Оглавление
В последние годы на отечественном ИТ-рынке прослеживаются два основных тренда, развитие которых привело к размещению ОКИИ в облаках. Поговорим подробнее о том, в чем выгода такого подхода и как не допустить ошибок в процессе.
Автор: Алексей Кубарев, директор по информационной безопасности Т1 Облако
Из-за возросшего числа киберугроз государство и бизнес стали уделять больше внимания объектам критической информационной инфраструктуры (ОКИИ) и их безопасности [1], в связи с этим в последнее время возросла популярность облачных решений при построении компаниями собственных ИТ-сервисов и платформ [2].
Зачем размещать ОКИИ в облака
Объекты критической инфраструктуры – это системы и сети, непрерывная работа которых важна для функционирования различных отраслей: транспорта, здравоохранения, промышленности, банковской сферы и т.д. Согласно Федеральному закону 187-ФЗ “О безопасности критической информационной инфраструктуры РФ” ответственность за безопасность и устойчивость функционирования ОКИИ ложится на их владельцев. Многие из них делегируют часть таких обязательств облачному провайдеру, этот подход обладает следующими важными преимуществами.
Борьба с кадровым дефицитом
Рынок ИТ- и ИБ-специалистов сейчас переживает не лучшие времена с точки зрения нанимателей. Грамотные специалисты, необходимые для поддержания функционирования системы, как никогда редки и дороги. Применение облачных сервисов значительно снижает потребность в большом штате сотрудников, что положительно влияет на оптимизацию операционных процессов.
Импортозамещение
Опубликованные в 2022 г. указы Президента РФ № 166 и № 250 ограничивают возможность использования иностранного ПО и оборудования на объектах КИИ. Исполнение этого запрета на инфраструктурных слоях ОКИИ может вызвать значительные сложности у их владельцев. Один из наиболее простых способов реализации этих норм – получение импортозамещенной инфраструктуры как услуги у облачного провайдера.
Экономика
Оптимизация ФОТ (фонд оплаты труда) ИТ- и ИБ-специалистов, переход от CapEx к OpEx, экономия за счет отсутствия необходимости закупки и поддержания функционирования компонентов ОКИИ в составе, рассчитанном на пиковые нагрузки, – вот несколько преимуществ перехода в облако.
Сокращение Time-to-Market
Использование облачных решений снижает временные издержки, связанные с приобретением, поставкой, настройкой и обслуживанием оборудования. Кроме того, облака способствуют [3] ускорению работы в рамках DevOps-подхода, что позволяет ускорить развертывание и обновление ИТ-продуктов.
Гибкость
Облачные решения упрощают для разработчиков масштабирование решений как вертикальное, так и горизонтальное. При необходимости компании достаточно временно арендовать больше мощностей – это проще и дешевле, чем ждать и настраивать собственное оборудование.
Безопасность
Облачные сервисы изначально реализуются с учетом необходимости защиты от нарушителей. В связи с этим к безопасности облачные провайдеры подходят, как правило, комплексно – от физической защищенности и пожаробезопасности и до противодействия сложным целенаправленным атакам.
Повышенный SLA
Важнейшее качество для облачного провайдера – обеспечение доступности его информационных ресурсов, размещенных в облаке, для заказчика.
Законно ли размещать ОКИИ в облаках
Законно, при условии, что эти облака и предоставляющие их клауд-провайдеры сами соответствуют предъявляемым к ним требованиям. Скажем, ОКИИ первой категории значимости можно разместить только в облаке первой категории значимости. Если этот объект дополнительно выступает в качестве информационной системы персональных данных второго уровня защищенности, то и облачная платформа должна отвечать соответствующим законодательным предписаниям в этой области.
Облачный провайдер должен иметь все необходимые лицензии, быть включен в реестры, например, операторов персональных данных и хостинг-провайдеров, которые ведет Роскомнадзор. Дополнительно он должен выполнять все требования законов, указов президента, постановлений Правительства РФ, приказов ФСТЭК России, ФСБ России и отраслевых регуляторов, предъявляемых к владельцам ОКИИ.
Какие ОКИИ целесообразно размещать в облаках
Облачное размещение объектов КИИ наиболее релевантно в ситуации, когда бизнесу важны гибкость разработки и обновления, а также способность инфраструктуры к масштабированию. Компании выбирают такой подход, когда у них нет времени, возможности или целесообразности закупать и обслуживать дорогостоящее оборудование либо тратить ресурсы на разработку собственных решений. Это применимо к любым сферам экономики, поскольку речь в первую очередь идет о сложности процессов и географии бизнеса, а не об отрасли, в которой он работает.
С другой стороны, можно отметить, что чаще других к использованию облачных решений приходят компании из непроизводственных отраслей: офлайн- и онлайн-ритейла, телекома и ИТ, сферы услуг, медицины и образования. Но и промышленность все чаще обращается к провайдерам для размещения в облаке бэк-офисных систем, например ERP, документооборота, бухгалтерских систем и т.д.
Отдельно стоит сказать о банковском секторе и кредитнофинансовых организациях. Провайдеры, соответствующие стандарту ГОСТ 57580-1 и Федеральному закону 152-ФЗ “О персональных данных”, дают возможность банкам и другим институциям размещать в облаках не только критическую информационную инфраструктуру, но и остальные сведения, непосредственно связанные с бизнес-процессами.
Безопасное размещение ОКИИ в облаке
Безусловно, в обеспечении безопасности ОКИИ в облаке помимо облачного провайдера участвует еще и владелец этого объекта. Тут важно разграничение зон ответственности между сторонами этого процесса, зафиксированное в договоре с предусмотренными санкциями за нарушения его положений.
В рамках своей зоны ответственности владелец ОКИИ должен принять необходимые меры, например при модели облачных услуг IaaS – на уровнях операционной системы, среды исполнения, приложения
и данных. В данном случае владелец системы обязан также обеспечить безопасность информации при ее передаче по сетям связи, например при помощи средств криптографической защиты.
А что тогда остается в зоне ответственности провайдера?
На прикладном уровне облака дают своим клиентам важные преимущества. Провайдеры тщательно продумывают все возможные проблемы на этапе проектирования и предпринимают шаги для их решения.
Физическая защита
Облачные провайдеры предпринимают все возможные меры для защиты физического оборудования – серверов, СХД и телекома, от пропускного режима и СКУД в ЦОД и до запираемых серверных стоек и видеонаблюдения за ними. Построение такой инфраструктуры собственными силами могут себе позволить только представители крупных компаний.
Отказоустойчивость, пожаро- и сейсмобезопасность, резервирование энергоснабжения
Архитектура и инфраструктура облачных провайдеров разрабатывается с учетом особенностей местности. Строители и бизнес предусматривают как антропогенные, так и природные факторы, способные нарушить работу серверов, и еще на этапе проектирования закладывают механизмы, способные минимизировать их влияние.
Георезервирование
В случае с ОКИИ диверсификация, подход “не клади все яйца в одну корзину”, не просто полезен, а жизненно необходим. Облачные провайдеры для обеспечения надежности процессов и данных размещают компоненты сети на географически распределенных площадках – таким образом, даже в случае проблем на одной из них остальные продолжат работать.
Резервирование каналов
Та же логика актуальна и для каналов связи: при нарушении одного из них, например в результате работы экскаватора, нагрузка распределяется между резервными.
Меры защиты на уровнях инфраструктуры
Облачный провайдер в целях минимизации угроз для развернутых в его инфраструктуре систем заказчиков принимает расширенный набор мер по информационной безопасности в зоне своей ответственности, начиная от несанкционированных действий потенциальных инсайдеров и заканчивая веерными атаками.
Некоторые провайдеры также предлагают комплексные решения.
SecaaS
Или “безопасность как услуга” – подход, при котором провайдер предоставляет заказчику ту или иную услугу по информационной безопасности как сервис, обеспечивающий быстрый запуск, простую настройку и высокую эффективность. Сюда можно отнести решения AntiDDoS, Web Application Firewall, многофакторную аутентификацию и т.д.
Консалтинг по ИБ
Некоторые провайдеры готовы делиться с заказчиками своей экспертизой в области ИБ применительно к облачным системам. Это может касаться и категорирования ОКИИ, и формирования корректной модели угроз и нарушителя, и разработки оптимальной системы ИБ, и даже ее внедрения.
Managed Services по ИБ
Некоторые провайдеры берут на сопровождение средства защиты информации, не входящие в его продуктовый портфель по направлению SecaaS, но развернутые в облачной инфраструктуре его заказчиков.
Облака давно стали популярны среди пользователей и бизнеса, а теперь спрос на них растет и среди субъектов КИИ. Провайдеры предпринимают все необходимые меры, которые помогают обеспечить надежность сервисов, развивают свои ИТ-компетенции и нарабатывают опыт в создании комплексных решений в области безопасности. В условиях повышенного риска киберугроз такой подход позволяет прогнозировать и дальнейшее увеличение востребованности облачных решений.
https://www.vedomosti.ru/technology/news/2022/03/30/915906-putin-zapretil-ispolzovat-inostrannoe-po
http://survey.iksconsulting.ru/page32257739.html
https://about.gitlab.com/resources/downloads/2020-devsecops-report.pdf
ITSec_articles