Либертариум Либертариум

Здравствуйте, уважаемые коллеги!

Я представляю службу, которая по своему роду деятельности занимается сбором, созданием и поддержанием функционирования информационных баз данных, и в том числе данных на объекты учета, связанные с проявлениями граждан на криминальном поприще, так сказать.

Наше подразделение работает в составе аппарата ГУВД, и основная цель -- обеспечить данными наши оперативные подразделения, в первую очередь.

Я хочу сказать, что мы работаем на основании действующего законодательства. И, в первую очередь, наша обязанность -- заниматься созданием таких баз данных, которые отражают в основном свершившиеся факты. То есть это различные учеты, связанные с регистрацией, допустим, розыска лиц, связанные с розыском оружия, с регистрацией оружия, документов. Большая часть задач связана с регистрацией преступлений, именно со статистической обработкой уголовных преступлений; также различные учеты, связанные с регистрацией оружия, пропавших автотранспортных средств и так далее.

Мы не относимся к подразделениям, которые занимаются оперативной деятельностью, поэтому в основном это картотечные данные, которые поставлены на машинный учет. Часть из них я перечислил.

Основными нашими потребителями, как я уже сказал, являются подразделения службы ГУВД. Мы не работаем с гражданами, мы не работаем с физическими и юридическими лицами. Мы работаем только по запросам именно наших правоохранительных органов и служб ГУВД Санкт-Петербургского региона.
Что касается баз данных. Я являюсь заместителем начальника информационного центра и начальником вычислительного центра. То есть я бывший программист, который отвечает за сохранность, в том числе, и данных, которые хранятся на наших вычислительных мощностях.
Я бы разделил, так сказать, два основных направления того, что мы защищаем. Во-первых, это сами данные, которые хранятся в виде неких электронных документов; и доступ к этим данным.

Какими способами защиты мы пользуемся?

Основные -- это, естественно, административные, программные и технические. Если говорить о том, не раскрывая наших особенностей службы и наших взаимоотношений с нашими оперативными подразделениями, я очень крупно для вас расскажу, какими видами этих трех направлений мы действуем.

Во-первых, это жесткое закрепление своих функциональных обязанностей за всеми участниками создания этих крупных информационных баз данных. И ответственность за каждое внесенное изменение, за каждый добавленный документ, за каждый запрос, который отрабатывается в том числе и по этим базам данных. Это достигается различными способами. Основная нагрузка ложится на программное обеспечение и технические средства.

В настоящий момент жизнь развивается довольно бурно, в том числе и информационная жизнь в главке, поэтому приходится, с одной стороны, использовать передовые достижения научно-технического прогресса, а с другой стороны, защищаться от возможностей по копированию, тиражированию баз данных и доступа к ним. Мы для этого, начиная с 1994 года, основной инструмент предоставления данных нашим подразделениям используем -- это информационную сеть, состоящую из трехуровневого подчинения. То есть это центральный учет, база данных, которая скапливается с рабочих мест районного звена и служб, учеты РУВД, то есть крупных подразделений города, и непосредственно рабочие места, находящиеся в отделах милиции. Такая схема, с одной стороны, позволяет обеспечить справочной информацией основных наших пользователей -- это потребители дежурных частей, оперативный состав, в том числе разграничить их роли. То есть данные не рождаются и циркулируют сами по себе, они появляются только там, где определены точки ввода и корректировки. Причем ответственность за эти данные закреплена за непосредственными участниками этого процесса.

Кроме того, такая схема позволяет хранить данные в разных узлах этой сети и исключает тиражирование отдельных кусков баз и закрепляет функции по копированию и восстановлению за администратором, который находится каждый в своем узле. Причем мы дифференцированно подходим к различным учетам. Самые серьезные из них вводятся только с определенных мест, имеющих дополнительные степени защиты.

Я не открою Америку, если скажу, что на 100% защитить от несанкционированного доступа и копирования базы данных невозможно, но пользоваться совокупными мерами по административному, программному и техническому направлениям возможно.

Если подходить теперь к уровням защиты, то хотелось бы сказать, что самое большое внимание мы уделяем утечке информации в виде баз.
Для Санкт-Петербургского региона этот вопрос в последнее время был наиболее актуален.

Еще в прошлом году мы имели очень серьезные обвинения в средствах массовой информации в том, что наши базы, в том числе и информационного центра, оказываются в виде магнитных носителей на рынках в отдельных районах города.

Не обвиняя средства массовой информации, которым, естественно, хотелось бы видеть и представить это именно в таком свете, я расскажу о той проверке, которая была назначена бывшим министром Куликовым по публикации в газете "Труд". Я специально захватил выдержку из этой газеты, чтобы обозначить тему, по которой хотелось бы поговорить.

Итак, публикация от 14 октября 1997 года (газета "Труд"): называется статья: "Питерская милиция выпустила справочник для домушников".

Ярмарка "Юнона" на улице Маршала Казакова -- настоящая Мекка для питерских радиолюбителей. Чего здесь только нет: старые компьютеры, сотовые телефоны, компакт-диски.

- Что интересует, -- спрашивает парень?
- Нужен телефонный справочник организаций и жителей Санкт-Петербурга.
- Есть такой. Там не только телефоны и адреса, но и паспортные данные петербуржцев.
- А кто производитель?
- Всё списано с базы данных Управления внутренних дел.
- Сколько стоит?
- 220 тысяч рублей (это старыми, естественно).
- Я покупаю.

Продавец достает из-под прилавка компьютерный компакт-диск -- обыкновенный, без опознавательных знаков. Можно даже подумать, что это чистый. На всякий случай продавец дает мне отпечатанный на принтере талон, молу, будет брак -- вернешь, обменяешь.

Дома выясняется: меня не обманули. Компьютер выдал всю информацию. Достаточно ввести номер телефона, и ты получаешь адрес, по которому он установлен, имя владельца, а также паспортные данные. Кроме того, приведен перечень фирм, их учредителей, а также физические адреса" и так далее.

Я статью продолжать читать не буду, кого это интересует, можете ознакомиться с ней подробнее. Таких статей было очень много, особенно в прошлом году.

Эта статья попала к министру внутренних дел, и он прислал сюда комиссию. Это было ровно год назад в марте месяце. Мы с этой комиссией работали, в частности по материалам, которые указаны в этой статье.

Я еще позволю себе прочитать, если вы разрешите, конечно, экспресс-информацию из Главного информационного центра МВД России от 1998 года.

В 1996--1997 г. в Санкт-Петербурге незаконная реализация компьютерных информационных баз данных "Весь Петербург", содержащих сведения о жителях города, коммерческих структурах и других физических и юридических лицах. В некоторых публикациях средств массовой информации ставился вопрос о неспособности правоохранительных органов города защитить гарантированные конституционные права граждан на неприкосновенность частной жизни.

Управлением уголовного розыска был произведен анализ поступающей оперативной информации с целью установления виновных лиц.

После проведения специальных действий была задержана организованная преступная группа, занимавшаяся хищением баз данных, их незаконным тиражированием на лазерных дисках с последующей реализацией, а также разглашением сведений, затрагивающих личную безопасность граждан, интересов коммерческих структур.

Члены преступной группы под прикрытием организованной ими фирмы "Орлов и компания" совместно с неустановленными лицами незаконно присвоили базы данных абонентов сотовой связи ЗАО "Северо-западная GSM", ЗАО "Delta-telecom", около 100 голосовых почтовых ящиков ЗАО "Neda", базу данных жителей Санкт-Петербурга, базу данных коммерческих структур.

Используя компьютерную технику, преступники переносили указанные данные на лазерные компакт-диски, а затем продавали их различным организациям и частным лицам. Тем самым они незаконно получали и публиковали сведения, нарушающие права граждан Российской Федерации на неприкосновенность частной жизни, а также разглашали сведения, составляющие коммерческую тайну.

Члены преступной группы, вступив в сговор с менеджером АО "Санкт-петербургские таксофоны" из корыстных побуждений совершили хищение информационной базы данных объединения

В период с 1 февраля по 30 ноября 1997 года указанная группа осуществляла предпринимательскую деятельность по продаже дисков с базами данных, не имея лицензии, причинив крупный вред государственным организациям. В результате реализации оперативных материалов участники преступной группы были изобличены в создании программ, приводящих к несанкционированному проникновению в информационные системы других организаций. Эта преступная группа арестована и отдана под суд. Между этими двумя зачитанными документами была сделана большая работа.

ВДОВИН Ю. И. (зам. председателя "Гражданского контроля"): Но диски продаются до сих пор, цена даже упала.

БОЧКАРЕВ И. С.: Я понимаю ваши упреки, но хочу вам сказать следующее. С той группой, которая приезжала к нам и разбиралась с этими вещами, мы расстались как старые добрые друзья, потому что ни одна из баз данных не ушла на этот рынок. То есть баз данных ГУВД на сегодняшний день, я вам это могу с полной ответственностью сказать, пока что, я не исключаю эту возможность, но тем не менее на рынках нет.

Я эти иллюстрации приводил именно для того, чтобы вы могли почувствовать, насколько мы серьезно уделяем внимание защите информации и какими методами мы пользуемся. Да, на сегодняшний день, к сожалению, не во всех организациях города подобные меры предпринимаются. И в частности, что эта информация курсирует в городе - это основная головная боль. И мы ведем информационное взаимодействие со многими структурами города. И большинство из них отстаивает и права собственности на базы данных, и осуществляет меры по маркировке подобных баз для того, чтобы в случае хищений установить каналы, выявить тех, кто этим занимается и применить к ним закон.

Еще мне хотелось бы поговорить сегодня о доступе к базам данных и как мы осуществляем контроль над этой серьезной задачей. К сожалению, я хочу сказать, что средств не хватает на то, чтобы обеспечить максимальный контроль за этой сферой деятельности преступных элементов, потому что применять, как и где -- для нас на сегодняшний день не секрет.

Но есть, конечно, трудности, по защите каналов данных, по которым идет работа наших подразделений. Есть сложности по смене парольной защиты, криптографирования и так далее -- по тем методам, которые используются, для того чтобы сохранить информацию в сети.

Несколько принципов, которые используются у нас на сегодняшний день, показали свою эффективность. Во-первых, указанием Главного штаба МВД России (генерал-полковником Масловым) нам было запрещено использовать интернетовские сети в работе, и мы от них отказались практически полностью. То есть сети МВД носят закрытый служебный характер, и мы не работаем через Интернет. Это огромный кусок данных, это большая дыра, которая могла бы поглотить все наши возможности.

Во-вторых, крупные региональные центры работают чисто по специализированным каналам и по специализированному учету.

Что касается внутренних наших сетей, то мы стараемся работать с теми средствами, которые зарегистрированы и сертифицированы ФАПСИ. Они показали надежность и эффективность. В частности, в качестве иллюстрации я могу привести такие данные, что анализ наших системщиков и служб защиты информации показал, что использование, в частности, сертифицированной системы "Верба" в общем-то свело к минимуму те попытки взлома системы, которые были.

Кроме того, мы работаем в среде, которая использует весь арсенал административных и программных средств защиты. Это UNIX и ORACLE.

И, наконец, те места, которые вводят данные, корректируют, на самых ответственных участках, они, помимо различных ограничений административного характера (я имею в виду администраторов баз данных), имеют еще специализированную защиту по смарт-картам и контроль за доступом в помещения.

Благодаря этому, мы свели к минимуму потери от несанкционированного доступа в наши сети.

Еще одна проблема, от которой трудно отмахнуться и которую я хотел бы здесь обозначить. Конечно, есть технические средства съема информация с экранов (вам известны они), съема информации с линий связи и так далее. Но на сегодняшний день у нас есть данные о том, что это используется крайне редко из-за дороговизны, из-за того, что информация, которая находится у нас в сетях, не имеет оперативного характера. Находится человек в розыске или нет, это в общем-то представляет для криминалитета меньший интерес. Но тем не менее были случаи, и по таким случаям работает наше Управление собственной безопасности, ФСБ. Это человеческий фактор. То есть сотрудник, который работает у нас в районе, в отделе милиции по отработке запросов или какой-то справочной информации, может быть связан с какими-то преступными элементами. Мы ведем по этому поводу тоже очень большую взвешенную работу.

Та среда, которую я вам представлял, позволяет получить, в частности, подробные протоколы работы с той или иной точкой сети.

И мы работаем с различными другими нашими службами по поводу установки -- действительно ли эта информация должна была послужить расследованию в том или ином преступлении или же эта информация была применена с какой-то другой целью. Здесь требуется привлечение не только нашего вычислительного центра, которым я командую, но еще и оперативных служб. Но я вам хочу сказать, что хотя таких случаев очень немного и они крайне редки, тем не менее ряд таких случаев был выявлен в течение 1996--1997 года. Это говорит только о том, что все-таки построенная среда и построенные меры защиты, они помогают работать эффективно и по защите от этого вида проникновения со стороны наших же сотрудников.

И в заключение я хочу сказать, что хотя в последние два года этому вопросу уделяется очень много внимания, и мы прошли довольно большой путь, выявили места проникновения, выявили возможные средства защиты и используем их существенно, конечно, хотелось пожелать и вашему семинару-совещанию, чтобы он поддержал нас, в частности, с точки зрения законодательства. Потому что я работаю в тесном контакте с представителями других правоохранительных структур и зачастую все они жалуются на то, что иногда проще выявить источник утечки, проще найти ту группу лиц или ту техническую неподготовленность тех или иных элементов -- это можно в конце концов компенсировать какими-то материальными вложениями. Я еще раз повторяю: ужесточить доступ, закрепить, дополнительные барьеры поставить в виде различных перекодировщиков IP-пакетов и т.д., проверки смены паролей, перерегистрации. Все это делается, все это будет делаться, когда группа сотрудников или преступников, которая выявлена, или каких-то еще лиц, остается безнаказанной или уходит с минимальной ответственностью -- это, естественно...

ВДОВИН Ю. И.: Статей нет!

БОЧКАРЕВ И. С.: Статьи есть и в законодательстве. И люди есть, и статьи есть, и прецеденты есть, и уголовные дела заводятся. Я хочу сказать, что за 1998 год у нас было таких пять уголовных дел всего, но тем не менее их могло бы быть больше, и эффект от этой работы был бы намного больше, если бы такие дела не разваливались в суде, если бы меры привлечения тех лиц, которые проходят по этим уголовным делам, мера наказания была бы выше. И еще (я не с самого начала семинара принимал участие в обсуждении этой проблемы) задумайтесь о том, что надо помогать в том числе нашим правоохранительным органам по защите данных на гражданина, то есть с точки зрения нормативных документов, иначе мы можем увлечься очень защитой гражданских прав и свобод и тем самым нарушить истину, которая кроется в том, что защищать нужно все-таки базы данных в том числе, которые создаются в наших органах власти.

Спасибо. Если есть вопросы, я готов ответить.


КИРИЛЛОВА К. (журналист, издательский дом "Калейдоскоп"):
Во время предвыборной кампании, которая была и которая еще будет, пойдут вот эти бесконечные социологические вопросы различных центров, команд, еще чего-то? Любой человек, который возмущается" а их масса, особенно в последние дни перед выборами, 80 процентов задают сразу вопрос: откуда вы взяли мои данные? Тут, конечно, вешается любая лапша на уши.

Так вот я правильно ли я вас поняла, что этот человек может позвонить вам? И как вы тогда будете поступать с этой группой, с этим центром, с этой командой?

БОЧКАРЕВ И. С.: Я попытаюсь ответить на ваш вопрос только немножко с другой стороны. Я -- представитель информационной службы, и мы не занимаемся работой с гражданами по пресечению каких-то действий и так далее, то есть мы -- держатели информации и собиратели этой информации.

В отношении того, что происходило на предыдущих выборах. Давайте разберемся. Откуда эти базы данных были? Я вам могу сказать, это известный факт. На сегодняшний день, к вашему сведению, существует два уровня обработки паспортных данных. Когда вы приходите в свою жилконтору и заполняете первичную форму учета на получение паспорта, на изменение фамилии, на регистрацию, вы работаете с жилконторами, где осуществляется непосредственный прием граждан. И фактически эти паспортные данные оседают в этих базах данных. И основной источник утечки той информации, когда обращаются непосредственно по имени и отчеству и так далее, именно оттуда.

Я могу доложить вам с полной ответственностью, что на сегодняшний день паспортной базы данных ГУВД на пять миллионов живущих в этом городе в электронном виде не существует.

КИРИЛЛОВА К.: Скажите, пожалуйста, по городу были такие слухи, что в последние полгода паспортные столы передали под юрисдикцию УВД.

БОЧКАРЕВ И. С.: Существует два типа паспортных столов: паспортные столы в жилищных конторах и паспортные столы в составе отделов милиции ГУВД. Так вот утечка информации происходит там. Да, мы действительно стали заниматься автоматизацией ЦАБа (Центрального адресного бюро города) в 1997 году одновременно с выдачей паспортов нового образца (с символикой нашего государства и так далее). Но на сегодняшний день, из-за того что не хватает средств на бланки паспортов, наше государство нам, к сожалению, не помогает, то есть это все делается на средства, взимаемые с граждан по выдаче паспортов. На сегодняшний день выдано около ста тысяч (плюс-минус три тысячи) паспортов. То есть вот это есть в компьютерном виде, есть в центральных учетах и в той системе, о которой мы с вами говорили. Полной базы данных не существует. Она есть в виде картотеки в Центральном адресном бюро.

Поэтому, еще раз повторяю, отвечая на ваш вопрос, в юрисдикцию эти паспортные столы не переведены. Как у нас была в свое время двухуровневая система обработки паспортных данных, так она и осталась на сегодня.

КИРИЛЛОВА К.: Что делать, если граждане уж очень будут возмущаться? Они имеют право подать жалобу, куда они должны...

БОЧКАРЕВ И. С.: Я отвечу, потому что это действительно больная тема.

Паспортно-визовая служба, к ведению которых относятся паспортные столы, она обращалась неоднократно на разных уровнях -- и на уровне МВД России, и на уровне губернатора с просьбой о закрытии этих паспортных столов и передачи их в юрисдикцию МВД. Но есть аспекты у наших противников, которые говорят, что с гражданами должны работать только гражданские учреждения.

ГАРСТКА Х. (Государственный уполномоченный по защите персональных данных, Берлин, ФРГ): Мой вопрос примерно в том же направлении. Вы сказали, что у вас есть система регистрации на двух уровнях, а вот в центральном реестре, о котором вы говорили, какая информация там накапливается? И могут ли ваши управленческие структуры получить доступ к этим сведениям? В каких случаях, с каких пунктов доступа это возможно и т.д.?

БОЧКАРЕВ И. С.: Если есть центральные учеты, значит, они подкреплены базами данных. Доступ к этой информации определяется приказами, нормативными документами. Есть распоряжение руководства ГУВД, значит, та или иная служба с закреплением в приказном порядке за тем или иным сотрудником, она получает доступ. Если нет решения руководящего состава по тому или иному заявительскому инициативному рапорту, значит, нет. Все определено приказами.

Это не прихоть моя или кого-то другого. Существуют отдельные наблюдательные дела на доступ этих служб или подразделений с пропиской четкого адреса, четких ролей, к каким учетам именно эта служба, именно это рабочее место подключено. И в каком режиме -- то ли в режиме чтения, то ли в режиме записи.

ПЕТРОСЯН М. Е.: Простите, я хотела бы уточнить. То есть вы хотите сказать, что решение принимается в каждом конкретном случае?

БОЧКАРЕВ И. С.: Конечно. Отражается в нормативных документах.

ВУС М. А. (главный редактор межвузовского научно-методического журнала "Проблемы информационной безопасности", научный редактор журнала "Безопасность. Достоверность. Информация", зав. лабораторией Управления научных исследований, СПбГУ): Два технических момента. Используете ли вы систему "Кобра"? "Верба" называлась.

БОЧКАРЕВ И. С.: Я вам могу сказать, что по "Кобре" у нас есть договор .

ВУС М. А.: Спасибо.

Второй вопрос. Смарт-карты отечественные или зарубежного производства?

БОЧКАРЕВ И. С.: Останетесь, я потом вам расскажу.

ВУС М. А.: В связи с этим. Меры защиты, как известно, бывают организационно-правовые, вы хорошо о проблемах говорили, морально-этические -- здесь замыкается многое действительно на зарплату, надежность персонала зависит от этого, и технико-технологические.

Удовлетворены ли вы как специалист техническим уровнем, который сейчас закладывается, хватит ли его завтра? Я задаю этот вопрос вот почему? Примерно год назад вышел учебник "Информационные технологии в системе органов МВД". Если судить по этому учебнику, наши органы отстают лет на десять в техническом и технологическом обеспечении.

ПЕТРОСЯН М. Е. (эксперт "Гражданского контроля"): Это не вопрос, это выступление в дискуссии!

ВДОВИН Ю. И.: Ответ очевиден: никогда технарь не будет доволен техникой, которой владеет.

БОЧКАРЕВ И. С.: Вы сами ответили на этот вопрос практически. Я вам хочу сказать, что до недавнего времени нам даже приходилось отказываться от выступлений на подобных семинарах. Наше руководство не разрешало нам выступать. Не говоря уже о том, как мы можем эти вещи преподавать в каких-то наших учебных заведениях. Но сейчас ситуация намного изменилась, потому что когда появился инструмент, который можно применить, значит, его надо изучать.

Мы также читаем лекции в Академии МВД, в нашей санкт-петербургской, наши действующие системщики, информационщики там выступают, водим группы учебные. А уровень оставляет желать лучшего.

ПЕТРОСЯН М. Е.: По времени мы должны сделать перерыв и бежать обедать. Я страшно благодарна вам за ваше очень интересное и конкретное выступление -- это как раз то, чего нам не хватает -- конкретного знания.

(Перерыв)

Комментарии (1)

Московский Либертариум, 1994-2020