Возможность комплексного подхода к обеспечению информационной безопасности в сфере проектирования государственных информационных систем, эффективность реализуемых проектов во многом определяются характером нормативно-правовых требований. Подобного мнения придерживается директор компании «Системы информационной безопасности» (ООО «СИБ») Андрей ПОМЕШКИН.
– Нормативно-правовые требования – основа для построения систем обеспечения ИБ предприятия. Какие из новых требований по защите информации, принятых в минувшем году, можно выделить как наиболее актуальные с точки зрения практики?
– В начале прошлого года были изданы приказы ФСТЭК, определяющие порядок построения государственных информационных систем, состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИС. Теперь специалисты руководствуются конкретными требованиями, предъявляемыми, в частности, к инструментам защиты. Установлено, что государственная информационная система должна пройти процедуру аттестации на соответствие требованиям ИБ, определен алгоритм проектирования ИС, предусмотрены проверка работоспособности предлагаемых решений и реализация других механизмов по обеспечению безопасности. Указанные нормативные требования дают возможность повысить эффективность работы над проектами и оптимизировать взаимодействие с партнерами и заказчиками. В этом мы смогли убедиться на собственном опыте уже во второй половине минувшего года.
– Какими лицензиями обладает ваша компания для работы в сфере построения защиты ИС?
– Компания СИБ имеет лицензию ФСТЭК России на осуществление деятельности по технической защите информации, лицензию ФСБ России на право распространения шифровальных (криптографических) средств и организацию их технического обслуживания. Набор лицензий достаточен для того, чтобы обеспечить защиту конфиденциальной информации при проектировании и построении ИС, решать вопросы, связанные с применением криптографических средств и настройкой механизмов защиты.
– Какой круг задач решают ваши специалисты в ходе реализации проектов по информационной безопасности?
– Прежде чем приступить к работе над проектом, причем независимо от сферы деятельности заказчика – будь то орган государственной власти, крупное предприятие топливно-энергетического комплекса, химической отрасли или учреждение банковской сферы, мы проводим обследование и анализ информационной системы. На основе полученных результатов предлагаем решения по обеспечению информационной защиты. Формируется пакет документов, необходимых для работы предприятия в соответствии с требованиями ФСТЭК, затем организуются работы по созданию системы защиты.
Существуют два подхода к защите в сфере ИБ: де-факто, исходя из соображений разумной достаточности, и де-юре, т. е. в строгом соответствии с законодательными требованиями, что, как показывает практика, далеко не всегда эффективно. Заказчики предпочитают первый вариант. При этом зачастую возникает много дополнительных вопросов, например дублируются функции используемых систем, а эффективность их работы снижается по мере изменения ситуации. В связи с этим большое значение имеют адаптивное управление системой защиты и услуги по ее мониторингу и сопровождению. Поэтому мы предлагаем процедуру аудита информационных систем.
– Какие проекты были реализованы компанией в сфере защиты государственных информационных систем? В чем специфика таких проектов?
– Проекты по защите интернет-порталов, модернизации других информационных ресурсов, позволяющих обеспечить подключение и электронное взаимодействие в рамках СМЭВ. Специфика этих проектов связана с необходимостью строгого соблюдения законодательных требований и повышения эффективности межведомственного взаимодействия как одной из приоритетных задач для органов государственной власти. Наиболее сложной является процедура настройки, поскольку модули защиты устанавливаются на уже действующую систему и оказывают влияние на ее функционирование.
Главное правило, которому следуют наши специалисты, – не навреди. Дополнительная проблема связана с тем, что сертифицированных средств защиты, которые могут применяться в государственных информационных системах, существует не много. Правильный выбор средств защиты для определенной информационной среды по результатам тестирования – основная задача при построении ИС. От ее решения зависят безопасная работа организации или предприятия, соблюдение всех технологических циклов.
В настоящее время заказчики, причем не только госучреждения, но и, например, предприятия энергетики, особое внимание уделяют вопросам защиты от утечки информации по инсайдерским каналам. Увеличивается спрос на решения, позволяющие контролировать этот процесс внутри предприятия.
– Насколько востребованы государственным сектором проекты по защите от несанкционированного доступа (НСД)? Какие проблемы – технические, организационные – свойственны таким проектам?
– Защита от несанкционированного доступа – один из быстро растущих сегментов. В соответствии с упомянутыми приказами ФСТЭК реализация этого механизма в числе основных требований к проектированию государственных информационных систем наряду с обеспечением защиты каналов передачи информации, защиты от внешних угроз и т. д. Обсуждение каждого проекта начинается, как правило, с поиска ответа на вопрос, как планируется обеспечивать защиту от НСД.
Когда выбор сделан, определен алгоритм работы над проектом, на первый план выходит вопрос финансирования, который в госучреждениях решается довольно непросто. Дело в том, что заранее невозможно заложить в бюджет всю сумму. На первоначальном этапе нам приходится работать с годовым опережением ради задела на будущее. Другая проблема – отношение сотрудников заказчика к проблеме защиты информации. Зачастую они уверены в том, что это сфера ответственности исключительно компании – исполнителя проекта, хотя немалый объем работы ложится на плечи самих сотрудников. Подрядчик может подготовить рекомендации по обеспечению защиты, но вряд ли способен заставить сотрудников соблюдать установленные правила, требования и регламенты. Давно известная проблема «пароль на клавиатуре» по-прежнему актуальна, как и отношение к инструментам защиты как к средствам, мешающим в организации работы. Важно, чтобы у заказчика был четкий регламент работы сотрудников
Не всегда заказчик готов своевременно предоставить рабочие места и организовать свою деятельность таким образом, чтобы наши специалисты могли приступить к реализации проекта, несмотря на согласованные сроки. Упущения на предварительном этапе не позволяют полностью выполнить первоначально запланированный объем работ.
– Комплексный подход к обеспечению ИБ – по всей видимости, единственно правильный путь при построении защищенных ИС. Можно ли сегодня обеспечить комплексную информационную защиту ИС предприятия на базе продуктов одного вендора? С какими компаниями – поставщиками продуктов ИБ сотрудничает ваша компания?
– Для обеспечения комплексного подхода к решению задач ИБ конкретного предприятия необходимо построить правильную модель угроз, на основе которой выбираются соответствующие механизмы, позволяющие предотвратить негативные последствия. В настоящее время нет вендора, который способен предложить полный спектр возможных решений. Вендоры, которые специализируются на вопросах сетевой безопасности, не занимаются решениями по защите от НСД и т. д. В каждом проекте приходится применять продукты разных поставщиков и попутно решать проблему взаимодействия используемых средств защиты. Пожалуй, единственный российский разработчик, представляющий почти всю линейку продуктов безопасности, – компания «Код безопасности». Однако не всегда предлагаемые решения подходят для конкретного предприятии или для определенной информационной среды.
Наша компания развивает партнерские отношения с поставщиками, занимающими лидирующие позиции в сегменте продуктов и решений для сетевой инфраструктуры, защиты от НСД. Так, решения компании «ИнфоТеКС» широко применяются в системах межведомственного взаимодействия. Современные продукты для защиты от НСД предлагают компании «Конфидент» и «Код безопасности».
– Какие продукты и решения в области ИБ, на ваш взгляд, будут наиболее востребованы в ближайшем будущем?
– Задачи информационной безопасности относятся к наиболее приоритетным в пред- и посткризисные периоды развития экономики. Сегодня компании готовы вкладывать средства в обеспечение защиты своей информации и данных, ценность которых повышается по мере становления информационного общества. Косвенным подтверждением этого является спрос на специалистов в сфере ИБ. К слову, в Новосибирске на базе технопарка в Академгородке наша компания открыла межвузовскую учебную лабораторию. Приглашаем вузы региона к сотрудничеству по подготовке специалистов, повышению квалификации сотрудников, которые смогут тестировать и внедрять продукты в области ИБ, работать с современными информационными системами.
Что касается перспективного развития этого сегмента рынка, то я бы выделил задачи по разграничению полномочий в системе защиты от НСД и связанное с ними направление DLP-решений. Еще одной актуальной темой является обеспечение возможности встраивания модулей защиты непосредственно на этапе разработки прикладного ПО. Решение проблемы безопасности при написании программного кода – наиболее эффективный вариант реализации комплексного подхода в сфере ИБ. Подобная идея родилась в процессе взаимодействия с новосибирскими разработчиками ПО. Наша компания намерена активно развивать данное направление. Надеюсь, в скором времени мы сможем предложить заказчикам комплексные решения, которые будут удовлетворять их запросы не только с точки зрения выполнения прикладных функций, но и обеспечения ИБ.
