Безопасность информации на государственном уровне

Логотип компании
Безопасность информации на государственном уровне

Иван Громов

Бездумное импортозамещение несет в себе еще большую угрозу, чем использование импортного оборудования и ПО

Работа государственных структур предъявляет особые требования к информационной безопасности и защите данных. Зачастую эти требования намного жестче, чем в коммерческих компаниях. Какими принципами руководствуются и какими средствами пользуются государственные служащие при решении тех или иных задач? Об этом нам рассказал Иван Громов, председатель Комитета по информатизации и связи Санкт-Петербурга. 

В последнее время тема импортозамещения не сходит со страниц СМИ. Какие шаги предпринимает правительство Санкт-Петербурга по замещению иностранного ПО и снижению зависимости от него?

Бездумное импортозамещение несет в себе еще большую угрозу, чем использование импортного оборудования и ПО. Тотальное импортозамещение может привести к фатальным последствиям, поэтому подходить к данному вопросу нужно очень вдумчиво и осторожно. Надо разобраться, что мы можем заместить, а что нет и какие преимущества от такого замещения у нас появятся. Если разложить все по полочкам, то системное программное обеспечение заменить довольно сложно, так как это влечет большие издержки, в том числе по переподготовке персонала и специалистов по эксплуатации. Мы более 20 лет строили инфраструктуру, которая изначально базировалась на импортном ПО, в первую очередь  Microsoft Windows, поэтому вот так, в одночасье, все это оставить и перейти на отечественные продукты вряд ли сможем себе позволить. Какие здесь подводные камни? Прежде всего стоимость эксплуатации. Второй момент – отсутствие полнофункциональной альтернативы. Мы можем только небольшие кусочки заменять, поскольку отечественное программное обеспечение и оборудование представляют собой лишь копии разработок западных производителей. Также следует упомянуть ограниченные возможности по сопровождению российских программных продуктов в течение длительного времени. Можно закупить системное и прикладное ПО, но нет никаких гарантий, что его производитель сохранит требуемый нами уровень поддержки на достаточно обозримый промежуток времени. Поэтому, чтобы реализовывать инфраструктурные проекты на российских ИТ-разработках, нужна большая смелость. Это путь долгий, трудный и неоднозначный.

Сейчас активно обсуждается 10-я версия Microsoft Windows, которая позволяет корпорации Microsoft получать практически полные сведения о пользователях. Нет ли здесь, на ваш взгляд, большего риска для госорганов, чем при переходе на отечественное ПО?

Наши пользователи только недавно научились работать в последних версиях Microsoft Windows, при этом многие пока чувствуют себя не очень уверенно. Поэтому если переключать их на другие среды и платформы автоматизированных рабочих мест, результат может оказаться еще хуже. Мы можем потерять работоспособность целых подразделений. Но не будем забывать, что, помимо Microsoft Windows, существуют и другие программные платформы, например Google Android, которые изначально разработаны таким образом, чтобы осуществлять сбор информации для рекламных целей, а также для предоставления сведений силовым структурам иностранных государств. 

Какие способы контроля за информацией существуют, если вы все-таки используете иностранное программное обеспечение?

Если мы говорим об утечках информации через Интернет, то основным защитным средством здесь является сегментирование сети, которая используется для повседневной работы сотрудников. Если на рабочем месте нет доступа в Интернет, то и утечки никакой не будет. Нужно строить локальные сети без доступа в Интернет. В органах государственной власти проповедуется этот принцип, и по нему строятся наши сети. Поэтому на тех компьютерах, где люди работают с информацией ограниченного доступа, ни в коем случае нет доступа в Интернет. Это единственный действенный способ. 

Существует мнение, что решения на базе открытого кода более безопасны. Согласны ли вы с этим?

Нужно разобраться, от кого мы защищаемся. Кто является потенциальным нарушителем или злоумышленником? Какие каналы уязвимости существуют для программного обеспечения? Прежде всего это ошибки в программном коде, которые позволяют удаленному пользователю выполнить произвольный код, получить доступ к информации, добиться отказа в обслуживании и т. д. Кроме того, есть еще целый класс уязвимостий. Речь идет о недекларированных возможностях. Исследование исполняемого кода – задача достаточно трудоемкая, тем не менее это позволяет проанализировать продукты и с полной уверенностью утверждать, что в них присутствуют недокументированные возможности. Они есть в достаточно широком спектре ПО – начиная от операционных систем для сетевого оборудования и заканчивая системным ПО для серверов и рабочих станций. Таким образом, если для нас актуальна угроза, заключающаяся в недекларированных возможностях, то нам, безусловно, необходимо использовать ПО с открытым исходным кодом. Исходный код подлежит анализу, в том числе автоматизированному, который позволяет детектировать ошибки и находить «закладки». Так что, по моему мнению, для государственных структур удобнее OpenSource-решения. Но для всего должно быть свое место и время. Тотальное применение открытого кода чревато финансовыми издержками и временными потерями, поскольку уже 20 лет, как я говорил, мы строим инфраструктуру на проприетарном ПО с закрытым кодом. Конечно, в отдельно взятой организации c легко управляемой инфраструктурой переход с Windows на Linux вполне выполнимая задача. Но если мы говорим о масштабах города, являющегося по сути конфедерацией органов власти, каждый из которых самостоятелен в принятии решения, данная задача усложняется многократно. Вместе с тем у нас широко используется ПО на основе Linux и FreeBSD. 

Как обеспечивается информационная безопасность на городском портале государственных услуг?

Портал государственных и муниципальных услуг Санкт-Петербурга является составной частью межведомственной автоматизированной информационной системы «Электронные госуслуги» (МАИС «ЭГУ»). Деятельность по защите информации здесь достаточно жестко регламентируется регуляторами. Поскольку МАИС «ЭГУ» и портал как ее составная часть являются государственной информационной системой, то методы защиты информации, которые мы применяем, строго соответствуют требованиям регуляторов. В частности, это Приказ № 17 ФСТЭК РФ, Постановление Правительства РФ 11-19 и ряд других документов. Подходы к защите информации нам даны сверху, а мы обязаны ими руководствоваться. Что касается инструментов, то это сертифицированные средства защиты информации. Регуляторы уже давно требуют применять в государственных информационных системах исключительно сертифицированные средства защиты данных. Поэтому могу сказать, что среди средств защиты информации у нас практически стопроцентное импортозамещение. Зарубежных средств мы не используем, за исключением разве что сертифицированных версий Microsoft Windows в отдельных случаях. Теперь на их место приходят отечественные разработки. Также мы используем межсетевые экраны Cisco, но и они постепенно замещаются отечественными решениями, в частности UTM-устройствами. Незаменимых средств нет, особенно в области защиты информации. 

Как соблюдаются нормы защиты информации при аутентификации и авторизации пользователей в государственных информационных системах?

В соответствии с требованиями законодательства каждая государственная информационная система имеет свои особенности. Она может быть либо централизованная, расположенная в границах контролируемой зоны, либо децентрализованная, распределенная в масштабах города или региона, с передачей информации по каналам связи общего пользования или по доверенным каналам. И в тех и в других случаях фигурируют свои модели угроз и используются соответствующие средства защиты информации. В частности, для защиты рабочих мест применяются сертифицированные средства предотвращения несанкционированного доступа (НСД), которые позволяют использовать механизмы защиты, вменяемые нам руководящими документами ФСТЭК РФ. Пользователями государственных информационных систем могут являться не только люди, но и смежные взаимодействующие системы. В этих случаях используется взаимная аутентификация на основе сертификатов открытого ключа. Все транзакции между системами осуществляются по защищенному каналу с применением сертифицированных средств криптографической защиты информации. Кто-либо посторонний вклиниться в этот информационный обмен не сможет.

Насколько широко используется электронная подпись?

Широко используется в электронном документообороте, при сдаче отчетности в различные федеральные органы власти, в электронной переписке, при взаимодействии через СМЭВ, систему межведомственного электронного взаимодействия. 

Многие руководители сегодня требуют мобильности, то есть хотят быть постоянно на связи и иметь возможность работать с документами в любое время и в любом месте. Как обеспечить при этом необходимый уровень безопасности?

Мобильность – это большая беда. Подросло поколение людей, которые уже стали руководителями. Они не мыслят свою деятельность без использования гаджетов. А гаджет, как я уже говорил, является устройством, предназначенным для утечки информации. Возникает парадоксальная ситуация. Руководителю необходимо обрабатывать информацию ограниченного доступа, однако сам стиль его работы предусматривает использование устройств, предназначенных для утечки этой информации. Это противоречие сложно устранить, поскольку объяснить руководителю, почему ему нельзя делать то, что удобно, порой достаточно сложно. С мобильными устройствами связан целый ряд дополнительных угроз, которые отсутствуют при работе с удаленными стационарными ПК. В частности, угроза утраты или потери устройства, перехвата информации через сети связи общего пользования. 

Но есть же MDM-решения, которые позволяют удаленно стирать информацию и полностью блокировать такие устройства. Даже самые крупные банки ими успешно пользуются. 

Сравнивать государственные и коммерческие структуры не совсем корректно. Так, если в банковской сфере можно оценить финансовые потери, вызванные нарушением информационной безопасности, то в органах власти это сделать тяжело. Да и модели нарушителей абсолютно разные: в первом случае это прежде всего криминальные круги или промышленный шпионаж, а во втором основной угрозой являются иностранные разведслужбы, у которых возможности намного выше. Поэтому я бы не стал рекомендовать использовать мобильные устройства для обработки информации ограниченного доступа. Платформа iOS, на которой работают iPad, является закрытой. Проверить ее на отсутствие недекларированных возможностей нельзя. Можно, конечно, на мобильные устройства установить сертифицированную и проверенную версию Linux, можно в качестве мобильной платформы использовать Microsoft Windows. Но, к сожалению, удобство, эргономика и предпочтения пользователей на стороне iPad. А это наиболее подозрительная платформа с точки зрения информационной безопасности. Код ее недоступен, проанализировать действия устройства практически невозможно. Та же компания Microsoft предоставляет код своих операционных систем для стационарных ПК для аудита соответствующими органами. Почему бы им не предоставить код и мобильных платформ? 

Итак, что же делать руководителям, которые хотят быть мобильными? 

Если человек уехал в отпуск, должен остаться его заместитель, который уполномочен выполнять его обязанности и обладает всей мерой ответственности. Иначе это будет не отпуск, а удаленная работа. Но если человек не хочет отрываться от дел и в отпуске, он должен хотя бы себя ограничить тем, что не будет работать с информацией ограниченного доступа. Нужно четко разделить информацию на два сектора: ограниченного доступа и общедоступную. 

Как обеспечить безопасность при использовании программных продуктов, выполненных на заказ сторонними отечественными разработчиками? 

Анализ кода – достаточно трудоемкая задача, требующая специалистов высокой компетенции. Вместе с тем самостоятельная разработка чревата множеством ошибок в коде. Мы неоднократно с этим сталкивались. Как всегда, в отсутствие времени допускаются ошибки, пусть и не злонамеренные. Кроме того, в процессе отладки часто ставятся контрольные точки и заглушки. Это не ошибки, это делается просто для удобства отладки программы. Подчас вместе с этими средствами отладки продукт сдается заказчику, что тоже не способствует безопасности. Чтобы минимизировать этот фактор, мы в каждом техническом задании обязательно указываем, что программный код не должен содержать известных уязвимостей. Мы делегируем эту обязанность подрядчику, который подписывает контракт и, соответственно, обязуется, что его программный код не содержит уязвимостей. Он может избежать их либо с применением средств автоматизированного анализа кода, либо с привлечением экспертов. Также мы сами при приемке работ проводим автоматизированный анализ кода, проверяем, насколько качественно подрядчик выполнил свою работу. Пока мы не очень широко этим занимаемся, но уже пробуем. 

Мобильные решения популярны не только у чиновников, но и у простых граждан. Как вы обеспечиваете безопасность мобильных сервисов для населения? Есть ли какие-то особенности в отличие от порталов госуслуг?

В каждом конкретном случае решается своя задача. К примеру, при оплате штрафов задействованы банковские системы, выполняющие задачу в соответствии со своими политиками и нормативами. Конечно, абсолютной гарантии никто дать не может. В мире постоянно фиксируются инциденты, связанные с хищением средств со счета при мобильных платежах. Вместе с тем гарантией является соответствие системы требованиям информационной безопасности, утвержденное в форме аттестации. Хотя, конечно, я не слышал о существовании мобильных приложений, работающих с информацией ограниченного доступа в государственных информационных системах. 

Изменилась ли модель угроз за последние годы?

Да, изменилась. Эти изменения связаны с развитием ИТ. За последние годы у нас широко распространились мобильные устройства. Появилось много удаленных пользователей. Все больше информационных процессов автоматизируется. Поэтому меняется и модель угроз. Появилось больше уязвимых объектов, информационных ресурсов, которые могут быть подвергнуты атакам. Число злоумышленников также возросло. Все взаимосвязано. 

И последний вопрос. Какие знания в первую очередь необходимы специалисту по ИБ, работающему в государственной структуре?

Все больше государственных функций реализуется с использованием ИТ и средств связи, мы все плотнее становимся зависимыми от них. Не следует ограничиваться только обеспечением конфиденциальности информации, а нужно принять во внимание еще два аспекта: доступность информации и ее целостность. Они не всегда ставятся во главу угла, но их значение неуклонно возрастает. У нас есть защита информации формальная, которая определяется документами регуляторов, а есть защита информации фактическая. Оба подхода нужно уметь гармонично сочетать. Возможно, это банальность, но делать это нужно уметь. Мы можем построить систему, которая будет отвечать всем требованиям регуляторов, но по факту будет уязвима. Мы можем обеспечивать защиту информации фактическую, но она не будет соответствовать требованиям руководящих документов, что тоже неправильно. Таким образом, нужно найти баланс и обеспечить оба направления необходимыми силами и средствами. 



Читайте также
В современном мире, где данные становятся основным ресурсом для принятия бизнес-решений, облачные системы бизнес-анализа играют ключевую роль в выявлении системных проблем, тенденций и точек роста. Одним из наиболее заметных решений на российском рынке является Visary BI — облачная система аналитики, разработанная НПЦ «БизнесАвтоматика».

Опубликовано 11.09.2015

Похожие статьи