План за действие за устойчиво управление  на информационните ресурси

С оглед на:

1. Кризата с Търговския регистър, която създаде сериозен риск за стопанския оборот и националната сигурност, и която въздейства не само на търговските дружества, но и на хиляди техни служители, множество институции и граждани;
2. Рисковете, които стоят пред други критични регистри, в т.ч. Национална база данни “Население”, български документи за самоличност, регистър на пътните превозни средства, регистрите на НАП, и много др.;
3. Липсата на подготовка на държавните органи, както на политическо, така и на експертно ниво, да поддържат системите си устойчиви и в съответствие със съвременните добри практики.

И при спазване на следните принципи:

1. Неделимост на киберустойчивостта от националната сигурност – политическото ниво трябва да е наясно, че срив, умишлен или не, в критични системи, се отразява директно на националната сигурност.
2. Политическа ангажираност – политическа воля за провеждане на реформата и екип от експерти, отговорни на ниво премиер, които да гарантират успешното изпълнение на заложените политически цели.
3. Партньорство – сътрудничество на институциите с частния сектор и с партньорите ни от Европейския съюз и НАТО.
4. Прозрачност и отчетност – всички параметри на управлението на информационните ресурси, на закупените хардуер и софтуер да бъдат максимално прозрачни, а отговорността за управлението да бъде ясно определена.
5. Споделени услуги – централизиране на извършването на услуги в звена със специфична експертиза и опит, вместо разпокъсана, децентрализирана работа с ниско качество.
6. Меритокрация – припознаване и промотиране на мотивираните експерти и ръководители, в т.ч. чрез предоставяне на свобода за действие.
7. Експертност – решения за управление на информационните ресурси трябва да се вземат с участие на експерти. Изцяло политически решения често са неефективни и несъобразени с техническите реалности.

Предлагаме следния план за действие:
1. Поддържане на оперативен регистър на регистрите – регистърът на регистрите не е функциониращ и липсва единно място, на което са описани всички регистри в рамките на публичния сектор (регистърът трябва да се поддържа по чл. 2 от Наредбата за общите изисквания към информационните системи, регистрите и електронните административни услуги (НОИИСРЕАУ)). Първоначално е достатъчно да бъдат вписани основните регистри и бази данни, като впоследствие да се допълват с по-маловажни такива.

2. Оценка на риска и категоризиране на регистрите – за всеки регистър, вписван в регистъра на регистрите, трябва да бъдат определени нивата на риск и параметрите “критичност”, “време за възстановяване”, “въздействие” и др., на база на които да бъдат приоритизирани всички действия, свързани с поддръжката и сигурността на регистрите. Търговският регистър, Национална база данни население, имотният регистър, например, трябва да бъдат с най-висока степен на критичност, съответно с високо въздействие при срив и с минимално време, в което да бъдат възстановени.

3. Приемане на политика за управление на информационните ресурси – съгласно чл. 7в, т. 5, Председателят на Държавна агенция “Електронно управление” разработва и предлага за приемане от Министерския съвет единна политика за информационните ресурси, издава методически указания и координира нейното изпълнение. Политиките трябва да включват детайлни планове за продължителност на работата и възстановяване при срив, както и за провеждане на тестове и профилактики;

4. Пускане в експлоатация на регистъра на информационните ресурси – Законът за електронното управление в чл. 7е предвижда създаване на регистър на информационните ресурси, в който да бъдат описани всички софтуерни, хардуерни и мрежови ресурси в държавната администрация, в т.ч. техните характеристики, години на производство, планове за подмяна и др. За първоначалното въвеждане на данните е изпълнен проект за инвентаризация, финансиран по Оперативна програма “Добро управление”. Пускането на регистърa в експлоатация е наложително с оглед изпълнението на политиката за управление на информационните ресурси.

5. Създаване на Държавно предприятие “Единен системен оператор” – Законът за електронното управление, в чл. 7к, определя създаването на Държавно предприятие “Единен системен оператор”, което обаче все още не съществува. Предприятието е крайно необходимо и трябва да извършва ИТ услуги за администрацията по определен от Министерския съвет каталог на услугите. Тези услуги включват писане на технически задания, текущ и последващ контрол, управление на поддръжката и др. Видимо администрацията няма кадри за извършване на тези дейности, тъй като експертите са скъпо платени и много над предвиденото заплащане в класификатор на длъжностите в администрацията. Държавното предприятие, например, можеше да управлява поддръжката на Търговския регистър от името на Агенция по вписванията, и така да не допусне немарливостта, довела до срива.Предприятието трябва да се управлява прозрачно и в съответствие с изискванията на закона.

6. Изграждане на Държавен хибриден частен облак – инфраструктурата, върху която са разположени държавните регистри е често остаряла и зле поддържана. Липсва гъвкавост, разходите са по-високи от необходимото. Поради това в Пътната карта за развитие на стратегията за електронното управление (2016-2020) е включен приоритетен проект за изграждане на Държавен хибриден частен облак, който да предоставя “инфраструктура като услуга” на държавната администрация, с високо качество на поддръжка, гъвкавост и икономии от мащаба. Облакът ще включва няколко дейта-центъра, като така ще даде необходимата резервираност на регистрите и базите данни на администрацията. Изготвяне на правила за използване и на частни облачни услуги в допълнение на държавните центрове.

7. Използване на съществуващи резервни центрове и изграждане на нови – има съществуващи резервно-възстановителни центрове на територията на страната, а съществуват възможности и предпоставки за изграждане на такива на територията на държави-съюзници. Необходимо е осигуряване като минимум на резервни копия в тези центрове, като за по-критични системи следва да бъдат поддържани цялостни копия на системите в готовност да поемат заявки в случай на сривове.

8. Подобряване и унифициране на процедурите за резервни копия – според отчетите на администрацията, в под 15% от случаите се създават изобщо резервни копия на регистрите. В много малка част от тях се правят опити за възстановяване на резервните копия. Следва да се предприемат мерки за унифициране на процедурите по създаване на резервни копия и те да отговарят на изискванията на чл. 42 от НОИИСРЕАУ, като включват процедури по възстановяване и периодично тестване.
Нужна e редовна валидация на съществуващите резервни копия, тяхната пълнота и използваемост. Изрично условие на проверката на резервни копия е пълното възстановяване на информационния масив без използване на титулярните системи или техни компоненти (дискови масиви, оперативна памет, машинно-четими интерфейси и др.)

9. Преглед на договори за поддръжка – необходимо е да бъдат прегледани договорите за поддръжка на всички системи, както и да се установи има ли системи без осигурена текуща поддръжка. В договорите трябва да бъдат прегледани т.нар. споразумения за ниво на обслужване (SLA), неустойки, задължения за мониториране на ресурсите и др. В резултат трябва да бъдат направени препоръки за последващи договори или за допълване на настоящите.

10. Оценка на съответствие с приложимите наредби, както и сертифициране по стандарти за информационна сигурност и качество – следва да бъде установено нивото на съответсвие на всички администрации и техните информационни системи с ключови изисквания на наредбите към Закона за електронното управление, в т.ч. Наредбата за общите изисквания за мрежова и информационна сигурност. Оценката може да бъде извършена на няколко етапа, като първият може да бъде с въпросници за самооценка. На следващ етап критичните системи следва да бъдат сертифицирани по стандарти като тези от серията ISO 27000.
.
11. Създаване на съвет на главните информационни мениджъри – решенията за управлението на информационните ресурси и за посоката на развитие следва да се предлага от съвет на най-високо ниво. Към момента функциониращият съвет по интеграция към Държавна агенция “Електронно управление” следва да бъде изнесен на ниво Министерски съвет, като в него участват главните информационни мениджъри на министерства и държавни агенции. Такъв съвет трябва да участва във формирането на политиките по управление на информационните ресурси и киберустойчивост, определянето на ресурсите за тяхното прилагане, както и да консултира управлението на Държавно предприятие “Единен системен оператор”. За целта следва да бъде създадена и позицията “Главен информационен мениджър” като част от общата администрация, със съответните правомощия и ресурси.

12. Създаване на национална координационно-организационна мрежа за киберсигурност – в изпълнение на стратегията за киберсигурност, следва да се стартира създаването на такава мрежа на партньорство между администрацията, частния сектор и академичните институции, като бъдат определени роли, отговорности и способности за развитие на държавните и неправителствените участници, установяване на общ механизъм, дефиниране на процеси и протоколи за взаимодействие и мониторинг на кибер картината на национално ниво на базата на координирана мрежа от центрове за кибер сигурност (CERT/CSIRT и други органи).

N Мярка Стартиране Завършване
1 Поддържане на оперативен регистър на регистрите 09.2018 12.2018
2 Оценка на риска и категоризиране на регистрите 09.2018 01.2019
3 Приемане на политика за управление на информационните ресурси 09.2018 01.2019
4 Пускане в експлоатация на регистъра на информационните ресурси 09.2018 12.2018
5 Създаване на Държавно предприятие
“Единен системен оператор”
09.2018 01.2019
6 Изграждане на Държавен хибриден частен облак 09.2018 12.2019
7 Използване на съществуващи резервни центрове и изграждане на нови 10.2018 06.2019
8 Подобряване на процедурите за резервни копия 10.2018 01.2019
9 Преглед на договори за поддръжка 10.2018 12.2019
10 Оценка на съответствие с приложимите наредби, както и сертифициране по стандарти за информационна сигурност и качество 10.2018 12.2019
11 Създаване на съвет на главните информационни мениджъри 10.2018 12.2019
12 Създаване на национална координационно-организационна мрежа за киберсигурност 10.2018 06.2019

Новини и коментари

Ще бъдем безкомпромисни срещу всякакви нелегитимни влияния на ДПС-Ново начало в изпълнителната власт.

Ще бъдем безкомпромисни срещу всякакви нелегитимни влияния на ДПС-Ново начало в изпълнителната власт.

Участието на ДБ в преговорите беше проява на отговорност в условия на дълбока политическа криза.

Участието на ДБ в преговорите беше проява на отговорност в условия на дълбока политическа криза.

Ще бъдем яростна опозиция всеки път, когато правителството позволява нерегламентирани влияния да определят работата и действията му.

Ще бъдем яростна опозиция всеки път, когато правителството позволява нерегламентирани влияния да определят работата и действията му.

Трябва ни правителство, готово да прекара държавата не просто през кризите, но и решително да я модернизира и да освободи институциите от корупционния захват, не виждаме това в настоящия кабинет.

Трябва ни правителство, готово да прекара държавата не просто през кризите, но и решително да я модернизира и да освободи институциите от корупционния захват, не виждаме това в настоящия кабинет.

“Демократична България” потвърждава своята позиция, че изборът на номинацията за министър-председател и съставът на Министерски съвет следва да се обсъжда на лидерска среща след постигане на окончателно съгласие по споразумението за управление.

“Демократична България” потвърждава своята позиция, че изборът на номинацията за министър-председател и съставът на Министерски съвет следва да се обсъжда на лидерска среща след постигане на окончателно съгласие по споразумението за управление.

Правната комисия прие на предложените от ПП-ДБ промени в Закона за съдебната власт, които целят спиране на процедурата за избор на Сарафов за главен прокурор

Правната комисия прие на предложените от ПП-ДБ промени в Закона за съдебната власт, които целят спиране на процедурата за избор на Сарафов за главен прокурор

Всички новини

От медиите

Ивайло Мирчев в "Делници"

Ивайло Мирчев в "Делници"

Надежда Йорданова в "12+3"

Надежда Йорданова в "12+3"

Божидар Божанов гост в радио "Фокус"

Божидар Божанов гост в радио "Фокус"

Всички видеа
Използваме бисквитки на нашия уебсайт, за да подобрим неговото представяне и вашето преживяване. Ако продължите, ще приемем, че сте съгласни с това. OK