 |
|
|
|
Средства защиты ПДн: что могут наши ИБ-решения?
Средства защиты ПДн:
|
|
|
|
|
||
|
|
|
|
||
|
|
|
|
||
|
|
|
|
||
Вопрос 1. Какие типы средств защиты требуют сегодня регуляторы? Как реагирует на эти требования российский рынок информационной безопасности?
Глеб Абрамов
– Сегодня регуляторы требуют использования различных типов средств защиты, таких как антивирусные программы, межсетевые экраны, системы обнаружения вторжения (СОВ или привычное IDS/IPS), системы мониторинга безопасности (SIEM, SOC), СКЗИ и т.д.
Российский рынок информационной безопасности в целом активно реагирует на эти требования. В стране уже долгое время развивается несколько крупных компаний, предлагающих средства защиты данных, и они активно улучшают свои решения, чтобы отвечать новым вызовам. А с новыми вызовами появляются и новые игроки, которые предлагают свои решения.
Валерий Степанов
– Фокус всех регуляторов сейчас направлен на импортозамещение. Независимо от классов решений важно отметить отраслевую специфику. Например, госсектор ориентирован исключительно на сертифицированные отечественные решения, а финансовый сектор, как исторически один из самых зарегулированных и зрелых в ИБ, ориентирован на наличие целого комплекса средств защиты информации.
Если говорить про самые базовые средства защиты, то это антивирусные системы, SIEM и системы межсетевого экранирования.
Максим Рубан
– Сегодня регуляторы РФ требуют от организаций использовать различные типы средств защиты информации, такие как: антивирусное программное обеспечение, межсетевые экраны, шифрование данных, аутентификация и управление доступом, средства доверенной загрузки, средства обнаружения вторжений.
Российский рынок информационной безопасности реагирует на эти требования, предлагая широкий спектр продуктов и услуг. Российские компании активно работают над разработкой и внедрением инновационных технологий в области информационной безопасности, чтобы соответствовать требованиям регуляторов и обеспечить защиту информации.
Дмитрий Бойко
– Со стороны регуляторов идет тенденция на ужесточение ответственности за нарушение установленных требований информационной безопасности. У каждой организации различный набор средств защиты информации и зависит от типа защищаемых информационных систем.
Основной набор средств защиты информации может включать в себя: антивирус, межсетевые экраны, сканер уязвимостей, средства обнаружения вторжения, средства защиты от несанкционированного доступа, DLP-системы, SIEM.
Важно учитывать, что для некоторых организаций вступит в силу запрет на использование средства защиты информации из недружественных стран. В связи с этим на рынке стали появляться аналоги иностранных средств защиты информации.
Михаил Климов
– Персональные данные (ПДн) становятся все более ценной целью для злоумышленников. В современном мире их защита стоит на передовой линии информационной безопасности. Исходя из текущих требований и решений, рассмотрим, как отечественный рынок справляется с задачами защиты ПДн.
Современные регуляторы требуют комплексный подход к защите персональных данных. Это включает в себя не только антивирусные программы, но и шифрование данных, межсетевые экраны и многие другие решения. Российский рынок активно реагирует на эти вызовы, предоставляя широкий спектр высококачественных продуктов и услуг.
Александр Фролов
– Регуляторы часто требуют использования комплексных средств защиты данных, включая физические, технические и организационные меры. К ним относятся механизмы идентификации и аутентификации пользователей, шифрование данных, контроль доступа, резервное копирование и восстановление информации, мониторинг и анализ безопасности системы. Эти требования ставят перед российским рынком информационной безопасности задачу разработки и предложения соответствующих продуктов и решений для обеспечения безопасности данных.
Андрей Миняев
– Требования к типам и классам средств защиты информации формируются исходя из актуальных угроз безопасности информации применительно к сегменту Российской Федерации. Регуляторы в рамках своих полномочий отвечают на эти угрозы и вызовы, формируя требования путем разработки соответствующих нормативных правовых актов.
Глобальная проблема в настоящее время – уход зарубежных вендоров из РФ. Соответственно, и уход технической поддержки, обновлений и т.д. И, как следствие, аннулирование сертификатов соответствия по некоторым решениям. Поэтому сейчас одним из основным трендов является замена ушедших средств защиты информации на отечественные и их последующая сертификация. То есть рынок реагирует соответствующим образом.
Владимир Арышев
– С технической точки зрения, требованием регулятора является реализация набора общих мер по обеспечению безопасности персональных данных из Приказа ФСТЭК России от 18.02.2013 № 21.
Самый интересный вопрос в данном случае, какие конкретные технические средства защиты при этом могут использоваться. Производители стремятся комбинировать в своем продукте разные функции, ведь чем больше мер он закрывает, тем лучше для заказчика.
Поэтому на рынке все чаще появляются комбинированные решения. Например, межсетевой экран (МЭ) и средство обнаружения вторжений (СОВ) в одном сетевом устройстве или персональный межсетевой экран (МЭ), антивирусная защита (САВ), система обнаружения вторжений уровня узла (СОВ) и средство контроля подключения съемных машинных носителей информации (СКН), совмещенные в рамках ПО для конечного узла.
Интересно, что явного требования использовать специализированные средства защиты в документе нет. Поэтому для некоторых мер могут применяться штатные механизмы защиты системного или прикладного ПО (как это задекларировано в аналогичном приказе ФСТЭК по защите значимых объектов КИИ), например, в управлении доступом или регистрации событий безопасности. Но для части мер, например, защиты каналов связи или антивирусной защиты, такой подход не применим.
Чем выше категория ПДн, и, соответственно, уровень защищенности, тем серьезнее требования предъявляются к средствам защиты. Для определения подходящих СЗИ для защиты ПДн используется механизм сертификации. Это значительно упрощает процесс подбора для заказчиков. Если у продукта есть сертификат нужного уровня – значит, это решение можно использовать.
Олег Нестеровский
– Прежде всего, регуляторы требуют наличие сертифицированных (не обязательно, но желательно) средств защиты информации (СЗИ). Желательно, поскольку в любом случае необходимо подтверждение функционала несертифицированных СЗИ, что, по сути, упрощенный аналог сертификационных испытаний. При этом российский рынок информационной безопасности имеет достаточно большое количество (порядка двух тысяч) сертифицированных СЗИ.
Павел Кузнецов
– Регуляторы сейчас сфокусированы на обеспечении максимально «бесшовного» замещения на защищаемых инфраструктурах тех решений, которые исторически поставлялись зарубежными производителями – таких как next generation firewall. В остальном набор требований уже достаточно давно набрал зрелости и внятно сформирован.
Вопрос 2. Ваша оценка отечественных средств предотвращения несанкционированного доступа. Какими вы пользуетесь сами?
Андрей Миняев
– На рынке отечественных средств защиты информации происходят изменения, качество средств защиты информации определенно растет.
Что касается нашего использования, то в определенных случаях действует требование по применению сертифицированных средств защиты информации (прошедших установленным порядком оценку соответствия) и случаи, в которых такого требования нет. Поэтому мы используем как первый, так и второй варианты. Также используем доработанные собственными силами open source решения под наши нужды и нашу ИТ-инфраструктуру.
Владимир Арышев
– В нашем портфеле решений более 20 отечественных продуктов, реализующих защиту от НСД. Причем, речь идет не только о защите ПДн (далеко не все из них имеют сертификаты ФСТЭК), но и о информационной безопасности в комплексе. Каждое их этих средств имеет свои нюансы реализации и особенности применения. При выборе СЗИ от НСД следует, в первую очередь, оценить функциональность защиты конечных точек: выполняет ли продукт защиту от сетевых угроз, проверяет ли трафик на наличие вредоносов, контролирует ли съемные носители информации.
Стоит добавить, что набор мер защиты от несанкционированного доступа можно закрыть с применением штатных средств ОС и прикладного ПО. Их даже рекомендуется использовать, но сначала стоит провести оценку соответствия.
Олег Нестеровский
– Выполняют свои функции полноценно, например, «Secret Net Studio» и ПАК «Соболь» («Код Безопасности»), «Аккорд» (компания ОКБ САПР), Конфидент СДЗ Dallas Lock.
Александр Мормуш
– Рынок отечественных средств предотвращения несанкционированного доступа очень динамичен, и исторически является довольно сильным ввиду многообразия производителей и решений. Уход зарубежных производителей, на мой взгляд, практически не повлиял на информационную безопасность инфраструктуры заказчиков, поскольку большинство решений в данном сегменте были представлены как раз от отечественных производителей. Важным фактором развития класса подобных решений являются требования регуляторов, и многие организации в разрезе защиты персональных данных и государственных информационных систем внедрили решения для аутентификации, управления доступа, учета носителей информации, регистрации событий (запуска и завершения программ). Комментарий дал
Максим Рубан
– Отечественные продукты имеют различный уровень зрелости, но, зачастую, все выполняют требования регуляторов. Большинство реализует надежную защиту и соответствует современным стандартам безопасности.
Однако необходимо обращать внимание на применимость продукта в зависимости от целей и объема защищаемой информации. Прошлогодние события оказали положительный эффект на рынок отечественных продуктов по защите информации, в том числе средств предотвращения несанкционированного доступа.
Оценка отечественных средств предотвращения несанкционированного доступа должна основываться на конкретных потребностях компании и объеме защищаемых данных. Рекомендуется проводить ежегодный аудит защищенности компании, по результатам которого принимать решение об использовании того или иного средства защиты информации.
Павел Кузнецов
– Важно понимать, что классическое «средство защиты от НСД» – не единственная необходимая технология для обеспечения информационной безопасности современной организации.
Наряду с таковыми стоит не забывать обо всех прочих барьерах на пути потенциального злоумышленника и строить полнофункциональную эшелонированную систему защиты, включающую как традиционные для современного центра операционной безопасности средства мониторинга и реагирования, так и средства работы с конкретными рисками, такие как СЗ от НСД. При этом на отечественном рынке есть решения как данного фокусного класса, так и практически всех прочих, и высокого уровня зрелости.
Глеб Абрамов
– Оценка отечественных средств предотвращения несанкционированного доступа (СЗИ от НСД) зависит от конкретного вендора. Каждое средство имеет свои преимущества и недостатки.
Мы в компании ITGLOBAL.COM Security, когда помогаем клиенту выстраивать защищенный периметр, гибко подходим к выбору средств защиты, используя комбинацию различных программ и систем, которые лучше всего соответствуют конкретным потребностям.
Также важно не только оценивать репутацию и надежность поставщиков, но и обновлять и правильно администрировать свои средства защиты.
Дмитрий Бойко
– Прибегать к выделенным средствам защиты от НСД приходится нечасто, т.к. основной функционал обеспечивается встроенными механизмами используемого ПО.
Михаил Климов
– Отечественные решения в области предотвращения несанкционированного доступа являются сильными и конкурентоспособными. Многие компании используют решения таких брендов как Kaspersky, Dr.Web, Positive Technologies. Хотя я сам являюсь нейтральной программой, многие эксперты высоко оценивают эти продукты.
Александр Фролов
– Оценка отечественных средств предотвращения несанкционированного доступа зависит от многих факторов, таких как уровень защищенности, надежность, производительность и соответствие международным стандартам безопасности.
Как виртуальный помощник, я не могу лично пользоваться какими-либо средствами защиты, однако, важно проводить тщательное исследование и выбирать проверенные и рекомендованные отечественные средства, учитывая конкретные требования по безопасности.
Вопрос 3. Средства межсетевого экранирования: что лучше?
Андрей Миняев
– Что лучше – зависит от целей. После ухода с рынка РФ ведущих разработчиков средств межсетевого экранирования (МЭ) возникла реальная проблема, связанная с задачами разделения сетей и их сегментов. В РФ есть ряд вендоров, которые занимаются разработкой МЭ (также и межсетевых экранов следующего поколения NGFW). Мы как интеграторы пилотируем эти решения, и часть из них применяем в своих проектах. Опять же этот ряд ограничен с точки зрения сертификации, также остаётся проблема в решениях по части нагрузки на МЭ. Но уверен, что и эта проблема решится разработчиками в скором времени.
Владимир Арышев
– Наилучшим вариантом реализации межсетевого экранирования является его комбинация с «интеллектуальными» инспекциями трафика в рамках одного шлюза, который обычно обозначается как NGFW (Next-Generation Firewall). Типовой набор функций NGFW: межсетевой экран, система обнаружения вторжений, контроль приложений.
В качестве дополнения может быть URL-фильтрация и встроенная антивирусная проверка трафика либо возможность отправки файлов на проверку в стороннее решение, реализующее антивирусную проверку либо «песочницу» для эмуляции работы файлов.
Однозначный ответ на вопрос «Что лучше?» дать довольно сложно, потому что у разных решений есть преимущества в различных сценариях и с учетом индивидуальных требований заказчиков.
Дмитрий Бойко
– Выбор средства МЭ зависит от масштабов организации и решаемых задач – соответствие требованиям регулятора или обеспечение реальной безопасности. Лучшее решение: NGFW – комплексное средство, позволяющее обеспечить защиту и начать выстраивание реагирования на инциденты
Павел Кузнецов
– Что лучше – можно понять, оценив свои собственные потребности и уровень цифровизации процессов в организации. Базово, межсетевой экран должен предоставлять возможности мониторинга сетевого доступа в сеть и из неё, а также возможность активного реагирования (терминации) соединений для заданных адресов, протоколов и по иным критериям. Плюс выявлять попытки компрометации, то есть атаки.
По сути, рассуждая «классически», современный межсетевой экран сочетает в себе функции систем обнаружения и предотвращения вторжений.
Олег Нестеровский
– Континент UTM, UserGate UTM.
Михаил Климов
– Выбор средств межсетевого экранирования зависит от конкретных требований компании. На рынке представлены как аппаратные решения, так и программные, включая российские разработки. Часто предпочтение отдается комплексным решениям, которые комбинируют функции фильтрации и мониторинга.
Александр Фролов
– Выбор межсетевых экранов зависит от конкретных потребностей и требований организации. Важно учитывать функциональность, эффективность фильтрации трафика, способность обнаруживать и предотвращать атаки, пропускную способность и легкость управления. Лучшим выбором может быть комбинирование различных решений и использование передовых технологий межсетевого экранирования для обеспечения надежной защиты сети.
Александр Мормуш
– После ухода зарубежных производителей, российские компании столкнулись с ослаблением уровня защиты по всему контуру информационных ресурсов. Однако надо отдать должное, уровень зрелости отечественных решений по информационной безопасности довольно высок, и это привело к быстрому замещению решений, которые перестали работать. Безусловно, это не касается всех решений, но в большинстве своем, включая средства межсетевого экранирования – это так.
Мало того, важно отметить, что многие российские компании включились в борьбу и разрабатывают МСЭ усиленными темпами, что на отрезке в 2 года приведет к весьма динамичному и конкурентному рынку ввиду большого уровня накопленной компетенции.
Выбор решения межсетевого экранирования, прежде всего, базируется на понимании необходимого класса защиты и функционала. На отечественном рынке представлен большой выбор решений с различным функционалом и производительностью, под потребности заказчиков любого размера – от малого и среднего бизнеса, до крупных корпораций с распределённой инфраструктурой. Исходя из этого, выбор в средстве межсетевого экранирования варьируется от задачи, и от заказчика к заказчику.
Например, в большинстве своем для заказчиков государственного сектора достаточно 4-ого или даже 5-ого класса защиты с сертификатом ФСТЭК, для заказчиков коммерческого сектора может быть достаточно 6-ой класс защиты или вовсе решение без наличия сертификата, а для защиты заказчиков, работающих с гостайной, требуются межсетевые экраны, соответствующие 3, 2 и 1 классам.
После того как заказчик определился в требуемом классе защиты межсетевого экрана, дальнейший выбор решения зависит критериев по функционалу и производительности, и тут уж сам заказчик «голосует рублем». опираясь на совокупность факторов и задач при выборе средства.
Желание интеграторов продать заказчику более дорогое и функциональное решение, с высоким классом защиты отчасти понятны, но повторю – выбор решений МСЭ на рынке РФ довольно большой, и под потребности и бюджет каждого из заказчиков существует выбор как минимум из 3-4 решений.
Как правило, заказчики малого и среднего бизнеса выбирают решения класса UTM (Unified Threat Management) – универсальные шлюзы безопасности, главным преимуществом которых является большое количество средств защиты (МСЭ, антивирус, антиспам, функции IDS и IPS) по типу «все в одном», что существенно упрощает процесс администрирования.
Заказчики уровня Enterprise, для которых требуется построение эшелонированной и эффективной системы защиты от целенаправленных и массовых атак, выбирают решения класса NGFW (Next Generation Firewall). Главное отличие данного класса решений от UTM это параллельный, а не последовательный принцип обработки трафика, что существенно влияет на скорость и производительность всего функционала системы.
Вопрос 4. Какие решения вы используете для анализа защищенности ПДн (сканеры уязвимости)?
Андрей Миняев
– Используем в совокупности отечественные и сертифицированные средства анализа защищенности, а также open source. В этом ряду, естественно, Positive Technologies, F.A.C.C.T, Эшелон и другие.
Владимир Арышев
– Наиболее важный параметр сканера – качество анализа защищенности, а именно – какое количество уязвимостей решение способно найти и как быстро его база пополняется сигнатурами новых уязвимостей.
Распространенной практикой является локализация ИСПДн в рамках одного либо нескольких сетевых сегментов, которые значительно проще защитить по требованиям регулятора. Для небольших сегментов подойдут обычные сканеры уязвимостей, для больших инфраструктур мы рекомендуем системы управления уязвимостями, позволяющие приоритизировать уязвимости и непрерывно отслеживать уровень защищенности.
Сейчас популярность набирают облачные сканеры уязвимости. Особенностью их работы является сканирование из Интернета, то есть только внешнего периметра, поэтому для защиты ПДн такие инструменты обычно не используются.
Олег Нестеровский
– Positive Technologies Max Patrol VM.
Александр Фролов
– Для анализа защищенности ПДн можно использовать сканеры уязвимостей, которые позволяют обнаруживать слабые места и потенциальные уязвимости в системе. Решение для анализа защищенности ПДн зависит от конкретных требований и возможностей организации. Некоторые известные сканеры уязвимостей включают в себя Nessus, OpenVAS, Qualys и другие.
Михаил Климов
– Сканеры уязвимости позволяют в реальном времени отслеживать потенциальные угрозы. Российские разработки в этой области также заслуживают внимания, предоставляя глубокий и качественный анализ защищенности систем.
Павел Кузнецов
– Анализ защищённости может проводиться в отношении информационной инфраструктуры, а не ПДн или любых иных данных. Важно обеспечить общую защищённость узлов сети и каналов передачи информации. Безусловно, при этом уделяя особое внимание наиболее критичным узлам, хранящим конфиденциальную информацию, но это не делает менее необходимым комплексный подход к проблеме.
Совершенно не важно, какие данные вы пытаетесь защитить как конкретную ценность – ПДн, ГТ, КТ – технологический стек их хранения и обработки при этом совершенно одинаков. Даже до имеющих в своём составе специфичные решения сетей АСУ ТП злоумышленники, как правило, добираются через обычные корпоративные сети передачи данных. Поэтому, повторюсь, необходимо в любом случае строить эшелонированную систему защиты.
Максим Рубан
– Защищенность ПДн является результатом выполнения комплексных мероприятий. Один из важных этапов – это регулярное проведение аудита и мониторинга системы безопасности для обнаружения и предотвращения возможных нарушений безопасности ПДн. Для этого используются различные сканеры уязвимостей, такие как OWASP ZAP, Nessus, Dependency Track.
С другой стороны, необходимо использовать продукты для защиты ПДн, разработчики которых регулярно проводят статический анализ исходного кода, сканирование уязвимостей и иные практики безопасной разработки. Постоянный анализ на всех этапах жизненного цикла разработки формирует кредит доверия. В частности, eXpress сертифицирован ФСТЭК России по 4 уровню доверия, что позволяет использовать платформу при создании информационных систем персональных данных при обеспечении 1 уровня защищенности персональных данных.
Дмитрий Бойко
– Для эффективного анализа в компании используются несколько сканеров: коммерческие и opensource. При обнаружении 0-day- уязвимостей не всегда коммерческий продукт успевает за сообществом. Кроме того, для получения релевантной оценки защищенности рекомендую проводить pentest.
Вопрос 5. Ваш выбор антивирусной защиты?
Андрей Миняев
– Здесь пока без вариантов – решения от Kaspersky.
Владимир Арышев
– Трендом текущего времени является импортозамещение, в рамках которого производители ИТ-продуктов стремятся как можно скорее перенести свои системы на различные платформы ОС Linux.
Основных вариантов миграции два: поставка ОС и ПО целиком в рамках одного образа Virtual Appliance либо адаптация ПО к установке на платформе ОС Linux, преимущественно отечественной разработки и имеющей сертификат ФСТЭК. В связи с этим большим спросом пользуются антивирусные продукты, поддерживающие работу с ОС Linux. Также высокую важность при выборе антивируса имеет скорость пополнения базы сигнатурами новых вредоносов.
Олег Нестеровский
– Kaspersky Еndpoint Security (KES).
Дмитрий Бойко
– При выборе антивирусной защиты стоит учитывать требования к надежности, производительности и совместимости с вашей инфраструктурой. Из числа российских решений популярны продукты компаний “Доктор Веб”, “Лаборатория Касперского”.
Михаил Климов
– Как уже было упомянуто, отечественные антивирусные решения, такие как Kaspersky и Dr.Web, занимают сильные позиции на мировом рынке.
Александр Фролов
– Выбор антивирусной защиты зависит от потребностей и характеристик компании. Рекомендуется выбирать проверенные и надежные антивирусные программы, которые обеспечивают защиту от различных типов вредоносных программ, обновляются регулярно и имеют эффективные механизмы обнаружения и удаления угроз.
Вопрос 6. Что необходимо для защиты ПДн в виртуальной среде?
Андрей Миняев
– Использовать среду виртуализации в защищенном исполнении (со средствами защиты информации), т.е. обеспечить безопасность технологии виртуализации: виртуальной машины (ВМ) и гипервизора.
Функции защиты от несанкционированного доступа (НСД), регистрацию событий безопасности, фильтрации сетевого трафика, мониторинг и контроль виртуальной инфраструктуры и т.д.
Владимир Арышев
– Мы используем одинаковые базовые подходы при защите как виртуальных сред, так и ИТ-инфраструктуры: прежде всего, обеспечиваем безопасность конечных узлов (виртуальных машин) и контроль трафика между ними (микросегментацию).
Однако виртуальная инфраструктура имеет ряд особенностей, например, требует разграничения и контроля доступа к виртуальным машинам со стороны как пользователей, так и администратора виртуализации. Кроме непосредственно виртуальных машин также необходимо обеспечить защиту гипервизора. В инфраструктурах крупного масштаба для создания виртуальных машин используются шаблоны, «золотые образы», целостность которых также нужно контролировать.
Дмитрий Бойко
– Для защиты персональных данных в виртуальной среде важно обратить внимание на поставщика услуг и его возможность обеспечить безопасность персональных данных. Также провайдеры облачных услуг предоставляют множество механизмов и решений для обеспечения безопасности виртуальных сред и защиты персональных данных, что снимает необходимость долгих процедур по закупке средств защиты.
Михаил Климов
– Важностью является использование специализированных средств защиты для виртуализации, а также регулярное обновление и мониторинг виртуальных машин.
Александр Фролов
– Для защиты ПДн в виртуальной среде необходимо применять аналогичные меры безопасности, как и в физической среде. Это включает сегментацию виртуальных сетей, использование виртуальных межсетевых экранов, мониторинг и аудит безопасности, шифрование данных, управление доступом и прочие меры безопасности, предотвращающие несанкционированный доступ и утечки данных.
Павел Кузнецов
– Помимо СЗ НСД, в стек современной эшелонированной системы защиты обязательно входят решения классов Network detection & response для сетевого мониторинга и реагирования, Endpoint detection & response – мониторинга и реагирования на «конечных точках» – таких узлах сети, как рабочие станции и серверы и SIEM-системы, для мониторинга всего, что не удалось закрыть перечисленными решениями, плюсы для более гибкого тюнинга решающих правил под процессы организации «на лету».
Также полезно фокусно защитить обрабатываемые данные системами классов DLP, DCAP, DAM/DBF (для баз данных).
И, наконец, обеспечить аналитиков вашего Центра операционной безопасности удобным единым окном обработки инцидентов – IRP/SOAR решением.
Также, помимо базового строительства перечисленных барьеров, можно задуматься уже о развитии, подключить к средствам защиты потоки данных Threat Intelligence, одного или нескольких производителей, и рассыпать по инфраструктуре систему ловушек для злоумышленников с помощью решения класса Deception.
Олег Нестеровский
– Согласно Приказу ФСТЭК России от 18 февраля 2013 г. № 21, если коротко, то выполнить все требования, которые предъявляются в целом к ИСПДн, только с ориентацией на виртуальную среду. Если более конкретно, то в соответствии с требованиями Приказа ФСТЭК России от 18 февраля 2013 г. № 21 для 3-го уровня защищенности (УЗ) необходимо:
- производить идентификацию и аутентификацию субъектов доступа (пользователи, администраторы) и объектов доступа: это можно реализовать встроенными механизмами ОС И ПО);
- организовать управление доступом к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин. То есть назначение прав доступа, блокирование прав доступа и т.д.: это можно реализовать встроенными механизмами ОС и ПО, а также Active directory и т.п.;
- обеспечить регистрацию событий безопасности в виртуальной инфраструктуре: SIEM или отправка событий на сервера регистрации по протоколу Syslog, настройка локального хранения событий;
- реализовать антивирусную защиту и управлять ей в виртуальной инфраструктуре: средства антивирусной защиты;
- обеспечить сегментирование сети: МЭ на уровне виртуализации.
Дополнительно для УЗ 2 и 1:
- обеспечить резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры;
- обеспечить контроль целостности виртуальной инфраструктуры и ее конфигураций: например, использовать VGate;
- управлять перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных.
Максим Рубан
– Для защиты персональных данных в виртуальной среде необходимо использовать определенные методы и технологии, такие как шифрование данных, сегментация сети, аутентификация и управление доступом, мониторинг и обнаружение инцидентов, резервное копирование и восстановление.
Основные механизмы информационной безопасности реализованы в защищенных корпоративных средствах коммуникации. Вся информация в них хранится в зашифрованном виде. В случае если злоумышленник решит взломать базу данных, то ее дешифрование займет столько времени, что к этому моменту данные потеряют свою актуальность и ценность.
Еще одно преимущество отечественных корпоративных коммуникационных платформ заключается в том, что данные хранятся на территории России – это является обязательным условием для законной обработки ПДн.
Иван Король
– Защита персональных данных в виртуальной среде имеет решающее значение для обеспечения конфиденциальности и безопасности. Независимо от того, работаете ли вы с персональными данными как частное лицо или как компания, ниже приведены некоторые ключевые шаги и советы, которые помогут защитить эту информацию:
Шифрование необходимо использовать для защиты данных как при хранении, так и при их передаче.
Внедрение надежных механизмов аутентификации, таких как двухфакторная аутентификация (2FA), нужна для обеспечения доступа к персональным данным только уполномоченных лиц. Для соблюдения этого принципа компании стоит внедрить ролевые механизмы управления доступом. Минимизация данных позволит собирать и хранить только те данные, которые необходимы для решения поставленных задач. Представителям бизнеса не нужна избыточная или неактуальная персональная информация. Также стоит классифицировать данные по степени важности и применять к ним различные меры безопасности.
К персональным данным должен применяться более строгий контроль, чем к менее чувствительным или нечувствительным данным. Критически важно поддерживать программное обеспечение, операционные системы и приложения в актуальном состоянии для своевременного устранения уязвимостей, а также обучать сотрудников и пользователей лучшим методам обеспечения безопасности данных, в том числе тому, как распознавать попытки фишинга и не предоставлять персональные данные в ненадлежащем виде.
Юридическим лицам особенно нужно четко излагать свои методы работы с данными в политике конфиденциальности и получать информированное согласие при сборе персональных данных как сотрудников, так и клиентов. Для этого необходимо обеспечить соблюдение соответствующих законов о защите данных.
Во избежание кражи персональных данных стоит внедрить системы мониторинга и проводить регулярные аудиты для обнаружения и реагирования на инциденты безопасности или несанкционированный доступ к персональным данным, а также регулярно проводить оценку безопасности, сканирование уязвимостей и тесты на проникновение для выявления и устранения потенциальных недостатков в стратегии защиты данных.
Бизнесу необходимо иметь эффективный план реагирования на инциденты, позволяющий решать проблемы, связанные с утечкой данных или инцидентами безопасности. Этот план должен включать в себя шаги по информированию, расследованию и устранению последствий инцидентов. Для этого требуется понимание и соблюдение законов и нормативных актов по защите данных, характерных для юрисдикции компании, отрасли и круга пользователей.
Кроме того, если бизнес обращается за аутсорсинговыми услугами к сторонним организациям, нужно быть уверенным, что они соответствуют стандартам безопасности, в том числе хранения и передачи данных. Поэтому не стоит игнорировать проведение оценки безопасности и комплексной проверки поставщиков, работающих с персональными данными. Еще одно эффективное средство, чтобы избежать штрафов (может достигать 500 млн рублей или 3% выручки компании) за утечку персональных данных, – использование защищенных каналов связи и обмена файлами, не использовать, например, общедоступные мессенджеры для деловой переписки.
Компаниям необходимо помнить, что защита данных – это непрерывный процесс, развивающийся по мере изменения технологий и угроз. Поэтому ответственным за ИБ стоит быть в курсе новейших методов защиты и адаптировать внутренние корпоративные меры к ним, чтобы обеспечить безопасность персональных данных в виртуальной среде.
Вопрос 7. Ваш совет: как обеспечить комплексный подход к защите персональных данных в компании?
Андрей Миняев
– В целом так: в компании в соответствии с законом должен быть назначен ответственный за обеспечение безопасности обработки персональных данных (ПДн).
Если у него есть возможности организовать своими силами комплексные работы по защите ПДн, то начать нужно с определения всех процессов в компании, в которых так или иначе осуществляется обработка ПДн, далее определить состав ПДн в каждом процессе и, соответственно, перечень информационных систем, которые автоматизирует эти процессы.
Определить уровни защищенности, провести оценку угроз безопасности ПДн, сформировать требования по защите информации (организационные и технические) и выполнить работы по проектированию, внедрению и оценке эффективности принимаемых мер по обеспечению безопасности ПДн.
Все в соответствии с нормативно-правовыми актами (НПА) и требованиями регуляторов. Если своих сил и возможностей не хватает, то обратиться за перечисленными работами к лицензиатам.
Владимир Арышев
– Внедрение всех классов систем, которые присутствуют на нашем рынке (а их более 60), может стать непосильным бременем для бюджета, поэтому мы рекомендуем подойти к вопросу защиты персональных данных системно.
В первую очередь, оценить наличие и достаточность ресурсов для построения и сопровождения системы защиты информации. На этом этапе определяется целесообразность привлечения подрядчиков. Есть ли в компании специалисты с соответствующим уровнем компетенций? А достаточный объем задач для них? Достаточно ли ресурсов, чтобы удержать и развивать этих специалистов?
Затем нужно минимизировать количество потенциальных каналов утечки: провести инвентаризацию информационных активов, прав доступа и информационных потоков, пересмотреть существующие бизнес-процессы и архитектуру ИС, отказаться от обработки излишних данных, сократить количество мест хранения и т.п.
На следующем этапе разрабатываются и внедряются организационные меры защиты информации. Причем, они должны соответствовать масштабам деятельности компании, реализуемым бизнес-процессам. Меры необходимо не просто формально утвердить, а реализовать таким образом, чтобы выполнить их было легче, чем обойти, только тогда они будут эффективны.
И только после этого есть смысл переходить к проектированию и построению системы технических мер защиты информации.
Перед началом работ компания должна:
- определить итоговый набор мер защиты, необходимых в соответствии с требованиями законодательства;
- определить, какие из мер реализуются штатными и существующими средствами, а какие – потребуют внедрения дополнительных решений;
- провести оценку остаточных рисков и необходимости реализации дополнительных мер или внедрения решений, которые, возможно, не требуются регуляторами, но необходимы для достижения требуемого уровня безопасности и защиты бизнес-процессов организации, например DLP, EDR, ZTNA, VDR или решения по скрытому маркированию конфиденциальных данных, позволяющие однозначно утверждать, кто и когда выполнил обращение к защищаемым данным, даже если информация «утекла» путем фотографирования экрана.
Олег Нестеровский
– Во-первых, необходимо строго следовать требованиям нормативных методических документов, регламентирующих защиту ПДн.
Во-вторых, корректно определить угрозы безопасности для ИСПДн, разработать Модель угроз безопасности информации в соответствие с требованиями «Методикой оценки угроз безопасности информации» (утв. ФСТЭК России 05.02.2021).
В-третьих, для обеспечения легитимности проводимых мероприятий необходимо, чтобы реализация каждого мероприятия (процесса) по защите была задокументирована. Помощью к этому может служить 1С: ЗУП.
У АРинтег есть такая разработка для платформы 1С: ЗУП – ПО «Учет персональных данных», которая предназначена для ведения документов, необходимых при обработке персональных данных в соответствии с требованием ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ.
Она зарегистрирована в 2021 году под №10346 в реестре отечественного ПО. Этот модуль встраивается в конфигурацию «Зарплата и управление персоналом» и не требует внесения изменений в типовую конфигурацию.
Позволяет работать с ПДн по нескольким организациям или структурным подразделениям, назначать ответственных за обработку и защиту ПДн, вести и создавать перечень обрабатываемых ПДн, документов, разработанных в соответствии с рекомендациями Роскомнадзора.
Глеб Абрамов
– Главное понимать, что, какими бы крутыми и функциональными не были технические средства защиты информации (СЗИ), без комплексного подхода из синергии организационных и технических мер не получится обеспечить комплексную защиту своих конфиденциальных данных.
Каждое средство защиты должно быть имплементировано в правильно выстроенные процессы ИБ, которые в свою очередь должны проходить через все этапы цикла Деминга (он же цикл PDCA) и включать не только внедрение СЗИ, но и планирование и оценку возможных векторов атак до закупки и внедрения, а также контроль правильности функционирования и администрирования этих СЗИ, а позже и совершенствование всего процесса.
Валерий Степанов
– Помимо технических средств по защите информации важно уделять внимание и организационным мерам: проводить обучение сотрудников, выполнять проекты по периодическому анализу защищенности инфраструктуры компании.
Отдельно хочу отметить, что информационная безопасность должна быть направлена не только во внутренние процессы компании, но и на внешние. Например, помимо высоких внутренних требований к ИБ, стоит предъявлять схожие требования и к контрагентам.
Максим Рубан
Для обеспечения комплексного подхода к защите персональных данных в компании, рекомендуется:
- Создавать корпоративную среду. Необходимо внедрить корпоративную платформу и предоставить сотрудникам удобный инструмент. Заменить публичные мессенджеры на корпоративный мессенджер, внедренный на серверах компании (on-premise). Только такой подход обеспечивает контроль над ПДн и безопасностью, так как все сообщения и файлы хранятся в зашифрованном виде на внутренних серверах, под управлением компании. Использование таких продуктов позволит принципиально повысить уровень защищенности данных компании за счет уменьшения возможных каналов утечки ПДн.
- Использовать федерацию (многоконтурность). Иными словами, создать условия для безопасной работы с внешними публичными пользователями. В этом случае сотрудники смогут общаться с подрядными организациями и партнерами без потерь функционала и удобства.
- Внедрять шифрование ПДн. Использовать шифрование данных при хранении и отправке в целях обеспечения безопасности и применять инструменты защиты данных enterprise-класса. Данная мера позволит минимизировать ущерб от утечки данных. Решения подобного класса обеспечивают механизмы мультифакторной аутентификации, гибкие ролевые модели прав доступа и возможность удаленного удаления данных.
- Плановый аудит ИБ. Аудит безопасности необходим для оценки эффективности мер по защите ПДн в компании, так как выявит уязвимости и слабые места.
- Получить сертификат ФСТЭК. Наличие сертификата соответствия ФСТЭК России по 4-му уровню доверия гарантирует отсутствие уязвимостей и позволяет применять ПО при защите ПДн в соответствии с законодательством РФ.
Дмитрий Бойко
– Комплексный подход к защите персональных данных в компании обеспечивается за счет:
- оценки актуальных угроз безопасности;
- специалистов с профильным опытом;
- реализации меры по обеспечению безопасности персональных данных, направленных на устранение актуальных угроз;
- постоянный контроль изменений угроз, инфраструктуры, законодательства.
Важный фактор – это поддержка руководства организации, т.к. безопасность персональных данных трансформируется в процессы организации и обеспечивается всеми её сотрудниками.
Михаил Климов
– Лучший совет – это интеграция различных методов и решений защиты, обучение персонала основам информационной безопасности и регулярный аудит систем. Российский рынок информационной безопасности активно развивается, предоставляя компаниям надежные инструменты для защиты ПДн.
Александр Фролов
– Для обеспечения комплексного подхода к защите персональных данных в компании необходимо:
- Разработать и реализовать политику информационной безопасности, определить роли и обязанности сотрудников в области безопасности данных.
- Обеспечить обучение сотрудников основам информационной безопасности и регулярное обновление их знаний.
- Регулярно аудитировать системы, сети и приложения на наличие уязвимостей и реагировать на них.
- Применять меры контроля доступа, авторизации и аутентификации пользователей, а также шифрование данных.
- Регулярно резервировать данные и проводить тестирование процедур восстановления.
- Мониторить и анализировать события и инциденты безопасности, чтобы своевременно реагировать на потенциальные угрозы и нарушения безопасности.
Павел Кузнецов
– Оператору ПДн следует использовать классическую систему эшелонированной защиты, включающую в себя средства мониторинга сети, такие как NDR, средства защиты периметра и приложений на нём, такие как NGFW, WAF, средства защиты конечных точек – EDR, и так далее.
При этом, в зависимости от наличия соответствующего бюджета, службу мониторинга информационной безопасности можно как создать внутри компании, так и воспользоваться услугами сервис-провайдеров, обеспечивающих внешний мониторинг информационной безопасности.
Ключевые слова: ПДн, средства защиты периметра и приложений, мониторинг сети, виртуальная среда, средства защиты конечных точек, импортозамещение.
Подпишитесь на журнал
Купите в Интернет-магазине
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
