При построении центра обработки данных (ЦОД) особое внимание необходимо уделять вопросам обеспечения информационной безопасности. Актуальность данной проблемы обусловлена тем, что нарушение конфиденциальности, целостности или доступности информации, хранимой или обрабатываемой в ЦОД, может привести к нарушению ключевых бизнес-процессов организации.

Необходимо отметить, что требования по защите информации должны закладываться на этапе проектирования ЦОД. Это позволит заранее интегрировать в ЦОД необходимые функции защиты. Требования должны базироваться на модели угроз, которая описывает возможные действия злоумышленников по отношению к информационным ресурсам ЦОД. От полноты модели угроз зависит то, насколько эффективно будут сформулированы требования по защите информации.

Для защиты ЦОД, который уже введен в эксплуатацию, необходимо провести аудит информационной безопасности, который даст текущую оценку имеющихся уязвимостей и недостатков и позволит выработать рекомендации по их устранению. По результатам аудита формируется перечень первоочередных мероприятий по повышению уровня информационной безопасности ЦОД.

Комплексная система обеспечения информационной безопасности ЦОД должна предусматривать меры в области нормативно-методического, технологического и кадрового обеспечения безопасности.

Нормативно-методическое обеспечение предполагает создание сбалансированного пакета нормативных документов и процедур в области защиты ЦОД от возможных угроз. Состав таких документов во многом зависит от целей и задач ЦОД, уровня его сложности, количества узлов, входящих в состав ЦОД, и т. д.

В рамках кадрового обеспечения информационной безопасности в компании должна быть разработана программа повышения осведомленности сотрудников о вопросах противодействия угрозам безопасности. В рамках такой программы должны быть реализованы процессы обучения и аттестации сотрудников, ответственных за использование и эксплуатацию ЦОД.

Технологическое обеспечение должно быть нацелено на создание комплексной системы обеспечения информационной безопасности ЦОД (КСИБ). Состав КСИБ зависит от структуры и состава ЦОД, но в общем случае включает в себя следующие подсистемы:

  • защиты от утечки конфиденциальной информации;
  • защиты от вирусов и спама;
  • анализа уязвимостей;
  • обнаружения вторжений;
  • межсетевого экранирования;
  • разграничения доступа;
  • криптографической защиты;
  • мониторинга информационной безопасности.

Для создания КСИБ следует учитывать требования действующего российского законодательства, а также рекомендации международных стандартов, таких как ISO 17799 и ISO 27001. Особое внимание необходимо уделять положениям Федерального закона «О персональных данных» в том случае, если в ЦОД предполагается хранить или обрабатывать персональную информацию о сотрудниках или клиентах компании.