«Информация — кислород современного мира», — говорил Рональд Рейган. Именно поэтому ее нужно тщательно защищать.

Статистика компании Symantec показывает, что за месяц интернет-устройства фиксируют в среднем 5200 кибератак. В 2020 году участились атаки вирусов-шифровальщиков. Это вредоносное ПО, которое блокирует работу и может требовать выкуп. Чаще всего жертвами атак были крупные компании. Им важно поддерживать работу и они могут заплатить вымогателям любую сумму. В таких ситуациях на помощь приходит комплексная система защиты информации (КСЗИ). Что это, как ее построить и где здесь облачные технологии, рассказываем ниже.

Что такое КСЗИ

Комплексная система защиты информации (КСЗИ) ― это взаимосвязанная совокупность организационных и инженерно-технических мероприятий, средств и методов защиты информации.

Такое определение дает Закон Украины «О защите информации в информационно-телекоммуникационных системах». Если говорить проще, КСЗИ ― это все ваши действия по защите информации.

Задачи КСЗИ:

• своевременное обнаружение и устранение угроз информационной безопасности;
• ограничение возможности несанкционированного перехвата информации по каналам передачи;
• создание резервных копий критически важной информации;
• аудит состояния IT-инфраструктуры и прогноз изменений внешней и внутренней среды;
• восстановление информационных систем при повреждении.

Вопрос о строительстве КСЗИ регулируется множеством документов. Среди них:

• ЗУ «Об информации»;
• ЗУ «О защите персональных данных»;
• ЗУ «О защите информации в информационно-телекоммуникационных системах»;
• постановление КМУ «Об утверждении Правил обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах»;
• документ по технической защиты информации 3.7-003-05 «Порядок проведения работ по созданию комплексной системы защиты информации в информационно-телекоммуникационной системе».

Этапы создания КСЗИ

Создание системы комплексной защиты информации состоит из двух этапов: построение и сертификация. Строить может любая компания, которая на этом специализируется. Даже сам заказчик может это сделать, если у него в штате есть специалист с профильным образованием и опытом. Сертификацию имеет право проводить только организация, которая имеет лицензию.

Построение

Первый этап. Обследование сред функционирования ИТС
Специалисты компании, которая делает аудит ИТС компании-заказчика, анализируют ее архитектуру.

Второй этап. Разработка политики безопасности информации в ИТС
В этот момент происходит выбор основных решений по противодействию всем угрозам. Также формируются общие требования и правила которые определяют, какие технологии защиты информации будут использоваться в ИТС заказчика.

Третий этап. Разработка технического задания на создание КСЗИ
ТЗ ― важный документ. В нем указаны требования по защите информации, порядок создания КСЗИ и проведения всех видов испытаний, а также ввод в эксплуатацию.

Четвертый этап. Разработка проекта КСЗИ

Пятый этап. Введение КСЗИ в действие и оценка защищенности информации
После того как заказчик проходит все эти этапы, передает описание построения системы защиты для прохождения экспертизы.

Сертификация

Государственная экспертиза КСЗИ ― важный этап испытаний ИТС. Сертификационная организация приходит на предприятие и определяет соответствие КСЗИ техническому заданию и требованиям по защите информации, а также возможность ввода в эксплуатацию в составе ИТС.

После испытаний, комиссия составляет самый главный документ ― экспертное заключение. Это приложение к аттестату, в котором конкретно указано какие работы проведены в системе, каким образом и какие проверки проводились. Если Государственная служба специальной связи и защиты информации Украины подтверждает экспертное заключение, компания получает аттестат соответствия. Бланк и регистрационный номер выдает Госспецсвязь, а подпись и печать ставит организация, которая проводила сертификацию.

Правильное создание и поддержание КСЗИ силами компании ― трудозатратный и дорогостоящий процесс. Один из способов решения этой задачи ― использование облачных технологий. Компания может перенести свои IT-сервисы из собственного физического сервера в облачную инфраструктуру, которая имеет сертификат КСЗИ. Среди украинских облачных операторов такой сертификат есть у GigaCloud.

Две зоны ответственности: облачного оператора и заказчика

В соответствии с ЗУ «Об информации» информация с ограниченным доступом делится на конфиденциальную, тайную и служебную. Облачный оператор защищает только конфиденциальную информацию.

Комплексная система защиты информации включает набор инструментов для защиты данных на разных уровнях. Облачный оператор обеспечивает:

• физическую защиту серверов размещенных в ЦОД;
• защиту системы жизнедеятельности для ЦОД;
• виртуализацию;
• резервное копирование ВМ (Veeam Backup).

Заказчик строит КСЗИ для защиты:

• операционной системы на виртуальных машинах;
• баз данных;
• прикладного программного обеспечения;
• физических рабочих мест сотрудников;
• каналов передачи информации с физического рабочего места к ЦОД.

Заказчик получает изолированный контейнер, к которому специалисты облачного оператора не имеют доступа. Заказчик сам устанавливает в нем программное обеспечение, сам администрирует сервисы и настраивает доступы. Оператор обеспечивает только безопасность этого контейнера.

GigaCloud аттестовал весь аппаратно-программный комплекс. Это два ЦОД ― GigaCenter и BeMobile, соединенные зашифрованным каналом связи с использованием сертифицированного криптографического средства защиты. Аттестацию КСЗИ прошел и партнер телеком-провайдер GigaTrans. Его защищенные каналы связи облачный оператор предлагает заказчику для соединения физического рабочего места с облаком. В результате клиенты получают защищенные облачные ресурсы и каналы Интернета из одних рук. Сервисы будут работать быстро и без сбоев, а личные данные клиентов не будут удалены или потеряны.

Кому необходимо строить КСЗИ

КСЗИ нужно строить для защиты госресурсов и информации с ограниченным доступом. Так, Министерство экономического развития и торговли разместило портал онлайн-аналитики государственных предприятий ProZvit в облаке, которое имеет сертификат соответствия. Своими силами Министерство не могло дать серверам надлежащий уровень защиты.

Также строить КСЗИ могут компании таких сфер:

• разработки информационно-телекоммуникационных систем (далее ― ИТС);
• программирования;
• медицины;
• образования;
• тендерные площадки.

К примеру,Health24. Для регистрации новых клиник, частных кабинетов и пациентов, медицинская информационная система собирает массу персональных данных. Чтобы работать с государственной электронной системой eHealth, эта информация должна быть защищена согласно Закону Украины. Health24 была необходима серверная инфраструктура, соответствующая требованиям государства. В результате разработчики разместили систему в облаке GigaCloud.

Какие документы получает заказчик от облачного оператора

Облачный оператор предоставляет:

• Аттестат соответствия КСЗИ. Его заказчик должен обязательно подложить под свою документацию.
• Паспорт-формуляр ― технический документ, в котором описаны все серверы, коммутаторы, маршрутизаторы, сетевые экраны и т.п. В него заказчик добавляет описание программного обеспечения.
• Краткое содержание экспертного заключения. В нем описаны площадки с номерами стоек, на которых может размещаться клиент. В ЦОД сертифицированы, как правило, не все стойки, поскольку не всем компаниям нужен аттестат. Также описаны технологии, которые использует оператор для построения облака.

Преимущества размещения в облаке

Размещая свою IT-инфраструктуру в облаке с аттестатом соответствия КСЗИ, в техническом проекте КСЗИ заказчик описывает не три блока ― физическое размещение, аппаратный слой и программный, а всего лишь один. Два нижних уровня закрывает сертификат оператора. Это ускоряет этап прохождения аттестации по КСЗИ.

Размещение в облаке, прошедшем аттестацию по КСЗИ ― это не только прямая гарантия выполнения ЗУ «О защите информации в ИТС». Миграция в облачную инфраструктуру ― это возможность создать систему, которая будет работать без остановки в режиме 24/7. Облако позволяет оптимизировать бизнес-процессы, быстро запускать и сворачивать проекты, гибко управлять объемом технических ресурсов, надежно хранить критичные данные и экономить деньги для развития.