Как облако помогает получить аттестат соответствия КСЗИ
31.03.2021
«Информация — кислород современного мира», — говорил Рональд Рейган. Именно поэтому ее нужно тщательно защищать.
Статистика компании Symantec показывает, что за месяц интернет-устройства фиксируют в среднем 5200 кибератак. В 2020 году участились атаки вирусов-шифровальщиков. Это вредоносное ПО, которое блокирует работу и может требовать выкуп. Чаще всего жертвами атак были крупные компании. Им важно поддерживать работу и они могут заплатить вымогателям любую сумму. В таких ситуациях на помощь приходит комплексная система защиты информации (КСЗИ). Что это, как ее построить и где здесь облачные технологии, рассказываем ниже.
Что такое КСЗИ
Комплексная система защиты информации (КСЗИ) ― это взаимосвязанная совокупность организационных и инженерно-технических мероприятий, средств и методов защиты информации.
Такое определение дает Закон Украины «О защите информации в информационно-телекоммуникационных системах». Если говорить проще, КСЗИ ― это все ваши действия по защите информации.
Задачи КСЗИ:
- своевременное обнаружение и устранение угроз информационной безопасности;
- ограничение возможности несанкционированного перехвата информации по каналам передачи;
- создание резервных копий критически важной информации;
- аудит состояния IT-инфраструктуры и прогноз изменений внешней и внутренней среды;
- восстановление информационных систем при повреждении.
Вопрос о строительстве КСЗИ регулируется множеством документов. Среди них:
- ЗУ «Об информации»;
- ЗУ «О защите персональных данных»;
- ЗУ «О защите информации в информационно-телекоммуникационных системах»;
- постановление КМУ «Об утверждении Правил обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах»;
- документ по технической защиты информации 3.7-003-05 «Порядок проведения работ по созданию комплексной системы защиты информации в информационно-телекоммуникационной системе».
Этапы создания КСЗИ
Создание системы комплексной защиты информации состоит из двух этапов: построение и сертификация. Строить может любая компания, которая на этом специализируется. Даже сам заказчик может это сделать, если у него в штате есть специалист с профильным образованием и опытом. Сертификацию имеет право проводить только организация, которая имеет лицензию.
Построение
Первый этап. Обследование сред функционирования ИТС
Специалисты компании, которая делает аудит ИТС компании-заказчика, анализируют ее архитектуру.
Второй этап. Разработка политики безопасности информации в ИТС
В этот момент происходит выбор основных решений по противодействию всем угрозам. Также формируются общие требования и правила которые определяют, какие технологии защиты информации будут использоваться в ИТС заказчика.
Третий этап. Разработка технического задания на создание КСЗИ
ТЗ ― важный документ. В нем указаны требования по защите информации, порядок создания КСЗИ и проведения всех видов испытаний, а также ввод в эксплуатацию.
Четвертый этап. Разработка проекта КСЗИ
Пятый этап. Введение КСЗИ в действие и оценка защищенности информации
После того как заказчик проходит все эти этапы, передает описание построения системы защиты для прохождения экспертизы.
Сертификация
Государственная экспертиза КСЗИ ― важный этап испытаний ИТС. Сертификационная организация приходит на предприятие и определяет соответствие КСЗИ техническому заданию и требованиям по защите информации, а также возможность ввода в эксплуатацию в составе ИТС.
После испытаний, комиссия составляет самый главный документ ― экспертное заключение. Это приложение к аттестату, в котором конкретно указано какие работы проведены в системе, каким образом и какие проверки проводились. Если Государственная служба специальной связи и защиты информации Украины подтверждает экспертное заключение, компания получает аттестат соответствия. Бланк и регистрационный номер выдает Госспецсвязь, а подпись и печать ставит организация, которая проводила сертификацию.
Правильное создание и поддержание КСЗИ силами компании ― трудозатратный и дорогостоящий процесс. Один из способов решения этой задачи ― использование облачных технологий. Компания может перенести свои IT-сервисы из собственного физического сервера в облачную инфраструктуру, которая имеет сертификат КСЗИ. Среди украинских облачных операторов такой сертификат есть у GigaCloud.
Две зоны ответственности: облачного оператора и заказчика
В соответствии с ЗУ «Об информации» информация с ограниченным доступом делится на конфиденциальную, тайную и служебную. Облачный оператор защищает только конфиденциальную информацию.
Комплексная система защиты информации включает набор инструментов для защиты данных на разных уровнях. Облачный оператор обеспечивает:
- физическую защиту серверов размещенных в ЦОД;
- защиту системы жизнедеятельности для ЦОД;
- виртуализацию;
- резервное копирование ВМ (Veeam Backup).
Заказчик строит КСЗИ для защиты:
- операционной системы на виртуальных машинах;
- баз данных;
- прикладного программного обеспечения;
- физических рабочих мест сотрудников;
- каналов передачи информации с физического рабочего места к ЦОД.
Заказчик получает изолированный контейнер, к которому специалисты облачного оператора не имеют доступа. Заказчик сам устанавливает в нем программное обеспечение, сам администрирует сервисы и настраивает доступы. Оператор обеспечивает только безопасность этого контейнера.
GigaCloud аттестовал весь аппаратно-программный комплекс. Это два ЦОД ― GigaCenter и BeMobile, соединенные зашифрованным каналом связи с использованием сертифицированного криптографического средства защиты. Аттестацию КСЗИ прошел и партнер телеком-провайдер GigaTrans. Его защищенные каналы связи облачный оператор предлагает заказчику для соединения физического рабочего места с облаком. В результате клиенты получают защищенные облачные ресурсы и каналы Интернета из одних рук. Сервисы будут работать быстро и без сбоев, а личные данные клиентов не будут удалены или потеряны.
Кому необходимо строить КСЗИ
КСЗИ нужно строить для защиты госресурсов и информации с ограниченным доступом. Так, Министерство экономического развития и торговли разместило портал онлайн-аналитики государственных предприятий ProZvit в облаке, которое имеет сертификат соответствия. Своими силами Министерство не могло дать серверам надлежащий уровень защиты.
Также строить КСЗИ могут компании таких сфер:
- разработки информационно-телекоммуникационных систем (далее ― ИТС);
- программирования;
- медицины;
- образования;
- тендерные площадки.
К примеру,Health24. Для регистрации новых клиник, частных кабинетов и пациентов, медицинская информационная система собирает массу персональных данных. Чтобы работать с государственной электронной системой eHealth, эта информация должна быть защищена согласно Закону Украины. Health24 была необходима серверная инфраструктура, соответствующая требованиям государства. В результате разработчики разместили систему в облаке GigaCloud.
Какие документы получает заказчик от облачного оператора
Облачный оператор предоставляет:
- Аттестат соответствия КСЗИ. Его заказчик должен обязательно подложить под свою документацию.
- Паспорт-формуляр ― технический документ, в котором описаны все серверы, коммутаторы, маршрутизаторы, сетевые экраны и т.п. В него заказчик добавляет описание программного обеспечения.
- Краткое содержание экспертного заключения. В нем описаны площадки с номерами стоек, на которых может размещаться клиент. В ЦОД сертифицированы, как правило, не все стойки, поскольку не всем компаниям нужен аттестат. Также описаны технологии, которые использует оператор для построения облака.
Преимущества размещения в облаке
Размещая свою IT-инфраструктуру в облаке с аттестатом соответствия КСЗИ, в техническом проекте КСЗИ заказчик описывает не три блока ― физическое размещение, аппаратный слой и программный, а всего лишь один. Два нижних уровня закрывает сертификат оператора. Это ускоряет этап прохождения аттестации по КСЗИ.
Размещение в облаке, прошедшем аттестацию по КСЗИ ― это не только прямая гарантия выполнения ЗУ «О защите информации в ИТС». Миграция в облачную инфраструктуру ― это возможность создать систему, которая будет работать без остановки в режиме 24/7. Облако позволяет оптимизировать бизнес-процессы, быстро запускать и сворачивать проекты, гибко управлять объемом технических ресурсов, надежно хранить критичные данные и экономить деньги для развития.