Концепция информационной безопасности федеральной налоговой службы

Опубликовано: 10.05.2024

Мониторинг Федеральная налоговая служба применяет с 2016 года. Он подразумевает взаимодействие фискальных органов и бизнеса в дистанционном формате. Компании добровольно предоставляют налоговикам онлайн-доступ к своим информационным системам, данным бухгалтерской и налоговой отчетности. Взамен же могут рассчитывать на снижение числа проверок. Фискальные органы не запрашивают документы, поскольку могут отслеживать все процессы в режиме реального времени. Проверке подвергаются только операции, которые содержат элементы риска. Трудозатраты компаний на сопровождение налогового контроля в таком формате снижаются более чем на треть.

Благодаря особому инструменту налогового мониторинга - мотивированному мнению - компании могут запрашивать позицию налогового органа о правильности налогообложения конкретной сделки или операции. Это дает определенность в части бизнес-планирования. Своевременное устранение рисков, на которые укажут инспекторы, избавляет от возможных санкций.

Сейчас подключаться к налоговому мониторингу могут лишь крупные компании с годовым оборотом не менее 3 млрд рублей и активами на 3 млрд рублей. Сумма уплаченных ими налогов за предыдущий год должна составлять не менее 300 млн рублей.

Подписанная председателем правительства концепция предполагает снижение планки по совокупной сумме уплаченных за год налогов до 100 млн рублей. В нее также разрешат включать уплаченные страховые вносы. Минимальные требования к суммарному объему годовых доходов налогоплательщика и к совокупной стоимости активов также предлагается снизить втрое - до 1 млрд рублей. При этом компании для подключения к налоговому мониторингу не обязательно будет соответствовать всем трем критериям. Достаточно подходить по одному из них.

Концепция подразумевает составление и ведение налоговой службой карты отраслевых рисков участников налогового мониторинга, формирование риск-профилей компаний, автоматическое выявление рисков и оповещение о них налогоплательщиков.

Реализация заявленных планов позволит заметно расширить число потенциальных участников налогового мониторинга - до 3879 компаний к 2022 году и до 7827 - к 2024 году, уточняется в документе. Результатом развития этого инструмента станет снижение административной нагрузки на бизнес и влияния человеческого фактора при проведении налогового контроля, сокращение числа споров ФНС с налогоплательщиками, уменьшение потока бумажных документов, которые предоставляются в фискальное ведомство, и переход на электронный документооборот. Кроме того, ФНС сможет оперативнее выявлять и предупреждать нарушения, допускаемые налогоплательщиками.

Налоговый мониторинг сегодня уже используют "Аэрофлот", РЖД, "Ростех", "Газпром", ВТБ, "Мегафон", МТС, ООО "Гугл" (российская "дочка" Google) - всего 44 компании. Они обеспечивают 12,25% налоговых поступлений в бюджет. В 2020 году на этот формат должны перейти еще 52 компании, в том числе 32 с госучастием, уточняли ранее в Федеральной налоговой службе.

Михаил Мишустин, председатель правительства РФ о налоговом мониторинге:

В первую очередь это совместная оценка рисков, когда компания абсолютно откровенна и налоговая служба оценивает риски до начисления платежей по всем видам налогов и сборов.

На повестке дня 40-страничный документ, который называется «План деятельности ФНС России на 2021 год». Этот План был утвержден Министерством финансов только 19 февраля 2021 года, и совсем недавно он появился в открытом доступе. Я внимательнейшим образом все 40 страниц проштудировал, и некоторые вещи вам из этого Плана процитирую. Советую дочитать статью до конца, потому что самое интересное припасено напоследок.

План деятельности ФНС России на 2021 год

Этот План деятельности ФНС России касается любых более-менее взрослых физических лиц, у которых есть какая-нибудь банковская карта. Также этот План касается всех бизнесменов. То есть этот План охватывает всех нас.

На что направлен План?

План направлен на развитие системы налогового администрирования, на развитие налоговой и таможенной системы и регулирование производства и оборота отдельных видов подакцизных товаров.

При этом первый раздел Плана посвящен, конечно же, налоговому контролю.

«Организация и проведение налогового контроля налогоплательщиков, плательщиков страховых взносов с применением аналитических инструментов, выявление сокрытой налоговой базы и недостоверной информации при расчете налогов, сборов и страховых взносов».

Все эти системы направлены на то, чтобы аналитическим путем выявлять сокрытую налоговую базу и взыскивать соответствующие недоимки, пени и штрафы.

Будет сделана «Актуализация и совершенствование межведомственного взаимодействия, в том числе разработка предложений по внесению изменений в соглашения Федеральной налоговой службы с органами исполнительной власти, правоохранительными органами и др. по вопросу противодействия от уклонения уплаты налогов».

Есть соглашение между ФНС и правоохранительными органами, согласно которому они должны информацией друг с другом делиться. Например, налоговики должны немедленно передавать информацию, если у вас сумма недоимки тянет на уголовное преступление. А полиция должны делиться своей информацией. Эта работа будет продолжена и усовершенствована.

И аналогично будет проведена совместная работа по выявлению объектов налогообложения с ФТС. Чтобы в результате этой аналитической работы от налоговиков не ушла ни одна копейка.

«Реализация отраслевых проектов по пресечению незаконных схем уклонения от уплаты налогов в сельскохозяйственной отрасли, а также в сфере осуществления автомобильных грузоперевозок и транспортно-экспедиционного обслуживания».

Вспоминаю, когда 2 - 3 года назад они взялись за клининговые компании. И у меня тогда спрашивали: «Кто будет следующим?» Я тогда назвал эти 3 отрасли, также еще называл строительный бизнес. Почему-то строительный бизнес упущен. Должны были заняться и строительным бизнесом тоже.

Дальше усовершенствуют налоговый контроль в связи с совершением сделок между взаимозависимыми лицами. Здесь будет мониторинг и соответствующие разъяснение Минфина. Также нас ждет проведение проверок полноты исчисления и уплаты налогов в связи с совершением сделок между взаимозависимыми лицами.

Про АИС «Налог-3»

«Внедрение в промышленную эксплуатацию прикладного программного обеспечения АИС «Налог-3» в части реализации дашборда по управленческой отчетности и прикладной подсистемы «Экспедитор данных».

Что из себя представляет система АИС «Налог-3», а также что такое дашборд и подсистема «Экспедитор данных»? В АИС «Налог-3» можно найти абсолютно всю информацию о физических лицах, юридических лицах, ИП-шниках, по оборотам, доходам, расходам, налоговым платежам, вся история взаимосвязей и т. д.

А дашборд – это панель управления. И эта панель управления будет усовершенствована так, чтобы министерства и ведомства с помощью подсистемы «Экспедитор данных» могли более эффективно за вами наблюдать. И это будет запущено в промышленную эксплуатацию в 2021 году.

Следующее, что будет запущено в промышленную эксплуатацию, касается бухгалтерской отчетности в АИС «Налог-3».

«Развитие прикладного программного обеспечения АИС “Налог-3”, реализующего функции государственного информационного ресурса бухгалтерской (финансовой) отчетности (ресурс БФО) путем дополнения в ресурс БФО бухгалтерской (финансовой) отчетности за 2020 год».

Это будет введено, чтобы все министерства и ведомства видели всех как на ладони.

Давайте посмотрим, что у нас дальше.

«Разработка “Аналитического портала ФНС России” на официальном сайте ФНС России для отражения индикаторов эффективности работы ФНС России и налоговых индикаторов развития экономики на основании официальных данных, полученных в процессе администрирования».

И все то, что я перечислил, делается, чтобы вам, бизнесменам, стало легче. Давайте теперь взглянем на следующий раздел.

«Развитие инструментов риск-анализа и дистанционного автоматизированного контроля»

То есть нас всех будут подвергать риск-анализу и дистанционному автоматическому контролю. Для этого, внимание, запланировано кое-что интересное.

«Повышение качества налогового администрирования в части проведения дистанционного автоматизированного контроля. Обеспечение полноты учета выручки в целях правильного формирования налогооблагаемой базы».

Это будет введено приказом ФНС России. Также эта система будет введена в промышленную эксплуатацию в рамках АИС «Налог-3».

«Ввод в промышленную эксплуатацию программного обеспечения АИС “Налог-3”, реализующего автоматизацию функции контроля за применением контрольно-кассовой техники при осуществлении расчетов в Российской Федерации».

Полный автоматический контроль! А к этому будет подстыкована система, которая тоже в этом году вступит в промышленную эксплуатацию.

«Реализация мероприятий по созданию национальной системы прослеживаемости товаров».

И все, доходы контролируются в автоматическом режиме. Выручка торговых и розничных сетей контролируется, прослеживаемость контролируется. Все это стыкуется. Ну, кайф!

Дальше налоговики усовершенствуют план работы с ФССП по повышению эффективности взыскания задолженности по обязательным платежам.

Также будет создан единый государственный реестр арбитражных управляющих. И арбитражные управляющие подпадут под контроль налоговиков, чтобы никто не договорился с теми, кого они банкротят. Чтобы арбитражные управляющие качественно, в рамках субсидиарной ответственности, искали имущество. Система контроля арбитражных управляющих будет пристыкована к АИС «Налог-3» как подсистема.

Налоговики стыкуют разные модули, как космический корабль, наращивают объемы.

Аналогично будет введено в промышленную эксплуатацию программное обеспечение «Налоговые споры». Все тоже под козырьком теперь, налоговые споры будут под козырьком аналитиков из ФНС России, чтобы никто ни в коем случае там не мог договориться.

Дальше, коллеги. Также в промышленную эксплуатацию будет введена еще одна платформа.

«Автоматизация процесса досудебного обжалования на проведенные контрольно-надзорные мероприятия».
«Развитие платформы Единого портала государственных и муниципальных услуг (функций), расширение прозрачности процесса рассмотрения материалов жалобы на всех этапах ее «жизненного цикла», требование Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

«Разработка автоматизированных методов контроля за исполнением организациями финансового рынка положений главы 20.1 НК РФ «Автоматический обмен финансовой информацией с иностранными государствами (территориями)».

Как я уже говорил, банки потихоньку начнут обмениваться информацией с налоговиками. И начнут с этого. Дальше поговорим о том, что автоматический обмен банковской информацией с налоговиками к концу года будет запущен. Я об этом сто раз уже говорил. Может быть, кто-то думал, что я шучу. Нет, я не шутил. Я об этом знал еще в прошлом году.

Пока что это были цветочки. Ягодки будут дальше. Я же обещал ответить на вопрос: «Зачем все это делается?» Все, что я читал, это, конечно же, приведет к более качественному обслуживанию налогоплательщиков, и в разделе «Организация работы с налогоплательщиками» запланировано многое.

«Обеспечение функционирования мониторинга, контроля качества и оценки результатов предоставления государственных услуг с сохранением уровня удовлетворенности не менее 90 процентов в 2020 году».

То есть налогоплательщики, будет удовлетворены качеством работы, услуг, предоставляемых ФНС России благодаря всем этим системам, не меньше чем на 90 %. Или еще одно хорошее дело от налоговиков:

«Проведение Дня открытых дверей по информированию граждан о законодательстве Российской Федерации о налогах и сборах, порядке и сроках уплаты налога на доходы физических лиц (в случае улучшения ситуации с распространением новой коронавирусной инфекции)».

Это же здорово, что налоговики будут информировать, как платить налоги.

С 1 июля 2021 года будет утвержден формат электронной доверенности. Если декларация подписана не директором, то у подписавшего должна быть электронная доверенность, иначе у вас не примут декларацию.

Или, например, налоговики, придумали еще одну подсистему:

«Внедрение прикладной подсистемы “УСН-онлайн”, реализующей возможность аналитического учета доходов в оперативном режиме и исключения обязанности предоставления налоговой декларации субъектами МСП».

Все, за нас посчитают все налоги. Кнопку нажал, все списали.

Добрались наконец до конца документа. Эту информацию прочитайте внимательно. Это коснется всех вас. И в 2021 году это будет введено, внимание, в промышленную эксплуатацию.

«Создание цифровой платформы для обмена сведениями о налогоплательщике при оказании финансовых и иных услуг».

А кто оказывает нам финансовые и иные услуги? Банки. Но речь тут идет не только о них. Тут еще и иные услуги указаны. Какие? Не сказано. Может быть, услуги ломбардов и лизинговых компаний. Я не знаю, что они имеют в виду. Но с банками точно с 2021 года заработает цифровая платформа для обмена сведениями о налогоплательщике.

И естественно, налоговики, с помощью этой цифровой платформы начнут получать всю нужную им информацию о налогоплательщиках (физических и юридических лицах). Если, например, будут вопросы о происхождении денег на вашей карте, робот выставит требование дать пояснения. И если ваши требования не удовлетворят налоговиков, то вас ждут санкции и штрафы.

Аналогично будет контролироваться крипта и электронные деньги. Эти системы будут запущены и введены в промышленную эксплуатацию в этом году.

«Создание цифровой аналитической платформы и передачи данных в органы государственной власти».

Отлично! То есть будет запущена цифровая платформа по сбору данных, как минимум, от организаций, оказывающих финансовые услуги, то есть от банков. А затем вся эта информация будет доступна органам государственной власти.

Для меня тут вообще ничего нового. Но для вас, возможно, есть новинки. Еще одна система будет запущена в опытную эксплуатацию.

«Развитие электронного документооборота в хозяйственной деятельности, в том числе перевод в электронную форму выставляемых хозяйствующими субъектами счетов-фактур».

Я вам больше скажу, планируется в ближайшие пару лет стандартизировать вообще все документы во всех организациях. И после этой стандартизации, когда система будет запущена, налоговики получат доступ к вашим «внутренностям».

И как нам уже было объявлено (первый раз это было еще в апреле 2018 года) господином Мишустиным: «Мы сможем взимать налоги самостоятельно, без участия налогоплательщиков буквально с каждой транзакции». Я не цитирую Мишустина, но идею воспроизвел точно.

Ну, что вам еще сказать? Ну, конечно же, в эксплуатацию будет запущена «Автоматизация процессов налогообложения физических лиц с доходов в виде процентов по банковским вкладам». Ну, здоров же! Чик – денежку забрали. Кайф!

«Создание программного обеспечения и ИТ-инфраструктуры Ведомственного центра ФНС России».

Супер, у нас будет создан целый ведомственный центр.

«Развитие обеспечивающей подсистемы “Большой мониторинг” (ОП БМ) АИС «Налог-3».

Честно, не знаю, что имеется в виду под системой «Большой мониторинг». Не знаю. Вот это для меня новое. Честно вам скажу.

Будет создана АИС «Налог-4». Тоже не знаю, что в ней будет.

«Разработка концепции автоматизированной информационной системы ФНС России четвертого поколения в условиях динамического внешнего окружения с учетом применения технологий импортозамещения».

Ну, наверное, хватит. Я коротко ознакомил вас с Планом деятельности ФНС России на 2021 год, утвержденным Министерством финансов.

И мы с вами видим, что все цели направлены на автоматический электронный цифровой налоговый контроль. Я не хочу за вас делать выводы. Мне, наоборот, интересно ваше мнение. Почитайте и напишите свое мнение в комментарии. Мы с вами прекрасно понимаем, к чему все эти системы контроля введут.

Добавьте сюда все новые законы о контроле НДС, о стыковке счетов-фактур и деклараций по НДС с прослеживаемостью товаров. Добавьте сюда маркировку всего и вся. И все это будет встроено вот в эти подсистемы, системы.

от 25 февраля 2014 года N ММВ-7-6/66@

(с изменениями на 19 июня 2018 года)

Документ с изменениями, внесенными:

В целях реализации пункта 6.2.6 "Концепции информационной безопасности ФНС России", утвержденной приказом ФНС России от 13.01.2012 N ММВ-7-4/6@, и повышения эффективности управления информационной безопасностью

1. Утвердить Концепцию системы управления информационной безопасностью ФНС России согласно приложению к настоящему приказу.

2. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Федеральной налоговой службы А.С.Петрушина.

Руководитель Федеральной
налоговой службы
М.В.Мишустин

УТВЕРЖДЕНА
приказом ФНС России
от 25 февраля 2014 года N ММВ-7-6/66@
(В редакции, введенной в действие
приказом ФНС России
от 19 июня 2018 года N ММВ-7-6/399@. -
См. предыдущую редакцию)

Концепция системы управления информационной безопасностью ФНС России

Перечень нормативных документов

1. ГОСТ Р ИСО/МЭК 27001-2013 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования;

4. РД.ФСТЭК России. "Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры", 2007 года;

7. "Концепция информационной безопасности Федеральной налоговой службы", утвержденная приказом ФНС России от 13 января 2012 года N ММВ-7-4/6@;

8. "Положение по информатизации Федеральной налоговой службы", утвержденное приказом ФНС России от 23 января 2006 года N САЭ-3-13/31@;

9. "Модель угроз и нарушителя безопасности информации во внешних и внутренних каналах обмена данными АИС ФНС России"; утвержденная приказом ФНС России от 28.05.2015 N ММВ-7-6/220@;

10. "Модель угроз и нарушителя информационной безопасности объекта информатизации ФНС России", утвержденная приказом ФНС России от 23.05.2013 N ММВ-7-4/181@;

11. "Концепция построения системы управления информационной безопасностью Федеральной налоговой службы", утвержденная приказом от 10 июня 2008 года N ВЕ-4-6/24дсп@;

12. "Руководство по организации информационной безопасности на объектах информатизации Федеральной налоговой службы", утвержденное приказом от 23 октября 2007 года N ММ-4-27/29дсп@.

Обозначения и сокращения

АЦ ЦУБИ - Аналитический центр ЦУБИ;

ГИС - государственная информационная система;

ИА - информационный актив;

ИБ - информационная безопасность;

ИКД - информационная карточка документов;

ИКСИБ - информационная карточка сотрудника ИБ;

ИКТС - информационная карточка третьей стороны;

ИКИ - информационная карта инцидентов;

ИКР - информационная карта рисков;

ИТ - информационные технологии;

КИИ - критическая информационная инфраструктура;

ИЛП ОИ - Информационно-логический паспорт объекта информатизации;

МИ ФНС России по ЦОД - Межрегиональная инспекция ФНС России по централизованной обработке данных;

МИ ФНС России по КН - Межрегиональная инспекция ФНС России по крупнейшим налогоплательщикам;

МИ ФНС России по ФО - Межрегиональная инспекция ФНС России по Федеральному округу;

СМЭВ - Система межведомственного электронного взаимодействия.

СОБИ ФНС России - Система обеспечения безопасности информации ФНС России;

СУИБ - Система управления информационной безопасностью;

ТОРМ ФНС России - Территориально-обособленное рабочее место ФНС России.

ПДн - персональные данные;

ПО - программное обеспечение;

МЭДО - Межведомственный Электронный Документооборот;

ТС - техническое средство;

УФНС России - Управление ФНС России по субъекту Российской Федерации;

ФКУ ФНС России - Федеральное казенное учреждение "Налог-Сервис" ФНС России;

ЦУБИ ФНС России - Центр управления безопасностью информации ФНС России.

1. Общие положения

Настоящая концепция управления информационной безопасностью (ИБ) определяет систему взглядов на проблему регулирования и координации при управлении информационной безопасностью в Федеральной налоговой службе, ее территориальных органах и подведомственных организациях, а также при взаимодействии налоговых органов между собой, с Федеральными органами государственной власти и при оказании государственных услуг.

Под управлением информационной безопасностью в ФНС России понимается подмножество взаимоувязанных, циклических процессов, направленных на достижение заданных параметров ИБ.

Под системой управления информационной безопасностью (СУИБ) в ФНС России понимается часть общей системы управления, основанной на оценке рисков, которая предназначена для создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования информационной безопасности.

СУИБ ФНС России включает в себя политики, действия по планированию, распределение ответственности, практики, процедуры, процессы и ресурсы.

Создание централизованной СУИБ является стратегическим решением ФНС России.

Целями создания СУИБ ФНС России являются:

- повышение доверия к ФНС России со стороны граждан Российской Федерации;

- повышение стабильности функционирования отдельных налоговых органов и, как следствие, всей Службы в целом;

- предотвращение и/или снижение до приемлемого уровня ущерба от инцидентов ИБ;

- снижение затрат на ИБ в ФНС России за счет оптимизации СУИБ;

- достижение адекватности мер по защите в зависимости от реальности угроз ИБ и допустимых рисков;

- информационная поддержка 8-го Центра ФСБ России по вопросам сетевых атак на ресурсы АИС ФНС России;

- информационная поддержка служб собственной безопасности при обеспечении превентивных мер и проведении расследований.

Основными задачами СУИБ ФНС являются:

- управление политиками информационной безопасности и поддержание документации информационной безопасности в актуальном состоянии;

- управление угрозами информационной безопасности и рисками;

- управление активами информационной безопасности и поддержание информационной безопасности в актуальном состоянии;

- управление персоналом информационной безопасности и организациями-подрядчиками;

- управление процессами информационного обеспечения подразделений собственной безопасности налоговых органов и "специальными" вопросами;

- управление инцидентами информационной безопасности;

- управление системой криптографической защиты информации;

- оперативное управление и мониторинг состояния информационной безопасности в налоговых органах;

- техническое сопровождение и эксплуатация средств СОБИ

Решение задач управления организуется и обеспечивается центром управления безопасностью информации ФНС России.

Под Центром управления безопасностью информации (ЦУБИ) ФНС России понимается организационно-функциональная структура ЦА ФНС России и подчиненного ему аналитического центра (АЦ).

Под филиалами ЦУБИ понимаются подразделения ИБ в составе УФНС России и Межрегиональных инспекций ФНС России.

Вопросы управления информационной безопасностью тесно взаимоувязаны с вопросами управления ИТ структурой и собственной безопасностью. Средства автоматизированной поддержки управления ИБ и ИТ структурой могут строиться на базе единой платформы. Вместе с тем управление ИБ имеет свою специфику и должно организовываться как самостоятельная и независимая система.

Действующие нормативные документы по ИБ определяют необходимость построения СУИБ и, как следствие, ЦУБИ как самостоятельной системы.

Процесс управления ИБ в ФНС России организуется с помощью множества правил, представляющих сложную иерархическую систему технологических, инструктивных и организационно-распорядительных документов, предназначенных для исполнения различными категориями сотрудников ФНС России. Совокупность таких правил формирует Политику управления ИБ в ФНС России. Концепция СУИБ является документом общей Политики ИБ ФНС России, отражающей официально принятую в ФНС России систему взглядов на СУИБ и пути ее решения.

Концепция СУИБ определяет пути достижения требуемого уровня управления ИБ (при проектировании и внедрении, обеспечении функционирования (эксплуатации) и контроле) в ходе оказания государственных информационных услуг и при повседневной деятельности подразделений ФНС России через создание продуманной, централизованной системы управления ИБ.

Концепция дает возможность выработки стратегической линии, долгосрочных подходов к комплексному решению задач управления ИБ, учитывающих прогнозы развития информационных технологий, появления новых угроз информационной безопасности, тенденций развития методов и средств защиты информации и позволяющих адаптировать СУИБ к любой достаточно сложной и изменчивой ситуации.

Внутренние документы ФНС России по управлению, затрагивающие вопросы ИБ, должны разрабатываться с учетом положений Концепции СУИБ и не противоречить им.

Настоящая Концепция определяет основные принципы построения СУИБ и ЦУБИ с точки зрения реализации единой политики ИБ ФНС России.

В первом разделе приведено общее описание структуры СУИБ, определено место ЦУБИ в этой структуре.

Во втором разделе концепции определяются процессы регулирования при управлении информационной безопасностью. Приводится описание каждого из процессов в обобщенном виде.

В третьем разделе концепции представлено описание функций ЦУБИ, являющегося механизмом реализации эффективного управления ИБ в ФНС России. Для информационной поддержки ЦУБИ создается аналитический центр ФНС России. В разделе определены основные функции и задачи автоматизированной поддержки СУИБ.

В четвертом разделе схематично определена обобщенная организационно-функциональная структура ЦУБИ и аналитического центра, а также определены основные функции филиала ЦУБИ в УФНС России или МИ ФНС России по КН.

Михаил Мишустин, председатель правительства РФ о налоговом мониторинге:

Андрей Щеверов

Федеральная налоговая служба России готовится к переходу на новую отраслевую автоматизированную информационную систему — АИС “Налог-3”. Одновременно строится система обеспечения ее информационной безопасности — СОБИ АИС “Налог-3”.

О том, какие требования новая АИС предъявляет к корпоративной системе информационной безопасности ФНС и какие пути и средства выполнения этих требований выбирают ИБ-специалисты этой государственной структуры, представляющей одного из крупнейших в стране корпоративных пользователей информационных технологий, научному редактору PC Week/RE Валерию Васильеву рассказывает начальник отдела системного проектирования Центра безопасности информации ФГУП ГНИВЦ ФНС России Андрей Щеверов.

PC Week: Что стало побудительным мотивом строительства СОБИ АИС “Налог-3”?

Андрей Щеверов: Структура автоматизированной информационной системы налогового администрирования страны, которой оперирует ФНС России при выполнении своих основных задач, возложенных на нее государством, сейчас перестраивается, превращаясь из децентрализованной в строго централизованную. ФНС переходит с трехуровневой архитектуры АИС (главный ЦОД — региональные управления — инспекции и территориально обособленные рабочие места) на одноуровневую. Если ранее консолидация налоговых данных производилась на региональном уровне, то теперь вся информация будет сразу консолидироваться в единой точке — главном ЦОДе ФНС. Соответственно и доступ к ЦОД будет у всех сотрудников налоговой службы со всех объектов ФНС России. Предполагается поэтапное внедрение АИС “Налог-3” с переходом на технологию VDI и созданием федеральных ЦОДов промышленного масштаба.

PC Week: Какие компоненты СОБИ АИС “Налог-3” вы относите к типовым, обязательным, но “вчерашним”, а какие из них появились вследствие новых ИБ-угроз и новых требований регуляторов?

А. Щ.: Централизация АИС ФНС привела к возникновению новых рисков и предъявила новые, более жесткие, требования к ее информационной безопасности. Изменившиеся задачи обеспечения ИБ АИС как раз и призвана решить система СОБИ АИС “Налог-3”, которую мы сейчас строим.

Уже позади разработка концепции СОБИ, ее системного проекта, технических проектов ряда ее компонентов. В нынешнем году мы приступили к построению первой очереди системы.

Выполнение такого большого объема работ в сжатые сроки и с высоким качеством было бы не возможно без привлечения субподрядчиков — ведущих интеграторов по информационной безопасности. Например, специалисты ОАО “ЭЛВИС-ПЛЮС” не первый год успешно выполняют существенный объем работ по проектированию и внедрению СОБИ АИС “Налог-3”.

Нужно отметить, что работать приходится в очень жестких бюджетных рамках. Выстраивание информационной безопасности для системы такого масштаба (120 тыс. пользователей и около 2500 объектов), какой является АИС “Налог-3”, — не простая задача. В первую очередь нужно строить защиту от наиболее опасных ИБ-угроз. Поскольку в нашем ЦОДе серверная часть виртуализирована, одной из первоочередных задач, по мнению наших ИБ-специалистов, является создание системы защиты виртуальной ИТ-среды ЦОДа. Это укладывается и в требования приказа ФСТЭК России №17 за 2013 г., где впервые в российской практике были выдвинуты требования к защите среды виртуализации. Опробованы продукты Trend Micro Deep Security, VGate компании “Код безопасности” и Kaspersky Security для виртуальных сред.

Для обеспечения ИБ на уровне рабочих мест, как и прежде, в СОБИ используются средства защиты от несанкционированного доступа “Блокхост сеть К” компании “Газинформсервис”. Кроме того, на рабочих станциях (и серверах) используется антивирус “Лаборатории Касперского”.В качестве системы управления идентификационной информацией и электронными ключами в рамках СОБИ был выбран программный комплекс Avanpost российской компании “Аванпост”. Изначально для управления электронными ключами (eToken) предполагалось использовать продукт SafeNet Authentication Manager, а для управления идентификационной информацией Oracle Identity Management.

Решение Oracle Identity Management, выбранное еще до начала создания СОБИ АИС “Налог-3”, вполне удовлетворяло нас по своим функциональным возможностям. Однако оно весьма дорогое, а главное, очень сложное в развертывании, кастомизации и сопровождении. Мне, в частности, известны примеры российских внедрений, в которых процессы развертывания и кастомизации длятся годами. Поэтому с самого начала построения СОБИ АИС “Налог-3” у нас было принято решение искать альтернативы.

Замечу, что поиск подходящей замены не был простым. Поскольку ФНС во многом ориентирована на продукты корпорации Microsoft, в частности единый системный каталог ФНС построен на Microsoft Active Directory, мы сначала рассмотрели как возможный вариант Forefront Identity Manager. Однако и он оказался в кастомизации не намного проще, чем Oracle Identity Management.

На рассмотрение третьего варианта — программного комплекса Avanpost — изначально нас подвигла его вполне приемлемая (особенно при нашем стесненном бюджете) цена. Кроме того, функционал продукта закрывал наши потребности не только в централизованном управлении идентификационной информацией, но еще и в управлении электронными ключами доступа, что позволило отказаться и от SafeNet Authentication Manager. Фактически мы получили двойную экономию.

Продукт “Аванпоста” позволяет нам реализовать комплексный подход ко всем задачам, связанным с идентификацией пользователей и управлением ключами. Расположение разработчиков комплекса Avanpost в Москве позволяет оперативно реализовывать все наши пожелания в части кастомизации, которая, как я могу констатировать, у разработчика хорошо отлажена. Нужно отметить, что мы со своими требованиями стали для “Аванпоста” хорошей испытательной площадкой, и их продукт, по моим ощущениям, за время нашей совместной работы получил существенное развитие.

Единственным источником идентификационной информации для ПК Avanpost в рамках СОИБ АИС “Налог-3” является наша система кадрового учета, в которой отслеживаются все изменения служебного положения сотрудников. Все другие информационные системы будут получать идентификационную информацию только от IDM Avanpost. Это минимизирует количество ошибок в организации доступа к корпоративным ресурсам. Кроме этого Avanpost поддерживает практически все типы электронных ключей eToken, ruToken, MSkey…

В борьбе с утечками данных (в первую очередь через электронную почту и съемные носители) нам должен помочь закупаемый нами Traffic Monitor компании InfoWatch. С этим продуктом также связаны наши планы организации апостериорной информационной безопасности, суть которой заключается в расследовании произошедших ИБ-инцидентов.

PC Week: С чем конкретно связано появление в СОБИ АИС “Налог-3” DLP-системы — с непреднамеренными утечками корпоративной информации за периметр, с нежелательным ее растеканием внутри периметра или с угрозами злонамеренного инсайда?

А. Щ.: Не секрет, что сегодня ИБ-специалисты высоко оценивают надежность современной периметровой защиты, чего пока они не могут сказать о защите от угроз, исходящих из самой компании. Этим угрозам теперь уделяют повышенное внимание, в том числе и в ФНС России.

Кроме того, как считают наши ИБ-специалисты, российским компаниям пора готовить базу для организации апостериорной ИБ. Пусть пока законодательная база и судебная практика в нашей стране не вполне готовы к расследованию преступлений, связанных с использованием инфотелекоммуникационных технологий, технологически мы делаем все возможное для того, чтобы в дальнейшем можно было без проблем формировать доказательную базу как для внутренних, так и для внешних расследований ИБ-инцидентов. Мы надеемся, что эти закладываемые в СОБИ возможности (в силу специфики нашей госструктуры) будут востребованы.

PC Week: Одним из показателей зрелости ИБ-службы является ее направленность на решение бизнес-задач той бизнес-структуры, в которую она входит. Для этого руководство этих служб использует показатели эффективности работы своих подразделений. Насколько ваша новая ИБ-система будет эффективней ныне действующей? Предусмотрены ли в СОБИ АИС “Налог-3” возможности, которые позволяют ИБ-службе ФНС на постоянной основе оценивать эффективность новой ИБ-системы?

А. Щ.: Мы запланировали разработку методик оценки эффективности новой СОБИ на будущий год. Ранее это у нас не получится. После того как мы решим первостепенные задачи защиты от наиболее актуальных угроз, мы намерены в рамках отведенного бюджета построить корпоративный центр управления ИБ, а затем перейти и к оценкам эффективности функционирования СОБИ.

Базой централизованного управления ИБ ФНС России станет продукт класса SIEM HP ArcSight. В настоящее время он уже развернут в нашем ЦОДе и действует как система регистрации, накопления данных о событиях ИБ и формирования отчетности по этим событиям. Со временем она также будет выдавать коррелированную метаинформацию о событиях ИБ, правила для формирования которой сейчас находятся в стадии разработки. А в дальнейшем она может стать базовым компонентом ситуационного центра для мониторинга состояния ИБ всей ФНС России, который, как мы планируем, будет располагать также средствами анализа ИБ-рисков и расследования ИБ-инцидентов.

Уже сегодня бизнес-подразделения обращаются к нам за отчетностью, которую мы можем для них формировать на основе информации, собираемой с прикладных подсистем АИС “Налог-3”. На этапе перехода на АИС “Налог-3” бизнес в первую очередь интересуют карта нагрузки прикладных систем. Это помогает руководителям бизнес-подразделений выявлять реальную картину состояния рабочих процессов.

Мы в нашем ЦОДе опробовали недавно появившийся на рынке продукт компании Skybox Security, предназначенный для мониторинга и контроля настроек активного сетевого оборудования и межсетевых экранов и агрегирования полученных с них данных с данными со сканеров уязвимостей. На основе этой информации Skybox строит карту сети с существующими уязвимостями, что позволяет проводить анализ рисков, связанных с сетевой ИБ, с одновременным учетом уязвимостей операционных систем, а также строить векторы возможных атак на сеть.

Пилотное использование Skybox позволило выявить значительное число комбинаций настроек в сетевом оборудовании, сочетания которых потенциально могут привести к образованию серьезных брешей в периметровой защите. Полученная информация поможет ИБ-службе ФНС следить за безопасностью сетевых настроек, что особенно важно в период активных изменений в них, производимых в связи с развертыванием АИС “Налог-3”.

Возможности продукта Skybox хорошо вписываются в нашу концепцию будущей системы управления ИБ-рисками ФНС. Мы считаем, что в нее также войдут продукты ArcSight, Avanpost, Skybox и InfoWatch Traffic Monitor Enterprise.

PC Week: Насколько конкурентоспособными выглядели российские разработки ИБ-средств по сравнению с зарубежными в тендерах, связанных с построением СОБИ АИС “Налог-3”?

А. Щ.: Есть направления, где российские ИБ-разработчики традиционно сильны. Например, в антивирусной защите, шифровании, межсетевом экранировании, в защите от утечек…

Однако в ИБ есть и такие сегменты, где российские компании вовсе не представлены. К ним, например, относятся все более востребованные “тяжелые” ИБ-продукты, такие как средства сбора и корреляции данных о событиях ИБ, инструменты аналитики и принятия решений в области ИБ. Увы, но таким инструментам, как ArcSight или Skybox (которые соответственно относится к классу SIEM и классу систем управления ИБ-рисками в сетевой инфраструктуре), альтернатив среди российских разработок пока нет.

В заключение хочу отметить, что построение СОБИ АИС “Налог-3” происходит с учетом новейших тенденций в области ИБ и на принципах комплексности, взаимосвязанности и масштабируемости решений. Мы внимательно изучаем все новые решения, появляющиеся на рынке.

PC Week: Благодарю за беседу.

Читайте также: