Помимо ИСПДН это правило касается также и государственных информационных систем (ГИС), которые создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между ними. К ним относятся информационные системы различных министерств, а также государственных унитарных предприятий.
Требования к защите персональных данных в обычных и государственных информационных системах существенно отличаются, и по отношению к последним они гораздо жестче. Это значит, что и уровень защиты инфраструктуры IaaS-провайдера, размещающего у себя ГИС, должен быть выше, чем в случае с ИСПДН.
В данной статье мы рассмотрим особенности размещения ГИС в облаке, а также познакомимся с требованиями безопасности, которым должен соответствовать IaaS-провайдер для работы с системами такого класса.
Уровни и классы защиты
Каждая ГИС строится в соответствии c одним из трех классов защиты (К). Самым надежным и, следовательно, самым сложным в реализации является первый класс – К1.
Чтобы IaaS-провайдер мог разместить ГИС у себя в облаке, его площадка должна соответствовать такому же классу защиты, как и размещаемая система.
Данная классификация простроена на совокупности двух ключевых параметров: уровня значимости информации и масштаба информационной системы. Чтобы лучше понять, как все это устроено, давайте разберем их подробнее.
1. Значимость информации
Первым параметром оценки класса защищенности ГИС является уровень значимости (УЗ) информации, которая хранится и обрабатывается в системе. Этот уровень определяется степенью возможного ущерба для владельца информации и/или оператора вследствие нарушения конфиденциальности, целостности или доступности данных. Для каждого из этих нарушений существует три степени вероятного ущерба:
- высокая – если в результате нарушения оператор или обладатель информации не может выполнять возложенные на него функции;
- средняя – если в результате нарушения оператор или обладатель информации не может выполнять хотя бы одну из возложенных на него функций;
- низкая – если в результате нарушения оператор или обладатель информации может выполнять возложенные на него функции с недостаточной эффективностью.
Ценность (уровень значимости) информации рассчитывается по следующей формуле: УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)]. Если хотя бы для одного нарушения определена высокая или средняя степень ущерба, то значение УЗ будет равно первому или второму уровню соответственно. Если для всех типов нарушения степень ущерба определена как низкая, то УЗ будет соответствовать третьему уровню.
2. Масштаб ГИС
Вторым параметром определения класса защиты ГИС является масштаб информационной системы. Он зависит от области, на которой система функционирует, а также от наличия сегментов в других областях или организациях. Федеральный – если система функционирует на территории РФ, в пределах федерального округа и имеет сегменты в субъектах РФ, муниципальных образованиях и (или) организациях. Региональный – если система функционирует на территории субъекта РФ и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях. Объектовый – если система функционирует на объектах одного федерального органа государственной власти и не имеет сегментов в территориальных органах. Определить, какая из систем соответствует тому или иному классу защиты, можно по приведенной ниже таблице:
| Уровень значимости информации | Масштаб информационной системы | ||
| Федеральный | Региональный | Объектовый | |
| УЗ 1 | К1 | К1 | К1 |
| УЗ 2 | К1 | К2 | К2 |
| УЗ 3 | К2 | К3 | К3 |
Классы защиты ГИС определяются в соответствии с таблицей, представленной в приказе ФСТЭК (Федеральная служба по техническому и экспортному контролю) № 17 от 11 февраля 2013 года. Она содержит 13 разделов, таких, например, как «защита среды виртуализации» и «антивирусная защита», и состоит более чем из ста пунктов. Для того чтобы IaaS-провайдер мог разместить ГИС у себя в облаке, его площадка должна соответствовать такому же классу защиты, как и у размещаемой системы. То есть для работы с государственной информационной системой федерального масштаба с первым уровнем значимости информации инфраструктура облачного провайдера должна соответствовать классу защищенности К1.
Закон есть закон
Требования безопасности, предъявляемые к информационным системам, описаны в приказах ФСТЭК. Для ГИС – это приказ № 17, для ИСПДН – приказ № 21. Все они выполняют требования ФЗ-152 «О защите персональных данных». Данные приказы в первую очередь касаются операторов, то есть организаций и государственных органов, которые собирают и обрабатывают персональные данные. Размещая свои информационные системы в облаке, они перекладывают выполнение большей части функций безопасности на облачного провайдера, в обязательном порядке уведомляя об этом владельцев данных.
Требования к облачному провайдеру
Чтобы работать с ГИС, облачный провайдер не просто должен соответствовать классу безопасности размещаемых систем, но и подтвердить это прохождением аттестации. Аттестация включает в себя проверку наличия комплекса мер и процессов в соответствии с требованиями ФСТЭК. Основными такими мерами являются: – Наличие СЗИ (средств защиты информации) на программном уровне, а также на уровне виртуализации. – Наличие криптошлюза, осуществляющего шифрование трафика. – Ограничение физического доступа к аппаратным мощностям. – Наличие системы регистрации событий. – Наличие лицензии ФСТЭК на деятельность по технической защите информации (название лицензии на сайте). Помимо основных, существует целый ряд второстепенных параметров и процессов, соблюдение каждого из которых является обязательным для прохождения аттестации. Стоит дополнительно отметить, что при работе с ГИС оценка соответствия IaaS-провайдера требованиям безопасности происходит до того, как конкретная система будет развернута в облаке.
Заключение
Большинство особенностей размещения ГИС в облаке заключается в повышенных требованиях к сервис-провайдеру по сравнению с размещением ИСПДН. В частности, к таким требованиям относится обязательное наличие СЗИ на уровне виртуализации. Также поставщик услуги должен иметь аттестат, подтверждающий, что его информационная система соответствует классу безопасности не ниже, чем у размещаемой ГИС. В качестве примера такого поставщика можно привести облачного провайдера «ИТ-ГРАД», колторый получил аттестацию соответствия классу информационной защищенности К1. Теперь в рамках услуги «Облако ФЗ-152» ИТ-ГРАД наравне с ИСПДН также предоставляет своим клиентам возможность размещать ГИС любого класса.
