Rambler's Top100
Статьи ИКС № 1 2007
Андрей Владимирович КАЗАЧКОВ  01 января 2007

Повесть о свете без конца

Когда в нашей стране наступит «конец света», знает только РАО ЕЭС. Так вот, ответственные специалисты этого ведомства утверждают, что он не наступит никогда.

Собственно информбезопасность – важнейший бизнеспроцесс отрасли под названием «Энергетика и электрификация», у которого своя, весьма отличная от других отраслей специфика. Здесь существуют

Четыре уровня защиты информационных систем
  • Первый защищает информацию, используемую высшим менеджментом для управления холдингом.
  • Второй – в системах управления технологически) ми процессами, где риски особенно велики и получение несанкционированного управления теми или иными процессами или системами может создать критически опасную ситуацию. Именно поэтому в концепции ИБ, принятой в РАО ЕЭС, существует очень важный раздел «анализ рисков», в том числе и технологических.
  • Третий – защита ИС, используемых исполнительным аппаратом РАО ЕЭС.
  • Четвертый – взаимодействие с ИС отраслевых предприятий.
А. КАЗАЧКОВ, КЦ РАО «ЕЭС России»Поэтому и концепций ИБ в холдинге РАО ЕЭС несколько: общеотраслевая и по технологическим направлениям деятельности, специфичным для того или иного вида сервиса компании. Другими словами, одна концепция – для защиты инфокоммуникационных систем, другая – для систем диспетчеризации, третья – для систем управления связью и т.д. В этом контексте в РАО ЕЭС различают информационно-телекоммуникационные системы (ИТКС), автоматизированные системы управления технологическими процессами (АСУТП), автоматизированные системы диспетчерского технологического управления (АСДТУ)… Информбезопасность в них строится по единым принципам, но с разной степенью защиты. Обрабатываемая информация подразделяется на открытую и отнесенную к коммерческой тайне РАО (к защите последней предъявляются самые высокие требования).

По каждой системе внедрены регламентирующие документы, а также регламенты взаимодействия подразделений и организаций при обеспечении работоспособности систем. Они сопровождают все ИС и ИТКС РАО ЕЭС, определяя технологические требования к ИС компаний холдинга и к тем, кто оказывает аутсорсинговые ИТ-услуги.

А вот информбезопасность на аутсорсинг не отдана. Это ключевой бизнес-процесс, поэтому система управления всеми СЗИ должна находиться у владельца информации. Кроме того, в компании существует собственный удостоверяющий центр ЭЦП, издающий ключевую документацию и сертификаты, на основе которых осуществляется доступ ко всем информационным ресурсам холдинга. Управляют средствами и системами ИБ офицеры информбезопасности. Вместе с тем мы понимаем, что безопасность – прикладной бизнес-процесс, а потому стараемся помогать «айтишникам» в решении проблем, но… с учетом требований по безопасности. Такие взаимоотношения устраивают всех.

Сила – в единстве

Один из краеугольных камней реально работающей СИБ – тесное взаимодействие и взаимопонимание с ИТ-специалистами. В компании принято при любых внедрениях или модернизациях ИТКС не делить их на «твои» и «мои», а организовывать общий процесс разработки и внедрения при непосредственном участии специалистов по ИБ. Такая «мода» введена не приказным порядком – такова корпоративная культура, и во многом это заслуга руководителя ИТ-подразделения. Кроме того, в компании разработан очень важный документ «Политика информационной безопасности при создании, модернизации и внедрении информационно-телекоммуникационных систем».

«Политика…» не только сильно облегчает жизнь нам и «айтишникам», главное – она помогает потенциальным контрагентам, которые участвуют в конкурсах (тендерах) на создание систем, так как в ней подробно расписаны требования по ИБ ко всем видам применяемых в РАО решений. Очень удобно: прежде чем «взяться за гуж», внимательно изучи документ и тогда уж, если сможешь выполнить – берись, если нет – отойди в сторону.

Уровень системного интегрирования в области ИБ в среднем по рынку не очень высок. Здесь все намного сложнее, чем кажется на первый неискушенный взгляд, поэтому и требования к компании-интегратору высоки. Заказчики и интеграторы должны работать как единый механизм, отсюда и может черпаться сила.

Достойный интегратор не «толкает» свое решение. Он знает рынок и продает не только свое, но и чужое, по необходимости вступая в альянсы с нужными поставщиками. Задача интегратора – оценить предложения рынка, проанализировать результаты, а затем предлагать заказчику самые лучшие решения, причем зная, у кого и что лучше покупать (независимо от того, совместимы данные продукты с собственным творением интегратора или только между собой). Увы, сегодня почти каждый интегратор стремится продать (даже скорее продавить) свое решение.

Особый аспект – системная интеграция в области ИБ. Сейчас даже гранды, которым под силу поставлять технические решения и продавать технологии как таковые, отдают вопросы интеграции средств и решений по ИБ на подряд специализированным компаниям. Такой подход нас как потребителей устраивает полностью. Одно условие: компания-субподрядчик должна быть согласована с заказчиком – это очень важно!!! Практически все крупные системы создавались в РАО ЕЭС именно по такой схеме и по сию пору надежно работают.

Открытая или закрытая?

РАО «ЕЭС России» как юридическое лицо является акционерным обществом, а потому на нас (1) впрямую не распространяются жесткие требования по применению сертифицированных продуктов, (2) в сети не циркулирует информация, относящаяся к гостайне, наконец (3), все пользователи корпоративной сети имеют практически неограниченный доступ в Интернет, не лишены портов флоппидисков, модемов или флэшек.

Однако с учетом того, что РАО ЕЭС относится к стратегически важным отраслям страны, одним из главных условий использования СЗИ (и это записано в концепции ИБ) является наличие сертификата по требованиям безопасности. Кроме того, мы участвуем в подготовке ряда законопроектов, где будут определены требования по ИБ к критически важным отраслевым объектам.

Что же касается свободы доступа, то здесь все ограничения определяются политикой ИБ, а также пунктами трудового договора, где говорится о сохранности коммерческой тайны РАО. Средства и методы – в методиках и инструкциях. Причем далеко не каждому сотруднику «грозит» работа с конфиденциальной информацией, а если уж случилось, то никаких паролей – только токен и сертификат с установленными правами доступа. Доступ в Интернет – для всех без исключения, с каждого рабочего места (не надо стоять на пути прогресса!).

Однако такой подход не означает,что мы не знаем «кто, куда, зачем». Отдел ИБ следит за выполнением требований по безопасности с помощью мощной СУИБ, не заклеивая порты и не вынимая флоппи-дисководы. Для нарушителей есть административные меры воздействия. Кстати, судя по статистике, злоупотреблений немного. Вместе с тем техническая оснащенность и автоматизация СИБ и СУИБ такова, что действия администраторов безопасности незаметны для пользователей.

Единая СИБ не входит в состав ИT-систем, а существует обособленно, не теряя при этом тесной связи с интегрированными подсистемами безопасности. Эти подсистемы, охватывая все приложения и ресурсы, невидимыми для пользователей нитями связаны с единой СУИБ. В последней предусмотрена возможность активного воздействия на ИС, но не наоборот!

Из истории безопасной энергетики

Системное внедрение средств информбезопасности началось примерно в 1998–1999 гг. Сегодня отдел ИБ структурно входит в департамент экономической безопасности и режима корпоративного центра и административно не связан с подразделением ИТ. У «безопасности» свой бюджет, однако отдел участвует в планировании денежных средств и для ИТ, т.е. финансируется ИБ не по остаточному принципу, а исходя из потребностей.

Правда, после окончания реструктуризации схема взаимодействия подразделений безопасности предприятий отрасли изменится – появились и еще будут появляться управляющие компании, но основные принципы создания, управления и организации СИБ сохранятся.


Это модное слово «стандарт»

Сегодня зарегистрирован единственный отраслевой стандарт по информбезопасности – Банка России. В энергетике такового вообще нет, есть отраслевой стандарт по ИТ, точнее, по информационному обмену, разработанный ИТ-департаментом с привлечением специалистов нашего отдела. Отрасль практически полностью реструктуризована, и теперь приходится общаться с множеством акционерных обществ. Поэтому, скорее всего, разработка такого стандарта, внедрение и исполнение его требований, на постреструктуризационном этапе будет полезна Существующего комплекта документов «для всей страны» вполне достаточно для того, чтобы грамотно организовать ИБ на предприятии. Конечно, у каждого крупного отраслевого предприятия – своя специфика. Но государство – не Бог, который дарует однозначные требования ко всем системам, базовые уже определены ФСТЭК, а в части криптографии – ФСБ.

В основе любой системы защиты лежит анализ рисков и, как следствие, определение требований к средствам и методам защиты, системам аудита. А вот как их выполнить – зависит от профессионализма специалистов по ИБ. Особые требования предъявляются к реализации систем аудита и мероприятий по аудиту. Профессионал понимает, что нужен и внутренний, и внешний аудит ИС, только тогда можно говорить о достоверной защищенности системы.

Кстати, после изучения ISO 17799 и ISO 27001:2005 я пришел к выводу, что для нашей организации они, увы, практически неприменимы, столь специфичны наши требования. В бизнесе или банковской сфере – возможно, но в крупной компании, у которой огромное количество специализированных технологических систем, – вряд ли.

Решение нерешаемых задач

Проблемы глобального масштаба перед нашим подразделением не стоят. Кадры высококвалифицированные, технологии высокие, бюджет достаточный. А вот серьезные производственные задачи есть. Одна из них – внедрение системы защиты и разграничения доступа к информации корпоративного хранилища данных.

Дело в том, что в результате реструктуризации появилось большое количество компаний-акционерных обществ. Каждая из них использует информацию из корпоративного хранилища, вкладывает и извлекает ее. Работой хранилища занимается другая компания на условиях аутсорсинга. В такой ситуации важно, чтобы каждый мог сохранять собственную информацию, получать доступ к той, которая необходима, а что-то отдавать «в общий котел».

В такой непростой структуре мы должны обеспечить каждой компании защищенную работу с хранилищем, исключив возможность несанкционированного доступа к данным даже его администратора. Насколько мне известно, практической реализации такого решения пока не существует. В течение 2006 г. мы (вместе с компанией-интегратором) трудились над этой задачей, и небезуспешно. Надеюсь, что в 2007 г. решение будет реализовано на практике.

Вообще я убежден в прочности информзащиты систем РАО ЕЭС. По вине СИБ «конца света» точно не произойдет.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!