Журнал "Information Security/ Информационная безопасность" #2, 2024

Применение облачных сервисов значительно сни- жает потребность в боль- шом штате сотрудников, что положительно влияет на оптимизацию операционных процессов. К безопасности облачные провайдеры подходят, как правило, комплексно – от физической защищенности и пожаробезопасности и до противодействия сложным целенаправленным атакам. Из-за возросшего числа киберугроз госу- дарство и бизнес стали уделять больше внима- ния объектам критиче- ской информационной инфраструктуры (ОКИИ) и их безопасности 1 , в связи с этим в последнее время возросла популяр- ность облачных решений при построении компаниями собст- венных ИТ-сервисов и плат- форм 2 . Зачем размещать ОКИИ в облака Объекты критической инфра- структуры – это системы и сети, непрерывная работа которых важна для функционирования различных отраслей: транспор- та, здравоохранения, промыш- ленности, банковской сферы и т.д. Согласно Федеральному закону 187-ФЗ "О безопасности критической информационной инфраструктуры РФ" ответ- ственность за безопасность и устойчивость функционирова- ния ОКИИ ложится на их вла- дельцев. Многие из них делеги- руют часть таких обязательств облачному провайдеру, этот подход обладает следующими важными преимуществами. Борьба с кадровым дефицитом Рынок ИТ- и ИБ-специалистов сейчас переживает не лучшие времена с точки зрения нани- мателей. Грамотные специали- сты, необходимые для поддер- жания функционирования системы, как никогда редки и дороги. Применение облачных сервисов значительно снижает потребность в большом штате сотрудников, что положительно влияет на оптимизацию опера- ционных процессов. Импортозамещение Опубликованные в 2022 г. указы Президента РФ № 166 и № 250 ограничивают возмож- ность использования иностран- ного ПО и оборудования на объектах КИИ. Исполнение этого запрета на инфраструк- турных слоях ОКИИ может вызвать значительные сложно- сти у их владельцев. Один из наиболее простых способов реализации этих норм – полу- чение импортозамещенной инфраструктуры как услуги у облачного провайдера. Экономика Оптимизация ФОТ (фонд оплаты труда) ИТ- и ИБ-спе- циалистов, переход от CapEx к OpEx, экономия за счет отсут- ствия необходимости закупки и поддержания функционирова- ния компонентов ОКИИ в соста- ве, рассчитанном на пиковые нагрузки, – вот несколько пре- имуществ перехода в облако. Сокращение Time-to-Market Использование облачных решений снижает временные издержки, связанные с приобре- тением, поставкой, настройкой и обслуживанием оборудования. Кроме того, облака способ- ствуют ускорению работы в рам- ках DevOps-подхода, что позво- ляет ускорить развертывание и обновление ИТ-продуктов. Гибкость Облачные решения упрощают для разработчиков масштаби- рование решений как вертикаль- ное, так и горизонтальное. При необходимости компании доста- точно временно арендовать больше мощностей – это проще и дешевле, чем ждать и настраи- вать собственное оборудование. Безопасность Облачные сервисы изначаль- но реализуются с учетом необходимости защиты от нару- шителей. В связи с этим к без- опасности облачные провайде- ры подходят, как правило, ком- плексно – от физической защи- щенности и пожаробезопасно- сти и до противодействия слож- ным целенаправленным атакам. Повышенный SLA Важнейшее качество для облачного провайдера – обес- печение доступности его инфор- мационных ресурсов, размещен- ных в облаке, для заказчика. Законно ли размещать ОКИИ в облаках Законно, при условии, что эти облака и предоставляющие их клауд-провайдеры сами соответ- ствуют предъявляемым к ним требованиям. Скажем, ОКИИ первой категории значимости можно разместить только в обла- ке первой категории значимости. Если этот объект дополнительно выступает в качестве информа- ционной системы персональных данных второго уровня защи- щенности, то и облачная плат- форма должна отвечать соот- ветствующим законодательным предписаниям в этой области. Облачный провайдер должен иметь все необходимые лицен- зии, быть включен в реестры, например, операторов персо- нальных данных и хостинг-про- вайдеров, которые ведет Рос- комнадзор. Дополнительно он должен выполнять все требо- вания законов, указов прези- дента, постановлений Прави- тельства РФ, приказов ФСТЭК России, ФСБ России и отрас- левых регуляторов, предъявляе- мых к владельцам ОКИИ. 8 • В ФОКУСЕ Облако перспектив для объектов критической инфраструктуры последние годы на отечественном ИТ-рынке прослеживаются два основных тренда, развитие которых привело к размещению ОКИИ в облаках. Поговорим подробнее о том, в чем выгода такого подхода и как не допустить ошибок в процессе. В Алексей Кубарев, директор по информационной безопасности Т1 Облако Фото: Холдинг Т1 1 https://www.vedomosti.ru/technology/news/2022/03/30/915906-putin-zapretil-ispolzovat-inostrannoe-po 2 http://survey.iksconsulting.ru/page32257739.html 3 https://about.gИТlab.com/resources/downloads/2020-devsecops-report.pdf