В рубрику "Инженерно-технические средства защиты" | К списку рубрик | К списку авторов | К списку публикаций
В современном мире при защите информации наибольшее внимание следует уделять физической безопасности информационных ресурсов. Своевременная оценка рисков позволит избежать руководству компании незапланированных перерывов в работе и большой потери денег
Станислав Заржецкий
Региональный менеджер Lampertz GmbH &Co
В мире уже много лет существует понятие функциональной безопасности информационных ресурсов. Основными ее составляющими являются:
1.Техническая безопасность:
2.Логическая безопасность:
3.Физическая безопасность:
В наши дни, когда достаточно высока вероятность техногенных катастроф, немаловажным становится вопрос физической безопасности информации. Для информационных центров этот вопрос наиболее актуален.
Оценка рисков
Немецкая страховая компания Gerling провела исследование, выясняя, сколько в среднем может просуществовать предприятие после полной остановки информационной системы, и пришла к следующим результатам:
Полная остановка информационной системы может привести к банкротству.
Говоря другими словами, достаточно продолжительный простой вычислительного центра может привести к тому, что предприятие просто перестанет существовать.
При этом ответственность за то, чтобы этого не произошло, целиком и полностью лежит на руководстве компании.
Необходимо также отметить, что даже непродолжительный перерыв в работе информационной структуры зачастую приводит к потере огромных денег.
Факторы риска в вычислительных центрах
1.Пожар
Согласно статистическим данным, пожары возникают:
-в электронных системах - 10%;
-под двойным полом -5%;
-в системе кондиционирования - 5%;
2.Влажность/вода
Конструкции любого здания содержат в своем составе воду. Это придает прочность как бетону, так и кирпичным строениям.
При воздействии высокой температуры эта вода начинает "выпариваться" в соседнее помещение, в котором может находиться информационный ресурс, что приводит к достижению 100%-ной влажности уже через 10-15 минут.
Например, в комнате 5x6x3 м образуется 870 л воды.
3.Коррозийный газ
При горении PVC образуется коррозийный газ:
При горении 1 кг PVC образуется до 5800 м3 коррозийного газа. Это значит, что потеря оборудования и информации возможна даже без прямого контакта с огнем.
Можно много говорить и о других факторах риска, но большинство из них хорошо известны и уже неоднократно обсуждались как в прессе, так и в ИТ-кругах. Рассмотренные выше три составляющие риска - это именно те риски, которым, к сожалению, до сих пор уделяется недостаточное внимание при создании вычислительных центров.
Все перечисленные выше примеры и данные показывают, насколько значимым является решение вопроса обеспечения физической безопасности информационных ресурсов.
В мире это уже давно является практически одной из самых основных задач СЮ по информационным технологиям компаний.
Как же определить, что нужно сделать и какие решения необходимо использовать для того, чтобы обеспечить полную функциональную защиту данных?
Экономическое обоснование необходимости обеспечения физической безопасности ИТ-ресурсов компании
На сегодняшний день в мире при составлении сметы затрат вычислительного центра на обеспечение физической защиты информационных ресурсов отводится 1 5-20% от общей его стоимости. При этом при калькуляции стоимости учитывается как оборудование, так и программное обеспечение. В некоторых странах и организациях также учитывается и стоимость информации, которая становится известна по результатам проводимых ИТ-аудитов.
На примере крупной компании нефтегазового комплекса мы можем оценить объем затрат на организацию защиты ЦОТ от физического воздействия (табл. 1.)
Эти цифры говорят сами за себя. Обычно бюджеты компаний в Европе включают затраты на организацию физической защиты как одну из обязательных составляющих всего комплекса в целом. При этом решение о финансировании не принимается, если в проекте отсутствует данная составляющая.
Нужно учитывать и тот факт, что активное оборудование вычислительного центра меняется практически полностью в течение 5 лет (происходит естественный процесс замены устаревшего оборудования), и здесь мы получаем совсем другие цифры (табл. 2.).
Говоря иначе, средства, вложенные компанией в безопасность сегодня, будут защищать ее оборудование в течение 20 лет, и при этом рентабельность решения будет расти с каждым годом. Безусловно, решение потребует затрат в процессе его эксплуатации. Можно взять порядка 20% от полученной суммы и списать на эти затраты. Но даже при этом итоговая сумма составит более €1 000 000.
При обеспечении информационной безопасности обычно все сводится к проблемам программного обеспечения. Иногда к проблемам активного оборудования - безопасности самих компьютеров. А на Западе давно в обиходе совершенно конкретное понятие - функциональная безопасность. Функциональная безопасность информационного ресурса складывается из трех составляющих:
Когда все три составляющие реализованы, тогда можно говорить о том, что существует функциональная безопасность.
Чаще всего на обеспечение первых двух видов тратят огромные деньги, не обращая внимания на физическую безопасность. Считается, что ее можно обеспечить обычным строительным методом, поставив крепкие стены. Однако люди забывают о физической природе стен. Бетонная стена на 40% состоит из воды, и в случае возникновения пожара - пусть даже не в самом помещении центра хранения и обработки данных, а в соседнем, за стеной - в течение 20-30 минут вся эта вода под воздействием высокой температуры выпаривается. И внутри центра обработки данных возникает 1 00%-ная влажность. А при такой влажности никакой компьютер работать не будет. Таким образом, оборудование просто погибает.
Нельзя забывать и о том, что после длительного нагрева бетонные стены подвергаются определенной коррозии. И когда пожарные начинают тушить пожар, через щели и трещины в центр обработки данных попадает еще и вода. В итоге центр обработки данных, несмотря на внутреннее обеспечение системами пожаротушения и кондиционирования, погибает из-за того, что ему не хватило физической защиты. И никакими стандартными строительными методами защитить свой серверный центр компания просто не сможет.
В Европе существуют аналогичные нашим ГОСТам Евронормы, в которых прописываются определенные требования по обеспечению функциональной безопасности к центрам обработки данных, чтобы считать их работоспособными. У нас, к сожалению, подобных норм еще нет.
Обзор решений, предлагаемых в мире по защите информационного ресурса
На сегодняшний день в мире есть целый ряд компаний, которые предлагают решения по физической защите информационных ресурсов. Обычно это некие комплексные модульные решения, которые обеспечивают защиту сразу от целого ряда воздействий.
Такого рода решения гарантируют безопасность всего центра обработки данных.
Всю продукция компаний в Европе можно условно разделить на три основные составляющие:
Наиболее полным и комплексным решением являются комнаты ИТ-безопасности. Это некая модульная конструкция, которая строится по принципу "помещение в помещении" и гарантированно защищает от выше перечисленных факторов физического воздействия. Наиболее ценным в этом перечне защиты является, конечно, устойчивость к температурным воздействиям. Данная конструкция выдерживает нагрев с температурой 11 00 °С в течение 2 часов и при этом внутри помещения не бывает больше 7 0 °С! Никакими строительными решениями добиться такого уровня защиты просто невозможно.
Благодаря своей модульности такие решения обеспечивают возможность установки в любом помещении, без каких либо специальных строительных требований, а главное, могут монтироваться вокруг уже работающего центра без отключения оборудования.
Компаний, прошедших все необходимые уровни тестирования и сертификации своей продукции, не так много. Только две-три из них могут похвастаться наличием сертификата соответствия ЕвронормеEN1 047-2.
Для Европы использование такого рода решений стало правилом. Согласно принятому в прошлом году соглашению Basel II банки и страховые компании просто обязаны их использовать в своей практике.
Целый ряд компаний предлагает также варианты защиты отдельно стоящих 1 9" стоек модульными сейфами безопасности. Такое решение не слишком дорого стоит, однако обеспечивает необходимый уровень защиты. Производители предлагают использовать свои сейфы на небольших предприятиях и для вынесенных элементов информационной сети, которые находятся в неблагоприятных зонах. Их степень защиты несколько ниже, но при этом "мобильность" решения намного выше.
Нельзя не обратить внимание и на сейфы для носителей информации. К сожалению, у нас в стране стало привычным делом хранение медиа-носителей в обычных, дешевых сейфах. Причем люди не задумываются о том, что такого рода сейфы служат только для обеспечения сохранности документов. Медиа-носители куда более чувствительны к температуре, и обычный сейф их не защитит.
Учитывая все сказанное выше, можно сделать вывод, что нашей стране просто необходимо больше внимания уделять физической безопасности информационных ресурсов. Это становится все более важным, и значимость сохранности информации растет с каждым днем.
Опубликовано: Журнал "Системы безопасности" #4, 2006
Посещений: 27424
Автор
| |||
В рубрику "Инженерно-технические средства защиты" | К списку рубрик | К списку авторов | К списку публикаций