Подпишитесь, чтобы получать новые статьи
ПодписатьсяДля организаций любого размера защита конфиденциальной информации – одна из самых приоритетных задач. Многие владельцы бизнеса не доверяют Облаку и располагают свои данные на серверах, тем самым создают у себя иллюзию безопасности.
Почему иллюзию? Давайте разберемся.
Чаще всего препятствием для выбора в пользу Online конфигурации является скепсис со стороны организаций. Здесь важно отметить те три страха, из которых складывается это недоверие. Обычно компании опасаются, что Облако:
- не конфиденциально (есть возможность несанкционированного доступа к данным);
- не безопасно (существует серьезный риск утери информации, компания понесёт ущерб и не сможет функционировать в нормальном режиме);
- не соответствует закону РФ, а конкретно – закону о защите персональных данных.
Теперь разберем детально каждый пункт списка.
Конфиденциальность
Термин «конфиденциальность» значит неприкосновенность частной жизни и информации о человеке и сотруднике. Компании опасаются, что в результате утечки доступ к данным смогут получить посторонние люди. Есть несколько вариантов возникновения подобной ситуации. В теории, утечки могут случиться через:
- сотрудников Microsoft;
- внутренних сотрудников организации;
- взломы системы безопасности.
В ответ на эти опасения и в доказательство защиты конфиденциальности данных в Облаке компания Microsoft приводит следующие аргументы.
Во-первых, администраторы, то есть сотрудники с практически максимальными правами, управляют настройками системы и пользователей, но не имеют доступа к конкретным данным.
Во-вторых, проникнуть на территорию дата-центра физически невозможно. ЦОДы находятся под серьезной защитой, фактически за колючей проволокой. То есть возможность физического хищения данных весьма сомнительна.
Дополнительно отметим, что конфиденциальность и надёжность хранения данных внутри Облака гарантируется технологически сложным методом шифрования, который применяется в современном облачном хранении. Информация преобразуется в тот вид, который никто не может прочитать, кроме владельца ключа. И получается, что зашифрованной информацией в случае кражи все равно нельзя будет воспользоваться.
Взыскательный читатель возразит, что любую систему защиты можно сломать. Но если сравнивать систему безопасности рядового предприятия и ту, что используется, например Microsoft Azure или Microsoft 365 Office, то мы столкнёмся с противопоставлением картонного домика бункеру. Внутри Microsoft обеспечение сохранности и конфиденциальности данных лежит на плечах высококвалифицированных профессионалов, и безопасность ваших данных их единственная рабочая задача. В то время как при использовании обычных наземных решений компания вынуждена полагаться только на квалификацию среднего российского администратора. Плюс обеспечение безопасности сразу упирается в простейшие программные и аппаратные инструменты.
Кстати, когда разговор идёт о безопасности и защите информации, нельзя не вспомнить громкие скандалы о случаях утечки данных из компаний. К слову, не из-за взлома системы, а в результате действий собственных сотрудников. Поэтому условный контроль физического сервера на самом деле полагается на доверие и лояльность конкретных людей.
Безопасность
Безопасность данных обеспечивается двумя основными процедурами:
- защита информации от вирусов и DDoS-атак;
- защита от аппаратных сбоев.
Microsoft использует комплексный подход для обеспечения защиты с целью предотвратить ввод вредоносных программ и вирусов клиентом или сервером в любые системы обслуживания. Сохранность от DDoS-атак обеспечивает постоянный мониторинг, благодаря которому система находит атаки и нейтрализует их в режиме реального времени.
Данные Microsoft географически распределены, то есть они не хранятся в одном месте. Даже попадание бомбы в один из дата-центров не приведет к потере данных клиента. Высокотехнологичное оснащение компании обеспечивает надёжность хранения резервных копий. Бэкапы в системе происходят ежедневно без дополнительного вмешательства.
В России только малый процент предприятий используют такой же подход. Данные на физическом сервере размещены фактически в одной точке. В результате пожара или сбоя подачи электроэнергии реальна полная потеря информации. Заметим, что за многолетнюю историю работы компания Microsoft ни разу не сталкивалась с потерей данных.
Соответствие требованиям
Большой интерес составляет вопрос соблюдения нормативно-правовых требований Российской Федерации. Размещение данных в Облаке напрямую касается Федерального Закона №152-ФЗ «О персональных данных».
Анализ содержания закона говорит о следующем: ограничения на размещение баз персональных данных вводятся только на период сбора персональных данных и не затрагивают их последующей обработки.
После завершения сбора персональных данных они должны находиться в базах данных на территории Российской Федерации, при этом изменения в данных также вносятся в базы на территории страны. Однако указанное не накладывает никаких ограничений на передачу персональных данных после сбора и предоставления доступа с территории иных государств. И в том числе закон не ограничивает использование данных из информационных систем, находящихся за переделами Российской Федерации.
Для того, чтобы сообщать клиентам и разным государственным органам о состоянии дел в сферах конфиденциальности, безопасности и соответствия российскому законодательству, Microsoft поддерживает Service Trust Portal с исчерпывающей информацией о политиках, инцидентах, результатах аудитов.
Дополнительно портал предоставляет клиенту самостоятельно сформировать отчёты со скорингом уровня соответствия требованиям и помогают компаниям реагировать на инциденты с утечками персональных данных.
К сожалению, большинство компаний по умолчанию считают, что Облако Microsoft не безопасно и не конфиденциально. Но это полностью не соответствует реальности. Компании с собственными серверными системами находятся в иллюзии защищенности. На самом деле они либо не сталкивались с реальными угрозами, либо их данные пока никому не нужны. Облако Microsoft даёт реальную возможность обеспечить высокий уровень безопасности и защищенности конфиденциальной информации.
Добавить комментарий