Безопасность информации на государственном уровне

Иван Громов

Бездумное импортозамещение несет в себе еще большую угрозу, чем использование импортного оборудования и ПО

Работа государственных структур предъявляет особые требования к информационной безопасности и защите данных. Зачастую эти требования намного жестче, чем в коммерческих компаниях. Какими принципами руководствуются и какими средствами пользуются государственные служащие при решении тех или иных задач? Об этом нам рассказал Иван Громов, председатель Комитета по информатизации и связи Санкт-Петербурга.

В последнее время тема импортозамещения не сходит со страниц СМИ. Какие шаги предпринимает правительство Санкт-Петербурга по замещению иностранного ПО и снижению зависимости от него?

Бездумное импортозамещение несет в себе еще большую угрозу, чем использование импортного оборудования и ПО. Тотальное импортозамещение может привести к фатальным последствиям, поэтому подходить к данному вопросу нужно очень вдумчиво и осторожно. Надо разобраться, что мы можем заместить, а что нет и какие преимущества от такого замещения у нас появятся. Если разложить все по полочкам, то системное программное обеспечение заменить довольно сложно, так как это влечет большие издержки, в том числе по переподготовке персонала и специалистов по эксплуатации. Мы более 20 лет строили инфраструктуру, которая изначально базировалась на импортном ПО, в первую очередь Microsoft Windows, поэтому вот так, в одночасье, все это оставить и перейти на отечественные продукты вряд ли сможем себе позволить. Какие здесь подводные камни? Прежде всего стоимость эксплуатации. Второй момент – отсутствие полнофункциональной альтернативы. Мы можем только небольшие кусочки заменять, поскольку отечественное программное обеспечение и оборудование представляют собой лишь копии разработок западных производителей. Также следует упомянуть ограниченные возможности по сопровождению российских программных продуктов в течение длительного времени. Можно закупить системное и прикладное ПО, но нет никаких гарантий, что его производитель сохранит требуемый нами уровень поддержки на достаточно обозримый промежуток времени. Поэтому, чтобы реализовывать инфраструктурные проекты на российских ИТ-разработках, нужна большая смелость. Это путь долгий, трудный и неоднозначный.

Сейчас активно обсуждается 10-я версия Microsoft Windows, которая позволяет корпорации Microsoft получать практически полные сведения о пользователях. Нет ли здесь, на ваш взгляд, большего риска для госорганов, чем при переходе на отечественное ПО?

Наши пользователи только недавно научились работать в последних версиях Microsoft Windows, при этом многие пока чувствуют себя не очень уверенно. Поэтому если переключать их на другие среды и платформы автоматизированных рабочих мест, результат может оказаться еще хуже. Мы можем потерять работоспособность целых подразделений. Но не будем забывать, что, помимо Microsoft Windows, существуют и другие программные платформы, например Google Android, которые изначально разработаны таким образом, чтобы осуществлять сбор информации для рекламных целей, а также для предоставления сведений силовым структурам иностранных государств.

Какие способы контроля за информацией существуют, если вы все-таки используете иностранное программное обеспечение?

Если мы говорим об утечках информации через Интернет, то основным защитным средством здесь является сегментирование сети, которая используется для повседневной работы сотрудников. Если на рабочем месте нет доступа в Интернет, то и утечки никакой не будет. Нужно строить локальные сети без доступа в Интернет. В органах государственной власти проповедуется этот принцип, и по нему строятся наши сети. Поэтому на тех компьютерах, где люди работают с информацией ограниченного доступа, ни в коем случае нет доступа в Интернет. Это единственный действенный способ.

Существует мнение, что решения на базе открытого кода более безопасны. Согласны ли вы с этим?

Нужно разобраться, от кого мы защищаемся. Кто является потенциальным нарушителем или злоумышленником? Какие каналы уязвимости существуют для программного обеспечения? Прежде всего это ошибки в программном коде, которые позволяют удаленному пользователю выполнить произвольный код, получить доступ к информации, добиться отказа в обслуживании и т. д. Кроме того, есть еще целый класс уязвимостий. Речь идет о недекларированных возможностях. Исследование исполняемого кода – задача достаточно трудоемкая, тем не менее это позволяет проанализировать продукты и с полной уверенностью утверждать, что в них присутствуют недокументированные возможности. Они есть в достаточно широком спектре ПО – начиная от операционных систем для сетевого оборудования и заканчивая системным ПО для серверов и рабочих станций. Таким образом, если для нас актуальна угроза, заключающаяся в недекларированных возможностях, то нам, безусловно, необходимо использовать ПО с открытым исходным кодом. Исходный код подлежит анализу, в том числе автоматизированному, который позволяет детектировать ошибки и находить «закладки». Так что, по моему мнению, для государственных структур удобнее OpenSource-решения. Но для всего должно быть свое место и время. Тотальное применение открытого кода чревато финансовыми издержками и временными потерями, поскольку уже 20 лет, как я говорил, мы строим инфраструктуру на проприетарном ПО с закрытым кодом. Конечно, в отдельно взятой организации c легко управляемой инфраструктурой переход с Windows на Linux вполне выполнимая задача. Но если мы говорим о масштабах города, являющегося по сути конфедерацией органов власти, каждый из которых самостоятелен в принятии решения, данная задача усложняется многократно. Вместе с тем у нас широко используется ПО на основе Linux и FreeBSD.

Как обеспечивается информационная безопасность на городском портале государственных услуг?

Портал государственных и муниципальных услуг Санкт-Петербурга является составной частью межведомственной автоматизированной информационной системы «Электронные госуслуги» (МАИС «ЭГУ»). Деятельность по защите информации здесь достаточно жестко регламентируется регуляторами. Поскольку МАИС «ЭГУ» и портал как ее составная часть являются государственной информационной системой, то методы защиты информации, которые мы применяем, строго соответствуют требованиям регуляторов. В частности, это Приказ № 17 ФСТЭК РФ, Постановление Правительства РФ 11-19 и ряд других документов. Подходы к защите информации нам даны сверху, а мы обязаны ими руководствоваться. Что касается инструментов, то это сертифицированные средства защиты информации. Регуляторы уже давно требуют применять в государственных информационных системах исключительно сертифицированные средства защиты данных. Поэтому могу сказать, что среди средств защиты информации у нас практически стопроцентное импортозамещение. Зарубежных средств мы не используем, за исключением разве что сертифицированных версий Microsoft Windows в отдельных случаях. Теперь на их место приходят отечественные разработки. Также мы используем межсетевые экраны Cisco, но и они постепенно замещаются отечественными решениями, в частности UTM-устройствами. Незаменимых средств нет, особенно в области защиты информации.

Как соблюдаются нормы защиты информации при аутентификации и авторизации пользователей в государственных информационных системах?

В соответствии с требованиями законодательства каждая государственная информационная система имеет свои особенности. Она может быть либо централизованная, расположенная в границах контролируемой зоны, либо децентрализованная, распределенная в масштабах города или региона, с передачей информации по каналам связи общего пользования или по доверенным каналам. И в тех и в других случаях фигурируют свои модели угроз и используются соответствующие средства защиты информации. В частности, для защиты рабочих мест применяются сертифицированные средства предотвращения несанкционированного доступа (НСД), которые позволяют использовать механизмы защиты, вменяемые нам руководящими документами ФСТЭК РФ. Пользователями государственных информационных систем могут являться не только люди, но и смежные взаимодействующие системы. В этих случаях используется взаимная аутентификация на основе сертификатов открытого ключа. Все транзакции между системами осуществляются по защищенному каналу с применением сертифицированных средств криптографической защиты информации. Кто-либо посторонний вклиниться в этот информационный обмен не сможет.

Насколько широко используется электронная подпись?

Широко используется в электронном документообороте, при сдаче отчетности в различные федеральные органы власти, в электронной переписке, при взаимодействии через СМЭВ, систему межведомственного электронного взаимодействия.

Многие руководители сегодня требуют мобильности, то есть хотят быть постоянно на связи и иметь возможность работать с документами в любое время и в любом месте. Как обеспечить при этом необходимый уровень безопасности?

Мобильность – это большая беда. Подросло поколение людей, которые уже стали руководителями. Они не мыслят свою деятельность без использования гаджетов. А гаджет, как я уже говорил, является устройством, предназначенным для утечки информации. Возникает парадоксальная ситуация. Руководителю необходимо обрабатывать информацию ограниченного доступа, однако сам стиль его работы предусматривает использование устройств, предназначенных для утечки этой информации. Это противоречие сложно устранить, поскольку объяснить руководителю, почему ему нельзя делать то, что удобно, порой достаточно сложно. С мобильными устройствами связан целый ряд дополнительных угроз, которые отсутствуют при работе с удаленными стационарными ПК. В частности, угроза утраты или потери устройства, перехвата информации через сети связи общего пользования.

Но есть же MDM-решения, которые позволяют удаленно стирать информацию и полностью блокировать такие устройства. Даже самые крупные банки ими успешно пользуются.

Сравнивать государственные и коммерческие структуры не совсем корректно. Так, если в банковской сфере можно оценить финансовые потери, вызванные нарушением информационной безопасности, то в органах власти это сделать тяжело. Да и модели нарушителей абсолютно разные: в первом случае это прежде всего криминальные круги или промышленный шпионаж, а во втором основной угрозой являются иностранные разведслужбы, у которых возможности намного выше. Поэтому я бы не стал рекомендовать использовать мобильные устройства для обработки информации ограниченного доступа. Платформа iOS, на которой работают iPad, является закрытой. Проверить ее на отсутствие недекларированных возможностей нельзя. Можно, конечно, на мобильные устройства установить сертифицированную и проверенную версию Linux, можно в качестве мобильной платформы использовать Microsoft Windows. Но, к сожалению, удобство, эргономика и предпочтения пользователей на стороне iPad. А это наиболее подозрительная платформа с точки зрения информационной безопасности. Код ее недоступен, проанализировать действия устройства практически невозможно. Та же компания Microsoft предоставляет код своих операционных систем для стационарных ПК для аудита соответствующими органами. Почему бы им не предоставить код и мобильных платформ?

Итак, что же делать руководителям, которые хотят быть мобильными?

Если человек уехал в отпуск, должен остаться его заместитель, который уполномочен выполнять его обязанности и обладает всей мерой ответственности. Иначе это будет не отпуск, а удаленная работа. Но если человек не хочет отрываться от дел и в отпуске, он должен хотя бы себя ограничить тем, что не будет работать с информацией ограниченного доступа. Нужно четко разделить информацию на два сектора: ограниченного доступа и общедоступную.

Как обеспечить безопасность при использовании программных продуктов, выполненных на заказ сторонними отечественными разработчиками?

Анализ кода – достаточно трудоемкая задача, требующая специалистов высокой компетенции. Вместе с тем самостоятельная разработка чревата множеством ошибок в коде. Мы неоднократно с этим сталкивались. Как всегда, в отсутствие времени допускаются ошибки, пусть и не злонамеренные. Кроме того, в процессе отладки часто ставятся контрольные точки и заглушки. Это не ошибки, это делается просто для удобства отладки программы. Подчас вместе с этими средствами отладки продукт сдается заказчику, что тоже не способствует безопасности. Чтобы минимизировать этот фактор, мы в каждом техническом задании обязательно указываем, что программный код не должен содержать известных уязвимостей. Мы делегируем эту обязанность подрядчику, который подписывает контракт и, соответственно, обязуется, что его программный код не содержит уязвимостей. Он может избежать их либо с применением средств автоматизированного анализа кода, либо с привлечением экспертов. Также мы сами при приемке работ проводим автоматизированный анализ кода, проверяем, насколько качественно подрядчик выполнил свою работу. Пока мы не очень широко этим занимаемся, но уже пробуем.

Мобильные решения популярны не только у чиновников, но и у простых граждан. Как вы обеспечиваете безопасность мобильных сервисов для населения? Есть ли какие-то особенности в отличие от порталов госуслуг?

В каждом конкретном случае решается своя задача. К примеру, при оплате штрафов задействованы банковские системы, выполняющие задачу в соответствии со своими политиками и нормативами. Конечно, абсолютной гарантии никто дать не может. В мире постоянно фиксируются инциденты, связанные с хищением средств со счета при мобильных платежах. Вместе с тем гарантией является соответствие системы требованиям информационной безопасности, утвержденное в форме аттестации. Хотя, конечно, я не слышал о существовании мобильных приложений, работающих с информацией ограниченного доступа в государственных информационных системах.

Изменилась ли модель угроз за последние годы?

Да, изменилась. Эти изменения связаны с развитием ИТ. За последние годы у нас широко распространились мобильные устройства. Появилось много удаленных пользователей. Все больше информационных процессов автоматизируется. Поэтому меняется и модель угроз. Появилось больше уязвимых объектов, информационных ресурсов, которые могут быть подвергнуты атакам. Число злоумышленников также возросло. Все взаимосвязано.

И последний вопрос. Какие знания в первую очередь необходимы специалисту по ИБ, работающему в государственной структуре?

Все больше государственных функций реализуется с использованием ИТ и средств связи, мы все плотнее становимся зависимыми от них. Не следует ограничиваться только обеспечением конфиденциальности информации, а нужно принять во внимание еще два аспекта: доступность информации и ее целостность. Они не всегда ставятся во главу угла, но их значение неуклонно возрастает. У нас есть защита информации формальная, которая определяется документами регуляторов, а есть защита информации фактическая. Оба подхода нужно уметь гармонично сочетать. Возможно, это банальность, но делать это нужно уметь. Мы можем построить систему, которая будет отвечать всем требованиям регуляторов, но по факту будет уязвима. Мы можем обеспечивать защиту информации фактическую, но она не будет соответствовать требованиям руководящих документов, что тоже неправильно. Таким образом, нужно найти баланс и обеспечить оба направления необходимыми силами и средствами.

Журнал IT Manager

Опубликовано 11.09.2015

Импортозамещение Безопасность Электронные госуслуги

Предыдущая
Центр импортозамещения открылся в Петербурге

Следующая
Новый импульс для развития города

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30