Информационные системы, в том числе государственные информационные системы, могут размещаться на базе облачных платформ и сервисов (например, с использованием Платформы «ГосТех»).
В рамках оказываемых ООО «АСЭСТИК ИБТ» услуг, создание системы защиты информации облачных платформ и сервисов обеспечивается за счет выполнения следующих мероприятий:
- в облачных решениях анализируется ИТ-инфраструктура, в которой размещаются (планируются к размещению) серверные компоненты информационных систем и оцениваются возможные угрозы безопасности для инфраструктуры в целом;
- вычислительная инфраструктура облачных решений оснащается необходимыми средствами защиты информации (средства межсетевого экранирования, обнаружения вторжений, защиты среды виртуализации, антивирусной защиты, анализа защищенности и т.д.), которые предназначены для противодействия тем выявленным угрозам, нейтрализация которых возможна на уровне общей для всех размещаемых информационных систем ИТ-инфраструктуры;
- в облачных решениях принимаются организационные меры и меры физической защиты (контроль доступа обслуживающего персонала, запираемые серверные шкафы, видеонаблюдение и т.д.);
- облачные решения аттестуются на соответствие требованиям по защите информации (аттестат соответствия подтверждает выполнение требований по защите ВИ ЦОД, в которой будут размещаться информационные системы до определенных классов и при условии соблюдения определенных требований).
Данные мероприятия позволят размещать или выделять для информационных систем ПО, сервисы, а также виртуальные серверы, на которых предполагается хранение информации ограниченного доступа, следующим образом:
- размещение по модели «Инфраструктура как услуга» (IaaS, Infrastructure-as-a-Service);
- размещение по модели «Платформа как услуга» (PaaS, Platform as a Service)»;
- размещение по модели «Программное обеспечение как услуга» (SaaS, Software as a Service)».
Аттестат соответствия, выдаваемый в результате оказания услуг, подтверждает, что система защиты информации облачных платформ и сервисов соответствует требованиям по защите информации и на базе них допускается размещение информационных систем и обработка защищаемой информации.
Предлагаемые ООО «АСЭСТИК ИБТ» подходы по выделению технологических (инфраструктурных) уровней при формировании требований и проектировании системы защиты информации, позволяют существенно сократить временные и финансовые затраты на размещение, защиту и аттестацию размещаемых на базе облачных платформ и сервисов информационных систем.