Информационная безопасность на страже честных торгов

- Антон Андреевич, расскажите, пожалуйста, какие проекты в сфере информационной безопасности реализованы в ЕЭТП.
- За три года существования площадки ОАО "ЕЭТП" удалось сделать многое. В первую очередь были в полной мере соблюдены установленные Правительством Российской Федерации технические требования к защите информации, обеспечена конфиденциальность участников электронных торгов на основе современных российских криптоалгоритмов и сертифицированных ФСБ криптосредств.   Это   является неотложным  требованием к работе организаций, осуществляющих  взаимодействие с органами государственной    власти    в    нашей стране.

Все  существенные действия на  площадке  можно  совершить только  при  наличии  действующего корректного сертификата электронной подписи, изданного одним из авторизованных удостоверяющих центров, входящих  в  пространство доверия  всех пяти аккредитованных государством электронных площадок. Разумеется, помимо вышесказанного, история всех действий, включая реквизиты электронной подписи пользователей, совершающих такие действия, заносится в утвержденный нами перечень электронных журналов,  это касается и действий, совершаемых персоналом площадки.

-  Какие еще решения, помимо криптосредств, вы используете для защиты информации?
- Если рассматривать вопрос с точки зрения общепринятых решений, ОАО "ЕЭТП" использует современные аппаратные средства IPS/IDS и надежное программное обеспечение.  Осуществляется    круглосуточный    мониторинг целостности всех компонентов системы на аппаратном и программном уровне. Разумеется, для обеспечения отказоустойчивости ПО каждый компонент программно-аппаратного комплекса площадки дублирован по принципу N+1. Центр обработки данных, в котором расположен программно-аппаратный комплекс площадки, имеет уровень надежности Tier III+ по международной классификации TIA/EIA-942.

Кроме того, ОАО "Единая электронная торговая площадка" использует наиболее современные политики ИБ, реализованные за весьма ограниченный временной промежуток: учет паролей, разграничение полномочий администрирования системы, реагирования на инциденты, внесение изменений в работу программно-аппаратного комплекса.

– Каким образом у вас решена проблема несанкционированного доступа?
– Вся деятельность компании ОАО "Единая электронная торговая площадка" организована на базе интернет-технологий, включая работу call-центра, технической поддержки и даже (частично) инженерных подразделений. Все без исключения имеют равный доступ к ресурсам площадки, независимо от территориального расположения, – разумеется, в соответствии с объемом полномочий, установленным администраторами системы. Защиту от несанкционированного доступа гарантирует электронная подпись – именной носитель. По сути, абсолютно не важно, где он был приобретен – в Хабаровске или Чебоксарах. Контроль и доступ к информации осуществляются на программном уровне, а ядро программного обеспечения площадки построено таким образом, что с появлением электронной подписи пользователь автоматически получает определенные права.

Что касается технических специалистов площадки, из удаленного офиса доступ к закрытым ресурсам площадки на базе VPN-технологий имеют определенные лица. Каждый уполномоченный сотрудник предупрежден об ответственности и подписывает ряд соглашений, которые четко регламентируют его работу.

– Скрываете ли вы информацию об участниках торгов?
– Ключевой аспект работы электронной площадки – защита от ценового сговора поставщиков и проведение честных (конкурентных) торгов – обеспечивает фактор сокрытия информации об участниках торгов. Поставщик, участвующий в аукционе, вплоть до момента окончания торгов не знает, с кем соревнуется в снижении начальной максимальной цены контракта, установленной организатором аукциона. Более того, состав участников аукционов недоступен самим организаторам аукционов, что обеспечивает невозможность сговора заказчика с поставщиком.

Еще один немаловажный аспект – вся корреспонденция, направляемая пользователям автоматизированными средствами площадки, содержит сложный механизм установления авторства отправителя, основанный на криптографических преобразованиях. В результате, если уведомление, скажем, о переносе даты торгов было отправлено не площадкой, а злоумышленником, факт подлога легко можно установить при помощи функционала, предоставляемого площадкой. Конфиденциальность удается сохранить полностью.

– Под безопасностью предприятия подразумевается защищенность не только от злоумышленников извне, но и изнутри. Как вы решаете эту проблему?
– С целью пресечения попыток несанкционированного доступа к информации все сотрудники ОАО "ЕЭТП", имеющие прямой доступ к негласной информации, проходят тестирование на полиграфе. При такой проверке, помимо общих вопросов, задаются прямые вопросы по связям с преступностью или лицами, желающими получить информацию по персональным данным пользователей системы.

Помещение, из которого осуществляется администрирование системы, находится под круглосуточным аудио- и видеонаблюдением. Оно также является изолированным, допуск внутрь имеет только ограниченное число сотрудников. С технической точки зрения площадка оснащена современным комплексом мер защиты. При этом каждый компонент или сервер дублируется по системе N+1, что дает дополнительные гарантии бесперебойной работы электронной площадки. И конечно, особое внимание уделяется планомерному развитию регламентной документации, совершенствованию защиты системы и накоплению опыта.

– Антон Андреевич, совершались ли на ЕЭТП атаки извне? Если да, то какой урон они принесли вашей организации?
– В июле 2011 г. на электронных торговых площадках произошел ряд инцидентов, связанных с DDoS-атаками. Они велись с зарубежных серверов и поэтому не подпадали под действие российского законодательства и ограничивали возможность реакции правоохранительных органов. Тогда совместно с ФАС рассматривалась возможность запрета доступа к площадкам с иностранных IP-адресов. Такая мера частично снимает проблему нелегитимного трафика, однако одновременно создает сложности для участия в аукционах добросовестных иностранных поставщиков. В то же время постоянная доступность и работоспособность интернет-сервисов, в том числе для зарубежных участников, являются критически важными факторами нашей деятельности. В связи с этим был разработан уникальный профиль мониторинга и защиты, который обеспечивает непрерывную доступность площадки для всех участников электронных торгов.

При этом хотелось бы заметить, что DDoS-атаки не нанесли никакого существенного вреда процессу размещения государственного заказа на электронной площадке. По согласованию с ФАС подвергшиеся атаке аукционы были успешно проведены в другой день. По фактам DDoS-атак ОАО "ЕЭТП" сделало ряд обращений в правоохранительные органы и получило положительные результаты по итогам проведенных работ.

Также была произведена модернизация инфраструктуры и ее расширение во всех направлениях. В частности, был разработан план мероприятий, который позволил площадке функционировать в режиме утроенной нагрузки, которая традиционно возрастает в IV квартале каждого года в связи с закрытием государственного бюджета. Таким образом, 2 декабря был установлен рекорд одновременно проводимых торговых процедур: в режиме реального времени успешно состоялось более 7,5 млн электронных аукционов на сумму 16,3 млрд рублей. В конкурентных торгах приняли участие свыше 20 тыс. компаний и индивидуальных предпринимателей из 30 городов России.

К настоящему моменту ОАО "ЕЭТП" прошло три аудита информационной безопасности, итоги которых показали соответствие площадки требованиям для проведения электронных торгов по госзаказу. При этом на основе данных аудита для ОАО "ЕЭТП" разрабатываются рекомендации и план мероприятий по дальнейшему совершенствованию технологий защиты информации.