Защита в облаке: для клиента и для себя
Пандемия коронавируса заметно усилила интерес заказчиков к облачным приложениям и сервисам. Крупный, средний и малый бизнес, а также государственные структуры активно размещают свои информационные системы в облаке, поэтому компании, предоставляющие услуги подобного рода, особое внимание уделяют информационной безопасности, защите собственной инфраструктуры и ресурсов своих клиентов от всевозможных киберугроз и атак злоумышленников. Чем занимаются ИБ-специалисты облачных сервис-провайдеров? Об этом нам рассказывает Алексей Голдбергс, директор Центра киберзащиты компании SberCloud. SberCloud – облачная платформа экосистемы Сбербанка. Информационно-технологические платформы и услуги SberCloud являются частью цифровой экосистемы Сбербанка, а также предоставляются внешним клиентам – коммерческим компаниям и государственным организациям.
Как вы пришли в информационную безопасность, как строилась ваша профессиональная карьера до компании SberCloud?
Высшее образование я получил по специальности «Информационные системы (в технике)» и в информационную безопасность пришел из ИТ. ИБ я начал плотно заниматься с 2006 года, но и тогда моя деятельность в основном была связана с ИТ. Я работал в нижегородском филиале компании МТС, где на тот момент отсутствовала выделенная служба ИБ, поэтому развертыванием и эксплуатацией средств защиты занимался отдел технического администрирования ИТ-подразделения. Затем я продолжил заниматься ИБ в российском офисе корпорации Microsoft в должности эксперта по технологиям информационной безопасности. С тех пор я занимаюсь исключительно ИБ: три с половиной года я проработал в компании «КриптоПро» в должности заместителя технического директора, затем 2 года в Positive Technologies, откуда перешел в Сбербанк, а уже оттуда в его дочернюю компанию – SberCloud.
Чем занимается Центр киберзащиты компании SberCloud, которым вы руководите?
Центр киберзащиты отвечает за кибербезопасность двух основных областей: инфраструктуры, в которой размещаются рабочие станции сотрудников и бизнес-системы самой компании (управление персоналом, бухгалтерия, взаимоотношения с клиентами и т.п.), и инфраструктуры облачной платформы SberCloud, в которой размещаются информационные системы наших заказчиков. Деятельность нашего подразделения делится на три ключевых направления: методология, архитектура и эксплуатация. Направление методологии охватывает все, что связано с регулированием в области информационной безопасности. Мы подпадаем под требования сразу нескольких регуляторов и обязаны их соблюдать. Также к методологии относится разработка внутренних политик, регламентов и стандартов. По сути, это все, что связано с так называемой «бумажной безопасностью». Направление архитектуры включает разработку и развитие наших продуктов и сервисов в части киберзащиты. Эксплуатация занимается развертыванием и поддержкой средств защиты как внутренней, так и внешней инфраструктуры.
Какие продукты и направления работы SberCloud уже прошли сертификацию и лицензирование, а где этот процесс пока не завершен?
В соответствии с положениями Федерального закона от 04.05.2011 №99-ФЗ «О лицензировании отдельных видов деятельности» ряд видов деятельности, связанных с информационной безопасностью и оказанием услуг связи полежат обязательному лицензированию. Наша компания осуществляет сразу четыре таких вида деятельности и имеет все необходимые для этого лицензии на разработку и производство средств защиты конфиденциальной информации, деятельность по технической защите конфиденциальной информации, оказание услуг связи, а также разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств. Что же касается сертификации и аттестации, то все наши ключевые продукты имеют действующие аттестаты соответствия тем или иным требованиям регуляторов. В частности, «Виртуальный ЦОД» аттестован по требованиям безопасности 152-ФЗ, предъявляемым к информационным системам персональных данных (ИСПДн) при обеспечении первого (самого высокого) уровня защищенности персональных данных (ПДн). Суперкомпьютер «Кристофари» и продукты AI Cloud, использующие вычислительные ресурсы «Кристофари», успешно прошли процедуру аттестации по требованиям безопасности 152-ФЗ, предъявляемым к ИСПДн при обеспечении второго уровня защищенности ПДн, использующие вычислительные ресурсы «Кристофари». Ну и наконец третий аттестат мы получили в конце июня текущего года, который подтверждает соответствие инфраструктуры облачной платформы SberCloud, предназначенной для размещения государственных информационных систем (ГИС), требованиям безопасности информации, предъявляемым к ГИС при обеспечении первого (самого высокого) класса защищенности и к ИСПДн при обеспечении второго уровня защищенности ПДн. Помимо этого в активной фазе находятся проекты аттестации и сертификации других наших продуктов.
Как у вас в компании построено взаимодействие с регуляторами?
Мы взаимодействуем с регуляторами в области информационной безопасности сразу по двум направлениям. Первое – реализация их требований, предъявляемых к лицензиатам. И должен сказать, что в этом направлении все всегда проходило очень гладко: есть четкие требования, ты их выполняешь, направляешь документы, получаешь лицензию. Да, это достаточно продолжительная процедура, занимающая несколько месяцев, в рамках которой необходимо закупить оборудование, организовать рабочее место, обучить сотрудников и т. д. Но все эти требования четко определены в соответствующих нормативных документах и ты просто должен их реализовать. Так было и со ФСТЭК, и с ФСБ. Никаких сложностей не возникало. Все было понятно и прозрачно.
Второе направление – взаимодействие с регуляторами в рамках совместных инициатив для государственных органов власти. И я хочу отметить, что каждый раз со стороны представителей регуляторов мы встречали открытую позицию и готовность к диалогу. Разумеется, для того, чтобы этот диалог был максимально конструктивным, необходимо подготовить для него фактуру. Если мы говорим о какой-то информационной системе, необходима разработанная архитектура, модель угроз и т.д. Тогда и будет предмет для разговора. Если же приходить к регулятору с размытыми описаниями, то и найти с ним взаимопонимание будет довольно сложно.
Единственное, что я хотел бы отметить, это отсутствие со стороны регуляторов понятных положений в части обеспечения информационной безопасности при использовании облачных вычислений. Очень недостает четких требований, указаний и методических рекомендаций, учитывающих специфику размещения информационных систем в «облаках». Поэтому приходится либо самим искать подходы к выполнению существующих требований, разрабатывавшихся для классических способов размещения информационных систем на собственном оборудовании в собственном ЦОД, либо привлекать внешних консультантов с опытом такой работы.
Давайте поговорим про облачные продукты. Какие требования по защите предъявляются к ним? Какие вызовы, риски и угрозы характерны именно для них?
Каких-то регламентов и особых требований со стороны регуляторов в России пока нет. Чаще всего при разработке облачных продуктов мы руководствуемся требованиями, исходя из целевой аудитории продукта и бизнес-процессов заказчиков, которые эти продукты будут использовать, а также ту информацию, которая будет в них обрабатываться. К примеру, если речь идет об обработке персональных данных, мы берем требования из соответствующих нормативно-правовых документов по обработке и защите персональных данных: 152-ФЗ, Постановление Правительства РФ №1119, приказ ФСТЭК №21, приказ ФСБ № 378 и т.д. На входе в проект разработки продукта мы совместно с владельцем продукта прорабатываем вопросы организации киберзащиты, исходя из того, какая именно информация будет в нем обрабатываться и каким требованиям он должен соответствовать. Если речь идет о продукте для государственных органов, то там одни требования. Если же в продукте предполагается обработка персональных данных, то необходимо определить, какие именно категории ПДн будут обрабатываться и в каком объеме. Эту информацию мы обязательно запрашиваем у владельца продукта.
Что же касается особенностей облачных продуктов, то тут следует иметь в виду матрицу разделения ответственности за кибербезопасность облачных сервисов, которая существенно отличается от распределения зон ответственности при размещении информационных систем в собственном ЦОД организации, и во многом зависит от модели предоставления сервиса (IaaS, PaaS, SaaS). Чем выше уровень абстракции сервиса относительно физического, тем больше ответственности ложится на плечи поставщика сервиса и тем большее внимания заказчик должен уделять выбору доверенного поставщик и продуктов, чье соответствие требованиям и рекомендациям регуляторов и стандартов, подтверждено соответствующими аттестатами и сертификатами. В то же время, зачастую заказчик на этом и ограничивает свое участие в защите своих информационных систем и приложений, забывая о том, что ряд мер защиты по-прежнему остается в его зоне ответственности.
Как Центр киберзащиты помог сотрудникам SberCloud перейти на удаленную работу в период пандемии коронавируса? Что оказалось самым сложным в этом процессе?
Когда возникла эта ситуация, мы не ощутили каких-либо сложностей и падения производительности во многом потому, что придерживаемся принципа «eat your own cooking» («ешь то, что ты готовишь»). Ряд наших бизнес-систем, которые мы используем для осуществления своей хозяйственной деятельности, размещаются в нашей же инфраструктуре облачной платформы. Мы пользуемся своими же продуктами, которые всегда были доступны из облака. Помимо этого, мы используем некоторые облачные сервисы сторонних поставщиков. Так было с первых дней существования компании. Где-то мы нарастили вычислительные мощности, где-то докупили дополнительные подписки на сторонние сервисы, но в целом процесс перехода на удаленный режим работы был для нас максимально безболезненным. Сложности, конечно, тоже были. Ряд процессов с силу требований законодательства, либо в силу неготовности заказчиков и партнеров был привязан к бумажному документообороту. Когда началась самоизоляция, у нас еще не завершилось внедрение электронного документооборота и часть документов оставалась в бумажном виде со всей сопутствующей логистикой. Вторая сложность заключалась в том, что мы не переставали принимать на работу новых сотрудников в период пандемии. Необходимо было перестраивать процессы HR, подписания нужных документов, выдачи сотруднику требуемого для работы оборудования с необходимыми средствами защиты. Тем не менее за все время самоизоляции у нас не останавливались производственные процессы. Так же сильно помогло то, что еще до официально объявленного режима самоизоляции мы проводили учения, в ходе которых в определенный день все сотрудники должны были остаться дома и работать удаленно. Эти учения подтвердили нашу готовность к такому развертыванию событий и поэтому всеобщая «удаленка» не вызвала ни у кого особых затруднений.
Опубликовано 29.09.2020