12 февраля 2024

Облачный атлас: частный выход из общего тупика

Выполнить требования регуляторов к организации ИТ-ландшафта и обеспечению его безопасности в целом ряде случаев позволяет частное облако. Сегодня эта модель подходит и для развертывания ГИС и ИСПДн. 

Нормативная база
 
Компании с госучастием, работающие с информационными системами персональных данных (ИСПДн), обладающие критической информационной инфраструктурой (КИИ), операторы государственных информационных систем (ГИС) – все они сталкиваются с необходимостью выполнения многочисленных и разнообразных требований регуляторов. При отсутствии должной экспертизы это может стать головной болью для ИТ-отдела и руководства компании. 
 
Для ГИС регуляторные требования сформулированы в Приказе ФСТЭК России от 11.02.2023 № 17, Приказе ФСБ России от 24.10.2022 № 524 и методическом документе ФСТЭК России «Меры защиты информации в государственных информационных системах». Для ИСПДн важны два документа – Постановление Правительства РФ от 01.11.2012 № 1119 и Приказ ФСТЭК России от 18.02.2013 № 21.
 
Варианты решения
 
Даже приведенного выше перечня документов достаточно, чтобы поставить перед компанией сложную задачу. Для выполнения всего комплекса регуляторных требований необходимо выстроить собственную всесторонне защищенную инфраструктуру. Однако можно воспользоваться готовыми решениями, которые предлагают облачные провайдеры. 
 
Облачные сервисы позволяют отказаться от капитальных затрат и необходимости обслуживания физической инфраструктуры, снять с компании бремя административно-организационных задач. Кроме того, продвинутые решения в сфере безопасности обеспечат высокий уровень надежности. 
 
В то же время размещение информационных систем в публичном облаке может быть неприемлемо из-за принятых в компании политик безопасности. Выходом в таком случае может стать частное облако на базе инфраструктуры провайдера. Комплекс требований к аттестации ГИС в частном облаке сформулирован в нескольких пунктах Приказа ФСТЭК № 17. Попробуем разобраться.
 
Аттестация: что нужно
 
Для ГИС, в отличие от ИСПДн, аттестация обязательна. При этом, чтобы исключить факторы предвзятости и заинтересованности, проведение аттестации лицами, которые осуществляют проектирование систем защиты для ГИС, не допускается.
 
Если информационная система создается на базе ЦОДа или же если ГИС будет размещаться в облаке, то и инфраструктура дата-центра (облачного провайдера) должна быть аттестована по классу не ниже, чем класс ГИС. Обязательны к применению сертифицированные средства защиты (в случае ИСПДн это требование отсутствует).
 
Средства виртуализации вычислительных ресурсов, которые используются в ГИС высокого класса защиты, должны соответствовать 4-му классу, а именно – функционировать в среде хостовой операционной системы, соответствующей 4-му уровню доверия; блокировать запуск виртуальных машин при выявлении нарушения целостности файлов первичного загрузчика и/или исполняемых файлов гостевой ОС; обеспечивать резервное копирование сведений о событиях безопасности и т.д.
 
Кроме того, необходима сертификация средств виртуализации на соответствие требованиям по обеспечению безопасности информации. Также требуется и сертификация маршрутизаторов, которые выбираются при проектировании новых или модернизации существующих информационных систем с выходом в интернет. Наконец, в ГИС с информацией высокого уровня значимости применяются средства криптографической защиты класса от КС2 до КВ в зависимости от масштаба.
 
Когда оператор размещает ГИС в облаке или в ЦОДе стороннего провайдера, зоны ответственности оператора ГИС и поставщика услуг разграничиваются. Разграничение описано в методике моделирования угроз ФСТЭК и зависит от типа выбранного сервиса (рис. 1).
 
Полный текст на сайте "Иксмедиа"

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар iTrend «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

19 апреля 2024

23 апреля в 15:00 пройдет открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов». Организаторы — коммуникационное агентство iTrend, ассоциация РУССОФТ и консалтинговая группа BITOBE.

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 

iTrend: интерес деловых СМИ к ИТ вырос в 6 раз за последние пять лет

20 марта 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали, как менялся медиаландшафт в ИТ-индустрии в последние пять лет. В компании сравнили количество упоминаний крупнейших российских разработчиков и системных интеграторов в деловых СМИ и пришли к выводу, что об ИТ-компаниях стали писать в 6 раз чаще.

 
Все новости iTrend