В последние годы на отечественном рынке ИТ прослеживаются два основных тренда. Во-первых, государство и бизнес из-за возросшего числа киберугроз стали уделять больше внимания объектам критической информационной инфраструктуры (ОКИИ) и их безопасности. Во-вторых, растет популярность облачных решений при построении компаниями собственных ИТ-сервисов и платформ. Закономерное развитие этих трендов – размещение ОКИИ в облаках. О том, почему это выгодно, и как не допустить ошибок в этом процессе, рассказывает Алексей Кубарев, директор по информационной безопасности Т1 Облако.
Зачем размещать ОКИИ в облака
Объекты критической инфраструктуры – это системы и сети, непрерывная работа которых важна для функционирования различных отраслей: транспорта, здравоохранения, промышленности, банковской сферы и т. д. При этом согласно Федеральному закону 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», ответственность за безопасность и устойчивость функционирования ОКИИ ложится на их владельцев. Сейчас многие из них решают делегировать часть таких обязательств облачному провайдеру – такой подход обладает важными преимуществами:
Борьба с кадровым дефицитом. Рынок IT и ИБ-специалистов сейчас переживает не лучшие времена с точки зрения нанимателей. Грамотные специалисты, необходимые для поддержания функционирования системы, как никогда редки и дороги. Применение облачных сервисов значительно снижает потребность в большом штате сотрудников, что положительно влияет на оптимизацию операционных процессов.
Импортозамещение. Опубликованные в 2022 году Указы Президента РФ № 166 и № 250 ограничивают возможность использования иностранного ПО и оборудования на объектах КИИ. Исполнение этого запрета на инфраструктурных слоях ОКИИ может вызвать значительные сложности у их владельцев. Один из наиболее простых способов реализации этих норм – получение импортозамещенной инфраструктуры как услуги у облачного провайдера.
Экономика. Оптимизация ФОТ (фонд оплаты труда) IT- и ИБ-специалистов, переход от CapEx к OpEx, экономия за счет отсутствия необходимости закупки и поддержания функционирования компонентов ОКИИ в составе, рассчитанном на пиковые нагрузки, – вот несколько преимуществ перехода в облако.
Сокращение Time-to-market. Использование облачных решений снижает временные издержки, связанные с приобретением, поставкой, настройкой и обслуживанием оборудования. Кроме того, облака способствуют ускорению работы в рамках DevOps-подхода, что позволяет ускорить развертывание и обновление ИТ-продуктов.
Гибкость. Облачные решения упрощают для разработчиков масштабирование решений – как вертикальное, так и горизонтальное. Компании при необходимости достаточно временно арендовать больше мощностей – это проще и дешевле, чем ждать и настраивать собственное оборудование.
Безопасность. Облачные сервисы изначально реализуются с учетом необходимости защиты от нарушителей. В связи с этим к безопасности облачные провайдеры подходят, как правило, комплексно – от физической защищенности и пожаробезопасности и до противодействия сложным целенаправленным атакам.
Повышенный SLA. Важнейшее качество для облачного провайдера – обеспечение доступности его информационных ресурсов, размещенных в облаке, для заказчика.
Законно ли размещать ОКИИ в облаках
Законно, при условии, что эти облака и предоставляющие их клауд-провайдеры сами соответствуют предъявляемым к ним требованиям. Скажем, ОКИИ первой категории значимости можно разместить только в облаке первой категории значимости. Если этот объект дополнительно выступает в качестве информационной системы персональных данных второго уровня защищенности, то и облачная платформа должна отвечать соответствующим законодательным предписаниям в этой области.
Облачный провайдер должен иметь все необходимые лицензии, быть включен в реестры, например, операторов персональных данных и хостинг-провайдеров, которые ведет Роскомнадзор. Дополнительно он должен выполнять все требования законов, указов Президента, постановлений Правительства, приказов ФСТЭК России, ФСБ России и отраслевых регуляторов, предъявляемых к владельцам ОКИИ.
Какие ОКИИ целесообразно размещать в облаках
Облачное размещение объектов КИИ наиболее релевантно в ситуации, когда бизнесу важны гибкость разработки и обновления, а также способность инфраструктуры к масштабированию. Компании выбирают такой подход, когда у них нет времени, возможности или целесообразности закупать и обслуживать дорогостоящее оборудование либо тратить ресурсы на разработку собственных решений. Это применимо к любым сферам экономики, поскольку речь в первую очередь идет о сложности процессов и географии бизнеса, а не об отрасли, в которой он работает.
С другой стороны, можно отметить, что чаще других к использованию облачных решений приходят компании из непроизводственных отраслей: офлайн- и онлайн-ритейла, телекома и ИТ, сферы услуг, медицины и образования. Но и промышленность все чаще обращается к провайдерам для размещения в облаке бэк-офисных систем, например ERP, документооборот, бухгалтерские системы и т.д.
Отдельно стоит сказать о банковском секторе и кредитно-финансовых организациях. Провайдеры, соответствующие стандарту ГОСТ 57580-1 и Федеральному закону 152-ФЗ «О персональных данных», дают возможность банкам и другим институциям размещать в облаках не только критическую информационную инфраструктуру, но и остальные сведения, непосредственно связанные с бизнес-процессами.
Безопасное размещение ОКИИ в облаке
Безусловно, в обеспечении безопасности ОКИИ в облаке помимо облачного провайдера участвует еще и владелец этого объекта. Тут важно разграничение зон ответственности между сторонами этого процесса, зафиксированное в договоре с предусмотренными санкциями за нарушения его положений.
В рамках своей зоны ответственности владелец ОКИИ должен принять необходимые меры. Например, при модели облачных услуг IaaS – на уровнях операционной системы, среды исполнения, приложения и данных. Также в данном случае владелец системы обязан обеспечить безопасность информации при её передаче по сетям связи, например, при помощи средств криптографической защиты.
А что тогда остается в зоне ответственности провайдера?
На прикладном уровне облака дают своим клиентам важные преимущества. Провайдеры тщательно продумывают все возможные проблемы на этапе проектирования и предпринимают шаги для их решения:
Физическая защита. Облачные провайдеры предпринимают все возможные меры для защиты физического оборудования – серверов, СХД и телекома: от пропускного режима и СКУД в ЦОД и до запираемых серверных стоек и видеонаблюдения за ними. Построение такой инфраструктуры собственными силами могут себе позволить только представители крупных компаний.
Отказоустойчивость, пожаро- и сейсмобезопасность, резервирование энергоснабжения. Архитектура и инфраструктура облачных провайдеров разрабатывается с учетом особенностей местности. Строители и бизнес предусматривают как антропогенные, так и природные факторы, способные нарушить работу серверов, и еще на этапе проектирования закладывают механизмы, способные минимизировать их влияние.
Георезервирование. В случае с ОКИИ диверсификация, подход «не клади все яйца в одну корзину», не просто полезен, а жизненно необходим. Облачные провайдеры для обеспечения надежности процессов и данных размещают компоненты сети на географически распределенных площадках – таким образом, даже в случае проблем на одной из них, остальные продолжат работать.
Резервирование каналов. Та же логика актуальна и для каналов связи: при нарушении одного из них, например, в результате работы экскаватора, нагрузка распределяется между резервными.
Меры защиты на уровнях инфраструктуры. Облачный провайдер в целях минимизации угроз для развернутых в его инфраструктуре систем заказчиков принимает расширенный набор мер по информационной безопасности в зоне своей ответственности – начиная от несанкционированных действий потенциальных инсайдеров и заканчивая веерными атаками.
Некоторые провайдеры также предлагают комплексные решения:
SecaaS. Или безопасность-как-услуга – подход, при котором провайдер предоставляет заказчику ту или иную услугу по информационной безопасности как сервис, обеспечивающий быстрый запуск, простую настройку и высокую эффективность. Сюда можно отнести решения AntiDDoS, Web Application Firewall, многофакторную аутентификацию и т.д.
Консалтинг по ИБ. Некоторые провайдеры готовы делиться с заказчиками своей экспертизой в области ИБ применительно к облачным системам. Это может касаться и категорирования ОКИИ, и формирования корректной модели угроз и нарушителя, и разработки оптимальной системы ИБ, и даже её внедрения.
Managed Services по ИБ. Некоторые провайдеры берут на сопровождение средства защиты информации, не входящие в его продуктовый портфель по направлению SecaaS, но развернутые в облачной инфраструктуре его заказчиков.
Облака давно стали популярны среди пользователей и бизнеса, а теперь спрос на них растет и среди субъектов КИИ. Провайдеры предпринимают все необходимые меры, которые помогают обеспечить надежность сервисов, развивают свои ИТ-компетенции и нарабатывают опыт в создании комплексных решений в области безопасности. В условиях повышенного риска киберугроз такой подход позволяет прогнозировать и дальнейшее увеличение востребованности облачных решений.