Как ИНКОМА удалось получить преимущества IaaS и сохранить полное управление безопасностью

Законодательство Российской Федерации предъявляет жесткие требования к безопасности данных, циркулирующих в государственных информационных системах. Нужно как минимум соответствовать приказу №17 ФСТЭК России. Рассказываем, как интегратор ИНКОМА, работающий с Центробанком РФ и Росатомом, выбирал А-ЦОД для нового клиента. 

О компании

ИНКОМА более 30 лет работает на российском рынке системной интеграции, разработки информационных систем и информационной безопасности. 

Компания проектирует инфраструктуру, систему защиты и проводит аттестацию. Зона ответственности интегратора не заканчивается размещением клиента в дата-центре. ИНКОМА также сопровождает сервис на всем пути развития, поэтому несет ответственность за доступность служб и сохранность данных на каждом этапе. 

Накопленный опыт и собственная команда инженеров позволяет компании самостоятельно управлять средствами защиты, чтобы полностью отвечать за аттестованные информационные системы.

Задача

В поисках провайдера для заказчика специалисты ИНКОМА столкнулись с проблемой выбора поставщика IT-инфраструктуры. Компании требовалось в сжатые сроки развернуть информационно-телекоммуникационную инфраструктуру для дальнейшего развертывания на ее базе федеральной государственной информационной системы (К2). Кроме этого, в зону ответственности ИНКОМА входила дальнейшая аттестация объекта и поддержка системы защиты информации. 

Часть предложений не подходили из-за отсутствия аттестации дата-центров по приказу №17 ФСТЭК России, другие — из-за отсутствия требуемого перечня средств защиты информации в аттестованных сегментах ЦОД или отказа провайдеров брать ответственность за безопасность данных. 

Ключевая проблема заключалась в распределении зон ответственности. Для ИНКОМА это был первый подобный опыт создания ГИС с использованием IT-инфраструктуры, предоставляемой как IaaS. Ранее все работы с ГИС проходили с on-premise решениями. То есть, специалисты компании работали на стороне заказчика с его собственным оборудованием. 

«Большинство предложений под вывеской «решение для аттестованных систем», «наш ЦОД имеет аттестат соответствия» не подразумевают ответственности провайдера в случае возникновения инцидентов. В то же время клиент лишен возможности управлять средствами защиты, которые используются на уровне инфраструктуры провайдера, что в свою очередь делает невыполнимой задачу по обеспечению безопасности. Только в Selectel смогли предоставить гибкую систему, подходящую нашему клиенту».

Сергей Лисовик, директор по информационной безопасности АО «ИНКОМА»

Решение

Аттестованный сегмент ЦОД в Selectel подходит для клиентов, которым важно сохранить управление и контроль за безопасностью своей инфраструктуры. 

Решение закрывает главный запрос ИНКОМА при построении изолированной системы. В А-ЦОД предоставляются в аренду выделенные серверы произвольной конфигурации, которые собираются под клиента в течение пяти дней. На границе системы клиента устанавливается выделенный под клиента аппаратный межсетевой экран. Доступ к межсетевому экрану передается клиенту, и он управляет им самостоятельно. Таким образом, система клиента логически изолируется от других клиентов и сетей, это качественно выделяет Selectel на российском рынке среди других поставщиков услуг ЦОД.

В А-ЦОД клиенту могут быть предоставлены сертифицированные средства защиты по подписке, а также клиент может установить свои средства защиты. При этом полное администрирование средств защиты передается клиенту.

Так как в рамках услуги можно использовать только арендованное оборудование, то нет необходимости вкладывать значительные средства в закупку собственного. На первом этапе было собрано семь выделенных серверов от 10х2,2 ГГц до 16х2,4 ГГц и от 8х8 ГБ DDR4 RAM до 8х16 ГБ DDR4 RAM. 

Арендное оборудование размещается в отдельных аттестованных стойках. В эту зону клиент не имеет физического доступа, а провайдер готовит список сотрудников, допущенных до стоек. В А-ЦОД выполняются все требования физической безопасности для самого высокого класса защищенности государственных информационных систем (К1). 

Кроме этого, компания получила доступ к ряду сертифицированных средств защиты информации, которые предоставляются в А-ЦОД по подписке. Это позволило сократить время запуска системы, так как все предоставляемые Selectel средства защиты заранее протестированы на совместимость с предоставляемыми серверами. При аттестации ИНКОМА использовали документацию Аттестованного сегмента ЦОД, выписку из модели угроз и акты установки сертифицированных средств защиты.

Кроме этого, клиент получил возможность самостоятельно контролировать и управлять политиками безопасности, использовать привычную среду виртуализации.

Результаты

Selectel удалось подготовить решение в течение месяца с учетом большого количества государственных праздников в этот период и индивидуальной схемы подключения, которую необходимо было согласовать с двух сторон. В результате ИНКОМА получили IT-инфраструктуру из 7 серверов произвольной конфигурации, независимое ядро сети, а также ряд подсистем защиты информации в выделенной стойке в аттестованном сегменте А-ЦОД. Кроме этого, Selectel обеспечивает ИНКОМА доступ в интернет через нескольких провайдеров. 

Далее интегратор запросил данные для аттестационных испытаний. К сегодняшнему дню компания добавила к своей IT-инфраструктуре еще три сервера с 16х32 ГБ DDR4 и частотой 10х2.2 ГГц.

Сейчас компания прошла аттестацию и оказывает услуги клиенту, используя IT-инфраструктуру Selectel.

Заключение

Размещение сервиса в аттестованном сегменте ЦОД решает проблему закупки и обслуживания оборудования, а также закрывает строгие требования безопасности. Таким образом, компания получает возможность сфокусироваться на стратегических бизнес-задачах. 

Для работы с государственными информационными системами недостаточно соответствия 152-ФЗ. Такие проекты требуют более серьезного подхода к безопасности: проведение обязательной аттестации по приказу №17 ФСТЭК России, использование сертифицированных средств защиты. Поэтому размещение IT-инфраструктуры в А-ЦОД решает не только проблему железа, но также дает возможность использовать документацию провайдера для аттестационных испытаний, правильно и четко разграничвать зоны ответственности оператора ЦОД и оператора объекта защиты.

А-ЦОД идеально подходит бизнесу, когда нужно построить защищенную IT-инфраструктуру на мощностях провайдера, но управлять ей самостоятельно, используя свои компетенции.

Если вы находитесь в поисках гибкого решения, напишите по адресу sales@selectel.ru. Специалисты компании ответят на все вопросы.

Что еще почитать по теме

Михаил Фомин 17 марта 2023

Как сервис автоматизации email-маркетинга Mailganer вышел на 15 млн отправок в день

Рассказываем, как помогли сервису Mailganer оптимизировать расходы и подготовили IT-инфраструктуру к пиковым нагрузкам.
Михаил Фомин 17 марта 2023

Как работает аукцион выделенных серверов и зачем мы его запустили

Рассказываем про новый механизм аренды серверов по выгодной цене.

Результаты теста 80-ядерного ARM-процессора Ampere Altra и сравнение с AMD EPYC

Делимся бенчмарками GIGABYTE E252-P30 с 80-ядерным процессором от Ampere Altra.

Новое в блоге

Михаил Фомин 24 июня 2022

Docker Swarm VS Kubernetes — как бизнес выбирает оркестраторы

Рассказываем, для каких задач бизнесу больше подойдет Docker Swarm, а когда следует выбрать Kubernetes.
Михаил Фомин 24 июня 2022
T-Rex 20 марта 2023

Авторизация на базе ключей SSH

Рассматриваем процесс настройки SSH-авторизации по ключу и разбираем некоторые ошибки.
T-Rex 20 марта 2023

Проект NaaS: как мы запустили глобальный роутер Selectel

Рассказываем, как мы перешли c VLAN на VxLAN, писали собственную систему SDN и «допиливали» OpenStack Neutron.
T-Rex 17 марта 2023

Принципы работы протокола DHCP

DHCP — протокол автоматизации назначения IP-адреса клиенту. Он широко используется в современных сетях. В статье рассмотрим принципы работы, процесс DORA, основные опции и другие аспекты протокола.
T-Rex 17 марта 2023