Подготовка к защите ИС в центре обработки данных (ЦОД)

26/03/25

Б-152

Кристина Ахременко, Екатерина Витенбург

Подготовка к защите ИС в центре обработки данных (ЦОД)

Статья посвящена роли и разработке нормативных документов в области информационной безопасности. Рассматриваются требования регуляторов, примеры детализации процессов на основе инструкции администратора безопасности, а также рекомендации по созданию практических и понятных документов для организации.

Безопасность дата-центра — это один из ключевых аспектов, на который мы обращаем внимание при выборе провайдера, и считаем, что это важный критерий для наших клиентов. Этот факт ничуть не удивляет, так как защита баз данных и файлов является критически важной для любого проекта.

Давайте разберемся, как обеспечивается информационная безопасность (ИБ) центров обработки данных, какие объекты защищаются в первую очередь и какие технологии для этого используются.

Центры обработки данных (ЦОД) — это сложная многофункциональная система, которая включает комплекс IT-решений и реализуется на базе высокопроизводительного оборудования, обеспечивающего разные уровни доступности и надежности.

Как хранилище ценной информации ЦОД часто подвергаются атакам и противоправным действиям, поэтому одна из составляющих иерархии — система безопасности. Она направлена на защиту следующих компонентов системы:

Объективный рост угроз ИБ, который наблюдается во всем мире, приводит к тому, что обеспечение информационной безопасности превращается в непрерывный процесс.

С ростом киберугроз и усилением регуляторных требований защита ИС в ЦОД становится неотъемлемой частью стратегии безопасности бизнеса.

ЦОД предоставляет клиентам услуги на основе одной из распространенных моделей:

В модели SaaS за все отвечает провайдер: от помещения и персонала до платформы и приложений. В модели PaaS за приложения отвечает клиент, в IaaS — помимо приложений клиент отвечает еще за данные и за платформу. В модели Colocation зона ответственности клиента гораздо обширнее, чем провайдера.

Согласно закону ФЗ-152, ответственность за сохранность персональных данных несет оператор — арендатор места в ЦОД или облачном ресурсе. Оператор может делегировать часть ответственности провайдеру. В таких случаях в договоре и поручении на обработку персональных данных закрепляется объем регламентных работ и технических мер по защите, которые обязан выполнить провайдер.

Для обеспечения надежной защиты данных в центрах обработки операторы должны убедиться в наличии у провайдера необходимых сертификатов и лицензий. В частности, важно запросить у провайдера аттестат соответствия требованиям безопасности информации или акт оценки эффективности мер защиты, выданный независимой третьей стороной, имеющей лицензию ФСТЭК. Это необходимо для подтверждения того, что меры защиты действительно соответствуют установленным требованиям и стандартам.

Кроме того, если ЦОД предоставляет услуги по информационной безопасности, важно убедиться в наличии у него лицензии ФСТЭК на техническую защиту конфиденциальной информации.

Согласно требованиям по защите информации в государственных информационных системах и объектах критической информационной инфраструктуры следует придерживаться тех же правил — запросить у провайдера аттестат соответствия требованиям безопасности информации не ниже требуемого класса защищенности/категории значимости и закрепить в договоре объем мер по защите, которые обязан выполнить провайдер.

Помещение

+

+

+

+

+

+

+

+

Персонал

Каналы связи

+

+

+

+

+

+

+

+

Инженерная инфраструктура

Сеть

–

+

+

+

+

+

+

–

Хранилища

ОС

–

+

+

+

+

+

+

–

Виртуализация

Серверы

–

+

+

+

+

+

–

–

Данные

Платформы

–

–

+

+

+

–

–

–

Приложения

Важным этапом в построении защищенных систем в ЦОД является анализ потенциальных угроз: физические угрозы (пожары, наводнения), кибератаки (DDos, вирусы), ошибки персонала.

Разработка плана защиты начинается с оценки уязвимостей в инфраструктуре ЦОД (серверы, сети, хранилища данных) и в используемом ПО.

Процесс управления уязвимостями начинается с анализа информационной инфраструктуры компании. Для этого необходимо собрать данные об активах.

Актив — это информационная система или узел, имеющие ценность для организации и требующие защиты от киберугроз.

Активами могут быть такие объекты инфраструктуры, как серверы, сетевое оборудование, рабочие станции. Из общего числа необходимо выделить наиболее значимые активы, атаки на которые могут нанести компании серьезный урон.

На этом этапе необходимо выявить и приоритезировать уязвимости: определить, какие из них следует устранить в первую очередь.

Уязвимость — это недостаток в IT-системе, используя который можно нанести непоправимый ущерб как отдельному активу, так и инфраструктуре в целом, реализовать недопустимые для организации события, нарушить технологические процессы и работу клиентских систем, украсть денежные средства или конфиденциальную информацию.

В зависимости от уровня опасности уязвимости и значимости актива, на котором она обнаружена, устанавливаются плановые сроки устранения. В первую очередь мы рекомендуем устранять уязвимости с наивысшим уровнем критичности.

На этом этапе определяется реальный уровень защищенности инфраструктуры. Важно убедиться, что уязвимости устранены в заданные сроки, а системы защищены от злоумышленников. После этого необходимо вновь проверить активы на наличие уязвимостей.

Устранение уязвимостей осуществляется в несколько этапов

Эффективными мерами для обеспечения безопасности центров обработки данных являются:

Это требование важно выполнять для любого дата-центра, но больше всего в нем заинтересованы ЦОД, предоставляющие услуги колокейшн. Необходимо обеспечить физическую безопасность здания, внедрить систему контроля за доступом клиентов к оборудованию, установить систему видеонаблюдения.

В современных дата-центрах все чаще встречаются биометрические методы ограничения доступа, автоматические системы пожаротушения и физической изоляции помещений, если зафиксировано возгорание. Иногда используют отдельные комнаты и сейфы, в которых серверы защищены от любого внешнего воздействия.

Необходимо также помнить о делении всей инфраструктуры на сегменты для обеспечения наилучшей защиты. В последнее время с увеличением числа и объема виртуальных систем остро встает вопрос об обеспечении безопасности внутри их, как на сетевом уровне, так и на уровне гипервизора.

В инфраструктурах ЦОД мы имеем дело с огромными объемами и потоками данных, доступ к которым необходимо контролировать без ущерба для производительности. Поэтому основными сервисами ИБ для ЦОД являются Firewall (межсетевой экран), обеспечивающий разграничение прав доступа и полномочий, а также система предотвращения вторжений IPS/IDS, помогающая выявить аномалии в трафике и предотвратить атаки

Предприятиям крайне важно увеличивать время безотказной работы и быстрее восстанавливаться после простоев, вне зависимости от того, были ли они неожиданными или запланированными. Время простоя вредит бизнесу. Это может оказать серьезное и прямое влияние на имидж бренда, бизнес-операции и качество обслуживания клиентов, что приведет к огромным финансовым потерям, упущенным деловым возможностям и запятнанной репутации. Даже для малых предприятий незапланированные простои могут стоить сотни долларов в минуту.

Конфигурация резервирования в центрах обработки данных помогает снизить риск простоя и тем самым уменьшить потери, вызванные нежелательными воздействиями. Хорошо спланированная схема резервирования означает более короткое время потенциального простоя в долгосрочной перспективе. Кроме того, избыточные компоненты также обеспечивают безопасность данных, поскольку операции центра обработки данных продолжают работать и никогда не прерываются.

Мы рекомендуем для обеспечения безопасного доступа администраторов к ИС использовать виртуальные частные сети и построение VPN тоннелей. VPN туннели создают зашифрованный канал связи между удаленным администратором и ИС, размещенной в ЦОДе, обеспечивая конфиденциальность и целостность передаваемых данных.

Шифрование данных является неотъемлемой частью безопасности облачных сервисов. Путем шифрования конфиденциальной информации перед ее передачей в ЦОД и во время хранения в ЦОДе можно значительно снизить риск утечки данных в случае несанкционированного доступа. Однако, когда администраторам необходимо получить доступ к информационной системе, размещенной в ЦОДе, требуется дополнительный уровень защиты.

Для соответствия информационных систем (ИС) заказчиков требованиям законодательства Российской Федерации об информации, информационных технологиях и информационной безопасности, требованиям ФСТЭК России и ФСБ России по защите информации, необходимо проведение следующих работ:

Техническое проектирование является необходимым условием для реализации комплексного подхода к созданию систем обеспечения информационной безопасности и защиты информации. В отсутствии технического проекта возможно лишь реализация фрагментарных мер и механизмов безопасности, за счет которых в современных условиях невозможно решение основных вопросов обеспечения информационной безопасности.

Целью проектирования системы защиты информации является выработка рекомендаций, организационных и технических решений по обеспечению безопасности информационных ресурсов хранимых, обрабатываемых и передаваемых по каналам связи в компьютерных сетях и информационных системах организации.

Разработка технического проекта, осуществляется на основе согласованного с заказчиком Технического задания.

В ходе технического проектирования анализируются существующие цели и задачи информационной безопасности, оценивается возможное влияние механизмов безопасности на бизнес-процессы организации, производится обоснованный выбор средств и механизмов защиты информации и документируются технические решения по составу средств защиты и способам их взаимодействия.

Проект должен включать не только выбор технологий, но и описание организационных мер безопасности, процессов мониторинга и реагирования на инциденты.

Для повышения уровня ИБ необходимо разработать внутренние регламенты по реагированию на инциденты, процедурам мониторинга и защиты данных. Наличие корректной внутренней документации в сфере ИБ и обучение сотрудников является необходимым условием для эффективного функционирования внедренных систем.

Ключевая ответственность со стороны провайдера — соответствие информационных систем международным стандартам и требованиям российских законов. С точки зрения законодательства Российской Федерации в области обеспечения безопасности информации создание системы защиты информационных систем в ЦОД является обязательным в соответствии с:

При разработке технического (эскизного) проекта системы защиты информации в ИС необходимо также учитывать положения следующих нормативных документов:

— РД 50−34.698−90 «Методические указания. Информационная технология. Комплекс Стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов»;

— ГОСТ Р 51 624−2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»;

— ГОСТ Р 51 583−2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»

— ГОСТ 34.601−90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания».

Соответствие ЦОД стандартам по информационной безопасности позволяет не только обеспечить безопасность, но и повысить доверие клиентов. Необходимо регулярно проверять устройство инфраструктуры на соответствие стандартам и законодательству. А также анализировать бизнес-процессы — от алгоритмов действия в рамках политики ИБ до процессов управления доступом и устранения уязвимостей. Для подтверждения соответствия подобные процедуры проводят ежегодно.

На сегодняшний момент защититься абсолютно от всех киберугроз невозможно, и все больше организаций осознают необходимость построения бизнес-ориентированной кибербезопасности. Ее основная задача — защитить наиболее важные активы компании и предотвратить наступление недопустимых для нее событий.

Отсюда следует, что меры ИБ должны регулярно обновляться с учетом новых угроз и технологий. Важно, чтобы проектная документация (технический проект) на создание системы защиты была живым документом, который корректируется по мере изменений в инфраструктуре и угрозах.

Достигнуть достаточного уровня защиты информации на стадии ее создания, обработки или при передаче можно при комплексном применении организационных и технических мер.

Начать нужно с анализа рисков, принимая во внимание сферу деятельности компании, объективные и субъективные угрозы утечки ценных сведений, шпионажа, выхода из строя оборудования.

Затем с опорой на требования законодательства и методические рекомендации следует разработать локальные документы по информационной безопасности. Разработка детализированного технического проекта помогает избежать многих проблем на стадии внедрения и эксплуатации.

Обеспечение надежной защиты информационных систем в центрах обработки данных является ключевым аспектом для обеспечения безопасности и стабильности работы организаций и способствует:

Надежная защита ИС включает в себя использование современных технологий шифрования, систем обнаружения и предотвращения вторжений, а также регулярные аудиты безопасности.

Это позволяет минимизировать вероятность несанкционированного доступа к конфиденциальной информации, что особенно важно в условиях растущих киберугроз. Утечки данных могут привести не только к финансовым потерям, но и к ущербу для репутации компании.

Защита ИС также включает в себя меры по обеспечению высокой доступности сервисов. Это достигается через резервирование, балансировку нагрузки и использование отказоустойчивых архитектур.

Когда системы защищены и работают стабильно, пользователи могут рассчитывать на бесперебойный доступ к необходимым сервисам, что повышает общую эффективность бизнеса и удовлетворенность клиентов.

В условиях глобализации и роста аутсорсинга многие компании передают хранение и обработку данных сторонним провайдерам. Надежная защита ИС в ЦОД позволяет организациям уверенно передавать свои данные на аутсорсинг, зная, что они находятся под надежной защитой.

Это открывает новые возможности для сотрудничества и оптимизации бизнес-процессов, так как компании могут сосредоточиться на своих ключевых компетенциях, не беспокоясь о безопасности данных.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме