Как известно, в России несколько лет действует Федеральный Закон №152 «О персональных данных».
За время его первой публикации в 2006 году Закон претерпел значительные изменения, а сами данные теперь обязаны храниться на территории Российской Федерации и быть защищены. На практике это приводит к повышению ответственности бизнеса в отношении обработки данных. О том насколько сложно соблюдать требования Закона «О персональных данных» и дает ли это реальный эффект пойдет речь в этой статье.

Любое юридическое лицо, организованное в российском правовом поле подпадает под данное регулирование. Наш проект RUVDS Закон затрагивает как в части обработки личных данных клиентов, так и защиты информации, с которой работают клиенты на нашем оборудовании.

Есть несколько объектов защиты.

Первый тип данных - сами данные о клиенте. К примеру, это его имя, дата и место рождения, паспортные данные, для юридических лиц – данные о компании. Клиент при начале работы с сервисом соглашается передать нам эту информацию на обработку, а мы обязуемся работать с ними в соответствии с Законом. Это более-менее понятный и просто объект защиты.

Второй тип данных – информация, которая непосредственно хранится клиентами на VDS /VPS сервере. Это как раз более значимый и важный объект защиты. Примерами таких данных может быть логин-пароль к социальной сети, почте, личная бухгалтерия у физических лиц. А у юридических лиц спектр подобной информации еще шире – это и клиентские базы данных, и бухгалтерия, и специализированное ПО.

С точки зрения Закона, юридические лица, передавая данные на хранение или обработку, несут полную ответственность за защиту этой информации. Именно поэтому банки, брокеры, крупный бизнес проверяют потенциального партнера по организации хранения и обработки данных. Проверяется все. Нужно отметить, что некоторые клиенты приезжали в наш дата-центр с целью убедиться, что физический носитель и каналы связи под надежной охраной, а персонал действительно компетентный.

Каким образом можно организовать защиту данных?

Есть различные источники угроз личной информации, к примеру, использование данных клиентов в личных целях сотрудником компании, уничтожение данных клиента будь это физическое или юридическое лицо, кража данных путем взлома сервера.
Это, наверное, самые известные и понятные угрозы, с которыми каждый оператор связи сталкивается. Сам список, конечно, гораздо шире.

Естественно, есть разные способы и уровни защиты данных.

Если говорить в терминах 152-ого Закона, то этапы защиты информации можно перечислить как: определение угроз, разработка мер безопасности и учет носителей информации, применение мер и оценка их эффективности и мониторинг всей этой системы безопасности. Наша компания последовательно выполняет все необходимые действия для максимальной защиты данных и первое, с чего начинается работа – это люди. Каждый сотрудник нашей компании при поступлении на работу знакомится со списком конфиденциальной информации, к которой, в частности, относятся персональные данные клиентов. Он подписывается под своей ответственностью за то, что будет работать с этими данными в рамках законодательства РФ.

Однако полагаться только на сознательность в данном вопросе нельзя. Поэтому нас действует четкая система разграничения и контроля прав доступа, разработанная дипломированными специалистами в области защиты информации. Если вкратце, то доступ к данным о клиентах (первый тип, о котором я говорил ранее) получают только те сотрудники, которые имеют соответствующую, подтвержденную сертификатом, квалификацию по работе с конфиденциальной информацией, и строго по регламенту. При этом доступ всегда персонифицированный, с логированием всех действий сотрудника. Поэтому, если специалист что-то модифицировал, скачал, отправил, сохранил данные о клиенте – мы это всегда увидим и сможем однозначно определить, кто это сделал.

Доступ же к данным клиентов (второй тип данных), которые они хранят на сервере, сотрудники могут получить только при наличии заявки от клиента, к примеру, для оказания помощи в настройке, оказания каких-либо дополнительных специфических услуг. При этом сотрудник, который проводит любые работы на сервере клиента, так же сертифицирован для работы с конфиденциальной информацией, а компьютеры, с которых в случае необходимости осуществляется доступ к данным клиента, оборудованы специализированным ПО для предотвращения несанкционированного доступа и сертифицированы Федеральной службой по техническому и экспортному контролю (ФСТЭК).

Такая организация работы, по сути, гарантирует защиту данных клиентов от потенциальных злонамеренных действий сотрудников и ограничивает потенциальную утечку информации областью защищенных и недоступных извне машин. К слову, и наш операторский зал оборудован круглосуточным видеонаблюдением, для предотвращения утечек с помощью подручных средств фотофиксации.

Однако, остается вопрос, над решением которого бьются системные администраторы и сотрудники служб безопасности многих компаний – взлом информационных систем. Должен сказать, что при работе с виртуальным сервером обеспечить защиту от взлома значительно проще и прозрачнее. Когда вам нужно обеспечить безопасность передачи данных между физическими компьютерами сотрудников, на каждом из которых в отдельности есть конфиденциальная информация, вам необходимо контролировать каждый ПК, деятельность на нем в каждый момент времени. А если у вас все данные на одном виртуальном сервере, то вам нужно контролировать лишь доступ к нему. Мало того, нужно учесть, что сам дата-центр как отдельная бизнес-единица уже проработал защиту данных клиентов, защиту от DDOS-атак. Отдельно над этими же задачами поработал так же и провайдер хостинг услуг. К примеру, в нашем дата-центре есть мониторинг как самих серверов, так и анализатор трафика, позволяющий оперативно блокировать DDOS-атаки. То есть клиент еще на старте отношений получает серьезный уровень защиты «из коробки».
Если вам нужно больше, можно заказать услугу по DDOS-защите. С такой услугой сервер получает IP-адрес из выделенной подсети, где на адрес поступает уже отфильтрованный поток данных. Это очень актуально для популярных сайтов, интернет-банков, игровых ресурсов.
При этом при организации массового доступа к серверу, каждый доступ персонифицирован и логируется, как средствами самого VPS , так и средствами контроля оператора связи, поэтому вы достаточно легко и быстро сможете выявить и пресечь любую нелегальную деятельность с данными.

Это является мотивом для очень многих компаний для перевода командной работы с данными, начиная от общей разработки до хранения многолетней бухгалтерской отчетности и работы интернет банков, на виртуальные сервера. Это и дешевле, и эффективнее.
Среди наших клиентов, к примеру, есть банки и брокеры. В работе с ними есть определенная специфика, но с точки зрения безопасности данных на самом деле работа с такими клиентами не сложнее и не проще, чем с любыми другими. Стандарты безопасности и уровень сервиса одинаково высоки как для небольшого розничного клиента, так и для крупного юридического. Почему так? Потому что лицензию могут отозвать за нарушение в отношении любого клиента. Да и как юридическое лицо может доверить свои данные оператору, который не может защитить данные розничного клиента? Однако стоит сказать, что по запросу крупных клиентов мы можем установить дополнительные средства мониторинга, защиты, которые, по мнению клиента, нужны именно ему. Тут мы всегда идем навстречу. Естественно, при работе с крупными клиентами на слово никто не верит. Потому свою компетентность и уровень нужно подтверждать лицензиями.

Любой оператор связи, который предоставляет свои услуги через свой узел связи (дата-центр), обязан обладать лицензиями Роскомнадзора на соответствующую деятельность. К примеру, наша компания лицензирована для предоставления телематических услуг связи и услуг по передачи данных (без голосовой информации). Отдельно для работы с конфиденциальной информацией и государственной тайной необходимо получить лицензию ФСТЭК. Лицензию можно получить только при наличии внутренних процедур по защите информации, специального сертифицированного ПО и оборудования для контроля доступа к данным, а так же физическую защиту носителей информации от любого способа кражи или воздействия. Это уже серьезная гарантия при работе с юридическими лицами. RUVDS как раз в процессе получения данной лицензии.

На практике же реальная защита данных начинается с нескольких кордонов охраны помещения с видеонаблюдением, персонифицированным доступом в помещение с оборудованием, а само оборудование и операторский зал при этом так же находится под круглосуточным видеонаблюдением. Вся связь проходит через сертифицированные защищенные коммутаторы, а обработка личных данных клиентов и их хранение происходит на выделенной машине под контролем специализированного ПО, гарантирующего защиту от утечек.
Так как само помещение имеет глухие стены толщиной минимум 1 метр, то это гарантирует от прослушки. Зачастую, подобные условия защиты невозможно создать в офисных помещениях, не говоря уже о технологической составляющей в поддержании постоянной температуры, бесперебойной связи и электропитания и газового пожаротушения. По сути, это хранилище данных уровня надежного банковского хранилища.

Зачем такие меры?

Во всем мире уже давно известно, что информация – своего рода нефть. Она может быть бесполезна, как когда-то ничего не стоила и сама нефть. Но при правильном ее использовании она может стать золотой жилой. В нашей стране это так же осознали и начали заниматься защитой этого ресурса. Самое простое применение такой информации – базы данных потенциальных клиентов. Это, вероятно, самое безвредное, если можно так сказать. Спектр же применений самый обширный, вплоть до сбора компрометирующих данных и взломов банковских счетов с помощью полученной информации. Поэтому защита нужна серьезная и постоянная.

Так же не стоит забывать об отказоустойчивости и хранении резервных копий данных. Хотя сам факт отказа всего сервера крайне маловероятен, почти невозможен, всегда должна быть система зеркалирования данных, а для серьезных клиентов, по запросу, как правило, выделяется двойной объем дисков для постоянного бэкапирования. Это актуально как раз банкам, особенно тем, кто развернул интернет-банк на сервере, ведь они должны максимально быстро «поднять» резервную копию ресурса. Такая система это позволяет сделать и у нас она тоже есть.
Еще одним нюансом становится масштабирование инфраструктуры. В случае, когда вы сталкиваетесь с подобной проблемой со своим «железом», выхода у вас два – сокращать нагрузку, что, вероятнее всего вас не устроит, - либо наращивать мощность сервера, докупая составные части, если архитектура позволяет, а скорее всего, вам придется купить просто более мощный сервер.
С учетом текущей экономической ситуации задача иногда неподъемная для малого бизнеса и просто невыгодная. Очень сложно оценить эффект отдачи нового оборудования, а деньги за него нужно заплатить сразу.

Если вы используете

Сегодня многие компании, не желая принимать на себя затраты на покупку и обслуживание физических серверов, выбирают виртуальные площадки. Воспользовавшись услугами хостинг-провайдера, можно создать качественный интернет-портал. И при этом технической поддержкой будет заниматься команда провайдера. В современных российских дата-центрах используются надежные системы хранения данных, высокие показатели бесперебойной работы достигаются за счет дублирования компонентов инженерной инфраструктуры, реализовано гарантированное резервное копирование. Однако в ряде случаев клиенты прибегают к услугам зарубежных дата-центров. Почему?

Зарубежный ЦОД: плюсы и минусы

Чем еще зарубежный ЦОД может быть интересен российским заказчикам? У компаний, предоставляющих хостинг за рубежом, как правило, очень гибкие тарифные планы. Они стремятся предоставить клиенту полный пакет услуг за практически те же деньги, что и базовый вариант. Рассматривать такую услугу как зарубежный хостинг клиентов заставляет и высокое качество сервиса, больший опыт сотрудников, высокая скорость реагирования на возникновение проблем. Любая неисправность будет устранена максимально быстро.

Для многих отечественных компаний дополнительная площадка за рубежом – это еще и защита бизнеса. Изъятие оборудования дата-центров, незаконные блокировки, длительные отключения – в России все это приходится учитывать в качестве факторов риска при размещении или аренде физических или виртуальных серверов.

Кроме того, у компаний растет потребность сделать онлайн-транзакции более защищенными от государственной слежки и киберпреступников. Поэтому те, кому нужен сервер с защитой данных от несанкционированного доступа и гарантией надежной работы нередко рассматривают вариант аренды сервера за рубежом. Наконец, финансовая стабильность европейских операторов ЦОД – еще один фактор снижения риска.

Специалисты дают несколько полезных советов , как вести интернет-бизнес в РФ и избежать проблем:

• Регистрируйте домены за границей - вне зоны.ru и у известных регистраторов.
• Зарегистрируйте компанию за границей. Создайте материнскую и дочернюю компании. Первой будет принадлежать технология, а вторая будет ее лицензировать. Это позволит защитить главный интеллектуальный актив.
• Пользуйтесь услугами нескольких ЦОД. Даже за рубежом есть вероятность блокировки сервера или дата-центра по решению суда. Важные данные нужно дублировать на оборудовании, находящемся не только в другом ЦОД, но и под иной юрисдикцией.
• Размещайте базы данных за границей. Держите бухгалтерию на зарубежных серверах и работайте по VPN. Вы сможете мгновенно восстановить работу офиса.
• Документируйте все, что касается установленного ПО. Позаботьтесь о нужном уровне защиты серверов и локальной сети.

Зарубежные ЦОД – это еще и стабильность. Она подразумевает как благоприятную политическую и экономическую обстановку за границей, так и бесперебойную работу ЦОД. Клиенты таких хостингов могут быть спокойны за будущее своих веб-проектов.

Между тем благодаря шифрованию сотрудники ЦОД могут вообще не иметь доступа к вашим данным. Данные за границей будут полностью защищены. Проблема - требования российского законодательства, согласно которым нужно использовать сертифицированные ФСБ и ФСТЭК средства шифрования. Вряд ли удастся убедить зарубежного провайдера ЦОД применять российские средства шифрования, а сертификация в России иностранных средств шифрования слишком затратна: хостинг будет нерентабельным. И это еще одна проблема. Помимо ограничений, накладываемых российским законодательством, пользователь иностранного хостинга может столкнуться и со специфическими требованиями местных регуляторов.

Наконец, еще один недостаток - определенные неудобства при оплате услуг зарубежных провайдеров, которые используют системы, принятые в конкретной стране, либо международные сервисы, в то время как российские компании внедряют максимально комфортные для клиентов способы оплаты.
Разумный компромисс между отечественными и зарубежными площадками – выбор отечественного хостинг провайдера, располагающего площадками как в России, так и за рубежом. В России уже завоевала популярность смешанная модель, когда часть корпоративных данных находится в РФ, а часть выводится за рубеж. Российские хостинг-провайдеры учитывают желания клиентов и предлагают заказчикам такой смешанный тип размещения данных. Клиенты же преследуют при этом разные цели.

Резервная площадка

Использование в качестве резервного ЦОД зарубежной площадки поставщика услуг хостинга – это минимизация и рисков, и затрат. При такой схеме работы достигается максимальная безопасность и надежность. С точки зрения грамотного построения бесперебойной работы площадок это правильное решение.

По статистике , российскими компаниями большая часть проектов использования зарубежных дата-центров рассматривается именно с точки зрения создания двух разнесенных площадок и минимизирующих риски систем. Таким образом, использование услуг основного и/или резервного ЦОД в Европе – это не только защита от рейдерства и административного давления, но и диверсификация рисков, создание высоконадежной распределенной ИТ-инфраструктуры.

Ближе к клиенту

Зарубежную площадку можно использовать для размещения данных с целью подключения к ним европейских заказчиков. Стоимость трафика будет существенно меньше. К тому же серверы, базирующиеся в зарубежных ЦОД, показывают лучшее время отклика для европейских пользователей. Такие дата-центры имеют прямой доступ к европейским точкам обмена трафиком. Например, для трейдеров при работе на валютном рынке критична задержка получения и отправки данных, и при хостинге на зарубежной площадке она будет гораздо меньше, чем при работе из Москвы или Самары. Задержки приходится принимать во внимание при размещении игровых серверов (что ведет к снижению лагов в компьютерных играх), создании сетей доставки контента (CDN). Размещать ЦОД вблизи от клиентов нередко вынуждены и компании с большим международным охватом.

Более того, из-за слабой развитости российских сетей и особенностей их организации трафик от московского провайдера в регионы часто ходит через Европу. Связность же с европейским дата-центром зачастую лучше, чем с московским. И в целом связь может оказаться надежнее и качественнее.

Российские хостинговые компании все чаще предлагают хостинг за рубежом и при этом могут достойно конкурировать с зарубежными хостерами. В частности, компания RuVDS, динамично развивающийся хостинг-провайдер, специализирующийся на оказании услуг IaaS корпоративного класса, в числе партнеров которого крупнейшие финансовые институты, ряд коммерческих банков и социальных проектов, планирует расширить перечень услуг за счет предоставления клиентам зарубежного хостинга, для чего заключила договор с европейским дата-центром (Швейцария), где и будут размещаться ресурсы клиентов.

Заключение договоров на обслуживание, финансовые, юридические вопросы, техническая поддержка будут осуществляться RuVDS: клиенту не придется самому взаимодействовать с зарубежным провайдером, адаптироваться к его нормативной среде и терминологии. И при этом стоимость услуг будет вполне конкурентной.

Как в сейфе

Одно из преимущество хостинга в Швейцарии состоит в том, что государство защищает физический доступ к данным компании-клиента.

Сегодня швейцарские дата-центры предлагают свои услуги любой компании, которая ищет стабильное место хранения в Европе. В частности, с тех пор как бывший подрядчик Агентства национальной безопасности США Эдвард Сноуден придал гласности документальное подтверждение широкомасштабной слежки правительства, владельцы ЦОД в Швейцарии наблюдает увеличение спроса на услуги безопасного хранения данных из США.

Швейцарию относят к странам с минимальным уровнем риска при размещении данных.

Швейцария зарекомендовала себя как островок стабильности, способной противостоять финансовым и геополитическим потрясениям. Такая фундаментальная устойчивость является гарантом безопасности вашего веб-ресурса. Политическая и финансовая стабильность этой страны сама по себе является весомым, но не единственным аргументом.

Швейцария расположена в центре Западной Европы, в непосредственной близости к ведущим европейским странам с сильной экономикой и деловой активностью, миллионами потенциальных клиентов компаний, ведущих бизнес в Европе. Благодаря прямому подключению к ведущим провайдерам такой ЦОД способен значительно уменьшить время реагирования на запросы из Европы, Азии и Америки. Это означает быстрый отклик для конечного пользователя, вне зависимости от его географического расположения.

Технологическое развитие Швейцарии в совокупности с инфраструктурой ЦОД позволяет предоставлять хостинг-услуги наивысшего качества, обеспечивать высокий уровень обслуживания клиентов. Используемое оборудование отвечает самым строгим стандартам производительности и безопасности. Инновационные меры безопасности и эффективное управление поможет избежать возможных рисков. Современное оборудование защищает ресурсы клиентов от мощных TCP/UDP-атак типа DDoS - до 10 Гбит/c или 4 млн. пакетов в секунду.

Швейцарию можно считать идеальным местом расположения ЦОД.

Заключение

Российские хостинг-провайдеры хорошо понимают проблемы и требования российских клиентов, а это нередко помогает решать возникшие вопросы в кратчайшие сроки, использовать для этого наиболее подходящие инструменты.

Многие из типичных для России ситуаций иностранцам зачастую тяжело не только разрешить, но и вникнуть в их суть. Российскому провайдеру проще найти способ помочь клиенту.

Услуги RuVDS ориентированы в первую очередь на корпоративный сегмент: государственные структуры, банки, биржевых игроков. Серверы RuVDS располагаются в собственном дата-центре самого современного уровня в подмосковном Королеве, а высокая скорость работы и гибкие тарифные планы делают веб-хостинг очень привлекательным для клиентов.

Российский хостинг-провайдер RUVDS при поддержке компании Huawei ввел в эксплуатацию гермозону класса надежности TIER IV в дата-центре Deltalis в швейцарском Аттингхаузене. Она предназначена для оказания клиентам услуг аренды виртуальных серверов VPS/VDS. Huawei выступила поставщиком телекоммуникационного оборудования последнего поколения, а также инженерных решений по организации виртуальной среды.

Реализация проекта в Швейцарии позволяет обеспечить высокий уровень безопасности данных - технологический и юридический, - а также оптимизацию скорости доступа для европейских клиентов за счет удобного географического расположения гермозоны (модульной единицы дата-центра самого высокого в настоящее время класса надежности). Услуги VPS будут предложены как российским, так и зарубежным клиентам компании RUVDS. По словам управляющего директора RUVDS Артема Федосеева, цены на услуги VDS/VPS компании в Швейцарии не будут отличаться от текущих в дата-центре RUCLOUD в Москве, что позволит клиентам выбрать наиболее удобное для них расположение виртуального сервера по единой, одной из самых низких на рынке цене.

В перспективных планах компании - создание универсального продукта, одинаково подходящего для любых целей и при этом доступного для всех пользователей по цене. Площадка в Швейцарии позволит предложить более широкий выбор сервисов клиентам из самых разных отраслей.

Метки: Добавить метки