Обзор подготовлен
Сергей Вихорев:
Основная проблема – местничество государственных органов в решении вопросов информатизации своей деятельности
О том, какие решения в области ИБ наиболее востребованы государственными ведомствами сегодня, в интервью CNews рассказал Сергей Вихорев, заместитель генерального директора по развитию компании «Элвис-плюс».
CNews: Государство взяло курс на информатизацию работы ведомств как один из способов повышения эффективности работы органов государственной власти, а также на внедрение ИКТ в социально значимых областях (образовании, медицине и пр.). Какое влияние это оказало на рынок ИБ?
Сергей Вихорев: Действительно, процессам автоматизации деятельности государственных органов сейчас уделяется много внимания. Обязательное введение возможности предоставления государственных услуг в электронной форме и жёсткий контроль этого процесса со стороны правительства и президента РФ заставляют многие министерства активно внедрять новейшие информационные технологии в повседневную жизнь.
По сообщению Интерфакса, только за последние 3 месяца к электронным сервисам федеральных органов исполнительной власти обратилось более 800 тыс. граждан. За последние 2 г. издано большое количество постановлений правительства РФ, касающихся вопросов предоставления государственных услуг, информирования граждан о деятельности госорганов, межведомственном информационном обмене.
Естественно, что практически все эти документы вводят определённые требования и по обеспечению защиты информации. При решении этих задач для государственных структур особенно актуальными являются не только вопросы обеспечения требований закона «О персональных данных», но и вопросы обеспечения защищённого межведомственного взаимодействия при оказании государственных услуг в электронной форме, а также вопросы защиты целостности общедоступных данных, размещаемых на официальных сайтах министерств и ведомств.
Надо сказать, что вопросы обеспечения безопасности информации традиционно всегда входили в круг интересов государственных органов, поэтому сильного влияния на рынок ИБ современные тенденции не оказывают. Хотя, конечно же, востребованность организаций, предоставляющих услуги по защите информации и особенно интеграторов в этой области, увеличилась.
CNews: Готова ли инфраструктура госучреждений к внедрению современных решений в области ИБ?
Сергей Вихорев:Несмотря на то, что процессы формирования и модернизации существующей информационно-телекоммуникационной инфраструктуры государственных органов идут уже много лет, сказать, что существующая ИКТ готова к решению всех поставленных перед министерствами и ведомствами задач по созданию единой информационной среды государственных органов, наверное, нельзя. И здесь, прежде всего надо отметить некоторую разобщённость, даже можно сказать местничество, государственных органов в решении вопросов информатизации своей деятельности. Это приводит к тому, что отсутствует системный подход к решению данной проблемы.
При создании единой информационной среды возникают вопросы совместимости информационных систем различных ведомств и по платформе, и по формам представления информации. Именно поэтому новый руководитель Минкомсвязи России Николай Никифоров в приоритет деятельности своего министерства ставит необходимость провести типизацию информационных систем и компонентов ИКТ-инфраструктуры для последующей централизации типовых решений.
Надо также отметить, что сейчас многие государственные структуры в плане модернизации своих информационных систем задумываются над переходом на обработку информации с применением облачных технологий (правда, пока частных облачных структур). Эта область новая не только для ИТ-служб, но и для ИБ-сообщества. Сейчас эти вопросы активно обсуждаются на конференциях, ищутся пути обеспечения безопасности информации в облаках. Да и технические решения уже есть, однако правовая база пока ещё сильно отстаёт.
CNews: Насколько надёжны существующие в этой области решения?
Сергей Вихорев:Мне не хотелось бы дифференцировать ИБ-решения на те, которые подходят только для госструктур, и те, которые подходят только для коммерческих организаций. Архитектура систем обеспечения безопасности информации в этих двух случаях примерно одинакова, и принципиальных отличий нет. Справедливости ради стоит сказать, что такие отличия появляются, когда наш заказчик работает с информацией, составляющей государственную тайну, и там, безусловно, уже есть своя специфика. Но далеко не каждый госзаказчик работает с гостайной.
Сейчас сложилась такая ситуация, когда государственным учреждениям доступны все лучшие продукты и решения, которые есть на рынке. И мы можем назвать их надёжными. Да, инциденты ИБ случаются, но их количество, а также возможный ущерб значительно ниже, чем они могли бы быть, не используй госучреждения проверенные большим количеством реализованных проектов и опытом эксплуатации системы.
CNews: Насколько активно интересуются ИБ региональные и муниципальные органы государственной власти?
Сергей Вихорев:Очень активно и уже не первый год. Например, первый опыт сотрудничества в области обеспечения безопасности на региональном уровне у нас был ещё в 2007-2008 годах с администрациями Ханты-Мансийского и Ямало-Ненецкого автономных округов. Уже не первый год мы успешно работаем с правительством Санкт-Петербурга. Большой интерес к проблемам обеспечения безопасности информации в информационных системах медицинских учреждений и структурах ЖКХ проявляют Республики Татарстан и Чувашия, Тюменская и Тамбовская области и многие другие. Из географически близких — проект по защите персональных данных в системе ЕИРЦ (Единые информационно-расчётные центры) для Правительства Москвы.
Так что есть и интерес, и интересные проекты. Кстати, один из таких проектов — по организации безопасности информации в органах ЗАГС Республики Татарстан — в 2010 г. получил награду «Инфофорума».
CNews: Какие решения вашей компании, в частности, наиболее востребованы госведомствами?
Сергей Вихорев:Прежде всего, это создание комплексных систем обеспечения безопасности информации (СОБИ). Заказчик обращается к нам с одним запросом — «Нам нужно защитить наши данные». Мы определяем, какие требования выдвигаются к такой системе, что нужно сделать, какова текущая ситуация по обеспечению безопасности различных типов данных (в своих проектах мы обязательно стараемся использовать уже внедрённые решения) — и уже на основании всей этой информации приступаем к реализации проекта.
Один из самых частых запросов к нашей компании — это проведение аудита информационной безопасности, создание модели угроз, разработка техзаданий и проектных решений на подсистемы СОБИ. Понятно, что госструктурам надо с чего-то начинать процесс внедрения СОБИ, и что этот процесс будет разделён на несколько этапов. Поэтому аудит ИБ становится отправной точкой, помогает объективно понять текущую ситуацию с обеспечением безопасности данных и получить всегда полезный взгляд «со стороны». И в этом направлении наша компания обладает одной из лучших экспертиз на рынке.
Поскольку аттестация объектов информатизации государственных органов предусматривается многими нормативными актами, мы очень часто получаем запросы и на эту услугу. Помимо непосредственно аттестации, мы часто помогаем нашим заказчикам подготовиться к проведению аттестации.
И я не могу не сказать несколько слов об услугах по обеспечению защиты каналов передачи данных и внедрению систем межсетевого экранирования. С введением Электронного Правительства, с переходом на оказание государственных услуг в электронной форме и с созданием единых государственных информационных баз для межведомственного взаимодействия спрос на такие услуги вырос значительно. И меня, как гражданина России, а не только как сотрудника системного интегратора, это очень радует. Это значит, что информация, касающаяся и меня в том числе, будет обрабатываться в доверенных, отделённых от общедоступных сегментах сетей и передаваться по каналам, которые будут защищены от вмешательства третьих лиц. И очень отрадно, что большая часть таких систем в государственных структурах строится на решениях на базе FW/VPN «ЗАСТАВА», разработки компании «Элвис-плюс».
CNews: Известно, что государство — один из главных заказчиков ИКТ-рынка. Каковы особенности работы с таким крупным заказчиком?
Сергей Вихорев:Конечно, государственный сектор является более привлекательным и интересным для интеграторов. Но, как правило, при работе с государственными заказчиками речь идёт о крупных ИТ-проектах. Естественно, это приводит и к значительному увеличению масштабов ИБ-проектов, увеличивается их сложность, территориальный охват.
При этом требования к защите информации закладываются уже на этапе старта ИТ-проектов. Это требует знания всей информационно-телекоммуникационной инфраструктуры государственных органов и приводит к тому, что головной исполнитель — интегратор — самостоятельно не в состоянии обеспечить реализацию проекта. Он привлекает к работам узкоспециализированные субподрядные организации, а это, в свою очередь, приводит к необходимости обеспечить качественное управление проектной деятельностью со стороны интегратора. Большое влияние на реализацию проекта также оказывают жёсткость сроков реализации государственного контракта и повышенные требования к менеджменту качества выполняемых работ.
CNews: Какие новые требования к решениям возникают в связи с развитием мобильных и облачных технологий?
Сергей Вихорев:Эта тема столь объёмна, что заслуживает отдельной беседы. Но если коротко, то, как уже отмечалось, при организации защиты облачных технологий возникают две взаимосвязанные группы проблем: нормативно-правовые и технологические. Кроме того, остро стоит вопрос повышения доверия пользователя к провайдеру облачной инфраструктуры.
На сегодняшний день в качестве обеспечения доверия пользователя к провайдеру предлагается, по сути, только один способ: заключение соглашения об уровне услуг (SLA). Ясно, что для государственных органов этого будет недостаточно, особенно с учётом того факта, что провайдеры услуг неохотно берут на себя обязательства по защите информации. Предоставить свои информационные ресурсы другой стороне в условиях, когда неизвестны ни серверы, на которых будут храниться и обрабатываться данные пользователя, ни даже место, в котором это будет происходить, достаточно рискованно, а для государственных структур — просто неприемлемо.
Следовательно, актуальной является задача построения технологической составляющей системы безопасности облачной инфраструктуры, позволяющей поднять доверие пользователя к провайдеру на уровень выше, чем это обеспечивается соглашением об уровне услуг (SLA). А особое место в такой системе занимает механизм, позволяющий пользователю убедиться, что действия провайдера соответствуют принятому соглашению и регламенту обработки информации.
CNews: Государство активно продвигает идею замены существующих бумажных документов пластиковыми аналогами. Насколько они надёжны с точки зрения ИБ?
Сергей Вихорев: Наверное, использованием пластиковых карт в качестве платёжного средства уже давно никого не удивишь. Надёжны ли они? Наверное, да (в той степени, в которой это требуется для платёжных систем). Бывают ли при их использовании инциденты, приводящие к потере денег? Конечно, бывают. Но такие же инциденты бывают и с обычными кошельками: их воруют, теряют, забывают и прочее.
Так же и с пластиковыми документами. При правильном их использовании и соблюдении тех правил, которые предписаны, они будут достаточно безопасны. Правда, по всей вероятности, потребуется жёсткий контроль за выполнением этих требований как со стороны самих владельцев этих документов, так и со стороны государства.
CNews: Какие проекты, реализованные вашей компанией за последние годы в государственном секторе, вы можете назвать наиболее интересными? Расскажите о них подробнее.
Сергей Вихорев: За последние несколько лет нашими заказчиками стали около 50 госучреждений. С кем-то из них мы сотрудничаем уже очень давно, с кем-то мы находимся только в начале нашего совместного пути.
Одним из крупнейших наших заказчиков является Федеральная налоговая служба России. В её интересах мы проводили очень большой объём работ — от аудита информационной безопасности и проектирования СОБИ до поставки и внедрения конкретных продуктов и решений.
Очень интересный проект — наше сотрудничество с Санкт-Петербургским Информационно-аналитическим центром. СПб ИАЦ — государственное унитарное предприятие, работающее в области информатизации и информационного обеспечения органов государственной власти Санкт-Петербурга, поэтому задача надёжной защиты сетей передачи данных является одной из приоритетных для обеспечения деятельности Администрации города. Для решения этой задачи наша компания ввела в эксплуатацию несколько сотен программно-аппаратных комплексов межсетевого экранирования и построения виртуальных частных сетей на базе программного комплекса «VPN/FW «Застава» и обеспечила централизованное администрирование этой сети с помощью продукта «Застава-Управление», созданного на базе международных стандартов информационной безопасности.
CNews: Каковы планы вашей компании на 2013-2014 гг.?
Сергей Вихорев: Свою дальнейшую деятельность компания «Элвис-плюс» планирует строить на том, что она умеет делать лучше всего, т.е. на реализации сложных крупных интеграционных проектов по созданию защищённых информационных систем.
Проекты в госсекторе по-прежнему останутся одними из наиболее приоритетных для компании. Мы обладаем одной из лучших экспертиз на рынке в этом сегменте и продолжаем её наращивать. Особое внимание планируется уделить теме информационной безопасности критически важных объектов, особенно в части касающейся безопасности АСУТП. Мы не первый год развиваем эту тему, и даже выполнили ряд НИРов в интересах органов государственной власти. Другими важными темами останутся защита персональных данных, безопасность национальной платёжной системы и облачных вычислений.
Кроме того мы планируем развивать свою линейку VPN/FW продуктов «Застава», и в том числе в интересах государственных организаций. Продукты «Застава» очень востребованы именно в государственном секторе, так как при том, что имеют все необходимые сертификаты ФСБ, ФСТЭК и Министерства обороны, соответствуют лучшим международным стандартам.
Также у нас есть планы по развитию бизнеса и по наращиванию экспертизы во всех областях нашей деятельности. Основной задачей мы видим стабильный рост как экономического, так и интеллектуального потенциала компании.
CNews: Спасибо.
