?

Log in

No account? Create an account

Previous Entry | Next Entry

В сообществе экспертов по электронному документообороту очень долго муссировалась идея, что нужен некий документ на уровне Правительства, который устанавливал бы требования к внедряемым в органах госвласти СЭД, чтобы таким образом поставить барьер на пути всяких однодневных поделок и доморощенных разработок, чтобы преградить дорогу жадности и глупости.

Классная, но, увы, утопичная идея. Там, где бюджет хотят распилить, никакие методические рекомендации, стандарты, лучшие практики и здравый смысл не могут быть помехой. Там действует совсем друга логика и система ценностей.

А вот в остальных случаях (даже не столь уж редких) – когда заказчик действительно в результате исполнения госконтракта хочет видеть работающую СЭД, а не только новую дачу всякий сумбурный и плохо проработанный нормативный документ только создает лишние проблемы. Полностью следовать ему невозможно, формальной методики проверки соответствия как правило нет, и любой желающий может прицепиться к любой ерунде.

Поздравляем?
Вышел Приказ Минкомсвязи РФ от 02.09.2011 N 221 "Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения" (Зарегистрировано в Минюсте РФ 15.11.2011 N 22304)

Для кого этот документ имеет силу:
п.2 Требования распространяются на ФОИВ, внедряющие систему электронного документооборота, либо оценивающие возможности уже имеющейся СЭД ФОИВ.

Я, конечно, не юрист, но четкой эту формулировку не назвал бы. Во-первых, не введено понятие, что есть СЭД ФОИВ. Все, этого уже достаточно. Назову-ка я свою систему «Информационный портал ФОИВ с функциями обеспечения коллективной работы с документами» и дальше могут эти Требования игнорировать. Нисколько не фантазия, уже приходилось так делать, когда на слово "документооборот" уже присел кто-то из конкурентов.

Следом, в п.3 почему-то сразу видна озабоченность авторов документа вопросами масштабирования и быстродействия системы. Но в том же MoReq эти требования отнесены в чуть ли не последнюю главу и даны чисто как модельные – каждый заказчик должен сам определить, какие параметры быстродействия его устраивают. Кому-то нужно 3 секунды, а кому-то и 30 секунд нормально.

Любой инженер понимает, что эти показатели зависят скорее от железа, чем от софта. На дохлом сервере любая система будет работать медленно. И наоборот – поставьте корявый софт на какой-нибудь супер-кластер – авось и выдаст «рекомендуемый уровень производительности, надежности и защиты: доступ к СЭД ФОИВ - не более 3-х секунд;» и прочие показатели согласно п. 3 Требований.

Нет, я не против того, что требования к комплексу должны быть. Но не в первой главе. Даже в ТЗ это обычно 5-я или 6-я глава. Почему я к этому цепляюсь? – Все просто: это отражает приоритеты и логику мышления авторов, вернее ее отсутствие.

Если говорить о СЭД, то начинать нужно с ее функционального назначения, зачем эта система нужна, какие задачи должна покрывать, а не подсчитывать в уме, сколько серверов мы под это дело закупим.

Приложили руку к этому документу и офицеры по безопасности: Требования включают защищенность от несанкционированного доступа в случаях, когда в СЭД ФОИВ предусмотрена обработка служебной информации ограниченного распространения - не ниже класса 1Г;

В общем-то 1Г никому не страшно, реально все современные системы эти требования выполняют. Но сертификацию пройти придется. Может ради этого все и затевалось? Теперь чтоб внедрять СЭД в каком-либо ФОИВ нужно будет показать бумагу из ФСТЭК.

Что касается защиты информации в СЭД, то я уже писал на эту тему. Кратко повторю: существующие ныне у компетентных органов методики оценки вовсе не учитывают специфики СЭД, того, что в ней есть свои информационные объекты. Опять все кончится формальным подключением к любой СЭД все той же КриптоПро и можно будет утверждать, что она защищенная. А отвечает ли ее модель управления доступом современным требованиям или нет, никого не интересует.

Это вот пока общие впечатления от документа по первой главе.
Скажем та, что пока не радует, не видно системного подхода. Но продолжим читать дальше. Может обнаружится что-то более интересное.
Продолжение следует.

Latest Month

August 2016
S M T W T F S
 123456
78910111213
14151617181920
21222324252627
28293031   

Tags

Powered by LiveJournal.com
Designed by Lilia Ahner