20.01.2021

Выстраиваем облачную защиту

Как компаниям выгоднее хранить персональные данные Правильное хранение личной информации становится важной задачей для любого бизнеса. Процедура сбора, обработки и передачи персональных данных (ПД) согласно законодательству, требует от компаний рационального использования инфраструктуры и кадровых ресурсов. Как экономно выстроить процессы и избежать скрытых издержек, – RSpectr рассказал менеджер по информбезопасности компании Linxdatacenter Георгий Беляков

ИЗБЕЖАТЬ УЩЕРБА

Персональные данные стали сегодня неотъемлемым компонентом бизнес-моделей, IТ-сервисов и продуктов. Анализ ПД с помощью современных цифровых инструментов обеспечивает новый уровень функциональности IТ-услуг и продвинутый клиентский опыт.

Обратной стороной развития в этом направлении становятся новые требования к бизнесу по обеспечению процедур сбора, хранения, обработки и передачи персональных данных согласно законодательным требованиям. Несоответствие им чревато штрафами и репутационным ущербом в случае утечки. Негативный шлейф может тянуться за нарушителем очень долго, даже в случае оперативного устранения причин и последствий из-за огласки таких эпизодов в СМИ.

Однако это не значит, что у бизнеса нет других видов мотивации для «прокачки» процедур, связанных с защитой ПД в соответствии с федеральным законом №152. Помимо «карательной» перспективы (75 тыс. рублей штрафа за обнаружение и неустранение нарушений), существуют также операционные и экономические стимулы.

Ущерб для бизнеса несет нерациональное использование инфраструктурных, кадровых и финансовых ресурсов при обработке данных

В сумме эти факторы на текущий момент значительно перевешивают последствия мер со стороны Роскомнадзора, а также возможные репутационные потери, связанные с утечкой ПД клиентов и потерей доверия.

Рассмотрим, из чего и как именно складываются эти скрытые издержки.

 

ТРИ КИТА БЕЗОПАСНОСТИ ПД

Сегодня требования федерального закона «О персональных данных» выполняются за счет того, что у компаний разработаны все необходимые документы и регламенты в сфере информбезопасности (ИБ) в целом и ПД в частности. Реализованы технические и организационные меры защиты, а все ответственные за эти задачи кадры имеют необходимые компетенции.

В целом, совокупность базовых факторов обеспечения безопасной работы с ПД можно объединить в три базовых группы.

Прежде всего, это прямые финансовые затраты на приобретение базового IТ-оборудования и софта, а также средств ИБ и сетевых компонентов. Далее идут кадровые издержки – создание штата сотрудников, ответственных за выполнение всех задач, связанных с ПД. Их нужно найти, привлечь, иногда дообучить, и далее – удерживать в компании. Третье направление – временные ресурсы, которые необходимо потратить сотрудникам для достижения нужного результата. Этот компонент выражается в показателе Full Time Equivalent (FTE) – эквивалент полной занятости сотрудников компании, позволяющий определить уровень вовлеченности работников в трудовой процесс.

Если FTE равняется единице – это означает полную загруженность сотрудника выполнением поставленной задачи (работе c ПД в нашем случае). При показателе 0,5 – загрузка составляет примерно половину рабочего дня.

Эффективное управление тремя базовыми компонентами обеспечения ПД-соответствия в огромной степени зависит от выбора модели развертывания всего комплекса мер. Их две – собственными силами компании (on-premises) или в защищенном облаке сервис-провайдера.

 

САМИ С УСАМИ?

Возьмем юридический аспект обеспечения соответствия закону о ПД.

Задача требует разработки документации, регламентов, их поддержания в соответствии с изменениями в требованиях регулятора, проведения обучения для сотрудников. Отдельно стоит добавить юридическое сопровождение, к которому относятся экспертиза договоров, взаимодействие с регуляторами, подрядчиками, клиентами. Вне зависимости от того, размещает ли бизнес все IТ-системы и данные on-premises или в облаке у сервис-провайдера, он должен разработать все эти документы самостоятельно.

Затраты на юридическую компетенцию при самостоятельной проработке соответствия федеральному закону и через привлечение третьей стороны, будут полностью одинаковы для обеих моделей. То же самое справедливо и в отношении ИБ-документации.

Но если мы переходим к такой области соответствия, как техническое обеспечение, то здесь

ПД в облаке выигрывают за явным преимуществом. Никаких прямых затрат бизнес не несет, потому что все необходимые средства защиты уже включены в cloud-сервис

Если же бизнес решает обойтись здесь своими силами, то ему нужно будет покупать «железо», лицензии на ПО, продлевать их по мере истечения, проводить настройку и обновление всех компонентов. Также, в какой-то момент придется решать задачу утилизации устаревших IТ-активов.

В облаке весь аппаратный уровень – физические серверы и инфраструктурное ПО, сеть – реализуется силами провайдера. Бизнесу остается сфокусироваться на прикладном уровне бизнес-приложений в виртуальном окружении. Ближайшая аналогия из повседневного опыта: покупка фильма на физическом носителе в бессрочную собственность или аренда в онлайн-кинотеатре, а также опция бессрочной покупки контента в онлайне, но без физического носителя.

Эта аксиома нарушается только в том случае, если бизнес решает докупить какое-то специальное «железо» или ПО для особых задач: это могут быть продвинутые типы VPN или Next Generation Firewall, специальное сетевое оборудование, которое требуется для работы виртуальной инфраструктуры.

Также, в облаке бизнес не тратит деньги на инженерные системы жизнеобеспечения серверных компонентов: источник бесперебойного питания, системы кондиционирования воздуха. Отсутствуют расходы на обслуживание серверных помещений и шкафов. Если спуститься еще глубже на уровень ИБ, то при миграции ПД-задач в облако, также отпадает необходимость тратиться на антивирусные средства и межсетевые экраны, хранение данных и средства анализа защищенности. Все это, как правило, реализовано в облачной услуге обработки ПД согласно закону «О персональных данных».

 

В ФОКУСЕ КАДРЫ

Кадровый вопрос по своей важности в работе с ПД не уступает комплексу инфраструктурных моментов и задачам настройки программного-аппаратного взаимодействия.

Кроме юриста в штате, нужны ИБ-эксперты, а также IТ-специалист, который обслуживает базовую инфраструктуру решения по защите личных данных

Что касается ИБ, то здесь от специалистов требуется сочетание компетенций в области написания документации с практическими навыками развертывания и настройки инструментов информбезопасности и технических средств.

На рынке не так просто найти универсального специалиста – чаще доступны люди только с одним набором навыков. Если бизнес решает заниматься обработкой ПД в защищенном облаке, то все технические моменты отдаются на откуп провайдеру. Соответственно, найти ИБ-специалиста в штат компании, который будет заниматься только документацией – намного проще и, возможно, не дорого.

Что касается IТ-специалиста, то в облачном сценарии бизнесу также не нужно иметь в штате дорогого профессионала для обслуживания аппаратных компонентов: серверов, кластеров, систем хранения данных и сети.

 

ОПЫТ ПОБЕЖДАЕТ

В целом, сложность управления процессами ПД и выделяемой для них IТ-инфраструктурой такова, что при больших объемах этих задач при выборе модели «все делаем сами» весь IТ-отдел, «безопасники» и юристы значительную часть времени будут загружены только ПД.

То есть тот самый показатель FTE у них будет равняться единице, ни на что другое времени и внимания не останется.

«Безопасникам» и IТ-специалистам придется тратить на ПД-задачи не менее 50% своего времени, а в случае крупного бизнеса вплоть до 100%

Либо придется расширить штат, либо значительно доплачивать за сверхурочную работу. Иначе это приведет к отставанию компании по IТ-направлению в развитии.

Однако если организация переводит ПД-нагрузку в защищенное облако, то ее шансы на гармоничное развитие серьезно возрастают. По нашим расчетам, основанным на опыте работы с клиентами по всему спектру работ с персональными данными, при облачном развертывании FTE коэффициент ИБ-специалистов падает с 0,5-1 до 0,15. Это примерный средний расчет, на математическую точность он не претендует, но общую картину отражает максимально близко к реальности.

Для IТ-специалистов при модели самостоятельной защиты ПД характерен показатель FTE на уровне как минимум 0,5, но после переезда в облако он падает в среднем до 0,17.

То есть,

профильные специалисты начинают тратить как минимум в три раза меньше времени на ПД, по сравнению с самостоятельной схемой

Сегодня любая организация может самостоятельно построить систему защиты персональных данных по своему усмотрению. Однако комплексный характер задачи и ряд специфических технических требований делают наиболее целесообразным взаимодействие с подрядчиком, который съел на этом «не одну собаку» в ходе реализации других проектов.

Другие новости и публикации

Вас также могут заинтересовать

Linx Outsourcing
Аудит, модернизация и оптимизация ваших серверных мощностей
Подробнее
Аутсорсинг управления дата-центром
Linx Network
Обеспечьте отказоустойчивость и бесперебойную работу сети
Подробнее
Сетевые услуги
Linx DraaS
Аварийное восстановление ИТ-инфраструктуры. Защитите ИТ-системы уже сегодня!
Подробнее
Аварийное восстановление DRaaS

Напишите нам

Как мы оптимизировали управление ЦОДами клиента

Дата-центр – комплексный ИТ- и инженерный объект, требующий профессионализма на всех уровнях управления: от руководителей до технических специалистов и исполнителей эксплуатационных работ. Рассказываем, как мы помогли клиенту навести порядок в операционном управлении в корпоративных ЦОДах.
 

Тарас Чирков, руководитель ЦОД Linxdatacenter в Санкт-Петербурге 

Константин Нагорный, главный инженер ЦОД Linxdatacenter в Санкт-Петербурге 

Дата-центр – комплексный ИТ- и инженерный объект, требующий профессионализма на всех уровнях управления: от руководителей до технических специалистов и исполнителей эксплуатационных работ. Рассказываем, как мы помогли клиенту навести порядок в операционном управлении в корпоративных ЦОДах.  

В главной роли – управление 

Самое современное и дорогое ИТ-оборудование не принесет ожидаемой экономической пользы, если не будут выстроены правильные процессы эксплуатации инженерных систем ЦОДа, где оно располагается.  

Роль надежных и производительных дата-центров в современной экономике постоянно растет вместе с требованиями к их бесперебойной работе. Однако на этом направлении существует большая системная проблема.  

Высокий уровень «аптайма» – безаварийной работы дата-центра без простоев – очень сильно зависит от команды инженеров, которая занимается управлением площадки. А единой формализованной школы управления ЦОДами не существует.  

Нет какого-то сводного канона с правилами, применимыми для любого дата-центра. Есть стандарты международной отраслевой организации Uptime Institute, но они устанавливают рамки и вектор развития, к каждому конкретному дата-центру они будут применяться по-разному.  

В масштабах страны  

На практике в России ситуация с эксплуатацией ЦОДов выглядит так.  

Дата-центры из сегмента коммерческих как правило имеют сертификаты, подтверждающие компетенции в сфере управления. Далеко не все и не всегда, но сама специфика бизнес-модели, когда провайдер отвечает перед клиентом качеством сервиса, деньгами и репутацией на рынке, обязывает владеть предметом. 

Сегмент корпоративных ЦОДов, которые обслуживают собственные потребности компаний, по показателям качества эксплуатации заметно отстает от коммерческих дата-центров. К внутреннему заказчику относятся не так тщательно, как к внешнему клиенту, далеко не в каждой компании понимают потенциал хорошо настроенных управленческих процессов. 

Наконец, государственные ведомственные ЦОДы – в этом отношении они часто представляют собой неизвестную территорию в силу закрытости. Международный аудит таких объектов по понятным причинам невозможен. Российские госстандарты только разрабатываются.  

Все это выливается в ситуацию «кто во что горазд». «Разношерстный» состав команд эксплуатации из специалистов с разным бэкграундом, различные подходы к организации корпоративной архитектуры, взгляды и требования в отношении ИТ-департаментов.  

Факторов, приводящих к такому положению дел, много, один из главных – отсутствие систематизированной документации по выстраиванию эксплуатационных процессов. Есть пара вводных статей Uptime Institute, которые дают представление о проблеме и путях ее преодоления. Но дальше необходимо выстраивать систему своими силами. А на это ресурсов и компетенций хватит далеко не у каждого бизнеса.  

Между тем, даже небольшая систематизация процессов управления по лучшим отраслевым практикам всегда дает отличный результат в том, что касается повышения отказоустойчивости инженерных и ИТ-систем.  

Кейс: через тернии к относительному порядку 

Проиллюстрируем на примере реализованного проекта. К нам обратилась крупная международная компания с сетью собственных дата-центров. Запрос был на помощь в оптимизации процессов управления тремя площадками, где на серверах развернуты ИТ-системы и приложения, абсолютно критичные для бизнеса.  

Компания недавно прошла аудит головного офиса и получила список несоответствий корпоративным стандартам с предписанием их устранить. Для этого в качестве консультанта привлекли нас как носителя отраслевых компетенций: мы развиваем собственную систему управления ЦОДами и ведем просветительскую работу о роли качества эксплуатационных процессов уже несколько лет.  

Началось общение с командой клиента. Специалисты хотели получить выстроенную систему эксплуатации инженерных систем ЦОДов, зафиксированную в документации по процессам мониторинга, обслуживания и устранению неполадок. Все это должно было обеспечить оптимизацию инфраструктурной составляющей с точки зрения непрерывности работы ИТ-оборудования.  

И здесь началось самое интересное.  

Познай себя 

Чтобы оценить уровень работы ЦОДов с точки зрения соответствия стандартам, нужно знать точные требования бизнеса к ИТ-системам: каков уровень внутренних SLA, допустимый период простоя оборудования и т.д.  

Сразу же выяснилось – ИТ-департамент не знает, что именно хочет бизнес. Не было внутренних критериев качества сервиса, не было и понимания логики устройства собственной инфраструктуры.  

Коллеги просто не представляли, каково допустимое время простоя операций, завязанных на ИТ, каково оптимальное время восстановления систем в случае аварии, как устроена архитектура собственных приложений. Например, пришлось разбираться, будет ли критичным для работы приложения «падение» одного из ЦОДов, или в нем нет компонентов, влияющих на приложение.  

Не зная таких вещей, рассчитать какие-то конкретные требования к эксплуатации невозможно. Клиент осознал проблему и усилил координацию между ИТ и бизнесом, чтобы выработать внутренние требования и наладить взаимосвязи для выстраивания работы.  

Когда было достигнуто понимание архитектуры ИТ-систем, команда смогла суммировать требования к службе эксплуатации, подрядчикам и к уровню надежности оборудования.  

Улучшения в процессе 

Наши специалисты выезжали на площадки для оценки инфраструктуры, читали имеющуюся документацию, проверяли уровень соответствия проектов ЦОДов фактической реализации.  

Отдельным направлением стали опросы ответственных сотрудников и их руководителей. Они рассказывали, что и как они делают в различных рабочих ситуациях, как устроены ключевые процессы эксплуатации инженерных систем.  

После начала работ и знакомства со спецификой задачи клиент немного «сдал назад»: мы услышали просьбу «просто написать всю необходимую документацию», по-быстрому и без глубокого погружения в процессы.  

Однако правильная оптимизация управления «инженеркой» ЦОДа предполагает выполнение задачи научить людей правильно оценивать процессы и писать под них уникальную документацию исходя из специфики конкретного объекта.  

Придумать рабочий документ за конкретного начальника участка службы эксплуатации невозможно – если только не проработать в паре с ним на площадке безотрывно несколько месяцев. Поэтому такой подход был отклонен: мы находили лидеров на местах, которые были готовы учиться сами и вести за собой подчиненных.  

Объяснив алгоритм создания документов, требования к их содержанию и принципы организации экосистемы инструкций, шесть последующих месяцев мы контролировали процесс детального написания документации и поэтапный переход персонала к работе по-новому. 

Далее последовал этап первичной поддержки работ по обновленным регламентам, который в удаленном формате продолжался один год. Затем мы перешли к тренингам и учениям – единственный путь закрепления нового материала на практике.  

Что сделано 

В процессе работ нам удалось решить несколько серьезных вопросов.  

Прежде всего, мы избежали ведения двойной документации, которой опасались сотрудники клиента. Для этого соединили в новых регламентах нормативные требования, применяющиеся к различным инженерным системам стандартно (электрика, охлаждение, контроль доступа), с отраслевыми best practices, создав прозрачную структуру документации с простой и логичной навигацией.  

Принцип «просто найти, просто понять, легко запомнить» дополнился тем, что новая информация привязывается к старому опыту и знаниям сотрудников. 

Далее мы перетряхнули штат инженеров службы эксплуатации: несколько человек оказались полностью неготовыми к переменам. Сопротивление некоторых успешно преодолевалось по ходу проекта через демонстрацию преимуществ, но определенный процент сотрудников оказался необучаем и невосприимчив к новому.  

Но нас удивило легкомысленное отношение компании к своей ИТ-инфраструктуре: от отсутствия резервирования критичных систем до хаоса в структуре и управлении.  

За 1,5 года процессы управления инженерными системами были прокачаны до уровня, который позволил специалистам компании успешно отчитаться «за качество» перед аудиторами из головного офиса.  

При поддержке темпов развития эксплуатационной составляющей компания сможет самостоятельно пройти любую существую сертификацию ЦОДов от ведущих международных агентств.  

Выводы 

В целом перспективы консалтинга в сфере операционного управления дата-центрами, по нашему мнению, самые яркие.  

Процесс цифровизации экономики и госсектора идет полным ходом. Да, сейчас будет много корректировок запуска новых проектов и планов по развитию старых, но сути это не изменит – эксплуатацию нужно улучшать хотя бы для повышения КПД уже построенных площадок.  

Главная проблема здесь: многие руководители не понимают, по какому тонкому льду они идут, не уделяя этому моменту должного внимания. Человеческий фактор по-прежнему остается главным источником самых неприятных аварий и сбоев. И это нужно объяснять.  

Государственные проекты в сфере дата-центров также становятся более актуальны сейчас и требуют повышенного внимания с точки зрения эксплуатации: сфера государственных ИТ-систем растет. Здесь также потребуется разработка и ввод системы стандартизации и сертификации площадок.  

Когда требования к государственным ЦОДам в РФ на уровне законодательного акта будут сведены в стандарт, его можно будет применять и для коммерческих дата-центров, в том числе и для размещения государственных ИТ-ресурсов.  

Работы по этому направлению ведутся, мы участвуем в этом процессе в рамках консультаций с Минцифры и наращивая компетенции по преподаванию на курсах по эксплуатации дата-центров в АНО ЦОД. Опыта по таким задачам в России не много, и мы считаем, что должны им делиться с коллегами и клиентами. 

Выстраиваем облачную защиту

БЭСТ, оператор системы денежных переводов и платежей.

Бизнес-вызов

Компания столкнулась с проблемой постоянного флага BGP-сессии с оборудованием Linxdatacenter. После изучения проблемы стало ясно, что на один из хостов в его сети происходила DDoS-атака.

Из-за распределенного характера атаки отфильтровать трафик было невозможно. Инженеры предложили решение, связанное с сокрытием хоста от внешней сети, но этот вариант не подходил заказчику. Атака прекратилась после внесения изменений в конфигурацию сервера, однако возобновилась на следующий день. Ее мощность достигла 5,5 Гбит/с, из-за чего перегружались «стыки» с интернет-провайдерами, что сказывалось на других пользователях облака Linxdatacenter. Чтобы обеспечить стабильную работу, было решено обратиться к надежному поставщику защиты от DDoS.

Решение

Чтобы обеспечить непрерывную доступность ресурсов, размещенных в облаке Linxdatacenter, весь трафик клиента был направлен через систему antiDDoS от StormWall. Атаку удалось погасить в течение получаса. Для предотвращения дальнейших кибератак все соединения сервисов клиента с интернетом были организованы через сеть StormWall.

Клиент:

БЭСТ, оператор системы денежных переводов и платежей.

Бизнес-вызов

Компания столкнулась с проблемой постоянного флага BGP-сессии с оборудованием Linxdatacenter. После изучения проблемы стало ясно, что на один из хостов в его сети происходила DDoS-атака.

Из-за распределенного характера атаки отфильтровать трафик было невозможно. Инженеры предложили решение, связанное с сокрытием хоста от внешней сети, но этот вариант не подходил заказчику. Атака прекратилась после внесения изменений в конфигурацию сервера, однако возобновилась на следующий день. Ее мощность достигла 5,5 Гбит/с, из-за чего перегружались «стыки» с интернет-провайдерами, что сказывалось на других пользователях облака Linxdatacenter. Чтобы обеспечить стабильную работу, было решено обратиться к надежному поставщику защиты от DDoS.

Решение

Чтобы обеспечить непрерывную доступность ресурсов, размещенных в облаке Linxdatacenter, весь трафик клиента был направлен через систему antiDDoS от StormWall. Атаку удалось погасить в течение получаса. Для предотвращения дальнейших кибератак все соединения сервисов клиента с интернетом были организованы через сеть StormWall.

Спасибо за ваш запрос, мы свяжемся с вами в ближайшее время!