Американский отраслевой регламент TIA-942 (Telecommunications Industry Association), относящийся к телекоммуникационной инфраструктуре центров обработки данных, содержит ряд информационных приложений, в которых описываются требования в том числе и касательно мер по оснащению помещений ЦОД техническими системами безопасности. При этом TIA-942 классифицирует четыре уровня, связанных с различной степенью готовности, надежности и защищенности инфраструктуры оборудования дата-центра. Согласно данному регламенту уровни с более высоким рейтингом включают в себя требования к уровням более низкого рейтинга и таким образом общий рейтинг дата-центра совпадает с рейтингом самого низкого уровня, т.е. самого слабого компонента. Обозначенные в стандарте четыре уровня соответствуют рейтингам промышленных дата-центров, которые разработаны институтом проблем работоспособности The Uptime Institute, но определения для каждого уровня в TIA-942 расширены и относятся как к системам сигнализации, мониторинга, охлаждения, электроснабжения и пожарной безопасности, так и к технической инфраструктуре внутренней безопасности.
Как правило, при проектировании и строительстве ЦОД вопрос физической безопасности данных фокусируется в большей степени вокруг построения многоуровневой системы контроля доступа на территорию объекта, СКУД в само здание и внутренние помещения. Внешний периметр и КПП оснащаются шлагбаумами и специальными шлюзовыми зонами, а также задействуется система видеонаблюдения, нередко с интеллектуальными системами распознавания лиц и номеров автомобилей. Вход в здание ЦОД также оснащается турникетами и системой верификации сотрудников и посетителей. Отдельная логика СКУД, включая разграниченный доступ, предусматривается для прохода в технические помещения и машинные залы. Все это — так называемые стандартные уровни технической защиты дата-центра, которые обеспечивают соответствие как Tier 3 по классификации The Uptime Institute, так и уровню 3 раздела требований к архитектуре и конструкции регламента TIA-942.
Однако в современных реалиях, когда количество утечек данных из дата-центров увеличивается из года в год, соответствие стандартам третьего уровня физической защиты информации регламента TIA-942 является хоть и необходимым, но явно недостаточным. По статистике F.A.C.C.T., только за первые четыре месяца 2023 г. в РФ произошло 75 краж из крупных российских коммерческих компаний и государственных организаций, что в 1,5 раза больше по сравнению с аналогичным периодом 2022 года, когда было зафиксировано 49 подобных инцидентов. Среди компаний, столкнувшихся с описанной проблемой, — Сбербанк, СДЭК, Delivery Club, Согаз и многие другие.
Несмотря на возникшие сложности с обновлением зарубежного ПО на серверах и появлением уязвимостей, эксперты в области защиты информации сходятся во мнении, что абсолютное большинство утечек связано не с возросшими компетенциями кибермошенников, а с действиями собственных сотрудников компаний. Именно поэтому следует обратить внимание на четвертый уровень требований к архитектуре и конструкции ЦОД регламента TIA-942, в котором учитываются «потенциальные физические события — как намеренные, так и случайные, естественные или обусловленные участием человека». Хотя четких формулировок требований по части организации работы персонала ЦОД TIA-942 не содержит (это — дело службы безопасности компании), в стандарте явным образом сформулирована проблема внутренней уязвимости ЦОД, которая должна быть закрыта для соответствия уровню 4 архитектуры и конструкции дата-центра и препятствовать «действиям рассерженных сотрудников».
Под данным термином следует понимать намерение украсть или уничтожить корпоративную информацию. Мотивы такого деяния варьируются от желания быстрой наживы через продажу украденной базы данных в даркнете до политических убеждений, связанных с обстановкой в стране. Потенциально внутренняя утечка информации может произойти в любой момент, причем как со стороны посетителя, так и с участием давно работающего в организации сотрудника, воспользовавшегося выросшими полномочиями и «доверием системы».
Как правило, промышленный дата-центр характеризуется наличием большого количества служебных помещений и, собственно, серверных телекоммуникационных шкафов, требующих обслуживания техническим персоналом, который не ограничивается парой дежурных инженеров, а состоит из различных специалистов. Коммерческие ЦОДы, предоставляющие услуги colocation, вообще нередко практикуют гостевой доступ прямо к оборудованию для проведения работ сторонними специалистами в стойках или через консоли, установленные в машинных залах. Причем последних может быть не один десяток в зависимости от масштаба конкретного ЦОД. В случае больших коммерческих и государственных учреждений периодически возникает необходимость физического доступа к оборудованию сотрудников из других офисов (центрального, регионального и т.п.), а также персонала подрядных или партнерских организаций. Все это является неотъемлемой частью эффективного функционирования ЦОД с одной стороны и головной болью службы безопасности (СБ) с другой, в особенности, когда речь идет о доступе к серверам в телекоммуникационных шкафах, которые содержат информацию, связанную с банковской, коммерческой или государственной тайной.
Регламентируя работу сотрудников на уровне контроля доступа только в помещения дата-центра, СБ организации либо существенно снижает коэффициент полезного действия персонала, либо жертвует уровнем безопасности, связанной с потенциальной утечкой данных. Отслеживание очередности прохода непосредственно в машинные залы ЦОД, фиксирование проведенного в них времени и последующий просмотр камер видеонаблюдения — подобные методы контроля над открытием конкретного шкафа негативно отражаются на эффективности работы как персонала и посетителей ЦОД, так и самой СБ.
Решения из области интеграции СКУД в помещения и CCTV, конечно же, способствуют повышению уровня безопасности, однако лишь отчасти решают проблему, связанную с контролем доступа напрямую к оборудованию в телекоммуникационных шкафах. В реальных условиях, когда в машинном зале ЦОД одновременно находится несколько десятков человек, ни один видеоряд с камер (пусть и с распознаванием лиц или дорогостоящей видеоаналитикой) не даст достоверное представление о том, кто именно и как долго имел доступ к конкретному шкафу. Кроме того, хранение видеоинформации требует существенных ресурсов, и видеоархивы, как правило, циклично перезаписываются, о чем зачастую осведомлен давно работающий персонал и посетители дата-центра.
Имея на вооружении решение AGRG ЦОД, сочетающее элементы СКУД не только для помещения, но и для телекоммуникационных шкафов, сотрудники СБ дата-центра могут как отслеживать запротоколированные действия персонала и посетителей внутри машинного зала ЦОД, так и применять превентивные меры по ограничению доступа к конкретным стойкам для отдельного сотрудника или их группы на определенное времени. Например, ограничивать на время служебной проверки доступ работника (или их группы) к определенным телекоммуникационным шкафам, оставив при этом возможность посещения машинного зала и других служебных помещений. Другой потенциальный сценарий — моментальная блокировка доступа сотрудника ко всем или отдельным шкафам в ЦОД при увольнении. Таким образом, СБ организации с одной стороны обеспечивает непрерывность рабочего процесса дата-центра, с другой стороны купирует потенциальные угрозы утечки критически важной информации.
Реализация политик доступа к шкафам для посетителей машинных залов ЦОД служит отличным способом предотвращения несанкционированного доступа. Возможность гибкой настройки СКУД для телекоммуникационных шкафов в дата-центре посредством использования решения AGRG ЦОД позволит поднять на новую ступень систему безопасности хранения информации и тем самым обеспечить соответствие уровню 4 требований к архитектуре и конструкции ЦОД регламента TIA-942 по части потенциальных внутренних угроз утечки данных, исходящих от персонала, партнеров, подрядчиков и посетителей дата-центра.
