ФНС строит новую систему информационной безопасности

Федеральная налоговая служба России готовится к переходу на новую отраслевую автоматизированную информационную систему — АИС “Налог-3”. Одновременно строится система обеспечения ее информационной безопасности — СОБИ АИС “Налог-3”.

О том, какие требования новая АИС предъявляет к корпоративной системе информационной безопасности ФНС и какие пути и средства выполнения этих требований выбирают ИБ-специалисты этой государственной структуры, представляющей одного из крупнейших в стране корпоративных пользователей информационных технологий, научному редактору PC Week/RE Валерию Васильеву рассказывает начальник отдела системного проектирования Центра безопасности информации ФГУП ГНИВЦ ФНС России Андрей Щеверов.

PC Week: Что стало побудительным мотивом строительства СОБИ АИС “Налог-3”?

Андрей Щеверов: Структура автоматизированной информационной системы налогового администрирования страны, которой оперирует ФНС России при выполнении своих основных задач, возложенных на нее государством, сейчас перестраивается, превращаясь из децентрализованной в строго централизованную. ФНС переходит с трехуровневой архитектуры АИС (главный ЦОД — региональные управления — инспекции и территориально обособленные рабочие места) на одноуровневую. Если ранее консолидация налоговых данных производилась на региональном уровне, то теперь вся информация будет сразу консолидироваться в единой точке — главном ЦОДе ФНС. Соответственно и доступ к ЦОД будет у всех сотрудников налоговой службы со всех объектов ФНС России. Предполагается поэтапное внедрение АИС “Налог-3” с переходом на технологию VDI и созданием федеральных ЦОДов промышленного масштаба.

PC Week: Какие компоненты СОБИ АИС “Налог-3” вы относите к типовым, обязательным, но “вчерашним”, а какие из них появились вследствие новых ИБ-угроз и новых требований регуляторов?

А. Щ.: Централизация АИС ФНС привела к возникновению новых рисков и предъявила новые, более жесткие, требования к ее информационной безопасности. Изменившиеся задачи обеспечения ИБ АИС как раз и призвана решить система СОБИ АИС “Налог-3”, которую мы сейчас строим.

Уже позади разработка концепции СОБИ, ее системного проекта, технических проектов ряда ее компонентов. В нынешнем году мы приступили к построению первой очереди системы.

Выполнение такого большого объема работ в сжатые сроки и с высоким качеством было бы не возможно без привлечения субподрядчиков — ведущих интеграторов по информационной безопасности. Например, специалисты ОАО “ЭЛВИС-ПЛЮС” не первый год успешно выполняют существенный объем работ по проектированию и внедрению СОБИ АИС “Налог-3”.

Нужно отметить, что работать приходится в очень жестких бюджетных рамках. Выстраивание информационной безопасности для системы такого масштаба (120 тыс. пользователей и около 2500 объектов), какой является АИС “Налог-3”, — не простая задача. В первую очередь нужно строить защиту от наиболее опасных ИБ-угроз. Поскольку в нашем ЦОДе серверная часть виртуализирована, одной из первоочередных задач, по мнению наших ИБ-специалистов, является создание системы защиты виртуальной ИТ-среды ЦОДа. Это укладывается и в требования приказа ФСТЭК России №17 за 2013 г., где впервые в российской практике были выдвинуты требования к защите среды виртуализации. Опробованы продукты Trend Micro Deep Security, VGate компании “Код безопасности” и Kaspersky Security для виртуальных сред.

Для обеспечения ИБ на уровне рабочих мест, как и прежде, в СОБИ используются средства защиты от несанкционированного доступа “Блокхост сеть К” компании “Газинформсервис”. Кроме того, на рабочих станциях (и серверах) используется антивирус “Лаборатории Касперского”.В качестве системы управления идентификационной информацией и электронными ключами в рамках СОБИ был выбран программный комплекс Avanpost российской компании “Аванпост”. Изначально для управления электронными ключами (eToken) предполагалось использовать продукт SafeNet Authentication Manager, а для управления идентификационной информацией Oracle Identity Management.

Решение Oracle Identity Management, выбранное еще до начала создания СОБИ АИС “Налог-3”, вполне удовлетворяло нас по своим функциональным возможностям. Однако оно весьма дорогое, а главное, очень сложное в развертывании, кастомизации и сопровождении. Мне, в частности, известны примеры российских внедрений, в которых процессы развертывания и кастомизации длятся годами. Поэтому с самого начала построения СОБИ АИС “Налог-3” у нас было принято решение искать альтернативы.

Замечу, что поиск подходящей замены не был простым. Поскольку ФНС во многом ориентирована на продукты корпорации Microsoft, в частности единый системный каталог ФНС построен на Microsoft Active Directory, мы сначала рассмотрели как возможный вариант Forefront Identity Manager. Однако и он оказался в кастомизации не намного проще, чем Oracle Identity Management.

На рассмотрение третьего варианта — программного комплекса Avanpost — изначально нас подвигла его вполне приемлемая (особенно при нашем стесненном бюджете) цена. Кроме того, функционал продукта закрывал наши потребности не только в централизованном управлении идентификационной информацией, но еще и в управлении электронными ключами доступа, что позволило отказаться и от SafeNet Authentication Manager. Фактически мы получили двойную экономию.

Продукт “Аванпоста” позволяет нам реализовать комплексный подход ко всем задачам, связанным с идентификацией пользователей и управлением ключами. Расположение разработчиков комплекса Avanpost в Москве позволяет оперативно реализовывать все наши пожелания в части кастомизации, которая, как я могу констатировать, у разработчика хорошо отлажена. Нужно отметить, что мы со своими требованиями стали для “Аванпоста” хорошей испытательной площадкой, и их продукт, по моим ощущениям, за время нашей совместной работы получил существенное развитие.

Единственным источником идентификационной информации для ПК Avanpost в рамках СОИБ АИС “Налог-3” является наша система кадрового учета, в которой отслеживаются все изменения служебного положения сотрудников. Все другие информационные системы будут получать идентификационную информацию только от IDM Avanpost. Это минимизирует количество ошибок в организации доступа к корпоративным ресурсам. Кроме этого Avanpost поддерживает практически все типы электронных ключей eToken, ruToken, MSkey…

В борьбе с утечками данных (в первую очередь через электронную почту и съемные носители) нам должен помочь закупаемый нами Traffic Monitor компании InfoWatch. С этим продуктом также связаны наши планы организации апостериорной информационной безопасности, суть которой заключается в расследовании произошедших ИБ-инцидентов.

PC Week: С чем конкретно связано появление в СОБИ АИС “Налог-3” DLP-системы — с непреднамеренными утечками корпоративной информации за периметр, с нежелательным ее растеканием внутри периметра или с угрозами злонамеренного инсайда?

А. Щ.: Не секрет, что сегодня ИБ-специалисты высоко оценивают надежность современной периметровой защиты, чего пока они не могут сказать о защите от угроз, исходящих из самой компании. Этим угрозам теперь уделяют повышенное внимание, в том числе и в ФНС России.

Кроме того, как считают наши ИБ-специалисты, российским компаниям пора готовить базу для организации апостериорной ИБ. Пусть пока законодательная база и судебная практика в нашей стране не вполне готовы к расследованию преступлений, связанных с использованием инфотелекоммуникационных технологий, технологически мы делаем все возможное для того, чтобы в дальнейшем можно было без проблем формировать доказательную базу как для внутренних, так и для внешних расследований ИБ-инцидентов. Мы надеемся, что эти закладываемые в СОБИ возможности (в силу специфики нашей госструктуры) будут востребованы.

PC Week: Одним из показателей зрелости ИБ-службы является ее направленность на решение бизнес-задач той бизнес-структуры, в которую она входит. Для этого руководство этих служб использует показатели эффективности работы своих подразделений. Насколько ваша новая ИБ-система будет эффективней ныне действующей? Предусмотрены ли в СОБИ АИС “Налог-3” возможности, которые позволяют ИБ-службе ФНС на постоянной основе оценивать эффективность новой ИБ-системы?

А. Щ.: Мы запланировали разработку методик оценки эффективности новой СОБИ на будущий год. Ранее это у нас не получится. После того как мы решим первостепенные задачи защиты от наиболее актуальных угроз, мы намерены в рамках отведенного бюджета построить корпоративный центр управления ИБ, а затем перейти и к оценкам эффективности функционирования СОБИ.

Базой централизованного управления ИБ ФНС России станет продукт класса SIEM HP ArcSight. В настоящее время он уже развернут в нашем ЦОДе и действует как система регистрации, накопления данных о событиях ИБ и формирования отчетности по этим событиям. Со временем она также будет выдавать коррелированную метаинформацию о событиях ИБ, правила для формирования которой сейчас находятся в стадии разработки. А в дальнейшем она может стать базовым компонентом ситуационного центра для мониторинга состояния ИБ всей ФНС России, который, как мы планируем, будет располагать также средствами анализа ИБ-рисков и расследования ИБ-инцидентов.

Уже сегодня бизнес-подразделения обращаются к нам за отчетностью, которую мы можем для них формировать на основе информации, собираемой с прикладных подсистем АИС “Налог-3”. На этапе перехода на АИС “Налог-3” бизнес в первую очередь интересуют карта нагрузки прикладных систем. Это помогает руководителям бизнес-подразделений выявлять реальную картину состояния рабочих процессов.

Мы в нашем ЦОДе опробовали недавно появившийся на рынке продукт компании Skybox Security, предназначенный для мониторинга и контроля настроек активного сетевого оборудования и межсетевых экранов и агрегирования полученных с них данных с данными со сканеров уязвимостей. На основе этой информации Skybox строит карту сети с существующими уязвимостями, что позволяет проводить анализ рисков, связанных с сетевой ИБ, с одновременным учетом уязвимостей операционных систем, а также строить векторы возможных атак на сеть.

Пилотное использование Skybox позволило выявить значительное число комбинаций настроек в сетевом оборудовании, сочетания которых потенциально могут привести к образованию серьезных брешей в периметровой защите. Полученная информация поможет ИБ-службе ФНС следить за безопасностью сетевых настроек, что особенно важно в период активных изменений в них, производимых в связи с развертыванием АИС “Налог-3”.

Возможности продукта Skybox хорошо вписываются в нашу концепцию будущей системы управления ИБ-рисками ФНС. Мы считаем, что в нее также войдут продукты ArcSight, Avanpost, Skybox и InfoWatch Traffic Monitor Enterprise.

PC Week: Насколько конкурентоспособными выглядели российские разработки ИБ-средств по сравнению с зарубежными в тендерах, связанных с построением СОБИ АИС “Налог-3”?

А. Щ.: Есть направления, где российские ИБ-разработчики традиционно сильны. Например, в антивирусной защите, шифровании, межсетевом экранировании, в защите от утечек…

Однако в ИБ есть и такие сегменты, где российские компании вовсе не представлены. К ним, например, относятся все более востребованные “тяжелые” ИБ-продукты, такие как средства сбора и корреляции данных о событиях ИБ, инструменты аналитики и принятия решений в области ИБ. Увы, но таким инструментам, как ArcSight или Skybox (которые соответственно относится к классу SIEM и классу систем управления ИБ-рисками в сетевой инфраструктуре), альтернатив среди российских разработок пока нет.

В заключение хочу отметить, что построение СОБИ АИС “Налог-3” происходит с учетом новейших тенденций в области ИБ и на принципах комплексности, взаимосвязанности и масштабируемости решений. Мы внимательно изучаем все новые решения, появляющиеся на рынке.

PC Week: Благодарю за беседу.