Фізична безпека інформаційних ресурсів

Фізична безпека інформаційних ресурсів

Фізична безпека інформаційних ресурсів

У сучасному світі при захисті інформації найбільшу увагу слід приділяти фізичній безпеці інформаційних ресурсів. Своєчасна оцінка ризиків дозволить уникнути керівництву компанії незапланованих перерв у роботі та великої втрати грошей

Станіслав Заржецький Регіональний менеджер Lampertz GmbH &Co

У світі вже багато років існує поняття функціональної безпеки інформаційних ресурсів. Основними її складовими є:

  • система побудови резервних центрів;
  • організація системи безперебійного живлення;
  • "дзеркалювання" систем обробки та зберігання даних;
  • вибір якісного устаткування організації ІТ-інфраструктури.

  • антивірусні програми;
  • системи від несанкціонованого доступу;
  • системи ідентифікації;
  • системи кодування;
  • вибір якісного ліцензійного програмного забезпечення.

  • захист від вогню;
  • захист від води та пожежогасної рідини
  • захист від корозійних газів;
  • захист від електромагнітного випромінювання;
  • захист від вандалізму;
  • захист від крадіжки та крадіжки;
  • захист від вибуху;
  • захист від падаючих уламків;
  • захист від пилу;
  • захист від несанкціонованого доступу до приміщення.

У наші дні, коли досить висока ймовірність техногенних катастроф, важливим стає питання фізичної безпеки інформації. Для інформаційних центрів це питання найбільш актуальне.

фізична
Німецька страхова компанія Gerling провела дослідження, з'ясовуючи, скільки всередньому може проіснувати підприємство після повної зупинки інформаційної системи, і дійшла таких результатів:

  • страхові компанії – 5,5 днів;
  • виробничі компанії – 5 днів;
  • торгові/дистриб'юторські компанії – 2,5 дні;
  • банки -2 дні;
  • виробничі компанії з "just in time" виробничою системою – 12-24 год.

Повне зупинення інформаційної системи може призвести до банкрутства.

Іншими словами, досить тривалий простий обчислювального центру може призвести до того, що підприємство просто перестане існувати.

При цьому відповідальність за те, щоб цього не сталося, повністю лежить на керівництві компанії.

Необхідно також зазначити, що навіть нетривала перерва у роботі інформаційної структури часто призводить до втрати величезних грошей.

Фактори ризику у обчислювальних центрах

Згідно зі статистичними даними, пожежі виникають:

    у обчислювальному центрі – 20%, з них:

-в електронних системах – 10%;

-Під подвійною підлогою -5%;

-у системі кондиціювання - 5%;

  • в навколишніх приміщеннях – 80%.

    • Конструкції будь-якої будівлі містять у своєму складі воду. Це надає міцності як бетону, так і цегляним будовам.

    При дії високої температури ця вода починає "випарюватися" в сусіднє приміщення, в якому може знаходитися інформаційний ресурс, що призводить до досягнення 100% вологості вже через 10-15 хвилин.

    Наприклад, у кімнаті 5x6x3 м утворюється 870 л води.

    При горінні PVC утворюється корозійний газ:

    При горінні 1 кг PVC утворюється до 5800 м3 корозійного газу. Це означає, що втрата обладнання таІнформація можлива навіть без прямого контакту з вогнем.

    Можна багато говорити і про інші фактори ризику, але більшість із них добре відомі і вже неодноразово обговорювалися як у пресі, так і в ІТ-колах. Розглянуті вище три складові ризику - це ті ризики, яким, на жаль, досі приділяється недостатню увагу під час створення обчислювальних центрів.

    Усі перелічені вище приклади та дані показують, наскільки важливим є вирішення питання забезпечення фізичної безпеки інформаційних ресурсів.

    У світі це вже давно є практично одним із найголовніших завдань СЮ з інформаційних технологій компаній.

    Як визначити, що потрібно зробити і які рішення необхідно використовувати для того, щоб забезпечити повний функціональний захист даних?

    Економічне обґрунтування необхідності забезпечення фізичної безпеки ІТ-ресурсів компанії

    На сьогоднішній день у світі при складанні кошторису витрат обчислювального центру на забезпечення фізичного захисту інформаційних ресурсів відводиться 15-20% від загальної його вартості. У цьому при калькуляції вартості враховується як устаткування, і програмне забезпечення. У деяких країнах та організаціях також враховується і вартість інформації, яка стає відома за результатами ІТ-аудитів.

    Приклад великої компанії нафтогазового комплексу ми можемо оцінити обсяг витрат за організацію захисту ЦОП від фізичного впливу (табл. 1.)

    Ці цифри говорять самі за себе. Зазвичай бюджети компаній у Європі включають витрати на організацію фізичного захисту як одну з обов'язкових складових комплексу в цілому. При цьому рішення про фінансування не приймається, якщо у проекті відсутня ця складова.

    Необхідно враховувати і те що, що активне устаткування обчислювального центру змінюється майже повністю протягом 5 років (відбувається природний процес заміни застарілого устаткування), і ми отримуємо зовсім інші цифри (табл. 2.).

    Інакше кажучи, кошти, вкладені компанією в безпеку сьогодні, захищатимуть її обладнання протягом 20 років, і при цьому рентабельність рішення зростатиме з кожним роком. Безумовно, рішення вимагатиме витрат у процесі його експлуатації. Можна взяти близько 20% від отриманої суми та списати на ці витрати. Але навіть при цьому підсумкова сума становитиме понад €1 000 000.

    Забезпечуючи інформаційну безпеку, зазвичай все зводиться до проблем програмного забезпечення. Іноді до проблем активного обладнання – безпеки самих комп'ютерів. А на Заході давно в побуті цілком конкретне поняття – функціональна безпека. Функціональна безпека інформаційного ресурсу складається із трьох складових:

    • технічна безпека, яка визначається якістю та надійністю роботи комп'ютера;
    • логічна безпека, пов'язана з грамотною побудовою та безперебійною роботою програмного забезпечення;
    • фізична безпека, яка полягає у захисті компонентів перших двох складових від вогню, води, вибухів, пилу тощо.

    Коли всі три складові реалізовані, тоді можна говорити, що існує функціональна безпека.

    Найчастіше на забезпечення перших двох видів витрачають величезні гроші, не зважаючи на фізичну безпеку. Вважається, що її можна забезпечити звичайним будівельним методом, поставивши міцні стіни. Проте люди забувають про фізичну природу стін. Бетонна стіна на 40% складається з води, і у разі виникненняпожежі – нехай навіть не в самому приміщенні центру зберігання та обробки даних, а в сусідньому, за стіною – протягом 20-30 хвилин вся ця вода під впливом високої температури випаровується. І всередині центру обробки даних виникає 100% вологість. А за такої вологості ніякий комп'ютер працювати не буде. Таким чином, обладнання просто гине.

    Не можна забувати і про те, що після тривалого нагріву бетонні стіни зазнають певної корозії. І коли пожежники починають гасити пожежу, через щілини та тріщини до центру обробки даних потрапляє ще й вода. У результаті центр обробки даних, незважаючи на внутрішнє забезпечення системами пожежогасіння та кондиціювання, гине через те, що йому не вистачило фізичного захисту. І жодними стандартними будівельними методами захистити свій серверний центр компанія просто не зможе.

    У Європі існують аналогічні до наших ГОСТів Євронорми, в яких прописуються певні вимоги щодо забезпечення функціональної безпеки до центрів обробки даних, щоб вважати їх працездатними. У нас, на жаль, таких норм ще немає.

    Огляд рішень, що пропонуються у світі щодо захисту інформаційного ресурсу

    На сьогоднішній день у світі є ціла низка компаній, які пропонують рішення щодо фізичного захисту інформаційних ресурсів. Зазвичай це деякі комплексні модульні рішення, які забезпечують захист одночасно від цілого ряду впливів.

    Такі рішення гарантують безпеку всього центру обробки даних.

    Усю продукцію компаній у Європі можна умовно поділити на три основні складові:

    • кімнати ІТ-безпеки;
    • сейфи ІТ-безпеки або, як їх ще називають, дата-сейфи;
    • сейфи для захисту носіїв інформації або, як їх щеназивають, медіа-сейфи.

    Найбільш повним та комплексним рішенням є кімнати ІТ-безпеки. Це якась модульна конструкція, яка будується за принципом "приміщення в приміщенні" і гарантовано захищає від перерахованих вище факторів фізичного впливу. Найбільш цінним у цьому переліку захисту є, звісно, ​​стійкість до температурних впливів. Дана конструкція витримує нагрівання з температурою 1100 ° С протягом 2 годин і при цьому всередині приміщення не буває більше 70 ° С! Жодними будівельними рішеннями досягти такого рівня захисту просто неможливо.

    Завдяки своїй модульності такі рішення забезпечують можливість встановлення в будь-якому приміщенні, без будь-яких спеціальних будівельних вимог, а головне можуть монтуватися навколо вже працюючого центру без відключення обладнання.

    Компаній, які пройшли всі необхідні рівні тестування та сертифікації своєї продукції, не так багато. Лише дві-три з них можуть похвалитися сертифікатом відповідності Євронорме EN1 047-2.

    Для Європи використання таких рішень стало правилом. Згідно з прийнятою торік угодою Basel II банки та страхові компанії просто зобов'язані їх використовувати у своїй практиці.

    Цілий ряд компаній пропонує також варіанти захисту 1 9" стійок, що окремо стоять, модульними сейфами безпеки. Таке рішення не надто дорого коштує, проте забезпечує необхідний рівень захисту. Виробники пропонують використовувати свої сейфи на невеликих підприємствах і для винесених елементів інформаційної мережі, які знаходяться в несприятливих зонах Їх ступінь захисту дещо нижчий, але при цьому "мобільність" рішення набагато вища.

    Не можна не звернути увагу на сейфи для носіїв інформації. На жаль, у нас україні стало звичною справою зберігання медіа-носіїв у звичайних дешевих сейфах. Причому люди не замислюються про те, що такі сейфи служать тільки для забезпечення збереження документів. Медіа-носії значно чутливіші до температури, і звичайний сейф їх не захистить.

    Враховуючи все сказане вище, можна дійти невтішного висновку, що нашій країні просто необхідно більше уваги приділяти фізичної безпеки інформаційних ресурсів. Це стає все більш важливим, і важливість безпеки інформації зростає з кожним днем.