В последние годы на отечественном ИТ-рынке прослеживаются два основных тренда, развитие которых привело к размещению ОКИИ в облаках. Поговорим подробнее о том, в чем выгода такого подхода и как не допустить ошибок в процессе.

Автор: Алексей Кубарев, директор по информационной безопасности Т1 Облако

Из-за возросшего числа киберугроз государство и бизнес стали уделять больше внимания объектам критической информационной инфраструктуры (ОКИИ) и их безопасности [1], в связи с этим в последнее время возросла популярность облачных решений при построении компаниями собственных ИТ-сервисов и платформ [2].

Зачем размещать ОКИИ в облака

Объекты критической инфраструктуры – это системы и сети, непрерывная работа которых важна для функционирования различных отраслей: транспорта, здравоохранения, промышленности, банковской сферы и т.д. Согласно Федеральному закону 187-ФЗ “О безопасности критической информационной инфраструктуры РФ” ответственность за безопасность и устойчивость функционирования ОКИИ ложится на их владельцев. Многие из них делегируют часть таких обязательств облачному провайдеру, этот подход обладает следующими важными преимуществами.

Борьба с кадровым дефицитом

Рынок ИТ- и ИБ-специалистов сейчас переживает не лучшие времена с точки зрения нанимателей. Грамотные специалисты, необходимые для поддержания функционирования системы, как никогда редки и дороги. Применение облачных сервисов значительно снижает потребность в большом штате сотрудников, что положительно влияет на оптимизацию операционных процессов.

Импортозамещение

Опубликованные в 2022 г. указы Президента РФ № 166 и № 250 ограничивают возможность использования иностранного ПО и оборудования на объектах КИИ. Исполнение этого запрета на инфраструктурных слоях ОКИИ может вызвать значительные сложности у их владельцев. Один из наиболее простых способов реализации этих норм – получение импортозамещенной инфраструктуры как услуги у облачного провайдера.

Экономика

Оптимизация ФОТ (фонд оплаты труда) ИТ- и ИБ-специалистов, переход от CapEx к OpEx, экономия за счет отсутствия необходимости закупки и поддержания функционирования компонентов ОКИИ в составе, рассчитанном на пиковые нагрузки, – вот несколько преимуществ перехода в облако.

Сокращение Time-to-Market

Использование облачных решений снижает временные издержки, связанные с приобретением, поставкой, настройкой и обслуживанием оборудования. Кроме того, облака способствуют [3] ускорению работы в рамках DevOps-подхода, что позволяет ускорить развертывание и обновление ИТ-продуктов.

Гибкость

Облачные решения упрощают для разработчиков масштабирование решений как вертикальное, так и горизонтальное. При необходимости компании достаточно временно арендовать больше мощностей – это проще и дешевле, чем ждать и настраивать собственное оборудование.

Безопасность

Облачные сервисы изначально реализуются с учетом необходимости защиты от нарушителей. В связи с этим к безопасности облачные провайдеры подходят, как правило, комплексно – от физической защищенности и пожаробезопасности и до противодействия сложным целенаправленным атакам.

Повышенный SLA

Важнейшее качество для облачного провайдера – обеспечение доступности его информационных ресурсов, размещенных в облаке, для заказчика.

Законно ли размещать ОКИИ в облаках

Законно, при условии, что эти облака и предоставляющие их клауд-провайдеры сами соответствуют предъявляемым к ним требованиям. Скажем, ОКИИ первой категории значимости можно разместить только в облаке первой категории значимости. Если этот объект дополнительно выступает в качестве информационной системы персональных данных второго уровня защищенности, то и облачная платформа должна отвечать соответствующим законодательным предписаниям в этой области.

Облачный провайдер должен иметь все необходимые лицензии, быть включен в реестры, например, операторов персональных данных и хостинг-провайдеров, которые ведет Роскомнадзор. Дополнительно он должен выполнять все требования законов, указов президента, постановлений Правительства РФ, приказов ФСТЭК России, ФСБ России и отраслевых регуляторов, предъявляемых к владельцам ОКИИ.

Какие ОКИИ целесообразно размещать в облаках

Облачное размещение объектов КИИ наиболее релевантно в ситуации, когда бизнесу важны гибкость разработки и обновления, а также способность инфраструктуры к масштабированию. Компании выбирают такой подход, когда у них нет времени, возможности или целесообразности закупать и обслуживать дорогостоящее оборудование либо тратить ресурсы на разработку собственных решений. Это применимо к любым сферам экономики, поскольку речь в первую очередь идет о сложности процессов и географии бизнеса, а не об отрасли, в которой он работает.

С другой стороны, можно отметить, что чаще других к использованию облачных решений приходят компании из непроизводственных отраслей: офлайн- и онлайн-ритейла, телекома и ИТ, сферы услуг, медицины и образования. Но и промышленность все чаще обращается к провайдерам для размещения в облаке бэк-офисных систем, например ERP, документооборота, бухгалтерских систем и т.д.

Отдельно стоит сказать о банковском секторе и кредитнофинансовых организациях. Провайдеры, соответствующие стандарту ГОСТ 57580-1 и Федеральному закону 152-ФЗ “О персональных данных”, дают возможность банкам и другим институциям размещать в облаках не только критическую информационную инфраструктуру, но и остальные сведения, непосредственно связанные с бизнес-процессами.

Безопасное размещение ОКИИ в облаке

Безусловно, в обеспечении безопасности ОКИИ в облаке помимо облачного провайдера участвует еще и владелец этого объекта. Тут важно разграничение зон ответственности между сторонами этого процесса, зафиксированное в договоре с предусмотренными санкциями за нарушения его положений.

В рамках своей зоны ответственности владелец ОКИИ должен принять необходимые меры, например при модели облачных услуг IaaS – на уровнях операционной системы, среды исполнения, приложения

и данных. В данном случае владелец системы обязан также обеспечить безопасность информации при ее передаче по сетям связи, например при помощи средств криптографической защиты.

А что тогда остается в зоне ответственности провайдера?

На прикладном уровне облака дают своим клиентам важные преимущества. Провайдеры тщательно продумывают все возможные проблемы на этапе проектирования и предпринимают шаги для их решения.

Физическая защита

Облачные провайдеры предпринимают все возможные меры для защиты физического оборудования – серверов, СХД и телекома, от пропускного режима и СКУД в ЦОД и до запираемых серверных стоек и видеонаблюдения за ними. Построение такой инфраструктуры собственными силами могут себе позволить только представители крупных компаний.

Отказоустойчивость, пожаро- и сейсмобезопасность, резервирование энергоснабжения

Архитектура и инфраструктура облачных провайдеров разрабатывается с учетом особенностей местности. Строители и бизнес предусматривают как антропогенные, так и природные факторы, способные нарушить работу серверов, и еще на этапе проектирования закладывают механизмы, способные минимизировать их влияние.

Георезервирование

В случае с ОКИИ диверсификация, подход “не клади все яйца в одну корзину”, не просто полезен, а жизненно необходим. Облачные провайдеры для обеспечения надежности процессов и данных размещают компоненты сети на географически распределенных площадках – таким образом, даже в случае проблем на одной из них остальные продолжат работать.

Резервирование каналов

Та же логика актуальна и для каналов связи: при нарушении одного из них, например в результате работы экскаватора, нагрузка распределяется между резервными.

Меры защиты на уровнях инфраструктуры

Облачный провайдер в целях минимизации угроз для развернутых в его инфраструктуре систем заказчиков принимает расширенный набор мер по информационной безопасности в зоне своей ответственности, начиная от несанкционированных действий потенциальных инсайдеров и заканчивая веерными атаками.

Некоторые провайдеры также предлагают комплексные решения.

SecaaS

Или “безопасность как услуга” – подход, при котором провайдер предоставляет заказчику ту или иную услугу по информационной безопасности как сервис, обеспечивающий быстрый запуск, простую настройку и высокую эффективность. Сюда можно отнести решения AntiDDoS, Web Application Firewall, многофакторную аутентификацию и т.д.

Консалтинг по ИБ

Некоторые провайдеры готовы делиться с заказчиками своей экспертизой в области ИБ применительно к облачным системам. Это может касаться и категорирования ОКИИ, и формирования корректной модели угроз и нарушителя, и разработки оптимальной системы ИБ, и даже ее внедрения.

Managed Services по ИБ

Некоторые провайдеры берут на сопровождение средства защиты информации, не входящие в его продуктовый портфель по направлению SecaaS, но развернутые в облачной инфраструктуре его заказчиков.

Облака давно стали популярны среди пользователей и бизнеса, а теперь спрос на них растет и среди субъектов КИИ. Провайдеры предпринимают все необходимые меры, которые помогают обеспечить надежность сервисов, развивают свои ИТ-компетенции и нарабатывают опыт в создании комплексных решений в области безопасности. В условиях повышенного риска киберугроз такой подход позволяет прогнозировать и дальнейшее увеличение востребованности облачных решений.

https://www.vedomosti.ru/technology/news/2022/03/30/915906-putin-zapretil-ispolzovat-inostrannoe-po 
http://survey.iksconsulting.ru/page32257739.html 
https://about.gitlab.com/resources/downloads/2020-devsecops-report.pdf  

ITSec_articles

Read More

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x