Особенности размещения прикладных сервисов на платформе «ГосТех»
Автор статьи:
Маргарян Карине Вагановна
Юрист в сфере ИТ, специалист по охране и защите интеллектуальной собственностиЧто представляет собой единая цифровая платформа Гостех?
В соответствии с решением Правительства РФ от 16.12.2022 (регулятивный документ № 2338), были установлены регламенты использования унифицированной ИТ-платформы “ГосТех”.
Эта система является облачным решением с комплексом единых инструментов и компонентов, способствующих разработке и адаптации цифровых сервисов для государственных учреждений на базе этой платформы.
По директиве, “ГосТех” становится обязательной для применения в органах власти и на региональном уровне, начиная с 2024 года.
- С апреля 2023 года все государственные информационные системы (ГИС) должны быть ориентированы на создание и функционирование через “ГосТех”
- Также с начала 2024 года этому требованию должны следовать и региональные информационные системы (РИС)
Принятие такой инициативы способствует внедрению в инфраструктуру госсектора концепции конвейера для разработки безопасного программного обеспечения.
Виды цифровых продуктов/сервисов платформы «ГосТех»
- Инфраструктурные технологические решения представляют собой комплексные вычислительные ресурсы и функциональные инструменты, обеспечивающие эффективное взаимодействие с системой электронных государственных услуг.
- Базовые решения платформы «ГосТех» состоят из стандартного комплекса базовых сервисов, охватывающих настройку системных параметров, аудита событий безопасности, логирование событий, сбора метрик и регулирование доступа через администрирование аккаунтов.
- Дополнительные решения платформы «ГосТех» охватывают функции, выходящие за рамки стандартного набора утилит, и предлагаются в формате программных пакетов, приложений и исходников для удовлетворения специфических пользовательских нужд.
- Решения, обеспечивающие защищенность информации — это комплексные решения, включающие в себя программное и аппаратное обеспечение, предназначенные для выявления и нейтрализации сетевых угроз и атак.
Из чего состоит процесс перехода цифровых сервисов на ЕЦП ГосТех
Переход цифровых сервисов на платформу ГосТех включает в себя несколько этапов и требует выполнения определенных условий.
Ниже приведены ключевые этапы и предписания.
Подготовка к размещению сервиса на платформе ГосТех
- Прежде всего, следует изучить нормативные требования, предъявляемые к сервисам на платформе ГосТех, изложенные в официальном документе «Методические рекомендации по интеграции сервисов в единую цифровую платформу ГосТех» (далее — Методические рекомендации).
- Далее необходимо описать алгоритм размещения сервиса на вычислительных ресурсах платформы ГосТех. Решение о том, как устанавливается и разворачивается продукт, обычно зависит от конкретных требований и инфраструктуры заказчика, а также от архитектуры самого продукта.
В контексте поставки сервиса для платформы ГосТех, может быть использован различный подход к установке и развертыванию, включая следующие варианты:
- Установка из дистрибутива
- Использование контейнерных решений
Выбор конкретного метода установки и развертывания будет зависеть от множества факторов, таких как:
- Требования к масштабируемости
- Управлению ресурсами
- Сложность приложения
- Технические возможности заказчика
Важно также учитывать совместимость выбранного метода с требованиями безопасности и политиками управления данными организации.
- Описать предполагаемый способ интеграции сервиса с базовыми сервисами платформы ГосТех.
Обязательно необходимо обеспечить интеграцию со следующими базовыми сервисами платформы: управление пользователями (IAM), журналирование, аудит, мониторинг.
- Если продукт не сертифицирован ФСТЭК России необходимо выполнить внедрение процессов разработки безопасного программного обеспечения (ПО) в соответствии с ГОСТ Р 56939-2016.
Для этого необходимо выполнить следующие шаги:
- Изучить требования стандарта ГОСТ Р 56939-2016 и определить, какие из них применимы к цифровому продукту и процессам разработки в вашей компании
- Создать процессы разработки, которые включают шаги по обеспечению безопасности на всех этапах жизненного цикла разработки ПО: от планирования и анализа требований до тестирования и сопровождения
- Учесть в процессах разработки меры по обеспечению безопасности, такие как регулярные проверки кода на уязвимости, использование безопасных методов разработки и тестирование на безопасность на всех этапах
- Провести анализ уязвимостей цифрового продукта и используемых компонентов в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3 по требованиям к оценочному уровню доверия по компоненту AVA_VAN.2
- Интегрировать базовый сервис управления доступом (IAM) в цифровой продукт для идентификации и авторизации пользователей
- Обеспечить соответствие использования IAM требованиям безопасности, таким как многофакторная аутентификация, управление правами доступа и регистрация действий пользователей для аудита
- Обновить документацию, в том числе:
- Инструкции для обеспечения надёжности
- Руководства для конечных пользователей
- Инструкции по инсталляции
- Детали относительно внешних зависимостей (программное обеспечение, не входящее в комплект поставки заказчика)
- Методы вычисления необходимых компьютерных ресурсов (кол-во потоков CPU, объем RAM, объем и производительность дискового хранилища и прочее).
- Определить ключевые функции для их включения в программу и методику испытаний (ПМИ).
Направление заявления с пакетом документов для размещения сервиса на платформе ГосТех
После выполнения подготовительных процедур, необходимых для размещения сервиса на платформу ГосТех необходимо заполнить, подписать и направить необходимые для подачи заявления документы удобным для вас способом:
- С помощью кнопки «Предложить продукт» на сайте ГосТех
- По электронной почте apply@platform.gov.ru
- Через систему межведомственного электронного документооборота МЭДО
Проверка документов представителями ФКУ ГосТех
После отправки заявления необходимо дождаться ответа от представителей ФКУ “ГосТех”.
В случае необходимости они могут запросить дополнительные сведения или провести дополнительные проверки.
Важно подготовиться к этому заранее и предоставить всю необходимую информацию в полном объеме и в соответствии с требованиями.
Технические испытания сервиса
В соответствии с согласованной архитектурой развертывания и предоставленной информацией о требуемых вычислительных ресурсах ФКУ «ГосТех» предоставит стенд для проведения технической проверки цифрового продукта на платформе ГосТех.
Для подготовки стенда на платформе к испытаниям и направления необходимых документов понадобится выполнить следующие шаги:
- Подготовить программу и методику испытаний (ПМИ)
- Описать механизмы интеграции продукта с платформой «ГосТех»
- Описать алгоритм развертывания продукта на платформе
- Подготовить иные необходимые технические документы
- Согласовать с ФКУ «ГосТех» ПМИ и дату проведения испытаний
Завершив эти этапы, ваш стенд будет подготовлен к проверке функционала.
Тестирование программного обеспечения на экспериментальной базе проходит совместно с ФКУ «ГосТех».
Интегрированный период настройки комплекса и осуществления тестовых задач не должен выходить за рамки двух календарных месяцев.
Утверждение решения о включении сервиса в каталог цифровых продуктов платформы ГосТех
На данном этапе специалисты ФКУ «ГосТех» завершают процедуру утверждения документации по результатам проведенных тестов и оформляют проект экспертного заключения.
Имея утвержденный отчет об испытаниях, вы получите официальное заключение о том, что ваш продукт успешно соответствует заданным параметрам при проверке на соответствующей платформе.
В то же время, проект заключения, разработанный с участием Межведомственной рабочей группы по вопросам архитектуры Минцифры России подтвердит, что ваш продукт отвечает установленным нормативам и критериям в сфере цифровой архитектуры.
Внесение сервиса в каталог цифровых сервисов платформы ГосТех
В случае положительного решения о допуске цифрового продукта в перечень электронных ресурсов платформы ГосТех уведомление об этом будет отправлено заявителю через электронную почту.
Требования к составу документов для включения в ЕЦП ГосТех
Для заявки на включение сервиса в каталог цифровых продуктов ГосТех требуется следующий состав документов.
Юридические:
- Свидетельство о государственной регистрации Роспатент
- Копия устава компании разработчика
- АКТ сдачи-приемки исключительных прав
- Декларация о соответствии цифрового продукта и его поставщика требованиям методических рекомендаций по включению сервисов в единую цифровую платформу Российской Федерации ГосТех (Декларация поставщика)
- Приказ о вводе в эксплуатацию программного продукта
Бухгалтерские:
- Карточка учета нематериальных активов
Документы по ИБ:
- Матрица ролей
- Аттестат соответствия требованиям по защите информации
- Оценка соответствия реализованных мер по разработке безопасного программного обеспечения
- Описание реализации процессов (процедур) разработки
- Результаты проведения испытаний по выявлению уязвимостей в программном обеспечении цифрового продукта
Программная документация:
- Руководство пользователя
- Описание системы API
- Системные требования
- Руководство по развертыванию
- Программа и методика испытаний
- Инструкция по настройке учетной записи
Выписки:
- Выписка из единого реестра российских программ для электронных вычислительных машин и баз данных и единого реестра программ для электронных вычислительных машин и баз данных из государств – членов Евразийского экономического союза, за исключением Российской Федерации
Включение сервиса на единую цифровую платформу ГосТех
На платформе ГосТех реализован стандартный комплект технологических решений, повышающих безопасность интернет-сервисов.
После агрегирования всех базовых элементов системы, государственное учреждение должно пройти процедуру сертификации информационной системы, подтверждая ее надежность с точки зрения кибербезопасности.
Этот процесс включает в себя:
- Фазу обнаружения уязвимостей путем проведения аудита исходного кода с помощью статического и динамического анализа кода
- Реализацию сборки системы с использованием исходного кода из контролируемых репозиториев, которые соответствуют стандартам безопасности и имеют достаточный уровень доверия
Данные положения обеспечивают внедрение в государственных информационных системах методологии DevSecOps – конвейера безопасной разработки программного обеспечения.
Заказчику из государственного сектора стоит сосредоточиться на создании только того уровня функциональности, который отвечает за уникальные требования его деятельности.
Данная концепция позволяет ускорить реализацию конечного сервиса или продукта и гарантировать его безопасность.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram