Май 31

Оперативное импортозамещение в сфере ИT, волны кибератак на информационные ресурсы государственных органов и значимых инфраструктурных объектов страны, потребность в качественном программном обеспечении повышают актуальность работы экспертных организаций, оказывающих услуги по экспертизе ИT-контрактов. О специфике данного продукта рассказывает заместитель генерального директора АНО «СОЮЗЭКСПЕРТИЗА» ТПП РФ (SOEX) Оксана Полыгалова.

Специфика ИT-экспертиз состоит в том, что это новый продукт для рынка. Экспертиза ИТ-контрактов может быть проведена в отношении:

− планируемых мероприятий по информатизации (формирование общих положений договора/контракта/технического задания в соответствии со спецификой работ/услуг, формирования функциональных и нефункциональных требований к объекту автоматизации и требования к результатам работ, включая их приемку).

− результатов мероприятий по информатизации (основной вопрос, на который экспертам следует дать ответ в данном случае – это соответствие результатов работ требованиям контракта/договора).

К специфике ИТ-экспертиз относится и отраслевая принадлежность. Как известно, внедрение ИС выполняется во всех областях деятельности человека, поэтому знание отрасли играет немаловажную роль. Эксперт со знанием определенной отрасли либо нескольких отраслей поможет сформировать «конкретные» требования к функциям ИС, так как каждая отрасль имеет свои особенности.

Другой специфичный момент – это методы исследования. Единой методики проведения такой экспертизы не существует, так как она подстраивается под конкретный объект исследования. С другой стороны, если говорить об общем методе, то его можно сформулировать следующим образом «метод проведения ИТ-экспертизы заключается в разделении целого на отдельные элементы с рассмотрением каждого из них в отдельности и сопоставлением этих элементов с требованиями, зафиксированными в контракте/договоре».

Так как отсутствует методика проведения таких экспертиз, следовательно, не зафиксированы основные требования к результату. Несомненно, основной результат – это экспертное заключение. Но мы говорим о том, что на сегодня не зафиксированы требования к оформлению такого продукта, уровень детализации хода и порядка проведения исследования и полученных результатов.

Специфика ИТ-экспертизы также заключается в возможности проведения такой экспертизы на любом этапе создания/развития/сопровождения ИС. Кроме того, экспертиза может быть проведена также на этапе «возникновения идеи», например, необходимость модернизации ИС либо оценка уровня импортозамещения.

Из вышеуказанного специфичного момента вытекает еще один – это принцип «сквозной проверки». Речь идет о том, что эксперты (как правило, для проведения таких экспертиз привлекается группа экспертов разных специальностей, то есть такую экспертизу принято считать комплексной). Этот принцип заключается в том, что при ответе на поставленные перед экспертами вопросы они опираются на результаты исследования всех экспертов, так как результат выполнения работ по ИТ-контракту – это не только исходный код ПО (дистрибутив), но и документация (начиная от проектной документации и заканчивая организационно-распорядительной).

Также хотелось бы отметить еще одну специфику ИТ-экспертиз – это приемка. Это связно с тем, что результаты экспертного заключения могут оказать влияние на решение заказчика принять работы либо направить подрядчику мотивированное письмо с требованием корректировки результатов по контракту/договору. Во многом это объясняется тем, что заказчик заинтересован в приемке качественных работ, а подрядчик в принятии выполненных работ и получения соответствующей оплаты. В данной ситуации эксперт выступает как незаинтересованное лицо, которое в рамках своих полномочий выполняет независимую и объективную оценку.

Важный момент – это консолидация экспертных ресурсов при проведении сложных экспертиз. При их проведении участвуют эксперты разных специальностей. Это связано с тем, что результатом экспертизы является целый набор объектов: ПО, документация на ИС, документация на технические средства ИС, сами технические средства, исходный код прикладного программного обеспечения, лицензионные документы. Поэтому такую экспертизу следует рассматривать как сложный продукт.

В данном случае каждый из экспертов проводит исследование в своей части:

1. Разработчик (программист) проводит исследование строчек кода в рамках ответа на вопрос о реализации функций ИС в соответствии с требованиями контракта/договора.
2. Эксперт документационного обеспечения (речь идет не об информационной безопасности ИС) проверяет комплектность предоставленной документации, выполняет оценку соответствия результатов (документов) требованиям контракта/договора, определяет возможность использования результатов работ целям создания/развития ИС.
3. Эксперт в области информационной безопасности выполняет оценку документации в области ИБ, включая соблюдения уровня защищенности сведений, обрабатываемых в ИС в соответствии с приказами ФСТЭК, ФСБ и требованиям нормативных актов, дает оценку рискам уязвимости ИС.
4. Эксперт в области системного администрирования проводит оценку возможности настройки и использования ИС в соответствии с требованиями к нефункциональным возможностям ИС (например, возможность настройки БД).
5. Эксперт в области импортозамещения, такое специалист может провести независимый аудит ИТ-ландшафта, определить уровень использования иностранного ПО, а также предложить рекомендации по проведению мероприятий по импортозамещению

При этом экспертное заключение будет включать сведения о результатах исследования каждого эксперта, объединение результатов и формирование единого вывода, который содержит однозначный, исключающий возможности двоякого толкования, ответ на поставленный вопрос.