Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И
ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА ПРИ
ПЕРЕНОСЕ ИНФОРМАЦИОННЫХ СИСТЕМ В «ОБЛ...
‒ Information System Audit and Control Association (ISACA);
‒ Storage Networking Industry Association (SNIA) – Cloud Stora...
каждом конкретном случае, например, путем ограничения перечня облачных услуг или
потребителей указанных услуг.
В таком слу...
Уровень
оборудования
Уровень
виртуализации
Уровень оркестрации
Уровень
сервисов
Система управления виртуализацией, Гиперви...
Защита периметра сети
Защита периметра
Безопасность среды
функционирования
Безопасность IT-
инфраструктуры
Уровень
оборудо...
КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ «ОБЛАКА»
Системы обнаружения и предотвращения вторжений.
Защита данных Защита от нес...
Таблица 4 – Комплекс мероприятий по защите информации на стадиях создания
автоматизированных систем.
ГОСТ
34.601-90
Приказ...
СТАДИИ И ЭТАПЫ СОЗДАНИЯ ОБЛАЧНОЙ ПЛАТФОРМЫ
Этап 9 Аттестация (опционально). Ввод в действие.
CHECK Сопровождение
Этап 10 С...
Облачная ИС
IaaS
Партнер
Потребитель
Пользователь
Информационная
система
Информационный
ресурс
Поставщик
Владелец
Оператор...
государственным секретам, установлен в одноименном Положении [10]. Порядок
криптографической защиты информации установлен ...
‒ требованияк способам подключения и рабочим местам персоналаПотребителя
облачных услуг;
‒ требования безопасности к инфор...
конкретизированный перечень видов такой информации, и определяет, в каких случаях
должна проводиться техническая и криптог...
ХАРАКТЕРИСТИКИ РЕСПУБЛИКАНСКОЙ ПЛАТФОРМЫ
Инфраструктура как услуга (Infrastructure as a Service, IaaS).
Программное обеспе...
ХАРАКТЕРИСТИКИ РЕСПУБЛИКАНСКОЙ ПЛАТФОРМЫ
существующего ИКТ-оборудования с требованиями
республиканской платформы.
‒ Четвер...
8. European Network and Information Security Agency. «Security Framework for Governmental Clouds».
9. ГОСТ 34.601-90 «Инфо...
Upcoming SlideShare
Loading in …5
×

G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА ПРИ ПЕРЕНОСЕ ИНФОРМАЦИОННЫХ СИСТЕМ В «ОБЛАКО».

Вячеслав Аксёнов
архитектор систем информационной безопасности управления разработки и внедрения облачных решений компании ActiveCloud

Использование технологий облачных вычислений в сфере государственных услуг становится тенденцией во всем мире. Более двадцати европейских стран используют или планируют использовать технологии облачных вычислений в государственном секторе.

  • Login to see the comments

G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА ПРИ ПЕРЕНОСЕ ИНФОРМАЦИОННЫХ СИСТЕМ В «ОБЛАКО».

  1. 1. G-CLOUD: АРХИТЕКТУРА, ЗАЩИТА ИНФОРМАЦИИ И ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА ПРИ ПЕРЕНОСЕ ИНФОРМАЦИОННЫХ СИСТЕМ В «ОБЛАКО». Вячеслав Аксёнов архитектор систем информационной безопасности управления разработки и внедрения облачных решений компании ActiveCloud Использование технологий облачных вычислений в сфере государственных услуг становится тенденцией во всем мире. Более двадцати европейских стран используют или планируют использовать технологии облачных вычислений в государственном секторе. Не стоят в стороне и государства-члены Евразийского экономического союза. Например, в Республике Беларусь постановление создать республиканскую платформу, действующую на основе технологий облачных вычислений, содержится в Указе Президента Республики Беларусь от 23 января 2014 года № 46 [1]. Распоряжением Правительства Российской Федерации от 7 октября 2015 года №1995-р утверждена «Концепция перевода обработки и хранения государственных информационных ресурсов, не содержащих сведения, составляющие государственную тайну, в систему федеральных и региональных центров обработки данных» [2]. В Республике Казахстан в 2013 году принята государственная программа «Информационный Казахстан-2020» [3], в которой в одним из направлений развития выделена оптимизация IT-инфраструктуры за счет использования технологий облачных вычислений. Вместе с очевидными преимуществами использование технологий облачных вычислений в государственном секторе приводит к необходимости решения таких задач, как:  создание системы защиты информации облачной информационной системы и облачных услуг;  распределение ответственности между участниками информационных отношений;  подтверждение соответствия системы защиты информации требованиям законодательства об информации, информатизации и защите информации. В статье будут рассмотрены вопросы создания государственной облачной информационной системы и перехода на республиканскую платформу государственных организаций в контексте требований законодательства Республики Беларусь об информации, информатизации и защите информации. На сегодняшний день в мире опубликовано более 40 различных стандартов и рекомендаций, связанных с вопросами безопасности облачных вычислений, и более 10 находится в разработке. В развитии вопросов безопасности облачных вычислений участвуют следующие международные организации: ‒ International Organization for Standardization (ISO); ‒ International Telecommunication Union - Telecommunication Sector (ITU-T); ‒ Cloud Security Alliance (CSA); ‒ European Network and Information Security Agency (ENISA); ‒ National Institute of Standards and Technology (NIST);
  2. 2. ‒ Information System Audit and Control Association (ISACA); ‒ Storage Networking Industry Association (SNIA) – Cloud Storage Initiative (CSI). С подробным перечнем можно ознакомиться по следующей ссылке: http://itsec.by/cloud-and-security/. Важно помнить, что в деятельности, связанной с созданием систем защиты информации, в первую очередь должны использоваться термины и определения, установленные в нормативныхправовых актах (далее – НПА) и технических нормативных правовых актах (далее – ТНПА). Поэтому для рассмотрения вопросов архитектуры и безопасности облачной информационной системы необходимо определить следующие понятия: облачные вычисления, технологии облачных вычислений, облачная услуга, облачная информационная система. Термины и определения в области облачных вычислений описываются в таких источниках как:  ISO/IEC 17788:2014 «Information technology — Cloud computing — Overview and vocabulary»;  NIST Special Publication 800-145 «The NIST Definition of Cloud Computing»  а также в проекте ГОСТ Российской Федерации «Защита информации. Требования по защите информации, обрабатываемой с использованием технологий «облачных вычислений». Общие положения». В соответствии с международными стандартами под «облачными вычислениями» будем понимать «парадигму обеспечения сетевого доступа к масштабируемому и гибкому набору совместно используемых физических или виртуальных ресурсов с предоставлением и администрированием ресурсов на основе самообслуживания по запросу»1. Соответственно «технологии облачных вычислений» – это информационные технологии, реализующие парадигму (модель) «облачных вычислений». В свою очередь «облачная услуга» – «одна или несколько возможностей, предоставляемых с использованием облачных вычислений, которые активируются с помощью заявленного интерфейса»2. В законодательстве Республики Беларусь используется уточненное определение технологий облачных вычислений, которое связано с конкретными услугами, которые предполагается реализовыватьпри помощи облачной информационной системы (республиканской платформы). Теперь мы вплотную приблизились к термину «облако» (облачная информационная система), и определим его как: «(автоматизированная) информационная система, предназначенная для (автоматизации деятельности по) реализации облачных услуг. Данное определение может уточняться в 1 Paradigmfor enablingnetwork access to a scalableand elastic pool of shareablephysical or virtual resources with on-demand self-serviceprovisioningand administration (ISO/IEC 17788:2014). 2 One or more capabilities offered via cloud computing invoked usinga declared interface(ISO/IEC 17788:2014). В тексте Указа Президента Республики Беларусь от 23 января 2014 г. № 46 термин «технологии облачных вычислений» используется в значении «технологии предоставления пользователю вычислительных ресурсов и программного обеспечения как услуги с помощью сетей электросвязи и посредством автоматизации процессов выделения вычислительных ресурсов, развертывания и разработки приложений».
  3. 3. каждом конкретном случае, например, путем ограничения перечня облачных услуг или потребителей указанных услуг. В таком случае «гособлако» мы можем определить, как «(автоматизированная) информационная система, предназначенная для (автоматизации деятельности по) реализации облачных услуг государственным органам и организациям, юридическим и физическим лицам определенной страны». С точки зрения законодательства РБ об информации, информатизации и защите информации облачную информационную систему можно определить, как совокупность банков данных, технологий облачных вычислений, и комплекса (комплексов) программно- технических средств, реализующего(щих) технологии облачных вычислений и обеспечивающего(щих) взаимодействие с внешней средой. Похожее определение используется в Указе Президента Республики Беларусь от 23 января 2014 г. № 46 [1]. АРХИТЕКТУРА ОБЛАЧНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ Безопасность облачной информационной системы в значительной степени взаимосвязана с ее архитектурой и атрибутами. В NIST SP 800-145 [4] атрибуты облака описываются 5 ключевыми характеристиками, 3 сервисными моделями, и 4 моделями размещения (таблица 1). Таблица 1 - Атрибуты облака. Атрибуты облака (NIST SP 800-145) Ключевые характеристики 1. самообслуживание по запросу (on-demand self-service) 2. повсеместный доступ (broad network access) 3. объединение облачных ресурсов в единый пул (resource pooling) 4. оперативная реакция (rapid elasticity) 5. измеримость (measured Service) Сервисные модели 1. инфраструктура как услуга (infrastructure as a service (IaaS)) 2. платформа как услуга (platform as a service (PaaS)) 3. программное обеспечение как услуга (software as a service (SaaS)) Модель развертывания 1. общественное облако (public cloud) 2. коллективное облако (community cloud) 3. частное облако (private cloud) 4. гибридное облако (hybrid cloud) Атрибуты облака, описанные в ISO/IEC 17788:2014 [5], соответствуют NIST SP 800- 145 [4] за небольшим исключением, в [5] была добавлена очевидная характеристика – «множественная принадлежность» (multi-tenancy). Что представляет собой архитектура облачной информационной системы? Облачная информационная система имеет многоуровневую архитектуру, включающую уровни оборудования, виртуализации,оркестрации, сервисов,автоматизации и средств управления (рисунок 1). Представленная архитектура учитывает подходы, описанные в ISO/IEC 17789:2014 [6] и NIST SP 500-292 [7]. И здесь хочу обратить внимание на уровни автоматизации и средств управления, которые, на мой взгляд, и делают облако – облаком. Важно понимать, что обеспечение безопасности на уровне автоматизации и управления является непременным и ключевым условием для безопасного функционирования «облака».
  4. 4. Уровень оборудования Уровень виртуализации Уровень оркестрации Уровень сервисов Система управления виртуализацией, Гипервизор Сеть (сетевые ресурсы, SDN) Сервер (вычислительные ресурсы) СХД (ресурсы хранения данных, SDS) ЦОД (электропитание, охлаждение, кондиционирование, физическая безопасность) Система оркестрации «облака» IaaS PaaS SaaS Уровень автоматизации Уровень средств управления OSS (Operation support system) BSS (Business support system) API/SDK (Средства интеграции) User control panel Administrator control panel Рисунок 1 – Архитектура облачной информационной системы. ЗАЩИТА ИНФОРМАЦИИ В «ОБЛАКЕ» Защита информации в «облаке» должна комплексно обеспечиваться на все уровнях его архитектуры. При этом необходимо учитывать, что требования безопасности определяют не только архитектуру системы защиты информации, но также учитываются в архитектуре «облака» (таблица 2). Таблица 2 – Источники требований безопасности к облачной информационной системе. ИСТОЧНИКИ ТРЕБОВАНИЙ Законодательство определение архитектуры – классификация (классификационные признаки) / сегментация, криптография, средства защиты информации – сертификация, гос. информационные системы – аттестация Программно- аппаратная архитектура используемые технические средства, системное и прикладное программное обеспечение – влияют на выбор средств защиты Угрозы / Риски результаты моделирования угроз и оценки рисков – исходные данные для формирования требований «Лучшие практики» ENISA, CSA, ISACA и т.п. – хорошо, но необходимо помнить о выполнении требований законодательства Рассмотрим систему защиты информации «облака» в привязке к многоуровневой архитектуре, в которой защита должна обеспечиваться на всех уровнях, начиная с уровня оборудования и заканчивая уровнем средств управления облаком (рисунок 2).
  5. 5. Защита периметра сети Защита периметра Безопасность среды функционирования Безопасность IT- инфраструктуры Уровень оборудования Уровень виртуализации Уровень оркестрации Уровень сервисов Защита среды виртуализации Безопасность систем Безопасность как услуга Уровень автоматизации Уровень средств управления Идентификация и аутентификация (FIA) Управление доступом (FTA & FTP) Управление безопасностью (FMT) Безопасность приложений Защита данных Защита данных пользователя (FDP) Аудит безопасности (FAU) Управлениебезопасностью Рисунок 2 – Архитектура системы защиты информации облачной информационной системы. Состав системы защиты информации на каждом из уровней архитектуры детально представлен в таблице 3. Таблица 3 – Состав системы защиты информации облачной информационной системы. КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ «ОБЛАКА» Управление безопасностью Нормативные правовые акты. Процессы управления и обеспечения информационной безопасности (PLAN, DO, CHECK, ACT). Локальные нормативные правовые акты (политики, процедуры, инструкции), направленные на реализацию процессов. Защита периметра Контроль и управление доступом. Видеонаблюдение. Охранная сигнализация. Безопасность среды функционирования Пожарная сигнализация. Автоматика здания. Мониторинг ресурсов. Кабельная система. Электроснабжение. Распределение питания. Охлаждение. Освещение. Связь. Безопасность IT- инфраструктуры Высокая доступность. Непрерывность функционирования. Резервное копирование и восстановление. Доверенные вычисления (RoT3, TPM4, TXT5). Защита периметра сети Защита от DDoS6-атак. Межсетевое экранирование. Обнаружение и предотвращение вторжений. Поточный антивирус. Защита данных от утечки (DLP7). Фильтрация web-трафика и защита web-приложений. Защита каналов передачи данных. Защита среды виртуализации Защита от несанкционированного доступа. Контроль целостности. Резервное копирование. Антивирусная защита. Межсетевые экраны. Системы обнаружения и предотвращения вторжений. Безопасность Систем/приложений Контроль целостности. Антивирусная защита. Межсетевые экраны. Управление уязвимостями. 3 Roots of Trust. 4 Trusted PlatformModule. 5 Trusted Execution Technology. 6 Distributed Denial of Service. 7 Data Leakage Prevention.
  6. 6. КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ «ОБЛАКА» Системы обнаружения и предотвращения вторжений. Защита данных Защита от несанкционированного доступа. Контроль целостности. Криптографическая защита. Защита данных от утечки. Защита системы автоматизации и средств управления Идентификация. Аутентификация. Управление доступом. Доверенный канал связи. Защита данных пользователя. Регистрация событий мониторинг и оповещение. Безопасность как услуга Identity and Access Management. Data Leakage Prevention. Web Security. Email Security. Security Assessments. Intrusion Management. Encryption. BCDR8. Network Security Security Information and Event Management. СОЗДАНИЕ ОБЛАЧНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ Рекомендации по управлению процессом создания государственной облачной информационной системы в привязке к PDCA-циклу можно найти в рекомендациях ENISA – Security Framework for Governmental Clouds [8] (рисунок 3). PDCA lifecycle Security Framework for Governmental Clouds (ENISA) PLAN Risk Profiling Architectural Model Security & Privacy requirements DO Security Controls Implementation, Deployment & Accreditation CHECK Log/Monitoring Audit ACT Changes Management Exit Management Рисунок 3 – Жизненный цикл государственной облачной информационной системы (подход ENISA). При этом необходимо учитывать, что на территории Республики Беларусь облачная информационная система должна создаваться с учетом стадий процесса создания автоматизированных систем, определенных в ГОСТ 34.601-90 [9], и требований законодательства в области защиты информации. В Республике Беларусь комплекс мероприятий по защите информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, утвержден Приказом Оперативно- аналитического центра при Президенте Республики Беларусь 30.08.2013 № 62 (в редакции приказа Оперативно-аналитического центра при Президенте Республики Беларусь 16.01.2015 № 3) [10]. Соответствие стадий, определенных в перечисленных выше источниках, представлено в таблице 4. 8 Business Continuity and Disaster Recovery.
  7. 7. Таблица 4 – Комплекс мероприятий по защите информации на стадиях создания автоматизированных систем. ГОСТ 34.601-90 Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 30.08.2013 № 62 (в редакции приказа Оперативно-аналитического центра при Президенте Республики Беларусь 16.01.2015 № 3) Формирование требований Проектирование системы ЗИ:  Классификация информации, хранящейся и обрабатываемой в ИС, в соответствии с НПА и ТНПА.  Анализ организационной структуры ИС и информационных потоков в целях определения состава (количества) и мест размещения элементов системы (аппаратных и программных), ее физических и логических границ.  Присвоение ИС класса типового объекта информатизации.  Определение требований к системе ЗИ в задании по безопасности на ИС или в техническом задании на ИС. Разработка концепции Техническое задание Технический проект Рабочая документация Ввод в действие Создание системы ЗИ:  Разработка политики информационной безопасности.  Внедрение планируемых к использованию средств ЗИ, проверка их работоспособности и совместимости.  Внедрение организационныхмер по ЗИ.  Опытная эксплуатация системы ЗИ.  Приемочные испытания системы ЗИ. Аттестация системы защиты информации Сопровождение Эксплуатация системы защиты информации:  Обеспечение функционирования системы ЗИ в процессе эксплуатации ИС.  Обеспечение ЗИ в случае прекращения эксплуатации ИС. Комплексный подход к проектированию, вводу в действие и эксплуатации облачных информационных систем, учитывающий, как рекомендации международных организаций, занимающихся проработкой вопросов безопасности облачных вычислений, так и стадии создания автоматизированныхсистем, определенных в ГОСТ 34.601-90 [9], представлен в таблице 5. Таблица 5 – Стадии создания облачной информационной системы. СТАДИИ И ЭТАПЫ СОЗДАНИЯ ОБЛАЧНОЙ ПЛАТФОРМЫ PLAN Проектирование Этап 1 Формирование требований Этап 2 Разработка технического задания Этап 3 Разработка технического проекта Этап 4 Разработка рабочей документации DO Ввод в действие Этап 5 Разработка организационно-распорядительной документации Этап 6 Внедрение технических средств, программного обеспечения, средств защиты информации. Этап 7 Опытная эксплуатация. Этап 8 Приемочные испытания.
  8. 8. СТАДИИ И ЭТАПЫ СОЗДАНИЯ ОБЛАЧНОЙ ПЛАТФОРМЫ Этап 9 Аттестация (опционально). Ввод в действие. CHECK Сопровождение Этап 10 Сопровождение и техническая поддержка Этап 11 Регистрация, мониторинг и анализ событий Этап 12 Аудит ACT Модернизация Этап 13 Управление изменениями Этап 14 Вывод из эксплуатации Данный подход применимдля создания государственных облачныхинформационных систем как на территории Республики Беларусь, так и в Российской Федерации и Республике Казахстан из-за схожести законодательств этих стран. ПЕРЕНОС ИНФОРМАЦИОННЫХ СИСТЕМ В «ОБЛАКА» Прежде чем перейти к вопросам переноса информационных систем в «облако», необходимо определить, какие субъекты информационных отношений могут принимать участие в его функционировании. В рекомендациях ITU-X.1601 [11] выделяются следующие участники информационных отношений в «облаке» (рисунок 4): ‒ потребитель облачной услуги (cloud service customer) ‒ партнер облачной услуги (cloud service partner) ‒ поставщик облачной услуги (cloud service provider) ‒ пользователь облачной услуги (cloud service user). Облачная ИС Облачная услуга Партнер Потребитель Поставщик Пользователь Рисунок 4 – Участники информационных отношений (вариант 1). Рассматривая полный перечень участников информационных отношений, их права, обязанности и ответственность за нарушение законодательства, определенный законодательством РБ об информации, информатизации и защите информации, при создании «гособлака» к субъектам информационныхотношений может быть добавленаеще одна сущность – владелец «облака» (государство). В случае размещения информационной системы в «облаке» с использованием услуги «инфраструктура как сервис», список участников информационных отношений может быть увеличен, например, как это представлено на рисунке 5.
  9. 9. Облачная ИС IaaS Партнер Потребитель Пользователь Информационная система Информационный ресурс Поставщик Владелец Оператор Пользователь Владелец Оператор Пользователь Владелец Разработчик Рисунок 5 – Участники информационных отношений (вариант 2). Причем все эти субъекты должны быть учтены в политике информационной безопасности переносимой в облако информационной системы, в которой также должна быть распределена ответственность за обеспечение безопасности информации между такими субъектами. Рекомендации потенциальным потребителям облачных услуг по управлению обеспечением безопасности услуг облачных вычислений, а также связанных с ними ресурсов, можно найти в ITU-X.1601 [11] (рисунок 6). УГРОЗЫ ПРОБЛЕМЫ Определить угрозы безопасности и последствия проблем для безопасности в рассматриваемой услуге облачных вычислений. (п.7,8 X.1601) ВОЗМОЖНОСТИ Определить необходимые высокоуровневые возможности обеспечения безопасности на основе выявленных угроз и проблем, которые могут уменьшить угрозы безопасности и решить проблемы безопасности. (п.9 X.1601) МЕРЫ Выбрать средства управления, политику и процедуры безопасности, которые могут предоставить необходимые способности обеспечения безопасности исходя из определенных возможностей обеспечения безопасности. Рисунок 6 – Перенос информационной системы в среду облачных вычислений. Рассмотрим на примере законодательства Республики Беларусь, как должны учитываться требования по защите информации при переносе в «облако» информационной системы, обрабатывающей информацию, распространение и/или предоставление которой ограничено, не отнесенную к государственным секретам. Правовые и организационные основы технической и криптографической защиты информации в Республике Беларусь определены в «Положении о технической и криптографической защите информации в Республике Беларусь», утвержденном Указом Президента Республики Беларусь от 16.04.2013 № 196 [12]. Порядок технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к
  10. 10. государственным секретам, установлен в одноименном Положении [10]. Порядок криптографической защиты информации установлен в Положении о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации, утвержденном приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 30.08.2013 № 62 [13]. При размещении информационной системы в «облаке» можно выделить два случая такого размещения: 1. Размещение вновь создаваемой информационной системы. 2. Перенос введенной в действие информационной системы. В первом случае в соответствии с требованиями законодательства [10] однозначно должны быть проведен комплекс мероприятий по защите информации, начиная со стадии ПРОЕКТИРОВАНИЯ, на которой осуществляется: ‒ классификация информации, хранящейся и обрабатываемой в информационной системе, в соответствии с законодательством об информации, информатизации и защите информации, в том числе техническими нормативными правовыми актами; ‒ анализ организационной структуры информационной системы и информационных потоков в целях определения состава (количества) и мест размещения элементов системы (аппаратных и программных), ее физических и логических границ; ‒ присвоение информационной системе класса типового объекта информатизации в порядке, установленном СТБ 34.101.30-2007 [14]; ‒ определение требований к системе защиты информации в задании по безопасности на информационную систему (далее – Задание по безопасности) или в техническом задании на информационную систему. Во втором случае не все так однозначно. Положением о порядке технической защиты информации [10] установлено, что модернизация действующих систем защиты информации осуществляется в порядке, установленном Положением для СОЗДАНИЯ этих систем. Т.е. пропуская этап проектирования и переходя сразу к разработке политики информационной безопасности и внедрению планируемых к использованию средств защиты информации. Но учитывая существенные изменения условий обработки информации, и модели угроз, я бы порекомендовал вернуться к стадии Проектирования и внести изменения в задание по безопасности в установленном порядке, а также определить состав средств защиты информации, планируемых к использованию для защиты информации в информационной системе, размещенной в «облаке». Хочу обратить внимание, что требования политики информационной безопасности информационной системы, размещаемой в «облаке», в первую очередь должны найти свое отражение в договорных отношениях и затем в локальных нормативных правовых актах организаций участников информационных отношений. В свою очередь оператор облачной платформы для обеспечения защиты информации должен использовать такой механизм, как технические условия на размещение информационных систем в «облаке», в которых должны быть определены:
  11. 11. ‒ требованияк способам подключения и рабочим местам персоналаПотребителя облачных услуг; ‒ требования безопасности к информационным системам Потребителя, размещаемым в «облаке» (включая требования безопасности, которые должны обеспечиваться в процессе переноса информационной системы). Проанализируем результат проведения мероприятий по защите информации – аттестацию системы защиты информации информационной системы – применительно к информационной системе, размещаемой в «облаке». Требование аттестации системы защиты информации содержится в следующих нормативных правовыхактах: во-первых, Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» [15], в котором содержится требование, что «Информация, распространение и (или) предоставление которой ограничено, не отнесенная к государственным секретам, должна обрабатываться в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь». В Республике Беларусь есть еще один нормативный правовой акт, вышестоящий по иерархии, а именно: Указ Президента Республики Беларусь №196, которым утверждено Положение о технической и криптографической защите информации [12]. В Положении определен перечень объектов на которых осуществляется защита информации, и установлено, что Организации – собственники объектов, определенных в перечне, проводят комплекс мероприятий, в результате которых документально подтверждается соответствие систем защиты информации, требованиям законодательства (т.е. организуют и проводят аттестацию системы защиты информации). Здесь следует упомянуть про пункт 5 Положения [12], в котором установлен перечень субъектов, для которых требования Положения являются обязательными для применения. В этот перечень попадают: ‒ собственники (владельцы) критически важных объектов информатизации, объектов информатизации, предназначенных для обработки информации, содержащей государственные секреты, а также собственники (владельцы) государственных информационных систем в части обеспечения целостности и подлинности электронных документов; ‒ собственники (владельцы) информационных систем, в которых обрабатываются служебная информация ограниченного распространения, информация о частной жизни физического лица и персональные данные; ‒ государственные органы и иные государственные организации, а также хозяйственные общества, в отношении которых Республика Беларусь либо административно-территориальная единица, обладая акциями (долями в уставных фондах), может определять решения, принимаемые этими хозяйственными обществами, являющимися собственниками (владельцами) информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам. И если в Законе Республики Беларусь [15] требование по аттестации содержится для всех видов информации ограниченного распространения,то Указ Президента [12] содержит
  12. 12. конкретизированный перечень видов такой информации, и определяет, в каких случаях должна проводиться техническая и криптографическая защита информации. РЕАЛИЗАЦИЯ ГОСОБЛАКА В РЕСПУБЛИКЕ БЕЛАРУСЬ. В законодательстве Республики Беларусь можно выделить следующие нормативные правовые акты, регламентирующие вопросы защиты информации, создания и эксплуатации «гособлака»:  Указ Президента Республики Беларусь от 23 января 2014 г. № 46 «Об использовании государственными органами и иными государственными организациями телекоммуникационных технологий» [1].  Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 28 марта 2014 г. № 26 «Об утверждении Положения об основах использования государственными органами и организациями республиканской платформы, действующей на основе технологий облачных вычислений» [16]. Характеристики республиканской платформы (РП) представлены в таблице 6. Таблица 6 – Характеристики республиканской платформы, действующей на основе технологий облачных вычислений. ХАРАКТЕРИСТИКИ РЕСПУБЛИКАНСКОЙ ПЛАТФОРМЫ Назначение Для размещения программно-технических средств, информационных ресурсов и информационных систем Модель развертывания Гибридное облако (hybrid cloud) Определение Программно-технический комплекс для распределенной обработки данных, реализующий технологии облачных вычислений и обеспечивающий взаимодействие с внешней средой Архитектура9 Представляет собой программно-аппаратный комплекс, в основе которого лежат технологии виртуализации (VMware vSphere, CloudStack, MS Hyper-V) и автоматизации представления облачных услуг (ActivePlatform). Слой виртуализации обеспечивает изоляцию операционных сред и эффективное управление физическими ресурсами, а также предоставляет базовые системные услуги (высокая доступность, управление топологией сети и сетевая безопасность, динамическая балансировка нагрузки). Слой автоматизации (ActivePlatform) выполняет функцию управления жизненным циклом облачных дата-центров, виртуальных машин, облачных приложений и портала самообслуживания пользователей, а также обеспечивает сбор данных об использовании предоставляемых облачных услуг и выставление счетов (биллинг). Базовые услуги ЦОД как услуга (Data Center as a Service, DCaaS). 9 http://becloud.by/activities/rp/services-catalog/ Указ Президента Республики Беларусь от 23 января 2014 г. № 46 определяет стратегию создания «гособлака» вРеспублике Беларусь, помимо постановления создать республиканскую платформу в указе определены другие моменты, важные для последующего проектирования, ввода в действие и эксплуатацииреспубликанской платформы.
  13. 13. ХАРАКТЕРИСТИКИ РЕСПУБЛИКАНСКОЙ ПЛАТФОРМЫ Инфраструктура как услуга (Infrastructure as a Service, IaaS). Программное обеспечение как услуга (Software as a Service, SaaS). Дополнительные услуги Перенос ИТ-систем в РП. Перенос основной и резервной ИТ-инфраструктуры, данных и приложений в РП. Защита информации. Потребители Государственные органы, иные государственные организации, а также хозяйственные общества, в отношении которых Республика Беларусь либо административно-территориальная единица, обладая акциями (долями в уставных фондах), может определять решения, принимаемые этими хозяйственными обществами (далее – государственные органы и организации) Оператор Совместное общество с ограниченной ответственностью «Белорусские облачные технологии» Сфера ответственности оператора Проектирование, ввод в действие и эксплуатация платформы. Предоставление услуг облачных вычислений. Базовые требования по защите информации: доступность государственных информационных систем для пользователей; хранение информации и мониторинг работоспособности информационных систем; защита информации от неправомерного доступа, уничтожения, модификации (изменения), копирования, распространения и (или) предоставления информации, блокирования правомерного доступа к ней, а также от иных неправомерных действий с момента ее поступления на республиканскую платформу и до момента ее передачи в соответствующую информационную систему или информационный ресурс. План поэтапного перехода на использование ресурсов РП Государственным органам и организациям осуществить до 31 декабря 2018 г. поэтапный переход на использование ресурсов республиканской платформы в соответствии с планом перехода, утверждаемым Оперативно-аналитическим центром при Президенте Республики Беларусь, по согласованию с оператором и руководителем соответствующего государственного органа или организации. В Положении об основах использования государственными органами и организациями республиканской платформы, действующей на основе технологий облачных вычислений, определены следующие этапы перехода государственных органов и организаций на республиканскую платформу: ‒ Первый этап (подготовительный). На основании запросов оператора осуществляется сбор, обобщение и анализ информации об используемом ИКТ-оборудовании, текущих и планируемых потребностях государственных органов и организаций в ИКТ-оборудовании. ‒ Второй этап (пилотный). Осуществляется пробный переход на республиканскую платформу государственных органов и организаций. ‒ Третий этап (этап перехода государственных органов). Переход на республиканскую платформу в приоритетном порядке при соблюдении технической совместимости (технических условий)
  14. 14. ХАРАКТЕРИСТИКИ РЕСПУБЛИКАНСКОЙ ПЛАТФОРМЫ существующего ИКТ-оборудования с требованиями республиканской платформы. ‒ Четвертый этап (этап перехода государственных органов). Осуществляется переход на Республиканскую платформу государственных организаций, оформивших заявку на переход на республиканскую платформу. ЗАКЛЮЧЕНИЕ Проекты по созданию систем защиты информации, а тем более по переносу информационных систем в «облако», являются комплексными и сложными. При управлении такими проектами не обойтись без подхода, определенного в ГОСТ 34.601-90 [9], определяющего стадии создания автоматизированных систем. В своей практике я использую различные самостоятельно подготовленные инструменты, которые мне помогают в реализации таких проектов. 31 мая на BIS Summit Minsk-201610, был представлен один такой инструмент, позволяющий разложить проект создания информационной системы на мелкие кирпичики – задачи, и распределить ответственность за их выполнение. Инструмент был специально адаптирован под задачу переноса информационной системы на облачную платформу, решением которой я уже имел возможность заниматься и решить успешно, и позволяет выявить пробелы (зоны безответственности), на ранней стадии, еще до начала проекта. Ссылка для скачивания инструмента: http://itsec.by/responsibility-matrix/. Также хочу поделиться таблицей соответствия требований Приказа №62 [13], требованиям стандартов СТБ 34.101.2 [17] и 3 [18], которая пригодится при разработке Задания по безопасности с учетом Приложения к положению о порядке технической защиты информации, которое содержит требования к системе защиты информации, подлежащие включению в задание по безопасности на информационную. Ссылка для скачивания таблицы: http://itsec.by/sootvetstvie-trebovanij-prikaza-oac-62-v-redakcii-prikaza-3- trebovaniyam-stb-34-101-23-2014/. В ближайшем будущем в эту таблицу будет добавлено соответствие требованиям PCI DSS, ISO 27002, CCM CSA и другим стандартам, и рекомендациям. ИСПОЛЬЗОВАННЫЕ ИСТОЧНИКИ: 1. Указ Президента Республики Беларусь от 23 января 2014 г. № 46 «Об использовании государственными органами и иными государственными организациями телекоммуникационных технологий». 2. «Концепция перевода обработки и хранения государственных информационных ресурсов, не содержащих сведения, составляющие государственную тайну, в систему федеральных и региональных центров обработки данных», утверждена распоряжением Правительства Российской Федерации от 7 октября 2015 г. № 1995-р. 3. Государственная программа «Информационный Казахстан-2020», утверждена Указом Президента Республики Казахстан от 8 января 2013 года № 464. 4. NIST Special Publication 800-145 «The NIST Definition of Cloud Computing». 5. ISO/IEC 17788:2014 «Information technology - Cloud computing - Overview and vocabulary». 6. ISO/IEC 17789:2014 «Information technology - Cloud computing - Reference architecture». 7. NIST Special Publication 500-292 «NIST Cloud Computing Reference Architecture». 10 http://bis-expert.ru/bis-summit-minsk
  15. 15. 8. European Network and Information Security Agency. «Security Framework for Governmental Clouds». 9. ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания». 10. «Положение о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам», утверждено Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 30.08.2013 № 62 (в редакции приказа Оперативно-аналитического центра при Президенте Республики Беларусь 16.01.2015 № 3). 11. ITU-X.1601 «Security framework for cloud computing». 12. «Положение о технической и криптографической защите информации в Республике Беларусь», утверждено Указом Президента Республики Беларусь от 16.04.2013 № 196. 13. «Положение о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации», утверждено приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 30.08.2013 № 62. 14. СТБ 34.101.30-2007 «Информационные технологии. Методы и средства безопасности. Объекты информатизации. Классификация». 15. Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации». 16. Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 28 марта 2014 г. № 26 «Об утверждении Положения об основах использования государственными органами и организациями республиканской платформы, действующей на основе технологий облачных вычислений». 18. СТБ 34.101.2-2014 «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности». 19. СТБ 34.101.3-2014 «Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 3. Гарантийные требования безопасности».

×