Новости Статьи VMware Veeam StarWind Microsoft ИТ-ГРАД Citrix Symantec 5nine События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Виртуализация vSphere, Hyper-V, XenServer и Red Hat

Более 4540 заметок о виртуализации и виртуальных машинах VMware, Microsoft, Citrix, Red Hat

VM Guru / Articles / Особенности размещения государственных информационных систем в облаке.

Особенности размещения государственных информационных систем в облаке.

Особенности размещения государственных информационных систем в облаке.

Автор: ИТ-ГРАД
Дата: 31/07/2017

Это гостевой пост облачного сервис-провайдера ИТ-ГРАД. Для размещения в облаке информационной системы, участвующей в обработке, хранении или передаче персональных данных (ИСПДН), необходимо, чтобы инфраструктура IaaS-провайдера была защищена в соответствии с требованиям ФЗ-152 «О защите персональных данных».

Помимо ИСПДН, это правило касается также и государственных информационных систем (ГИС), которые создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между ними. К ним относятся информационные системы различных министерств, а также государственных унитарных предприятий.

Требования к защите персональных данных в обычных и государственных информационных системах существенно отличаются, и по отношению к последним они гораздо жестче. Это значит, что и уровень защиты инфраструктуры IaaS-провайдера, размещающего у себя ГИС, должен быть выше, чем в случае с ИСПДН.

В данной статье мы рассмотрим особенности размещения ГИС в облаке, а также познакомимся с требованиями безопасности, которым должен соответствовать IaaS-провайдер для работы с системами такого класса.

Уровни и классы защиты

Каждая ГИС строится в соответствии c одним из трех классов защиты (К). Самым надежным и, следовательно, самым сложным в реализации является первый класс – К1.

Чтобы IaaS-провайдер мог разместить ГИС у себя в облаке, его площадка должна соответствовать такому же классу защиты, как и размещаемая система.

Данная классификация построена на совокупности двух ключевых параметров: уровня значимости информации и масштаба информационной системы. Чтобы лучше понять, как все это устроено, давайте разберем их подробнее.

1. Значимость информации

Первым параметром оценки класса защищенности ГИС является уровень значимости (УЗ) информации, которая хранится и обрабатывается в системе. Этот уровень определяется степенью возможного ущерба для владельца информации и/или оператора вследствие нарушения конфиденциальности, целостности или доступности данных. Для каждого из этих нарушений существует три степени вероятного ущерба:

  • высокая – если в результате нарушения оператор или обладатель информации не может выполнять возложенные на него функции;
  • средняя – если в результате нарушения оператор или обладатель информации не может выполнять хотя бы одну из возложенных на него функций;
  • низкая – если в результате нарушения оператор или обладатель информации может выполнять возложенные на него функции с недостаточной эффективностью.

Ценность (уровень значимости) информации рассчитывается по следующей формуле:

УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)].

Если хотя бы для одного нарушения определена высокая или средняя степень ущерба, то значение УЗ будет равно первому или второму уровню соответственно. Если для всех типов нарушения степень ущерба определена как низкая, то УЗ будет соответствовать третьему уровню.

2. Масштаб ГИС

Вторым параметром определения класса защиты ГИС является масштаб информационной системы. Он зависит от области, на которой система функционирует, а также от наличия сегментов в других областях или организациях.

Федеральный – если система функционирует на территории РФ, в пределах федерального округа и имеет сегменты в субъектах РФ, муниципальных образованиях и (или) организациях.

Региональный – если система функционирует на территории субъекта РФ и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.

Объектовый – если система функционирует на объектах одного федерального органа государственной власти и не имеет сегментов в территориальных органах.

Определить, какая из систем соответствует тому или иному классу защиты, можно по приведенной ниже таблице:

Уровень значимости информации Масштаб информационной системы
Федеральный Региональный Объектовый
УЗ 1 К1 К1 К1
УЗ 2 К1 К2 К2
УЗ 3 К2 К3 К3

Классы защиты ГИС определяются в соответствии с таблицей, представленной в приказе ФСТЭК (Федеральная служба по техническому и экспортному контролю) № 17 от 11 февраля 2013 года. Она содержит 13 разделов, таких, например, как «защита среды виртуализации» и «антивирусная защита», и состоит более чем из ста пунктов.

Для того чтобы IaaS-провайдер мог разместить ГИС у себя в облаке, его площадка должна соответствовать такому же классу защиты, как и у размещаемой системы. То есть для работы с государственной информационной системой федерального масштаба с первым уровнем значимости информации инфраструктура облачного провайдера должна соответствовать классу защищенности К1.

Закон есть закон

Требования безопасности, предъявляемые к информационным системам, описаны в приказах ФСТЭК. Для ГИС – это приказ № 17, для ИСПДН – приказ № 21. Все они выполняют требования ФЗ-152 «О защите персональных данных».

Данные приказы в первую очередь касаются операторов, то есть организаций и государственных органов, которые собирают и обрабатывают персональные данные. Размещая свои информационные системы в облаке, они перекладывают выполнение большей части функций безопасности на облачного провайдера, в обязательном порядке уведомляя об этом владельцев данных.

Требования к облачному провайдеру

Чтобы работать с ГИС, облачный провайдер не просто должен соответствовать классу безопасности размещаемых систем, но и подтвердить это прохождением аттестации.

Аттестация включает в себя проверку наличия комплекса мер и процессов в соответствии с требованиями ФСТЭК. Основными такими мерами являются:

  • Наличие СЗИ (средств защиты информации) на программном уровне, а также на уровне виртуализации.
  • Наличие криптошлюза, осуществляющего шифрование трафика.
  • Ограничение физического доступа к аппаратным мощностям.
  • Наличие системы регистрации событий.
  • Наличие лицензии ФСТЭК на деятельность по технической защите информации (название лицензии на сайте).

Помимо основных, существует целый ряд второстепенных параметров и процессов, соблюдение каждого из которых является обязательным для прохождения аттестации.

Стоит дополнительно отметить, что при работе с ГИС оценка соответствия IaaS-провайдера требованиям безопасности происходит до того, как конкретная система будет развернута в облаке.

Заключение

Большинство особенностей размещения ГИС в облаке заключается в повышенных требованиях к сервис-провайдеру по сравнению с размещением ИСПДН. В частности, к таким требованиям относится обязательное наличие СЗИ на уровне виртуализации. Также поставщик услуги должен иметь аттестат, подтверждающий, что его информационная система соответствует классу безопасности не ниже, чем у размещаемой ГИС.

В качестве примера такого поставщика можно привести облачного провайдера «ИТ-ГРАД», колторый получил аттестацию соответствия классу информационной защищенности К1. Теперь в рамках услуги «Облако ФЗ-152» ИТ-ГРАД наравне с ИСПДН также предоставляет своим клиентам возможность размещать ГИС любого класса.

Ссылка на статью в блоге ИТ-ГРАД.

Реклама







Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

11/09/2018:  Облака 2018: настало время PaaS
13/09/2018:  IDC Security Roadshow 2018
14/09/2018:  Big Data Conference 2018

Быстрый переход:
VMware IT-Grad Veeam 5nine Hardware Citrix StarWind VeeamON Nutanix vSphere RVTools Enterprise Security Code Offtopic Cisco vGate Microsoft Cloud SDRS Parallels IaaS HP VMFS PowerCLI VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Gartner Softline EMC Login VSI Xen Teradici Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter VMachines Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V Horizon vSAN Labs Tools SDDC Virtual Appliance Workstation Update Backup vCloud DRS App Volumes OpenStack Forum PowerShell SRM HA LSFS Lifecycle Client Workspace vCSA Datacenter vROPs Workspace ONE Visio NSX Intel Agent Networking esxtop VVols Book Photon VMworld Fusion Cloud Computing SSD Comparison Blast Performance Manager Nested AWS Log Insight XenDesktop VSA vNetwork SSO Host Client VMDK VTL iSCSI Whitepaper Appliance VUM V2V Cache Support Обучение Web Client Mobile Automation Replication Desktop Fault Tolerance DR Vanguard SaaS Connector Event Free SQL VSAN Sponsorship Finance FT Converter XenApp Snapshots VCP vGPU Auto Deploy SMB RDM Mirage XenClient MP Video Operations SC VMM Certification VDP Partners PCoIP RHEV vMA Award Network USB Licensing Logs Server Demo vCHS Calculator Бесплатно vExpert Beta SAN Exchange MAP ONE DaaS Monitoring VPLEX UCS SDK Poster VSPP Receiver vMotion VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V VirtualCenter NFS ThinPrint Upgrade Director API Troubleshooting Android Graphics Migration Diagram Bug Air CLI Plugin DPM Memory SIOC Flex Mac Open Source SSH VAAI Chargeback Heartbeat MSCS Ports SVMotion Storage DRS Bugs Composer
Интересные плакаты:

Постер VMware vSphere PowerCLI 6.3:

Постер VMware ESXi 5.1:

Постер VMware Hands-on Labs 2015:

Постер VMware Platform Services Controller 6.0:

Постер VMware vCloud Networking:

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Постер VMware vCenter Server Appliance:

Порты и соединения VMware vSphere 6:

Порты и соединения VMware Horizon 7:

Порты и соединения VMware NSX:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

Постер Veeam Backup & Replication v8 for VMware:

Постер Microsoft Windows Server 2012 Hyper-V R2:

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Сравнение Oracle VirtualBox и VMware Workstation.

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Проектирование инфраструктуры виртуализации VMware vSphere 4.

Как использовать возможности VMware vSphere Management Assistant (vMA).

Как поднять программный iSCSI Target на Windows 2003 Server для ESX

Бесплатные программы для VMware ESX / ESXi в среде Virtual Infrastructure / vSphere (часть 2).

Новые возможности VMware vSphere 5.0 - официально.

Отличия VMware ESXi 4 free (бесплатного), ESXi 4 и ESX 4 в составе VMware vSphere.

Все ресурсы о виртуализации:
Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Купить:

VMware vSphere 6.5


Veeam Backup 9.5


Полезные ресурсы:


Видео компании VMware

Видео про Citrix Xen

Видео о виртуализации Microsoft

Утилиты для виртуальных машин Microsoft.

Книги на английском языке

Блоги на английском языке

Блоги на русском языке

Агрегация статей в твиттере VMC:


Copyright VM Guru 2006 - 2018, Александр Самойленко. Правила перепечатки материалов.