Сейчас все больше коммерческих и государственных организаций, с целью оптимизации расходов на собственную IT-инфраструктуру, задумываются о переезде в облако. В данном случае становится первостепенным вопрос защищенности этих облаков, поскольку требования по защите информации в информационных системах (ИС) подвержены постоянной актуализации.

Важно понимать, какая именно модель предоставления облачных услуг подходит для Ваших задач, соответствие каким именно требованиям важно для Вашей информационной системы. На текущий момент мы имеем три типа облаков, а также сценария размещения информационных систем на собственной инфраструктуре:

  • SaaS (Software as a Service) - это облачные приложения, доступ к которым предоставляется через веб-интерфейс;
  • PaaS (Platform as a Service) - платформа для самостоятельной разработки и развертывания приложений;
  • IaaS (Infrastructure as a Service) - серверы, хранилища, сети, вычислительная инфраструктура, которую клиент получает в пользование для запуска своих решений.

Подтверждением соответствия инфраструктуры облачного провайдера требованиям, которым должна соответствовать переезжающая в облака система, является аттестат соответствия требованиям безопасности информации. Сейчас на рынке представлены облака всех типов, в том числе аттестованные на наивысшие классы для ГИС (государственных информационных систем) и уровни защищенности персональных данных (К 1 и УЗ-1).

Если в случае с моделью SaaS ответственность клиента облака минимальна, то при моделях PaaS и IaaS пользователь облачных сервисов должен принимать дополнительные меры по защите своей информационной системы и по проведению собственной оценки эффективности системы защиты информации, так как провайдер как организационно, так и технически часто не может закрыть весь перечень требований, предписанных нашим законодательством.

ттестационные мероприятия (оценка эффективности) могут проводиться специальной организацией, имеющей лицензию ФСТЭК России на проведение работ по технической защите конфиденциальной информации (ТЗКИ). Выполнение требований по защите информации позволит организации размещать ИСПДн и ГИС (МИС) на базе инфраструктуры ЦОД и снизить риски возникновения инцидентов, связанных с безопасностью информации, а также риски предъявления претензий (государственными регуляторами, юридическими и физическими лицами) в части организации обработки и обеспечения безопасности информации, в том числе персональных данных.

ООО «НАЦ» предоставляет своим клиентам профессиональные услуги по защите и аттестации объектов информатизации различного назначения и любого уровня сложности.

По направлению защиты и аттестации ЦОД мы готовы оказать следующие услуги:

  • Проведение комплексного обследования объекта информатизации;
  • Моделирование угроз и разработка модели угроз в соответствии с новой методикой, утверждённой ФСТЭК России;
  • Проектирование системы защиты информации;
  • Поставка оборудования, ПО и средств защиты информации;
  • Внедрение и настройка системы защиты информации в полном соответствии с установленными требованиями;
  • Разработка организационно-распорядительной и эксплуатационной документации;
  • Разработка и согласование программы и методик аттестационных испытаний;
  • Проведение аттестационных испытаний.

По результатам выполненных работ на объект информатизации будет выдан аттестат соответствия требованиям безопасности информации, подтверждающий высокий уровень информационной безопасности в системе и предоставляющий право легитимной обработки соответствующих информационных ресурсов.

Мы готовы ответить на ваши вопросы и подобрать оптимальное решение!