УправлениеБезопасность

Защита в облаке: для клиента и для себя

| 29.09.2020
Алексей Голдбергс

Алексей Голдбергс

Директор Центра киберзащиты компании SberCloud

Пандемия коронавируса заметно усилила интерес заказчиков к облачным приложениям и сервисам. Крупный, средний и малый бизнес, а также государственные структуры активно размещают свои информационные системы в облаке, поэтому компании, предоставляющие услуги подобного рода, особое внимание уделяют информационной безопасности, защите собственной инфраструктуры и ресурсов своих клиентов от всевозможных киберугроз и атак злоумышленников. Чем занимаются ИБ-специалисты облачных сервис-провайдеров? Об этом нам рассказывает Алексей Голдбергс, директор Центра киберзащиты компании SberCloud. SberCloud – облачная платформа экосистемы Сбербанка. Информационно-технологические платформы и услуги SberCloud являются частью цифровой экосистемы Сбербанка, а также предоставляются внешним клиентам – коммерческим компаниям и государственным организациям.

Как вы пришли в информационную безопасность, как строилась ваша профессиональная карьера до компании SberCloud?

Высшее образование я получил по специальности «Информационные системы (в технике)» и в информационную безопасность пришел из ИТ. ИБ я начал плотно заниматься с 2006 года, но и тогда моя деятельность в основном была связана с ИТ. Я работал в нижегородском филиале компании МТС, где на тот момент отсутствовала выделенная служба ИБ, поэтому развертыванием и эксплуатацией средств защиты занимался отдел технического администрирования ИТ-подразделения. Затем я продолжил заниматься ИБ в российском офисе корпорации Microsoft в должности эксперта по технологиям информационной безопасности. С тех пор я занимаюсь исключительно ИБ: три с половиной года я проработал в компании «КриптоПро» в должности заместителя технического директора, затем 2 года в Positive Technologies, откуда перешел в Сбербанк, а уже оттуда в его дочернюю компанию – SberCloud.

Чем занимается Центр киберзащиты компании SberCloud, которым вы руководите?

Центр киберзащиты отвечает за кибербезопасность двух основных областей: инфраструктуры, в которой размещаются рабочие станции сотрудников и бизнес-системы самой компании (управление персоналом, бухгалтерия, взаимоотношения с клиентами и т.п.), и инфраструктуры облачной платформы SberCloud, в которой размещаются информационные системы наших заказчиков. Деятельность нашего подразделения делится на три ключевых направления: методология, архитектура и эксплуатация. Направление методологии охватывает все, что связано с регулированием в области информационной безопасности. Мы подпадаем под требования сразу нескольких регуляторов и обязаны их соблюдать. Также к методологии относится разработка внутренних политик, регламентов и стандартов. По сути, это все, что связано с так называемой «бумажной безопасностью». Направление архитектуры включает разработку и развитие наших продуктов и сервисов в части киберзащиты. Эксплуатация занимается развертыванием и поддержкой средств защиты как внутренней, так и внешней инфраструктуры.

Какие продукты и направления работы SberCloud уже прошли сертификацию и лицензирование, а где этот процесс пока не завершен?

В соответствии с положениями Федерального закона от 04.05.2011 №99-ФЗ «О лицензировании отдельных видов деятельности» ряд видов деятельности, связанных с информационной безопасностью и оказанием услуг связи полежат обязательному лицензированию. Наша компания осуществляет сразу четыре таких вида деятельности и имеет все необходимые для этого лицензии на разработку и производство средств защиты конфиденциальной информации, деятельность по технической защите конфиденциальной информации, оказание услуг связи, а также разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств. Что же касается сертификации и аттестации, то все наши ключевые продукты имеют действующие аттестаты соответствия тем или иным требованиям регуляторов. В частности, «Виртуальный ЦОД» аттестован по требованиям безопасности 152-ФЗ, предъявляемым к информационным системам персональных данных (ИСПДн) при обеспечении первого (самого высокого) уровня защищенности персональных данных (ПДн). Суперкомпьютер «Кристофари» и продукты AI Cloud, использующие вычислительные ресурсы «Кристофари», успешно прошли процедуру аттестации по требованиям безопасности 152-ФЗ, предъявляемым к ИСПДн при обеспечении второго уровня защищенности ПДн, использующие вычислительные ресурсы «Кристофари». Ну и наконец третий аттестат мы получили в конце июня текущего года, который подтверждает соответствие инфраструктуры облачной платформы SberCloud, предназначенной для размещения государственных информационных систем (ГИС), требованиям безопасности информации, предъявляемым к ГИС при обеспечении первого (самого высокого) класса защищенности и к ИСПДн при обеспечении второго уровня защищенности ПДн. Помимо этого в активной фазе находятся проекты аттестации и сертификации других наших продуктов.

Как у вас в компании построено взаимодействие с регуляторами?

Мы взаимодействуем с регуляторами в области информационной безопасности сразу по двум направлениям. Первое – реализация их требований, предъявляемых к лицензиатам. И должен сказать, что в этом направлении все всегда проходило очень гладко: есть четкие требования, ты их выполняешь, направляешь документы, получаешь лицензию. Да, это достаточно продолжительная процедура, занимающая несколько месяцев, в рамках которой необходимо закупить оборудование, организовать рабочее место, обучить сотрудников и т. д. Но все эти требования четко определены в соответствующих нормативных документах и ты просто должен их реализовать. Так было и со ФСТЭК, и с ФСБ. Никаких сложностей не возникало. Все было понятно и прозрачно.

Второе направление – взаимодействие с регуляторами в рамках совместных инициатив для государственных органов власти. И я хочу отметить, что каждый раз со стороны представителей регуляторов мы встречали открытую позицию и готовность к диалогу. Разумеется, для того, чтобы этот диалог был максимально конструктивным, необходимо подготовить для него фактуру. Если мы говорим о какой-то информационной системе, необходима разработанная архитектура, модель угроз и т.д. Тогда и будет предмет для разговора. Если же приходить к регулятору с размытыми описаниями, то и найти с ним взаимопонимание будет довольно сложно.

Единственное, что я хотел бы отметить, это отсутствие со стороны регуляторов понятных положений в части обеспечения информационной безопасности при использовании облачных вычислений. Очень недостает четких требований, указаний и методических рекомендаций, учитывающих специфику размещения информационных систем в «облаках». Поэтому приходится либо самим искать подходы к выполнению существующих требований, разрабатывавшихся для классических способов размещения информационных систем на собственном оборудовании в собственном ЦОД, либо привлекать внешних консультантов с опытом такой работы.

Давайте поговорим про облачные продукты. Какие требования по защите предъявляются к ним? Какие вызовы, риски и угрозы характерны именно для них?

Каких-то регламентов и особых требований со стороны регуляторов в России пока нет. Чаще всего при разработке облачных продуктов мы руководствуемся требованиями, исходя из целевой аудитории продукта и бизнес-процессов заказчиков, которые эти продукты будут использовать, а также ту информацию, которая будет в них обрабатываться. К примеру, если речь идет об обработке персональных данных, мы берем требования из соответствующих нормативно-правовых документов по обработке и защите персональных данных: 152-ФЗ, Постановление Правительства РФ №1119, приказ ФСТЭК №21, приказ ФСБ № 378 и т.д. На входе в проект разработки продукта мы совместно с владельцем продукта прорабатываем вопросы организации киберзащиты, исходя из того, какая именно информация будет в нем обрабатываться и каким требованиям он должен соответствовать. Если речь идет о продукте для государственных органов, то там одни требования. Если же в продукте предполагается обработка персональных данных, то необходимо определить, какие именно категории ПДн будут обрабатываться и в каком объеме. Эту информацию мы обязательно запрашиваем у владельца продукта.

Что же касается особенностей облачных продуктов, то тут следует иметь в виду матрицу разделения ответственности за кибербезопасность облачных сервисов, которая существенно отличается от распределения зон ответственности при размещении информационных систем в собственном ЦОД организации, и во многом зависит от модели предоставления сервиса (IaaS, PaaS, SaaS). Чем выше уровень абстракции сервиса относительно физического, тем больше ответственности ложится на плечи поставщика сервиса и тем большее внимания заказчик должен уделять выбору доверенного поставщик и продуктов, чье соответствие требованиям и рекомендациям регуляторов и стандартов, подтверждено соответствующими аттестатами и сертификатами. В то же время, зачастую заказчик на этом и ограничивает свое участие в защите своих информационных систем и приложений, забывая о том, что ряд мер защиты по-прежнему остается в его зоне ответственности.

Как Центр киберзащиты помог сотрудникам SberCloud перейти на удаленную работу в период пандемии коронавируса? Что оказалось самым сложным в этом процессе?

Когда возникла эта ситуация, мы не ощутили каких-либо сложностей и падения производительности во многом потому, что придерживаемся принципа «eat your own cooking» («ешь то, что ты готовишь»). Ряд наших бизнес-систем, которые мы используем для осуществления своей хозяйственной деятельности, размещаются в нашей же инфраструктуре облачной платформы. Мы пользуемся своими же продуктами, которые всегда были доступны из облака. Помимо этого, мы используем некоторые облачные сервисы сторонних поставщиков. Так было с первых дней существования компании. Где-то мы нарастили вычислительные мощности, где-то докупили дополнительные подписки на сторонние сервисы, но в целом процесс перехода на удаленный режим работы был для нас максимально безболезненным. Сложности, конечно, тоже были. Ряд процессов с силу требований законодательства, либо в силу неготовности заказчиков и партнеров был привязан к бумажному документообороту. Когда началась самоизоляция, у нас еще не завершилось внедрение электронного документооборота и часть документов оставалась в бумажном виде со всей сопутствующей логистикой. Вторая сложность заключалась в том, что мы не переставали принимать на работу новых сотрудников в период пандемии. Необходимо было перестраивать процессы HR, подписания нужных документов, выдачи сотруднику требуемого для работы оборудования с необходимыми средствами защиты. Тем не менее за все время самоизоляции у нас не останавливались производственные процессы. Так же сильно помогло то, что еще до официально объявленного режима самоизоляции мы проводили учения, в ходе которых в определенный день все сотрудники должны были остаться дома и работать удаленно. Эти учения подтвердили нашу готовность к такому развертыванию событий и поэтому всеобщая «удаленка» не вызвала ни у кого особых затруднений.

Облачные технологии, Информационная безопасность, Облачный сервис, кибербезопасность

Журнал: Журнал IT-Manager [№ 09/2020], Подписка на журналы

Sberbank | Сбербанк


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Их важность «всплыла» именно во время первой волны пандемии, когда оказалось, что часть сотрудников должна получать удаленный доступ к достаточно критичным элементам инфраструктуры организации
К намекам Gartner о том, что пора бы AI перестать тратить и начать зарабатывать, добавляются требования суровой действительности о необходимости быстрой адаптации к изменениям и скорости принятия решений в условиях растущей конкуренции.
Так что же получается, умение через туман будущего увидеть сверкающий маяк желанной цели и показать его другим, чтобы зажечь их сердца и направить их в нужном направлении, – это и есть самый полезный навык, который неподвластен ни времени, ни новым технологиям?

Компании сообщают

Мероприятия