Информационной безопасности в нынешнее неспокойное время уделяется особое внимание. Вопросы ИБ – важная часть задач, решаемых государственными учреждениями и организациями, коммерческими компаниями при разработке и эксплуатации информационных систем, баз персональных данных. В связи с этим, необходимо учитывать требования международного и российского законодательства к информационным системам, предназначенные для работы с подобной информацией.
С каждым годом ужесточаются требования отечественных регуляторов: Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности, Министерства обороны, Службы внешней разведки, Федеральной службы охраны, Министерства связи и массовых коммуникаций, Банка России. Каждый из них действует в своей сфере компетенции, описанной законодательством.
Если, например, ФСБ «отвечает» за криптографию, а ФСТЭК – «за всё остальное» (межсетевые экраны, антивирусы, системы предотвращения вторжений и т. п.).
Сертификация ФСТЭК
Почему сертификация ФСТЭК? Именно ФСТЭК России, помимо прочей деятельности, осуществляет следующие полномочия: «организует в соответствии с законодательством Российской Федерации проведение работ по оценке соответствия (включая работы по сертификации) средств противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры».
Сертификация — форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров. В данном случае речь идет о РОСС RU.0001.01БИОО – «Системе сертификации средств защиты информации по требованиям безопасности информации».
Существуют различные требования ФСТЭК по защите тех или иных видов конфиденциальной информации. По итогам процедуры подтверждения соответствия того или иного программного или программно-аппаратного средства требованиям по безопасности выдается сертификат. Или не выдается – зависит от результата.
Оценка соответствия применяется во многих областях, и ИБ — не исключение. В зарубежной практике существует стандарт ISO IEC 15408:2009, специально предназначенный для описания критериев оценки ИТ с точки зрения информационной безопасности. В России действуют свои системы сертификации средств защиты.
Безопасность ЦОД
К программному обеспечению, которое используется для построения ключевых систем информационной инфраструктуры, и к самим этим системам предъявляются особые требования. Кроме того, в ЦОД размещаются ценные информационные активы компаний и организаций, защита которых должна обеспечиваться на должном уровне и с учетом угроз информационной безопасности, требований законодательства России и регуляторов.
К ЦОД предъявляются требования 152-ФЗ «О персональных данных», 21-го, 17-го, 31-го приказов ФСТЭК России, требования ФСБ России по криптографической защите информации, требования Банка России, ФЗ-256 «О безопасности объектов топливно-энергетического комплекса». И это только основные требования.
Например, согласно 152-ФЗ «О персональных данных», системы обработки и хранения персональной информации россиян должны не только располагаться на территории нашего государства, но и соответствовать предъявляемым законодательством требованиям в области безопасности. Особенно это касается операторов коммерческих ЦОД, для которых сохранность и безопасность информации клиентов является одним из ключевых критериев оценки качества.
С момента вступления в силу 152-ФЗ обработка персональных данных, включенных в информационные системы, осуществляется в соответствии с данным законом, что предполагает исполнение операторами всех требований к используемому программному обеспечению.
Согласно федеральному закону 149-ФЗ, все программное обеспечение в государственных, правоохранительных, финансовых и других структурах, обрабатывающих служебную информацию, подлежит сертификации ФСТЭК. Закон разрешает таким организациям использовать только сертифицированное ПО.
Если в коммерческом, корпоративном или государственном ЦОД хранятся персональные данные, из требований законодательства в числе прочего вытекают также необходимые меры по их физической защите. Конкретный набор таких мер зависит от уровня конфиденциальности, установленного для обрабатываемых данных. Исходя из этого, выбирается класс защищенности ЦОД по нормам ФЗ и ФСТЭК и обеспечивается необходимая защита, в том числе и физическая. Наиболее сбалансированный способ обеспечить физическую безопасность ЦОД — реализовать многоуровневую защиту (с несколькими периметрами безопасности). Как и при эшелонированной обороне, прорыв одного уровня не будет означать прорыва системы безопасности.
Наряду с организационными мерами и документирование комплекс мер по защите персональных данных предполагает внедрение технических средств защиты. По сложившейся практике это круглосуточное присутствие в ЦОД и на его территории специально обученной вооруженной охраны, а также средства видеонаблюдения, охватывающие внешний периметр ЦОД и внутренние помещения.
На организации, владеющие персональными данными граждан, накладывается ответственность и за сохранность этих данных. Необходимые меры физической защиты прямо или косвенно следуют также из других стандартов и нормативов – международных и национальных, таких как TIA-942, Sarbanes-Oxley, SSAE 16/SAS 70 и др.
В отношении физической безопасности выделяют следующие требования: организация режима обеспечения безопасности помещений, контроль физического доступа к инфраструктуре, в том числе к помещениям и сооружениям, контроль вноса и выноса оборудования, включая машинные носители. Важное внимание уделяется несанкционированному доступу к информации. Правильное построение и документирование процедур контроля доступа позволяют соблюсти необходимые требования по обеспечению физической безопасности.
Какие же именно системы и средства аттестованы в нашем дата-центре?
Что аттестовано?
В ЦОД RUVDS аттестованы автоматизированные рабочие места сотрудников (антивирусная защита, защита от взлома информационной системы), средства вывода (принтер), контроль доступа в помещение, средства защиты от прослушивания. В частности, аттестат системы контроля и управления доступом (СКУД) гарантирует надёжность физической безопасности серверов ЦОД.
Все действия постоянно протоколируются, активность за рабочим местом проверяется на подозрительную и при необходимости, может быть заблокирована с оповещением ответственных лиц. Используется сертифицированное программное обеспечение, начиная с сертифицированной ФСТЭК ОС Windows и специализированного ПО для контроля доступа и фильтрации трафика до антивирусной защиты и гипервизора.
Таким образом, защищается рабочее пространство, которое имеет прямое отношение к данным клиентов. Это делается средствами ОС на рабочих станциях, баз данных, специализированными защитными и антивирусными продуктами, межсетевыми экранами, средствами контроля доступа (СКУД), резервного копирования и восстановления, уничтожения данных и контроля удаления информации.
Если клиент попросит вынести свою инфраструктуру на отдельную машину, можно полностью защитить и ее, к примеру, установить туда VipNet, SecretNet, какие-то специальные антивирусы. И при этом услуги, которые мы предоставляем, будут сертифицированы, а нашего заключения о проведенной работе по защите инфраструктуры клиента будет достаточно, чтобы тот мог отчитаться перед регулирующими органами.
Исключается этап аттестации ИТ-инфраструктуры заказчика, тем самым до 50% снижается объем требуемых трудозатрат и времени, значительно сокращается требуемый размер инвестиций, существенно облегчается процесс аттестации информационных систем.
Что касается персональных данных, то наши серверы физически находятся в Российской Федерации, RUVDS имеет также лицензии Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №137295 от 30.10.2015 («Телематические услуги связи») и №137296 от 30.10.2015 («Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации»), так что по поводу исполнения данного федерального закона вы можете быть спокойны.
Для чего сертифицируют ЦОД
Получение подтверждающих документов говорит о надёжности провайдера и предлагаемых им услуг. Сертификация, в первую очередь, подтверждает ответственность компании перед всеми клиентами (не только теми, кто работает с конфиденциальной информацией). Сам процесс лицензирования по нормативам ФСТЭК является длительным и довольно затратным. Его просто не могут себе позволить небольшие участники рынка или участники, заинтересованные в сиюминутной выгоде от проекта.
Получение лицензии ФСТЭК — это инвестиции в стратегическое развитие компании. Лицензия ФСТЭК не только подтверждает компетентность компании для работы с персональными данными, но и дает возможность предлагать услуги компаниям, в том числе из государственного сектора, которые обязаны соблюдать требования по защите конфиденциальной информации, например, сами обладают лицензией ФСТЭК и передают нам как провайдеру услуг данные, которые подлежат защите по нормативам ФСТЭК.
Помимо серьезной защиты и резервирования на уровне дата-центра и сертификации ФСТЭК, RUVDS заключила соглашение о страховании персональных данных и корпоративной информации третьих лиц. Кроме общего страхования, RUVDS совместно с AIG планирует предложить своим клиентам уникальные условия индивидуального страхования их деятельности и данных на виртуальных серверах компании.
И, конечно, в нашем дата-центре ваши ресурсы будут защищены от DDoS-атак: анализ сетевого трафика производится в режиме 24/7, а защита позволяет стабильно выдерживать атаки мощностью до 1500 Гбит/сек. Аналитическая система фильтрует входящий на ваш адрес трафик, удаляет вредоносную информацию, передавая на вашу сторону только легитимный безопасный трафик.
Комментарии (17)
Alexeistudio
16.06.2017 12:28В статье ИМХО немного путаница с понятиями «аттестация», «сертификация» и «лицензия». Создаётся впечатление что накиданы куски готовых текстов, собранные из разных источников и мало друг с другом связанные ( во второй половине статьи). Приведу пример:
В конце статьи речь идёт о получении лицензии ФСТЭК. Лицензии данной организации дают право проводить разные работы по защите информации, т.е. Вы становитесь Лизензиатом ФСТЭК ( список лицензиатов есть на сайте ФСТЭК). Таким образом Вы, вероятно, можете сами проводить аттестацию объектов информатизации и выдавать аттестаты соответствия. Говоря, что экономится деньги клиентов на аттестацию Вы таким образом имеете в виду, что Вы, выступая уже как системный интегратор, мало того что предоставите клиентам ресурсы ЦОД, так ещё и готовы сами это аттестовать за небольшую сумму (вероятно входящую в общую стоимость).
Аттестовать весь ЦОД как я понимаю не возможно ( т.к. Для каждой организации нужен свой собственный отдельный объект информатизации не связанный с другими).
Для получения лицензии нужно отвечать некоторым требованиям, в том числе аттестовать рабочие места себе. В этом плане понятна аттестация рабочих мест, хотя я не очень понимаю зачем аттестовывать СКУД (у вас там персональные данные высокой категории?).
Получены какие-л Сертификаты ФСТЭК я так и не понял, хотя это слово примелькалось несколько раз. Все Сертификаты имеют номера и так же выложены на сайте ФСТЭК (перечень их). Если их вы тоже получили то стоит их упомянуть…
На мой взгляд как специалиста по защите информации (но в другом немного направлении) все как то путанно :(
ru_vds
16.06.2017 12:49Уважаемый Alexeistudio, действительно, сами нормативы ФСТЭК, процесс аттестации и сертификации настолько усложнен бюрократически, что запутаться можно совершенно легко.
Но на самом деле ответ на Ваш вопрос очень прост.
Именно выдать сертификат или аттестат мы не можем, мы можем предложить клиенту свою аттестованную инфраструктуру как аутсорс партнер, на чем в итоге клиент сможет сэкономить деньги, так как в таком случае ему не придется строить собственную инфраструктуру и тратить время и деньги на ее аттестацию и сертификацию.
Аттестовать ЦОД возможно, вопрос лишь в его размерах и денежных средствах того, кому он принадлежит. Однако, на практике, такие масштабы пока не нужны.
Требования аттестации рабочих мест есть потому, что, как правило, за этими рабочими местами работают люди, у которых есть доступ к защищаемой информации. Они могут вести на рабочем месте переговоры, печатать документы, отправлять материалы по почте. И все это должно фиксироваться, быть защищено от прослушивания. Именно поэтому аттестуют рабочие места. Что это означает на практике? То, что рабочие места оборудованы специализированным ПО, которое защищает от хакерских атак, взломов, вирусов, логирует все действия и так далее.
Именно на эти устройства и программные комплексы есть сертификаты ФСТЭК. Здесь можно найти сертификаты на средства защиты от прослушивания. А здесь — программное обеспечение, сертифицированное ФСТЭК.
RUVDS (компания ООО «МТ ФИНАНС») при этом обладает бессрочной лицензией, которая позволяет нам осуществлять деятельность по:
• Контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации,
• Проектированию в защищенном исполнении: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений;
• Установке, монтажу, испытаниям, ремонту средств защиты информации (программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).
Скан-копия лицензии размещена у нас на сайте, а проверить ее так же можно на сайте ФСТЭК, введя в поиск «МТ ФИНАНС»
То есть мы можем спроектировать свою инфраструктуру под клиента, она будет отвечать все реальным требованиям ФСТЭК, она будет сертифицирована, но она будет наша, а не клиента. Клиент будет ей пользоваться на правах аренды и тем самым экономить свои средства и время.
Vinni37
16.06.2017 12:49Можно по подробней.
Если я как заказчик обращусь к Вам с целью размещения своей ИС, я получу аттестат соответствия на эту ИС? И какой максимальный класс будет?ru_vds
16.06.2017 12:50Добрый день, Vinni37, нет, мы не выдаем аттестаты и сертификаты.
Vinni37
16.06.2017 12:55Тогда не понятно
И при этом услуги, которые мы предоставляем, будут сертифицированы, а нашего заключения о проведенной работе по защите инфраструктуры клиента будет достаточно, чтобы тот мог отчитаться перед регулирующими органами.
Как Вашего заключения будет достаточно что бы закрыть требования 17 приказа?ru_vds
16.06.2017 13:01Мы имеем право спроектировать инфраструктуру под ваше задание, осуществить монтаж и предоставить заключение о том, что данная инфраструктура соответствует требованиям по контролю защищенности конфиденциальной информации. Этого, как правило, достаточно, для того, чтобы работать в таком случае на арендованной инфраструктуре, выполняя при этом требования ФСТЭК.
Vinni37
16.06.2017 13:04Извините если мы друг друга не до понимаем но в 17 приказе написано что:
17.5. Ввод в действие информационной системы осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601 и при наличии аттестата соответствия.
ru_vds
16.06.2017 13:11Да, вероятно, здесь есть недопонимание. Если говорить о, к примеру, ИСПДН, то да, она должна быть аттестована и, в принципе, этого достаточно. А вот если вы — компания, которая обладает лицензией ФСТЭК, и вам надо вынести данные в облако, то, вам нужен партнер, который так же обладает такой лицензией, тогда вы сможете воспользоваться его инфраструктурой.
Vinni37
16.06.2017 13:16В таком случае получается, что бы ввести в действие ИСПДН/ГИС, дополнительно необходимо третье лицо с аттестатом Аккредитации для проведения аттестационных испытаний и получения Аттестата соответствия.
ru_vds
16.06.2017 13:21Конкретно для ИСПДН — да, это не история ФСТЭК. Многим в процессе аттестации ИСПДН еще бывает нужна лицензия ФСБ.
Spewow
23.06.2017 15:40Испдн не нужна аттестация, об этом ничего не сказано в 21 приказе. Есть оценка эффективности, которую оператор пдн может провести самостоятельно.
Spewow
23.06.2017 15:53Ничего не понятно.
Аттестовались на соответствие требований чего? 17 приказа? СТР-К? Какого класса тогда у вас ОИ получился?
ilyaplot
Был я на лекциях в Королеве. Там все прекрасно понимают, что такого рода сертифификация в 99% случаев носит юридический характер, а технические вопросы подгоняют под минимальные требования необходимого уровня защищенности.
Косвенное подтверждение моих убеждений
У вас одно рабочее место? А на этом компьютере вообще кто-то работает или он стоит и пылится, ждет продление аттестации? Средства вывода — принтер. Вы серьезно?
И очень интересно, что данные физически хранятся не на АРМ сотрудника, а обработка данных ведется тоже не на этом АРМ.
ru_vds
Уважаемый ilyaplot, мы не можем Вам говорить за лекции, которые Вы прослушали. Тем не менее постараюсь ответить по существу.
1) конечно же, в статье опечатка. Аттестованы рабочие места, а не место.
2) по поводу хранения и обработки данных, повторюсь, что в статье сказано, что на таком АРМ (которое может включать в себя и, собственно, сервера) хранятся не все данные, а данные тех клиентов, которые изъявили желание работать по нормативам ФСТЭК в связи с характером своей деятельности и хранимой информации. Если все данные клиентов будут идти через «терьеров, secret net'ы» и другие защитные инструменты, клиенты сильно потеряют в скорости работы. Поэтому, естественно, что подобная сертификация говорит о том, что компания RUVDS уже имеет защищенное пространство и, что самое главное, по требованию заказчика может организовать сертифицированную защищенную инфраструктур под его конкретные требования.
ilyaplot
Значит я неверно понял цели сертификации. Получается, что я могу сэкономить на собственных мощностях и их сертификации, став вашим клиентом?
ru_vds
Именно.