В круглом столе принимают участие:
Андрей ГРИДИН, руководитель проектов разработки информационных систем, компания «ФОРС»
Игорь КОРЧАГИН, руководитель группы обеспечения безопасности информации, компания ИВК
Михаил КОТУХОВ, главный архитектор по информационной безопасности «Атринити», группа «Астерос»
Дмитрий ОГОРОДНИКОВ, директор центра компетенций по информационной безопасности, компания «Техносерв»
Виктор СЕРДЮК, CISSP, генеральный директор, АО «ДиалогНаука», к. т. н.
Рустем ТУРСУНБАЕВ, начальник отдела информационной безопасности, ООО «НПП «Системные ресурсы»
Алексей ФИЛАТЕНКОВ, руководитель направления информационной безопасности, компания «Открытые технологии»
Рустэм ХАЙРЕТДИНОВ, руководитель проекта Appercut
В России создана уже достаточно обширная нормативно-правовая база для обеспечения информационной безопасности ГИС. Один только документ ФСТЭК «Меры защиты информации в государственных информационных системах» от 11 февраля 2014 г. содержит 176 полос методических рекомендаций. Но хакеры не знают документов по ИБ и порой взламывают ИС, соответствующие всем рекомендациям, используя простейшие технические инструменты и каналы взлома (например, электронную почту). Как вы объясняете для себя этот феномен? Каким образом можно сократить расстояние между бумажной информационной безопасностью и реальной?
Андрей Гридин
Как правило, основными причинами уязвимости информационных систем являются нехватка квалифицированных специалистов, отвечающих за эксплуатацию систем ИБ, и несоблюдение рядовыми госслужащими хотя бы самых простых правил безопасности. Но наиболее остро, на наш взгляд, стоит проблема избыточности прав доступа. Для решения проблемы необходимо, чтобы руководители всех уровней осознали важность ведения политик безопасности, ограничивающих доступ к конфиденциальной информации в зависимости от профессиональных обязанностей сотрудников. Иными словами, никаких «VIP-пользователей» быть не должно.
Игорь Корчагин
Обеспечить безопасность информации в эпоху глобальной информатизации современного общества возможно только при комплексном подходе, когда любая нормативно-правовая база в этой области определяет исключительно направления защиты информации, но никак не может сформулировать перечень конкретных мер. Одним из ключевых факторов в защищенности ИС, в том числе ГИС, является человеческий фактор. Зачастую именно недостаточная компетентность в области ИБ приводит к нарушению безопасности ИС.
Отмечу также, что никакие проекты по внедрению самых современных средств защиты информации не позволят обеспечить реальную безопасность ИС, пока не поменяется само отношение к ИБ, когда, к сожалению, актуальны формальное выполнение требований и отношение «пока гром не грянет…».
Михаил Котухов
Всегда и во все времена существует противоборство «брони и снаряда». Поэтому разрабатываемые нормативные и методические документы, как правило, предусматривают предотвращение информационных инцидентов, которые происходили в прошлом. Однако злоумышленники ищут и находят новые лазейки для реализации атак на компьютерные системы, аналогов которым ранее не было. Выполнение положений руководящих документов позволяет предотвратить до 95% атак на системы, однако полную защиту практически можно достичь только на основе построения комплексной модели действий потенциального злоумышленника, что предусматривает анализ его исследовательских возможностей или модели угроз.
Дмитрий Огородников
Обеспечение информационной безопасности по отношению к государственным информационным системам регулируется сотней, если не больше, различных нормативных документов, в которых прописаны ответы на все вопросы, кроме самого главного – ответственности за произошедшие инциденты или утечки данных. Ведомства фактически не защищают информационные системы, а обеспечивают соответствие используемых или необходимых средств и методов защиты нормативным требованиям. Более того, в случае инцидента государственное предприятие, как правило, занимает позицию, при которой виновником оказывается организация, аттестовавшая ГИС. Вот такой парадокс. Добавьте к этому все еще низкую квалификацию ИТ- и ИБ-специалистов, слабую информированность сотрудников ведомств по части обеспечения информационной безопасности. Для сравнения: в кредитно-финансовой сфере со стороны регулятора (Банка России) разработаны всего три стандарта и семь рекомендаций по стандартизации. Причем атакуют банки гораздо чаще и более изощренно, однако количество успешных атак на порядок меньше, чем в государственных информационных системах.
Виктор Сердюк
К сожалению, на сегодняшний день ни один российский или западный нормативный документ не может предоставить исчерпывающего набора мер, реализация которых обеспечивала бы гарантированную защиту от возможных атак злоумышленников. Вместе с тем, современные стандарты по безопасности рекомендуют рассматривать защиту информации как процесс, предусматривающий периодическую оценку рисков, актуализацию модели угроз и выбор соответствующих мер защиты информации. Такой подход позволяет постоянно адаптировать систему защиты организации к новым угрозам и делать ее более эффективной.
Рустем Турсунбаев
Квалификация администраторов ГосИС на данный момент, скажем прямо, невысокая, ее хватает только на подход по принципу «работает – не трогай». Вопрос квалифицированных кадров – общая проблема подобных организаций вследствие низкой заработной платы.
Важен и мотивационный фактор. Не секрет, что в госорганах роль администратора ИБ возложена на инженера из структуры департамента/управления ИТ, для которого основной приоритет – обеспечение доступности сервиса. Для галочки работа по ИБ, конечно, проводится, но этого недостаточно, так как обеспечение требуемого уровня ИБ – это постоянный процесс, требующий высокой квалификации и ресурсов.
Алексей Филатенков
Дело в том, что меры защиты, перечисленные в упомянутом приказе № 17 ФСТЭК России, естественно, не перекрывают все возможные угрозы безопасности. И если заказчик (и интегратор) заинтересован в построении действительно надежной системы ИБ для ГИС, модель угроз для нее должна быть скорректирована и дополнена контрмерами, учитывающими новые актуальные угрозы ИБ.
Рустэм Хайретдинов
«Бумажная безопасность» – это базовая безопасность, устанавливающая минимально допустимый уровень безопасности. Наивно предполагать, что базовый уровень защиты сможет оградить вас от намеренных профессиональных действий квалифицированных хакеров (поджигателей-террористов или отравителей). Адаптировать требования регулирующих органов на основе анализа инцидентов – единственный путь приближения «бумажной безопасности» к реальной.
Упомянутый выше документ ФСТЭК содержит методические рекомендации по определению угроз безопасности информации (УБИ), а весной этого года ФСТЭК была сформирована база угроз и уязвимостей государственных информационных систем. На ваш взгляд, каковы самые критичные уязвимости действующих российских ГосИС? Чем это грозит, каким образом эти уязвимости закрываются в настоящее время? Что нужно делать, когда в сертифицированном продукте обнаружилась уязвимость?
Игорь Корчагин
Наибольшую опасность представляют угрозы, связанные с человеческим фактором, а зачастую и формальность принятых регламентных документов по информационной безопасности. Что же касается технических вопросов, то тут хотелось бы отметить по-прежнему высокий уровень зависимости от иностранных производителей. Все это обязательно должно учитываться при проектировании не только систем защиты ГИС, но и информационной системы в целом.
Михаил Котухов
Все активности, направленные на повышение уровня защищенности, – это «деньги на ветер», если в организации отсутствует система управления ИБ. И конечно, должен быть отработан метод «жесткого кнута и пряника» за допущенные нарушения.
Программные и аппаратные средства защиты информации в ГИС приходят на следующем рубеже обороны, когда в полном объеме и грамотно реализованы организационные меры по определению функциональных обязанностей сотрудников, участвующих в различных процессах: обеспечения информационной безопасности ГИС, управления соответствующими рисками, предотвращения или управления инцидентами (утечками, несанкционированными модификациями и уничтожением информации и т. п.), проверок эффективности реализованных мер защиты и т. д.
Сами по себе уязвимости не представляют опасности. Реальный источник угроз – атаки на ГИС с использованием этих уязвимостей. Их последствия зависят от влияния хранимой и обрабатываемой в системе информации на деятельность той государственной организации, которая является ее пользователем.
Если в сертифицированном продукте выявлена уязвимость, следующим шагом должно быть незамедлительное информирование об этом ФСТЭК России и органа по сертификации.
Дмитрий Огородников
По информации с сайта Банка данных угроз безопасности информации: 79% всех уязвимостей имеют отношение к операционным системам, 13% – к прикладному программному обеспечению информационных систем и 8% – ко всему остальному, из которых к уязвимостям средств защиты информации относится только 0,3%. Несмотря на то что к операционным системам регулярно выпускаются обновления (например, обновления Microsoft выходят каждый второй вторник месяца), системный уровень информационных систем остается критически уязвимым, чем и пользуются злоумышленники. В последнее время средства защиты информации стали использовать технологию virtual patching, которая позволяет до выхода обновлений блокировать доступ злоумышленников к эксплуатации новых уязвимостей.
Виктор Сердюк
Каждая информационная система уникальна, поэтому сложно говорить о каких-то общих уязвимостях, характерных для всех видов систем. Тем не менее практика показывает, что бóльшая часть уязвимостей связана с человеческим фактором: ошибками персонала, низким уровнем квалификации пользователей, халатностью сотрудников и т. д.
Рустем Турсунбаев
В базе угроз и уязвимостей, составленной ФАУ ГНИИИ ПТЗИ ФСТЭК России, можно увидеть статистику уязвимостей в формате инфографики (http://www.bdu.fstec.ru/charts). Закрытие этих уязвимостей достигается установкой патчей безопасности или обновлением ПО, а для госорганизаций – это постоянная головная боль, поскольку внесение изменений в аттестованную автоматизированную систему – весьма трудозатратное мероприятие.
Алексей Филатенков
Наиболее критичными в настоящий момент являются уязвимости веб-приложений. Для защиты от веб-атак нужно применять специальные меры, такие как методики безопасной разработки приложений, межсетевые экраны уровня приложений, средства поиска уязвимостей в веб-приложениях. Уязвимость может быть обнаружена в любом продукте, в том числе и в сертифицированном. Особенность сертифицированной версии в том, что при изменении ПО, например при установке патча, его необходимо «пересертифицировать». Выходом в такой ситуации будет применение технологий виртуальных патчей.
Рустэм Хайретдинов
Практически все программное обеспечение ГИС – заказное, его разрабатывают компании, предложившие минимальную цену при контрактовании и соответственно экономящие на всем, включая безопасную разработку. Как следствие, основные уязвимости ГИС – это ошибки прикладного программирования систем. При приемке даже крупнейших государственных систем не используются инструменты контроля уязвимостей.
Что собой представляет российский рынок средств защиты информации (СЗИ)? Насколько активны участники рынка в борьбе за госзаказы?
Игорь Корчагин
Отечественный рынок СЗИ изменился пока незначительно, наиболее развитыми в настоящее время по-прежнему остаются классические решения в области защиты от НСД (несанкционированного доступа), АПМДЗ, антивирусной защиты, межсетевого экранирования, а также средств криптографической защиты информации. Некоторые классические решения совершенствуются с учетом развития и инфраструктурных решений.
В свою очередь, наименее развитыми либо вообще неразвитыми остаются такие направления, как межсетевые экраны прикладного уровня (AFW), решения по управлению событиями ИБ (SIEM), решения по защите виртуальных сред, защите облаков, защите в интеграционных средах, управлению учетными записями и доступом (identity and access management).
Михаил Котухов
Заказчики в кризис стали отказываться от комплексных проектов по ИБ. Поэтому многие ведущие компании-интеграторы начали акцентировать внимание на продаже коробочных решений и сопровождении уже внедренных систем защиты. Эта тенденция будет сохраняться до тех пор, пока у клиентов не появятся четкие представления о перспективе развития страны хотя бы на ближайшие пять-семь лет.
Дмитрий Огородников
В методическом документе «Меры защиты информации в государственных информационных системах» содержатся требования по отношению к 13 мерам средств защиты информации. Данный документ также устанавливает требования по обязательной сертификации средств защиты информации для высших классов ГИС на отсутствие недекларированных возможностей, что в нынешних условиях почти полностью снимает необходимость конкурировать с иностранными производителями. В результате борьба за государственные заказы происходит исключительно между отечественными производителями. Конечно, это касается не всех производителей. Однако, взяв, к примеру, отечественные сетевые средства ИБ, придется отметить, что сегодня найдется не много желающих ставить указанные средства на границе высокопроизводительного ЦОД.
Виктор Сердюк
Сегодня на российском рынке СЗИ представлено достаточно большое количество производителей, которые активно конкурируют как между собой, так и с западными компаниями. За последний год на фоне тенденции импортозамещения многие из отечественных производителей существенно расширили свой продуктовый портфель. Наш опыт показывает, что бóльшая часть государственных заказчиков старается строить свои системы защиты исключительно на продуктах российского производства.
Рустем Турсунбаев
Госзаказы – это хлеб любого интегратора на российском рынке. По закону выбор поставщика решения или услуги осуществляется на основании конкурсной процедуры, которая прозрачна для всех участников конкурса. Главный критерий оценки – конечно, цена предложения. В условиях кризиса многие компании готовы работать по себестоимости, лишь бы получить контракт.
Алексей Филатенков
Российский рынок средств защиты информации в настоящий момент весьма насыщен продуктами как отечественной, так и импортной разработки. Основными векторами здесь являются импортозамещение и сокращение бюджетов заказчиков. Эти составляющие заставляют игроков рынка прилагать заметные усилия в борьбе за контракты.
Рустэм Хайретдинов
Российских игроков на рынке защиты информации в среднем больше, чем в других областях ИТ, и конкуренция между ними нешуточная. Практически в каждой продуктовой категории, за исключением, пожалуй, высокопроизводительных универсальных межсетевых экранов, есть несколько российских игроков с решениями, не уступающими западным. Западные игроки из-за санкций и курса рубля несколько снизили свою активность, но не отдают своих клиентов без боя.
Если классифицировать средства защиты информации (СЗИ) в порядке убывания актуальности для ГИС, какие СЗИ вы поставите на первые пять мест?
Андрей Гридин
По статистике, больше половины всех инцидентов, связанных с несоблюдением норм информационной безопасности, происходит по вине собственных сотрудников. Поэтому на первое место мы бы поставили защиту внутреннего периметра:
- системы защиты от утечки данных при их использовании, хранении и передаче;
- антивирусная защита;
- системы контроля действий администраторов;
- межсетевые экраны;
- системы предотвращения атак (IDS/IPS).
Игорь Корчагин
В наиболее типичной ситуации, когда требуются работа по недоверенным каналам связи (через сеть Интернет), распределенность ГосИС, а также взаимодействие с гражданами, наиболее актуальны, на мой взгляд, следующие СЗИ:
- средства межсетевого экранирования – классические межсетевые экраны и межсетевые экраны прикладного уровня (AFW);
- средства криптографической защиты информации в каналах связи;
- средства защиты от атак типа «отказ в обслуживании»;
- защита среды виртуализации;
- средства сбора, корреляции и управления событиями информационной безопасности (SIEM).
Михаил Котухов
К подобной классификации зачастую прибегают продавцы коробочных решений средств защиты информации. Действительно, в старом представлении можно было бы выстроить такой приоритетный ряд: антивирусные средства, межсетевые экраны, системы управления доступом, системы мониторинга ИБ, системы обнаружения/предотвращения вторжений.
В современных же системах защиты информации должно обеспечиваться комплексное, синергетическое сочетание всех способов и методов защиты, опирающееся на модель нарушителя/угроз и реализующее все средства предотвращения инцидентов ИБ.
Дмитрий Огородников
Решение большой части ключевых задач по безопасности основано на использовании «большого» межсетевого экрана или шлюзового средства защиты и многофункционального ПО для рабочих мест и серверов. Это средство защиты часто выступает в роли антивирусного, с дополнительными функциональными возможностями по контролю программной и аппаратной сред. Кроме того, обязательно нужно использовать средства анализа защищенности и уязвимостей компонентов информационной системы. Необходимо также использовать средства идентификации и аутентификации, криптографические средства защиты информации при ее хранении и передаче.
Виктор Сердюк
В общем случае к наиболее часто используемым средствам защиты можно отнести антивирусы, межсетевые экраны, средства криптографической защиты, системы защиты от несанкционированного доступа, а также сканеры безопасности и системы обнаружения атак.
Рустем Турсунбаев
Формирование требований в части защиты информации осуществляется на основании класса информационной системы и актуальных угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе. Принимаемые компенсационные меры должны снизить риски безопасности до приемлемого для организации уровня.
Основными компенсационными мерами являются организационные меры.
Второй уровень – это настройка механизмов безопасности, встроенных в ОС, и прикладное ПО или применение наложенных средств защиты от несанкционированного доступа.
В зависимости от архитектуры необходимо обеспечить сегментацию информационной системы посредством применения межсетевых экранов, контроль сетевого трафика на наличие сигнатур атак обеспечивается IPS-устройством.
Обязательно также применение антивирусной защиты серверов и рабочих станций.
Алексей Филатенков
Я бы назвал три основные группы СЗИ:
- межсетевые экраны уровня приложений;
- средства сетевой безопасности;
- антивирусные средства.
Рустэм Хайретдинов
Большинство важных для населения ГИС – это порталы госуслуг, т. е. веб-приложения, поэтому прежде всего надо их защитить от внешних угроз – хакерских и DDoS-атак, кроме того, необходимо контролировать безопасность их разработки и развития. При защите от внутренних угроз без DLP в ГИС тоже не обойтись. Сейчас в список следует добавить и APT. Таким образом, формируется пятерка: antiDDoS, WAF, Application Security (VAST), DLP, antiAPT.
Экосистема информационной безопасности пользователей систем внутри министерств и ведомств – важный элемент обеспечения ИБ ГосИС. Обучаются ли рядовые чиновники основам ИБ? Существуют ли внутри министерств и ведомств специализированные подразделения по ИБ? Есть ли понимание у руководящего состава министерств и ведомств важности вопросов обеспечения ИБ?
Андрей Гридин
Сейчас в государственных структурах созданы специализированные подразделения, отвечающие за ИБ, существуют также регламентирующие документы, разработаны и эксплуатируются системы, обеспечивающие ИБ, тем не менее очень часто уровень защиты информации не соответствует предпринятым усилиям.
Михаил Котухов
Хотя в подавляющем большинстве министерств и ведомств существуют подразделения и/или сотрудники, ответственные за защиту конфиденциальной информации и ПДн, уровень их подготовки оставляет желать лучшего. Выяснить, как хорошо чиновники знают правила ИБ, можно путем анкетирования с вопросами о законах, постановлениях и приказах, которыми регламентируется защита конфиденциальной информации и ПДн в ГосИС.
Дмитрий Огородников
Здесь все хорошо: на всех предприятиях есть службы информационной безопасности с соответствующими штатными единицами, для которых несколькими учебными центрами и высшими учебными заведениями разработаны специализированные курсы по повышению квалификации в области ИБ. Эти учебные заведения прошли согласование с нашими регуляторами (ФСТЭК, ФСБ), и по окончании курсов слушатели получают свидетельство установленного образца.
Виктор Сердюк
Практически во всех государственных компаниях, с кем работает АО «ДиалогНаука», есть выделенные подразделения по информационной безопасности. Это говорит о том, что вопросам информационной безопасности уделяется должное внимание. Что касается обучения основам ИБ рядовых сотрудников госорганизаций, то, с нашей точки зрения, оно проводится лишь в небольшом количестве ведомств, хотя постепенно ситуация начинает меняться в лучшую сторону.
Алексей Филатенков
Обучением рядовых сотрудников ведомств основам обеспечения ИБ, как правило, занимаются внутренние подразделения, ответственные за безопасность. Обычно в службах ИБ ведомств костяк составляют бывшие или действующие сотрудники силовых структур, которые основное внимание уделяют бумажным аспектам безопасности. Также и у многих руководителей министерств и ведомств главной задачей в области обеспечения ИБ может быть формальное выполнение распоряжений, спущенных сверху. Хотя постепенно ситуация начинает меняться, многие руководители начинают подходить к вопросам ИБ более комплексно, применяют рисковую методологию.
Рустэм Хайретдинов
Инциденты последних месяцев показывают, насколько еще не развита культура ИБ в госорганах. Конфиденциальная переписка с открытой американской почты, использование смартфонов в секретной переписке, облачные серверы для хранения информации – удобная, но небезопасная практика госинформатизации. На мой взгляд, мы в самом начале понимания того, что ИТ – это не только удобно, но и небезопасно. Обучение чиновников и повышение их осведомленности пока носят разовый и несистемный характер, а деятельность профессиональных департаментов защиты информации относится скорее к компьютерам, каналам передачи данных и программам, а не к сотрудникам и тем более не к руководителям государственных учреждений.
Какие существуют методы/инструменты защиты информации при использовании в ГИС облачных технологий?
Андрей Гридин
Оптимальной с точки зрения затрат и эффективности, т. е. уровня защиты информации, мы считаем технологию VDI.
Сокращение расходов обеспечивается за счет централизации управления и администрирования, отсутствия необходимости в модернизации аппаратной базы, поскольку доступ к VDI обеспечивает любое устройство: ПК, ноутбук, тонкий клиент, планшет, телефон. Кроме того, можно перейти на бесплатные ОС, что даст еще большую экономию.
Благодаря централизации управления политиками безопасности и унификации рабочих мест инструментарий VDI позволяет поддерживать высокий уровень защиты информации в любых системах, включая ГИС с применением облачных технологий.
Михаил Котухов
Облачные технологии, по сути, являются одним из многочисленных способов рациональной организации вычислительного процесса. Средства защиты информации в облаке должны включать традиционные инструменты, возможности которых предусматривают обеспечение эффективного функционирования системы. В настоящее время наиболее проработаны вопросы обеспечения информационной безопасности ГИС при использовании корпоративного облака.
Дмитрий Огородников
На сегодняшний день опыт использования облачных технологий в государственных информационных системах мне не известен. Тем не менее, если рассматривать такую возможность, необходимым условием будет использование средств, обеспечивающих аутентификацию субъектов и объектов доступа и подтверждающих аутентичность предоставляемых из облака сервисов, а также доверенность программной и аппаратной среды и средства защиты каналов взаимодействия.
Виктор Сердюк
В настоящее время существует достаточно большой арсенал средств защиты информации, обеспечивающих безопасное использование облачных технологий, включая антивирусы, средства защиты от НСД и др.
Рустем Турсунбаев
В классическом понимании облачные системы для ГИС неприменимы. Возникают вопросы доверия к среде функционирования компонентов ГИС и сложности, связанные с невозможностью аттестации ГИС.
Алексей Филатенков
В настоящий момент облачные технологии практически не используются в ГИС. В будущем же, на мой взгляд, основной формой применения указанной технологии будут частные облака.
Рустем Хайретдинов
Использование облачных технологий может быть безопасным, для этого имеются все средства защиты информации – шифрование, разделение доступа и др. В госорганах задача облегчается тем, что в них разрешено использование только российских облачных сервисов или иностранных – с размещением данных в России.
