Приоритетные задачи ООО "ЛУКОЙЛ-ИНФОРМ"

-    Владимир Анатольевич, какие приоритетные задачи в области информационной безопасности стоят сегодня перед, вашей организацией?
-   ООО   "ЛУКОЙЛ-ИНФОРМ" занимается обеспечением    информационной безопасности ' Группы компаний "ЛУКОЙЛ". Группа    компаний   включает  в себя ,  порядка 500 организаций, территориально распределенных примерно  в  30 странах мира, что накладывает на нашу деятельность    серьезные обязательства      и ограничения,  включая   необходимость выполнения   требований законодательства  тех  стран,   на территории   которых осуществляется  деятельность данных организаций.

Например, только на территории  РФ у  нас порядка   80   организаций,    где    необходимо привести  информационные системы  персональных данных и внутренние нормативные   документы    в соответствие с требованиями   федерального законодательства о защите персональных данных. Кроме того, серьезной задачей  становится  стандартизация средств информационной безопасности, которые мы используем. В связи с тем что информационные технологии для нефтегазового сектора являются "расходной частью", то есть не приносят прибыли в чистом виде, перед нами поставлена задача по уменьшению стоимости владения системами информационной безопасности и повышению уровня ИБ при сохранении текущей стоимости владения.

Организации Группы компаний "ЛУКОЙЛ" территориально распределены от Калининграда до Когалыма и от Нарьян-Мара до Новороссийска. В связи с этим наша инфраструктура имеет распределенный характер и мы решаем задачу централизации управления всеми системами и оптимизации человеческих ресурсов, используемых для поддержки всех систем IТ и ИБ.

Важным вопросом становится компенсация неэффективности средств обеспечения информационной безопасности (ни для кого не секрет, что эффективность даже антивирусной защиты составляет всего лишь 90–92%). Аналогичная ситуация со средствами защиты от спама. Кроме того, проблемой является и низкий уровень знаний пользователей в части эксплуатации информационных технологий и защиты от всевозможных угроз, поэтому в настоящее время у нас широко распространяется программа осведомленности работников по вопросам обеспечения ИБ.

Повышая уровень автоматизации наших предприятий, мы приходим к интеграции закрытых систем с открытыми. Например, системы АСУ ТП и КИПиА могут передавать информацию по IP-протоколам в системы более высокого уровня, например в ERP-системы, обеспечивая руководство оперативной и полной информацией. Такая интеграция естественно влечет за собой определенные риски: АСУ ТП становятся уязвимыми к внутренним и внешним угрозам, которые предполагают наличие Интернета и наличие в той же сети большого количества пользовательских рабочих мест.

В Группе компаний "ЛУКОЙЛ" используется большое количество приложений для решения различного рода задач. К сожалению, только в последнее время вендоры стали заботиться о встроенных мерах защиты своих приложений. Однако из-за того, что мы используем несколько тысяч различных приложений нескольких сотен вендоров, наша инфраструктура всегда находится под угрозой проникновения изнутри и извне различных злоумышленников.

Естественно, в Группе компаний "ЛУКОЙЛ" работают процессы обеспечения непрерывности бизнеса. Сейчас вся наша основная IТ-инфраструк-тура размещена в трех центрах обработки данных, два из которых находятся в Москве и один – за рубежом. В настоящее время мы разрабатываем планы реагирования на чрезвычайные ситуации в части восстановления работоспособности информационных систем.

Как известно, в Москве дефицит площадей и дефицит электроэнергии. Поэтому многие наши информационные системы переводятся на виртуальные машины. В связи с этим одна из наших приоритетных задач – широкое использование систем виртуализации и соответственно обеспечение их безопасности. В результате перевода систем на платформу виртуализации возникла система, которая управляет большим количеством серверов с разнородной и зачастую очень важной информацией. Сейчас мы реализуем проект по созданию системы защиты этой виртуальной среды.

Группа компаний "ЛУКОЙЛ" осуществляет много сделок по слиянию и поглощению, приобретает сети АЗС и нефтеперерабатывающие заводы в Западной и Восточной Европе. Вопросы интеграции сторонней инфраструктуры в нашу должны быть четко отработаны. Это тоже одна из приоритетных задач для нашей организации.

– Какие значимые проекты были выполнены за прошедшие 3–5 лет?
– Нами были разработаны программы развития информационной безопасности для каждой организации на трехлетний период. В нынешнем году мы заканчиваем большинство проектов. В настоящее время ООО "ЛУКОЙЛ-ИНФОРМ" предоставляет от 16 до 20 различных услуг по информационной безопасности каждой дочерней организации, в среднем это 10–12 уникальных услуг для каждой организации. Мы оснастили 30 тыс. пользователей средствами антивирусной защиты, примерно 25 тыс. почтовых ящиков защитили от спама. Многочисленные магистральные каналы защищены сертифицированными средствами защиты информации. У нас функционируют системы анализа защищенности и проверки соответствия техническим стандартам обеспечения ИБ. В нескольких организациях мы уже внедрили системы двухфакторной аутентификации на смарт-картах. Сейчас идет внедрение системы удаленного доступа с использованием одноразовых паролей. Планируем, что она станет общей для всех работников Группы "ЛУКОЙЛ".

У нас есть серьезные наработки в части обеспечения конфиденциальности переговоров: собственные запатентованные средства защиты информации, свои специальные телефоны, сеть конфиденциальной связи с использованием факсовых аппаратов и АТС. Также мы внедрили системы контроля Web- и почтового трафика.

Мы первыми в России прошли сертификацию по международному стандарту ISO 27001:2005. Для нас является обязательным управление информационной безопасностью как процессом. Другими словами, у нас была внедрена процессная модель, и с тех пор мы совершенствуем эту модель, оцениваем риски, принимаем бизнес-ориентированные решения. Мы не доказываем, что нам нужно какое-то программное или аппаратное обеспечение, а проводим определенную оценку рисков и предлагаем мероприятия по их нейтрализации, которые могут включать в себя как закупку программных и аппаратных средств, так и просто усовершенствование внутренних процессов за счет доработки документов или проведения дополнительного обучения.

– Каким образом в вашей организации распределена ответственность за обеспечение информационной безопасности и как построена работа с подразделением информационных технологий?
– Можно сказать, что ООО "ЛУКОЙЛ-ИНФОРМ" для Группы компаний "ЛУКОЙЛ" выполняет функции внутреннего IТ-подразделения. Просто мы выделены в отдельное юридическое лицо. Отмечу две основные роли моего подразделения. Первая – это роль по организации и предоставлению услуг по информационной безопасности организациям Группы "ЛУКОЙЛ". Вторая – управление и обеспечение информационной безопасности ООО "ЛУКОЙЛ-ИНФОРМ".

В части предоставления услуг организациям распределение ответственности выглядит следующим образом. К нам приходит заявка от заказчика на создание какой-либо системы информационной безопасности. Мы оцениваем стоимость системы, выбираем вендора, интегратора, проводим внедрение этой системы, покупаем необходимое ПО, оборудование, осуществляем другие работы (если нужно – с привлечением сторонних подрядчиков) и заключаем договор. С этого момента начинается предоставление услуги конечному потребителю. Таким образом, в отличие от других сервисных компаний мы все программное обеспечение и оборудование покупаем себе на баланс, а потребитель получает конечную услугу. То есть сам он ничего не покупает, а только подтверждает нам те расходы, которые мы планируем на реализацию определенного инвестиционного проекта. У потребителя не возникает дополнительных проблем, связанных с покупкой поддержки ПО и оборудования. Он платит за конечную услугу, скажем, в расчете на одного пользователя.

Если говорить о работе внутри организации, то мы определяем политику информационной безопасности как своей компании, так и участвуем в выработке единой стратегии обеспечения ИБ Группы компаний "ЛУКОЙЛ", готовя и утверждая соответствующие документы на уровне руководства. Мы разрабатываем стандарты, требования, изучаем новые технологии, реализуем пилотные проекты для их оценки. Однако внедрение систем информационной безопасности у нас производится совместно с нашими IТ-подразделениями. После создания системы ИБ мы передаем ее в эксплуатацию IТ-подразделениям и с этого момента уже сами являемся пользователями этой системы. Правда, есть исключения: мы не передаем те системы, с помощью которых осуществляется контроль или мониторинг действий пользователей или самих администраторов. Понятно, что многие утечки связаны именно с высоким уровнем полномочий системных администраторов, имеющих доступ к информации разного уровня конфиденциальности. Поэтому в нашу компетенцию входит также мониторинг и ограничение их действий. При этом за 5 лет у нас сложились довольно хорошие отношения с подразделением информационных технологий. Ведь все мы понимаем, что служим общим целям.

Основная задача IТ-подразделения любой организации – как можно быстрее предоставить бизнесу доступ к актуальной и достоверной информации. Мы же понимаем, что при этом должны еще выполняться определенные требования информационной безопасности. Тем не менее мы всегда идем навстречу бизнесу. Если срочно нужен какой-то нестандартный доступ, то, предоставив его, мы сразу же начинаем отрабатывать мероприятия, позволяющие обеспечить безопасность информации, если доступ к ней, с нашей точки зрения, защищен недостаточно надежно.

– Какие проблемы в сфере информационной безопасности сейчас наиболее актуальны для нефтегазовой отрасли? Каким аспектам информационной безопасности вы будете уделять наиболее пристальное внимание в ближайшие год-два?
– В нефтегазовой отрасли проблемы практически такие же, как и в любой другой. На мой взгляд, не всегда логично говорить об отраслевых требованиях, отраслевых стандартах. Существующие международные стандарты обеспечения информационной безопасности на 90% покрывают любую отрасль – нефтегазовую, промышленную или финансовую. Просто в каждой отрасли есть особенности. Например, у нас системы АСУ ТП и КИПиА, в финансовой отрасли – автоматизированные банковские системы, у операторов связи – биллинговые системы и т.п. На самом деле, с точки зрения системного архитектора, они являются обычными приложениями. Но, видимо, каждой отрасли хочется "порулить" и выпустить что-то свое. Однако я поддерживаю коллег в нефтегазовой отрасли, которые не выпускают каких-то отдельных документов на эту тему, в отличие, например, от Банка России. На мой взгляд, разработка большого количества документов, требований различных отраслей, которые на самом деле идентичны на 80–90%, нецелесообразна.

Межотраслевое взаимодействие с учетом всех этих требований доставляет сторонам множество проблем. Стыковка стандартов не всегда логична и последовательна. Если говорить, например, о стандарте Банка России, то в первой версии он на 90% копировал британский стандарт BS 7799 (который потом стал международным стандартом ISO 27001:2005), было лишь небольшое дополнение, касающееся автоматизированных банковских систем. Да и в любой другой отрасли в отраслевых документах найдется такое же почти стопроцентное соответствие международным нормам.

Среди задач, которые будут перед нами стоять в ближайшие несколько лет, – выполнение становящихся все более строгими требований законодательства. Несколько лет назад был выпущен ряд документов о защите критичных элементов инфраструктуры государства, естественно, он касается и нефтегазовых компаний. Однако пока эти документы не получили дальнейшего развития, но мы ожидаем, что в ближайшее время они  все  же  будут  приняты.

Реализация требований законодательства в части защиты персональных данных также, как я уже говорил, потребует от нас серьезной и кропотливой работы.

За прошедшие три года мы завершили приоритетные проекты. Но технологии развиваются, нам придется проводить адаптацию созданной инфраструктуры безопасности к новым условиям, ведь пользователю хочется иметь доступ отовсюду и ко всему. При этом мы должны обеспечить необходимый уровень безопасности той информации, к которой они получают доступ. Пользователи становятся мобильными, их требования растут вместе с уровнем знаний о возможностях, которые они могут использовать. Как я уже говорил, интеграция АСУ ТП с IP-протоколами, с системами более высокого уровня накладывает на нас серьезную ответственность. Нам необходимо предотвратить риск получения злоумышленниками контроля над системами управления производством, в противном случае последствия могут быть просто катастрофическими.

Как правило, стандартные системы информационной безопасности "ловят" случайных людей, которые совершают те или иные нарушения по незнанию или неопытности. А вот опытных злоумышленников обнаружить гораздо сложнее. Они обычно умеют обходить существующие системы защиты информации или же получают нужную информацию при помощи инсайдеров. В таких условиях обнаружить злоумышленника довольно непросто. Кроме того, наше законодательство еще недостаточно проработано в части сбора и использования информации об инцидентах ИБ, поэтому привлечь виновного к ответственности не так-то просто. И здесь открывается большое количество нерешенных вопросов и задач.

Бизнес развивается быстро, решения принимаются практически мгновенно, и мы должны оперативно обеспечивать защиту информации, критичной для ведения бизнеса.