Рубрикатор |
Статьи | ИКС № 1 2007 |
Андрей Владимирович КАЗАЧКОВ | 01 января 2007 |
Повесть о свете без конца
Когда в нашей стране наступит «конец света», знает только РАО ЕЭС. Так вот, ответственные специалисты этого ведомства утверждают, что он не наступит никогда.
Собственно информбезопасность – важнейший бизнеспроцесс отрасли под названием «Энергетика и электрификация», у которого своя, весьма отличная от других отраслей специфика. Здесь существуютЧетыре уровня защиты информационных систем
- Первый защищает информацию, используемую высшим менеджментом для управления холдингом.
- Второй – в системах управления технологически) ми процессами, где риски особенно велики и получение несанкционированного управления теми или иными процессами или системами может создать критически опасную ситуацию. Именно поэтому в концепции ИБ, принятой в РАО ЕЭС, существует очень важный раздел «анализ рисков», в том числе и технологических.
- Третий – защита ИС, используемых исполнительным аппаратом РАО ЕЭС.
- Четвертый – взаимодействие с ИС отраслевых предприятий.
По каждой системе внедрены регламентирующие документы, а также регламенты взаимодействия подразделений и организаций при обеспечении работоспособности систем. Они сопровождают все ИС и ИТКС РАО ЕЭС, определяя технологические требования к ИС компаний холдинга и к тем, кто оказывает аутсорсинговые ИТ-услуги.
А вот информбезопасность на аутсорсинг не отдана. Это ключевой бизнес-процесс, поэтому система управления всеми СЗИ должна находиться у владельца информации. Кроме того, в компании существует собственный удостоверяющий центр ЭЦП, издающий ключевую документацию и сертификаты, на основе которых осуществляется доступ ко всем информационным ресурсам холдинга. Управляют средствами и системами ИБ офицеры информбезопасности. Вместе с тем мы понимаем, что безопасность – прикладной бизнес-процесс, а потому стараемся помогать «айтишникам» в решении проблем, но… с учетом требований по безопасности. Такие взаимоотношения устраивают всех.
Сила – в единстве
Один из краеугольных камней реально работающей СИБ – тесное взаимодействие и взаимопонимание с ИТ-специалистами. В компании принято при любых внедрениях или модернизациях ИТКС не делить их на «твои» и «мои», а организовывать общий процесс разработки и внедрения при непосредственном участии специалистов по ИБ. Такая «мода» введена не приказным порядком – такова корпоративная культура, и во многом это заслуга руководителя ИТ-подразделения. Кроме того, в компании разработан очень важный документ «Политика информационной безопасности при создании, модернизации и внедрении информационно-телекоммуникационных систем».
«Политика…» не только сильно облегчает жизнь нам и «айтишникам», главное – она помогает потенциальным контрагентам, которые участвуют в конкурсах (тендерах) на создание систем, так как в ней подробно расписаны требования по ИБ ко всем видам применяемых в РАО решений. Очень удобно: прежде чем «взяться за гуж», внимательно изучи документ и тогда уж, если сможешь выполнить – берись, если нет – отойди в сторону.
Уровень системного интегрирования в области ИБ в среднем по рынку не очень высок. Здесь все намного сложнее, чем кажется на первый неискушенный взгляд, поэтому и требования к компании-интегратору высоки. Заказчики и интеграторы должны работать как единый механизм, отсюда и может черпаться сила.
Достойный интегратор не «толкает» свое решение. Он знает рынок и продает не только свое, но и чужое, по необходимости вступая в альянсы с нужными поставщиками. Задача интегратора – оценить предложения рынка, проанализировать результаты, а затем предлагать заказчику самые лучшие решения, причем зная, у кого и что лучше покупать (независимо от того, совместимы данные продукты с собственным творением интегратора или только между собой). Увы, сегодня почти каждый интегратор стремится продать (даже скорее продавить) свое решение.
Особый аспект – системная интеграция в области ИБ. Сейчас даже гранды, которым под силу поставлять технические решения и продавать технологии как таковые, отдают вопросы интеграции средств и решений по ИБ на подряд специализированным компаниям. Такой подход нас как потребителей устраивает полностью. Одно условие: компания-субподрядчик должна быть согласована с заказчиком – это очень важно!!! Практически все крупные системы создавались в РАО ЕЭС именно по такой схеме и по сию пору надежно работают.
Открытая или закрытая?
РАО «ЕЭС России» как юридическое лицо является акционерным обществом, а потому на нас (1) впрямую не распространяются жесткие требования по применению сертифицированных продуктов, (2) в сети не циркулирует информация, относящаяся к гостайне, наконец (3), все пользователи корпоративной сети имеют практически неограниченный доступ в Интернет, не лишены портов флоппидисков, модемов или флэшек.
Однако с учетом того, что РАО ЕЭС относится к стратегически важным отраслям страны, одним из главных условий использования СЗИ (и это записано в концепции ИБ) является наличие сертификата по требованиям безопасности. Кроме того, мы участвуем в подготовке ряда законопроектов, где будут определены требования по ИБ к критически важным отраслевым объектам.
Что же касается свободы доступа, то здесь все ограничения определяются политикой ИБ, а также пунктами трудового договора, где говорится о сохранности коммерческой тайны РАО. Средства и методы – в методиках и инструкциях. Причем далеко не каждому сотруднику «грозит» работа с конфиденциальной информацией, а если уж случилось, то никаких паролей – только токен и сертификат с установленными правами доступа. Доступ в Интернет – для всех без исключения, с каждого рабочего места (не надо стоять на пути прогресса!).
Однако такой подход не означает,что мы не знаем «кто, куда, зачем». Отдел ИБ следит за выполнением требований по безопасности с помощью мощной СУИБ, не заклеивая порты и не вынимая флоппи-дисководы. Для нарушителей есть административные меры воздействия. Кстати, судя по статистике, злоупотреблений немного. Вместе с тем техническая оснащенность и автоматизация СИБ и СУИБ такова, что действия администраторов безопасности незаметны для пользователей.
Единая СИБ не входит в состав ИT-систем, а существует обособленно, не теряя при этом тесной связи с интегрированными подсистемами безопасности. Эти подсистемы, охватывая все приложения и ресурсы, невидимыми для пользователей нитями связаны с единой СУИБ. В последней предусмотрена возможность активного воздействия на ИС, но не наоборот!
Из истории безопасной энергетики
Системное внедрение средств информбезопасности началось примерно в 1998–1999 гг. Сегодня отдел ИБ структурно входит в департамент экономической безопасности и режима корпоративного центра и административно не связан с подразделением ИТ. У «безопасности» свой бюджет, однако отдел участвует в планировании денежных средств и для ИТ, т.е. финансируется ИБ не по остаточному принципу, а исходя из потребностей.
Правда, после окончания реструктуризации схема взаимодействия подразделений безопасности предприятий отрасли изменится – появились и еще будут появляться управляющие компании, но основные принципы создания, управления и организации СИБ сохранятся.
Это модное слово «стандарт»
Сегодня зарегистрирован единственный отраслевой стандарт по информбезопасности – Банка России. В энергетике такового вообще нет, есть отраслевой стандарт по ИТ, точнее, по информационному обмену, разработанный ИТ-департаментом с привлечением специалистов нашего отдела. Отрасль практически полностью реструктуризована, и теперь приходится общаться с множеством акционерных обществ. Поэтому, скорее всего, разработка такого стандарта, внедрение и исполнение его требований, на постреструктуризационном этапе будет полезна Существующего комплекта документов «для всей страны» вполне достаточно для того, чтобы грамотно организовать ИБ на предприятии. Конечно, у каждого крупного отраслевого предприятия – своя специфика. Но государство – не Бог, который дарует однозначные требования ко всем системам, базовые уже определены ФСТЭК, а в части криптографии – ФСБ.
В основе любой системы защиты лежит анализ рисков и, как следствие, определение требований к средствам и методам защиты, системам аудита. А вот как их выполнить – зависит от профессионализма специалистов по ИБ. Особые требования предъявляются к реализации систем аудита и мероприятий по аудиту. Профессионал понимает, что нужен и внутренний, и внешний аудит ИС, только тогда можно говорить о достоверной защищенности системы.
Кстати, после изучения ISO 17799 и ISO 27001:2005 я пришел к выводу, что для нашей организации они, увы, практически неприменимы, столь специфичны наши требования. В бизнесе или банковской сфере – возможно, но в крупной компании, у которой огромное количество специализированных технологических систем, – вряд ли.
Решение нерешаемых задач
Проблемы глобального масштаба перед нашим подразделением не стоят. Кадры высококвалифицированные, технологии высокие, бюджет достаточный. А вот серьезные производственные задачи есть. Одна из них – внедрение системы защиты и разграничения доступа к информации корпоративного хранилища данных.
Дело в том, что в результате реструктуризации появилось большое количество компаний-акционерных обществ. Каждая из них использует информацию из корпоративного хранилища, вкладывает и извлекает ее. Работой хранилища занимается другая компания на условиях аутсорсинга. В такой ситуации важно, чтобы каждый мог сохранять собственную информацию, получать доступ к той, которая необходима, а что-то отдавать «в общий котел».
В такой непростой структуре мы должны обеспечить каждой компании защищенную работу с хранилищем, исключив возможность несанкционированного доступа к данным даже его администратора. Насколько мне известно, практической реализации такого решения пока не существует. В течение 2006 г. мы (вместе с компанией-интегратором) трудились над этой задачей, и небезуспешно. Надеюсь, что в 2007 г. решение будет реализовано на практике.
Вообще я убежден в прочности информзащиты систем РАО ЕЭС. По вине СИБ «конца света» точно не произойдет.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!