Под руководством премьер-министра Абдулмуслима Абдулмуслимова в четверг, 9 июня, состоялось заседание Правительственной комиссии Республики Дагестан по защите информации.
В нем приняли участие вице-премьер Ризван Газимагомедов, министр цифрового развития РД Юрий Гамзатов, заместитель начальника Управления Федеральной службы по техническому и экспортному контролю России по Южному и Северо-Кавказскому федеральным округам Константин Данилэ, заместитель начальника отдела Управления ФСТЭК России по Южному и Северо-Кавказскому федеральным округам Александр Жиляков и представители органов исполнительной власти.
На повестке стояли вопросы по обеспечению безопасной работы IT-отраслей и IT-технологий.
Открывая заседание, Председатель Правительства напомнил, что в условиях ведения недружественной внешней политики со стороны западных стран, многократно участились случаи компьютерных атак на информационную инфраструктуру Российской Федерации.
«Появились даже такие термины, как «телефонный терроризм» или «телефонный фашизм». Иностранные хакерские группировки используют любые методы для нанесения вреда компьютерными атаками на официальные сайты, а также на информационные системы, чтобы вывести их из строя и получить доступ к конфиденциальной информации», — отметил Абдулмуслим Абдулмуслимов.
Как рассказал Председатель Правительства РД, Указом Президента РФ от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» возлагается персональная ответственность за вопросы кибербезопасности на руководителей высших государственных органов исполнительной власти субъектов.
«Нам необходимо определить те конкретные структуры, органы, организации – субъекты критической информационной инфраструктуры у нас в республике, где нужно обеспечить требуемый уровень информационной безопасности», — указал Абдулмуслимов.
Далее выступил министр цифрового развития РД Юрий Гамзатов, который рассказал о проводимых организационно-технических мерах по обеспечению безопасности на объектах критической информационной инфраструктуры Республики Дагестан.
Как отметил Юрий Гамзатов, работа Правительственной комиссии направлена на повышение устойчивости функционирования информационной инфраструктуры. Большая часть компьютерных атак хакерских группировок была отражена, но вместе с тем выявились уязвимые места региональной инфраструктуры.
«Первая вирусная активность была направлена на открытые публичные ресурсы с целью дискредитировать государственную власть. Отмечу, что ресурсы, размещенные в Республиканском центре обработки данных функционируют в штатном режиме, и простои в работе информационных систем были минимальны. Однако сайты большинства органов власти и средств массовой информации размещены на серверах хостинговых компаний, что формирует их главную уязвимость», — рассказал Гамзатов.
Продолжая тему, глава Минцифры РД рассказал, что услуги по защите от наиболее распространенных DDOS-атак, направленных на отказ в обслуживании, являются дополнительной платной опцией коммерческих центров хостинга, которой не пользовались организации.
«В этой связи нами был инициирован перенос сайтов органов власти и государственных СМИ на мощности Республиканского центра обработки данных. В связи с тем, что платформа типовых сайтов органов власти была разработана в 2014 году и имеет множество уязвимостей, Министерством цифрового развития РД ведется разработка новой современной платформы типовых сайтов органов власти, по итогу опытной эксплуатации в Минцифре РД органам власти будет предоставлена возможность тиражирования», — сообщил Гамзатов.
По его словам, ведомство регулярно проводит работу с органами государственной власти по отработке рекомендаций Федеральной службой по техническому и экспортному контролю по устранению уязвимостей в программном обеспечении и оборудовании, а также внедрению технических и организационных мер по защите информации.
Также он рассказал, что Минцифры РД разработало проект госпрограммы Республики Дагестан «Комплексная программа информационной безопасности Республики Дагестан на 2023 — 2027 годы». В госпрограмму включены мероприятия по аттестации информационной инфраструктуры Республики Дагестан, а именно Центров обработки данных Минтруда РД и Минобрнауки РД, государственных информационных систем, а также пользовательского сегмента органов исполнительной власти РД, включающий в себя аттестацию автоматизированных рабочих мест пользователей.
«Особенно хочется отметить, что в госпрограмме предусмотрены мероприятия по импортозамещению программного обеспечения в органах власти РД. Данная госпрограмма охватывает все мероприятия по информационной безопасности, которые необходимо проводить в условиях санкционного давления для предотвращения нежелательных последствий компьютерных атак на информационную инфраструктуру республики» , — заключил он.
Отдельно с докладами о состоянии информационной безопасности и работе Центров обработки данных в органах исполнительной власти также выступили и заместители министров, курирующие направление.
По словам заместителя министра здравоохранения РД Магомедали Саламова, ЦОД Минздрава РД использует в работе государственную информационную систему (ГИС) в сфере здравоохранения. Платформой пользуется персонал государственных медицинских организаций — более 12 тысяч человек. Для обеспечения безопасности в 2021 году ведомство провело аттестацию полного комплекса ГИС с включением пользовательского периметра и оснащением ЦОД сертифицированными средствами защиты информации.
Как рассказал заместитель министра энергетики и тарифов РД Магомед Алибеков, ведомством создана комиссия по категорированию объектов критической информационной инфраструктуры, в ходе заседания которой определено, что указанных объектов, относящихся к ведению Министерства и подведомственных учреждений, не выявлено. Среди хозяйствующих субъектов топливно-энергетического комплекса республики в реестр предприятий, имеющих критическую информационную инфраструктуру, входят три предприятия ТЭК. Это филиал ПАО «ФСК ЕЭС» -«Северо-Кавказское предприятие магистральных электрических сетей», ПАО «РусГидро» — «Дагестанский филиал» и ООО «Газпром трансгаз Махачкала».
В каждом предприятии определены работники, ответственные за обеспечение безопасности, функционирования, а также эксплуатацию объектов критической информационной инфраструктуры.
Кроме того, субъектами ТЭК выполнены работы по созданию Комплексного проекта по защите от киберугроз сегментов Автоматизированной системы управления технологическими процессами с установкой подсистем межсетевого экранирования и обнаружения вторжений, централизованного мониторинга и анализа событий информационной безопасности, анализа защищенности и антивирусной защиты.
В свою очередь, Минстрой РД, для повышения уровня защищенности информационных ресурсов в соответствии с рекомендациями ФСТЭК установило антивирусное программное обеспечение для серверного оборудования Kaspersky Security for windows server и подключалось к защищенному каналу RS-net. По словам первого заместителя министра строительства и ЖКХ РД Александра Нестерова, с целью обеспечения градостроительной деятельности Республики Дагестан ведомством создана государственная информационная система ОГД РД.
«В ГИС ОГД РД как в комплексном, многофункциональном инструменте, может присутствовать информация о газовых и электрических сетях, линий водоснабжения, детских садах, школах, медицинских учреждениях, налогооблагаемой базы, демографические данные по территориям и иная информация, необходимая большинству отраслей. Для введения системы в промышленную эксплуатацию в 3 квартале 2022 года совместно с Минцифрой РД запланировано мероприятие по аттестации платформы», — уточнил Нестеров.
В завершение Абдулмуслим Абдулмуслимов рекомендовал органам исполнительной власти определить в ведомствах ответственных лиц за проведение работ по выявлению и категорированию объектов критической информационной инфраструктуры (КИИ), а также обеспечить координацию проведения предприятиями республики в сферах связи, энергетики и топливно-энергетического комплекса, транспорта, промышленности, здравоохранения и банковской сферы инструктажей для сотрудников организаций, являющихся субъектами КИИ, о недопустимости установки на автоматизированные рабочие места стороннего программного обеспечения, использование которого не относится к служебным обязанностям сотрудников.