Информационная безопасность
Интервью с директором РГП «ЦТСАТ» Асхатом Оразбеком о вопросах информационной безопасности и о деятельности центра.
Законопроектом «О внесении изменений и дополнений в некоторые законодательные акты по вопросам информационно-коммуникационных сетей» предусмотрено внесение дополнений в Закон Республики Казахстан «Об информатизации», в частности касающихся определения, полномочий государственной технической службы в области информатизации. Полномочия данной Службы предусматривается закрепить за Республиканским государственным предприятием на праве хозяйственного ведения «Центр технического сопровождения и анализа в области телекоммуникаций» Агентства Республики Казахстан по информатизации и связи (РГП «ЦТСАТ»), созданным 17 апреля 2008 года постановлением правительства Республики Казахстан. О вопросах информационной безопасности, о деятельности Центра мы поговорили с директором РГП «ЦТСАТ» Асхатом Елюбаевичем Оразбеком.
— Асхат Елюбаевич, насколько важно правильно спроектировать
— Для начала, хотелось бы определиться с терминами. Корпоративная
Несомненно, в идеальном варианте,
— Насколько, по вашему мнению, хорошо, эффективно спроектированы
— Как мне кажется, с общим развитием менеджмента в казахстанских компаниях, проблемы, связанные с проектированием IT архитектуры постепенно выдвигаются на первый план. Переход к корпоративному управлению неизбежно повышает требования и к IT архитектуре.
Центр исследования информационных систем Слоуна Массачусетского технологического института выделяет 4 стадии в создании архитектуры систем: этап становления (хаотичное хранилище бизнес-данных), стандартизация IT, стандартизация бизнес-процессов, модульная бизнес-организация.
Сегодня основная часть казахстанских компаний переходит ко второй стадии — стандартизации технологий. Корпоративное развитие невозможно обеспечивать при том уровне сложности систем, которым характеризуется этап становления IT. В результате большинство предприятий по возможности приняли технологии стандартных платформ, используя только одну или две конфигурации ПК, технологии стандартных баз данных для всех департаментов или одинаковое оборудование и ОС для всех серверов. Лишь немногие предприятия находятся на третьей стадии - стандартизации бизнес-процессов. Переход к этой стадии требует коренных изменений в самом предприятии, а также серьезного вложения средств.
Мне достаточно тяжело судить о том, насколько эффективно спроектированы
Государственные органы имеют свою определенную специфику. В целом,
— Насколько необходима и затратна надежная защита корпоративной сети? Специалисты, ПО, оборудование?
— В настоящее время, как вы знаете, каждая организация в процессе своего функционирования активно использует интернет и электронную почту. Увеличивается разнообразие используемого программного обеспечения, создаются новые информационные системы. Все это создает благотворную почву как для внешних злоумышленников — создателей вирусов, хакеров и спамеров, так и для неблагонадежных сотрудников — инсайдеров, которые иногда действуют совместно. Злоумышленники создают новые вирусы и вредоносные программы — шпионское ПО, кейлоггеры, руткиты, эскплойты, которые позволяют им проникать на незащищенные компьютеры, подчинять их себе, создавая
Отдельно можно выделить системы резервного копирования и восстановления информации, которые позволяют сохранять информацию в случае сбоев, нештатных ситуаций. Также в последнее время сильный интерес проявляется к системам криптографической защиты информации, системам мониторинга и аудита действий пользователей, а также к системам, позволяющим осуществлять сбор, корреляцию и анализ событий информационной безопасности, зафиксированных имеющимися системами защиты для оперативного реагирования на инциденты. Для эффективного функционирования комплексной системы защиты информации необходимо систематическое обучение администраторов на курсах по эксплуатируемым продуктам. Должен отметить, что содержание в штате квалифицированных специалистов в области информационной безопасности обходится организации недешево. Ведущие компании
— Как вы оцениваете состояние рынка администраторов сетей в РК? Наблюдается ли дефицит специалистов? Насколько они востребованы? Каков уровень подготовки?
— Возможно, это несколько субъективная оценка, но,
Если брать крупные города, то физического дефицита администраторов сейчас нет. Однако, как и в других отраслях есть определенный дефицит высококвалифицированных кадров. Сейчас работодатель все большее внимание уделяет наличию тех или иных сертификатов. Тенденция такова, что количество специалистов, имеющих общепризнанные сертификаты, постоянно увеличивается. Кроме того, развитие телекоммуникаций привело к тому, что удаленное администрирование не является
Думается, такая ситуация будет и в ближайшем будущем. Уровень знаний и умений среднестатистического администратора будет повышаться, но будет возрастать и уровень требований к ним. Поэтому определенный дефицит высококвалифицированных специалистов
— Каково состояние информационной безопасности систем, входящих в
— Информационная безопасность компонентов инфраструктуры «электронного правительства» обеспечивается в соответствии с Концепцией информационной безопасности инфраструктуры «электронного правительства» Республики Казахстан на
Данные функции будут осуществляться специально созданным для этих целей Центром мониторинга и поддержки информационной безопасности. В настоящее время проводится тестирование программно-аппаратного обеспечения ЦМ и идет подготовка к вводу его в опытную эксплуатацию.
С мая 2008 года специалистами ЦМ ежемесячно проводится инструментальное сканирование серверов инфраструктуры «электронного правительства», в том числе
По каждому компоненту инфраструктуры «электронного правительства» в настоящее время согласовывается пакет документов по информационной безопасности, основным из которых является Политика информационной безопасности.
В 2008 году РГП «ЦТСАТ» был проведен информационный аудит на соответствие требованиям информационной безопасности в локально-вычислительных сетях 14 ГО.
Показателем высокого уровня информационной безопасности в организации является международная сертификация системы управления информационной безопасностью по международному стандарту ИСО/МЭК
Флагманами в обеспечении информационной безопасности являются банки и финансовые организации, где любой инцидент ведет к прямым потерям в денежном выражении и, что еще важнее, потере репутации.
— Что, на ваш взгляд, необходимо для совершенствования информационной безопасности информационных технологий?
— Одним из основных мероприятий для совершенствования информационной безопасности является актуализация законодательной базы, гармонизация международных стандартов в области ИБ и обязательное их использование при построении
В подавляющем большинстве случаев используется программное и аппаратное обеспечение зарубежного производства, где уровень развития информационных технологий на порядок выше, чем у нас. В связи с этим велик риск наличия в них недекларированных функций или, так называемых «закладок», которые могут быть как аппаратными, так и программными. Назначение «закладок» — скрытая передача, искажение, удаление конфиденциальной информации, выведение из строя оборудования и т.д. Для снижения подобных рисков необходимо проведение обязательной сертификации и аттестации приобретаемого аппаратного и программного обеспечения. Целесообразно предусмотреть данные мероприятия на этапе формирования технических спецификаций и возложить обязанность по проведению этих мероприятий на самих вендоров или их партнеров. Естественно, что потребуется предусмотреть на это и достаточное количество финансовых средств. Для проведения сертификации и аттестации необходимо наличие организации, в составе которой функционировали бы специализированные аккредитованные лаборатории, оснащенные необходимым программным и аппаратным обеспечением, имеющие в штате высококвалифицированных специалистов.
Необходимо периодическое проведение аудита информационных систем, локально-вычислительных сетей, в ходе которого происходило бы выявление рисков информационной безопасности, их оценка, разработка мероприятий по снижению рисков.
Большинство компаний, осуществляющих аудит или сертификацию, являются зарубежными. В связи с этим велик риск разглашения информации, полученной ими в ходе осуществления деятельности. Поэтому для проведения аудитов и сертификаций в государственных органах необходимо наличие отечественной государственной компании, в штате которой состояли бы высококвалифицированные специалисты, прошедшие спецпроверку и имеющие соответствующие допуски, и которая курировалась бы уполномоченным органом. В настоящее время Агентством РК по информатизации и связи инициирован проект закона о внесении изменений в некоторые законодательные акты по вопросам телекоммуникаций, которым предусматривается определение РГП «ЦТСАТ» такой организацией, закрепляются полномочия нашей компании по техническому обеспечению информационной безопасности информационных систем и информационных ресурсов государственных органов, проведению их обязательной аттестации на соответствие требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам.
— Вы говорите о законопроекте, о внесении изменений в некоторые законы по вопросам телекоммуникаций. Как известно, этим законопроектом предусматривается приравнивание интернет-ресурсов к средствам массовой информации. Можете сказать, существует ли аналогичная практика в зарубежных странах?
— Действительно, с принятием названного законопроекта интернет-ресурс будет обладать статусом средств массовой информации. Данное введение очень много обсуждается в прессе и иных средствах массовой информации, поскольку является достаточно новым для нашей страны, ведь у нас до настоящего времени интернет находится полностью вне правового поля. Между тем и государством, думаю, и всем казахстанским обществом осознана необходимость регулирования сети. Я также заинтересовался вопросом международной практики регулирования интернета и могу сказать, что в странах мира интернет-регулирование находится на различных этапах и имеет свою различную специфику. В странах, где регулирование сети интернет находится на низком уровне, существует огромное количество правонарушений связанных с его использованием. Эти нарушения зачастую являются грубыми нарушениями прав человека, а иногда и преступлениями уголовного характера, направленными против мира и согласия.
Если говорить непосредственно о норме законопроекта, приравнивающей интернет-ресурсы к средствам массовой информации, то могу назвать такие страны как США, Австрия, Польша и даже Россия, которые своим законодательством признали интернет средством массовой информации. В России это Закон «О средствах массовой информации», который распространяет установленные правила на иные телекоммуникационные сети, к ним и относится интернет.
В Австрии также действует закон «О средствах массовой информации», которым все
В Польше интернет рассматривается как средство массовой коммуникации, с помощью которого распространяются типичные печатные материалы. Распространение таких материалов через информационно-коммуникационные сети считается «печатной публикацией» и к ним применяются положения закона Республики Польша «О прессе».
В США все интернет-ресурсы Законом «О телекоммуникациях» (Communications Act) приравниваются к средствам массовой информации.
Таким образом, норма законопроекта о приравнивании интернет-ресурсов к средствам массовой информации в Казахстане не является нововведением в мировой законодательной практике.
— Спасибо за интересный разговор.
Комментарии