В начале 21 в. каждое ведомство внедряло ИТ на свое усмотрение. Естественно, большинство органов государственной власти проигнорировали технологические вызовы времени. «Как-то давно меня спросили: «Почему регулярно отмечают факты взлома сайта минобороны США, а сайт минобороны России ни разу не ломали?», – рассказывает заместитель генерального директора «Элвис-Плюс» Сергей Вихорев. – Ответ простой: на тот момент у Минобороны России просто не было сайта».

Конечно, были и исключения. Образцово-показательной с точки зрения построения ИТ-инфраструктуры оказалась Федеральная Налоговая Служба, которая сейчас отвечает за построение единых федеральных ЦОДов для всех финансовых ведомств России. Рассмотрим более подробно, как обеспечивается безопасность ФНС.

Согласно построенной модели угроз, главная опасность для информационных систем исходит изнутри организации, то есть от самих сотрудников ФНС, работающих с АИС «Налог». Соответственно, в качестве ключевых решений рассматривались системы DLP (защита от утечек) и SIEM (управление системой защиты и событиями ИБ). В качестве первого сейчас используется продукт InfoWatch, в качестве второго – HP ArcSight. Поскольку с АИС «Налог» работают более 120 тыс. сотрудников, которым требуется оперативный доступ к ней, защита настроена таким образом, что все служащие получают максимальные привилегии для работы с информационными системами, но в случае утечки виновник инцидента вычисляется с вероятностью 99%.

Помимо решений InfoWatch и ArcSight также используются продукты «Лаборатории Касперского» для защиты от вредоносного кода, а также программа Avanpost – для управления правами доступа и архитектурой открытых ключей. Отдельно стоить отметить, как организована защита мобильных рабочих мест: на ноутбук ставится средство защиты от вредоносного кода и предотвращения вторжений, VPN-агент, а сетевое взаимодействие с АИС «Налог» происходит по VPN-каналу.

Первый шаг к гособлаку – портал услуг

Успехи ФНС не могут не радовать, однако в целом проникновение ИТ и тем более средств защиты в госсектор оставляет желать лучшего, поэтому чиновники задумались над созданием единой облачной инфраструктуры для всех ведомств. К этому их также подталкивали экономические соображения (сокращение издержек за счет масштаба) и опыт других государств. Например, в США был запущен проект создания единой инфраструктуры ЦОДов для госведомств, так как выяснилось, что площадки, построенные отдельными учреждениями, используются неэффективно, то есть значительная часть инфраструктуры простаивает без работы. К 2015 г. было решено закрыть 60% государственных дата-центров. Чтобы избежать этих проблем, в России решили пойти по пути создания единых ЦОД до того, как министерства и ведомства обзаведутся разветвленной сетью собственных площадок, которую потом придется сокращать.

Первым успехом на пути создания единой инфраструктуры стал запуск портала госуслуг в декабре 2009 г., который был реализован на инфраструктуре государственного оператора связи «Ростелеком». Чуть позже эта же компания развернула так называемую национальную облачную платформу О7, через которую по модели SaaS реализуются типовые сервисы для муниципальных учреждений медицины, образования, ЖКХ. При этом в «Ростелекоме» предпочитают не раскрывать, каким образом реализована защита облака: «При выборе средств защиты и их конфигурации компания ориентировалась на решения, которые хорошо зарекомендовали себя на рынке, имеют высокую эксплуатационную надежность и сертификаты регуляторных органов, наличие которых очень важно для заказчиков», – прокомментировала представитель «Ростелекома» Ирина Жаброва.

Проект гособлака принес в казну 7 млн руб

Следующей вехой на пути к гособлаку стало совещание в Новосибирске в феврале 2012 г., где Владимир Путин поручил «подготовить предложения по созданию единой инженерной и телекоммуникационной инфраструктуры с целью ее безвозмездного использования органами государственной власти». В 2013 г. состоялось два аукциона на проектирование инфраструктуры гособлака. Право разработать проект телекоммуникационной составляющей досталось «Энвижн груп», причем желание получить контракт было столь велико, что компании согласилась доплатить государству 7,4 млн руб. Контракт на проектирование хранилища данных и вычислительных мощностей достался компании «Крок», которая также согласилась заплатить за это государству, однако гораздо меньшую сумму – 4 тыс.

Предполагалось, что все сервисы, предоставляемые через гособлако, будут разделены на три группы: базовые, типовые и специализированные. К первым относятся, например, служба единого каталога, электронная почта, IP-телефония, СУБД, ВКС; вторые включают в себя СЭД, бухгалтерское и кадровое ПО, BI, ERP. Специализированные сервисы должны были создаваться по отдельным запросам ведомств.

Государственные ИТ уйдут на аутсорсинг?

На 2014 г. было запланировано окончательное утверждение модели оказания услуг и выбор поставщиков, однако неожиданно чиновники Минкомсвязи поменяли подход. Проекты «Крок» и «Энвижн груп» положили в стол, а тендер на построение единой инфраструктуры гособлака так и не состоялся. Вместо этого в начале года на суд общественности был представлен законопроект, который регламентирует предоставление облачных услуг госструктурам со стороны внешних облачных провайдеров. Таким образом, в министерстве решили воспользоваться наработками, которые уже представлены на коммерческом рынке, и сэкономить бюджетные средства. При этом представители Минкомсвязи не комментируют, какова будет судьба проектов по гособлаку, подготовленных «Крок» и «Энвижн Груп».

Законопроект представляет собой длинный список поправок к действующему ФЗ-149 «Об информации, информационных технологиях и о защите информации». В документе выделено два типа облачных услуг, оказываемых властным структурам: предоставление в пользование типового программного обеспечения и информационных систем (иными словами, SaaS) и предоставление в аренду вычислительных мощностей (IaaS). Чтобы работать с госсектором, облачный провайдер должен отвечать требованиям по финансовой устойчивости и располагать двумя ЦОДами на территории РФ. Кроме того, необходимо получить две лицензии: на осуществление деятельности по технической защите конфиденциальной информации и предоставлению услуг связи (выдается ФСТЭК) и на осуществление деятельности по разработке, производству и распространению шифровальных средств (выдает ФСБ).

В июле 2014 г. в Москве состоялась третья всероссийская конференция «Облачные технологии в России», во время которой суть законопроекта разъяснил Иван Зимин, начальник отдела развития единого информационного пространства и правового обеспечения вопросов защиты информации правового департамента Минкомсвязи. По его словам, целью является создание пула из 2-5 крупных игроков, которые смогли бы оказывать облачные услуги государственным учреждениям. Это будут как государственные, так и частные компании, деятельность которых будет регулироваться единым органом, который должен быть назначен правительством РФ.

«У гособлака много поставщиков не будет, соответствовать критериям смогут две-пять компаний. Госсектор в первую очередь будет ориентироваться на безопасность, устойчивую инфраструктуру. Чем меньше компания, тем меньше она способна обеспечить ответственность. К чему приводит понижение требований, наглядно показывает пример аккредитации удостоверяющих центров. Чем выше требования, тем у поставщика больше желания обеспечить соответствующие условия. Мы не закрываем рынок, мы просто повышаем требования», – объяснил Иван Зимин.

«Восход» «Ростелекома»

Тем не менее, полностью отдавать ИТ-сервисы публичным компаниям чиновники не планируют. В законопроекте есть пункт, согласно которому работать с властными структурами сможет особый подрядчик, названный «гарантирующим поставщиком услуг облачных вычислений». Такой провайдер необходим на случай, если на конкурсе государственного ведомства отсутствует выбор. В качестве кандидатов на эту роль рассматриваются подконтрольные государству «Ростелеком» и НИИ «Восход», которые располагают собственной инфраструктурой и имеют опыт реализации облачных проектов. «Если в «Ростелекоме» и других организациях уже есть инфраструктура, если она модернизируется и дорабатывается – почему ее не использовать, в том числе для того, чтобы госорганы не создавали новые системы? Экономия бюджетных средств здесь играет не последнюю роль», – прокомментировал Иван Зимин.

Если в зоне ответственности «Ростелекома» находится портал госуслуг и национальная облачная система, то «Восход» занимался реализацией системы ГАС «Выборы», а сейчас разрабатывает концепцию и структуру национальной системы электронного документооборота (СЭД). В НИИ «Восход» также предпочитают не разглашать, как именно обеспечивается безопасность в облаках компании, ограничиваясь указанием класса средств защиты: «Применяемые решения и средства определяются требованиями к конкретной системе с учетом актуальных угроз безопасности информации. К типовым средствам относятся межсетевые экраны, средства защиты виртуализации, средства защиты каналов связи, средства обнаружения вторжений, средства защиты от несанкционированного доступа, средства аудита состояния защищенности», – рассказал Александр Котов, руководитель департамента информационной безопасности НИИ «Восход».

Ожидается, что законопроект поступит в Госдуму в ноябре 2014 г. Если он будет принят, то ответственность за безопасность государственных данных ляжет на плечи внешних провайдеров, но регулятор будет жестко регламентировать условия предоставления сервисов. Крупные облачные провайдеры в целом соответствуют требованиям, прописанным в законопроекте. Ключевым моментом будет то, как ответственность поставщика будет прописана в SLA – договоре о качестве услуг.

Нам не хватает правильного и грамотного SLA, уверен Сергей Вихорев: «Именно этот документ призван обеспечить доверие к провайдеру, без которого невозможно передать информацию сторонней организации. К сожалению, это еще непаханная целина, и здесь есть над чем работать юристам. Надо выработать требования ясные и понятные как провайдеру, так и потребителю. А может быть потребуется и внести в закон некоторые существенные условия такого договора».