Лист від 06 лютого 2012

Заступнику голови Державного агентства з
питань науки, інновацій та інформатизації

Івченко Віктору Анатолійовичу

Шановний пане Івченко,

Київське відділення ISACA звертається з пропозиціями щодо налагодження співпраці з метою покращення ситуації в Україні в частині впровадження інформаційних технологій з врахуванням кращих світових практик в області управління, аудиту і безпеки інформаційних технологій (далі – ІТ).

ISACA (http://www.isaca.org) є всесвітньовідомою організацією з розробки методологій та стандартів в галузі управління, аудиту і безпеки інформаційних технологій (ІТ). Асоціація об'єднує більш ніж 90 000 членів в 170-ти країнах, є співавтором поширеного у всьому світі стандарту ІТ-управління CobiT, а також учасником багатьох інших методологічних проектів в області ІТ. Більш ніж 10 000 фахівців у світі здобули сертифікації CISA та CISM, що їх впровадила саме ISACA. Місією асоціації є створювати цінність та довіру до інформаційних систем.

В Україні у 2009 році було організоване Київське відділення ISACA, яке наразі об’єднує більше 70 професіоналів в сфері ІТ, які представляють приватні, державні, місцеві та іноземні організації. Управління асоціацією провадиться не заангажовано по відношенню до будь-яких комерційних інтересів.

Місією Київського відділення ISACA є просування та запровадження зрілих процесів ІТ-управління в Україні заради забезпечення довіри користувачів та організацій до надійності інформаційних систем та їхньої цінності. Напрацювання та експертиза мережі більш ніж 170 відділень ISACA у всьому світі дозволяє залучити досвід країн із набагато більш розвиненою культурою і досвідом ІТ-управління. Київське відділення ISACA ставить за мету забезпечити розвиток української професійної ІТ-спільноти та забезпечити можливість незаангажованого спілкування між фахівцями як ІТ- так і бізнес-середовища.

Досвід інших країн демонструє тісну взаємодію державних установ, які відповідають за розвиток інформаційних технологій в цих країнах, з місцевими відділеннями ISACA. Члени таких відділень ISACA залучаються в якості добровільних та незалежних експертів для розгляду нормативних документів, стандартів, масштабних галузевих проектів з використанням ІТ, входять до складу відповідних робочих груп, що дає змогу використовувати світовий досвід та розробки ISACA для покращення ситуації з використанням ІТ в тій чи іншій країні.

Київське відділення ISACA в 2011 році провело аналіз існуючих проблем використання інформаційних технологій в Україні. Перелік областей аналізу, докладне висвітлення проблем, які були ідентифіковані експертами Київського відділення ISACA, та можливі шляхи їх подолання викладені в аналітичної записці, що додається.

Просимо розглянути наші пропозиції та можливість залучення експертів  Київського відділення ISACA до вирішення проблем, зазначених в аналітичній записці, на добровільної безоплатної основі.

З повагою,

Янковський Олексій Юрієвич, Івченко Ірина Сергіївна, Іванишин Сергій Теодорович

*******************************

Аналітична записка

Експерти Київського відділення ISACA провели аналіз існуючих проблем використання інформаційних технологій (далі - ІТ) в Україні в розрізі наступних питань:
• Використання ІТ та методик ІТ-управління
• Галузеві особливості використання ІТ
• Взаємодія ІТ і бізнесу
• Освіта у сфері ІТ
• Ринок ІТ-аутсорсингу
• Стандартизація в ІТ
• Управління ІТ-безпекою
• Рівень бюджетів на ІТ
• ІТ-аудит
 
Використання ІТ та методик ІТ-управління
В цілому по Україні рівень впровадження ІТ дуже низький або фрагментарний, крім окремих галузей. Однією з основних причин цього є низький рівень використання ресурсів мережі Інтернет та засобів електронної комунікації. Крім того, історично склалося враження, що ІТ – це продаж або купівля програмного та апаратного забезпечення, а також офшорне програмування. При цьому питання ІТ-управління практично не розглядаються та не враховуються під час впровадження та використання ІТ, крім великих компаній, які впроваджують та підтримують великомасштабні проекти. Не використовується світовий досвід та міжнародні стандарти у галузі ІТ-управління.
Слід також зазначити, що державні великомасштабні проекти в галузі ІТ недостатньо фінансуються і часто залишаються на стадії пілотних проектів. Значною мірою це обумовлюється тим, що в рамках реалізації таких проектів не залучаються міжнародний досвід у сфері ІТ управління, а також експерти з окремих галузей, які мають досвід у створенні та впровадженні подібних великомасштабних галузевих проектів.

Галузеві особливості використання ІТ
Рівень ІТ зрілості у вітчизняних компаніях та державних установах в цьому дуже низький, значно нижче ніж у «західних» країнах. Найбільш успішними, з точки зору ІТ-зрілості, є компанії телекомунікаційного сектору, банківські установи, індустріальні холдинги. Найнижчий рівень ІТ-зрілості притаманний малому та середньому бізнесу, а також державному сектору. 

Взаємодія ІТ і бізнесу
Рівень взаємодії між ІТ і бізнесом дуже низький. Це викликано декількома факторами:  відсутність конструктивного і зрозумілого діалогу між ІТ-фахівцями  та представниками бізнесу (говорять на різних мовах), нерозуміння своєї ролі у забезпеченні функціонування бізнес-процесів с боку ІТ, нездатність бізнесу сформулювати чіткі вимоги до ІТ, зокрема, в частині забезпечення безперервності бізнесу, інформаційної безпеки тощо. Часто представники бізнесу вважають, що ІТ є тільки допоміжним засобом забезпечення функціонування бізнесу (наприклад, електронної пошти, офісних ІТ-пристроїв, комп’ютерів тощо). В свою чергу ІТ-спеціалісти часто розглядають ІТ окремо від завдань бізнесу і пропонують впроваджувати технології, в тому числі і новітні, які мають велику вартість і багату функціональність, але не приносять користі для бізнесу, особливо в частині прибутку.

Освіта у сфері ІТ
Слід зазначити, що в цілому в Україні можна відзначити достатньо високий рівень технічної підготовки випускників у сфері ІТ. В той же час, основними проблемами у сфері ІТ-освіти є відсутність знань в області ІТ-управління, управління ІТ-проектами, зокрема великомасштабними, відсутність підготовки менеджерів в області ІТ-управління, відсутність знань ринку сучасних ІТ- і бізнес-рішень. Доцільно також зазначити, що ІТ освіта в Україні носить в основному академічний, а не прикладний характер.

Ринок ІТ-аутсорсингу
В Україні на сьогоднішній день існує великий ринок ІТ-аутсорсингу в частині розробки програмного забезпечення для інших країни, особливо західних. Це пояснюється дешевою робочою силою та високою кваліфікацією вітчизняних програмістів.
З точки зору використання аутсорсингових послуг в Україні, їх рівень достатньо низький і в основному стосується підтримки комп’ютерного обладнання та оргтехніки. Більшість компаній здійснюють розробку прикладного програмного забезпечення власними силами, що призводить до зниження рівня надійності та захищеності такого програмного забезпечення.
Крім того, слід зазначити, що управління процесами аусорсингу залишається низьким – відсутня практика застосування угод щодо рівня надання послуг, сертифікації компаній, які надають аутсорсингові послуги, спеціалізованих аудитів таких компаній.

Стандартизація в ІТ
Міжнародні стандарти у сфері ІТ, ІТ-управління, управління інформаційною безпекою та ІТ-аудиту практично не гармонізовані та не використовуються в Україні. Першим кроком, який був здійснений Національним Банком України, була адаптація та введення в дію стандартів з управління інформаційною безпекою для банків України, основою яких були міжнародні стандарти ISO 27001 та ISO 27002.
Однак, відкритою залишається важлива проблема пов’язана зі створенням інфраструктури відкритих ключів в Україні. Програмне забезпечення існуючих акредитованих центрів сертифікації ключів було створене та введене в експлуатацію різними розробниками за умови відсутності значної частини відповідних стандартів. Це, в свою чергу, створило умови, за яких виникла необхідність використання великої кількості ключів електронно-цифрового підпису та встановлення спеціалізованих шлюзів між різним програмним забезпеченням для організації документообігу з використанням електронно-цифрових підписів, впроваджених різними компаніями-розробниками. Наприклад: Державна Податкова служба, бізнес-організації та приватні особи змушені придбати декілька ключів електронного цифрового підпису у різних центрів сертифікації ключів для забезпечення можливості роботи з різними організаціями, державними реєстрами тощо. Зрозуміло, що найближчим часом необхідно вирішити питання щодо стандартизації форматів електронних цифрових підписів на базі міжнародних стандартів, що є необхідним для забезпечення ефективного обміну електронними документами з міжнародними організаціями та бізнес-структурами.
               
Управління інформаційною безпекою
Питанням управління інформаційною безпекою приділяють увагу в основному банки, компанії телекомунікаційного сектору та великі індустріальні холдинги. Серед причин цього слід виділити дуже низькій зрілості в області управління інформаційною безпекою, нерозуміння ролі і завдань функції інформаційної безпеки з боку керівництва організацій (найчастіше, функції інформаційної безпеки зводяться до охорони фізичного периметру та моніторингу дій користувачів), відсутність чіткого розуміння принципів підпорядкованості функції інформаційної безпеки та стратегії її розвитку, недостатність фінансування, відсутність чіткого розподілу відповідальності між функціями ІТ, інформаційної безпеки, фізичної безпеки, ІТ-аудиту.  Служба безпеки в переважній більшості випадків не здійснює захист інформаційних активів компаній, не проводить аналіз загроз та ризиків, тому, найчастіше, заходи та ресурси, які спрямовані на захист інформаційних активів, не відповідають цінності цих активів. Крім того, слід відзначити різний рівень кваліфікації, відсутність спеціалізованої підготовки (див. розділ Освіта у сфері ІТ) та сертифікації спеціалістів з питань управління інформаційною безпекою на національному рівні.

Рівень  бюджетів на ІТ
Статистичні дані щодо бюджетів на ІТ в Україні наразі недоступні. За попередніми оцінками бюджети на ІТ залежать від прибутків компаній, але фактично залишаються в 5 – 10 разів менше ніж у компаній Західної Європи та США. Керівництво українських компаній вважає впровадження інформаційних технологій суто витратами, які не призводять до конкурентних переваг. Низька ефективність ІТ за рахунок відсутності необхідних ресурсів, фінансування по залишковому принципу, низька чисельність ІТ фахівців в компаніях не сприяють покращенню ситуації. Слід також зазначити, що величезні бюджети на великі проекти часто не призводять до переваг, які від них очікуються за короткий час, навіть за умови успішного впровадження (що теж спостерігається дуже рідко). 

ІТ-аудит
Ситуація з ІТ-аудитом ускладнюється тим, що поняття «ІТ-аудит»  трактується по різному і виконується в основному для компаній з іноземним капіталом або великих ІТ-залежних компаній. Державні організації не розуміють переваг та необхідності ІТ-аудиту. Значною мірою це визначається дуже низьким рівнем зрілості служб внутрішнього аудиту, низької кваліфікацією та відсутністю сертифікації спеціалістів в області ІТ-аудиту.

Враховуючи наведені вище результати аналізу, Київське відділення ISACA пропонує розглянути такі пропозиції щодо можливих шляхів співпраці в частині залучення всесвітнього досвіду та, по мірі необхідності, ресурсів ISACA для покращення ситуації в Україні:

1. Розглянути питання стосовно залучення експертів Київського відділення ISACA до робочих груп, які займаються підготовкою проектів законів та нормативних актів, що стосуються інформаційних технологій.
2. Розглянути питання щодо надання експертної оцінки великих ІТ проектів державного рівня з боку представників Київського відділення ISACA та експертів ISACA з інших країн (відділень), що володіють досвідом реалізації подібних проектів, з врахуванням вимог міжнародних стандартів в області ІТ-управління, управління інформаційною безпекою та ІТ-аудиту.
3. Розглянути питання стосовно адаптації кращих світових практик у сфері ІТ-управління, управління ІТ безпекою, ІТ-аудиту на рівні державних та галузевих стандартів  із залученням експертів Київського відділення ISACA.
4. Розглянути питання щодо залучення членів Київського відділення ISACA для розробки єдиного класифікатора ІТ-професій з врахуванням міжнародних практик, тенденцій розвитку інформаційних технологій та вимог ринку ІТ-професій.
5. Розглянути питання щодо створення в Україні вітчизняних центрів сертифікації спеціалістів у сфері ІТ-управління, управління ІТ безпекою, ІТ аудиту та управління ІТ-ризиками з врахуванням досвіду ISACA.
6. Розглянути питання щодо адаптації програм ISACA для навчання спеціалістів у сфері ІТ-управління, управління інформаційною безпекою, ІТ-аудиту та управління ІТ-ризиками у вищих навчальних закладах за рахунок участі викладачів ВУЗів у програмі ISACA Academic Advocate, яка надає безкоштовний доступ до документів, що їх розробляє ISACA, включаючи стандарти і кращі практики, програми навчання та підготовки спеціалістів.  

12 квітня 2012 року на зустрічі Правління Київського відділення ISACA 

Сергія Бондаренка було обрано директором з напрямку Досліджень.

З повагою,

Київське відділення ISACA