Доступность данных для ЦОДа

Если представить, что ЦОД — это банк, то ваш сервер на colocation, виртуальный или выделенный сервер будет банковской ячейкой. Продолжая аналогию, данные на сервере можно сравнить с хранящимися в ячейке ценностями, тем же слитком золота или облигациями на предъявителя. Аналогия с банком самая непосредственная: данные на серверах — те самые ценности клиентов, к которым у дата-центра нет доступа. Как и у банка нет доступа к содержимому ячеек. Откуда же тогда утечки данных, с которыми в 2019 году столкнулись 34% крупных российских компаний?*

Утечки данных

По отчетам «Лаборатории Касперского»* 31% утечек в России и 33% в мире происходят внутри компании. Во-первых, по причине невысокой цифровой грамотности сотрудников. Во-вторых, из-за отсутствия проработанной политики информационной безопасности. Несмотря на растущие риски киберугроз, персонал по-прежнему использует небезопасные пароли, передает съемные носители из рук в руки, пренебрегает регламентами и инструкциями по разграничению доступа. 

Контроль доступа 2

Контроль доступа

Что делает ЦОД, чтобы в этой ситуации защитить данные клиентов? Все, что в его силах: ограничивает доступ в дата-центр и машзалы, ведет видеосъемку и фотоидентификацию, контролирует использование съемных носителей. Грубо говоря, посторонний человек даже не зайдет на территорию ЦОД, а сотрудник одной организации не попадает в машзал, где стоят сервера другой организации — у него просто не будет доступа. Тем более, что представители компании проходят в машзал и работают с оборудованием в сопровождении ответственного инженера ЦОД. Но это, если говорить о посторонних. Сможет ли техник, механик или инженер дежурной смены зайти в серверный зал и получить информацию с сервера? Вопреки остросюжетным триллерам, все не так просто:

  1. Техник, механик или любой другой сотрудник, чьи обязанности не предусматривают работы конкретно в этом машзале, без пропуска в зал не попадет. 

  2. Персонал клининговых, ремонтных и др. служб сопровождает дежурная смена.

  3. В машзалах работает система видеонаблюдения и картинка не только записывается, но и транслируется на монитор диспетчерской службы безопасности. При малейших подозрениях на несанкционированные действия служба безопасности поднимет тревогу. 

  4. Большая часть наших клиентов поддерживает хорошую практику изоляции стоек, блокирует использование переносных USB-накопителей, используют и периодически меняют способы аутентификации.

 Одна из 300 камер видеонаблюдения

Одна из 300 камер видеонаблюдения

И даже, если гипотетически предположить попытку несанкционированного доступа «изнутри», на страже безопасности клиентских данных брандмауэры, системы предотвращения и обнаружения вторжений, двухуровневая идентификация, сегментация инфраструктуры сети, шифрование данных и пр. Часть этих мер реализуется на уровне ПО для структурирования и администрирования ЦОД, часть внедряется клиентами и используется в ежедневной практике. 

Ответственность за доступ к данным

С юридической точки зрения ответственность за сохранность данных лежит на операторе, то есть на владельце этих данных. На ЦОД лежит обязанность удалить данные, например, с выделенного сервера, после расторжения договора с клиентом, поддерживать физическую безопасность оборудования и отказоустойчивость инфраструктуры в соответствии с SLA. И даже если говорить о персональных данных (ПД), к хранению и обработке которых закон предельно строг, ФЗ-152 не оставляет поводов для разночтений: ответственность за хранение, обработку и передачу ПД перед субъектом персональных данных несет оператор и только оператор. Конкретно о ПД и ФЗ-152 мы уже писали и подробно рассматривали это вопрос.

В любом случае, в вопросе доступа к данным ЦОД — заинтересованная сторона. Независимо от сферы ответственности и причин нарушения безопасности. Для дата-центра нарушение доступа к данным — репутационный риск, поэтому в GreenBushDC системы безопасности частично дублируют друг друга. Показания системы мониторинга круглые сутки отслеживают дежурные инженеры, за мониторами системы видеонаблюдения 24 часа в сутки наблюдает служба безопасности, а их, в свою очередь, подстраховывают системы сетевой безопасности. И нет, мы не считаем, что перестраховываемся. Для многих наших клиентов данные являются ценнейшим информационным активом, поэтому мы предпочитаем взять на себя чуть больше, но гарантировать безопасность. 

* Исследование «Информационная безопасность бизнеса» проведено специально для «Лаборатории Касперского» в 2018 году. Данные собраны на основании опроса 6614 IT-специалистов из 29 стран по всему миру, в том числе 772 человек из России

Поделиться:
Читать еще
Внутренний аудит информационной безопасности 18.06.2021
В копилку службы ИБ: методы, подходы и чек-листы для внутреннего аудита информационной безопасности.
Читать подробнее
Как разобраться с логированием: гайд для начинающих 25.06.2021
Зачем оно нужно, это логирование и как упростить процесс сбора, анализа и хранения логов.
Читать подробнее
Когда нужен внешний аудит информационной безопасности 09.07.2021
Про объекты, результаты и периодичность внешнего аудита информационной безопасности для операторов ПДн, объектов критической информационной инфраструктуры, субъектов НПС и других компаний.
Читать подробнее
Что такое тикет-система и как она применяется в ЦОД 16.07.2021
Чем тикет-система лучше телефонной поддержки и как ЦОД использует тикеты для улучшения работы.
Читать подробнее
Аварии в ЦОД и как их избежать 23.07.2021
Про экстраординарные форс-мажоры ЦОД на примере аварии дата-центра «Курчатовский» и меры защиты от основных глобальных рисков
Читать подробнее
Введение нового порядка госаккредитации ИТ-компаний в РФ 30.07.2021
Как изменится госаккредитация ИТ-компаний с 1 августа 2021 года? Делаем обзор изменений и нововведений.
Читать подробнее
Оставить заявку
После отправки заявки ожидайте звонка нашего менеджера.
* Поля, обязательные к заполнению.
Спасибо!
Данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
контакты компании
Адрес компании
124460, Москва, Зеленоград, ул. Конструктора Лукина, д. 14А, офис 501
Поддержка 24\7
8 800 350 15 00
ПОЧТИ готово!
Спасибо, данные вашего заказа будут переданы в отдел продаж.
После чего ожидайте звонка вашего личного менеджера.
* Поля, обязательные к заполнению.