Разделы

Роструд строит систему защиты своих ГИС на российских ПО и «железе»

Роструд создает систему обеспечения информационной безопасности. На ее разработку выделен почти миллиард руб.

Защитная система

Как выяснил CNews, Федеральная служба по труду и занятости (Роструд) создает комплексную систему обеспечения информационной безопасности (КСОИБ) для своей ГИС «Единая цифровая платформа в сфере занятости и трудовых отношений «Работа в России»».

Техническое задание на создание системы было опубликовано на сайте госзакупок 1 июля 2025 г. Отбор подрядчиков пройдет в формате электронного аукциона, заявки на который желающие смогут подать до 17 июля. Итоги конкурса подведут 21 июля. Начальная сумма контракта — 737,8 млн руб., однако она может измениться в ходе проведения торгов.

Как указано в документах, основной целью создания КСОИБ является обеспечение конфиденциальности, целостности и доступности обрабатываемой на платформе «Работа в России» информации, включая персональные данные миллионов граждан и работодателей.

Роструд строит систему защиты для своих ГИС

Система призвана реализовать строгие требования по защите информации, установленные ФСБ и ФСТЭК России, своевременно выявлять и устранять угрозы безопасности, а также создать механизмы оперативного реагирования на инциденты. КСОИБ должна автоматизировать процессы управления информационной безопасностью (ИБ) и обеспечить защиту в полном соответствии с российским законодательством и государственными стандартами.

В техническом задании указано, что система должна быть полностью развернута и аттестована к 15 декабря 2025 г.

ЕЦП «Работа в России» — единая цифровая платформа в сфере занятости и трудовых отношений. Предназначена для: содействия занятости населения, в том числе посредством размещения информации о возможностях трудоустройства, работодателях, наличии свободных рабочих мест и вакантных должностей, гражданах, ищущих работу. Обеспечения процесса предоставления государственных услуг в области содействия занятости населения, в том числе оказания таких услуг в электронном виде и формирование аналитической информации о трудоустройстве граждан в России.

Подробности тендера

КСОИБ представляет собой сложную интеграцию 16 взаимосвязанных подсистем, каждая из которых выполняет специфические функции по защите информации.

Основу системы составляет подсистема защиты от несанкционированного доступа, которая обеспечивает базовую аутентификацию пользователей, контроль доступа и доверенную загрузку серверного оборудования.

Централизованное управление учетными записями и правами доступа внутренних пользователей осуществляется через систему управления доступом, что позволяет администраторам эффективно администрировать информационные ресурсы.

Для обеспечения удобства пользователей реализована подсистема однократной аутентификации, которая предоставляет единый вход во все веб-приложения платформы.

Интеграция с Единой системой идентификации и аутентификации (ЕСИА) позволяет осуществлять аутентификацию внешних пользователей. Подсистема управления привилегированным доступом контролирует действия администраторов и подрядчиков, имеющих повышенные права доступа, обеспечивая мониторинг и контроль за их деятельностью.

Сетевую безопасность курируют несколько специализированных подсистем: обнаружение вторжений выявляет сетевые атаки; контроль защищенности ищет уязвимости в программном обеспечении и конфигурациях оборудования; межсетевое экранирование сегментирует сеть и фильтрует трафик; защита от DDoS-атак отражает попытки вывести систему из строя; а специализированная защита веб-приложений блокирует атаки на уровне прикладной логики.

Криптографическая защита информации реализована через два ключевых компонента: ГОСТ TLS обеспечивает защиту веб-трафика с использованием российских криптоалгоритмов, а ГОСТ VPN организует защищенные каналы связи, в том числе для интеграции с системой ГосСОПКА.

Защита среды виртуализации контролирует доступ и целостность виртуальной инфраструктуры, контроль конфигураций следит за соответствием настроек оборудования требованиям безопасности, а управление инцидентами автоматизирует процессы обработки угроз.

Какое ПО и оборудование покупают

Конкретные наименования программных продуктов указаны в техническом задании не указаны, однако известно, что все приобретаемое ПО должно иметь действующие сертификаты ФСТЭК и ФСБ России.

Как снизить трудоемкость разработки и повысить ее качество за счет генерации автотестов в экосистеме Digital Q
Цифровизация

В состав системного и общесистемного ПО войдут системы управления базами данных (СУБД), средства виртуализации, контейнеризации и мониторинга, которые также должны быть сертифицированы и обеспечивать защищенную работу в рамках государственной информационной системы.

Особое внимание уделяется программным компонентам, необходимым для функционирования ключевых подсистем КСОИБ. Среди них — системы централизованного управления доступом, обеспечивающие автоматическое распределение прав и ролей пользователей; средства однократной аутентификации на основе протокола OpenID Connect с возможностью интеграции с Единой системой идентификации и аутентификации (ЕСИА); программные решения для управления привилегированными учетными записями, а также средства криптографической защиты информации, отвечающие требованиям ФСБ России.

Также планируется внедрение антивирусного программного обеспечения, способного обеспечивать защиту серверов и виртуальных машин от вредоносных программ, в том числе с функцией глубокого анализа файлов, включая архивы, загрузки по протоколу ICAP и ручную проверку. В состав системы войдут и компоненты для мониторинга событий безопасности с возможностью агрегации, нормализации, корреляции данных и автоматического формирования инцидентов, а также для передачи информации в подсистему управления инцидентами и взаимодействия с ГосСОПКА.

Дополнительно будут внедрены программные средства для защиты от несанкционированного доступа, обнаружения вторжений, межсетевого экранирования, защиты от DDoS-атак, защиты веб-приложений, контроля конфигураций, анализа программного кода и защиты среды виртуализации. Все компоненты должны быть интегрированы в единую архитектуру и обеспечивать полную совместимость с вычислительной платформой, инфраструктурными сервисами и смежными информационными системами.

Михаил Некрасов, Securitm: Системы управления информационной безопасностью полезны даже для небольших банков
Безопасность

Ключевыми компонентами инфраструктуры станут виртуализированные вычислительные ресурсы. Предусматривается развертывание 73 виртуальных машин с суммарной нагрузкой в 964 виртуальных процессора (vCPU.

Для обработки данных будет выделено 1902 ГБ виртуальной оперативной памяти (vRAM), а для хранения информации предусмотрено 26200 ГБ быстрого твердотельного накопителя (vSSD) и 27150 ГБ на дисках типа SAS. Кроме того, закладывается не менее 50 ТБ пространства под резервное копирование данных.

В состав оборудования войдут и физические устройства — в частности, пять управляемых сетевых коммутаторов, каждый из которых будет сопровождаться пакетом технической поддержки. Для выполнения требований по защите каналов передачи данных предусмотрена закупка одного криптографического устройства в защищенном исполнении, предназначенного для работы с сертифицированными средствами шифрования.

Все аппаратные компоненты должны быть рассчитаны на круглосуточную эксплуатацию (режим 24/7), обладать высокой степенью отказоустойчивости, включая резервирование блоков питания, вентиляторов, сетевых интерфейсов и накопителей, а также обеспечивать возможность горячей замены модулей без остановки системы. Кроме того, оборудование должно проходить встроенное самотестирование и выдерживать допустимые пределы по температуре, влажности и вибрации согласно требованиям производителей.

Антон Мушинский