Преамбула. Статья носит исключительно информационный характер. Предназначена для потенциальных клиентов ЦОД, которые слышали про 152-ФЗ, 149-ФЗ, хотят потратить бюджетные средства и не знают, что такие схемы бывают. Для удобства восприятия материала автор будет излагать схемы от первого лица, хотя никогда данные схемы не применял. Автор не предлагает использовать данные схемы. Автор — не суд, и не знает, можно ли изложенные схемы классифицировать по статьям ГК/УК. Но, так может быть.
1. Выбираем любой комп (например, устаревший компьютер секретарши босса, который всё равно выбрасывать/списывать собирались).
2. Делаем документы заявителя. В качестве названия аттестуемого объекта информатизации выбираем «Защищённый Центр обработки данных г. Истеросса»
3. Заказываем аттестацию на соответствие любым требованиям, хоть РД АС. Цена вопроса порядка 50 тыс. руб.
4. Получаем аттестат соответствия объекта информатизации «Защищённый Центр обработки данных г. Истеросса» требованиям безопасности информации.
5. Пишем на сайте: "Наш Защищённый Центр обработки данных г. Истеросса аттестован по требованиям ФСТЭК"
1-2. Как в схеме 1.
3. Заказываем аттестацию на соответствие требованиям Приказа № 17 по классу К1. Цена вопроса порядка 350 тыс. руб. (100 тыс. руб. за аттестацию и 250 тыс. на средства защиты (АВЗ, НСД, СКН, СДЗ, МЭ, СОВ, ИБП, СКЗИ с возможностью подключения мобильных клиентов и других КШ)
4. Получаем аттестат соответствия объекта информатизации «Защищённый Центр обработки данных г. Истеросса» требованиям защиты информации по классу защищённости К1.
5. Пишем на сайте: "Наш Защищённый Центр обработки данных г. Истеросса аттестован по максимальному классу К1! Мы можем предоставлять мощности любым ГИС/ИСПДн. Подключаем с помощью сертифицированных ФСБ криптографических средств"
1-2. Как в схеме 2.
2а. Физически отключаем от АРМ Интернет.
3. Как в схеме 2, но дешевле: нет Интернета — не нужен МЭ, СОВ, СКЗИ. Цена вопроса снижается до 130 тыс. руб. (100 тыс. руб. за аттестацию и 30 тыс. на средства защиты (АВЗ, НСД, СКН, СДЗ, ИБП).
4. Как в схеме 2.
5. Пишем на сайте как в схеме 2, но чуть короче: "Наш Защищённый Центр обработки данных г. Истеросса аттестован по максимальному классу К1! Мы можем предоставлять мощности любым ГИС/ИСПДн"
1. Зовём практических безопасников, нормальных сетевиков.
2. Покупаем, что скажут (привычное этим «цискарям» оборудование).
3. Они всё делают, защищают в соответствии с «лучшими практиками».
4. Оформляем web-страницу о ЦОД:
— т.к. купленное оборудование не имеет сертификатов, позволяющих хостить ИС высоких классов на сайте не пишем про классы, просто: "защита организована с помощью ххххх (сертифицированных ФСБ и ФСТЭК)";
— т.к. аттестата нет, и преимуществ перед другими коммерческими ЦОД особо нет, пишем что-нибудь, что есть у всех, но показываем как преимущество: "круглосуточная охрана, резервное оборудование, RAID-массивы, круглосуточная дежурная служба, использование https";
— т.к. нет сертифицированного криптографического сетевого оборудования, просто даём обещания вида "при необходимости может быть организовано..." (да, все знают, что это надо всем, для хостинга аттестованных ИС, а мы подадим как преимущество);
— используем абстрактные фразы: «мы обеспечим безопасность/конфиденциальность/целостность/доступность информации» (главное не писать какую информацию имеем ввиду);
— можно ещё получить ненужные бумажки, желательно в добровольных системах сертификации из разряда "сертификат соответствия за 1 день, по двум документам, дёшево, без регистрации и sms)" и размещаем на сайте фразу, что наш ЦОД сертифицирован.
1. Выбираем сервер/серверы/стойку/несколько стоек для выделения в виде «защищённого сегмента ЦОД» или весь ЦОД под аттестацию.
2. Выбираете схемы предоставления услуг (колокейшн/IaaS/SaaS/...). Пишете Политику/Декларацию, в которой отмечаете пункты НПА, которые готовы выполнять (например, защищаем всё, до уровня виртуализации. Всё, что в виртуальных машинах — ответственность клиента). Закупаем сертифицированное оборудование для аттестуемого сегмента ЦОД.
3. Заказываем аттестацию на соответствие требованиям Приказа № 17 по классу К1/К2/К3 (для этого маркетолог должен сказать, какие ИС в целевом сегменте рынка). Цена вопроса отличается от класса, количества защищаемых серверов, подхода к аттестации (сегментный или нет), схемы предоставления услуг, номенклатуры вариантов организации защищённого документооборота клиента и т.д. и т.п. От нескольких миллионов руб.
4. Получаем аттестат соответствия объекта информатизации «Защищённый Центр обработки данных г. Истеросса» требованиям защиты информации по классу защищённости.
5. Пишем на сайте: "Защищённый Центр обработки данных г. Истеросса аттестован по классу такому-то! Мы можем предоставлять мощности любым ГИС/ИСПДн. Подключаем с помощью сертифицированных ФСБ криптографических средств"
1. При организации защищённого ЦОД, его владельцы могут пойти по любому из этих вариантов или выбрать свой.
2. Клиент должен сам выбирать поставщика услуг. Ответственность за выбор лежит на клиенте.
3. Уровень доверие ЦОДу определяется клиентом самостоятельно (от «у них красивая вывеска», до предварительно аудита ЦОДа и мониторинга уровня оказания им услуг)
Схема 1. Бюджетная аттестация
1. Выбираем любой комп (например, устаревший компьютер секретарши босса, который всё равно выбрасывать/списывать собирались).
2. Делаем документы заявителя. В качестве названия аттестуемого объекта информатизации выбираем «Защищённый Центр обработки данных г. Истеросса»
3. Заказываем аттестацию на соответствие любым требованиям, хоть РД АС. Цена вопроса порядка 50 тыс. руб.
4. Получаем аттестат соответствия объекта информатизации «Защищённый Центр обработки данных г. Истеросса» требованиям безопасности информации.
5. Пишем на сайте: "Наш Защищённый Центр обработки данных г. Истеросса аттестован по требованиям ФСТЭК"
Преимущества и недостатки схемы
| Преимущества | Недостатки | |
| Для поставщика услуг: | Дёшево. Очень. | Отсутствуют |
| Для потребителя услуг: | Данные клиента могут быть и защищены. Данные клиента могут и не утечь Скорее всего это будет дешевле других вариантов Клиент тоже может говорить всем, что использует аттестованный ЦОД |
Вы можете поставить цену, как будто всё аттестовано, и клиент не подумает, что подозрительно дёшево. Если законом, указом или каким-нибудь постановлением требуется хранить данные клиента в аттестованном ЦОД, то при проверке должностные лица клиента не будут премированы за сэкономленный бюджет |
Схема 2. Обычная бюджетная аттестация по 17-му приказу
1-2. Как в схеме 1.
3. Заказываем аттестацию на соответствие требованиям Приказа № 17 по классу К1. Цена вопроса порядка 350 тыс. руб. (100 тыс. руб. за аттестацию и 250 тыс. на средства защиты (АВЗ, НСД, СКН, СДЗ, МЭ, СОВ, ИБП, СКЗИ с возможностью подключения мобильных клиентов и других КШ)
4. Получаем аттестат соответствия объекта информатизации «Защищённый Центр обработки данных г. Истеросса» требованиям защиты информации по классу защищённости К1.
5. Пишем на сайте: "Наш Защищённый Центр обработки данных г. Истеросса аттестован по максимальному классу К1! Мы можем предоставлять мощности любым ГИС/ИСПДн. Подключаем с помощью сертифицированных ФСБ криптографических средств"
Преимущества и недостатки схемы
| Преимущества | Недостатки | |
| Для поставщика услуг: | Дёшево. | Надо, всё же, купить средств защиты разных (сетевик говорит, что не нужных), и это будет не Cisco |
| Для потребителя услуг: | Информационные системы клиента могут быть и не взломаны. Данные клиента могут и не утечь. Не дорогой вариант. |
Два варианта: либо ИС клиента запустить на этой аттестованной машине — и, как следствие, ИС будет медленно работать, либо (скорее всего) запустить не на этой машине, зато у клиента будет нормальная скорость работы |
Схема 3. Самая бюджетная аттестация по 17-му приказу
1-2. Как в схеме 2.
2а. Физически отключаем от АРМ Интернет.
3. Как в схеме 2, но дешевле: нет Интернета — не нужен МЭ, СОВ, СКЗИ. Цена вопроса снижается до 130 тыс. руб. (100 тыс. руб. за аттестацию и 30 тыс. на средства защиты (АВЗ, НСД, СКН, СДЗ, ИБП).
4. Как в схеме 2.
5. Пишем на сайте как в схеме 2, но чуть короче: "Наш Защищённый Центр обработки данных г. Истеросса аттестован по максимальному классу К1! Мы можем предоставлять мощности любым ГИС/ИСПДн"
Преимущества и недостатки схемы
| Преимущества | Недостатки | |
| Для поставщика услуг: | Дёшевле, чем вариант 2 | Надо, всё же, купить средств защиты разных, но мало |
| Для потребителя услуг: | Информационные системы клиента могут быть и не взломаны. Данные клиента могут и не утечь. Очень не дорогой вариант. Можно написать на сайте, что канал сертифицированной шифросвязи до ЦОД может быть выбран Заказчиком, даже использована криптосеть Заказчика (№ ХХХХ), кроме того, вы не навязываете кленту покупку сертифицированных криптосредств, совместимых с оборудованием ЦОД |
Как и предыдущих случаях, ИС клиента не будет функционировать в аттестованном сегменте ЦОД |
Схема 4. Правильный лендинг
1. Зовём практических безопасников, нормальных сетевиков.
2. Покупаем, что скажут (привычное этим «цискарям» оборудование).
3. Они всё делают, защищают в соответствии с «лучшими практиками».
4. Оформляем web-страницу о ЦОД:
— т.к. купленное оборудование не имеет сертификатов, позволяющих хостить ИС высоких классов на сайте не пишем про классы, просто: "защита организована с помощью ххххх (сертифицированных ФСБ и ФСТЭК)";
— т.к. аттестата нет, и преимуществ перед другими коммерческими ЦОД особо нет, пишем что-нибудь, что есть у всех, но показываем как преимущество: "круглосуточная охрана, резервное оборудование, RAID-массивы, круглосуточная дежурная служба, использование https";
— т.к. нет сертифицированного криптографического сетевого оборудования, просто даём обещания вида "при необходимости может быть организовано..." (да, все знают, что это надо всем, для хостинга аттестованных ИС, а мы подадим как преимущество);
— используем абстрактные фразы: «мы обеспечим безопасность/конфиденциальность/целостность/доступность информации» (главное не писать какую информацию имеем ввиду);
— можно ещё получить ненужные бумажки, желательно в добровольных системах сертификации из разряда "сертификат соответствия за 1 день, по двум документам, дёшево, без регистрации и sms)" и размещаем на сайте фразу, что наш ЦОД сертифицирован.
Преимущества и недостатки схемы
| Преимущества | Недостатки | |
| Для поставщика услуг: | Нет дополнительных затрат на ИБ | Тяжело отвечать на конкретные вопросы про аттестацию по требованиям ФСТЭК России и ФСБ России |
| Для потребителя услуг: | Информационные системы клиента могут быть и не взломаны. Данные клиента могут и не утечь. Очень не дорогой вариант. Можно говорить, что данные защищены в соответствии с «лучшими практиками» |
Контролирующие органы используют другие «лучшие практики» в своей деятельности, поэтому может возникнуть недопонимание между клиентом и комиссией. Как и предыдущих случаях, ИС клиента не будет функционировать в аттестованном сегменте ЦОД. |
Схема 5. Корректная аттестация по 17-му приказу
1. Выбираем сервер/серверы/стойку/несколько стоек для выделения в виде «защищённого сегмента ЦОД» или весь ЦОД под аттестацию.
2. Выбираете схемы предоставления услуг (колокейшн/IaaS/SaaS/...). Пишете Политику/Декларацию, в которой отмечаете пункты НПА, которые готовы выполнять (например, защищаем всё, до уровня виртуализации. Всё, что в виртуальных машинах — ответственность клиента). Закупаем сертифицированное оборудование для аттестуемого сегмента ЦОД.
3. Заказываем аттестацию на соответствие требованиям Приказа № 17 по классу К1/К2/К3 (для этого маркетолог должен сказать, какие ИС в целевом сегменте рынка). Цена вопроса отличается от класса, количества защищаемых серверов, подхода к аттестации (сегментный или нет), схемы предоставления услуг, номенклатуры вариантов организации защищённого документооборота клиента и т.д. и т.п. От нескольких миллионов руб.
4. Получаем аттестат соответствия объекта информатизации «Защищённый Центр обработки данных г. Истеросса» требованиям защиты информации по классу защищённости.
5. Пишем на сайте: "Защищённый Центр обработки данных г. Истеросса аттестован по классу такому-то! Мы можем предоставлять мощности любым ГИС/ИСПДн. Подключаем с помощью сертифицированных ФСБ криптографических средств"
Преимущества и недостатки схемы
| Преимущества | Недостатки | |
| Для поставщика услуг: | Можно предложить клиенту провести аудит второй/третьей стороны, мониторить нахождение ИС клиента именно в аттестованном сегменте, пройти любую проверку ФСБ/ФСТЭК в отношении ИС клиентов | Дорого. Нужен нормальный методист, который будет корректно вести всю документацию, организовывать приёмку новых стоек |
| Для потребителя услуг: | Ваши информационные системы могут быть не взломаны. Ваши данные могут не утечь. Ваша ИС действительно защищена по требованиям ФСБ/ФСТЭК |
Дорогой вариант. |
Выводы
1. При организации защищённого ЦОД, его владельцы могут пойти по любому из этих вариантов или выбрать свой.
2. Клиент должен сам выбирать поставщика услуг. Ответственность за выбор лежит на клиенте.
3. Уровень доверие ЦОДу определяется клиентом самостоятельно (от «у них красивая вывеска», до предварительно аудита ЦОДа и мониторинга уровня оказания им услуг)
Loreweil
Все правильно пишете и жизненно. Я сам работаю в аттестующем органе и занимаюсь аттестациями. В последнее время клиенты все чаще хотят перенести свою серверную часть в «аттестованный ЦОД», а мы часто пытаемся их от этого отговорить в том числе по следующим причинам:
1. Как вы и написали в своей статье — непонятно как и что там аттестовано. Это усугубляется еще и тем, что в качестве доказательства предъявляют титульный лист аттестата и всё… где просто написано «такая-то система аттестовано по 1 классу», на просьбу показать техпаспорт или приложения к аттестату, говорят (вполне в общем-то резонно), что эта информация ДСП и идите лесом.
2. Даже при нормальной аттестации нет гарантий, что получив аттестат, оператор ЦОДа тут же не снесет средства защиты и не поставит на межсетевом экране правило «можно ходить всему во все стороны». После аттестации никакого контроля поддержания уровня защищенности со стороны аттестующего органа нет.
3. В 17 приказе ФСТЭК добавили пункт 17.6, в соответствии с которым мы аттестовывая систему, уехавшую в облако не должны пристально смотреть в аттестат ЦОДа, просто принимаем к сведению, что он аттестован и все. Изучаем только те ресурсы, которые непосредственно выделили заказчику. Смотрим, например, что на его виртаульном сервере стоит антивирус и тд. На просьбу к оператору ЦОДа посмотреть как защищена инфраструктура в целом — могут послать далеко и на долго.
Особенно печально когда в такое «защищенное» облако переезжает государственная медицина.
З. Ы. Доколебусь до Схемы 3. Нормальный аттестатор не выдаст аттестат на такую систему, которая называется «Центр обработки данных». Потому что при аттестации также изучаются заявленные техпроцессы обработки данных реальной ситуации, а само понятие ЦОД подразумевает взаимодействие с сетью. Нормальный аттестатор тут начнет задавать неудобные вопросы. Хотя что это я, ненормальных (например, аттестующих ГИС по РД АС) у нас тоже хватает.
Urajimiru Автор
Ооо! Есть варианты для проведения схемы 3 в жизнь (встречался):
1. Оператор ЦОД говорит, что: «Это всего лишь название. Начальник/хозяин/хозяйка очень хочет. Меня уволят/лишат премии. Это же ничего не нарушает. Нет такого закона, что я не мог назвать свою ИС как хочу...».
2. Аттестующая организация выигрывает конкурс. В ТЗ прописано: «Результатами работ являются следующие документы:… аттестат соответствия», без уточнения «в случае положительных результатов аттестационных испытаний». А дальше Заказчик: «Да, вы можете не дать аттестат, но тогда, я не смогу подписать акт приёмки, т.к. по формальным признакам вы не выполнили контракт. А ещё я подам в ФАС вашу организацию, как недобросовестных поставщиков.» Вот лицензиат и думает, что можно потом и исключить себя из реестра недобросовестных, но на весь период разбирательств — выполнять контракты будет нельзя.
3. Как вы и написали — слабый/свой лицензиат.
4. Самому себе можно аттестат выписать))) Кто ж проверит?
Может ещё что, но думаю и этих вариантов за глаза для существования схемы 3 в жизни