Информационная безопасность ОАО "Газпром": проблемы гиганта

Информационная безопасность ОАО "Газпром": проблемы гиганта

Интервью с Александром Ефимовым, начальником управления информационной безопасности службы безопасности ОАО "Газпром"

Определяющим направление развития современных предприятий является автоматизация производственных процессов за счет широкого внедрения средств вычислительной техники и телекоммуникаций. Следствием этого является неуклонный рост объемов информации, которая подвергается обработке и накоплению в электронном виде. С ростом объема электронного документооборота и уровня автоматизации технологических процессов возрастает зависимость результатов деятельности от непрерывности функционирования информационной инфраструктуры. Расширение и усложнение информационных систем влечет за собой ужесточение требований к непрерывности их функционирования, а также к сохранности и обеспечению конфиденциальности корпоративной информации. Таким образом, превращение информационной инфраструктуры предприятия в инструмент ведения бизнеса определяет все возрастающую его зависимость от уязвимостей постоянно усложняющейся информационной системы.

- ОАО "Газпром" является крупнейшей российской компанией. Какие основные проблемы информационной безопасности (ИБ) актуальны для такого гиганта?

- Важно осознавать, что обеспечение ИБ - это непрерывный процесс, объединяющий правовые, организационные и технические меры защиты. Чтобы добиться его управляемости, необходимо обеспечить периодический анализ защищенности информационной инфраструктуры, в идеале охватывая все виды угроз, а также динамику их развития. Тенденции повсеместной информатизации наиболее характерны для тех отраслей экономики, которые обладают разветвленной территориально распределенной производственной инфраструктурой. В большинстве случаев такие производства применяют потенциально опасные для окружающей среды и человека технологии.

Это прежде всего относится к предприятиям транспорта, энергетики, химической промышленности, а также добывающих отраслей, где существуют непрерывные технологические циклы. Большинство элементов такой инфраструктуры крайне чувствительны к любым деструктивным воздействиям. Кроме техногенного аспекта воздействия таких производств на окружающую среду всерьез рассматриваются проблемы, непосредственно связанные с возможным проявлением технологического терроризма. В этих условиях задача обеспечения защиты информационных ресурсов таких предприятий приобретает одно из первостепенных значений.

Опасность технологического терроризма вполне реальна, так как степень зависимости экономики и органов власти от ИТ возросла настолько, что нарушение установленных режимов работы информационных систем ключевых секторов народного хозяйства и управления страной может иметь катастрофические последствия.

Это подтверждается производственной практикой газовой отрасли, которая свидетельствует о том, что между ИБ ее предприятий и безопасностью населения страны существует прямая связь. К примеру, неполадки в работе Единой системы газоснабжения могут создать угрозу для жизни и здоровья людей.

В связи с этим создание механизмов защиты информационной инфраструктуры хозяйствующих субъектов, производство которых в техногенном аспекте потенциально опасно, не должно быть пущено на самотек и оставлено без эффективного государственного регулирования. При этом особую важность приобретает проблема ИБ так называемых критичных производств. И чем больше по масштабам предприятие, тем выше его обеспокоенность вопросами обеспечения ИБ.

В последней закономерности нет нечего удивительного. Ведь последствия несанкционированного доступа в защищенные сети "Газпрома" или другого стратегически важного предприятия могут быть катастрофическими не только для этих предприятий, но и для страны в целом.

-Как Вы отметили, в системе "Газпрома" много критичных производств, аварии на которых могут произойти, в том числе, и из-за нарушений в сфере обеспечения ИБ. Вместе с тем информация, циркулирующая в автоматизированных системах управления технологическими процессами (АСУ ТП), не всегда согласно законодательству подлежит обязательной защите. Как можно исправить данную ситуацию?

-Действительно, информация, циркулирующая в АСУ ТП крупных предприятий, сегодня, как правило, не относится к категории, подлежащей защите. А зря - ведь блокирование, искажение или утрата даже незначительной ее части может привести к поистине катастрофическим последствиям.

Одна из основных проблем - отсутствие регламентации по безопасности информации в АСУ ТП критичных производств.

В настоящее время единственный существующий документ Гостехкомиссии, который регулирует вопросы защиты автоматизированных систем управления от несанкционированного доступа, не охватывает всех аспектов проблемы.

В этом направлении органами государственной власти России предпринимаются определенные шаги по созданию в стране механизма противодействия технологическому терроризму:

• уточнено понятие акта технологического терроризма как, в частности, выведение из строя и разрушение систем жизнеобеспечения городов и иных населенных пунктов (распоряжение Правительства РФ от 2 февраля 1998 г. № 141-р);
• определены потенциально опасные объекты инфраструктуры РФ, к числу которых, в том числе, отнесены объекты производства, переработки, хранения, транспортировки пожаровзрывоопасных веществ (распоряжение Правительства РФ от 27 августа 2005 г. № 1314-р);
• определен государственный орган (ФСТЭК России), ответственный за организацию работ по обеспечению безопасности информации в системах информационной и телекоммуникационной инфраструктуры страны, оказывающих существенное влияние на ее безопасность (Указ Президента РФ от 16 августа 2004 г. № 1085);
• издан документ, определяющий признаки критически важных объектов информационной инфраструктуры РФ;
• организована подготовки нормативных документов, определяющих требования по безопасности к информационным системам критически важных объектов информационной инфраструктуры.

И тем не менее нормативно-методическое обеспечение деятельности по противодействию технологическому терроризму пока еще не соответствует требуемому уровню. Необходимо согласовать понятия технологического терроризма и ИБ, определить особенности подходов к реализации мероприятий по противодействию терроризму на данных направлениях.

В настоящее время требования по ИБ к АСУ ТП, как правило, закреплены в документах отраслевого уровня. Однако в условиях угрозы технологического терроризма подходы, при которых обеспечение ИБ АСУ ТП делегируется на отраслевой (корпоративный) уровень, должны быть пересмотрены.

В этих условиях Службой безопасности ОАО "Газпром" решается задача формулирования Концепции противодействия технологическому терроризму в ОАО "Газпром", его дочерних обществах и организациях, а также определения структуры системы документов для регламентирования указанной сферы деятельности. В данных документах планируется разработать типовые модели угроз террористических воздействий на АСУ ТП ОАО "Газпром", определить объекты угроз в автоматизированных системах управления производственно-хозяйственной деятельностью и автоматизированных системах обработки корпоративно значимой информации ОАО "Газпром", а также провести оценку мер по защите этих систем.

-"Газпром" является одной из первых структур, внедряющей у себя систему юридически значимого электронного документооборота. Не могли бы Вы подробнее остановиться на этой проблеме?

-В связи с тем, что ОАО "Газпром" является динамически развивающейся вертикально интегрированной компанией, для нее характерна сложная разветвленная структура корпоративного управления, основанная на оперативном обмене информацией. Многие функции управления, учета, контроля, а также финансового планирования деятельности компании предполагают осуществление внутрикорпоративного обмена конфиденциальной информацией.

Требование оперативности решения задач такого рода порождает потребность в создании электронной системы подготовки и безопасной передачи данных по существующим открытым каналам связи. Фактически речь идет о создании в ОАО "Газпром" полноценной системы защищенного электронного юридически значимого документооборота.

При ее создании во главу угла ставится решение ряда взаимосвязанных проблем надежности и безопасности:

• обеспечение устойчивой бесперебойной гарантированной доставки и обработки электронных документов, служебной информации, внутренних распорядительных документов и отчетности от предприятий инфраструктуры газовой отрасли;
• обеспечение управляемости системы защищенного электронного документооборота;
• обеспечение защищенности информации, ресурсов и сервисов системы защищенного электронного документооборота в части конфиденциальности, целостности и доступности.

В то же время применение современных сетевых информационных технологий требует, прежде всего, решения проблем обеспечения правовой защиты внедряемых в административно-гражданский оборот электронных документов, придания им юридически значимого статуса.

-Несмотря на то что необходимость в защите информации давно осознана, по-прежнему во многих случаях крен в ту или иную сторону при решении задач обеспечения ИБ отодвигает на второй план сохраняющуюся фундаментальную проблему, а именно достаточность и эффективность систем и средств защиты, с точки зрения конечного потребителя. В то же время, очевидно, что мерой целесообразности внедрения подобных систем может служить соотношение "стоимость/эффективность", то есть в конечном счете баланс между возможным ущербом от несанкционированных действий и размером вложений, которые необходимо потратить для обеспечения защищенности информационных ресурсов.

Инвестиции в разработку и реализацию проектов такого рода есть ни что иное, как материализация планируемого прямого экономического ущерба от возможных противоправных действий. Идя на эти затраты, потребитель надеется избежать большего ущерба, связанного со всевозможными косвенными, трудно прогнозируемыми последствиями.

ОАО "Газпром", как и многие компании, придерживается мнения о том, что наиболее привлекательными системами защиты информации являются те, которые наиболее полно удовлетворяют потребителя в отношении законодательных, организационных, экономических и технических аспектов их внедрения и эксплуатации.

Очевидно, что комплексные решения порой дорогостоящие и могут быть реализованы далеко не всегда. Кроме этого, ущерб с учетом принятой модели рисков может быть гораздо меньше стоимости систем такого рода. Поэтому уровень финансовых затрат на создание и эксплуатацию систем защиты информации должен быть сбалансированным и соответствовать масштабу и степени угроз.

- Какую роль в системе ИБ "Газпрома" играет аудит ИБ? На соответствие чему проводится аудит? Как Вы считаете, актуально ли принятие в России международных стандартов ISO 270xxx?

- Аудит И Б предприятия чаще всего проводится в интересах руководителей предприятий, служб безопасности и защиты информации, а также лиц, ответственных за ее организацию. Учитывая, что основной задачей аудита является объективная оценка текущего состояния ИБ компании, а также ее адекватность поставленным целям и задачам бизнеса, его результаты позволяют построить оптимальную по эффективности и затратам систему защиты корпоративной информации.

Если рассматривать аудит ИБ как процесс получения объективных качественных и количественных оценок состояния корпоративной информационной системы в соответствии с выбранными критериями, то вопрос стандартизации такого подхода к формированию итогового впечатления о возможностях противодействия потенциальным угрозам бизнесу всегда будет оставаться актуальным.

Ясно, что принятие в России международных стандартов, регулирующих подходы к оценке состояния ИБ хозяйствующих субъектов, только улучшит положение дел в этой области. В данном направлении уже обозначены определенные перспективы.

Так, на завершающей фазе находится публичное обсуждение проектов национальных стандартов по информационной безопасности ГОСТ Р ИСО/МЭК 27001 и ГОСТ Р ИСО/МЭК 17799. Причем предполагается осуществить прямое применение соответствующих международных стандартов, что подчеркивает общность ситуации, складывающейся с обеспечением ИБ во всех странах в условиях углубления процессов глобализации.

В соответствии с этими документами, система управления ИБ изначально должна будет проектироваться таким образом, чтобы обеспечить выбор адекватных мер, которые защищают информационные ресурсы и гарантируют конфиденциальность заинтересованным сторонам.

Использование ГОСТ Р ИСО/МЭК 27001 (аналог ISO/IEC 27001:2005) в качестве основы для построения системы управления ИБ позволит создать систему сертификации по аналогии с западной UKAS (United Kingdom Accreditation Service). Это в перспективе даст компаниям возможность проходить процедуру аудита на соответствие данному стандарту, а в текущей деятельности стремиться к упорядочению внутрикорпоративных контрольных мероприятий. Именно в этом направлении выстраивает свою деятельность Служба безопасности ОАО "Газпром".

- Обеспечение ИБ ОАО "Газпром" является непрофильным видом деятельности для компании. Планируется ли передача вопросов ИБ на аутсорсинг и какие проблемы при этом могут возникнуть?

- Аутсорсинг - одно из наиболее быстро развивающихся направлений российского рынка информационных услуг. Интерес к нему вполне закономерен. Он позволяет сократить затраты на эксплуатацию информационной инфраструктуры, повысить предсказуемость и прозрачность затрат, уменьшить численность персонала. Для качественной оценки перспектив аутсорсинга в сфере обеспечения И Б достаточно обратить внимание на некоторые оценки этого явления с точки зрения организации бизнеса.

В условиях когда менеджмент предприятий стремится к повышению эффективности бизнес-процессов, естественно желание в целях повышения их эффективности сконцентрировать все усилия на основном бизнесе. В качестве обоснования того или иного варианта используются оценки, предлагаемые западными консультантами.

Однако большинство методик дают более или менее обоснованный ответ только в тех случаях, когда он лежит на поверхности. Например, при оценке по показателю "степень внутренней эффективности - критичность для бизнеса" предлагается отдавать на аутсорсинг то, что неэффективно реализуются собственными силами при низкой критичности передаваемых сфер деятельности для бизнеса в целом.

Но такой подход применим только в тех случаях, когда оценка может быть дана однозначно. В сложных случаях ни одна из предлагаемых методик не может дать правильного ответа и вопрос решается индивидуально.

В связи с этим очень часто прибегают к аутсорсингу, с которым связывается выполнение рутинных второстепенных задач (сервисов); таким образом, появляется возможность уделять больше внимания основным направлениям бизнеса.

Компании, прибегающие к такой категории услуг, должны осознавать, что уровень их рисков значительно повышается. Во-первых, возможна остановка сервиса, если вдруг фирма, его предоставляющая, уйдет с рынка. Во-вторых, появляются проблемы с обеспечением конфиденциальности данных, если появляется необходимость передавать их сторонней фирме.

Анализ наиболее часто встречающихся причин перехода на аутсорсинг позволяет с большой долей уверенности утверждать, что аутсорсинг и обеспечение ИБ, по крайней мере, на существующем этапе развития рыночных отношений в России, если не антагонистические понятия, то уж точно несущие в себе дополнительные скрытые риски.

Если это уместно, можно провести аналогию с математическими понятиями. Аутсорсинг как бы дифференцирует риски. Там, где они предсказуемы (кривая - гладкая), аутсорсинг контролируем (допустим), в противном случае можно столкнуться с крахом сервиса с соответствующими последствиями для всего бизнеса.