Новости Статьи VMware Veeam StarWind Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4250 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Articles / Особенности размещения государственных информационных систем в облаке.

Особенности размещения государственных информационных систем в облаке.

Особенности размещения государственных информационных систем в облаке.

Автор: ИТ-ГРАД
Дата: 31/07/2017

Это гостевой пост облачного сервис-провайдера ИТ-ГРАД. Для размещения в облаке информационной системы, участвующей в обработке, хранении или передаче персональных данных (ИСПДН), необходимо, чтобы инфраструктура IaaS-провайдера была защищена в соответствии с требованиям ФЗ-152 «О защите персональных данных».

Помимо ИСПДН, это правило касается также и государственных информационных систем (ГИС), которые создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между ними. К ним относятся информационные системы различных министерств, а также государственных унитарных предприятий.

Требования к защите персональных данных в обычных и государственных информационных системах существенно отличаются, и по отношению к последним они гораздо жестче. Это значит, что и уровень защиты инфраструктуры IaaS-провайдера, размещающего у себя ГИС, должен быть выше, чем в случае с ИСПДН.

В данной статье мы рассмотрим особенности размещения ГИС в облаке, а также познакомимся с требованиями безопасности, которым должен соответствовать IaaS-провайдер для работы с системами такого класса.

Уровни и классы защиты

Каждая ГИС строится в соответствии c одним из трех классов защиты (К). Самым надежным и, следовательно, самым сложным в реализации является первый класс – К1.

Чтобы IaaS-провайдер мог разместить ГИС у себя в облаке, его площадка должна соответствовать такому же классу защиты, как и размещаемая система.

Данная классификация построена на совокупности двух ключевых параметров: уровня значимости информации и масштаба информационной системы. Чтобы лучше понять, как все это устроено, давайте разберем их подробнее.

1. Значимость информации

Первым параметром оценки класса защищенности ГИС является уровень значимости (УЗ) информации, которая хранится и обрабатывается в системе. Этот уровень определяется степенью возможного ущерба для владельца информации и/или оператора вследствие нарушения конфиденциальности, целостности или доступности данных. Для каждого из этих нарушений существует три степени вероятного ущерба:

  • высокая – если в результате нарушения оператор или обладатель информации не может выполнять возложенные на него функции;
  • средняя – если в результате нарушения оператор или обладатель информации не может выполнять хотя бы одну из возложенных на него функций;
  • низкая – если в результате нарушения оператор или обладатель информации может выполнять возложенные на него функции с недостаточной эффективностью.

Ценность (уровень значимости) информации рассчитывается по следующей формуле:

УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)].

Если хотя бы для одного нарушения определена высокая или средняя степень ущерба, то значение УЗ будет равно первому или второму уровню соответственно. Если для всех типов нарушения степень ущерба определена как низкая, то УЗ будет соответствовать третьему уровню.

2. Масштаб ГИС

Вторым параметром определения класса защиты ГИС является масштаб информационной системы. Он зависит от области, на которой система функционирует, а также от наличия сегментов в других областях или организациях.

Федеральный – если система функционирует на территории РФ, в пределах федерального округа и имеет сегменты в субъектах РФ, муниципальных образованиях и (или) организациях.

Региональный – если система функционирует на территории субъекта РФ и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.

Объектовый – если система функционирует на объектах одного федерального органа государственной власти и не имеет сегментов в территориальных органах.

Определить, какая из систем соответствует тому или иному классу защиты, можно по приведенной ниже таблице:

Уровень значимости информации Масштаб информационной системы
Федеральный Региональный Объектовый
УЗ 1 К1 К1 К1
УЗ 2 К1 К2 К2
УЗ 3 К2 К3 К3

Классы защиты ГИС определяются в соответствии с таблицей, представленной в приказе ФСТЭК (Федеральная служба по техническому и экспортному контролю) № 17 от 11 февраля 2013 года. Она содержит 13 разделов, таких, например, как «защита среды виртуализации» и «антивирусная защита», и состоит более чем из ста пунктов.

Для того чтобы IaaS-провайдер мог разместить ГИС у себя в облаке, его площадка должна соответствовать такому же классу защиты, как и у размещаемой системы. То есть для работы с государственной информационной системой федерального масштаба с первым уровнем значимости информации инфраструктура облачного провайдера должна соответствовать классу защищенности К1.

Закон есть закон

Требования безопасности, предъявляемые к информационным системам, описаны в приказах ФСТЭК. Для ГИС – это приказ № 17, для ИСПДН – приказ № 21. Все они выполняют требования ФЗ-152 «О защите персональных данных».

Данные приказы в первую очередь касаются операторов, то есть организаций и государственных органов, которые собирают и обрабатывают персональные данные. Размещая свои информационные системы в облаке, они перекладывают выполнение большей части функций безопасности на облачного провайдера, в обязательном порядке уведомляя об этом владельцев данных.

Требования к облачному провайдеру

Чтобы работать с ГИС, облачный провайдер не просто должен соответствовать классу безопасности размещаемых систем, но и подтвердить это прохождением аттестации.

Аттестация включает в себя проверку наличия комплекса мер и процессов в соответствии с требованиями ФСТЭК. Основными такими мерами являются:

  • Наличие СЗИ (средств защиты информации) на программном уровне, а также на уровне виртуализации.
  • Наличие криптошлюза, осуществляющего шифрование трафика.
  • Ограничение физического доступа к аппаратным мощностям.
  • Наличие системы регистрации событий.
  • Наличие лицензии ФСТЭК на деятельность по технической защите информации (название лицензии на сайте).

Помимо основных, существует целый ряд второстепенных параметров и процессов, соблюдение каждого из которых является обязательным для прохождения аттестации.

Стоит дополнительно отметить, что при работе с ГИС оценка соответствия IaaS-провайдера требованиям безопасности происходит до того, как конкретная система будет развернута в облаке.

Заключение

Большинство особенностей размещения ГИС в облаке заключается в повышенных требованиях к сервис-провайдеру по сравнению с размещением ИСПДН. В частности, к таким требованиям относится обязательное наличие СЗИ на уровне виртуализации. Также поставщик услуги должен иметь аттестат, подтверждающий, что его информационная система соответствует классу безопасности не ниже, чем у размещаемой ГИС.

В качестве примера такого поставщика можно привести облачного провайдера «ИТ-ГРАД», колторый получил аттестацию соответствия классу информационной защищенности К1. Теперь в рамках услуги «Облако ФЗ-152» ИТ-ГРАД наравне с ИСПДН также предоставляет своим клиентам возможность размещать ГИС любого класса.

Реклама

Advertisement

Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

27/08/2017:  VMware VMworld 2017
11/09/2017:  VMware VMworld Europe 2017
26/10/2017:  VeeamON Forum Russia 2017

Быстрый переход:
VMware IT-Grad Veeam StarWind Microsoft Parallels IaaS Citrix 5nine HP VeeamON VMFS RVTools PowerCLI VM Guru Oracle Red Hat Azure KVM vGate VeeamOn Security Code 1cloud Cloud Docker Storage Offtopic NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo Nutanix vRealize VirtualBox Symantec Gartner Softline EMC Login VSI Xen Enterprise Teradici Amazon NetApp VDI Linux Hyper-V IBM Cisco Google VSI Security Windows vCenter VMachines Webinar View VKernel Events Hardware Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell vSphere IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V vSAN Backup Horizon SRM Client App Volumes Performance Workstation Manager Labs Nested vCloud AWS Log Insight XenDesktop VSA vNetwork SSO DRS LSFS Workspace Host Client VMDK vROPs VTL Update iSCSI SDDC vCSA NSX Agent Virtual Appliance Whitepaper PowerShell Fusion Appliance VUM VVols V2V Tools Cache VMworld Support Обучение Web Client Mobile OpenStack Automation Replication Desktop Fault Tolerance DR Photon Vanguard SaaS Connector HA Event Free Datacenter SQL VSAN Lifecycle Sponsorship Finance FT Cloud Computing Converter XenApp esxtop Snapshots VCP Auto Deploy SMB RDM Mirage XenClient MP Video Operations SC VMM Certification SSD VDP Partners PCoIP RHEV vMA Award Network USB Licensing Logs Server Demo Visio Intel vCHS Calculator Бесплатно vExpert Beta SAN Exchange MAP ONE DaaS Networking Monitoring VPLEX UCS SDK Poster VSPP SDRS Receiver vMotion VDI-in-a-Box Deduplication Forum Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Troubleshooting Air API CLI Plugin DPM Director Book Memory Upgrade SIOC Flex Mac Bug Open Source SSH VAAI Chargeback Heartbeat Android MSCS Ports SVMotion Storage DRS Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Сравнение Oracle VirtualBox и VMware Workstation.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Новые возможности VMware vSphere 5.0 - официально.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6.5


Veeam Backup 9.5


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2017, Александр Самойленко. Правила перепечатки материалов.