Повестка дня – переосмысление подходов
Комитет по информатизации и связи осуществляет координацию деятельности в области защиты информации всех государственных органов власти Санкт-Петербурга. О том, какие государственные информационные системы чаще других подвергаются атакам, каки меры предпринимаются для обеспечения безопасности, рассказывает начальник отдела информационно-компьютерной безопасности Комитета Андрей Лихолетов.
Андрей Вольдемарович, мы несколько раз встречались с вами на страницах журнала. Но впервые в период пандемии. С какими новыми вызовами и проблемами пришлось столкнуться в работе?
В области защиты информации хватает и ранее существовавших вызовов и проблем. Но жизнь не стоит на месте. Основным и относительно новым вызовом является необходимость формирования новых концептуальных подходов к защите информации в условиях цифровой трансформации общества и государства. Существует риск того, что деятельность органов государственной власти по защите информации станет фактором, ограничивающим развитие и внедрение современных информационных технологий, чего допустить нельзя. Одной из основных проблем является– необходимость обеспечения защиты информации при организации удаленного доступа сотрудников к государственным информационным ресурсам, в том числе с использованием личных средств вычислительной техники. Некоторые технологии удаленного доступа в условиях карантинных мер были использованы вынужденно, решение об их применении принималось в неотложном порядке. По прошествии короткого времени становится ясно, что разработка и применение таких технологий превращается в устойчивую тенденцию, которая требует тщательной проработки прежде всего в вопросов защиты информации.
Государство сталкивается с противоречивыми задачами. С одной стороны, требуется повысить эффективность работы органов власти с помощью ИТ, с другой – обезопасить государственные информационные системы от несанкционированного доступа и обеспечить неприкосновенность частной жизни граждан. Как это сочетается?
В качестве одного их основных направлений повышения эффективности работы органов власти мы видим внедрение новых информационных технологий, что безусловно влечет за собой возникновение новых угроз информационной безопасности, связанных с ними. Не следует понимать это как противоречие – наверное, не осталось руководителей и специалистов в отраслях информатизации и связи, которые не разделяли бы точку зрения, что защита информации является неотъемлемой частью информационных технологий. Имеет смысл говорить не о противоречии, а о симбиозе информационных технологий и технологий защиты информации, успешное развитие которых друг без друга не может быть эффективным.
Сегодня на повестке дня стоит переосмысление подходов к формированию и исполнению мероприятий по выполнению требований по защите информации, которые, по нашему мнению, должны не сдерживать, а поддерживать развитие отраслей информатизации и связи в городе.
Требуется формирование комплексного подхода к централизованному выявлению, расследованию и реагированию на инциденты. В настоящее время близится к завершению разработка системы взглядов на процессы защиты информации, которая проводилась с участием научного сообщества Санкт-Петербурга и будет представлена в виде концепции информационной безопасности города.
Эксперты рынка считают, что вектор атак в бизнесе меняется. Коснулось ли это госсектора?
Изменение вектора атак в бизнесе, которое отмечают эксперты, касаются госсектора лишь отчасти. В госсекторе, в отличие от бизнеса, ключевую роль играют информационные процессы, обеспечивающие исполнение государственных функций органов государственной власти и оказание государственных услуг гражданам. В связи с этим характер и объем обрабатываемой информации, информационные технологии, конечно же, отличаются от того, что используют в бизнесе. Кроме того, есть специфические отличия и в моделях нарушителя, и в моделях угроз. Следует отметить, что выполнение требований нормативно-методических документов по защите информации для госсектора обязательно, а для бизнеса носит лишь рекомендательный характер.
Всё это наряду с прочим определяет различия мотивации и возможностей потенциальных нарушителей информационной безопасности, а также вектор выбираемых ими атак на объекты госсектора и бизнеса.
Сейчас наиболее приоритетной целью для злоумышленников становится отказ в обслуживании государственных информационных систем посредством осуществления DDOS-атак.
Основным и, думаю, наиболее опасным нарушителем остается внутренний нарушитель, особенно в органах государственной власти, имеющий прямой доступ к критически важной информации. В связи с этим, нами ведется работа по развитию систем анализа информационных потоков и снижению рисков возникновения инцидентов информационной безопасности от данного вида нарушителя.
Как можно противодействовать хакерским атакам с помощью анализа информационных потоков?
Анализ информационных потоков является одним из перспективных механизмов для построения системы защиты информации. Проводя анализ, мы выявляем активность субъектов доступа с вредоносными признаками, поведенческие аномалии относительно штатного функционирования систем, векторы атак. На основании полученной информации, принимаются меры по изолированию подозрительных процессов.
Случаются ли инциденты в рамках АПК «Безопасный город»? Как реагируете?
На настоящий момент инцидентов информационной безопасности, касающихся АПК «Безопасный город», не зафиксировано.
непрерывно проводится мониторинг состояния информационных систем и систем защиты информации, а также мониторинг наличия возможных уязвимостей в информационных системах. При возникновении событий безопасности принимаются меры, в том числе превентивные, по их устранению, включая привлечение ресурсов системы ГосСОПКА и специалистов Национального координационного центра по компьютерным инцидентам.
При возникновении какого-либо инцидента используется регламент действий, заключающийся в первоначальном оповещении о возникновении инцидента и его регистрации, устранении причин и последствий инцидента, а также доработке мер реагирования и превентивных мер. В дальнейшем проводится аналитическая работа, которая поможет определить характер инцидента и выработать рекомендации для совершенствования системы защиты информации.
Еще недавно встроенных в ОС сертифицированных защитных механизмов было недостаточно для обеспечения защиты информации. Как вы оцените текущую ситуацию с импортозамещением в области ИБ и какие прогнозы можете дать на ближайшую перспективу?
На сегодняшний день ОС, сертифицированные по требованиям безопасности, не реализуют весь перечень мер, предусматриваемый нормативнно- правовыми документами в области защиты информации. Впрочем, они и не должны этого делать, всеё-таки речь идет об универсальных ОС, а не о наборе специализированных средств защиты информации.
Текущая ситуация с импортозамещением в целом соответствует тем показателям, которые были предусмотрены правительством Российской Федерации для перехода на отечественное программное обеспечение. Несмотря на то что стоимость отечественного программного обеспечения, набор функций и качество их реализации пока еще не в полной мере конкурентоспособны по сравнению с лучшими образцами зарубежного программного обеспечения, считаю, что переход на отечественное программное обеспечение мы должны реализовать.
Касаясь импортозамещения в области информационной безопасности, отмечу, что все используемые в исполнительных органах государственной власти Санкт-Петербурга средства защиты информации, за очень редким исключением, являются отечественными. Фактически в части программных средств защиты информации задачи импортозамещения в Санкт-Петербурге в основном решены.
Вопрос импортозамещения оборудования, к сожалению, гораздо сложнее. Большинство аппаратных средств защиты информации, даже имея отечественное программное обеспечение, базируется на зарубежных аппаратных платформах, и ожидать реального улучшения ситуации в этом направлении довольно сложно.
Думаю, курс на импортозамещение безальтернативен и время покажет его правильность. Ожидаю на ближайшую перспективу расширения функциональности отечественных средств защиты информации, производимых ведущими российскими компаниями, а также появления комплексных решений (своего рода экосистем), совмещающих реализацию все большего количества мер защиты информации, объединенных единым управлением. Возможно появление на рынке решений, реализованных с помощью сквозных технологий.
Технологии «Умного города» уже сейчас активно внедряются в инфраструктуру мегаполисов, делая жизнь людей безопаснее и комфортнее. При этом увеличиваются риски в ИБ. Какие меры защиты вы предпринимаете для обеспечения безопасности?
Если не вдаваться в детали конкретных проектов, меры по защите информации принимаются в соответствии с требованиями нормативно-методических документов в области защиты информации.
Для каждой конкретной информационной системы определяется перечень информации, которая в ней содержится и подлежит защите, определяются угрозы безопасности такой информации в реальных условиях ее обработки на объектах информатизации, формируется совокупность предположений о возможностях потенциального нарушителя. На основании полученных данных осуществляется подготовка требований по защите информации и разрабатываются организационные и технические меры, направленные на исключение неправомерного доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации), неправомерного уничтожения или модифицирования информации (обеспечение целостности информации) и неправомерного блокирования информации (обеспечение доступности информации). Далее на объектах информатизации осуществляется внедрение разработанных мер защиты и производится оценка их соответствия требованиям защиты информации.
В дальнейшем осуществляются меры защиты информации в ходе эксплуатации информационной системы, которые заключаются в периодическом анализе угроз безопасности информации в информационной системе, администрировании системой защиты информации информационной системы, реагировании на инциденты, информировании и обучении персонала информационной системы, а также контроле за обеспечением уровня защищённости информации, содержащейся в информационной системе.
Какие государственные информационные системы чаще подвергаются атакам?
Наиболее часто подвергаются атакам те сегменты систем, к которым осуществляется доступ из сети Интернет, путем попыток реализации DDOS-атак, направленных на отказ в обслуживании. Кроме того, к распространенным следует отнести вирусные атаки на автоматизированные рабочие места сотрудников.
Чиновники так же, как и все, оставляют следы в соцсетях, блогах, в СМИ и на почтовых серверах, в онлайн-магазинах и даже на игровых серверах. Чем это грозит их репутации?
Думаю, ничем не грозит. Репутации не только чиновника, но и любого человека, грозят не цифровые следы, а его поступки. При использовании электронных сервисов скорее следует опасаться злонамеренного и незаконного использования цифровых следов.
Бороться с этим следует путем повышения общего уровня культуры человека, в том числе культуры безопасности, следования моральным и этическим принципам, осмысленным действиям человека при доступе к информационным ресурсам сети Интернет.
Какую работу проводит Комитет среди своих сотрудников по защите электронной личности?
Защита электронной личности сотрудников в качестве самостоятельной задачи Комитетом по информатизации и связи не решается. В качестве мер, способствующих обеспечению защиты электронной личности, можно отметить мероприятия по повышению осведомленности сотрудников об угрозах информационной безопасности, а также проведение киберучений с отработкой вопросов информационной безопасности.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 28.09.2020