Продолжаем серию статей на тему отраслевой специфики и ответственности в области информационной безопасности. В предыдущих материалах рассмотрели отрасли здравоохранения, промышленности, финансов, а также связи. Эта часть посвящена государственным организациям.

Специфика ИБ в госорганизациях

Специфика ИБ в госсекторе обусловлена цифровизацией и огромным количеством обрабатываемых конфиденциальных данных. Практически все отрасли госуправления используют цифровые системы, а госорганы регулярно работают с персданными граждан и информацией бизнеса, которая составляет коммерческую тайну.

Защита конфиденциальной информации в государственных информационных системах (ГИС) сейчас строится в соответствии с приказом ФСТЭК № 17. Его требования, в целом, аналогичны предписаниям 21-го Приказа, касающегося защиты персданных в других системах. Некоторые ГИС, например, ГИС в сфере здравоохранения или ГИС Росреестра, относятся к критической информационной инфраструктуре. Им обязательно выполнять требования 239-го приказа ФСТЭК. А согласно Указу Президента РФ № 166 от 30.03.2022, на таких объектах запрещено использовать иностранное ПО.

Федеральным органам исполнительной власти и высшим исполнительным органам власти субъектов РФ обязательно выполнять Указ Президента № 250 от 01.05.2022. Им необходимо создать ИБ-подразделение, использовать отечественные СЗИ и взаимодействовать с ФСТЭК и ФСБ.

Кроме того, для госсектора характерна особая категория конфиденциальных данных — служебная информация ограниченного распространения (информация для служебного пользования, ДСП). Это несекретная информация, касающаяся деятельности органов власти, разглашение которой не допускается в силу служебной необходимости или защиты интересов государства. Госорганизации самостоятельно устанавливают внутренние правила работы с информацией ДСП и ее защиты. Для федеральных органов власти эти правила приведены к единому стандарту постановлением Правительства РФ № 1233 от 03.11.1994.

Отдельные государственные органы, например, ФНС РФ, суды, правоохранительные органы работают со специфическими для них категориями защищаемых сведений — налоговой тайной (ст. 102 НК РФ), тайной, тайной следствия и судопроизводства (ст. 161 УПК РФ).

Теперь рассмотрим ИБ-правонарушения, свойственные сфере госуправления.

Типовые правонарушения ИБ в госорганизациях

Наиболее распространенная схема нарушения — «пробив» граждан по запросу бизнеса и частных лиц. Такие нарушения часто встречаются в структурах МВД и ФНС. Самые частые нарушители — специалисты и руководители низшего/среднего звена подразделений, не отвечающих за ИТ и ИБ. Это инспекторы, специалисты, руководители подразделений органов власти регионального уровня. В силовых структурах аналогично — сотрудники, занимающие младшие и средние офицерские должности. Оперуполномоченные, следователи, дежурные, начальники отделов.

Нарушения, связанные с утечками в госсекторе, квалифицируются по статьям 183 («Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну») и 272 УК РФ («Неправомерный доступ к компьютерной информации»). Первая чаще встречается в органах власти, которые работают с данными бизнеса.

Во многих случаях нарушения связаны с получением взятки. Из-за этого один из наиболее распространенных составов преступлений — ст. 290 УК РФ, по которому назначаются самые строгие наказания. Реальное лишение свободы, крупные штрафы, запрет на работу в органах власти. Также встречаются составы по ст. 285 и 286 УК РФ — злоупотребление должностными полномочиями или их превышение.

Рассмотрим кейсы и составы преступлений.

«Пробив». Это неправомерное получение конфиденциальной информации о гражданах или организациях от сотрудников органов власти или компаний с такими сведениями. «Пробив» в госорганизациях распространен из-за большого количества актуальной информации о гражданах и бизнесе. Спрос на такие данные велик. К ним хотят получить доступ как злоумышленники на теневых площадках, так и компании, которые желающие иметь преимущество в бизнесе. Например, ритуальным агентствам интересны сведения о недавно умерших людях, которые можно «достать» у сотрудников МВД. А компаниям в сфере недвижимости нужны данные о владельцах земельных участков, которые есть у специалистов органов Росреестра.

Приведу в пример несколько кейсов:

  1. Сотрудник таможни согласился передавать данные о таможенных операциях компаний своему знакомому за вознаграждение. Нарушитель более 25 раз выгрузил информацию из служебной ИС и передал ее на съемных носителях или по электронной почте. Кроме того, сотрудник таможни вовлек в это своих подчиненных. За разглашение налоговой тайны и получение взяток виновного приговорили к штрафу в 1 млн. рублей и лишили права работать на государственной или муниципальной службе на 2 года.
  2. Четверо сотрудников ФНС продавали данные о регистрации юридических лиц из АИС «Налог-3» до их официального опубликования. Нарушители выгружали данные в формате XLSX или фотографировали их с экрана монитора, а заказчику пересылали в мессенджере. Он впоследствии передавал эту информацию банковским менеджерам по продажам. Инспектора, который придумал «схему» и организовал преступную группу, приговорили к лишению свободы на 4 года и штрафу в 1,34 млн. рублей за получение взятки в особо крупном размере. Его коллег тоже оштрафовали — от 1 до 1,5 млн. рублей. Все были лишены права занимать должности государственной или муниципальной службы на 3 года.
  3. Сотрудник отдела МВД передавал в мессенджере персональные данные граждан из ведомственной ИС за взятки от нескольких лиц. Удалось доказать продажу информации более чем о 30 людях. За получение взятки в крупном размере и злоупотребление должностными полномочиями виновного приговорили к 8 годам лишения свободы, лишили капитанского звания и права служить в органах внутренних дел. Вышестоящий суд отклонил жалобу на приговор.

Чтобы защитить информацию от «пробива», нужно:

  1. Выявить зоны риска. Смоделировать ситуацию «пробива» и определить, кто и как может неправомерно получить доступ к данным и передать их. Ужесточить регламенты доступа — донастроить средства защиты в соответствии с полученной информацией.
  2. Отслеживать все действия с важными файлами и выгрузку конфиденциальных данных из систем, в которых они обрабатываются.
  3. Использовать средства защиты информации, чтобы контролировать неправомерные действия сотрудников и их коммуникации с третьими лицами на рабочем месте. Опционально: ввести гласное использование СЗИ на всех АРМ сотрудников.
  4. Настроить политики доступа к данным вне информационной системы, в которой должна происходить обработка конфиденциальной информации.
  5. Вести видеозапись экранов пользователей при обращении к конфиденциальной информации или критичных операциях.
  6. Определить группы риска: потенциальных инсайдеров и нелояльных сотрудников. Обеспечить тщательный контроль за их рабочей активностью.
  7. Автоматически помечать выгруженные из ведомственных ИС файлы специальными метаданными, которые интегрированы со средствами защиты информации. Это усилит контроль.
  8. Детектировать попытки слива информации через фотографирование экрана на телефон. Для этого используют возможности средств защиты: водяные знаки на мониторе и обнаружение поднесенной к экрану камеры при помощи встроенных в защитную систему инструментов ИИ. Водяные знаки покажут, кто из сотрудников и когда сфотографировал или сделал скриншот экрана. Интегрированный ИИ-функционал распознает смартфон через веб-камеру на ПК сотрудника. И оповестит ИБ-специалиста. Это ускорит реагирование на инцидент и предоставит больше данных для его расследования.
  9. Проводить регулярные ИБ-инструктажи на тему безопасной работы с информацией и разбором примеров инцидентов.

Заключение. Перспективы регулирования

По данным Росстата в России на 1 января 2025 года проживает 146 млн. человек. У всех них есть персданные и потребность взаимодействовать с государством. Ранее для этого требовалось физическое присутствие, но благодаря цифровизации процесс практически полностью перешел в электронный формат. Обратная сторона этого — усугубление рисков утечек данных и неправомерного доступа к ИТ-системам.

Причем внутренние ИБ-угрозы для госсектора особенно актуальны, об этом говорит приказ ФСТЭК № 117. Он уже принят и вступит в силу в 2026 году. Приказ коснется защиты информации в ГИС, в любых информационных системах органов власти, учреждений федерального, регионального и местного уровней, унитарных предприятий. Этот акт серьезно меняет подход к ИБ в госсекторе.

Новый приказ устанавливает цели защиты информации — предотвращение утечек и сбоев функционирования информсистем. Поэтому выделение материальных, технических и иных ресурсов, необходимых для обеспечения ИБ, становится одной из обязательных ИБ-задач.

В тексте нового акта организациям даны прикладные указания, что необходимо сделать для выполнения большей части этих мер. Например, для защиты конечных устройств — автоматизированных рабочих мест — необходимо взять под контроль процессы на них и выявлять происходящие ИБ-события. Для этого нужны DLP- и SIEM-системы.

Регулятор еще не выпустил методические указания по выполнению новых требований, однако сам текст приказа уже дает понять, что комплексная техническая защита информации и ИС станет приоритетом ИБ в госсекторе в обозримом будущем.

Алексей Парфентьев, заместитель генерального директора по инновационной деятельности “СёрчИнформ”