Специалисты в области безопасности данных рассматривают защиту, как комплексную задачу по работе с инфраструктурой хранения данных (локальных или внешних датацентров и облачных решений), а также с хранимой информацией. Палитра существующих проблем имеет широкий диапазон, начиная от случайной и/или намеренной порчи информации и заканчивая несанкционированным неавторизованным доступом. Большинство утечек данных, так или иначе, сводятся к уязвимостям информационных хранилищ.
В современных реалиях работы с огромными массивами информации, хорошей спроектированной системой безопасности является такая система, которая соответствует различным нормативным положениям. Основными из них являются:
1) ISO 27001 – международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Основой стандарта является его фокусирование на системе информационного рискового управления.
2) ISO 27017; ISO 27018. Данные стандарты объединили в себе набор рекомендательных практик для обеспечения информационной безопасности в работе облачных провайдеров.
3) GDPR (General Data Protection Regulation; Общий регламент о защите данных). GDPR регламентирует сбор, а также обработку персональных данных (ПД) интернет пользователей, находящихся на территории Европейской экономической зоны. С помощью представленного регламента, компании обязаны обеспечить сбор, хранение и обработку ПД максимально прозрачным способом.
4) PCI-DSS (Payment Card Industry Data Security Standard; Стандарт безопасности в индустрии платежных карт). Требования данного стандарта распространяются на все платежные инструменты, обрабатывающие информацию от платежных систем Visa, MasterCard, American Express, JCB, МИР и др.
5) ГОСТ Р 57580.1‑2017 является национальным стандартом безопасных финансовых (банковских) операций.
А ключевым регулятивным нормативно правовым актом в Российской Федерации являет Федеральный закон "О персональных данных" N 152-ФЗ от 27.07.2006, который формирует границы прав на неприкосновенность частной жизни, личной и семейной тайны.
Представленные выше правовые стандарты формируют многослойную структуру обеспечения информационной безопасности, которую можно разделить на следующие ключевые аспекты:
Физический уровень безопасности
Безопасность данных предусматривает защиту от неправомерного физического доступа к инфраструктуре хранилищ и может включать:
- формирование персонала для мониторинга датацентров;
- CCTV (Сlosed Circuit Television; Система телевидения замкнутого контура);
- применение контроля доступа на базе биометрических систем и смарт-карт;
- использование датчиков дыма и температуры.
Технический уровень безопасности
Защита хранилищ данных не обходится без следующих элементов:
- надежного шифрования информации в стационарных хранилищах, а также в момент передачи данных по сети с использованием эффективной системы управления ключами;
- защиты конечных узлов, т.е. всех физических устройств, имеющих доступ к данным, для минимизации риска проникновения вредоносных программ;
- эффективного исполнения процедур удаления информации и утилизации устаревших носителей.
Административный уровень безопасности
Административные меры обеспечения безопасности данных строятся на фундаменте из трех «П» (Политика, Планирование, Процедуры), каждая из которых является важным звеном в сохранении информационной неприкосновенности. Ассоциация производителей сетей хранения данных SNIA (Storage Networking Industry Association) сформулировала следующие рекомендации административного регламента:
- необходимо учитывать основные положения хранения данных в политиках безопасности после определения наиболее ценных категорий информации для бизнеса;
- внедрение специализированных политик для хранилищ, а также иных регламентов там, где это возможно;
- идентификация мер сохранности и защиты данных;
- регулярная проверка политик безопасности на их соответствие.
Чаще всего, первичные данные хранятся в датацентрах в виде блоков и файлов. При этом функции блочного хранилища применяются на низких уровнях, в качестве легко индексируемых блоков фиксированного размера. Реализация хранения в таком формате значительно упрощает поиск информации. Отсюда вытекает и название «структурированные» данные – в стандарте это устройства SAN (Storage Attached Network).
Но также файловая система хранения может быть организована в иерархии папок и файлов – NAS (Network Attached Storage). Устройства SAN работают через протоколы iSCSI и Fibre Channel, а NAS используют SMB или NFS.
Для работы с неструктурированными данными были созданы объектные системы хранения, которые позволяют работать с файлами, не имеющими фиксированного формата, что делает такие системы высоко масштабируемыми и устойчивыми для мира облачных вычислений.
Специфика работы блочного хранилища предполагает, что файл расщепляется на гранулярные блоки определенного размера. В то время как в объектном хранилище, файл записывается целостной структурой. Блоки хорошо приспособлены для интерактивных локальных запросов, но имеют существенный недостаток. В случае обновления файла, блочное хранилище может произвести гранулярное обновление без изменения всех элементов файла. Это модель подходит для транзакционных баз данных, но затрудняет возможности масштабирования.
В свою очередь в объектном хранилище файл размещается в пакет (bucket) и не разбивается на блоки с фиксированной размерностью. Такой тип хранения данных идеально подходит для редко обновляемых элементов. Объектное хранилище чаще всего используется для данных WORM (Write Once Read Many), то есть данных часто читаемых, но записанных единоразово.
Объектное хранилище более приспособлено для высоконагруженных сервисов и обеспечивает быстрый и надежный доступ к информации.
Список литературы
- Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2017. - 324 c.
- Татарникова Т.М. Анализ данных. СПб: Изд-во СПбГЭУ, 2018. 85 с.
- Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. - М.: МГИУ, 2017. - 277 c.
