Сетевой журнал: monthly
главная страница weekly галерея IT: проекты телекомфорум procurement guide психология управления


ИТ для государственного сектора

№10.2005

Информационная безопасность федеральных органов власти: благодаря или вопреки?
Тема номера
Алексей Лукацкий
версия для печати 

Аналитики известной исследовательской компании Gartner оценивают госсектор как один из наиболее быстрорастущих вертикальных ИТ-рынков Европы. В России же, по данным РБК, ежегодные вливания в горнило государевых информационных технологий составляют около трех миллиардов долларов – и это не считая расходов РАО ЕЭС, Газпрома и Связьинвеста


В Европе львиная доля ИТ-инвестиций попадает на решения по информационной безопасности (ИБ), без которых сегодня немыслимо представить себе ни одно госучреждение – от министерства финансов до администрации небольшого провинциального городка. Правда, точную цифру инвестиций в информационную безопасность не сможет назвать даже Счетная палата, поскольку отсутствуют четкие классификаторы статей расходов. В то же время по регулярному “урезанию” финансирования различных федеральных программ информатизации все-таки можно судить, что затраты государства на ИТ в целом и защиту информации в частности растут. Учитывая объемы этих инвестиций, можно даже предположить, что безопасность в российских органах государственной власти у нас на высоте. Но, к сожалению, это не совсем так. Давайте посмотрим на текущую ситуацию с защитой информации в российских госучреждениях.

Виной всему бессистемность
В первую очередь российские федеральные органы государственной власти обеспечивают информационную безопасность своих ресурсов, проводя различные административные мероприятия и “внедряя в жизнь” организационно-распорядительные документы. Однако несмотря на существование различных государственных и отраслевых документов, регламентирующих данную сферу, деятельность федеральных органов государственной власти зачастую является бессистемной. Обеспечение же информационной безопасности невозможно без знания имеющихся в ведомстве ресурсов, их настроек именно с точки зрения ИБ и грозящих им опасностей. Между тем аудит ИБ и анализ рисков в соответствии с рекомендациями Государственной технической комиссии при Президенте России или международного стандарта ISO 17799 (не говоря уже о других) проводится с той же частотой, с какой комета Галлея пролетает рядом с Землей. В абсолютном большинстве федеральных органов государственной власти эти работы попросту не проводятся. Только единицы определяют:

  • перечни информации, подлежащей защите;
  • потенциальные каналы утечки информации и пути ее предотвращения;
  • списки лиц, имеющих доступ к защищаемым ресурсам;
  • перечень лиц, допущенных к работе со средствами международного информационного обмена.

    А ведь такие перечни, показывая, кто, куда и каким образом может получать доступ к информационным ресурсам, позволяют четко спланировать все дальнейшие мероприятия по защите информации, которые находят свое отражение в концепции информационной безопасности. Но лишь в ряде ведомств разработан этот основополагающий документ, определяющий направления деятельности федерального органа государственной власти в области защиты своих информационных ресурсов. По пальцам одной руки можно пересчитать учреждения, которые пошли еще дальше, разработав целый пакет организационно-распорядительных документов, регламентирующих деятельность по защите информации. К таким документам можно отнести:

  • инструкцию по работе с информацией ограниченного доступа;
  • положение об администраторе ИБ и ответственном за ее обеспечение;
  • регламенты и инструкции по защите информации в локальных сетях, работе в интернете и т.п.

    Работа с интернетом
    С целью предотвращения вирусных эпидемий и утечки конфиденциальной информации в российских ведомствах иногда не разрешается самостоятельная установка любого программного обеспечения, а пользователям, имеющим дело с такой информацией, запрещено работать в интернете. Этот запрет реализуется либо организационными мероприятиями, либо физическим разделением интернета и локальной вычислительной сети организации. В некоторых госучреждениях пошли еще дальше и вообще запретили подключать к ЛВС компьютеры, обрабатывающие конфиденциальные данные. Сами компьютеры, на которых ведется такая обработка, проходят специальную проверку и экспертизу и устанавливаются в защищенных помещениях. Но во многих случаях интернет-подключение осуществляется в нарушение 611-го Указа Президента “О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена”, а также “Специальных требований и рекомендаций по технической защите конфиденциальной информации”.

    Кто отвечает за безопасность?
    Одиннадцатого сентября 2003 года Минсвязи на заседании правительства представило доклад, иллюстрирующий состояние дел с информатизацией органов государственной власти. Из 48 опрошенных в рамках исследования ведомств только тридцать имели специальные подразделения, отвечающие за внедрение и поддержку информационных технологий. Еще худшая ситуация обнаружилась с отделами защиты информации, которые если и создаются, то сотрудники в них набираются из отставных военных, знакомых с секретным делопроизводством, но не с современными технологиями обеспечения ИБ. Только единицы проводят проверку и подбор персонала при предоставлении доступа к информационным ресурсам. Обучение рядовых пользователей основам информационной безопасности практически нигде не проводится. И хотя в Российской Федерации есть структуры, отвечающие за расследование компьютерных преступлений (МВД, ФСБ и т.п.), практически ни одно госучреждение, включая министерства, не взаимодействует с ними, оставаясь с глазу на глаз с потенциальными угрозами и злоумышленниками.

    Чем обеспечивают защиту?
    В области технической защиты информационных ресурсов можно выделить три основных направления, по которым действуют российские государственные ведомства:

  • защита внутренней сети;
  • защита выхода в сети международного информационного обмена;
  • защита взаимодействия с удаленными подразделениями.

    При этом сразу надо отметить, что в федеральных органах государственной власти используются только сертифицированные средства обеспечения информационной безопасности.

    Для защиты внутренних ресурсов большинство федеральных органов государственной власти используют только встроенные в операционные системы механизмы аутентификации и авторизации пользователей. Немногие ведомства имеют специальные сертифицированные системы защиты от несанкционированного доступа и электронные замки – такие, как "Лабиринт-М", "Аккорд", SecretNet. В качестве средств шифрования, как правило, применяются секретные ключи защиты информации “КриптоПро” или давно известные, но до сих пор популярные системы семейства “Верба”.

    Для защиты рабочих станций и серверов внутренней сети от вредоносных программ (вирусов, червей, троянских коней) абсолютное большинство федеральных органов государственной власти использует антивирусное программное обеспечение. Чаще всего это российские “Антивирус Касперского” или Dr.Web. Однако встречаются и другие решения – Trend Micro OfficeScan, Symantec Corporate Antivirus, McAfee VirusScan.

    Деление сети на сегменты с разными требованиями по информационной безопасности осуществляется при помощи механизмов фильтрации MAC- и IP-адресов на активном сетевом оборудовании и механизмов VLAN. Очень редко используются системы контроля политики безопасности, которые сравнивают текущие настройки защитных механизмов и подсистем с эталонными значениями (например, Cisco Security Auditor или “Урядник”).

    Основное внимание федеральные органы государственной власти уделяют защите своего периметра (иногда даже в нарушение Указа Президента № 611). Для этого обычно используются различные сертифицированные межсетевые экраны. В подавляющем большинстве ведомств внедрены решения Cisco Pix. На втором месте по распространенности находится Check Point Firewall-1. Но встречаются и решения других производителей – Novell Border Manager, Microsoft ISA Server, ССПТ-1 и ССПТ-1М от ЦНИИ РТК, “Застава” от ЭЛВИС-ПЛЮС, Z-2 и “Застава-Джет” (предшественница Z-2) от Инфосистем Джет, “Дионис Firewall” от Фактор-ТС и т.д. В то же время некоторые госучреждения для защиты выхода в сети международного информационного обмена используют решения, не обеспечивающие должного уровня информационной безопасности, – обычные прокси-серверы.

    Эпидемии последних лет показали, что традиционные средства защиты периметра – межсетевые экраны и антивирусы – не всегда справляются с гибридными угрозами, использующими сразу несколько методов для несанкционированного проникновения во внутренние сети федеральных органов государственной власти. Для их отражения существуют специальные средства защиты, называемые системами обнаружения и предотвращения атак. Однако очень немногие российские ведомства имеют у себя такие решения. Сканеры безопасности, идентифицирующие уязвимости, применяются еще реже. Защиту от спама и злоупотреблений в интернете в федеральных органах государственной власти обеспечивают различные системы мониторинга электронной почты и Web-трафика – eSafe Gateway, MAILsweeper, WEBsweeper и Websense.

    В каналах связи с удаленными подразделениями используются только российские системы криптографической защиты информации и VPN:

  • "Застава";
  • VipNet;
  • "Континент".

    Западные системы построения VPN выхода на рынок государственных ИТ-систем в России не имеют.

    Что мешает?
    Основным барьером в сфере обеспечения информационной безопасности федеральных органов государственной власти является неполнота и противоречивость нормативной базы в этой области. Например, в отсутствие единой классификации информации существует огромное количество видов тайн, ссылки на которые разбросаны по сотням законодательных актов; при этом всяческие ограничения на использование международных стандартов в области информационной безопасности (в частности, у нас до сих пор не приняты “Общие критерии”) сдерживают развитие информационных систем в организациях, мешая их взаимодействию, в том числе и в сфере противодействия терроризму.

    Еще одним серьезным барьером на пути защиты информационных ресурсов федеральных органов государственной власти является низкая квалификация рядовых пользователей и отсутствие их обучения правилам и основам информационной безопасности.

    Во многих ведомствах считается, что основная угроза исходит из внешних сетей (скажем, интернета), а опасность внутренней угрозы недооценивается. Это и приводит зачастую к краже и разглашению конфиденциальной информации, и о чем свидетельствуют последние примеры с утечкой данных из Банка России, ФНС, Госкомстата и т.п.

    Для федеральных органов государственной власти обеспечение информационной безопасности нередко не является приоритетной задачей. А зачастую вопрос защиты информации при создании автоматизированных и прикладных систем не ставится вообще. В результате практически во всех ведомствах отмечается отсутствие в достаточном объеме:

  • единой политики обеспечения ИБ;
  • специальных подразделений и квалифицированных сотрудников, ответственных за эту сферу;
  • финансирования в данной области;
  • программных, программно-аппаратных и других технических средств защиты информации.

    Заключение
    Если с защитой сведений, составляющих государственную тайну, особых проблем не возникает и большинство федеральных органов государственной власти в данной области взаимодействует с Государственной технической комиссией при Президенте России и ФСБ, то с защитой остальных видов тайн ситуация не столь радужна. Но, к счастью, последние шаги правительства и президента, российских регулирующих органов постепенно склоняют чашу весов в правильную сторону, и ситуация с информационной безопасностью в российских госорганах плавно перетекает из негативной в нейтральную, а в некоторых ведомствах – даже в позитивную.

    Приоритетными же направлениями развития в сфере обеспечения информационной безопасности в федеральных органах государственной власти в ближайшие годы следует считать (помимо устранения перечисленных выше барьеров):

  • проведение регулярного обучения сотрудников основам информационной безопасности;
  • включение в штатное расписание подразделений, отвечающих за обеспечение информационной безопасности;
  • включение в бюджет статей на обеспечение информационной безопасности;
  • включение в нормативные документы обязательных требований по разработке политик безопасности, утвержденных на уровне высшего руководства.

    Алексей Лукацкий – менеджер по развитию бизнеса Cisco Systems

  • сетевой форум
    поиск
    подписка на журнал
    о сетевом




    Rambler's Top100 Copyright © ЗАО "Издательский дом мировой периодики", 2000-2005.
    С замечаниями и пожеланиями обращайтесь по адресу