Преамбула. Статья носит исключительно информационный характер. Предназначена для потенциальных клиентов ЦОД, которые слышали про 152-ФЗ, 149-ФЗ, хотят потратить бюджетные средства и не знают, что такие схемы бывают. Для удобства восприятия материала автор будет излагать схемы от первого лица, хотя никогда данные схемы не применял. Автор не предлагает использовать данные схемы. Автор — не суд, и не знает, можно ли изложенные схемы классифицировать по статьям ГК/УК. Но, так может быть.
1. Выбираем любой комп (например, устаревший компьютер секретарши босса, который всё равно выбрасывать/списывать собирались).
2. Делаем документы заявителя. В качестве названия аттестуемого объекта информатизации выбираем «Защищённый Центр обработки данных г. Истеросса»
3. Заказываем аттестацию на соответствие любым требованиям, хоть РД АС. Цена вопроса порядка 50 тыс. руб.
4. Получаем аттестат соответствия объекта информатизации «Защищённый Центр обработки данных г. Истеросса» требованиям безопасности информации.
5. Пишем на сайте: "Наш Защищённый Центр обработки данных г. Истеросса аттестован по требованиям ФСТЭК"
1-2. Как в схеме 1.
3. Заказываем аттестацию на соответствие требованиям Приказа № 17 по классу К1. Цена вопроса порядка 350 тыс. руб. (100 тыс. руб. за аттестацию и 250 тыс. на средства защиты (АВЗ, НСД, СКН, СДЗ, МЭ, СОВ, ИБП, СКЗИ с возможностью подключения мобильных клиентов и других КШ)
4. Получаем аттестат соответствия объекта информатизации «Защищённый Центр обработки данных г. Истеросса» требованиям защиты информации по классу защищённости К1.
5. Пишем на сайте: "Наш Защищённый Центр обработки данных г. Истеросса аттестован по максимальному классу К1! Мы можем предоставлять мощности любым ГИС/ИСПДн. Подключаем с помощью сертифицированных ФСБ криптографических средств"
1-2. Как в схеме 2.
2а. Физически отключаем от АРМ Интернет.
3. Как в схеме 2, но дешевле: нет Интернета — не нужен МЭ, СОВ, СКЗИ. Цена вопроса снижается до 130 тыс. руб. (100 тыс. руб. за аттестацию и 30 тыс. на средства защиты (АВЗ, НСД, СКН, СДЗ, ИБП).
4. Как в схеме 2.
5. Пишем на сайте как в схеме 2, но чуть короче: "Наш Защищённый Центр обработки данных г. Истеросса аттестован по максимальному классу К1! Мы можем предоставлять мощности любым ГИС/ИСПДн"
1. Зовём практических безопасников, нормальных сетевиков.
2. Покупаем, что скажут (привычное этим «цискарям» оборудование).
3. Они всё делают, защищают в соответствии с «лучшими практиками».
4. Оформляем web-страницу о ЦОД:
— т.к. купленное оборудование не имеет сертификатов, позволяющих хостить ИС высоких классов на сайте не пишем про классы, просто: "защита организована с помощью ххххх (сертифицированных ФСБ и ФСТЭК)";
— т.к. аттестата нет, и преимуществ перед другими коммерческими ЦОД особо нет, пишем что-нибудь, что есть у всех, но показываем как преимущество: "круглосуточная охрана, резервное оборудование, RAID-массивы, круглосуточная дежурная служба, использование https";
— т.к. нет сертифицированного криптографического сетевого оборудования, просто даём обещания вида "при необходимости может быть организовано..." (да, все знают, что это надо всем, для хостинга аттестованных ИС, а мы подадим как преимущество);
— используем абстрактные фразы: «мы обеспечим безопасность/конфиденциальность/целостность/доступность информации» (главное не писать какую информацию имеем ввиду);
— можно ещё получить ненужные бумажки, желательно в добровольных системах сертификации из разряда "сертификат соответствия за 1 день, по двум документам, дёшево, без регистрации и sms)" и размещаем на сайте фразу, что наш ЦОД сертифицирован.
1. Выбираем сервер/серверы/стойку/несколько стоек для выделения в виде «защищённого сегмента ЦОД» или весь ЦОД под аттестацию.
2. Выбираете схемы предоставления услуг (колокейшн/IaaS/SaaS/...). Пишете Политику/Декларацию, в которой отмечаете пункты НПА, которые готовы выполнять (например, защищаем всё, до уровня виртуализации. Всё, что в виртуальных машинах — ответственность клиента). Закупаем сертифицированное оборудование для аттестуемого сегмента ЦОД.
3. Заказываем аттестацию на соответствие требованиям Приказа № 17 по классу К1/К2/К3 (для этого маркетолог должен сказать, какие ИС в целевом сегменте рынка). Цена вопроса отличается от класса, количества защищаемых серверов, подхода к аттестации (сегментный или нет), схемы предоставления услуг, номенклатуры вариантов организации защищённого документооборота клиента и т.д. и т.п. От нескольких миллионов руб.
4. Получаем аттестат соответствия объекта информатизации «Защищённый Центр обработки данных г. Истеросса» требованиям защиты информации по классу защищённости.
5. Пишем на сайте: "Защищённый Центр обработки данных г. Истеросса аттестован по классу такому-то! Мы можем предоставлять мощности любым ГИС/ИСПДн. Подключаем с помощью сертифицированных ФСБ криптографических средств"
1. При организации защищённого ЦОД, его владельцы могут пойти по любому из этих вариантов или выбрать свой.
2. Клиент должен сам выбирать поставщика услуг. Ответственность за выбор лежит на клиенте.
3. Уровень доверие ЦОДу определяется клиентом самостоятельно (от «у них красивая вывеска», до предварительно аудита ЦОДа и мониторинга уровня оказания им услуг)
Схема 1. Бюджетная аттестация
1. Выбираем любой комп (например, устаревший компьютер секретарши босса, который всё равно выбрасывать/списывать собирались).
2. Делаем документы заявителя. В качестве названия аттестуемого объекта информатизации выбираем «Защищённый Центр обработки данных г. Истеросса»
3. Заказываем аттестацию на соответствие любым требованиям, хоть РД АС. Цена вопроса порядка 50 тыс. руб.
4. Получаем аттестат соответствия объекта информатизации «Защищённый Центр обработки данных г. Истеросса» требованиям безопасности информации.
5. Пишем на сайте: "Наш Защищённый Центр обработки данных г. Истеросса аттестован по требованиям ФСТЭК"
Преимущества и недостатки схемы
Преимущества | Недостатки | |
Для поставщика услуг: | Дёшево. Очень. | Отсутствуют |
Для потребителя услуг: | Данные клиента могут быть и защищены. Данные клиента могут и не утечь Скорее всего это будет дешевле других вариантов Клиент тоже может говорить всем, что использует аттестованный ЦОД |
Вы можете поставить цену, как будто всё аттестовано, и клиент не подумает, что подозрительно дёшево. Если законом, указом или каким-нибудь постановлением требуется хранить данные клиента в аттестованном ЦОД, то при проверке должностные лица клиента не будут премированы за сэкономленный бюджет |
Схема 2. Обычная бюджетная аттестация по 17-му приказу
1-2. Как в схеме 1.
3. Заказываем аттестацию на соответствие требованиям Приказа № 17 по классу К1. Цена вопроса порядка 350 тыс. руб. (100 тыс. руб. за аттестацию и 250 тыс. на средства защиты (АВЗ, НСД, СКН, СДЗ, МЭ, СОВ, ИБП, СКЗИ с возможностью подключения мобильных клиентов и других КШ)
4. Получаем аттестат соответствия объекта информатизации «Защищённый Центр обработки данных г. Истеросса» требованиям защиты информации по классу защищённости К1.
5. Пишем на сайте: "Наш Защищённый Центр обработки данных г. Истеросса аттестован по максимальному классу К1! Мы можем предоставлять мощности любым ГИС/ИСПДн. Подключаем с помощью сертифицированных ФСБ криптографических средств"
Преимущества и недостатки схемы
Преимущества | Недостатки | |
Для поставщика услуг: | Дёшево. | Надо, всё же, купить средств защиты разных (сетевик говорит, что не нужных), и это будет не Cisco |
Для потребителя услуг: | Информационные системы клиента могут быть и не взломаны. Данные клиента могут и не утечь. Не дорогой вариант. |
Два варианта: либо ИС клиента запустить на этой аттестованной машине — и, как следствие, ИС будет медленно работать, либо (скорее всего) запустить не на этой машине, зато у клиента будет нормальная скорость работы |
Схема 3. Самая бюджетная аттестация по 17-му приказу
1-2. Как в схеме 2.
2а. Физически отключаем от АРМ Интернет.
3. Как в схеме 2, но дешевле: нет Интернета — не нужен МЭ, СОВ, СКЗИ. Цена вопроса снижается до 130 тыс. руб. (100 тыс. руб. за аттестацию и 30 тыс. на средства защиты (АВЗ, НСД, СКН, СДЗ, ИБП).
4. Как в схеме 2.
5. Пишем на сайте как в схеме 2, но чуть короче: "Наш Защищённый Центр обработки данных г. Истеросса аттестован по максимальному классу К1! Мы можем предоставлять мощности любым ГИС/ИСПДн"
Преимущества и недостатки схемы
Преимущества | Недостатки | |
Для поставщика услуг: | Дёшевле, чем вариант 2 | Надо, всё же, купить средств защиты разных, но мало |
Для потребителя услуг: | Информационные системы клиента могут быть и не взломаны. Данные клиента могут и не утечь. Очень не дорогой вариант. Можно написать на сайте, что канал сертифицированной шифросвязи до ЦОД может быть выбран Заказчиком, даже использована криптосеть Заказчика (№ ХХХХ), кроме того, вы не навязываете кленту покупку сертифицированных криптосредств, совместимых с оборудованием ЦОД |
Как и предыдущих случаях, ИС клиента не будет функционировать в аттестованном сегменте ЦОД |
Схема 4. Правильный лендинг
1. Зовём практических безопасников, нормальных сетевиков.
2. Покупаем, что скажут (привычное этим «цискарям» оборудование).
3. Они всё делают, защищают в соответствии с «лучшими практиками».
4. Оформляем web-страницу о ЦОД:
— т.к. купленное оборудование не имеет сертификатов, позволяющих хостить ИС высоких классов на сайте не пишем про классы, просто: "защита организована с помощью ххххх (сертифицированных ФСБ и ФСТЭК)";
— т.к. аттестата нет, и преимуществ перед другими коммерческими ЦОД особо нет, пишем что-нибудь, что есть у всех, но показываем как преимущество: "круглосуточная охрана, резервное оборудование, RAID-массивы, круглосуточная дежурная служба, использование https";
— т.к. нет сертифицированного криптографического сетевого оборудования, просто даём обещания вида "при необходимости может быть организовано..." (да, все знают, что это надо всем, для хостинга аттестованных ИС, а мы подадим как преимущество);
— используем абстрактные фразы: «мы обеспечим безопасность/конфиденциальность/целостность/доступность информации» (главное не писать какую информацию имеем ввиду);
— можно ещё получить ненужные бумажки, желательно в добровольных системах сертификации из разряда "сертификат соответствия за 1 день, по двум документам, дёшево, без регистрации и sms)" и размещаем на сайте фразу, что наш ЦОД сертифицирован.
Преимущества и недостатки схемы
Преимущества | Недостатки | |
Для поставщика услуг: | Нет дополнительных затрат на ИБ | Тяжело отвечать на конкретные вопросы про аттестацию по требованиям ФСТЭК России и ФСБ России |
Для потребителя услуг: | Информационные системы клиента могут быть и не взломаны. Данные клиента могут и не утечь. Очень не дорогой вариант. Можно говорить, что данные защищены в соответствии с «лучшими практиками» |
Контролирующие органы используют другие «лучшие практики» в своей деятельности, поэтому может возникнуть недопонимание между клиентом и комиссией. Как и предыдущих случаях, ИС клиента не будет функционировать в аттестованном сегменте ЦОД. |
Схема 5. Корректная аттестация по 17-му приказу
1. Выбираем сервер/серверы/стойку/несколько стоек для выделения в виде «защищённого сегмента ЦОД» или весь ЦОД под аттестацию.
2. Выбираете схемы предоставления услуг (колокейшн/IaaS/SaaS/...). Пишете Политику/Декларацию, в которой отмечаете пункты НПА, которые готовы выполнять (например, защищаем всё, до уровня виртуализации. Всё, что в виртуальных машинах — ответственность клиента). Закупаем сертифицированное оборудование для аттестуемого сегмента ЦОД.
3. Заказываем аттестацию на соответствие требованиям Приказа № 17 по классу К1/К2/К3 (для этого маркетолог должен сказать, какие ИС в целевом сегменте рынка). Цена вопроса отличается от класса, количества защищаемых серверов, подхода к аттестации (сегментный или нет), схемы предоставления услуг, номенклатуры вариантов организации защищённого документооборота клиента и т.д. и т.п. От нескольких миллионов руб.
4. Получаем аттестат соответствия объекта информатизации «Защищённый Центр обработки данных г. Истеросса» требованиям защиты информации по классу защищённости.
5. Пишем на сайте: "Защищённый Центр обработки данных г. Истеросса аттестован по классу такому-то! Мы можем предоставлять мощности любым ГИС/ИСПДн. Подключаем с помощью сертифицированных ФСБ криптографических средств"
Преимущества и недостатки схемы
Преимущества | Недостатки | |
Для поставщика услуг: | Можно предложить клиенту провести аудит второй/третьей стороны, мониторить нахождение ИС клиента именно в аттестованном сегменте, пройти любую проверку ФСБ/ФСТЭК в отношении ИС клиентов | Дорого. Нужен нормальный методист, который будет корректно вести всю документацию, организовывать приёмку новых стоек |
Для потребителя услуг: | Ваши информационные системы могут быть не взломаны. Ваши данные могут не утечь. Ваша ИС действительно защищена по требованиям ФСБ/ФСТЭК |
Дорогой вариант. |
Выводы
1. При организации защищённого ЦОД, его владельцы могут пойти по любому из этих вариантов или выбрать свой.
2. Клиент должен сам выбирать поставщика услуг. Ответственность за выбор лежит на клиенте.
3. Уровень доверие ЦОДу определяется клиентом самостоятельно (от «у них красивая вывеска», до предварительно аудита ЦОДа и мониторинга уровня оказания им услуг)