В 2009г. Союз ИТ-директоров провел две экспертизы тендерной документации Департамента здравоохранения Тюменской области.

Материалы первой экспертизы вызвали весной этого года бурное обсуждение на сайте CNEWS ( http://www.cnews.ru/news/top/index.shtml?2009/03/31/342553).

Руководство СоДИТ не видит необходимости в комментарии заключений, подготовленных экспертами Союза, и во избежание недоразумений при пересказе ниже публикует эти материалы. Кроме этого главный редактор «Intelligent Enterprise» Константин Зимин обещал написать аналитическую статью об этих экспертизах.

«В прокуратуру Тюменской области»

В ответ на запрос №86-16-2009 Прокуратуры РФ Прокуратуры Тюменской области от 30.01.2009г. экспертным советом Союза ИТ-директоров были проанализированы следующие документы, выложенные на сайте органов государственной власти тюменской области в разделе «Главная / Закупки / Государственные закупки Тюменской области / Заказы для государственных нужд» (http://www.old.admtyumen.ru/zakupkiall/goszakupki/tenders/?tid=7494):
1. КОНКУРСНАЯ ДОКУМЕНТАЦИЯ открытого конкурса на право выполнения работ по созданию автоматизированной системы персонифицированного учета в отрасли здравоохранения Тюменской области на платформе SAP ERP 2005 с использованием модулей IS-H, HR и BW.
2. Извещение о проведении открытого конкурса № КО-455-р.
3. Разъяснения конкурсной документации
4. ПРОТОКОЛ №1/ КО-455-р.
5. ПРОТОКОЛ №2/ КО-455-р.

Кроме того, экспертам был предоставлен Прокуратурой Тюменской области документ «Приложение №2. Спецификация исполнения работ, услуг в рамках государственного контракта». Все выводы экспертной комиссии применимы только в отсутствии иных более ранних документов, касающихся данного проекта, которые могли бы прояснить условия выбора продукта и определения заявленной стоимости проекта и подрядчика, оказавшегося единственным.
Эксперты не рассматривали юридическую сторону проведения тендера, не имели информации о поставщике услуг (иной, кроме названия компании) и результатах внедрения данного проекта. Вместе с тем, представленные документы дают возможность оценить уровень подготовки и проведения тендера с точки зрения ИТ. На основе проведенного анализа эксперты пришли к заключению о низком профессиональном уровне ИТ специалистов со стороны заказчика, которые организовывали данный тендер.
Во-первых, вызывает недоумение отсутствие выбора продукта на базе которого планировалось «создание автоматизированной системы персонифицированного учета в отрасли здравоохранения Тюменской области». Продукты компании SAP действительно признаны мировым сообществом в определенных отраслях бизнеса. Но даже в тех областях, где программное обеспечение SAP используется большинством компаний, всегда при новых внедрениях рассматривается возможность альтернативных решений. Единственный случай, когда выбор продукта не обсуждается – если продукт является стандартом отрасли или предприятия. Насколько нам известно, продукты SAP не являются даже рекомендованным стандартом в области здравоохранения в России.
В настоящее время в отрасли используются решения и на базе иных продуктов, стоимость которых существенно ниже. Например, работающий в большом количестве лечебных учреждений страны программный продукт Медиалог компании Пост Модерн Технолоджи. Все функциональные возможности программного продукта описаны на сайте компании http://www.pmtech.ru/?tree_id=37 и почти полностью соответствуют требованиям, предъявленным в ТЗ. Кроме того данный программный продукт является российской разработкой и не требуется больших материальных и временных ресурсов для его внедрения.
Еще пример: медицинская информационная «Амулет», разработанная специалистами ООО «Аксимед» (г. Москва). «Амулет» позволяет автоматизировать как отдельное ЛПУ, так и создать автоматизированную структуру в области информатизации органов управления здравоохранением области в целом. Более подробная информация на сайте компании http://www.aksimed.ru.
Программные продукты компании СП.АРМ qMS современная платформа для создания единого информационного пространства системы здравоохранения всех уровней, в них тесно связано управление ресурсами медицинского учреждения с лечебным процессом. Региональная версия обеспечивает организацию информационного взаимодействия и объединение информационных ресурсов распределенной сети учреждений региона, органов управления здравоохранения региона, ТФОМС, страховых медицинских организаций, создавая единое информационное пространство здравоохранения региона. Подробности на сайте компании http://sparm.com/products.
Программные продукты компании КИР «Корпоративные информационные рутины» позволяют также быстро и эффективно организовать информационную систему здравоохранения региона. Многие решения предлагаются в готовом виде или с перспективой доработки под требования заказчика. Подробности на сайте http://www.kirkazan.ru/.
Безусловно, цена не может быть единственным и решающим аргументом, но без подробного сравнительного анализа функциональности различных программных продуктов в отсутствии стандарта отрасли нельзя предрешать выбор продукта условиями тендера.
Во-вторых, сам тендер был позиционирован как закупка товара, что недопустимо в случае внедрения информационных систем, где немалую часть стоимости составляют работы подрядчика. В тендерную комиссию на оказание услуг помимо обязательных для тендеров сотрудников необходимо было включить представителей подразделений, в которых планировалось внедрение системы, и ИТ-специалистов заказчика, которые должны были принять систему в эксплуатацию. Именно благодаря такому непродуманному подходу заявленная в тендере цена не снизилась, а могла бы существенно уменьшиться в результате обсуждения предложений поставщика услуг.
В-третьих, структура проекта (согласно предоставленной спецификации) показывает, что стоимость лицензий на сам продукт (SAP) равна 20 649 572 руб., и составляет менее 10% стоимости всего контракта (220 000 000 руб.). Как правило, для успешных проектов работы по внедрению тиражных систем (по большей части удовлетворяющих функциональным требованиям заказчика), включая проектирование, разработку и обучение, не превышают стоимость лицензий более чем в 3-4 раза. Такая структура проекта свидетельствует о том, что либо выбор продукта для решения поставленных задач был не удачным, и это заранее было ясно – закладывалась необходимость в существенной переработке, либо стоимость работ существенно завышена.
В-четвертых. Вызывает сомнения срок выполнения работ: в ТЗ указано 30 календарных дней. При стоимости услуг почти в 180 млн. руб. получаем, что даже при работе в выходные дни подрядчик должен был закрывать работ ежедневно на 6 млн. рублей. При оплате 1 человеко-дня в 30 тыс. руб. (на уровне высококвалифицированных специалистов в области SAP), выполнение данного количества работ означает ежедневное участие в них не менее двухсот специалистов. Планирование такого рода масштабных внедрений достойно книги «рекордов Гиннеса», но очень сомнительно, что вообще возможно. Впрочем, проверка реального количества привлеченных специалистов даст ответ на вопрос, как подрядчик смог организовать такие массовые работы, да и вообще – сколько они реально стоили.

На взгляд экспертов выявленные недостатки во многом стали следствием того, что к тендеру так и не удалось привлечь более чем одного подрядчика, создать конкурентную атмосферу. Для такого масштаба проектов столь халатное отношение к тендерам недопустимо.

«В ответ на запрос правоохранительных органов Тюменской области в июле 2009г.» 

В ответ на Ваш запрос с просьбой дать оценку полноты и однозначности требований, указанных в техническом задании (ТЗ) областного Департамента здравоохранения для проведения открытого конкурса на оказание услуг по созданию, развитию и сопровождению Интегрированной Региональной Информационной Системы здравоохранения Тюменской области (ИРИС) сообщаем мнение наших экспертов:
1. В представленном тексте ТЗ нет четкого определения предметной области. В частности, из документа нельзя сделать однозначный вывод, ИРИС как система существует или нет. В заголовке и во многих местах по тексту говорится о создании, развитии и сопровождении ИРИС, т.е. ИРИС должна быть создана. Однако в п.2 (о назначении и цели) говорится только о развитии и обеспечении функционирования - т.е. ИРИС уже существует. В подпункте же 2.1 вообще говорится о создании и развитии технической инфраструктуры ИРИС - это уже третий вариант (система есть, а инфра-структуры еще нет). Нечеткое определение предметной области не позволяет авторам документа грамотно и полно сформулировать требования к работам.
2. Не определена постановка задачи для реализации некоторых целей данного ТЗ. Несмотря на то, что в разделе 2 в качестве одной из целей обозначается «создание и развитие ИРИС», далее в разделах (3 и 4) дается характеристика и определение лишь структуры объекта сопровождения. Для объекта развития имеется ссылка на частные технические задания, но они не представлены. Таким образом, участнику тендера будет трудно реализовать цель создания и развития, если конечно, он не обладает дополнительной информацией. По мнению экспертов, целесообразно разделить ТЗ на отдельные функциональные части: создание системы (если вообще это нужно), ее развитие и сопровождение. Для создания, развития и сопровождения системы требования всегда разные, их сложно объединить в одном документе приводит к тому, что ТЗ становится плохо структурированным и неудобным для анализа. Более того, лучше выделять в рамках частных ТЗ блоки самостоятельных вопросов - например, создание резервного ЦОД в рамках развития.
3. При формулировке требований к новым решениям нельзя писать однозначно, какое решение должно быть (например, в разделе 7 в части рекомендуемых характеристик ЦОД приведены параметры конкретных производителей оборудования) – надо определять требования по совместимости с уже имеющимися решениями или удовлетворению требований принятых ранее отраслевых стандартов и рекомендаций регулирующих органов. При формулировке требований на сопровождение – наоборот, уже известно решение, производитель и его характеристики, надо его поддерживать. Это еще раз подтверждает необходимость разделения ТЗ на создание (развитие) и на обслуживание.
4. Как и в ТЗ, в План-графике мероприятий развитие и поддержка также не разделены. В результате рядом с задачами, имеющими конечные сроки, стоят регулярные задачи - т.е. вообще без срока. Такого быть не должно, любой план должен рано или поздно закончиться. Все регулярные (бессрочные) задачи должны быть вынесены в отдельный документ на сопровождение, который будет соответствовать так называемому соглашению об уровне сервиса, в котором необходимо прописать частоту проведения профилактических работ, процент простоя системы и т.п. Сроками окончания в случае регулярных задач будут сроки окончания договора поддержки (который, конечно же, можно продлевать).
5. У экспертов вызвали недоумения некоторые сроки, закладываемые в ТЗ. Так в разделе 2 таблицы мероприятий 7.1 указано, что в течение 2-х недель со дня заключения контракта предполагается «развертывание ландшафта системной платформы ИРИС». При этом в разделе 5.1 (рис.2) показана схема системного ландшафта, включающего в себя несколько промышленных серверов с установленным ПО и оборудованием для резервного копирования. Только поставка такого оборудования, как правило, занимает гораздо больше времени, чем исполнение всей задачи. Возникает подозрение (которое нетрудно проверить), что у одного из участников конкурса это оборудование уже закуплено.
6. Поскольку система ИРИС предназначена для работы с персональными данными, она должна удовлетворять соответствующим требованиям законодательства. СоДИТ запросил комитет по информационной безопасности (ИБ) Союза подготовить соответствующую экспертизу, которая прилагается к данному заключению (см. Приложение). По мнению специалистов в области ИБ представленный на экспертизу документ не соответствует требованиям законодательства и техническим нормам защиты информации, и не позволяет получить достаточную информацию для прохождения сертификации.

Вообще говоря, впечатление от документа такое, что исполнитель всех указанных работ уже известен, а ТЗ – скорее всего, представляет собой планы работ исполнителя, нежели требования заказчика. Возможно также, что заказчик составляет такие требования намеренно, чтобы никто другой, кроме уже выбранного им подрядчика, исполнить их не мог. В результате ТЗ становится слабоструктурированным, и в будущем пострадает качество управления услугами со стороны заказчика. Независимо от того, чем руководствовались авторы ТЗ, анализируемый документ не может считаться полным и однозначным в части требований на предложенные работы, и требует серьезной доработки.

Эксперты считают необходимым обратить внимание, что возможная в данном случае ситуация с предпочтением одного из поставщиков услуг является общесистемной проблемой, которая требует решения, в том числе и с привлечением законодателей. Для заказчиков инновационных и эксклюзивных ИТ-услуг должна быть возможность помимо требований к услугам выставлять и требования к исполнителям (а не «прятать» их в текстах ТЗ различными ухищрениями). Но одновременно с целью снижения коррупционности необходим и более жесткий контроль за подрядчиком, расходованием им контрактных средств. Эксперты считают, что Федеральная Служба Безопасности могла бы выступить в качестве инициатора доработки законодательства в этой части, поскольку «развитие национальной инновационной системы в целях реализации высокоэффективных проектов и приоритетных программ развития высокотехнологичных секторов экономики» является одним из направлений стратегии информационной безопасности России. Союз ИТ-директоров, как часть гражданского общества, готов помогать и участвовать в этом процессе.
Мы бы хотели также, чтобы наши рекомендации по улучшению представленного на экспертизу ТЗ (особенно в части разделения его на развитие и обслуживание) были услышаны Департаментом здравоохранения Тюменской области и восприняты как добрый совет, а не упрек. Было бы вполне логичным, чтобы экспертизу своей деятельности в области автоматизации Департамент здравоохранения заказывал бы самостоятельно, привлекая руководителей ИТ служб из других отраслей в регионе и своих коллег, имеющих опыт автоматизации здравоохранения из регионов и федеральных структур. Обмен опытом и прозрачность в принятии решений – залог успешной реализации сложных проектов.


Приложение

Заключение
в части обеспечения информационной безопасности на Техническое задание на оказание услуг по созданию, развитию и сопровождению Интегрированной Региональной Информационной Системы здравоохранения Тюменской области (ИРИС)

I. Анализ
При формировании данного заключения рассматривалось только ТЗ, прилагаемое к указанному конкурсу: http://www.admtyumen.ru/ogv_ru/finance/economics/tenders/tender.htm?id=112069@egOrder.

Делая выводы из постановки назначения и цели создаваемой системы п. 1., можно утверждать, что система предназначена для обработки персональных данных субъектов персональных данных первой категории при этом объем данных предполагаемых для обработки более 100 000 в пределах субъекта Российской Федерации. Таким образом, перед нами Специальная информационная система по структуре представляющая комплексы автоматизированных рабочих мест и локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
Согласно существующим требованиям необходимо обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
В данной информационной системе должны быть реализованы необходимые меры защиты в следующих подсистемах:  
•подсистема управления доступом;
•подсистема регистрации и учета;
•подсистема обеспечения целостности;
•подсистема криптографической защиты информации.
Согласно приведенному описанию отдельные фрагменты данных подсистем присутствуют, но для более точного заключения необходима дополнительная информация о системе.
В соответствии с законодательством в ИСПДн должны использоваться только сертифицированные, по требованиям безопасности информации, технические средства и системы защиты. При этом в ТЗ говорится о факте использования, на безальтернативной основе, конкретного сертифицированного средства межсетевого экранирования (п.п. 4.1.1., 4.1.2., 4.1.4.). По тексту указано средство StoneGate FW300, в спецификации StoneGate FW400SG, на рисунке 1 StoneGate 4000. В связи с этим следует учитывать, что сертификат на межсетевой экран StoneGate Firewall версии 3.0.7 выдан по 3 классу для МЭ при ограничениях ТУ (может использоваться для защиты информации в ИСПДн до 2 класса включительно), что не соответствует 1-му классу ПДн.
Кроме того, исходя из описания программного обеспечения StoneGate Firewall 4.2 следует, что оно предназначено для криптографической защиты информации с использованием иностранных алгоритмов шифрования. Однако, для защиты каналов связи в ИСПДн 1 класса и государственных органах могут использоваться только сертифицированные ФСБ РФ криптографические средства. У данного продукта в настоящее время такого нет.
Типовой программно – аппаратный комплекс «Рабочее место врача» п. 4.1.5. с использованием аутентификации пользователей по требованиям данной категории ПДн должен содержать сертифицированные средства обеспечивающее полную авторизацию пользователя. В спецификации на поставку таковых не обнаружено, из чего следует, что они входят в состав ТПАК или процесс аутентификации производится по паролю и логину, что не соответствует установленным требованиям.
В Требованиях по защите информации п. 5.4. не нашел отражения вопрос о соблюдении нормативно-правовых актов ФСБ России, что необходимо в рамках соблюдения требований федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных». В Требованиях к Исполнителю п. 5.4.1. необходимо более четко сформулировать требования в части наличия необходимого перечня лицензий для осуществления деятельности по технической защите конфиденциальной информации, в том числе с использованием криптографических средств.

II. Заключение
На основании вышеизложенного можно заключить, что:
1. ИСПДн относится к 1 классу.
2. Имеются несоответствия требованиям законодательства и техническим нормам защиты информации, без которых невозможно пройти процедуру обязательной аттестации.
3. Прохождение сертификации по имеющейся в ТЗ информации невозможно.