Как ИНКОМА удалось получить преимущества IaaS и сохранить полное управление безопасностью

Законодательство Российской Федерации предъявляет жесткие требования к безопасности данных, циркулирующих в государственных информационных системах. Нужно как минимум соответствовать приказу №17 ФСТЭК России. Рассказываем, как интегратор ИНКОМА, работающий с Центробанком РФ и Росатомом, выбирал А-ЦОД для нового клиента. 

О компании

ИНКОМА более 30 лет работает на российском рынке системной интеграции, разработки информационных систем и информационной безопасности. 

Компания проектирует инфраструктуру, систему защиты и проводит аттестацию. Зона ответственности интегратора не заканчивается размещением клиента в дата-центре. ИНКОМА также сопровождает сервис на всем пути развития, поэтому несет ответственность за доступность служб и сохранность данных на каждом этапе. 

Накопленный опыт и собственная команда инженеров позволяет компании самостоятельно управлять средствами защиты, чтобы полностью отвечать за аттестованные информационные системы.

Задача

В поисках провайдера для заказчика специалисты ИНКОМА столкнулись с проблемой выбора поставщика IT-инфраструктуры. Компании требовалось в сжатые сроки развернуть информационно-телекоммуникационную инфраструктуру для дальнейшего развертывания на ее базе федеральной государственной информационной системы (К2). Кроме этого, в зону ответственности ИНКОМА входила дальнейшая аттестация объекта и поддержка системы защиты информации. 

Часть предложений не подходили из-за отсутствия аттестации дата-центров по приказу №17 ФСТЭК России, другие — из-за отсутствия требуемого перечня средств защиты информации в аттестованных сегментах ЦОД или отказа провайдеров брать ответственность за безопасность данных. 

Ключевая проблема заключалась в распределении зон ответственности. Для ИНКОМА это был первый подобный опыт создания ГИС с использованием IT-инфраструктуры, предоставляемой как IaaS. Ранее все работы с ГИС проходили с on-premise решениями. То есть, специалисты компании работали на стороне заказчика с его собственным оборудованием. 

«Большинство предложений под вывеской «решение для аттестованных систем», «наш ЦОД имеет аттестат соответствия» не подразумевают ответственности провайдера в случае возникновения инцидентов. В то же время клиент лишен возможности управлять средствами защиты, которые используются на уровне инфраструктуры провайдера, что в свою очередь делает невыполнимой задачу по обеспечению безопасности. Только в Selectel смогли предоставить гибкую систему, подходящую нашему клиенту».

Сергей Лисовик, директор по информационной безопасности АО «ИНКОМА»

Решение

Аттестованный сегмент ЦОД в Selectel подходит для клиентов, которым важно сохранить управление и контроль за безопасностью своей инфраструктуры. 

Решение закрывает главный запрос ИНКОМА при построении изолированной системы. В А-ЦОД предоставляются в аренду выделенные серверы произвольной конфигурации, которые собираются под клиента в течение пяти дней. На границе системы клиента устанавливается выделенный под клиента аппаратный межсетевой экран. Доступ к межсетевому экрану передается клиенту, и он управляет им самостоятельно. Таким образом, система клиента логически изолируется от других клиентов и сетей, это качественно выделяет Selectel на российском рынке среди других поставщиков услуг ЦОД.

В А-ЦОД клиенту могут быть предоставлены сертифицированные средства защиты по подписке, а также клиент может установить свои средства защиты. При этом полное администрирование средств защиты передается клиенту.

Так как в рамках услуги можно использовать только арендованное оборудование, то нет необходимости вкладывать значительные средства в закупку собственного. На первом этапе было собрано семь выделенных серверов от 10х2,2 ГГц до 16х2,4 ГГц и от 8х8 ГБ DDR4 RAM до 8х16 ГБ DDR4 RAM. 

Арендное оборудование размещается в отдельных аттестованных стойках. В эту зону клиент не имеет физического доступа, а провайдер готовит список сотрудников, допущенных до стоек. В А-ЦОД выполняются все требования физической безопасности для самого высокого класса защищенности государственных информационных систем (К1). 

Кроме этого, компания получила доступ к ряду сертифицированных средств защиты информации, которые предоставляются в А-ЦОД по подписке. Это позволило сократить время запуска системы, так как все предоставляемые Selectel средства защиты заранее протестированы на совместимость с предоставляемыми серверами. При аттестации ИНКОМА использовали документацию Аттестованного сегмента ЦОД, выписку из модели угроз и акты установки сертифицированных средств защиты.

Кроме этого, клиент получил возможность самостоятельно контролировать и управлять политиками безопасности, использовать привычную среду виртуализации.

Результаты

Selectel удалось подготовить решение в течение месяца с учетом большого количества государственных праздников в этот период и индивидуальной схемы подключения, которую необходимо было согласовать с двух сторон. В результате ИНКОМА получили IT-инфраструктуру из 7 серверов произвольной конфигурации, независимое ядро сети, а также ряд подсистем защиты информации в выделенной стойке в аттестованном сегменте А-ЦОД. Кроме этого, Selectel обеспечивает ИНКОМА доступ в интернет через нескольких провайдеров. 

В середине января интегратор запросил данные для аттестационных испытаний. К сегодняшнему дню компания добавила к своей IT-инфраструктуре еще три сервера с 16х32 ГБ DDR4 и частотой 10х2.2 ГГц.

Сейчас компания прошла аттестацию и оказывает услуги клиенту, используя IT-инфраструктуру Selectel.

Заключение

Размещение сервиса в аттестованном сегменте ЦОД решает проблему закупки и обслуживания оборудования, а также закрывает строгие требования безопасности. Таким образом, компания получает возможность сфокусироваться на стратегических бизнес-задачах. 

Для работы с государственными информационными системами недостаточно соответствия 152-ФЗ. Такие проекты требуют более серьезного подхода к безопасности: проведение обязательной аттестации по приказу №17 ФСТЭК России, использование сертифицированных средств защиты. Поэтому размещение IT-инфраструктуры в А-ЦОД решает не только проблему железа, но также дает возможность использовать документацию провайдера для аттестационных испытаний, правильно и четко разграничвать зоны ответственности оператора ЦОД и оператора объекта защиты.

А-ЦОД идеально подходит бизнесу, когда нужно построить защищенную IT-инфраструктуру на мощностях провайдера, но управлять ей самостоятельно, используя свои компетенции.

Если вы находитесь в поисках гибкого решения, напишите по адресу sales@selectel.ru. Специалисты компании ответят на все вопросы.

Что еще почитать по теме

Татьяна Дудо 17 ноября 2022

Как использовать макросы в Confluence, чтобы систематизировать и оформить техническую документацию?

Частая проблема в работе с документацией заключается в том, что команды оформляют и хранят данные как хотят. В тексте рассказываем, как навести порядок и использовать 7 полезных макросов.
Татьяна Дудо 17 ноября 2022

Как адаптировать экспертный контент для новичков? Приемы и примеры из нашей практики

Как объяснить материал, в котором много профессионализмов и абстракций, а еще сделать этот процесс интересным, рассказывает методист Selectel.
Данил Хоймов 31 октября 2022

Диагностика и замена дисков в дата-центре: бот для SMART-теста, «черный ящик» для утилизации и лайфхаки

В статье описали процесс диагностики и замены жестких дисков, а также поделились советами, как ускорить решения проблем с накопителями.
Данил Хоймов 31 октября 2022

Новое в блоге

Михаил Фомин 24 июня 2022

Docker Swarm VS Kubernetes — как бизнес выбирает оркестраторы

Рассказываем, для каких задач бизнесу больше подойдет Docker Swarm, а когда следует выбрать Kubernetes.
Михаил Фомин 24 июня 2022
Андрей Давид 28 ноября 2022

Как начать работать с крупным бизнесом? Советы разработчикам SaaS

Рассказываем, как собрать SaaS-решение, которое несет понятную ценность для бизнеса, и найти ориентиры для его улучшения.
Андрей Давид 28 ноября 2022
T-Rex 23 ноября 2022

Как работает СУБД Redis

Рассказываем, что такое Redis: рассматриваем его применение и преимущества, поддерживаемые типы данных.
T-Rex 23 ноября 2022

Полезные ресурсы для погружения в Go

Попросили коллег порекомендовать ресурсы для изучения Go и собрали подборку. Пригодится и начинающим, и опытным специалистам.