Зачем бизнес переводит кибербез в облака

Число и уровень кибератак в России с каждым годом возрастают, а с ними усиливаются и требования регуляторов. О том, как компаниям в условиях постоянно изменяющегося ландшафта угроз, ухода многих крупных западных разработчиков, ранее закрывавших потребности бизнеса по обеспечению информационной безопасности, и практически полного импортозамещения в ИБ отрасли соответствовать новым реалиям, рассказывает Георгий Джабиев, директор по развитию бизнеса Т1 Облако.

Георгий ДжабиевДиректор по развитию бизнеса

Дата10.04.2024

⠀

На что бизнес обращает внимание при выборе ИБ-инструментов?

В 2024 году спрос на надежные отечественные средства защиты ИТ-инфраструктуры и ИБ-услуги продолжает устойчиво расти. Этот интерес обусловлен рядом факторов:

Увеличение числа кибератак и их сложности повышают репутационные и финансовые риски компаний. Это заставляет бизнес пересмотреть взгляды на обеспечение кибербезопасности, таким образом на первый план выходит защита чувствительных данных, в частности персональной или коммерческой информации, а также обеспечение безопасности объектов критической информационной инфраструктуры (КИИ).
Необходимо оперативно осуществлять импортозамещение в условиях расширения требований законодательства и отраслевых стандартов в сфере ИБ. В связи с этим среди российских компаний возрастает спрос на open-source решения — ПО с открытым исходным кодом, применение которого увеличивает риски внедрения вредоносного программного обеспечения злоумышленниками. Поэтому защита сред разработки сегодня является одной из важных направлений в информационной безопасности.
Появились новые регуляторные требования, нацеленные на повышение уровня информационной безопасности:
Среди ключевых государственных инициатив, затрагивающих предприятия практически из всех отраслей, Указы президента №250 и № 166, которые ограничивают или полностью запрещают использование средств ИБ иностранной разработки с 2025 г. Под их действие попадают органы государственной власти, госкомпании и операторы объектов КИИ, а также стратегические предприятия — крупные компании, которые оказывают существенное влияние на экономику страны. За несоблюдение требований законодательства накладывается персональная ответственность на руководителей организаций по вопросам ИБ.
Постепенно ужесточается ответственность за утечки ПДн в рамках 152-ФЗ «О персональных данных», и происходят изменения в порядке категорирования объектов КИИ в соответствии с требованиями 187-ФЗ «О безопасности критической информационной инфраструктуры».
Усиливаются требования ФСТЭК России к средствам защиты информации (требования к средствам виртуализации, контейнеризации, межсетевым экранам нового поколения, СУБД) и появляются новые законодательные инициативы — например, законопроект № 404786-8 об ИТ-аутсорсинге в части применения облачных услуг финансовыми организациями.

В каких отраслях наиболее строгий подход к киберзащите?

В зависимости от размера и сферы деятельности компании ей нужно следовать множеству как законодательных, так и отраслевых требований, в том числе Президента, Правительства, ФСТЭК, Банка России, Роскомнадзора, Минцифры, Минздрава и др. Таким образом на одну организацию может распространяться множество законов и подзаконных актов от нескольких регуляторов.

Компании из сферы ретейла, финансовой отрасли и услуг должны отвечать за защиту персональных данных в рамках 152-ФЗ и соответствовать требованиям приказа № 21 ФСТЭК России, за соблюдением которых следит Роскомнадзор. Если деятельность бизнеса связана с онлайн-транзакциями, компаниям необходимо обеспечить соответствие стандартам безопасности индустрии платежных карт PCI DSS. Дополнительно в финансовой отрасли действует ГОСТ Р 5758О, направленный на защиту информационных систем и чувствительных финансовых данных. Его выполнение регулируется Банком России.

Данные законы и требования также актуальны и для организаций медицины и транспорта. При этом, если компании из какой-то вышеперечисленной отрасли являются субъектами КИИ, то дополнительно на них распространяются 187-ФЗ «О безопасности критической информационной инфраструктуры». Эти требования касаются и промышленных предприятий, которым принадлежат объекты КИИ и которые, в том числе, могут обрабатывать персональные данные. Для промышленных предприятий, кроме всего прочего, введены требования по обеспечению безопасности автоматизированных систем управления технологическим процессом (АСУ ТП), установленные приказом ФСТЭК России №31.

Может ли миграция в облако стать «универсальной таблеткой» для компаний субъектов КИИ?

Требования 187-ФЗ актуальны для разных отраслей, при этом многие компании — субъекты КИИ до сих пор испытывают сложности с реализацией положений закона о безопасности КИИ. Поэтому миграция в облако поможет снять значительную часть «головной боли» и стать «универсальной таблеткой» для организаций, попадающих под действие этого закона, но только в том случае, если сервис-провайдер обеспечивает зрелый подход к реализации ИБ — является субъектом КИИ и аттестован в соответствии с 187-ФЗ.

Интересно, что даже такие консервативные отрасли, как промышленность, уже не так скептично смотрят на облако, особенно безопасное. Во многом это стало возможно именно благодаря наличию у сервис-провайдеров аттестата соответствия 187-ФЗ. Облако Т1 Сloud имеет аттестат соответствия требованиям к объектам КИИ первой категории значимости, что дает возможность нашим клиентам размещать в нем практически любые критические информационные системы для компаний из всех отраслей и не беспокоиться о сохранности чувствительных данных и работы систем.

Клиент получает возможность развернуть объект КИИ в защищенном и аттестованном облаке провайдера и снимает с себя как минимум (в случае сервисов по модели IaaS) задачи по обеспечению физической безопасности и управления уязвимостями телеком, серверного оборудования и систем хранения данных, на которых оно функционирует. Также облачный провайдер несет ответственность за сетевую защиту на нижних уровнях модели OSI (Open System Interconnection) и на уровне среды виртуализации.

Можно ли отдать кибербезопасность на аутсорсинг?

На фоне ухода иностранных вендоров и усиления регуляторных требований у российских компаний возрастает интерес к аутсорсингу кибербезопасности с помощью облачных сервис-провайдеров. Этот подход позволяет обеспечить требуемый уровень информационной защищенности, решить вопрос кадров в сфере ИБ и перевести капитальные затраты в операционные.

Сервисная модель потребления вычислительных ресурсов закрывает проблемы дефицита оборудования и поиска мощностей для размещения систем, которые бы соответствовали всем регуляторным стандартам. Т1 Облако, например, помогает клиентам обеспечить безопасность как в облаке с подключением сервисов по модели SecaaS, так и on-premise на стороне клиента и оказывает консультации по обеспечению защищенности сети.

Облачная инфраструктура сервис-провайдера, предоставляющего такие услуги, должна быть аттестована в соответствии с законодательными требованиями. Наше облако, на базе которого мы предоставляем инфраструктурные сервисы (IaaS, PaaS и большая часть сервисов SaaS), имеет многоуровневую систему защиты, отвечающую требованиям законодательства РФ, что подтверждено имеющимися аттестатами и сертификатами соответствия требованиям 152-ФЗ, ГОСТ 57580-1 и ФЗ 187-ФЗ по наивысшему уровню защиты, а также PCI DSS.

Какие ИБ-услуги из облака наиболее востребованы?

Как показывает практика Т1 Облако, компании чаще всего обращаются за надежной облачной инфраструктурой, которая помогает обеспечить защиту собственных информационных систем и данных их клиентов, а также соответствие требованиям регуляторов в зависимости от специфики их деятельности.

Кроме этого, в условиях роста угроз, достаточно востребованными становятся сервисы по безопасности, доступные по моделям Security-as-a-Service и Managed Security Services. В частности, сервисы многофакторной аутентификации и по защите от DDoS-атак, а также решения для защиты веб-приложений и сайтов (Web Application Firewall) и конечных точек (Endpoint Security).

Разработчики ПО также часто обращаются за сервисами для безопасной разработки (Secure Development Platform, SDP). Особую популярность приобретают и консалтинговые услуги по ИБ, в том числе в части КИИ — от категорирования объектов и разработки моделей угроз и технических заданий на подсистемы ИБ до их сопровождения на всех этапах жизненного цикла.

Чек-лист по выбору безопасного облака

К базовым факторам при выборе сервис-провайдера, обладающего значимой ИБ-квалификацией, относятся:

Наличие у провайдера зрелой системы управления ИБ, что подтверждается, например, сертификатом ISO 27001.
Гарантия доступности и стабильности работы облака, что обеспечивается SLA облачного провайдера и наличием сертификатов Tier для соответствующих ЦОД, на базе которых развернуто облако. Чем выше Tier, тем устойчивее функционирует облако, при этом оно, конечно, дороже.
Соответствие законодательству, иначе деятельность провайдера может быть приостановлена в любой момент по решению суда. Убедиться в том, что российский провайдер выполняет все предписания закона можно, заглянув в реестры Роскомнадзора операторов персональных данных, хостинг-провайдеров и лицензиатов в сфере связи. Это актуально для любого провайдера, чья деятельность ведется на территории РФ, и если даже в одном из этих реестров провайдер отсутствует, то это тревожный знак для клиента.
К тому же, в соответствии с законопроектом № 404786-8 для использования финансовыми организациями ИТ-аутсорсинга, облачным провайдерам потребуется наличие лицензии на осуществление деятельности по технической защите конфиденциальной информации.

В зависимости от состава услуг, данных и систем, погружаемых в облако, появляются дополнительные требования к сервис-провайдерам:

Если провайдер оказывает услуги по ИБ: консалтинг, проектирование, Managed services, SecaaS и др., то он должен располагать лицензиями ФСТЭК России по технической защите информации и ФСБ России на криптографическую защиту информации. При этом важно не просто убедиться в наличии лицензии как таковой, но и в том, что в ней зафиксированы необходимые клиенту виды работ. Как правило, эта информация находится на сайте провайдера или доступна по запросу.
В случае, если в облаке будут обрабатываться персональные данные, то его инфраструктура должна соответствовать требованиям 152-ФЗ и по уровню защиты быть не ниже, чем уровень защищенности соответствующих персональных данных.
Если в облаке будут размещаться данные платежных карт третьих лиц, то целесообразно убедиться, что инфраструктура провайдера соответствует международному стандарту PCI DSS, и это подтверждено соответствующим сертификатом.
При переносе в облако значимых объектов КИИ, его инфраструктура должна соответствовать требованиям 187-ФЗ по категории значимости не ниже, чем категория самих объектов. Важно убедиться, что в сертификате приведены все необходимые требования, а также указан требуемый уровень защищенности.
Разместить в облаке информационные системы финансовых организаций можно только в том случае, если его инфраструктура соответствует стандарту ГОСТ 57680.1 по соответствующему уровню защиты информации. Подтверждением этого является заключение, выданное независимым аудитором. Ровно такой же подход действует и в отношении государственных информационных систем (ГИС). Однако, для ГИС подходит только аттестат соответствия, выданный лицензиатом ФСТЭК России по технической защите информации.

Пользовательское соглашение

Политика обработки персональных данных

г. Москва, ул. Юности, д. 13А, стр. 2

Команда выделенной технической поддержки на связи 24/7 по телефону +7 (495) 727-09-81 и почте support@t1.cloud

Т1 Облако