Logo Ucloud
uk

Четвер, 27 Лютого, 2020

Кейс. Досвід «Українського державного центру міжнародної освіти»

Кейс. Досвід «Українського державного центру міжнародної освіти»

Підтвердження відповідності створеної комплексної системи захисту інформації в інформаційно-телекомунікаційній системі (отримання атестату відповідності КСЗІ) з використанням хмарних технологій. Досвід «Українського державного центру міжнародної освіти»

В час, коли цифрові інформаційні технології все більше проникають в усі сфери життя (особистого, промисловості, державних органів тощо) дуже важливим є забезпечення  надійної, захищеної інфраструктури, що адаптується під специфіку організації/підприємства/задачі, спроможна реалізувати та підтримати технологічні процеси обробки та збереження інформації в електронному вигляді.

Створення та постійна підтримка такої інфраструктури силами окремо узятої організації або підприємства є трудомістким та коштовним процесом. Одним із оптимальних способів вирішення даного задання є використання «хмарних» технологій (повне або часткове перенесення центрального обчислювального ядра системи в орендоване хмарне середовище).

Завдання особливо актуальне для державних органів, установ та підприємств, адже вони повинні забезпечувати безперебійну та захищену обробку державних інформаційних ресурсів та/або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом. А також здійснювати розвиток, модернізацію та супроводження таких інформаційних систем в умовах обмежених часових рамок та бюджету.

Провівши аудит власних ресурсів та інформаційних систем та, оцінивши потенційні ризики, найбільш оптимальним в контексті витрат на створення, утримання інфраструктури та забезпечення надійної роботи власних сервісів, визначають все більше фахівців в сфері системного адміністрування та інформаційної безпеки державних підприємств, установ та відомств. Захист та збереження інформації наразі ставиться головним критерієм при побудові ІТ-систем компанії. І законодавцями цього тренду є державні установи, де вимоги до інфраструктури регулюються законодавчо.

Із запитом розмістити власні системи у «хмарному середовищі» обчислювальних ресурсів до UCloud звернулось також Державне підприємство «Український державний центр міжнародної освіти» (УДЦМО).

«Український державний центр міжнародної освіти» — це державне комерційне підприємство, яке належить до сфери управління Міністерства освіти і науки України. Центр є офіційним державним джерелом інформації з питань навчання іноземних студентів в Україні.  Підприємство постійно працює з державними інформаційними ресурсами та персональними даними, тому обов’язковою умовою організації та побудови власних інформаційно-телекомунікаційних систем є забезпечення КСЗІ із підтвердженою відповідністю згідно нормативних документів в сфері технічного захисту інформації.

Яку роль відіграє «хмарне» сховище під час оцінки КСЗІ та отримання атестату відповідності?

Для висвітлення даного питання ми запросили представників УДЦМО, які безпосередньо приймали участь в модернізації та експерта у галузі технічного захисту інформації Романа Омельченко.

«Державні інформаційні ресурси та персональні дані є активами, політика використання та захисту яких повністю регламентується законодавством України. Політика безпеки їх обробки вимагає використання інформаційно-телекомунікаційних систем із створеною комплексною системою захисту інформації (КСЗІ) з підтвердженою відповідністю у порядку, визначеному Державною службою спеціального зв’язку та захисту інформації України.

У цьому контексті використання зовнішніх послуг «хмарного» збереження та обробки даних є досить нетиповим, з точки зору існуючого законодавства, рішенням, яке вносить багато додаткових запитань щодо оцінювання реалізації окремих послуг захисту та їх гарантій третьою стороною (оператором такого сервісу), зокрема:

  • чітка сегментація усіх рівнів реалізації інфраструктури системи (телекомунікаційна, логічна, обчислювальна тощо) та розмежування зобов’язань і повноважень між персоналом власника інформаційної системи (в даному випадку УДЦМО), персоналом оператора «хмари», та, можливо, оператором апаратних ресурсів та інфраструктури забезпечення.
  • чітка регламентація усіх виді доступу до ресурсів усіма сторонами взаємодії.
  • життєвий цикл інформаційного ресурсу в рамках «хмари» та чіткий регламент його використання.
  • та інші.

Проте, при правильній організації взаємодії між сторонами, виконанні базових норм та правил інформаційної безпеки, визначених законодавством України та міжнародними нормами і рекомендаціями, ці та інші запитання стають відчутними перевагами в ході впровадження та оцінки таких систем, що наряду із значною різницею у вартості та швидкості розгортання, приваблює все більше користувачів саме до «хмарної» архітектури побудови їх ІТС».

Співробітник підприємства Олена Вітюк, згадуючи попередній досвід експлуатації ІТС УДЦМО (локалізована архітектура, оренда зовнішнього сервера) також зазначає, що в загальних часових та матеріальних затратах подальшого управління процесом інформаційної безпеки та супроводження інфраструктури ІТС левову частку складають саме заходи, пов’язані із забезпеченням надійності та працездатності обладнання, моніторингу, оперативного нарощування (або зменшення) обчислювальних параметрів окремих компонентів інфраструктури тощо, тобто заходи, які тепер вони отримують, в рамках послуг «хмарної інфраструктури», від надійного оператора.

Серед критеріїв вибору оператора Олена відзначила:

  • надійна та сучасна програмно-апаратна та технологічна база реалізації «хмарної інфраструктури»;
  • оперативність відпрацювання задач та реагування на інциденти;
  • відкритість інфраструктури оператора для замовника;
  • високий рівень підготовки персоналу;
  • гнучка цінова та ресурсна політика (можливість оперативно реконфігурувати сегмент ІТС замовника).

Проведення державної експертизи та отримання атестату Адміністрації Державної служби спеціального зв’язку та захисту інформації

Як правило, процес отримання атестату Держспецзв’язку триває від двох до чотирьох місяців, в якому значну частину займає розгляд її результатів Адміністрацією Держспецзв’язку України.

Порядок проведення державної експертизи та отримання атестату визначено «Положенням про державну експертизу в сфері технічного захисту інформації», затвердженим Наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України 16.05.2007 № 93. Основні етапи експертизи включають :

  • подання заяви до Адміністрації Держспецзв’язку про проведення експертизи КСЗІ;
  • З метою організації та проведення експертиз, координації заходів і прийняття рішень щодо проведення експертиз в Адміністрації Держспецзв’язку створюється експертна рада з питань державної експертизи у сфері технічного захисту інформації;
  • Організатор експертизи виконує експертні роботи відповідно визначеної методики;
  • Результати робіт, визначених методикою, узагальнюються організатором в експертному висновку;
  • Експертний висновок разом з протоколами виконання робіт подаються до Адміністрації Держспецзв’язку;
  • Експертна рада з питань державної експертизи у сфері технічного захисту інформації Адміністрації Держспецзв’язку приймає рішення про реєстрацію та видачу Атестату відповідності КСЗІ.

«Мабуть, у нашому випадку, одним з найбільш складних моментів було  переконання представників регулятора в безпеці й дієвості роботи з «хмарним» середовищем, — згадує Олена. Досі існує є стереотип  щодо окремого приміщення із серверами та охоронцем: якщо такого немає, то про безпеку говорити не варто. Однак це лише забобони і ми довели це під час атестації».

За рахунок чого забезпечується захист даних. Наразі УДЦМО дотримується гібридної інфраструктури, тобто частина інформації зберігається у «хмарі», а інша — у фізичному сховищі. У віртуальному середовищі розміщені сервіси та автоматизовані системи надання послуг зовнішнім користувачам та абонентам УДЦМО, решта — бухгалтерія і сервіси, що забезпечують внутрішню роботу – у локальному сховищі. Саме такий підхід дозволяє забезпечити максимальний рівень гнучкості та динамічності захисту у випадку «Українського державного центру міжнародної освіти».

Співрозмовники також відзначають, що важливим аспектом під час атестації був супровід підрядника з надання «хмарних» послуг – UCloud. «Для нас було важливо, щоб представник підрядника був відкритий і міг надати всі технічні дані про роботу своїх серверів», — підкреслює Роман. Фахівцями UCloud було надано усю інформацію, яка необхідна замовнику під час експертизи КСЗІ.

«Таким чином, завдяки співпраці з UCloud, ми вивели нашу систему інформаційної безпеки на якісно новий рівень, — розповідає Олена — Наша компанія змогла отримати сертифікат КСЗІ без проблем, і, наразі, робота сервісів УДЦМО відповідає законодавству та вимогам у сфері технічного захисту інформації

Автор: Tonya

Рубрика: Новини Юклауд