Законодательство Российской Федерации предъявляет жесткие требования к безопасности данных, циркулирующих в государственных информационных системах. Нужно как минимум соответствовать приказу №17 ФСТЭК России. Рассказываем, как интегратор ИНКОМА, работающий с Центробанком РФ и Росатомом, выбирал А-ЦОД для нового клиента.
О компании
ИНКОМА более 30 лет работает на российском рынке системной интеграции, разработки информационных систем и информационной безопасности.
Компания проектирует инфраструктуру, систему защиты и проводит аттестацию. Зона ответственности интегратора не заканчивается размещением клиента в дата-центре. ИНКОМА также сопровождает сервис на всем пути развития, поэтому несет ответственность за доступность служб и сохранность данных на каждом этапе.
Накопленный опыт и собственная команда инженеров позволяет компании самостоятельно управлять средствами защиты, чтобы полностью отвечать за аттестованные информационные системы.
Задача
В поисках провайдера для заказчика специалисты ИНКОМА столкнулись с проблемой выбора поставщика IT-инфраструктуры. Компании требовалось в сжатые сроки развернуть информационно-телекоммуникационную инфраструктуру для дальнейшего развертывания на ее базе федеральной государственной информационной системы (К2). Кроме этого, в зону ответственности ИНКОМА входила дальнейшая аттестация объекта и поддержка системы защиты информации.
Часть предложений не подходили из-за отсутствия аттестации дата-центров по приказу №17 ФСТЭК России, другие — из-за отсутствия требуемого перечня средств защиты информации в аттестованных сегментах ЦОД или отказа провайдеров брать ответственность за безопасность данных.
Ключевая проблема заключалась в распределении зон ответственности. Для ИНКОМА это был первый подобный опыт создания ГИС с использованием IT-инфраструктуры, предоставляемой как IaaS. Ранее все работы с ГИС проходили с on-premise решениями. То есть, специалисты компании работали на стороне заказчика с его собственным оборудованием.
«Большинство предложений под вывеской «решение для аттестованных систем», «наш ЦОД имеет аттестат соответствия» не подразумевают ответственности провайдера в случае возникновения инцидентов. В то же время клиент лишен возможности управлять средствами защиты, которые используются на уровне инфраструктуры провайдера, что в свою очередь делает невыполнимой задачу по обеспечению безопасности. Только в Selectel смогли предоставить гибкую систему, подходящую нашему клиенту».
Сергей Лисовик, директор по информационной безопасности АО «ИНКОМА»
Решение
Аттестованный сегмент ЦОД в Selectel подходит для клиентов, которым важно сохранить управление и контроль за безопасностью своей инфраструктуры.
Решение закрывает главный запрос ИНКОМА при построении изолированной системы. В А-ЦОД предоставляются в аренду выделенные серверы произвольной конфигурации, которые собираются под клиента в течение пяти дней. На границе системы клиента устанавливается выделенный под клиента аппаратный межсетевой экран. Доступ к межсетевому экрану передается клиенту, и он управляет им самостоятельно. Таким образом, система клиента логически изолируется от других клиентов и сетей, это качественно выделяет Selectel на российском рынке среди других поставщиков услуг ЦОД.
В А-ЦОД клиенту могут быть предоставлены сертифицированные средства защиты по подписке, а также клиент может установить свои средства защиты. При этом полное администрирование средств защиты передается клиенту.
Так как в рамках услуги можно использовать только арендованное оборудование, то нет необходимости вкладывать значительные средства в закупку собственного. На первом этапе было собрано семь выделенных серверов от 10х2,2 ГГц до 16х2,4 ГГц и от 8х8 ГБ DDR4 RAM до 8х16 ГБ DDR4 RAM.
Арендное оборудование размещается в отдельных аттестованных стойках. В эту зону клиент не имеет физического доступа, а провайдер готовит список сотрудников, допущенных до стоек. В А-ЦОД выполняются все требования физической безопасности для самого высокого класса защищенности государственных информационных систем (К1).
Кроме этого, компания получила доступ к ряду сертифицированных средств защиты информации, которые предоставляются в А-ЦОД по подписке. Это позволило сократить время запуска системы, так как все предоставляемые Selectel средства защиты заранее протестированы на совместимость с предоставляемыми серверами. При аттестации ИНКОМА использовали документацию Аттестованного сегмента ЦОД, выписку из модели угроз и акты установки сертифицированных средств защиты.
Кроме этого, клиент получил возможность самостоятельно контролировать и управлять политиками безопасности, использовать привычную среду виртуализации.
Результаты
Selectel удалось подготовить решение в течение месяца с учетом большого количества государственных праздников в этот период и индивидуальной схемы подключения, которую необходимо было согласовать с двух сторон. В результате ИНКОМА получили IT-инфраструктуру из 7 серверов произвольной конфигурации, независимое ядро сети, а также ряд подсистем защиты информации в выделенной стойке в аттестованном сегменте А-ЦОД. Кроме этого, Selectel обеспечивает ИНКОМА доступ в интернет через нескольких провайдеров.
Далее интегратор запросил данные для аттестационных испытаний. К сегодняшнему дню компания добавила к своей IT-инфраструктуре еще три сервера с 16х32 ГБ DDR4 и частотой 10х2.2 ГГц.
Сейчас компания прошла аттестацию и оказывает услуги клиенту, используя IT-инфраструктуру Selectel.
Заключение
Размещение сервиса в аттестованном сегменте ЦОД решает проблему закупки и обслуживания оборудования, а также закрывает строгие требования безопасности. Таким образом, компания получает возможность сфокусироваться на стратегических бизнес-задачах.
Для работы с государственными информационными системами недостаточно соответствия 152-ФЗ. Такие проекты требуют более серьезного подхода к безопасности: проведение обязательной аттестации по приказу №17 ФСТЭК России, использование сертифицированных средств защиты. Поэтому размещение IT-инфраструктуры в А-ЦОД решает не только проблему железа, но также дает возможность использовать документацию провайдера для аттестационных испытаний, правильно и четко разграничвать зоны ответственности оператора ЦОД и оператора объекта защиты.
А-ЦОД идеально подходит бизнесу, когда нужно построить защищенную IT-инфраструктуру на мощностях провайдера, но управлять ей самостоятельно, используя свои компетенции.
Если вы находитесь в поисках гибкого решения, напишите по адресу sales@selectel.ru. Специалисты компании ответят на все вопросы.
