Андрей Касьяненко: «В решении проблем информационной безопасности мы работаем по инцидентам» |
В рамках форума «Мир ЦОД 2013», который был организован издательством «Открытые системы» 28-29 мая, состоялся круглый стол по проблемам предоставления российскими операторами ЦОД и облаков услуг по обеспечению безопасности. Хотя он назывался «ЦОД как точка пересечения интересов CIO и CSO», то есть руководителя информационной службы и главы службы безопасности, с самого начала выяснилось, что никакого пересечения интересов практически нет, поскольку в коммерческом ЦОД часто вообще отсутствует выделенная служба информационной безопасности.
«Нам не нужна служба информационной безопасности, — отметил Андрей Касьяненко, заместитель генерального директора компании Caravan, — потому что мы предоставляем только инфраструктурные сервисы». Сотрудники отдела ИТ Caravan обслуживают средства защиты информационной системы, контролируют работу межсетевых экранов, систем обнаружения вторжений, противодействия мошенничеству и т. д. Эта работа выполняется под контролем системы обработки инцидентов.
В компаниях, где выделенные службы информационной безпасности существуют, в их обязанности, как правило, входит только формирование требований по защите информации и мониторинг работы средств защиты, а эксплуатацией и обслуживанием систем безопасности занимается опять-таки служба ИТ. При таком распределении обязанностей приходится внедрять инструменты для ограничения прав администраторов, за работой которых в свою очередь следят сотрудники отдела информационной безопасности организации. «У нас служба информационной безопасности занимается только формированием требований по безопасности к ИТ и контролирует соблюдение этих требований, — пояснил Виктор Лазников, начальник департамента ИТ «Стройгазмонтаж». — Нам пришлось установить жесткую систему наблюдения за действиями ИТ-администраторов — вплоть до видеофиксации их действий во время монтажа оборудования в стойках ЦОД».
Ситуацию в коммерческих ЦОД нужно воспринимать так: отдел безопасности является структурным подразделением заказчика, поэтому готовит требования по информационной безопасности для ИТ-службы оператора ЦОД и в дальнейшем следит за соблюдением поставленных требований. Важно при заказе услуг по аренде инфраструктуры и приложений в договоре о качестве обслуживания предусмотреть и требования по защите, а также возможность контроля действий оператора со стороны клиента. В частности, Роман Чаплыгин, руководитель отдела информационной безопасности банка Delta Credit, задался вопросом, как включать в соглашения об уровне обслуживания требования по защите. Эту проблему пока каждому заказчику приходится решать самостоятельно, хотя стоит помнить, что информационная безопасность — это в том числе и целостность системы, и доступность информации. И без правильного функционирования систем защиты очень сложно достигнуть показателя в 99,999% доступности.
Поэтому в контракте с ЦОД стоит предусмотреть как минимум резервное копирование своих данных, высокую доступность инфраструктурных компонентов и минимальное время отклика системы. Эти требования очень сложно выполнить без адекватной защиты инфраструктурных элементов с помощью межсетевых экранов, системы резервного копирования, надежного разграничения доступа, реагирования на инциденты и шлюзового антивируса. Можно даже провести нагрузочное тестирование сервисов оператора, чтобы выяснить, может ли он соблюдать указанные в контракте параметры доступности.
Другой вариант определения правил безопасности предложил Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры». Он рекомендует построить модель угроз для своей информационной системы, где ЦОД должен нейтрализовать определенную часть угроз. Однако коммерческие ЦОД сейчас еще не освоили эффективное предоставление услуг по информационной безопасности, поэтому с дополнительными требованиями по информационной безопасности могут возникнуть проблемы. Тем не менее коммерческие ЦОД вынуждены договариваться в том числе и о соблюдении дополнительных требований по безопасности.