С оглед на кризата с Търговския регистър, рисковете, които стоят пред други критични регистри и липсата на подготовка на държавните органи, както на политическо, така и на експертно ниво, да поддържат системите си устойчиви и в съответствие със съвременните добри практики, от "Демократична България" предлагат план за действие за устойчиво управление на информационните ресурси в страната.

News.bg публикува целия план за действие на партията без редакторска намеса.

Поддържане на оперативен регистър на регистрите - регистърът на регистрите не е функциониращ и липсва единно място, на което са описани всички регистри в рамките на публичния сектор (регистърът трябва да се поддържа по чл. 2 от Наредбата за общите изисквания към информационните системи, регистрите и електронните административни услуги (НОИИСРЕАУ)). Първоначално е достатъчно да бъдат вписани основните регистри и бази данни, като впоследствие да се допълват с по-маловажни такива.

Оценка на риска на регистрите - за всеки регистър, вписван в регистъра на регистрите, трябва да бъдат определени параметрите "критичност", "време за възстановяване", "въздействие" и др., на база на които да бъдат приоритизирани всички действия, свързани с поддръжката и сигурността на регистрите. Търговският регистър, Национална база данни население, имотният регистър, например, трябва да бъдат с най-висока степен на критичност, съответно с високо въздействие при срив и с минимално време, в което да бъдат възстановени.

Приемане на политика за управление на информационните ресурси - съгласно чл. 7в, т. 5, Председателят на Държавна агенция "Електронно управление" разработва и предлага за приемане от Министерския съвет единна политика за информационните ресурси, издава методически указания и координира нейното изпълнение. Политиките трябва да включват детайлни планове за продължителност на работата и възстановяване при срив, както и за провеждане на тестове и профилактики;

Пускане в експлоатация на регистъра на информационните ресурси - Законът за електронното управление в чл. 7е предвижда създаване на регистър на информационните ресурси, в който да бъдат описани всички софтуерни, хардуерни и мрежови ресурси в държавната администрация, в т.ч. техните характеристики, години на производство, планове за подмяна и др. За първоначалното въвеждане на данните е изпълнен проект за инвентаризация, финансиран по Оперативна програма "Добро управление". Пускането на регистърът в експлоатация е наложително с оглед изпълнението на политиката за управление на информационните ресурси.

Създаване на Държавно предприятие "Единен системен оператор" - Законът за електронното управление, в чл. 7к, определя създаването на Държавно предприятие "Единен системен оператор", което да извършва ИТ услуги за администрацията по определен от министерски съвет каталог на услугите. Тези услуги включват писане на технически задания, текущ и последващ контрол, управление на поддръжката и др. Видимо администрацията няма кадри за извършване на тези дейности, тъй като експертите са скъпо платени и много над предвиденото заплащане в класификатор на длъжностите в администрацията. Държавното предприятие, например, можеше да управлява поддръжката на Търговския регистър от името на Агенция по вписванията, и така да не допусне немарливостта, довела до срива. Създаването на държавното предприятие е блокирано от приемането на закона досега. Предприятието трябва да се управлява прозрачно и в съответствие с изискванията на закона.

Изграждане на Държавен хибриден частен облак - инфраструктурата, върху която са разположени държавните регистри е често остаряла и зле поддържана. Липсва гъвкавост, разходите са по-високи от необходимото. Поради това в Пътната карта за развитие на стратегията за електронното управление (2016-2020) е включен приоритетен проект за изграждане на Държавен хибриден частен облак, който да предоставя "инфраструктура като услуга" на държавната администрация, с високо качество на поддръжка, гъвкавост и икономии от мащаба. Облакът ще включва няколко дейта-центъра, като така ще даде необходимата резервираност на регистрите и базите данни на администрацията. Изготвяне на правила за използване и на частни облачни услуги в допълнение на държавните центрове.

Използване на съществуващи резервни центрове и изграждане на нови - има съществуващи резервно-възстановителни центрове на територията на страната, а съществуват възможности и предпоставки за изграждане на такива на територията на държави-съюзници. Необходимо е осигуряване като минимум на резервни копия в тези центрове, като за по-критични системи следва да бъдат поддържани цялостни копия на системите в готовност да поемат заявки в случай на сривове.

Подобряване и унифициране на процедурите за резервни копия - според отчетите на администрацията, в под 15% от случаите се създават изобщо резервни копия на регистрите. В много малка част от тях се правят опити за възстановяване на резервните копия. Следва да се предприемат мерки за унифициране на процедурите по създаване на резервни копия и те да отговарят на изискванията на чл. 42 от НОИИСРЕАУ, като включват процедури по възстановяване и периодично тестване.
Нужна редовна валидация на съществуващите резервни копия, тяхната пълнота и използваемост. Изрично условие на проверката на резервни копия е пълното възстановяване на информационния масив без използване на титулярните системи или техни компоненти (дискови масиви, оперативна памет, машинно-четими интерфейси и др.)

Преглед на договори за поддръжка - Необходимо е да бъдат прегледани договорите за поддръжка на всички системи, както и да се установи има ли системи без осигурена текуща поддръжка. В договорите трябва да бъдат прегледани т.нар. SLA, неустойки, задължения за мониториране на ресурсите и др. В резултат трябва да бъдат направени препоръки за последващи договори или за допълване на настоящите.

Оценка на съответствие с НОИИСРЕАУ и НОИМИС, както и сертифициране по стандарти за информационна сигурност и качество - следва да бъде установено нивото на съответсвие на всички администрации и техните информационни системи с ключови изисквания на наредбите към Закона за електронното управление, в т.ч. Наредбата за общите изисквания за мрежова и информационна сигурност. Оценката може да бъде извършена на няколко етапа, като първият може да бъде въпросници за самооценка. На следващ етап критичните системи следва да бъдат сертифицирани по стандарти като тези от серията ISO 27000.

Създаване на съвет на главните информационни мениджъри - Решенията за управлението на информационните ресурси и за посоката на развитие следва да се предлага от съвет на най-високо ниво. Към момента функциониращият съвет по интеграция към Държавна агенция "Електронно управление" следва да бъде изнесен на ниво Министерски съвет, като в него участват главните информационни мениджъри на министерства и държавни агенции. Такъв съвет трябва да участва във формирането на политиките по управление на информационните ресурси и киберустойчивост, определянето на ресурсите за тяхното прилагане, както и да консултира управлението на Държавно предприятие "Единен системен оператор". За целта следва да бъде създадена и позицията "Главен информационен мениджър" като част от общата администрация, със съответните правомощия и ресурси.

Създаване на национална координационно-организационна мрежа за киберсигурност - в изпълнение на стратегията за киберсигурност, следва да се стартира създаването на такава мрежа по модела на публично-частните партньорства - определяне на роли, отговорности и способности за развитие на държавните и неправителствените участници, установяване на общ механизъм, дефиниране на процеси и протоколи за взаимодействие и мониторинг на кибер картината на национално ниво на базата на координирана мрежа от центрове за кибер сигурност (CERT/CSIRT и други органи). В тази мрежа следва да участват администрацията, частният сектор и академичните институции.