Рубрика «Циничная аттестация»
Исторические хроники.
Вообще, история с «принуждением к аттестации» ГИС продолжается уже 3,5 года.
Как известно, приказ 17 ФСТЭК появился еще в 2013 году, но до поры до времени ни регулятор защиты информации в лице ФСТЭК, ни сами ФОИВы как-то не спешили с его практическим применением. Конечно, самые продвинутые и самые замороченные на информационной безопасности ведомства начали практиковать аттестацию своих основных систем в соответствии с требованиями новоизданного приказа, но основной массе было не до того – их целью было просто продраться через рогатки и препоны координации (которые, как выясняется теперь, вовсе не были рогатками и препонами, а были прямой и светлой дорогой из желтого кирпича – как раз таки к нынешним рогаткам и препонам).
Но в самом конце 2015 года появился перечень поручений по итогам совещания у Президента по вопросам защиты информации в государственных системах (как принято писать у «посвященных» журналистов, Циникс имел возможность ознакомиться с данным перечнем). Одно из поручений перечня обязывало Минкомсвязи (тогда еще во главе с министром Никоифоровым) усилить контроль за соблюдением требований ИБ-ЗИ в государственных информационных системах. Вот, с самого начала 2016 года это «принуждение к аттестации» и началось.
Правда, поначалу это было не принуждение, а уговоры. В Минкомсвязи довольно долго размышляли, на какой из департаментов возложить эту ответственную задачу, и в итоге решили возложить ее на департамент координации информатизации (ДКИ) и увязать с согласованием планов информатизации. Но в действовавшей на тот момент версии Положения о координации не было подходящего критерия, к которому можно было бы привязать требование о необходимости проведения аттестации ГИС, поэтому вначале все ограничивалось только рекомендациями о необходимости соблюдения приказа 17 ФСТЭК.
Кстати, именно с «принуждения к аттестации» началось абсолютно вольное толкование Минкомсвязью правил оценки ведомственных планов и мероприятий по информатизации (ПИ-МПИ). Все новые «вводные» по госИТ, которые в то время достаточно активно прилетали с уровня Правительства или Администрации Президента, оперативно подверстывались к правилам оценки ПИ-МПИ и становились частью процесса координации, которая уже тогда начала превращаться в профанацию. После «принуждения к аттестации» появились такие же слабо продуманные с методической и организационной точек зрения «принуждение к импортозамещению», «принуждение к централизованной закупке офисного ПО» - и, видимо, очень скоро грядет «принуждение к цифровизации».
Исторические хроники.
Вообще, история с «принуждением к аттестации» ГИС продолжается уже 3,5 года.
Как известно, приказ 17 ФСТЭК появился еще в 2013 году, но до поры до времени ни регулятор защиты информации в лице ФСТЭК, ни сами ФОИВы как-то не спешили с его практическим применением. Конечно, самые продвинутые и самые замороченные на информационной безопасности ведомства начали практиковать аттестацию своих основных систем в соответствии с требованиями новоизданного приказа, но основной массе было не до того – их целью было просто продраться через рогатки и препоны координации (которые, как выясняется теперь, вовсе не были рогатками и препонами, а были прямой и светлой дорогой из желтого кирпича – как раз таки к нынешним рогаткам и препонам).
Но в самом конце 2015 года появился перечень поручений по итогам совещания у Президента по вопросам защиты информации в государственных системах (как принято писать у «посвященных» журналистов, Циникс имел возможность ознакомиться с данным перечнем). Одно из поручений перечня обязывало Минкомсвязи (тогда еще во главе с министром Никоифоровым) усилить контроль за соблюдением требований ИБ-ЗИ в государственных информационных системах. Вот, с самого начала 2016 года это «принуждение к аттестации» и началось.
Правда, поначалу это было не принуждение, а уговоры. В Минкомсвязи довольно долго размышляли, на какой из департаментов возложить эту ответственную задачу, и в итоге решили возложить ее на департамент координации информатизации (ДКИ) и увязать с согласованием планов информатизации. Но в действовавшей на тот момент версии Положения о координации не было подходящего критерия, к которому можно было бы привязать требование о необходимости проведения аттестации ГИС, поэтому вначале все ограничивалось только рекомендациями о необходимости соблюдения приказа 17 ФСТЭК.
Кстати, именно с «принуждения к аттестации» началось абсолютно вольное толкование Минкомсвязью правил оценки ведомственных планов и мероприятий по информатизации (ПИ-МПИ). Все новые «вводные» по госИТ, которые в то время достаточно активно прилетали с уровня Правительства или Администрации Президента, оперативно подверстывались к правилам оценки ПИ-МПИ и становились частью процесса координации, которая уже тогда начала превращаться в профанацию. После «принуждения к аттестации» появились такие же слабо продуманные с методической и организационной точек зрения «принуждение к импортозамещению», «принуждение к централизованной закупке офисного ПО» - и, видимо, очень скоро грядет «принуждение к цифровизации».
Рубрика «Циничная аттестация»
Исторические хроники.
В мае 2016 года вышло постановление Правительства 392, в народе известное как «новое 365-ое», потому что оно достаточно кардинально изменило содержание и смысл Положения о координации, утвержденного «старым 365-м», которое, на самом деле было не 365-м (ПП 365 вышло в 2010 году, но в его составе тогда не было Положения о координации), а было 394-м (ПП 394 от апреля 2012, изменившее ПП 365 от мая 2010). Принципиально новым в «новом 365-м» версии 2016 года было появление нового перечня так называемых приоритетных направлений (ПН), среди которых появилось и ПН 4 – «Защита информации, содержащейся в государственных информационных системах, и обеспечение информационной безопасности при использовании информационно-коммуникационных технологий в деятельности федеральных органов исполнительной власти и органов управления государственными внебюджетными фондами». К каждому ПН прилагался перечень так называемых целевых показателей (ЦП), которые полагалось указывать при планировании МПИ.
ПН 4 и соответствующий ЦП к нему как раз и явились тем средством, которое Минкомсвязи намеревалось использовать уже для более жесткого «принуждения к аттестации». Но вместо того, чтобы сделать значением ЦП для ПН 4 совершенно логично напрашивающееся отношение числа аттестованных ГИС к общему количеству ГИС в ведомстве, в методику оценки был включен совершенно идиотский показатель, названный «Наличие мероприятий по защите информации в соответствии с требованиями».
Ниже Циникс цитирует формулировку этого ЦП в соответствии с одним из основных действующих до настоящего времени методических приказов по координации – приказом 420 от августа 2016:
По приоритетному направлению N 4.
Базовый показатель: "Наличие мероприятий по защите информации в соответствии с требованиями".
Данный показатель рекомендуется устанавливать для мероприятий по информатизации, направленных на создание, развитие, эксплуатацию или вывод из эксплуатации информационных систем. Значение данного показателя устанавливается "Да", если орган государственной власти осуществляет (планирует осуществить) в составе работ мероприятия по защите информации в соответствии с требованиями приказа ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (зарегистрирован в Министерстве юстиции Российской Федерации 31 мая 2013 г., регистрационный N 28608), в обратном случае в значение показателя устанавливается "Нет".
Данный показатель является основным для информационных систем.
То есть, вместо четкого «Аттестовано 7 ГИС из имеющихся 20», который нужно было бы выставлять на уровне всего ПИ, в методике предлагалось для каждого МПИ, направленного на ГИС, писать «Да» или «Нет» в каждом году планирования. А поскольку таких значений в МПИ нужно было указывать 4 (одно базовое, фиксирующее текущее состояние, и по одному для каждых из 3-лет планового периода) шкала значений ЦП для ПН 4 в МПИ выглядела примерно так – «Нет-Нет-Нет-Да» (что на на простом русском языке означало «Сейчас эта ГИС не аттестована, но, возможно, мы займемся аттестацией через 2 года. Но это не точно») или «Нет-Да-Да-Да» (что означало – «Сейчас аттестации нет, но мы обещаем, что начнем ею заниматься в следующем году. Но получим аттестат или нет, неизвестно»).
Эксперты ЦЭКИ, занимающиеся оценкой МПИ, были обучены реагировать на последовательность четырех подряд «Нет» в целевом показателе (потому что это означало, что аттестации нет, и ведомство на эту тему не заморачивается) и в этом случае выставлять замечание к МПИ. В остальных же случаях всё прокатывало – МПИ получало положительную оценку по соответствующему правилу проверки.
Что совсем не гарантировало, что аттестация конкретной ГИС все-таки состоится.
Исторические хроники.
В мае 2016 года вышло постановление Правительства 392, в народе известное как «новое 365-ое», потому что оно достаточно кардинально изменило содержание и смысл Положения о координации, утвержденного «старым 365-м», которое, на самом деле было не 365-м (ПП 365 вышло в 2010 году, но в его составе тогда не было Положения о координации), а было 394-м (ПП 394 от апреля 2012, изменившее ПП 365 от мая 2010). Принципиально новым в «новом 365-м» версии 2016 года было появление нового перечня так называемых приоритетных направлений (ПН), среди которых появилось и ПН 4 – «Защита информации, содержащейся в государственных информационных системах, и обеспечение информационной безопасности при использовании информационно-коммуникационных технологий в деятельности федеральных органов исполнительной власти и органов управления государственными внебюджетными фондами». К каждому ПН прилагался перечень так называемых целевых показателей (ЦП), которые полагалось указывать при планировании МПИ.
ПН 4 и соответствующий ЦП к нему как раз и явились тем средством, которое Минкомсвязи намеревалось использовать уже для более жесткого «принуждения к аттестации». Но вместо того, чтобы сделать значением ЦП для ПН 4 совершенно логично напрашивающееся отношение числа аттестованных ГИС к общему количеству ГИС в ведомстве, в методику оценки был включен совершенно идиотский показатель, названный «Наличие мероприятий по защите информации в соответствии с требованиями».
Ниже Циникс цитирует формулировку этого ЦП в соответствии с одним из основных действующих до настоящего времени методических приказов по координации – приказом 420 от августа 2016:
По приоритетному направлению N 4.
Базовый показатель: "Наличие мероприятий по защите информации в соответствии с требованиями".
Данный показатель рекомендуется устанавливать для мероприятий по информатизации, направленных на создание, развитие, эксплуатацию или вывод из эксплуатации информационных систем. Значение данного показателя устанавливается "Да", если орган государственной власти осуществляет (планирует осуществить) в составе работ мероприятия по защите информации в соответствии с требованиями приказа ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (зарегистрирован в Министерстве юстиции Российской Федерации 31 мая 2013 г., регистрационный N 28608), в обратном случае в значение показателя устанавливается "Нет".
Данный показатель является основным для информационных систем.
То есть, вместо четкого «Аттестовано 7 ГИС из имеющихся 20», который нужно было бы выставлять на уровне всего ПИ, в методике предлагалось для каждого МПИ, направленного на ГИС, писать «Да» или «Нет» в каждом году планирования. А поскольку таких значений в МПИ нужно было указывать 4 (одно базовое, фиксирующее текущее состояние, и по одному для каждых из 3-лет планового периода) шкала значений ЦП для ПН 4 в МПИ выглядела примерно так – «Нет-Нет-Нет-Да» (что на на простом русском языке означало «Сейчас эта ГИС не аттестована, но, возможно, мы займемся аттестацией через 2 года. Но это не точно») или «Нет-Да-Да-Да» (что означало – «Сейчас аттестации нет, но мы обещаем, что начнем ею заниматься в следующем году. Но получим аттестат или нет, неизвестно»).
Эксперты ЦЭКИ, занимающиеся оценкой МПИ, были обучены реагировать на последовательность четырех подряд «Нет» в целевом показателе (потому что это означало, что аттестации нет, и ведомство на эту тему не заморачивается) и в этом случае выставлять замечание к МПИ. В остальных же случаях всё прокатывало – МПИ получало положительную оценку по соответствующему правилу проверки.
Что совсем не гарантировало, что аттестация конкретной ГИС все-таки состоится.
Рубрика «Циничная аттестация»
Исторические хроники.
Лафа с «данетками» по ПН 4 продолжалась до начала 2019 года. На самом деле, первые признаки очередного ужесточения ситуации с обязательной аттестацией ГИС случились еще весной 2017 года – тогда вышло ПП 555, которое внесло серьезные изменения в ПП 676 от 2015 года (Циникс здесь не всегда пишет даты и полные названия ПП, потому что эта тема интересна, по-видимому, только «боевым» координаторам, а они в курсе действующей нормативки – ну, по крайней мере, Циникс надеется, что в курсе). Суть изменений в ПП 676 сводилась к тому, что, начиная с 2019 года, не допускается эксплуатация ГИС, не имеющих действующего аттестата соответствия.
Циникс с трудом себе представляет ситуацию, когда в ведомственный ЦОД приходит контролер Минкомсвязи и выключает рубильник в ряду стоек, где размещена неаттестованная ГИС. Хотя, посмотреть на такой цирковой номер Циникс бы не отказался. На практике, конечно, все выглядит проще и бюрократичнее – Минкомсвязи просто перестало согласовывать в планах 2019 года мероприятия по эксплуатации ГИС, у которых нет аттестата соответствия. Всё по любимой классике Циникса – «Нет ручек – нет конфеток!». А раз МПИ не согласовано, Минфин и Казначейство не открывают «шлагбаум» по его финансированию.
В середине 2017 года, когда появились эти изменения в ПП 676, многим координаторам казалось, что 2019 год далеко, до него еще нужно дожить, а потом еще в 2018 году практически целиком сменился состав Минкомсвязи, в том числе, и на координацию пришли совершенно новые люди. Ведомства выжидали, руководствуясь бессмертным принципом Ходжи Насреддина – «А к тому времени или падишах умрёт, или осёл копыта откинет – как-нибудь прокатит».
Но не прокатило. Уже в начале 2019 года ситуация с никак не согласовывающимися МПИ по эксплуатации ГИС стала подниматься наверх – сначала на уровень министра К.Носкова, а потом и на уровень вице-премьера М.Акимова. В начале апреля 2019 вопрос о временной приостановке действия соответствующих пунктов ПП 676 слушался на заседании президиума Правкомиссии по ИТ. Добрые люди еще тогда подогнали Циниксу протокол того заседания, но Циникс до поры до времени хранил молчание – хотя, знал, что запрет на эксплуатацию нетаттестованных ГИС будет приостановлен.
Исторические хроники.
Лафа с «данетками» по ПН 4 продолжалась до начала 2019 года. На самом деле, первые признаки очередного ужесточения ситуации с обязательной аттестацией ГИС случились еще весной 2017 года – тогда вышло ПП 555, которое внесло серьезные изменения в ПП 676 от 2015 года (Циникс здесь не всегда пишет даты и полные названия ПП, потому что эта тема интересна, по-видимому, только «боевым» координаторам, а они в курсе действующей нормативки – ну, по крайней мере, Циникс надеется, что в курсе). Суть изменений в ПП 676 сводилась к тому, что, начиная с 2019 года, не допускается эксплуатация ГИС, не имеющих действующего аттестата соответствия.
Циникс с трудом себе представляет ситуацию, когда в ведомственный ЦОД приходит контролер Минкомсвязи и выключает рубильник в ряду стоек, где размещена неаттестованная ГИС. Хотя, посмотреть на такой цирковой номер Циникс бы не отказался. На практике, конечно, все выглядит проще и бюрократичнее – Минкомсвязи просто перестало согласовывать в планах 2019 года мероприятия по эксплуатации ГИС, у которых нет аттестата соответствия. Всё по любимой классике Циникса – «Нет ручек – нет конфеток!». А раз МПИ не согласовано, Минфин и Казначейство не открывают «шлагбаум» по его финансированию.
В середине 2017 года, когда появились эти изменения в ПП 676, многим координаторам казалось, что 2019 год далеко, до него еще нужно дожить, а потом еще в 2018 году практически целиком сменился состав Минкомсвязи, в том числе, и на координацию пришли совершенно новые люди. Ведомства выжидали, руководствуясь бессмертным принципом Ходжи Насреддина – «А к тому времени или падишах умрёт, или осёл копыта откинет – как-нибудь прокатит».
Но не прокатило. Уже в начале 2019 года ситуация с никак не согласовывающимися МПИ по эксплуатации ГИС стала подниматься наверх – сначала на уровень министра К.Носкова, а потом и на уровень вице-премьера М.Акимова. В начале апреля 2019 вопрос о временной приостановке действия соответствующих пунктов ПП 676 слушался на заседании президиума Правкомиссии по ИТ. Добрые люди еще тогда подогнали Циниксу протокол того заседания, но Циникс до поры до времени хранил молчание – хотя, знал, что запрет на эксплуатацию нетаттестованных ГИС будет приостановлен.
Рубрика «Циничная аттестация»
Циничные прогнозы.
Итак, надежды и чаяния координаторов всея федеральных ведомств сбылись – запрет на эксплуатацию неаттестованных ГИС отложен до 1 июля 2020 года. Что это означат на практике?
Начнем с неочевидных обстоятельств. Сам по себе запрет на эксплуатацию ГИС не очень-то и пугает ведомства. Уже достаточно широко распространена практика, когда ФОИВы вообще не планируют мероприятия по эксплуатации своих ГИС (которые в абсолютном большинстве не аттестованы), а перебрасывают эту функцию (и соответствующие финансовые средства) на свои подведы, которые совсем не обязаны согласовывать свои бюджетные расходы с Минкомсвязью. При этом, на справедливо возникающие у Минкомсвязи вопросы об отсутствии в планах ведомств мероприятий по эксплуатации ГИС ведомства на голубом глазу отвечают, что таковая эксплуатация будет проводиться силами собственных ИТ-специалистов ведомства и подведомственных учреждений.
Но засада кроется в том, что, помимо эксплуатации, ведомства довольно часто планируют развитие своих ГИС. А вот развивать – по методикам координации – можно только такую ГИС, которая официально находится в эксплуатации. Ранее выпущенные приказы ведомств о вводе в эксплуатацию ГИС без аттестации их по требованиям приказа 17 ФСТЭК, фактически, являются юридически ничтожными, потому что этот самый приказ 17 (и ПП 676 заодно) нарушают. А раз не было официального ввода в эксплуатацию, значит, не может быть и развития такой ГИС. То есть, ведомства находятся под угрозой (у Циникса нет полной картины – только гипотезы, основанные на знании практики Минкомсвязи и экспертов ЦЭКИ) отказа в согласовании им мероприятий, связанных с развитием ГИС. А поскольку особенности государственной автоматизации таковы, что реальные работы по развитию систем начинаются и ведутся задолго до официального согласования плановых мероприятий и объявления соответствующих закупок (именно отсюда и возникают контракты, в которых за 2-3 недели перед концом года нужно разработать систему стоимостью в несколько сот миллионов рублей), то ведомства оказываются в ситуации, когда не могут соблюсти собственные неформальные обязательства, данные компаниям-разработчикам. «Придворным» разработчикам, конечно, особо деваться некуда – они терпят, работают без авансов, под честное слово заказчиков из ФОИВов, но и у самых терпеливых, бывает, заканчивается терпение.
Сейчас очень быстро будут согласованы все ранее несогласовывающиеся мероприятия, связанные с неаттестованными ГИС. Но это планы 2019 года. Учитывая, что приостановка действия пунктов 15 и 19-1 ПП 676 в части недопуска к эксплуатации неаттестованных ГИС имеет крайним сроком 1 июля 2020 года, это означает, что и мероприятия 2020 года большинство ФОИВов успеет согласовать без заморочек с аттестацией. То есть, неотвратимая угроза аттестации отодвинута, по крайней мере, до цикла планирования 2021-2023 гг.
Но! В пункте 3 апрельского протокола Правкомиссии, вырезку из которого Циникс повесил выше, есть еще слова про план-график аттестации ГИС, который все ФОИвы должны были представить в президум Правкомиссии еще в апреле 2019 – вместе с указанием «подрасстрельных» замов руководителей ФОИВ, которые за эту аттестацию будут отвечать. Если допустить, что в ФОИВах знали о готовящейся отсрочке обязательности аттестации, можно предположить, что в графике они назвали сроки, максимально приближенные к 1 июля 2020 года.
Циничные прогнозы.
Итак, надежды и чаяния координаторов всея федеральных ведомств сбылись – запрет на эксплуатацию неаттестованных ГИС отложен до 1 июля 2020 года. Что это означат на практике?
Начнем с неочевидных обстоятельств. Сам по себе запрет на эксплуатацию ГИС не очень-то и пугает ведомства. Уже достаточно широко распространена практика, когда ФОИВы вообще не планируют мероприятия по эксплуатации своих ГИС (которые в абсолютном большинстве не аттестованы), а перебрасывают эту функцию (и соответствующие финансовые средства) на свои подведы, которые совсем не обязаны согласовывать свои бюджетные расходы с Минкомсвязью. При этом, на справедливо возникающие у Минкомсвязи вопросы об отсутствии в планах ведомств мероприятий по эксплуатации ГИС ведомства на голубом глазу отвечают, что таковая эксплуатация будет проводиться силами собственных ИТ-специалистов ведомства и подведомственных учреждений.
Но засада кроется в том, что, помимо эксплуатации, ведомства довольно часто планируют развитие своих ГИС. А вот развивать – по методикам координации – можно только такую ГИС, которая официально находится в эксплуатации. Ранее выпущенные приказы ведомств о вводе в эксплуатацию ГИС без аттестации их по требованиям приказа 17 ФСТЭК, фактически, являются юридически ничтожными, потому что этот самый приказ 17 (и ПП 676 заодно) нарушают. А раз не было официального ввода в эксплуатацию, значит, не может быть и развития такой ГИС. То есть, ведомства находятся под угрозой (у Циникса нет полной картины – только гипотезы, основанные на знании практики Минкомсвязи и экспертов ЦЭКИ) отказа в согласовании им мероприятий, связанных с развитием ГИС. А поскольку особенности государственной автоматизации таковы, что реальные работы по развитию систем начинаются и ведутся задолго до официального согласования плановых мероприятий и объявления соответствующих закупок (именно отсюда и возникают контракты, в которых за 2-3 недели перед концом года нужно разработать систему стоимостью в несколько сот миллионов рублей), то ведомства оказываются в ситуации, когда не могут соблюсти собственные неформальные обязательства, данные компаниям-разработчикам. «Придворным» разработчикам, конечно, особо деваться некуда – они терпят, работают без авансов, под честное слово заказчиков из ФОИВов, но и у самых терпеливых, бывает, заканчивается терпение.
Сейчас очень быстро будут согласованы все ранее несогласовывающиеся мероприятия, связанные с неаттестованными ГИС. Но это планы 2019 года. Учитывая, что приостановка действия пунктов 15 и 19-1 ПП 676 в части недопуска к эксплуатации неаттестованных ГИС имеет крайним сроком 1 июля 2020 года, это означает, что и мероприятия 2020 года большинство ФОИВов успеет согласовать без заморочек с аттестацией. То есть, неотвратимая угроза аттестации отодвинута, по крайней мере, до цикла планирования 2021-2023 гг.
Но! В пункте 3 апрельского протокола Правкомиссии, вырезку из которого Циникс повесил выше, есть еще слова про план-график аттестации ГИС, который все ФОИвы должны были представить в президум Правкомиссии еще в апреле 2019 – вместе с указанием «подрасстрельных» замов руководителей ФОИВ, которые за эту аттестацию будут отвечать. Если допустить, что в ФОИВах знали о готовящейся отсрочке обязательности аттестации, можно предположить, что в графике они назвали сроки, максимально приближенные к 1 июля 2020 года.
Рубрика «Циничная аттестация»
Циничные прогнозы.
Неискушенный читатель (хотя, Циникс надеется, что среди его аудитории таких нет) может спросить: «А в чем, собственно, проблема с аттестацией ГИС? Ведь если судить по доступным госконтрактам в ЕИС госзакупок, подобные работы обходятся в достаточно скромные суммы – как правило, единицы миллионов рублей для ГИС, разработка которых стоила десятки (а нередко и сотни) миллионов рублей. Разве так сложно потратить несколько процентов бюджета разработки и эксплуатации ГИС на то, чтобы выполнить формальные требования по защите информации и получить аттестат соответствия?» Вот в этом-то и корень проблемы.
Дело даже не в том, что у координаторов федеральных ведомств бюджеты информатизации напоминают «тришкин кафтан», и они постоянно вынуждены решать, затыкание какой конкретной «дыры» является в настоящий момент наиболее приоритетным – и если есть возможность оставить какую-то «дыру» неприкрытой (например, ту самую аттестацию ГИС – вроде бы, обязательную, а вроде и не очень), то «дыру» так и оставляют. Проблема в том, что аттестация ГИС – это айсберг, у которого, как известно, над поверхностью видна только малая часть.
Сами работы по аттестации – их состав в зависимости от класса защищенности ГИС, сложность и стоимость – вполне понятны, предсказуемы и измеримы в деньгах. Но непредсказуемой очень часто бывает степень готовности самой ГИС к аттестации. Совершенно не секрет, что многие системы ваяются по хорошо известному принципу (Циникс здесь приводит его цензурный вариант) – «Хрена-хренак – и в продакшен!» «Подсистемы защиты информации» в таких ГИС нередко являют собой стандартный модуль парольной защиты на входе и, в лучшем случае, разграничение доступа к функциям, информации и документам внутри системы по ролевому принципу. При аттестационных проверках отрицательное заключение о невозможности аттестации может появиться уже на первом десятке пунктов из чек-листа. Именно поэтому существуют весьма востребованные услуги предаттестационного аудита ГИС и подготовки к аттестации. И вот эти-то услуги по стоимости уже вполне сопоставимы со стоимостью разработки системы – ведь, фактически, подготовка к аттестации такой ГИС нередко превращается в полноценную разработку подсистемы ЗИ-ИБ, которая была «оптимизирована» при первоначальной разработке.
И речь идет уже не о единицах миллионов, а о десятках миллионов рублей – в расчете на одну ГИС. В среднем, на одно федеральное ведомство приходится около десятка ГИС (Циникс не случайно подчеркнул слова «в среднем» - реальный разброс очень значительный), а это значит, что на честную подготовку и проведение аттестации – снова, в среднем – каждоиу ФОИВу потребуются бюджеты, измеряемые сотнями миллионов рублей. А где их взять? Вопрос риторический.
Поэтому Циникс совершенно не исключает такого сценария развития ситуации, при котором ряд ГИС будет принудительно лишаться своего государственного статуса и, следовательно, выводиться из-под нависающей «гильотины аттестации» (в последнее время слово «гильотина» - в хорошем его смысле – стало весьма популярным в кругах реформаторов госуправления, вот Циникс решил его тоже употребить).
Но фокус с «разгосударствлением» ГИС удастся провернуть далеко не всем ФОИВам и далеко не со всеми ныне существующими ГИС. В этом случае вполне реальным выглядит вариант с уводом ГИС в подведы ФОИВов. Сейчас на подведы уже сбрасываются не подлежащие координационному контролю бюджеты эксплуатации ГИС (а иногда – и бюджеты развития), поэтому полная передача ГИС на баланс подведов, хотя, и будет выглядеть с точки зрения контролеров координации, включая Счетную палату, нарушением нормативки, но позволит осуществлять их финансирование за границами действия ПП 365.
Циничные прогнозы.
Неискушенный читатель (хотя, Циникс надеется, что среди его аудитории таких нет) может спросить: «А в чем, собственно, проблема с аттестацией ГИС? Ведь если судить по доступным госконтрактам в ЕИС госзакупок, подобные работы обходятся в достаточно скромные суммы – как правило, единицы миллионов рублей для ГИС, разработка которых стоила десятки (а нередко и сотни) миллионов рублей. Разве так сложно потратить несколько процентов бюджета разработки и эксплуатации ГИС на то, чтобы выполнить формальные требования по защите информации и получить аттестат соответствия?» Вот в этом-то и корень проблемы.
Дело даже не в том, что у координаторов федеральных ведомств бюджеты информатизации напоминают «тришкин кафтан», и они постоянно вынуждены решать, затыкание какой конкретной «дыры» является в настоящий момент наиболее приоритетным – и если есть возможность оставить какую-то «дыру» неприкрытой (например, ту самую аттестацию ГИС – вроде бы, обязательную, а вроде и не очень), то «дыру» так и оставляют. Проблема в том, что аттестация ГИС – это айсберг, у которого, как известно, над поверхностью видна только малая часть.
Сами работы по аттестации – их состав в зависимости от класса защищенности ГИС, сложность и стоимость – вполне понятны, предсказуемы и измеримы в деньгах. Но непредсказуемой очень часто бывает степень готовности самой ГИС к аттестации. Совершенно не секрет, что многие системы ваяются по хорошо известному принципу (Циникс здесь приводит его цензурный вариант) – «Хрена-хренак – и в продакшен!» «Подсистемы защиты информации» в таких ГИС нередко являют собой стандартный модуль парольной защиты на входе и, в лучшем случае, разграничение доступа к функциям, информации и документам внутри системы по ролевому принципу. При аттестационных проверках отрицательное заключение о невозможности аттестации может появиться уже на первом десятке пунктов из чек-листа. Именно поэтому существуют весьма востребованные услуги предаттестационного аудита ГИС и подготовки к аттестации. И вот эти-то услуги по стоимости уже вполне сопоставимы со стоимостью разработки системы – ведь, фактически, подготовка к аттестации такой ГИС нередко превращается в полноценную разработку подсистемы ЗИ-ИБ, которая была «оптимизирована» при первоначальной разработке.
И речь идет уже не о единицах миллионов, а о десятках миллионов рублей – в расчете на одну ГИС. В среднем, на одно федеральное ведомство приходится около десятка ГИС (Циникс не случайно подчеркнул слова «в среднем» - реальный разброс очень значительный), а это значит, что на честную подготовку и проведение аттестации – снова, в среднем – каждоиу ФОИВу потребуются бюджеты, измеряемые сотнями миллионов рублей. А где их взять? Вопрос риторический.
Поэтому Циникс совершенно не исключает такого сценария развития ситуации, при котором ряд ГИС будет принудительно лишаться своего государственного статуса и, следовательно, выводиться из-под нависающей «гильотины аттестации» (в последнее время слово «гильотина» - в хорошем его смысле – стало весьма популярным в кругах реформаторов госуправления, вот Циникс решил его тоже употребить).
Но фокус с «разгосударствлением» ГИС удастся провернуть далеко не всем ФОИВам и далеко не со всеми ныне существующими ГИС. В этом случае вполне реальным выглядит вариант с уводом ГИС в подведы ФОИВов. Сейчас на подведы уже сбрасываются не подлежащие координационному контролю бюджеты эксплуатации ГИС (а иногда – и бюджеты развития), поэтому полная передача ГИС на баланс подведов, хотя, и будет выглядеть с точки зрения контролеров координации, включая Счетную палату, нарушением нормативки, но позволит осуществлять их финансирование за границами действия ПП 365.
Кстати, в «самом новом ПП 365» - очередном проекте изменений в главный координационный НПА – хоть и провозглашается распространение норм координации на подведы ФОИВов, но делается это очень своеобразно. Под «каток координации» попадают только подведы, являющиеся казенными учреждениями (навскидку Циникс знает такие только в Минфине и ФСИНе, но это навскидку), а вот бюджетные и автономные учреждения обязаны будут только отчитываться о своих ИТ-расходах, но не согласовывать их через все механизмы координации.
Интересно, вот тот умник, который придумал именно такой вариант расширения действия ПП 365, держал в голове мысль про ГИСы и подведы?
В качестве вишенки на торте ко всем вышеприведенным рассуждениям Циникса. Главная координационная система Минкомсвязи - ФГИС КИ - еще с 2017 года находится в полном финансовом ведении министерского координационного подведа ЦЭКИ. Ее развитие и эксплуатация осуществляются за счет субсидий, которые Минкомсвязь распределяет на ЦЭКИ. И никаких проблем с согласованием МПИ по этой ФГИС...
Интересно, вот тот умник, который придумал именно такой вариант расширения действия ПП 365, держал в голове мысль про ГИСы и подведы?
В качестве вишенки на торте ко всем вышеприведенным рассуждениям Циникса. Главная координационная система Минкомсвязи - ФГИС КИ - еще с 2017 года находится в полном финансовом ведении министерского координационного подведа ЦЭКИ. Ее развитие и эксплуатация осуществляются за счет субсидий, которые Минкомсвязь распределяет на ЦЭКИ. И никаких проблем с согласованием МПИ по этой ФГИС...
Рубрика "Циничный учет"
Кстати, в протоколе президиума Правкомиссии, вырезку из которого Циникс повесил выше, в том самом вопросе про "заморозку" требования аттестации ГИС есть еще четвертый пункт (он просто на другой странице протокола оказался и в вырезку не попал.
Циникс цитирует:
"Минкомсвязи России (К.Ю.Носкову) в срок до 18 апреля 2019 г. представить в президиум Комиссии предложения по совершенствованию учета и классификации информационных систем".
Учитывая, что протокол заседания датирован 4 апреля, на подготовку предложений было отведено 2 недели - что, в общем-то, немало для подготовки рабочей записки.
Для уверенного толкования этого пункта протокола у Циникса информации недостаточно, но есть общее понимание, про что могла пойти речь в контексте, с одной стороны, аттестации ГИС, а с другой, отмеченной в протоколе необходимости совершенствования учета и классификации информационных систем.
Можно допустить, что представителям Минкомсвязи был задан вполне естественный вопрос со стороны вице-премьера, например - "А сколько у нас всего ГИС в ведомствах и сколько из них имеют аттестаты соответствия?" И вот тут министерские, наверняка, поплыли...
Потому что точного ответа ни на первую часть вопроса, ни на вторую не знает никто. То есть, совсем никто. Даже Циникс имеет приблизительные (хотя, и похожие на правду) оценки по первой части вопроса, но не представляет, какая цифра является ответом на вторую часть.
И скорее всего, в этом месте министерские начали объяснять вице-премьеру, насколько сложно (на самом деле, бестолково - это мнение Циникса) устроен учет информационных систем ведомств, что не всегда понятно, какие системы нужно относить к ГИС, а какие не нужно (хотя, и здесь все ясно - если просто сесть и подумать), что некоторые системы являются комплексными и состоят из нескольких ГИС, для каждой из которых нужен отдельный аттестат соответствия (вот, например в ГИИС "Электронный бюджет" практически два десятка подсистем, каждую их которых аттестовали отдельно). И так далее...
Запутаться во всей этой мешанине несложно, даже Циникс - несмотря на свой богатый жизненный опыт - иногда путается. Что же взять с простого вице-премьера, привыкшего воспринимать ИТ-системы исключительно как объекты расходования бюджетных средств? Вот, скорее всего, после таких объяснений и появился в протоколе четвертый пункт поручений.
Интересно в этой истории то, что после того заседания прошло уже 4 месяца, а каких-то заметных утечек из Минкомсвязи про готовящуюся реформу учета не появлялось. Хотя, ей уже давно следовало бы случиться - учет ИС до сих пор ведется по дурацким методикам 2013 года. И вот то, что утечек не было, скорее всего, говорит не о качестве контроля за рапространением конфиденциальной информации, а о том, что до настоящего времени ничего стоящего на тему учета и классификации ведомственных ИС в Минкомсвязи не придумали.
Кстати, в протоколе президиума Правкомиссии, вырезку из которого Циникс повесил выше, в том самом вопросе про "заморозку" требования аттестации ГИС есть еще четвертый пункт (он просто на другой странице протокола оказался и в вырезку не попал.
Циникс цитирует:
"Минкомсвязи России (К.Ю.Носкову) в срок до 18 апреля 2019 г. представить в президиум Комиссии предложения по совершенствованию учета и классификации информационных систем".
Учитывая, что протокол заседания датирован 4 апреля, на подготовку предложений было отведено 2 недели - что, в общем-то, немало для подготовки рабочей записки.
Для уверенного толкования этого пункта протокола у Циникса информации недостаточно, но есть общее понимание, про что могла пойти речь в контексте, с одной стороны, аттестации ГИС, а с другой, отмеченной в протоколе необходимости совершенствования учета и классификации информационных систем.
Можно допустить, что представителям Минкомсвязи был задан вполне естественный вопрос со стороны вице-премьера, например - "А сколько у нас всего ГИС в ведомствах и сколько из них имеют аттестаты соответствия?" И вот тут министерские, наверняка, поплыли...
Потому что точного ответа ни на первую часть вопроса, ни на вторую не знает никто. То есть, совсем никто. Даже Циникс имеет приблизительные (хотя, и похожие на правду) оценки по первой части вопроса, но не представляет, какая цифра является ответом на вторую часть.
И скорее всего, в этом месте министерские начали объяснять вице-премьеру, насколько сложно (на самом деле, бестолково - это мнение Циникса) устроен учет информационных систем ведомств, что не всегда понятно, какие системы нужно относить к ГИС, а какие не нужно (хотя, и здесь все ясно - если просто сесть и подумать), что некоторые системы являются комплексными и состоят из нескольких ГИС, для каждой из которых нужен отдельный аттестат соответствия (вот, например в ГИИС "Электронный бюджет" практически два десятка подсистем, каждую их которых аттестовали отдельно). И так далее...
Запутаться во всей этой мешанине несложно, даже Циникс - несмотря на свой богатый жизненный опыт - иногда путается. Что же взять с простого вице-премьера, привыкшего воспринимать ИТ-системы исключительно как объекты расходования бюджетных средств? Вот, скорее всего, после таких объяснений и появился в протоколе четвертый пункт поручений.
Интересно в этой истории то, что после того заседания прошло уже 4 месяца, а каких-то заметных утечек из Минкомсвязи про готовящуюся реформу учета не появлялось. Хотя, ей уже давно следовало бы случиться - учет ИС до сих пор ведется по дурацким методикам 2013 года. И вот то, что утечек не было, скорее всего, говорит не о качестве контроля за рапространением конфиденциальной информации, а о том, что до настоящего времени ничего стоящего на тему учета и классификации ведомственных ИС в Минкомсвязи не придумали.
Рубрика "Циничная статистика"
А вот это реально круто - пост Циникса про проект изменений в приказе 17 ФСТЭК с момента его публикации прочитало втрое больше людей, чем имеется подписчиков у Циникса. И это в выходной день!
Наверняка, кто-то из читателей забросил ссылку на пост в какую-то специальную группу глубокого изучения приказа 17.
Ну что ж, это радует - хоть и отдельными постами, но Циникс уже приносит пользу людям
А вот это реально круто - пост Циникса про проект изменений в приказе 17 ФСТЭК с момента его публикации прочитало втрое больше людей, чем имеется подписчиков у Циникса. И это в выходной день!
Наверняка, кто-то из читателей забросил ссылку на пост в какую-то специальную группу глубокого изучения приказа 17.
Ну что ж, это радует - хоть и отдельными постами, но Циникс уже приносит пользу людям
Рубрика "Циничное импортозамещение"
Помните, Циникс обещал тут пару дней назад прокомментировать цифры "20-65", два года подряд звучавшие в высказываниях минкомсвязевских представителей относительно роста доли закупок отечественного ПО? Так вот, Циникс не забыл и честно исследовал этот вопрос - нашел первоисточники этих цифр (не статистику закупок и не аналитику, а то, откуда эти цифры попали в публичные высказывания представителей министерства и в официальные письма).
Ничего удивительного - цифры взялись из годовых отчетов, готовившихся к итоговым заседаниям расширенной коллегии Минкомсвязи в 2017-2018 гг. Кстати (и это стало для Циникса откровением), в 2019 году традиционной весенней расширенной коллегии (обычно она проходила в апреле-мае) не было. Это было завершение первого года в кресле министра для К.Носкова и вот почему-то подведения итогов этого года не состоялось. Интересно, почему?
Вернемся к цифрам по закупкам отечественного ПО.
Сейчас Циникс расскажет анекдот из категории "18+" (Циникс рассчитывает, что среди его читателей нет таких, кто не попадает в эту возрастную категорию), а потом объяснит, к чему это было.
В расположенных по соседству и постоянно конкурирующих друг с другом деревнях Вилларибо и Виллабаджо однажды проводили антропологическое исследование - устанавливали средний размер полового члена у мужской части жителей каждой из деревень.
Оказалось что средний размер члена в Вилларибо — 14 см, а в Виллабаджо — 25 см.
Как могла возникнуть такая разница?
Очень просто - в Вилларибо измеряли линейкой, а в Виллабаджо проводили опрос.
Так вот. Рост объема закупок отечественного ПО был выявлен путем опросов, проведенных в ФОИВах (причем, эти опросы проводились исключительно в отношении импортозамещаемого офисного ПО), а также на основании данных подсистемы ФГИС КИ "Электронный регион", куда субъекты РФ тоже самостоятельно вводят показатели.
Вот такое Виллабаджо у нас в импортозамещении...
Помните, Циникс обещал тут пару дней назад прокомментировать цифры "20-65", два года подряд звучавшие в высказываниях минкомсвязевских представителей относительно роста доли закупок отечественного ПО? Так вот, Циникс не забыл и честно исследовал этот вопрос - нашел первоисточники этих цифр (не статистику закупок и не аналитику, а то, откуда эти цифры попали в публичные высказывания представителей министерства и в официальные письма).
Ничего удивительного - цифры взялись из годовых отчетов, готовившихся к итоговым заседаниям расширенной коллегии Минкомсвязи в 2017-2018 гг. Кстати (и это стало для Циникса откровением), в 2019 году традиционной весенней расширенной коллегии (обычно она проходила в апреле-мае) не было. Это было завершение первого года в кресле министра для К.Носкова и вот почему-то подведения итогов этого года не состоялось. Интересно, почему?
Вернемся к цифрам по закупкам отечественного ПО.
Сейчас Циникс расскажет анекдот из категории "18+" (Циникс рассчитывает, что среди его читателей нет таких, кто не попадает в эту возрастную категорию), а потом объяснит, к чему это было.
В расположенных по соседству и постоянно конкурирующих друг с другом деревнях Вилларибо и Виллабаджо однажды проводили антропологическое исследование - устанавливали средний размер полового члена у мужской части жителей каждой из деревень.
Оказалось что средний размер члена в Вилларибо — 14 см, а в Виллабаджо — 25 см.
Как могла возникнуть такая разница?
Очень просто - в Вилларибо измеряли линейкой, а в Виллабаджо проводили опрос.
Так вот. Рост объема закупок отечественного ПО был выявлен путем опросов, проведенных в ФОИВах (причем, эти опросы проводились исключительно в отношении импортозамещаемого офисного ПО), а также на основании данных подсистемы ФГИС КИ "Электронный регион", куда субъекты РФ тоже самостоятельно вводят показатели.
Вот такое Виллабаджо у нас в импортозамещении...
Рубрика «Циничное импортозамещение»
В принципе, по теме обсуждения успехов Минкомсвязи в части импортозамещения ПО (см. предыдущий пост) можно было бы остановиться на констатации того факта, что Минкомсвязь – это такое наше Виллабаджо, где исследователи верят опрашиваемым на слово.
Но у нас есть и собственное Вилларибо, в котором все исследователи оснащены линейками – это Счетная палата. В январском (2019 г.) номере бюллетеня СП помещен материал с длинным названием «Отчет о результатах экспертно-аналитического мероприятия «Мониторинг и оценка эффективности мер по импортозамещению в части осуществления закупок программного обеспечения для государственных и муниципальных нужд за истекший период 2018 года». Циникс обращает внимание читателей на дату публикации – январь 2019 – и напоминает, что высказывания минкомсвязевских деятелей в духе «Широко шагает импортозамещение ПО по российским просторам!» с ключевой вилкой «20-65» датированы весной 2018 и 2019 годов (то есть, к моменту второго заявления отчет СП уже существовал в опубликованном виде).
Вот дословная цитата из годового отчета Минкомсвязи за 2017 год, подготовленного в апреле 2018:
В результате с 2015 года доля отечественного ПО при осуществлении госзакупок федеральными органами исполнительной власти (ФОИВ), субъектами РФ, органами местного самоуправления (ОМСУ) увеличилась с 20% до 65%.
Среднестатистическое значение показателя доли закупок отечественного готового ПО в общем объеме закупок готового ПО показывает рост с 2015 года более чем в два раза: для органов исполнительной власти субъектов РФ и ОМСУ составляет 68,4%, для ФОИВ — 73,5%.
Итак, фиксируем для памяти – доля импортозамещения ПО в ФОИВ за 2017 год оценивается Минкомсвязью весной 2018 года в 73,5%.
А теперь читаем отчет СП, готовившийся в течение практически всего 2018 года:
Среднестатистическое значение показателя «Доля закупок отечественного программного обеспечения, включенного в Реестр, в общем объеме закупок программного обеспечения» за период 2017-2018 годов для федеральных органов исполнительной власти Российской Федерации, государственных внебюджетных фондов Российской Федерации составила 50,1 %, что соответствуют уровню, указанному в проекте паспорта национального проекта «Цифровая экономика Российской Федерации»
В отчете СП указан источник информации – письмо Минкомсвязи от 24 октября 2018 года № КН-П8-074-25124. Первые две буквы “КН” в номере письма означают, что оно подписано министром К.Носковым, а следующий дальше префикс “П8” говорит о том, что готовилось письмо в Департаменте развития архитектуры и координации информатизации (это именно тот департамент, который рулит всем процессом координации и добывает из ФГИС КИ все цифры,которые нужны руководству).
Чувствуете разницу? В апреле 2018 уровень импортозамещения ПО в ФОИВах 73,5% (это со слов представителей «Виллабаджо»), а в октябре 2018 он уже вдруг падает до 50,1% (а это измерения линейкой из «Вилларибо»).
Насчет того, куда делись с апреля по октябрь 2018 года более 23% импортозамещенного ПО, у Циникса есть несколько версий, самая правдоподобная из которых – козни инопланетян.
Зато в апреле 2019 всё опять здорово, и уровень импортозамещения подпрыгивает до 65% (видимо, инопланетянам стало стыдно, и они вернули похищенное назад, удержав НДС).
В принципе, по теме обсуждения успехов Минкомсвязи в части импортозамещения ПО (см. предыдущий пост) можно было бы остановиться на констатации того факта, что Минкомсвязь – это такое наше Виллабаджо, где исследователи верят опрашиваемым на слово.
Но у нас есть и собственное Вилларибо, в котором все исследователи оснащены линейками – это Счетная палата. В январском (2019 г.) номере бюллетеня СП помещен материал с длинным названием «Отчет о результатах экспертно-аналитического мероприятия «Мониторинг и оценка эффективности мер по импортозамещению в части осуществления закупок программного обеспечения для государственных и муниципальных нужд за истекший период 2018 года». Циникс обращает внимание читателей на дату публикации – январь 2019 – и напоминает, что высказывания минкомсвязевских деятелей в духе «Широко шагает импортозамещение ПО по российским просторам!» с ключевой вилкой «20-65» датированы весной 2018 и 2019 годов (то есть, к моменту второго заявления отчет СП уже существовал в опубликованном виде).
Вот дословная цитата из годового отчета Минкомсвязи за 2017 год, подготовленного в апреле 2018:
В результате с 2015 года доля отечественного ПО при осуществлении госзакупок федеральными органами исполнительной власти (ФОИВ), субъектами РФ, органами местного самоуправления (ОМСУ) увеличилась с 20% до 65%.
Среднестатистическое значение показателя доли закупок отечественного готового ПО в общем объеме закупок готового ПО показывает рост с 2015 года более чем в два раза: для органов исполнительной власти субъектов РФ и ОМСУ составляет 68,4%, для ФОИВ — 73,5%.
Итак, фиксируем для памяти – доля импортозамещения ПО в ФОИВ за 2017 год оценивается Минкомсвязью весной 2018 года в 73,5%.
А теперь читаем отчет СП, готовившийся в течение практически всего 2018 года:
Среднестатистическое значение показателя «Доля закупок отечественного программного обеспечения, включенного в Реестр, в общем объеме закупок программного обеспечения» за период 2017-2018 годов для федеральных органов исполнительной власти Российской Федерации, государственных внебюджетных фондов Российской Федерации составила 50,1 %, что соответствуют уровню, указанному в проекте паспорта национального проекта «Цифровая экономика Российской Федерации»
В отчете СП указан источник информации – письмо Минкомсвязи от 24 октября 2018 года № КН-П8-074-25124. Первые две буквы “КН” в номере письма означают, что оно подписано министром К.Носковым, а следующий дальше префикс “П8” говорит о том, что готовилось письмо в Департаменте развития архитектуры и координации информатизации (это именно тот департамент, который рулит всем процессом координации и добывает из ФГИС КИ все цифры,которые нужны руководству).
Чувствуете разницу? В апреле 2018 уровень импортозамещения ПО в ФОИВах 73,5% (это со слов представителей «Виллабаджо»), а в октябре 2018 он уже вдруг падает до 50,1% (а это измерения линейкой из «Вилларибо»).
Насчет того, куда делись с апреля по октябрь 2018 года более 23% импортозамещенного ПО, у Циникса есть несколько версий, самая правдоподобная из которых – козни инопланетян.
Зато в апреле 2019 всё опять здорово, и уровень импортозамещения подпрыгивает до 65% (видимо, инопланетянам стало стыдно, и они вернули похищенное назад, удержав НДС).
Если говорить серьезно, Циникс никогда и не заблуждался насчет корректности цифр, сообщаемых Минкомсвязью по теме координации – просто потому, что очень хорошо представляет, как эти цифры готовятся.
Когда прилетает очередная «генеральская» команда о подготовке справки об успехах, в битву за цифры бросаются все доступные ресурсы – сотрудники департамента координации и эксперты ЦЭКИ. Проблема в том, что структура хранения информации в ФГИС КИ и ее функциональность не позволяют получать необходимые аналитические срезы автоматически – все цифры приходится собирать вручную, препарируя под нужным углом выгрузки данных из ФГИС КИ.
Неискушенный читатель отчета СП, наверное, не обратил внимания на то, что неоднократно в тексте упоминаются данные о закупках, собранные из ЕИС госзакупок. И если в отношении закупок субъектов РФ и муниципалов такие ссылки вполне логичны (потому что ФГИС КИ не охватывает информатизацию на этих уровнях – если не считать подсистему «Электронный регион», куда данные вносятся самими субъектами без всякого перекрестного контроля), то почему за данными по ИТ-закупкам ФОИВов тоже пришлось обращаться в ЕИС, а не в ФГИС КИ, не очень понятно – если не знать, что качество информации в ФГИС КИ просто не позволяет получить нужные данные, а то, что получается, несет на себе печать «опроса в Виллабаджо».
Теме качества информации по госинформатизации Циникс планирует посвятить еще не один пост, но это точно будет не сегодня и не завтра. Следите за анонсами.
А для тех, кому интересно почитать полный отчет Счетной палаты по импортозамещению ПО, Циникс выкладывает ниже файл с этим отчетом. Это небольшое отступление от принципа Циникса не выкладывать в канал материалы, доступные на сайтах первоисточников, но оно объясняется человеколюбием Циникса - в файле только текст одного отчета, а не весь бюллетень СП.
⬇️⬇️⬇️
Когда прилетает очередная «генеральская» команда о подготовке справки об успехах, в битву за цифры бросаются все доступные ресурсы – сотрудники департамента координации и эксперты ЦЭКИ. Проблема в том, что структура хранения информации в ФГИС КИ и ее функциональность не позволяют получать необходимые аналитические срезы автоматически – все цифры приходится собирать вручную, препарируя под нужным углом выгрузки данных из ФГИС КИ.
Неискушенный читатель отчета СП, наверное, не обратил внимания на то, что неоднократно в тексте упоминаются данные о закупках, собранные из ЕИС госзакупок. И если в отношении закупок субъектов РФ и муниципалов такие ссылки вполне логичны (потому что ФГИС КИ не охватывает информатизацию на этих уровнях – если не считать подсистему «Электронный регион», куда данные вносятся самими субъектами без всякого перекрестного контроля), то почему за данными по ИТ-закупкам ФОИВов тоже пришлось обращаться в ЕИС, а не в ФГИС КИ, не очень понятно – если не знать, что качество информации в ФГИС КИ просто не позволяет получить нужные данные, а то, что получается, несет на себе печать «опроса в Виллабаджо».
Теме качества информации по госинформатизации Циникс планирует посвятить еще не один пост, но это точно будет не сегодня и не завтра. Следите за анонсами.
А для тех, кому интересно почитать полный отчет Счетной палаты по импортозамещению ПО, Циникс выкладывает ниже файл с этим отчетом. Это небольшое отступление от принципа Циникса не выкладывать в канал материалы, доступные на сайтах первоисточников, но оно объясняется человеколюбием Циникса - в файле только текст одного отчета, а не весь бюллетень СП.
⬇️⬇️⬇️
Рубрика "Цинично-лукавое импортозамещение"
Ну, и в качестве финальной реплики, временно закрывающей тему.
Выглядящие гораздо более похожими на правду, чем министерские, цифры импортозамещения ПО от Счетной палаты, на самом деле, тоже лукавы. Ведь они показывают просто долю закупаемого отечественного ПО в общем объеме закупаемого ПО, а не долю закупок, ранее занимаемую импортным ПО и теперь замещенную российским ПО. Улавливаете разницу?
Антивирус Касперского всегда был отечественным ПО - занимаемая им доля рынка это изначально доля российского ПО. А вот если Касперский вытеснил с рынка какой-нибудь Eset или МсAffee, у которых доля рынка была в единицы (а то и в десятые доли) процентов, то тогда и долю импортозамещения нужно оценивать в эти единицы или десятые доли процентов.
То же самое относится к "Гаранту" с "Консультантом" - они и так вдвоем занимают 100% сегмента справочно-правовых систем, им никого не потребовалось вытеснять. Но их тоже засчитывают в импортозаместители.
1С, Кварта, большое число российских СЭД, крипто-ПО и т.п. - у них всегда была своя доля рынка, и эту долю нельзя засчитывать в проценты импортозамещения.
Реальные "бойцы импортозамещения" это, как любит писать Синус, "убийцы" MS Windows и MS Office - новоразработанные российские офисные пакеты, российские сборки "линуксовых" ОС и российсие СУБД. Вот, пожалуй, и всё.
Вот их и нужно считать. А всё остальное - лукавые "среднестатистические" манипуляции чиновников
Ну, и в качестве финальной реплики, временно закрывающей тему.
Выглядящие гораздо более похожими на правду, чем министерские, цифры импортозамещения ПО от Счетной палаты, на самом деле, тоже лукавы. Ведь они показывают просто долю закупаемого отечественного ПО в общем объеме закупаемого ПО, а не долю закупок, ранее занимаемую импортным ПО и теперь замещенную российским ПО. Улавливаете разницу?
Антивирус Касперского всегда был отечественным ПО - занимаемая им доля рынка это изначально доля российского ПО. А вот если Касперский вытеснил с рынка какой-нибудь Eset или МсAffee, у которых доля рынка была в единицы (а то и в десятые доли) процентов, то тогда и долю импортозамещения нужно оценивать в эти единицы или десятые доли процентов.
То же самое относится к "Гаранту" с "Консультантом" - они и так вдвоем занимают 100% сегмента справочно-правовых систем, им никого не потребовалось вытеснять. Но их тоже засчитывают в импортозаместители.
1С, Кварта, большое число российских СЭД, крипто-ПО и т.п. - у них всегда была своя доля рынка, и эту долю нельзя засчитывать в проценты импортозамещения.
Реальные "бойцы импортозамещения" это, как любит писать Синус, "убийцы" MS Windows и MS Office - новоразработанные российские офисные пакеты, российские сборки "линуксовых" ОС и российсие СУБД. Вот, пожалуй, и всё.
Вот их и нужно считать. А всё остальное - лукавые "среднестатистические" манипуляции чиновников
Рубрика "Циничное импортозамещение"
Никак не отпускает Циникса арифметика импортозамещения от Минкомсвязи. Хоть это и дела давно минувших дней (2017 год), но все равно удивительно - как можно ТАК считать?
Вот цитата из материалов к расширенной коллегии Минкомсвязи в 2017 году (само заседание проходило в мае 2017, материалы датированы апрелем 2017 - итоги подводятся за 2016 год):
С 2014 по 2016 год наблюдается переход на российские решения в части ПО.
Среднестатистическое значение показателя доли закупок отечественного готового ПО в общем объеме закупок готового ПО показывает рост за указанный период времени более чем в два раза:
• для ОИВ субъектов РФ и ОМСУ составляет 65,35%;
• для ФОИВ — 62,3%.
Среднестатистическое значение показателя доля закупок работ и услуг, связанных с российским ПО, в общем объеме закупок работ и услуг за аналогичный период времени также показало рост приблизительно в три раза:
• для ОИВ субъектов РФ и ОМСУ составляет 51,89%;
• для ФОИВ — 53,2%.
А вот картинка из презентации министра Никифорова на той же самой расширенной коллегии в мае 2017 года - с данными по импортозамещению ПО в регионах. Смотрим на выделенный болдом текст выше и сравниваем с цифрами на картинке. Ну, цифры конкретно за 2016 год немного различаются, но это можно списать на уточненные расчеты между подготовкой текстового материала и подготовкой презы к докладу.
Но как про соотношение "36,7% —> 64,8%" можно написать "рост более чем в 2 раза", а про соотношение "21,7% —> 52,9%" - "рост приблизительно в 3 раза"?!
Вот в этом месте даже про откаты шутить не хочется. Циникс недоумевает - и, недоумевая, продолжает изучать достижения Минкомсвязи. Дальше будет уже про современность.
Картинка ниже - не уместилась в пост
⬇️⬇️⬇️
Никак не отпускает Циникса арифметика импортозамещения от Минкомсвязи. Хоть это и дела давно минувших дней (2017 год), но все равно удивительно - как можно ТАК считать?
Вот цитата из материалов к расширенной коллегии Минкомсвязи в 2017 году (само заседание проходило в мае 2017, материалы датированы апрелем 2017 - итоги подводятся за 2016 год):
С 2014 по 2016 год наблюдается переход на российские решения в части ПО.
Среднестатистическое значение показателя доли закупок отечественного готового ПО в общем объеме закупок готового ПО показывает рост за указанный период времени более чем в два раза:
• для ОИВ субъектов РФ и ОМСУ составляет 65,35%;
• для ФОИВ — 62,3%.
Среднестатистическое значение показателя доля закупок работ и услуг, связанных с российским ПО, в общем объеме закупок работ и услуг за аналогичный период времени также показало рост приблизительно в три раза:
• для ОИВ субъектов РФ и ОМСУ составляет 51,89%;
• для ФОИВ — 53,2%.
А вот картинка из презентации министра Никифорова на той же самой расширенной коллегии в мае 2017 года - с данными по импортозамещению ПО в регионах. Смотрим на выделенный болдом текст выше и сравниваем с цифрами на картинке. Ну, цифры конкретно за 2016 год немного различаются, но это можно списать на уточненные расчеты между подготовкой текстового материала и подготовкой презы к докладу.
Но как про соотношение "36,7% —> 64,8%" можно написать "рост более чем в 2 раза", а про соотношение "21,7% —> 52,9%" - "рост приблизительно в 3 раза"?!
Вот в этом месте даже про откаты шутить не хочется. Циникс недоумевает - и, недоумевая, продолжает изучать достижения Минкомсвязи. Дальше будет уже про современность.
Картинка ниже - не уместилась в пост
⬇️⬇️⬇️
Рубрика "Циничная статистика"
Вот смотрит Циникс на картинку выше и все равно не может понять - чем был обусловлен такой заметный скачок закупок отечественного ПО и связанных работ/услуг в 2016 году? Ну не запуском же реестра российского ПО, в самом деле?
Там-то, в реестре поначалу и продуктов, традиционных для госзакупок, особо и не было - да они и до реестра нормально продавались. Надо бы посмотреть, но муторно - это ж надо из ЕИС госзакупок информацию доставать. Информация-то там есть, но не в приспособленном для автоматизированных запросов виде. Впрочем, Циникс придумал один аналитический трюк - как любят писать в Минкомсвязи, среднестатистический. Когда опробует его, о результатах обязательно расскажет.
Пока же у Циникса есть только одна правдоподобная гипотеза, объясняющая такой скачок (и нет, это не инопланетяне-заказчики) - изменение методики расчетов. Ну вот был какой-то софт, который раньше или за софт не считали, или за россйский не признавали. А потом, как раз под открытие реестра ПО - р-раз! - и сосчитали, и признали. Потому и скачок образовался - такого размера, что ни до, ни после не было.
Статистика же! Как известно, есть три вида лжи - просто ложь, наглая ложь и статистика
Вот смотрит Циникс на картинку выше и все равно не может понять - чем был обусловлен такой заметный скачок закупок отечественного ПО и связанных работ/услуг в 2016 году? Ну не запуском же реестра российского ПО, в самом деле?
Там-то, в реестре поначалу и продуктов, традиционных для госзакупок, особо и не было - да они и до реестра нормально продавались. Надо бы посмотреть, но муторно - это ж надо из ЕИС госзакупок информацию доставать. Информация-то там есть, но не в приспособленном для автоматизированных запросов виде. Впрочем, Циникс придумал один аналитический трюк - как любят писать в Минкомсвязи, среднестатистический. Когда опробует его, о результатах обязательно расскажет.
Пока же у Циникса есть только одна правдоподобная гипотеза, объясняющая такой скачок (и нет, это не инопланетяне-заказчики) - изменение методики расчетов. Ну вот был какой-то софт, который раньше или за софт не считали, или за россйский не признавали. А потом, как раз под открытие реестра ПО - р-раз! - и сосчитали, и признали. Потому и скачок образовался - такого размера, что ни до, ни после не было.
Статистика же! Как известно, есть три вида лжи - просто ложь, наглая ложь и статистика
Рубрика "Циничный партхозактив"
Был в СССР такой специальный жанр общественно-политических мероприятий - собрание партийно-хозяйственного актива, в народе сокращенно именуемое "партхозактив" или еще короче - просто "актив". От чисто партийных собраний, в которых могли участвовать только члены КПСС (это такая правящая партия была в советское время - типа теперешнего "ЕдРа", только там все по-взрослому было) партхозактив отличался тем, что на него приглашали и беспартийных. То есть, линию партии нужно было проводить в широких народных массах, а руководители этих ширнармасс часто сами не состояли в партии - вот для воспитательной работы с ними и придумали партхозактив. Партхозактивы обычно бывали нескольких уровней - внутри организации, районные, городские и областные. На более высоких уровнях активы уже не проводили - там были только партийные конференции и съезды.
Проходил партхозактив всегда по одному и тому же сценарию. Сначала выступал большой партийный руководитель - рассказывал об успехах, достигнутых за отчетный период, констатировал наличие некоторых проблем, с которыми нужно будет бороться в предстоящем плановом периоде, ставил амбициозные цели и формулировал задачи, мотивировал актив на решение задач и достижение целей. Потом слово давали нескольким руководителям рангом пониже (но тоже членам партии) - они говорил про то же самое, что и верхний начальник, но с практическим уклоном (сколько миллионов тонн чугуна выплавить или миллиардов пудов хлеба собрать предстоит каждому конкретному советскому труженику на его трудовом посту). Тоже признавали наличие проблем и обещали их искоренить. Ближе к концу мероприятия давали слово представителю народа (достаточно было и одного, но все зависело от масштаба мероприятия). Представитель народа говорил про всё то же самое - трудовые победы, имеющиеся недостатки, торжественные обещания. И обязательно - личный творческий план.
Потом все расходились и шли пить водку в ресторан, но в строгом соответствии с табелью о рангах - большие начальники и приближенные к ним персоны в отдельном зале, для остальных организовывался фуршет эконом-класса. Экономика должна была быть экономной.
К чему это Циникс вдруг ударился в воспоминания о давно минувших днях?
Как говорится, музыкой навеяло. Вот посмотрел Циникс на фоточки координационного совещания в Минкомсвязи на прошлой неделе, поизучал выложенные презентации, пообщался с присутствовашими там коллегами и задумался - что же это всё ему напоминает? Потом понял - да это же был партхозактив в чистом виде! Всё ровно по тому же проверенному десятилетиями сценарию: выступление большого начальника, потом выступления начальников поменьше, потом представители ширнармасс. И логика изложения контента ровно такая же - выдающиеся достижения, имеющиеся определенные проблемы, но уже есть новые цели, сформулированы задачи, назначены сроки и ответственные. С - Стабильность.
На этой неделе у Циникса в творческих планах стоит проработка материалов состоявшегосяпартхозактива совещания по координации. Будут картинки из презентаций и комментарии Циникса к ним - как водится, циничные.
Оставайтесь с нами
Был в СССР такой специальный жанр общественно-политических мероприятий - собрание партийно-хозяйственного актива, в народе сокращенно именуемое "партхозактив" или еще короче - просто "актив". От чисто партийных собраний, в которых могли участвовать только члены КПСС (это такая правящая партия была в советское время - типа теперешнего "ЕдРа", только там все по-взрослому было) партхозактив отличался тем, что на него приглашали и беспартийных. То есть, линию партии нужно было проводить в широких народных массах, а руководители этих ширнармасс часто сами не состояли в партии - вот для воспитательной работы с ними и придумали партхозактив. Партхозактивы обычно бывали нескольких уровней - внутри организации, районные, городские и областные. На более высоких уровнях активы уже не проводили - там были только партийные конференции и съезды.
Проходил партхозактив всегда по одному и тому же сценарию. Сначала выступал большой партийный руководитель - рассказывал об успехах, достигнутых за отчетный период, констатировал наличие некоторых проблем, с которыми нужно будет бороться в предстоящем плановом периоде, ставил амбициозные цели и формулировал задачи, мотивировал актив на решение задач и достижение целей. Потом слово давали нескольким руководителям рангом пониже (но тоже членам партии) - они говорил про то же самое, что и верхний начальник, но с практическим уклоном (сколько миллионов тонн чугуна выплавить или миллиардов пудов хлеба собрать предстоит каждому конкретному советскому труженику на его трудовом посту). Тоже признавали наличие проблем и обещали их искоренить. Ближе к концу мероприятия давали слово представителю народа (достаточно было и одного, но все зависело от масштаба мероприятия). Представитель народа говорил про всё то же самое - трудовые победы, имеющиеся недостатки, торжественные обещания. И обязательно - личный творческий план.
Потом все расходились и шли пить водку в ресторан, но в строгом соответствии с табелью о рангах - большие начальники и приближенные к ним персоны в отдельном зале, для остальных организовывался фуршет эконом-класса. Экономика должна была быть экономной.
К чему это Циникс вдруг ударился в воспоминания о давно минувших днях?
Как говорится, музыкой навеяло. Вот посмотрел Циникс на фоточки координационного совещания в Минкомсвязи на прошлой неделе, поизучал выложенные презентации, пообщался с присутствовашими там коллегами и задумался - что же это всё ему напоминает? Потом понял - да это же был партхозактив в чистом виде! Всё ровно по тому же проверенному десятилетиями сценарию: выступление большого начальника, потом выступления начальников поменьше, потом представители ширнармасс. И логика изложения контента ровно такая же - выдающиеся достижения, имеющиеся определенные проблемы, но уже есть новые цели, сформулированы задачи, назначены сроки и ответственные. С - Стабильность.
На этой неделе у Циникса в творческих планах стоит проработка материалов состоявшегося
Оставайтесь с нами
Рубрика "Циничная статистика"
Циникс не чужд цифр - тем более, цифр, касающихся его собственного ТГ-канала.
Если Циникс не устраивал здесь шумный праздник по поводу того, что число его читателей перевалило за сотню, это не значит, что данный факт Циникса не радует. Еще как радует! Только традиционного для Телеги поста с перечислением "старших товарищей", дифирамбами в их адрес и благодарностью за рекламу и перепосты, которые помогли подняться, Циникс здесь делать не будет. Потому что рост аудитории канала у Циникса, как принято говорить, органический - когда ссылками на тексты делятся , в основном, специалисты предметной области. Было два перепоста в крупных каналах, которые способствовали одномоментному приходу достаточно больших групп читателей (примерно по 10-15 читателей в каждом случае) - и за это Циникс благодарит авторов каналов "Майский указ" и "Закупки и тендеры по 44-ФЗ, 223-ФЗ" - но в остальном всё нажито собственным непосильным трудомдве куртки кожаных, два магнитофона японских. Циникс и дальше будет придерживаться тех же принципов работ в эфире.
А вот цифры, которые и радуют, и озадачивают одновременно - это статистика прочтения некоторых постов Циникса. За последние дни случились два резких всплеска на отдельных текстах. Пост про планируемые изменения в приказе 17 ФСТЭК к настоящему времени прочло уже более 650 читателй - это практически в 6,5 раз больше числа подписчиков Циникса. А другой пост - с анализом возможных последствий заморозки требований по аттестации ГИС до середины 2020 года - по числу читателей уже приблизился к восьми сотням. При этом, ни тот, ни другой тексты не попадали в перепосты или ссылки у "больших" телеграмеров, да и вообще в какие-либо перепосты в каналах. Значит, их распространение прошло не по ТГ-каналам, а через тематические группы Телеграма.
Циниксу просто интересно, что это за группы. Может, кто-то из читателей напишет Циниксу по адресу секретной почты, который указан в профиле канала? Циникс будет весьма благодарен за информацию.
Циникс не чужд цифр - тем более, цифр, касающихся его собственного ТГ-канала.
Если Циникс не устраивал здесь шумный праздник по поводу того, что число его читателей перевалило за сотню, это не значит, что данный факт Циникса не радует. Еще как радует! Только традиционного для Телеги поста с перечислением "старших товарищей", дифирамбами в их адрес и благодарностью за рекламу и перепосты, которые помогли подняться, Циникс здесь делать не будет. Потому что рост аудитории канала у Циникса, как принято говорить, органический - когда ссылками на тексты делятся , в основном, специалисты предметной области. Было два перепоста в крупных каналах, которые способствовали одномоментному приходу достаточно больших групп читателей (примерно по 10-15 читателей в каждом случае) - и за это Циникс благодарит авторов каналов "Майский указ" и "Закупки и тендеры по 44-ФЗ, 223-ФЗ" - но в остальном всё нажито собственным непосильным трудом
А вот цифры, которые и радуют, и озадачивают одновременно - это статистика прочтения некоторых постов Циникса. За последние дни случились два резких всплеска на отдельных текстах. Пост про планируемые изменения в приказе 17 ФСТЭК к настоящему времени прочло уже более 650 читателй - это практически в 6,5 раз больше числа подписчиков Циникса. А другой пост - с анализом возможных последствий заморозки требований по аттестации ГИС до середины 2020 года - по числу читателей уже приблизился к восьми сотням. При этом, ни тот, ни другой тексты не попадали в перепосты или ссылки у "больших" телеграмеров, да и вообще в какие-либо перепосты в каналах. Значит, их распространение прошло не по ТГ-каналам, а через тематические группы Телеграма.
Циниксу просто интересно, что это за группы. Может, кто-то из читателей напишет Циниксу по адресу секретной почты, который указан в профиле канала? Циникс будет весьма благодарен за информацию.
К предыдущему посту, Циникс теперь знает! Спасибо доброму человеку, написавшему в почту!
Рубрика "Циничный блокчейн"
Как стать эксперткой по блокчейну? Очень просто!
1. Читаешь новости на "Рамблере"
2. Находишь новость со словом "блокчейн"
3. Через несколько дней намекаешь у себя в ТГ-канале, что знаешь нечто эксклюзивное (на самом деле, нет)
...
10. Profit!
Как стать эксперткой по блокчейну? Очень просто!
1. Читаешь новости на "Рамблере"
2. Находишь новость со словом "блокчейн"
3. Через несколько дней намекаешь у себя в ТГ-канале, что знаешь нечто эксклюзивное (на самом деле, нет)
...
10. Profit!