Ежегодно российские компании создают десятки тысяч информационных систем на базе инфраструктуры провайдеров. Облачные технологии активно развиваются в разных отраслях. В том числе, их используют для обработки персональных данных и других задач, подпадающих под требования ФСТЭК и международных стандартов вроде PCI DSS.
Меня зовут Андрей Давид, я руководитель отдела продуктов информационной безопасности в Selectel. В этой статье расскажу, как создавать аттестованные системы на нашей инфраструктуре и что нужно учитывать. Подробности под катом.
Когда нужна аттестация
Наиболее часто аттестацию проводят, когда нужно создать государственную информационную систему для обработки персональных данных, или если информационная система — государственная, (ГИС). А также в случае подключения создаваемой системы или сайта к ГИС. Рассмотрим сценарии подробнее.
Сценарий 1. Необходимо аттестовать систему на выполнение требований 17 приказа ФСТЭК с применением сертифицированных средств защиты информации. Проще говоря, аттестация нужна, если вы планируете создать государственную информационную систему.
Сценарий 2. Нужно оценить эффективность принимаемых мер защиты информационной системы, обрабатывающей персональные данные. При этом ее можно провести двумя способами: самостоятельно (без проведения аттестации) или в форме аттестации с помощью специализированных компаний-лицензиатов.
Сценарий 3. Со стороны заказчика есть запрос, чтобы система выполняла требования 21/17 приказа ФСТЭК и подтверждалась в форме аттестации.
Сценарий 4. Систему нужно интегрировать с другими информационными системами, владельцы которых требуют соблюдения 21/17 приказа ФСТЭК и подтверждения их выполнения в форме аттестации.
Необходимость аттестации часто зависит от обрабатываемых данных и отрасли, в которой работает компания. Лицензиат ФСТЭК проводит аттестацию, которая, в свою очередь, накладывает дополнительные ограничения на работу с информационной системой.
Когда IaaS актуальна для аттестованных систем
Чтобы создаваемая система выполняла все бизнес-задачи, необходимо организовать подходящую IT-инфраструктуру. Часто заказчики обращаются к компании, проводящей аттестацию, когда система уже создана. Однако иногда выбор подходящей для проведения аттестации инфраструктуры происходит совместно.
Обычно для аттестованных систем используют локальную IT-инфраструктуру, но все чаще компании размещают свои системы на базе IaaS провайдера. При этом причины выбора часто зависят от задач и условий, в которых система создается.
Обычно у одной компании есть системы с разными требованиями к безопасности. Первым достаточно 152-ФЗ, вторым нужна аттестация по 17 приказу ФСТЭК, третьим — полностью изолированное окружение.
Все эти требования помогают выполнять более 40 инфраструктурных сервисов Selectel. С помощью них также можно развертывать облака для тестовых стендов и переменных нагрузок, серверы для высоконагруженных приложений и выделенные серверы в аттестованном сегменте ЦОД. Последние подходят для особо требовательных к безопасности систем и баз данных.
Рассмотрим примеры задач, в которых может понадобиться аттестация с помощью инфраструктурных решений провайдера.
Тестирование продуктовых гипотез
Часто компании тестируют в облаке провайдера продуктовые гипотезы, при этом ключевые бизнес-процессы остаются на собственных мощностях. Облако позволяет быстро создать необходимую IT-инфраструктуру и так же быстро «свернуть» после завершения тестирования. При этом оплата требуется только при использовании ресурсов.
Если происходит обмен данными и основная инфраструктура аттестована, к облаку и каналам связи как правило предъявляются аналогичные требования.
Круглосуточная обработка чувствительных данных
Большая часть компаний из регулируемых отраслей стали нашими клиентами, когда им понадобилось модернизировать свои аттестованные системы, чтобы соответствовать требованиям по надежности. Например, в медицинские сайты и приложения интегрируют личные кабинеты, с помощью которых пользователи могут записываться к врачам.
К инфраструктуре таких приложений предъявляются более высокие требования по надежности, поскольку они круглосуточно предоставляют доступ к чувствительным данным: результатам анализов или записям на прием. Использование надежной IT-инфраструктуры провайдера позволяет снизить вероятность простоев из-за неполадок с электричеством, оборудованием или сетью, а также повысить надежность работы приложения.
Масштабирование систем
При проектировании высоконагруженной системы требования к производительности и системе хранения данных зависят от многих факторов. В таких сценариях наиболее актуально масштабирование, которое может обеспечить провайдер IT-инфраструктуры.
По началу можно использовать несколько высокопроизводительных серверов, а по мере развития системы — добавлять требуемые ресурсы, в том числе более производительные аппаратные межсетевые экраны.
Пример такой системы — корпоративный или коммерческий Security Operation Center, который может масштабироваться и выполнять требования для защиты обрабатываемых данных.
Построение геораспределенных систем
Для большей отказоустойчивости государственные системы обычно распределяют между разными регионами. Также геораспределение применяют для резервирования инфраструктуры на базе стороннего дата-центра. Причем иногда клиенты предпочитают использовать собственную площадку в качестве резервной, а продуктивные системы переносят на серверы провайдера, у которого, как правило, есть несколько площадок. Например, Selectel предоставляет аттестованную инфраструктуру в Москве, Санкт-Петербурге, Ленинградской области и Новосибирске.
Импортозамещение
Облачная платформа Selectel зарегистрирована в реестре отечественного ПО и аттестована по 21/17 приказам ФСТЭК. Это позволяет полностью выполнять требования по миграции с зарубежных систем виртуализации на российские технологии.
Оперативное развертывание аттестованный инфраструктуры
При использовании аттестованной IaaS подготовка инфраструктуры сокращается с нескольких недель (обычно столько уходит на развертывание on-premise) до нескольких дней, если необходимы физические мощности, и пары минут, если виртуальные.
Готовая IaaS позволяет бизнесу максимально сократить time-to-market при минимальных инвестициях: гораздо проще обратиться к провайдеру, чем инвестировать в собственное оборудование и средства защиты информации.
Как мы помогаем при проведении аттестации
Быстрая миграция
При подготовленной IT-инфраструктуре аттестация информационной системы происходит заметно быстрее и проще. За счет того, что провайдер готов делиться экспертизой, наработанной на сотнях миграций из on-premise, а процессы заказа услуг автоматизированы.
Предоставление УЗ-1 и К1
В соответствии с 17 приказом ФСТЭК класс защищенности информационной системы не должен быть выше класса защищенности информационно-телекоммуникационной инфраструктуры дата-центра, в котором она развернута. Selectel предоставляет копии аттестатов соответствия (УЗ-1, К-1) для аттестованной зоны доступности публичного облака и аттестованного сегмента ЦОД. Это значит, что вы можете аттестовать систему с максимальными требованиями, используя инфраструктуру Selectel.
Открытость и информирование
Для проведения оценки эффективности мер защиты информации (аттестации) Selectel предоставляет клиентам выписку из модели угроз безопасности персональных данных. Это предусматривают методика оценки угроз ФСТЭК от 5 февраля 2021 года и 17 приказ ФСТЭК.
Если клиент использует дополнительные средства защиты информации, Selectel предоставляет акты их установки и размещения оборудования в стойке. Чтобы получить документы, достаточно создать тикет в панели управления.
Шаблоны документов можно получить на странице услуги:
→ выписку из модели угроз,
→ акт установки средств защиты информации,
→ аттестат на инфраструктуру,
→ cхему размещения оборудования в стойке.
Что нужно учесть при создании аттестованных систем на базе IaaS
Предпроектное обследование
Именно на этом этапе часто выясняется, что система клиента работает с применением IaaS какого-либо поставщика. В этом случае, если инфраструктура не выполняет необходимых требований, нужно рассмотреть альтернативные варианты — например, миграцию в другие облака.
Если система уже функционирует или будет разворачиваться on-premise, важно оценить, насколько для системы важна отказоустойчивость, масштабируемость и другие свойства. На этом этапе важно уточнить эти задачи и мигрировать, либо учесть их при разработке нового проекта с применением готовой аттестованной инфраструктуры провайдера.
Моделирование угроз безопасности
Клиент ответственен за определение актуальных угроз для своей системы, размещенной в Selectel. Он может выполнить это требование самостоятельно или с привлечением внешнего консультанта по безопасности. По запросу, в соответствии с 17 приказом и методикой оценки угроз ФСТЭК, мы предоставляем результаты оценки угроз безопасности для предоставляемой инфраструктуры через тикет-систему.
Результаты можно использовать при дальнейшей оценке угроз безопасности системы клиента. После того, как модель угроз безопасности инфраструктуры получена и проанализирована, рассмотрены все актуальные угрозы, готовится модель угроз для информационной системы клиента.
Проектирование системы защиты
Существенно упростить проектирование помогут типовые средства защиты информации, которые предоставляет провайдер в виде готовых сервисов и подписок.
Иногда бывает сложно определить, какой производительности межсетевого экрана и системы обнаружения вторжений будет достаточно. Это особенно проблематично для вновь создаваемых систем, потому что можно по ошибке купить излишне мощное оборудование.
Используйте межсетевые экраны UserGate VE в облаке. Их легко обновлять до более мощных версий: достаточно перезаказать услугу и добавить ресурсов для облачного сервера, на базе которого запущен межсетевой экран. Важно учесть возможность такого апгрейда еще на этапе создания документации для процесса аттестации. Так можно застраховать себя от дополнительных правок в актах и затрат на переаттестацию в будущем.
Готовые услуги и сервисы внушают уверенность, что система будет корректно работать в IT-инфраструктуре провайдера. Например, инженеры Selectel проводят самостоятельное тестирование аппаратных модулей доверенной загрузки с материнскими платами выделенных серверов произвольной конфигурации.
Значит, для создания систем с требованиями УЗ-2, К-2 и выше, в аттестованном сегменте ЦОД инженеры помогут подобрать серверы, совместимые с аппаратными средствами защиты. Это существенно упрощает работу интегратора и клиента, а создаваемая система будет функционировать в штатном режиме.
При аттестации системы иногда проектируются дополнительные средства защиты информации, для работы которых нужны дополнительные ресурсы. Не всегда заказчик готов их предоставить on-premise, а сроки поставки могут значительно задержать работы.
В случае с IaaS даже требовательная к ресурсам SIEM-систем IT-инфраструктура предоставляется от нескольких минут (если облако) и дней (если физические серверы).
Проведение аттестационных испытаний
Мы регулярно проводим внутренние и внешние аудиты безопасности нашей инфраструктуры, делимся результатами оценки угроз безопасности для оказываемых услуг и даже организуем экскурсии по дата-центрам.
Подобная открытость, выполнения мер безопасности в соответствии с рекомендациями ФСТЭК, позволяет интеграторам проводить аттестационные испытания только для систем клиентов, используя результаты испытаний инфраструктуры провайдера.
Несмотря на это, бывают ситуации, когда при создании особо требовательных к безопасности систем необходимо провести аттестационные испытания с присутствием представителей клиентов и специалистов лицензиата ФСТЭК. Это возможно при использовании услуги «Аттестованный сегмент ЦОД». При этом обеспечивается доступ к стойкам с оборудованием только одного клиента
Как стать партнером Selectel при создании аттестованных систем
В Selectel действует партнерская программа. Вы можете стать партнером и привлекать новых клиентов — рефералов. Если по вашей реферальной ссылке в панели управления зарегистрируется клиент, вы будете получать вознаграждение — процент от суммы, которую реферал тратит на услуги каждый месяц. Вознаграждение можно потратить на оплату услуг или вывести деньги на счет.
Вознаграждение выплачивается каждый месяц. Процент вознаграждения — от 10%. Он зависит от суммы, которую реферал потратил на услуги в предыдущем календарном месяце (например, с 1 по 31 августа). За некоторые услуги вознаграждение не начисляется.
О том, как вступить в партнерскую программу и зарабатывать на новых клиентах, мы рассказали в документации.
Возможно, эти тексты тоже вас заинтересуют:
→ Ловкость рук, четкость алгоритма и никакого мошенничества: чек-лист для дизайнеров интерфейсов и фронтенд-разработчиков
→ Пора перевести стрелки часов: послание ученым на 2024 год
→ Как сделать консистентный UX для 40+ продуктов. Уроки, которые я извлекла из перезапуска дизайн-системы
