Неделя до начала полноценной работы ГИС «Электронная путевка». Что делать туроператорам, чтобы не закрыться
С 1 сентября 2024 г. начинает свою работу государственная информационная система «Электронная путевка». Туроператоры, которые не подключатся к ГИС ЭП до этого срока, будут удалены из реестра туроператоров. Ведение деятельности в области туризма станет невозможным. О чем стоит знать турагентам и туроператорам, как им выполнить законодательные требования и каких изменений ждать? Рассказывает Андрей Давид, эксперт по клиентской безопасности компании Selectel.
Кому и зачем нужна система электронных путевок
Государственная информационная система «Единая информационная система электронных путевок» (ГИС ЭП) предназначена для мониторинга рынка туристических услуг в России. Она обеспечивает безопасность туристов и прозрачное оказание услуг.
ГИС разрабатывалась несколько лет, а 15 ноября 2023 г. стала обязательной для туроператоров, которые продают зарубежные поездки. Им необходимо передавать в систему сведения по полностью оплаченным турам с перелетом и проживанием более одной ночи.
С 1 сентября 2024 г. обязательства распространяются и на остальных участников рынка, которые предоставляют услуги въездного и внутреннего туризма. 4 апреля 2024 г. Министерство экономического развития совместно со ФСТЭК России утвердили поручение «Требования к защите информации автоматизированных рабочих мест и информационных (автоматизированных) систем внешних пользователей (туроператоров), подключаемых к государственной информационной системе «Электронная путевка».
Нормативный документ устанавливает требования к безопасности компьютерной системы туроператора, которая подключена к ГИС ЭП. Помимо прочего, речь идет о получении аттестата по требованиям ФСТЭК России, а также организации подключения, защищенного криптографией класса КС3.
Система объединяет информацию, которую предоставляют участники в рамках цифровых процессов. Со стороны государства ГИС ЭП — это возможность мониторинга туристических предложений, оформленных путевок, условий договоров и т. д. на соответствие законодательным требованиям. ГИС генерирует документ, который предоставляется клиентам туроператора. Это удобно как для туристов, так и для бизнеса.
Можно ли не подключаться к ГИС ЭП
Также есть риски и для представителей рынка, подключенных к системе уже продолжительное время. К 1 ноября 2024 г. они должны соответствовать новым требованиям к безопасности, иначе будут отключены от ГИС ЭП и тоже исключены из реестра туроператоров. Повторное подключение будет возможно только при соблюдении всех требований.
Как подключиться к ГИС ЭП
Аппаратное обеспечение
Подключение к ГИС ЭП должно быть осуществлено с использованием криптографии класса КС3. Это означает, что помимо программных средств защиты необходимо применять аппаратные. Для их использования понадобится именно физический сервер, так что облачные ресурсы априори не подходят. Аппаратные вычислительные мощности можно арендовать как сервис (Infrastructure as a Service, IaaS) у провайдера, либо приобрести и развернуть своими силами.
Почему использовать сервер Selectel с аппаратно-программным модулем доверенной загрузки (АПМДЗ) проще, чем решить упомянутые задачи на собственной площадке (on-premise инфраструктуре) с самостоятельной закупкой сервера?
Во-первых, подобрать АПМДЗ для конкретной платформы — не самая простая задача. Есть множество нюансов в аппаратной платформе — например, допуски, которые определены стандартами шин PCI/PCI-E или особенностью разводки платы — и в самом АПМДЗ.
Туроператору (или его подрядчику) придется детально тестировать совместимость в каждом конкретном случае. При этом некоторую информацию можно получить у производителей АПМДЗ. Например, Код Безопасности на своем сайте делится таблицей совместимости ПАК «Соболь» с различными аппаратными платформами. Однако и здесь есть нюанс: большинство серверных платформ, указанных в этой таблице, уже не продаются или не поддерживаются.
Использование выделенных серверов подходит для крупных туроператоров, которые не готовы передавать персональные данные своих клиентов через сторонние шлюзы и стремятся использовать для работы с ГИС ЭП собственные технологии. Применение серверов Selectel позволяет сделать это быстро, с выполнением требований приказа и сохранением полного контроля за персональными данными своих клиентов.
Аттестация
В случае работы на собственной площадке вам нужно будет выполнять строгие меры физической безопасности. Только так можно аттестовать сервер по требованиям приказа ФСТЭК России № 17, о котором говорили выше. При использовании арендованного офиса или ЦОДа необходимо, чтобы подрядчик выполнял эти меры безопасности в своей зоне ответственности.
Модель IaaS предполагает, что выполнение мер безопасности, которые связаны с физическим доступом к оборудованию, берет на себя провайдер. Еще одно преимущество IaaS — гибкость: вам не нужно перемещать и заново аттестовывать аппаратную часть при переезде офиса. Серверы продолжат работать в подготовленном ЦОДе, который соответствует самым строгим требованиям физической безопасности.
Сертифицированный межсетевой экран
Межсетевой экран контролирует и фильтрует проходящий трафик в соответствии с настроенными правилами. Для прохождения аттестации клиенту потребуется аппаратный межсетевой экран (тип А).
При этом если вы решите развернуть и настроить сервер на собственной площадке, то для отказоустойчивости, скорее всего, потребуется купить два файрвола: основной и резервный. Это обеспечит высокий уровень доступности инфраструктуры на время замены вышедшего из строя оборудования.
В случае аренды ресурсов по модели IaaS вы приобретаете один файрвол с гарантией оперативной замены в случае сбоя.
Время
Если ваш сервер не соответствует законодательным требованиям и не совместим с аппаратными средствами защиты информации, придется заказывать новый. Ожидание аппаратной части может достигать недель, а то и месяцев.
При этом зачастую клиенты находят малейшие нестыковки в конфигурации уже после получения сервера. В подобном случае придется повторно оформлять заказ и ждать доставку сервера в новой комплектации. Не стоит забывать и о времени, которое потратят штатные ИТ-специалисты на тестирование решения. Ожидание может быть долгим, т. к. они крайне редко сталкиваются с АПМДЗ и не обладают должным опытом.
Провайдер предоставит готовый сервер значительно быстрее. Ошибки и несостыковки в конфигурации будут сведены к минимуму благодаря большему опыту, а совместимость компонентов уже протестирована.
Софт, сертифицированный ФСТЭК России
Совместимость работы различных средств защиты информации с сервером и ОС — это сложный вопрос, для решения которого клиенту нужно будет привлечь квалифицированных ИТ-специалистов. Помимо прочего, у них должны быть компетенции для настройки и администрирования сертифицированных продуктов.
Провайдер предоставляет готовый программно-аппаратный комплекс, проверку которого уже произвели его ИТ-специалисты. Помимо прочего, провайдер уже знаком со множеством нюансов и сложностей, от которых стоит предостеречь клиента. В штате есть эксперты, которые умеют корректно настраивать и администрировать сертифицированные средства защиты. Если возникнут дополнительные вопросы по софту, то техническая поддержка разберется с ними самостоятельно или с участием вендора и предоставит решения.
Что предлагает Selectel
Как крупный поставщик ИТ-инфраструктуры и ИБ-услуг мы подготовили решение для туроператоров. На нем можно развернуть информационную систему для быстрого подключения к ГИС ЭП.
В основе услуги находится надежная ИТ-инфраструктура Selectel, благодаря которой тысячи российских компаний развивают свой бизнес. Отрасль туризма — не исключение: среди крупных представителей с нами уже работают «Островок!» и десятки туроператоров.
Рассмотрим, какие услуги и решения предоставляем клиенту в рамках предложения.
- Сервер, который совместим со всеми необходимыми средствами защиты информации. На него устанавливается информационная система туроператора.
- Аппаратная плата доверенной загрузки. Как говорили ранее, она нужна для выполнения требований ФСБ России при создании защищенного подключения (КС3).
- Средства защиты информации для ОС, антивирус, сервис анализа и поиска уязвимостей.
- Аппаратный межсетевой экран (тип А). Необходим для проведения аттестации (ГИС КЗ) и обеспечения сетевой безопасности.
- Разовая установка и настройка средств защиты информации, которые предоставляет Selectel. Вам не придется задействовать штатных ИТ-специалистов и искать экспертов с подходящими навыками для тестирования и установки всего набора средств защиты информации.
Однако часть несложных работ остается на клиенте. Сюда входят типовые задачи, выполнение которых проблематично делегировать на провайдера.
Клиенту понадобится
- Установить собственное ПО (ИС туроператора) на сервер.
- Приобрести средства криптографической защиты информации (СКЗИ) VipNet PKI Client.
- Покупка электронной подписи на сертифицированном USB-токене и его передача в Selectel.
- Заключить отдельный типовой договор (для клиентов Selectel) с АО «НТТ» на аттестацию информационной системы туроператора, которая будет создана на базе выделенного сервера Selectel. В документе будет зафиксирована стоимость услуг по Аттестации, разработке организационных документов, настройке защищенного подключения и организацию подключения к ГИС ЭП.
Этапы работ по подключению ИС туроператора к ГИС ЭП
1. Оцените бизнес-потребность в автоматизированном подключении к ГИС ЭП. Чаще всего финансовая выгода возникает, если в месяц оформляются сотни турпродуктов. Для меньших масштабов может быть выгоднее ручной ввод информации.
2. Выясните, возможно ли технически подключить существующую ИС туроператора к ГИС ЭП. Например, такой ИС обладают Самотур, Мастер-Тур и другие. А для ИС собственной разработки потребуется создание API-модуля для обмена данными с API ГИС ЭП.
3. Выясните, можно ли перенести ИС на физический сервер с учетом требований безопасности. Так как нужна аттестация, то будет применяться дополнительный софт и оборудование, сертифицированное ФСТЭК России и ФСБ России. Здесь клиент может столкнуться с ограничениями, которые касаются ИТ. Например, тип и версии поддерживаемых ОС.
4. Зарегистрируйтесь в панели управления Selectel, согласование коммерческого предложения и заказ услуг через выделенного менеджера.
5. Оформите договор с компанией проводящей аттестацию (АО «НТТ»).
6. Приобретите СКЗИ и Электронную подпись, передайте USB-токен в Selectel.
7. Получите сервер с установленным набором средств защиты информации.
8. Установите собственное ПО (ИС туроператора).
9. Передайте доступ в АО «НТТ» для проведения аттестационных испытаний. Установка и настройка защищенного подключения к ГИС ЭП (АО «НТТ»).
10. Разработка организационной документации для туроператора, тестирование системы и выдача аттестата соответствия (АО «НТТ»).
11. Информационная система подключена к ГИС ЭП.
После передачи клиенту доступа к настроенной ИТ-инфраструктуре, Selectel обеспечивает работоспособность на физическом уровне. За работу ПО и администрирование СЗИ отвечает клиент.
Приглашаем на вебинар
Остались вопросы о подключении вашей системы к ГИС ЭП? Присоединяйтесь к совместному вебинару Selectel и АО «НТТ», лицензиата ФСТЭК России и разработчика ГИС «Электронная путевка». Объясним все процессы простыми словами и дадим пошаговый план действий.
Будет полезно менеджерам и ответственным за инфраструктуру в компаниях-туроператоров, ИБ-специалистам и аутсорсинговым компаниям, поддерживающим ИС.
■ erid:LjN8K8iHbРекламодатель: АО "Селектел"ИНН/ОГРН: 7810962785/1247800067790Сайт: https://selectel.ru/