КРИВО РАЗБРАНАТА СЕРТИФИКАЦИЯ (1)
(Една
статия, която никой не пожела да публикува през 2010г.)
В края на 2010г. Министерството на транспорта
информационните технологии и съобщенията ни изненада с няколко промени в три от
наредбите към Закона за електронното управление (ЗЕУ). Всъщност изненадващи са
и мотивите за тези промени.
Основа на тези мотиви е невярното твърдение на
МТИТС, че „предпоставките за прилагането на Наредбата за общите изисквания за
оперативна съвместимост и информационна сигурност са вече налице”. От
изредените „предпоставки” само трите регистъра (на регистрите и данните, на
информационните обекти и на електронните услуги) са в някаква степен на
готовност, но в никакъв случай не са завършени до степен, наистина осигуряваща
прилагането на посочената наредба.
Твърдението, че Единната среда за обмен на
електронни документи (ЕСОЕД) е готова също не отговаря на истината. Вече повече
от година и половина в нея не са отстранени несъответствия със законовия й
регламент, поради което в началото на 2009г. бившата Държавна агенция по
информационни технологии и съобщенията отказа да я узакони, като впише т.н.
„комуникационен клиент” в Списъка със сертифицираните системи.
Същото, но в много по-висока степен важи и за портала
за достъп до електронни административни услуги. Дори журналистите на itFORUM
хванаха министър Цветков, че публично демонстрира практически неработеща услуга
на този портал, което меко казано е нечестно.
На всички е ясно, че и ЕСОЕД и порталът не работят,
но въобще не е ясно как две неработещи и от законова гледна точка несъществуващи системи могат да бъдат
предпоставка за внасяне на промени в наредба, чието прилагане въобще не е свързано с тях?!
СЪЩО ТОЛКОВА
НЕУБЕДИТЕЛНА Е И ВТОРАТА ПРИЧИНА
за внасяне на промени, която дори не е посочено как
точно произлиза от проблема с акредитацията на лица, извършващи сертификация
съгласно ЗЕУ. Без да се влиза в детайли, може да се посочи, че този проблем
касае акредитация, преакредитация, контрол и т.н. на
акредитирани лица. В момента има няколко лица, законосъобразно акредитирани
съгласно действащото законодателство през 2009г., чиято акредитация още е
валидна. Тоест, във връзка с акредитираните лица няма никакъв проблем, за да могат да се извършват съответните сертификационни
процедури и няма никаква предпоставка
във връзка с това да се внасят
промени в регламента на тези процедури, тоест да се променя въпросната
наредба.
ОЩЕ
ПО-НЕСЪСТОЯТЕЛНИ СА И МОТИВИТЕ
за внасяне на промени във втората наредба-
Наредбата за вътрешния оборот на електронни документи и документи на хартиен
носител в администрациите. За „стъкмяване” на мотиви се използва определението
„зрялост” на Административна информационна система (АИС). Въвеждането на
подобно понятие направо е смешно, но тук проблемът е далеч по-дълбок, защото
практически се подменя определението „сертифицирана АИС”, дадено в ЗЕУ. Това
само по себе си е нарушение на закона и парадоксът е, че с нарушение на закона
се мотивира предложение за законова промяна?!
Към мотивите за внасяне на промени във втората
наредба се използва един направо
АБСУРДЕН
НАБОР ОТ НЕВЕРНИ ТВЪРДЕНИЯ,
при това несвързани както по между си, така и със
сертификацията на АИС. Направо е невероятно, че ресорно отговорното
министерство за осигуряване на сертификация на АИС, може да твърди, че „Сертификацията (на
АИС) е насочена да провери ....... дали те се внедряват така, че да
осигурят сигурност и удобство за гражданите и организациите при обслужването.”
Самото внедряване не е обект на сертификацията, но
това не е пречка за авторите на промените в МТИТС да стигнат до извода, че
„Това е в противоречие с възприетия принцип за децентрализирана реализация на
електронното управление”. И ако в този извод липсва елементарна логика, още
по-нелогичен е и краят на този пре-любопитен пасаж в
мотивите- „..и ще забави (има се в предвид „противоречието”) практическата
реализация на е-услуги, поради необходимостта от влагането на значителни
ресурси и време от администрациите.” Всъщност за какви ресурси и време става
дума и защо тяхното разходване се вменява на администрациите?
Цялата словесна „абрака-дабра” се свежда до измисляне на някакви мотиви, за да
отпадне изискването към АИС за експорт на поддържаните в тях данни в електронен
документ, с публично достъпно описание чрез неговата регистрация в Регистъра на
информационните обекти. Наредбата за вътрешния оборот на електронни документи и
документи на хартиен носител в администрациите практически дефинира нов вид
информационни системи, като поставя изискването за поддръжка на около 95 вида
данни, структури от тях и функции по тяхната обработка.
Спорно е доколко наистина става дума за „коренно
нов вид ИС”, но едно е безспорно- изграждането на електронно правителство и в
последствие извършването на преход към електронно управление няма да стане с
наличните деловодни, документни, документооборотни и т.н. системи. Като имаме в предвид, че
началото на работата по българското е-Правителство беше поставено през
м.декември 2001г., можем да отчетем 8-9 години неуспешни упражнения със старите
системи, при което непрекъснато се постигаха забележителни резултати, творяха
се непрекъснато „добри практики”, но е-Правителство така и не се случи.
ЯСНО Е, ЧЕ
ТРЯБВА ДА СЕ СЪЗДАВАТ НОВ ВИД ИС
и ЗЕУ изрично ги дефинира като „Административни информационни
системи” и още по-ясно е, че АИС трябва да поддържат едни и същи данни, защото
обслужват едни и същи административни процеси, които се описват с едни и същи
данни. Явно авторите на промените се съмняват в подобна теза, очевидно за тях
понятието оперативна съвместимост не означава нищо, обменът на данни между
администрациите не е необходим и т.н.
Всеки който е правил система би посочил, че
експортът на данните от нея в една добре описана XML‑ конструкция е незначителна
част от разходите по създаването на самата система. Повечето от доставчиците на
АИС обслужват няколко администрации и тези незначителни разходи ще се
разхвърлят между няколко проекта и в крайна сметка ще станат съвсем
незначителни или най-малкото напълно приемливи за администрациите и за нас-
данъкоплатците.
Изискването за подобен експорт има изключително
голямо значение за сигурността на работа на администрациите при експлоатацията
на АИС. Това не само е известно на всички, но то е залегнало и в един относим към дискутирания проблем европейски документ- Model
requirements for the management of electronic records (MoReq). В него има цял
раздел, който регламентира този процес.
И какво се оказва- цяла
Европа счита, че подобен експорт е необходим, реализацията му в новите АИС не е
проблем за разработчиците, за значителни разходи и дума не може да става,
интересът на администрациите го определя като задължителен, а МТИТС в
качеството си на ресорно отговорно министерство го отхвърля?! Това става с елегантна
отмяна на текста на ал.1 на чл.5 от Наредбата за вътрешния оборот на електронни
документи и документи на хартиен носител в администрациите.
Стореното наистина е толкова непонятно и нелогично,
че просто сам възниква въпросът за това, какъв е скритият интерес на авторите
на нормативните промени?
ВЪВЕДЕНАТА
ПРОМЯНА Е ТОЛКОВА ОЧЕВИДЕН ГАФ,
че неговите автори може би за да го прикрият правят
друга, още по-любопитна промяна, но вече в Наредбата за общите изисквания за
оперативна съвместимост и информационна сигурност. За целта се въвежда нова,
първа алинея към чл.22. със следния абсурден текст: (1) Когато заинтересуваното лице по чл. 103, ал. 2 желае да сертифицира допълнително информационната система чрез
проверка по чл. 126 и 127, тя трябва да осигурява преносимост на всички
съдържащи се в нея данни в случаи на непредвидени обстоятелства, като позволява
извеждане на данните в съдържанието на електронен документ от вида „Данни за
пренос между информационните системи“ и въвеждането им в друга информационна
система.
ЗЕУ не разделя администрациите на такива, които се
грижат за преодоляване на „непредвидени обстоятелства” и на такива, които
нехаят за тях. Въведената нова алинея предвижда точно такова разделяне, като
„загрижените администрации” имат възможността (но не и задължението?!) да
предявят изисквания за допълнителна сертификация към придобивана АИС и това ще
принуди нейния доставчик, в качеството му на заинтересовано лице да я
реализира.
Всъщност самият текст на алинеята просто като текст
е алогичен, което е видно и за неспециалисти, каквото и да значи определението
„специалист” по критериите на МТИТС. Жалкото в случая е, че подобна алогичност би трябвало да бъде открита и от юристите на
МТИТС, и от другите министерства, които са одобрили подобен текст.
Но въведените промени са далеч по-амбициозни и не
се ограничават само с обхвата на сертификацията- те нанасят
МОЩЕН
ЕКСПЕРТЕН УДАР В СЪРЦЕТО НА СЕРТИФИКАЦИЯТА.
И това отново става по един изключително елегантен
начин, като се отменят две на пръв поглед незначителни точки (т.2 и т.3) към
един прозаичен член (чл.17) от Наредбата за общите изисквания за оперативна
съвместимост и информационна сигурност. С отмяната на двете точки се отменят
две проверки от сертификационната процедура.
Самите проверки в състава на тази процедура имат за
цел да установят наличието на поддръжка на законово регламентирания набор от
данни за АИС или набора от данни за регистриран електронен документ, за който
се сертифицира приложение за визуализация и/или
редактиране. Проверките въобще не се занимават с това дали поддръжката е
перфектна, дали интерфейсът е user friendly, user lovely и т.н. и т.н. Изисква
се само и единствено да се констатира правилно редактиране (или само правилна
визуализация) на съдържанието на проверявана данна, включително визуализация на
нейното наименование и пояснение, така както са регистрирани в Регистъра на
информационните обекти.
Едва ли има ИТ-разработчик, който да не може да
осигури визуализация на наименование и пояснение на данна по предварително зададен
текст. Но или има такъв, или в МТИТС предполагат че има и самоотвержено го
спасяват, като отменят проверките на тази визуализация.
А последствията от тази отмяна са много по-дълбоки,
отколкото изглеждат на пръв поглед. Отпадането на проверките за визуализация на
името и пояснението на данна в съответствие с нейната регистрация всъщност
отменя задължението за използване и визуализиране на унифицирани наименования и
пояснения на данни. Това прави невъзможна сигурната и точна идентификация на
данна, като обект на поддръжка от АИС или съответното приложение, защото всеки
разработчик може, и ще именова данните както си иска.
Тоест, как при невъзможност за идентификация на
данната е възможно да се извърши проверка на същата, за правилно поддържане на
съдържание в нея от АИС или проверявано приложение? Казано по друг начин: как
ще се проверява нещо, когато то не може да бъде открито, разпознато и т.н.?!
Следователно не може да се изпълни сертификационната процедура като цяло за нито една АИС и за
нито едно приложение за визуализация и/или редактиране на електронни документи.
Това означава, че и сертификацията като контролен механизъм въобще не може да
се случи.
Но...има и един друг вариант. Така както със
сигурност не може да бъде идентифицирана данна, така е допустимо при същата
(вече нормативно допустима?) несигурност да бъде идентифицирана всяка
произволна реализация на поддръжка на данна и така да се отчете успешна
сертификационна проверка на всякакво приложение и всякаква АИС!
А ... има и трети вариант, обратен на предишния.
Всяка идентификация на данна и извършена сертификационна проверка за нея става
произволно оспорима, а от там и сертификацията на АИС или приложение.
Очевидно въведените промени с отмяната на т.2 и т.3
на чл.17 от Наредбата за общите изисквания за оперативна съвместимост и
информационна сигурност водят до
ПЪЛНА
НЕПРЕДСКАЗУЕМОСТ НА СЕРТИФИКАЦИОННИЯ ПРОЦЕС.
Акредитираните лица само привидно получават пълна
свобода да сертифицират каквото си искат и както си искат. Но те все още са под
контрола на МТИТС, тъй като Българска служба по акредитацията още не изпълнява
този контрол, който й е вменен от Закона за
националната акредитация на органи за оценяване на съответствието.
Тоест, чрез този контрол върху акредитираните лица,
МТИТС получава възможността да управлява и дори да манипулира сертификационния процес, както си иска и в интерес на
когото си иска.
Видно е, че след направените промени в трите
наредби, българското електронно правителство (независимо от това, че го няма!)
вече е друго!
Всеки ще може съвсем законно да си създава своя
собствена оперативна съвместимост и да си облепи със сертификационни етикети
всичко, което има файлов формат „.exe”, стига това да е съгласувано с МТИТС.
Мисля, че колегите които създават системи за ФСО,
ТРЗ, УЧР, CRM, BPM и т.н. незаслужено не се интересуват от създаването на
електронно правителство. След направените промени в наредбите, всяка система от
посочените (а и други, не посочени!) видове теоретично вече може да бъде
сертифицирана като АИС. Сега и те могат да се включат в сертификацията, защото
въпросните промени я превръщат във „всенародно дело”.
Вярно е, че преживяхме „масовата приватизация”, ще
преживеем и „масовата сертификация”? Но трябва ли? Кому е нужно?
Наистина започва да става много интересно „кому е
нужно това?”. Отговорът е даден много отдавна с фразата „по (сертификационните) дела ще ги познаете”, тоест първите,
които ще хукнат да се сертифицират с тази fuzzy certification определено
ще бъдат от кръга на заподозрените. Кои ли акредитирани лица ще акушират на
тази недоносена сертификация?
Любомир
Благоев, 2010г.