Aercom.by - Новости безопасности в Беларуси и СНГ

26 июля 2017 г., среда

Отраслевые мероприятия (Беларусь)

28 июня, 2017

Учебно-практический семинар – «Построение интегрированных систем безопасности на основе оборудования и программного обеспечения TRASSIR, SIGUR (ранее «Сфинкс»)»

20 июня, 2017

IDC DAY MINSK 2017: Infrastructure Efficiency, Cloud, Virtualization & IT Security Roadshow

24 мая, 2017

В первый день «Центр безопасности. 2017» более 1000 специалистов посетили выставку-форум

23 мая, 2017

Памятка посетителям и участникам выставки-форума «Центр безопасности 2017»

22 мая, 2017

Выставка-форум «Центр безопасности. 2017»: технологии, диалог, бизнес

19 мая, 2017

Охранные извещатели, приборы для обеспечения безопасности банкоматов

Отраслевые мероприятия (зарубежные)

7 июня, 2017

Итоги форума «CISO FORUM 2017: Суровые будни CISO»

13 февраля, 2017

«Нетрис» стал Генеральным спонсором конференции «Возможности облачных технологий и Интернета вещей для бизнеса»

9 декабря, 2016

Форум директоров по информационной безопасности

23 ноября, 2016

23 ноября открывается Форум All-over-IP 2016: присоединяйтесь к лидерам!

9 ноября, 2016

Открылась 25-я юбилейная Международная выставка Securika St. Petersburg

30 сентября, 2016

Октябрьский ПЛАС-Форум «Банковское самообслуживание, ритейл и НДО 2016»: на финишной прямой!

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

Эксперт: государство теряет огромные деньги на электронных тендерах из-за «дырявой» площадки
7 декабря, 2015

Белорусское законодательство предъявляет довольно строгие требования к защите информации, не относящейся к категории общедоступной. При этом, именно государственные ресурсы далеко не всегда соответствуют этим требованиям. Одним из примеров таких несоответствий является организация работы площадки электронных госзакупок www.icetrade.by. По мнению нашего эксперта,специалиста в области защиты информации с многолетним опытом Владимира Николаевича Шулика, первого заместителя Генерального директора ЗАО «Белхард Групп», текущая реализация фукционала ЭТП www.icetrade.by не обеспечивает требуемого законодательством уровня защиты размещаемых на ней тендерных документов. Из-за этого государство может терять немалые деньги: ведь получив доступ к информации о ценах, предложенных участниками торгов, компании получают шанс повысить стоимость своих товаров и услуг в последний момент.

Идея создания площадки возникла еще в 2002 году. Основной задачей электронного торгового портала было внедрение в широкую практику защищенной электронной системы государственных закупок, что позволило бы решить проблемы, присущие «бумажным» тендерам. Система должна была обеспечить прозрачность всех процедур во избежание коррупции; невозможность фальсифицировать тендерные условия и тендерные предложения претендентов; недоступность передаваемой информации сторонним лицам, автоматический контроль соблюдения сроков; сокращение затрат на проведение тендеров; расширение количества потенциальных поставщиков, участвующих в тендере.

Идея была хорошо принята государственными органами, и в 2002 году была создана ЭТП, а 2012 году в соответствии с постановлением Совета министров Беларуси от 22.08.2012 № 778 «О некоторых мерах по реализации Закона Республики Беларусь о государственных закупках» информационный ресурс http://www.icetrade.by/ был определен, как официальный сайт в глобальной компьютерной сети интернет для размещения информации о госзакупках и актов законодательства о госзакупках. Данный сайт в своем функционале и попытался, насколько тогда было возможно, реализовать вышеперечисленные требования.

Тем не менее, в процессе разработки сайта некоторые требования законодательства в сфере защиты конфиденциальной информации пользователей ресурса не были реализованы. Но в 2008 году уже вышел Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» и Постановление Совета Министров Республики Беларусь от 26 мая 2009 года № 675 «О некоторых вопросах защиты информации».

Проблема состоит в том, что процедура проведения электронных торгов определяется совсем свежим регламентом электронной торговой площадки РУП «Национальный центр маркетинга и конъюнктуры цен» от 15.06.2015 г. №21/О (Регламент), утвержденным директором центра. Существуют возможные варианты утечки информации в самой информационной системе оператораэлектронной торговой площадки. Даже если данный информационный портал не является государственным, его владельцы все равно обязаны предпринимать меры по защите информации, которая хранится и обрабатывается на нем. Для этого есть законные основания.

А вот то, как оператор ее защищает, кроме как формальными словами «ОБЯЗАН», мы не знаем. По моему мнению, только организационными методами, что тоже возможно, но недостаточно. Прошу обратить внимание, что в Регламенте п.1.2. нет ни одного упоминания и ссылок на нормативные документы в области защиты информации, что вызывает определенное недоумение. Вся ответственность за возможные сбои и невозможность своевременно передать информацию лежит только на пользователях, за исключением сбоев оборудования на самой ЭТП.

— То есть, площадка, через которую проходят государственные заказы на сотни миллиардов рублей, не обладает необходимыми средствами защиты?

— Мы не знаем об этом наверняка, но документов, показывающих наличие таких средств, у нас нет. Но кое-какие факты говорят в пользу того, что защита неадекватна важности данных. Давайте попробуем проанализировать возможные каналы утечки конфиденциальной информации, которая передана пользователем в информационную систему оператора ЭТП.

— Кто же может пострадать от недостаточной защищенности сайта icetrade.by?

Заказчиками работ чаще всего бывают государственные предприятия, а это ‑ бюджетные деньги. Более того, каждая из компаний добровольно соглашается предоставить конфиденциальную информацию организаторам конкурса на закупку тех или иных товаров или услуг. Но без должной защиты подаваемых на тендер документов невозможно добиться выполнения главной цели всех тендеров, проводящихся государством, ‑ а именно, минимизации закупочных цен.

Тем не менее, выход из сложившейся ситуации видится в том, чтобы создать и провести аттестацию СЗИ системы icetrade.by в соответствии с приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 30.08.2013 № 62 «О некоторых вопросах технической и криптографической защиты информации». Когда мы говорим об аттестации системы ЭТП по требованиям информационной безопасности, мы имеем в виду, что в торговой системе будут предприняты комплексные меры, не только организационные, но и ряд технических по защите информации, гарантирующих невозможность ее утечки и модификации и т.д. 

В таком случае можно будет не испытывать сомнений в том, что данные об электронных госзакупках могут быть «слиты» системным администратором, и государство потеряет из-за этого серьезную сумму денег. При таком решении автоматически снимутся все вопросы, связанные с возможной утечкой информации о проводимых торгах и участники торгов будут чувствовать себя защищенными, повысится доверие к ЭТП, а государство получит большой экономических эффект от внедрения системы защиты информации ЭТП.

Просим обратить внимание, что данной статьей мы никого не пытаемся обвинить в возможной утечке информации и недобросовестном отношении к выполнению своих служебных обязанностей. Это прерогатива правоохранительных органов, ведущих оперативно-розыскную деятельность, и регулятора в области защиты информации.

Источник: www.belhard.com

Один комментарий

  1. Александр Сапрыкин пишет:

    Считаю, что В.Шулик затронул серьезный вопрос — все мы пользуемся услугами РУП НЦМКЦ, в частности, направляем свои коммерческие (финансовые) предложения на конкурсы в незащищенном виде по открытым каналам связи. Это азы безопасности — информация должна быть зашифрована при передаче по открытым каналам!

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.