НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Требования к СЭД ФОИВ: отношения отрасли и регулятора

Андрей Колесов
23.01.2012 13:14:32

На свой предыдущий пост по теме "Требования к СЭД ФОИВ Минкомсвязи" получил комментарий, который, как мне видится, очень точно отражает суть вопроса и потому приведу его тут полностью:

Цитата
Максим Живолун (tutor75@mail.ru)
23.01.2012 06:17:15
Да, я тоже был удивлен настолько вялой реакции представителей отрасли за исключением отдельных персон. А по существу вопроса, у меня складывается впечатление, что все понимают - что представляет из себя сей документ, но пытаются найти оправдания его бессистемности и непродуманности, и стараются всячески истолковать, переводя "с дурацкого на русский". Т.е. тщательно избегают таких определений, как некомпетентность и даже бред.
Знаете, что говорить среднестатистический представитель госоргана, вертя в руках этот "перечень"? Дайте мне бумажку, подтверждающую соответствие вашей СЭД (конкретному дистрибутиву ПО) данным требованиям. Вы понимаете? Ему не важен функционал, ему не важны реальные стороны обеспечения соответствия требованиям информационной системы, состоящей из программно-аппаратных элементов ИС + остальное ПО + регламенты + персонал (что, кстати, требует еще и немалых затрат денежных средств). Ему нужна бумажка, которую он покажет проверяющим, если что.
В целом, язык даже не поворачивает процитировать В.С. Черномырдина, что делают в подобных случаях - "Хотели, как лучше..." Даже не хотели, по-моему.


Как мне видится, вопрос, заключается не в том, хороши или плохи министерские требования и не в том, что именно означает тот или иной пункт в документе.
Проблема заключается в том, как сегодня строятся отношения участников СЭД-рынка с регулятором этого рынка. При этом под "участниками" я понимаю, конечно же, не только ИТ-поставщиков, но и – причем в первую очередь – потребителей. Другое дело, что в силу организации рынка поставщики всегда имеют возможность выражать своей мнение более консолидировано и более громко.

Пока же у нас отношения отрасли с регулятором (намеренно не хочу использовать слово "государство", поскольку государство – это совсем не только органы ИСПОЛНИТЕЛЬНОЙ – обратите внимание, "исполнительной", власти) строятся по схеме отношения человека с погодой: настало лето, светит солнце – надели шорты и футборки, идет дождь – открыли зонтики…

В качестве подтверждения этой позиции приведу еще один комментарий из того же поста:

Цитата

Сергей Бушмелев
23.01.2012 11:50:40
Точно такое же происходит и с защитой персоналных данных, и с защитой конфиденциальной информации. От вендора нужна бумажка для прикрытия... своих позиций в случае предполагаемой проверки.
Так ли будет с проверкой СЭД ФОИВ "на соответствие", мы сможем узнать точно после обнародования процедуры проверки этого самого соответствия.

Узнаем, когда нам скажут. При чем, скажут то, что уже будет нормативными требованием, которое обсуждать будет бесполезно.

Что ж, если всю отрасль (потребителей и поставщиков) такое порядок вещей устраивает – "флаг вам в руки".
Тогда просто констатируем "нас это устраивает" и перестаем обсуждать вещи, которые устраивают всех.

Комментариев: 19

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

23.01.2012 14:26:13

Я не понял, Андрей, а вы предлагаете какую модель? "Всяк воротит как хочет"?

И вообще, в отношении требований к СЭД в госорганах - в чем проблема, я не понимаю. Госорганы заказывают себе СЭД - они вольны выдвигать любые требования.
При чем тут мнение отрасли?

Да, госорганы могли заказть разработку такого документа на сторону - тем, кого они считают большими специалистами. А могли и не заказывать - это их право.

Мы как "эксперты" можем по существу разобрать этот документ, указать на ошибки или сложности в нем - но и только. Если мы хотим работать с данным заказчиком - нам придется подстроиться под эти требования (или убедить заказчика их сменить).

23.01.2012 19:46:04

Цитата
Я не понял, Андрей, а вы предлагаете какую модель? "Всяк воротит как хочет"?

Значит, я очень невнятно излагаю свои мысли smile:(

Я принципиально не согласен с позицией, когда регулятора позиционируют как некоторую Высшую Силу, правящую подданными и рынком. Смысл регулятора - выражать общественные интересы, При этом общственные - это и потребилей и поставщиков. В случае необходимости - формулировать компромисные решения, поскольку интересны потребителей и поставщиков достаточно часто противоречивы.

А раз регулятор выражает общественные интересы, то и его решения должны базироваться на мнениях экспертного сообщества. Процедуры выработки и принятия требований должны быть гласными, открытыми.
Принятые нормативные акты дожны иметь механизмы обратной связи. Должны иметь, если не авторов, то вполне понятных исполнителей. Ответственных за исполнение требований.

Вот, например, у меня есть вопросы по Требованиям. Но я не знаю - кому их можно и нужно задавать...

Ну и так далее...

24.01.2012 08:51:45

Цитата
Значит, я очень невнятно излагаю свои мысли

Не факт, возможно просто я невнимателен.

В целом я согласен с идеей, что было бы здорово, если бы общество могло участвовать (в каком-то виде) в выработке правил для этого самого общества.

Но... есть несколько "но".
Во-первых, давайте все же разделим требования регуляторов и требования к СЭД.
Первые - это обычные законадательные акты. Пожалуй единственное отличие отличие Закона о персональных данных от прочих, в том что он регулирует не просто отношения между субъектами, а предписывает как субъекту организовывать работу внутри себя!
В остальном - обычный закон. Со стандартной процедурой обсуждения и принятия.
А это значит, что если уж говорить об участии общества (в лице экспертов, депутатов или как-то иначе) в законотворчестве, то подход должен быть един. Т.е. если и менять процедуру то для всех законов.
Что касается требований к СЭД то моят точка зрения здесь проста - требования СЭД для госорганов ни чем принципиально не отличаются от требований к СЭД, выдвигаемых комерческой компанией.
Можете рассматривать государство как холдинг, который выработал общие требвания, для всех входящих в него компаний. Да, в деталях они могут различаться, но в целом - обязательны для исполнения всеми компаниями, входящими в холдинг (в нашем случае - всеми гос. органами).
Поэтому не не понятны претензии некоторых представителей сообщества к этим требованиям - их ведь не заставляют в обязательном порядке следовать этим требованиям. Только если они захотят работать с холдингом государством.
Почему-то мы оставляем право за комерческой компанией на определение собственных потребностей. А вот за государственным аппаратом - нет. Странно это,Андрей, не находите?

Теперь что касается экспертного (или иного общественного участия в чем-либо) - я пока не очень представляю каких именно нужно привлекать экспертов, чтобы получить решение гарантированно лучше существующего.
Вот взять тот же закон о ПД. Я вижу две крайние группы - компании, которые подпадают под действие закона. Их основная цель - чтобы такого закона не было вообще. Он же им жизнь усложняет!!!
А вторая группа - эксперты-безопасники, которые будут консультировать первых. Для них чем жестче требования (и запутаннее закон) - тем больше работы.
Я несколько утрировал, но, думаю,идея понятна - в данном случае нам не получится найти гарантированно независимых экспертов. А если набирать по принципу "представители каждого лагеря" к консенсусу можно не прийти никогда.
Кстати, еще большой вопрос - что к разработке того же ЗПД эксперты не привлекались. Мы просто не знаем персоналий, только и всего.

Павел Исопенко
24.01.2012 12:35:02

Цитата
Почему-то мы оставляем право за комерческой компанией на определение собственных потребностей. А вот за государственным аппаратом - нет. Странно это


Нет, не странно. И объяснение этому очень простое. Государство отличается от коммерческого предприятия тем, что с коммерческим предприятием, выдвигающим необоснованные, нелогичные, неприемлемые требования гражданин (или корпорация) вправе не общаться. Не взаимодействовать вовсе. На то и принципы конкуренции, чтобы можно было выбирать контрагента, выдвигающего более приемлемые условия общения.
Тогда как с государственными институтами мы общаться обязаны. По закону. И вариант сменить государство - плохой вариант, негодный, мы такое уже проходили. Остаётся договариваться о требованиях, взаимоприемлемых для государственных органов с одной стороны и граждан государства (индивидуальных или объединённых в корпорации) - с другой.
Таким образом, прав именно Андрей: регулятор, экспертное сообщество, прозрачные процедуры принятия решений. И только так.

24.01.2012 14:04:39

Ну расскажите, теперь, как внутренние механизмы работы госорганов повлияют на ваше общение с ними.

Павел Исопенко
25.01.2012 13:26:38

Пожалуйста, пара примеров.
Государственный орган (ГНИ) требует, заметьте, именно требует неких сведений. Иначе - санкции. А при попытке предоставить выясняется, что сделать это можно исключительно при помощи некоторой специальной программы http://gnivc.ru/software/free_software/software_ul_fl/compensation_vat/, предназначенной для давно устаревшей операционной системы, да и процесс установки требует нарушения безопасности. А другой, не менее государственный, орган (ПФ РФ) требует подавать сведения исключительно на 3,5" дискетах. И то и другое - решения сугубо внутренние, принятые исключительно потому что им так удобнее, потому что у них внутри используется устаревшая техника и древняя ОС.
Причём Бог бы с ними, и с программами и с дискетами. Но - безапелляционность и безальтернативность, - вот что напрягает сильнее всего.

25.01.2012 14:14:48

Цитата
И то и другое - решения сугубо внутренние, принятые исключительно потому что им так удобнее, потому что у них внутри используется устаревшая техника и древняя ОС.

Откуда вы это знаете? Я вот общался с представителями ПФР, в том числе с разработчиками. Более новые носители и ПО не внедряют ровно потому, что иначе поднимется вой, что ПФР заставляет покупать новую технику только чтобы сдать отчетность.

Цитата
Но - безапелляционность и безальтернативность, - вот что напрягает сильнее всего.

А что они должны подстраиваться под каждого форумного вояку? Так никаких ресурсов не хватит.

Павел Исопенко
25.01.2012 16:13:14

Цитата
Откуда вы это знаете? Я вот общался с представителями ПФР, в том числе с разработчиками.

Приходилось общаться с результатами их деятельности. Так что делаю выводы на основании собственного опыта, и можете воспринимать их как частное оценочное суждение, или не воспринимать вовсе. Ваше право.
Цитата
Более новые носители и ПО не внедряют ровно потому, что иначе поднимется вой, что ПФР заставляет покупать новую технику только чтобы сдать отчетность.

Похоже на оправдание того, чтобы, по возможности, ничего не предпринимать.
Цитата
А что они должны подстраиваться под каждого форумного вояку? Так никаких ресурсов не хватит.

Ещё одно оправдание. "Вас много, а я одна", - было такое, помните? Поэтому ставить будем всем главным и не очень бухгалтерам эти поделия без вариантов, примерно как клизму?
Извините, неубедительно.

25.01.2012 16:26:29

Цитата
Похоже на оправдание того, чтобы, по возможности, ничего не предпринимать.

Ваше права быть недовольным и стенать об этом на форумах.
А меж тем, люди прекрасно отправляют отчетность в пенсионный фонд не пользуясь вообще никакими носителями.

Евгений
28.01.2012 00:32:19

Цитата
Откуда вы это знаете? Я вот общался с представителями ПФР, в том числе с разработчиками. Более новые носители и ПО не внедряют ровно потому, что иначе поднимется вой, что ПФР заставляет покупать новую технику только чтобы сдать отчетность.

А что сделать несколько версий не судьба? Например для Win98, WinXP и Linux!
А в качестве носителей использовать еще и флэшки.

Вот такой выбор новая техника или старая мне всегда напоминает вопрос: "А тебе отрезать левую ногу или правую?", и никто не думает что можно не резать.

Евгений
27.01.2012 01:01:53

Цитата
Теперь что касается экспертного (или иного общественного участия в чем-либо) - я пока не очень представляю каких именно нужно привлекать экспертов, чтобы получить решение гарантированно лучше существующего.
Вот взять тот же закон о ПД. Я вижу две крайние группы - компании, которые подпадают под действие закона. Их основная цель - чтобы такого закона не было вообще. Он же им жизнь усложняет!!!
А вторая группа - эксперты-безопасники, которые будут консультировать первых. Для них чем жестче требования (и запутаннее закон) - тем больше работы.
Я несколько утрировал, но, думаю,идея понятна - в данном случае нам не получится найти гарантированно независимых экспертов. А если набирать по принципу "представители каждого лагеря" к консенсусу можно не прийти никогда.
Кстати, еще большой вопрос - что к разработке того же ЗПД эксперты не привлекались. Мы просто не знаем персоналий, только и всего.


Простите, но хотел бы комментарий особенно по ПД.
Пример(реальный, но без названий): Есть районная больница, с несколькими районными админами, глав. врачем и другими сотрудниками. Областное министерство проводит автоматизацию и т.д. Данный объект должен сертифицироваться по К1. По этому вопросу отмаза у больницы следующая: "Нет статьи расходов". Министру на закон по фиг, потому что у него нет К1, за это отвечает глав. врач. А глав. врачу по фиг, потому что ему не дал денег и указаний министр. То есть закон то есть, а средств. У всех отмаза есть, а закон не выполняется. Автоматизация этой больницы составляет 1 сервер с расшаренной папкой, можно было использовать обычную машинку, но нужно было "освоить" 500000 р. и потому там сервер. Было несколько персональных АДСЛ модемов, пока аусорсер им не поставил им роутер и не воткнул его в общий свитч, после чего все получили интернет, вирусы, "одноклассники" и другие прелести. Админов там 2-3, кто-то приходит, кто-то уходит и это не важно. Потому как все что сложнее установить офис и вытащить бумажку из принтера делают аусорсеры(ком. фирмы) из областного центра. Объяснением сего является: "Это высокие технологии, а мы не умеем, не знаем и т.д.". Причем админы работают за зарплату в 6000р, но имеют возможность "осваивать" бюджет в 200000-800000р в квартал. Причем сейчас больницу активно готовят к выходу на "автономку". После чего вообще непонятно кто за что несет ответственность.
Вот вам конкретная организация подпадающая под ПД.
- Знают ли они про ПД. Да, но только что есть.
- Будут ли его исполнять? Нет, это невозможно...
- Будет ли работать закон? Нет, потому что это очередной законодательный бред. Такой же как про лицензионное ПО, свободу слова и т.д.
Когда он вступил в силу, решил позвонить в ФСБ и т.д. чтоб выяснить, а что делать по этому закону, потому как под К3 подпадают все организации, у кого есть бухгалтерия. Данные органы ничего вменяемого сказать не могли, потому что сами не знали на тот момент что с этим делать. Данный факт подтверждает все вышеизложенное.
По факту весь этот закон:
- Повод снять руководителя и т.д.
- Повод распила: потому что деньги тратить можно, а критериев контроля и контроля нет.

Подобные вещи возникают, потому что каждое министерство занимается всем, и профильным и не профильным, каждое что хочет и само по себе.
Смотрел новости сегодня про таможню: Детский сад "Солнышко".
Андреем Бельяниновым: "У нас применяется ЭЦП, а у смежников нет."
Дмитрий Медведев: "... они не способны выработать вместе с вами единый протокол..."
А далее типа ну договоритесь там как-нибудь.
Вопрос: А что озадачить Щеголева сделать ЭЦП на всю страну не судьба? Вместо того, чтобы сделать работу один раз и тиражировать результаты на все министерства, они изобретают велосипед каждый раз. О каком СЭД в государстве может идти речь, если нет внедренного ЭЦП?
А недавние инициативы: "Присылайте предложения где какие бумажки вы считаете лишними" - то есть чиновники сами не знают, что для чего и почему они делают. А далее я тут видел отличную фразу: "...Автоматизация бардака приводит к еще большему бардаку...".
Как ни странно, но выше обсуждали инструмент(СЭД), а что государство будет им делать? Это все равно, обсуждать обсуждать тюнинг молотка, и как им лучше забивать гвозди, не выясняя у заказчика:
- умеют ли забивать гвозди...
- нужно ли забивать гвозди...
- будут ли забивать гвозди...

27.01.2012 08:50:30

По поводу ПД: думаете вы открыли мне глаза на то, что требования закона сложны в реализации и дороги? Нет, не открыли.
Только вы в запале не учли один замечательный факт - среднестатиситческая федеральная или муниципальная бальница не ведет данные пациентов в электронном виде, а значит закон о ПД на нее не распространяется.

Цитата
О каком СЭД в государстве может идти речь, если нет внедренного ЭЦП

О, еще одна жертва пропаганды!
СЭД и ЭЦП - вещи ортогональные.

Цитата
Как ни странно, но выше обсуждали инструмент(СЭД), а что государство будет им делать?

Хорошая, разумная мысль. Надеюсь остальные участники дискуссии ее тоже осознают и прежде чем обсуждать закон о СЭД для ФОИВ задумаются, представляют ли они исходные задачи процессы, которыми будут управлять системы на основе этого закона.

Usvad
11.02.2012 04:46:30

Простите, что вмешиваюсь - а текущая система документооборота (у муниципалов и федералов естественно) через общественные (mail, yandex, google и т.д.) почтовые ящики подпадает под "требования к СЭД"?

11.02.2012 12:21:46

Это где такое?
Я знаю немного о внутренней кухне пары администраций муниципальных образований и пары ведомств - везде используются или какие-то специлизированные СЭД-продукты или хотябы внутренние почтовые сервера.

Так что давайте с подробностями: кто, где,что и для чего и спользует.

usvad
13.02.2012 07:48:15

Ну что-то вроде простой пересылки вордовских файлов через общественные почтовые сервера между неким ведомством со своими подразделениями (в разных городах): приказы, распоряжения и т.д.

13.02.2012 09:19:45

Ну, если я правильно вас понял, то вы описываете процесс передачи документов между ведомствами (или подразделениями одного ведомства).

По задумке проектироващиков, эту функцию должна будет выполнять система Межведомственного Электронного Документооборота (если очень утрированно, это это защаенная электронная почта "с наваротами").
Т.е. текущая ситуация как бы не соответсвует, но она регламентирована и будет исправлена.

С другой стороны, в требованиях отдельно оговаривается, что СЭД ФОИВ должна уметь работать и с документами пришедшими по обычной электронной почте.
Так что и здесь все нормально.

P.S. Вы прочтите документ, он совсем не большой (http://minsvyaz.ru/ru/doc/?id_4=637#doc_save) - многие вопросы отпадут сами собой, там вполне простой и доступный язык изложения, почти без канцеляризмов.

Usvad
13.02.2012 15:33:50

Спасибо

usvad
13.02.2012 07:53:10

А если точнее, то ведомство республиканского (не федерального) значения.
Бывают так же и документы связанные с финансами

24.01.2012 09:43:51

Цитата
Я принципиально не согласен с позицией, когда регулятора позиционируют как некоторую Высшую Силу, правящую подданными и рынком. Смысл регулятора - выражать общественные интересы, При этом общственные - это и потребилей и поставщиков. В случае необходимости - формулировать компромисные решения, поскольку интересны потребителей и поставщиков достаточно часто противоречивы.

А раз регулятор выражает общественные интересы, то и его решения должны базироваться на мнениях экспертного сообщества. Процедуры выработки и принятия требований должны быть гласными, открытыми.
Принятые нормативные акты дожны иметь механизмы обратной связи. Должны иметь, если не авторов, то вполне понятных исполнителей. Ответственных за исполнение требований.

Андрей, это как раз тот случай, когда Ваши бы слова да Богу в уши. Да, так оно и должно быть. Причем это высказывание можно отнести и к защите персональных данных, и конф. информации, и регулированию рынка ценных бумаг, и вообще процессу законотворчества в стране с развитым гражданским обществом. Обсуждение подобных тем - это общественно-политическая публицистика. Возможно, Вам это интересно, мне - нет.
Я взял ситуацию "как есть" и в своей статье попытался проанализировать, что какое будет восприятие требований и как можно им соответствовать. Думаю, это ближе к работе эксперта.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии