Контакты
Подписка 2024

Облако перспектив для объектов критической инфраструктуры

Алексей Кубарев, 07/06/24

В последние годы на отечественном ИТ-рынке прослеживаются два основных тренда, развитие которых привело к размещению ОКИИ в облаках. Поговорим подробнее о том, в чем выгода такого подхода и как не допустить ошибок в процессе.

Автор: Алексей Кубарев, директор по информационной безопасности Т1 Облако

Из-за возросшего числа киберугроз государство и бизнес стали уделять больше внимания объектам критической информационной инфраструктуры (ОКИИ) и их безопасности [1], в связи с этим в последнее время возросла популярность облачных решений при построении компаниями собственных ИТ-сервисов и платформ [2].

ris1-Jun-07-2024-02-26-50-1303-PM

Зачем размещать ОКИИ в облака

Объекты критической инфраструктуры – это системы и сети, непрерывная работа которых важна для функционирования различных отраслей: транспорта, здравоохранения, промышленности, банковской сферы и т.д. Согласно Федеральному закону 187-ФЗ "О безопасности критической информационной инфраструктуры РФ" ответственность за безопасность и устойчивость функционирования ОКИИ ложится на их владельцев. Многие из них делегируют часть таких обязательств облачному провайдеру, этот подход обладает следующими важными преимуществами.

Борьба с кадровым дефицитом

Рынок ИТ- и ИБ-специалистов сейчас переживает не лучшие времена с точки зрения нанимателей. Грамотные специалисты, необходимые для поддержания функционирования системы, как никогда редки и дороги. Применение облачных сервисов значительно снижает потребность в большом штате сотрудников, что положительно влияет на оптимизацию операционных процессов.

Импортозамещение

Опубликованные в 2022 г. указы Президента РФ № 166 и № 250 ограничивают возможность использования иностранного ПО и оборудования на объектах КИИ. Исполнение этого запрета на инфраструктурных слоях ОКИИ может вызвать значительные сложности у их владельцев. Один из наиболее простых способов реализации этих норм – получение импортозамещенной инфраструктуры как услуги у облачного провайдера.

Экономика

Оптимизация ФОТ (фонд оплаты труда) ИТ- и ИБ-специалистов, переход от CapEx к OpEx, экономия за счет отсутствия необходимости закупки и поддержания функционирования компонентов ОКИИ в составе, рассчитанном на пиковые нагрузки, – вот несколько преимуществ перехода в облако.

Сокращение Time-to-Market

Использование облачных решений снижает временные издержки, связанные с приобретением, поставкой, настройкой и обслуживанием оборудования. Кроме того, облака способствуют [3] ускорению работы в рамках DevOps-подхода, что позволяет ускорить развертывание и обновление ИТ-продуктов.

Гибкость

Облачные решения упрощают для разработчиков масштабирование решений как вертикальное, так и горизонтальное. При необходимости компании достаточно временно арендовать больше мощностей – это проще и дешевле, чем ждать и настраивать собственное оборудование.

Безопасность

Облачные сервисы изначально реализуются с учетом необходимости защиты от нарушителей. В связи с этим к безопасности облачные провайдеры подходят, как правило, комплексно – от физической защищенности и пожаробезопасности и до противодействия сложным целенаправленным атакам.

Повышенный SLA

Важнейшее качество для облачного провайдера – обеспечение доступности его информационных ресурсов, размещенных в облаке, для заказчика.

Законно ли размещать ОКИИ в облаках

Законно, при условии, что эти облака и предоставляющие их клауд-провайдеры сами соответствуют предъявляемым к ним требованиям. Скажем, ОКИИ первой категории значимости можно разместить только в облаке первой категории значимости. Если этот объект дополнительно выступает в качестве информационной системы персональных данных второго уровня защищенности, то и облачная платформа должна отвечать соответствующим законодательным предписаниям в этой области.

Облачный провайдер должен иметь все необходимые лицензии, быть включен в реестры, например, операторов персональных данных и хостинг-провайдеров, которые ведет Роскомнадзор. Дополнительно он должен выполнять все требования законов, указов президента, постановлений Правительства РФ, приказов ФСТЭК России, ФСБ России и отраслевых регуляторов, предъявляемых к владельцам ОКИИ.

Какие ОКИИ целесообразно размещать в облаках

Облачное размещение объектов КИИ наиболее релевантно в ситуации, когда бизнесу важны гибкость разработки и обновления, а также способность инфраструктуры к масштабированию. Компании выбирают такой подход, когда у них нет времени, возможности или целесообразности закупать и обслуживать дорогостоящее оборудование либо тратить ресурсы на разработку собственных решений. Это применимо к любым сферам экономики, поскольку речь в первую очередь идет о сложности процессов и географии бизнеса, а не об отрасли, в которой он работает.

С другой стороны, можно отметить, что чаще других к использованию облачных решений приходят компании из непроизводственных отраслей: офлайн- и онлайн-ритейла, телекома и ИТ, сферы услуг, медицины и образования. Но и промышленность все чаще обращается к провайдерам для размещения в облаке бэк-офисных систем, например ERP, документооборота, бухгалтерских систем и т.д.

Отдельно стоит сказать о банковском секторе и кредитнофинансовых организациях. Провайдеры, соответствующие стандарту ГОСТ 57580-1 и Федеральному закону 152-ФЗ "О персональных данных", дают возможность банкам и другим институциям размещать в облаках не только критическую информационную инфраструктуру, но и остальные сведения, непосредственно связанные с бизнес-процессами.

Безопасное размещение ОКИИ в облаке

Безусловно, в обеспечении безопасности ОКИИ в облаке помимо облачного провайдера участвует еще и владелец этого объекта. Тут важно разграничение зон ответственности между сторонами этого процесса, зафиксированное в договоре с предусмотренными санкциями за нарушения его положений.

В рамках своей зоны ответственности владелец ОКИИ должен принять необходимые меры, например при модели облачных услуг IaaS – на уровнях операционной системы, среды исполнения, приложения

и данных. В данном случае владелец системы обязан также обеспечить безопасность информации при ее передаче по сетям связи, например при помощи средств криптографической защиты.

А что тогда остается в зоне ответственности провайдера?

На прикладном уровне облака дают своим клиентам важные преимущества. Провайдеры тщательно продумывают все возможные проблемы на этапе проектирования и предпринимают шаги для их решения.

Физическая защита

Облачные провайдеры предпринимают все возможные меры для защиты физического оборудования – серверов, СХД и телекома, от пропускного режима и СКУД в ЦОД и до запираемых серверных стоек и видеонаблюдения за ними. Построение такой инфраструктуры собственными силами могут себе позволить только представители крупных компаний.

Отказоустойчивость, пожаро- и сейсмобезопасность, резервирование энергоснабжения

Архитектура и инфраструктура облачных провайдеров разрабатывается с учетом особенностей местности. Строители и бизнес предусматривают как антропогенные, так и природные факторы, способные нарушить работу серверов, и еще на этапе проектирования закладывают механизмы, способные минимизировать их влияние.

Георезервирование

В случае с ОКИИ диверсификация, подход "не клади все яйца в одну корзину", не просто полезен, а жизненно необходим. Облачные провайдеры для обеспечения надежности процессов и данных размещают компоненты сети на географически распределенных площадках – таким образом, даже в случае проблем на одной из них остальные продолжат работать.

Резервирование каналов

Та же логика актуальна и для каналов связи: при нарушении одного из них, например в результате работы экскаватора, нагрузка распределяется между резервными.

Меры защиты на уровнях инфраструктуры

Облачный провайдер в целях минимизации угроз для развернутых в его инфраструктуре систем заказчиков принимает расширенный набор мер по информационной безопасности в зоне своей ответственности, начиная от несанкционированных действий потенциальных инсайдеров и заканчивая веерными атаками.

Некоторые провайдеры также предлагают комплексные решения.

SecaaS

Или "безопасность как услуга" – подход, при котором провайдер предоставляет заказчику ту или иную услугу по информационной безопасности как сервис, обеспечивающий быстрый запуск, простую настройку и высокую эффективность. Сюда можно отнести решения AntiDDoS, Web Application Firewall, многофакторную аутентификацию и т.д.

Консалтинг по ИБ

Некоторые провайдеры готовы делиться с заказчиками своей экспертизой в области ИБ применительно к облачным системам. Это может касаться и категорирования ОКИИ, и формирования корректной модели угроз и нарушителя, и разработки оптимальной системы ИБ, и даже ее внедрения.

Managed Services по ИБ

Некоторые провайдеры берут на сопровождение средства защиты информации, не входящие в его продуктовый портфель по направлению SecaaS, но развернутые в облачной инфраструктуре его заказчиков.

Облака давно стали популярны среди пользователей и бизнеса, а теперь спрос на них растет и среди субъектов КИИ. Провайдеры предпринимают все необходимые меры, которые помогают обеспечить надежность сервисов, развивают свои ИТ-компетенции и нарабатывают опыт в создании комплексных решений в области безопасности. В условиях повышенного риска киберугроз такой подход позволяет прогнозировать и дальнейшее увеличение востребованности облачных решений.


  1. https://www.vedomosti.ru/technology/news/2022/03/30/915906-putin-zapretil-ispolzovat-inostrannoe-po 
  2. http://survey.iksconsulting.ru/page32257739.html 
  3. https://about.gitlab.com/resources/downloads/2020-devsecops-report.pdf  
Темы:Облачные технологииКИИЖурнал "Информационная безопасность" №2, 2024

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • "Ассистент": безопасное решение для удаленного доступа на промышленных предприятиях
    Оксана Шабанова, генеральный директор ООО “САФИБ”
    "Ассистент" – кросс-платформенное решение, поддерживающее работу на большинстве операционных систем семейства Windows, Linux, Android, macOS. Проведены испытания, подтверждающие совместимость "Ассистент" с российскими операционными системами, в том числе сертифицированными ФСТЭК России
  • Комплексная защита КИИ на производственном объекте
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    создание эффективной системы защиты объектов КИИ является многоэтапным процессом, включающим в себя определение объектов защиты, аудит текущего состояния, проектирование, внедрение средств защиты и их ввод в эксплуатацию
  • Хаос-инжиниринг для обеспечения отказоустойчивости в облаке
    Александр Бердюгин, младший научный сотрудник департамента информационной безопасности Финансового университета при Правительстве РФ
    Хаос-инжиниринг – это преднамеренное внедрение ошибок в программные системы, чтобы минимизировать вероятность реализации инцидентов
  • Информационная безопасность в облаке в 2022 году: основные тенденции и новые решения
    Антон Ведерников, Руководитель группы разработки сервисов информационной безопасности и соответствия требованиям Selectel
    Арендуя инфраструктуру, можно сразу заказать необходимые для ИБ сервисы, упростив интеграцию
  • Как оценить, надежно ли защищено облако?
    Никита Дуров, Технический директор Check Point Software
    Две главные цели атак – получение доступа к корпоративным данным или использование ресурсов жертвы

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...