Стратегия информационной безопасности строится на модели угроз и сфере ответственности. Но в отрасли хранения и обработки данных год от года меняется и то и другое: появляются новые векторы атак, меняется ценность информационных активов, дата-центры принимают на себя новые обязательства. Одни методы защиты устаревают, другие становятся обязательными. Неизменной остается пока только классическая структура информационной безопасности ЦОД, состоящая из инженерно-технической, сетевой, программно-аппаратной и организационной частей.
Общий принцип структуры ИБ (Журнал Information Security/ Информационная безопасность №6, 2014)
Базовая структура информационной безопасности ЦОД
Структура ИБ дата-центров предусматривает контроль безопасности:
-
Инженерно-технических средств
-
Сетевых процессов
-
Программно-аппаратной части
-
Действий персонала и посетителей.
У каждого блока несколько уровней защиты от многовекторных, постоянно меняющихся угроз. Такой подход называется эшелонированной обороной и позволяет даже при нарушении целостности одного уровня защиты контролировать безопасность системы в целом.
К примеру, инженерно-техническая часть защищается многоуровневой системой контроля доступа, от внешнего периметра до доступа в машинный зал. Сюда же относится ограничение доступа к технологическим помещениям и серверам для резервного копирования. ИБ организационной части направлена на контроль действий посетителей и персонала. У нас в ЦОД это: система фотоидентификации, документирование визитов посетителей, процедуры по защите персональных данных в соответствии с 152-ФЗ и 1119 ПП, учебные тревоги, контроль соблюдения внутренних правил дежурной сменой, жесткие регламенты разграничения прав доступа и учета съемных носителей и пр. В обоих случаях уязвимость где-то в одном уровне компенсируется защитными решениями на других.
Служба безопасности
Даже в таком обзорном формате очевидно, что все структурные элементы информационной безопасности ЦОД пересекаются друг с другом. Точки их пересечения одновременно являются и зоной уязвимости, и синергически усиливают надежность защиты в целом. Вот почему мы сами используем комплекс систем безопасности, охватывающий весь жизненный цикл инфраструктуры ЦОД, и настоятельно рекомендуем клиентам поддерживать целостную систему защиты в рамках своей сферы ответственности.
Сферы ответственности в информационной безопасности
Что, когда и от чего защищать определяет модель услуг. Если клиент пользуется colocation или развернул на мощностях ЦОД виртуальный дата-центр, в сферу ответственности дата-центра попадает контроль за действиями персонала и гостей ЦОДа, физический доступ к помещениям, инженерной инфраструктуре и каналам связи, стабильность электропитания и систем охлаждения. Пользователям остается защита приложений, данных и платформ.
Контроль доступа в помещения
Когда бизнес использует модель SaaS, на плечи клиента ложится только разграничение доступа и настройка аутентификации. Контроль и управление физической/виртуальной инфраструктурой, защита приложений и платформ — уже задача провайдера. По сути, чем выше уровень контроля сервисов или оборудования со стороны клиента, тем шире сфера его ответственности.
Мы убеждены, что с ростом цифровизации государственных структур и бизнеса системы информационной безопасности продолжат меняться. Как продолжат меняться и модели атак. Уже сейчас в ЦОД и у крупных операторов связи ИБ работает как непрерывный цикл аудитов, корректирующих действий и предупреждающих мер. Со временем этот цикл расширится и станет более гибким. Все к тому идет и мы к этому готовы.