Гарантии неразглашения конфиденциальных данных в корпоративном облаке

В последнее время наиболее востребованным решением размещения и использования данных является концепция корпоративного облачного сервера, завоевавшая популярность, благодаря высокой скорости и производительности.

Суть ее заключается в аренде эксклюзивного мощного серверного оборудования в профессиональном дата-центре. Заказчик получает готовую информационную систему в пользование на правах аренды, не приобретая ее, а используя на определенный срок. На сервере, как правило, установлено лицензионное программное обеспечение, он обеспечен стабильными каналами связи и электропитания, защитой баз данных и полным спектром сопутствующих услуг.

Данная концепция корпоративного «oблака» позволяет бизнесу Заказчика:

• Исключить капитальные затраты на приобретение сервера;
• Снять затраты на техническую поддержку;
• Сразу получить все преимущества готовых программных решений;
• Иметь доступ к рабочей среде в любое время и из любого места через интернет;
• Спрогнозировать свои расходы на месяцы вперед;
• Легко расширяться, открывая доступ к «облаку» для новых сотрудников.

На самом деле данная область оказания услуг довольно безопасна и в полной мере защищает права Заказчика. Для проверки данного утверждения предлагается сделать обзор существующих методов обеспечения конфиденциальности коммерческой информации.

1. В первую очередь можно остановиться на законодательных документах:

   • Федеральный закон от 29.07.2004 №98-ФЗ (ред. от 11.07.2011) «О коммерческой тайне». Польза данного документа состоит в классификации типов данных, критериях коммерчески значимой информации, порядке предоставления и работы с ней, мерах по охране и ограничению доступа к информации, а также юридической ответственности за нарушение данных пунктов.

   • Федеральный закон «О защите персональных данных» ФЗ-152. Очень популярный в бизнес-кругах документ. Его целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.

   • Федеральный закон «Об информации, информационных технологиях и о защите информации».
     Настоящий Федеральный закон регулирует отношения, возникающие при:

     • Осуществлении права на поиск, получение, передачу, производство и распространение информации;
     • Применении информационных технологий;
     • Обеспечении защиты информации.

   • Постановление правительства РСФСР от 05.12.1991 №35 содержит критерии и перечень данных, которые не могут составлять коммерческую тайну.

   • Доктрина информационной безопасности от 09.09.2000. Данный документ содержит структурные разделы касательно информационной безопасности субъектов Российской Федерации, а именно:

     • Виды угроз информационной безопасности;
     • Источники угроз информационной безопасности;
     • Методы обеспечения информационной безопасности;
     • Основные положения государственной политики обеспечения информационной безопасности;
     • Основные функции системы обеспечения информационной безопасности.

     ---

   ---

2. На основании законодательных актов был разработан отдельный юридический документ – Соглашение о конфиденциальности и неразглашении информации. Такие документы являются относительно новым явлением в правовой системе России и еще не получили надлежащей проработки. Однако они давно известны и широко применяются в мировой правовой практике. Их целью является урегулирование вопроса хранения, использования, разглашения и передачи конфиденциальной информации партнеров.

   В типовом документе «Соглашение о конфиденциальности» можно выделить примерно следующие разделы:

   • Предмет соглашения. Содержит цель и предназначение документа.

   • Права и обязанности сторон. Проще говоря, в данном разделе структурированы пункты, регулирующие «что можно», а «что нельзя». Например, в течение трёх лет с даты расторжения Договора Получающая сторона не будет разглашать никакой информации, полученной ею от Раскрывающей стороны, являющейся секретом фирмы или конфиденциальной. Или другой пример, о том, что Стороны обязуются принять все необходимые меры для сохранения втайне конфиденциальной информации. Форма изложения у разных Исполнителей может быть немного разная, но суть остается той же.

   • Ответственность сторон. Исходя из названия, в данном пункте должны быть указаны факторы, при которых раскрывающая сторона несет юридическую ответственность за разглашение, использование либо нарушение условий хранения конфиденциальной информации. При этом должны учитываться пункты как умышленного, так и непреднамеренного пользования конфиденциальной информацией. А также ряд юридических санкций, в случае нарушения вышеуказанных положений.

   • Условия раскрытия информации. Указываются строгие критерии и условия, при которых данная информация может быть раскрыта. Первым условием обязано стоять «обоюдное согласие сторон». Без данного фактора информация к разглашению должны быть запрещена.

   ---

3. Юридические документы, конечно же, дают гарантии конфиденциальности информации и уверенность в том, что «зло будет наказано». Однако, лучше проблему предупредить, чем потом бороться с ее последствиями, даже юридически верными методами. Надежным способом является комплекс технических мер предупреждения утечки информации.

   В него могут входить следующие инструменты:

   • Защита баз СУБД от действий системных администраторов.
     На данный момент довольно популярным в ИТ-сфере является продукт Microsoft SQL 2014. До недавнего времени задача защиты баз от системного администратора была нерешаемой, но благодаря появлению в SQL Server 2014 трёх новых разрешений уровня сервера (CONNECT ANY DATABASE, IMPERSONATE ANY LOGIN, и SELECT ALL USER SECURABLES), появилась возможность более гибко управлять серверными ролями. В том числе есть возможность можем создать администраторскую серверную роль с полным запретом на доступ к пользовательским данным.

   • Шифрование конфиденциальной информации.
     Обеспечивает дополнительный уровень безопасности конфиденциальных данных, защищая информацию от посторонних пользователей, шпионов и всех, кому не разрешен доступ к закрытой информации. В том числе инструменты криптографии и шифрования можно «заточить» и для защиты от системных администраторов. Эта задача, к примеру, качественно решается с помощью программных продуктов шифрования Alladin. В частности, при обращении к любым инструментам управления администратор должен подключить к компьютеру свой электронный ключ, указать свой сертификат и ввести пароль. Таким образом, реализуется двухфакторная аутентификация администратора при обращении к элементам управления. На сервере шифрования может быть зарегистрировано произвольное число администраторов. Любой администратор может добавить нового администратора или удалить существующего из списка зарегистрированных администраторов, что позволяет полностью передать структуру шифрованных дисков в руки Заказчику.

   • Средства отчетности и наблюдения за действиями системного администратора.
     Еще одним популярным инструментом является программное обеспечение контроля действий и событий. По своей сути это система корпоративной информационной безопасности, которая позволяет:
     • Мониторить и логировать все действия системного администратора;
     • Уведомлять о нарушении политик безопасности, которые Заказчик может задавать самостоятельно;
     • Блокировать использование программ, доступ к сайтам и файлам и подключение USB-устройств;
     • Осуществлять снятие скриншотов экрана;
     • Поддерживать создание детальных статистических отчетов;
     • Проводить мониторинг системных событий.

   • Независимое резервное копирование.
     Действенным методом может быть организация независимого резервного копирования корпоративных данных. Процесс выглядит так – параллельно с основным бекапом информации, выполняется дублирующее задание, которое резервирует все необходимые данные в шифрованном виде на персональные носители Заказчика. Это в целом дает уверенность Заказчику в наличии актуальной копии всех важных данных прямо у него в руках.

Удаленность корпоративной информации от штаб-квартиры Заказчика еще не означает высокий риск повреждения, кражи и выноса этой самой информации. На сегодняшний момент существуют надежные действенные методы защиты важных данных не только от посторонних лиц, злоумышленников, но и даже от самих создателей ИТ-структуры.