Регулярно проводимые при активной поддержке российского государства “Инфофорумы” посвящены наиболее актуальным проблемам информационной безопасности. На пленарном заседании состоявшегося в Москве очередного “Инфофорума Евразия” выступление заместителя начальника управления Федеральной налоговой службы (ФНС) Дмитрия Чепчугова отличалось конструктивностью и наиболее четким пониманием общих для нашей страны задач в этой области.
Как отметил г-н Чепчугов, Россия стремительно мигрирует в виртуальный мир, при этом в государственных структурах этот процесс идет опережающими темпами. Однако следует понимать, что виртуальное общество представляет собой слепок общества реального и повторяет как его достоинства, так и недостатки. Поэтому переход от элементарного информационного присутствия госсектора в Сети к предоставлению пакета электронных госуслуг населению и бизнесу, по его мнению, является политической задачей дня. Политический аспект такого перехода во многом связан с тем, что это предельно ограничивает контакт граждан с конкретными чиновниками, что соответствует государственной политике в борьбе с коррупцией.
Г-н Чепчугов предостерегает от заблуждения, что вслед за развитием в нашей стране процессов открытости государства, демократизацией общества, его интеграцией в мировое сообщество теряет свое значение обеспечение национальной безопасности. Наивно полагать, считает он, что зарубежные спецслужбы потеряли интерес к российским государственным тайнам, что они не готовятся к проведению акций саботажа, диверсий в особые периоды международных отношений. Это, по его наблюдениям, есть сейчас и будет актуализироваться по мере того, как Россия будет становиться всё более сильным мировым экономическим и политическим конкурентом.
Недавно утвержденные Президентом России “Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критических важных объектов инфраструктуры РФ” (документ доступен для ознакомления на сайте Совета безопасности РФ) дали, по мнению участников форума, мощный стимул для понимания сути проблем в этой важнейшей области. В этом документе дана оценка положения дел, а также намечены конкретные пути и сроки решения вытекающих из нее задач.
Было бы неверно представлять критически важными инфраструктурными объектами (КВО), как подчеркивает г-н Чепчугов, только те, где обрабатывается информация, содержащая государственные секреты. Зачастую функционирование систем, содержащих открытые данные, тоже является залогом успешного функционирования государства. На примере своего ведомства он рассказал также о важности своевременной актуализации данных в информационных системах, в том числе при оказании электронных госуслуг населению, где задержки обновлений сведений способны ухудшить взаимодействие граждан с государством и даже вызвать социальное напряжение.
Известны случаи, когда граждане необоснованно получали из налоговой инспекции требования об уплате налогов на давно не принадлежащие им автомобили или проданные садовые участки. Отвечая за репутацию своего ведомства, г-н Чепчугов заявил, что налоговая служба в этих случаях после выяснения обстоятельств исправно приносит пострадавшим извинения, хотя само при этом является заложником некомпетентной работы тех служб, от которых получает неактуальные данные, на основании которых и производит ошибочные начисления. Задержки обновления информации, по мнению г-на Чепчугова, тоже нельзя исключать из сферы ИБ.
Острой проблемой в организации безопасности КВО, уверен г-н Чепчугов, является инсайд. Ошибочно полагать, считает он, что даже допущенный в соответствии с ролевыми правилами к использованию информационных ресурсов персонал образует доверенную среду. Возможности системных администраторов и других специалистов, имеющих доступ к управлению данными, позволяют им причинять ущерб системам как по недомыслию, так и по злому умыслу, причем ввиду технологической сложности организации подобных злоупотреблений они с большим трудом поддается раскрытию.
Как рассказал г-н Чепчугов, в практике ФНС известны случаи, когда уполномоченные должностные лица принимали ответственные решения на основании подложных сведений, которые были введены в базы данных службы в интересах третьих лиц. Поэтому целесообразно признать, что пользовательский и обслуживающий персонал ИКТ-систем КВО нельзя считать компонентом доверенной среды.
ФНС располагает сегодня развитой ИКТ-инфраструктоурой, на которую возлагаются в том числе задачи трансграничного информационного взаимодействия и объекты которой надлежит относить к категории национальных КВО. Отталкиваясь от опыта функционирования ФНС, г-н Чепчугов указал на острую потребность в стране в разработке и внедрении общегосударственных типовых концепций комплексной безопасности КВО, типовых моделей угроз, учитывающих современные вызовы, такие как военные, диверсионно-террористические, техногенные, природные угрозы и т. п.
На сегодняшний день сфера безопасности КВО не имеет также достаточной нормативной поддержки. Практикам мешает отсутствие современных законов и подзаконных документов, регулирующих эту область, отсутствие единого органа, координирующего решение задач данной направленности. Ныне существующие госструктуры выполняют в пределах своих компетенций порученные им обязанности контроля исполнения регулятивных требований в области безопасности. Но это частные для безопасности КВО функции, а единого органа, аналогичного, например, Национальному центру защиты инфраструктуры ФБР США, у нас пока нет. По мнению г-на Чепчугова, это тревожная ситуация, требующая законодательного решения.
Недопонимание важности проблем в обеспечении комплексной безопасности КВО со стороны российской государственной системы продемонстрировал провал секции “КВО инфраструктуры: комплексные решения в области обеспечения ИБ”, которая была запланирована на форуме. Несмотря на заявленную в названии повестку, на секции выступающими были представлены только продукты и подходы, никак не претендующие на специфику и комплексность защиты КВО. К тому же, как следует из оценки ситуации безопасности КВО профессионалами, в нашей стране начинать обсуждение проблем в этой области следует с вопросов самых общих, концептуальных — невозможно говорить о комплексности защиты, если, как выясняется, нет даже четких определений самих объектов, подлежащих защите.