вторник, 26 апреля 2011 г.

Практика ИБ \ Классификация данных и выбор стратегии защиты их доступности

Перевел еще один полезный документ. Это руководство компании BakBone по оценке требований бизнеса и классификации данных для организации их защиты (в документе рассматриваются вопросы обеспечения доступности).

Бизнес компании сосредоточен именно на бизнесе, на получении прибыли, а не на ИТ или ИБ. Используемые в компании меры и средства по защите данных должны быть направлены на управление информационными бизнес-активами. Проведение простого анализа данных, в отрыве от их ценности для бизнеса, может дать неадекватные результаты. В настоящем документе рассматривается подход к оценке данных с точки зрения их критичности для бизнеса, а также к выбору эффективной стратегии защиты данных компании.


Обзор

Защита данных и приложений компании включает в себя гораздо больше, чем просто выполнение рутинных операций резервного копирования. Защита информационных бизнес-активов должна обеспечиваться на протяжении всего их жизненного цикла – с точки зрения сохранения, восстановления и обеспечения доступности. Рациональный и эффективный подход к защите данных может помочь компании быстрее адаптироваться к изменениям и расширению возможностей. Например:
  • Обеспечить постоянную работу приложений, возможность обслуживания клиентов, создать благоприятные условия для бизнеса компании.
  • Мминимизировать тяжесть последствий и продолжительность их влияния в случае потери файлов или возникновения чрезвычайной ситуации.
  • Реализовать экономически эффективные меры, направленные на соблюдение требований безопасности, которым должна соответствовать компания, снизить риски и стоимость обеспечения этого соответствия.
Реализация эффективной стратегии защиты данных начинается с оценки данных компании и определения набора бизнес-требований по их защите. Существует довольно простой подход, который основан на частоте изменения данных и их критичности для бизнеса. Этот подход применим независимо от того, какой объем данных есть у компании. Требования к организации эффективной защиты доступности приложений и данных должны учитывать особенности бизнеса компании и основываться на ценности данных для бизнеса.

Управление данными

Частота изменений: Динамические и Статические

Задумайтесь на минуту о данных и их значении для бизнеса. Наверняка в вашей компании есть файлы, которые используются и изменяются ежедневно. Например, когда вы используете систему ERP или бухгалтерские программы, они вносят изменения в свои базы данных каждый раз, когда вы открываете новый счет или вводите данные очередной транзакции. Это называется динамическими данными.

Кроме них есть файлы, которые никогда не изменяются после своего создания. Примером может служить текст коммерческого предложения, которое вы только что написали и отправили потенциальному клиенту. Другим примером могут быть фотографии, видеозаписи, файлы презентаций, отчеты и т.п. Такие данные называются статическими. Скорее всего, как и у большинства других компаний, в вашей компании больше статических данных, чем динамических.

Критичность для бизнеса

Еще одним аспектом, который нужно обдумать, является степень важности (критичности, ценности) этих данных для бизнеса. Некоторые данные имеют критическое значение – бизнес компании будет разрушен в случае их утраты (это может быть потеря доходов, правовые последствия и т.д.).

Какие данные являются критичными для компании, зависит от нее самой. Для некоторых компаний, самым критичным ресурсом является электронная почта, для других – данные учета операций с клиентами и контрагентами. Самый простой способ определить, какие данные критичны именно для вашей компании, это задать себе и руководителям подразделений компании вопрос: «что произойдет, если это приложение отключится или данные будут утрачены? Что произойдет, если мы не сможем сразу восстановить приложение или данные?».

Наверняка в компании есть и некритичные данные. Например, черновики подготовленной вами презентации, маркетинговые материалы проведенной рекламной компании и т.п. Вряд ли компания прекратит свою работу, если вы не сможете быстро получить доступ к таким данным.

Подход к выбору стратегии защиты данных

Шаги Процесса определения стратегии защиты данных

Как мы уже говорили, ключ к реализации эффективной и результативной стратегии защиты данных компании заключается в том, чтобы сначала проанализировать и определить ценность этих данных. Только тогда можно будет установить четкий набор бизнес-требований для их защиты. Если вы потратите время, чтобы понять данные и определить бизнес-требования по их защите, вы получите значительные преимущества. Если вы все сделаете правильно, вы сможете обеспечить высокую доступность приложений, что поможет сотрудникам компании обслуживать клиентов, а компании - получать прибыль. Вы сможете снизить количество сбоев. Вы сможете получать своевременный доступ к архивным данным для обеспечения соответствия внешним требованиям или для их использования в новых приложениях.

1. Определить набор «Классов данных»

Классы данных – это группы данных, которые имеют схожий уровень критичности для бизнеса, а также похожую частоту изменений. Будет довольно затруднительно использовать отдельный подход для защиты каждого набора данных. Группировка данных в классы, в которых данные имеют аналогичные характеристики, позволит вам реализовать менее сложную стратегию.

Как уже говорилось ранее, самый простой способ классифицировать данные, заключается в определении критичности и частоты изменений для всех основных наборов данных, с последующим выявлением общих признаков в результатах. Классификация данных в вакууме, основываясь на одних предположениях, может обернуться сплошными проблемами. Вам необходимо привлечь других сотрудников компании к проведению классификации данных (например, руководителей бизнес-подразделений, обслуживающий персонал и т.д.). Вам, безусловно, придется пойти на некоторые компромиссы, чтобы ограничить общее количество классов данных. Для средней компании количество классов должно быть от трех до пяти.

2. Определите требования по восстановлению

Для каждого класса данных, нужно определить требования по восстановлению. Есть два основных требования, которые нужно определить:
  • Целевое время восстановления (RTO – Recovery time objective). Это время от момента сбоя или аварии (потери доступа к данным) до момента восстановления работы. Это время требуется для физического восстановления данных или приложений. Управление временем восстановления данных имеет очень важное значение для компании, это время должно быть зафиксировано в виде четкого требования. Нужно стремиться к тому, чтобы максимально сократить время RTO, но необходимая для этого процедура восстановления должна оставаться экономически целесообразной для компании.
  • Целевая точка восстановления (RPO – Recovery point objective). Это момент времени, на который будут актуальны данные после их восстановления. Например, если будет восстановлен файл, резервная копия которого была сделана вчера, то значение RPO равно одному дню. Точка восстановления данных, которые изменяются очень часто, также должна быть зафиксирована в виде четкого требования. Нужно стремиться к тому, чтобы точка RPO находилась как можно ближе к текущему моменту времени, но необходимая для этого процедура восстановления также должна оставаться экономически целесообразной для компании.
Ключевые вопросы, которые должны быть рассмотрены на этом шаге:
  • Насколько быстро мы должны восстановить данные или приложение после инцидента и возобновить работу? Что случиться, если данные будут недоступны час? Два часа? Четыре часа? Восемь часов? Сутки? Неделю?
  • Какое влияние окажет потеря недавно созданных данных?
Получать ответы на эти вопросы нужно у представителей бизнес-подразделений, а не только у сотрудников ИТ и ИБ. Это поможет лучше понять последствия простоя системы или потери данных.

3. Создайте Стратегию защиты данных

Ключевые соображения:
  • Компромисс выбора решения для резервного копирования / восстановления данных. Выбор правильного решения для защиты данных компании требует определения RTO и RPO для различных классов данных. Окончательный выбор решения должен обеспечивать баланс между потребностями бизнеса и стоимостью решения.
  • Вопрос архивирования статических данных
    • Архив должен обеспечивать долгосрочную защиту данных для соблюдения предъявляемых к компании требований по срокам хранения документов.
    • Архив должен позволять использовать исторические данные в новых приложениях.
    • Отделение данных в архив (архивирование) должно повышать производительность работы систем компании. Такое повышение производительности реализуется следующими способами:
      • Когда статические данные перемещаются в архив, они больше не смешиваются с динамическими данными, поэтому пропадает необходимость в их регулярном резервном копировании. В большинстве случаев это позволяет значительно снизить время создания полной резервной копии и необходимый для нее объем свободного места на резервном носителе информации. Кроме того, отделение статических данных от динамических может значительно сократить время, необходимое для поиска файлов.
  • Резервное копирование на диск. Использование технологий резервного копирования динамических данных на дисковые хранилища для возможности их быстрого восстановления (а также создания копий для аварийного восстановления информации) позволит вам получить максимальную отдачу от инвестиций в защиту данных. Такой способ резервного копирования данных существенно сокращает время их восстановления, а также административные издержки на сопровождение процесса резервного копирования.
  • Защита данных в режиме реального времени. Использование технологии защиты данных в режиме реального времени позволяет компании получить минимальные значения RTO и RPO. Лучшие из таких решений позволяют восстановить данные на любой момент времени с точностью до секунды, а некоторые из них также позволяют обеспечить высокую доступность для приложений, обеспечивая их отказоустойчивость и возвращая их к работе за секунды.
Для большинства средних компаний количество классов данных и связанных с ними стратегий защиты обычно равняется трем. Например:


4. Выбор правильного решения для защиты данных, соответствующего бизнес-стратегии

Насколько важны данные для вашей компании? После того как вы провели классификацию и определили соответствующие стратегии для управления каждым из них, вы можете выбрать набор решений по обеспечению защиты данных, которые лучше всего соответствуют требованиям именно вашей компании.

Выбранные вами решения по защите данных должны соответствовать потребностям компании и предоставлять экономически эффективный подход к управлению различными типами данных в среде компании. Они также должны быть:
  • Простыми для внедрения и управления. Простота использования – это очень важное требование. Хотя вы понимаете необходимость защиты данных, но у вас есть множество и других обязанностей, поэтому, вероятно, у вас не будет времени на то, чтобы стать экспертом по защите данных. Мы хотим, чтобы свет включался, когда мы нажимаем на переключатель - вряд ли нам понравится, если для этого нужно будет вызвать электрика. Поэтому решение по защите данных должно быть легко внедрить и использовать в дальнейшем. Удобство использования позволит существенно сократить затраты на персонал для выполнения задач по защите данных.
  • Экономически эффективными. Компания хочет свести к минимуму стоимость технологии защиты ваших данных. Лучше сделать это с помощью комбинации решений по хранению данных, которыми можно прозрачно управлять и которые смогут удовлетворить потребности бизнеса при минимально возможных затратах. Проведенная работа по идентификации и классификации данных на основе степени их критичности и частоты изменения, позволит вам купить именно то, что лучше всего соответствует потребностям вашей компании.
  • Безопасность. Необходима уверенность, что ваши данные компании находятся в безопасности, обеспечивается конфиденциальность ценных данных, в т.ч. сведений о сотрудниках компании, клиентах и партнерах. Поэтому процесс создания, дальнейшего хранения и использования резервных копий данных должен обеспечивать такой же уровень безопасности, что и в основной системе, в которой они хранятся. Часто это означает необходимость шифрования данных в резервных копиях.
  • Комплексность. Решение по защите данных должно быть способно автоматически учитывать потребности всех систем, использующихся в вашей среде, в т.ч. любых устройств, подключенных к сети. Компании любых размеров нередко сталкиваются с проблемами эффективности защиты данных на рабочих станциях, ноутбуках и других мобильных устройствах. Выбранное решение должно быть способно выявлять факты подключения к сети мобильных устройств и собирать необходимые сведения для обеспечения защиты.
  • Масштабируемость. Продумайте вопросы, касающиеся ожидаемых изменений в компании в течение ближайших нескольких лет. При выборе решения для защиты данных обязательно учтите эти ожидания. Если существует высокая вероятность значительных изменений требований к защите данных, очень важно, чтобы выбранное решение было адаптируемым и масштабируемым. Удаление дубликатов файлов может позволить вам лучше справляться с ростом объема данных с течением времени, а также поддерживать рентабельность стратегии защиты данных.
  • Надежность производителя. Следует убедиться, что производитель выбранного решения по защите данных обладает большим опытом и глубокими знаниями в этом вопросе.
5. Развертывание, мониторинг и улучшение

Выбор решения, которое просто в развертывании и управлении, экономически эффективно, надежно, комплексно, масштабируемо и произведено надежным производителем займет немало времени. Однако это позволит успешно внедрить и использовать его, обеспечив надежную защиту данных компании. Вам не обязательно становиться экспертом по защите данных, но вы должны очень хорошо понимать потребности вашей компании в отношении защиты данных.

6. Заключительные положения

Как уже говорилось в этом документе, процесс классификации данных является первым и очень важным шагом в процессе обеспечения надежной защиты приложений и данных компании. Классификация данных должна проводиться совместно различными подразделениями компании. Слишком часто отсутствует связь между подразделениями ИТ, ИБ и теми, кто непосредственно работает с данными – руководителями бизнес-подразделений. Возьмем, к примеру, отказ сервера корпоративной электронной почты. Администратор этого сервера оценил, что для выяснения проблемы и ее исправления требуется не более 24 часов, считая это время приемлемым для компании. Однако, когда такой отказ происходит, генеральный директор начинает каждые 20 минут звонить ИТ-директору, чтобы уточнить текущее состояние решения проблемы, при этом каждый следующий их диалог содержит все меньше любезностей. Оказывается, что для компании RTO, равное для этой системы 24 часам, является неприемлемым, а принятое ИТ-департаментом решение просто не учитывало реальные потребности подразделений компании. В действительности, в этой компании корпоративная электронная почта должна была быть классифицирована, как имеющая критическое значение для бизнеса, и ее защита должна реализовываться соответствующим образом. Непонимание этого (или недостаток связи с бизнес-подразделениями), может привести к плачевным последствиям, как для отдельных сотрудников, так и для компании в целом.

Конечно, даже если корпоративная электронная почта не является «критически важной» она все равно может стать причиной проблем для ИТ-департамента и пользователей, вызванных неправильным выбором окна для резервного копирования или глубиной восстановления почты. Поэтому нужно очень внимательно и осторожно проводить классификацию данных, ведь отсутствие проблем у пользователей - это очень критичный для бизнеса вопрос. В нашем примере с сервером электронной почты, если его резервное копирование занимает несколько часов, должны использоваться специальные технологии, которые позволят не причинять пользователям проблем в процессе копирования. Если мы будем при выборе стратегии защиты данных основываться только на уровне классификации системы электронной почты (не критична для бизнеса), мы могли бы выбрать обычные средства резервного копирования. Однако это приведет к сложностям в работе пользователей, и выбранное решение будет не лучшим.

Иными словами, нужно учитывать, что помимо требований RTO и RPO, нужно учитывать и другие вопросы (например, слишком большое окно резервного копирования, неправильный выбор времени резервного копирования). Даже некритичные для бизнеса данные могут требовать внедрения определенных технологий для их защиты. Эти технологии не должны быть чрезмерными и не должны приводить к возникновению дополнительных проблем у пользователей.

Решения по защите данных могут защитить инвестиции в бизнес компании. Все зависит от того, насколько правильно они реализованы. Следует в первую очередь сосредоточиться на потребностях бизнеса, а не на технологиях.

Комментариев нет: