Aercom.by - Новости безопасности в Беларуси и СНГ

21 октября 2018 г., воскресенье

Отраслевые мероприятия (Беларусь)

15 сентября, 2018

IP-форум 2018: первый — Минск

4 сентября, 2018

Учебный курс по продажам решений Axis

ipforum 2018 logo_big
22 августа, 2018

Приглашаем на юбилейный IP-форум по безопасности

28 июня, 2018

Основы систем сетевого видеонаблюдения — обучающий курс Axis Communications

14 июня, 2018

IDC DAY ROADSHOW 2018: Security, Cloud and DX

14 июня, 2018

«Центр безопасности. 2018» в цифрах

Отраслевые мероприятия (зарубежные)

ipforum 2018 logo_big
22 августа, 2018

Приглашаем на юбилейный IP-форум по безопасности

23 мая, 2018

Пост-релиз «XI CISO FORUM 2020: взгляд в будущее»

14 апреля, 2018

Итоги Securika Moscow: 18 379 посетителей за 4 дня – стабильно высокий результат работы

13 марта, 2018

Securika Moscow: более 100 новых участников и рост экспозиции на 10%

12 января, 2018

XI Межотраслевой Форум «CISO FORUM 2020: взгляд в будущее» пройдет 23-24 апреля 2018 года в Москве

3 января, 2018

Конкурсы проектов в России, Беларуси и Казахстане!

Каталог предприятий

idc-day-roadshow-2018-125х125
sfera-kameri-videonabludeniya-125х125

Видео

Эксперт: государство теряет огромные деньги на электронных тендерах из-за «дырявой» площадки
7 декабря, 2015

Белорусское законодательство предъявляет довольно строгие требования к защите информации, не относящейся к категории общедоступной. При этом, именно государственные ресурсы далеко не всегда соответствуют этим требованиям. Одним из примеров таких несоответствий является организация работы площадки электронных госзакупок www.icetrade.by. По мнению нашего эксперта,специалиста в области защиты информации с многолетним опытом Владимира Николаевича Шулика, первого заместителя Генерального директора ЗАО «Белхард Групп», текущая реализация фукционала ЭТП www.icetrade.by не обеспечивает требуемого законодательством уровня защиты размещаемых на ней тендерных документов. Из-за этого государство может терять немалые деньги: ведь получив доступ к информации о ценах, предложенных участниками торгов, компании получают шанс повысить стоимость своих товаров и услуг в последний момент.

Идея создания площадки возникла еще в 2002 году. Основной задачей электронного торгового портала было внедрение в широкую практику защищенной электронной системы государственных закупок, что позволило бы решить проблемы, присущие «бумажным» тендерам. Система должна была обеспечить прозрачность всех процедур во избежание коррупции; невозможность фальсифицировать тендерные условия и тендерные предложения претендентов; недоступность передаваемой информации сторонним лицам, автоматический контроль соблюдения сроков; сокращение затрат на проведение тендеров; расширение количества потенциальных поставщиков, участвующих в тендере.

Идея была хорошо принята государственными органами, и в 2002 году была создана ЭТП, а 2012 году в соответствии с постановлением Совета министров Беларуси от 22.08.2012 № 778 «О некоторых мерах по реализации Закона Республики Беларусь о государственных закупках» информационный ресурс http://www.icetrade.by/ был определен, как официальный сайт в глобальной компьютерной сети интернет для размещения информации о госзакупках и актов законодательства о госзакупках. Данный сайт в своем функционале и попытался, насколько тогда было возможно, реализовать вышеперечисленные требования.

Тем не менее, в процессе разработки сайта некоторые требования законодательства в сфере защиты конфиденциальной информации пользователей ресурса не были реализованы. Но в 2008 году уже вышел Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» и Постановление Совета Министров Республики Беларусь от 26 мая 2009 года № 675 «О некоторых вопросах защиты информации».

Проблема состоит в том, что процедура проведения электронных торгов определяется совсем свежим регламентом электронной торговой площадки РУП «Национальный центр маркетинга и конъюнктуры цен» от 15.06.2015 г. №21/О (Регламент), утвержденным директором центра. Существуют возможные варианты утечки информации в самой информационной системе оператораэлектронной торговой площадки. Даже если данный информационный портал не является государственным, его владельцы все равно обязаны предпринимать меры по защите информации, которая хранится и обрабатывается на нем. Для этого есть законные основания.

А вот то, как оператор ее защищает, кроме как формальными словами «ОБЯЗАН», мы не знаем. По моему мнению, только организационными методами, что тоже возможно, но недостаточно. Прошу обратить внимание, что в Регламенте п.1.2. нет ни одного упоминания и ссылок на нормативные документы в области защиты информации, что вызывает определенное недоумение. Вся ответственность за возможные сбои и невозможность своевременно передать информацию лежит только на пользователях, за исключением сбоев оборудования на самой ЭТП.

— То есть, площадка, через которую проходят государственные заказы на сотни миллиардов рублей, не обладает необходимыми средствами защиты?

— Мы не знаем об этом наверняка, но документов, показывающих наличие таких средств, у нас нет. Но кое-какие факты говорят в пользу того, что защита неадекватна важности данных. Давайте попробуем проанализировать возможные каналы утечки конфиденциальной информации, которая передана пользователем в информационную систему оператора ЭТП.

— Кто же может пострадать от недостаточной защищенности сайта icetrade.by?

Заказчиками работ чаще всего бывают государственные предприятия, а это ‑ бюджетные деньги. Более того, каждая из компаний добровольно соглашается предоставить конфиденциальную информацию организаторам конкурса на закупку тех или иных товаров или услуг. Но без должной защиты подаваемых на тендер документов невозможно добиться выполнения главной цели всех тендеров, проводящихся государством, ‑ а именно, минимизации закупочных цен.

Тем не менее, выход из сложившейся ситуации видится в том, чтобы создать и провести аттестацию СЗИ системы icetrade.by в соответствии с приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 30.08.2013 № 62 «О некоторых вопросах технической и криптографической защиты информации». Когда мы говорим об аттестации системы ЭТП по требованиям информационной безопасности, мы имеем в виду, что в торговой системе будут предприняты комплексные меры, не только организационные, но и ряд технических по защите информации, гарантирующих невозможность ее утечки и модификации и т.д. 

В таком случае можно будет не испытывать сомнений в том, что данные об электронных госзакупках могут быть «слиты» системным администратором, и государство потеряет из-за этого серьезную сумму денег. При таком решении автоматически снимутся все вопросы, связанные с возможной утечкой информации о проводимых торгах и участники торгов будут чувствовать себя защищенными, повысится доверие к ЭТП, а государство получит большой экономических эффект от внедрения системы защиты информации ЭТП.

Просим обратить внимание, что данной статьей мы никого не пытаемся обвинить в возможной утечке информации и недобросовестном отношении к выполнению своих служебных обязанностей. Это прерогатива правоохранительных органов, ведущих оперативно-розыскную деятельность, и регулятора в области защиты информации.

Источник: www.belhard.com

Один комментарий

  1. Александр Сапрыкин пишет:

    Считаю, что В.Шулик затронул серьезный вопрос — все мы пользуемся услугами РУП НЦМКЦ, в частности, направляем свои коммерческие (финансовые) предложения на конкурсы в незащищенном виде по открытым каналам связи. Это азы безопасности — информация должна быть зашифрована при передаче по открытым каналам!

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.