Системы резервирования данных в призме законодательства

Одной из наиболее значимых задач при эксплуатации и построении информационных совокупностей есть доступности и обеспечение целостности обрабатываемой информации, поскольку кроме того в самых системах существует риск утраты электронных данных, крайне важных для банков либо его клиентов. Потеря разрешённых может грозить большими денежными утратами, компрометацией репутации банков, а во многих случаях — и утратой всего бизнеса.

В случае если восстановления и политику резервирования данных, относящихся к коммерческой тайне, определяет начальник банка, то эти, относящиеся к тайной информации либо к категории персональных информации о клиентах либо сотрудниках, определяет государство в лице регулирующих органов — ФСТЭК России и Банка России.

В современной России первые требования о необходимости применения средств восстановления и резервного копирования данных были сформулированы в вышедшем в первой половине 90-ых годов двадцатого века руководящем документе, тогда еще Гостехкомиссии -«Автоматизированные совокупности защиты от несанкционированного доступа к информации. Классификация автоматизированных требования и систем по защите информации» (РД АС).

В 1995 году в «Положении о сертификации средств защиты информации по требованиям безопасности информации» (Приказ Гостехкомиссии №199 от 27 октября 1995 года) средства резервирования и восстановления были включены в список средств защиты информации, подлежащих необходимой сертификации в совокупности № РОСС RU.0001.01БИ00. После этого подобные требования показались в ФЗ №149 от 27 июля 2006 года «Об информации, информационных разработках и о защите информации», в резонансном ФЗ №152 («О персональных данных»), Распоряжении Правительства РФ №781 от 17.11.2007 и других документах регуляторов.

И наконец, требования к средствам восстановления информации и резервного копирования нашли собственный отражение в «Положении о способах и методах защиты информации в информационных совокупностях персональных данных» (Приказ ФСТЭК России №58 от 05.02.2010). В соответствии с этим документом, одним из главных способов защиты персональных данных от несанкционированного доступа есть «резервирование технических средств, дублирование носителей и массивов информации».

Причем средства, применяемые для этих целей, должны пройти в соответствии с правилами процедуру оценки соответствия — сертификацию.

Не обращая внимания на наличие данных требований, при всей широте выбора средств восстановления и резервного копирования на русском рынке фактически не существовало сертифицированных ответов, разрешавших легитимно применять их в совокупностях защиты ИСПДн либо в автоматизированных совокупностях (АС), обрабатывающих тайную данные.

Это вынуждало экспертов реализовы-вать восстановление и резервирование организационными способами или применять нестандартные подходы для расширения возможностей штатных механизмов восстановления сертифицированных операционных совокупностей Windows.

Часто в эксплуатационной документации на АС возможно было встретить подобные руководства: «Для доступности и обеспечения целостности защищаемых разрешённых должно быть предусмотрено ежедневное резервное копирование на файловый сервер рабочих директорий (вечером, с ограничением количества хранимых копий)». В качестве резервных копий употреблялись стандартные архивы, созданные программами-архиваторами.

Созданные файлы архивов должны были храниться на твёрдых дисках файлового сервера, воображающих собой отказоустойчивый RAID-массив. Процедура восстановления данных из резервных копий, делаемая администратором безопасности, должна была сводиться к поиску и распаковке архива данных конкретного пользователя.

Использование таковой технологии для двух-трех пользователей, быть может, возможно, но, в то время, когда возникла реальная необходимость ежедневного архивирования данных сотен сотрудников, тяжело представить, как эти способы будут обеспечены в действительности. А ведь достаточно большое количество объектов информатизации удачно аттестованы с аналогичной реализацией систем обеспечения целостности!

РЕЗЕРВНОЕ КОПИРОВАНИЕ. Часть 3. Автоматизация процесса


Похожие заметки:

Понравилась статья? Поделиться с друзьями: