Защищенность ЦОДов: физическая и юридическая

Защищенность ЦОДов: физическая и юридическая
DataSpace

Решение задачи хранения растущих объемов информации сегодня берут на себя ЦОДы, а значит, на них ложится и обязанность обеспечить ее сохранность. 

Сергей СМОЛИН, ведущий юрист, DataSpace

Сегодня процесс обмена данными практически полностью перешел в сферу интернета. Информация стала ценным продуктом на мировом рынке: многие компании готовы платить за сведения о клиентах, конкурентах, своих сотрудниках и т.д., что увеличивает риск похищения таких данных. К тому же с каждым днем объем информации увеличивается, проблемы ее хранения становятся все острее — и все чаще решение этой задачи берут на себя ЦОДы.

В первую очередь клиенты оператора ЦОДа заинтересованы в получении качественных услуг и высоком уровне отказоустойчивости инфраструктуры, но это далеко не все. Одним из существенных критериев при выборе дата-центра является уровень защищенности информации. 

Вопреки представлению многих клиентов ЦОДа, средства безопасности не ограничиваются только системами, защищающими данные от хакерских атак, взломов и прочих способов получения несанкционированного удаленного доступа к информации. Есть еще проблема физической защищенности ЦОДа, поскольку он должен обеспечить сохранность информации клиентов, размещенной на серверах в его машинных залах. Причем, в отличие от организации информационной безопасности телекоммуникационных сетей, которая должна соответствовать законодательству и нормативным требованиям РФ (это, например, Федеральный закон № 149-ФЗ от 27 июля 2006 г., указ Президента Российской Федерации от 17 марта 2008 г. № 351, постановление правительства № 531 от 31 августа 2006 г. и т.д.), физическая защита ЦОДа практически полностью передается в ведение его оператора, поэтому перед клиентом встает ответственная задача выбора надежного дата-центра для хранения своей информации. 

Проблема защищенности ЦОДа охватывает множество существенных аспектов, которые заказчику нужно тщательно проанализировать. В целом их можно разделить на две основные группы: физическая защищенность ЦОДа и его юридическая защищенность. 

Физическая защищенность

Основная задача физической защиты ЦОДа — предотвратить несанкционированный доступ посторонних лиц к информации, хранящейся на серверах клиентов. Уже при строительстве ЦОДа огромное внимание должно уделяться организации безопасности и контроля доступа на его территорию, включая размещение КПП, установку камер видеонаблюдения, организацию процедуры доступа и т.д. Рассмотрим ключевые аспекты организации системы физической безопасности.

Охрана объекта. Опе­ра­тору ЦОДа необходимо ответственно подойти к выбору охранного предприятия. В соответствии с законодательством РФ частные охранные предприятия (ЧОП) вправе оказывать профессиональные услуги в области охраны объекта, в том числе с применением огнестрельного оружия. Само­стоятельный набор персонала охраны «с улицы» лишит оператора ЦОДа квалифицированных специалистов, отлаженной системы взаимодействия, а также контроля со стороны профессионального руководителя службы безопасности. 

При выборе предприятия оператору ЦОДа необходимо обратить внимание на следующие моменты: как долго ЧОП работает на рынке охранных услуг, какие проекты он уже обслуживает, имеются ли необходимые лицензии и разрешения, сменность кадрового состава за прошедший год и т.д. Проведение юридической экспертизы (due diligence) ЧОПа на этапе его выбора обезопасит оператора ЦОДа от возможных проблем с охраной объекта. 

Видеонаблюдение. Система видеонаблюдения должна полностью охватывать всю площадь внутренних помещений ЦОДа и прилегающую территорию. Поскольку ЦОД функционирует беспрерывно и доступ для клиентов и провайдеров обеспечивается круглосуточно, в системе наблюдения должен быть организован не только постоянный контроль со стороны службы безопасности, но и продолжительная видеозапись. Для ЦОДа, оказывающего услуги премиум-уровня, недостаточно только системы видеонаблюдения с большой емкостью хранения файлов: необходимо дополнительное архивирование и продолжительное хранение всех видеозаписей, сроком примерно до 5 лет, что позволит оператору ЦОДа, его клиентам и провайдерам услуг при необходимости оперативно восстановить события любого дня. Такой уровень хранения видеозаписей незаменим при расследованиях попыток несанкционированного проникновения в ЦОД.

Системы безопасности доступа. Организация доступа в здание и непосредственно в машинные залы ЦОДа должна включать несколько уровней защиты. Наиболее распространенные сейчас системы защиты используют биометрические данные посетителей (отпечатки пальцев, рисунок радужной оболочки глаза и т.д.). 

Оснащение дата-центра мощными противопожарными дверями и тамбур-шлюзами также увеличивает надежность ЦОДа. 

Помимо защиты самого здания перед оператором ЦОДа стоит задача ограничить доступ на прилегающую к дата-центру территорию. Для этого можно использовать надежные ограждения с противоподкопной защитой.  

В машинных залах можно дополнительно установить ограждения вокруг серверных стоек клиентов. 

Защита данных от потери. Помимо риска похищения данных, существует и риск их уничтожения. Поэтому здание ЦОДа должно быть не только неприступной крепостью, но и бункером, полностью оборудованным всеми необходимыми системами защиты. В частности, ЦОД, обеспечивающий премиум-услуги, должен быть оснащен новейшими системами сверхраннего обнаружения возгорания и газового пожаротушения, которые не причиняют ущерба оборудованию клиента, а также высокоточным температурным контролем и системой охлаждения оборудования. Контроль за всей инфраструктурой дата-центра должен вестись из диспетчерской, расположенной непосредственно в том же здании, — тем самым исключается риск получения несанкционированного контроля за системой управления ЦОДа.

Юридическая защищенность

Обеспечение юридической защиты ЦОДа должно быть реализовано не только на протяжении всех этапов его строительства, но и в ходе эксплуатации. Такие меры обеспечат защиту оператора ЦОДа, клиентов и провайдеров от претензий третьих лиц и от посягательства на право собственности на здание дата-центра. Очевидно, что такие посягательства могут не только привести к потере контроля над ЦОДом, но и поставить под удар надежность защиты данных клиентов. 

Фактически вся хозяйственная деятельность оператора ЦОДа должна быть направлена на предотвращение потенциальных рисков посягательства на данные клиентов. При выборе подрядчиков и поставщиков услуг для ЦОДа необходимо провести подробный due diligence контрагентов на предмет возникновения рисков несанкционированного доступа к информации клиентов. 

Выделим некоторые существенные аспекты юридической защищенности ЦОДа.

Анализ правовых рисков. При выборе территории для строительства ЦОДа необходимо провести подробный due diligence на предмет наличия любых обременений и споров, связанных с земельным участком. Подъезды к ЦОДу должны быть организованы по дорогам общего пользования, что обеспечивает независимость оператора ЦОДа от собственников соседних участков и зданий. В противном случае оператор может столкнуться со сложностями при получении сервитута на проезд по территории соседних участков.

Мониторинг соседних земельных участков. В связи с тем, что инфраструктура ЦОДа (кабельная канализация, электросети и т.д.) выходит за границы территории земельного участка, необходимо организовать постоянный мониторинг правового положения соседних земельных участков и зданий. Не исключена ситуация, когда владелец соседнего участка при проведении строительных работ неумышленно может повредить кабельную канализацию ЦОДа. По этой причине любое изменение в использовании земельных участков и зданий или изменение в структуре собственников соседних территорий должно сопровождаться оперативным due diligence на предмет потенциальных рисков и конфликтов. 

Защищенная правовая структура собственности. В отношении структуры собственности ЦОДа юридическая безопасность обеспечивается путем передачи права собственности и права аренды в отношении здания ЦОДа разным юридическим лицам, входящим в одну группу лиц с оператором ЦОДа. Таким образом, оператор ЦОДа обеспечивает юридическую защиту здания от неправомерных попыток захвата собственности, а также грамотно распределяет риски, связанные с эксплуатацией здания и оказанием услуг colocation. 

Готовность к любым проверкам. Для юридической безопасности ЦОДа существенна качественная и проработанная процедура взаимодействия с контролирующими государственными органами. Поскольку многие из них наделены полномочиями приостанавливать деятельность организации при обнаружении нарушений, оператор ЦОД в первую очередь должен гарантировать полное и всестороннее исполнение требований законодательства. Например, если для обеспечения отказоустойчивости ЦОДа используются дизельные генераторные установки, то оператор ЦОДа обязан принять меры для постановки объекта на учет в Рос­при­род­надзоре и разработки проекта предельно допустимых выбросов, в противном случае ему грозит проверка и возможная приостановка деятельности ЦОДа. 

Как правило, оператор ЦОДа, оказывающего премиум-услуги, предоставляет своим клиентам дополнительные гарантии в случае приостановки ЦОДа по решению государственных органов.

* * *

Надежная защита информации увеличивает ее ценность, и операторы ЦОДов способны в этом помочь. С другой стороны, постоянно появляются новые способы похищения информации, поэтому непрерывное улучшение физической и юридической защищенности объекта — безусловный приоритет операторов дата-центров, особенно премиум-уровня. Нередко операторы ЦОДов экономят на организации безопасности и отказоустойчивости, и в результате уровень защищенности ЦОДа не гарантирует полную защиту информации клиентов. Но если информационную безопасность телеком-сетей можно постоянно совершенствовать, то физическая безопасность изначально должна соответствовать высокому уровню надежности — и об этом важно помнить клиенту при выборе ЦОДа.

Пресс-центр