Главное начать
Госсектор Черноземья не торопится реализовывать проекты по обеспечению реальной защиты информации от современных угроз
Информационные системы большинства государственных организаций Центрального федерального округа недостаточно защищены от современных киберугроз. По мнению экспертов компании Softline, причина не только в нехватке бюджетов, но и в отставании нормативной базы регулирования ИБ в госструктурах от современных реалий. Госзаказчики в свою очередь предпочитают ориентироваться на требования регуляторов, избегая масштабных изменений в подходе к построению ИБ-инфраструктуры. Браться за дело придется в ближайшее время, иначе пробелы в защите могут обернуться для госсектора серьезными экономическими и репутационными потерями.
Актуальные угрозы
Для госсектора актуален весь спектр киберугроз, существующих сегодня: вирусные, целевые и DDOS-атаки, атаки нулевого дня, рассылка фишинговых сообщений, мошенничество с применением социальной инженерии в отношении сотрудников организаций. «Целью таких атак может быть финансовая выгода, если речь идет о тех учреждениях, через которые проходят денежные средства, или, например, дискредитация отдельных ведомств или чиновников, их представляющих, — объясняет руководитель группы развития продаж решений ИБ в ЦФО Владислав Абрамов. — При этом зачастую мы сталкиваемся с полной неготовностью госорганизаций даже тестировать современные средства информационной безопасности, позволяющие эффективно отслеживать все внешние атаки, которым подвергаются их информационные системы».
Пока ты не видишь проблем, можно сделать вид, что их нет. Но это так не работает: рано или поздно произойдет инцидент, который поставит под угрозу действующую в ведомстве ИБ-инфраструктуру. И лучше подготовиться к этому моменту заранее», — уверен Владислав Абрамов из компании Softline.
Что внедряет госсектор
Внедрение средств защиты информации в государственных организациях, как правило, полностью подчиняется существующим требованиям законодательства, прежде всего Приказам ФСТЭК №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Оба документа содержат четкий перечень рекомендуемых для внедрения решений: антивирусы, межсетевые экраны 3-го сетевого уровня модели OSI, решения для защиты каналов связи. Но большая их часть морально устарела и не обеспечивает надежной защиты от современных угроз. При этом использование альтернативных средств и методик защиты попросту не предусмотрено в нормативных документах. Кроме того, в регламентирующих актах не обозначена, например, необходимость внедрения систем защиты от утечек конфиденциальной информации, поэтому многие заказчики решают эту проблему организационными методами, лишь формально закрывая данного рода угрозы.
В итоге РОИВ закупают регламентированные СЗИ, но их оказывается недостаточно. В большинстве ведомств практически отсутствует защита от целевых атак, угроз «нулевого дня».
Также в большинстве госорганизаций существует необходимость в дополнительных средствах контроля входящего и исходящего интернет-потока (защита от спама, интернет-мошенничества, вредоносных ПО с рекламой, контентный анализ, возможность блокировки категорий WEB-запросов и другие виды угроз).
«Оптимально, когда в организации внедрен полный набор средств периметральной защиты, системы DLP, позволяющие избежать утечек данных, SIEM для отслеживания и анализа инцидентов. На основе внедренной SIEM позднее можно выстроить полноценный центр мониторинга и реагирования на инциденты, который помогает надежно контролировать защиту информационных систем организации. Такие примеры в практике Softline есть, но в госсекторе они пока единичны. Столь высокий уровень зрелости демонстрируют в основном коммерческие организации».
В большинстве организаций средства защиты информации внедряются разрозненно, отсутствует дорожная карта по построению комплексной системы обеспечения информационной безопасности. Получается, что защита ИТ-периметра обеспечена на бумаге, но на практике совершенно не готова противостоять современным угрозам», — добавляет Владислав Абрамов.
Ситуация обстоит лучше в тех сферах, которые относятся к критической информационной инфраструктуре, например, в медицине. Федеральный закон 187 «О защите критической информационной инфраструктуры» и уточняющие его документы определяют не только перечень рекомендуемых к внедрению средств защиты информации, но и устанавливают реальную ответственность за возможные последствия инцидентов безопасности, что побуждает ведомства углубиться в вопрос и присмотреться к эффективным решениям, существующим на рынке. Сделать это возможно даже в рамках политики импортозамещения: российские производители ИБ-решений выпускают конкурентоспособные продукты, востребованные на мировом уровне.
От нуля до SOC
Решить эту проблему возможно, но к этому должны прийти как сами госзаказчики, так и регуляторы. За основу в реализации подобных проектов могут быть взяты лучшие практики ФЗ 187. При этом важно, чтобы нормативные требования к выбору конкретных средств защиты не были жесткими, так как чем больше конкуренция среди производителей, тем выше качество их решений.
Проект по созданию надежной защиты от внешних атак и утечек информации должен быть начат с подробного обследования существующей в организации системы обеспечения информационной безопасности и поиска существующих уязвимостей.
Провести такой аудит можно самостоятельно, но оптимально, когда он производится силами специализирующейся на ИБ компании, имеющей подтвержденный опыт работы в области защиты информации в госсекторе.
Определив главные пробелы в существующей ИБ-инфраструктуре, сервисный провайдер помогает с выбором и пилотированием конкретных средств защиты информации.
«В качестве одного из примеров грамотного подхода региональных властей к процессу построения комплексной системы обеспечения информационной безопасности можно назвать Калининградскую область. Областное правительство в течение нескольких лет развивает проект по защите критически важной инфраструктуры силами Калининградского государственного научно-исследовательского центра информационной и технической безопасности (КГ НИЦ). В реализации проекта принимают участие эксперты Softline, глобального провайдера ИТ-решений и сервисов. К сожалению, регионы Центрального федерального округа по большей части пока далеки от такого комплексного подхода, но руководство некоторых из них уже понимает необходимость системного решения вопросов обеспечения информационной безопасности, и сейчас главное — не затягивать!»
Количество киберугроз растет с каждым днем, и важно, чтобы государственные информационные системы в полной мере могли им противостоять и были защищены самыми передовыми средствами кибербезопасности», — резюмирует руководитель департамента по работе с государственными и академическими организациями Softline в ЦФО Роман Селиванов.