Риски IT безопасности

Реальная оценка потенциальных факторов риска возможна только в том случае, когда Вы полностью осведомлены об уязвимостях Вашей IТ системы!

Факторы риска:

• Огонь;
• Пожаротушащая жидкость и вода систем обеспечения;
• Коррозийные газы;
• Несанкционированный доступ;
• Электромагнитное излучение;
• Взрывы;
• Вандализм;
• Пыль;
• Падающие обломки;
• Магнитные поля;

 
Фактор риска «Огонь»

Настоящий фактор риска относится к хорошо известным, и признается специалистами по физической защите ЦОД одним из наиболее распространенных. Многими службами Заказчика данная угроза трактуются единственным образом: Центру Обработки Данных нужна эффективная система обнаружения возгорания и надежная система пожаротушения. Однако, данные системы не решают всего комплекса проблем, поэтому такой подход оправдан лишь отчасти, и вот почему: подтвержденным является тот факт, что возгорания на прилегающих к Дата-Центрам территориях (или технических помещениях) происходят в 3-4 раза чаще по сравнению с возгораниями в самом Дата-Центре (или непосредственно в самом Машинном зале). Ниже приведена стандартная ситуация, с которой сталкивается любое строительное решение, подвергшееся воздействию огня, что является результатом отсутствия комплексного подхода к решению вопроса защиты Оборудования и Данных:

Сравнение EN 1047-2 с DIN 4102 (EN 1363)

 
То, что показано на данном графике, сообщает о разных подходах к тестированию оборудования: 

① Рост температуры в печи, с нагреваемой стороны;

② Рост температуры для тестируемых образцов (чаще всего элементов стен или дверей) происходит в течение времени, определенного для конструкционной устойчивости данного образца (именуемого "огнестойкость"). Значение температуры внутри - не ключевой параметр (она может расти до 200°С), влажность также не принимается во внимание. Тест ограничен временем, указанным после буквы "F", в минутах, по прошествии данного времени замеры температуры не производятся;

③ Испытания оборудования по стандарту EN 1047-2, напротив, подразумевают испытания системы-в-сборе, и не просто в сборе, а выполненной в своем реальном масштабе, включая все действующие элементы испытуемой системы. Температура и влажность измеряются на протяжении всего этапа нагревания, и последующего 24-часового остывания, чтобы убедиться, что оба эти параметра не превысят значений, допустимых для сохранности оборудования и данных - повышения температуры не более чем на ΔT=50К и влажности не выше 85%.

 
Обратимся к тестовым испытаниям, и посмотрим, что является результатом воздействия огня на строительные бетонные конструкции здания. На приведенных ниже фотографиях можно увидеть, как происходит образование пара, последующая его конденсация с противоположной относительно воздействия огня стороны. А через трещины и дефекты конструкции начнут проникать пожаротушащая жидкость и коррозийные газы.

15 минут после пожара

24 минуты после пожара

90 минут после пожара

 
При остаточной 2% влажности бетона, с учетом размера соответствующего помещения, толщины стены 200 мм и толщины перекрытия 300 мм, фактически можно получить следующую ситуацию:

В комнате размером 5 x 6 x 2,5 метра образуется 870 л. воды!!!

Таким образом, совершенно этого не предполагая, можно получить Машинный Зал ЦОД с влажностью, близкой к 100%. А чем опасна для электрических систем повышенная влажность - понятно и без объяснений.

Как можно видеть, фактор риска "Огонь" является причиной появления совокупности возможных факторов воздействия на Ваше оборудование.

Убытки в 1 миллион ЕВРО для помещения ИТ центра и склада одной из Европейских компаний.

• В результате тушения пожара службой пожарной защиты в помещение поступало порядка 1600 литров воды в минуту.
• После окончания работы весь ИТ центр и склад был приведен в полную негодность.

Убытки в 1,5 миллион ЕВРО в результате протечки воды.

• В аэропорту Франкфурта произошло нарушение системы водоснабжения. В течение 4 часов около 3000 литров воды попали внутрь здания.
• Информационный центр Аэропорта пострадал настолько, что руководство Аэропорта было вынуждено создавать его практически заново.

Вывод: здания не предусматривающие герметичность ИТ центров абсолютно не защищены!!!

 
Фактор риска «Электромагнитные излучения»

Следующие основные факторы риска, относящиеся к категории "электромагнитное излучение", могут быть выделены,

Внешние факторы, способные повлиять на работу оборудования или сохранность информации:

Электромагнитные помехи	Молнии	Микроволновые излучения высокой мощности	Электромагнитный импульс	Электромагнитное излучение от ядерного взрыва

Внутренние факторы, способные привести к потере данных или компрометации:

Электромагнитные помехи	Подслушивающие устройства (передатчики)	Наведенное излучение (включая ПЭМИН)	Подслушивающие устройства (проводные способы)

Устойчивость помещения / комнаты к факторам электромагнитного излучения означает, что не только все и каждый из элементов конструкции (помимо стен, пола и потолка - что считается само собой разумеющимся), таких как: кабельные проходки, двери, вентиляционные шлюзы и клапаны сброса избыточного давления - должны иметь высокую устойчивость к электромагнитным воздействиям различной частоты, но и, помимо этого, должны обеспечивать нужную степень экранирования в сочетании с другими элементами конструкции.

В 2016 году нами получен сертификат на взрывозащищенность конструкций помещений IT-безопасности согласно приказу 96 с уровнем давления на фронте взрывной волны 23 кПа. Получить более подробную информацию о взрывобезопасности Вы можете посетив страницу Защита от взрыва.

 
Сравнение решений - строительные, минимальные, средние и максимальные классы средств защиты

Помимо определенных выше факторов риска, существует еще один, который, приняв решение по организации Центра Обработки Данных (ЦОД), человек создает своими руками, ошибочно совершая выбор в пользу одного строительного метода, или их совокупности. Повышенные риски при выборе стандартных строительных методов заключаются не только в том, что такие методы, или их совокупность, едва ли могут обеспечить нужный уровень защиты активного оборудования при внешних воздействиях (испытания данного метода или их совокупности если и проводились, то лишь на соответствие строительным нормам, задача сохранения оборудования Заказчика при этом не ставилась), но и в том, что, каким бы ни было выбранное строительное решение, оно совершенно определенно не проходило испытание как конструкция-в-сборе. Последнее означает, что, если Вам предложат отдельно дверь нужного уровня защиты, отдельно стену нужного уровня защиты и отдельно вентиляционный клапан нужного уровня защиты, собранное из этих элементов решение с чрезвычайно высокой долей вероятности не будет иметь ничего общего с запрашиваемым Вами (требуемым) уровнем защиты всего комплекса.

Приведенная ниже таблица показывает, какие параметры защиты могут быть достигнуты при использовании стандартных строительных методов (в частности - бетонных конструкций), а какие – исключительно с использованием специализированных решений по физической защите ЦОД.
 

 
Риск менеджмент

Профессионализм и самоотдача команды, занимающейся работой над проектом - залог его успешного создания и воплощения. Вместе с тем, есть вопросы при создании ЦОД, в которых, помимо командной работы, требуется:

Персональная ответственность руководителя - как результат роста значимости системы