ИТ-Диалог: как сделать систему электронного документооборота защищенной и удобной для чиновника

Технологии
Еще один доклад на ИТ-Диалоге был от Кирилла Бермана, заместителя министра ИТ и связи Хабаровского края. Еще один примечательный доклад, в котором Кирилл делился опытом, как при следующих исходных данных:
  • свыше 10 тысяч пользователей
  • наличие VIP-пользователей (губернатор и т.п.)
  • свыше 300 различных организаций и ведомств, находящихся вне прямого подчинения
  • неоднородные и исторически сложившиеся системы защиты, особенно криптографической
  • требования регуляторов
  • мобильные устройства,
обеспечить эффективную и при этом удобную для пользователей систему защиты при доступе к системе электронного документооборота (СЭД) Хабаровского края. Из наиболее интересных моментов, которые мне запомнились в выступлении, могу отметить дифференцированный доступ как к открытой, так и к закрытой части СЭД, с использованием Web-интерфейса или отдельного приложения.

При этом, независимо от того, какая СКЗИ установлена у подключающихся абонентов СЭД, осуществляется выбор нужного VPN-шлюза. Тем самым, абонентам не требуется перестраивать свою систему подключения и приобретать VPN, которая стоит на периметре ЦОДа СЭД Хабаровского края — именно администрация берет на себя функцию приобретения шлюза, к которому и подключаются абоненты. Налицо и экономия бюджетных средств и удобство при подключении.

Так как многие чиновники получают доступ к СЭД с мобильных устройств, то достаточно остро стоит задача их защиты. Решается она двумя путями — установкой MDM и заворачиванием всего трафика на ведомственный периметр, где и осуществляется проверка с помощью эшелонированной системы защиты — контентная фильтрация, антивирус, IPS и т.п.

Помимо рассказа о построение удобной и защищенной СЭД, Кирилл Берман рассказал и о нескольких других интересных процессах обеспечения ИБ в Хабаровском крае, который, к слову сказать, является 4-м по величине в России. Во-первых, это очень интересный процесс моделирования угроз, который базируется на лучших практиках, в том числе на немецком каталоге угроз BSI (это именно немецкий институт, а не одноименной английский).

Во-вторых, очень интересен опыт проведения киберучений, позволяющих проверить способность ИТ/ИБ-специалистов противостоять угрозам, направленным на нарушение различных аспектов работы информационной системы — конфиденциальности, целостности и доступности. Не могу вспомнить, чтобы кто-нибудь еще из регионов проводил такие учения. Очень интересный опыт, который позволяет уйти от чисто бумажной безопасности в сторону реальной.

Кстати, даже с бумажной безопасностью в Хабаровском крае обстоит дело более чем интересно. Они одними из первых стали реализовывать 17-й приказ ФСТЭК, уйдя от обязательного набора защитных мер и выстраивая защитную систему из мер, нейтрализующих именно актуальные угрозы и учитывающих структурно-функциональные характеристики своих информационных систем. По словам Кирилла Бермана не все подрядчики оказались готовы к такому подходу, по старинке исходя из закрытого и неуменьшаемого перечня защитных мер в СТР-К. Но наличие тесного взаимодействия с местными управлениями ФСТЭК и ФСБ позволили доказать возможность такого подхода (в т.ч. и применение компенсирующих мер), что, во многом, и обусловило баланс между удобством и защищенностью пользования СЭД.

Последним запомнившимся мне моментом в выступлении оказался слайд с количеством обученных по вопросам ИБ сотрудников в государственных структурах Хабаровского края. 20-тикратный рост за 3 года! Есть чему поучиться во всех смыслах.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Unknown

    На первом слайде написано "Подключенения")))

    Ответить
  2. Алексей Лукацкий

    Да, это важно. Спасибо

    Ответить
  3. Алексей Лукацкий

    Никакие. Я этот рынок не знаю

    Ответить