Зачем бизнес переводит кибербез в облака
Число и уровень кибератак в России с каждым годом возрастают, а с ними усиливаются и требования регуляторов. О том, как компаниям в условиях постоянно изменяющегося ландшафта угроз, ухода многих крупных западных разработчиков, ранее закрывавших потребности бизнеса по обеспечению информационной безопасности, и практически полного импортозамещения в ИБ отрасли соответствовать новым реалиям, рассказывает Георгий Джабиев, директор по развитию бизнеса Т1 Cloud.
На что бизнес обращает внимание при выборе ИБ-инструментов?
В 2024 году спрос на надежные отечественные средства защиты ИТ-инфраструктуры и ИБ-услуги продолжает устойчиво расти. Этот интерес обусловлен рядом факторов:
- Увеличение числа кибератак и их сложности повышают репутационные и финансовые риски компаний. Это заставляет бизнес пересмотреть взгляды на обеспечение кибербезопасности, таким образом на первый план выходит защита чувствительных данных, в частности персональной или коммерческой информации, а также обеспечение безопасности объектов критической информационной инфраструктуры (КИИ).
- Необходимо оперативно осуществлять импортозамещение в условиях расширения требований законодательства и отраслевых стандартов в сфере ИБ. В связи с этим среди российских компаний возрастает спрос на open-source решения — ПО с открытым исходным кодом, применение которого увеличивает риски внедрения вредоносного программного обеспечения злоумышленниками. Поэтому защита сред разработки сегодня является одной из важных направлений в информационной безопасности.
- Появились новые регуляторные требования, нацеленные на повышение уровня информационной безопасности:
- Среди ключевых государственных инициатив, затрагивающих предприятия практически из всех отраслей, Указы президента №250 и № 166, которые ограничивают или полностью запрещают использование средств ИБ иностранной разработки с 2025 г. Под их действие попадают органы государственной власти, госкомпании и операторы объектов КИИ, а также стратегические предприятия — крупные компании, которые оказывают существенное влияние на экономику страны. За несоблюдение требований законодательства накладывается персональная ответственность на руководителей организаций по вопросам ИБ.
- Постепенно ужесточается ответственность за утечки ПДн в рамках 152-ФЗ «О персональных данных», и происходят изменения в порядке категорирования объектов КИИ в соответствии с требованиями 187-ФЗ «О безопасности критической информационной инфраструктуры».
- Усиливаются требования ФСТЭК России к средствам защиты информации (требования к средствам виртуализации, контейнеризации, межсетевым экранам нового поколения, СУБД) и появляются новые законодательные инициативы — например, законопроект № 404786-8 об ИТ-аутсорсинге в части применения облачных услуг финансовыми организациями.
В каких отраслях наиболее строгий подход к киберзащите?
В зависимости от размера и сферы деятельности компании ей нужно следовать множеству как законодательных, так и отраслевых требований, в том числе Президента, Правительства, ФСТЭК, Банка России, Роскомнадзора, Минцифры, Минздрава и др. Таким образом на одну организацию может распространяться множество законов и подзаконных актов от нескольких регуляторов.
Компании из сферы ретейла, финансовой отрасли и услуг должны отвечать за защиту персональных данных в рамках 152-ФЗ и соответствовать требованиям приказа № 21 ФСТЭК России, за соблюдением которых следит Роскомнадзор. Если деятельность бизнеса связана с онлайн-транзакциями, компаниям необходимо обеспечить соответствие стандартам безопасности индустрии платежных карт PCI DSS. Дополнительно в финансовой отрасли действует ГОСТ Р 5758О, направленный на защиту информационных систем и чувствительных финансовых данных. Его выполнение регулируется Банком России.
Данные законы и требования также актуальны и для организаций медицины и транспорта. При этом, если компании из какой-то вышеперечисленной отрасли являются субъектами КИИ, то дополнительно на них распространяются 187-ФЗ «О безопасности критической информационной инфраструктуры». Эти требования касаются и промышленных предприятий, которым принадлежат объекты КИИ и которые, в том числе, могут обрабатывать персональные данные. Для промышленных предприятий, кроме всего прочего, введены требования по обеспечению безопасности автоматизированных систем управления технологическим процессом (АСУ ТП), установленные приказом ФСТЭК России №31.
Может ли миграция в облако стать «универсальной таблеткой» для компаний субъектов КИИ?
Требования 187-ФЗ актуальны для разных отраслей, при этом многие компании — субъекты КИИ до сих пор испытывают сложности с реализацией положений закона о безопасности КИИ. Поэтому миграция в облако поможет снять значительную часть «головной боли» и стать «универсальной таблеткой» для организаций, попадающих под действие этого закона, но только в том случае, если сервис-провайдер обеспечивает зрелый подход к реализации ИБ — является субъектом КИИ и аттестован в соответствии с 187-ФЗ.
Интересно, что даже такие консервативные отрасли, как промышленность, уже не так скептично смотрят на облако, особенно безопасное. Во многом это стало возможно именно благодаря наличию у сервис-провайдеров аттестата соответствия 187-ФЗ. Облако Т1 Сloud имеет аттестат соответствия требованиям к объектам КИИ первой категории значимости, что дает возможность нашим клиентам размещать в нем практически любые критические информационные системы для компаний из всех отраслей и не беспокоиться о сохранности чувствительных данных и работы систем.
Клиент получает возможность развернуть объект КИИ в защищенном и аттестованном облаке провайдера и снимает с себя как минимум (в случае сервисов по модели IaaS) задачи по обеспечению физической безопасности и управления уязвимостями телеком, серверного оборудования и систем хранения данных, на которых оно функционирует. Также облачный провайдер несет ответственность за сетевую защиту на нижних уровнях модели OSI (Open System Interconnection) и на уровне среды виртуализации.
Можно ли отдать кибербезопасность на аутсорсинг?
На фоне ухода иностранных вендоров и усиления регуляторных требований у российских компаний возрастает интерес к аутсорсингу кибербезопасности с помощью облачных сервис-провайдеров. Этот подход позволяет обеспечить требуемый уровень информационной защищенности, решить вопрос кадров в сфере ИБ и перевести капитальные затраты в операционные.
Сервисная модель потребления вычислительных ресурсов закрывает проблемы дефицита оборудования и поиска мощностей для размещения систем, которые бы соответствовали всем регуляторным стандартам. Т1 Cloud, например, помогает клиентам обеспечить безопасность как в облаке с подключением сервисов по модели SecaaS, так и on-premise на стороне клиента и оказывает консультации по обеспечению защищенности сети.
Облачная инфраструктура сервис-провайдера, предоставляющего такие услуги, должна быть аттестована в соответствии с законодательными требованиями. Наше облако, на базе которого мы предоставляем инфраструктурные сервисы (IaaS, PaaS и большая часть сервисов SaaS), имеет многоуровневую систему защиты, отвечающую требованиям законодательства РФ, что подтверждено имеющимися аттестатами и сертификатами соответствия требованиям 152-ФЗ, ГОСТ 57580-1 и ФЗ 187-ФЗ по наивысшему уровню защиты, а также PCI DSS.
Какие ИБ-услуги из облака наиболее востребованы?
Как показывает практика Т1 Cloud, компании чаще всего обращаются за надежной облачной инфраструктурой, которая помогает обеспечить защиту собственных информационных систем и данных их клиентов, а также соответствие требованиям регуляторов в зависимости от специфики их деятельности.
Кроме этого, в условиях роста угроз, достаточно востребованными становятся сервисы по безопасности, доступные по моделям Security-as-a-Service и Managed Security Services. В частности, сервисы многофакторной аутентификации и по защите от DDoS-атак, а также решения для защиты веб-приложений и сайтов (Web Application Firewall) и конечных точек (Endpoint Security).
Разработчики ПО также часто обращаются за сервисами для безопасной разработки (Secure Development Platform, SDP).
Особую популярность приобретают и консалтинговые услуги по ИБ, в том числе в части КИИ — от категорирования объектов и разработки моделей угроз и технических заданий на подсистемы ИБ до их сопровождения на всех этапах жизненного цикла.
Чек-лист по выбору безопасного облака
К базовым факторам при выборе сервис-провайдера, обладающего значимой ИБ-квалификацией, относятся:
- Наличие у провайдера зрелой системы управления ИБ, что подтверждается, например, сертификатом ISO 27001.
- Гарантия доступности и стабильности работы облака, что обеспечивается SLA облачного провайдера и наличием сертификатов Tier для соответствующих ЦОД, на базе которых развернуто облако. Чем выше Tier, тем устойчивее функционирует облако, при этом оно, конечно, дороже.
- Соответствие законодательству, иначе деятельность провайдера может быть приостановлена в любой момент по решению суда. Убедиться в том, что российский провайдер выполняет все предписания закона можно, заглянув в реестры Роскомнадзора операторов персональных данных, хостинг-провайдеров и лицензиатов в сфере связи. Это актуально для любого провайдера, чья деятельность ведется на территории РФ, и если даже в одном из этих реестров провайдер отсутствует, то это тревожный знак для клиента.
- К тому же, в соответствии с законопроектом № 404786-8 для использования финансовыми организациями ИТ-аутсорсинга, облачным провайдерам потребуется наличие лицензии на осуществление деятельности по технической защите конфиденциальной информации.
В зависимости от состава услуг, данных и систем, погружаемых в облако, появляются дополнительные требования к сервис-провайдерам:
- Если провайдер оказывает услуги по ИБ: консалтинг, проектирование, Managed services, SecaaS и др., то он должен располагать лицензиями ФСТЭК России по технической защите информации и ФСБ России на криптографическую защиту информации. При этом важно не просто убедиться в наличии лицензии как таковой, но и в том, что в ней зафиксированы необходимые клиенту виды работ. Как правило, эта информация находится на сайте провайдера или доступна по запросу.
- В случае, если в облаке будут обрабатываться персональные данные, то его инфраструктура должна соответствовать требованиям 152-ФЗ и по уровню защиты быть не ниже, чем уровень защищенности соответствующих персональных данных.
- Если в облаке будут размещаться данные платежных карт третьих лиц, то целесообразно убедиться, что инфраструктура провайдера соответствует международному стандарту PCI DSS, и это подтверждено соответствующим сертификатом.
- При переносе в облако значимых объектов КИИ, его инфраструктура должна соответствовать требованиям 187-ФЗ по категории значимости не ниже, чем категория самих объектов. Важно убедиться, что в сертификате приведены все необходимые требования, а также указан требуемый уровень защищенности.
- Разместить в облаке информационные системы финансовых организаций можно только в том случае, если его инфраструктура соответствует стандарту ГОСТ 57680.1 по соответствующему уровню защиты информации. Подтверждением этого является заключение, выданное независимым аудитором. Ровно такой же подход действует и в отношении государственных информационных систем (ГИС). Однако, для ГИС подходит только аттестат соответствия, выданный лицензиатом ФСТЭК России по технической защите информации.