FAQ
Личный кабинет
RU
BY
EN

Интервью журналу "Безопасность деловой информации"

В свежем номере журнала "Безопасность деловой информации" (№ 15, III квартал 2016 года) опубликована статья Вячеслава Аксёнова, архитектора ИБ-систем разработки и внедрения облачных решений компании ActiveCloud. В данном материале он рассказал об архитектуре G-cloud в облаках, рассмотрев в качестве примера опыт создания облачной информационной системы (ИС) Республики Беларусь.

Журнал "Безопасность деловой информации" выпускается ассоциацией Business Information Security (BISA) с 2012 года в печатном и цифровом виде. В издании публикуются самые свежие статьи о трендах, знаниях и личном опыте от ведущих специалистов в области защиты информационных активов. Потому эксперт компании ActiveCloud Вячеслав Аксёнов, который недавно выступил на конференции BIS Summit Minsk-2016 с докладом с докладом о безопасности облачных вычислений, был подключен к созданию нового номера журнала "Безопасность деловой информации".

Вячеслав написал статью «Архитектура G-cloud в облаках», в которой рассказал о развитии государственных облачных платформ, защите информации в облаке и особенностях создания республиканской облачной платформы. Мы приводим данный материал в небольшом сокращении, а полностью со статьей можно ознакомиться в цифровой версии журнала "Безопасность деловой информации".

Архитектура G-cloud в облаках


Автор: Вячеслав Аксёнов, архитектор ИБ-систем разработки и внедрения облачных решений компании ActiveCloud.

Применение технологий облачных вычислений в сфере госуслуг становится мировой тенденцией: их используют или планируют это сделать более 20 европейских стран и члены Евразийского экономического союза. В качестве примера рассмотрим опыт создания облачной информационной системы (ИС) Республики Беларусь и перехода госорганизаций на республиканскую платформу в контексте законодательства об информатизации и защите информации.
В мире опубликовано свыше 40 стандартов и рекомендаций по обеспечению безопасности облачных вычислений; более 10 находятся в разработке. В развитии данного направления участвуют ISO, ITU-T, CSA, ENISA, NIST, ISACA, SNIA, CSI и др. 

Для использования облачных вычислений в госсекторе необходимо:

• создание системы защиты информации облачной ИС и облачных услуг;
• распределение ответственности между участниками информационных отношений;
• подтверждение соответствия системы защиты информации требованиям законодательства об информатизации и защите информации.

Защита информации в облаке

Безопасность облачной ИС связана с ее архитектурой и атрибутами. В NIST SP 800-145 атрибуты облака описываются так:
• ключевые характеристики – самообслуживание по запросу (on-demand self-service), повсеместный доступ (broad network access), объединение облачных ресурсов в единый пул (resource pooling), оперативная реакция (rapid elasticity), измеримость (measured Service);
• сервисные модели – инфраструктура как услуга (infrastructure as a service, IaaS), платформа как услуга (platform as a service, PaaS), ПО как услуга (software as a service, SaaS);
• модель развертывания – общественное облако (public cloud), коллективное облако (community cloud), частное облако (private cloud), гибридное облако (hybrid cloud).

Облачная ИС имеет многоуровневую архитектуру (рис. 1).


В ней учитываются подходы, описанные в ISO/IEC 17789:2014 и NIST SP 500-292. Безопасность информации в облаке должна комплексно обеспечиваться на все уровнях архитектуры. Рассмотрим систему защиты информации облака в привязке к многоуровневой архитектуре (рис. 2).


Создание облачной ИС

Рекомендации по созданию государственной облачной ИС в привязке к PDCA-циклу содержатся в ENISA – Security Framework for Governmental Clouds. В Республике Беларусь облачная ИС должна создаваться с учетом стадий жизненного цикла автоматизированных систем, определенных ГОСТ 34.601-90, и требований законодательства к защите информации. Комплексный подход к проектированию, вводу в действие и эксплуатации облачных ИС, учитывающий рекомендации международных организаций, включает в себя:
проектирование (PLAN, этапы 1-4) – формирование требований, разработка технического задания, техпроекта и рабочей документации;
ввод в действие (DO, этапы 5-9) – разработка организационно-распорядительной документации, внедрение технических средств, ПО и средств защиты информации, опытная эксплуатация, приемочные испытания, аттестация (опционально) и ввод в действие;
сопровождение (CHECK, этапы 10-12) – сопровождение и техническая поддержка, регистрация, мониторинг и анализ событий, аудит;
модернизация (ACT, этапы 13-14) – управление изменениями, вывод из эксплуатации.
Данный подход применим к созданию государственных облачных ИС как в РБ, так и в РФ и Казахстане – из-за сходства законодательств этих стран. В рекомендациях ITU-X.1601 указаны следующие субъекты информационных отношений при использовании облака (рис. 3,1):


• потребитель (cloud service customer),
• партнер (cloud service partner),
• поставщик (cloud service provider),
• пользователь (cloud service user) облачной услуги.
При создании «гособлака» к ним может добавиться владелец облака (государство). При размещении ИС в облаке с использованием услуги «инфраструктура как сервис» список может увеличиться, как на рис. 3,2.


В ИБ-политике переносимой в облако ИС должны быть учтены все субъекты и распределение между ними ответственности за безопасность информации. В Беларуси система защиты информации ИС, размещаемой в облаке, должна пройти аттестацию в порядке, который установлен Оперативно-аналитическим центром при Президенте РБ. При этом в Законе РБ от 10 ноября 2008 г. № 455-З требование аттестации распространяется на все виды информации ограниченного распространения, а в Указе Президента РБ №196 утверждено Положение о технической и криптографической защите информации, в котором определены конкретные виды такой информации.

Республиканская платформа

В Беларуси о создании республиканской платформы (РП), действующей на основе технологий облачных вычислений, говорится в Указе Президента от 23 января 2014 г. № 46. РП – это программно-технический комплекс распределенной обработки данных, реализующий технологии облачных вычислений и обеспечивающий взаимодействие с внешней средой.

Белорусский республиканский центр обработки данных BeCloud

Его основные характеристики таковы:
размещение программно-технических средств, информационных ресурсов и ИС;
модель развертывания – гибридное облако (hybrid cloud);
архитектура – программно-аппаратный комплекс, основанный на технологиях виртуализации (VMware vSphere, CloudStack, MS Hyper-V) и автоматизации предоставления облачных услуг (ActivePlatform);
базовые услуги – ЦОД (Data Center as a Service, DCaaS), инфраструктура (Infrastructure as a Service, IaaS), ПО (Software as a Service, SaaS);
дополнительные услуги – перенос ИТ-систем в РП, перенос основной и резервной ИТ-инфраструктуры, данных и приложений в РП, защита информации;
потребители – госорганы и организации, чьи решения могут определять РБ либо административно-территориальные единицы, обладающие долями в их уставных фондах;
оператор – совместное ООО «Белорусские облачные технологии». В сферу его ответственности входят проектирование, ввод в действие и эксплуатация платформы, предоставление услуг облачных вычислений;
базовые требования к защите информации – доступность государственных ИС для пользователей; хранение информации и мониторинг работоспособности ИС; защита информации (с момента поступления на РП до передачи в ИС) от неправомерного доступа, уничтожения, модификации, копирования, распространения, блокирования правомерного доступа и др.
Переход госорганов и госорганизаций на РП должен состояться до 31 декабря 2018 г. Определены четыре этапа перехода:
подготовительный – на основе запросов оператора осуществляются сбор, обобщение и анализ информации об используемом ИКТ-оборудовании, текущих и планируемых потребностях государственных органов и организаций в ИКТ-оборудовании;
пилотный – пробный переход на республиканскую платформу государственных органов и организаций;
переход госорганов на РП в приоритетном порядке при соблюдении технической совместимости имеющегося ИКТ-оборудования с требованиями РП;
переход на РП госорганизаций, оформивших заявку на такой переход.

Проекты по созданию систем защиты информации, а тем более по переносу информационных систем в «облако», являются комплексными и сложными. При управлении такими проектами не обойтись без подхода, определенного в ГОСТ 34.601-90, определяющего стадии создания автоматизированных систем. В своей практике я использую различные самостоятельно подготовленные инструменты, которые мне помогают в реализации таких проектов.

Вячеслав Аксёнов выступает на BIS Summit Minsk-2016.

31 мая на BIS Summit Minsk-2016 был представлен один такой инструмент, позволяющий разложить проект создания информационной системы на мелкие кирпичики – задачи, и распределить ответственность за их выполнение. Инструмент был специально адаптирован под задачу переноса информационной системы на облачную платформу, решением которой я уже имел возможность заниматься и решить успешно, и позволяет выявить пробелы (зоны безответственности), на ранней стадии, еще до начала проекта. Ссылка для скачивания инструмента: http://itsec.by/responsibility-matrix/

Уточним, что даже в журнале «Безопасность деловой информации» был опубликован не полный вариант статьи Вячеслава Аксёнова «G-cloud: архитектура, защита информации и выполнение требование законодательства при переносе информационных систем в «облако»». Ознакомиться с полной версией работы можно по ссылке.




Способы оплаты

(счет-фактура за 1 минуту)

Политика приватности
Ваше сообщение успешно отправлено!
Выполнено

Спасибо, ваше сообщение принято.

Мы используем файлы cookie.

Для реализации основных функций сайта, а также для сбора данных о том, как посетители взаимодействуют с сайтом, мы используем cookies-файлы. Информация, содержащаяся в таких файлах, может касаться вас, ваших предпочтений или вашего устройства. Такая информация не идентифицирует вас прямо, однако может дать вам более персонализированный опыт работы в Интернете. Вы можете запретить использование некоторых типов файлов cookies.
Подробнее

Принять Настроить cookie
Ваши параметры конфиденциальности

На сайте activecloud.by мы используем различного рода cookie, включая технические cookie, которые нужны для корректной работы сайта. Вы можете изменить настройки файлов cookie в любое время. Обратите внимание, что блокировка некоторых типов файлов cookie может повлиять на вашу работу с сайтом activecloud.by.

Маркетинг Определяют предпочтения пользователей. Позволяют хранить историю посещений страниц сайта в целях повышения качества его функционирования, чтобы определить наиболее и наименее популярные страницы, помогают улучшить сайт для вас.
Поддержка Позволяют хранить историю переписки при общении в онлайн-чатах.
Технические Необходимы для нормальной работы сайта и не могут быть отключены. В данных файлах куки личная информация не хранится.

Мы свяжемся с вами в ближайшее время.

Или Вы можете самостоятельно обратиться
в отдел продаж:

+375 17 30822 77 или sales@activecloud.by .