Вход Регистрация
 

Аналитика и комментарии

04 апреля 2011

Системы резервирования данных в призме законодательства

Одной из важнейших задач при построении и эксплуатации информационных систем является обеспечение целостности и доступности обрабатываемой информации, так как даже в самых надежных системах существует риск потери электронных данных, жизненно важных для банков или его клиентов. Утрата данных может грозить крупными финансовыми потерями, компрометацией репутации банков, а в ряде случаев - и потерей всего бизнеса.

Если политику резервирования и восстановления данных, относящихся к коммерческой тайне, определяет руководитель банка, то данные, относящиеся к конфиденциальной информации или к категории персональных данных о клиентах или сотрудниках, определяет государство в лице регулирующих органов - ФСТЭК России и Банка России.

В современной России первые требования о необходимости использования средств резервного копирования и восстановления данных были сформулированы в вышедшем в 1992 году руководящем документе, тогда еще Гостехкомиссии -«Автоматизированные системы защиты от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (РД АС).

В 1995 году в «Положении о сертификации средств защиты информации по требованиям безопасности информации» (Приказ Гостехкомиссии №199 от 27 октября 1995 года) средства резервирования и восстановления были включены в перечень средств защиты информации, подлежащих обязательной сертификации в системе № РОСС RU.0001.01БИ00. Затем аналогичные требования появились в ФЗ №149 от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», в резонансном ФЗ №152 («О персональных данных»), Постановлении Правительства РФ №781 от 17.11.2007 и других документах регуляторов.

И наконец, требования к средствам резервного копирования и восстановления информации нашли свое отражение в «Положении о методах и способах защиты информации в информационных системах персональных данных» (Приказ ФСТЭК России №58 от 05.02.2010). В соответствии с этим документом, одним из основных способов защиты персональных данных от несанкционированного доступа является «резервирование технических средств, дублирование массивов и носителей информации».

Причем средства, используемые для этих целей, должны пройти в установленном порядке процедуру оценки соответствия - сертификацию.

Несмотря на наличие данных требований, при всей широте выбора средств резервного копирования и восстановления на российском рынке практически не существовало сертифицированных решений, позволявших легитимно использовать их в системах защиты ИСПДн или в автоматизированных системах (АС), обрабатывающих конфиденциальную информацию.

Это вынуждало специалистов реализовы-вать резервирование и восстановление организационными методами либо использовать нестандартные подходы для расширения возможностей штатных механизмов восстановления сертифицированных операционных систем Windows.

Нередко в эксплуатационной документации на АС можно было встретить подобные инструкции: «Для обеспечения целостности и доступности защищаемых данных должно быть предусмотрено ежедневное резервное копирование на файловый сервер рабочих директорий (в конце рабочего дня, с ограничением количества хранимых копий)». В качестве резервных копий использовались стандартные архивы, созданные программами-архиваторами. Созданные файлы архивов должны были храниться на жестких дисках файлового сервера, представляющих собой отказоустойчивый RAID-массив.   Процедура   восстановления данных из резервных копий, выполняемая администратором безопасности, должна была сводиться к распаковке архива и поиску данных конкретного пользователя. Применение такой технологии для двух-трех пользователей, возможно, допустимо, но, когда существует необходимость ежедневного архивирования данных сотен сотрудников, трудно представить, каким образом эти методы будут обеспечены в реальности. А ведь достаточно много объектов информатизации успешно аттестованы с подобной реализацией подсистем обеспечения целостности!

При этом, руководствуясь необходимостью обеспечения вычислительного и бизнес-процессов на должном уровне, в большинстве защищаемых АС использовались профессиональные средства резервного копирования от Symantec, Acronis, Paragon и др., которые в паспортах на объект были записаны как вспомогательное сервисное программное обеспечение. Такой подход помимо сомнительной легитимности был еще чреват отсутствием должного контроля со стороны ответственных лиц и органов, производящих аттестацию объекта.

Вопросы обеспечения автоматизированной защиты АС и ИСПДн в части резервирования и восстановления до недавнего времени оставались во многом нерешенными. Причиной этого, скорее всего, было отсутствие профессиональных программных средств рассматриваемого класса отечественной разработки, недостаточное понимание зарубежными вендорами требований российских регуляторов в области информационной безопасности. А также опасения вендоров предоставлять свои продукты, и прежде всего - исходные коды на сертификацию в испытательные лаборатории, аккредитованные в системе ФСТЭК.

Исключением является сертификация в 2009 году Microsoft System Center Data Protection Manager 2007, однако данный программный продукт не проходил проверку на отсутствие недекларированных возможностей (НДВ), и сертификатом была подтверждена возможность использования данного программного средства в ИСПДн только до 3 класса включительно. Однако следует отметить, что в России линейка продуктов Microsoft System Center, к сожалению, для многих остается достаточно экзотичной, и поэтому широкого применения данные продукты в защищенных системах не нашли. Кроме того, на настоящий момент Microsoft снял данный продукт с производства.

В 2010 году российской компанией АЛТЭКС-СОФТ была проведена сертификация современной линейки корпоративных средств резервного копирования и восстановления. В качестве заявителя выступил мировой лидер в данной области -компания Acronis. Разработчик предоставил исходные коды для проведения контроля отсутствия НДВ, и в октябре 2010 года были получены сертификаты, позволяющие использовать программные средства семейства Acronis® Backup & Recovery™ 10 как легитимные средства защиты (в части обеспечения целостности и доступности информации) АС классов до 1Г включительно и ИСПДн любых классов.

Сфера применения и функциональные возможности современных средств резервирования весьма широки. Помимо базового функционала для реализации операций архивирования и восстановления в программных продуктах присутствует широкий спектр функций безопасности. По сути, это комплексные средства защиты от несанкционированного доступа с собственными встроенными механизмами защиты, включающими контроль доступа к резервным копиям, функции администрирования, механизмы аудита, централизованное сетевое управление, восстановление данных, шифрование и многое другое. Доказательством этого могут служить заявленные в технических условиях функциональные возможности одного из сертифицированных продуктов Acronis® Backup & Recovery™ 10 Advanced Server. Так, только подсистема управления доступом включает реализацию следующих функций:
•   аутентификация пользователей и управление правами доступа;
•  поддержка групп безопасности «Удаленные пользователи» и «Централизованные администраторы»;
•  паролирование резервных копий;
•   создание защищенных дисковых разделов, невидимых для других программ;
•   запуск служб с минимальными правами пользователей;
•   резервное копирование удаленных машин в узел централизованного хранения с установленной на нем программой-брандмауэром.

Стоит надеяться, что в ближайшее время и другие разработчики последуют инициативам компании Acronis. И решения таких компаний, как Paragon, Symantec, также можно будет использовать при построении защищенных АС и ИСПДн. Совершенно очевидно, что спрос на такие решения со стороны банковских организаций со временем будет только расти, так как современный рынок диктует жесткие правила конкурентной борьбы. И выиграют в этой борьбе те из банков, которые сумеют свести к минимуму риски утраты данных.  

Подробнее с заявленными функциональными возможностями продукта можно ознакомиться на сайте производителя сертифицированной версии http://www.altx-soft.ru.

Всего проголосовало: 2

10.0

Владимир Сердюк, генеральный директор ЗАО «АЛТЭКС-СОФТ»

Комментировать могут только зарегистрированные пользователи

Мы в сетевых сообществах: 

Голосование

Как вы считаете, новый механизм оздоровления банков, предложенный ЦБ РФ

Загрузка результатов голосования. Пожалуйста подождите...
Все голосования

Календарь мероприятий

Ближайшие мероприятия

Видео

30 марта 2017 года состоялся Весенний Интеллектуальный Кубок «Самый интеллектуальный банк» и «Самая интеллектуальная компания в финансовой сфере»

В роли ведущего выступил Виктор Сиднев - обладатель Хрустальной совы и звания Лучшего капитана клуба «Что? Где? Когда?».

Яндекс.Метрика