ИС "Налог" имеет древовидную структуру с децентрализованной обработкой и хранением данных на местах. Она объединяет сегодня 10 тыс. инспекторских подразделений (в которых на местах помимо ИС "Налог" работают и другие ИС) и120 тыс. рабочих мест сотрудников.
С введением в 2013г. в опытную эксплуатации третьей версии ИС "Налог" систему предполагается перевести на централизованную модель ИТ-обслуживания ведомства, построенную на корпоративной облачной архитектуре с использованием виртуализированной среды, толстых и тонких клиентов (с учетом качества линий связи на местах).
Развитие ИС "Налог", как подчеркнул г-н Баранов, требует адекватного развития ее защищенности, что, по его словам, представляет немалые сложности. Организацию ИБ для ИС "Налог" г-н Баранов разделяет на две составляющие: априорную и апостериорную. Априорная ИБ направлена на предотвращение ИБ-инцидентов. Апостериорная допускает совершение инцидента, но зато позволяет выявить виновника инцидента и предъявить к нему доказательные, юридически значимые претензии.
Традиционная – априорная - ИБ, акцентирована на защите информацию до ее компрометации, и в этом ее несомненные преимуществами. Г-н Баранов обращает внимание также не то, что она позволяет разделить ответственность за качество защиты ИС в государственных структурах с сертификационными органами, поскольку госструктурам регуляторы предписывают использовать только сертифицированные средства защиты.
К большим недостатком априорной защиты в контексте таких больших ИС, как "Налог", г-н Баранов относит зависимость качества ИБ от используемых на местах операционных систем и прикладного ПО, которые подвергаются постоянным изменениям в виде новых версий и исправлений выявленных ошибок.
Современные темпы развития системного и прикладного ПО превращают процесс сертификации в мало приемлемый затяжной процесс. Как говорит г-н Баранов, сертификация - это тяжелая и затратная гонка в рамках априорной защиты.
В ряду проблем развития ИС "Налог" остро стоит и кадровая: по оценкам г-на Баранова, на поддержку ИС на местах", требуется, как минимум, по два системных администратора в каждое из 10 тыс. инспекторских подразделений. Что же касается специалистов по безопасности, то такие должности, как сообщил г-н Баранов, даже не включены в штатное расписание региональных подразделений.
По его словам, практически невозможно заставить налоговых субъектов, подключающихся к ИС "Налог", применять те или иные средства защиты - максимум, что удается сегодня, это построить с ними криптографически защищенную сертифицированную связь на базе электронной почты.
Проведенные в ФНС расчеты показали, что создание адекватной существующим угрозам априорной защиты для ИС "Налог" будет стоить 3-6 млрд. руб., заручиться получением которых из бюджета ФНС не удалось.
Как считает г-н Баранов, такие преимущества, как более низкая стоимость (по расчетам специалистов ФНС на построение ИБ с активным использованием наряду с априорной защитой защиты апостериорной у ведомства уйдет около трех лет и менее 1 млрд. руб.), независимость от состояние ПО в филиалах и возможность достижения с ее помощью высокой эффективности в борьбе с целевыми атаками и высококвалифицированными злоумышленниками, позволили ФНС сделать стратегический акцент в обеспечении ИБ информационной системы "Налог" на апостериорную защиту.
Вместе с тем ИТ-специалисты ФНС отдают себе отчет в том, что применение апостериорной предъявляет свои требования к пользователям. Она налаживается параллельно с априорной в виде мониторинга состояния средств защиты и использования его результатов при расследовании ИБ-инцидентов . При этом в ФНС учитывают, что придать юридическую значимость этим результатам в реалиях нынешней российской юридической практики сложно (что хорошо известно тем, кто это пробовал делать), поскольку наряду с техническими требованиями к доказательным материалам предъявляется еще и ряд процедурных требований, и соблюдение первых и вторых строго регламентировано.
Апостериорная защита не так требовательна к безопасности используемых ИКТ-средств, как априорная. Однако и она обязывает строго защищать (в первую очередь априорными методами) средства сбора и хранения информации об ИБ-инцидентах. Здесь специалистов поджидают еще и проблемы с удаленным управлением ИБ-средствами. Для эффективной работы апостериорной защиты нужно также развивать аналитические возможности системы мониторинга ИТ-событий.
Апостериорная защита, с одной стороны не подлежит (во всяком случае сегодня) сертификации, а с другой, находится (пока) вне контроля регуляторов. В этом есть как свои преимущества, так и недостатки.
Тем не менее, подводя итог всем "за" и "против", г-н Баранов объявил о том, что ФНС приступила к активному развитию апостериорных аспектов защиты своей ИС "Налог".
Чтобы прояснить позицию работающих в России ИБ-вендоров к актуальности применения апостериорной защиты в корпоративном сегменте и госсекторе, еженедельник PC Week/RE обратился к некоторым из них с вопросами, ощущают ли они потребность со стороны российских компаний в том, чтобы результаты используемых ими ИБ и ИТ-средств обладали юридически значимой силой в судебных расследованиях, и обладают ли такими свойствами предлагаемые вендорами продукты и решения в условиях российского регулирования ИБ?
В подтверждение стремления российских компаний активнее использовать апостериорную защиту заместитель генерального директора компании InfoWatch Рустэм Хайретдинов упомянул о том, что заказчики все чаще настаивают на том, чтобы DLP-системы (InfoWatch является лидером на российском рынке DLP-систем) позволяли обеспечивать доказательную для судебных разбирательств (forensic) базу по случаям утечек корпоративной информации, и InfoWatch в состоянии реализовать такие запросы. Он также обращает внимание на то, что на функционал DLP можно использовать для выявления нарушений действующих в компаниях ИБ-политик.
Генеральный директор компании ИВК Григорий Сизоненко затруднился дать развернутый ответ на поставленные вопросы, сославшись на отсутствие у его компании практики в рассматриваемой области, отметив однако при этом, что с технической точки зрения созданное его компанией ПО класса middleware «ИВК Юпитер» может придавать юридическую значимость приложениям, функционирующим в его среде (в том числе и разработанному в ИВК электронному документообороту «ИВК Бюрократъ»), поскольку в ИВК Юпитер» реализованы принципы обеспечения гарантированности сервисов и невозможности внесения изменений в журналы регистрации событий. В то же время, по его мнению, для того чтобы действия компьютерных систем имели на практике юридически значимые последствия, нужно серьезно изменить как законодательство, так и менталитет граждан, а эта задача представляется ему неподъемной, по крайней мере, в ближайшие годы.
По оценкам генерального директора компании Avanpost Андрея Конусова расследование компьютерных преступлений для России является темой относительно новой - всего пару лет назад в стране начали появляться компании, предоставляющие такие услуги. Avanpost ощущает актуальность некоторых аспектов этой проблематики в связи с приданием юридической значимости электронному документообороту, где большую роль играет неотказуемость ИТ-пользователей от своих действий. Именно поэтому в продуктах Avanpost действия критичного характера обязательно подтверждаются электронной подписью пользователя.
Вместе с тем, по мнению г-на Конусова рассмотрение судом в качестве доказательства задокументированных результатов работы ИС в реалиях российского законодательства пока невозможно, хотя процесс идет, и в обозримом будущем, как он полагает, российские суды, используя новые нормы и законы, смогут принимать такие доказательства как основные улики.
Заместитель генерального директора компании «Аладдин Р.Д.» Алексей Сабанов в своем ответе фактически констатировал неразделимость нормативно-правовых, организационных и технических аспектов ИБ. Он напомнил о том, что, в судебных расследованиях, главным образом, фигурируют документы, среди которых есть документы и в электронной форме, а чтобы электронный документ обладал юридической силой, следует выполнять некоторые условия, включающие в себя нормативно-правовые, организационные и технические средства. "Аладдин Р.Д." производит технические продукты, которые участвуют в процессе придания электронным документам юридической силы в критичных с позиции ИБ операциях – создании, хранении и предъявлении ключа электронной подписи.
Вице-президент, генеральный директор и директор группы технологических решений НР в России Александр Микоян сообщил, что все решения НР, предлагаемые представляемой им корпорацией на российском рынке, соответствуют требованиям российских законов и отвечают требованиям заказчиков, подчеркнув при этом, что масштабы и функционал используемых решений определяется при этом заказчиком. Из этого можно заключить, что в области активного использования апостериорной защиты дело за российскими законами и потребностями заказчиков.
Валерий Васильев
Необходимость менять сферу деятельности после того, как все эффективно организовал на текущем месте. Результат работы хорошего руководителя — такая система управления, которая эффективно функционирует без его непосредственного участия. Добиться этого непросто, но если это удалось, то неизбежным становится еще более трудное решение — оставить эту организацию и найти для себя новые сложные вызовы.
С точки зрения ИТ-процессов тенденция перехода в облака оправдана и понятна, однако в ракурсе информационной безопасности далеко не все так однозначно. Облачные вычисления ведут к пересмотру привычных для нее понятий и представлений о процессах.
Ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия
Все права защищены © Avanpost 2023
129085, г. Москва
ул. Годовикова, д. 9, стр. 17
