Подготовка и аттестация ЦОД и облачных IT-инфраструктур

В настоящее время перенос IT-инфраструктур и информационных ресурсов компаний в «облако» к провайдеру соответствующих услуг и сервисов является распространенным явлением не только для крупного бизнеса и государственных организаций, но и для среднего и даже малого бизнеса.

Важно понимать, какая именно модель предоставления облачных услуг подходит для Ваших задач, соответствие каким именно требованиям важно для Вашей информационной системы. На текущий момент мы имеем три основных типа облаков, а также сценария размещения информационных систем на собственной инфраструктуре:

• On-Premise - использование собственных ресурсов для размещения ПО;
• SaaS (Software as a Service) - это облачные приложения, доступ к которым предоставляется через веб-интерфейс;
• PaaS (Platform as a Service) - платформа для самостоятельной разработки и развертывания приложений;
• IaaS (Infrastructure as a Service) - серверы, хранилища, сети, вычислительная инфраструктура, которую клиент получает в пользование для запуска своих решений.

Подтверждением соответствия инфраструктуры облачного провайдера требованиям, которым должна соответствовать переезжающая в облака система, является аттестат соответствия требованиям безопасности информации. Сейчас на рынке представлены облака всех типов, в том числе аттестованные на наивысшие классы для ГИС (государственных информационных систем) и уровни защищенности персональных данных (К 1 и УЗ-1).

Если в случае с моделью SaaS ответственность клиента облака минимальна, то при моделях PaaS и IaaS пользователь облачных сервисов должен принимать дополнительные меры по защите своей информационной системы и по проведению собственной оценки эффективности системы защиты информации, так как провайдер как организационно, так и технически часто не может закрыть весь перечень требований, предписанных нашим законодательством.

Также следует принимать во внимание ряд регуляторных нюансов, характерных для использования облачных технологии:

• ИС, функционирующие на базе общей инфраструктуры в качестве прикладных сервисов, подлежат аттестации в составе указанной инфраструктуры.
• Класс (Г)ИС, функционирующих на базе инфраструктуры ЦОД, не должен быть выше класса защищенности самой инфраструктуры ЦОД.
• Аттестация ЦОД является обязательной в случае размещения ГИС на базе инфраструктуры ЦОД.
• Также особенностью аттестации ЦОД является необходимость разграничения зон ответственности за обеспечение защиты информации между ЦОД и ИС пользователей.

Аттестационные мероприятия (оценка эффективности) могут проводиться специальной организацией, имеющей лицензию ФСТЭК России на проведение работ по технической защите конфиденциальной информации (ТЗКИ). Выполнение требований по защите информации позволит организации размещать ИСПДн и ГИС (МИС) на базе инфраструктуры ЦОД и снизить риски возникновения инцидентов, связанных с безопасностью информации, а также риски предъявления претензий (государственными регуляторами, юридическими и физическими лицами) в части организации обработки и обеспечения безопасности информации, в том числе персональных данных.

ООО «НАЦ» предоставляет своим клиентам профессиональные услуги по защите и аттестации объектов информатизации различного назначения и любого уровня сложности.

По направлению защиты и аттестации ЦОД мы готовы оказать следующие услуги:

• Проведение комплексного обследования объекта информатизации;
• Моделирование угроз и разработка модели угроз и модели нарушителя;
• Проектирование системы защиты информации;
• Разработка матрицы разграничения зон ответственности между провайдером и клиентом;
• Поставка оборудования, ПО и средств защиты информации;
• Внедрение и настройка системы защиты информации в полном соответствии с установленными требованиями;
• В случае применения несертифицированных средств защиты информации для ИСПДн и КИИ, проведение оценки соответствия этих средств требованиям защиты информации;
• Разработка организационно-распорядительной и эксплуатационной документации;
• Разработка и согласование программы и методик аттестационных испытаний;
• Проведение аттестационных испытаний.

По результатам выполненных работ на объект информатизации будет выдан аттестат соответствия требованиям безопасности информации, подтверждающий высокий уровень информационной безопасности в системе и предоставляющий право легитимной обработки соответствующих информационных ресурсов.