Защита в региональном масштабе
Информационной безопасностью занимаются не только федеральные органы исполнительной власти и регулирующие структуры, но и регионы. Помимо задач общероссийского масштаба, региональным ИБ-руководителям приходится решать и вопросы на своем уровне: инфраструктурные, интеграционные и другие. В том числе на повестке дня стоит вопрос об импортозамещении зарубежных решений для обеспечения защиты информации. Об этом нам рассказал Александр Попов, первый заместитель председателя Комитета цифрового развития Ленинградской области, начальник департамента информационной безопасности и инфраструктуры.
Что представляет собой подход к информационной безопасности в отдельно взятом регионе? Чем он отличается от общефедерального подхода и подхода к защите очень крупного бизнеса?
Конечно, регионы работают в рамках федерального законодательства. В вопросах обеспечения информационной безопасности органы власти действуют строго по существующим нормативным правовым актам в области защиты информации. Крупный бизнес использует собственный индивидуальный подход при обеспечении информационной безопасности, поскольку не все НПА распространяются на коммерческие компании. Поэтому бизнес может применять уникальные подходы, технологии, в том числе использовать не сертифицированные средства защиты информации в тех случаях, когда это прямо не запрещено законом.
Чем сегодня занимаетесь вы и ваши подчиненные? Какие задачи являются наиболее приоритетными?
Задач у нас немало. Расскажу о самых главных. Есть текущие задачи, они касаются процесса защиты информации, который необходимо поддерживать и развивать. А есть отдельные проекты, актуальные на данном этапе, — тотальное импортозамещение, развитие аппаратно-программного комплекса «Безопасный город», Ситуационного центра губернатора Ленинградской области. Нами проведен аудит информационной безопасности и инвентаризация объектов информационнотелекоммуникационной инфраструктуры Администрации Ленинградской области, сформирован ранжированный по критичности перечень уязвимостей, составлен план работ по их нейтрализации. Разработан план модернизации информационно-телекоммуникационных систем Администрации Ленинградской области, который предусматривает количественные и структурные изменения для обеспечения растущих потребностей в защищенном информационном обмене между органами власти Ленинградской области, гражданами и организациями.
Какие основные запросы поступают сегодня вашему комитету от коллег из других ведомств?
Сегодня все говорят о многократно возросшем количестве атак на государственные и региональные информационные системы, на объекты КИИ. Именно поэтому основные вопросы, поступающие в наш комитет, связаны с необходимостью защиты критической информационной инфраструктуры и информационных систем от компьютерных атак.
Зарубежные разработчики средств информационной безопасности покинули российский рынок. Им на смену приходят отечественные компании. Как вы оцениваете ситуацию с импортозамещением?
Могу сказать, что ситуация в этой сфере не критичная. В области информационной безопасности на рынке Российской Федерации сложилась благоприятная конъюнктура, сформировавшийся рынок насыщен средствами защиты информации, а уход иностранных вендоров не сильно скажется на качестве и эффективности комплексных систем защиты информации российских заказчиков.
В соответствии с Указом Президента № 166 госкомпании не могут закупать иностранное ПО для объектов критической информационной инфраструктуры, а с 2025 года они не смогут использовать иностранное ПО. Как обстоят дела в вашем регионе?
Сегодня в Ленинградской области применяются в основном решения отечественного производства, а дополнительно в нашем регионе во исполнение данного указа Президента Российской Федерации проводятся исследовательские работы для определения возможности замещения оставшейся доли используемого иностранного ПО на объектах КИИ без потери функционала и для сохранения эффективности действующих систем.
Чиновники стараются сделать жизнь граждан более удобной и комфортной благодаря внедрению цифровых сервисов. Как при этом соблюсти баланс удобства и безопасности? Сложнее ли стало сохранять этот баланс в условиях санкций и международной напряженности последних месяцев?
Как я уже сказал, рынок информационной безопасности Российской Федерации насыщен отечественными решениями и практически каждое иностранное ИБ-решение имеет отечественный аналог.
Россию покинули многие талантливые ИТ- и ИБ-специалисты. Труднее ли стало решать кадровые задачи за последние месяцы?
Нет, я бы так не сказал. Нужно отметить, что основанная масса данных специалистов продолжает работу в российских компаниях, но в удаленном режиме. Что касается конкретно нашего региона, мы ведем постоянную работу по привлечению талантливых ИТ и ИБ-специалистов, в том числе за счет плотной координации с высшими и средними учебными заведениями нашего региона. Сложности однозначно есть, так как в нашем случае специалисты требуются на постоянную занятость с режимом работы FullTime. Текущая конъюнктура требует особого подхода к этим специалистам. Все кадровые вопросы решаются так же спокойно, как и раньше.
Как известно, существуют рейтинги регионов по уровню цифровизации. Есть ли такие рейтинги по уровню ИБ? Если да, то на каком месте Ленинградская область и что обычно оценивается, из чего складывается оценка?
Существует рейтинг руководителя цифровой трансформации региона, одна из его составляющих — показатели по информационной безопасности. У Ленинградской области максимальный балл по этому показателю. Насколько нам известно, иных рейтингов по уровню ИБ в нашей стране сегодня не существует. Как правило, оценка уровня защищенности региона определяется на основании регулярных проверок со стороны контролирующих органов, в частности ФСТЭК России и ФСБ России. По результатам регулярных проверок Ленинградская область доказывает, что применяемые подходы и решения эффективны и обеспечивают требуемый уровень информационной безопасности.
В начале нашей беседы вы упомянули программу «Безопасный город». Как она сегодня развивается? Что реализовано недавно и какие планы намечены на ближайшее будущее?
В декабре 2019 года была создана система интеллектуального видеонаблюдения и видеоаналитики аппаратно-программного комплекса «Безопасный город» на территории Ленинградской области (ВАН АПК БГ).
Эта система предназначена для того, чтобы повысить уровень безопасности населения и территории Ленинградской области путем создания новых сетей видеонаблюдения в муниципальных образованиях, а также интеграции существующих муниципальных сетей видеонаблюдения в единую областную систему.
В систему ВАН АПК БГ включены и доступны пользователям порядка 1900 видеокамер, расположенных в муниципальных образованиях Ленинградской области (42 населенных пункта), на региональных и межмуниципальных автодорогах, а также 39 видеокамер, принадлежащих Санкт-Петербургу и расположенных на границе с Ленинградской областью. Помимо этого, видеоизображение поступает и анализируется с коммерческих, транспортных и инфраструктурных объектов, таких как торговые центры «Мега Дыбенко», «Мега Парнас», строительные площадки социальных объектов Всеволожского муниципального района Санкт-Петербурга, комплекс «Умных остановок», расположенных в Гатчине Ленинградской области, а также общественное пространство «Парк Песчанка». Работу по подключению новых камер видеонаблюдения мы проводим планомерно.
К концу 2022 года предполагается завершить интеграцию с Автоматизированной системой обработки данных автоматической фотовидеофиксации административных правонарушений (АСОД АФАП). Таким образом, в системе ВАН АПК БГ количество камер видеонаблюдения с аналитикой распознавания государственных регистрационных знаков достигает уже сегодня 270 единиц и в декабре 2022 составит не менее 551 единицы.
Как развивается государственно-частное партнерство в региональных ИБ-инициативах?
Я бы очень осторожно говорил о ГЧП в сфере защиты государственной информации, если можно так выразиться, в силу специфики. Не все можно доверить бизнесу, во‑первых. Во‑вторых, необходимо сохранить независимость в принятии решений. Безусловно, на рынке есть инициативы со стороны системообразующих предприятий, но данные инициативы требуют детальной проработки и анализа, поскольку заинтересованность в качественном результате должны иметь обе стороны ГЧП и этих результатов надо добиться без ущерба в уровне и качестве защищенности ИТ-инфраструктуры.
Опубликовано 03.11.2022