Подтверждение соответствия созданной комплексной системы защиты информации в информационно-телекоммуникационной системе (получение аттестата соответствия КСЗИ) с использованием облачных технологий. Опыт «Украинского государственного центра международного образования»
Во время, когда цифровые информационные технологии все больше проникают во все сферы жизни (личного, промышленности, государственных органов) очень важным является обеспечение надежной, защищенной инфраструктуры, адаптируется под специфику организации / предприятия / задачи, способна реализовать и поддержать технологические процессы обработки и сохранение информации в электронном виде.
Создание и постоянное поддержание такой инфраструктуры силами отдельно взятой организации или предприятия является трудоемким и дорогостоящим процессом. Одним из оптимальных способов решения данного задания является использование «облачных» технологий (полное или частичное переноса центрального вычислительного ядра системы в арендованное облачную среду).
Задача особенно актуальна для государственных органов, учреждений и предприятий, ведь они должны обеспечивать бесперебойную и защищенную обработку государственных информационных ресурсов и / или информации с ограниченным доступом, требование относительно защиты которой установлено законом. А также осуществлять развитие, модернизацию и сопровождение таких информационных систем в условиях ограниченных временных рамок и бюджета.
Проведя аудит собственных ресурсов и информационных систем и, оценив потенциальные риски, наиболее оптимальным в контексте затрат на создание, содержание инфраструктуры и обеспечение надежной работы собственных сервисов, определяют все больше специалистов в области системного администрирования и информационной безопасности государственных предприятий, учреждений и ведомств. Защита и сохранение информации пока относится главным критерием при построении ИТ-систем компании. И законодателями этого тренда являются государственные учреждения, где требования к инфраструктуре регулируются законодательно.
С запросом разместить собственные системы в «облачной среде» вычислительных ресурсов в UCloud обратилось также Государственное предприятие «Украинский государственный центр международного образования» (УДЦМО).
«Украинский государственный центр международного образования» — это государственное коммерческое предприятие, которое относится к сфере управления Министерства образования и науки Украины. Центр является официальным государственным источником информации по вопросам обучения иностранных студентов в Украине. Предприятие постоянно работает с государственными информационными ресурсами и персональными данными, поэтому обязательным условием организации и построения собственных информационно-телекоммуникационных систем является обеспечение КСЗИ с подтвержденной соответствием согласно нормативных документов в сфере технической защиты информации.
Какую роль играет «облачное» хранилище при оценке КСЗИ и получения аттестата соответствия?
Для освещения данного вопроса мы пригласили представителей УДЦМО, непосредственно принимали участие в модернизации и эксперта в области технической защиты информации Романа Омельченко.
«Государственные информационные ресурсы и персональные данные являются активами, политика использования и защиты которых полностью регламентируется законодательством Украины. Политика безопасности их обработки требует использования информационно-телекоммуникационных систем с созданной комплексной системой защиты информации (КСЗИ) с подтвержденной соответствием в порядке, определенном Государственной службой специальной связи и защиты информации Украины.
В этом контексте использования внешних услуг «облачного» хранения и обработки данных является достаточно нетипичным, с точки зрения существующего законодательства, решением, которое вносит много дополнительных вопросов по оценке реализации отдельных услуг защиты и их гарантий третьей стороной (оператором такого сервиса), в частности:
- четкая сегментация всех уровней реализации инфраструктуры системы (телекоммуникационная, логическая, вычислительная и т.д.) и разграничение обязательств и полномочий между персоналом владельца информационной системы (в данном случае УДЦМО), персоналом оператора «облака», и, возможно, оператором аппаратных ресурсов и инфраструктуры обеспечения .
- четкая регламентация всех виде доступа к ресурсам всеми сторонами взаимодействия.
- жизненный цикл информационного ресурса в рамках «облака» и четкий регламент его использования.
- и другие.
Однако, при правильной организации взаимодействия между сторонами, выполнении базовых норм и правил информационной безопасности, определенных законодательством Украины и международными нормами и рекомендациями, эти и другие вопросы становятся ощутимыми преимуществами в ходе внедрения и оценки таких систем, наряду с значительной разницей в стоимости и скорости развертывания, привлекает все больше пользователей именно к «облачной» архитектуры построения их ИТС ».
Сотрудник предприятия Елена Витюк, вспоминая предыдущий опыт эксплуатации ИТС УДЦМО (локализованная архитектура, аренда внешнего сервера) также отмечает, что в общих временных и материальных затратах дальнейшего управления процессом информационной безопасности и сопровождения инфраструктуры ИТС львиную долю составляют именно меры, связанные с обеспечением надежности и работоспособности оборудования, мониторинга, оперативного наращивания (или уменьшение) вычислительных параметров отдельных компонентов инфраструктуры и т.д., то есть меро и, которые теперь они получают, в рамках услуг «облачной инфраструктуры», от надежного оператора.
Среди критериев выбора оператора Елена отметила:
- надежная и современная программно-аппаратная и технологическая база реализации «облачной инфраструктуры»;
- оперативность отработки задач и реагирования на инциденты;
- открытость инфраструктуры оператора для заказчика
- высокий уровень подготовки персонала;
- гибкая ценовая и ресурсная политика (возможность оперативно реконфигурировать сегмент ИТС заказчика).
Проведение государственной экспертизы и получения аттестата Администрации Государственной службы специальной связи и защиты информации
Как правило, процесс получения аттестата Госспецсвязи длится от двух до четырех месяцев, в котором значительную часть занимает рассмотрение ее результатов Администрацией Госспецсвязи Украины.
Порядок проведения государственной экспертизы и получения аттестата определены «Положением о государственной экспертизе в сфере технической защиты информации», утвержденным Приказом Администрации Государственной службы специальной связи и защиты информации Украины 16.05.2007 № 93. Основные этапы экспертизы включают:
- подачи заявления в Администрации Госспецсвязи о проведении экспертизы КСЗИ;
- С целью организации и проведения экспертиз, координации мероприятий и принятия решений о проведении экспертиз в Администрации Госспецсвязи создается экспертный совет по вопросам государственной экспертизы в сфере технической защиты информации;
- Организатор экспертизы выполняет экспертные работы в соответствии определенной методики;
- Результаты работ, определенных методикой, обобщаются организатором в экспертном заключении;
- Экспертное заключение вместе с протоколами выполнения работ подаются в Администрации Госспецсвязи;
- Экспертный совет по вопросам государственной экспертизы в сфере технической защиты информации Администрации Госспецсвязи принимает решение о регистрации и выдаче Аттестата соответствия КСЗИ.
«Видимо, в нашем случае, одним из самых сложных моментов было убеждению представителей регулятора в безопасности и действенности работы с« облачным »средой, — вспоминает Елена. До сих пор существует есть стереотип относительно отдельного помещения с серверами и охранником если такого нет, то о безопасности говорить не стоит. Однако это лишь предрассудки и мы доказали это во время аттестации».
За счет чего обеспечивается защита данных. Сейчас УДЦМО придерживается гибридной инфраструктуры, то есть часть информации хранится в «облаке», а другая — в физическом хранилище. В виртуальной среде размещены сервисы и автоматизированные системы оказания услуг внешним пользователям и абонентам УДЦМО, остальные — бухгалтерия и сервисы, обеспечивающие внутреннюю работу — в локальном хранилище. Именно такой подход позволяет обеспечить максимальный уровень гибкости и динамичности защиты в случае «Украинского государственного центра международного образования».
Собеседники также отмечают, что важным аспектом при аттестации был сопровождение подрядчика по предоставлению «облачных» услуг — UCloud. «Для нас было важно, чтобы представитель подрядчика был открыт и мог предоставить все технические данные о работе своих серверов», — подчеркивает Роман. Специалистами UCloud было предоставлено всю информацию, которая необходима заказчику при экспертизе КСЗИ.
«Таким образом, благодаря сотрудничеству с UCloud, мы вывели нашу систему информационной безопасности на качественно новый уровень, — рассказывает Елена — Наша компания смогла получить сертификат КСЗИ без проблем, и, пока, работа сервисов УДЦМО соответствует законодательству и требованиям в сфере технической защиты информации
Рубрика: Новости
Добавить комментарий