Обзор "ИТ в органах госвласти России" подготовлен

Денис Зенкин: На кону проблема, которая требует безотлагательного решения

Об обеспечении информационной безопасности в органах государственной власти, перспективах предотвращения утечек конфиденциальной информации из органов государственной власти, необходимости создания единого стандарта ИТ-безопасности для госорганов рассказал CNews Денис Зенкин, директор по маркетингу компании InfoWatch.

CNews: В органах государственной власти нередко случаются утечки баз данных и сведений персонального характера. Насколько серьезное внимание органы государственной власти уделяют внутренним угрозам? Какие тенденции доминировали в обеспечении этой сферы в органах государственной власти в 2005 году? Можно ли говорить, что ситуация существенно отличалась от таковой в 2004 году?

Денис Зенкин: К сожалению, ситуация с защитой конфиденциальных данных в госорганах далека от удовлетворительной. Если проанализировать наиболее известные случаи утечки информации, то в 95% из них фигурируют министерства и ведомства. На Западе ситуация прямо противоположная — инцидент, связанный с органами власти считается настоящим ЧП, за чем следуют очень жесткие меры вплоть до дисквалификации ответственных сотрудников, проводится доскональный аудит информационной системы и вносятся необходимые доработки.

В огромном потоке спама мне постоянно попадают предложения купить ту или иную базу данных. В их числе фигурируют «Банковские проводки», «Налоговый Пенсионный фонд», «Прописка (Москва)», «ГИБДД городов России», «Записная книжка МВД» — всего 51 позиция. Причем все они происходят исключительно из государственных организаций. Складывается впечатление, что соответствующие органы не предпринимают абсолютно никаких усилий для защиты персональных данных граждан страны. И получается, что криминальные элементы могут узнать всю подноготную о каждом человеке, всего один раз посетив какой-нибудь пиратский ларек. Подобной анархии нет ни в одной стране мира, и такое положение вещей определенно дискредитирует власть в глазах населения, а всю Россию в глазах мирового сообщества. Стоит ли вообще иметь дело с государством, которое свои-то секреты не может толком защитить?

Несмотря на это, мы видим, что специалисты по ИТ-безопасности понимают угрозу. Некоторые органы власти уже начали внедрение специализированных систем защиты. Например, Федеральная таможенная служба в 2006 году совместно с InfoWatch разработает комплексное решение контроля над конфиденциальными данными, включающее разработку организационно-нормативных мер и внедрение соответствующих технических средств контроля. Это очень правильное решение, которое подчеркивает серьезные намерения руководства Службы, однозначно выводит ее в авангард современных тенденций и дает положительный пример другим государственным и коммерческим организациям. В целом, мы прогнозируем, что в течение пяти ближайших лет подобными системами будут оборудованы все органы власти. Сегодняшний хаос с персональными сведениями не может больше продолжаться, и это все понимают.

CNews: Расходы государства на ИТ в 2005 году ощутимо увеличились, и продолжают расти. Отразилось ли это на финансировании расходов связанных с предотвращением утечки сведений персонального характера, контроля и мониторинга трафика? Оказала ли какое либо влияние административная реформа, столь активно проходившая в 2004 и, отчасти, в 2005 годах, на изменение уровня оснащенности и подходов госорганов к предотвращению утечек конфиденциальной информации? Как вы оцениваете общий уровень оснащенности органов государственной власти такими системами и средствами?

Денис Зенкин: Сегодня можно сказать, что госорганы только начинают прорабатывать вопрос внедрения систем защиты от утечки конфиденциальной информации. Как уже упоминалось, в авангарде этого движения выступает Федеральная таможенная служба Российской Федерации. С некоторыми другими федеральными министерствами мы сейчас ведем переговоры. Все это показывает, что есть не только интерес, но этот интерес подкреплен и с финансовой точки зрения. Поскольку Anti-Leakage решения, по своей сложности сравнимые с ERP-системами, сопровождаются большим объемом консультационных работ, то, соответственно, и стоят недешево. Однако это не пугает заказчиков. На кону проблема, которая требует безотлагательного решения, и специалисты по ИТ-безопасности это понимают.

CNews: Многие органы государственной власти при обеспечении информационной безопасности в целом и защите от утечек информации в частности, значительное внимание уделяют организационным мерам. Можно ли назвать такую фокусировку внимания на оргмерах «перегибом»? Какой подход, на ваш взгляд, является предпочтительным в сфере предотвращения утечек информации, для компактных органов государственной власти и для тех, кто имеет разветвленную территориальную структуру?

Денис Зенкин: Концептуальный подход к обеспечению защиты от утечек конфиденциальной информации един для любых организаций, независимо от масштабов. Он заключается в сочетании технических и организационных мер. Одно без другого не то что не будет выполнять возложенные функции и оправдывать ожидания, но более того, может принести вред. Синергию этих мер можно сравнить с каркасом здания и его внутренней отделкой: первый обеспечивает фундаментальные основы проекта, вторая делает его приспособленным для использования. Технические средства, даже если они построены по всем правилам, вряд ли будут достаточно эффективны, если не модернизировать политику ИТ-безопасности, не внедрять внутрикорпоративные правила обращения с конфиденциальной информацией, не проводить тренинг сотрудников и прочее. Таким образом, перегиб как в одну, так и в другую сторону является губительным для всей идеи надежной защиты данных.

CNews: Расскажите о проектах InfoWatch, реализованных для органов государственной власти.

Денис Зенкин: Наиболее показательным примером в этой области может служить наше сотрудничество с Федеральной таможенной службой. Именно это ведомство первым из государственных органов приступило к реализации системы защиты конфиденциальных данных, и не исключено, что остальные проекты будут реализовываться по такому же принципу.

Сейчас InfoWatch проводит опытно-конструкторские работы по созданию технологической платформы для выявления каналов утечки из Центральной базы данных Единой автоматизированной информационной системы таможенных органов. Основной задачей решения является централизованный контроль над действиями пользователей (должностных лиц центрального аппарата Федеральной таможенной службы России, Главного научно-исследовательского вычислительного центра ФТС России и таможенных органов) с информацией ограниченного доступа. В процессе реализации проекта будут внедрены механизмы оперативного анализа и аудита данных об информационных потоках для принятия оперативных мер по выявлению и локализации каналов утечки данных.

Проект отличается модульным принципом построения и трехуровневой архитектурой, включающей несколько функциональных подсистем. Целевая подсистема включает в себя совокупность целевых функций: мониторинг действий пользователей на Автоматизированных рабочих местах (АРМ), уведомление об инцидентах Администратора безопасности. Вспомогательная подсистема обеспечивает создание и настройку политик, хранение данных, поиск по архиву инцидентов, экспортирование отчетов, связь с другими аналитическими, отчетными и мониторинговыми системами. Наконец, обеспечивающая подсистема берет на себя функции транспортировки данных, системы аутентификации, обеспечения взаимодействия модулей.

Спектр работ также включает разработку ряда внутриведомственных нормативных документов по обращению с конфиденциальной информацией, регламентов, проведение категоризации данных и тренинг специалистов. Практическая реализация проекта будет базироваться на технологиях InfoWatch. В ее сопровождении примут активное участие представители Федеральной службы безопасности России и Бюро оперативно-технических мероприятий Министерства внутренних дел России.

CNews: Исследование CNews Analytics показало, что «цифровой разрыв» в ИТ-оснащенности между наиболее «сильными» и наиболее «слабыми» федеральными министерствами и ведомствами достаточно велик. Насколько сложившаяся ситуация может быть опасна для обеспечения государственного управления в целом и поддержания уровня доверия к государству в частности?

Денис Зенкин: На наш взгляд, ИТ-безопасность в рамках организации может быть или повсеместной или отсутствовать вовсе. Одна-единственная брешь может свести на нет все усилия и провалить проект. В свете последних тенденций сращивания баз данных всех государственных организаций (в частности, в рамках проекта СПУН — Системы персонального учета населения), их вполне можно воспринимать как единое целое. Таким образом, внедрение системы защиты конфиденциальной информации должно проводиться если не единовременно, то, по крайней мере, централизовано и для всех ветвей власти, как по горизонтали, так и по вертикали. В обратном случае есть опасность повторения сегодняшней ситуации, когда невозможно установить источник утечки. Например, доступ к базе данных министерства X имеют также министерства Y и Z. Создание надежной защиты в рамках X абсолютно не гарантирует сохранность информации, поскольку она может «утечь» через Y и Z. Экстраполируя ситуацию, можно предположить, что даже если все государственные органы кроме одного будут защищены, утечки все равно не избежать. Более того, в отсутствие системы контроля над конфиденциальной информацией у этой единственной организации источник утечки невозможно будет локализовать даже в ее рамках.

Таким образом, для поддержания уровня доверия к государству и обеспечения эффективного государственного управления нужно решать проблему в комплексе и повсеместно.

CNews: Многие ИТ-системы, создаваемые для госструктур, масштабны и сложны в обслуживании и все большее число госорганов прибегает к аутсорсингу (поддержка и мониторинг ИТ-инфраструктуры, разработки и интеграция). Как вы оцениваете влияние этого процесса на развитие сферы предотвращения утечек внутренней информации из органов государственной власти?

Денис Зенкин: Безусловно, что любые изменения в информационной системе государственной организации должны иметь санкцию отдела ИТ-безопасности. Отдел должен проанализировать насколько данное изменение соответствует принятым правилам информационной безопасности (ИБ) и не представляет ли оно собой угрозу. То же самое относится и к использованию аутсорсинга. Организация должна контролировать возможные пути утечки через партнеров и четко ограничивать их доступ к наиболее чувствительным данным, в первую очередь тем, которые представляют государственную тайну.

В целом, аутсорсинг имеет большие преимущества перед подходом, когда все и вся делается силами организации. Таким образом повышается качество и соблюдаются сроки исполнения работ. Но и в этом процессе ИБ-составляющая играет одну из ключевых ролей.

CNews: Большая часть госорганов практически не проводит обучения сотрудников по направлению ИТ-безопасность в целом и весьма незначительное внимание уделяет предотвращению утечек внутренней информации. Как вы оцениваете уровень квалификации сотрудников госструктур в этой сфере? Насколько адекватно представление ответственных лиц и руководителей госструктур о существующих угрозах и возможном ущербе при утечке внутренней (конфиденциальной) информации? Насколько адекватно руководители и ответственные лица госструктур оценивают пути возможной утечки информации? Какие средства защиты могли бы обеспечить должный контроль над оборотом информации в госорганах?

Денис Зенкин: Сегодня Россия находится на первоначальном этапе решения проблемы утечки конфиденциальной информации. Этот этап характеризуется осознанием опасности со стороны руководства и профессионалов в области ИБ и ИТ. Следующим шагом, который уже начал реализовываться в некоторых организациях, станет практическое внедрение технических и организационных средств.

Осознание проблемы касается не только факта, что «да, это проблема и ее нужно решать», но также и количественной оценкой возможного ущерба, исследованием возможностей установки защиты и так далее. Сейчас рынок уже предлагает эффективные средства для предотвращения утечки, так что продуктового дефицита не существует.

CNews: Какие направления информатизации госорганов в сфере «предотвращение утечек информации, контроль и мониторинг трафика, журналирование» наиболее перспективны с точки зрения вашей компании? Какие из них можно отнести к числу главных приоритетов?

Денис Зенкин: Во-первых, для защиты конфиденциальной информации необходим контроль над всеми возможными каналами утечки. Прежде всего, это касается электронной почты, веб-трафика, печатающих устройств и мобильных накопителей. Именно таким образом большинство документов покидают корпоративную сеть. Необходимо также предусмотреть специальный модуль на рабочих станциях, который будет контролировать обращение с секретными документами во избежание скрытых манипуляций с ними, например, таких как копирование в буфер обмена, переименование, изменение атрибутов и прочее.

Во-вторых, внедрение технических средств должно сопровождаться их адаптацией под существующую ИТ-инфраструктуру и учетом специфики организации. Например, фильтрация электронной почты должна сопровождаться созданием специализированной базы данных, отражающей используемую терминологию.

В-третьих, важно создать эффективную систему централизованного управления защитой конфиденциальных данных, так, чтобы офицер ИБ мог в любой момент времени наблюдать картину сети, оперативно получать данные об инцидентах и реагировать на них.

Наконец, нужно сопровождать эти шаги применением организационных мер: созданием или модификацией политики ИТ-безопасности, внедрением положения о работе с конфиденциальными документами, других внутриведомственных нормативных актов, обучением сотрудников.

Нам очень часто приходится объяснять заказчикам достаточно простые вещи, которые кажутся очевидными. Но они таковыми именно только кажутся. В действительности существует много предложений, но большинство из них на поверку оказываются малоэффективными. На мой взгляд, в стране уже давно назрела необходимость создания единого стандарта ИТ-безопасности хотя бы для госорганов. Нужны документ и контролирующая инстанция, которые будут обеспечивает единый, надежный подход к информационной безопасности. От этого выиграет  государство, которое сможет по-настоящему защитить свои данные и обеспечить доверие населения и международного сообщества.

CNews: Как вы оцениваете возможное влияние принятия законопроекта «О персональных данных» и новой редакции закона «Об информации, информатизации и защите информации» на финансирование в госорганах сферы предотвращения утечек информации, контроля и мониторинга трафика?

Денис Зенкин: У нас противоречивые чувства по отношению к этим двум законам, хотя в целом мы оцениваем их как шаг вперед. Прежде всего, они более четко определяют понятийный аппарат и разграничивают права и обязанности организаций. С другой стороны, все равно остаются лазейки и туманности, которые придется «дотрактовывать» комментариями, как это было раньше. Законопроект «О персональных данных» вообще способен внести хаос в существующее статус-кво с государственными базами данных, потому как оператор будет обязан получить согласие каждого гражданина на хранение и анализ его данных. А это, согласитесь, нетривиальная задача. Как госорганы будут выходить из этого положения, я себе не представляю.

CNews: Спасибо.