Размещение КИИ в облаке: кому нужно и какие есть нюансы. Советы провайдера

Предпосылки и драйверы перехода госструктур в облако

Компания Cloud.ru разделяет заказчиков государственного сектора на три сегмента: ФОИВ/РОИВ, предприятия ОПК и госкорпорации. Они отличаются по своим основным задачам в области организации ИТ-инфраструктуры, работы с данными, применения информационных систем.

Задача федеральных и региональных органов исполнительной власти – разработка, внедрение и сопровождение систем для повышения эффективности государственного управления, а также электронных государственных сервисов для удобства граждан и бизнеса. Для этого им необходимо развивать и модернизировать ИТ-инфраструктуру в регионах (ЦОД и виртуальные ЦОД). Как правило, в таких учреждениях небольшой штат квалифицированных ИТ-специалистов, разработку информационных систем осуществляют подрядчики, все актуальные решения нужны оперативно и «под ключ».

Задача предприятий ОПК состоит в том, чтобы обеспечивать выполнение гособоронзаказа, в том числе, задействуя преимущества ИТ. Зачастую у них есть собственные ИТ-подразделения, они достаточно хорошо понимают свои потребности в этой сфере. Среди их задач, например, – развитие автономных решений для беспилотных систем и роботизированных комплексов.

Госкорпорации как наиболее зрелые организации в части ИТ имеют большие ИТ-подразделения занимаются разработкой индустриального импортонезависимого ПО, реализацией особо значимых проектов в отраслях промышленности на базе индустриальных центров компетенций (ИЦК). У них уже возникает потребность во внедрении технологий анализа больших данных и искусственного интеллекта, в применении дополнительных PaaS-инструментов, таких, как Kubernetes, S3-хранилища.

«Если подытожить, особенности и основные задачи у этих сегментов разные, но каждому необходимо соблюдение законодательства и высокая скорость масштабирования под решение этих задач», – замечает архитектор клиентских решений компании Cloud.ru Андрей Самарин.

В 2022 году компания Cloud.ru провела исследование облачной зрелости своих заказчиков. Выяснилось, что на тот момент только 3% организаций размещали инфраструктуру в облаке. Но при этом многие указывали на весомые причины к переходу в облако.

Первая причина состоит в том, что драматически возрастает уровень нагрузки информационных систем на ИТ-инфраструктуру. Из-за этого компаниям требуется быстрое масштабирование вычислительных ресурсов, а соответственно, и расширение парка оборудования. Также респонденты отметили как важные такие факторы, как минимизацию капитальных затрат за счет их перевода в OPEX, необходимость наращивания надежности и производительности систем, приведение ИТ-инфраструктуры в соответствие с регуляторными требованиями. Все эти вызовы дополняются дефицитом квалифицированных сотрудников на рынке труда.

«Государство в настоящий момент является основным драйвером перехода в облако. Сейчас в стране набирает ход национальный проект «Экономика данных», который пришел на смену проекту «Цифровая экономика». Согласно этому национальному проекту, государство хочет создать цифровые платформы для всех ключевых индустрий. Это означает, что огромный объем критических данных будет находиться в облаке. Из-за этого государство также является основным драйвером в части создания нормативной документации, чтобы регламентировать то, как необходимо хранить критическую инфраструктуру в облаке. Конечно, мы должны этому соответствовать», – подчеркивает Андрей Самарин.

Среди основных нормативных актов, которые организациям госсектора необходимо учитывать при организации облачной инфраструктуры, основные – это ФЗ №187 «О безопасности критической информационной инфраструктуры Российской Федерации», Указы Президента РФ №№166 и 250, Приказы ФСТЭК России №№17, 21, 239, Постановления Правительства РФ №2360 и 1912. В частности, согласно Постановлению Правительства РФ №1912, с 1 сентября 2024 года запрещено использование недоверенных ПАК. Переход на применение доверенных ПАК в ЗООКИИ (значимых объектах КИИ) должен включать в себя разработку плана мероприятий и определение оценочных, прогнозных и фактических долей доверенных ПАК в общем количестве ПАК в ИТ-инфраструктуре таких объектов. 

Решение задачи по защите информационных систем в облаке

Эксперты обращают внимание, что обеспечение защиты облачной инфраструктуры для размещения критических систем – комплексный, многослойный проект.

В первую очередь, организация должна убедиться в том, что ЦОД, предназначенный для размещения ее информационных систем в виртуальной среде, защищен по всем требованиям. В частности, ЦОДы, в которых развертывается система виртуализации Cloud.ru, соответствуют уровню Tier-3. В этих ЦОДах выстроена инфраструктура провайдера, которая аттестована по требованиям к размещению ЗООКИИ. Высокий уровень безопасности относится как к инженерной инфраструктуре (системы видеонаблюдения, СКУД, электропитание, охлаждение, вентиляция и т. д.), так и к ПО (СКЗИ, межсетевые экраны, системы анти-DDoS). Также под ИС заказчика предоставляется выделенный сервер.

Поверх этой инфраструктуры выстраиваются информационные системы заказчика, которые тоже важно аттестовать. «Наличие аттестата у инфраструктуры не отменяет необходимости получения аттестата на вашу информационную систему. Когда мы планируем переход вашей информационной системы и вашей критической информационной инфраструктуры в облако, мы, во-первых, категорируем систему, категорируем те данные, которые есть, разрабатываем модель угроз и дальше, согласно этой модели угроз, необходимо защищать инфраструктуру и информационную систему», – поясняет Андрей Самарин.

Итак, облачный провайдер отвечает за надежную защиту инфраструктуры, а владельцы информационной системы, размещенной в облаке, – за свою часть защиты, например, за безопасность клиентских сегментов сети. Подробно меры по обеспечению безопасности прописаны в Приказе ФСТЭК России №17. Требования к защите зависят от модели угроз и категории данных, которые хранятся в ИС. Впрочем, практически все соответствующие инструменты защиты так же может предоставить облачный провайдер.

«Мы готовы отталкиваться от тех задач, которые вы ставите, чтобы защитить вашу информационную систему. Помимо аттестованной инфраструктуры, то есть гарантии, что мы имеем право размещать ЗООКИИ первой категории и в целом соответствуем всем нормативным требованиям, мы готовы обеспечить необходимые вам дополнительные средства защиты информации, в том числе у нас в портфеле есть решения, предоставляемые по модели SecaaS, безопасность как услуга», – говорит Андрей Самарин.