Каждый владелец предприятия знает, что информация — это гораздо больше, чем один из стратегических ресурсов организации. По существу, информация и есть организация. Когда нужно защитить такой жизненно важный ресурс и эффективно управлять им, у ИТ-специалистов всегда хватает проблем. 2005 год доказал, что потеря информации может стать разрушительной для любой организации. Почти каждую неделю какая-нибудь фирма страдала от утечки информации, содержащей ценные корпоративные данные или сведения о заказчиках, в том числе вследствие кражи или утери магнитных лент с резервными копиями данных. Крупные организации стараются обеспечить более эффективную защиту носителей и данных, тем не менее опасения по поводу «кражи личности» среди потребителей продолжают нарастать. Тревогу специалистов по системам хранения данных усиливает количество данных, которые можно украсть на одной магнитной ленте. Из-за высокой концентрации содержащихся на ней данных одна лента способна раскрыть больше персональной информации, чем было похищено в результате многих онлайновых вторжений этого года.
Любая хорошая стратегия защиты носителей данных подразумевает стратегический баланс между доступностью информации и информационной безопасностью. Сегодня перед ИТ-менеджерами стоит задача поддержания этого баланса при разумных затратах. Полностью обезопасить информацию легко — например, запереть ее в сейфе, — но фокус в том, что когда эта информация понадобится, она должна быть доступна. Однако открывая информацию для доступа, вы всегда рискуете, причем этот риск обычно распадается на четыре категории:
- Атаки злоумышленников: Организованная преступность переместилась в онлайн и будет действовать и в 2006 году с применением разных хитростей, включая новейшие варианты червей, вирусов, бот-сетей и фишинговых атак. В 2005 году был замечен сдвиг от докучливых вирмейкеров, ищущих славы, к более организованным злоумышленникам, охотящимся за финансовыми выгодами.
- Ошибка человека. Человеку свойственно ошибаться, и это, к сожалению, случается довольно часто. Сотрудники оставляют ноутбуки в самолетах, спотыкаются о провода или рушат системы. Или же просто теряют магнитную ленту в транспорте, как в одном нашумевшем случае 2005 года.
- Отказы инфраструктуры: ИТ-инфраструктуры не безупречны, и всегда происходят прерывания подачи электроэнергии или отказы сервера, приводящие к потере критической бизнес-информации.
- Природные катастрофы: 2005 год напомнил нам, как внезапно могут разразиться природные катастрофы, поставив на колени любой бизнес. По данным Gartner, 50% компаний, не имеющих плана восстановления, вышли из бизнеса в течение года после серьезной катастрофы.
Хорошая стратегия эффективной защиты данных должна принимать во внимание все эти риски. Ценность представляют не данные и информация сами по себе. Чтобы пользоваться этой информацией, нужны действующие приложения, серверы и операционные системы и нужно поддерживать высочайшую степень доступности и целостности информации.
При составлении планов на 2006 год ИТ-менеджеры и специалисты по системам хранения данных должны уделять главное внимание безопасности хранения данных. Реализуя следующие практическим методы, организации смогут избежать многих из тех досадных секьюрити-инцидентов, о каких пресса сообщала в 2005 году:
Онлайновая защита данных
Для гарантии бесперебойной работы организации должны хранить множество моментальных копий данных. Кроме того, чтобы повысить уровень онлайновой защиты данных, подумайте о репликации на другую территорию в режиме реального времени (синхронная репликация) или очень близком к нему режиме (асинхронная репликация).
Шифрование данных
Нешифрованные данные всегда служат источником определенного риска. Недавнее исследование Enterprise Strategy Group показало, что 60% специалистов по системам хранения данных говорят, что они никогда не шифруют данные на лентах резервного копирования и всего 7% делают это регулярно. Специалисты по системам хранения данных должны настаивать на шифровании любых данных, выходящих за пределы компании. Кроме того, необходим план дешифрации, и у нужных людей должен быть доступ к ключам шифрования.
Физические меры безопасности
В дополнение к шифрованию добавьте еще один уровень безопасности, воспользовавшись специальными коробками, которые при транспортировке магнитных лент нельзя легко открыть. Убедитесь также в том, что неиспользуемые сетевые порты запрещены, а стойки и шкафы заперты. Подумайте об использовании системы резервного копирования с возможностью отслеживания пути контейнеров с носителями. К тому же как следует позаботьтесь о защите и шифровании данных при их транспортировке и храните опись всех резервных лент организации с подробным описанием. Разработайте план поиска недостающих лент.
Ограничение доступа, управление данными в течение их жизненного цикла
Специалистам по системам хранения данных следует избегать хранения лент в течение более длительного срока, чем это необходимо. Одна организация хранила данные дольше положенного, оставив информацию уязвимой, и это в конечном счете привело к инциденту нарушения безопасности, о котором недавно сообщалось. План управления данными и информацией от создания до удаления гарантирует, что доступной будет оставаться только та информация, которая необходима. Информация должна анализироваться при ее создании или получении, после чего должны определяться правила по управлению этой информацией, ее удалению или хранению.
В дополнение к очевидному правилу, запрещающему использовать устанавливаемые производителями пароли по умолчанию, организации должны иметь также четкий план частой смены паролей и использования отдельных идентификаторов и паролей для каждого пользователя. Кроме того, специалисты по системам хранения данных должны обеспечить выбор подходящего устройства для хранения тех или иных данных. Например, данные, к которым не надо часто обращаться, могут легко сохраняться на лентах, чтобы не тратить пространство более дорогих дисковых устройств хранения данных.
Управление доступом — другая важная мера безопасности, которая должна соблюдаться в любой организации. ИТ-подразделение должно обеспечить доскональный контроль за тем, кто может обращаться к данным и приложениям, управляющим данными, предоставляя соответствующие права и разрешения для разных типов данных.
Схема диск-диск-лента
Несмотря на всю важность резервного копирования на магнитную ленту и ее хранения, еще важнее возможность последующего восстановления. Чтобы гарантировать целостность информации, организации следует продумать решения на базе комбинации дисков и ленты. Решения на базе дисков обеспечивают простоту эксплуатации и восстанавливаемость, в конечном счете гарантируя более эффективную стратегию восстановления. Специалисты по системам хранения данных должны установить комплекс решений на базе комбинации дисков и ленты, наиболее подходящий для их организации и обладающий достоинствами обеих технологий.
Соблюдение законов и нормативов
Применяя эти практические приемы, организации могут не только завоевать доверие потребителей, избегая неприятных и потенциально разрушительных инцидентов потери данных и информации, но и соблюдать отраслевые нормативы. В результате принятия закона Сарбанеса-Оксли, который рассматривает управление безопасностью всех данных в качестве одного из критериев правильного корпоративного управления, все публичные компании чувствуют усиление давления со стороны регулирующих органов, направленного на улучшение информационной безопасности.
Кроме того, такие законы как California Security Breach Information Act (SB-1386) привлекли внимание к проблеме «кражи личности» и защиты персональных данных и усилили опасения потребителей по этому поводу. Закон Калифорнии требует чтобы организации, которые хранят информацию о физических лицах, информировали их в том случае, если информация о них будет похищена. Закон ставит условие, чтобы в случае нарушения безопасности базы данных, содержащей персональные данные, ответственная организация оповещала каждого человека, информация о котором содержалась в этой базе. Закон, влекущий серьезные последствия, влияет и на организации за пределами Калифорнии, так как он применяется к любому, кто может иметь заказчиков в Калифорнии или вести дела с калифорнийской организацией. К тому же сейчас законы, подобные SB-1386, существуют в 26 штатах.
Заключение
Требование бесперебойно действующей ИТ-инфраструктуры продолжает приобретать все большую остроту, тогда как угрозы, основанные на корыстных интересах, постоянно усиливаются. Для предприятий важно не только защитить хранящиеся у них данные, применяя перечисленные выше практические приемы. Чтобы всегда на несколько шагов опережать опасность потери данных, первостепенную важность имеет непрерывный пересмотр стратегии обеспечения безопасности хранения данных с учетом любых новых требований в отношении доступа к информации и необходимости соблюдения государственных нормативов.
Автор: Гленн Грошанс (Glenn Groshans), директор группы управления данными Symantec Corporation.
Корзина 
