ИТ-Диалог: как сделать систему электронного документооборота защищенной и удобной для чиновника

• свыше 10 тысяч пользователей
• наличие VIP-пользователей (губернатор и т.п.)
• свыше 300 различных организаций и ведомств, находящихся вне прямого подчинения
• неоднородные и исторически сложившиеся системы защиты, особенно криптографической
• требования регуляторов
• мобильные устройства,

При этом, независимо от того, какая СКЗИ установлена у подключающихся абонентов СЭД, осуществляется выбор нужного VPN-шлюза. Тем самым, абонентам не требуется перестраивать свою систему подключения и приобретать VPN, которая стоит на периметре ЦОДа СЭД Хабаровского края — именно администрация берет на себя функцию приобретения шлюза, к которому и подключаются абоненты. Налицо и экономия бюджетных средств и удобство при подключении.

Так как многие чиновники получают доступ к СЭД с мобильных устройств, то достаточно остро стоит задача их защиты. Решается она двумя путями — установкой MDM и заворачиванием всего трафика на ведомственный периметр, где и осуществляется проверка с помощью эшелонированной системы защиты — контентная фильтрация, антивирус, IPS и т.п.

Помимо рассказа о построение удобной и защищенной СЭД, Кирилл Берман рассказал и о нескольких других интересных процессах обеспечения ИБ в Хабаровском крае, который, к слову сказать, является 4-м по величине в России. Во-первых, это очень интересный процесс моделирования угроз, который базируется на лучших практиках, в том числе на немецком каталоге угроз BSI (это именно немецкий институт, а не одноименной английский).

Во-вторых, очень интересен опыт проведения киберучений, позволяющих проверить способность ИТ/ИБ-специалистов противостоять угрозам, направленным на нарушение различных аспектов работы информационной системы — конфиденциальности, целостности и доступности. Не могу вспомнить, чтобы кто-нибудь еще из регионов проводил такие учения. Очень интересный опыт, который позволяет уйти от чисто бумажной безопасности в сторону реальной.

Кстати, даже с бумажной безопасностью в Хабаровском крае обстоит дело более чем интересно. Они одними из первых стали реализовывать 17-й приказ ФСТЭК, уйдя от обязательного набора защитных мер и выстраивая защитную систему из мер, нейтрализующих именно актуальные угрозы и учитывающих структурно-функциональные характеристики своих информационных систем. По словам Кирилла Бермана не все подрядчики оказались готовы к такому подходу, по старинке исходя из закрытого и неуменьшаемого перечня защитных мер в СТР-К. Но наличие тесного взаимодействия с местными управлениями ФСТЭК и ФСБ позволили доказать возможность такого подхода (в т.ч. и применение компенсирующих мер), что, во многом, и обусловило баланс между удобством и защищенностью пользования СЭД.

Последним запомнившимся мне моментом в выступлении оказался слайд с количеством обученных по вопросам ИБ сотрудников в государственных структурах Хабаровского края. 20-тикратный рост за 3 года! Есть чему поучиться во всех смыслах.