В госсекторе для СЭД пока можно использовать только частные облака
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
Попытки создать СЭД в облаке делались ещё несколько лет назад как на федеральном и региональном уровне, так и для отдельных отраслей. Например, для медицины создание облачного решения с типовыми программными решениями было бы оптимальным выходом в связи с незначительным удельным уровнем информатизации на местах. Однако два больших "но" мешают этому процессу.
Первое "но" состоит в том, что каналы доступа к интернету небольших лечебных учреждений имеют де-факто недостаточную пропускную способность для работы в облаке.
Второе "но" связано с безопасностью. У нас до сих пор нет внятного решения по обеспечению безопасности и обеспечению доверенной работы в облаках. Например, проблема трансляции доверия к идентификации пользователей пока не имеет решения на федеральном уровне. Используемое ЕСИА в качестве основного решение на базе протокола SAML 2.0 работает только с паролями. Как можно доверять парольной защите при доступе к медицинским данным?
Ещё один пример. Простые правила, которыми руководствуются имеющие существенно больший опыт западные коллеги, у нас почему-то не приживаются. Так, присоединение к облаку прикладных программ и сервисов должно производиться с жёстким контролем уровня безопасности данного приложения, размещённого, как правило, на удалённых серверах. Наши правила присоединения пока аспектов безопасности практически не касаются…
Вывод простой. По соображениям безопасности пока можно использовать только частные облака, которые, как правило, полностью контролируются владельцем инфраструктуры, средств виртуализации и установленной СЭД.
В целом же меры безопасности для государственных информационных систем (ГИС) определены ФСТЭК России. СЭД — одна из систем, наполняющих ГИСы необходимыми инструментами работы. Практически это означает, что защита СЭД в составе ГИС ничем не отличается от классической задачи защиты информации информационной системы на основе риск-менеджмента.