Структура автоматизированной информационной системы налогового администрирования перестраивается из децентрализованной в строго централизованную: информация будет консолидироваться в федеральных ЦОДах. Предполагается поэтапное внедрение АИС «Налог» нового поколения с использованием технологий виртуализации и VDI. Служба информационной безопасности ФНС эффективно решала и решает стоящие пред ней задачи. Для обеспечения одновременного функционирования системы налогового администрирования предыдущего поколения и проектирования и внедрения новой, на работу в ФНС были приглашены специалисты, отлично понимающие современную ИБ-специфику. Это позволило сократить сроки, как принятия решений, так и их реализации. Прежде всего, речь идёт об А. П. Баранове (Заместитель Генерального директора ФГУП ГНИВЦ ФНС России) и О. П. Ковалёве (Начальник Центра безопасности информации).

Постановка задачи

Компания «ЭЛВИС-ПЛЮС» была выбрана одним из главных подрядчиков по обеспечению защиты информации. Это произошло благодаря тому, что у нас есть не только необходимая для выполнения этих задач экспертиза и проектная команда, но и солидный опыт работы с государственными структурами.

Самая главная проблема, с которой мы столкнулись при обеспечении ИБ ФНС — огромный размер корпоративной информационной системы. Судите сами: у ФНС около 2500 объектов по всей России, более 120 000 сотрудников, а в перспективе предполагается развёртывание более 140 000 рабочих мест. Создать матрицу доступа и управлять доступом к информации для такого большого количества пользователей в реальном времени — задача, требующая значительных ИТ-ресурсов.

Архитектура АИС «Налог»

Источник: ФГУП ГНИВЦ ФНС России, 2013

Вторая проблема — особенности работы сотрудников службы. Доступность информации для них является критичной, поэтому риск сбоя в системе управления доступом был признан неприемлемым. Кроме этого, согласно разработанной для ФНС модели угроз основной нарушитель уже находится внутри системы. Это сами сотрудники, которые взаимодействуют с информационной системой по долгу службы. И многие из них обладают достаточно большими правами и привилегиями просто потому, что они нужны для осуществления их ежедневной деятельности. К сожалению, под действием различных внешних факторов некоторые сотрудники идут на служебные нарушения, а иногда и на уголовно-наказуемые преступления.

Эти две проблемы привели к тому, что для ФНС была выбран не классический, не типичный для госструктур, подход к обеспечению ИБ — апостериорная защита информации. Его можно охарактеризовать очень просто: «Мы даём тебе права и привилегии, чтобы ты мог комфортно работать. Но если ты решишь нарушить закон, то с вероятностью 99% мы узнаем, что это сделал именно ты». Действует принцип персональной ответственности за свои действия. Как показала практика, выбранный подход к защите оказался работоспособным и гибким. Это особенно чётко проявилось во время вступления в действие постановления правительства №1119 и приказов ФСТЭК №17 и №21: в политику обеспечения ИБ ФНС и проектные материалы пришлось вносить лишь незначительные изменения для обеспечения соответствия новым требованиям. В этом заслуга в том числе экспертов нашей компании, которые участвовали в разработке этих документов. Они входят в рабочие группы ФСТЭК, ФСБ, различные технические комитеты и были готовы к изменениям нормативной базы.

Общие требования к разрабатываемой СОБИ

Источник: «ЭЛВИС-ПЛЮС», 2013

Решение

Зная озвученный выше подход, нетрудно понять, какие именно решения были использованы нами для защиты информации в ФНС. В первую очередь это DLP и SIEM системы. В качестве средства от утечек конфиденциальной информации используются решения InfoWatch. В качестве системы мониторинга, анализа и корреляции событий ИБ — HP ArcSight. В целом решения семейства HP Security широко применяются в системе обеспечения безопасности информации ФНС. Эти две системы помогают гарантированно собирать доказательную базу по инцидентам ИБ и при необходимости передавать её в правоохранительные органы после всестороннего анализа.

Несколько слов хотелось бы сказать и о прикладном программном обеспечении. ЧТЗ на разработку подсистем АИС «Налог» подразумевало возможность передачи событий в SIEM. Поэтому сейчас у специалистов по ИБ ФНС есть возможность отслеживать аномальную активность сотрудников (как пример — доступ к большим объёмам данных в нерабочее время или попытки одновременного входа в систему с нескольких адресов) и принимать меры по предотвращению утечек конфиденциальной информации в реальном времени. То есть частично была реализована и априорная защита.

Структура работ по обеспечению ИБ АИС «Налог»

Источник: «ЭЛВИС-ПЛЮС», 2013

Ограниченность бюджетных средств на обеспечение ИБ — одна из причин, по которой в проектах использовались преимущественно отечественные решения. Для защиты от вредоносного кода — продукты «Лаборатории Касперского», для управления правами доступа и архитектурой открытых ключей — AVANPOST. Пилотные внедрения показали, что при правильной установке и эксплуатации они ничем не хуже более дорогих зарубежных аналогов. Для виртуализации рабочих мест (а в перспективе все 120 000 сотрудников ФНС будут переведены на VDI) используется продукт, также имеющий российские «корни» — Parallels. Пилотное внедрение показало, что именно решения на базе продуктов Parallels имеют наибольшую плотность упаковки виртуальных машин, что позволит сэкономить десятки серверных стоек в ЦОДах. А это значительная экономия не только на самом оборудовании и программном обеспечении, но и на эксплуатации.

Помимо защиты большого объёма данных мы столкнулись ещё с одним непростым вызовом — защитой мобильных рабочих мест ФНС. И здесь проблема делится на две составляющих: защита собственных мобильных рабочих мест (ноутбуков) и защита рабочих мест, предоставляемых сотрудникам ФНС во время проведения выездных проверок.

Защита по первому варианту достаточно подробно описана, и практика показывает, что она хорошо работает: на ноутбук ставится средство защиты от вредоносного кода и предотвращения вторжений, VPN-агент, а сетевое взаимодействие с АИС «Налог» происходит по VPN-каналу. В этом случае мы можем использовать как отечественные (которым в условиях недостатка финансирования ИБ отдаётся предпочтение), так и зарубежные продукты (поскольку многие вендоры уже имеют необходимые сертификаты на свою продукцию). По большому счёту достаточно сложно придумать что-то новое в этой области.

Второй сценарий гораздо интереснее. Предположим, что осуществляется выездная налоговая проверка. В организацию приезжают сотрудники ФНС, и им предоставляется рабочее место. Как в таком случае получить доступ в АИС и быть уверенным, что данные не будут перехвачены или скомпрометированы? Компания «ЭЛВИС-ПЛЮС» предложила следующее решение. Сотруднику, участвующему в выездной проверке, выдаётся токен, в котором хранится не только ключевая информация, но и образ операционной системы (в нашем случае сертифицированный AltLinux) с пакетом предустановленного и настроенного ПО, в том числе VPN-агент (VPN/FW «Застава»). Остаётся только произвести загрузку ОС с токена, после этого будет установлено защищённое VPN-соединение с использованием ключевой информации, хранящейся на токене.

Перспективы

Хотелось бы сказать несколько слов о том, что в ближайших планах. Прежде всего, это обеспечение информационной безопасности строящихся федеральных ЦОДов, в которых будет обрабатываться информация всех «финансовых» ведомств России. Задачу построения этих центров обработки данных Минфин поручил именно ФНС учитывая достижения службы в вопросах автоматизации. Вторая масштабная задача из обозримого будущего — построение Центра управления безопасностью информации ФНС. Для государственных учреждений это беспрецедентный по масштабам и сложности проект. В 2014 году будут начаты работы по проектированию Центра. Особенность столь крупных проектов — это поэтапное введение в эксплуатацию различных систем. Связано это, к сожалению, с остаточным принципом финансирования ИБ относительно ИТ-задач, из-за чего проекты могут затягиваться на несколько лет. Однако, с другой стороны, это гарантирует, что будут внедрены только проверенные на пилотных внедрениях решения.

В любой деятельности существует оптимальный способ достижения цели, и этот способ, оказавшийся эффективным в одном месте, может оказаться столь же эффективным и в другом. Речь идёт о следовании передовому опыту, что во всём мире называется best practices. Те решения, которые уже доказали свою эффективность в ФНС, мы готовы транслировать и на информационные системы других госорганов.

Наша совместная работа с Федеральной налоговой службой продолжается. Определены задачи и пути их решения. Мы уверены, что результатом наших усилий станет не только комфортная и безопасная работа сотрудников ФНС, но и уверенность каждого налогоплательщика в том, что его финансовая информация защищена должным образом.