e-Government без страха и упрека

e-Government без страха и упрека
Алексей Комов | 29.10.2013
В рамках VI Петербургского международного инновационного форума, состоявшегося в начале октября в городе на Неве, Комитет по информатизации и связи Санкт-Петербурга совместно с журналом IT Manager провел круглый стол, посвященный информационной безопасности. На этот раз темой для дискуссии экспертов в области защиты информации стала безопасность использования государственных электронных услуг. 

Открывая круглый стол, Иван Громов, председатель Комитета по информатизации и связи Санкт-Петербурга, особо подчеркнул важность избранной для дискуссии темы. «Переоценить значимость структурных изменений в ИТ-отрасли с точки зрения информационной безопасности крайне сложно. Основной тренд развития отрасли — облачные технологии. По пути концентрации информационных ресурсов в виртуальном облачном пространстве в ИТ движется все, включая электронные госуслуги», — подчеркнул председатель Комитета. По его словам, централизованное хранение данных в облаках и доступ к ним неизбежно выводит на первый план вопросы защиты информации. 

img

В свою очередь Юрий Шойдин, председатель комитета по информационной безопасности Российского союза ИТ-директоров уточнил, что, по его опыту, во многих в российских организациях на ИТ выделяется не более 2–3% годового бюджета, при этом безопасность как направление испытывает острую нехватку ресурсов. По мнению Юрия Шойдина, чрезвычайно важно отдавать себе отчет в том, что без использования соответствующих средств обеспечить надежную защиту информации невозможно.

img

Болевые точки

О ключевых проблемах и трудностях, характерных для текущего этапа развития электронных госуслуг, в своем выступлении на круглом столе рассказал Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.», член экспертного совета по вопросам совершенствования электронного документооборота в органах государственной власти при Министерстве связи и массовых коммуникаций РФ. Он подчеркнул, что, поскольку государственные услуги в электронном виде интенсивно развиваются, неизбежно возникают вопросы доверия к участникам электронного взаимодействия, а также появляется реальная необходимость придания электронным документам юридической силы наравне с бумажными. К наиболее актуальным задачам безопасности в сфере электронных госуслуг Алексей Сабанов относит повышение достоверности идентификации и аутентификации сторон при электронном взаимодействии, развитие практики применения электронной подписи, обеспечение юридической силы электронному документу. Для этого необходимо формирование единого пространства доверия (ЕПД) при электронном взаимодействии в качестве основы доверия как к электронной подписи, так и к электронным документам для обеспечения их юридической силы. Для создания ЕПД технологии и готовые решения имеются, необходимо создание нормативно-правовой базы и осуществление ряда организационных мер.
«К сожалению, в российской нормативной базе нет документов, которые отражали бы реальное положение вещей и были привязаны к конкретным технологиям информационной безопасности, используемым на рынке. Между тем, таких технологий довольно много, и все они обеспечивают разный уровень защиты. Кроме того, в разных нормативных документах существуют разные определения, что способствует путанице и разночтениям», — поделился своим мнением Алексей Сабанов. Также, по его словам, есть проблема частой смены ответственных лиц. Еще год назад в «Ростелекоме», который пока еще сохраняет статус единственного исполнителя работ по дальнейшему созданию и развитию элементов инфраструктуры и систем электронного правительства РФ, был специальный сотрудник, отвечавший за безопасность электронных госуслуг. «Кто конкретно сейчас курирует данное направление — неизвестно. За безопасность каждой ГИС (государственная информационная система) должно отвечать конкретное лицо, в противном случае за проблемы никто не несет ответственности, и не с кого спросить», — убежден Алексей Сабанов.

img

Электронные госуслуги на практике

Начальник отдела проектирования и развития государственных электронных услуг Санкт-Петербургского информационно-аналитического центра Дмитрий Налбандян рассказал о реализации электронного правительства в Северной столице. По его словам, на текущий момент в городе на Неве уже работает 33 стационарных и 3 мобильных Многофункциональных центра предоставления государственных и муниципальных услуг (МФЦ), в которых граждане могут получать госуслуги, в том числе в электронной форме, по принципу «одного окна» (то есть в рамках однократного обращения за предоставлением госуслуг). Кроме того, функционирует городской портал электронных госуслуг, и на его базе реализована электронная приемная граждан. Также все ведомства города подключены к системе межведомственного электронного взаимодействия, предусматривающей обмен документами между различными ведомствами исключительно в электронной форме. Во всех МФЦ и некоторых городских объектах установлены электронные терминалы для доступа к госуслугам, а для некоторых услуг созданы мобильные приложения. «Мы стремимся к максимальному отказу от личного участия человека в процессе предоставления госуслуг», — подчеркнул Дмитрий Налбандян.

img

Стой, кто идет?

Владимир Колосов, начальник управления защиты информации и информационной безопасности Санкт-Петербургского информационно-аналитического центра, отметил, что в процессе осуществления проекта всплывают и очевидные трудности. Основная проблема текущего этапа развития электронных госуслуг заключается в невозможности дать ответы на все запросы, в электронном виде направленными гражданами, — через портал госуслуг. Причина заключается в аутентификации и идентификации заявителя — в настоящий момент данные аспекты реализованы недостаточно надежно. «При обращении гражданина через портал мы не можем достоверно утверждать, кто именно обращается за госуслугой. Проекты УЭК и карты электронного правительства направленые именно на решение этой проблемы, к сожалению не дают ощутимого эффекта», — констатирует Владимир Колосов. Он также отмечает, что многие пользователи заинтересованы, прежде всего, в мобильных версиях сервисов. Однако «мобилизация» госуслуг развивается крайне медленно, в первую очередь из-за того, что инфраструктуры электронного правительства к этому попросту не готовы. Тем не менее, по оценке Владимира Колосова, в настоящий момент запросы, направленные в электронные госуслуги через открытые интернет-каналы, практически безопасны, поскольку не предполагают передачу персональных данных. Однако лучший способ воспользоваться такими услугами в полной мере — обратиться в МФЦ.

img

На порталах большинства ведомств, оказывающих электронные услуги, для доступа граждан к сервисам предусмотрена простая аутентификация посредством многоразового пароля. Так сделано и на портале Федеральной налоговой службы при доступе к личному кабинету, и на большинстве региональных порталов госуслуг. «Это говорит о том, что ведомства либо не уделяют должного внимания защите информации, либо оценивают возможные риски утраты таких данных как крайне низкие», — отметил в ходе своего выступления Игорь Орлов, технический директор ОАО «УЭК Ленинградской области». По его словам, средства строгой аутентификации, которые обеспечивали бы безопасность доступа пользователей госуслуг, используются очень редко. А там, где используются, их применение, зачастую, бессистемно. Примером является Единый портал государственных услуг(ЕПГУ), где не делают различия между простой и строгой аутентификацией, разрешают все варианты, что в корне дискредитирует идею безопасного удаленного доступа к госуслугам. Портал «Российская общественная инициатива» использует аутентификацию ЕПГУ как основание юридически значимой законодательной инициативы. Это уже очень серьезно. У поставщиков госуслуг нет политики разграничения доступа в зависимости от способа аутентификации, степени доверенности терминала доступа и т.д.

img

Поступательное движение

В своем докладе Сергей Петренко, директор Центра систем кибербезопасности ООО «Энвижн Специальные проекты», уделил внимание истории и тенденции развития центров реагирования на компьютерные инциденты и инциденты информационной безопасности. Первое такое учреждение было создано 25 лет назад на базе частного университета и исследовательского центра Карнеги-Меллон в Питтсбурге (штат Пенсильвания, США), а сегодня в мире насчитывается несколько сотен государственных и коммерческих центров. В России, по словам Сергея Петренко, аналогичные инициативы реализуют крупнейшие операторы связи, а также некоторые технопарки. «При этом один из четырех официально зарегистрированных центров уже уполномочен принимать ответные действия в отношении органов исполнительной власти, в случае нереагирования на уведомления о каких-либо инцидентах в области кибербезопасности», — подчеркнул Сергей Петренко.

img

В свою очередь Евгений Родыгин, заместитель генерального директора по развитию ООО «М-СТАНДАРТ холдинг», напомнил участникам круглого стола о вступлении в силу нового приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». В соответствии с этим документом, для обеспечения защиты сведений, содержащихся в информационной системе, должны применяться лишь средства, прошедшие обязательную сертификацию на соответствие требованиям по безопасности информации. В своем докладе Евгений Родыгин подробно рассказал об участниках процесса сертификации и об основных схемах осуществления данной процедуры. «Знания в области сертификации позволяют избежать рисков, связанных с принятием на себя дополнительных затратных задач, ответственности третьих лиц, в том числе соисполнителей при участии в конкурсах, НИР, ОКР содержащих требования по сертификации продукции», — резюмировал Евгений Родыгин.

img

Свет в конце тоннеля

В завершение круглого стола, Илья Медведовский, генеральный директор компании Digital Security, в ходе доклада под названием «Безопасность Государственных Информационных Систем. Есть ли свет в конце тоннеля?» наглядно продемонстрировал многие уязвимости порталов государственных ведомств, доступные даже начинающим пользователям Интернета. По его оценке, основными потенциальными злоумышленниками, заинтересованными в получении закрытой информации в рамках предоставления госуслуг, являются, прежде всего, злоумышленники, заинтересованные в манипуляции с тендерами и электронными торгами или получении доступа к персональным данным граждан, и в потенциале, возможно - зарубежные спецслужбы, для которых подобные системы могут являться источником ценной информации как о гражданах, так и о компаниях.

img

«Нужно отдавать себе отчет в том, что от конкретных атак никакими законами или только повышением уровня ответственности для преступников защититься невозможно — для этого необходимы «правильные» законодательные инициативы, которые учитывают технические особенности и специфику ГИС на практике. Только тогда мы сможем реально подойти к решению проблемы безопасности», — убежден Илья Медведовский. По его мнению, одной из ключевых мер обеспечения безопасности ГИС является соблюдение правильного подхода к организации жизненного цикла информационной системы, при котором, в частности, анализ безопасности должен проводиться на каждом этапе этого цикла. «Только тогда мы получим приемлемый уровень защищенности. В противном случае электронные госуслуги могут быть полностью дискредитированы кем угодно и, что самое печальное, для этого не нужно обладать высокой квалификацией», — уверен Илья Медведовский.

img


Теги: безопасность, круглые столы, сертификация, риски, внешние угрозы, ЭЦП

Журнал IT-Manager № 10/2013    [ PDF ]    [ Подписка на журнал ]

Об авторе


Алексей Комов

Алексей Комов

Журналист, автор статей, интервью и аналитических обзоров для изданий IT News, IT-Weekly и IT Manager.


ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru


Другие материалы рубрики

Мы не только передаем заказчику спроектированные процессы, адаптированную систему автоматизации и обученный персонал, но и помогаем в реализации необходимых организационных изменений для того, чтобы клиент смог максимально использовать все преимущества подхода ITSM в своей деятельности.
На мой взгляд, здоровое тщеславие для CIO необходимо. Это естественное желание, чтобы кто-нибудь кроме самых близких мог сказать тебе: «Ну ты крут, брат!»

Мероприятия


08.09.2016
Санкт-Петербургский клуб ИТ-директоров «SPb CIO Club» и компания Event House приглашает Вас принять участие во втором Форуме по промышленной автоматизации «Industrial IT-Forum»! Промышленная автоматизация на предприятии – важная область, которой уделяется повышенное внимание. Использование информационных технологий - один из немногих технологически и экономически выгодных способов повышения эффективности подготовки производства. На современных предприятиях автоматизируются по максимуму все возможные участки работ. Новый взгляд на проблемы и тенденции информационных технологий в области промышленной автоматизации будут рассмотрены на II Форуме по промышленной автоматизации «Industrial IT Forum»

22.09.2016
24 июня 2016 года Госдумой шестого созыва был принят законопроект «Антитеррористический пакет» Яровой, который назван одним из самых резонансных. Существенная часть законопроекта призвана регулировать деятельность телекоммуникационных и интернет компаний. Согласно документу, операторы связи и «организаторы распространения информации» должны в течение полугода хранить вообще всю переданную информацию, то есть и записи телефонных звонков, и содержание смс-сообщений. В течение трех лет они также обязаны хранить сведения о переданных данных. Наконец, компании должны помочь ФСБ расшифровать весь трафик. Как законопроект повлияет на рынок? Смогут ли крупнейшие интернет-компании отстоять свою позицию? Готово ли государство прислушиваться к мнению бизнеса? На конференции Право.ru участники обсудят скрытые и явные угрозы «пакета Яровой», а также о другие законодательные изменения.