Рубрикатор |
Статьи | ИКС № 2 2018 |
Булат ГУЗАИРОВ | 05 сентября 2018 |
ЦОДы и безопасность ГИС
О задачах ЦОДов, предоставляющих услуги государственным структурам, – Булат Гузаиров, руководитель отдела серверных технологий компании «ICL Системные Технологии».
– Появление облачных технологий позволило перенести заботы о поддержании работоспособности вычислительной инфраструктуры на провайдера предоставляемых услуг. В сторону централизованного получения услуг по сервисной модели движется развитие информационных систем по всему миру и в том числе в России.
– С какими задачами информационной безопасности сталкивается ЦОД, размещающий у себя государственные информационные системы?
– В прошлом году было принято Постановление Правительства РФ от 11.05.2017 № 555, которое предписывает, что вопросы информационной безопасности должны быть решены до ввода ГИС в промышленную эксплуатацию. Соответственно, ЦОД, который хочет размещать у себя ГИС, заранее должен соответствовать требованиям безопасности.
В частности, он должен быть аттестован на соответствие требованиям приказа ФСТЭК России от 11.02.2013 № 17 для размещения ГИС. Это не так просто – методики аттестации не сформированы. Есть новые указания ФСТЭК России о том, что аттестацию ЦОДа, в котором размещается ГИС, проводить надо, но как конкретно это делать, точно не определено.
Новая проблема – вступивший в этом году в силу Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (от 26.07.2017 № 187‑ФЗ). Если информационная система клиента – субъекта КИИ развернута в ЦОДе и предоставляется ему по сервисной модели, то она является объектом КИИ и на нее распространяются все требования 187-ФЗ.
– Какие сложности возникают при предоставлении облачных услуг?
– В случае ГИС надо учитывать, что приказ ФСТЭК России от 11.02.2013 № 17 содержит требования, которые применяются не только к ЦОДу до уровня виртуализации, но и к прикладным системам. ЦОДу трудно выполнить требования, предъявляемые ко всем системам, которые потенциально могут в нем быть размещены.
ЦОД может выбрать два пути. Самый простой – обеспечивать информационную безопасность уровня IaaS, а все, что «выше», оставлять в зоне ответственности заказчика. И заключить с ним договор, в котором подробно разграничиваются зоны ответственности.
Если коммерческий ЦОД обладает возможностями центра обнаружения и предотвращения компьютерных атак (Security Operation Center, SOC) и соответствующими лицензиями ФСТЭК и ФСБ, то может взяться за проектирование системы безопасности клиента, ее реализацию и эксплуатацию.
– Какие проблемы создает требование об использовании сертифицированных средств защиты?
– Согласно приказу ФСТЭК России от 11.02.2013 № 17, системы безопасности ГИС должны быть реализованы на сертифицированных средствах защиты. Это накладывает серьезные ограничения на перечень используемых средств. В частности, они должны проходить сертификацию на отсутствие недекларированных возможностей. Проверка требует раскрытия кода, к чему не готовы многие западные компании.
Срок действия сертификатов рано или поздно истекает. У средства защиты сертификат действует три года, а потом может случиться так, что производитель «разочаровался» в рынке России и дальше сертифицировать продукт не будет. Поддержка продолжает предоставляться, патчи выпускаются, а срок действия сертификата истек. Безопасность обеспечивается, но, в соответствии с требованиями регуляторов, нужно искать другое средство защиты с действительным сертификатом. А это большие капитальные затраты.
Беседовал Николай Носов