Целью обеспечения информационной безопасности, в том числе защиты информации, в государственной единой облачной платформе является обеспечение доступности, целостности и конфиденциальности информации. Под обеспечением безопасности следует понимать защиту указанной информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения.
Система обеспечения информационной безопасности является составной частью государственной единой облачной платформы. Защита информации в системе центров обработки данных является составной частью работ по созданию и эксплуатации центров обработки данных и обеспечивается на всех стадиях (этапах) их создания и в ходе эксплуатации путем принятия в рамках системы защиты информации организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации.
Органы государственной власти, органы местного самоуправления и государственные внебюджетные фонды обеспечивают защиту программно-аппаратных средств и обрабатываемой в них информации, не включенных в информационно-телекоммуникационную инфраструктуру центра обработки данных, а поставщики облачных услуг обеспечивают безопасность информационно-телекоммуникационной инфраструктуры центра обработки данных и обрабатываемой информации.
Специалисты по безопасности поставщиков облачных услуг должны обладать знаниями и навыками, необходимыми для обеспечения безопасности.
Не реже одного раза в год поставщиками облачных услуг должны проводиться организационные мероприятия (обучения, тренировки), направленные на повышение уровня знаний специалистов по вопросам обеспечения безопасности.
Для обеспечения безопасности государственной единой облачной платформы необходимо применять сертифицированные на соответствие требованиям безопасности средства защиты информации.
Для обеспечения бесперебойного функционирования государственной единой облачной платформы поставщику услуг необходимо создать резерв сил и средств.
Поставщики услуг, входящие в систему центров обработки данных, обеспечивают выполнение требований информационной безопасности, реализованных в виде комплекса организационно-технических мер. Состав мер защиты информации должен соответствовать классу защиты не ниже чем класс защиты государственных информационных систем и систем обработки персональных данных, размещаемых в центрах обработки данных поставщиков услуг. Объекты информатизации аттестовываются по требованиям безопасности информации по классу не ниже чем класс защиты размещаемых государственных информационных систем, систем обработки персональных данных, а также исходя из критериев значимости объектов критической информационной инфраструктуры.
Состав организационно-технических мер защиты информации в системе центров обработки данных должен соответствовать требованиям Правительства Российской Федерации, Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации для обеспечения безопасности персональных данных, государственных информационных систем, критической информационной инфраструктуры по определенным классам. Не допускается включение в систему центров обработки данных объектов информатизации, не аттестованных по требованиям безопасности информации по определенным классам.
Защита информации в государственной единой облачной платформе достигается:
своевременным выявлением угроз безопасности информации и уязвимостей;
реализацией необходимых мер и средств защиты информации и обеспечением их соответствия требованиям уполномоченных федеральных органов исполнительной власти;
реализацией единого подхода к обеспечению информационной безопасности в рамках государственной единой облачной платформы как совокупности всех элементов государственной единой облачной платформы, отвечающих требованиям в области обеспечения информационной безопасности;
обеспечением подключения к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а в случае размещения в инфраструктуре государственной единой облачной платформы информационно-телекоммуникационных сервисов финансовых организаций (банки, страховые компании, биржи и прочие) - к системе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России;
реализацией мероприятий по периодическому внутреннему и внешнему контролю состояния обеспечения информационной безопасности государственной единой облачной платформы.
В рамках реализации мероприятий по обеспечению информационной безопасности государственной единой облачной платформы необходимо исследовать возможность использования существующих средств защиты информации для обеспечения информационной безопасности в государственной единой облачной платформе, а также проработать вопросы унификации и стандартизации механизмов защиты информации, используемых при подключении государственных информационных систем к государственной единой облачной платформе.
Защита информации в ходе создания и эксплуатации государственной единой облачной платформы должна обеспечиваться в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, а также в соответствии с требованиями к защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, установленными Федеральной службой по техническому и экспортному контролю в пределах компетенции. Защита информации с использованием криптографических (шифровальных) средств защиты информации должна обеспечиваться в соответствии с требованиями, установленными Федеральной службой безопасности Российской Федерации в пределах компетенции.
Система защиты информации государственной единой облачной платформы должна:
обеспечивать блокирование (нейтрализацию) угроз безопасности информации в государственной единой облачной платформе;
учитывать организационные и юридические аспекты защиты информации;
иметь подтверждение соответствия требованиям к защите информации (должна быть аттестована на соответствие требованиям к защите информации);
проходить ежегодный независимый внутренний и внешний выполняемый лицензированными Федеральной службой по техническому и экспортному контролю организациями аудит применяемых мер информационной безопасности, состояния защиты информации, включая исследование уязвимостей и тестирование на проникновение.
Также необходимо реализовать мероприятия, направленные на обеспечение устойчивости и защищенности сетей связи общего пользования, в том числе от компьютерных атак.