Центры обработки данных. Мнение эксперта: Виктор Сердюк, генеральный директор ЗАО «ДиалогНаука», канд. техн. наук, CISSP
При построении центра обработки данных (ЦОД) особое внимание необходимо уделять вопросам обеспечения информационной безопасности. Актуальность данной проблемы обусловлена тем, что нарушение конфиденциальности, целостности или доступности информации, хранимой или обрабатываемой в ЦОД, может привести к нарушению ключевых бизнес-процессов организации.
Необходимо отметить, что требования по защите информации должны закладываться на этапе проектирования ЦОД. Это позволит заранее интегрировать в ЦОД необходимые функции защиты. Требования должны базироваться на модели угроз, которая описывает возможные действия злоумышленников по отношению к информационным ресурсам ЦОД. От полноты модели угроз зависит то, насколько эффективно будут сформулированы требования по защите информации.
Для защиты ЦОД, который уже введен в эксплуатацию, необходимо провести аудит информационной безопасности, который даст текущую оценку имеющихся уязвимостей и недостатков и позволит выработать рекомендации по их устранению. По результатам аудита формируется перечень первоочередных мероприятий по повышению уровня информационной безопасности ЦОД.
Комплексная система обеспечения информационной безопасности ЦОД должна предусматривать меры в области нормативно-методического, технологического и кадрового обеспечения безопасности.
Нормативно-методическое обеспечение предполагает создание сбалансированного пакета нормативных документов и процедур в области защиты ЦОД от возможных угроз. Состав таких документов во многом зависит от целей и задач ЦОД, уровня его сложности, количества узлов, входящих в состав ЦОД, и т. д.
В рамках кадрового обеспечения информационной безопасности в компании должна быть разработана программа повышения осведомленности сотрудников о вопросах противодействия угрозам безопасности. В рамках такой программы должны быть реализованы процессы обучения и аттестации сотрудников, ответственных за использование и эксплуатацию ЦОД.
Технологическое обеспечение должно быть нацелено на создание комплексной системы обеспечения информационной безопасности ЦОД (КСИБ). Состав КСИБ зависит от структуры и состава ЦОД, но в общем случае включает в себя следующие подсистемы:
- защиты от утечки конфиденциальной информации;
- защиты от вирусов и спама;
- анализа уязвимостей;
- обнаружения вторжений;
- межсетевого экранирования;
- разграничения доступа;
- криптографической защиты;
- мониторинга информационной безопасности.
Для создания КСИБ следует учитывать требования действующего российского законодательства, а также рекомендации международных стандартов, таких как ISO 17799 и ISO 27001. Особое внимание необходимо уделять положениям Федерального закона «О персональных данных» в том случае, если в ЦОД предполагается хранить или обрабатывать персональную информацию о сотрудниках или клиентах компании.