Информационная безопасность

Законопроектом «О внесении изменений и дополнений в некоторые законодательные акты по вопросам информационно-коммуникационных сетей» предусмотрено внесение дополнений в Закон Республики Казахстан «Об информатизации», в частности касающихся определения, полномочий государственной технической службы в области информатизации. Полномочия данной Службы предусматривается закрепить за Республиканским государственным предприятием на праве хозяйственного ведения «Центр технического сопровождения и анализа в области телекоммуникаций» Агентства Республики Казахстан по информатизации и связи (РГП «ЦТСАТ»), созданным 17 апреля 2008 года постановлением правительства Республики Казахстан. О вопросах информационной безопасности, о деятельности Центра мы поговорили с директором РГП «ЦТСАТ» Асхатом Елюбаевичем Оразбеком.

— Асхат Елюбаевич, насколько важно правильно спроектировать IT-архитектуру компании?

— Для начала, хотелось бы определиться с терминами. Корпоративная IT-архитектура представляет собой описание основных компонентов IT-системы предприятия и взаимосвязей между ними, то есть аппаратные средства, в т. ч. средства связи, приложения, данные и связи.

Несомненно, в идеальном варианте, IT-архитектура должна заранее проектироваться еще до создания компании. Однако в реальной жизни такое встречается крайне редко. Компания развивается по определенным законам, и IT-архитектура компании развивается одновременно с ней. Важно, чтобы был баланс между уровнем развития компании, уровнем менеджмента, IT-архитектурой в ней.

— Насколько, по вашему мнению, хорошо, эффективно спроектированы IT-архитектуры ведущих компаний, госорганов РК?

— Как мне кажется, с общим развитием менеджмента в казахстанских компаниях, проблемы, связанные с проектированием IT архитектуры постепенно выдвигаются на первый план. Переход к корпоративному управлению неизбежно повышает требования и к IT архитектуре.

Центр исследования информационных систем Слоуна Массачусетского технологического института выделяет 4 стадии в создании архитектуры систем: этап становления (хаотичное хранилище бизнес-данных), стандартизация IT, стандартизация бизнес-процессов, модульная бизнес-организация.

Сегодня основная часть казахстанских компаний переходит ко второй стадии — стандартизации технологий. Корпоративное развитие невозможно обеспечивать при том уровне сложности систем, которым характеризуется этап становления IT. В результате большинство предприятий по возможности приняли технологии стандартных платформ, используя только одну или две конфигурации ПК, технологии стандартных баз данных для всех департаментов или одинаковое оборудование и ОС для всех серверов. Лишь немногие предприятия находятся на третьей стадии - стандартизации бизнес-процессов. Переход к этой стадии требует коренных изменений в самом предприятии, а также серьезного вложения средств.

Мне достаточно тяжело судить о том, насколько эффективно спроектированы IT-архитектуры коммерческих компаний. В то же время ясно, что уровень развития ведущих компаний предполагает, что бизнес-процессы в них должны быть стандартизованы и IT-архитектура обязана соответствовать этому.

Государственные органы имеют свою определенную специфику. В целом, IT-архитектура госорганов на данный момент соответствует их потребностям. Работа по ее совершенствованию ведется как в рамках развития «электронного правительства», так и в рамках реформы государственного управления.

— Насколько необходима и затратна надежная защита корпоративной сети? Специалисты, ПО, оборудование?

— В настоящее время, как вы знаете, каждая организация в процессе своего функционирования активно использует интернет и электронную почту. Увеличивается разнообразие используемого программного обеспечения, создаются новые информационные системы. Все это создает благотворную почву как для внешних злоумышленников — создателей вирусов, хакеров и спамеров, так и для неблагонадежных сотрудников — инсайдеров, которые иногда действуют совместно. Злоумышленники создают новые вирусы и вредоносные программы — шпионское ПО, кейлоггеры, руткиты, эскплойты, которые позволяют им проникать на незащищенные компьютеры, подчинять их себе, создавая бот-сети и затем рассылать с них спам, проводить атаки на ресурсы, доступные в интернете, с целью выведения их из строя или проникновения в корпоративные сети для кражи, искажения конфиденциальной информации и других деструктивных действий. Угрозы информационной безопасности становятся все более комплексными, поэтому и защита корпоративной сети должна быть комплексной. Кроме этого, построение комплексной системы защиты должно основываться на утвержденной политике информационной безопасности с учетом рекомендаций международных и государственных стандартов по информационной безопасности. Основными элементами комплексной системы защиты являются межсетевые экраны, системы предотвращения атак, антивирусное ПО, системы анализа содержимого интернет-трафика и почтового трафика, сканеры уязвимостей, системы аутентификации, системы контроля и управления доступом в режимные помещения. Данные системы ни в коей мере не заменяют друг друга, но достаточно эффективно дополняют и противостоят различным видам существующих угроз.

Отдельно можно выделить системы резервного копирования и восстановления информации, которые позволяют сохранять информацию в случае сбоев, нештатных ситуаций. Также в последнее время сильный интерес проявляется к системам криптографической защиты информации, системам мониторинга и аудита действий пользователей, а также к системам, позволяющим осуществлять сбор, корреляцию и анализ событий информационной безопасности, зафиксированных имеющимися системами защиты для оперативного реагирования на инциденты. Для эффективного функционирования комплексной системы защиты информации необходимо систематическое обучение администраторов на курсах по эксплуатируемым продуктам. Должен отметить, что содержание в штате квалифицированных специалистов в области информационной безопасности обходится организации недешево. Ведущие компании IT-индустрии и финансового сектора расходуют на информационную безопасность не менее 20–25 % от общего IT-бюджета.

— Как вы оцениваете состояние рынка администраторов сетей в РК? Наблюдается ли дефицит специалистов? Насколько они востребованы? Каков уровень подготовки?

— Возможно, это несколько субъективная оценка, но, по-моему, рынок администраторов сетей (сисадминов) с количественной точки зрения насыщен или близок к насыщению.

IT-профессии для молодежи в последние годы стали и остаются достаточно привлекательными. Ежегодно на рынок труда выходит масса выпускников-айтишников с дипломами казахстанских высших и средне-специальных учебных заведений. Какая-то часть из них трудоустраивается по профессии, несмотря на достаточно невысокий уровень знаний и умений.

Если брать крупные города, то физического дефицита администраторов сейчас нет. Однако, как и в других отраслях есть определенный дефицит высококвалифицированных кадров. Сейчас работодатель все большее внимание уделяет наличию тех или иных сертификатов. Тенденция такова, что количество специалистов, имеющих общепризнанные сертификаты, постоянно увеличивается. Кроме того, развитие телекоммуникаций привело к тому, что удаленное администрирование не является чем-то из ряда вон выходящим. Высококвалифицированный системный администратор сейчас может работать и из другого города, а то и из другой страны.

Думается, такая ситуация будет и в ближайшем будущем. Уровень знаний и умений среднестатистического администратора будет повышаться, но будет возрастать и уровень требований к ним. Поэтому определенный дефицит высококвалифицированных специалистов какое-то время по-прежнему будет сохраняться.

— Каково состояние информационной безопасности систем, входящих в e-правительство, корпоративных систем госорганов, в том числе оборонных, нацкомпаний?

— Информационная безопасность компонентов инфраструктуры «электронного правительства» обеспечивается в соответствии с Концепцией информационной безопасности инфраструктуры «электронного правительства» Республики Казахстан на 2007–2009 годы, одобренной постановлением Правительства Республики Казахстан. Утверждены ТЗ и ТРП на создание системы обеспечения информационной безопасности инфраструктуры «электронного правительства». Согласно данной концепции был создан Центр поддержки информационной безопасности е-правительства, который представляет собой систему управления политикой безопасности, предназначенную для анализа функционирования и управления распределенными компонентами е-правительства путем сбора и анализа информации о процессах, происходящих на серверах, рабочих станциях пользователей информационных систем в реальном масштабе времени.

Данные функции будут осуществляться специально созданным для этих целей Центром мониторинга и поддержки информационной безопасности. В настоящее время проводится тестирование программно-аппаратного обеспечения ЦМ и идет подготовка к вводу его в опытную эксплуатацию.

С мая 2008 года специалистами ЦМ ежемесячно проводится инструментальное сканирование серверов инфраструктуры «электронного правительства», в том числе web-серверов, на наличие уязвимостей. По результатам сканирования проводится анализ состояния информационной безопасности, выдаются рекомендации по устранению выявленных уязвимостей, а также ведется контроль над выполнением рекомендаций.

По каждому компоненту инфраструктуры «электронного правительства» в настоящее время согласовывается пакет документов по информационной безопасности, основным из которых является Политика информационной безопасности.

В 2008 году РГП «ЦТСАТ» был проведен информационный аудит на соответствие требованиям информационной безопасности в локально-вычислительных сетях 14 ГО.

Показателем высокого уровня информационной безопасности в организации является международная сертификация системы управления информационной безопасностью по международному стандарту ИСО/МЭК 27001–2005.

Флагманами в обеспечении информационной безопасности являются банки и финансовые организации, где любой инцидент ведет к прямым потерям в денежном выражении и, что еще важнее, потере репутации.

— Что, на ваш взгляд, необходимо для совершенствования информационной безопасности информационных технологий?

— Одним из основных мероприятий для совершенствования информационной безопасности является актуализация законодательной базы, гармонизация международных стандартов в области ИБ и обязательное их использование при построении IТ-инфраструктуры в целом и комплексной системы защиты информации в частности.

В подавляющем большинстве случаев используется программное и аппаратное обеспечение зарубежного производства, где уровень развития информационных технологий на порядок выше, чем у нас. В связи с этим велик риск наличия в них недекларированных функций или, так называемых «закладок», которые могут быть как аппаратными, так и программными. Назначение «закладок» — скрытая передача, искажение, удаление конфиденциальной информации, выведение из строя оборудования и т.д.  Для снижения подобных рисков необходимо проведение обязательной сертификации и аттестации приобретаемого аппаратного и программного обеспечения. Целесообразно предусмотреть данные мероприятия на этапе формирования технических спецификаций и возложить обязанность по проведению этих мероприятий на самих вендоров или их партнеров. Естественно, что потребуется предусмотреть на это и достаточное количество финансовых средств. Для проведения сертификации и аттестации необходимо наличие организации, в составе которой функционировали бы специализированные аккредитованные лаборатории, оснащенные необходимым программным и аппаратным обеспечением, имеющие в штате высококвалифицированных специалистов.

Необходимо периодическое проведение аудита информационных систем, локально-вычислительных сетей, в ходе которого происходило бы выявление рисков информационной безопасности, их оценка, разработка мероприятий по снижению рисков.

Большинство компаний, осуществляющих аудит или сертификацию, являются зарубежными. В связи с этим велик риск разглашения информации, полученной ими в ходе осуществления деятельности. Поэтому для проведения аудитов и сертификаций в государственных органах необходимо наличие отечественной государственной компании, в штате которой состояли бы высококвалифицированные специалисты, прошедшие спецпроверку и имеющие соответствующие допуски, и которая курировалась бы уполномоченным органом. В настоящее время Агентством РК по информатизации и связи инициирован проект закона о внесении изменений в некоторые законодательные акты по вопросам телекоммуникаций, которым предусматривается определение РГП «ЦТСАТ» такой организацией, закрепляются полномочия нашей компании по техническому обеспечению информационной безопасности информационных систем и информационных ресурсов государственных органов, проведению их обязательной аттестации на соответствие требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам.

— Вы говорите о законопроекте, о внесении изменений в некоторые законы по вопросам телекоммуникаций. Как известно, этим законопроектом предусматривается приравнивание интернет-ресурсов к средствам массовой информации. Можете сказать, существует ли аналогичная практика в зарубежных странах?

— Действительно, с принятием названного законопроекта интернет-ресурс будет обладать статусом средств массовой информации. Данное введение очень много обсуждается в прессе и иных средствах массовой информации, поскольку является достаточно новым для нашей страны, ведь у нас до настоящего времени интернет находится полностью вне правового поля. Между тем и государством, думаю, и всем казахстанским обществом осознана необходимость регулирования сети. Я также заинтересовался вопросом международной практики регулирования интернета и могу сказать, что в странах мира интернет-регулирование находится на различных этапах и имеет свою различную специфику. В странах, где регулирование сети интернет находится на низком уровне, существует огромное количество правонарушений связанных с его использованием. Эти нарушения зачастую являются грубыми нарушениями прав человека, а иногда и преступлениями уголовного характера, направленными против мира и согласия.

Если говорить непосредственно о норме законопроекта, приравнивающей интернет-ресурсы к средствам массовой информации, то могу назвать такие страны как США, Австрия, Польша и даже Россия, которые своим законодательством признали интернет средством массовой информации. В России это Закон «О средствах массовой информации», который распространяет установленные правила на иные телекоммуникационные сети, к ним и относится интернет.

В Австрии также действует закон «О средствах массовой информации», которым все веб-сайты и информационные страницы объединены в общее определение «периодические носители информации», которые в любое время можно просмотреть.

В Польше интернет рассматривается как средство массовой коммуникации, с помощью которого распространяются типичные печатные материалы. Распространение таких материалов через информационно-коммуникационные сети считается «печатной публикацией» и к ним применяются положения закона Республики Польша «О прессе».

В США все интернет-ресурсы Законом «О телекоммуникациях» (Communications Act) приравниваются к средствам массовой информации.

Таким образом, норма законопроекта о приравнивании интернет-ресурсов к средствам массовой информации в Казахстане не является нововведением в мировой законодательной практике.

— Спасибо за интересный разговор.