CC BY
20Повышение эффективности систем управления информационными технологиями в организациях наукоёмкого сектора экономики (американский опыт)
Камолов Сергей Георгиевич
кандидат экономических наук, доцент, заведующий кафедрой государственного управления МГИМО МИД России, publicgovernance@inno.mgimo.ru
Прямым следствием развития и усложнения ИТ-систем является необходимость адаптации и совершенствования механизмов управления как непосредственно ИТ-системами, так и организационными структурами, осуществляющими их внедрение и эксплуатацию. Особенно остро эта задача стоит в организациях и ведомствах, обеспечивающих управление развитием наукоемких и высокотехнологичных областей экономики и, в частности, космической отрасли. Организация управления ИТ-системами Национального управления по аэронавтике и исследованию космического пространства США является предметом постоянного мониторинга со стороны Счетной палаты США. В настоящей статье исследованы подходы Счетной палаты США к оценке эффективности систем управления информационными технологиями в организациях наукоёмкого сектора экономики. Особое внимание уделяется выявлению уязвимых мест в управленческих системах, способных создать угрозы информационной целостности НАСА. Выводы и рекомендации высшего органа финансового контроля в отношении ИТ-систем НАСА, указывающие на необходимость реструктуризации управленческих процессов агентства в целях усиления подотчетности и обеспечения его информационной безопасности, представляют практический интерес как для специалистов организаций, подведомственных государственной корпорации по космической деятельности «Роскосмос», так и для государственных служащих, выполняющих контрольные функции в отношении предприятий космической отрасли. Ключевые слова: НАСА, управление информационными технологиями, структура управления, космическая деятельность, государственное управление, кибербезопасность, США.
ИТ-системы НАСА: организация и финансирование
С 2015 года наблюдается устойчивая тенденция увеличения объема бюджетных ассигнований, направляемых на финансирование деятельности Национального управления по аэронавтике и исследованию космического пространства (НАСА) [1]. Бюджет НАСА в 2018 году увеличился почти на 1 млрд долларов и стоставил 20,8 млрд долларов США [2]. Важно отметить, что бюджетные ассигнования выделяются Конгрессом США не как консолидированный бюджет НАСА, а формируются отдельно по каждому структурному подразделению, отвечающему за основные направления деятельности агентства (так называемые Mission Directorates) - Управление исследований в области аэронавтики (Aeronautics Research Mission Directorate), Управление освоения космоса человеком (Human Exploration and Operations Mission Directorate), Управление научных исследований (Science Mission Diectorate), Управление космических технологий (Space Technology Mission Directorate) и Управление обеспечения космических миссий (Mission Support Directorate).
Ежегодный бюджет НАСА на развитие и модернизацию ИТ-систем (включая наземные системы управления Международной космической станции (МКС)), ИТ-обеспечение программ по освоению космоса, облачные вычисления, кибербезопасность и оптимизацию работы центров обработки и передачи данных составляет около 1,5 млрд долларов [3]. Эта сумма формируется из двух ключевых статей расходов: «ИТ-системы, обеспечивающие операционную деятельность» (888 млн долларов) и «ИТ-системы, обеспечивающие космические миссии» (673 млн долларов). Действующая модель бюджетного финансирования НАСА обусловила децентрализованный характер контроля за исполнением ИТ-бюджетов, который осуществляется каждым отраслевым управлением самостоятельно. В аппарате Генерального инспектора НАСА (Inspector General) такой порядок финансирования характеризуется как ограничивающий прозрачность и возможности контроля за исполнением совокупного ИТ-бюджета НАСА. В частности, децентрализованная модель управления ИТ-проектами создает административные барьеры для реализации полномочий Директора по информационным технологиям (Chief Information Officer) НАСА, так как принятие решений по ряду критических вопросов в области ИТ делегировано сотрудникам НАСА на местах (в отраслевых управлениях и исследовательских центрах) [4]. У проверяющих инстанций вызывает нарекания тот факт, что ИТ-директор НАСА до сих пор четко не определил полномочия и зоны ответственности управлений, что в совокупности с неэффективной практикой инвентаризации ИТ-систем оказывает негативное влияние на обеспечение информационной безопасности НАСА в целом.
Направления совершенствования работы
В мае 2018 года Счетная палата США (U.S. Government Accountability Office) подготовила отчет для комитетов Конгресса США, в котором указала уязвимые стороны и проблемы управления ИТ-системами НАСА, а также сформулировала рекомендации по их устранению [5]. К «проблемным» сферам были отнесены: (1) структура органов управления, (2) стратегическое планирование, (3) кадровое планирование и (4) ки-бербезопасность.
1. В «Руководстве Счетной палаты США по управлению инвестициями в ИТ» (U.S. Government Accountability Office Executive Guide on Information Technology Investment Management) определены передовые практики и методики по управлению ИТ-процессами на государственных предприятиях США. Государственным агентствам и ведомствам рекомендуется выработать систематический и упорядоченный подход к структуре органов управления, который будет являться основой для эффективных, предсказуемых и реплицируемых управленческих решений [6].
Важными элементами такого подхода являются (а) создание коллегиальных органов управления ИТ, (б) разработка нормативной документации по финансированию и
О
3
в
S
г
5
сч ni £
Б
2 ©
надзору за исполнением ИТ-бюджета и (в) определение процедур управления общим ИТ-портфелем НАСА.
В НАСА функционирует три высших коллегиальных органа управления, специализирующихся на ИТ: Совет по информационным технологиям (IT Council), который является руководящим коллегиальным органом; Управляющий Совет по ИТ-программам (IT Program Management Board), который курирует исполнение ИТ-компонентов программ и проектов; Руководящая группа ИТ-директора (CIO Leadership Team).
Кроме того, аппарат ИТ-директора поддерживает работу шести программных советов, которые взаимодействуют непосредственно с отраслевыми управлениями для преодоления уязвимостей в децентрализованной системе управления ИТ, в рамках расходования средств по статье «ИТ-системы, обеспечивающие космические миссии»:
- по прикладному программному обеспечению (Application Program Board)
- по коммуникациям связи (Communications Program Board)
- по вычислительным операциям (Computing Services Program Board)
- по пользовательским сервисам (End User Services Program Board)
- по информационной безопасности (IT Security Services Program Board)
- по управлению информацией (Information Management Program Board)
Уставы этих коллегиальных органов, определяющие состав их членов, функции, полномочия и порядок взаимодействия с другими органами в области ИТ, НАСА до сих пор не утвердило.
Проблема расходования средств по статье «ИТ-системами, обеспечивающими космические миссии» заключается в том, что кассовое исполнение осуществляется без участия ИТ-директора. Этими средствами распоряжается Совет по программному управлению (Agency Program Management Council). Как результат, ИТ-директор получает отчетность по «ИТ-системами, обеспечивающими космические миссии» только, если они являются крупными расходными статьями бюджета, по которым предусмотрена обязательная подотчетность Административно-бюджетному управлению при Президенте США (White House Office of Management and Budget).
НАСА в соответствии с замечаниями Счетной палаты США обязалось в 2019 году завершить подготовку уставов вышеупомянутых коллегиальных органов, в которых также будут уточнены вопросы
Таблица 1.
Стратегические цели и задачи НАСА по ИТ на 2018 - 2021 гг.
Составлено автором по материалам Стратегического плана НАСА по информационным технологиям на 2018-2021 годы.
Цели Задачи
Перте направление: Сове ■71 и ен ст вон а ни е деятельности (КхсеНепсе)
Повышение уровня удовлетворенности клиентов Внедрение и расчет индекса удовлетворенности клиентов (к концу 20) 8 года)
Улучшение доступности и эффективности услуг и применение гибкого подхода финансирована ИТ Разработка плана перехода к гибкой и адаптивной архитектуре ИТ-систем (к концу 2018 года)
Обеспечение оперативного, гибкого и действенного улучшения показателей по предоставлению услуг Определение мер по обеспечению надежности и доступности предоставляемых услуг, с привлечением клиентов к их оценке (к концу 2018 года)
Второе направление: Данные (Data)
Обеспечение трансформации данных НАСА в конкретные аналитические сведения Анализ общекорпоративных инструментов работы с данными (к концу 2018 года)
Повышение безопасности доступа к данным и эффективности управления данными с помощью инновационных методик Тестирование и внедрение тести инновационных практик в области ИТ и обработки данных в соответствии с приоритетами НАСА (к концу 2021 года)
Третье направление: К и б ер без on ас но cm ь (Су her sec иг it у)
Снижение риска потери и несанкционированного доступа к информации при одновременном повышении эффективности инвентаризации и устранении уязвимо стей ИТ-систем Внедрение системы управления активами программного и аппаратного обеспечения (к концу 2018 года) Внедрение системы мул ьти-факторной аутентификации аппаратного обеспечения (к концу 2018 года) Внедрение системы мул ьти-факторной аутентификации для доступа к аккаунтам сотрудников (к концу 2019 года)
Составление карты рисков и снижение вероятности наступления рисков в области кибербезопасности Разработка планов обеспечения непрерывности операций и восстановления системы при аварийных ситуациях (к концу 2019 года)
Снижение вероятности наступления рисков кибербезопасности посредством обучен (ЕЯ персонала, повышения информированности сотрудников о рисках кибербезопасности и внедрения наилучших доступных практик Разработка и ежегодное проведение тренингов по кибербезопасности в игровой форме (к концу 2019 года)
Четвертое направление: Коммерческая ценность (Value)
Расширение возможностей по принятию информационно-ем к их стратегиче ск их решений, в особенности по выбору рабочей модели функционирования ЙТ-систем Завершение поэтапного внедрения системы взаимодействия с поставщиками (к концу 2020 года) Завершение поэтапного внедрения системы управления жизненным циклом программного обеспечения (к концу 2021 года)
Повышение эффективности анализа фи е 1с1 нсирования Определение и внедрение общекорпорати вной программы по сокращению расходов на 50 млн долларов (к концу 2018 года)
Повышение эффективности исполнения ИТ-стратегии посредством программно-проектного управления Исполнение не менее 85% проектов в соответствии с приняты ми проектными планами (к концу 201У шда)
Пятое направление: Кадры (People)
Стимулирование замещения вакантных позиций по приоритетным космическим миссиям Составление списка «критических» вакантных позиций в функциональной сфере ИТ (к концу 2018 года) Разработка кадровой стратегии с учетом «критических» вакантных позиции и прогнозируемых необходимых компетенций сотрудников (к концу 2019 года)
Привлечение и удержание высококва л ифтщированного, мультнтендерного и мультиэтнического персонала Обеспечение сотрудничества между исследовате льскими центрами и Департаментом по гендерно-этническому многообразию н равным возможностям (Diversity and Hqual Opportunity Office) с целью увеличения гендерио-этнтпеского разнообразия и разработки новых механизмов позитивной дискриминации (к концу 2018 года)
Обеспечение системы подготовки персонала по достижению стратегического видения НАСА Определение необходимых навыков и устранение недостатков, в соответствии с кадровой стратегией (к концу 2020 года)
ответственности и механизмы контроля за расходованием бюджетных средств по статье «ИТ-системы, обеспечивающие космические миссии». При этом Совет по информационным технологиям будет ежегодно выпускать отчеты о деятельности этих коллегиальных органов [7].
2. Согласно Директиве Административно-бюджетного управления при Президенте США № A-130 «Управление информацией федерального значения как стратегическим ресурсом» (OMB Circular
A-130 «Managing Federal Information as a Strategic Resource») федеральным органам предписывается разрабатывать и публиковать документы стратегического планирования в области ИТ, а также методологию определения стратегий, систем и функционально-технических возможностей в области ИТ [8].
НАСА утвердило Стратегический план по ИТ на 2018 - 2021 годы. В документе определены зоны ответственности и иерархическая структура использования
ИТ-ресурсов, миссия, видение, ценности и принципы, модель управления ИТ, ключевые лица, ответственные за разработку и контроль ИТ-стратегии, а также сформулированы стратегические цели на четырехлетний горизонт планирования. При этом уже на уровне тактических планов определяется, как пошагово должны достигаться данные цели [9]. По пяти направлениям было установлены четырнадцать целей (таблица 1).
Следует отметить, что в ИТ-Стратегии НАСА не была определена методология целеполагания и планирования. Кроме того, она не предусматривает участия ИТ-директора НАСА в рассмотрении ИТ-планов на уровне исследовательских центров, что является барьером для оценки того, как документы стратегического планирования центров коррелируют с генеральной стратегией НАСА.
3. В ноябре 2016 года Счетная палата США обнародовала Отчет по кадровой политике в сфере ИТ (U.S. Government Accountability Office Report on IT Workforce), в котором определила необходимость совершенствования такого стратегического направления как кадровое планирование в ИТ. Были выработаны следующие принципиальные рекомендации для федеральных органов [10]:
- обеспечить кадровое планирование;
- сформировать списки кадровых потребностей и требований к компетенциям кандидатов на замещение ИТ-должностей;
- организовать проведение регулярной оценки кадровых потребностей и компетенций, а также недостатков в кадровом обеспечении;
- разработать стратегию и планы по устранению недостатков в кадровом обеспечении;
- провести мероприятия по устранению недостатков в кадровом обеспечении (кросс-функциональная подготовка кадров, создание карьерных возможностей для программных менеджеров, плановые мероприятия по повышению эффективности программного управления);
- осуществлять системный мониторинг динамики устранения недостатков в кадровом обеспечении;
- представлять доклады высшему руководству федерального органа об устранении недостатков кадрового обеспечения.
Аппарат ИТ-директора НАСА планирует в 2019 году представить обновленную стратегию кадрового планирования в области ИТ, в которой будут исчерпы-
вающе отражены данные рекомендации, а также учтена ведомственная потребность в улучшении качества кадрового состава.
В настоящий момент НАСА разрабатывает Программу будущего облика структурно-функциональной архитектуры обеспечения космических миссий (Mission Support Future Architecture Program, MAP). Данная программа нацелена на оптимизацию и централизацию кадрового обеспечения деятельности НАСА [12]. Программа разбита на три этапа, а завершение ее реализации запланировано на октябрь 2020 года.
4. В области кибербезопасности деятельность НАСА направлена на преодоление недостатков, связанных с децентрализованной структурой управления, и переход от практики индивидуальной разработки исследовательскими центрами и отраслевыми управлениями собственных подходов по управлению рисками кибербезопасности к интегрированной модели.
В Специальном издании Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) «О контроле безопасности и конфиденциальности федеральных информационных систем» (Special Publication 800-53 on Security and Privacy Controls for Federal Information Systems) были определены основополагающие мероприятия по организации эффективного управления рисками кибербезопас-ности. Первым этапом жизненного цикла управления рисками кибербезопасно-сти является их определение и классификация. Второй этап - принятие комплекса организационных мер по созданию системы управления рисками кибербезопасности, включая [13]:
- учреждение руководящей должности по управлению рисками кибербезо-пасности;
- разработку стратегии по управлению рисками кибербезопасности;
- принятие плана по обеспечению информационной безопасности.
На основании этого документа в НАСА была учреждена должность директора по информационной безопасности (Senior Agency Information Security Officer, SAISO), в чьи полномочия входит обеспечение единообразия управления системами кибербезопасности. Именно это должностное лицо возглавляет в структуре аппарата ИТ-директора Отдел информационной безопасности, на который возложена координация деятельности по обеспечению кибербезопасности, управление
кибербезопасностью и анализ кибер-уг-роз НАСА. Кроме того, в начале 2018 года НАСА рассматривало вопрос создания специального Департамента информационной безопасности (Enterprise Security Office) при директоре по информационной безопасности.
Для преодоления ограничений децентрализованной структуры управления рисками кибербезопасности НАСА к 2018 году должно было разработать комплексную общеорганизационную стратегию кибербезопасности, в которой определяется модель рискоустойчивости НАСА, методология выявления и оценки кибер-угроз и определения уязвимых мест в системе кибербезопасности. Данная стратегия до сих пор находится в разработке. Её отсутствие в свою очередь накладывает ограничения на принятие операционных решений в области кибербезопасности, которые могли бы адекватно учитывать возможные риски и определять структуру и объемы финансирования расходов, связанных с информационной безопасностью.
Как указано в рекомендациях Национального института стандартов и технологий федеральным органам необходимо принять программы информационной безопасности, в которых должны описываться существующие и перспективные системы контроля, средства обеспечения безопасности, а также механизмы делегирования полномочий по контролю безопасности и обеспечения взаимодействия структурных подразделений.
Выводы
Характерной чертой управленческих процессов в федеральных органах и государственных предприятиях США является установление четкой централизованной системы подотчетности и разграничения полномочий, а также предоставление регулярных всесторонних отчетов о проделанной и планируемой деятельности, что является элементом управления по результатам.
Стремительное развитие ИТ в последнее десятилетие требует от НАСА четкого понимания того, как расходуется его внушительный ИТ-бюджет и какие процессы протекают в ИТ-управлении других федеральных органов США. В связи с этим Счетной палатой США регулярно формулируются рекомендации по реструктуризации, централизации и унификации общеорганизационных управленческих процессов. В частности, акцент делается на выработке единой методологии оценки текущего состояния ИТ-систем и единой методологии разработки
© 3
В
S
г
5
сч in £
Б
«a
программных и стратегических документов.
В НАСА, где принята децентрализованная система управления, в совокупности с управлением по результатам, наблюдается высокий уровень автономности структурных подразделений с наличием большого количества административных барьеров в отношении возможности влияния центра на принятие подразделениями управленческих решений в области ИТ.
Намеченный курс на реструктуризацию управленческих процессов в НАСА позволит устранить такие барьеры и усилить механизмы контроля и подотчетности в рамках всего ведомства.
Литература
1. Consolidated Appropriations Acts 2015-2019. Электронный ресурс. Режим доступа: https://www.nasa.gov/offices/ ocfo/appropriations/ appropriations_bills_and_committee_reports
2. NASA Financial Year 2018 Agency Financial Report. Электронный ресурс. Режим доступа: https://www.nasa.gov/ sites/default/files/atoms/files/ nasa_fy2018_afr_tagged_fixed_v3.pdf
3. NASA Budget Estimates FY 20162019. Электронный ресурс. Режим доступа: https://www.nasa.gov/news/budget/ index.html
4. NASA Office of Inspector General. NASA's Efforts to Improve the Agency's Information Technology Governance. Oct. 19, 2017. Электронный ресурс. Режим доступа: https://oig.nasa.gov/docs/IG-18-002.pdf
5. U.S. Government Accountability Office Report on NASA Information Technology: Urgent Action Needed to Address Significant Management and Cybersecurity Weaknesses. Электронный ресурс. Режим доступа: https://www.gao.gov/assets/700/ 691916.pdf
6. U.S. Government Accountability Office Executive Guide on Information Technology Investment Management. A Framework for Assessing and Improving Process Maturity. March 2004. Электронный ресурс. Режим доступа: https://www.gao.gov/assets/80/ 76790.pdf
7. Appendix II: Comments from the National Aeronautics and Space Administration. Электронный ресурс. Режим доступа: https://Www.gao.gov/assets/ 700/691916.pdf
8. White House Office of Management and Budget Circular N A-130 «Managing Federal Information as a Strategic Resource». Электронный ресурс. Режим доступа: https://www.whitehouse.gov/sites/ whitehouse.gov/files/omb/circulars/A130/ a130revised.pdf
9. NASA Information Technology Strategic Plan (Fiscal Years 2018-2021). Электронный ресурс. Режим доступа: https://www.nasa.gov/sites/default/files/ atoms/files/itsp_29mar18_508.pdf
10. U.S. Government Accountability Office Report on IT Workforce. Key Practices Help Ensure Strong Integrated Program Teams; Selected Departments Need to Assess Skill Gaps. Электронный ресурс. Режим доступа: https://www.gao.gov/assets/690/ 681309.pdf
11. NASA Procedural Requirements 2800.1B. Managing Information Technology. Электронный ресурс. Режим доступа: https://nodis3.gsfc.nasa.gov/ npg_img/N_PR_2800_001B_/ N_PR_2800_001B_.pdf
12. Mission Support Future Architecture Program (MAP). Электронный ресурс. Режим доступа: https://www.google.com
13. NIST Special Publication 800-53 on Security and Privacy Controls for Federal Information Systems and Organizations. Электронный ресурс. Режим доступа: https://nvlpubs.nist.gov/nistpubs/ specialpublications/nist.sp.800-53r4.pdf
Improving the effectiveness of information technology management systems in the organizations of the knowledgeintensive sector of the economy (American experience) Kamolov S.G.
Moscow State Institute of International Relations
(MGIMO University) With the advent and growing complexity of IT systems, the need to adapt IT management processes to contemporary circumstances becomes more urgent, especially in such science-intensive and information-dependent field as space exploration. NASA being a federal agency is a subject to regular performance evaluation by the U.S. Government Accountability Office (GAO). In 2018 GAO released the report on the evaluation of NASA IT management, where identified the new direction for restructuration of the Agency's
IT management processes in order to enhance accountability and centralization, especially regarding to cybersecurity issues. It was noted that NASA's IT-portfolio management didn't meet the recommendations and requirements established by federal standards due to the decentralized management structure. Key words: NASA, IT management, governance structure, space exploration, public governance, cybersecurity, USA, management system. References
1. Consolidated Appropriations Acts 2015-2019.
Electronic resource. Access mode: https:// www.nasa.gov/offices/ocfo/appropriations/ appropriations_bills_and_committee_reports
2. NASA Financial Year 2018 Agency Financial Report.
Electronic resource. Access mode: https:// www.nasa.gov/sites/default/files/atoms/files/ nasa_fy2018_afr_tagged_fixed_v3.pdf
3. NASA Budget Estimates FY 2016- 2019.
Electronic resource. Access mode: https:// www.nasa.gov/news/budget/index.html
4. NASA Office of Inspector General. NASA's Efforts
to Improve the Agency's Information Technology Governance. Oct. 19, 2017. Electronic resource. Access mode: https:// oig.nasa.gov/docs/IG-18-002.pdf
5. U.S. Government Accountability Office Report
on NASA Information Technology: Urgent Action Needed to Address Significant Management and Cybersecurity Weaknesses. Electronic resource. Access mode: https:// www.gao.gov/assets/700/691916.pdf
6. U.S. Government Accountability Office Executive
Guide on Information Technology Investment Management. A Framework for Assessing and Improving Process Maturity. March 2004. Electronic resource. Access mode: https:// www.gao.gov/assets/80/76790.pdf
7. Appendix II: Comments from the National
Aeronautics and Space Administration. Electronic resource. Access mode: https:// www.gao.gov/assets/700/691916.pdf
8. White House Office of Management and Budget
Circular N A-130 «Managing Federal Information as a Strategic Resource». Electronic resource. Access mode: https:// www.whitehouse.gov/sites/whitehouse.gov/ files/omb/circulars/A130/a130revised.pdf
9. NASA Information Technology Strategic Plan (Fiscal
Years 2018-2021). Electronic resource. Access mode: https://www.nasa.gov/sites/default/ files/atoms/files/itsp_29mar18_508.pdf
10. U.S. Government Accountability Office Report on IT Workforce. Key Practices Help Ensure Strong Integrated Program Teams; Selected Departments Need to Assess Skill Gaps. Electronic resource. Access mode: https:// www.gao.gov/assets/690/681309.pdf
11. NASA Procedural Requirements 2800.1B. Managing Information Technology. Electronic resource. Access mode: https:// nodis3.gsfc.nasa.gov/npg_img/ N_PR_2800_001BJN_PR_2800_001B_.pdf
12. Mission Support Future Architecture Program (MAP). Electronic resource. Access mode: https://www.google.com/
13. NIST Special Publication 800-53 on Security and Privacy Controls for Federal Information Systems and Organizations. Electronic resource. Access mode: https:// nvlpubs.nist.gov/nistpubs/specialpublications/ nist.sp.800-53r4.pdf
2 ©
