Методологія

 

Обстеження ІТ-систем ОВВ — це системний процес, відповідно до стандартів і процедур отримання й оцінки об’єктивних даних щодо поточного стану інформаційних систем, їх програмного й апаратного забезпечення, з метою подальшого аналізу процесів, технологій та структури, надання висновків щодо стратегії їх управління.

Обстеження пов’язує інформаційно-комунікаційні технології та дії працівників центральних органів виконавчої влади, враховує рекомендації стандартів ISO/IEC 27001:2013 «Інформаційні технології. Технології безпеки. Системи управління інформаційною безпекою. Вимоги» та CobiT 4.1 «Цілі контролю для інформаційних та суміжних технологій».

Проводиться на виконання розпорядження Кабінету Міністрів України від 11.04.2018 № 238-р «Про затвердження типових завдань, ключових показників результативності, ефективності та якості службової діяльності державних службовців, які займають посади керівників центральних органів виконавчої влади, на 2018 рік».

 

Основні цілі обстеження ІТ-систем

З’ясувати кількість і якість інформаційних систем органів виконавчої влади на поточний момент.

З’ясувати ключові показники інформаційних систем, для розуміння їх можливостей в контексті їх інтеграції в єдину інформаційну інфраструктуру.

З’ясувати відповідність інформаційних систем цілям і завданням діяльності органів виконавчої влади.

З’ясувати наявність електронних взаємодій між органами виконавчої влади, а також їх методологію, формат і технічні аспекти. 

Виявити необхідність у встановленні електронної взаємодії між органами виконавчої влади.

Виявити проблеми, які заважають впровадженню систем в промислову експлуатацію, підвищенню їх інформаційної безпеки тощо.

Виявити необхідність модернізації програмного й апаратного забезпечення.

Розробити рекомендації для органів виконавчої влади.

 

Строки проведення обстеження ІТ-систем ОВВ

Червень–жовтень 2018 року.

 

Перелік органів виконавчої влади, в яких передбачено проведення обстеження ІТ-систем

1. Адміністрація Державної прикордонної служби України

2. Адміністрація Державної служби спеціального зв’язку та захисту інформації України

3. Антимонопольний комітет України

4. Державна авіаційна служба України

5. Державна архівна служба України

6. Державна архітектурно-будівельна інспекція України

7. Державна аудиторська служба України

8. Державна екологічна інспекція України

9. Державна інспекція енергетичного нагляду України

10. Державна інспекція навчальних закладів України (Державна служба якості освіти)

11. Державна інспекція ядерного регулювання України

12. Державна казначейська служба України

13. Державна міграційна служба України

14. Державна регуляторна служба України

15. Державна служба геології та надр України

16. Державна служба експортного контролю України

17. Державна служба морського та річкового транспорту України

18. Державна служба статистики України

19. Державна служба України з безпеки на транспорті

20. Державна служба України з лікарських засобів та контролю за наркотиками

21. Державна служба України з надзвичайних ситуацій

22. Державна служба України з питань безпечності харчових продуктів та захисту споживачів

23. Державна служба України з питань геодезії, картографії та кадастру

24. Державна служба України з питань праці

25. Державна служба України у справах ветеранів війни та учасників антитерористичної операції

26. Державна служба фінансового моніторингу України

27. Державна фіскальна служба України

28. Державне агентство автомобільних доріг України

29. Державне агентство водних ресурсів України

30. Державне агентство з енергоефективності та енергозбереження України

31. Державне агентство з питань електронного урядування України

32. Державне агентство інфраструктурних проектів України

33. Державне агентство лісових ресурсів України

34. Державне агентство резерву України

35. Державне агентство рибного господарства України

36. Державне агентство України з питань кіно

37. Державне агентство України з управління зоною відчуження

38. Державне бюро розслідувань

39. Державне космічне агентство України

40. Державний комітет телебачення і радіомовлення України

41. Міністерство аграрної політики та продовольства України

42. Міністерство внутрішніх справ України

43. Міністерство екології та природних ресурсів України

44. Міністерство економічного розвитку і торгівлі України

45. Міністерство енергетики та вугільної промисловості України

46. Міністерство з питань тимчасово окупованих територій та внутрішньо переміщених осіб України

47. Міністерство закордонних справ України

48. Міністерство інформаційної політики України

49. Міністерство інфраструктури України

50. Міністерство культури України

51. Міністерство молоді та спорту України

52. Міністерство оборони України

53. Міністерство освіти і науки України

54. Міністерство охорони здоров’я України

55. Міністерство регіонального розвитку, будівництва та житлово-комунального господарства України

56. Міністерство соціальної політики України

57. Міністерство фінансів України

58. Міністерство юстиції України

59. Національна поліція України

60. Національна служба здоров’я України

61. Національне агентство України з питань виявлення, розшуку та управління активами, одержаними від корупційних та інших злочинів

62. Національне агентство України з питань державної служби

63. Пенсійний фонд України

64. Український інститут національної пам’яті

65. Фонд державного майна України

66. Інші

 

Визначення суб’єктів та об’єктів обстеження ІТ-систем

Об’єкти — це сукупності інформації, які визначаються та управляються як окремі одиниці, тому їх можна зрозуміти, розділити, захистити та ефективно використовувати. Такі об’єкти мають впізнавану та керовану цінність, ризик, зміст і життєвий цикл. Ключове поняття тут полягає в тому, щоб об’єднати окремі частини інформації в керовані частини. 

Об’єкти визначаються на тому рівні деталізації, що дозволяє ефективно управляти їх складовими частинами як єдиним цілим: занадто широко — ви не матимете достатньо деталей, занадто вузько — у вас будуть тисячі об’єктів.

Можливо широко класифікувати суб’єкти й об’єкти обстеження ІТ-систем (так звані інформаційні активи) за такими категоріями.

1. Інформаційні системи — нематеріальні активи у вигляді інформації, що стосується реалізації владних повноважень органів влади, яка була зібрана, класифікована, організована та зберігається у різних форматах:

бази даних — інформація, що зберігається в реєстрах, каталогах, регістрах тощо, щодо виконання функцій відповідно до законодавства;

набори даних — транзакційні дані тощо;

архівні файли — інформація, що зберігається в архівованому вигляді, відповідно до вимог законодавства;

тощо.

2. Програмне забезпечення — нематеріальні активи, що створені засобами програмування:

системне програмне забезпечення;

прикладне програмне забезпечення;

засоби розроблення;

тощо.

3. Апаратне забезпечення — матеріальні активи, стосуються видимого обладнання, що знаходиться у володінні органу влади та використовується для управління інформаційними системами:

комп’ютерне обладнання — мейнфрейми, сервери, настільні та переносні комп’ютери тощо;

комунікаційне обладнання — модеми, маршрутизатори, електронні АТС тощо;

носії інформації — магнітні стрічки, диски, DAT тощо;

технічне оснащення — серверні кімнати, кабельні системи тощо.

4. Сервіси — нематеріальні активи, що стосуються послуг, від яких залежать інформаційні системи:

обчислювальні послуги, які надано органом влади на аутсорсинг;

послуги електронної взаємодії (зокрема СЕВ ОВВ, СЕВ ДЕІР);

послуги зв’язку — голосова комунікація, передача даних, послуги з доданою вартістю, широкосмугова мережа тощо;

послуги з охорони навколишнього середовища — охолодження, електроживлення, освітлення тощо.

5. Люди — відповідальні працівники, які володіють усіма навичками й інформацією про те, як працюють інформаційні системи органу влади.

6. Інші нематеріальні активи — інтелектуальна власність органу влади, зареєстровані знаки тощо.

 

Забезпечення проведення обстеження ІТ-систем

 

Етап 1. Підготування до проведення 

З метою забезпечення проведення ефективного обстеження ІТ-систем керівнику органу влади необхідно визначити відповідальних за його проведення працівників органу влади з числа працівників, які володіють інформацією про інформаційні системи органу влади.

Обсяг і складність обстеження ІТ-систем відрізнятимуться залежно від розміру та складності органу влади, його матеріальних і нематеріальних активів. Важливо, щоб обстеження ІТ-систем зосереджувало увагу на найважливішій діяльності та функціях органу влади, відповідних їх інформаційних системах, не обмежуючись певним форматом інформації (наприклад, паперовому чи цифровому).

Проведення ефективного обстеження ІТ-систем та планування заходів з розвитку електронного урядування вимагає загального огляду діяльності органу влади, на якому потрібно визначити:

Які основні інформаційні системи створені або використовуються в кожній сфері діяльності органу влади?

Чи використовується інформація як вхідний або вихідний процес?

Чи використовується інформація у процесі прийняття рішень?

Чи використовується інформація для оцінки правил або умов?

Чи інформація отримана від зовнішнього джерела (іншого органу влади) регулярно оновлюється (зокрема через інформаційні взаємодії)?

Корисно застосувати поетапний підхід до проведення обстеження ІТ-систем шляхом встановлення пріоритетів і складності процесів, відповідальних за них структурних підрозділів органу влади.

 

Етап 2. Ідентифікація об’єктів 

Створення переліку об’єктів обстеження допоможе прояснити, що є цінним в органах влади, та визначити відповідальних за належне функціонування державних електронних інформаційних ресурсів.

Відповідальним за проведення обстеження ІТ-систем органів влади необхідно буде ідентифікувати й обстежити об’єкти з таких груп:

апаратне забезпечення;

мережева інфраструктура;

програмне забезпечення (системне та прикладне);

е-ресурси;

веб-сайти;

системи документообігу, бухгалтерії й обліку, управління персоналом;

обчислювальні послуги, які надані органом влади на аутсорсинг;

електронні й інші інформаційні взаємодії (зокрема СЕВ ОВВ, СЕВ ДЕІР);

інші системи (важливі з погляду цінності для органу влади).

Перелік таких об’єктів (т. зв. інформаційні активи) має крім найменування активу включати його опис, статус і дату створення (введення в експлуатацію), відомості про володільця (держателя), дата останнього обстеження.

 

Етап 3. Інструментальне забезпечення збирання даних

Для записування інформації про кожен ідентифікований об’єкт, яка буде зібрана в ході проведення обстеження ІТ-систем, необхідно буде використовувати Інструмент обстеження ІТ-систем органів виконавчої влади AUDIT.GOV.UA (далі — Портал).

Реєстрацію на Порталі здійснює Державне агентство з питань електронного урядування України за поданою на офіційному бланку заявою органу влади через Систему електронної взаємодії органів виконавчої влади (з накладеним електронним цифровим підписом керівника на електронний документ, або накладеною електронною печаткою на скан-копію підписаного паперового документа). Заява, складена в довільній формі, повинна містити відомості про відповідального за проведення обстеження ІТ-систем: ім’я та прізвище, посаду, телефон, адресу е-пошти, реквізити розпорядчого акту про визначення його відповідальним.

 

Етап 4. Збирання даних

Відповідальні за проведення обстеження ІТ-систем можуть збирати відомості (дані) про об’єкти обстеження в органі влади за допомогою інтерв’ю, опитувань або фокус-груп володільців (держателів, розпорядників) інформаційних активів, використовувати наявну в органі влади інформацію про інформаційні активи в іншому записаному вигляді. Головне, щоб така інформація була актуальною.

З метою забезпечення якісного та уніфікованого збирання даних щодо об’єктів обстеження ІТ-систем розроблено електронну форму, що доступна через Портал. Введення інформації до полів форми максимально орієнтовано на вибір значення з відповідних довідників і класифікаторів.

Для забезпечення якості відомостей про об’єкти обстеження ІТ-систем у процесі збирання даних буде забезпечено експертну підтримку відповідальних за проведення обстеження ІТ-систем органів влади, зокрема щодо відповідності даних і метаданих, їх логічності та цілісності.

 

Етап 5. Аналіз даних

У результаті проведення обстеження ІТ-систем органів влади буде зібрано відомості про державні електронні інформаційні ресурси, інші важливі інформаційні системи, структури даних, електронні й інші інформаційні взаємодії тощо.

У результаті аналізу даних обстеження ІТ-систем органів влади передбачено визначити:

наявність і повноту основних документів, опису інформаційних активів;

можливість і наявність успадкування даних з інших інформаційних систем

необхідність модернізації інформаційних систем, їх програмного й апаратного забезпечення та подальшого розвитку;

обсяг інформаційних систем, об’єктивність структури даних;

наявність заходів безпеки щодо захисту персональних та інших чутливих даних;

доступність до наборів даних, які містяться в інформаційних системах, зокрема в машиночитаній формі, для громадян, інші обмеження;

рівень інформаційної безпеки, відповідні ризики та загрози, пріоритетний список запланованих удосконалень;

пріоритети цифрового розвитку органів влади та перелік заходів щодо організації розвитку електронного урядування в Україні, зокрема єдиної інформаційної інфраструктури (електронного уряду).