Безопасность как искусство

В хорошем ЦОДе безопасность настраивается и соблюдается круглосуточно. Это тяжелый труд, который, однако, должен быть незаметен для клиентов и посетителей (все должно делаться без излишних «наворотов», зачастую ненужных и раздражающих, но эффективно и надежно).

Я понимаю, почему именно сегодня возник такой вопрос. Ведь мы на ежегодной вечеринке для клиентов и партнеров дата-центра IXcellerate -- Rockin’Russia.

На территории ЦОДа находятся более двухсот человек, но вы не видите людей в масках и колючей проволоки. Более того, параллельно с мероприятием полным ходом ведутся работы по наращиванию инфраструктуры ЦОДа и инсталляции оборудования клиентов. Под серьезным контролем, но без суеты. Вы заметили, как за 30 минут был организован показ нового машинного зала на 1100 стоек более чем 60 гостям? Поэтому закономерен вопрос: «Как это делается? Как обеспечивается безопасность такого большого ЦОДа?».

Разговор о безопасности явно выходит за рамки короткого интервью на вечеринке. Он скорее «тянет» на несколько двухчасовых лекций, потому что имеет много направлений. Это и физическая безопасность, и информационная (включая безопасность данных), и режим обеспечения сохранности носителей информации, в том числе таких архаических, как бумаги с коммерческой тайной, и прочее. Можно вспомнить и о десятках определяющих стандартов и положений, о сложном оборудовании и рубежах безопасности. Но мое искреннее убеждение – все это не более 20% успеха. Чаще всего, рассматривая любую из вышеперечисленных «безопасностей», выделяют две составляющих: техническую и организационную.

О технической составляющей физической безопасности много говорят и пишут. В рамках эксплуатации дата-центров накоплен огромный опыт по ее проектированию и строительству. Предлагается ряд высококлассных средств защиты, таких как СКУД, биометрические системы, датчики присутствия, средства видеонаблюдения. Используются совершенные системы пожаротушения, датчики противопожарной безопасности разного уровня (сверхраннего предупреждения, противодымные, инфракрасные).

В ответ на появившиеся террористические угрозы ЦОДы оснащаются рамками металлодетекторов и химическими датчиками, проверяющими наличие отравляющих веществ.

Разработано множество инструкций, положений и политик. Действуют прекрасные системы сертификации. Однако оборудование и методология – это только база. Реальную безопасность обеспечивают люди, которые правильно обучены, имеют технические средства и политики, предписывающие, как действовать в тех или иных ситуациях. А самое главное – имеют наработанную матрицу возможных рисков и по ней постоянно тренируют свои навыки.

Работая с персоналом, важно иметь в виду: никто не припомнит случаев, чтобы «злоумышленники» и «диверсанты» взламывали какой-либо ЦОД в попытке выкрасть и продать серверы или стойки… А вот работы с оборудованием, посещения залов существующими и будущими клиентами производятся ежедневно, и это серьезная угроза. Большинство аварий, потерь оборудования и информации связано именно с такими инцидентами. Этому аспекту безопасности иногда уделяется недостаточно внимания, особенно когда речь идет о проведении технического обслуживания оборудования.

Настоящие риски начинаются в момент эксплуатации. Все организовано, все под контролем, ненужных людей в зале нет, вот только монтажник с трехметровой стремянкой неловко развернулся… Все прошли через СКУД с самой сложной идентификацией, камеры видеонаблюдения и объемные датчики контролируют процессы выполнения работ, но они не помогут, когда правильно допущенные люди с правильно пронесенным инструментом что-нибудь заденут. О таких проблемах иногда забывают.

Кроме допуска нужно организовать правильное и безопасное выполнение работ, подготовку бригады, рабочего места для проведения работы, оценить угрозы, которые могут возникнуть при выполнении технических операций по ремонту и модернизации устройств, при вносе и выносе тяжелого или габаритного оборудования.

Для каждого вида работ должны быть заранее определены риски, составлена матрица угроз и на ее основе сформирован план работ на объекте обязательно с привлечением специалистов по безопасности проведения работ и поведения. Начинать надо с элементарных вещей – в нужном месте поставить оградительную решетку, оборудовать стремянку на полу противоскользящими башмаками, подложить диэлектрические резиновые коврики.

Сегодня во всех ЦОДах внедрены серьезные системы физической, информационной и «бумажной» безопасности: установлено совершенное оборудование, разработаны документы в соответствии с требованиями регуляторов. Но эти виды безопасности будут бесполезны без персонала, который знаюет, что делать в той или иной ситуации. Безопасность – не бумаги, не программы и не «железо». Это комплекс, состоящий из технических средств и организационных мероприятий. Это круглосуточная работа, включающая постоянный анализ угроз и обучение сотрудников.

Так что столетняя фраза «Не стреляйте в пианиста – он играет как умеет» для безопасности ЦОДа, увы, не годится. Ну, а судя по тому, что вы видите на сегодняшней вечеринке в IXcellerate, «соната» звучит неплохо. Значит и скрипка хороша, и фортепиано настроено, и ноты...

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!