Игорь Никонов: Защищая киберпространство. Санкт-Петербург на передовой цифровой безопасности
Информационная безопасность стала ключевой проблемой для государственных структур России. Руководствуясь основными документами, такими как Указ Президента РФ № 250 и Постановление Правительства РФ ПП-860, Комитет по информатизации и связи Санкт-Петербурга активно работает над определением и предотвращением «недопустимых событий». При этом особое внимание уделяется сотрудничеству с образовательными учреждениями и выбору стратегий в рамках политики импортозамещения. О необходимости комплексного подхода, включающего технические, образовательные, правовые и организационные меры, для укрепления информационной безопасности органов власти рассказывает первый заместитель председателя Комитета по информатизации и связи Санкт-Петербурга Игорь Никонов.
В недавно обновленном рейтинге цифровой трансформации государственных органов от Минцифры России теперь присутствует параметр информационной безопасности. Это требует регулярной отчетности по вопросам защиты ИТ-систем, включая проведение тестирований через программу Bug Bounty. Какие изменения в организации работы Комитета по информатизации и связи принесет введение данного параметра?
Поскольку данный параметр подразумевает определенный показатель информационной безопасности, основанный на текущем уровне защищенности органа, и его обновление необходимо осуществлять раз в месяц, добавляется необходимость в проведении дополнительных аудитов. Результаты такого аудита показывают актуальную потребность в тех или иных организационных или технических мероприятиях. На законодательном уровне в настоящий момент не определен термин «Bug Bounty», что создает определенные трудности при реализации этого направления работ. Показатели рейтинга цифровой трансформации демонстрируют векторы, в направлении которых необходимо работать, и дают возможность органам государственной власти определять приоритетность и основные направления в решении важных вопросов информационной безопасности.
Как цифровизация городских услуг повлияла на уровень информационной безопасности?
В текущих реалиях централизованное внедрение единых цифровых решений повышает риски проявления новых угроз безопасности. В связи с этим требуется увеличение числа необходимых мероприятий по повышению уровня защищенности информационной инфраструктуры исполнительных органов государственной власти Санкт-Петербурга. Мы постоянно проводим анализ новых тактик и техник нарушителей на основе анализа реальных атак. Как следствие, увеличивается нагрузка на профильные подразделения и появляется необходимость в создании новых структур по более узким направлениям информационной безопасности.
Какова процедура реагирования на инциденты кибербезопасности в информационных системах города?
В рамках текущих требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденных приказом ФСТЭК России, необходимо реализовать мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак.
В июне 2022 года был создан Ведомственный центр на базе службы мониторинга информационной безопасности подведомственного Комитету Санкт-Петербургского государственного унитарного предприятия «Санкт-Петербургский информационно-аналитический центр». Силами Ведомственного центра во взаимодействии с операторами связи реализуется многоуровневая интегрированная система мониторинга информационной безопасности инфраструктуры органов государственной власти Санкт-Петербурга. По факту признания события информационной безопасности инцидентом Ведомственный центр подготавливает соответствующие мероприятия по устранению его последствий и причин возникновения, чтобы в дальнейшем предотвратить подобные инциденты. Централизация мониторинга событий безопасности решает проблему необходимости создания для каждого органа государственной власти Санкт-Петербурга отдельной службы мониторинга информационной безопасности.
Планируется ли создание специализированного центра по борьбе с киберпреступностью в Санкт-Петербурге?
Создание отдельного подобного учреждения пока не планируется, однако сейчас можно воспользоваться уже созданной базой Ведомственного центра.
Учитывая активные инвестиции ФСТЭК в разработку операционных систем на базе Linux, можно ли ожидать, что в будущем она станет стандартом для российских органов власти? Как планируется решить вопрос переобучения пользователей, привыкших к Windows, и кто возьмет на себя ответственность за этот процесс?
На данный момент уже проводится внедрение отечественных операционных систем на ядре Linux в информационную инфраструктуру исполнительных органов государственной власти Санкт-Петербурга. В рамках пилотного проекта часть автоматизированных рабочих мест пользователей эксплуатировалась на ALT Linux, и по его результатам выявлена несовместимость с некоторым специальным программным обеспечением государственных информационных систем, в результате чего был осуществлен переход на Astra Linux.
Указ Президента РФ № 250, Постановление Правительства РФ ПП-860, Распоряжение Правительства РФ 1661р предписывают организациям определять недопустимые события на уровне высшего руководства — такого как губернатор, вице-губернатор, мэр и др. Как в вашем ведомстве осуществляется реализация этих требований? С какими проблемами и трудностями пришлось столкнуться и какие стратегии оказались наиболее эффективными для их решения?
Первоначально в рамках исполнения перечисленных нормативно-правовых актов по отношению к ключевым органам государственной власти не было конкретизировано понятие самого «недопустимого события».
При первичном проведении необходимых для оценки уровня защищенности своих информационных систем Комитетом по информатизации и связи с привлечением подведомственного Комитету СПб ГУП «СПб ИАЦ» «недопустимое событие» рассматривалось с точки зрения самой угрозы безопасности информации, реализация которой приведет к нарушению критических процессов или прав и свобод гражданина.
Комитет организовывал проведение анализа оценки критических процессов исполнительных органов государственной власти Санкт-Петербурга, оценку защищенности государственных информационных систем, в том числе обрабатываемых персональных данных, поиск и анализ уязвимостей в используемом программном обеспечении.
В дальнейшем Минцифры России разъяснило свою позицию по отношению к понятию «недопустимое событие», под которым подразумевались последствия нарушения одного из свойств информации: например, утечка персональных данных, отказ в обслуживании информационной системы. С учетом данных разъяснений пришлось пересмотреть перечень определенных «недопустимых событий».
Согласно требованиям ФСТЭК и ФСБ, у средств защиты или средств обнаружения, предотвращения и ликвидации последствий компьютерных атак должна быть действующая техническая поддержка. Как вы рекомендуете выполнить это требование для решений open source?
В рамках требований к защите информации, не составляющей государственную тайну и содержащейся в государственных информационных системах, должны применяться сертифицированные средства защиты информации. При использовании программного обеспечения с открытым исходным кодом лицо, заявившее средство защиты информации на соответствие обязательным требованиям по безопасности информации, должно прикладывать к продукту текст лицензии, который считается договором в рамках положения о системе сертификации. Это же лицо отвечает и за устранение уязвимостей в своем средстве защиты информации независимо от того, в каком компоненте была найдена уязвимость. Разрабатываемые обновления для таких программных компонентов все равно исходят от первоначального разработчика. В условиях текущей геополитической обстановки это может вызывать серьезные вопросы.
Как Комитет сотрудничает с образовательными учреждениями по вопросам информационной безопасности?
В текущем году Комитет по информатизации и связи взаимодействовал с Санкт-Петербургским государственным университетом телекоммуникаций им. профессора М. А. Бонч-Бруевича по указанному направлению. В рамках киберучений у участников сформировались знания, навыки и умения по направлениям: содержание корпоративной инфраструктуры и подходы к обеспечению ее безопасности; состав и функциональные элементы компонентной базы центра (структурного подразделения) по обеспечению информационной безопасности; сбор и анализ данных при мониторинге инцидентов информационной безопасности, виды типовых инцидентов и тактика реагирования на них.
В данном направлении планируется продолжать тесное сотрудничество с образовательными учреждениями. Рассматривается возможность создания постоянно действующего киберполигона для отработки навыков по противодействию компьютерным атакам.
В контексте текущей политики импортозамещения можно ли выделить определенные продукты или решения в сфере информационной безопасности (ИБ), которые в настоящее время недоступны или недостаточно представлены на российском рынке? Какие инновационные разработки или технологии могли бы внести значительный вклад в укрепление ИБ в России?
Сейчас на рынке отсутствуют средства защиты контейнеризации. Также можно наблюдать отсутствие полноценного аналога среды виртуализации VMware vSphere, в том числе сертифицированных средств защиты от несанкционированного доступа на мобильные платформы технических средств. С учетом особенностей компьютерных атак актуальным направлением остается развитие межсетевых экранов для глубокой фильтрации трафика, интегрированных с IDS/IPS и обладающих возможностью контролировать и блокировать трафик на уровне приложений.
Нехватка средств защиты информации на рынке требует комплексных мер, включающих не только технические, но и организационные, образовательные и правовые аспекты в части сотрудничества между организациями и предприятиями для обмена информацией о новых угрозах и совместной разработки эффективных средств защиты информации.
Опубликовано 05.10.2023