ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Договоримся на берегу

ИнфоБЕРЕГ-2012

В ходе конференции рассматривались многочисленные аспекты информационной безопасности, а также сопутствующая проблематика – формирование электронного правительства, тонкости лицензирования, защита объектов ТЭК, внедрение УЭК и другие вопросы.

В приветственном слове ректор "Академии Информационных Систем" (АИС) Юрий Малинин от лица оргкомитета поблагодарил ряд профильных министерств и ведомств, поддержавших мероприятие: МВД, Министерство энергетики, Минкомсвязи, ФСБ, Федеральную службу по техническому и экспортному контролю (ФСТЭК), Федеральную службу по труду и занятости, ФНС РФ, Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций, а также представителей бизнеса и высшей школы.

Председатель совета МОО "Ассоциация защиты информации" Андрей Решетов отметил, что важнейшей чертой данной конференции является широкое присутствие в ней представителей различных государственных структур, которые являются контролирующими и регулирующими область информационной безопасности.

Повестка дня

Заместитель начальника управления ФСБ России Андрей Корольков в своем выступлении сказал следующее: "Появляются новые вызовы и угрозы информационной безопасности, которые, как показывает опыт, связаны не только с деятельностью хакеров-любителей и инсайдеров. Все большая роль в практическом обеспечении информационной безопасности отводится человеческому фактору. Поскольку растет число людей, которые начинают активно применять информационно-коммуникативные технологии в обычной жизни. Например, используя электронные услуги и мобильные сервисы". При этом усиливается значимость людей, ответственных за информационную безопасность – от программистов до директоров по ИБ, подчеркнул представитель ФСБ. Он отметил, что в данных условиях высокая социальная ответственность ложится и на среду профессионалов в области ИБ, особенно тех, которые занимаются подготовкой и переподготовкой специалистов – таких как АИС. Андрей Корольков выразил уверенность в том, что тесная координация федеральных, региональных и муниципальных органов власти с профессиональным сообществом позволит эффективно решать возникающие задачи в области информационной безопасности.

"Положительный опыт у нас имеется и является фундаментом для дальнейшего развития, – подытожил представитель ФСБ. – Достаточно упомянуть подходы, реализованные при решении задач по защите персональных данных, построении инфраструктуры удостоверяющих центров, предоставлении госуслуг в электронном виде".

Директор департамента по информационной безопасности компании "Кабест" Сергей Коношенко дал определение ИБ в широком аспекте. По мнению эксперта, это не только защита данных при хранении и обработке, вопросы ИБ неразрывно связаны с решением всех задач обеспечения комплексной безопасности крупных объектов и территорий, а также системообразующих производств, включая пожарную, технологическую, экономическую, физическую и собственную безопасность, предупреждение террористических проявлений и обеспечение непрерывности бизнеса.

В своем выступлении исполнительный вице-президент "АФК Система" Виктор Комогоров рассказал о консолидации усилий по обеспечению информационной безопасности. В этом плане интересен опыт "АФК Системы" как крупного холдинга, включающего в себя такие компании как МТС, "Ситроникс", "Глонасс", "РТИ-Системы", "Башнефть", и других – в роли лидеров рынка, как в коммерческом секторе, так и в госсекторе. Эксперт отметил рост числа правонарушений в сфере информационной безопасности и признал необходимость поиска решений, сочетающих удобство и безопасность для бизнеса.

Начальник управления БСТМ МВД России Юрий Ногинов доложил о координирующей роли управления "К" в противодействии преступлениям в сфере информационных технологий. По его мнению, современными тенденциями являются экономическая составляющая киберпреступлений – направленность на кошелек юзера. Также представитель МВД назвал современным криминальным трендом ориентированность на смартфоны и планшеты, а также отметил как актуальные борьбу с информационно-психологическими угрозами и противодействие экстремизму. Ногинов подробно остановился на законодательном аспекте и проблеме терминологии. Например, понятия гаджет или интернет-портал пока отсутствуют в лексиконе законодательной и исполнительной властей, а значит – их нет и в правовом поле. В процессе законотворчества управление "К" будет выступать в роли координатора по части компьютерных преступлений, возможно, это поможет решить проблему с терминами. Сегодня борьба с преступлениями в сфере ИБ – это пока что борьба с их последствиями, признал Юрий Ногинов. Он также отметил необходимость тесного межотраслевого взаимодействия в сфере ИБ и привел примеры соответствующей работы МВД с Минобрнауки, Лабораторией Касперского, Билайном и АРБ.

Банковским сообществом отмечается необходимость разработки комплекса защитных мер, а не решение какой-то конкретной проблемы. Такую точку зрения озвучил в своем выступлении председатель НП "АБИСС" Павел Гениевский. По его оценке, это комплексная задача. Ведь стандарты – ряд хороших практик, но они носят рекомендательный характер. А вот постановление 382-П обязательно к исполнению, указал эксперт. Он также назвал добровольную сертификацию надежной гарантией отсутствия искажений. В своем докладе представитель экспертного сообщества подробно рассмотрел различные вопросы обеспечения информационной безопасности кредитных и некредитных организаций – участниц Национальной платежной системы.

Опыт ФНС

Заместитель генерального директора ФГУП ГНИВЦ ФНС России Александр Баранов рассмотрел актуальные проблемы защиты информации в компьютерных сетях. Опыт налоговой службы является показательным в данном аспекте. Представитель ФНС констатировал, что в настоящее время информационные технологии становятся производственной силой. ИТ создают продукт "из себя" – и это является совершенно новым витком развития информационной среды. Соответственно, при создании крупногабаритных информационных систем встает вопрос сопряжения их с информационной безопасностью.

Александр Баранов подробно остановился на использовании "облаков", а также сделал свои прогнозы по поводу развития этой сферы. В настоящий момент налоговиками используется облачная структура, потому что она оказалась производительна и удобна в эксплуатации в условиях разнородного гигантского компьютерного парка ФНС, а также при отсутствии достаточного количества высококвалифицированных ИТ-специалистов для обслуживания традиционных крупногабаритных систем. Но в этой связи встают вопросы несанкционированного доступа к базам, разделения памяти – здесь помогает наличие дешевого тонкого терминала. По мнению эксперта, использование удаленного доступа порождает вопросы с шифрованием. Как считает Александр Баранов, LTE будет массово входить в обиход, а развитие ЦОД является необходимым условием существования облачных технологий. Если электронное правительство перейдет в портальный режим c наличием базы персональных данных, то неизбежно массовое применение SSL, а также встраивание отечественного SSL в Windows. Что порождает проблемы с сертификацией производителя. Чиновник привел в пример Apple, чья платформа имеет массу нареканий. И кроме того, до сих пор не имеется реализации SSL для Apple, сертифицированного в ФСБ.

В числе других перспектив Александр Баранов назвал массовое применение мобильных платформ, удешевление гаджетов, применение гибких листовых экранов, полиэкранность.

Что касается вопросов информационной безопасности, практика ФНС состоит в комплексном подходе. При утере или краже персонального устройства "на борту" не должно быть никаких данных, но программный набор должен позволять полноценно работать с системой на облачном принципе. Эксперт рассмотрел отличие априорной защиты от апостиорной, их преимущества и недостатки. Априорная защита с 90-х годов применяется повсеместно, она ориентирована на предварение угроз. Апостиорная защита позволяет совершить эпизод ИБ, но затем выявить и наказать нарушителя – такой подход практикуется в МВД. Зависимость защиты от ПО в априорной защите огромна, в апостиорной – существенно меньше. В планах ФНС – развитие апостиорной защиты на основе мониторинга без зависимости от персонального ПО. Также существенным моментом является и сертификация, которая превращается в бесконечную гонку за результатом. Александр Баранов привел примеры Windows 7, у которой сертифицированы только отдельные блоки, а на подходе уже Windows 8. Да и у IBM и Oracle есть блоки, на которые нет сертификации и детального описания. Кроме того, есть и финансовая сторона вопроса – при использовании априорной защиты ее стоимость может приближаться к 100% стоимости системы. Такой подход ФНС считает неприемлемым, этот коэффициент должен составлять порядка 10%, что и позволяет апостиорная защита. "Других решений для крупных систем нет", – подчеркнул Александр Баранов.

Ошибки лицензиатов

Начальник Управления ФСТЭК России Игорь Назаров рассказал о нормативно-правовом регулировании деятельности по ТЗКИ и перспективах развития системы лицензирования. По информации представителя ФСТЭК, в настоящее время в системе состоит более 2 200 участников. На основе постановлений правительства и ФЗ "О техническом регулировании" ФСТЭК разработала ряд нормативных документов и перечней оборудования, технической документации и национальных стандартов. Среднее время обработки лицензионной заявки сейчас составляет 2,5 месяца, хотя необходимо 45 дней. При этом, чем менее ответственно лицензиат подходит к оформлению заявки – тем дольше она рассматривается. Представитель ФСТЭК перечислил отдельные типовые недостатки лицензиатов. В 80% случаев возврата заявки – ее невнимательное исполнение: не предоставляются оригиналы действующих лицензий, нет отдельных заявлений по заявленным видам деятельности, техпаспорт на автоматизированную систему не соответствует требованиям ФСТЭК, на используемое контрольное оборудование и средства защиты информации нет сведений и документов.

Как сообщил Игорь Назаров, на сегодняшний день ФСТЭК привела свои нормативно-правовые акты в соответствие с ФЗ "О лицензировании отдельных видов деятельности". Соответствующие регламенты размещены на официальном сайте ФСТЭК – и это первые регламенты, зарегистрированные Минюстом. По мнению чиновника, перспективы развития системы лицензирования ФСТЭК состоят в разработке электронной формы для подачи заявлений через единый портал госуслуг. Совместными усилиями ФСТЭК, Росреестра и Федерального казначейства планируется выдача лицензий в электронном виде.

Трудности с ЭЦП

Создание Единого экономического пространства выявило проблему трансграничности в аспекте электронной торговли. Этой теме был посвящен доклад исполнительного директора НКО АЭТП Илии Димитрова. Он подробно остановился на опыте совместной работы России и Белоруссии. В этом плане выглядят актуальными для стран-участниц ЕЭП разница требований к ИБ в плане криптографии, также отсутствует единая юридическая база. Из-за разности подходов к использованию Электронной цифровой подписи (ЭЦП) страны фактически не имеют возможности торговать друг с другом. Эксперт описал ряд принятых решений, которые, впрочем, можно назвать временными или половинчатыми. В первую очередь Россия признает криптографию белорусов, а они – российскую. В дальнейшем Россия будет развивать технологии ТДС – использование третьей доверенной стороны. В рамках ЕЭП создана комиссия по созданию юридической нормативной базы. Теперь придется перестраивать законодательную базу под электронный документооборот, но в Госдуме отсутствуют специалисты соответствующего уровня для решения этих вопросов, считает Димитров. Помимо ЭЦП в сфере трансграничной торговли попутно возникают вопросы с ИНН, НДС и проч. В данном случае двигателем позитивных изменений стала не отчетность, не безопасность, а экономика, – указал эксперт, – причем с непосредственным участием в процессе руководителей обоих государств.

Эксперт Академии Информационных Систем, председатель совета НП ПСИБ Дмитрий Левиев подвел итоги аккредитации удостоверяющих центров (УЦ) в аспекте перехода к ЭЦП в соответствии с новым 63-ФЗ "Об электронной цифровой подписи". В частности он обратил внимание на слабую юридическую составляющую переходного периода. В своем докладе эксперт остановился на финансовых гарантиях, предоставляемых УЦ, а именно – банковских гарантиях, страховании рисков и поручительстве. В итоге текущими результатами аккредитации являются 88 аккредитованных УЦ, основную массу которых составляют представители сервисных УЦ и УЦ органов власти. Кроме того, многие крупные заказчики готовят к аккредитации корпоративные УЦ. Эксперт назвал высокой цену квалифицированного сертификата – от 5 000 до 18 000 рублей. Дмитрием Левиевым был также отмечен ряд насущных проблем этого направления: необходимость создания нового комплекта корневых ключей; кросс-сертификация с головным УЦ; перевод рекомендаций Минкомсвязи по структуре квалифицированного сертификата в разряд нормативного документа; решение проблем по структуре квалифицированного сертификата для обеспечения государственных и муниципальных нужд.

В ходе дискуссии директор по развитию компании "Актив" Владимир Иванов обратил внимание на усложнение и удорожание бизнес-процесса в связи с внедрением ЭЦП. "Зачем был придуман электронный документооборот и ЭЦП? – задается вопросом эксперт. – Скорость и экономия. А у нас получаются для повышения скорости и экономии очень большие накладные расходы. Когда была собственноручная подпись – были другие проблемы, но проблем согласования форматов не было. А пришли технари – и стало все очень интересно, грустно, дорого и страшно". На это Александр Баранов заметил, что в настоящее время 40% федерального бюджета формируются с использованием цифровой подписи, и, по мнению ФНС, эта схема эффективна и будет использоваться в дальнейшем.

Электронное правительство и безопасность

Выступление первого вице-президента компании "ИнфоТеКС" Владимира Игнатова было посвящено особенностям и опыту построения виртуальных защищенных сетей в государственных и близких к ним структурах России. По оценке эксперта, сегодня только VPN-технологии позволяют обеспечить надежный контроль и создать замкнутую среду для всего трафика, порождаемого компьютерами и другими устройствами, обеспечить невозможность скрыть источник атаки и тем самым обеспечить высокую безопасность для корпоративного трафика и систем при обмене внутри ведомства и между ведомствами. При внедрении проектов у муниципальных заказчиков в связи с необходимостью установления самых разнообразных соединений как по вертикали, так и по горизонтали во многих случаях потребовалось обеспечить соединение через цепочку VPN-шлюзов – координаторов. То есть VPN-шлюзы должны уметь маршрутизировать VPN-потоки для достижения заданной точки назначения, отметил эксперт. Во многих случаях, особенно на региональном уровне, помимо выделенных скоростных каналов в качестве резервного канала связи используется Интернет. Это означает, что VPN-шлюз должен уметь перенаправлять VPN-потоки в доступный в данный момент канал в соответствии с заданными приоритетами их использования.

Представитель "ИнфоТеКС" также сообщил, что в преобладающем большинстве случаев заказчиками ставится задача защиты информационных потоков не только на магистральных каналах, но и при прохождении через локальные сети. В связи с чем VPN-клиенты устанавливаются на ряде важных рабочих станций внутри локальной сети, а иногда устанавливаются и координаторы для защиты сегментов сети с важными серверами. То есть должно обеспечиваться каскадирование узлов VPN, подчеркнул эксперт.

Начальник отдела информационной безопасности компании "Ростелеком" Илья Трифаленков рассмотрел инфраструктуру электронного правительства и ее особенности с точки зрения ИБ. По его оценке, ядро инфраструктуры электронного правительства состоит из двух частей – порталов госуслуг и систем межведомственного электронного взаимодействия, что отличает ее от традиционной корпоративной информационной системы, действующей внутри одного периметра с единой политикой безопасности. Вся обработка информации, связанной с осуществлением госуслуг, производится в ведомственных системах, то есть эти две системы просто осуществляют функции коммуникации между собой, что не позволяет задать единую политику и жесткую стандартизацию. При этом возникает новая сущность – оператор, который "рулит" этой инфраструктурой. Это Минкомсвязи, делегировавший свои полномочия "Ростелекому", который с точки зрения построения системы тоже является неклассическим вариантом – независимый оператор, не ассоциированный с владельцами информации. В неклассической структуре существует другая система рисков, отметил эксперт.

"Традиционные для корпоративной системы риски в значительной степени снижаются, во многом благодаря тому, что есть оператор, который сосредоточен на вопросах эксплуатации системы, в том числе и в вопросах обеспечения безопасности, может привлекать достаточно квалифицированный персонал (деятельность эта для него профильная), и в соответствии со взятыми на себя обязательствами несет юридическую ответственность за функционирование структуры электронного правительства", – сказал Трифаленков. С точки зрения технологий для такой системы необходимо вводить ряд универсальных механизмов безопасности: управление событиями безопасности, мониторинг состояния информационных систем, контроль соответствия требованиям, предотвращение утечек информации, аутентификация и идентификация, управление правами доступа и протоколами управления, обеспечение непрерывности деятельности, управление конфигурациями и обновлениями.

Начальник управления безопасности компании "Универсальная электронная карта" Владимир Звейник рассказал о ходе проекта по внедрению УЭК в России. По его информации, в пилотных регионах уже выпущены по 1 500 карт. Карта является не только полноценным платежным средством, кстати, полностью национальным – и поэтому независимым от атак на международные платежные системы. Карта не объединяет в себе различные персональные данные, а является "входом" в различные информационные системы, безопасность которых обеспечивается соответствующими ведомствами. В ходе обсуждения темы эксперт подчеркнул, что система полностью выстроена и согласована с регуляторами.

Коммерческий директор компании "Аванпост" Александр Санин в своем докладе поднял вопрос об организации эффективного управления доступом к информационным ресурсам в государственных органах власти. "С подсистемы управления доступом начинается классическое понятие ИБ... и от того, насколько эффективно работает эта подсистема, зависит очень и очень многое", – подчеркнул эксперт.

Выступление заместителя генерального директора по экспертизам "НПО Эшелон" Игоря Шахалова было посвящено новым требованиям к лицензированию в области защиты информации. Среди принципиальных моментов он отметил необходимость наличия на предприятии системы менеджмента качества и производственного контроля. Кроме того, эксперт отметил, что на сегодняшний день описаны виды работ и оказание услуг – это позволяет гибко подходить к вопросам лицензирования соответствующего вида деятельности. Также Игорь Шахалов указал на ужесточение требований к организациям, которые планируют проводить сертификационные и аттестационные испытания.

Персона и конфиденциальность

Ряд актуальных вопросов был рассмотрен в рамках сессии, посвященной защите персональных данных и другой конфиденциальной информации.

Региональный менеджер по России/СНГ компании Websense Дмитрий Соколов рассказал об оригинальном подходе к защите конфиденциальной информации в крупных распределенных компаниях на примере применения архитектуры TRITON при работе с энергетическим сектором по защите конструкторской документации, с оператором связи по защите персональных данных клиентов, с транспортным сектором по защите коммерческой информации, а также с крупной нефтегазовой компанией по созданию унифицированной веб-защиты с едиными политиками и отчетностью.

Начальник отдела БСТМ МВД России Александр Иванов в своем выступлении раскрыл практику работы органов внутренних дел с 28 статьей УК "О компьютерных преступлениях". В частности, он отметил отсутствие законодательно зафиксированной ответственности мобильных операторов, а также почтовых интернет-сервисов при работе с идентификацией пользователей. Представитель МВД также в этой связи попутно рассмотрел проблемы Ddos-атак и взлома систем ДБО, здесь также отсутствует законодательная база для работы МВД по выявлению и предупреждению преступлений.

В докладе Дмитрия Левиева шла речь о реализации требований по обработке персональных данных в российской организации при иностранных акционерах. В такой организации, как правило, не имеется ни регламентов, ни положений, ни инструкций, которые регламентируются законодательством Российской Федерации в области защиты персональных данных. В лучшем случае, в организации имеются схемы бизнес-процессов. Таким образом, в глобальной компании контроль защиты персональных данных проводится иностранными специалистами, что приводит к неполной реализации защиты персональных данных по требованиям Российской Федерации. Также отсутствует нормативная база, официально переведенная на иностранные языки и опубликованная – значит, для иностранцев такие требования имеют нулевую юридическую ценность. При этом серверы компании базируются за рубежом, единые CRM-система, телефонный справочник, кадровая система находятся там же. Все эти факторы порождают проблему трансграничной передачи персональных данных в открытом доступе.

В ходе сессии было представлено совместное решение компаний "Инновационные технологии" и Oracle по защите печатных документов.

Кроме того

Вопросам безопасности объектов топливно-энергетического комплекса было посвящено выступление начальника отдела по административным и общим вопросам Минэнерго России Юрия Хамчичева. В частности, он описал организационные и правовые основы защиты объектов ТЭК от актов незаконного вмешательства, состояние нормативной базы и перспективы ее развития, а также порядок проведения категорирования объекта ТЭК и оформления или актуализации паспорта безопасности объекта ТЭК.

Компания "РОСА" провела секцию, посвященную вопросам ИБ в открытом коде на основе собственных разработок. В ходе выступлений докладчиков рассматривались отечественная среда разработки и сборки свободного ПО, построение защищенной облачной системы и СЗИ.

В ходе "круглого стола" по проблемам мобильной безопасности выступили начальник отдела научных исследований и развития продуктов компании "ИнфоТеКс" Николай Смирнов, начальник отдела компании "Ай-Теко" Константин Кузовкин, менеджер по продуктам "НИИ СОКБ" Григорий Васильев. Экспертами рассматривались вопросы безопасности систем ДБО для мобильных клиентов, а также защита и управление корпоративной сотовой связью.

Под руководством заместителя главного редактора журнала "ИТ-менеджер" Олега Седова состоялся "круглый стол", посвященный проблеме инсайдерства. По мнению участников, если защита внешнего корпоративного периметра требует не допустить проникновения злоумышленников, а потому больше напоминает работу пограничников, то борьба с инсайдерами – более тонкая работа, схожая с деятельностью контрразведки. В результате перед службой ИБ встают новые задачи: наблюдение, мониторинг поведения, расследование преступлений, сбор доказательной базы. В ходе обсуждения был приведен в пример опыт penetration-теста крупного российского банка. В результате теста выяснилось, что за отчетный период выявлено около 500 попыток совершения эпизодов ИБ. При этом совокупный ущерб от них мог в полтора раза превысить стоимость защитной DLP-системы, что говорит о целесообразности ее применения.

В работе конференции активное участие принял бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий, автор книги "100 мифов и заблуждений информационной безопасности".

В кулуарах свои оценки текущей ситуации представили участники рынка – представители компаний "РНТ", ГК "Mezon.Ru", а также крупнейшего системного интегратора Юга России "Сириус".


Bankir.Ru (20.09.2012 в 09:45) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2012 ООО "Ди Эй Кей продакшн"