Экспертное мнение IXcellerate — «Безопасность как искусство»

Что такое безопасность ЦОД? Да это вообще очень просто! Я серьезно… Это как сыграть сонату Бетховена… Просто нужна скрипка и ноты… Не верите? Попробуйте. Не получается??? Вот так и с безопасностью… А почему? Да потому что забыли про огромный труд настоящего музыканта… и хоть немного таланта.

Вот так и с Безопасностью ЦОД.

В хорошем ЦОД безопасность настраивается и соблюдается круглосуточно, это тяжелый труд, но он должен быть незаметен для клиентов и посетителей (без излишних нагрузок и наворотов, зачастую ненужных и раздражающих, но эффективно и надежно). Я понимаю, почему именно сегодня такое интервью. Ведь мы на ежегодной вечеринке для клиентов и партнеров дата-центра IXcellerate — «Rockin’Russia».

На территории ЦОД находится более двухсот человек, но вы не видите людей в масках и колючей проволоки… более того, параллельно с мероприятием полным ходом ведутся работы по наращиванию инфраструктуры ЦОД и инсталляции клиентов. Под серьезным контролем, но без суеты. Вы заметили, как за 30 минут был организован показ нового машинного зала на 1100 стоек более чем 60 гостям? Поэтому закономерен вопрос: «А как это делается?» и «Как организована безопасность такого большого ЦОД?»

Разговор  о безопасности явно выходит за рамки стандарта короткого интервью на вечеринке. Он больше тянет на несколько хороших пару — часовых лекции, потому что он имеет много направлений. Это и физическая безопасность, и информационная (включая безопасность данных), и режим обеспечения сохранности носителей информации, в том числе таких архаических как бумага с коммерческой тайной и пр…Можно вспомнить и о десятках определяющих стандартов и положений, о сложном оборудовании и рубежах безопасности. НО мое искреннее убеждение – это не более 20% успеха. Чаще всего, рассматривая любую из выше перечисленных «безопасностей» выделяют две составляющих: техническую и организационную.

Если взять физическую безопасность, то о ее технических составляющих много говорят и пишут. Накоплен огромный опыт, в рамках эксплуатации дата-центров, по ее проектированию и строительству. Предлагается ряд высококлассных средств защиты, таких как СКУД, биометрические системы, датчики присутствия, средства видеонаблюдения. Используются совершенные системы пожаротушения, датчики противопожарной безопасности разного уровня (сверхраннего предупреждения, противодымные, инфракрасные). В ответ на появившиеся террористические угрозы ЦОДы оснащаются рамками металлодетекторов и химическими датчиками, проверяющими наличие отравляющих веществ.

Накоплен огромный опыт в разработке инструкций, положений и политик. Действуют прекрасные системы сертификации. Однако оборудование и методология- это только база. Реальную безопасность обеспечивают люди, которые правильно обучены, имеют технические средства и политики – как действовать в тех или иных ситуациях. А самое главное – имеют наработанную матрицу возможных рисков и по ней постоянно тренируют свои навыки.

Работая с персоналом, очень важно помнить: никто не припомнит случаев, чтобы «злоумышленники» и «диверсанты» взламывали какой-то из ЦОД с попыткой выкрасть и продать сервера или стойки… А вот работы с оборудованием, инсталляции клиентов, посещения залов клиентами и будущими клиентами – ведутся ежедневно, и это серьезная угроза. Большинство аварий, потерь оборудования и информации связано именно с такими инцидентами. Этому аспекту безопасности иногда придается недостаточное внимание, особенно когда речь идет о проведении работ по техническому обслуживанию оборудования.

Настоящие риски начинаются в момент эксплуатации. Все организовано, все под контролем, ненужных людей в зале нет, вот только монтажник с трехметровой стремянкой неловко развернулся…  О таких проблемах иногда забывают.  Все прошли через СКУД с самой сложной идентификацией, камеры видеонаблюдения и объемные датчики контролируют процессы выполнения работ, но они не помогут, когда правильно допущенные люди с правильно пронесенным инструментом начнут поворачиваться и что-то зацепят.

Кроме допуска нужно организовать правильное и безопасное выполнение работ, подготовку бригады, рабочего места для проведения работы, оценку угроз, которые могут возникнуть при выполнении технических операций по ремонту и модернизации устройств, при вносе и выносе тяжелого или габаритного оборудования.

Для каждого вида работ должны быть заранее определены риски, составлена матрица угроз и на ее основе сформирован план работ на объекте обязательно с привлечением специалистов по безопасности проведения работ и поведения. Начиная с элементарных вещей – в нужном месте поставить оградительную решетку, оборудовать стремянку на полу противоскользящими башмаками, подложить диэлектрические резиновые коврики.

На сегодня во всех ЦОД внедрены серьезные системы физической, информационной и «бумажной» безопасности – установлено совершенное оборудование, разработаны документы в соответствии с требованиями регуляторов. Но эти виды безопасности будут бесполезны без знающего, что делать в той или иной ситуации, персонала.  Безопасность – не бумаги, не программы и не железо. Это комплекс, состоящий из технических средств и организационных мероприятий.  Это круглосуточная работа, включающая постоянный анализ угроз и обучение персонала.

Так что столетняя фраза «Не стреляйте в пианиста – он играет как умеет» для безопасности ЦОД, увы, не годится. Ну а судя по тому, что вы видите на сегодняшней вечеринке в ИКСЕЛЕРЕЙТ, «Соната» звучит неплохо. Ну значит и скрипка хороша, и фортепиано настроено ну и ноты… ноты. Бетховен, он сам за себя говорит…

Материал подготовлен Богданом Колодием, Советником по техническим вопросам IXcellerate специально для ИКС-медиа. Интервью опубликовано http://www.iksmedia.ru/articles/5513781-Bezopasnost-kak-iskusstvo.html