Интеграция технологий обеспечения ИБ при оказании электронных государственных услуг

Сергей Борисов
Ведущий инженер по
информационной безопасности
компании "Микротест"

Важным требованием является своевременное обнаружение фактов несанкционированного доступа к информации, а также предупреждение вызванных им неблагоприятных последствий. Кроме того, необходимо исключить возможность воздействия на технические средства обработки информации, в результате которого может быть нарушено их функционирование.

Требования по обеспечению ИБ в определенных типах государственных информационных систем или их компонентов уточняются подзаконными нормативными актами РФ. Но при реализации этих требований, а также при интеграции технологий ИБ для оказания электронных госуслуг возникает ряд проблем, связанных с участием в процессе обработки данных заявителей - физических и юридических лиц, обращающихся за услугой. Как правило, заявители вводят ПДн в электронные формы порталов, передают в электронном виде документы, содержащие эти данные, получают ответы (также включающие ПДн) о результатах оказания услуги, кроме того, всегда имеют доступ к собственным ранее поданным документам.

Одна из ключевых проблем заключается в невозможности обеспечить ИБ на стороне заявителя. Законодательство РФ предписывает использование сертифицированных средств защиты информации. Но такие средства нельзя "просто скачать". Заявитель может попробовать получить их только при личном обращении и при обязательном заключении договора. Устанавливать и обслуживать средства защиты информации может только организация, имеющая соответствующую лицензию ФСТЭК России или ФСБ России. Выходом может быть только максимальное использование централизованных средств защиты информации, размещенных на стороне оператора портала государственных услуг.

Вторая проблема состоит в том, что очень сложно реализовать технологии обеспечения ИБ посредством встроенных функций портала государственных услуг. Все реализуемые порталом ИБ-функции должны проходить сертификацию, причем не только в момент их запуска, но и при любых последующих изменениях. Эти факторы приводят к существенному увеличению сроков и стоимости внедрения технологий ИБ. Выходом может стать максимальное использование существующих современных и сертифицированных средств защиты информации.

Угрозы и их нейтрализация

Для определения необходимых технических решений по обеспечению ИБ был проведен экспресс-анализ рисков и определен перечень основных угроз ИБ при оказании электронных государственных услуг. В их числе:

• нарушение доступности государственной услуги в результате сетевой атаки (DDoS-атаки) на IТ-инфраструктуру;
• несанкционированный внешний доступ к информации в результате сетевой атаки на прикладное ПО на портале государственных услуг;
• нарушение доступности государственной услуги в результате сетевой атаки на прикладное ПО портала;
• нарушение конфиденциальности информации, передаваемой между заявителем и порталом государственных услуг;
• несанкционированный локальный доступ к большим массивам информации (серверам приложений или баз данных) со стороны IТ-специалистов и администраторов портала.

Для нейтрализации перечисленных угроз можно использовать интегрированный комплекс технических решений.

Так, для нейтрализации сетевых атак на инфраструктуру портала электронных госуслуг и обеспечения непрерывности доступа к ним необходимо применение систем защиты от DDoS-атак.

На рынке систем защиты от DDoS-атак существует решение Arbor Peakflow SP, облачная услуга Kaspersky DDoS Prevention, решения Check Point DDoS Protector и "Периметр" от МФИ-Софт.

Еще одна технологическая группа решений - это средства защиты удаленного доступа. Они необходимы для обеспечения безопасности конфиденциальной информации, передаваемой между заявителем и порталом госуслуг. Примером такого средства является решение Stonegate SSL VPN, разработанное StoneSoft. Оно представляет собой сетевой шлюз, устанавливаемый на периметре подключения портала к сети Интернет. Заявители услуг через Web-браузер подключаются к портальной странице шлюза SSL VPN, проходят аутентификацию, после чего им открывается доступ к разрешенным для них государственным информационным ресурсам.

В числе плюсов использования этого решения - отсутствие необходимости предварительной установки программного VPN-клиента на стороне заявителя, возможность подключения с любого устройства (включая мобильные устройства и тонкие клиенты), работа с использованием самого популярного протокола HTTPS, возможность интеграции с различными технологиями аутентификации, шифрование в соответствии с российским ГОСТом.

В качестве примера других средств защиты удаленного доступа можно отметить решения Cisco AnyConnect VPN, Check Point Mobile Access и Juniper Secure Access. Ho, обладая схожими возможностями, данные решения не имеют необходимых сертификатов ФСБ России и не поддерживают российские ГОСТы в области шифрования информации.

Еще одна группа специализированных решений - это системы защиты интернет-приложений и баз данных. Они необходимы для нейтрализации сетевых атак на прикладное программное обеспечение портала государственных услуг, а также для защиты от удаленного и локального несанкционированного доступа к информации государственных информационных систем. Такие решения представляют собой сетевой шлюз безопасности, который может работать как в режиме мониторинга копии трафика (при этом возможно только обнаружение атак и сбор необходимой информации об инцидентах), так и в режиме In-Line, когда трафик к защищаемым серверам проходит через шлюз и возможно блокирование атак "на лету".

Эти решения интегрируются с приложениями и системами управления базами данных (с использованием специализированных программных агентов) и способны отслеживать активность пользователей, выявлять случаи отклонения от разрешенного или нормального поведения и реагировать на них.

В качестве примера системы защиты интернет-приложений можно назвать решение Imperva Web Application Firewall. А защитить базы данных призвано решение Imperva Database Firewall. Перечисленные решения - взаимодополняющие. Кроме Imperva, на рынке систем защиты интернет-приложений существует решения Cisco АСЕ Web Application Firewall, QualysGuard Web Application Firewall, для защиты баз данных могут использоваться решения IBM InfoSphere Guardium, McAfee DataBase Security.

ОСОБОЕ МНЕНИЕ

Александр
Бондаренко

Директор по развитию, компания "ЛЕТА", CIS А, CISSP

Говоря об электронных государственных услугах, надо понимать, что они изначально рассчитаны на очень широкий круг потребителей и поэтому вопрос доступности этих услуг является одним из самых острых. Говоря о доступности, я подразумеваю не только вопрос коммуникационной доступности соответствующего онлайн-ресурса, но также и его совместимость с различными браузерами, ОС, прикладным ПО, всем тем, что может встретиться на компьютере потенциального пользователя сервиса государственных услуг. И в связи с этим, безусловно, любые средства защиты, применяемые для сервисов, обеспечивающих реализацию электронных государственных услуг, не должны осложнять (или делать невозможным) доступ к этим самым услугам. Обеспечить это, на мой взгляд, можно лишь путем встраивания (на этапе первоначальной разработки или последующей модернизации) механизмов защиты в прикладное ПО, реализующее предоставление государственных услуг. В настоящий момент одной из основных трудноразрешимых задач мне видится необходимость использования криптографических алгоритмов защиты информации при передаче по открытым интернет-каналам. Использование сертифицированных отечественных решений в государственных услугах попросту невозможно, так как подразумевает обязательное наличие на клиентском компьютере (в том числе на планшете, смартфоне и прочем) специальных криптобиблиотек, обеспечивающих реализацию отечественных криптоалгоритмов, что в общем-то возможно только путем их целенаправленной предварительной установки. Это, в свою очередь, противоречит ключевой идее государственных услуг, озвученной ранее, - максимальной доступности широкому кругу пользователей. Именно поэтому в настоящий момент такие известные онлайн-ресурсы, как nalog.ru и gosuslugi.ru, используют для обеспечения защиты передаваемой информации SSL-шифрование на базе иностранных криптографических алгоритмов. Разрешить эту дилемму можно двумя способами - либо отказаться от обязательного использования отечественных сертифицированных средств криптографической защиты (что в настоящий момент маловероятно по политическим мотивам), либо вывести отечественные криптоалгоритмы на международный уровень и добиться их признания и включения соответствующие крипто-библиотеки во всех массовых программных продуктах (в первую очередь ОС). Работа по второму варианту потребует не один год серьезных усилий, а это будет означать, что по-прежнему в вопросе использования средств криптографической защиты информации на ближайшую перспективу сохранится дуализм, при котором по закону использование западных криптографических средств при оказании электронных государственных услуг будет запрещено, а на деле будет иметь место их повсеместное применение в силу отсутствия адекватной альтернативы