Все люди делятся на две категории: те, кто еще не делает бэкапы, и те, кто уже делает бэкапы.

Говорить о важности резервного копирования данных и о рисках, связанных с отсутствием такового, считаю излишним. Думаю, в этом вопросе все будут солидарны – резервные копии нужны!

В мнении по этому вопросу, к нам присоединились и правительство со своей карающей дланью, и регулирующие органы в области защиты информации. Все мы помним требования законодательства, озвученны в 17-м, 21-м и 31-м Приказах ФСТЭК. Так же регуляторами кредитно-финансовой сферы сформированы требования к резервированию и резервному копированию.

А с 1 января 2018 года к ним добавится (вступит в действие) и Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который нам так же говорит, что одной из четырех «Основных задач системы безопасности значимого объекта критической информационной инфраструктуры является:» «восстановление функционирования значимого объекта критической информационной инфраструктуры, обеспечиваемого в том числе за счет создания и хранения резервных копий необходимой для этого информации».

Таким образом, данными требованиями охвачены фактически юрлица во всех сферах. А что у нас большего всего любят регуляторы?

Правильный ответ из нашей практики – использование в своей деятельности средств, прошедших в установленном порядке оценку соответствия (читай — сертифицированных). Что в такой ситуации может быть лучше, чем применение комбинации из передового мирового опыта в области резервного копирования и сертифицированного продукта? Мы нашли это сочетание в Veeam Backup & Replication. Для понимания – немного об этом продукте.

Veeam Backup & Replication обеспечивает эффективное резервное копирование, репликацию и восстановление виртуализованных приложений и данных. Решение выполняет быстрое и надежное резервное копирование виртуальных машин VMware и Hyper-V без использования агентов внутри виртуальных машин. Veeam Backup & Replication помогает существенно ускорить процесс создания резервных копий и снизить издержки на хранение данных.

Сертифицированная версия Veeam Backup & Replication предназначен для защиты информации:

  • в государственных информационных системах до 1 класса защищенности включительно;
  • в автоматизированных системах управления производственными и технологическими процессами до 1 класса защищенности включительно;
  • в информационных системах персональных данных (для которых к актуальным отнесены угрозы 1-го, 2-го или 3-го типа) до 1 класса защищенности включительно, при выполнении указаний по эксплуатации.

Информация от производителя по выполняемым требованиям их продукта (полная версия по ссылке: www.veeam.com/ru/fstec-certified-products-requirements.html)

Рассмотрим требования к информационным системам, для которых требуются применение средств, прошедших в установленном порядке оценку соответствия.

Государственные информационные системы (ГИС)


Требования о защите информации, содержащейся в ГИС, определяются Приказом ФСТЭК России от 11.02.2013г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
“Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании»” — статья 11 документа.



Информационные системы персональных данных (ИСПДн)


Требования о защите персональных данных, содержащихся в ИСПДн, определяются Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Для государственных операторов персональных данных оценка соответствия всегда проводится в форме обязательной сертификации с последующей аттестацией.
“Для обеспечения безопасности персональных данных при их обработке в государственных информационных системах в дополнение к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, необходимо руководствоваться требованиями (в том числе в части определения уровня защищенности персональных данных), установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119. При этом в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.”

(Информационное сообщение ФСТЭК от 15 июля 2013 г. N 240/22/2637).

Для коммерческих операторов персональных данных оценка соответствия может быть выполнена как в форме сертификации, так и в иной форме по выбору оператора, но следует заметить, что в ряде случаев, выбор сертифицированного продукта позволяет снизить затраты на оценку информационной системы, так как сертификат на продукт автоматически удостоверяет, что оценка соответствия уже проведена производителем.
?
Требования на использование средств защиты информации, прошедших оценку соответствия в зависимости от уровня защищенности ИСПДн:



АСУ ТП на критически важных объектах


Требования о защите информации, содержащейся в ИС АСУ ТП, определяются Приказом ФСТЭК России от 14.03.2014 № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
“В автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании” (ст. 11). Использование сертифицированных средств защиты позволяет снизить затраты на выполнение этого пункта, так как сертификат удостоверяет, что продукт уже прошел проверку соответствия. Применение продуктов, не имеющих сертификата, также возможно, но требует дополнительных затрат от покупателя на проведение аттестации или иных мероприятий по оценке соответствия, предусмотренных законодательством о техническом регулировании.

Оценка возможного ущерба: см. Постановление Правительства Российской Федерации от 21 мая 2007 г. N 304 «О классификации чрезвычайных ситуаций природного и техногенного характера»

Класс защищенности АСУ ТП и необходимость применения средств резервного копирования, прошедших оценку соответствия, определяется в соответствии с таблицей:


?
Состав мер защиты информации автоматизированных систем управления и их базовые наборы для соответствующего класса защищенности (в отношении обеспечения резервного копирования информации), где требуется применение средств, прошедших оценку соответствия:



Что может облако?


Рассмотрим на примере нашего BACKUP AS A SERVICE. Решение Cloud4Y backup предоставляет возможность облачного резервного копирования, обеспечивающего надежность хранения любого объема данных.

Вариантов организации такого сервиса как минимум три и ко всем перечисленным вариантам предоставляется бесплатный VPN с шифрованием через Интернет:

1. Услуга Backup as a Service на базе Veeam Backup позволяет получить необходимое дисковое пространство для хранения и восстановления резервных копий из хранилища. Дополнительно к этому мы можем оказывать гарантированное восстановление по заданному времени в режимах:

1. SLA «Базовый» 10-19/5
2. SLA «Приоритетный» 9-21/7
3. SLA «Критичный» 24/7
4. SLA «VIP» 24/7

2. При использовании Veeam Endpoint Protection бэкап делается в наш Veeam, а оплата происходит согласно табличке за предоставленное дисковое пространство.

3. Используя услугу IaaS, арендуется сервер (VM) для шары (Linux или Windows – зависит от предпочтений), арендатор самостоятельно поднимает и настраивает VM и делает там шару для складирования бэкапов, затем самостоятельно соединяет сервер (VM) в облаке с сервером бэкапа. Все ресурсы можно добавлять или изменять через VMware vCloud Director в режиме реального времени.

Комментарии (6)


  1. yuriko1158
    27.11.2017 11:11

    резерв данных это хорошо, но эти данные должны храниться в личном «сундуке\кладовке», а не у соседа.чтоб хранить данные в облаке, я должен быть владельцем данного ресурса…
    если я не владелец облака, то зачем оно мне надо? даже если оно бесплатно…


    1. Cloud4Y Автор
      27.11.2017 11:13

      Что может означать хранение резервных копий «в личном сундуке»? Если при подобном подходе СХД расположена в офисе копании, достаточно ли мер предпринято для обеспечения безопасности данных? Если используется услуга co-location в дата-центре, то за физическую безопасность оборудования и соблюдение благоприятных условиях для работы техники отвечает ЦОД. Оборудование облачного провайдера Cloud4Y расположено в сети дата-центров уровня TIER III, это обеспечивает высокую безопасность и отказоустойчивость работы инфраструктуры. При подобном подходе, уровень безопасности значительно выше, чем при размещении СХД для резервного копирования в офисе компании, которая мало вероятно использует все лучшие практики IT-индустрии. Хранение в облаке Cloud4Y в этом плане сопоставимо с услугой co-location в ЦОДе Tier III, но может быть выгоднее в экономическом и организационном плане.

      Скорее всего, вы решили создавать резервную копию своей информационной системы или других данных по причине их ценности. Да, информация в наше время — это специфические «деньги». Доверить хранение бэкапов облачному провайдеру или хранить их у себя — это отчасти выбор эквивалентный выбору между хранением денег в банке или дома. Серьезный облачный провайдер, как и крупный банк, имеет солидную историю, значительные вложения в бизнес и создание бренда. Ответственность облачного провайдера закреплена юридически. Но основной стимул для него — это сохранение своей репутации надежного поставщика IT-услуг. Хранение бэкапа у себя — это «хранение в сундуке», а хранение у хорошего облачного провайдера — это «хранение в сейфе банка», а не «у соседа».


      1. yuriko1158
        27.11.2017 13:32

        всё это здорово, но есть одно но!
        каждый пользователь, даже если это крупная компания, понимает ценность информации по своему.для примера возьмем бедолаг из Майкрософт…
        что то мне подсказывает что они будут сильно сопротивляться…
        но если каким то образом вы сможете переубедить их хранить разработки будущих ПО в вашем хранилище, то я бы хотел лично посмотреть на их лица при заключении контракта…
        теперь возьмем рядового пользователя.
        имеется некий документ или пакет документов, связанный(ые) некоторым количеством банков.и в этих банках у меня открыт очень большой счет…
        что то меня не очень тянет отправлять этот пакет «соседу» на хранение…
        то есть я описал два типа данных, которые никто не будет хранить у третьей стороны.
        если же хранить данные общего пользования, но при этом платить 10 тыс. руб. в месяц…
        согласитесь, что то не очень тянет на такую авантюру…
        UP: я никого не отговариваю от таких услуг!!! нет же!
        просто я описал свою точку зрения, и привел примеры.
        если кто то думает иначе, ничего страшного.от этого не наступит конец света ))))


        1. mafia8
          27.11.2017 13:48

          Используй шифрование, Люк. (с)


          1. yuriko1158
            28.11.2017 14:50

            тут то же не всё однозначно…
            практика показывает что спецы известной категории, активно раскалывают шифр.
            это то же самое что прятаться под одеялом.вроде защитился от сил зла, но одеяло такая хрупкая вещ…


            1. mafia8
              28.11.2017 15:03

              Интересно, что это за практика.
              Шифры разные бывают.