12 февраля 2024

Облачный атлас: частный выход из общего тупика

Выполнить требования регуляторов к организации ИТ-ландшафта и обеспечению его безопасности в целом ряде случаев позволяет частное облако. Сегодня эта модель подходит и для развертывания ГИС и ИСПДн. 

Нормативная база
 
Компании с госучастием, работающие с информационными системами персональных данных (ИСПДн), обладающие критической информационной инфраструктурой (КИИ), операторы государственных информационных систем (ГИС) – все они сталкиваются с необходимостью выполнения многочисленных и разнообразных требований регуляторов. При отсутствии должной экспертизы это может стать головной болью для ИТ-отдела и руководства компании. 
 
Для ГИС регуляторные требования сформулированы в Приказе ФСТЭК России от 11.02.2023 № 17, Приказе ФСБ России от 24.10.2022 № 524 и методическом документе ФСТЭК России «Меры защиты информации в государственных информационных системах». Для ИСПДн важны два документа – Постановление Правительства РФ от 01.11.2012 № 1119 и Приказ ФСТЭК России от 18.02.2013 № 21.
 
Варианты решения
 
Даже приведенного выше перечня документов достаточно, чтобы поставить перед компанией сложную задачу. Для выполнения всего комплекса регуляторных требований необходимо выстроить собственную всесторонне защищенную инфраструктуру. Однако можно воспользоваться готовыми решениями, которые предлагают облачные провайдеры. 
 
Облачные сервисы позволяют отказаться от капитальных затрат и необходимости обслуживания физической инфраструктуры, снять с компании бремя административно-организационных задач. Кроме того, продвинутые решения в сфере безопасности обеспечат высокий уровень надежности. 
 
В то же время размещение информационных систем в публичном облаке может быть неприемлемо из-за принятых в компании политик безопасности. Выходом в таком случае может стать частное облако на базе инфраструктуры провайдера. Комплекс требований к аттестации ГИС в частном облаке сформулирован в нескольких пунктах Приказа ФСТЭК № 17. Попробуем разобраться.
 
Аттестация: что нужно
 
Для ГИС, в отличие от ИСПДн, аттестация обязательна. При этом, чтобы исключить факторы предвзятости и заинтересованности, проведение аттестации лицами, которые осуществляют проектирование систем защиты для ГИС, не допускается.
 
Если информационная система создается на базе ЦОДа или же если ГИС будет размещаться в облаке, то и инфраструктура дата-центра (облачного провайдера) должна быть аттестована по классу не ниже, чем класс ГИС. Обязательны к применению сертифицированные средства защиты (в случае ИСПДн это требование отсутствует).
 
Средства виртуализации вычислительных ресурсов, которые используются в ГИС высокого класса защиты, должны соответствовать 4-му классу, а именно – функционировать в среде хостовой операционной системы, соответствующей 4-му уровню доверия; блокировать запуск виртуальных машин при выявлении нарушения целостности файлов первичного загрузчика и/или исполняемых файлов гостевой ОС; обеспечивать резервное копирование сведений о событиях безопасности и т.д.
 
Кроме того, необходима сертификация средств виртуализации на соответствие требованиям по обеспечению безопасности информации. Также требуется и сертификация маршрутизаторов, которые выбираются при проектировании новых или модернизации существующих информационных систем с выходом в интернет. Наконец, в ГИС с информацией высокого уровня значимости применяются средства криптографической защиты класса от КС2 до КВ в зависимости от масштаба.
 
Когда оператор размещает ГИС в облаке или в ЦОДе стороннего провайдера, зоны ответственности оператора ГИС и поставщика услуг разграничиваются. Разграничение описано в методике моделирования угроз ФСТЭК и зависит от типа выбранного сервиса (рис. 1).
 
Полный текст на сайте "Иксмедиа"

Система управления доступом RooX UIDM теперь совместима с РЕД ОС

27 февраля 2024

RooX и РЕД СОФТ подтвердили совместимость системы аутентификации и авторизации RooX UIDM с операционной системой РЕД ОС. Теперь бизнесу доступно совместное решение для безопасного управления доступом, а также для построения импортонезависимых ИТ-экосистем.

 

Кирилл Семион, АНО «НЦК ИСУ»: лидерами по импортозамещению ПО SAP в России выступают РЖД, «Росатом» и «Газпромнефть»

26 февраля 2024

Разрешение BAFA на экспорт в Россию немецкого ПО появилось в результате усилий корпорации SAP по восстановлению приема платежей от российских организаций, считают в АНО «НЦК ИСУ».

 

В Ленобласти внедрена цифровая форма социальной услуги по санаторно-курортному лечению

26 февраля 2024

В Ленинградской области по инициативе комитета цифрового развития Ленинградской области запущен новый сервис «N3.Электронные сертификаты на санаторно-курортное обслуживание».

 

Sellty: до 2025 года 30% российских оптовых компаний перейдет на B2B-порталы

26 февраля 2024

Аналитики Sellty, разработчика облачного сервиса для быстрого запуска B2B-интернет-магазина, прогнозируют рост спроса на B2B-порталы в 2024 году минимум вполовину.

 

«Системный софт» и QTECH заключили соглашение о партнерстве

22 февраля 2024

Компания «Системный софт» объявляет о начале сотрудничества с российским производителем телекоммуникационного и ИТ-оборудования QTECH. В рамках партнерства компании предложат заказчикам надежные современные решения для создания импортонезависимой инфраструктуры.