Интеграция технологий обеспечения ИБ при оказании электронных государственных услуг

Одним из основных принципов предоставления государственных или муниципальных услуг является возможность их получения в электронном виде. При этом должна обеспечиваться конфиденциальность обрабатываемой информации и гарантированная доступность государственных услуг.

Операторы информационных систем, предоставляющих государственные или муниципальные услуги, обязаны выполнять требования законодательства РФ, связанные с хранением, использованием и обработкой данных. В частности, необходимо предотвращать несанкционированный доступ к информации и ее передачу лицам, не имеющим права на доступ к ней. Важным требованием является своевременное обнаружение фактов несанкционированного доступа к информации, а также предупреждение вызванных им неблагоприятных последствий. Кроме того, необходимо исключить возможность воздействия на технические средства обработки информации, в результате которого может быть нарушено их функционирование.

Требования по обеспечению информационной безопасности в определенных типах государственных информационных систем или их компонентов уточняются подзаконными нормативными актами РФ. Но при реализации этих требований, а также при интеграции технологий ИБ для оказания электронных госуслуг возникает ряд проблем, связанных с участием в процессе обработки данных заявителей - физических и юридических лиц, обращающихся за услугой. Как правило, заявители вводят персональные данные (ПНд) в электронные формы порталов, передают в электронном виде документы, содержащие эти данные, получают ответы (также включающие ПДн) о результатах оказания услуги, кроме того - всегда имеют доступ к собственным ранее поданным документам. Одна из ключевых проблем заключается в невозможности обеспечить информационную безопасность на стороне заявителя. Законодательство РФ предписывает использование сертифицированных средств защиты информации. Но такие средства нельзя «просто скачать». Заявитель может попробовать получить их только при личном обращении и при обязательном заключении договора. Устанавливать и обслуживать средства защиты информации может только организация, имеющая соответствующую лицензию ФСТЭК России или ФСБ России. Выходом может быть только максимальное использование централизованных средств защиты информации, размещенных на стороне оператора портала государственных услуг.

Вторая проблема состоит в том, что очень сложно реализовать технологии обеспечения ИБ посредством встроенных функций портала государственных услуг. Все реализуемые порталом ИБ-функции должны проходить сертификацию, причем не только в момент их запуска, но и при любых последующих изменениях. Эти факторы приводит к существенному увеличению сроков и стоимости внедрения технологий ИБ. Выходом может стать максимальное использование существующих современных и сертифицированных средств защиты информации.

Для определения необходимых технических решений по обеспечению информационной безопасности компания «Микротест» провела экспресс-анализ рисков и определила перечень основных угроз ИБ при оказании электронных государственных услуг. В их числе:

• нарушение доступности государственной услуги в результате сетевой атаки (DDoS-атаки) на ИТ-инфраструктуру;
• несанкционированный внешний доступ к информации в результате сетевой атаки на прикладное программное обеспечение на портале государственных услуг;
• нарушение доступности государственной услуги в результате сетевой атаки на прикладное программное обеспечение портала;
• нарушение конфиденциальности информации, передаваемой между заявителем и порталом государственных услуг;
• несанкционированный локальный доступ к большим массивам информации (серверам приложений или баз данных) со стороны ИТ-специалистов и администраторов портала.

Для нейтрализации перечисленных угроз можно использовать интегрированныйкомплекс технических решений.

Так, для нейтрализации сетевых атак на ИТ-инфраструктуру портала электронных госуслуг и обеспечения непрерывности доступа к ним необходимо применение систем защиты от DDoS-атак. Примером является решение Arbor Peakflow SP, которое осуществляет мониторинг трафика, выявляет DDoS-атаки, реализует политики защиты от атак и фильтрацию трафика. Кроме того, данная система содержит огромное количество настраиваемых шаблонов и контрмер, что позволяет не только эффективно бороться с DDoS-атаками, но и вообще гибко фильтровать трафик по самым разным признакам: по URL-адресам, по географическому расположению (страна, регион, населенный пункт), по структуре IP-пакетов, по характеру и структуре трафика, и т.д.

Для поддержки решения Arbor Peakflow SP функционирует специализированная сетевая лаборатория ASERT (Arbor Security Engineering and Response Team), в задачи которой входят постоянный мониторинг и анализ аномалий и DDoS-атак в сетях операторов связи по всему миру, поддержание базы знаний об атаках и ботнетах и использование этих сведений для эффективного обнаружения и подавления атак системами Arbor. Благодаря механизму обмена информацией Fingerprint Sharing Alliance на все устройства Arbor оперативно доставляется актуальная информация и новые сигнатуры.

Кроме того на рынке систем защиты от DDoS-атак существует облачная услуга Kaspersky DDoS Prevention, решения Check Point DDoS Protector и Периметр от МФИ-Софт. Но приведенные решения не обладают такой масштабируемостью и аналитической базой, как Arbor Peakflow SP.

Еще одна технологическая группа решений – это средства защиты удаленного доступа. Они необходимы для обеспечения безопасности конфиденциальной информации, передаваемой между заявителем и порталом госуслуг. Примером такого средства является решение Stonegate SSL VPN, разработанное StoneSoft. Оно представляет собой сетевой шлюз, устанавливаемый на периметре подключения портала к сети Интернет. Заявители услуг через web-браузер подключаются к портальной странице шлюза SSL VPN, проходят аутентификацию, после чего им открывается доступ к разрешённым для них государственным информационным ресурсам.

В числе плюсов использования этого решения – отсутствие необходимости предварительной установки программного VPN-клиента на стороне заявителя, возможность подключения с любого устройства (включая мобильные устройства и тонкие клиенты), работа с использованием самого популярного протокола HTTPS, возможность интеграции с различными технологиями аутентификации, шифрование в соответствии с российским ГОСТом.

В качестве примера других средств защиты удаленного можно отметить решения Cisco AnyConnect VPN, Check Point Mobile Access и Juniper Secure Access. Но обладая схожими возможностями, данные решения не имеют необходимых сертификатов ФСБ России и не поддерживают российские ГОСТы в области шифрования информации.

Еще одна группа специализированных решений – это системы защиты интернет-приложений и баз данных. Они необходимы для нейтрализации сетевых атак на прикладное программное обеспечение портала государственных услуг, а также для защиты от удаленного и локального несанкционированного доступа к информации государственных информационных систем. Такие решения представляют собой сетевой шлюз безопасности, который может работать как в режиме мониторинга копии трафика (при этом возможно только обнаружение атак и сбор необходимой информации об инцидентах), так в режиме In-Line, когда трафик к защищаемым серверам проходит через шлюз и возможно блокирование атак «на лету».

Эти решения интегрируются с приложениями и системами управления базами данных (с использованием специализированных программных агентов) и способны отслеживать активность пользователей, выявлять случаи отклонения от разрешенного или нормального поведения и реагировать на них.

В качестве примера системы защиты интернет-приложений можно назвать решение Imperva Web Application Firewall. А защитить базы данных призвано решение Imperva Database Firewall. Перечисленные решения – взаимодополняющие. Они обеспечивают защиту web-приложений и баз данных от направленных атак, вести независимый контроль действий пользователей, осуществлять защиту от несанкционированного доступа к приложению и базам данных, сигнатурный и поведенческий анализ пользователей, обнаруживать превышение прав пользователей, а также блокировать подозрительную активность.

Кроме Imperva на рынке систем защиты интернет-приложений существует решения Cisco ACE Web Application Firewall, QualysGuard Web Application Firewall, для защиты баз данных могут использоваться решения IBM InfoSphere Guardium, McAfee DataBase Security и т.п. Но только решения Imperva могут глубоко интегрироваться между собой и обеспечивать комплексную защиту приложений и баз данных.

Читать статью в журнале

Источник: InformationSecurity, №2-2013