Администрация Костромской области

Клиент

Администрация Костромской области — высший орган исполнительной власти в Костромской области. Издаёт постановления, приказы, инструкции, а также обеспечивает исполнение Конституции России, федеральных законов и иных нормативных правовых актов РФ, Устава и законов области, нормативных правовых актов губернатора на территории региона.

Задача

Размещение в облаке информационных систем, относимых законодательством РФ к государственным информационным системам (ГИС) требует как от собственника информационных систем (ИС) так и от сервис-провайдера выполнения ряда организационно-технических мер по соблюдению требований безопасности информации, определенных законодательством РФ. Клиенту не просто требовалась инфраструктура, допускающая размещение технических средств Региональной Инфраструктуры Электронного Правительства Костромской области (РИЭП). Необходимо было повысить эффективность информационного обмена без снижения уровня безопасности и роста непрофильных кадров регионального сегмента инфраструктуры электронного правительства Костромской области. Из дополнительных условий: RTO — не более 2 часов, RPO — 2 раза в день.

Как решили

Типовой региональный сегмент инфраструктуры электронного правительства включает в себя систему регионального межведомственного электронного взаимодействия, автоматизированную систему исполнения регламентов оказания услуг, региональный портал и реестр государственных услуг, системы идентификации и аутентификации, информационно-платежные шлюзы и другие элементы.

Ввиду особенностей функционирования СМЭВ (система межведомственного электронного взаимодействия), непосредственно взаимосвязанной с РИЭП, было принято решение оставить уже сложившуюся структуру организации связи со СМЭВ без изменений. А для сокращения издержек на модернизацию серверного оборудования, необходимого для функционирования сервисов РИЭП, их решили разместить в облачной инфраструктуре IaaS-провайдера.

Одна из проблем при этом – доступ сервисов РИЭП из ЦОД провайдера к СМЭВ. Защита каналов связи между ЦОД, в котором развернута облачная инфраструктура и ЦОД с развернутым шлюзом доступа в СМЭВ должна была соответствовать уровню, предъявляемому документами, регламентирующими доступ к СМЭВ. В данном конкретном случае, изобретать велосипед не пришлось и, опираясь на «Регламент 3.5 Приложение 4 Требования к сети передачи данных участников информационного обмена», опубликованном на технологическом портале СМЭВ, было принято удовлетворяющее требованиям решение.

В качестве средств криптографической защиты каналов связи была выбрана линейка продуктов компании Infotecs. В конечных точках были установлены программно-аппаратные комплексы ViPNet Coordinator HW1000. ViPNet Coordinator HW1000 — это шлюз безопасности для защиты компьютерных сетей масштаба предприятия, который позволяет организовать защищенный доступ как в ЦОДы, так и в корпоративную облачную инфраструктуру, и поддерживает защиту скоростных каналов связи до 1 Гбит/сек. Данные комплексы имеют сертификаты ФСТЭК как средство межсетевого экранирования и сертификат ФСБ, как средство криптографической защиты уровня КС3.

Для организации защищенных каналов связи в ЦОД сервис-провайдера был размещен отказоустойчивый кластер координаторов HW1000. Для увеличения пропускной способности канала связи и в качестве дополнительного механизма резервирования была настроена агрегация каналов связи. На территории ЦОД заказчика размещен единственный координатор HW1000, включенный в оптическое кольцо провайдера.

Для удобства администрирования и разграничения зон ответственности, трехстороннее взаимодействие между защищаемыми сетями передачи данных (ЗСПД) реализовали без организации межсетевого взаимодействия. Т.е. в пределах контролируемой зоны обмен трафиком между криптошлюзами СМЭВ, канала ЦОД-ЦОД и областной ЗСПД происходит в открытом режиме.

Помимо средств защиты от НСД, весь разрешенный трафик, направляемый к виртуальным машинам проходит инспекцию на наличие сигнатур атак системой обнаружения вторжений. В качестве IDS применяется так же продукт компании Infotecs. Программно-аппаратный комплекс (ПАК) ViPNet IDS — эффективная и надежная система обнаружения компьютерных атак (вторжений) в корпоративные информационные системы. Работа системы строится на основе динамического анализа сетевого трафика, начиная с канального уровня и заканчивая прикладным уровнем модели взаимодействия открытых систем. В данном случае выбор был обусловлен единообразием применяемых решений и совместимостью средств управления.

Из различных вариантов средств резервирования, сертифицированных ФСТЭК, выбор пал на проверенный Veeam. Veeam Backup & Replication обеспечивает эффективное резервное копирование, репликацию и восстановление виртуализованных приложений и данных. Решение выполняет быстрое и надежное резервное копирование виртуальных машин VMware без использования агентов внутри виртуальных машин. Veeam Backup & Replication ускоряет процесс создания резервных копий и позволяет снизить издержки на хранение данных.

Результаты проекта

Администрация Костромской области получила возможность нарастить эффективность РИЭП без увеличения затрат и с уменьшением нагрузки на штатных ИТ-специалистов. Выбранное клиентом  решение даёт возможность передавать конфиденциальные данные по каналу связи, защищённому с помощью СКЗИ, соответствующему требованиям ФСБ России к классу КС3, и защитить виртуальные машины от несанкционированного доступа с помощью сертифицированного средства защиты виртуальных сред vGate, решив проблему супер-пользователя и приведя виртуальную инфраструктуру в соответствие требованиям приказов ФСТЭК России.

Что получил клиент

Помимо классических плюсов облачных технологий, размещение ГИС на площадке облачного сервис-провайдера позволяет заказчикам избавится от головной боли по реализации требований безопасности в среде виртуализации. Сервис-провайдер полностью берет на себя реализацию защитных мер всей облачной инфраструктуры. Кроме того, серьезные провайдеры готовы предоставить необходимые средства защиты, оказать консультативную помощь и выдать рекомендации по соблюдению требований безопасности информации внутри виртуальных машин заказчика.