Обеспечение информационной безопасности ЦОД и дата-центров
Современные системы информационной безопасности ЦОД отличаются от тех, которые использовались 30 лет назад. На смену простым физическим мерам защиты пришли сложные технологии с использованием искусственного интеллекта. Не изменилась лишь суть подхода: он по-прежнему комплексный и все так же предполагает организационные мероприятия и обучение персонала.
Обеспечение информационной безопасности ЦОД и дата-центров
Современные системы информационной безопасности ЦОД отличаются от тех, которые использовались 30 лет назад. На смену простым физическим мерам защиты пришли сложные технологии с использованием искусственного интеллекта. Не изменилась лишь суть подхода: он по-прежнему комплексный и все так же предполагает организационные мероприятия и обучение персонала.
Содержание:
Роль Банка России в регулировании системы безопасности ЦОД
Информационные системы банков подвергаются атакам злоумышленников в первую очередь, ведь речь идет о больших деньгах. Неудивительно, что инициатива о внедрении дополнительных уровней защиты данных исходит от финансовых структур, которые разрабатывают стандарты безопасности, подходящие для других отраслей.
Так, в 2010 г. появился первый отраслевой стандарт обеспечения информационной безопасности СТО БР ИББС-1.0-2010. Он включает комплекс документов Банка России, в которых описан единый подход к построению системы безопасности организаций банковской сферы с учетом российского законодательства. Стандарт распространяется и на дата-центры коммерческих банков.
Для внедрения и поддержания информационной безопасности, согласно Стандарту, необходимо реализовать четыре процесса:
- планирование;
- реализацию;
- мониторинг и анализ (проверку);
- поддержку и улучшение (совершенствование).
В Стандарте указаны основные источники угроз информационной безопасности, а также сформулированы требования к системе ИБ – при управлении доступом и регистрацией, при использовании ресурсов интернета, при применении средств криптографической защиты данных. Перечислены и требования к обеспечению работы банковских платежных и информационных процессов, а также множество других моментов, регламентирующих работу банковской системы ИБ на всех уровнях.
Законодательство о защите ЦОД
Требования, предъявляемые к ЦОД, представлены в таких нормативных документах:
- ФЗ-152 «О персональных данных» от 26 июля 2006 г.
Согласно закону, операторы персональных данных (организации и физлица, имеющие дело с персональными данными) обязаны выполнить ряд требований по их сохранности.
Поправка от 2011 г. наделила Банк России правами разрабатывать отраслевые нормативные документы по отдельным вопросам обработки персональных данных, после чего Стандарт СТО БР ИББС был узаконен в качестве отраслевого.
- Приказы ФСТЭК России:
№ 21 от 18 февраля 2013 г. «О мерах по обеспечению безопасности персональных данных во время их обработки в ИС»;
№ 17 от 11 февраля 2013 г. «О требованиях к защите информации в государственных ИС, которая не составляет государственной тайны»;
№ 31 от 14 марта 2014 г. «О требованиях к защите информации на критически важных и потенциально опасных объектах».
- Приказ ФСБ России № 378 от 10 июля 2014 г. «О требованиях к криптографической защите информации».
- Федеральный закон ФЗ-256 от 21 июля 2011 г. «О безопасности объектов топливно-энергетического комплекса».
- Требования Банка России – в соответствии с положениями стандарта СТО БР ИББС-1.0-2010.
В чем актуальность защиты ЦОД
Центры обработки данных – это сложная иерархическая система, которая включает комплекс IT-решений и реализуется на базе высокотехнологичного оборудования. Как хранилище ценной информации ЦОД часто подвергаются атакам и противоправным действиям, поэтому одна из составляющих иерархии – система безопасности. Она направлена на защиту следующих компонентов системы:
- информационных ресурсов;
- процессов сбора, обработки, хранения и передачи данных;
- пользователей и обслуживающего персонала;
- информационной инфраструктуры – технических и программных средств, в том числе каналов информационного обмена и системы защиты помещений.
Сфера ответственности ЦОД
ЦОД предоставляет клиентам услуги на основе одной из распространенных моделей:
- Colocation – размещение и подключение к каналам связи серверного или другого оборудования клиента в ЦОД или дата-центре.
- IaaS (Infrastructure-as-a-Service – инфраструктура как услуга). Потребитель может самостоятельно управлять предоставляемыми сервисами.
- PaaS (Platform-as-a-Service – платформа как услуга). Клиенты используют облачную инфраструктуру поставщика для установки собственного программного обеспечения. Доступ к управлению имеет только провайдер, который задает набор доступных потребителю настроек, платформ и услуг.
- SaaS (Software-as-a-Service – программное обеспечение как услуга). Поставщик сервиса использует свое интернет-приложение и предоставляет возможность пользоваться им через интернет. Клиенты не платят за обновление, установку и обслуживание аппаратного и программного обеспечения
Зона ответственности ЦОД
Комментарий: В модели SaaS за все отвечает провайдер: от помещения и персонала до платформы и приложений. В модели PaaS за приложения отвечает клиент, в IaaS – помимо приложений клиент отвечает еще за данные и за платформу. В модели Colocation зона ответственности клиента гораздо обширнее, чем провайдера.
Согласно закону ФЗ-152, ответственность за сохранность персональных данных несет оператор – арендатор места в ЦОД или облачном ресурсе. Заказчик может делегировать часть ответственности провайдеру. В таких случаях в договоре закрепляется объем регламентных работ и технических мер по защите, которые обязан выполнить провайдер.
Модели угроз и нарушителей информационной безопасности
Чтобы разработать эффективную политику информационной безопасности, сформулировать первоочередные задачи и спланировать бюджет, необходимо проанализировать риски и четко определить, откуда исходит потенциальная угроза.
Существуют несколько моделей угроз и нарушителей, прописанных в Стандарте СТО БР ИББС-1.0-2010:
- неблагоприятные события природного, техногенного и социального характера;
- террористы, криминальные элементы;
- зависимость от провайдеров, партнеров, клиентов;
- сбои в работе, отказы, повреждения программных и технических средств;
- внутренний фактор (сотрудники ЦОД, использующие легально предоставленные им полномочия с неправомерной целью);
- попытки нелегального использования прав и полномочий сотрудниками ЦОД;
- попытки несанкционированного доступа и неразрешенных действий;
- несоответствие информационной системы требованиям надзорных и регулирующих органов, действующему законодательству.
Что включает в себя защита информационных систем
1. Организационные меры
Залог эффективной системы безопасности – слаженная работа специалистов по ИБ и персонала ЦОД. Поэтому пристальное внимание уделяется письменному закреплению отраслевых стандартов и требований. Документация помогает мотивировать сотрудников центра действовать согласно указаниям экспертов по безопасности.
2. Защита помещений
Эта услуга выходит на первый план в модели Colocation. Оборудование клиента защищают с помощью выгородок: огороженных частей зала, которые находятся под постоянным видеонаблюдением. Доступ персонала ЦОД к ним ограничен.
Сегодня с этой целью используют:
- интеллектуальные системы контроля доступа;
- биометрические методы, например контроль входа по руке или сканирование человека;
- безопасные установки пожаротушения тонкораспыленной водой;
- системы раннего обнаружения пожара аспирационного типа;
- комнаты и сейфы безопасности для защиты дата-центров от внешних угроз (пожаров, взрывов, затоплений, обрушений зданий и др.).
3. Учет человеческого фактора
Атаки систем безопасности включают методы социальной инженерии, направленные на персонал ЦОД. Эти риски также можно минимизировать путем обучения сотрудников и внедрения мировых практик. Подобные мероприятия также предупредят нецелевое использование ресурсов дата-центра персоналом.
4. Предотвращение сбоев электропитания и отказа системы охлаждения
Достигается внедрением «умного» оборудования, объединенного в сеть. В нее входят управляемые источники бесперебойного питания, интеллектуальные системы охлаждения и вентиляции, другие составляющие промышленной автоматизации, в том числе набор контроллеров и датчиков, подключенных к системе мониторинга.
5. Защита каналов связи
Актуально для дата-центров, которые предоставляют услуги по моделям IaaS, PaaS, SaaS. Более половины организаций этого сегмента сталкиваются с атаками облачных структур, а в случае с банковскими системами речь идет о хищении крупных средств с корпоративных счетов. Для защиты используют системы с функцией выявления и нейтрализации вредоносного кода. Есть и другие эффективные методы, например перенаправление трафика на другие узлы и его фильтрация в облаке специализированных внешних сервисов.
Уровни защиты в ЦОД
Полноценная защита ЦОД предполагает использование интегрированной многоуровневой системы обеспечения ИБ.
- Первый уровень – разделение на макро- и микросегменты, которые охватывают разные функциональные направления бизнеса, группы пользователей, сервисы.
- Второй – выявление аномалий внутри сегментов и между ними, обеспечение безопасности на уровне гипервизора и сетевом. Для анализа трафика используют продвинутые алгоритмы поиска, способные распознать признаки вредоносной и аномальной активности, а также наличие вредоносного ПО в зашифрованном трафике.
- Финишный рубеж – защита оконечных устройств (серверов, виртуальных машин) с помощью специальных агентов или безагентным способом.
На объектах с производственными процессами повышенной опасности этих уровней может быть недостаточно. Но для большинства дата-центров они существенно повышают степень информационной безопасности при условии грамотной разработки и внедрения.