Защита в облаке: для клиента и для себя

Защита в облаке: для клиента и для себя

Алексей Голдбергс

Директор Центра киберзащиты компании SberCloud

Интервью

Пандемия коронавируса заметно усилила интерес заказчиков к облачным приложениям и сервисам. Крупный, средний и малый бизнес, а также государственные структуры активно размещают свои информационные
системы в облаке, поэтому компании, предоставляющие услуги подобного рода, особое внимание уделяют информационной безопасности, защите собственной инфраструктуры и ресурсов своих клиентов от
всевозможных киберугроз и атак злоумышленников. Чем занимаются ИБ-специалисты облачных сервис-провайдеров? Об этом нам рассказывает Алексей Голдбергс, директор Центра киберзащиты компании
SberCloud. SberCloud – облачная платформа экосистемы Сбербанка. Информационно-технологические платформы и услуги SberCloud являются частью цифровой экосистемы Сбербанка, а также предоставляются
внешним клиентам – коммерческим компаниям и государственным организациям.

Как вы пришли в информационную безопасность, как строилась ваша профессиональная карьера до компании SberCloud?

Высшее образование я получил по специальности «Информационные системы (в технике)» и в информационную безопасность пришел из ИТ. ИБ я начал плотно заниматься с 2006 года, но и тогда моя
деятельность в основном была связана с ИТ. Я работал в нижегородском филиале компании МТС, где на тот момент отсутствовала выделенная служба ИБ, поэтому развертыванием и эксплуатацией средств
защиты занимался отдел технического администрирования ИТ-подразделения. Затем я продолжил заниматься ИБ в российском офисе корпорации Microsoft в должности эксперта по технологиям информационной
безопасности. С тех пор я занимаюсь исключительно ИБ: три с половиной года я проработал в компании «КриптоПро» в должности заместителя технического директора, затем 2 года в Positive Technologies,
откуда перешел в Сбербанк, а уже оттуда в его дочернюю компанию – SberCloud.

Чем занимается Центр киберзащиты компании SberCloud, которым вы руководите?

Центр киберзащиты отвечает за кибербезопасность двух основных областей: инфраструктуры, в которой размещаются рабочие станции сотрудников и бизнес-системы самой компании (управление персоналом,
бухгалтерия, взаимоотношения с клиентами и т.п.), и инфраструктуры облачной платформы SberCloud, в которой размещаются информационные системы наших заказчиков. Деятельность нашего подразделения
делится на три ключевых направления: методология, архитектура и эксплуатация. Направление методологии охватывает все, что связано с регулированием в области информационной безопасности. Мы
подпадаем под требования сразу нескольких регуляторов и обязаны их соблюдать. Также к методологии относится разработка внутренних политик, регламентов и стандартов. По сути, это все, что связано с
так называемой «бумажной безопасностью». Направление архитектуры включает разработку и развитие наших продуктов и сервисов в части киберзащиты. Эксплуатация занимается развертыванием и поддержкой
средств защиты как внутренней, так и внешней инфраструктуры.

Какие продукты и направления работы SberCloud уже прошли сертификацию и лицензирование, а где этот процесс пока не завершен?

В соответствии с положениями Федерального закона от 04.05.2011 №99-ФЗ «О лицензировании отдельных видов деятельности» ряд видов деятельности, связанных с информационной безопасностью и оказанием
услуг связи полежат обязательному лицензированию. Наша компания осуществляет сразу четыре таких вида деятельности и имеет все необходимые для этого лицензии на разработку и производство средств
защиты конфиденциальной информации, деятельность по технической защите конфиденциальной информации, оказание услуг связи, а также разработку, производство, распространение шифровальных
(криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области
шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств. Что же касается сертификации и аттестации, то все наши ключевые продукты имеют действующие аттестаты соответствия тем или иным требованиям регуляторов. В частности,
«Виртуальный ЦОД» аттестован по требованиям безопасности 152-ФЗ, предъявляемым к информационным системам персональных данных (ИСПДн) при обеспечении первого (самого высокого) уровня защищенности
персональных данных (ПДн). Суперкомпьютер «Кристофари» и продукты AI Cloud, использующие вычислительные ресурсы «Кристофари», успешно прошли процедуру аттестации по требованиям безопасности 152-ФЗ,
предъявляемым к ИСПДн при обеспечении второго уровня защищенности ПДн, использующие вычислительные ресурсы «Кристофари». Ну и наконец третий аттестат мы получили в конце июня текущего года, который
подтверждает соответствие инфраструктуры облачной платформы SberCloud, предназначенной для размещения государственных информационных систем (ГИС), требованиям безопасности информации, предъявляемым
к ГИС при обеспечении первого (самого высокого) класса защищенности и к ИСПДн при обеспечении второго уровня защищенности ПДн. Помимо этого в активной фазе находятся проекты аттестации и
сертификации других наших продуктов.

Как у вас в компании построено взаимодействие с регуляторами?

Мы взаимодействуем с регуляторами в области информационной безопасности сразу по двум направлениям. Первое – реализация их требований, предъявляемых к лицензиатам. И должен сказать, что в этом
направлении все всегда проходило очень гладко: есть четкие требования, ты их выполняешь, направляешь документы, получаешь лицензию. Да, это достаточно продолжительная процедура, занимающая
несколько месяцев, в рамках которой необходимо закупить оборудование, организовать рабочее место, обучить сотрудников и т. д. Но все эти требования четко определены в соответствующих нормативных
документах и ты просто должен их реализовать. Так было и со ФСТЭК, и с ФСБ. Никаких сложностей не возникало. Все было понятно и прозрачно.

Второе направление – взаимодействие с регуляторами в рамках совместных инициатив для государственных органов власти. И я хочу отметить, что каждый раз со стороны представителей регуляторов мы
встречали открытую позицию и готовность к диалогу. Разумеется, для того, чтобы этот диалог был максимально конструктивным, необходимо подготовить для него фактуру. Если мы говорим о какой-то
информационной системе, необходима разработанная архитектура, модель угроз и т.д. Тогда и будет предмет для разговора. Если же приходить к регулятору с размытыми описаниями, то и найти с ним
взаимопонимание будет довольно сложно.

Единственное, что я хотел бы отметить, это отсутствие со стороны регуляторов понятных положений в части обеспечения информационной безопасности при использовании облачных вычислений. Очень
недостает четких требований, указаний и методических рекомендаций, учитывающих специфику размещения информационных систем в «облаках». Поэтому приходится либо самим искать подходы к выполнению
существующих требований, разрабатывавшихся для классических способов размещения информационных систем на собственном оборудовании в собственном ЦОД, либо привлекать внешних консультантов с опытом
такой работы.

Давайте поговорим про облачные продукты. Какие требования по защите предъявляются к ним? Какие вызовы, риски и угрозы характерны именно для них?

Каких-то регламентов и особых требований со стороны регуляторов в России пока нет. Чаще всего при разработке облачных продуктов мы руководствуемся требованиями, исходя из целевой аудитории продукта
и бизнес-процессов заказчиков, которые эти продукты будут использовать, а также ту информацию, которая будет в них обрабатываться. К примеру, если речь идет об обработке персональных данных, мы
берем требования из соответствующих нормативно-правовых документов по обработке и защите персональных данных: 152-ФЗ, Постановление Правительства РФ №1119, приказ ФСТЭК №21, приказ ФСБ № 378 и т.д.
На входе в проект разработки продукта мы совместно с владельцем продукта прорабатываем вопросы организации киберзащиты, исходя из того, какая именно информация будет в нем обрабатываться и каким
требованиям он должен соответствовать. Если речь идет о продукте для государственных органов, то там одни требования. Если же в продукте предполагается обработка персональных данных, то необходимо
определить, какие именно категории ПДн будут обрабатываться и в каком объеме. Эту информацию мы обязательно запрашиваем у владельца продукта.

Что же касается особенностей облачных продуктов, то тут следует иметь в виду матрицу разделения ответственности за кибербезопасность облачных сервисов, которая существенно отличается от
распределения зон ответственности при размещении информационных систем в собственном ЦОД организации, и во многом зависит от модели предоставления сервиса (IaaS, PaaS, SaaS). Чем выше уровень
абстракции сервиса относительно физического, тем больше ответственности ложится на плечи поставщика сервиса и тем большее внимания заказчик должен уделять выбору доверенного поставщик и продуктов,
чье соответствие требованиям и рекомендациям регуляторов и стандартов, подтверждено соответствующими аттестатами и сертификатами. В то же время, зачастую заказчик на этом и ограничивает свое
участие в защите своих информационных систем и приложений, забывая о том, что ряд мер защиты по-прежнему остается в его зоне ответственности.

Как Центр киберзащиты помог сотрудникам SberCloud перейти на удаленную работу в период пандемии коронавируса? Что оказалось самым сложным в этом процессе?

Когда возникла эта ситуация, мы не ощутили каких-либо сложностей и падения производительности во многом потому, что придерживаемся принципа «eat your own cooking» («ешь то, что ты готовишь»). Ряд
наших бизнес-систем, которые мы используем для осуществления своей хозяйственной деятельности, размещаются в нашей же инфраструктуре облачной платформы. Мы пользуемся своими же продуктами, которые
всегда были доступны из облака. Помимо этого, мы используем некоторые облачные сервисы сторонних поставщиков. Так было с первых дней существования компании. Где-то мы нарастили вычислительные
мощности, где-то докупили дополнительные подписки на сторонние сервисы, но в целом процесс перехода на удаленный режим работы был для нас максимально безболезненным. Сложности, конечно, тоже были.
Ряд процессов с силу требований законодательства, либо в силу неготовности заказчиков и партнеров был привязан к бумажному документообороту. Когда началась самоизоляция, у нас еще не завершилось
внедрение электронного документооборота и часть документов оставалась в бумажном виде со всей сопутствующей логистикой. Вторая сложность заключалась в том, что мы не переставали принимать на работу
новых сотрудников в период пандемии. Необходимо было перестраивать процессы HR, подписания нужных документов, выдачи сотруднику требуемого для работы оборудования с необходимыми средствами защиты.
Тем не менее за все время самоизоляции у нас не останавливались производственные процессы. Так же сильно помогло то, что еще до официально объявленного режима самоизоляции мы проводили учения, в
ходе которых в определенный день все сотрудники должны были остаться дома и работать удаленно. Эти учения подтвердили нашу готовность к такому развертыванию событий и поэтому всеобщая «удаленка» не
вызвала ни у кого особых затруднений.

Источник