“Young Scientist”
.
# 24 (366)
.
June 2021
31
Information Technology
Однако с развитием цифровизации процессов возникают
и новые угрозы безопасности информации из-за новых каналов
утечки, которые могут привести к ущербу финансовому, репу-
тационному, а также к нарушению соответствующих законода-
тельств.
В данной статье речь пойдёт об определении требований
к защите виртуализированной инфраструктуры (ВИ) и вы-
боре решений защиты информации для виртуализированной
инфраструктуры, на основе требований регуляторов, опреде-
ленных в отношении виртуализированной среды организации.
Виртуализация представляет собой имитацию программ-
ного и/или аппаратного обеспечения, в среде (на базе) которого
функционируют различные программы [1].
Виртуализацию проводят в отношении:
– программ;
– вычислительных систем;
– систем хранения данных;
– вычислительных сетей;
– памяти;
– данных.
Виртуализируя всю информационную систему или её часть,
применимо определение виртуальной инфраструктуры, ко-
торая представляет собой композицию иерархически взаимос-
вязанных групп виртуальных устройств обработки, хранения
и/или передачи данных, а также группы необходимых для их
работы аппаратных и/или программных средств.
Средствами создания и управления виртуальной инфра-
структурой являются гипервизоры. Гипервизор (монитор вир-
туальных машин) — это программа, создающая среду функцио-
нирования других программ (в том числе других гипервизоров)
за счет имитации аппаратных средств вычислительной тех-
ники, управления данными средствами и гостевыми операци-
онными системами, функционирующими в данной среде [1].
Различают гипервизоры I и II типа:
– гипервизор I типа: Гипервизор, устанавливаемый непо-
средственно на аппаратное обеспечение в качестве системного
программного обеспечения [1].
– гипервизор II типа: Гипервизор, устанавливаемый
в среде хостовой операционной системы в качестве приклад-
ного программного обеспечения [1].
Для защиты перечисленных объектов используют как вир-
туальные средства ЗИ, так и средства ЗИ, предназначенные для
использования в среде виртуализации, являющиеся разновид-
ностями средств ЗИ и другие виды средств ЗИ.
В Российской Федерации главным регулятором по кон-
тролю безопасности виртуализации является ФСТЭК России,
в 2013 году издавший приказы № 17 «Об утверждении тре-
бований о защите информации, не составляющей государ-
ственную тайну, содержащейся в государственных информаци-
онных системах» и № 21 «Об утверждении состава и содержания
организационных и технических мер по обеспечению безопас-
ности персональных данных при их обработке в информаци-
онных системах персональных данных». В этих документах,
в частности, дан перечень мер защиты, обязательных при ис-
пользовании виртуальных сред в государственных информа-
ционных системах и информационных системах персональных
данных. При этом особое внимание уделяется необходимости
применения сертифицированных средств защиты виртуальной
среды. Если же система не является государственной, использо-
вание приказа ФСТЭК № 17 не обязательно.
Приказ № 21 говорит о необходимости защиты ключевого
элемента облачных вычислений — «среды виртуализации»
(ч. 2, п. 8), не запрещая напрямую или косвенно использовать
внешние сервисы. Также данный приказ содержит конкретные
меры по защите среды виртуализации, которые должны быть
реализованы в зависимости от уровня защищенности персо-
нальных данных и наличия актуальных угроз (ЗСВ.1 — ЗСВ.10).
Помимо этого, в 2016 году вступил в силу государственный
стандарт ГОСТ Р 56938–2016 «Защита информации. Защита
информации при использовании технологий виртуализации.
Общие положения», устанавливающий требования по защите
информации, обрабатываемой с использованием технологий
виртуализации.
Достарыңызбен бөлісу: