Rambler's Top100
Реклама
 
Статьи ИКС № 2 2018
Булат ГУЗАИРОВ  05 сентября 2018

ЦОДы и безопасность ГИС

О задачах ЦОДов, предоставляющих услуги государственным структурам, – Булат Гузаиров, руководитель отдела серверных технологий компании «ICL Системные Технологии».

– Появление облачных технологий позволило перенести заботы о поддержании работоспособности вычислительной инфраструктуры на провайдера предоставляемых услуг. В сторону централизованного получения услуг по сервисной модели движется развитие информационных систем по всему миру и в том числе в России.

– С какими задачами информационной безопасности сталкивается ЦОД, размещающий у себя государственные информационные системы?

– В прошлом году было принято Поста­нов­ление Правительства РФ от 11.05.2017 № 555, которое предписывает, что вопросы информационной безопасности должны быть решены до ввода ГИС в промышленную эксплуатацию. Соот­вет­ственно, ЦОД, который хочет размещать у себя ГИС, заранее должен соответствовать требованиям безопасности.

В частности, он должен быть аттестован на соответствие требованиям приказа ФСТЭК России от 11.02.2013 № 17 для размещения ГИС. Это не так просто – методики аттестации не сформированы. Есть новые указания ФСТЭК России о том, что аттестацию ЦОДа, в котором размещается ГИС, проводить надо, но как конкретно это делать, точно не определено.

Новая проблема – вступивший в этом году в силу Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (от 26.07.2017 № 187‑ФЗ). Если информационная система клиента – субъекта КИИ развернута в ЦОДе и предоставляется ему по сервисной модели, то она является объектом КИИ и на нее распространяются все требования 187-ФЗ.

– Какие сложности возникают при предоставлении облачных услуг?

– В случае ГИС надо учитывать, что приказ ФСТЭК России от 11.02.2013 № 17 содержит требования, которые применяются не только к ЦОДу до уровня виртуализации, но и к прикладным системам. ЦОДу трудно выполнить требования, предъявляемые ко всем системам, которые потенциально могут в нем быть размещены.

ЦОД может выбрать два пути. Самый простой – обеспечивать информационную безопасность уровня IaaS, а все, что «выше», оставлять в зоне ответственности заказчика. И заключить с ним договор, в котором подробно разграничиваются зоны ответственности.

Если коммерческий ЦОД обладает возможностями центра обнаружения и предотвращения компьютерных атак (Security Operation Center, SOC) и соответствующими лицензиями ФСТЭК и ФСБ, то может взяться за проектирование системы безопасности клиента, ее реализацию и эксплуатацию.

– Какие проблемы создает требование об использовании сертифицированных средств защиты?

– Согласно приказу ФСТЭК России от 11.02.2013 № 17, системы безопасности ГИС должны быть реализованы на сертифицированных средствах защиты. Это накладывает серьезные ограничения на перечень используемых средств. В частности, они должны проходить сертификацию на отсутствие недекларированных возможностей. Проверка требует раскрытия кода, к чему не готовы многие западные компании.

Срок действия сертификатов рано или поздно истекает. У средства защиты сертификат действует три года, а потом может случиться так, что производитель «разочаровался» в рынке России и дальше сертифицировать продукт не будет. Поддержка продолжает предоставляться, патчи выпускаются, а срок действия сертификата истек. Безопасность обеспечивается, но, в соответствии с требованиями регуляторов, нужно искать другое средство защиты с действительным сертификатом. А это большие капитальные затраты.

Беседовал Николай Носов

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!