Облака и облачные сервисы все чаще используются как частными компаниями, так и российскими государственными структурами. Росту спроса способствует целый ряд технологических факторов: цифровизация бизнеса (цифровая трансформация), постоянный рост объема данных и требуемой вычислительной мощности, развитие Интернета, устаревание оборудования, необходимость в быстром внедрении новых решений и неотложном масштабировании инфраструктуры. Кроме того, организациям приходится соблюдать нормы закона о хранении персональных данных.

Облачная архитектура стала основой для электронного правительства, единой инфраструктуры для госорганов, национальной облачной платформы. Чтобы исключить дублирование решений с аналогичными функциями, при дальнейшей разработке государственных информационных систем (ГИС) планируется постепенный переход к единой инфраструктуре на базе облачных технологий.

По данным IDC, общий объем российского облачного рынка, включая публичные и частные облака, достиг в 2016 году 422,11 млн долларов, что на 20,1% больше, чем в прошлом году (IDC, 2017, «Russia Cloud Services Market 2017–2021 Forecast and 2016 Vendor Shares»).

ОБЛАКА И БЕЗОПАСНОСТЬ

Быстрый рост облачного рынка и спроса на облачные сервисы оказывает влияние на формирование новых предложений со стороны коммерческих ЦОДов. Одним из серьезных драйверов развития этого сегмента является защита персональных данных. Вместе с тем, как показывают опросы, именно риски, связанные с информационной безопасностью, являются основным препятствием для развития облачных технологий в России.

В связи с этим особые требования предъявляются к провайдерам облачных сервисов и услуг ЦОДов: необходимо обеспечить высокий уровень защиты данных, безопасности и доступности систем. Предлагаемые облачные сервисы должны соответствовать нормам информационной безопасности (ИБ), установленным для государственных информационных систем (ИС), которые обслуживают госорганы и унитарные предприятия, министерства и ведомства, и для ИС, используемых для хранения и обработки персональных данных (ИСПДн).

Вместе с тем ежегодно появляются все новые законы о защите информации и требования регуляторов — Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ), Министерства связи и массовых коммуникаций (Минкомсвязь), Банка России. Они содержатся в следующих основных документах:

  • закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • закон № 152-ФЗ «О персональных данных»;
  • приказы ФСТЭК России № 17 и № 21, где определяются требования для выполнения данных законов;
  • закон № 242-ФЗ, уточняющий положения закона № 152-ФЗ;
  • постановление правительства № 1119 от 01.11.12;
  • приказ ФСБ № 378 от 10.07.2014;
  • закон «О коммерческой тайне»;
  • закон «О национальной платежной системе» № 161-ФЗ.

Так, в законе № 242-ФЗ говорится о необходимости размещения персональных данных на территории России, а в № 149-ФЗ указывается, что ПО в государственных, правоохранительных, финансовых и других структурах, обрабатывающих служебную информацию, подлежит сертификации ФСТЭК.

Архитектура «Облака ФЗ-152» провайдера Cloud4Y
Архитектура «Облака ФЗ-152» провайдера Cloud4Y 

 

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Защита персональных данных — одна из актуальных задач для коммерческих ЦОДов. Речь идет о любых относящихся к физическому лицу сведениях, которые представляют собой информацию ограниченного доступа и должны быть защищены. Деятельность по их обработке регулируется законом «О персональных данных» (№ 152-ФЗ). Такие данные разделяют на четыре категории:

  • касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  • позволяющие идентифицировать субъект персональных данных и получить о нем дополнительную информацию, за исключением относящихся к категории 1;
  • позволяющие идентифицировать субъект персональных данных;
  • обезличенные и (или) общедоступные персональные данные.

Согласно подзаконным актам к закону № 152-ФЗ, собираемые персональные данные россиян должны храниться в РФ, хотя формально ничто не мешает дублировать их на зарубежных серверах.

К операторам персональных данных относятся, в частности, медицинские и социальные учреждения, учебные заведения, финансовые компании, а также прочие организации, работающие с физлицами. В случаях, определенных в ст. 22 закона № 152-ФЗ, они должны уведомить Роскомнадзор о намерении осуществлять обработку и обеспечить хранение персональных данных с использованием ИСПДн и БД, находящихся на территории РФ.

Решение Stack Group на базе двух ЦОДов, расположенных в Москве (M1 и DataPro,) обеспечивает катастрофоустои?чивость и аттестовано для защиты инфраструктуры до УЗ1 включительно
Решение Stack Group на базе двух ЦОДов, расположенных в Москве (M1 и DataPro,) обеспечивает катастрофоустои?чивость и аттестовано для защиты инфраструктуры до УЗ1 включительно 

 

ГОТОВЫЕ РЕШЕНИЯ ДЛЯ ИСПДн И ГИС

Компания или организация, обрабатывающая персональные данные или другую информацию ограниченного доступа, должна гарантировать их защиту в соответствии с требованиями законодательства. Самостоятельное решение такой задачи, как правило, связано с техническими сложностями и немалыми затратами и предполагает наличие серьезной экспертизы.

Закупка средств защиты информации (СЗИ), обучение специалистов, внедрение процессов обеспечения ИБ, регулярная аттестация и оценка эффективности, модернизация СЗИ (как известно, обеспечение ИБ — процесс постоянный) требуют немалых ресурсов. К тому же аттестация в ФСТЭК — процедура длительная и затратная. Сэкономить ресурсы и время помогают услуги коммерческих ЦОДов.

При размещении ИС клиента в ЦОДе или в облаке провайдер берет на себя ответственность за решение вопросов ИБ, в том числе касающихся персональных данных. Обеспечивая защиту инфраструктуры ИТ, он снимает с клиента часть забот.

ЦОД (облако) провайдера, как уже говорилось, должен обеспечивать ИБ в соответствии с законодательными нормами. На используемые системы защиты нужно получить сертификацию ФСТЭК и ФСБ, подтверждением чему служит аттестат соответствия того или иного программного или программно-аппаратного комплекса требованиям по безопасности, в частности по защите сведений конфиденциального характера.

Построение комплексной системы безопасности современного ЦОДа — технически сложная и многокритериальная задача. Наиболее сбалансированный способ — создать многоуровневую систему защиты, которая может включать в себя:

  • средства межсетевого экранирования (FW), предотвращения вторжений (IPS), защиты от вредоносного ПО;
  • систему мониторинга и регистрации событий безопасности;
  • систему криптографической защиты каналов удаленного доступа (шифрование);
  • средства защиты виртуальной среды;
  • систему защиты от несанкционированного доступа (НСД), идентификации и управления доступом;
  • систему анализа защищенности и выявления уязвимостей, предотвращения утечек данных (DLP) и др.

Кроме того, комплексная защита информации, которая в идеальном случае предусматривается еще при проектировании ИС, предполагает внедрение технических и организационных мер.

Соответствие самым строгим требованиям к ИБ провайдер или владелец ЦОДа (физического или виртуального) должен подтвердить наличием всех необходимых сертификатов и гарантировать заключением соглашения SLA (Service Level Agreement) с клиентом.

Неудивительно, что, несмотря на востребованность и актуальность услуг хостинга, немногие предложения по размещению ИС для обработки персональных данных и ГИС в полной мере соответствуют законодательным требованиям.

В случае ГИС требования по защите информации еще более высокие, чем для ИСПДн. Класс защищенности присваивается ГИС в зависимости от значимости обрабатываемой информации и масштаба системы (федерального, регионального, объектового) и устанавливается на основании приказа ФСТЭК № 17 от 11.02.2013 (см. табл. 1).

Таблица 1. Уровни значимости и классы защищенности ИС
Таблица 1. Уровни значимости и классы защищенности ИС 

 

Уровень значимости определяется величиной потенциального ущерба для обладателя информации или оператора при нарушении конфиденциальности. ГИС присваивается класс защищенности К1, К2 или К3 (ему же должна соответствовать система, в которой ГИС размещается).

Чем выше выбранный класс защиты ГИС, тем больше мер по обеспечению ИБ нужно реализовать, то есть стоимость инфраструктуры возрастает. Выбор же более низкого класса может привести к нарушению требований законодательства.

Закон не устанавливает явным образом, как именно компания должна защищать свои системы. Необходимо самостоятельно определить категорию обрабатываемых данных, потенциальных нарушителей, возможные риски и угрозы, а также понять, что нужно сделать для выполнения требований регуляторов. В случае ИСПДн оператор персональных данных должен выбрать необходимый уровень защищенности (см. табл. 2). Правила классификации указаны в Постановлении Правительства РФ № 1119, где предусматриваются четыре уровня защищенности в зависимости:

  • от категории ПДн (специальные, биометрические или иные);
  • субъектов ПДн, чьи данные обрабатываются (сотрудники или другие лица);
  • объема обрабатываемых ПДн;
  • типа актуальных угроз безопасности ПДн (1, 2, 3).
Таблица 2. Уровень защищенности персональных данных в информационной системе
Таблица 2. Уровень защищенности персональных данных в информационной системе

 

Например, в обязанности оператора ПДн входят: обеспечение законности сбора и обработки персональных данных, построение системы защиты в соответствии с требованиями ФСТЭК и ФСБ, разработка внутренней документации, отправка уведомления в Роскомнадзор, оценка соответствия системы защиты (при желании — аттестационные испытания), ее актуализация. Задача сложная и затратная. Альтернатива этой головной боли — воспользоваться услугами уже аттестованного виртуального ЦОДа, переложив ответственность на провайдера с готовым решением.

Пример переноса ПДн из зарубежного ЦОДа на российскую площадку
Пример переноса ПДн из зарубежного ЦОДа на российскую площадку

 

ВИРТУАЛЬНЫЙ ЦОД

Виртуальный центр обработки данных — это комплексное решение по предоставлению ИТ-инфраструктуры в виде сервиса IaaS. С точки зрения технической реализации он представляет собой совокупность серверного, сетевого оборудования и СХД, размещенных в физическом ЦОДе, и системы виртуализации (гипервизора), обеспечивающей необходимый уровень безопасности и доступности.

Виртуальный ЦОД (VDC) предусматривает предоставление в аренду заказчику выделенных изолированных виртуальных ресурсов для размещения ИС и приложений. В зависимости от потребностей может быть создана ИТ-инфраструктура различного уровня сложности, аналогичная решениям на базе физического оборудования.

Управление ресурсами осуществляется через портал самообслуживания: заказчик может изменять объем используемых ресурсов, создавать ВМ и сетевые топологии, конфигурировать сеть, выполнять резервное копирование и другие задачи. Таким образом, он управляет выделенными ему виртуальными ресурсами самостоятельно: создает необходимое количество ВМ разной конфигурации, формирует внутренние подсети, настраивает сетевой доступ, балансировку нагрузки и межсетевое экранирование. Управляя ИТ-инфраструктурой, он может быстро масштабировать или переконфигурировать ресурсы.

Виртуальный центр обработки данных можно с успехом использовать для реализации самых разных проектов, таких как организация тестовых сред, размещение сложных ИС, подключение дополнительных ресурсов или создание резервной площадки либо гибридного облака. В результате компании и организации, госструктуры могут экономить на покупке оборудования, ПО и аренде площадей ЦОДа. Заказчик освобождается от лишней головной боли — от закупки и эксплуатации оборудования. Он управляет своими приложениями, данными и сервисами, а сервис-провайдер осуществляет поддержку и администрирование обеспечивающей инфраструктуры.

Кроме того, виртуальные ЦОДы могут соответствовать наиболее строгим требованиям к ИБ. Это должно устранить одно из самых серьезных препятствий на пути миграции в облако даже для организаций, работающих с персональными данными граждан и с другой информацией, нуждающейся, по мнению самих операторов данных или регуляторов, в особой защите. Пример подобной услуги — VDC.152.

Пример размещения ИСПДн заказчика в защищенном облаке «Крок»
Пример размещения ИСПДн заказчика в защищенном облаке «Крок» 

 

ВИРТУАЛЬНЫЙ ЦОД В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ ЗАКОНА № 152-Ф3

VDC.152 — услуга IaaS по предоставлению виртуальной ИТ-инфраструктуры с высоким уровнем защиты информации. Такая виртуальная ИТ-инфраструктура позволяет создать полноценный ЦОД для размещения государственных ГИС с обеспечением 1-го класса защищенности, согласно приказу № 17 ФСТЭК, и ИСПДн с обеспечением 1-го уровня защищенности ПДн по приказу № 21 ФСТЭК.

Виртуальный ЦОД поможет сократить издержки на создание и обслуживание ИТ-инфраструктуры и внутренней системы защиты информации. Как правило, комплексное техническое сопровождение и поддержку, включая консалтинг и разработку пакета документов для аттестации в регулирующих органах, обеспечивают квалифицированные эксперты, а платформа для оказания услуг соответствует строгим техническим стандартам и удовлетворяет необходимым организационным требованиям. Благодаря применению сертифицированных решений, провайдер имеет возможность предоставлять услуги по технической защите ИСПДн, размещенных в виртуальном ЦОДе. Подключение к VDC осуществляется с использованием шифрования.

Программные и аппаратные средства защиты информации сертифицируются во ФСТЭК и ФСБ. Система ИБ обеспечивает межсетевое экранирование, защиту от DDoS-атак, контроль за соблюдением правил безопасности и стандартов конфигурации, поддержку процессов управления рисками и уязвимостями, расследование инцидентов, проведение внутренних и внешних аудитов безопасности, а также регулярный мониторинг и тестирование сети, систем и процессов ИБ. Квалифицированные специалисты осуществляют круглосуточное сопровождение ИТ-инфраструктуры.

Такая услуга актуальна для многих заказчиков из государственного и корпоративного сегментов и может быть востребована операторами персональных данных, которые хотят привести свою деятельность в соответствие с законодательством. В этом заинтересованы, например, интернет-магазины, отделы кадров, а также владельцы систем управления услугами, биллинга, маркетинговых коммуникаций, бухгалтерского учета и др. Размещение ИС в закрытом сегменте инфраструктуры провайдера, аттестованном по всем необходимым стандартам и требованиям, избавляет заказчика от необходимости тратить время и деньги на организацию всех регламентных работ.

Чтобы в виртуальном ЦОДе можно было размещать ГИС, необходимо аттестовать его ИТ-инфраструктуру на соответствие требованиям безопасности, определяемым ФСТЭК, что предполагает внедрение организационных и технических мер защиты. А провайдер этих услуг должен иметь лицензию на осуществление такой деятельности.

Требования ФСТЭК предполагают наличие не только СЗИ на программном уровне и на уровне виртуализации, но и различных систем: мониторинга и регистрации событий, шифрования трафика, обеспечения физической безопасности (ограничение и контроль доступа к оборудованию). Кроме того, обязательно выполнение и ряда других условий. Именно такой виртуальный ЦОД соответствует требованиям закона № 152-ФЗ и ФСТЭК по защите ГИС. Однако подчеркнем: аттестуется не ЦОД, а ИТ-инфраструктура.

Провайдеры могут оказывать экспертную поддержку в решении задач защиты данных: определить требуемый уровень безопасности и предложить оптимальный вариант реализации ИС, разработать документацию для выполнения требований законодательства РФ и аттестации ИС в регулирующем органе. А те из них, кто имеет лицензии ФСТЭК и ФСБ России, имеют право осуществлять аттестацию информационных систем.

Обладая лицензиями на оказание услуг в области защиты персональных данных, провайдер выступает в роли ответственного обработчика ПДн. Далеко не полный перечень поставщиков услуг «виртуальный ЦОД в соответствии с законом № 152-Ф3» приведен в табл. 3. На российском рынке сейчас имеется более десятка подобных предложений.

Таблица 3. Услуги «виртуальный ЦОД в соответствии с законом № 152-Ф3», предоставляемые некоторыми российскими коммерческими ЦОДами, ведущими системными интеграторами и провайдерами
Таблица 3. Услуги «виртуальный ЦОД в соответствии с законом № 152-Ф3», предоставляемые некоторыми российскими коммерческими ЦОДами, ведущими системными интеграторами и провайдерами

 

Таким образом, виртуальный центр обработки данных, соответствующий требованиям закона № 152-Ф3, освобождает оператора ПДн от затрат на создание и эксплуатацию защищенной инфраструктуры ИТ, позволяет использовать общесистемное и специальное ПО провайдера и получать квалифицированное сопровождение в режиме 24×7. На базе ресурсов виртуального ЦОДа заказчик может создавать ИТ-инфраструктуру любой сложности и размещать ИСПДн и ГИС с самыми высокими требованиями к ИБ.

Сергей Орлов, независимый эксперт (sorlov1958@yandex.ru)