Рекомендации руководству МТСЗС:

Осуществить анализ возможности и концептуализации нового подхода к порядку автоматизации процессов по управлению областью социальной помощи, исходя из реальных функциональных потребностей, доступности данных и из требований к взаимосвязи и интероперабельности решения. Совместно с НМСК и НАЗН заключить соглашения по формализации обмена данными, необходимыми для правильного и последовательного формирования информационных ресурсов в области социальной помощи.

5.2. Общая оценка управления ИТК


МТСЗС находится на начальном этапе по регламентированию области информационной безопасности и защиты персональных данных, будучи зависимым от внешних факторов в управлении ИТК

Аудиторская группа установила, что МТСЗС находится на важном этапе изменений относительно подхода к информационной безопасности. В ходе миссии отмечена постоянная поддержка со стороны руководства министерства для продвижения мер по информационной безопасности, защите персональных данных и обеспечению надлежащего управления областью ИТК. Констатации аудиторской миссии были сконцентрированы на области оценки общих контролей ИТ56 под аспектом влияния их на АИССП. Вследствие актуальности и важности АИССП текущие усилия и инвестиции, предназначенные области ИТК, были ориентированы особенно на эту область, материальность оценок в других секторах считалась незначительной.

Следует отметить критическую зависимость МТСЗС от экспертов и консультантов, трудоустроенных в рамках реализации и внедрения АИССП посредством ВБ в аспекте безопасности, методологического руководства и применения общих контролей. В настоящее время МТСЗС не имеет потенциала для самостоятельного обеспечения обслуживания АИССП. Благодаря недавнему запуску57 в промышленную эксплуатацию системы и получению расширенного срока гарантии на нее, забота по обеспечению функционирования и других процессов по безопасности и защите данных (которая естественным способом должна контролироваться министерством) в настоящее время принадлежит поставщику. 

НЕ нашли? Не то? Что вы ищете?

Зависимость МТСЗС от внешних факторов (поставщика и экспертов) в настоящее время еще не привела к материализации некоторых рисков, однако лишь путем эффективного внедрения общих контролей и безусловного применения положений законодательной базы в области менеджмента проектов58 можно будет гарантировать соблюдение основных принципов, которые должны стоять в основе формирования АИС такого масштаба. В аспекте критичности риски, связанные с данным проектом, не имеют существенный уровень материализации, но необходим эффективный мониторинг со стороны руководства министерства на протяжении всего периода жизненного цикла АИССП. В контексте значительной зависимости от внешних факторов отмечается, что ответственность компании, обеспечивающей обслуживание в гарантийный период, согласно договорным положениям, ограничена основной деятельностью, остальная ответственность возложена на бенефициара.

В контексте материализации рисков необходимо отметить, что хотя первоначально поставщик предложил решение, основанное на комплексной системе управления и контроля процессов59, по причине множества проблем технического и организационного порядка впоследствии была согласована разработка „с нуля” основного приложения для функционирования АИССП. Этот факт, хотя и позволил улучшить ситуацию, генерирует значительные риски в аспекте обеспечения безусловного и эффективного применения инструментов по защите, безопасности, непрерывности и мониторингу. Так, зависимость от поставщика в аспекте регулирования системы и контроля процессов, связанных с управлением ею, дополняется и усиливается тем, что фактически реализована лишь часть из функциональностей, необходимых для адекватного функционирования системы социальной помощи. Была отмечена необходимость разработки и внедрения многих функциональных компонентов, хотя часть из них должна быть реализована согласно договору G/11/S/IDA от 01.01.2001.

Описанная ситуация связана и с отсутствием или недоступностью данных возможных участников процесса. В описанных условиях (зависимость от поставщика и консультантов в рамках проекта при условии отсутствия внутреннего потенциала) МТСЗС будет ограничено в возможностях обеспечения прозрачного и конкурентного процесса при закупке остальных функциональных компонентов.

Делается вывод, что текущая ситуация фактически не соответствует приемлемому уровню внедрения менеджерских, административных и методологических инструментов, необходимых для обеспечения на толерантном уровне безопасности, достоверности, точности, соответствия, целостности и наличности данных в рамках АИССП.

Вследствие того, что регистраторы АИССП не работают непосредственно в МТСЗС, применение нормативной и методологической базы может быть затруднено

Существенную озабоченность представляет факт, что основными пользователями АИССП являются социальные ассистенты, которые не являются работниками МТСЗС, таким образом, сложно применять нормативную, методологическую и регулирующую базу и эффективно осуществлять мониторинг. В контексте изложенного, формирование человеческого потенциала и внутреннего регламентирования должно преобладать в деятельности министерства для обеспечения надлежащего управления АИССП.

Среди следующих незамедлительных шагов делается акцент на необходимость внедрения эффективной СМИБ60 и постоянное обучение назначенного на должность сотрудника безопасности персонала. Систематический, комплексный и многопрофильный подход к безопасности информации на уровне МТСЗС важен в целях установления, внедрения, функционирования, обслуживания и постоянного развития эффективной СМИБ, и адекватная организация ИТ процессов, в этом контексте является критической. Следует отметит, что нынешнее разделение ответственности по управлению АИССП, которая является распределенной, может отрицательно повлиять на способность организации по внедрению эффективных и контролируемых с точки зрения вовлеченных рисков ИТ процессов. 

5.3. Общие контроли ИТ

Общие контроли ИТ определяются в качестве контролей, которые применяются по всем компонентам и активам, связаным с использованием ИТК. Целью внедрения контролей ИТ является, особенно, обеспечение безопасности, целостности и последовательности использования и развития активов ИТ так, чтобы они способствовали непрерывной  реализации задач учреждения с соблюдением принципов экономичности, эффективности и результативности. Общие контроли могут быть разделены и сгруппированы различным способом в зависимости от их природы и проявления, однако важным и неукоснительным является документирование и применение их на основании обоснований и аргументированных решений. В основе эффективного применения контролей находится управление рисками и активами (в том числе данными). Общие контроли должны быть внедрены по этапам, с соблюдением их взаимозависимости. Так, первый этап (на котором находится в настоящее время МТСЗС) состоит в формализации задач и приоритетных направлений, а также в утверждении документов высшего уровня (политик, стратегий, концепций и др.). В этом контексте и в зависимости от того, что внедрение АИССП находится на начальном этапе, была установлена как неуместной подробная оценка общих контролей на всех уровнях, а также оценка контролей приложения. Так, была отмечена постоянная корректировка и устранение ошибок, обнаруженных поставщиком, мотив, по которому любая оценка порядка функционирования собственно системы является преждевременной.

Положения Политики безопасности данных персонального характера еще не применяются, понадобятся значительные усилия и средства

Несмотря на то, что путем утверждения Политики безопасности данных персонального характера и Положения об информационной безопасности61 были установлены основы и ориентиры для обеспечения информационной безопасности в рамках учреждения, применение положений указанных документов потребует значительных усилий и средств. Так, отметим необходимость разработки и применения ряда актов, закупки и внедрения специализированных технологий и оборудования. Применение общих контролей осуществляется согласно результатам, предоставленным на основании управления рисками и активами.

В рамках МТСЗС отсутствует документированный процесс менеджмента и управления рисками

Учреждение не располагает каким-либо отчетливым документом по оценке и управлению рисками, в результате чего риски не классифицированы и не определено их влияние и методы их предотвращения, выявления или корректировки. Следует отметить, что для оценки риски должны быть разделены на три категории: присущие риски, риски контроля и риски обнаружения. Согласно SMV ISO/CEI 27002:2009, требования по безопасности (не только информационной) определяются результатами периодической оценки рисков. Вместе с тем, управление и оценка рисков предполагают наличие классификации активов и определение собственников данных и других активов, что не было реализовано на момент проведения аудита. 

Согласно Международным стандартам Высших органов аудита62, задачей безопасности информационной программы является защита данных путем снижения риска потери конфиденциальности, целостности и доступности этой информации на приемлемом уровне. Безопасность информационной программы предполагает два основных элемента: анализ рисков и менеджмент рисков. На основе анализа рисков делается инвентаризация всей информационной системы. Устанавливается размер каждой из систем для организации и определения риска, которому она подвергается. С другой стороны, менеджмент рисков включает в себя отбор контролей и мер по безопасности, который снижает риски, которым подвержено учреждение, до приемлемого уровня. Для того, чтобы он был эффективным, результативным и предоставлял уверенность, менеджмент рисков должен проводиться в рамках, где общие меры информационной безопасности дополняются другими: a) из информационной системы, b) оборудования, c) административными, d) персонала и e) физическими.

Применение контролей ИТ и эффективная автоматизация бизнес-процессов требуют ее реинжиниринга и эффективного процесса управления активами 

Политика менеджмента ресурсов ИТ в рамках учреждения, хотя и формализована, должна быть применена, однако в настоящее время (через 3 месяца после утверждения) ресурсы не классифицированы. Эффективное применение контролей ИТ одновременно с внедрением реформ предполагает необходимость четкого разделения собственников, бенефициаров и других сторон в рамках процессов по формированию данных. Ответственность устанавливается из перспективы эффективного применения политик учреждения и реализации задач. На основе установленной ответственности должен быть произведен реинжиниринг или даже пересмотр бизнес-процессов. В условиях, когда в основе автоматизации процессов не находится указанная деятельность, не может быть обеспечена эффективность, а последующие этапы развития характеризованы наличием множества технических, организационных и нормативных трудностей.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20