• Для прессы
• Пресс-релизы
• Медиа ресурсы
• Контакты для прессы
• СМИ о нас
• Награды

Press contacts:

Владимир Сердюк
Национальный банковский журнал (NBJ)
Апрель 29, 2011
Full text of original article at Национальный банковский журнал (NBJ) web site

Системы резервирования данных в призме законодательства

Одной из важнейших задач при построении и эксплуатации информационных систем является обеспечение целостности и доступности обрабатываемой информации, так как даже в самых надежных системах существует риск потери электронных данных, жизненно важных для банков или его клиентов. Утрата данных может грозить крупными финансовыми потерями, компрометацией репутации банков, а в ряде случаев, и потерей всего бизнеса.

Если политику резервирования и восстановления данных, относящихся к коммерческой тайне, определяет руководитель банка, то данные, относящиеся к конфиденциальной информации или к категории персональных данных о клиентах или сотрудниках, определяет государство в лице регулирующих органов - ФСТЭК России и Банка России.

В современной России первые требования о необходимости использования средств резервного копирования и восстановления данных были сформулированы в вышедшем в 1992 году руководящем документе, тогда еще Гостехкомиссии - «Автоматизированные системы защиты от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (РД АС).

В 1995 году в «Положении о сертификации средств защиты информации по требованиям безопасности информации» (Приказ Гостехкомиссии № 199 от 27 октября 1995 года) средства резервирования и восстановления были включены в перечень средств защиты информации, подлежащих обязательной сертификации в системе № РОСС RU.0001.01БИ00. Затем аналогичные требования появились в ФЗ № 149 от 27 июля 2006 года "Об информации, информационных технологиях и о защите информации», в резонансном ФЗ №152 («О персональных данных»), постановлении Правительства РФ №781 от 17.11.2007 и других документах регуляторов.

И, наконец, требования к средствам резервного копирования и восстановления информации нашли свое отражение в "Положении о методах и способах защиты информации в информационных системах персональных данных" (Приказ ФСТЭК России № 58 от 05.02.2010). В соответствии с этим документом, одним из основных способов защиты персональных данных от несанкционированного доступа является «резервирование технических средств, дублирование массивов и носителей информации».

При чем средства, используемые для этих целей, должны пройти в установленном порядке процедуру оценки соответствия – сертификацию.

Несмотря на наличие данных требований, при всей широте выбора средств резервного копирования и восстановления, на российском рынке практически не существовало сертифицированных решений, позволявших легитимно использовать их в системах защиты ИСПДн или в автоматизированных системах (АС), обрабатывающих конфиденциальную информацию.

Это вынуждало специалистов реализовывать резервирование и восстановление организационными методами, либо использовать нестандартные подходы для расширения возможностей штатных механизмов восстановления сертифицированных операционных систем Windows.

Нередко в эксплуатационной документации на АС можно было встретить подобные инструкции: «Для обеспечения целостности и доступности защищаемых данных должно быть предусмотрено ежедневное резервное копирование на файловый сервер рабочих директорий (в конце рабочего дня, с ограничением количества хранимых копий)». В качестве резервных копий использовались стандартные архивы, созданные программами-архиваторами. Созданные файлы архивов должны были храниться на жестких дисках файлового сервера, представляющих собой отказоустойчивый RAID-массив. Процедура восстановления данных из резервных копий, выполняемая администратором безопасности, должна была сводиться к распаковке архива и поиску данных конкретного пользователя. Применение такой технологии для двух-трех пользователей, возможно, допустимо, но, когда существует необходимость ежедневного архивирования данных сотен сотрудников, трудно представить, каким образом эти методы будут обеспечены в реальности. А ведь достаточно много объектов информатизации успешно аттестованы с подобной реализацией подсистем обеспечения целостности!

При этом, руководствуясь необходимостью обеспечения вычислительного и бизнес- процессов на должном уровне, в большинстве защищаемых АС использовались профессиональные средства резервного копирования от Symantec, Acronis, Paragon и др., которые в паспортах на объект были записаны, как вспомогательное сервисное программное обеспечение. Такой подход, помимо сомнительной легитимности, еще был чреват отсутствием должного контроля со стороны ответственных лиц и органов, производящих аттестацию объекта.

Вопросы обеспечения автоматизированной защиты АС и ИСПДн, в части резервирования и восстановления, до недавнего времени оставались во многом нерешенными. Причиной этого, скорее всего, было отсутствие профессиональных программных средств рассматриваемого класса отечественной разработки, недостаточное понимание зарубежными вендорами требований российских Регуляторов в области информационной безопасности. А также опасения вендоров предоставлять свои продукты, и, прежде всего, исходные коды на сертификацию в испытательные лаборатории, аккредитованные в системе ФСТЭК.

Исключением является сертификация в 2009 году Microsoft System Center Data РС БР ИББС-2.3-2010 Protection Manager 2007, однако данный программный продукт не проходил проверку на отсутствие недекларированных возможностей (НДВ), и сертификатом была подтверждена возможность использования данного программного средства в ИСПДн только до 3 класса включительно. Однако следует отметить, что в России линейка продуктов Microsoft System Center, к сожалению, для многих остается достаточно экзотичной, и поэтому широкого применения данные продукты в защищенных системах не нашли. Кроме того, на настоящий момент Microsoft снял данный продукт с производства.

В 2010 году российской компанией АЛТЭКС-СОФТ была проведена сертификация современной линейки корпоративных средств резервного копирования и восстановления. В качестве Заявителя выступил мировой лидер в данной области - компания Acronis. Разработчик предоставил исходные коды для проведения контроля отсутствия НДВ, и в октябре 2010 года были получены сертификаты, позволяющие использовать программные средства семейства Acronis® Backup & Recovery™ 10 как легитимные средства защиты (в части обеспечения целостности и доступности информации) АС классов до 1Г включительно и ИСПДн любых классов.

Сфера применения и функциональные возможности современных средств резервирования весьма широка. Помимо базового функционала, для реализации операций архивирования и восстановления в программных продуктах присутствует широкий спектр функций безопасности. По сути, это комплексные средства защиты от несанкционированного доступа с собственными встроенными механизмами защиты, включающими контроль доступа к резервным копиям, функции администрирования, механизмы аудита, централизованное сетевое управление, восстановление данных, шифрование и многое другое. Доказательством этого могут служить заявленные в технических условиях функциональные возможности одного из сертифицированных продуктов Acronis® Backup & Recovery™ 10 Advanced Server. Так, только подсистема управления доступом включает реализацию следующих функций:

• аутентификация пользователей и управление правами доступа;
• поддержка групп безопасности «Удаленные пользователи» и «Централизованные администраторы»;
• паролирование резервных копий;
• создание защищенных дисковых разделов, невидимых для других программ;
• запуск служб с минимальными правами пользователей;
• резервное копирование удаленных машин в узел централизованного хранения с установленной на нём программой-брандмауэром.

Стоит надеяться, что в ближайшее время и другие разработчики последуют инициативам компании Acronis. И решения таких компаний как Paragon, Symantec также можно будет использовать при построении защищенных АС и ИСПДн. Совершенно очевидно, что спрос на такие решения со стороны банковских организаций со временем будет только расти, так как современный рынок диктует жесткие правила конкурентной борьбы. И выиграют в этой борьбе те из банков, которые сумеют свести к минимуму риски утраты данных.

(Подробнее с заявленными функциональными возможностями продукта можно ознакомиться на сайте производителя сертифицированной версии http://www.altx-soft,ru)