Версия для печати 1569 Материалы по теме
Защита информации в органах власти Смоленской области. Реальный опыт управления процессами и мероприятиями

Департамент Смоленской области по информационным технологиям является органом исполнительной власти, осуществляющим в регионе исполнительно-распорядительные функции в сфере информационных технологий и связи. Он также является органом, курирующим вопросы защиты информации в регионе. О результатах реализованных в сфере информационной безопасности региональных проектов и планах на ближайшие годы рассказывает начальник отдела защиты информации Департамента Смоленской области по информационным технологиям Дмитрий Владиславович МЕЛЬНИКОВ.

— Дмитрий Владиславович, какие задачи являются приоритетными для Департамента Смоленской области по информационным технологиям на ближайшие годы?

— На период 2019–2024 годов в соответствии с национальными целями и приоритетными направлениями развития Российской Федерации важнейшее значение придается внедрению и распространению на территории Смоленской области цифровых технологий, расширению их использования в экономике, социальной сфере, государственном управлении и бизнесе, повышению цифровой грамотности всех участников информационно-коммуникационной среды. Отмечу, что Смоленская область активно участвует в реализации национального проекта «Национальная программа „Цифровая экономика Российской Федерации“». Утверждены региональные проекты «Информационная инфраструктура (Смоленская область)», «Кадры для цифровой экономики (Смоленская область)», «Информационная безопасность (Смоленская область)», «Цифровое государственное управление (Смоленская область)», «Цифровые технологии (Смоленская область)». Комплексная реализация данных проектов должна обеспечить достижение целей и показателей, установленных для нашего региона соответствующими федеральными проектами в области цифровой экономики.

— Вы упомянули региональный проект «Информационная безопасность». Какие задачи в этой сфере ставит перед собой Департамент ИТ?

— В соответствии с Доктриной информационной безопасности Российской Федерации, утвержденной указом Президента РФ от 5 декабря 2016 года № 646, перед нами стоят важнейшие задачи по повышению эффективности взаимодействия органов государственной власти, местного самоуправления, бюджетных организаций и граждан. Их реализация возможна только при постоянном изучении и применении новых технологий, обеспечивающих защиту и целостность государственных информационных ресурсов Смоленской области, безопасное подключение к ним пользователей, своевременном получении информации о появлении новых угроз и уязвимостей. Мы постоянно совершенствуем программно-аппаратную базу региональных органов власти в области информационной безопасности, кибербезопасности, следуя общей тенденции импортозамещения и применяя решения, предлагаемые отечественными компаниями-разработчиками. Большое внимание уделяется вопросам автоматизации процессов в сфере информационной безопасности, централизованного мониторинга, контроля и своевременного информирования специалистов на местах о появлении новых угроз и уязвимостей. Это снижает риски, трудозатраты и ускоряет принятие решений. Очень важной задачей является постоянное повышение квалификации специалистов органов власти и местного самоуправления, занимающихся обеспечением безопасности информации. Также важным является поддержание на должном уровне общей осведомленности специалистов, работающих с информацией ограниченного доступа, о том, с какой информацией они работают, какие меры должны применять для ее защиты и какую ответственность несут за несоблюдение требований, установленных законодательством и организационно-распорядительными документами конкретной организации. Департамент ИТ проводит регулярные обучения и организует научно-практические конференции, позволяющие собрать в одном месте экспертов в сфере информационной безопасности, обсудить насущные проблемы, оценить лучшие практики, узнать про новые решения и разработки и реальные кейсы по их применению.

— В прошлом году в вашем регионе была создана Единая информационная система планирования, реализации и контроля выполнения требований законодательства РФ в сфере защиты информации для органов власти. Что она собой представляет?

— Да, действительно, в конце 2018 года мы создали информационную систему для управления процессами, мероприятиями и задачами в сфере информационной безопасности. Это было продуманное и осознанное решение, обусловленное наличием единой телекоммуникационной инфраструктуры органов власти региона, внедрением территориально-распределенных информационных систем, необходимостью соблюдения требований законодательства в сфере защиты информации. Развитие информационных технологий влечет за собой появление новых угроз информационной безопасности, требующих оперативного анализа и реагирования, а также принятия дополнительных организационных и технических мер противодействия. И это происходит на фоне тотальной нехватки квалифицированных кадров в сфере защиты информации. Без применения дополнительных инструментов уже просто не обойтись.

Внедрение системы позволит реализовывать в регионе единую политику в области защиты информации, выстроить прозрачную схему работы специалистов, обеспечивающих безопасность информации в органах власти

На этапе создания система охватила лишь органы государственной власти региона. Такое ограничение было связано не только с финансовыми возможностями региона, но и с вполне логичным желанием Департамента ИТ отладить внедряемый инструмент перед его масштабированием, адаптировать его к специфике региона.

Система создана на базе отечественного программного комплекса «АльфаДок.Платформа». Это веб-решение, для работы с которым пользователю не нужно устанавливать специальное программное обеспечение. Каждый орган государственной власти Смоленской области имеет в системе собственный профиль, функционал которого адаптируется в соответствии с теми видами защищаемой информации (персональные данные, информация, обрабатываемая в государственных информационных системах, при возникновении необходимости — общие сведения об объектах критической информационной инфраструктуры), которые обрабатываются в конкретном органе власти. Она позволяет специалистам оценивать состояние защиты информации в органе власти в целом, быстро реализовывать и актуализировать организационные меры по защите информации, контролировать техническую защищенность информационных систем в соответствии с требованиями законодательства. Для Департамента ИТ это также инструмент, позволяющий отслеживать ситуацию в органах власти региона, принимать централизованные решения, обеспечивать их информационно-методическую поддержку. Система размещена на мощностях вычислительного комплекса обработки данных Смоленской области. Доступ пользователей к системе осуществляется через распределенную мультисервисную сеть связи и передачи данных органов исполнительной власти Смоленской области и органов местного самоуправления муниципальных образований Смоленской области (РМС СО).

— Какую именно региональную специфику вы учитывали при реализации проекта?

— Прежде всего нам было важно автоматически учитывать требования региональных нормативных правовых актов. Поясню: в организациях, подключенных к РМС СО, уже централизованно применяется ряд сертифицированных средств защиты информации (межсетевые экраны, средства обнаружения вторжений, антивирусы), что позволяет в целом сэкономить средства регионального бюджета. Определены условия и требования подключения к РМС СО, порядок получения доступа к информационным ресурсам и прочее. Таким образом, часть угроз безопасности уже нейтрализована, и это необходимо учитывать при формировании частных моделей угроз безопасности информации в региональных органах государственной власти. Несмотря на короткие сроки реализации проекта, мы включили это в перечень обязательных требований к функционалу внедряемого продукта. И такая возможность была реализована.

Также была проведена работа по кастомизации содержимого отдельных документов, электронных журналов и отчетов.

— Что дает внедрение этой системы Департаменту ИТ?

— Прежде всего создание системы позволит Департаменту ИТ реализовывать в регионе единую политику в области защиты информации, выстроить прозрачную схему работы специалистов, обеспечивающих безопасность информации в органах власти, эффективно выполнять роль регионального методолога в данной сфере. Теперь мы имеем возможность внедрения единых стандартов: например, в разрабатываемой документации, в применяемых средствах защиты информации. А стандартизация — это всегда порядок в учете и экономия средств. Кроме того, автоматизация, я говорю о «правильной» автоматизации, всегда дает возможность снизить трудозатраты: в нашем случае это позволяет уделять больше времени вопросам практической безопасности.

— Каковы планы по развитию системы? Будете ли вы ее масштабировать?

— Мы сделали первый, очень важный шаг в сторону централизованного управления таким важным процессом, как информационная безопасность в масштабах региона. Да, планы по развитию системы у нас есть. Думаю, мы уделим больше внимания вопросам обоснованного планирования и централизованного контроля проведения работ по защите информации в органах власти региона, вопросам интеграции системы с другими программными продуктами, применяемыми в Департаменте ИТ, и вопросам обучения и повышения осведомленности специалистов.

И, конечно, мы планируем ее масштабировать. Было бы странно создать для себя полезный инструмент и не дать возможность его использовать в других бюджетных организациях региона. Департамент ИТ готов предоставлять техническую возможность пользоваться системой, централизованно обеспечивать защиту информации, которая обрабатывается в системе, принимать участие в формировании единой ценовой политики для региональных организаций. В настоящее время, кроме органов власти, в системе уже работает, например, Смоленский областной медицинский информационно-аналитический центр и ведется работа по подключению к системе медицинских учреждений региона. Для некоторых из них, кстати, в настоящее время актуальны специфические вопросы по защите информации, связанные с появлением Федерального закона от 26 июля 2017 года № 187‑ФЗ. Им необходимо провести категорирование объектов критической информационной инфраструктуры, а система может предоставить для этого необходимый инструментарий.

Подготовил Н. Д. ЕГОРОВ

Поделиться