Як хмара допомагає отримати атестат відповідності КСЗІ
31.03.2021
«Інформація ― кисень сучасного світу», ― говорив Рональд Рейган. Саме тому її потрібно ретельно захищати.
Статистика компанії Symantec показує, що за місяць інтернет-пристрої фіксують в середньому 5200 кібератак. У 2020 році посилились атаки вірусів-шифрувальників. Це шкідливе ПЗ, яке блокує роботу і може вимагати викуп. Найчастіше жертвами атак були великі компанії. Їм важливо підтримувати роботу і вони можуть заплатити будь-яку суму. У таких ситуаціях на допомогу приходить комплексна система захисту інформації (КСЗІ). Що це, як її побудувати та де тут хмарні технології, розповідаємо нижче.
Що таке КСЗІ
Комплексна система захисту інформації (КСЗІ) ― це взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів та методів захисту інформації.
Таке визначення дає Закон України «Про захист інформації в інформаційно-телекомунікаційних системах». Якщо говорити простіше, КСЗІ ― це всі ваші дії для захисту інформації.
Завдання КСЗІ:
- своєчасне виявлення та усунення загроз інформаційній безпеці;
- обмеження можливості несанкціонованого перехоплення інформації з каналів передачі;
- створення резервних копій критично важливої інформації;
- аудит стану IT-інфраструктури та прогноз змін зовнішнього та внутрішнього середовища;
- відновлення інформаційних систем при пошкодженні.
Питання про будівництво КСЗІ регулюється багатьма документами. Серед них:
- ЗУ «Про інформацію»;
- ЗУ «Про захист персональних даних»;
- ЗУ «Про захист інформації в інформаційно-телекомунікаційних системах»;
- постанова КМУ «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах»;
- документ з технічного захисту інформації 3.7-003-05 «Порядок проведення робіт зі створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі».
Етапи створення КСЗІ
Створення системи комплексного захисту інформації складається з двох етапів: побудова та сертифікація. Будувати може будь-яка компанія, яка на цьому спеціалізується. Навіть сам замовник може це зробити, якщо у нього в штаті є фахівець з профільною освітою та досвідом. Сертифікацію має право проводити лише організація, яка має ліцензію.
Побудова
Перший етап. Обстеження середовищ функціонування ІТС.
Фахівці компанії, яка робить аудит ІТС компанії-замовника, аналізують її архітектуру.
Другий етап. Розробка політики безпеки інформації в ІТС.
У цей момент відбувається вибір основних рішень з протидії всім загрозам. Також формуються загальні вимоги та правила, що визначають, які технології захисту інформації будуть використовуватися в ІТС замовника.
Третій етап. Розробка технічного завдання на створення КСЗІ.
Технічне завдання ― важливий документ. У ньому вказані вимоги щодо захисту інформації, порядок створення КСЗІ та проведення всіх видів випробувань, а також введення в експлуатацію.
Четвертий етап. Розробка проекту КСЗІ.
П'ятий етап. Введення КСЗІ в дію та оцінка захищеності інформації.
Після того, як замовник проходить всі ці етапи, він передає опис побудови системи захисту для проходження експертизи.
Сертифікація
Державна експертиза КСЗІ ― важливий етап випробувань ІТС. Сертифікаційна організація приходить на підприємство та визначає відповідність КСЗІ технічним завданням та вимогам щодо захисту інформації, а також можливість введення в експлуатацію у складі ІТС.
Після випробувань, комісія складає найголовніший документ ― експертний висновок. Це додаток до атестату, в якому конкретно зазначено які роботи проведені в системі, яким чином та які перевірки проводились. Якщо Державна служба спеціального зв'язку та захисту інформації України підтверджує експертний висновок, компанія отримує атестат відповідності. Бланк і реєстраційний номер видає Держспецзв'язку, а підпис і печатку ставить організація, яка провела сертифікацію.
Правильне створення та підтримання КСЗІ силами компанії ― трудомісткий та дорогий процес. Один зі способів вирішення цього завдання ― використання хмарних технологій. Компанія може перенести свої IT-сервіси з власного фізичного сервера в хмарну інфраструктуру, яка має сертифікат КСЗІ. Серед українських хмарних операторів такий сертифікат має GigaCloud.
Дві зони відповідальності: хмарного оператора та замовника
Відповідно до ЗУ «Про інформацію» інформація з обмеженим доступом поділяється на конфіденційну, таємну та службову. Хмарний оператор захищає тільки конфіденційну інформацію.
Комплексна система захисту інформації включає набір інструментів для захисту даних на різних рівнях. Хмарний оператор забезпечує:
- фізичний захист серверів, розміщених в ЦОД;
- захист системи життєдіяльності для ЦОД;
- віртуалізацію;
- резервне копіювання віртуальних машин (Veeam Backup).
Замовник будує КСЗІ для захисту:
- операційної системи на віртуальних машинах;
- баз даних;
- прикладного програмного забезпечення;
- фізичних робочих місць працівників;
- каналів передачі інформації з фізичного робочого місця до ЦОД.
Замовник отримує ізольований контейнер, до якого фахівці хмарного оператора не мають доступу. Замовник сам встановлює в ньому програмне забезпечення, сам адмініструє сервіси та налаштовує доступи. Оператор забезпечує лише безпеку цього контейнера.
GigaCloud атестував весь апаратно-програмний комплекс. Це два ЦОД ― GigaCenter та BeMobile, з'єднані зашифрованим каналом зв'язку з використанням сертифікованого криптографічного засобу захисту. Атестацію КСЗІ пройшов і його партнер телеком-провайдер GigaTrans. Його захищені канали зв'язку хмарний оператор пропонує замовнику для з'єднання фізичного робочого місця з хмарою. В результаті клієнти отримують захищені хмарні ресурси та канали Інтернету з одних рук. Сервіси працюватимуть швидко та без збоїв, а особисті дані клієнтів не будуть видалені або втрачені.
Кому необхідно будувати КСЗІ
КСЗІ потрібно будувати для захисту держресурсів та інформації з обмеженим доступом. Так, Міністерство економічного розвитку та торгівлі розмістило портал онлайн-аналітики державних підприємств ProZvit в хмарі, яка має сертифікат відповідності. Власним силами Міністерство не могло забезпечити належний рівень захисту своїх серверів.
Також будувати КСЗІ можуть компанії із таких сфер:
- розробки інформаційно-телекомунікаційних систем;
- програмування;
- медицини;
- освіти;
- тендерні майданчики.
Наприклад, Health24. Для реєстрації нових клінік, приватних кабінетів і пацієнтів, медична інформаційна система збирає масу персональних даних. Щоб працювати з державною електронною системою eHealth, ця інформація має бути захищена відповідно до Закону України. Health24 була необхідна серверна інфраструктура, яка відповідає вимогам держави. В результаті розробники розмістили систему в хмарі GigaCloud.
Які документи отримує замовник від хмарного оператора
Хмарний оператор надає:
- Атестат відповідності КСЗІ. Замовник повинен обов'язково підкласти його під свою документацію.
- Паспорт-формуляр ― технічний документ, у якому описані всі сервери, комутатори, маршрутизатори, мережеві екрани і т.п. У нього замовник додає опис програмного забезпечення.
- Короткий зміст експертного висновку. У ньому описані майданчики з номерами стійок, на яких може розміщуватися клієнт. У ЦОД сертифіковані, як правило, не всі стійки, оскільки не всім компаніям потрібен атестат. Також є опис технологій, які використовує оператор для побудови хмари.
Переваги розміщення у хмарі
Розміщуючи свою IT-інфраструктуру в хмарі з атестатом відповідності КСЗІ, в технічному проекті КСЗІ замовник описує не три блоки ― фізичне розміщення, апаратний і програмний шар, а всього один. Два нижніх рівні закриває сертифікат оператора. Це прискорює етап проходження атестації.
Розміщення у хмарі, яка пройшла атестацію по КСЗІ ― це не лише пряма гарантія виконання ЗУ «Про захист інформації в ІТС». Міграція у хмарну інфраструктуру ― це можливість створити систему, яка буде працювати без зупинки в режимі 24/7. Хмара дозволяє оптимізувати бізнес-процеси, швидко запускати та згортати проекти, гнучко керувати об'ємом технічних ресурсів, надійно зберігати критичні дані та економити гроші для розвитку.
- «Про захист інформації в інформаційно-телекомунікаційних системах». Якщо говорити простіше, КСЗІ ― це всі ваші дії для захисту інформації.