4 задачи, которые должен решить IT-провайдер, если вы работаете с государственными информационными системами

Работа с госпроектами накладывает дополнительную ответственность по части защиты данных. IT-инфраструктура должна соответствовать требованиям законодательства, а роли прозрачно разделяться. Рассказываем, какие задачи со звездочкой решают IT-провайдеры, чтобы работать с госсектором.

Используйте навигацию, если нет времени читать текст целиком.

Чтобы хранить персональные данные россиян по закону, оператор не может использовать любые базы данных. Важно, чтобы они были расположены на территории страны.

Пожалуй, самое громкое дело из-за несоблюдения 152-ФЗ — блокировка LinkedIn в 2016 году. То есть для работы с госпроектами AWS или Google Cloud Platform не подойдут априори.

Сейчас компании все чаще вынуждены полностью мигрировать от зарубежных провайдеров. Поэтому приходится искать решение не только для персональных данных россиян, но и для миграции всей IT-инфраструктуры.

Особенно проблема актуальна для российских компаний, которые больше не могут оплачивать услуги зарубежных провайдеров. При этом время на переезд ограничено. Другая проблема миграции — в сложности передачи данных при разделении на филиалы или юрлица.

Выбирайте провайдера, который составит персональный план миграции, подробно и последовательно опишет, как будет устроен весь процесс. О том, как это устроено в Selectel, можно узнать здесь.

Уже упоминали 152-ФЗ, которому обязательно должна соответствовать IT-инфраструктура оператора данных. Это только вершина айсберга.

Работа с государственными проектами почти всегда требует соответствия 17 и 21 приказам ФСТЭК. Еще нужен международный сертификат PCI DSS для обслуживания платежных карт, а также GDRP — общий регламент защиты персональных данных ЕС.

Найти провайдера, который собрал такой флэш-рояль документов и сертификатов соответствия, проблематично. Продлевать лицензии нужно регулярно, а это не самая простая активность — регуляторы не прощают ошибок.

Еще один сложный момент — определить, как будут обозначены зоны ответственности в случае возникновения инцидентов.

Недавно с таким вызовом столкнулся интегратор ИНКОМА. Компании требовалось построить для клиента максимально защищенную IT-инфраструктуру и аттестовать ее. Экспертиза сотрудников позволяла самостоятельно управлять всеми инструментами безопасности. При этом на рынке не оказалось других провайдеров, которые были бы готовы передать полное управление на логическом уровне.

В Selectel такую проблему решил аттестованный сегмент ЦОД. В рамках этой услуги, клиент получает подготовленную как этого требуют самые строгие стандарты безопасности IT-инфраструктуру. При этом клиент сохраняет полную свободу в выборе гипервизора и других необходимых сертифицированных средств защиты информации.

При аттестации, разворачиваемой для своего заказчика системы, ИНКОМА получили возможность использовать выписку из модели угроз аттестованного сегмента ЦОД и акты установки сертифицированных средств защиты.

В текущей ситуации важно, чтобы у провайдера был большой запас комплектующих для серверов и решений для сетевой безопасности, например, UserGate. Возможно, стоит сразу продумать, как масштабировать IT-инфраструктуру: зарезервировать оборудование и лицензии.

Кроме средств защиты данных, которые предоставляет провайдер, нужно понять, можно ли использовать собственное ПО. Так, например, можно закрыть проблему компетенций команды и использовать знакомые решения или проблему лицензий.

Всегда стоит обращать внимание, как SLA регламентирует работу провайдера и в каких случаях бизнес может рассчитывать на компенсации.

Если вы находитесь в поисках гибкого решения, напишите по адресу sales@selectel.ru. Специалисты компании ответят на вопросы и помогут подобрать решение.

Читайте также:

#Selectel #инфраструктура #безопасность #миграция #security