Защита объектов критической информационной инфраструктуры

Эксперт рассказал, откуда чаще всего происходят утечки данных

admin — Tue, 01 Jul 2025 16:58:54 +0000

Эксперт рассказал, откуда чаще всего происходят утечки данных admin вт, 07/01/2025 - 19:58

Утечки чувствительной информации и персональных данных все чаще происходят не из-за уязвимости информационных систем, а по вине сотрудников компаний, которых удалось склонить к передаче такой информации, рассказал РИА Новости на прошедшем ПМЭФ-2025 генеральный директор "СКБ Контур" Михаил Сродных.

"Безусловно, утечки происходят по обоим каналам - и технически, и человечески, но если смотреть на динамику, то в последнее время гораздо больше как раз причин, связанных с внутренним нарушителем - с человеческим фактором", - рассказал Сродных.

По его мнению, "с одной стороны, злоумышленники ищут уязвимости, чтобы атаковать системы - и каждый раз их находить все дороже и тяжелее, так как их защита тоже растет и улучшается". "А люди – это уязвимая сторона, поэтому сейчас все больше внутренних нарушителей становится той самой точкой, через которую попадают в компанию и причиняют ущерб", - объяснил эксперт.

"Найти человека, уговорить его, или подкупить, или замотивировать – это гораздо дешевле, чем взломать. Поэтому вопрос, насколько то место, где работает человек, достаточно хорошо и качественно защищено от внутреннего нарушителя - вот это сейчас становится очень актуальной проблемой", - заключил глава "СКБ Контур".

Источник: https://ria.ru/20250625/utechka-2025244157.html

Утечка данных Защита объектов критической информационной инфраструктуры

Оставьте комментарий.

Крупнейшие игроки и новые правила: что ждет рынок дата-центров России в 2025 году

admin — Wed, 21 May 2025 11:44:07 +0000

Крупнейшие игроки и новые правила: что ждет рынок дата-центров России в 2025 году admin ср, 05/21/2025 - 14:44

По данным исследования IPG.Estate к концу 2024 г. в России функционирует 194 дата-центра, а на февраль 2025 г. совокупная их мощность (включая как традиционные, так и майнинговые) составляет 3,6 ГВт. Об этом CNews сообщили представители IPG.

Основная доля дата-центров в объеме 76% сосредоточена в Москве, где насчитывается 53,4 тыс. стойко-мест. На Санкт-Петербург приходится 9,3% рынка (7,3 тыс. стойко-мест), на остальные регионы — 14,8% (9,61 тыс. стойкомест).

Лидером рассматриваемой отрасли является группа компаний «Ростелеком/РТК-ЦОД»: на ее долю к концу 2023 г. приходилось 20,957 тыс. стойко-мест, из них у «РТК-ЦОД» — 19,962 тыс. единиц.

К концу 2024 г. в активе группы «Ростелеком/РТК-ЦОД» насчитывается 27,033 тыс. стойко-места. Следует отметить, что государству принадлежит 35,91% в ПАО «Ростелеком» (по данным на 2023 г.).

На второй строке в рейтинге располагается IXcellerate с результатом 8,269 тыс. стойко-мест.

Обособленно на этом фоне выглядит компания «Яндекс», которая владеет несколькими ЦОД: в Москве, Владимирской области, а также пос. Сасово под Рязанью.

Новый ввод в 2025 году

Развитию и укрупнению российского рынка ЦОД способствуют планы некоторых крупных компаний.

В 2022 г. «Яндекс» приступила к строительству нового крупного дата-центра в Калуге общей проектной мощностью 63 МВт. ЦОД возведут на территории индустриального парка «Грабцево». На площадке разместят 3,8 тыс. серверных стоек. Key Point Group в 2025 г. анонсировала ввод ЦОД в Санкт-Петербурге общей проектной мощностью 20 МВт на 1650 ИТ-стоек. Wildberries планирует ввести два дата-центра: в Дубне (апрель 2025 г.) и Наро-Фоминске (осень 2025 г.). ПАО «Ростелеком» в 2025 г. расширит свою сеть благодаря вводу нового ЦОД в Нижнем Новгороде на 400 стойко-мест. Компания DataPro запускает в 2025 г. дата-центр DataPro V в Москве, а DataPro VI — в 2027 г.

«В условиях текущей геополитики России необходим цифровой суверенитет, — сказал Валерий Трушин, партнер, руководитель отдела аналитики и консалтинга IPG.Estate. — Комплексное развитие и увеличение количества дата-центров становится одной из ключевых задач. Будущее искусственного интеллекта напрямую зависит от расширения сети дата-центров, ведь именно они обеспечивают вычислительные мощности для обучения и развертывания ИИ-моделей».

В 2025 г. Минстрой России утвердил новые единые правила проектирования и строительства дата-центров (СП 541.1 325 800.2024), которые уже вступили в силу. Документ устанавливает обязательные требования к земельным участкам, зданиям, инженерной и телекоммуникационной инфраструктуре, а также к обеспечению катастрофоустойчивости объектов. Новые стандарты призваны повысить надежность и энергоэффективность российских ЦОД, что особенно актуально на фоне растущих объемов хранения и обработки данных.

Эксперты консалтинговой компании IPG.Estate отмечают, что выбор участка для ЦОД является ключевым фактором, влияющим на эффективность, безопасность и рентабельность комплекса. Площадь участка должна быть достаточной для размещения сопутствующей инфраструктуры для обеспечения бесперебойного и эффективного функционирования ЦОД.

Существенной проблемой при выборе площадки для размещения ЦОД является проблема энергодефицита региона. По результатам исследования аналитики IPG выделяют высокий потенциал развития сети ЦОД в таких субъектах Сибирского федерального округа как Красноярский край, Иркутская область, Республика Хакасия. Менее загруженная инфраструктура для развертывания ЦОД-комплексов расположена так же в Мурманской, Свердловской областях России.

Основные инвесторы в развитие объектов ЦОД

В 2024 г. госсектор обеспечил 50% выручки на российском рынке проектирования, строительства и ввода в эксплуатацию ЦОД, потратив 60 млрд руб. на проекты для МВД, Минприроды, ФНС и ФМС. Государство стало крупнейшим заказчиком новых дата-центров.

«Сегодня ключевым направлением для государства становится строительство ведомственных дата-центров, — сказал Валерий Трушин, партнер, руководитель отдела аналитики и консалтинга IPG.Estate. — Это негативно влияет на разработку стимулирующих программ для коммерческих компаний, занимающихся развитием современных энергоемких центров хранения данных. Государственная поддержка частных компаний в строительстве новых ЦОД сейчас крайне слабая».

Среди ключевых инициатив — ведомственные ЦОД: комплекс Минобороны с системой ЕРВУ, а также «Безопасный город» для МЧС. Госструктуры переходят от коммерческих к собственным дата-центрам — это усиливает курс на цифровизацию и импортонезависимость. Собственные ЦОД активно развивают крупнейшие банки.

Инвестиции в инфраструктуру стимулирует спрос на облачные технологии, искусственный интеллект, big data и биометрию, а также развитие криптовалютного бизнеса. За последние два года основной объем инвестиций пришелся на облачные решения.

Источник: CNews

ЦОД Защита объектов критической информационной инфраструктуры

Оставьте комментарий.

Решение AGRG ЦОД поможет компаниям в требованиях ФСТЭК соблюдения стандартов безопасности КИИ

admin — Tue, 18 Mar 2025 10:08:14 +0000

Решение AGRG ЦОД поможет компаниям в требованиях ФСТЭК соблюдения стандартов безопасности КИИ admin вт, 03/18/2025 - 13:08

Компания AGRG предлагает решения, которые помогают соблюсти требования приказа ФСТЭК России от 26 марта 2019 г. № 60 применительно к части физического ограничения доступа.

Управление физическим доступом к объектам КИИ в соответствии с требованиями защиты машинных носителей информации (ЗНИ.2).

В соответствии с требованиями ЗНИ.2 приказа ФСТЭК России, все значимые объекты критической информационной инфраструктуры (КИИ) должны обеспечивать строгий контроль физического доступа. Это требование распространяется на следующие объекты:

Центры обработки данных (ЦОД), включая серверные помещения, стойки и отдельные серверы.

Технические помещения операторов связи, где размещено сетевое оборудование и узлы связи.

Объекты энергетики, включая диспетчерские пункты, подстанции и серверные для управления энергосистемами.

Специальные шкафы, с автоматизированными системами управления технологическими процессами (АСУ ТП).

Финансовые и банковские учреждения, серверные комнаты и помещения, где обрабатываются платежные транзакции (PCI DSS).

Государственные информационные системы (ГИС), дата-центры, в которых хранится персональная и критически важная информация. (ПД) Ситуационные центры МВД, обороны.

Объекты транспортной инфраструктуры, в том числе центры управления движением, авиадиспетчерские пункты и автоматизированные системы регулирования движения.

Научно-исследовательские организации, лаборатории с критически важными вычислительными ресурсами.

Важность строгого соблюдения ЗНИ.2

Несанкционированный доступ к указанным объектам может привести к компрометации данных, сбоям в работе систем и даже угрозе национальной безопасности. Поэтому необходимо внедрение комплексных решений контроля доступа, которые обеспечат:

Персонифицированный доступ – только уполномоченные сотрудники могут попасть в охраняемые зоны либо серверные шкафы, в.т.ч шкафы АСУ ТП.
Аудит и журналирование всех попыток входа и выхода.
Гибкую систему разграничения доступа, обеспечивающую допуск к различным зонам в зависимости от уровня допуска.
Интеграцию с системами мониторинга и реагирования на инциденты..

Готовые решения AGRG для защиты серверных и ЦОД

Для выполнения требований ЗНИ.2 компания AGRG предлагает готовое решение AGRG ЦОД (подробнее на https://cod.agrg.ru/catalog), обеспечивающее полный контроль физического доступа к серверным и центрам обработки данных.

Ключевой элемент защиты – интеллектуальные ручки SH-I и SH-C, которые обеспечивают:

Автономное и/или сетевое управление доступом
Различные идентификаторы, включая сверхзащищенные Mifare Plus SL3
Простоту внедрения в существующую инфраструктуру ЦОД. Благодаря нашему опыту, за это время мы оснастили не один десяток моделей шкафов самых разных производителей в различных ЦОД.

Все предприятия, подпадающие под регулирование ФСТЭК, обязаны обеспечить выполнение требований ЗНИ.2, внедрив надежные системы контроля физического доступа. AGRG предлагает эффективное и уже зарекомендовавшее решение, соответствующее этим требованиям и обеспечивающее максимальную защиту серверных и ЦОД.

Защита технических средств КИИ в рамках защиты технических средств (ЗТС.3).

ЗТС.3 в контексте приказа ФСТЭК России от 26 марта 2019 г. № 60 относится к защите технических средств (например, серверных, сетевых устройств, систем хранения данных) от внешних воздействий и угроз. Это важный элемент обеспечения безопасности объектов критической информационной инфраструктуры (КИИ) 1,2,3 категории объектов.

Можно выделить несколько аспектов в контексте ЗТС.3:

Физическая защита технических средств от несанкционированного доступа и воздействия внешних факторов может осуществляться комплексом устройств AGRG, установленных на любые телекоммуникационные и другие шкафы:

Контроллеры системы доступа

	Контроллер AGRG Rack V, для Управление доступом в рамках ЗТС.3, для предотвращения доступа посторонних лиц в серверные и ЦОД. Оснащен дополнительно ip камерой и ИК подсветкой Узнать подробнее
	Контроллер AGRG Rack R2, для Управление доступом в рамках ЗТС.3, для предотвращения доступа посторонних лиц в серверные и ЦОД. Наиболее популярное решение, для контроля шкафов с передний и заднай дверцей. Узнать подробнее
	Контроллер AGRG Rack R4, для Управление доступом в рамках ЗТС.3, для предотвращения доступа посторонних лиц в серверные. Удобное решение для телеком провайдеров, co location сервисов, где на шкафу более 2 дверей либо нужно защитить два рядом стоящих шкафа. Узнать подробнее

Исполнительные устройства на дверцы шкафа:

	Ручка AGRG SH-I со считывателем MIFARE DESFire EV2 в режиме Security Level 3 (SL3) шифрование AES-128 (невозможно даже теоретически клонировать карты) для управления доступом в рамках ЗТС.3, для предотвращения доступа в серверный шкаф. Узнать подробнее о ручке AGRG SH-I
	Ручка AGRG SH-C со считывателем MIFARE DESFire EV2 в режиме Security Level 3 (SL3) и двухфакторной идентификацией в виде пин-кода (можно использовать по принципу и/или) для управления доступом в рамках ЗТС.3, для предотвращения доступа в серверный шкаф Узнать подробнее о ручке AGRG SH-C
	Ручка AGRG SH-D может работать автономно, благодаря встроенному контроллеру, а в случае расширения системы и наращивания функциональности, легко быть интегрирована в комплекс управления доступом в рамках ЗТС.3 на базе любой сетевой СКУД, для предотвращения доступа в серверный шкаф. Узнать подробнее о ручке AGRG SH-D

Согласно информационному сообщению от 06.05.2024

ОБ УТВЕРЖДЕНИИ МЕТОДИЧЕСКОГО ДОКУМЕНТА ФСТЭК РОССИИ "МЕТОДИКА ОЦЕНКИ ПОКАЗАТЕЛЯ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ"

И методическому документу от 02.05.2024

https://fstec.ru/files/1221/---/2358/---.pdf

МЕТОДИКА ОЦЕНКИ ПОКАЗАТЕЛЯ СОСТОЯНИЯ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

https://fstec.ru/files/1222/---2--2024-/2361/---2--2024-.pdf

Выдержка из Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры (КИИ) Российской Федерации:

В качестве показателя, характеризующего текущее состояние защиты информации (обеспечения безопасности объектов КИИ) в органе (организации), используется показатель текущего состояния защищенности Кзи (далее показатель защищенности Кзи, показатель Кзи).

Показатель Кзи характеризует степень достижения органом (организацией) минимально необходимого уровня защиты информации (обеспечения безопасности объектов КИИ) от типовых актуальных угроз безопасности информации во временном интервале оценивания и заданных условиях эксплуатации информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей, иных объектов информатизации.

Комплекс AGRG для защиты серверных и ЦОД, может использоваться для защиты пользователей, как двухфакторная идентификация, показателя безопасности (i), и обеспечить значение частного показателя (Kji) 0,30 , а также реализации для сбора событий безопасности и оповещений о неудачный попытках (i), где значение частного показателя (Kji) 0,40.

В заключении:

В соответствии с требованиями приказа ФСТЭК России, обеспечение безопасности объектов критической информационной инфраструктуры (КИИ) требует комплексного подхода, включая защиту информационных и автоматизированных функций (ИАФ), управление физическим доступом (УПД), защиту значимых объектов инфраструктуры (ЗНИ), защиту технических средств (ЗТС) и защиту информации и систем (ЗИС).

Решения, предлагаемые компанией AGRG, идеально подходят для реализации всех этих требований.

Мы предлагаем Вам, взять на тестирование нашу систему и мы уверены, что она поможет обеспечить высокий уровень безопасности.

Предлагаем протестировать на вашей площадке, в ваших шкафах, мы готовы предоставить профессиональную установку с помощью высококвалифицированных партнеров.

Наша система может быть как простой, если объект требует базового уровня защищенности, например, с использованием только автономных электронных ручек (SH-D), которые значительно превосходят стандартные модели, идущие в комплекте с шкафами, так и комплексным решением для крупных проектов ЦОД с несколькими тысячами стоек.

У нас есть опыт реализации таких проектов, и мы готовы помочь вам на всех этапах — от выбора до полноценной установки и настройки.

Критическая информационная инфраструктура Защита объектов критической информационной инфраструктуры ФСТЭК

Оставьте комментарий.

Технические меры защиты для финансовых организаций в свете конфликта PCI DSS и ГОСТ Р 57580.1-2017

admin — Mon, 27 May 2024 09:21:50 +0000

Технические меры защиты для финансовых организаций в свете конфликта PCI DSS и ГОСТ Р 57580.1-2017 admin пн, 05/27/2024 - 12:21

В контексте современных стандартов по информационной безопасности финансовых организаций, в частности PCI DSS и ГОСТ Р 57580.1-2017, наблюдается определенное напряжение, вызванное санкциями в отношении Национальной Системы Платежных Карт (НСПК). Ранее НСПК активно участвовала в деятельности Совета PCI DSS, что символизировало глобальную интеграцию и сотрудничество в области платежных систем. Однако на фоне санкций и изменений на мировом финансовом рынке отраслевой фокус и предпочтения в сфере стандартов безопасности видоизменяются.

Теоретические аспекты и области применения ГОСТ Р 57580.1-2017 и PCI DSS демонстрируют различия в подходах и целях. PCI DSS был разработан ведущими Международными платежными системами (МПС) с целью гармонизации требований к безопасности платежных карт, исходя из наблюдений и анализа реальных инцидентов. Уникальность PCI DSS заключается в его практической ориентированности с учетом международного опыта, учитывающего интересы различных сторон, что напрямую отразилось на формировании стандарта.

В то же время, ГОСТ Р 57580.1-2017 сконцентрирован на риск-ориентированной защите информационных систем в широком спектре атак и выстраивает общие положения безопасности информационных систем конкретно на территории России. Его требования структурированы таким образом, чтобы обеспечить стабильное функционирование информационных систем в различных сферах.

В свете наложенных санкций на НСПК и растущего давления международного сообщества требования стандарта PCI DSS могут стать объектом пересмотра для многих российских организаций, снижая интерес и доверие к международной стандартизации в сфере безопасности платежных систем. Это, в свою очередь, может привести к повышенному вниманию и популярности стандартов, разработанных на национальном уровне, в т.ч. ГОСТ Р 57580.1-2017, с уклоном на организационные и технические меры по противодействию угрозам безопасности, адаптированным под особенности российской информационной среды.

В условиях санкций и меняющегося мирового порядка ГОСТ Р 57580.1-2017 может обрести дополнительное значение для российских организаций как основополагающий стандарт информационной безопасности, описывающий технические меры защиты информации в качестве важного и эффективного инструмента обеспечения безопасности данных в дополнение к организационным мерам.

Этот ГОСТ, как и многие другие стандарты, классифицирует уровни защиты информации в зависимости от степени угроз и важности самих данных, подлежащих охране. Так, в пункте «Базовый состав мер по организации и контролю физического доступа в помещения» обозначена мера ФД.13, подчеркивающая важность контроля доступа к серверному и сетевому оборудованию, расположенному в запираемых серверных стоечных шкафах. И хотя для обеспечения безопасности шкафов стандарт предписывает принятие, в основном, организационных мер, в главе 7.1.6 отмечено, что по решению финансовой организации такая защита может быть реализована путем применения технических мер защиты информации.

Неслучайно в последнее время многие эксперты, рассуждая о сравнении организационных и технических мер, все чаще отдают явный приоритет последним. В частности, на недавней конференции, прошедшей в начале марта 2024 года в Кибердоме, специалисты КРОК «Облачные сервисы» обсуждали вопросы госрегулирования облачной защиты и отдельно отметили преимущество технических мер перед организационными в контексте обеспечения безопасности информации в современных информационных системах. Среди ключевых аспектов были упомянуты:

Превосходство технических решений за счет обеспечения автоматизированного и надежного контроля доступа к ресурсам в противовес организационным мерам, которые зачастую зависят от человеческого фактора и могут быть нестабильны или не в полной мере эффективны.
Гораздо более высокая адаптируемость и гибкость технических мер в отношении трансформирующихся угроз и требований безопасности, в то время как изменение организационных мер требует много времени на пересмотр процессов, обучение персонала и иногда даже внедрение новой корпоративной культуры.
Точность и конкретика в реализации технических решений позволяют детально настраивать уровни доступа и правила безопасности, в отличие от организационных мер, которые могут по-разному трактоваться различными исполнителями.
Технологии позволяют масштабировать системы безопасности по мере роста инфраструктуры, тогда как организационные меры требуют увеличения административных ресурсов.

В свете возникающих нюансов в регулировании финансовых (банковских) операций решение AGRG ЦОД становится одним из наиболее востребованных инструментов для обеспечения безопасности в данной сфере. Оно представляет собой высокотехнологичную интегрированную систему, основанную на использовании современных технических мер для защиты серверного и сетевого оборудования, размещенного в дата-центрах и коммуникационных шкафах.

Комплекс AGRG ЦОД отличает универсальность внедрения в существующие системы безопасности дата-центров с учетом всех необходимых аспектов контроля и управления доступом к серверным шкафам. Подход сочетает в себе как контроль доступа, так и мониторинг состояний систем, обеспечивая выполнение требования ГОСТ о контроле физического доступа и регистрации событий доступа.

AGRG ЦОД, вместо или в дополнение к организационным мерам, поднимает уровень безопасности на качественно новый уровень, минимизируя человеческий фактор и потенциальные ошибки, связанные с ним. В отличие от стандартных организационных мер решение позволяет гибко настраивать параметры безопасности в зависимости от текущих условий и требований, поддерживая масштабируемость по мере расширения дата-центра или изменения его структуры.

Помимо непосредственной защиты от физического доступа AGRG ЦОД способствует реализации комплексного подхода к безопасности путем интеграции с другими системами безопасности, такими как системы видеонаблюдения, средства регистрации и аудита событий, обеспечивая тем самым выполнение целого ряда требований ГОСТа к информационной безопасности.

В условиях постоянно растущего числа угроз и высоких требований к безопасности информации применение решения такого типа, как AGRG ЦОД, представляется не только целесообразным, но и необходимым шагом для защиты критически важной инфраструктуры дата-центров. Это особенно актуально на фоне стремления организаций соответствовать как международным стандартам, так и национальным требованиям в области информационной безопасности.

PCI DSS ГОСТ Р 57580.1-2017 КИИ Критическая информационная инфраструктура Защита объектов критической информационной инфраструктуры

Оставьте комментарий.