Решение задачи хранения растущих объемов информации сегодня берут на себя ЦОДы, а значит, на них ложится и обязанность обеспечить ее сохранность.
Сергей СМОЛИН, ведущий юрист, DataSpace
Сегодня процесс обмена данными практически полностью перешел в сферу интернета. Информация стала ценным продуктом на мировом рынке: многие компании готовы платить за сведения о клиентах, конкурентах, своих сотрудниках и т.д., что увеличивает риск похищения таких данных. К тому же с каждым днем объем информации увеличивается, проблемы ее хранения становятся все острее — и все чаще решение этой задачи берут на себя ЦОДы.
В первую очередь клиенты оператора ЦОДа заинтересованы в получении качественных услуг и высоком уровне отказоустойчивости инфраструктуры, но это далеко не все. Одним из существенных критериев при выборе дата-центра является уровень защищенности информации.
Вопреки представлению многих клиентов ЦОДа, средства безопасности не ограничиваются только системами, защищающими данные от хакерских атак, взломов и прочих способов получения несанкционированного удаленного доступа к информации. Есть еще проблема физической защищенности ЦОДа, поскольку он должен обеспечить сохранность информации клиентов, размещенной на серверах в его машинных залах. Причем, в отличие от организации информационной безопасности телекоммуникационных сетей, которая должна соответствовать законодательству и нормативным требованиям РФ (это, например, Федеральный закон № 149-ФЗ от 27 июля 2006 г., указ Президента Российской Федерации от 17 марта 2008 г. № 351, постановление правительства № 531 от 31 августа 2006 г. и т.д.), физическая защита ЦОДа практически полностью передается в ведение его оператора, поэтому перед клиентом встает ответственная задача выбора надежного дата-центра для хранения своей информации.
Проблема защищенности ЦОДа охватывает множество существенных аспектов, которые заказчику нужно тщательно проанализировать. В целом их можно разделить на две основные группы: физическая защищенность ЦОДа и его юридическая защищенность.
Физическая защищенность
Основная задача физической защиты ЦОДа — предотвратить несанкционированный доступ посторонних лиц к информации, хранящейся на серверах клиентов. Уже при строительстве ЦОДа огромное внимание должно уделяться организации безопасности и контроля доступа на его территорию, включая размещение КПП, установку камер видеонаблюдения, организацию процедуры доступа и т.д. Рассмотрим ключевые аспекты организации системы физической безопасности.
Охрана объекта. Оператору ЦОДа необходимо ответственно подойти к выбору охранного предприятия. В соответствии с законодательством РФ частные охранные предприятия (ЧОП) вправе оказывать профессиональные услуги в области охраны объекта, в том числе с применением огнестрельного оружия. Самостоятельный набор персонала охраны «с улицы» лишит оператора ЦОДа квалифицированных специалистов, отлаженной системы взаимодействия, а также контроля со стороны профессионального руководителя службы безопасности.
При выборе предприятия оператору ЦОДа необходимо обратить внимание на следующие моменты: как долго ЧОП работает на рынке охранных услуг, какие проекты он уже обслуживает, имеются ли необходимые лицензии и разрешения, сменность кадрового состава за прошедший год и т.д. Проведение юридической экспертизы (due diligence) ЧОПа на этапе его выбора обезопасит оператора ЦОДа от возможных проблем с охраной объекта.
Видеонаблюдение. Система видеонаблюдения должна полностью охватывать всю площадь внутренних помещений ЦОДа и прилегающую территорию. Поскольку ЦОД функционирует беспрерывно и доступ для клиентов и провайдеров обеспечивается круглосуточно, в системе наблюдения должен быть организован не только постоянный контроль со стороны службы безопасности, но и продолжительная видеозапись. Для ЦОДа, оказывающего услуги премиум-уровня, недостаточно только системы видеонаблюдения с большой емкостью хранения файлов: необходимо дополнительное архивирование и продолжительное хранение всех видеозаписей, сроком примерно до 5 лет, что позволит оператору ЦОДа, его клиентам и провайдерам услуг при необходимости оперативно восстановить события любого дня. Такой уровень хранения видеозаписей незаменим при расследованиях попыток несанкционированного проникновения в ЦОД.
Системы безопасности доступа. Организация доступа в здание и непосредственно в машинные залы ЦОДа должна включать несколько уровней защиты. Наиболее распространенные сейчас системы защиты используют биометрические данные посетителей (отпечатки пальцев, рисунок радужной оболочки глаза и т.д.).
Оснащение дата-центра мощными противопожарными дверями и тамбур-шлюзами также увеличивает надежность ЦОДа.
Помимо защиты самого здания перед оператором ЦОДа стоит задача ограничить доступ на прилегающую к дата-центру территорию. Для этого можно использовать надежные ограждения с противоподкопной защитой.
В машинных залах можно дополнительно установить ограждения вокруг серверных стоек клиентов.
Защита данных от потери. Помимо риска похищения данных, существует и риск их уничтожения. Поэтому здание ЦОДа должно быть не только неприступной крепостью, но и бункером, полностью оборудованным всеми необходимыми системами защиты. В частности, ЦОД, обеспечивающий премиум-услуги, должен быть оснащен новейшими системами сверхраннего обнаружения возгорания и газового пожаротушения, которые не причиняют ущерба оборудованию клиента, а также высокоточным температурным контролем и системой охлаждения оборудования. Контроль за всей инфраструктурой дата-центра должен вестись из диспетчерской, расположенной непосредственно в том же здании, — тем самым исключается риск получения несанкционированного контроля за системой управления ЦОДа.
Юридическая защищенность
Обеспечение юридической защиты ЦОДа должно быть реализовано не только на протяжении всех этапов его строительства, но и в ходе эксплуатации. Такие меры обеспечат защиту оператора ЦОДа, клиентов и провайдеров от претензий третьих лиц и от посягательства на право собственности на здание дата-центра. Очевидно, что такие посягательства могут не только привести к потере контроля над ЦОДом, но и поставить под удар надежность защиты данных клиентов.
Фактически вся хозяйственная деятельность оператора ЦОДа должна быть направлена на предотвращение потенциальных рисков посягательства на данные клиентов. При выборе подрядчиков и поставщиков услуг для ЦОДа необходимо провести подробный due diligence контрагентов на предмет возникновения рисков несанкционированного доступа к информации клиентов.
Выделим некоторые существенные аспекты юридической защищенности ЦОДа.
Анализ правовых рисков. При выборе территории для строительства ЦОДа необходимо провести подробный due diligence на предмет наличия любых обременений и споров, связанных с земельным участком. Подъезды к ЦОДу должны быть организованы по дорогам общего пользования, что обеспечивает независимость оператора ЦОДа от собственников соседних участков и зданий. В противном случае оператор может столкнуться со сложностями при получении сервитута на проезд по территории соседних участков.
Мониторинг соседних земельных участков. В связи с тем, что инфраструктура ЦОДа (кабельная канализация, электросети и т.д.) выходит за границы территории земельного участка, необходимо организовать постоянный мониторинг правового положения соседних земельных участков и зданий. Не исключена ситуация, когда владелец соседнего участка при проведении строительных работ неумышленно может повредить кабельную канализацию ЦОДа. По этой причине любое изменение в использовании земельных участков и зданий или изменение в структуре собственников соседних территорий должно сопровождаться оперативным due diligence на предмет потенциальных рисков и конфликтов.
Защищенная правовая структура собственности. В отношении структуры собственности ЦОДа юридическая безопасность обеспечивается путем передачи права собственности и права аренды в отношении здания ЦОДа разным юридическим лицам, входящим в одну группу лиц с оператором ЦОДа. Таким образом, оператор ЦОДа обеспечивает юридическую защиту здания от неправомерных попыток захвата собственности, а также грамотно распределяет риски, связанные с эксплуатацией здания и оказанием услуг colocation.
Готовность к любым проверкам. Для юридической безопасности ЦОДа существенна качественная и проработанная процедура взаимодействия с контролирующими государственными органами. Поскольку многие из них наделены полномочиями приостанавливать деятельность организации при обнаружении нарушений, оператор ЦОД в первую очередь должен гарантировать полное и всестороннее исполнение требований законодательства. Например, если для обеспечения отказоустойчивости ЦОДа используются дизельные генераторные установки, то оператор ЦОДа обязан принять меры для постановки объекта на учет в Росприроднадзоре и разработки проекта предельно допустимых выбросов, в противном случае ему грозит проверка и возможная приостановка деятельности ЦОДа.
Как правило, оператор ЦОДа, оказывающего премиум-услуги, предоставляет своим клиентам дополнительные гарантии в случае приостановки ЦОДа по решению государственных органов.
* * *
Надежная защита информации увеличивает ее ценность, и операторы ЦОДов способны в этом помочь. С другой стороны, постоянно появляются новые способы похищения информации, поэтому непрерывное улучшение физической и юридической защищенности объекта — безусловный приоритет операторов дата-центров, особенно премиум-уровня. Нередко операторы ЦОДов экономят на организации безопасности и отказоустойчивости, и в результате уровень защищенности ЦОДа не гарантирует полную защиту информации клиентов. Но если информационную безопасность телеком-сетей можно постоянно совершенствовать, то физическая безопасность изначально должна соответствовать высокому уровню надежности — и об этом важно помнить клиенту при выборе ЦОДа.