Автор: Банковское дело

Предыстория

В 2006 году, в центральном здании рижского банка Nord/LB Latvija, между четвертым и пятым этажом возник пожар. Он был такой силы, что даже прогорело перекрытие между этажами. Очаг огня находился рядом с серверным помещением банка, оснащенного высококачественной системой безопасности.

После устранения пожарным расчетом возгорания, руководство банка проникло в помещение с серверным оборудованием. Каково же было их удивление, когда они обнаружили, что находящееся в серверной оборудование, не только не пострадало, но и не прекратило своей работы. Благодаря системе безопасности удалось сохранить важнейшую информацию и избежать огромных затрат по её восстановлению. Так как в результате пожара помещение банка было серьезно повреждено, он переехал в другое здание.

В связи с тем, что система безопасности, которой была оснащена комната с ИТ-оборудованием, зарекомендовала себя с самой лучшей стороны, руководством банка было принято решение о заказе работ по оборудованию нового помещения такой же системой безопасности. После пожара в Nord/LB Latvija еще четыре банка Риги обратились в компанию, занимающуюся расчетом и установкой систем безопасности серверных помещений, для оснащения своих информационных центров точно такой же системой безопасности.

Защита информации в современном мире

В современном мире защите данных должно уделяться самое пристальное внимание – ведь от этого зависит непрерывность бизнес-процессов любой компании, и в случае потери информации, может обернуться огромными затратами по её восстановлению. Информационная безопасность является механизмом защиты, обеспечивающим целостность информации, и включает в себя полноту, достоверность и конфиденциальность, позволяющую получить доступ к информации только для авторизированных пользователей.

Благодаря информационной безопасности обеспечивается конкурентоспособность, доходность, ликвидность и деловая репутация компании. Не стоит забывать и о том, что в наше время информационные системы и сети организаций сталкиваются с такими угрозами, как шпионаж, мошенничество в сфере высоких технологий, компьютерный вандализм, взлом, DDoS атаки, а также пожары и наводнения.

До недавнего времени при проектировании информационных систем и сетей, безопасности уделялось не самое пристальное внимание. В результате чего, многие организации оказались уязвимы к всевозможным информационным угрозам. Для достижения ИТ-безопасности любой компании необходим целый ряд комплексных мер, среди которых можно выделить надежность всех сотрудников, поставщиков и акционеров организации, имеющих доступ к конфиденциальной информации.

Требования к информационной безопасности - обзор

Cтоит помнить, что мероприятия по защите информации обойдутся гораздо дешевле и будут более эффективны, если их включить в спецификацию требований ещё на стадии проектирования системы безопасности.

При определении требований к информационной безопасности следует учитывать такие факторы, как оценка рисков организации, законодательные, юридические, договорные и регулирующие требования, которым удовлетворяет компания, подрядчики, и торговые партнеры, а также набор целей и принципов, разработанных предприятием в отношении обработки информации.

Требования к безопасности информации определяются при помощи оценки рисков и исходя из возможного ущерба бизнесу, нанесенного в результате нарушений информационной безопасности. На основании полученных данных принимаются решения о расходах на мероприятия, связанных с защитой информации. Обычно выбор по управлению информационной безопасностью основывается на отношении стоимости затрат, необходимых на установку должного оборудования, и эффекта от снижения рисков и возможных потерь, в случае нанесения ущерба.

После определения требований к информационной безопасности предприятия, следует внедрение мероприятий, обеспечивающих снижение рисков до приемлемого уровня. Эти мероприятия разрабатываются самостоятельно или выбираются из настоящего стандарта. В настоящем стандарте имеются наиболее распространенные подходы к управлению рисками. Некоторые мероприятия по защите ИТ-оборудования могут рассматриваться, как руководящие принципы для управления информационной безопасностью и лечь в основу защиты информации на предприятии. Такие мероприятия используются, как общепринятая практика по защите информации или основываются на требованиях действующего законодательства.

С точки зрения общепринятой практики, мероприятия по управлению информационной безопасностью включают в себя обучение информационной безопасности персонала, распределение обязанностей по обеспечению защиты информации, наличие документа, описывающего политику информационной безопасности предприятия, управление непрерывностью бизнеса, информирование руководства об инцидентах, связанных с нарушением информационной безопасности.

Основными мерами защиты информации, с точки зрения законодательства, является защита учетных данных организации, обеспечение конфиденциальности персональных данных и права на интеллектуальную собственность.

Вышеперечисленные мероприятия подходят для большинства предприятий и информационных сред. Но, несмотря на важность, их целесообразность определяется в зависимости от конкретных рисков организации.

Внедрение правил информационной безопасности

Как показывает практика, для успешного внедрения информационной защиты в банке как и в любой компании необходимо соблюдение таких условий, как поддержка и заинтересованность со стороны руководства банка, соответствие целей информационной безопасности целям бизнеса, согласованность подхода к внедрению системы безопасности с корпоративной культурой банка, точное понимание требований безопасности, оценка и управление рисками, понимание необходимости применения мер информационной безопасности руководством и сотрудниками предприятия, обеспечение необходимого обучения и подготовки руководства и сотрудников банка, составление и передача инструкций по политике информационной безопасности всем сотрудникам банка и контрагентам, сбалансированная система измеряемых показателей, использующаяся для оценки эффективности управления информационной безопасности.

Целью политики безопасности является решение вопросов информационной защиты и вовлечение руководства банка в данный процесс. Политика информационной безопасности утверждается руководством банка и доводится в понятной форме до сведения всех сотрудников. 

Она включает в себя определение общих целей, сферы действия и значимости информационной безопасности, как инструмента совместного использования информации, изложение целей и принципов информационной безопасности, краткое определение наиболее значимых для банка правил и требований. 

Определение общих и индивидуальных обязанностей сотрудников банка в рамках управления информационной безопасностью, информирование руководства об инцидентах, связанных с нарушением информационной безопасности, ссылка на нормативные документы, включающие более детальные политики и процедуры безопасности для конкретных информационных систем – это правила информационной безопасности, которым должны следовать сотрудники.

Для обеспечения информационной безопасности в банке необходимо назначить сотрудника, отвечающего за ее реализацию. Периодические пересмотры информационной защиты должны осуществляться в соответствии с графиком и включать в себя проверку эффективности защиты информации, исходя из числа и последствий зарегистрированных инцидентов, оценку влияния изменений в технологиях, определение стоимости работ по управлению информационной защитой и их влияние на эффективность работы банка.

Согласно постановлению Правительства Российской Федерации от 14 августа 1992 года № 587, среди объектов, подлежащих государственной охране, находятся предприятия по производству и хранению оружия, боеприпасов, взрывчатых веществ и материалов, учреждения Центрального Банка Российской Федерации, государственные объекты фармацевтической и микробиологической промышленности, объекты по переработке и хранению наркотических, токсических, психотропных веществ и препаратов, сильнодействующих ядов и химикатов, а также денежные кассы государственных предприятий, учреждений и организаций.

А есть ли стандарты?

До недавнего времени не существовало стандартов при строительстве центров обработки данных. Например, согласно строительным нормам, помещение считалось пожаростойким, если при внешней температуре 1100°С, температура внутри помещения не превышала 200 °С. Однако компьютерное оборудование не может работать при такой высокой температуре. Поэтому были разработаны нормативные документы и с 1 января 2009 года вступил в действие ГОСТ Р 52919-2008. 

Этот стандарт был разработан целью сертифицирования помещений для компьютерного оборудования. Стандарт устанавливает требования к огнестойкости комнат предназначенных для ИТ- оборудования и включает в себя методы проведения испытаний, с целью определения способности помещений защитить свое содержимое, чувствительное к высокой температуре и влажности, а также способность защитить оборудование от воздействия огня, как внутри, так и снаружи помещения.

В соответствии с ГОСТ Р 52919-2008 от конструкции помещения для ИТ- оборудования требуется, чтобы при внешнем воздействии температуры в 1100 °С, в течение 120-ти минут внутренняя температура помещения не превышала 50 °С при влажности 85 %.  Эти положения стандарта должны применяться организациями, расположенными на всей территории России, в том числе, научными, общественными и коммерческими.

В настоящем стандарте изложены рекомендации лицам, ответственным за планирование, реализацию и поддержку решений по информационной безопасности предприятия. Рекомендации настоящего стандарта используются в соответствии с действующим законодательством.

Проектирование центра обработки данных для банка. Что важно знать?

Опыт работы компаний показывает, что при проектировании защитной оболочки для ЦОДа, нецелесообразно использовать такие материалы, как бетон, кирпич,гипсокартонные листы. Это связано с высоким удельным весом конструкций из бетона и кирпича, большой нагрузкой на перекрытие, необходимостью гидроизоляции внутренних поверхностей ЦОДа с целью защиты от протечек, особенно с верхних этажей, необходимостью установки специальной потенциаловыравнивающей сетки внутри помещения ЦОДа, покрытием внутренней поверхности ЦОДа антистатической краской, отсутствием защиты возгорания оборудования. Кроме того, конструкции из стальфибробетона, использующиеся для денежных хранилищ и оружейных комнат, имеют серьезный недостаток. Так как бетон хорошо впитывает влагу, в его составе еще на протяжении 3-5-ти лет содержится вода, составляющая до 5% от общего объема. Поэтому, в случае пожара, эта вода превращается в пар, попадает внутрь помещения и способствует выходу электронного оборудования из строя.

В связи с этим, для построения защитной оболочки используются решения, гарантирующие должную безопасность. Это модульные сейфы безопасности для защиты коммутационных стоек и компьютерного оборудования, модульные помещения безопасности для ЦОДов и коммутационных узлов, сейфы для хранения информации.

Модульные помещения безопасности представляют собой конструкцию с высокой механической прочностью, состоящую из элементов стен, потолка и пола, а также дверей и люков, обеспечивающих надлежащий приток воздуха и сброса избыточного давления. Стены и потолок таких помещений состоят из сэндвич–панелей, внутри которых находится материал, защищающий от высоких температур и проникновения влаги. Конструкция обеспечивает независимость помещения безопасности от самого здания. Использование такого решения гарантирует надежную защиту от любого физического воздействия на центр обработки данных.

Многослойные панели для защитной оболочки помещений сертифицированы в соответствии с нормами по ИТ- безопасности и соответствуют ГОСТ Р 52919-2008. Так, по опыту компании ЗАО «ДатаДом» как одного из ведущих российских интеграторов инженерных систем,для создания защитных оболочек в российских условиях наиболее подходит продукция следующих фирм-производителей: Lampertz (производит защитную оболочку – или гермозону, а также контейнеры, сейфы), RemTech Limited (является производителем защитной оболочки), а также российские производители TRIMO и «Венталл», предлагающие строительные трехслойные панели, сопоставимые с классической гермозоной, но уступающие по некоторым своим характеристикам. Так, к примеру, в отличие от последних, изделия Lamperz способны защитить компьютерное оборудование при пожаре до 180-ти минут, выдержать выстрелы из стрелкового оружия и взрыв тонны тротила на расстоянии 40 метров, а время взлома такой защитной оболочки составляет от 20-ти минут.Но, с другой стороны, и стоимость защитной оболочки данной компании будет в разы выше стоимости гермозоны российского производства.

На рынке защитного оборудования имеется возможность приобретения отдельных сертифицированных панелей и элементов помещения (их производством занимается компания RemTech Limited), но при отличных эксплуатационных характеристиках их стоимость будет достаточно высока. Российская промышленность также занимается выпуском многослойных панелей различного назначения. Стоимость таких панелей значительно ниже зарубежных аналогов, однако они не сертифицированы по  ГОСТ Р 52919-2008 и не обладают достаточной прочностью для защиты от взлома, обрушения и стрельбы.

Создание сценария аварийных ситуаций

При планировании действий в случаях аварийных ситуаций существуют два понятия – это планирование сохранения непрерывности бизнеса и планирование послеаварийного восстановления. Первым шагом для сохранения работоспособности предприятия является определение действий, которые должны выполняться ежедневно. Определив критически важные системы,можно приступать к моделированию угроз информационной безопасности предприятия. Моделирование позволяет реализовать комплексный подход к защите, как от природных (землетрясения, пожары, наводнения), так и от механических (неисправность жесткого диска сервера и т.д.) угроз.

Отметим, что правильно спроектированная и инсталлированная защитная оболочка банковского помещения для хранения данных должна, как минимум, включать в себя: герметичное масштабируемое помещение; систему экранирования помещения («клетка Фарадея»); систему электронного контроля параметров помещения;систему основного и аварийного освещения;автоматическую дверь с электронным и механическим замками;автоматический люк регулирования давления в гермозоне при срабатывании системы газового пожаротушения;автоматический люк забора внешнего воздуха; систему газодымоудаления из гермозоны;систему герметичных огнеупорных муфт и кабельных вводов.

Организация резервных ЦОД

После определения возможных событий, способных причинить ущерб информационной безопасности, необходимо выработать меры по защите ценной информации, центральное место среди которых занимает резервное копирование с использованием внутрисистемных и внесистемных средств. В случае потери данных, эти меры позволят восстановить работоспособность системы в кратчайшие сроки.

Следует обратить внимание на то, что есть несколько типов организации резервных центров обработки данных. В современной классификации они подразделяются на три типа – «холодный», «горячий» и «зеркальный».

«Холодный» ЦОД – это подготовленное для оборудования помещение, оснащенное всей необходимой инфраструктурой, включая бесперебойное питание, стойки для размещения оборудования, системы пожаротушения и кондиционирования, а также имеющее точки для подключения к телекоммуникационным провайдерам. При использовании «холодного» ЦОД для возобновления работы информационных ресурсов, необходимо доставить, развернуть и сконфигурировать оборудование, произвести полное восстановление данных с резервных копий, настроить сетевое окружение. Этот вариант не требует больших финансовых затрат, но восстановление доступа к информационным ресурсам предприятия занимает до двух недель.

«Горячий» ЦОД – это полностью оснащенное всей необходимой инфраструктурой помещение, с установленным и сконфигурированным вычислительным оборудованием и системами хранения данных. Обновление загруженных основных данных производится на регулярной основе, в рамках процедур резервного копирования. В случае аварийной ситуации, восстановление доступа и информационным системам происходит за 4 – 12 часов.

«Зеркальный» ЦОД – содержит удаленную «зеркальную» копию критически важных информационных данных. Синхронизация с основными данными проходит в режиме реального времени. При сбое в работе компьютерного оборудования, применяемые программно-аппаратные средства, позволяют восстановить доступ к информационным ресурсам в течение 5-10-ти секунд. Такое решение наиболее дорогостоящее и используется на предприятиях, чувствительных к минимальным простоям в работе бизнес-процесса.

С целью защиты информации и для непрерывной работы финансовых учреждений, необходимо устанавливать дублирующие друг друга системы обработки данных. Часто резервные центры обработки данных по своим техническим характеристикам превосходят базовые и устанавливаются на специализированных площадках, обеспечивающих более высокий уровень надежности системы.

До недавнего времени компании самостоятельно строили центры обработки данных. Однако на сегодняшний день на рынке ИТ-безопасности есть достаточно предложений по размещению оборудования клиентов в промышленных центрах обработки данных, оснащенных резервными системами электропитания, системами разграничения и контроля доступа, охраной, а также возможностью круглосуточного доступа авторизированных сотрудников клиента. Такие услуги предоставляют заказчику возможность в короткий срок развернуть основной или резервный центр обработки данных без значительных затрат на инфраструктуру.

Для гарантирования непрерывности бизнес-процессов, эксплуатацию ЦОД должен осуществлять квалифицированный персонал, получающий своевременное обучение и проходящий периодическую аттестацию с целью подтверждения своей высокой квалификации.

Послесловие

Сегодня в мире на физическую защиту информации принято выделять 15-20% от стоимости всего вычислительного центра. Однако большинство компаний в России тратят огромные средства на развитие ИТ-инфраструктуры, но при этом не уделяют должного внимания физической защите информации, что может привести, в случае возникновения аварийной ситуации, к потере критически важной информации, убыткам компании и остановке на неопределенный срок бизнес-процессов.

Материалы статьи предоставлены компанией ЗАО «ДатаДом»