Аттестация ЦОД

Для хранения и обработки персональных данных или размещения ГИС (государственных информационных систем) современным центрам обработки данных (ЦОД) необходимо обеспечивать требования по защите информации в соответствии с законодательством РФ в частности 149 ФЗ (Об информации, информационных технологиях и о защите информации) и 152 ФЗ (о персональных данных), а также приказов № 17 и № 21 ФСТЭК России.

В Приказе № 17 ФСТЭК России появилось понятие информационной инфраструктуры центра обработки данных (ЦОД), под которой в соответствии с Методическими указаниями по осуществлению учета информационных систем и компонентов информационно-телекоммуникационной инфраструктуры, утвержденными приказом Минкомсвязи России от 31 мая 2013 г. N 127, понимается технологически и территориально обособленные серверные комплексы, включая рабочие станции, предназначенные для обслуживающего персонала, и технологическое оборудование, обеспечивающие функционирование серверов (стойки, источники бесперебойного питания, коммутационное оборудование и кабельные системы).

Архитектура современных ЦОД характеризуется широким применением технологий виртуализации и облачных вычислений, а также предоставлением различных типов облачных услуг потребителям, в частности:

• аппаратное обеспечение как услуга (HaaS);
• инфраструктура как услуга (laaS);
• платформа как услуга (PaaS);
• программное обеспечение как услуга (SaaS).

В состав информационной инфраструктуры ЦОД (Рисунок 1), как правило входит:

• сетевое и коммутационное оборудование (маршрутизаторы, коммутаторы и т.п.);
• серверы для размещения компонентов виртуальной инфраструктуры (консоли управления, гипервизоры и т.п.);
• средства обеспечения сетевой и информационной безопасности (межсетевые экраны «типа А» и «типа Г», системы обнаружения вторжений уровня сети, системы защиты от DDOS-атак, система контроля действий привилегированных пользователей, система сбора и корреляции событий информационной безопасности, средства защиты среды виртуализации и др. типы СЗИ);
• автоматизированные рабочие места администраторов;
• администраторов безопасности ЦОД;
• иное оборудование (по усмотрению оператора ЦОД).

Состав и содержание технических и организационных мер по обеспечению безопасности информации приведен в приказах № 21 (защита персональных данных) и № 17 (защита информации в ГИС) ФСТЭК России. В данных приказах меры принимаемые по защите информации определяются в соответствии с классом защищенности и уровнем защищенности ПДн ИС использующих инфраструктуру ЦОД. Класс защищенности информационных систем, в том числе ГИС, функционирование которых предполагается на базе инфраструктуры ЦОД, не должен быть выше класса защищенности (уровня защищенности ПДН) самой инфраструктуры ЦОД.

Аттестация ЦОД в соответствии с Требованиями Приказа № 17 ФСТЭК России является обязательной в случае размещения (создания) информационных систем на базе информационной инфраструктуры ЦОД, являющихся ГИС, в остальных случаях проводиться оценка эффективности применяемых мер и средств защиты с целью оценки возможностей по размещению в ЦОД различных типов ИС с учетом требований по обеспечению максимального класса (уровня) защищенности ИС.

Организационные и технические меры защиты информации согласно приказам ФСТЭК России, должны обеспечивать:

• идентификацию и аутентификацию субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды; защиту машинных носителей информации;
• регистрацию событий безопасности;
• антивирусную защиту; обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности информации;
• целостность информационной системы и информации;
• доступность информации;
• защиту среды виртуализации; защиту технических средств; защиту информационной системы, ее средств, систем связи и передачи данных.

Для реализации техническим мер должны применяться средства защиты информации, прошедшие оценку соответствия, в том числе сертифицированные. При прохождении проверок эффективность предпринятых мер необходимо доказать, поэтому использование в своей деятельности сертифицированных средств защиты информации – это наиболее надёжное решение, минимизирующее риски, в том числе возникновения претензий со стороны регуляторов (ФСТЭК России и ФСБ России).

Исходя из нашего опыта аттестаций ЦОД в качестве средств защиты информации часто применяются:

• средства защиты информации от НСД (например, Secret Net Studio, Secret Net LSP, Dallas Lock и т.п.):
• средства защиты виртуальной инфраструктуры (например, vGate R2, СЗВИ Dallas Lock, Горизонт-ВС т.п.);
• средства межсетевого экранирования (C-Терра, АПКШ «Континент», FortiGate, Рубикон и т.п.):
• средства обнаружения вторжений (Континент-ДА, FortiGate, C-Терра СОВ и т.п.)
• средства анализа защищенности (MaxPatrol 8, XSpider и т.п.);
• средства антивирусной защиты (Касперский, Dr.Web и др.);
• средства криптографической защиты информации (СКЗИ) (C-Терра 4.2, АПКШ «Континент», ViPNet);

а также дополнительно могут применяться системы сбора и корреляции событий информационной безопасности (SIEM) (например, KOMRAD Enterprise SIEM и т.п.), средства предотвращения утечек информации (DLP), средства контроля привилегированного доступа (PAM) и другие классы систем обеспечения информационной безопасности.

Необходимость применения СКЗИ для обеспечения защиты ПДн установлена пунктом 2 нормативного документа «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденного руководством 8 Центра ФСБ России 31 марта 2015 года № 149/7/2/6-432 (далее – «Методические рекомендации ФСБ»).

«Методическими рекомендациями ФСБ» установлены следующие случаи, в которых для обеспечения защиты ПДн необходимо применение СКЗИ:

• передача ПДн по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, передача ПДн по информационно-телекоммуникационным сетям общего пользования);
• хранение ПДн на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.

Класс сертифицированных ФСБ России СКЗИ выбирается в соответствии с Приказом № 378 ФСБ России согласно определенным уровнем защищенности обрабатываемых ПДН.

Выполнение полного комплекса работ по защите информации позволит размещать ИСПДн и ГИС (МИС) на базе инфраструктуры ЦОД и снизить риски возникновения инцидентов, связанных с безопасностью информации, а также риски предъявления претензий (как государственными регуляторами, так и юридическими лицами, физическими лицами) в части организации обработки и обеспечения безопасности информации, в том числе персональных данных.