Алексей Кубарев: облако перспектив для объектов критической инфраструктурыисточник

В последние годы на отечественном рынке ИТ прослеживаются два основных тренда. Во-первых, государство и бизнес из-за возросшего числа киберугроз стали уделять больше внимания объектам критической информационной инфраструктуры (ОКИИ) и их безопасности. Во-вторых, растет популярность облачных решений при построении компаниями собственных ИТ-сервисов и платформ. Закономерное развитие этих трендов – размещение ОКИИ в облаках. О том, почему это выгодно, и как не допустить ошибок в этом процессе, рассказывает Алексей Кубарев, директор по информационной безопасности Т1 Облако.

Зачем размещать ОКИИ в облака

Объекты критической инфраструктуры – это системы и сети, непрерывная работа которых важна для функционирования различных отраслей: транспорта, здравоохранения, промышленности, банковской сферы и т. д. При этом согласно Федеральному закону 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», ответственность за безопасность и устойчивость функционирования ОКИИ ложится на их владельцев. Сейчас многие из них решают делегировать часть таких обязательств облачному провайдеру – такой подход обладает важными преимуществами:

  • Борьба с кадровым дефицитом. Рынок IT и ИБ-специалистов сейчас переживает не лучшие времена с точки зрения нанимателей. Грамотные специалисты, необходимые для поддержания функционирования системы, как никогда редки и дороги. Применение облачных сервисов значительно снижает потребность в большом штате сотрудников, что положительно влияет на оптимизацию операционных процессов.
  • Импортозамещение. Опубликованные в 2022 году Указы Президента РФ № 166 и № 250 ограничивают возможность использования иностранного ПО и оборудования на объектах КИИ. Исполнение этого запрета на инфраструктурных слоях ОКИИ может вызвать значительные сложности у их владельцев. Один из наиболее простых способов реализации этих норм – получение импортозамещенной инфраструктуры как услуги у облачного провайдера.
  • Экономика. Оптимизация ФОТ (фонд оплаты труда) IT- и ИБ-специалистов, переход от CapEx к OpEx, экономия за счет отсутствия необходимости закупки и поддержания функционирования компонентов ОКИИ в составе, рассчитанном на пиковые нагрузки, – вот несколько преимуществ перехода в облако.
  • Сокращение Time-to-market. Использование облачных решений снижает временные издержки, связанные с приобретением, поставкой, настройкой и обслуживанием оборудования. Кроме того, облака способствуют ускорению работы в рамках DevOps-подхода, что позволяет ускорить развертывание и обновление ИТ-продуктов.
  • Гибкость. Облачные решения упрощают для разработчиков масштабирование решений – как вертикальное, так и горизонтальное. Компании при необходимости достаточно временно арендовать больше мощностей – это проще и дешевле, чем ждать и настраивать собственное оборудование.
  • Безопасность. Облачные сервисы изначально реализуются с учетом необходимости защиты от нарушителей. В связи с этим к безопасности облачные провайдеры подходят, как правило, комплексно – от физической защищенности и пожаробезопасности и до противодействия сложным целенаправленным атакам.
  • Повышенный SLA. Важнейшее качество для облачного провайдера – обеспечение доступности его информационных ресурсов, размещенных в облаке, для заказчика.

Законно ли размещать ОКИИ в облаках

Законно, при условии, что эти облака и предоставляющие их клауд-провайдеры сами соответствуют предъявляемым к ним требованиям. Скажем, ОКИИ первой категории значимости можно разместить только в облаке первой категории значимости. Если этот объект дополнительно выступает в качестве информационной системы персональных данных второго уровня защищенности, то и облачная платформа должна отвечать соответствующим законодательным предписаниям в этой области.

Облачный провайдер должен иметь все необходимые лицензии, быть включен в реестры, например, операторов персональных данных и хостинг-провайдеров, которые ведет Роскомнадзор. Дополнительно он должен выполнять все требования законов, указов Президента, постановлений Правительства, приказов ФСТЭК России, ФСБ России и отраслевых регуляторов, предъявляемых к владельцам ОКИИ.

Какие ОКИИ целесообразно размещать в облаках

Облачное размещение объектов КИИ наиболее релевантно в ситуации, когда бизнесу важны гибкость разработки и обновления, а также способность инфраструктуры к масштабированию. Компании выбирают такой подход, когда у них нет времени, возможности или целесообразности закупать и обслуживать дорогостоящее оборудование либо тратить ресурсы на разработку собственных решений. Это применимо к любым сферам экономики, поскольку речь в первую очередь идет о сложности процессов и географии бизнеса, а не об отрасли, в которой он работает.

С другой стороны, можно отметить, что чаще других к использованию облачных решений приходят компании из непроизводственных отраслей: офлайн- и онлайн-ритейла, телекома и ИТ, сферы услуг, медицины и образования. Но и промышленность все чаще обращается к провайдерам для размещения в облаке бэк-офисных систем, например ERP, документооборот, бухгалтерские системы и т.д.

Отдельно стоит сказать о банковском секторе и кредитно-финансовых организациях. Провайдеры, соответствующие стандарту ГОСТ 57580-1 и Федеральному закону 152-ФЗ «О персональных данных», дают возможность банкам и другим институциям размещать в облаках не только критическую информационную инфраструктуру, но и остальные сведения, непосредственно связанные с бизнес-процессами.

Безопасное размещение ОКИИ в облаке

Безусловно, в обеспечении безопасности ОКИИ в облаке помимо облачного провайдера участвует еще и владелец этого объекта. Тут важно разграничение зон ответственности между сторонами этого процесса, зафиксированное в договоре с предусмотренными санкциями за нарушения его положений.

В рамках своей зоны ответственности владелец ОКИИ должен принять необходимые меры. Например, при модели облачных услуг IaaS – на уровнях операционной системы, среды исполнения, приложения и данных. Также в данном случае владелец системы обязан обеспечить безопасность информации при её передаче по сетям связи, например, при помощи средств криптографической защиты.

А что тогда остается в зоне ответственности провайдера?

На прикладном уровне облака дают своим клиентам важные преимущества. Провайдеры тщательно продумывают все возможные проблемы на этапе проектирования и предпринимают шаги для их решения:

  • Физическая защита. Облачные провайдеры предпринимают все возможные меры для защиты физического оборудования – серверов, СХД и телекома: от пропускного режима и СКУД в ЦОД и до запираемых серверных стоек и видеонаблюдения за ними. Построение такой инфраструктуры собственными силами могут себе позволить только представители крупных компаний.
  • Отказоустойчивость, пожаро- и сейсмобезопасность, резервирование энергоснабжения. Архитектура и инфраструктура облачных провайдеров разрабатывается с учетом особенностей местности. Строители и бизнес предусматривают как антропогенные, так и природные факторы, способные нарушить работу серверов, и еще на этапе проектирования закладывают механизмы, способные минимизировать их влияние.
  • Георезервирование. В случае с ОКИИ диверсификация, подход «не клади все яйца в одну корзину», не просто полезен, а жизненно необходим. Облачные провайдеры для обеспечения надежности процессов и данных размещают компоненты сети на географически распределенных площадках – таким образом, даже в случае проблем на одной из них, остальные продолжат работать.
  • Резервирование каналов. Та же логика актуальна и для каналов связи: при нарушении одного из них, например, в результате работы экскаватора, нагрузка распределяется между резервными.
  • Меры защиты на уровнях инфраструктуры. Облачный провайдер в целях минимизации угроз для развернутых в его инфраструктуре систем заказчиков принимает расширенный набор мер по информационной безопасности в зоне своей ответственности – начиная от несанкционированных действий потенциальных инсайдеров и заканчивая веерными атаками.

Некоторые провайдеры также предлагают комплексные решения:

  • SecaaS. Или безопасность-как-услуга – подход, при котором провайдер предоставляет заказчику ту или иную услугу по информационной безопасности как сервис, обеспечивающий быстрый запуск, простую настройку и высокую эффективность. Сюда можно отнести решения AntiDDoS, Web Application Firewall, многофакторную аутентификацию и т.д.
  • Консалтинг по ИБ. Некоторые провайдеры готовы делиться с заказчиками своей экспертизой в области ИБ применительно к облачным системам. Это может касаться и категорирования ОКИИ, и формирования корректной модели угроз и нарушителя, и разработки оптимальной системы ИБ, и даже её внедрения.
  • Managed Services по ИБ. Некоторые провайдеры берут на сопровождение средства защиты информации, не входящие в его продуктовый портфель по направлению SecaaS, но развернутые в облачной инфраструктуре его заказчиков.

Облака давно стали популярны среди пользователей и бизнеса, а теперь спрос на них растет и среди субъектов КИИ. Провайдеры предпринимают все необходимые меры, которые помогают обеспечить надежность сервисов, развивают свои ИТ-компетенции и нарабатывают опыт в создании комплексных решений в области безопасности. В условиях повышенного риска киберугроз такой подход позволяет прогнозировать и дальнейшее увеличение востребованности облачных решений.

Карьера
Работа в T1
Выбирайте подходящее направление и присоединяйтесь, чтобы вместе создавать технологии, определяя будущее!
Подробнее
Написать нам