Без­опас­ный ЦОД

Lan - - Тема Номера - Сер­гей Ор­лов

Раз­ме­ще­ние си­стем об­ра­бот­ки пер­со­наль­ных дан­ных в ат­те­сто­ван­ном вир­ту­аль­ном ЦОДе осво­бож­да­ет от рас­хо­дов, свя­зан­ных с со­зда­ни­ем за­щи­щен­ной ин­фра­струк­ту­ры ИТ.

Ор­га­ни­за­ция, об­ра­ба­ты­ва­ю­щая пер­со­наль­ные дан­ные или другую ин­фор­ма­цию огра­ни­чен­но­го до­сту­па, долж­на обес­пе­чи­вать их без­опас­ность в со­от­вет­ствии с тре­бо­ва­ни­я­ми за­ко­но­да­тель­ства. Са­мо­сто­я­тель­ное ре­ше­ние та­кой за­да­чи, как пра­ви­ло, свя­за­но с тех­ни­че­ски­ми слож­но­стя­ми и нема­лы­ми за­тра­та­ми и пред­по­ла­га­ет на­ли­чие се­рьез­ной экс­пер­ти­зы. Обра­ще­ние к услу­гам по тех­ни­че­ской за­щи­те си­стем об­ра­бот­ки пер­со­наль­ных дан­ных, раз­ме­щен­ных в вир­ту­аль­ном ЦОДе, осво­бож­да­ет от рас­хо­дов, свя­зан­ных с со­зда­ни­ем и вла­де­ни­ем за­щи­щен­ной ин­фра­струк­ту­рой ИТ.

Об­ла­ка и об­лач­ные сер­ви­сы все ча­ще ис­поль­зу­ют­ся как част­ны­ми ком­па­ни­я­ми, так и рос­сий­ски­ми го­су­дар­ствен­ны­ми струк­ту­ра­ми. Ро­сту спро­са спо­соб­ству­ет це­лый ряд тех­но­ло­ги­че­ских фак­то­ров: циф­ро­ви­за­ция биз­не­са (циф­ро­вая транс­фор­ма­ция), по­сто­ян­ный рост объ­е­ма дан­ных и тре­бу­е­мой вы­чис­ли­тель­ной мощ­но­сти, раз­ви­тие Ин­тер­не­та, уста­ре­ва­ние обо­ру­до­ва­ния, необ­хо­ди­мость в быст­ром внед­ре­нии но­вых ре­ше­ний и неот­лож­ном мас­шта­би­ро­ва­нии ин­фра­струк­ту­ры. Кро­ме то­го, ор­га­ни­за­ци­ям при­хо­дит­ся со­блю­дать нор­мы за­ко­на о хра­не­нии пер­со­наль­ных дан­ных.

Об­лач­ная ар­хи­тек­ту­ра ста­ла ос­но­вой для элек­трон­но­го пра­ви­тель­ства, еди­ной ин­фра­струк­ту­ры для го­сор­га­нов, на­ци­о­наль­ной об­лач­ной плат­фор­мы. Что­бы ис­клю­чить дуб­ли­ро­ва­ние ре­ше­ний с ана­ло­гич­ны­ми функ­ци­я­ми, при даль­ней­шей раз­ра­бот­ке го­су­дар­ствен­ных ин­фор­ма­ци­он­ных си­стем (ГИС) пла­ни­ру­ет­ся по­сте­пен­ный пе­ре­ход к еди­ной ин­фра­струк­ту­ре на ба­зе об­лач­ных тех­но­ло­гий.

По дан­ным IDC, об­щий объ­ем рос­сий­ско­го об­лач­но­го рын­ка, вклю­чая пуб­лич­ные и част­ные об­ла­ка, до­стиг в 2016 го­ду 422,11 млн дол­ла­ров, что на 20,1% боль­ше, чем в про­шлом го­ду (IDC, 2017, «Russia Cloud Services Market 2017–2021 Forecast and 2016 Vendor Shares»).

ОБ­ЛА­КА И БЕЗ­ОПАС­НОСТЬ

Бы­ст­рый рост об­лач­но­го рын­ка и спро­са на об­лач­ные сер­ви­сы ока­зы­ва­ет вли­я­ние на фор­ми­ро­ва­ние но­вых пред­ло­же­ний со сто­ро­ны ком­мер­че­ских ЦОДов. Од­ним из се­рьез­ных драй­ве­ров раз­ви­тия это­го сег­мен­та яв­ля­ет­ся за­щи­та пер­со­наль­ных дан­ных. Вме­сте с тем, как по­ка­зы­ва­ют опро­сы, имен­но рис­ки, свя­зан­ные с ин­фор­ма­ци­он­ной без­опас­но­стью, яв­ля­ют­ся ос­нов­ным пре­пят­стви­ем для раз­ви­тия об­лач­ных тех­но­ло­гий в Рос­сии.

В свя­зи с этим осо­бые тре­бо­ва­ния предъ­яв­ля­ют­ся к про­вай­де­рам об­лач­ных сер­ви­сов и услуг ЦОДов: необ­хо­ди­мо обес­пе­чить вы­со­кий уро­вень за­щи­ты дан­ных, без­опас­но­сти и до­ступ­но­сти си­стем. Пред­ла­га­е­мые об­лач­ные сер­ви­сы долж­ны со­от­вет­ство­вать нор­мам ин­фор­ма­ци­он­ной без­опас­но­сти (ИБ), уста­нов­лен­ным для го­су­дар­ствен­ных ин­фор­ма­ци­он­ных си­стем (ИС), ко­то­рые об­слу­жи­ва­ют го­сор­га­ны и уни­тар­ные пред­при­я­тия, ми­ни­стер­ства и ве­дом­ства, и для ИС, ис­поль­зу­е­мых для хра­не­ния и об­ра­бот­ки пер­со­наль­ных дан­ных (ИСПДн).

Вме­сте с тем еже­год­но по­яв­ля­ют­ся все но­вые за­ко­ны о за­щи­те ин­фор­ма­ции и тре­бо­ва­ния ре­гу­ля­то­ров — Фе­де­раль­ной служ­бы по тех­ни­че­ско­му и экс­порт­но­му кон­тро­лю (ФСТЭК), Фе­де­раль­ной служ­бы без­опас­но­сти (ФСБ), Ми­ни­стер­ства свя­зи и мас­со­вых ком­му­ни­ка­ций (Мин­ком­связь), Бан­ка Рос­сии. Они со­дер­жат­ся в сле­ду­ю­щих ос­нов­ных до­ку­мен­тах:

• за­кон № 149-ФЗ «Об ин­фор­ма­ции, ин­фор­ма­ци­он­ных тех­но­ло­ги­ях и о за­щи­те ин­фор­ма­ции»;

• за­кон № 152-ФЗ «О пер­со­наль­ных дан­ных»;

• при­ка­зы ФСТЭК Рос­сии № 17 и № 21, где опре­де­ля­ют­ся тре­бо­ва­ния для вы­пол­не­ния дан­ных за­ко­нов;

• за­кон № 242-ФЗ, уточ­ня­ю­щий по­ло­же­ния за­ко­на № 152-ФЗ;

• по­ста­нов­ле­ние пра­ви­тель­ства № 1119 от

01.11.12;

• при­каз ФСБ № 378 от 10.07.2014;

• за­кон «О ком­мер­че­ской тайне»;

• за­кон «О на­ци­о­наль­ной пла­теж­ной

си­сте­ме» № 161-ФЗ.

Так, в за­коне № 242-ФЗ го­во­рит­ся о необ­хо­ди­мо­сти раз­ме­ще­ния пер­со­наль­ных дан­ных на тер­ри­то­рии Рос­сии, а в № 149-ФЗ ука­зы­ва­ет­ся, что ПО в го­су­дар­ствен­ных, пра­во­охра­ни­тель­ных, фи­нан­со­вых и дру­гих струк­ту­рах, об­ра­ба­ты­ва­ю­щих слу­жеб­ную ин­фор­ма­цию, под­ле­жит сер­ти­фи­ка­ции ФСТЭК.

ПЕР­СО­НАЛЬ­НЫЕ ДАН­НЫЕ

За­щи­та пер­со­наль­ных дан­ных — од­на из ак­ту­аль­ных за­дач для ком­мер­че­ских ЦОДов. Речь идет о лю­бых от­но­ся­щих­ся к фи­зи­че­ско­му ли­цу све­де­ни­ях, ко­то­рые пред­став­ля­ют со­бой ин­фор­ма­цию огра­ни­чен­но­го до­сту­па и долж­ны быть за­щи­ще­ны. Де­я­тель­ность по их об­ра­бот­ке ре­гу­ли­ру­ет­ся за­ко­ном «О пер­со­наль­ных дан­ных» (№ 152-ФЗ). Та­кие дан­ные раз­де­ля­ют на че­ты­ре ка­те­го­рии:

• ка­са­ю­щи­е­ся ра­со­вой, на­ци­о­наль­ной при­над­леж­но­сти, по­ли­ти­че­ских взгля­дов, ре­ли­ги­оз­ных и фи­ло­соф­ских убеж­де­ний, со­сто­я­ния здо­ро­вья, ин­тим­ной жиз­ни;

• поз­во­ля­ю­щие иден­ти­фи­ци­ро­вать субъ­ект пер­со­наль­ных дан­ных и по­лу­чить о нем до­пол­ни­тель­ную ин­фор­ма­цию, за ис­клю­че­ни­ем от­но­ся­щих­ся к ка­те­го­рии 1;

• поз­во­ля­ю­щие иден­ти­фи­ци­ро­вать субъ­ект пер­со­наль­ных дан­ных; • обез­ли­чен­ные и (или) об­ще­до­ступ­ные

пер­со­наль­ные дан­ные.

Со­глас­но под­за­кон­ным ак­там к за­ко­ну № 152-ФЗ, со­би­ра­е­мые пер­со­наль­ные дан­ные рос­си­ян долж­ны хра­нить­ся в РФ, хо­тя фор­маль­но ни­что не ме­ша­ет дуб­ли­ро­вать их на за­ру­беж­ных сер­ве­рах.

К опе­ра­то­рам пер­со­наль­ных дан­ных от­но­сят­ся, в част­но­сти, ме­ди­цин­ские и со­ци­аль­ные учре­жде­ния, учеб­ные за­ве­де­ния, фи­нан­со­вые ком­па­нии, а так­же про­чие ор­га­ни­за­ции, ра­бо­та­ю­щие с физ­ли­ца­ми. В слу­ча­ях, опре­де­лен­ных в ст. 22 за­ко­на № 152-ФЗ, они долж­ны уве­до­мить Рос­ком­над­зор о на­ме­ре­нии осу­ществ­лять об­ра­бот­ку и обес­пе­чить хра­не­ние пер­со­наль­ных дан­ных с ис­поль­зо­ва­ни­ем ИСПДн и БД, на­хо­дя­щих­ся на тер­ри­то­рии РФ.

ГО­ТО­ВЫЕ РЕ­ШЕ­НИЯ ДЛЯ ИСПДн И ГИС

Ком­па­ния или ор­га­ни­за­ция, об­ра­ба­ты­ва­ю­щая пер­со­наль­ные дан­ные или другую ин­фор­ма­цию огра­ни­чен­но­го до­сту­па, долж­на га­ран­ти­ро­вать их за­щи­ту в со­от­вет­ствии с тре­бо­ва­ни­я­ми за­ко­но­да­тель­ства. Са­мо­сто­я­тель­ное ре­ше­ние та­кой за­да­чи, как пра­ви­ло, свя­за­но с тех­ни­че­ски­ми слож­но­стя­ми и нема­лы­ми за­тра­та­ми и пред­по­ла­га­ет на­ли­чие се­рьез­ной экс­пер­ти­зы.

За­куп­ка средств за­щи­ты ин­фор­ма­ции (СЗИ), обу­че­ние спе­ци­а­ли­стов, внед­ре­ние про­цес­сов обес­пе­че­ния ИБ, ре­гу­ляр­ная ат­те­ста­ция и оцен­ка эф­фек­тив­но­сти, мо­дер­ни­за­ция СЗИ (как из­вест­но, обес­пе­че­ние ИБ — про­цесс по­сто­ян­ный) тре­бу­ют нема­лых ре­сур­сов. К то­му же ат­те­ста­ция в ФСТЭК — про­це­ду­ра дли­тель­ная и за­трат­ная. Сэко­но­мить ре­сур­сы и вре­мя по­мо­га­ют услу­ги ком­мер­че­ских ЦОДов.

При раз­ме­ще­нии ИС кли­ен­та в ЦОДе или в об­ла­ке про­вай­дер бе­рет на се­бя от­вет­ствен­ность за ре­ше­ние во­про­сов ИБ, в том чис­ле ка­са­ю­щих­ся пер­со­наль­ных дан­ных. Обес­пе­чи­вая за­щи­ту ин­фра­струк­ту­ры ИТ, он сни­ма­ет с кли­ен­та часть за­бот.

ЦОД (об­ла­ко) провайдера, как уже го­во­ри­лось, дол­жен обес­пе­чи­вать ИБ в со­от-

вет­ствии с за­ко­но­да­тель­ны­ми нор­ма­ми. На ис­поль­зу­е­мые си­сте­мы за­щи­ты нуж­но по­лу­чить сер­ти­фи­ка­цию ФСТЭК и ФСБ, под­твер­жде­ни­ем че­му слу­жит ат­те­стат со­от­вет­ствия то­го или ино­го про­грамм­но­го или про­грамм­но-ап­па­рат­но­го ком­плек­са тре­бо­ва­ни­ям по без­опас­но­сти, в част­но­сти по за­щи­те све­де­ний кон­фи­ден­ци­аль­но­го ха­рак­те­ра.

По­стро­е­ние ком­плекс­ной си­сте­мы без­опас­но­сти со­вре­мен­но­го ЦОДа — тех­ни­че­ски слож­ная и мно­го­кри­те­ри­аль­ная за­да­ча. Наи­бо­лее сба­лан­си­ро­ван­ный спо­соб — со­здать мно­го­уров­не­вую си­сте­му за­щи­ты, ко­то­рая мо­жет вклю­чать в се­бя:

• сред­ства меж­се­те­во­го экра­ни­ро­ва­ния (FW), предот­вра­ще­ния втор­же­ний (IPS), за­щи­ты от вре­до­нос­но­го ПО;

• си­сте­му мо­ни­то­рин­га и ре­ги­стра­ции

со­бы­тий без­опас­но­сти;

• си­сте­му крип­то­гра­фи­че­ской за­щи­ты ка­на­лов уда­лен­но­го до­сту­па (шиф­ро­ва­ние);

• сред­ства за­щи­ты вир­ту­аль­ной сре­ды;

• си­сте­му за­щи­ты от несанк­ци­о­ни­ро­ван­но­го до­сту­па (НСД), иден­ти­фи­ка­ции и управ­ле­ния до­сту­пом;

• си­сте­му ана­ли­за за­щи­щен­но­сти и вы­яв­ле­ния уяз­ви­мо­стей, предот­вра­ще­ния уте­чек дан­ных (DLP) и др.

Кро­ме то­го, ком­плекс­ная за­щи­та ин­фор­ма­ции, ко­то­рая в иде­аль­ном слу­чае преду­смат­ри­ва­ет­ся еще при про­ек­ти­ро­ва­нии ИС, пред­по­ла­га­ет внед­ре­ние тех­ни­че­ских и ор­га­ни­за­ци­он­ных мер.

Со­от­вет­ствие са­мым стро­гим тре­бо­ва­ни­ям к ИБ про­вай­дер или вла­де­лец ЦОДа (фи­зи­че­ско­го или вир­ту­аль­но­го) дол­жен под­твер­дить на­ли­чи­ем всех необ­хо­ди­мых сер­ти­фи­ка­тов и га­ран­ти­ро­вать за­клю­че­ни­ем со­гла­ше­ния SLA (Service Level Agreement) с кли­ен­том.

Неуди­ви­тель­но, что, не­смот­ря на вос­тре­бо­ван­ность и ак­ту­аль­ность услуг хо­стин­га, немно­гие пред­ло­же­ния по раз­ме­ще­нию ИС для об­ра­бот­ки пер­со­наль­ных дан­ных и ГИС в пол­ной ме­ре со­от­вет­ству­ют за­ко­но­да­тель­ным тре­бо­ва­ни­ям.

В слу­чае ГИС тре­бо­ва­ния по за­щи­те ин­фор­ма­ции еще бо­лее вы­со­кие, чем для ИСПДн. Класс за­щи­щен­но­сти при­сва­и­ва­ет­ся ГИС в за­ви­си­мо­сти от зна­чи­мо­сти об­ра­ба­ты­ва­е­мой ин­фор­ма­ции и мас­шта­ба си­сте­мы (фе­де­раль­но­го, ре­ги­о­наль­но­го, объ­ек­то­во­го) и уста­нав­ли­ва­ет­ся на ос­но­ва­нии при­ка­за ФСТЭК № 17 от 11.02.2013 (см. табл. 1).

Уро­вень зна­чи­мо­сти опре­де­ля­ет­ся ве­ли­чи­ной по­тен­ци­аль­но­го ущер­ба для об­ла­да­те­ля ин­фор­ма­ции или опе­ра­то­ра при на­ру­ше­нии кон­фи­ден­ци­аль­но­сти. ГИС при­сва­и­ва­ет­ся класс за­щи­щен­но­сти К1, К2 или К3 (ему же долж­на со­от­вет­ство­вать си­сте­ма, в ко­то­рой ГИС раз­ме­ща­ет­ся).

Чем вы­ше вы­бран­ный класс за­щи­ты ГИС, тем боль­ше мер по обес­пе­че­нию ИБ нуж­но ре­а­ли­зо­вать, то есть сто­и­мость ин­фра­струк­ту­ры воз­рас­та­ет. Вы­бор же бо­лее низ­ко­го клас­са мо­жет при­ве­сти к на­ру­ше­нию тре­бо­ва­ний за­ко­но­да­тель­ства.

За­кон не уста­нав­ли­ва­ет яв­ным об­ра­зом, как имен­но ком­па­ния долж­на за­щи­щать свои си­сте­мы. Необ­хо­ди­мо са­мо­сто­я­тель­но опре­де­лить ка­те­го­рию об­ра­ба­ты­ва­е­мых дан­ных, по­тен­ци­аль­ных на­ру­ши­те­лей, воз­мож­ные рис­ки и угро­зы, а так­же по­нять, что нуж­но сде­лать для вы­пол­не­ния тре­бо­ва­ний ре­гу­ля­то­ров. В слу­чае ИСПДн опе­ра­тор пер­со­наль­ных дан­ных дол­жен вы­брать необ­хо­ди­мый уро­вень за­щи­щен­но­сти (см. табл. 2). Пра­ви­ла клас­си­фи­ка­ции ука­за­ны в По­ста­нов­ле­нии Пра­ви­тель­ства РФ № 1119, где преду­смат­ри­ва­ют­ся че­ты­ре уров­ня за­щи­щен­но­сти в за­ви­си­мо­сти:

• от ка­те­го­рии ПДн (спе­ци­аль­ные, био­мет­ри­че­ские или иные);

• субъ­ек­тов ПДн, чьи дан­ные об­ра­ба­ты­ва­ют­ся (со­труд­ни­ки или дру­гие ли­ца); • объ­е­ма об­ра­ба­ты­ва­е­мых ПДн;

• ти­па ак­ту­аль­ных угроз без­опас­но­сти

ПДн (1, 2, 3).

Например, в обя­зан­но­сти опе­ра­то­ра ПДн вхо­дят: обес­пе­че­ние за­кон­но­сти сбо­ра и об­ра­бот­ки пер­со­наль­ных дан­ных, по­стро­е­ние си­сте­мы за­щи­ты в со­от­вет­ствии с тре­бо­ва­ни­я­ми ФСТЭК и ФСБ, раз­ра­бот­ка внут­рен­ней до­ку­мен­та­ции, от­прав­ка уве­дом­ле­ния в Рос­ком­над­зор, оцен­ка со­от­вет­ствия си­сте­мы за­щи­ты (при же­ла­нии — ат­те­ста­ци­он­ные ис­пы­та­ния), ее ак­ту­а­ли­за­ция. За­да­ча слож­ная и за­трат­ная. Аль­тер­на­ти­ва этой го­лов­ной бо­ли — вос­поль­зо­вать­ся услу­га­ми уже ат­те­сто­ван­но­го вир­ту­аль­но­го ЦОДа, пе­ре­ло­жив от­вет­ствен­ность на провайдера с го­то­вым ре­ше­ни­ем.

ВИР­ТУ­АЛЬ­НЫЙ ЦОД

Вир­ту­аль­ный центр об­ра­бот­ки дан­ных — это ком­плекс­ное ре­ше­ние по предо­став­ле­нию ИТ-ин­фра­струк­ту­ры в ви­де сер­ви­са IaaS. С точ­ки зре­ния тех­ни­че­ской ре­а­ли­за­ции он пред­став­ля­ет со­бой со­во-

куп­ность сер­вер­но­го, се­те­во­го обо­ру­до­ва­ния и СХД, раз­ме­щен­ных в фи­зи­че­ском ЦОДе, и си­сте­мы вир­ту­а­ли­за­ции (ги­пер­ви­зо­ра), обес­пе­чи­ва­ю­щей необ­хо­ди­мый уро­вень без­опас­но­сти и до­ступ­но­сти.

Вир­ту­аль­ный ЦОД (VDC) преду­смат­ри­ва­ет предо­став­ле­ние в арен­ду за­каз­чи­ку вы­де­лен­ных изо­ли­ро­ван­ных вир­ту­аль­ных ре­сур­сов для раз­ме­ще­ния ИС и при­ло­же­ний. В за­ви­си­мо­сти от по­треб­но­стей мо­жет быть со­зда­на ИТ-ин­фра­струк­ту­ра раз­лич­но­го уров­ня слож­но­сти, ана­ло­гич­ная ре­ше­ни­ям на ба­зе фи­зи­че­ско­го обо­ру­до­ва­ния.

Управ­ле­ние ре­сур­са­ми осу­ществ­ля­ет­ся че­рез пор­тал са­мо­об­слу­жи­ва­ния: за­каз­чик мо­жет из­ме­нять объ­ем ис­поль­зу­е­мых ре­сур­сов, со­зда­вать ВМ и се­те­вые то­по­ло­гии, кон­фи­гу­ри­ро­вать сеть, вы­пол­нять ре­зерв­ное ко­пи­ро­ва­ние и дру­гие за­да­чи. Та­ким об­ра­зом, он управ­ля­ет вы­де­лен­ны­ми ему вир­ту­аль­ны­ми ре­сур­са­ми са­мо­сто­я­тель­но: со­зда­ет необ­хо­ди­мое ко­ли­че­ство ВМ раз­ной кон­фи­гу­ра­ции, фор­ми­ру­ет внут­рен­ние под­се­ти, на­стра­и­ва­ет се­те­вой до­ступ, ба­лан­си­ров­ку на­груз­ки и меж­се­те­вое экра­ни­ро­ва­ние. Управ­ляя ИТ-ин­фра­струк­ту­рой, он мо­жет быст­ро мас­шта­би­ро­вать или пе­ре­кон­фи­гу­ри­ро­вать ре­сур­сы.

Вир­ту­аль­ный центр об­ра­бот­ки дан­ных мож­но с успе­хом ис­поль­зо­вать для ре­а­ли­за­ции са­мых раз­ных про­ек­тов, та­ких как ор­га­ни­за­ция те­сто­вых сред, раз­ме­ще­ние слож­ных ИС, под­клю­че­ние до­пол­ни­тель­ных ре­сур­сов или со­зда­ние ре­зерв­ной пло­щад­ки ли­бо ги­брид­но­го об­ла­ка. В ре­зуль­та­те ком­па­нии и ор­га­ни­за­ции, гос­струк­ту­ры мо­гут эко­но­мить на по­куп­ке обо­ру­до­ва­ния, ПО и арен­де пло­ща­дей ЦОДа. За­каз­чик осво­бож­да­ет­ся от лиш­ней го­лов­ной бо­ли — от за­куп­ки и экс­плу­а­та­ции обо­ру­до­ва­ния. Он управ­ля­ет сво­и­ми при­ло­же­ни­я­ми, дан­ны­ми и сер­ви­са­ми, а сер­вис-про­вай­дер осу­ществ­ля­ет под­держ­ку и ад­ми­ни­стри­ро­ва­ние обес­пе­чи­ва­ю­щей ин­фра­струк­ту­ры.

Кро­ме то­го, вир­ту­аль­ные ЦОДы мо­гут со­от­вет­ство­вать наи­бо­лее стро­гим тре­бо­ва­ни­ям к ИБ. Это долж­но устра­нить од­но из са­мых се­рьез­ных пре­пят­ствий на пу­ти ми­гра­ции в об­ла­ко да­же для ор­га­ни­за­ций, ра­бо­та­ю­щих с пер­со­наль­ны­ми дан­ны­ми граж­дан и с дру­гой ин­фор­ма­ци­ей, нуж­да­ю­щей­ся, по мне­нию са­мих опе­ра­то­ров дан­ных или ре­гу­ля­то­ров, в осо­бой за­щи­те. При­мер по­доб­ной услу­ги — VDC.152.

ВИР­ТУ­АЛЬ­НЫЙ ЦОД В СО­ОТ­ВЕТ­СТВИИ С ТРЕ­БО­ВА­НИ­Я­МИ ЗА­КО­НА № 152-Ф3

VDC.152 — услу­га IaaS по предо­став­ле­нию вир­ту­аль­ной ИТ-ин­фра­струк­ту­ры с вы­со­ким уров­нем за­щи­ты ин­фор­ма­ции. Та­кая вир­ту­аль­ная ИТ-ин­фра­струк­ту­ра поз­во­ля­ет со­здать пол­но­цен­ный ЦОД для раз­ме­ще­ния го­су­дар­ствен­ных ГИС с обес­пе­че­ни­ем 1-го клас­са за­щи­щен­но­сти, со­глас­но при­ка­зу № 17 ФСТЭК, и ИСПДн с обес­пе­че­ни­ем 1-го уров­ня за­щи­щен­но­сти ПДн по при­ка­зу № 21 ФСТЭК.

Вир­ту­аль­ный ЦОД по­мо­жет со­кра­тить из­держ­ки на со­зда­ние и об­слу­жи­ва­ние ИТ-ин­фра­струк­ту­ры и внут­рен­ней си­сте­мы за­щи­ты ин­фор­ма­ции. Как пра­ви­ло, ком­плекс­ное тех­ни­че­ское со­про­вож­де­ние и под­держ­ку, вклю­чая кон­сал­тинг и раз­ра­бот­ку па­ке­та до­ку­мен­тов для ат­те­ста-

ции в ре­гу­ли­ру­ю­щих ор­га­нах, обеспечивают ква­ли­фи­ци­ро­ван­ные экс­пер­ты, а плат­фор­ма для ока­за­ния услуг со­от­вет­ству­ет стро­гим тех­ни­че­ским стан­дар­там и удо­вле­тво­ря­ет необ­хо­ди­мым ор­га­ни­за­ци­он­ным тре­бо­ва­ни­ям. Бла­го­да­ря при­ме­не­нию сер­ти­фи­ци­ро­ван­ных ре­ше­ний, про­вай­дер име­ет воз­мож­ность предо­став­лять услу­ги по тех­ни­че­ской за­щи­те ИСПДн, раз­ме­щен­ных в вир­ту­аль­ном ЦОДе. Под­клю­че­ние к VDC осу­ществ­ля­ет­ся с ис­поль­зо­ва­ни­ем шиф­ро­ва­ния.

Про­грамм­ные и ап­па­рат­ные сред­ства за­щи­ты ин­фор­ма­ции сер­ти­фи­ци­ру­ют­ся во ФСТЭК и ФСБ. Си­сте­ма ИБ обес­пе­чи­ва­ет меж­се­те­вое экра­ни­ро­ва­ние, за­щи­ту от DDoS-атак, кон­троль за со­блю­де­ни­ем пра­вил без­опас­но­сти и стан­дар­тов кон­фи­гу­ра­ции, под­держ­ку про­цес­сов управ­ле­ния рис­ка­ми и уяз­ви­мо­стя­ми, рас­сле­до­ва­ние ин­ци­ден­тов, про­ве­де­ние внут­рен­них и внеш­них ауди­тов без­опас­но­сти, а так­же ре­гу­ляр­ный мо­ни­то­ринг и те­сти­ро­ва­ние се­ти, си­стем и про­цес­сов ИБ. Ква­ли­фи­ци­ро­ван­ные спе­ци­а­ли­сты осу­ществ­ля­ют круг­ло­су­точ­ное со­про­вож­де­ние ИТ-ин­фра­струк­ту­ры.

Та­кая услу­га ак­ту­аль­на для мно­гих за­каз­чи­ков из го­су­дар­ствен­но­го и кор­по­ра­тив­но­го сег­мен­тов и мо­жет быть вос­тре­бо­ва­на опе­ра­то­ра­ми пер­со­наль­ных дан­ных, ко­то­рые хо­тят при­ве­сти свою де­я­тель­ность в со­от­вет­ствие с за­ко­но­да­тель­ством. В этом за­ин­те­ре­со­ва­ны, например, ин­тер­нет-ма­га­зи­ны, от­де­лы кад­ров, а так­же вла­дель­цы си­стем управ­ле­ния услу­га­ми, бил­лин­га, мар­ке­тин­го­вых ком­му­ни­ка­ций, бух­гал­тер­ско­го уче­та и др. Раз­ме­ще­ние ИС в за­кры­том сег­мен­те ин­фра­струк­ту­ры провайдера, ат­те­сто­ван­ном по всем необ­хо­ди­мым стан­дар­там и тре­бо­ва­ни­ям, из­бав­ля­ет за­каз­чи­ка от необ­хо­ди­мо­сти тра­тить вре­мя и день­ги на ор­га­ни­за­цию всех ре­гла­мент­ных ра­бот.

Что­бы в вир­ту­аль­ном ЦОДе мож­но бы­ло раз­ме­щать ГИС, необ­хо­ди­мо ат­те­сто­вать его ИТ-ин­фра­струк­ту­ру на со­от­вет­ствие тре­бо­ва­ни­ям без­опас­но­сти, опре­де­ля­е­мым ФСТЭК, что пред­по­ла­га­ет внед­ре­ние ор­га­ни­за­ци­он­ных и тех­ни­че­ских мер за­щи­ты. А про­вай­дер этих услуг дол­жен иметь ли­цен­зию на осу­ществ­ле­ние та­кой де­я­тель­но­сти.

Тре­бо­ва­ния ФСТЭК пред­по­ла­га­ют на­ли­чие не толь­ко СЗИ на про­грамм­ном

уровне и на уровне вир­ту­а­ли­за­ции, но и раз­лич­ных си­стем: мо­ни­то­рин­га и ре­ги­стра­ции со­бы­тий, шиф­ро­ва­ния тра­фи­ка, обес­пе­че­ния фи­зи­че­ской без­опас­но­сти (огра­ни­че­ние и кон­троль до­сту­па к обо­ру­до­ва­нию). Кро­ме то­го, обя­за­тель­но вы­пол­не­ние и ря­да дру­гих усло­вий. Имен­но та­кой вир­ту­аль­ный ЦОД со­от­вет­ству­ет тре­бо­ва­ни­ям за­ко­на № 152-ФЗ и ФСТЭК по за­щи­те ГИС. Од­на­ко под­черк­нем: ат­те­сту­ет­ся не ЦОД, а ИТ-ин­фра­струк­ту­ра.

Про­вай­де­ры мо­гут ока­зы­вать экс­перт­ную под­держ­ку в ре­ше­нии за­дач за­щи­ты дан­ных: опре­де­лить тре­бу­е­мый уро­вень без­опас­но­сти и пред­ло­жить оп­ти­маль­ный ва­ри­ант ре­а­ли­за­ции ИС, раз­ра­бо­тать до­ку­мен­та­цию для вы­пол­не­ния тре­бо­ва­ний за­ко­но­да­тель­ства РФ и ат­те­ста­ции ИС в ре­гу­ли­ру­ю­щем ор­гане. А те из них, кто име­ет ли­цен­зии ФСТЭК и ФСБ Рос­сии, име­ют пра­во осу­ществ­лять ат­те­ста­цию ин­фор­ма­ци­он­ных си­стем.

Об­ла­дая ли­цен­зи­я­ми на ока­за­ние услуг в об­ла­сти за­щи­ты пер­со­наль­ных дан­ных, про­вай­дер вы­сту­па­ет в ро­ли от­вет­ствен­но­го об­ра­бот­чи­ка ПДн. Да­ле­ко не пол­ный пе­ре­чень по­став­щи­ков услуг «вир­ту­аль­ный ЦОД в со­от­вет­ствии с за­ко­ном № 152-Ф3» при­ве­ден в табл. 3. На рос­сий­ском рын­ке сей­час име­ет­ся бо­лее де­сят­ка по­доб­ных пред­ло­же­ний.

Та­ким об­ра­зом, вир­ту­аль­ный центр об­ра­бот­ки дан­ных, со­от­вет­ству­ю­щий тре­бо­ва­ни­ям за­ко­на № 152-Ф3, осво­бож­да­ет опе­ра­то­ра ПДн от за­трат на со­зда­ние и экс­плу­а­та­цию за­щи­щен­ной ин­фра­струк­ту­ры ИТ, поз­во­ля­ет ис­поль­зо­вать об­ще­си­стем­ное и спе­ци­аль­ное ПО провайдера и по­лу­чать ква­ли­фи­ци­ро­ван­ное со­про­вож­де­ние в ре­жи­ме 247. На ба­зе ре­сур­сов вир­ту­аль­но­го ЦОДа за­каз­чик мо­жет со­зда­вать ИТ-ин­фра­струк­ту­ру лю­бой слож­но­сти и раз­ме­щать ИСПДн и ГИС с са­мы­ми вы­со­ки­ми тре­бо­ва­ни­я­ми к ИБ.

Ар­хи­тек­ту­ра «Об­ла­ка ФЗ-152» провайдера Cloud4Y

Таб­ли­ца 2. Уро­вень за­щи­щен­но­сти пер­со­наль­ных дан­ных в ин­фор­ма­ци­он­ной си­сте­ме

Ре­ше­ние Stack Group на ба­зе двух ЦОДов, рас­по­ло­жен­ных в Москве (M1 и DataPro,) обес­пе­чи­ва­ет ка­та­стро­фо­устой­чи­вость и ат­те­сто­ва­но для за­щи­ты ин­фра­струк­ту­ры до УЗ1 вклю­чи­тель­но

Таб­ли­ца 3. Услу­ги «вир­ту­аль­ный ЦОД в со­от­вет­ствии с за­ко­ном № 152-Ф3», предо­став­ля­е­мые неко­то­ры­ми рос­сий­ски­ми ком­мер­че­ски­ми ЦОДа­ми, ве­ду­щи­ми си­стем­ны­ми ин­те­гра­то­ра­ми и про­вай­де­ра­ми

При­мер раз­ме­ще­ния ИСПДн за­каз­чи­ка в за­щи­щен­ном об­ла­ке «Крок»

При­мер пе­ре­но­са ПДн из за­ру­беж­но­го ЦОДа на рос­сий­скую пло­щад­ку

Newspapers in Russian

Newspapers from Russia

© PressReader. All rights reserved.