"Демократична България" предложи план за действие за устойчиво управление на информационните ресурси в държавната администрация, разработен от експерти от екипа на Управленска алтернатива на коалицията.
Планът включва 12 конкретни управленски мерки, необходими за предотвратяване на кризи като тази с Търговския регистър. Предложението има за цел да изгради консенсус за гарантиране на устойчивостта на всички регистри и бази данни в публичния сектор.
С оглед на:
1. Кризата с Търговския регистър, която създаде сериозен риск за стопанския оборот и националната сигурност, и която въздейства не само на търговските дружества, но и на хиляди техни служители, множество институции и граждани;
2. Рисковете, които стоят пред други критични регистри, в т.ч. Национална база данни “Население”, български документи за самоличност, регистър на пътните превозни средства, регистрите на НАП, и много др.;
3. Липсата на подготовка на държавните органи, както на политическо, така и на експертно ниво, да поддържат системите си устойчиви и в съответствие със съвременните добри практики.
И при спазване на следните принципи:
1. Неделимост на киберустойчивостта от националната сигурност – политическото ниво трябва да е наясно, че срив, умишлен или не, в критични системи, се отразява директно на националната сигурност.
2. Политическа ангажираност – политическа воля за провеждане на реформата и екип от експерти, отговорни на ниво премиер, които да гарантират успешното изпълнение на заложените политически цели.
3. Партньорство – сътрудничество на институциите с частния сектор и с партньорите ни от Европейския съюз и НАТО.
4. Прозрачност и отчетност – всички параметри на управлението на информационните ресурси, на закупените хардуер и софтуер да бъдат максимално прозрачни, а отговорността за управлението да бъде ясно определена.
5. Споделени услуги – централизиране на извършването на услуги в звена със специфична експертиза и опит, вместо разпокъсана, децентрализирана работа с ниско качество.
6. Меритокрация – припознаване и промотиране на мотивираните експерти и ръководители, в т.ч. чрез предоставяне на свобода за действие.
7. Експертност – решения за управление на информационните ресурси трябва да се вземат с участие на експерти. Изцяло политически решения често са неефективни и несъобразени с техническите реалности.
Предлагаме следния план за действие:
1. Поддържане на оперативен регистър на регистрите – регистърът на регистрите не е функциониращ и липсва единно място, на което са описани всички регистри в рамките на публичния сектор (регистърът трябва да се поддържа по чл. 2 от Наредбата за общите изисквания към информационните системи, регистрите и електронните административни услуги (НОИИСРЕАУ)). Първоначално е достатъчно да бъдат вписани основните регистри и бази данни, като впоследствие да се допълват с по-маловажни такива.
2. Оценка на риска и категоризиране на регистрите – за всеки регистър, вписван в регистъра на регистрите, трябва да бъдат определени нивата на риск и параметрите “критичност”, “време за възстановяване”, “въздействие” и др., на база на които да бъдат приоритизирани всички действия, свързани с поддръжката и сигурността на регистрите. Търговският регистър, Национална база данни население, имотният регистър, например, трябва да бъдат с най-висока степен на критичност, съответно с високо въздействие при срив и с минимално време, в което да бъдат възстановени.
3. Приемане на политика за управление на информационните ресурси – съгласно чл. 7в, т. 5, Председателят на Държавна агенция “Електронно управление” разработва и предлага за приемане от Министерския съвет единна политика за информационните ресурси, издава методически указания и координира нейното изпълнение. Политиките трябва да включват детайлни планове за продължителност на работата и възстановяване при срив, както и за провеждане на тестове и профилактики;
4. Пускане в експлоатация на регистъра на информационните ресурси – Законът за електронното управление в чл. 7е предвижда създаване на регистър на информационните ресурси, в който да бъдат описани всички софтуерни, хардуерни и мрежови ресурси в държавната администрация, в т.ч. техните характеристики, години на производство, планове за подмяна и др. За първоначалното въвеждане на данните е изпълнен проект за инвентаризация, финансиран по Оперативна програма “Добро управление”. Пускането на регистърa в експлоатация е наложително с оглед изпълнението на политиката за управление на информационните ресурси.
5. Създаване на Държавно предприятие “Единен системен оператор” – Законът за електронното управление, в чл. 7к, определя създаването на Държавно предприятие “Единен системен оператор”, което обаче все още не съществува. Предприятието е крайно необходимо и трябва да извършва ИТ услуги за администрацията по определен от Министерския съвет каталог на услугите. Тези услуги включват писане на технически задания, текущ и последващ контрол, управление на поддръжката и др. Видимо администрацията няма кадри за извършване на тези дейности, тъй като експертите са скъпо платени и много над предвиденото заплащане в класификатор на длъжностите в администрацията. Държавното предприятие, например, можеше да управлява поддръжката на Търговския регистър от името на Агенция по вписванията, и така да не допусне немарливостта, довела до срива.Предприятието трябва да се управлява прозрачно и в съответствие с изискванията на закона.
6. Изграждане на Държавен хибриден частен облак – инфраструктурата, върху която са разположени държавните регистри е често остаряла и зле поддържана. Липсва гъвкавост, разходите са по-високи от необходимото. Поради това в Пътната карта за развитие на стратегията за електронното управление (2016-2020) е включен приоритетен проект за изграждане на Държавен хибриден частен облак, който да предоставя “инфраструктура като услуга” на държавната администрация, с високо качество на поддръжка, гъвкавост и икономии от мащаба. Облакът ще включва няколко дейта-центъра, като така ще даде необходимата резервираност на регистрите и базите данни на администрацията. Изготвяне на правила за използване и на частни облачни услуги в допълнение на държавните центрове.
7. Използване на съществуващи резервни центрове и изграждане на нови – има съществуващи резервно-възстановителни центрове на територията на страната, а съществуват възможности и предпоставки за изграждане на такива на територията на държави-съюзници. Необходимо е осигуряване като минимум на резервни копия в тези центрове, като за по-критични системи следва да бъдат поддържани цялостни копия на системите в готовност да поемат заявки в случай на сривове.
8. Подобряване и унифициране на процедурите за резервни копия – според отчетите на администрацията, в под 15% от случаите се създават изобщо резервни копия на регистрите. В много малка част от тях се правят опити за възстановяване на резервните копия. Следва да се предприемат мерки за унифициране на процедурите по създаване на резервни копия и те да отговарят на изискванията на чл. 42 от НОИИСРЕАУ, като включват процедури по възстановяване и периодично тестване.
Нужна e редовна валидация на съществуващите резервни копия, тяхната пълнота и използваемост. Изрично условие на проверката на резервни копия е пълното възстановяване на информационния масив без използване на титулярните системи или техни компоненти (дискови масиви, оперативна памет, машинно-четими интерфейси и др.)
9. Преглед на договори за поддръжка – необходимо е да бъдат прегледани договорите за поддръжка на всички системи, както и да се установи има ли системи без осигурена текуща поддръжка. В договорите трябва да бъдат прегледани т.нар. споразумения за ниво на обслужване (SLA), неустойки, задължения за мониториране на ресурсите и др. В резултат трябва да бъдат направени препоръки за последващи договори или за допълване на настоящите.
10. Оценка на съответствие с приложимите наредби, както и сертифициране по стандарти за информационна сигурност и качество – следва да бъде установено нивото на съответсвие на всички администрации и техните информационни системи с ключови изисквания на наредбите към Закона за електронното управление, в т.ч. Наредбата за общите изисквания за мрежова и информационна сигурност. Оценката може да бъде извършена на няколко етапа, като първият може да бъде с въпросници за самооценка. На следващ етап критичните системи следва да бъдат сертифицирани по стандарти като тези от серията ISO 27000.
.
11. Създаване на съвет на главните информационни мениджъри – решенията за управлението на информационните ресурси и за посоката на развитие следва да се предлага от съвет на най-високо ниво. Към момента функциониращият съвет по интеграция към Държавна агенция “Електронно управление” следва да бъде изнесен на ниво Министерски съвет, като в него участват главните информационни мениджъри на министерства и държавни агенции. Такъв съвет трябва да участва във формирането на политиките по управление на информационните ресурси и киберустойчивост, определянето на ресурсите за тяхното прилагане, както и да консултира управлението на Държавно предприятие “Единен системен оператор”. За целта следва да бъде създадена и позицията “Главен информационен мениджър” като част от общата администрация, със съответните правомощия и ресурси.
12. Създаване на национална координационно-организационна мрежа за киберсигурност – в изпълнение на стратегията за киберсигурност, следва да се стартира създаването на такава мрежа на партньорство между администрацията, частния сектор и академичните институции, като бъдат определени роли, отговорности и способности за развитие на държавните и неправителствените участници, установяване на общ механизъм, дефиниране на процеси и протоколи за взаимодействие и мониторинг на кибер картината на национално ниво на базата на координирана мрежа от центрове за кибер сигурност (CERT/CSIRT и други органи).
N | Мярка | Стартиране | Завършване |
1 | Поддържане на оперативен регистър на регистрите | 09.2018 | 12.2018 |
2 | Класификация на регистри по критичност | 11.2018 | 01.2019 |
3 | Приемане на политика за управление на информационните ресурси | 09.2018 | 01.2019 |
4 | Пускане в експлоатация на регистъра на информационните ресурси | 09.2018 | 12.2018 |
5 | Създаване на Държавно предприятие “Единен системен оператор” |
09.2018 | 01.2019 |
6 | Изграждане на Държавен хибриден частен облак | 09.2018 | 12.2019 |
7 | Използване на съществуващи резервни центрове и изграждане на нови | 10.2019 | 06.2019 |
8 | Подобряване на процедурите за резервни копия | 10.2019 | 01.2019 |
9 | Преглед на договори за поддръжка | 10.2019 | 12.2019 |
10 | Оценка на съответствие | 10.2019 | 12.2019 |
11 | Създаване на съвет на главните информационни мениджъри | 10.2019 | 12.2019 |
12 | Създаване на национална координационно-организационна мрежа за киберсигурност | 10.2019 | 06.2019 |