Спецпроекты

oбзор

Обзор: ИКТ в госсекторе 2014

Над госсектором нависла угроза облаков

Над госсектором нависла угроза облаков

Облачные технологии предъявляют новые вызовы к облачной инфраструктуре. Хотя эти угрозы нашли отражение в нормативных документах, чиновники часто формально подходят к реализации защиты. Возможно, ситуацию поможет переломить помощь провайдеров публичных облачных услуг, которые накопили экспертизу по облачной безопасности.

Одна из новых угроз ИБ связана с распространением облачных систем. В случае, если речь идет об использовании частного облака, требуется внедрение средств защиты для виртуальной среды. Например, применение обычных антивирусов в этом случае нецелесообразно, так как придется устанавливать программу на каждую виртуальную машину, что приведет к резкому падению производительности системы. Необходимо вынести нагрузку, создаваемую ядром антивирусной системы, на специальную, выделенную виртуальную машину и избавить все остальные от необходимости расходовать ресурсы на поддержку процессов безопасности.

С технической точки зрения этот вопрос решается просто – на рынке есть множество решений, разработанных для защиты виртуальных сред. Но технологии развиваются столь быстро, что заказчики не успевают вовремя адаптироваться к новым угрозам. «Компетенции не хватает не только госсектору, но и остальным участникам этого рынка. Компании имеют некоторое представление о том, какие меры защиты нужно принимать, но о готовности крупных инфраструктур обнаруживать инциденты и реагировать на них говорить не приходится. Эта общая проблема, свойственная и российскому, и зарубежному рынку облачных технологий», – комментирует заместитель технического директора Positive Technologies Дмитрий Кузнецов.

Очень часто во властных ведомствах подходят с формальной точки зрения к выполнению требований ИБ. «Давайте откроем любой интернет-форум, на котором обсуждаются вопросы информационной безопасности, и посмотрим, какие темы на нем затрагиваются, – предлагает Дмитрий Кузнецов. – Более 90% вопросов звучат примерно так: «Поделитесь «рыбой» политики ИБ – руководство поручило написать бумагу, а я не знаю, как она пишется», «Как проходит проверка ФСТЭК/ФСБ/»Роскомнадзора»/»Банка России» и какие бумаги нужно готовить для проверяющих», «Как получить лицензию ФСЬТЭК/ФСБ».

Внедрение новейших средств защиты также сдерживает особенность финансирования госструктур, считает заместитель генерального директора компании «Элвис Плюс» Сергей Вихорев: «Средства несанкционированного получения информации развиваются бурно, средства защиты стараются не отставать и парировать возникающие угрозы, а вот бюджеты госструктур формируются в октябре-ноябре на год вперед и это сдерживает внедрение новейших средств и методов защиты».

Конечно, стоит отметить, что в некоторых ведомствах уровень ИБ обеспечивается на должном уровне. «В нашей компании госзаказ занимает около 40% оборота. Честно скажу, что я не видел, чтобы госструктуры подходили к решению вопросов безопасности информации чисто формально. Наоборот, иногда приходится сдерживать пыл некоторых рьяных чиновников, указывая на нецелесообразность введения таких жестких требований», – отмечает Сергей Вихорев.

Проблема заключается в том, что большинство властных организаций не обращается к специалистам по ИБ вовсе, поэтому оценить «среднюю температуру по больнице» сложно. Есть общее ощущение, что ситуация улучшается, но пока мерам ИБ уделяется еще недостаточное внимание.

Десять требований к государственным облакам

Поскольку для госсектора характерен бюрократизм и формальное выполнение требований, следует обратиться к законодательству, регламентирующему обеспечение ИБ. Ключевой документ в этой области – приказ №17, в котором указано 13 групп мер по обеспечению защиты. Один из этих «блоков» посвящен защите виртуализованной среды, и предусматривает внедрение антивирусной защиты, управление потоками информации внутри виртуальной инфраструктуры и по ее периметру, разбиение виртуализированного пространства на сегменты для работы отдельных пользователей, внедрение средств аутентификации и регистрации событий безопасности и т.д. В общей сложности насчитывается десять требований.

Меры защиты Класс защищенности
1 2 3 4
1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации + + + +
2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин + + + +
3 Регистрация событий безопасности в виртуальной инфраструктуре + + +
4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры + +
5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией
6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных + +
7 Контроль целостности виртуальной инфраструктуры и ее конфигураций + +
8 Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры + +
9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре + + +

Источник: ФСТЭК, 2013


Следует отметить, что перечень мер может быть сокращен в зависимости от класса защищенности, который будет выбран для той или иной государственной информационной системы (ГИС). Это, в свою очередь, зависит от модели угроз, которую разработает само учреждение. Кроме того, в документах не прописаны, какие именно инструменты ИБ должны быть внедрены для выполнения мер приказа №17. Необходимые категории средств защиты более подробно прописаны в других нормативных актах, но на практике решение о соответствии защиты выбранному классу защищенности и модели угроз будут принимать контролирующие органы. Пока непонятно, будут ли эти проверки ограничиваться проверкой документации или будут проходить «боевые» испытания систем ИБ, например, с помощью пентестов.

Опасные соседи в публичных облаках

Отдельно стоит рассмотреть ситуацию, когда учреждение пользуется не внутренними облаками, а услугами провайдера публичных услуг. В этом случае арендованные виртуальные машины одного заказчика соседствуют с ВМ других клиентов на одном и том же сервере. Даже если сама компания обеспечивает должный уровень защиты, злоумышленник может взломать соседний виртуальный сервер и далее провести атаку уже изнутри облачной инфраструктуры.

«Приведу стандартный пример из практики пентестов, – делится опытом Дмитрий Кузнецов. –Нужно получить доступ к веб-приложению, а оно не содержит серьезных уязвимостей, но развернуто на сервере хостинг провайдера, где есть еще несколько веб-сайтов, половина из которых не защищена совсем. Получив доступ к уязвимому “соседу”, мы получаем возможность доступа к операционной системе сервера, а на нем – куча отсутствующих обновлений безопасности. Результат – контроль над сервером и над всеми развернутыми на нем веб-сайтами», – делится опытом Дмитрий Кузнецов.

В данном случае ответственность ложится на провайдера услуг ЦОД. На этом рынке работают десятки крупных и сотни небольших организаций, и каждая организация предлагает свою собственную конфигурацию ИБ, так как единых стандартов не существует. При этом некоторые провайдеры вовсе отказываются гарантировать безопасность, а в договорах об уровне оказания услуг (SLA) можно найти такие пункты:

«Лицензиат обязан самостоятельно предпринимать должные меры, обеспечивающие безопасность его Персонального дискового пространства и предотвращающие несанкционированный доступ к нему третьих лиц. Лицензиар не несет ответственности за возможные сбои и перерывы в работе Сервиса и вызванные ими потерю информации. Лицензиар не несет ответственности за любой ущерб компьютеру Лицензиата, мобильным устройствам, любому другому оборудованию или программному обеспечению, вызванный или связанный с использованием Сервиса, не гарантирует сохранность файлов и папок с файлами Лицензиата на Персональном дисковом пространстве Лицензиата, а также не несет ответственность за утрату файлов и папок с файлами».

Внешние провайдеры под надзором государства

Очевидно, что нужно выработать единые требования для облачных провайдеров, работающих с госсектором. Соответствующий законопроект был подготовлен в Минкомсвязи весной 2014 г., а в ноябре, как ожидается, он будет направлен на рассмотрение в Госдуму. Провайдерам, работающим с госсектором, необходимо будет получить две лицензии: на осуществление деятельности по технической защите конфиденциальной информации и предоставлению услуг связи (выдается ФСТЭК) и на осуществление деятельности по разработке, производству и распространению шифровальных средств (выдает ФСБ). Кроме того, такая компания должна располагать как минимум двумя дата-центрами на территории РФ и отвечать требованиям финансовой устойчивости. Кроме того, они должны будут выполнить требования приказа №17 по защите информационных систем госучреждений.

Из облачных провайдеров, соответствующих перечисленным критериям, будет сформирован пул поставщиков для госсектора, куда войдут 3-5 крупных компаний. Один из участников будет назначен гарантирующим поставщиком на случай, если в конкурсе госведомства не окажется других участников. Таким образом, бюрократизм чиновников при выполнении требований ИБ будет преодолен, так как эти задачи будет выполнены сторонними компаниями, работающими на коммерческом рынке.

Павел Лебедев/СNews Analytics

Вернуться на главную страницу обзора