Департамент Смоленской области по информационным технологиям является органом исполнительной власти, осуществляющим в регионе исполнительно-распорядительные функции в сфере информационных технологий и связи. Он также является органом, курирующим вопросы защиты информации в регионе. О результатах реализованных в сфере информационной безопасности региональных проектов и планах на ближайшие годы рассказывает начальник отдела защиты информации Департамента Смоленской области по информационным технологиям Дмитрий Владиславович МЕЛЬНИКОВ.
— Дмитрий Владиславович, какие задачи являются приоритетными для Департамента Смоленской области по информационным технологиям на ближайшие годы?
— На период
— Вы упомянули региональный проект «Информационная безопасность». Какие задачи в этой сфере ставит перед собой Департамент ИТ?
— В соответствии с Доктриной информационной безопасности Российской Федерации, утвержденной указом Президента РФ от 5 декабря 2016 года № 646, перед нами стоят важнейшие задачи по повышению эффективности взаимодействия органов государственной власти, местного самоуправления, бюджетных организаций и граждан. Их реализация возможна только при постоянном изучении и применении новых технологий, обеспечивающих защиту и целостность государственных информационных ресурсов Смоленской области, безопасное подключение к ним пользователей, своевременном получении информации о появлении новых угроз и уязвимостей. Мы постоянно совершенствуем программно-аппаратную базу региональных органов власти в области информационной безопасности, кибербезопасности, следуя общей тенденции импортозамещения и применяя решения, предлагаемые отечественными компаниями-разработчиками. Большое внимание уделяется вопросам автоматизации процессов в сфере информационной безопасности, централизованного мониторинга, контроля и своевременного информирования специалистов на местах о появлении новых угроз и уязвимостей. Это снижает риски, трудозатраты и ускоряет принятие решений. Очень важной задачей является постоянное повышение квалификации специалистов органов власти и местного самоуправления, занимающихся обеспечением безопасности информации. Также важным является поддержание на должном уровне общей осведомленности специалистов, работающих с информацией ограниченного доступа, о том, с какой информацией они работают, какие меры должны применять для ее защиты и какую ответственность несут за несоблюдение требований, установленных законодательством и организационно-распорядительными документами конкретной организации. Департамент ИТ проводит регулярные обучения и организует научно-практические конференции, позволяющие собрать в одном месте экспертов в сфере информационной безопасности, обсудить насущные проблемы, оценить лучшие практики, узнать про новые решения и разработки и реальные кейсы по их применению.
— В прошлом году в вашем регионе была создана Единая информационная система планирования, реализации и контроля выполнения требований законодательства РФ в сфере защиты информации для органов власти. Что она собой представляет?
— Да, действительно, в конце 2018 года мы создали информационную систему для управления процессами, мероприятиями и задачами в сфере информационной безопасности. Это было продуманное и осознанное решение, обусловленное наличием единой телекоммуникационной инфраструктуры органов власти региона, внедрением территориально-распределенных информационных систем, необходимостью соблюдения требований законодательства в сфере защиты информации. Развитие информационных технологий влечет за собой появление новых угроз информационной безопасности, требующих оперативного анализа и реагирования, а также принятия дополнительных организационных и технических мер противодействия. И это происходит на фоне тотальной нехватки квалифицированных кадров в сфере защиты информации. Без применения дополнительных инструментов уже просто не обойтись.
Внедрение системы позволит реализовывать в регионе единую политику в области защиты информации, выстроить прозрачную схему работы специалистов, обеспечивающих безопасность информации в органах власти
На этапе создания система охватила лишь органы государственной власти региона. Такое ограничение было связано не только с финансовыми возможностями региона, но и с вполне логичным желанием Департамента ИТ отладить внедряемый инструмент перед его масштабированием, адаптировать его к специфике региона.
Система создана на базе отечественного программного комплекса «АльфаДок.Платформа». Это веб-решение, для работы с которым пользователю не нужно устанавливать специальное программное обеспечение. Каждый орган государственной власти Смоленской области имеет в системе собственный профиль, функционал которого адаптируется в соответствии с теми видами защищаемой информации (персональные данные, информация, обрабатываемая в государственных информационных системах, при возникновении необходимости — общие сведения об объектах критической информационной инфраструктуры), которые обрабатываются в конкретном органе власти. Она позволяет специалистам оценивать состояние защиты информации в органе власти в целом, быстро реализовывать и актуализировать организационные меры по защите информации, контролировать техническую защищенность информационных систем в соответствии с требованиями законодательства. Для Департамента ИТ это также инструмент, позволяющий отслеживать ситуацию в органах власти региона, принимать централизованные решения, обеспечивать их информационно-методическую поддержку. Система размещена на мощностях вычислительного комплекса обработки данных Смоленской области. Доступ пользователей к системе осуществляется через распределенную мультисервисную сеть связи и передачи данных органов исполнительной власти Смоленской области и органов местного самоуправления муниципальных образований Смоленской области (РМС СО).
— Какую именно региональную специфику вы учитывали при реализации проекта?
— Прежде всего нам было важно автоматически учитывать требования региональных нормативных правовых актов. Поясню: в организациях, подключенных к РМС СО, уже централизованно применяется ряд сертифицированных средств защиты информации (межсетевые экраны, средства обнаружения вторжений, антивирусы), что позволяет в целом сэкономить средства регионального бюджета. Определены условия и требования подключения к РМС СО, порядок получения доступа к информационным ресурсам и прочее. Таким образом, часть угроз безопасности уже нейтрализована, и это необходимо учитывать при формировании частных моделей угроз безопасности информации в региональных органах государственной власти. Несмотря на короткие сроки реализации проекта, мы включили это в перечень обязательных требований к функционалу внедряемого продукта. И такая возможность была реализована.
Также была проведена работа по кастомизации содержимого отдельных документов, электронных журналов и отчетов.
— Что дает внедрение этой системы Департаменту ИТ?
— Прежде всего создание системы позволит Департаменту ИТ реализовывать в регионе единую политику в области защиты информации, выстроить прозрачную схему работы специалистов, обеспечивающих безопасность информации в органах власти, эффективно выполнять роль регионального методолога в данной сфере. Теперь мы имеем возможность внедрения единых стандартов: например, в разрабатываемой документации, в применяемых средствах защиты информации. А стандартизация — это всегда порядок в учете и экономия средств. Кроме того, автоматизация, я говорю о «правильной» автоматизации, всегда дает возможность снизить трудозатраты: в нашем случае это позволяет уделять больше времени вопросам практической безопасности.
— Каковы планы по развитию системы? Будете ли вы ее масштабировать?
— Мы сделали первый, очень важный шаг в сторону централизованного управления таким важным процессом, как информационная безопасность в масштабах региона. Да, планы по развитию системы у нас есть. Думаю, мы уделим больше внимания вопросам обоснованного планирования и централизованного контроля проведения работ по защите информации в органах власти региона, вопросам интеграции системы с другими программными продуктами, применяемыми в Департаменте ИТ, и вопросам обучения и повышения осведомленности специалистов.
И, конечно, мы планируем ее масштабировать. Было бы странно создать для себя полезный инструмент и не дать возможность его использовать в других бюджетных организациях региона. Департамент ИТ готов предоставлять техническую возможность пользоваться системой, централизованно обеспечивать защиту информации, которая обрабатывается в системе, принимать участие в формировании единой ценовой политики для региональных организаций. В настоящее время, кроме органов власти, в системе уже работает, например, Смоленский областной медицинский информационно-аналитический центр и ведется работа по подключению к системе медицинских учреждений региона. Для некоторых из них, кстати, в настоящее время актуальны специфические вопросы по защите информации, связанные с появлением Федерального закона от 26 июля 2017 года № 187‑ФЗ. Им необходимо провести категорирование объектов критической информационной инфраструктуры, а система может предоставить для этого необходимый инструментарий.
Подготовил Н. Д. ЕГОРОВ
