Предоставление защищенного удаленного доступа к информационным ресурсам, размещенным в ЦОД

Заказчик:

Центр Цифровых Технологий Удмуртской Республики

Руководитель проекта со стороны заказчика

Алексей Поскребышев

Начальник департамента корпоративных и технологических автоматизированных систем управления

Год завершения проекта

2022

Сроки выполнения проекта

Январь, 2021 - Январь, 2022

Масштаб проекта

67000 автоматизированных рабочих мест

Цели

Целью проекта являлось:

- организовать защищенный удаленный доступ исполнителей государственных контрактов по поддержке информационных систем, тем самым обеспечив бесперебойную и стабильную работу сотрудников органов государственной власти и подведомственных им организаций Удмуртской Республики с ресурсами государственных информационных систем расположенными в ЦОД.

Проект подразумевает использование сертифицированных по требованиям ФСБ и ФСТЭК средств криптографической защиты информации и средств защиты информации, а так же использования программного обеспечения, защищающего от утечек конфиденциальной информации и отечественных современных сертифицированных средств защиты информации.

Уникальность проекта

В рамках проекта удалось создать программно-аппаратную платформу, которая представляет собой уникальный универсальный набор инструментов, сертифицированных по требованиям ФСБ и ФСТЭК, позволяющих реализовать безопасный защищенный удаленный доступ с соблюдением требований законодательства РФ по информационной безопасности и тем самым обеспечить надежность, непрерывность и безопасность работы сотрудников органов государственной власти и подведомственных им организаций Удмуртской Республики при работе с ресурсами государственных информационных систем расположенными в ЦОД.

Проект решает задачи импортозамещения

Да

Использованное ПО

Защита канала связи – Infotecs. VipNet Coordinator HW

Обнаружение вторжений – Infotecs. VipNet IDS

Защита от НСД, АРМ- Код Безопасности. Secret Net Studio

Защита от НСД, среды виртуализации - Код Безопасности. vGate

Антивирус – DrWeb

Контроль за действиями пользователей – Searchinform. DLP-система «СёрчИнформ КИБ»

Сложность реализации

Факторы сложности:

1. Сложная распределенная организационная структура и инфраструктура исполнителей.

2. Предоставление доступа, организационные мероприятия. Подписание документов и обмен криптографическими ключами, для организации защищенного соединения через ФГУП ГЦСС (Спецсвязь).

3. Предоставление доступа, технические мероприятия. Исполнитель получает доступ к обслуживаемой системе через буферную машину, а не напрямую используя ssh.

Описание проекта

Центр Цифровых Технологий Удмуртской Республики – это государственное предприятие, специализирующееся на цифровизации и внедрении инноваций в органах государственной власти Удмуртской Республики, эксперт в области защиты информации и сопровождения информационных систем.

Центр обработки данных Удмуртской Республики (ЦОД) – это инфраструктура, обеспечивающая функционирование, в общей сложности, более 70 информационных систем, в которых работают более 67 000 пользователей. ЦОД аттестован по первому классу защищенности.

Развитием и прикладным сопровождением ряда информационных систем размещенных в ЦОД, занимаются исполнители из различных регионов нашей страны. Они контролируют работу прикладного ПО, занимаются администрированием баз данных, участвуют в процессе защиты информации, ведут деятельность по модернизации информационных систем. Данные мероприятия исполнителями выполняются удаленно.

В рамках проекта для обслуживания и обеспечения бесперебойной работы государственных информационных систем, расположенных в ЦОД, реализован защищенный удаленный доступ исполнителей государственных контрактов по поддержке информационных систем с использованием сертифицированных по требованиям ФСБ и ФСТЭК средств криптографической защиты информации и средств защиты информации.

Исполнители контролируют работу прикладного ПО, занимаются администрированием баз данных, участвуют в процессе защиты информации, ведут деятельность по модернизации информационных систем.

Учитывая территориальную удаленность исполнителей, локальный доступ к системам, с точки зрения обеспечения информационной безопасности, наиболее предпочтителен, но чрезмерно ресурсоемкий для обеих сторон договора.

Учитывая минусы локального доступа, мы пошли по другому пути и организовали удаленный доступ.

Был реализован следующий порядок работы с информационными ресурсами, размещенными ЦОД:

1. Предоставляется удаленный доступ к ресурсам с применением механизма сетевой сегментации.

2. Канал связи между исполнителем работ и ЦОД защищен криптографически с использованием сертифицированных ФСБ СКЗИ.

Криптографические ключи для организации защищенного соединения передаются пользователям лично либо через ФГУП ГЦСС (Спецсвязь).

3. Исполнителю работ выделяется виртуальное рабочее место, оснащенное всем необходимым инструментарием для администрирования систем.

4. Обслуживание информационной системы осуществляется с выделенного виртуального рабочего места.

Вышеописанный удаленный доступ организуется в соответствии с утвержденным оператором ЦОД Порядком, которым руководствуются все исполнители работ, а так же операторы, чьи информационные системы размещены на ресурсах ЦОД. Дополнительно, при предоставлении удаленного доступа с исполнителями работ подписываются соглашения о конфиденциальности, что накладывает на них обязанности по сохранению конфиденциальности информации, ставшей им известной в процессе обслуживания информационных систем

География проекта

Развитием и прикладным сопровождением информационных систем, размещенных в ЦОД, занимаются исполнители из 15 регионов нашей страны от Санкт-Петербурга до Новосибирска.