части вопроса, но не представляет, какая цифра является ответом на вторую часть.
И скорее всего, в этом месте министерские начали объяснять вице-премьеру, насколько сложно (на самом деле, бестолково - это мнение Циникса) устроен учет информационных систем ведомств, что не всегда понятно, какие системы нужно относить к ГИС, а какие не нужно (хотя, и здесь все ясно - если просто сесть и подумать), что некоторые системы являются комплексными и состоят из нескольких ГИС, для каждой из которых нужен отдельный аттестат соответствия (вот, например в ГИИС "Электронный бюджет" практически два десятка подсистем, каждую их которых аттестовали отдельно). И так далее...
Запутаться во всей этой мешанине несложно, даже Циникс - несмотря на свой богатый жизненный опыт - иногда путается. Что же взять с простого вице-премьера, привыкшего воспринимать ИТ-системы исключительно как объекты расходования бюджетных средств? Вот, скорее всего, после таких объяснений и появился в протоколе четвертый пункт поручений.
Интересно в этой истории то, что после того заседания прошло уже 4 месяца, а каких-то заметных утечек из Минкомсвязи про готовящуюся реформу учета не появлялось. Хотя, ей уже давно следовало бы случиться - учет ИС до сих пор ведется по дурацким методикам 2013 года. И вот то, что утечек не было, скорее всего, говорит не о качестве контроля за рапространением конфиденциальной информации, а о том, что до настоящего времени ничего стоящего на тему учета и классификации ведомственных ИС в Минкомсвязи не придумали.
Рубрика "Циничная статистика"
А вот это реально круто - пост Циникса про проект изменений в приказе 17 ФСТЭК с момента его публикации прочитало втрое больше людей, чем имеется подписчиков у Циникса. И это в выходной день!
Наверняка, кто-то из читателей забросил ссылку на пост в какую-то специальную группу глубокого изучения приказа 17.
Ну что ж, это радует - хоть и отдельными постами, но Циникс уже приносит пользу людям
А вот это реально круто - пост Циникса про проект изменений в приказе 17 ФСТЭК с момента его публикации прочитало втрое больше людей, чем имеется подписчиков у Циникса. И это в выходной день!
Наверняка, кто-то из читателей забросил ссылку на пост в какую-то специальную группу глубокого изучения приказа 17.
Ну что ж, это радует - хоть и отдельными постами, но Циникс уже приносит пользу людям