Для хранения и обработки персональных данных или размещения ГИС (государственных информационных систем) современным центрам обработки данных (ЦОД) необходимо обеспечивать требования по защите информации в соответствии с законодательством РФ в частности 149 ФЗ (Об информации, информационных технологиях и о защите информации) и 152 ФЗ (о персональных данных), а также приказов № 17 и № 21 ФСТЭК России.

В Приказе № 17 ФСТЭК России появилось понятие информационной инфраструктуры центра обработки данных (ЦОД), под которой в соответствии с Методическими указаниями по осуществлению учета информационных систем и компонентов информационно-телекоммуникационной инфраструктуры, утвержденными приказом Минкомсвязи России от 31 мая 2013 г. N 127, понимается технологически и территориально обособленные серверные комплексы, включая рабочие станции, предназначенные для обслуживающего персонала, и технологическое оборудование, обеспечивающие функционирование серверов (стойки, источники бесперебойного питания, коммутационное оборудование и кабельные системы).

Архитектура современных ЦОД характеризуется широким применением технологий виртуализации и облачных вычислений, а также предоставлением различных типов облачных услуг потребителям, в частности:

  • аппаратное обеспечение как услуга (HaaS);
  • инфраструктура как услуга (laaS);
  • платформа как услуга (PaaS);
  • программное обеспечение как услуга (SaaS).

В состав информационной инфраструктуры ЦОД (Рисунок 1), как правило входит:

  • сетевое и коммутационное оборудование (маршрутизаторы, коммутаторы и т.п.);
  • серверы для размещения компонентов виртуальной инфраструктуры (консоли управления, гипервизоры и т.п.);
  • средства обеспечения сетевой и информационной безопасности (межсетевые экраны «типа А» и «типа Г», системы обнаружения вторжений уровня сети, системы защиты от DDOS-атак, система контроля действий привилегированных пользователей, система сбора и корреляции событий информационной безопасности, средства защиты среды виртуализации и др. типы СЗИ);
  • автоматизированные рабочие места администраторов;
  • администраторов безопасности ЦОД;
  • иное оборудование (по усмотрению оператора ЦОД).

Состав и содержание технических и организационных мер по обеспечению безопасности информации приведен в приказах № 21 (защита персональных данных) и № 17 (защита информации в ГИС) ФСТЭК России. В данных приказах меры принимаемые по защите информации определяются в соответствии с классом защищенности и уровнем защищенности ПДн ИС использующих инфраструктуру ЦОД. Класс защищенности информационных систем, в том числе ГИС, функционирование которых предполагается на базе инфраструктуры ЦОД, не должен быть выше класса защищенности (уровня защищенности ПДН) самой инфраструктуры ЦОД.

Аттестация ЦОД в соответствии с Требованиями Приказа № 17 ФСТЭК России является обязательной в случае размещения (создания) информационных систем на базе информационной инфраструктуры ЦОД, являющихся ГИС, в остальных случаях проводиться оценка эффективности применяемых мер и средств защиты с целью оценки возможностей по размещению в ЦОД различных типов ИС с учетом требований по обеспечению максимального класса (уровня) защищенности ИС.

Организационные и технические меры защиты информации согласно приказам ФСТЭК России, должны обеспечивать:

  • идентификацию и аутентификацию субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды; защиту машинных носителей информации;
  • регистрацию событий безопасности;
  • антивирусную защиту; обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности информации;
  • целостность информационной системы и информации;
  • доступность информации;
  • защиту среды виртуализации; защиту технических средств; защиту информационной системы, ее средств, систем связи и передачи данных.

Для реализации техническим мер должны применяться средства защиты информации, прошедшие оценку соответствия, в том числе сертифицированные. При прохождении проверок эффективность предпринятых мер необходимо доказать, поэтому использование в своей деятельности сертифицированных средств защиты информации – это наиболее надёжное решение, минимизирующее риски, в том числе возникновения претензий со стороны регуляторов (ФСТЭК России и ФСБ России).

Исходя из нашего опыта аттестаций ЦОД в качестве средств защиты информации часто применяются:

  • средства защиты информации от НСД (например, Secret Net Studio, Secret Net LSP, Dallas Lock и т.п.):
  • средства защиты виртуальной инфраструктуры (например, vGate R2, СЗВИ Dallas Lock, Горизонт-ВС т.п.);
  • средства межсетевого экранирования (C-Терра, АПКШ «Континент», FortiGate, Рубикон и т.п.):
  • средства обнаружения вторжений (Континент-ДА, FortiGate, C-Терра СОВ и т.п.)
  • средства анализа защищенности (MaxPatrol 8, XSpider и т.п.);
  • средства антивирусной защиты (Касперский, Dr.Web и др.);
  • средства криптографической защиты информации (СКЗИ) (C-Терра 4.2, АПКШ «Континент», ViPNet);

а также дополнительно могут применяться системы сбора и корреляции событий информационной безопасности (SIEM) (например, KOMRAD Enterprise SIEM и т.п.), средства предотвращения утечек информации (DLP), средства контроля привилегированного доступа (PAM) и другие классы систем обеспечения информационной безопасности.

Необходимость применения СКЗИ для обеспечения защиты ПДн установлена пунктом 2 нормативного документа «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденного руководством 8 Центра ФСБ России 31 марта 2015 года № 149/7/2/6-432 (далее – «Методические рекомендации ФСБ»).

«Методическими рекомендациями ФСБ» установлены следующие случаи, в которых для обеспечения защиты ПДн необходимо применение СКЗИ:

  • передача ПДн по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, передача ПДн по информационно-телекоммуникационным сетям общего пользования);
  • хранение ПДн на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.

Класс сертифицированных ФСБ России СКЗИ выбирается в соответствии с Приказом № 378 ФСБ России согласно определенным уровнем защищенности обрабатываемых ПДН.

Выполнение полного комплекса работ по защите информации позволит размещать ИСПДн и ГИС (МИС) на базе инфраструктуры ЦОД и снизить риски возникновения инцидентов, связанных с безопасностью информации, а также риски предъявления претензий (как государственными регуляторами, так и юридическими лицами, физическими лицами) в части организации обработки и обеспечения безопасности информации, в том числе персональных данных.

Компания ООО «НАЦ» располагает огромным опытом и всеми необходимыми ресурсами, достаточными для решения подобных задач. Нашими клиентами являются: ООО "ДАТАЛАЙН", ЗАО «1С» (сервис облачных услуг 1С:Фреш), ООО «ИТ-ГРАД», и другие.

Мы готовы ответить на ваши вопросы и подобрать оптимальное решение!