Владимир Лебедев, директор по развитию бизнеса M1Cloud (Stack Group), рассказал о практических задачах бизнеса, которые решаются с помощью аттестованной облачной ИТ-инфраструктуры: «Если мы рассматриваем так называемые compliance-задачи, то в первую очередь при использовании аттестованного защищенного облака для размещения ИСПДн и ГИС компании выполняют требования законодательства, соблюдают отраслевые, корпоративные и партнерские стандарты информационной безопасности, в результате чего снижаются юридические, экономические и репутационные риски, так как компания обеспечивает соответствие как требованиям нормативных документов, так и требуемый компаниями уровень защищенности информации при меньшем уровне затрат на мероприятия по обеспечению ИБ».
Про защищенную по 152-ФЗ виртуальную ИТ-инфраструктуру облака M1Cloud для размещения ИСПДн и ГИС рассказал Валерий Цыганов, руководитель департамента по информационной безопасности M1Cloud (Stack Group): «Облачное решение M1Cloud уже аттестовано по требованиям законодательства РФ - аттестат ГИС К1 и ИСПДн УЗ1 для ЦОД «M1» и аттестат УЗ1 для ЦОД «DataPro». Соответственно, размещение и начало работы ГИС и ИСПДн (типовых решений) в защищенном облаке M1Cloud возможно в течение 2-3 рабочих дней. В результате при размещении информационных систем в защищенном контуре M1Cloud заказчики получают на стороне сервис-провайдера необходимый набор средств защиты информации (СЗИ), отвечающий всем требованиям ГИС К1 и ИСПДН УЗ1, сертификаты и лицензии, передовые технологии, современное оборудование и программное обеспечение, возможность обходиться небольшим штатом ИТ и ИБ специалистов, потребление ИТ-ресурсов и ИБ-услуг как сервиса с оплатой за необходимые выделенные ресурсы, быструю масштабируемость под требуемые задачи, а также круглосуточный мониторинг и техническую поддержку в режиме 24/7».
Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности», рассказал об особенностях решений «Кода Безопасности», применяемых в защищенном облаке на уровне серверов и виртуализации, а также сделал краткий обзор требований законодательства по защите КИИ и мер ответственности за нарушение правил эксплуатации и доступа к средствам хранения, обработки или передачи элементов критической инфраструктуры. «Если говорить о процессе выполнения требований по защите КИИ, то он состоит из нескольких этапов: решение, является ли организация субъектном КИИ, создание комиссии по категорированию, определение критичных процессов, декомпозиция процессов на объекты КИИ, категорирование объектов КИИ и защита объектов КИИ. При этом защита объектов КИИ потребует создания соответствующего подразделения, разработки системы защиты и информирования НКЦКИ об инцидентах ИБ», – рассказал Павел Коростелев.
Если часть объекта КИИ расположена в облаке, то задачи по защите облачной части значимого объекта КИИ делятся между компанией-заказчиком и провайдером услуг, соответственно, провайдер услуг также становится субъектом КИИ. «Требования по защите объектов КИИ сильно схожи с требованиями по защите ГИС и ИСПДн, таким образом, наличие у провайдера уже аттестованного сегмента – хорошее подспорье для переговоров с провайдером на тему КИИ, так как не потребует от него реализации защищенного контура с нуля, что снижает финансовые и временные затраты», - завершил Павел Коростелев.