Ит Лидери

Шаблон с минимални технически изисквания за всички държавни ИТ проекти

Владимир Владков

Владимир Владков

„Отключващият“ проект за е-управлението у нас е приетият през тази година Закон за електронната идентификация (ЗЕИ), към който вече има подготвена техническа спецификация от 356 страници. Документът е качен за обществено обсъждане и до средата на октомври ще се приемат коментари към него. Предвижда се в окончателния поднормативен акт тези „минимални технически изисквания“ да станат задължителни за възложителите на обществени поръчки, свързани с разработка на ИС за държавната администрация. Това стана ясно от изказване на Антон Герунов, началник на политическия кабинет на вицепремиера по коалиционна политика и държавна администрация и министър на вътрешните работи Румяна Бъчварова по време на 15-ата международна конференция по информационна сигурност и съхранение на данни.

Конференцията се организира от ICT Media и ISACA-Sofia Chapter под патронажа именно на вицепремиера Румяна Бъчварова и със съдействието на Държавна агенция „Национална сигурност“ и Министерство на отбраната. Генерални партньори на инициативата са ACT Sofia/ Check Point, AKAT Technologies и Hewlett Packard Enterprise, а официални - Caretower/ CT Europe, Centio, Darktrace, F5 Networks/ Clico, IBS, Intracom, Lirex.com, Mnemonica, NDB/ IBM, Opteryx Security Solutions, TeleGroup и Telelink.

Втората важна новина от конференцията е, че създадената неотдавна Държавна агенция „Електронно управление“ (ДАЕУ) от 28 септември 2016 г. има свой председател – това е Росен Желязков, избран на заседание на Министерския съвет, допълни Антон Герунов. В момента се обсъжда устройствения правилник на агенцията и до 1 месец тя би трябвало да започне да действа. След това предстои назначаване на служители в агенцията, вероятно първо на директорите на дирекции.


Шаблон с минимални технически изисквания за всички държавни ИТ проекти

© Владимир Владков, Computerworld.bg

ДА „Е-управление“ ще има някои правомощия, разписани в ЗЕИ, изравняващи я с тези на ДАНС. Тя ще може да издава директни разпореждания към всички органи, цитирани в закона, допълни Васил Величков, съветник по е-управление на вицепремиера Румяна Бъчварова.


Шаблон с минимални технически изисквания за всички държавни ИТ проекти

© Владимир Владков, Computerworld.bg

Тази власт се комбинира с няколко неща. На първо място тя ще отговаря за публичен регистър на проекти и дейности (съгласуване на проектите с агенцията преди да бъдат обявени обществените поръчки). „Предстои уточняване на детайлите как точно ще се осъществява тази проверка по същество, ще бъдат привличани експерти от ИКТ бранша, но всичко това ще се случва публично, пред очите на всички“, добави Величков. Освен това тя ще управлява и пълното хранилище за проекти и компоненти с отворен код, ще има и портал за разработчици с достъп до интерфейси и стандарти, както и публична тестова среда за разработчици (т.нар. Sandbox).

Кибер заплахите са заплахи и за националната сигурност

Развитието на ИКТ и кибер пространството промениха характера на същевременните общества, заяви при откриването на конференцията министърът на отбраната Николай Ненчев. „Интернет е мястото, където се концентрира значителен потенциал от критичната инфраструктура и услуги на държавните организации. Влиянието на световната мрежа в обществения, социалния, икономическия и културен живот нараства неимоверно, а това води до нови по форма и съдържание кибер заплахи. Кибер сигурността е част от националната сигурност. На последна среща на върха на НАТО във Варшава кибер защитата беше определена като един от основните приоритети, а опасността от кибер атаки срещу комуникационните и информационните системи на НАТО и страни членки нараства. За първи път кибер пространството бе обявено за отделен домейн за водене на операции“, добави министър Ненчев.

През юли Министерският съвет на Р. България прие Национална стратегия за кибер сигурност, а до края на годината предстои подписване на нов меморандум за сътрудничество с НАТО в областта на кибер отбраната, който ще формализира процеса по споделяне на информация и оказване на експертна помощ. „Само чрез съвместни усилия на държавните органи при взаимодействие с професионалните среди, академичната общност, бизнеса и в диалог с потребителите Република България може да постигне приемливо ниво на кибер защита“, заключи министърът на отбраната.

„Повече е-управление означава повече данни, но и повече рискове към информацията. Информационната сигурност трябва да се разглежда като основна дейност, основен принцип при създаването на електронни системи, а не като допълнително мероприятие, което добавяме към системата, не като дейност от проекта, която можем да съкратим или разширим, за да се вместим в бюджета. Сигурността и интегритетът на данните е една от най-важните предпоставки въобще да имаме е-управление“, коментира Антон Герунов.

Към новата държавна агенция ще бъде създадено държавно предприятие „Единен системен оператор“, като неговите функции няма да са, както се опасява бизнесът, да разпределя обществени поръчки, добави Величков. „Това предприятие трябва да е пълно със съдържание и с квалифицирани хора, които са добре платени и защитават интересите на възложителя, в случая държавата. В него ще има и хора от сегашната ИТ структура на ДА. Те ще се занимават с управление на проекти, с тестове, но е ясно, че добър експерт за 1000 лв. няма да започне работа нито в държавна, нито в частна фирма. Не можем да искаме сигурен код без експертиза и квалифицирани хора“, добави той.

Решенията – сътрудничество и постоянен мониторинг

„Създаването на данни и изграждането на ИС трябва да е защитено по прозрачен начин. Има куп примери за изтекла от бизнес организации информация (например огромните щети за Sony при хакването на мрежата за Play Station), коментира на свой ред Ивайло Стоянов, директор продажби „Публичен сектор“ в Hewlett Packard Enterprise. - HPE има своите придобивки - знания, патенти, преставляващи важна е-информация, която трябва да се защитава. Имаме различни инструменти за защита, но е важно как е организирана цялата система и как тя може да бъде защитена. Ние предлагаме помощ в 3 направления – продуктите, процесите и хората, с които го правите“, добави той.


Шаблон с минимални технически изисквания за всички държавни ИТ проекти

© Владимир Владков, Computerworld.bg

„Проваляйки се в подготовката, се подготвяме за провала“, цитира мисълта на Бенджамин Франклин Чавдар Николов, управляващ директор на ACT Sofia, обвързвайки я с кибер сигурността. „Неизвестните заплахи вече надхвърлят като брой известните атаки, затова подходът към кибер защитата се променя драстично. Новите технологии трябва да имат средства да разпознаят атаки от типа на т.нар. „нулев ден“, добави управляващият директор на ACT Sofia. Партньорът на компанията Check Point Software Technologies предоставя именно такива средства за защита.


Шаблон с минимални технически изисквания за всички държавни ИТ проекти

© Владимир Владков, Computerworld.bg

„Атаките „Zero-Day“ са най-опасните“, каза Цезар Варлан, инженер по сигурността в Check Point. Разработката на компанията SandBlast (второ поколение технология, надграждаща първото поколение тип SandBox), предоставя предпазване в реално време от непознати зловредни кодове и целенасочени атаки, като включва два ключови компонента. Единият е Threat Emulation Sandboxing, който успява да засече модерните зловредни кодове, преди да успеят да се възползват от наличен пропуск в сигурността, а вторият е Threat Extraction, който осигурява доставка на безопасно съдържание чрез реконструирани файлове. „Важни са и средствата за наблюдение и управление на процесите в кибер сигурността, включително управление на кибер събития, отборна работа при киберзащита“, допълни Чавдар Николов.


Шаблон с минимални технически изисквания за всички държавни ИТ проекти

© Владимир Владков, Computerworld.bg

Неговите думи бяха подкрепени и от Ивелин Павлов, управляващ партньор на Akat Technologies, който наблегна именно върху мотото на конференцията – критичността на данните и на тяхната защита. „В информационната сигурност най-важна е колаборацията – да интерпретираме онова, което прави софтуерът за нас. В крайна сметка системите ни са пробити, защото няма постоянен мониторинг. Всяка технология, която се внедрява, особено за информационна сигурност, трябва да бъде наблюдавана, а нищо не е еднакво в две отделни организации, дори от една индустрия. Основен проблем са уеб приложенията, с които се работи, а в България няма практики за одитиране на сигурността“, добави Павлов, чиято фирма е партньор на щатския производител IXIA.


Шаблон с минимални технически изисквания за всички държавни ИТ проекти

© Владимир Владков, Computerworld.bg

Рамона Червенкова от ISACA Sofia Chapter обаче обяви, че организацията има и специалисти в областта на ИТ и бизнеса (ИТ риск, ИТ одитиране), които създават помощни документи за специалистите, пряко свързани с информационната сигурност. „Между стандартите се получават празнини, затова ISACA създава документи, методики и ръководства, чрез които да покрие именно тези празнини. Стандартите не ни казват какви методи и технологии да ползваме“, допълни Червенкова. Тя посочи пакета с документи COBIT, който съдържа именно контроли за информационна сигурност, които предоставят средства за управление на рисковете, а рамката RISK IT позволява създаване на среда, основана на холистичен бизнес подход, интегрирайки усилията на ИТ специалисти и бизнеса в обща задача за защита.





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X