Как устроена и сколько стоит ИБ-система Соцфонда России. Разбор SecPost

О цифровой платформе социальной сферы

Единая цифровая платформа в социальной сфере (также называется «Социальное казначейство») начала создаваться в 2021 году после утверждения правительством концепции цифровой трансформации социальной сферы. Ключевая идея заключалась в том, чтобы объединить в системе данные о россиянах, необходимые для принятия решений о соцподдержке, и затем автоматически назначать такую поддержку, избавив людей от необходимости собирать бумажные справки и приносить их в госорганы.

Поэтапно в систему были переведены все процессы Минтруда, Пенсионного фонда, Фонда социального страхования и федеральных учреждений медико-социальной экспертизы, связанные с соцподдержкой и выплатой пенсий.

Дочерняя компания «Ростелекома» БФТ, занимавшаяся созданием платформы, сообщает на своем сайте, что в ней проводится процессинг всех мер социальной поддержки Российской Федерации, включая назначение и выплату пенсий, пособий по уходу, ежемесячных денежных выплат. На платформе ведется единый реестр получателей социальных услуг с определением индивидуальной нуждаемости в мерах социальной поддержки, автоматическое выявление жизненных событий у получателей услуг и проактивный запуск процессов назначения услуг на их основе.

У системы 80 млн внешних пользователей и 80 тыс. внутренних (сотрудников ведомств), она хранит 5 Петабайт данных и обрабатывает 10 тыс. транзакций в секунду, осуществляя 700 млн выплат в год.

Как устроена и сколько стоит система информационной безопасности

Создание комплексной системы обеспечения информационной безопасности государственной информационной системы «Единая централизованная цифровая платформа в социальной сфере» (КСОИБ ЕЦП) началось с того же 2021 года, когда был заключен контракт с компанией «РТК Информационная безопасность» (входит в ГК «Солар»). Первая очередь ИБ-системы обошлась Соцфонду в 1,6 млрд рублей.

Созданием второй очереди занимались компании «Инфотактика» и «Рубитех». К третьей очереди вновь были привлечены «РТК Информационная безопасность» и «Рубитех».

Всего в создание ИБ-системы в 2021-2025 годах по данным портала госзакупок было вложено 3 млрд рублей.

Система безопасности призвана защищать следующую информацию:

• сведения, составляющие персональные данные (ПДн), в том числе сведения о состоянии здоровья, диагнозе, результатах обследования, фактах обращения за медицинской помощью, сведения о плательщиках страховых взносов, ПДн получателей социальных услуг, сведения о страховых случаях, сведения о страховых взносах, сведения о выплатах пособия, сведения о страховых выплатах, сведения об оплате дополнительных расходов и т.д.;
• сведения, составляющие коммерческую тайну;
• данные о конфигурации и настройке компонентов ИТ-инфраструктуры, системного и прикладного ПО;
• идентификационная и аутентификационная информация внешних пользователей (заявителей), сотрудников Ведомств, администраторов ЕЦП;
• технические средства ЕЦП;
• программные средства ЕЦП;

ИБ-система состоит из следующих подсистем:

• подсистема защиты от несанкционированного доступа;
• подсистема криптографической защиты каналов передачи данных;
• подсистема централизованного доступа к внешним информационным ресурсам;
• подсистема антивирусной защиты;
• подсистема Ведомственный центр ГосСОПКА;
• подсистема централизованного управления доступом к информационным ресурсам;
• подсистема формирования и проверки электронных подписей;
• подсистема управления привилегированным доступом;
• подсистема защиты веб-приложений.

Часть компонентов этих подсистем создана, часть только предстоит создать (по контракту, заключенному в конце 2025 года), например, планируется создание компонентов проверки загружаемых файлов, защиты от целевых атак, мониторинга обращения к данным.

Помимо вложений в создание ИБ-системы значительные средства тратятся на ее техническое сопровождение. В 2023-2025 годах соответствующих контрактов было заключено три, все с «РТК Информационная безопасность», в сумме на 2,6 млрд рублей.

В объединенном ведомственном плане цифровой трансформации Минтруда и Соцфонда на 2025-2027 годы сказано, что в 2026 году инфраструктура и эксплуатация КСОИБ ЕЦП потребует финансирования в размере 578 млн рублей, аналогичную сумму планируется потратить и в 2027 году.

На каких продуктах построена ИБ-система

Закупочная документация на техническое сопровождение КСОИБ ЕЦП содержит сведения о продуктах в основе системы.

За защиту от несанкционированного доступа отвечает Secret Net Studio 8 и ПАК «Соболь» от «Кода безопасности», за криптографическую защиту каналов передачи данных — ПО ViPNet Administrator и ViPNet Policy Manager, а также ПАК ViPNet Coordinator от компании «Инфотекс».

Централизованный доступ к внешним информационным ресурсам осуществляется с помощью продуктов UserGate, за антивирусную защиту отвечает Kaspersky Endpoint Security. Ведомственный центр ГосСОПКА построен на продуктах линейки Efros Defence от компании «Газинформсервис», MaxPatrol Security Information and Event Management от Positive Technologies и ряде продуктов производства компании R-Vision.

Подсистема централизованного управления доступом к информационным ресурсам работает на базе ПО Avanpost и КриптоПро CSP, подсистема формирования и проверки электронных подписей — на базе ПАК ViPNet EDI Soap Gate 3 и ПО ViPNet PKI Service. Привилегированный доступ осуществляется с помощью Indeed Privileged Access Manager, защита веб-приложений — с помощью Positive Technologies Application Firewall.

Кто руководит ИБ в Соцфонде

Координацию и контроль деятельности департамента информационных технологий и департамента по обеспечению информационной безопасности, а также Межрегионального информационного центра Фонда пенсионного и социального страхования осуществляет зампредседателя фонда Дмитрий Карпов 1971 года рождения.

С 2005 года он работал в компании «Техносерв АС», в 2014 году был учредителем и работал в качестве заместителя генерального директора в компании «Автономные системы», а с 2015 по 2021 годы работал заместителем руководителя департамента информационных технологий и защиты информации Фонда социального страхования РФ (до его объединения с Пенсионным фондом).

Непосредственно начальником департамента по обеспечению информационной безопасности Соцфонда является Сергей Зеленый. Его биография непублична.