Концепция «Электронного бюджета» предъявляет усиленные требования к обеспечению информационной безопасности. Практика показывает, что большинство региональных информационных систем управления общественными финансами не готовы к прохождению проверок ФСБ, ФСТЭК и Роскомнадзора. Как избежать ненужных рисков и претензий со стороны контролирующих органов, рассказывает Сергей Николаевич СЕРГЕЕВ, заместитель генерального директора компании «Кейсистемс».
Введение
Действующие требования федерального законодательства обязывают финансовые органы принимать меры по защите информации уже на этапе ввода программного обеспечения в эксплуатацию. До начала применения в финансовом секторе интернет-технологий вопросы информационной безопасности решались локально и, как правило, собственными силами. Следующий этап развития, уже пройденный нами, — появление средств и систем защищенного документооборота, где достаточной мерой защиты было применение электронной подписи.
На сайте журнала есть подборка материалов, посвященная электронному бюджету. Ознакомиться с ней можно здесь.
Сегодня наступила эра «облачных» технологий и мобильных устройств (смартфонов, планшетов и др.). Возрастает важность и ответственность решений, принимаемых на основе автоматизированной обработки данных в информационных системах. Формирование единого информационного пространства сопровождается появлением непосредственного и одновременного доступа к информации большого числа пользователей различных категорий и различной организационной принадлежности. Таким образом, повышается уязвимость информационных систем и, как следствие, расширяется спектр угроз информационной безопасности и рисков, связанных с кражей, несанкционированной модификацией и уничтожением информации. Повышенную актуальность приобретает необходимость создания и эксплуатации комплексных систем обеспечения информационной безопасности, которые должны удовлетворять целому ряду требований по защите различных видов информации ограниченного доступа.
Новое явление современности — онлайн-шпионаж отличается высокой успешностью при крайне низкой степени доказуемости. В государственном секторе этой проблеме уделяется огромное внимание, особенно при защите критически важных объектов информационной инфраструктуры.
Защита информации в системе «Электронного бюджета»
Современные приоритеты информатизации сектора общественных финансов направлены на масштабную централизацию информации и средств ее аналитической обработки. «Электронный бюджет» станет, пожалуй, самой крупной государственной информационной системой России. Неудивительно, что информационная безопасность выделена Минфином России в отдельную подсистему «Электронного бюджета».
Архитектура «Электронного бюджета» содержит объемный перечень требований по защите информации. В частности, рассмотрению подлежат следующие направления:
- требования к государственным информационным системам общего пользования;
- положения Федерального закона №
152-ФЗ «О персональных данных»; - порядок подключения к системе межведомственного электронного взаимодействия (СМЭВ);
- требования по обеспечению целостности и юридической значимости электронного документооборота.
Элементарный здравый смысл подсказывает, что прекращение или нарушение функционирования «Электронного бюджета» может привести к значительным негативным последствиям для Российской Федерации. Следовательно, информационные системы региональных (муниципальных) финансовых органов относятся к ключевым системам информационной инфраструктуры (КСИИ).
Специализированное решение от «Кейсистемс»
Компания «Кейсистемс» подготовила специализированное решение — комплексную систему обеспечения информационной безопасности (КСОИБ), назначение которой заключается в обеспечении безопасности информации в региональных информационных подсистемах финансовых органов, обозначенных в концепции «Электронного бюджета». В основе решения — методологическая база, которая была подготовлена по итогам детального анализа требований законодательства Российской Федерации, а также российского и международного опыта реализации крупных проектов в сфере защиты информации ограниченного доступа при ее обработке в государственных информационных системах.
Подготовлено несколько типовых вариантов реализации КСОИБ с учетом пересекающихся и уникальных требований различных нормативных документов и законопроектов, вступление в силу которых ожидается в ближайшее время (рисунок). Типовые варианты реализации КСОИБ также позволяют в перспективе без дополнительной модернизации подключиться к СМЭВ регионального или федерального уровня. Проект создания КСОИБ, как правило, включает в себя следующие этапы:
- комплексный аудит процессов обработки конфиденциальной информации, формирование общего перечня актуальных требований по защите информации;
- разработка оптимизированного комплекта организационно-распорядительной документации по защите персональных данных и критически важной информации в КСИИ;
- разработка технического задания и технического проекта КСОИБ;
- установка и настройка сертифицированных средств защиты информации с централизованным управлением;
- оценка соответствия (аттестация) системы требованиям безопасности информации в информационных системах персональных данных и ключевых системах информационной инфраструктуры с выдачей аттестата соответствия;
- техническое сопровождение КСОИБ.
Опыт Чувашской Республики
Уникальный пилотный проект по созданию комплексной системы обеспечения информационной безопасности на базе специализированного решения компании «Кейсистемс», удовлетворяющей всем актуальным требованиям законодательства по защите конфиденциальной информации, стал очередным этапом создания региональной системы «Электронный бюджет» в Министерстве финансов Чувашской Республики в 2012 году. В ходе реализации проекта рассматривались и применялись положения более 60 нормативных документов — федеральных законов, постановлений Правительства РФ, нормативно-методических документов, приказов ФБС, ФСТЭК, Роскомнадзора, специализированных ГОСТов и др.
Реализация проекта потребовала реструктуризации центральной части локальной сети министерства, установки дополнительного программного обеспечения на серверы баз данных и защищаемые рабочие места пользователей и полного понимания необходимости проводимых работ и содействия со стороны технических специалистов и других сотрудников министерства. Проект выполнялся с участием специалистов Министерства информационной политики и массовых коммуникаций Чувашской Республики, функцией которого является администрирование телекоммуникационной и вычислительной инфраструктуры органов исполнительной власти и органов местного самоуправления региона, а также обеспечение защиты входящих в нее информационно-коммуникационных систем и информационных ресурсов.
Параллельно с проектом по созданию КСОИБ в 2012 году Министерством финансов Чувашской Республики совместно с Мининформполитики был реализован первый этап создания защищенной сети связи бюджетных учреждений Чувашии (более 300 учреждений), работающих в информационных подсистемах, входящих в состав региональной системы «Электронный бюджет». Исполнителем работ также являлась компания «Кейсистемс».