Ограждение стоек в общем машзале — один из форматов colocation. Он предусматривает изоляцию части машзала с клиентскими стойками и установку специального сетчатого ограждения (cage). Получается своеобразный машзал в машзале, с отдельным входом, собственной СКУД и дополнительными средствами идентификации посетителей. В этом материале мы хотим подробней рассказать о выгородке (кейдже), чтобы вы могли еще на этапе планирования colocation решить, нужно ли вам изолировать стойки или эта мера безопасности избыточна.
Нужна ли выгородка
Чтобы определить, нужна ли серверам выгородка, изучите список стандартов и нормативных документов, регулирующих вашу деятельность. Обращайте внимание на:
-
ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер».
-
Стандарт безопасности данных индустрии платежных карт (PCI DSS).
-
Приказы ФСТЭК от 11.02.2013 г. №17 и ФСТЭК от 18.02.2013 г. №21 в соответствии с ФЗ-149 «Об информации, информационных технологиях и ФЗ-152 «О персональных данных».
ГОСТ Р 57580.1-2017
ГОСТ Р 57580.1-2017 распространяется на кредитные и некредитные финансовые предприятия, однако нужно оценить, какой уровень защиты Банк России установил непосредственно для вашей организации. Самые жесткие технические требования предусмотрены для компаний с первым, усиленным уровнем защиты. В стандарте это отмечено, как «оборудование помещений средствами (системами) контроля и управления доступом, контроль перечня лиц, которым предоставлено право самостоятельного физического доступа в помещения и контроль самостоятельного физического доступа в помещения для лиц, не являющихся работниками финансовой организации».
Также, в качестве организационных мер для первого и второго уровня защиты ГОСТ указывает на необходимость «расположения серверного и сетевого оборудования в запираемых серверных стоечных шкафах» и «контроль доступа к серверному и сетевому оборудованию, расположенному в запираемых серверных стоечных шкафах». Здесь может быть достаточно и запирающихся шкафов, но если оборудование просто в стойках, их придется ограждать. В целом, в дополнение к стандартным мерам защиты ЦОД, изолирующий периметр со замком и отдельной СКУД полностью закрывает этот блок требований ГОСТ Р 57580.1-2017.
PCI DSS
Требования стандарта PCI DSS распространяются на все предприятия, которые работают с платежными картами, однако торгово-сервисные компании с менее чем 20 тыс. транзакций в год и поставщики услуг с 300 тыс. транзакций могут ограничиться анкетой самооценки безопасности (SAQ). Процессинговым центрам, поставщикам услуг с более чем 300 тыс. транзакций и ТС предприятиям с более чем 6 млн. транзакций в год придется проходить аудит.
В процессе аудита компания должна подтвердить, что физический доступ к данным о держателях карт (ДДК) ограничен замками, средствами контроля доступа и контролируется камерами видеонаблюдения.
Камера в машзале
Также п. 9 требует ограничить доступ к общедоступным сетевым разъемам, сетевому или коммуникационному оборудованию. Частично эти требования закрывает централизованная система безопасности ЦОД, но для первого уровня сертификации по PCI DSS необходимо ограждение стоек.
Разъемы, кроссы
Приказы ФСТЭК
Приказ ФСТЭК от 18.02.2013 г. №21 определяет требования к мерам по обеспечению безопасности ПД в ИСПДн (библиотечные системы, «1С-Бюджет», сервис электронного дневника и пр.), а Приказ ФСТЭК от 11.02.2013 г. №17 — к защите информации ГИС (АИС ЕПС, ЕИС в сфере закупок, ГИС ГМП и пр). В обоих приказах требования к безопасности технических средств предусматривают исключение «несанкционированного доступа к стационарным техническим средствам…и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей».
Как и в случае с банковским ГОСТом, комбинация защитных мер определяется классом/уровнем защищенности системы и ПД, однако в обоих случаях для первого класса/уровня обязательными считаются организация контролируемой зоны, а также контроль и управление физическим доступом. В серверных залах ЦОД соблюдение этих требований в полной мере обеспечивает изоляция части машзала.
Выгородка в машзале
Если внимательно изучить требования различных регуляторов, причем как отечественных, так и зарубежных (Генеральный регламент о защите персональных данных GDPR, ISO 27001 и др.), ни в одном из них вы не найдете конкретных указаний на выгородки и дополнительные периметры. Все регламенты оговаривают общий набор организационных и технических мер безопасности, оставляя оператору свободу выбора в определении конкретных инженерных решений.
Разрабатывая услугу по аренде части машзала мы учли эту свободу и предусмотрели возможность разработки индивидуального проекта ограждений от 10 кв.м, установку датчиков объема и биометрических средств идентификации, монтаж нестандартных стоек и возможность уменьшить/расширить зону периметра. Принимая во внимание требования регуляторов, сделали этот формат colocation максимально гибким и удобным, чтобы упростить клиентам соблюдение требований к физической безопасности серверов и хранящихся на них данных.
Больше о технических нюансах кейджа и проекта изоляции вам расскажут специалисты поддержки. Задайте вопросы по телефону 8 800 350-15-00 или оставьте заявку на консультацию в форме обратной связи.
