Сертифицированные сервисы безопасности из

«облака» КРОК

Москва, 30.09.2014

Евгений Дружинин,

эксперт по информационной безопасности

2

СОДЕРЖАНИЕ

• Ожидания и потребности заказчиков в области аутсорсинга услуг ИБ

• Подводные камни при обеспечении соответствия аутсорсинговых услуг ИБ законодательству РФ в части защиты персональных данных

• ЦУБ – эксклюзивное предложение КРОК по ИБ-услугам на рынке

• Возможности

• Возможные сценарии использования

3

ИБ-ПОТРЕБНОСТИ ЗАКАЗЧИКОВ ПРИ АУТСОРСИНГЕ

• Ресурсы ЦОД • Публичное облако (IaaS)

• Требуется разместить информационную систему персональных данных (ИСПДн) в соответствии с требованиями 152-ФЗ на площадке КРОК

• Необходимо использовать сертифицированные средства защиты ресурсов, размещенных на площадке Крок

• Недостаточно базовых средств защиты облачной платформы Крок

Как обеспечить защиту ИТ-системы быстро, качественно, конкурентоспособно, универсально,

в соответствии с требованиями регуляторов?

Заказчик

Крок • ПО как услуга (SaaS)

4

ОСОБЕННОСТИ СООТВЕТСТВИЯ

ТРЕБОВАНИЯМ 152-ФЗ ПРИ АУТСОРСИНГЕ

• Ответственность за защиту ПДн несет оператор (заказчик)

• Необходимость использования сертифицированных средств защиты

• Механизм определения мер защиты ИСПДн регламентирован (152-ФЗ, ПП-1119, Приказ №21 ФСТЭК России)

• Требования к средствам защиты зависят от изначальной классификации ПДн и специфики соответствующей ИСПДн

• Меры защиты ИСПДн могут быть реализованы как самим оператором, так и поставщиком услуг. И эти меры должны быть согласованы между собой!

5

РАЗНИЦА В ПОДХОДАХ К ЗАЩИТЕ ПДН.

СОБСТВЕННАЯ ИНФРАСТРУКТУРА ИЛИ АУТСОРСИНГ ?

6

КЛЮЧЕВЫЕ ВОПРОСЫ ПРИ РАЗМЕЩЕНИИ ИСПДН

ЗАКАЗЧИКОВ В КРОК

• Где размещать ИСПДН Заказчиков?

• Физическая среда (ЦОД) – вопросов нет!

• Виртуальная среда – требуется обеспечить защиту виртуальной среды в соответствии с требованиями регуляторов

• Как построить систему защиты ИСПДн Заказчиков?

• Требуются сертифицированные СрЗИ

– Без виртуализации – возможно, но долго; тяжело сопровождать

– С виртуализаций – быстро и легко управлять, но нужна виртуальная среда, защищенная в соответствии с требованиями регуляторов

7

ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ ИБ ПУБЛИЧНОГО

ОБЛАКА КРОК

• Отсутствует сертификация механизмов ИБ платформы виртуализации (гипервизор KVM)

• Не существует сертифицированных средств защиты для гипервизора KVM

• Перечень штатных механизмов ИБ ограничен

8

ЦУБ - ОТВЕТ КРОК ЗАПРОСАМ РЫНКА

• Требования быстроты развертывания ИБ-сервисов могут быть решены с помощью платформы виртуализации

• Требования регуляторов по ИБ могут быть решены:

• Защитой виртуальной платформы с использованием сертифицированных средств защиты

• Использованием внутри виртуальной платформы ИБ-сервисов, реализованных с использованием сертифицированных средств защиты

Вывод: требуется создать соответствующую виртуальную платформу (ЦУБ)

9

ЦУБ – ЗАЩИЩЕННАЯ ПЛАТФОРМА

ПРЕДОСТАВЛЕНИЯ ИБ-СЕРВИСОВ

• Эксклюзивное предложение на рынке

• В основе – сертифицированный гипервизор

• Основные средства защиты ЦУБ – сертифицированные СЗИ

• Места размещения ЦУБ: ЦОД Волочаевская, ЦОД Компрессор

• В ЦУБ возможно функционирование сертифицированных ФСТЭК/ФСБ и несертифицированных сервисов ИБ

• Объекты защиты ЦУБ: ИТ-системы в облаке Крок, ЦОДах Крок, в самом ЦУБ

10

КАТАЛОГ ИБ-СЕРВИСОВ ЦУБ

• Межсетевое экранирование (FW) – сертификация ФСТЭК

• Криптографическая защита каналов связи (IPSec VPN) – сертификация ФСБ

• Предотвращение вторжение (IPS) – сертификация ФСТЭК

• Глубокая фильтрация web-трафика (WAF)

• Антивирусная защита сетевого трафика

• …

• Любые средства защиты, способные работать в виртуальной среде VMware

11

ОСОБЕННОСТИ ИНТЕГРАЦИИ ЦУБ

12

АЛГОРИТМ ВЫБОРА МЕСТА РАЗМЕЩЕНИЯ ИТ-

СИСТЕМЫ ЗАКАЗЧИКА

Наличие требований регуляторов по ИБ?

• ЦОД

• Публичное облако

• ЦОД

• ЦУБ

Нет

Да

13

ОГРАНИЧЕНИЯ ЦУБ

• Отсутствие аттестации ЦУБ • Не можем аттестовывать ИСПДн Госзаказчиков

• Отсутствие сертификации платформы виртуализации Vmware vSphere на отсутствие недекларированных возможностей

• Можем защищать ИСПДн только с 3 и 4 уровнями защищенности ПДн

14

БИЗНЕС-КЕЙС 1.

ОБЪЕДИНЕНИЕ ИТ-ИНФРАСТРУКТУР ЗАКАЗЧИКА

15

БИЗНЕС-КЕЙС 1.

ОБЕСПЕЧЕНИЕ ЗАЩИТЫ

16

БИЗНЕС-КЕЙС 2.

ПУБЛИЧНЫЙ WEB-СЕРВИС ЗАКАЗЧИКА

17

БИЗНЕС-КЕЙС 2.

ЗАЩИТА WEB-СЕРВИСА ЗАКАЗЧИКА

18

БИЗНЕС-КЕЙС 3.

РАЗМЕЩЕНИЕ ИСПДН ЗАКАЗЧИКА В ЦОД

19

БИЗНЕС-КЕЙС 3.

ОРГАНИЗАЦИЯ ЗАЩИТЫ ИСПДН

20

СПАСИБО ЗА ВНИМАНИЕ!

Евгений Дружинин

Эксперт по информационной безопасности

111033, Москва, ул. Волочаевская, д.5, корп.1 +7 495 974 2274, +7 495 974 2277 (факс)

edruzhinin@croc.ru www.cloud.croc.ru