Дума поспешно приняла законопроект о хранении персональных данных. Она его приняла 4 июля, перед массовым уходом в отпуск. Причём он был одобрен сразу во втором и третьем чтении. Согласно этому закону персональные данные россиян, обрабатываемые через интернет, теперь должны храниться на территории РФ. Дата-центры и «Ростех» получат новых клиентов – для них этот закон во благо. О проекте стало известно ещё в конце июня. Его внесли в Госдуму трое депутатов – Ющенко, Деньгин и Луговой.
Зарубежный ЦОД: плюсы и минусы
Методы, которые соответствуют этим рекомендациям, деперсонализируют данные эффективно. Теперь, когда данные больше не являются личными, они больше не подпадают под действие Директивы по защите данных. Поэтому их можно хранить в любом центре данных в мире. В § 30 Федерального закона о защите данных можно видеть, что немецкий законодательный орган, возможно, уже подумал о таком решении. Описанные там случаи точно не соответствуют нашей ситуации, но они одинаково похожи.
Как следствие, следует проявлять определенную осторожность, думая о передаче персональных данных в облако, потому что принцип виртуализации хранилищ данных, ключевая концепция облачных вычислений, прямо контрастирует с запретом экспорта данных. Вторая - деперсонализация данных, чтобы они могли быть экспортированы на законных основаниях в любом месте. Новый российский закон вызывает возмущение среди интернет-бизнеса: закон запрещает хранение персональных данных на серверах за пределами России. В будущем такие данные могут храниться только на серверах с местонахождением в России.
Речь в новом законе идет обо всех российских гражданах, которые предоставляют свои данные при регистрации в сети, отправляют почту или что-то покупают. Закон вступит в силу не сразу, а с 1 сентября 2016 года. Сделано это для того, чтобы у компаний было достаточно времени подготовиться для работы в соответствии с новым законом.
Новый закон должен ещё одобрить совет Федерации и подписать президент. Возможно, его отправят на доработку. Но начало положено, и теперь многие российские компании гадают – что делать им дальше?
Любой, кто не соблюдает закон, будет угрожать ограничениями доступа или даже блокировкой веб-сайта. Заключение с бронированием авиабилетов и бронированием гостиниц в Интернете? Международные компании, которые в настоящее время хранят данные из разных стран на сторонних серверах за пределами России, должны отдельно отделять отдельную информацию от России. Это относится к многочисленным международным сайтам, разработчикам мобильных приложений, компаниям и региональным малым предприятиям, клиентами которых являются российские пользователи.
Что же ждёт нарушителей? Они могут попасть в чёрный список Роскомнадзора. Таких списков у этой организации уже несколько. Это и пиратские сайты, и сайты с пропагандой насилия, суицида, детское порно и сайты с призывами к экстремизму. С этими списками все понятно – никто не против, чтобы в сети не распространялся этот негатив. А если предприятие не сможет в силу объективных причин подготовиться к новому закону? Что тогда?
Вы российская компания
В зависимости от структуры затронутой онлайн-платформы процесс хранения российских данных отдельно в России может быть затруднен. Дополнительные расходы, как заявил представитель компании против российской экономической газеты «Ведомости». В результате, это может для граждан России будет трудно, если не невозможно, например, билеты на самолете, чтобы забронировать на сайтах иностранных авиакомпаний или гостиничный номер через международные порталы, так как хранятся в этих случаях персональных данных за пределами России и собраны, он говорит, что в Российской ассоциации электронная связь. «Ведомости» упомянули в качестве еще одного примера отечественного оператора мобильной связи «МегаФон», в котором хранятся персональные данные своих клиентов на облачном сервере.
Чем же мотивировали депутаты введение такой нормы? Дело в том, что зарубежные сервисы обязаны предоставлять данные американским спецслужбам. Следовательно, АНБ владеет данными обо всех пользователях в сети из России. Конечно, ничего хорошего в этом нет. Ну, а то, у компаний будут расходы на перенос серверов, депутатов не волнуют «Это потери бизнеса, не более, и нечего страшного в этом нет» – говорят они.
Перспективные планы теперь окупаются. В большинстве случаев новый закон должен быть легко реализован, особенно для компаний, которые имеют исключительно российских клиентов или пользователей. Что касается международных баз данных, то, согласно новостному порталу, некоторые примеры показали, что разделение персональных данных из страны происхождения также не является вопросом невозможности, даже если этот вариант является более сложным и дорогостоящим. Было учтено, что многие российские клиенты предпочитают хранить свои данные в России, продолжил Мец.
Но пострадает не только иностранный бизнес от переноса серверов. Российские сервисы сегодня используют облачные технологии и обмен данными – как быть с этим? Ведь этот закон затронет не только сервисы для хранения данных, социальные сети и мессенджеры, но и платёжные системы, он-лайн бронирование отелей, сотовые компании и многие другие сервисы. Если закон примут в таком виде, в каком он сейчас, то это приведёт к расторжению многих договоров с иностранными компаниями. Тот же Аэрофлот не сможет продавать билеты Москва-Нью-Йорк-Чикаго. Это не выгодно никому. В выигрыше окажутся только производители серверов.
Расположение пользователей можно определить очень точно. «Закон будет только оспаривать компании, чьи более сложные базы данных смешивают международные данные и структура которых не позволяет каких-либо корректировок», - считает предприниматель. Новый закон применяется только к персональным данным, а не к данным, связанным с пользователем. В соответствии с российским законодательством личные.
Характеризуется тем, что с его помощью конкретный индивидуум может быть идентифицирован из массы. Если для человека, который предотвращает четкую идентификацию, только отдельные личные данные хранятся, например, только имя без фамилии, это не личные данные в смысле закона.
Банки также от этого закона пострадают. Сегодня очень много покупок совершается через интернет, и клиент часто оплачивает их банковской карточкой. Следовательно, его персональные данные обязательно пройдут через компании, которые не имеют серверов в России. Вывод - новый закон будут нарушать все. И.О. президента Ситибанка сокрушается – «Новый мир складывался без этого закона, и будет довольно сложно исполнять новую норму, практически невозможно». Сегодня новые инновационные технологии появляются каждый день. Обсуждается введение для всех совершеннолетних россиян – будет очень удобно по сети подавать заявления и получать разного рода документы. Как быть, если эти данные кто-либо перехватит по пути? Вопросов по защите данных, и не только персональных, предостаточно.
Защита данных и восстановление данных - четвертая возможность оптимизации инфраструктуры. Следующая таблица включает проблемы высокого уровня, применимые решения и преимущества принятия стандартизованного уровня защиты и поиска данных. Стандартизованный уровень модели оптимизации инфраструктуры относится к ключевым областям защиты и восстановления данных, включая определение служб резервного копирования и восстановления для критически важных серверов. Это требует от организации процедур и инструментов для управления резервными копиями и восстановление данных на критических серверах.
Как известно, российской платежной системы пока нет. Её готовят уже с 2011 года, но до сих пор системы нет. Центробанк только пока выбирает поставщиков, и когда эта система заработает в полную силу, пока неизвестно. А без неё выполнять новый закон будет трудно, практически невозможно.
Сложность переноса серверов оценить трудно – все будет зависеть от архитектуры информационной системы. Директор юридического департамента страховой компании Павел Чуйков считает, что запрет на хранение данных за рубежом – мера слишком чрезмерная. Можно было ограничиться повышением контроля за процессом обработки данных за рубежом. Тогда бы контролирующие органы получили больше возможности для слежения за этими процессами. Не все крупные компании пользуются зарубежными сервисами. Например, представители МТС и «Вымпелком» заявили, что их компании хранят информацию на территории Российской Федерации, а при обмене данными с зарубежными партнёрами пользуются обезличенной информацией.
Требование: определение служб резервного копирования и восстановления для критически важных серверов. Прочтите этот раздел, если у вас нет решения для резервного копирования и восстановления на 80% или более критически важных серверов. Технологии резервного копирования и восстановления являются краеугольным камнем стратегий защиты данных, которые помогают организациям удовлетворять свои требования к доступности и доступности данных. Хранение, восстановление и восстановление - это ключевые операционные операции управления хранением, которые включают один из важнейших бизнес-активов: корпоративные данные.
Вообще у нас почему-то некоторые законы лежат годами, и их не принимают и не обсуждают, а некоторые, не успев появиться, уже быстро созревают и их съедают, как горячие пирожки. Первое чтение, второе, третье – и продукт готов1 А потом начинают принимать поправки – наши депутаты точно без работы не останутся!
Вопрос об информационной безопасности в сети поднялся ещё в прошлом году. Именно тогда бывший сотрудник американских спецслужб Эдвард Сноуден рассказал о слежке за пользователями интернета компанией АНБ. Были приняты антитеррористические поправки, которые ограничивали интернет-платежи. Сетевые сервисы обязали хранить данные о пользователях в течение полугода и так далее. Впрочем, не все так плохо. Некоторые компании успеют подготовиться к новому закону. Так, например, все авиакомпании в ожидании российской системы бронирования - через два года она точно будет готова.
Для обеспечения высокой доступности путем репликации ключевой информации центры обработки данных могут использовать избыточные компоненты и отказоустойчивые технологии, такие как кластеры серверов, зеркалирование программного и аппаратного обеспечения. Однако эти технологии сами по себе не могут решить проблемы, вызванные повреждением или удалением данных, что может быть связано с ошибками пользователя, нарушениями безопасности, вирусами или ошибками приложений.
Также может потребоваться сохранить информацию в форме файла по причинам промышленного и юридического аудита. Это требование может быть расширено для данных транзакций, документов и совместной информации, таких как электронная почта. По этой причине необходимо иметь стратегию защиты данных, которая включает в себя полную схему резервного копирования и восстановления для защиты данных всех типов непредвиденных перерывов или бедствий или для удовлетворения потребностей сектора с точки зрения сохранения данных.
Выиграют от нового закона только дата-центры. Свободные мощности есть даже в Москве. В Подмосковье «Техносерв» строится дата-центр, который будет крупнейшим в стране. Так что в этом плане проблем при переносе серверов быть не должно. Центр строится при помощи инвестирования крупных компаний. Они понимают ценность данных, и поэтому вкладываются в этот проект.
На этапе оценки рассматриваются потребности бизнеса в резервном копировании и восстановлении и инвентаризация доступных в настоящее время процессов резервного копирования и восстановления. Операции резервного копирования гарантируют, что данные будут правильно сохранены и доступны для восстановления и восстановления на основе бизнес-требований. Любая конструкция решений резервного копирования и восстановления должна учитывать требования бизнеса и операционную среду организации.
Цель этапа идентификации решения для резервного копирования и восстановления - определить репозитории целевых данных и установить приоритеты для критического характера данных. Критические данные - это данные, необходимые для ведения бизнеса и соблюдения применимых законов или правил. Решения такого типа должны быть предсказуемыми, надежными и способными в соответствии с правилами и данными процесса в кратчайшие сроки.
Вообще создание нового дата-центра сопряжено со многими трудностями. Оно требует огромных финансовых затрат и времени на подготовку. За два года построить новый дата-центр нереально – рассказал представитель Яндекса. Российский поисковик всегда использовал сервисы в России, и он готов к новому закону. «Ростелеком» также имеет собственную сеть дата-центров и свою облачную платформу. Он готов принять новых клиентов.
Этап 3: Оценка и планирование
Среди проблем, с которыми вам предстоит столкнуться при управлении данными, являются. Управление инфраструктурой хранилища для повышения качества обслуживания, определенного в контрактах уровня обслуживания, одновременно снижая сложность и контролируя затраты. Проанализируйте значение данных, чтобы применить наиболее подходящие стратегии для каждого типа данных.
- Управлять ростом объемов данных.
- Интеграция приложений с требованиями к хранению и управлению данными.
- Работайте с краткими или несуществующими окнами резервного копирования данных.
- Управление технологическими островами, имеющими децентрализованное управление.
Как видим, у нового закона есть и противники и те, которым закон не страшен. Ясно одно – закон нужно дорабатывать в соответствии с теми поправками и замечаниями, которые уже есть и ещё будут, иначе он просто не заработает в полную силу. Также, как и новый 44-ФЗ. Поправки к нему принимают до сих пор, создана специальная рабочая группа для этого. Все делается для того, чтобы стали все более прозрачными и эффективными. Так что над законом о запрете хранения персональных данных за рубежом предстоит ещё поработать. Нельзя загонять бизнес в угол. Он и так у нас выглядывает из-за угла. Особенно страдает малый и средний бизнес. Сколько уже индивидуальных предпринимателей закрылись в прошлом году. То налоговые ставки повысят, то ещё какой-либо запрет введут. Одними запретами сыт не будешь. Нужно предлагать инновационные решения. Сегодня данные с успехом защищаются при помощи шифрования данных. А что будет, если взломают какой-нибудь сервис и все данные утекут в неизвестном направлении? Вот об этом точно стоит подумать. Депутатам есть над чем поработать…
Эти требования могут включать. Таблицы для резервных копий и реставраций. Требования к архивированию данных. Определение ограничений. Выбор и приобретение компонентов инфраструктуры хранения. План управления хранением и мониторинга. Стратегия тестирования и резервное копирование.
- Количество данных для хранения.
- Прогнозы роста данных.
- Производительность процессов резервного копирования и восстановления.
- Резервное копирование и восстановление базы данных.
- Требования к резервному копированию электронной почты.
Как известно, в России несколько лет действует Федеральный Закон №152 «О персональных данных».
За время его первой публикации в 2006 году Закон претерпел значительные изменения, а сами данные теперь обязаны храниться на территории Российской Федерации и быть защищены. На практике это приводит к повышению ответственности бизнеса в отношении обработки данных. О том насколько сложно соблюдать требования Закона «О персональных данных» и дает ли это реальный эффект пойдет речь в этой статье.
Режим резервного копирования Режим резервного копирования. . Режим резервного копирования определяет, как будет выполняться резервное копирование в отношении хранимых данных. Существует два способа резервного копирования. Автономные резервные копии: сделаны из данных, к которым пользователи больше не имеют доступа. Онлайн-резервные копии выполняются, когда пользователи имеют доступ к данным. . Вы можете использовать различные типы резервных копий, как онлайн, так и офлайн. Требование времени восстановления, период резервного копирования и соглашение об уровне обслуживания определяют метод или комбинацию методов, подходящих для каждой среды.
Любое юридическое лицо, организованное в российском правовом поле подпадает под данное регулирование. Наш проект RUVDS Закон затрагивает как в части обработки личных данных клиентов, так и защиты информации, с которой работают клиенты на нашем оборудовании.
Есть несколько объектов защиты.
Первый тип данных - сами данные о клиенте. К примеру, это его имя, дата и место рождения, паспортные данные, для юридических лиц – данные о компании. Клиент при начале работы с сервисом соглашается передать нам эту информацию на обработку, а мы обязуемся работать с ними в соответствии с Законом. Это более-менее понятный и просто объект защиты.
Резервная топология
Инкрементное резервное копирование - захватывает файлы, добавленные или измененные с момента последней инкрементной резервной копии. Дифференциальное резервное копирование - захватывает файлы, добавленные или измененные с момента последней полной резервной копии. Полная резервная копия - Захват всех файлов на всех дисках. . Первоначально единственный тип технологии хранения данных с резервной копией состоял из жестких дисков, прикрепленных непосредственно к адаптерам хранения на серверах. Ландшафт резервного копирования и восстановления значительно изменился с развитием технологий, таких как сеть хранения данных и сетевое хранилище.
Второй тип данных – информация, которая непосредственно хранится клиентами на VDS /VPS сервере. Это как раз более значимый и важный объект защиты. Примерами таких данных может быть логин-пароль к социальной сети, почте, личная бухгалтерия у физических лиц. А у юридических лиц спектр подобной информации еще шире – это и клиентские базы данных, и бухгалтерия, и специализированное ПО.
При разработке службы резервного копирования и восстановления вы должны учитывать множество факторов. Некоторые из факторов, которые необходимо учитывать.
- Быстрые приоритеты резервного копирования и восстановления, цель восстановления.
- Частота, с которой данные изменяются.
- Ограничения по времени для операции резервного копирования.
- Требования к хранению.
- Актуальность восстановленных данных, целевая точка точки восстановления.
С точки зрения Закона, юридические лица, передавая данные на хранение или обработку, несут полную ответственность за защиту этой информации. Именно поэтому банки, брокеры, крупный бизнес проверяют потенциального партнера по организации хранения и обработки данных. Проверяется все. Нужно отметить, что некоторые клиенты приезжали в наш дата-центр с целью убедиться, что физический носитель и каналы связи под надежной охраной, а персонал действительно компетентный.
Каким образом можно организовать защиту данных?
Есть различные источники угроз личной информации, к примеру, использование данных клиентов в личных целях сотрудником компании, уничтожение данных клиента будь это физическое или юридическое лицо, кража данных путем взлома сервера.
Это, наверное, самые известные и понятные угрозы, с которыми каждый оператор связи сталкивается. Сам список, конечно, гораздо шире.
Естественно, есть разные способы и уровни защиты данных.
Если говорить в терминах 152-ого Закона, то этапы защиты информации можно перечислить как: определение угроз, разработка мер безопасности и учет носителей информации, применение мер и оценка их эффективности и мониторинг всей этой системы безопасности. Наша компания последовательно выполняет все необходимые действия для максимальной защиты данных и первое, с чего начинается работа – это люди. Каждый сотрудник нашей компании при поступлении на работу знакомится со списком конфиденциальной информации, к которой, в частности, относятся персональные данные клиентов. Он подписывается под своей ответственностью за то, что будет работать с этими данными в рамках законодательства РФ.
Однако полагаться только на сознательность в данном вопросе нельзя. Поэтому нас действует четкая система разграничения и контроля прав доступа, разработанная дипломированными специалистами в области защиты информации. Если вкратце, то доступ к данным о клиентах (первый тип, о котором я говорил ранее) получают только те сотрудники, которые имеют соответствующую, подтвержденную сертификатом, квалификацию по работе с конфиденциальной информацией, и строго по регламенту. При этом доступ всегда персонифицированный, с логированием всех действий сотрудника. Поэтому, если специалист что-то модифицировал, скачал, отправил, сохранил данные о клиенте – мы это всегда увидим и сможем однозначно определить, кто это сделал.
Доступ же к данным клиентов (второй тип данных), которые они хранят на сервере, сотрудники могут получить только при наличии заявки от клиента, к примеру, для оказания помощи в настройке, оказания каких-либо дополнительных специфических услуг. При этом сотрудник, который проводит любые работы на сервере клиента, так же сертифицирован для работы с конфиденциальной информацией, а компьютеры, с которых в случае необходимости осуществляется доступ к данным клиента, оборудованы специализированным ПО для предотвращения несанкционированного доступа и сертифицированы Федеральной службой по техническому и экспортному контролю (ФСТЭК).
Такая организация работы, по сути, гарантирует защиту данных клиентов от потенциальных злонамеренных действий сотрудников и ограничивает потенциальную утечку информации областью защищенных и недоступных извне машин. К слову, и наш операторский зал оборудован круглосуточным видеонаблюдением, для предотвращения утечек с помощью подручных средств фотофиксации.
Однако, остается вопрос, над решением которого бьются системные администраторы и сотрудники служб безопасности многих компаний – взлом информационных систем. Должен сказать, что при работе с виртуальным сервером обеспечить защиту от взлома значительно проще и прозрачнее. Когда вам нужно обеспечить безопасность передачи данных между физическими компьютерами сотрудников, на каждом из которых в отдельности есть конфиденциальная информация, вам необходимо контролировать каждый ПК, деятельность на нем в каждый момент времени. А если у вас все данные на одном виртуальном сервере, то вам нужно контролировать лишь доступ к нему. Мало того, нужно учесть, что сам дата-центр как отдельная бизнес-единица уже проработал защиту данных клиентов, защиту от DDOS-атак. Отдельно над этими же задачами поработал так же и провайдер хостинг услуг. К примеру, в нашем дата-центре есть мониторинг как самих серверов, так и анализатор трафика, позволяющий оперативно блокировать DDOS-атаки. То есть клиент еще на старте отношений получает серьезный уровень защиты «из коробки».
Если вам нужно больше, можно заказать услугу по DDOS-защите. С такой услугой сервер получает IP-адрес из выделенной подсети, где на адрес поступает уже отфильтрованный поток данных. Это очень актуально для популярных сайтов, интернет-банков, игровых ресурсов.
При этом при организации массового доступа к серверу, каждый доступ персонифицирован и логируется, как средствами самого VPS , так и средствами контроля оператора связи, поэтому вы достаточно легко и быстро сможете выявить и пресечь любую нелегальную деятельность с данными.
Это является мотивом для очень многих компаний для перевода командной работы с данными, начиная от общей разработки до хранения многолетней бухгалтерской отчетности и работы интернет банков, на виртуальные сервера. Это и дешевле, и эффективнее.
Среди наших клиентов, к примеру, есть банки и брокеры. В работе с ними есть определенная специфика, но с точки зрения безопасности данных на самом деле работа с такими клиентами не сложнее и не проще, чем с любыми другими. Стандарты безопасности и уровень сервиса одинаково высоки как для небольшого розничного клиента, так и для крупного юридического. Почему так? Потому что лицензию могут отозвать за нарушение в отношении любого клиента. Да и как юридическое лицо может доверить свои данные оператору, который не может защитить данные розничного клиента? Однако стоит сказать, что по запросу крупных клиентов мы можем установить дополнительные средства мониторинга, защиты, которые, по мнению клиента, нужны именно ему. Тут мы всегда идем навстречу. Естественно, при работе с крупными клиентами на слово никто не верит. Потому свою компетентность и уровень нужно подтверждать лицензиями.
Любой оператор связи, который предоставляет свои услуги через свой узел связи (дата-центр), обязан обладать лицензиями Роскомнадзора на соответствующую деятельность. К примеру, наша компания лицензирована для предоставления телематических услуг связи и услуг по передачи данных (без голосовой информации). Отдельно для работы с конфиденциальной информацией и государственной тайной необходимо получить лицензию ФСТЭК. Лицензию можно получить только при наличии внутренних процедур по защите информации, специального сертифицированного ПО и оборудования для контроля доступа к данным, а так же физическую защиту носителей информации от любого способа кражи или воздействия. Это уже серьезная гарантия при работе с юридическими лицами. RUVDS как раз в процессе получения данной лицензии.
На практике же реальная защита данных начинается с нескольких кордонов охраны помещения с видеонаблюдением, персонифицированным доступом в помещение с оборудованием, а само оборудование и операторский зал при этом так же находится под круглосуточным видеонаблюдением. Вся связь проходит через сертифицированные защищенные коммутаторы, а обработка личных данных клиентов и их хранение происходит на выделенной машине под контролем специализированного ПО, гарантирующего защиту от утечек.
Так как само помещение имеет глухие стены толщиной минимум 1 метр, то это гарантирует от прослушки. Зачастую, подобные условия защиты невозможно создать в офисных помещениях, не говоря уже о технологической составляющей в поддержании постоянной температуры, бесперебойной связи и электропитания и газового пожаротушения. По сути, это хранилище данных уровня надежного банковского хранилища.
Зачем такие меры?
Во всем мире уже давно известно, что информация – своего рода нефть. Она может быть бесполезна, как когда-то ничего не стоила и сама нефть. Но при правильном ее использовании она может стать золотой жилой. В нашей стране это так же осознали и начали заниматься защитой этого ресурса. Самое простое применение такой информации – базы данных потенциальных клиентов. Это, вероятно, самое безвредное, если можно так сказать. Спектр же применений самый обширный, вплоть до сбора компрометирующих данных и взломов банковских счетов с помощью полученной информации. Поэтому защита нужна серьезная и постоянная.
Так же не стоит забывать об отказоустойчивости и хранении резервных копий данных. Хотя сам факт отказа всего сервера крайне маловероятен, почти невозможен, всегда должна быть система зеркалирования данных, а для серьезных клиентов, по запросу, как правило, выделяется двойной объем дисков для постоянного бэкапирования. Это актуально как раз банкам, особенно тем, кто развернул интернет-банк на сервере, ведь они должны максимально быстро «поднять» резервную копию ресурса. Такая система это позволяет сделать и у нас она тоже есть.
Еще одним нюансом становится масштабирование инфраструктуры. В случае, когда вы сталкиваетесь с подобной проблемой со своим «железом», выхода у вас два – сокращать нагрузку, что, вероятнее всего вас не устроит, - либо наращивать мощность сервера, докупая составные части, если архитектура позволяет, а скорее всего, вам придется купить просто более мощный сервер.
С учетом текущей экономической ситуации задача иногда неподъемная для малого бизнеса и просто невыгодная. Очень сложно оценить эффект отдачи нового оборудования, а деньги за него нужно заплатить сразу.
Если вы используете
