Выполнить требования регуляторов к организации ИТ-ландшафта и обеспечению его безопасности в целом ряде случаев позволяет частное облако. Сегодня эта модель подходит и для развертывания ГИС и ИСПДн.
Нормативная база
Компании с госучастием, работающие с информационными системами персональных данных (ИСПДн), обладающие критической информационной инфраструктурой (КИИ), операторы государственных информационных систем (ГИС) – все они сталкиваются с необходимостью выполнения многочисленных и разнообразных требований регуляторов. При отсутствии должной экспертизы это может стать головной болью для ИТ-отдела и руководства компании.
Для ГИС регуляторные требования сформулированы в Приказе ФСТЭК России от 11.02.2023 № 17, Приказе ФСБ России от 24.10.2022 № 524 и методическом документе ФСТЭК России «Меры защиты информации в государственных информационных системах». Для ИСПДн важны два документа – Постановление Правительства РФ от 01.11.2012 № 1119 и Приказ ФСТЭК России от 18.02.2013 № 21.
Варианты решения
Даже приведенного выше перечня документов достаточно, чтобы поставить перед компанией сложную задачу. Для выполнения всего комплекса регуляторных требований необходимо выстроить собственную всесторонне защищенную инфраструктуру. Однако можно воспользоваться готовыми решениями, которые предлагают облачные провайдеры.
Облачные сервисы позволяют отказаться от капитальных затрат и необходимости обслуживания физической инфраструктуры, снять с компании бремя административно-организационных задач. Кроме того, продвинутые решения в сфере безопасности обеспечат высокий уровень надежности.
В то же время размещение информационных систем в публичном облаке может быть неприемлемо из-за принятых в компании политик безопасности. Выходом в таком случае может стать частное облако на базе инфраструктуры провайдера. Комплекс требований к аттестации ГИС в частном облаке сформулирован в нескольких пунктах Приказа ФСТЭК № 17. Попробуем разобраться.
Аттестация: что нужно
Для ГИС, в отличие от ИСПДн, аттестация обязательна. При этом, чтобы исключить факторы предвзятости и заинтересованности, проведение аттестации лицами, которые осуществляют проектирование систем защиты для ГИС, не допускается.
Если информационная система создается на базе ЦОДа или же если ГИС будет размещаться в облаке, то и инфраструктура дата-центра (облачного провайдера) должна быть аттестована по классу не ниже, чем класс ГИС. Обязательны к применению сертифицированные средства защиты (в случае ИСПДн это требование отсутствует).
Средства виртуализации вычислительных ресурсов, которые используются в ГИС высокого класса защиты, должны соответствовать 4-му классу, а именно – функционировать в среде хостовой операционной системы, соответствующей 4-му уровню доверия; блокировать запуск виртуальных машин при выявлении нарушения целостности файлов первичного загрузчика и/или исполняемых файлов гостевой ОС; обеспечивать резервное копирование сведений о событиях безопасности и т.д.
Кроме того, необходима сертификация средств виртуализации на соответствие требованиям по обеспечению безопасности информации. Также требуется и сертификация маршрутизаторов, которые выбираются при проектировании новых или модернизации существующих информационных систем с выходом в интернет. Наконец, в ГИС с информацией высокого уровня значимости применяются средства криптографической защиты класса от КС2 до КВ в зависимости от масштаба.
Когда оператор размещает ГИС в облаке или в ЦОДе стороннего провайдера, зоны ответственности оператора ГИС и поставщика услуг разграничиваются. Разграничение описано в методике моделирования угроз ФСТЭК и зависит от типа выбранного сервиса (рис. 1).
