Нормативная база
Компании с госучастием, работающие с информационными системами персональных данных (ИСПДн), обладающие критической информационной инфраструктурой (КИИ), операторы государственных информационных систем (ГИС) – все они сталкиваются с необходимостью выполнения многочисленных и разнообразных требований регуляторов. При отсутствии должной экспертизы это может стать головной болью для ИТ-отдела и руководства компании.
Для ГИС регуляторные требования сформулированы в Приказе ФСТЭК России от 11.02.2023 № 17, Приказе ФСБ России от 24.10.2022 № 524 и методическом документе ФСТЭК России «Меры защиты информации в государственных информационных системах». Для ИСПДн важны два документа – Постановление Правительства РФ от 01.11.2012 № 1119 и Приказ ФСТЭК России от 18.02.2013 № 21.
Варианты решения
Даже приведенного выше перечня документов достаточно, чтобы поставить перед компанией сложную задачу. Для выполнения всего комплекса регуляторных требований необходимо выстроить собственную всесторонне защищенную инфраструктуру. Однако можно воспользоваться готовыми решениями, которые предлагают облачные провайдеры.
Облачные сервисы позволяют отказаться от капитальных затрат и необходимости обслуживания физической инфраструктуры, снять с компании бремя административно-организационных задач. Кроме того, продвинутые решения в сфере безопасности обеспечат высокий уровень надежности.
В то же время размещение информационных систем в публичном облаке может быть неприемлемо из-за принятых в компании политик безопасности. Выходом в таком случае может стать частное облако на базе инфраструктуры провайдера. Комплекс требований к аттестации ГИС в частном облаке сформулирован в нескольких пунктах Приказа ФСТЭК № 17. Попробуем разобраться.
Аттестация: что нужно
Для ГИС, в отличие от ИСПДн, аттестация обязательна. При этом, чтобы исключить факторы предвзятости и заинтересованности, проведение аттестации лицами, которые осуществляют проектирование систем защиты для ГИС, не допускается.
Если информационная система создается на базе ЦОДа или же если ГИС будет размещаться в облаке, то и инфраструктура дата-центра (облачного провайдера) должна быть аттестована по классу не ниже, чем класс ГИС. Обязательны к применению сертифицированные средства защиты (в случае ИСПДн это требование отсутствует).
Средства виртуализации вычислительных ресурсов, которые используются в ГИС высокого класса защиты, должны соответствовать 4-му классу, а именно – функционировать в среде хостовой операционной системы, соответствующей 4-му уровню доверия; блокировать запуск виртуальных машин при выявлении нарушения целостности файлов первичного загрузчика и/или исполняемых файлов гостевой ОС; обеспечивать резервное копирование сведений о событиях безопасности и т.д.
Кроме того, необходима сертификация средств виртуализации на соответствие требованиям по обеспечению безопасности информации. Также требуется и сертификация маршрутизаторов, которые выбираются при проектировании новых или модернизации существующих информационных систем с выходом в интернет. Наконец, в ГИС с информацией высокого уровня значимости применяются средства криптографической защиты класса от КС2 до КВ в зависимости от масштаба.
Когда оператор размещает ГИС в облаке или в ЦОДе стороннего провайдера, зоны ответственности оператора ГИС и поставщика услуг разграничиваются. Разграничение описано в методике моделирования угроз ФСТЭК и зависит от типа выбранного сервиса (рис. 1).
Рис. 1. Разграничение зон ответственности между оператором ГИС и поставщиком услуг
У такого распределения зон ответственности есть важная особенность: оно не запрещает провайдерам принимать на себя бОльшую часть ответственности, если помимо инфраструктуры они предоставляют клиентам дополнительные сервисы, связанные с ИБ.
Рассмотрим, например, услуги IaaS. Модель предполагает, что облачный провайдер отвечает за все, начиная от физической безопасности и заканчивая платформой виртуализации на уровне гипервизора. При этом все, что находится выше гипервизора – виртуальные машины, операционные системы внутри их, приложения и т.д. – относится к зоне ответственности компании-клиента.
Как реализовать требуемый уровень защищенности
В частном облаке к созданию инфраструктуры и выбору средств защиты применяется индивидуальный подход. Компания-клиент принимает непосредственное участие в проектировании частного облака.
На выбор средств защиты оказывают влияние следующие факторы:
В качестве примера можно привести набор средств защиты, который был разработан командой Linx для развертывания частного облака на базе SharxBase с целью выполнения требований к ГИС уровня К1 (рис. 2).
Рис. 2. Набор средств защиты для частного облака, обеспечивающих безопасность ГИС уровня К1
Все представленные здесь средства защиты – российское ПО, которое соответствует требованиям в области импортозамещения. При таком выборе сценарий размещения ГИС или ИСПДн в частном облаке будет выглядеть, как показано на рис. 3.
Рис. 3. Размещение ГИС/ИСПДн в частном облаке
Если речь идет о системе регионального масштаба (в терминологии ФСТЭК они относятся к классу распределенных), то предполагается использование нескольких площадок, где размещаются отдельные сегменты системы. Кроме того, строгие требования применяются и к каналам связи, которые обеспечивают взаимодействие сегментов. Для криптографической защиты, к примеру, в этом случае должны использоваться решения класса КВ.
На этой схеме стоит отметить сегмент управления облаком, за который отвечает облачный провайдер, и сегмент продуктивной нагрузки, в котором размещается продуктивная система клиента. Вся архитектура защищена межсетевым экраном нового поколения, а доступ к административным функциям осуществляется только через VPN.
В итоге
Облачные технологии и ранее позволяли экономить деньги и время на создание инфраструктуры. Однако для компаний с госучастием и госструктур эти преимущества часто нивелировались строгими требованиями безопасности.
За время, прошедшее с вступления в силу специфических требований к ИТ- и облачной инфраструктуре для ГИС, ИСПДн и т.д., провайдеры успели накопить компетенции и наработать необходимую практику. Самое главное – расширился и продолжает расширяться класс сертифицированных ИТ-инструментов для выполнения этих задач.
Еще один стимул для развития в этом направлении: провайдеры могут сократить число специфических задач, связанных с безопасностью систем, которые ранее оператор ГИС/ИСПДн решал самостоятельно. Например, это прохождение сертификации ИТ-контура на соответствие требованиям регулятора, апдейты версий ПО и мониторинг работы инфраструктуры с соблюдением всех деталей и тонкостей. Поэтому при добросовестном и грамотном подходе к выполнению всех нормативных требований перенос ГИС и ИСПДн в облачные среды сегодня вполне возможен.
