Больше материалов о том, как противостоять угрозам в сфере информационной безопасности и оградить свои системы от атак и взлома — в Security Center.
Кому и зачем нужна система электронных путевок
Государственная информационная система «Единая информационная система электронных путевок» (ГИС ЭП) предназначена для мониторинга рынка туристических услуг в России. Она обеспечивает безопасность туристов и прозрачное оказание услуг.
ГИС разрабатывалась несколько лет, а 15 ноября 2023 года стала обязательной для туроператоров, которые продают зарубежные поездки. Им необходимо передавать в систему сведения по полностью оплаченным турам с перелетом и проживанием более одной ночи.
С 1 сентября 2024 года обязательства распространяются и на остальных участников рынка, которые предоставляют услуги въездного и внутреннего туризма. 4 апреля 2024 года Министерство экономического развития совместно со ФСТЭК России утвердили поручение «Требования к защите информации автоматизированных рабочих мест и информационных (автоматизированных) систем внешних пользователей (туроператоров), подключаемых к государственной информационной системе «Электронная путевка».
Нормативный документ устанавливает требования к безопасности компьютерной системы туроператора, которая подключена к ГИС ЭП. Помимо прочего, речь идет о получении аттестата по требованиям ФСТЭК России, а также организации подключения, защищенного криптографией класса КС3. Подробнее о законодательных требованиях расскажем немного позднее.
Система объединяет информацию, которую предоставляют участники в рамках цифровых процессов. Со стороны государства ГИС ЭП — это возможность мониторинга туристических предложений, оформленных путевок, условий договоров и т. д. на соответствие законодательным требованиям. ГИС генерирует документ, который предоставляется клиентам туроператора. Это удобно как для туристов, так и для бизнеса.
Присоединяйтесь к совместному вебинару Selectel и АО «НТТ», лицензиата ФСТЭК России и разработчика ГИС ЭП. Объясним все процессы простыми словами и дадим пошаговый план действий.
Можно ли не подключаться к ГИС ЭП
Туроператоры, которые не подключатся к ГИС ЭП до 1 сентября 2024 года, будут удалены из реестра туроператоров. Ведение деятельности в области туризма станет невозможным.
Однако есть риски и для представителей рынка, подключенных к системе уже продолжительное время. К 1 ноября 2024 года они должны соответствовать новым требованиям к безопасности, иначе будут отключены от ГИС ЭП и тоже исключены из реестра туроператоров. Повторное подключение будет возможно только при соблюдении всех требований.
Можно ли разобраться своими силами
Законодательство
Во-первых, необходимо проанализировать требования Министерства экономического развития и ФСТЭК России от 4 апреля 2024 года (исх. №Д08и-10233). Это сложный нормативный акт, однако на нем регуляторика не заканчивается. Вам нужна будет помощь юристов и ИБ-специалистов. Поиск экспертов с нужной квалификацией отнимет много времени и денег.
Рассмотрим несколько ключевых документов, соответствие которым необходимо для построения безопасного и эффективного решения.
- ФЗ от 28.05.2022 № 148-ФЗ «О внесении изменений в Федеральный закон «Об основах туристской деятельности в Российской Федерации». Обязывает операторов загружать данные о туристических путешествиях в сервис «Электронная путевка».
- Постановление Правительства РФ от 10.10.2023 г. № 1664 «О внесении изменений в постановление Правительства Российской Федерации от 12 марта 2022 г. № 353». Устанавливает важные требования к срокам, с которых обязательно предоставлять информацию в ГИС ЭП.
- Приказ ФСТЭК России от 11.02.2013 № 17 и приказ ФСТЭК России от 18.02.2013 № 21. Аттестация по их требованиям обязательна для подключения к ГИС ЭП.
- Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСБ №378, а также требования сертифицированных ФСБ России средств криптографической защиты к формированию замкнутой программной среды и применению модуля доверенной загрузки для обеспечения класса КС3 для шифрования.
Режимы загрузки информации
ГИС ЭП поддерживает два режима передачи данных от туроператора.
1. Ручной ввод электронных путевок через сайт ГИС ЭП. В этом случае сотрудник туроператора вручную заносит сведения о реализации турпродукта.
2. Автоматизированный ввод электронных путевок в систему. Туроператор создает интеграционный модуль. Далее — отправляет сведения о реализации турпродукта, используя REST API в автоматическом режиме.
Сервер: арендовать или купить?
Вы разобрались с требованиями, которые нужно выполнить для информационной системы туроператора. Что дальше? Необходимо приступить к поиску услуг, сервисов и продуктов, которые им соответствуют. Как правило, выбор начинается с сервера, на котором работает информационная система. Рассмотрим несколько нюансов, которые возникнут на этом этапе.
Подключение к ГИС ЭП должно быть осуществлено с использованием криптографии класса КС3. Это означает, что помимо программных средств защиты необходимо применять аппаратные. Для их использования понадобится именно физический сервер, так что облачные ресурсы априори не подходят. Аппаратные вычислительные мощности можно арендовать как сервис (Infrastructure as a Service, IaaS) у провайдера, либо приобрести и развернуть своими силами.
Почему использовать сервер Selectel с аппаратно-программным модулем доверенной загрузки (АПМДЗ) проще, чем решить упомянутые задачи на собственной площадке (on-premise инфраструктуре) с самостоятельной закупкой сервера?
Во-первых, подобрать АПМДЗ для конкретной платформы — не самая простая задача. Есть множество нюансов в аппаратной платформе — например, допуски, которые определены стандартами шин PCI/PCI-E или особенностью разводки платы — и в самом АПМДЗ.
Клиенту (или его подрядчику) придется детально тестировать совместимость в каждом конкретном случае. При этом некоторую информацию можно получить у производителей АПМДЗ. Например, Код Безопасности на своем сайте делится таблицей совместимости ПАК «Соболь» с различными аппаратными платформами. Однако и здесь есть нюанс: большинство серверных платформ, указанных в этой таблице, уже не продаются или не поддерживаются.
Selectel решает вопросы, связанные с проверкой совместимости, за клиента. Мы организовали самостоятельное тестирование и проверку материнских плат предоставляемых выделенных серверов.
Рассмотрим другие ключевые различия и сложности, с которыми можно столкнуться при организации готового к подключению к ГИС ЭП сервера собственными силами.
Аттестация
В случае работы на собственной площадке вам нужно будет выполнять строгие меры физической безопасности. Только так можно аттестовать сервер по требованиям приказа ФСТЭК России № 17, о котором говорили выше. При использовании арендованного офиса или ЦОДа необходимо, чтобы подрядчик выполнял эти меры безопасности в своей зоне ответственности.
Модель IaaS предполагает, что выполнение мер безопасности, которые связаны с физическим доступом к оборудованию, берет на себя провайдер. Еще одно преимущество IaaS — гибкость: вам не нужно перемещать и заново аттестовывать аппаратную часть при переезде офиса. Серверы продолжат работать в подготовленном ЦОДе, который соответствует самым строгим требованиям физической безопасности.
Сертифицированный межсетевой экран
Межсетевой экран контролирует и фильтрует проходящий трафик в соответствии с настроенными правилами. Для прохождения аттестации клиенту потребуется аппаратный межсетевой экран (тип А).
При этом если вы решите развернуть и настроить сервер на собственной площадке, то для отказоустойчивости, скорее всего, потребуется купить два файрвола: основной и резервный. Это обеспечит высокий уровень доступности инфраструктуры на время замены вышедшего из строя оборудования.
В случае аренды ресурсов по модели IaaS вы приобретаете один файрвол с гарантией оперативной замены в случае сбоя.
Selectel отвечает за бесперебойное питание, оптимальный микроклимат и оперативное сервисное обслуживание серверов и межсетевых экранов. Если аппаратная составляющая вышла из строя, инженеры заменят ее в течение трех часов.
При этом экономия на запасном/резервном оборудовании (ЗИП) достигается благодаря масштабу. Провайдер формирует ЗИП для тысяч клиентов, что приводит к существенной выгоде для каждого из них.
Время
Если ваш сервер не соответствует законодательным требованиям и не совместим с аппаратными средствами защиты информации, придется заказывать новый. Ожидание аппаратной части может достигать 10 недель.
При этом зачастую клиенты находят малейшие нестыковки в конфигурации уже после получения сервера. В подобном случае придется повторно оформлять заказ и ждать доставку сервера в новой комплектации. Не стоит забывать и о времени, которое потратят штатные IT-специалисты на тестирование решения. Ожидание может быть долгим, т. к. они крайне редко сталкиваются с АПМДЗ и не обладают должным опытом.
Провайдер предоставит готовый сервер значительно быстрее. Ошибки и несостыковки в конфигурации будут сведены к минимуму благодаря большему опыту, а совместимость компонентов уже протестирована.
Selectel подготовит сервер с межсетевым экраном за 10 дней. А количество комплектующих на собственной сборочной линии закрывает потребности даже высокопроизводительных ИС крупнейших туроператоров. Практический пример — кейс Ostrovok.ru.
Софт, сертифицированный ФСТЭК России
Совместимость работы различных средств защиты информации с сервером и ОС — это сложный вопрос, для решения которого клиенту нужно будет привлечь квалифицированных IT-специалистов. Помимо прочего, у них должны быть компетенции для настройки и администрирования сертифицированных продуктов.
Провайдер предоставляет готовый программно-аппаратный комплекс, проверку которого уже произвели его IT-специалисты. Помимо прочего, провайдер уже знаком со множеством нюансов и сложностей, от которых стоит предостеречь клиента. В штате есть эксперты, которые умеют корректно настраивать и администрировать сертифицированные средства защиты. Если возникнут дополнительные вопросы по софту, то техническая поддержка разберется с ними самостоятельно или с участием вендора и предоставит решения.
Что предлагает Selectel
Как крупный поставщик IT-инфраструктуры и ИБ-услуг, мы подготовили решение для туроператоров. На нем можно развернуть информационную систему для быстрого подключения к ГИС ЭП.
В основе услуги находится надежная IT-инфраструктура Selectel, благодаря которой тысячи российских компаний развивают свой бизнес. Отрасль туризма — не исключение: среди крупных представителей с нами уже работают Ostrovok.ru и десятки других туроператоров.
Подробнее о том, как сервис онлайн-бронирования отелей Ostrovok.ru перевел инфраструктуру с облака Amazon Web Services на серверы Selectel — в обзоре.
Спойлер: издержки миграции окупились за месяц, а стоимость IT-инфраструктуры уменьшилась в два раза.
Рассмотрим, какие услуги и решения предоставляем клиенту в рамках предложения.
- Сервер, который совместим со всеми необходимыми средствами защиты информации. На него устанавливается информационная система туроператора.
- Аппаратная плата доверенной загрузки. Как говорили ранее, она нужна для выполнения требований ФСБ России при создании защищенного подключения (КС3).
- Средства защиты информации для ОС, антивирус, сервис анализа и поиска уязвимостей.
- Аппаратный межсетевой экран (тип А). Необходим для проведения аттестации (ГИС КЗ) и обеспечения сетевой безопасности.
- Разовая установка и настройка средств защиты информации, которые предоставляет Selectel. Вам не придется задействовать штатных IT-специалистов и искать экспертов с подходящими навыками для тестирования и установки всего набора средств защиты информации.
Однако часть несложных работ остается на клиенте. Сюда входят типовые задачи, выполнение которых проблематично делегировать на провайдера.
Клиенту понадобится
- Установить собственное ПО (ИС туроператора) на сервер.
- Приобрести средства криптографической защиты информации (СКЗИ) VipNet PKI Client.
- Купить электронную подпись на сертифицированном USB-токене и передать его в Selectel.
- Заключить отдельный типовой договор (для клиентов Selectel) с АО «НТТ» на аттестацию информационной системы туроператора, которая будет создана на базе выделенного сервера Selectel. В документе будет зафиксирована стоимость услуг по Аттестации, разработке организационных документов, настройке защищенного подключения и организацию подключения к ГИС ЭП.
Стоимость и срок выполнения договора снижены благодаря использованию типовых решений, а также опыта АО «НТТ» по созданию аттестованных информационных систем на базе инфраструктуры Selectel.
Этапы работ по подключению ИС туроператора к ГИС ЭП
Опишем процесс в формате шпаргалки. Ориентируйтесь на нее, если хотите в кратчайшие сроки подключиться к ГИС ЭП.
1. Оцените бизнес-потребность в автоматизированном подключении к ГИС ЭП. Чаще всего финансовая выгода возникает, если в месяц оформляются сотни турпродуктов. Для меньших масштабов может быть выгоднее ручной ввод информации.
2. Выясните, возможно ли технически подключить существующую ИС туроператора к ГИС ЭП. Например, такой ИС обладают Самотур, Мастер-Тур и другие. А для ИС собственной разработки потребуется создание API-модуля для обмена данными с API ГИС ЭП.
3. Выясните, можно ли перенести ИС на физический сервер с учетом требований безопасности. Так как нужна аттестация, то будет применяться дополнительный софт и оборудование, сертифицированное ФСТЭК России и ФСБ России. Здесь клиент может столкнуться с ограничениями, которые касаются ИТ. Например, тип и версии поддерживаемых ОС.
4. Зарегистрируйтесь в панели управления Selectel, согласование коммерческого предложения и заказ услуг через выделенного менеджера.
5. Оформите договор с компанией проводящей аттестацию (АО «НТТ»).
6. Приобретите СКЗИ и Электронную подпись, передайте USB-токен в Selectel.
7. Получите сервер с установленным набором средств защиты информации.
8. Установите собственное ПО (ИС туроператора)
9. Передайте доступ в АО «НТТ» для проведения аттестационных испытаний. Установка и настройка защищенного подключения к ГИС ЭП (АО «НТТ»).
10. Разработка организационной документации для туроператора, тестирование системы и выдача аттестата соответствия (АО «НТТ»).
11. Информационная система подключена к ГИС ЭП.
После передачи клиенту доступа к настроенной IT-инфраструктуре, Selectel обеспечивает работоспособность на физическом уровне. За работу ПО и администрирование СЗИ отвечает клиент.
При этом администрирование можно передать в Selectel. Поддержкой таких проектов занимается команда DevOps-инженеров.
Можем перенести всю клиентскую инфраструктуру так, что ответственным лицам не придется отвлекаться на решения дополнительных задач. Мы даже сняли об этом целое видео для наглядности.
Приглашаем на вебинар
Остались вопросы о подключении вашей системы к ГИС ЭП? Присоединяйтесь к совместному вебинару Selectel и АО «НТТ», лицензиата ФСТЭК России и разработчика ГИС «Электронная путевка». Объясним все процессы простыми словами и дадим пошаговый план действий.
Будет полезно менеджерам и ответственным за инфраструктуру в компаниях-туроператоров, ИБ-специалистам и аутсорсинговым компаниям, поддерживающим ИС.