Александр Лазаричев, РСА: «Мы уверены, что все данные в АИС ОСАГО находятся под надежной защитой»

Александр Лазаричев: Для создания надежной системы защиты к ней предъявлялись требования Федерального закона № 152-ФЗ «О персональных данных» и подзаконных актов, а также нормативные требования Банка России. При этом мы не стали ограничиваться обязательными требованиями и дополнили функционал, которого нам не хватало в старой системе, например, в части контроля действий привилегированных пользователей. Опытная эксплуатация показала высокую эффективность внедренных решений.

Александр Лазаричев: Традиционно мы стараемся не раскрывать наименования реализованных систем безопасности, информация о которых может быть использована потенциальными злоумышленниками для поиска уязвимостей и взлома систем. Естественно, использовались традиционные направления и решения безопасности: средства защиты от несанкционированного доступа, системы разграничения доступа, учета и регистрации событий, защита от вредоносного кода (антивирус), обнаружение и предотвращение вторжений, контроль и анализ защищенности, защита среды виртуализации там, где она используется, системы защиты каналов связи и передачи данных.

Александр Лазаричев: Система не создавалась с нуля, был использован огромный практический опыт эксплуатации старой системы как в части инфраструктуры, так и в части защиты информации. Все исторические данные, накопленные за весь период эксплуатации, необходимо было перенести в новую систему, отладить и оптимизировать работу. Кроме того, некоторые компоненты информационной безопасности целиком покрывают инфраструктуру РСА, например, антивирусная защита, сканер анализа защищенности и другие. При проектировании новой системы защиты, естественно, мы учитывали существующие решения и рассматривали их дальнейшее использование, в том числе с точки зрения производительности: а хватит ли мощности, чтобы проанализировать объем возникающих событий. В новой АИС количество событий и транзакций значительно возросло, поэтому оборудование, которое применялось для старой системы, не позволяло нам обеспечить должный уровень доступности к ним. Значит, нужна была модернизация. В настоящее время система безопасности ежедневно обрабатывает порядка 1,5 млрд событий, в результате обработки из которых еще примерно 50 подлежат доскональному анализу.

Александр Лазаричев: Мы постоянно проводим анализ рисков, анализируем новые угрозы, проводим аудиты. Понимаем, что возникающие угрозы могут быть нейтрализованы как существующими средствами защиты, так и появляющимися новыми инструментами и технологиями. Полезной стала реализация системы контроля привилегированных пользователей. Это, с одной стороны, добавило неудобств в работе администраторов, может, создало дополнительные точки отказа системы, но, с другой стороны, добавило ответственности в их действиях, ведь любые попытки обойти контроль пресекаются и фиксируются.

Александр Лазаричев: Были многочисленные дебаты в период проектирования. Не все решения, которые изначально рассматривались, вошли в итоговый проект. Были обсуждения, уточнения, расчеты, рассматривались альтернативные варианты, но в конце концов мы выбрали именно тот вариант, который нам оптимально подошел с точки зрения общей производительности, обеспечения безопасности, требований нормативных актов и сертификации, где это требуется.

Александр Лазаричев: Не стояло цели выбрать решение одного производителя. Мы просто выбирали те решения, которые нам реально необходимы и удобны, не определяя, выбирать решение одного производителя или разных. Главное было соблюсти баланс стоимости и производительности.

Сама интеграция происходила поэтапно. Сначала разворачивалась ИТ-инфраструктура и накладывались средства защиты, создавались тестовые среды с синтетическими данными. Затем к тестовым средам подключались страховые компании, чтобы они могли все проверить, удостовериться в производительности и доступности. Дальше мы развивали систему. Выстраивали таким образом, чтобы обеспечить резервирование доступа в случае отключения того или иного канала связи. Проводились тесты, страховые компании в этом активно участвовали. Период становления прошел безболезненно. Мы получали обратную связь от страховых компаний с результатами тестов доступности и производительности. Постепенно производилась тонкая настройка внедренных средств защиты, подготовка к работе в промышленной среде.

Александр Лазаричев: Здесь мы использовали новое для нас решение. Решения, которые использовались ранее, не имели централизованной обработки, были обособленными. События приходилось обрабатывать отдельно в каждой системе, будь то антивирус или, например, защита от несанкционированного доступа. А сейчас это все происходит централизованно и обрабатывается в единой системе сбора и корреляции событий информационной безопасности (SIEM), анализируется на предмет возможных инцидентов, выдается заключение. Для полноценной защиты необходимо, чтобы анализ событий происходил 24/7, потому что система эксплуатируется в круглосуточном режиме. Обеспечить необходимый уровень анализа событий своими силами мы не смогли бы. Это более затратно с точки зрения привлечения квалифицированных специалистов и обеспечения круглосуточного анализа. Поэтому часть функций по мониторингу мы передали Центру мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Александр Лазаричев: Jet CSIRT помогает разбирать сложные события, участвует в расследовании инцидентов. Консультации специалистов были полезными как на начальной стадии работы с новой АИС, так и сегодня, когда у нас возникают различные вопросы по эксплуатации или по обеспечению безопасности в ней.

Александр Лазаричев: Мы мониторим информационное пространство, отслеживаем, какие происходят утечки. Например, кто-то в прессе говорит, что утечка могла произойти из базы данных РСА. Мы эти события анализируем, рассматриваем. Пока у нас не было повода сказать, что из АИС ОСАГО утекли данные. Но, к сожалению, периодически возникают случаи, когда люди жалуются на то, что к ним обращаются некие страховые агенты, которые утверждают, что получили их персональные данные и номера телефонов из «открытой» базы РСА и предлагают купить полис ОСАГО. Но такого в принципе не может произойти, поскольку АИС ОСАГО не является открытой и в ней отсутствуют контактные сведения, которые позволяли бы звонить людям и предлагать им условия для покупки страхового полиса. У нас не хранятся контактные данные пользователей, и мы уверены, что все данные в АИС ОСАГО находятся под надежной защитой.

Александр Лазаричев: Сейчас новая система находится на начальном этапе развития, возможны ложные срабатывания – проводим тонкую настройку, обучаем наших специалистов. Планируем дальнейшее улучшение и совершенствование системы защиты информации.