Rambler's Top100
 
Статьи
05 июля 2018

ЦОДы и безопасность ГИС: взгляд из Татарстана

О задачах ЦОДов, предоставляющих услуги государственным структурам, рассказал на форуме ITSF 2018 в Казани Булат Гузаиров, руководитель отдела серверных технологий компании «ICL Системные Технологии».

– Появление облачных технологий позволило перенести заботы о поддержании работоспособности вычислительной инфраструктуры на провайдера предоставляемых услуг. В сторону централизованного получения услуг по сервисной модели движется развитие информационных систем по всему миру и в том числе в России.

– С какими задачами информационной безопасности сталкивается ЦОД, размещающий у себя государственные информационные системы?

– В прошлом году было принято Постановление Правительства РФ от 11.05.2017 № 555, которое предписывает, что вопросы информационной безопасности должны быть решены до ввода ГИС в промышленную эксплуатацию. Соответственно, ЦОД, который хочет размещать у себя ГИС, заранее должен соответствовать требованиям безопасности.

В частности, он должен быть аттестован на соответствие требованиям приказа ФСТЭК России от 11.02.2013 № 17 для размещения ГИС. Это не так просто – методики аттестации не сформированы. Есть новые указания ФСТЭК России о том, что аттестацию ЦОДа, в котором размещается ГИС, проводить надо, но как конкретно это делать, точно не определено.

Новая проблема – вступивший в этом году в силу Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (от 26.07.2017 № 187-ФЗ). Если информационная система клиента -- субъекта КИИ развернута в ЦОДе и предоставляется ему по сервисной модели, то она является объектом КИИ и на нее распространяются все требования 187-ФЗ.

– Какие сложности возникают при предоставлении облачных услуг?

– В случае ГИС надо учитывать, что приказ ФСТЭК России от 11.02.2013 № 17 содержит требования, которые применяются не только к ЦОДу до уровня виртуализации, но и к прикладным системам. ЦОДу трудно выполнить требования, предъявляемые ко всем системам, которые потенциально могут в нем быть размещены.

ЦОД может выбрать два пути.

Самый простой – обеспечивать информационную безопасность уровня IaaS, а все что «выше», оставлять в зоне ответственности заказчика. И заключить с ним договор, в котором подобным образом разграничиваются зоны ответственности.

Если коммерческий ЦОД обладает возможностями центра обнаружения и предотвращения компьютерных атак (Security Operation Center, SOC) и соответствующими лицензиями ФСТЭК и ФСБ, то может взяться за проектирование системы безопасности клиента, ее реализацию и эксплуатацию.

– Какие проблемы создает требование об использовании сертифицированных средств защиты?

– Согласно приказу ФСТЭК России от 11.02.2013 № 17, системы безопасности ГИС должны быть реализованы на сертифицированных средствах защиты. Это накладывает серьезные ограничения на перечень используемых средств. В частности, они должны проходить сертификацию на отсутствие недекларированных возможностей. Проверка требует раскрытия кода, к чему не готовы многие западные компании.

Срок действия сертификатов рано или поздно истекает. У средства защиты сертификат действует три года, а потом может случиться так, что производитель «разочаровался» в рынке России и дальше сертифицировать продукт не будет. Поддержка продолжает предоставляться, патчи выпускаются, а срок действия сертификата истек. Безопасность обеспечивается, но, в соответствии с требованиями регуляторов, нужно искать другое средство защиты с действительным сертификатом. А это большие капитальные затраты.

– Как структурно реализовано обеспечение вычислительными ресурсами органов государственной власти в республике?

– В Татарстане есть республиканское министерство информатизации и связи, ГУП «Центр информационных технологий Республики Татарстан» (ЦИТ) и технопарк в сфере высоких технологий «ИТ-парк». Информационные системы государственных органов республики сосредоточены в ЦОДе «ИТ-парка», который предоставляет услуги по модели colocation. ЦИТ управляет оборудованием республиканского центра и развернутыми информационными системами. Часть вычислительных комплексов по-прежнему обслуживается в министерствах на местах, но в целом системы республиканского значения сосредоточены в централизованном ЦОДе.

– Каким образом выполняются требования по информационной безопасности в республике?

– Безопасность обеспечивается на нескольких уровнях. ЦОД «ИТ-парка» выполняет требования регуляторов в плане ограничения доступа и физической защиты помещения и оборудования. ЦИТ отвечает по умолчанию за безопасность уровня IaaS (вычислительные устройства, хранение данных, резервное копирование и т.п.). Министерства (как владельцы) занимаются безопасностью прикладных систем, но могут поручить эту работу ЦИТ. В итоге мы имеем три структуры, которые должны совместно обеспечивать безопасность ГИС.

Интеграции систем безопасности разных структур – одна из проблем обеспечения безопасности республиканского ЦОДа. На данный момент решение этой задачи находится в процессе окончательного оформления. МИС и ЦИТ завершают разработку системного проекта по информационной безопасности, который и определит дальнейшую стратегию Республики Татарстан по этому вопросу.


-- Компания ICL принимает участие в обеспечении безопасности информационных систем РТ?

– SOC «ICL Системные технологии» совместно с ЦИТ РТ выполняет работы по обеспечению безопасности ИТ-систем Республики Татарстан.

-- В каких вопросах оказывается поддержка ЦИТ РТ?

– Сотрудниками SOC проводится постоянный мониторинг инфраструктуры РТ, выполняется анализ поступающих событий безопасности и своевременное оповещение ответственных сотрудников ЦИТ РТ о подозрительных событиях. Также центром оказывается консультационная помощь в ходе расследовании инцидентов, выполняется регулярная оценка защищенности государственных систем республики и направляются рекомендации для повышения уровня безопасности.

Беседовал Николай Носов
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!