Последние несколько месяцев у нас в стране говорят о том, что необходимо ужесточить ответственность за незаконный оборот персональных данных, в том числе ввести оборотные штрафы за утечку персональных данных. И министр Минцифры сообщил, что законопроект готов, находится у него и скоро будет внесён в ГосДуму. Полагаю, без оборотных штрафов не обойдётся, вопрос только сколько и кому.
Можно обсуждать как изменится поведение компаний после введения таких мер — начнут ли сваливать всё на хакеров, чтобы снизить ответственность, отрицать наличие утечек и заметать следы, утверждать, что был шантаж и это поддельная база и многое другое.
Фантастика, скажете вы. А кто у нас в стране не любит фантастику? Поговорим, исходя из реальных мер без привлечения марсиан, магии и рептилоидов.
Я сформулировал 7 тезисов, объединяющие ключевые меры, которые необходимо выполнять, чтобы из информационных систем персональных данных в процессе эксплуатации не утекали данные. Да и не только из ИСПДн, буду использовать гостовский термин «автоматизированная система, АС», так как он шире и корректнее описывает систему, включая персонал и правила обработки информации.
Вот они:
- Логичный, неизбыточный и описывающий ситуации процесс обработки данных в системе — от ввода до выгрузки.
- Грамотно спроектированная и введённая в эксплуатацию система ЗИ в ИСПДн.
- Постоянный мониторинг защищенности, а также управление уязвимостями.
- Постоянный мониторинг прав доступа к инф ресурсам — фактических и офиц согласованных, а также по должностным обязанностям.
- Постоянная работа с персоналом по предупреждению умышленных и неумышленных утечек.
- Постоянный контроль и фиксация выгружаемых и передаваемых данных.
- Совершенствование системы ЗИ по результатам мониторига и при изменении условий эксплуатации, требований, архитектуры ИС и т. п.
Да, получилось по логике цикла Шухарта-Дёминга. Так мы и говорим о жизненном цикле системы, перефразируя анекдот - «а новый способ не придумали». Здесь нет только этапа вывода ИСПДн из эксплуатации, он включён намеренно.
Первое. «Логичный, неизбыточный и описывающий ситуации процесс обработки данных в системе — от ввода до выгрузки». Перед автоматизацией процесса и внедрением АС аналитики описывают процесс обработки информации, предлагают изменить его
И если в нём появляются, например, ситуации, когда на каком-то этапе данные в открытом виде выгружаются на внешний диск и переносятся для загрузки в другую часть системы, в другую систему, для передачи в другую организацию. Всё, бесконтрольно их можно скопировать. Допустим, внедрены орг меры безопасности, а админ обученный и доверенный человек, но разве это делает утечку невозможной? Нет, мы видим статистику утечек из-за сисадминов и топ-менеджеров, например.
То есть:
человеческий фактор можно минимизировать и для этого есть соответствующие средства;
до внедрения аналитикам необходимо поставить задачу, среди прочих, учесть требования по ЗИ, в т.ч. не допускать ситуаций, когда будет теряться контроль за данными.
Второе - что значит грамотно спроектированная и введённая в эксплуатацию система ЗИ?
Здесь слово «грамотно» относится и к проекту и к этапу ввода в эксплуатации.
То есть если не прописать процесс оценки соответствия при приёмке в эксплуатацию как всей АС, так и её системы ЗИ, соответствующий Требованиям ТЗ, ТЗ на СЗИ, в том числе модели угроз, то не будет никакой уверенности, что создано то, что заказывали и реализовано всё соответствующим образом.
А этим этапом часто пренебрегают как для приёмки системы в целом, так и для системы ЗИ.
В принципе, после ввода системы в эксплуатацию, если там не было раздела ЗИ, возможна аттестация АС, и в некоторых случаях, например, ГИС, она обязательная. Но приёмка учитывает взаимосвязь всех подсистем, лучше ею не пренебрегать. К тому же, аттестация по требованиям ИБ, даже если всё проверили при приёмке, больше официальная процедура, когда обязательны все этапы и выписка официального аттестата соответствия требованиям ИБ. Или попробовать совместить аттестацию и приёмку — описать этап в части ЗИ соответствующим образом, но прописать и тесты на проверку совместимости подсистем с системой ЗИ, отсутствием вредного влияния и т. п.
С пунктами 3 и 4, полагаю, ясно — пишут много, средства и системы есть. Однако, если системы сложные и достаточно критичны, то без SOC не обойтись — собственного или на аутсорсинге.
Тема выставления критериев к мониторингу довольно серьезная и её также формулируют, описывают и обсуждают как в НПА, так и на различных форумах.
Никакой утечки не предотвратить, если админы, операторы, пользователи системы не будут скрупулезно соблюдать требования процесса обработки, в том числе по безопасности. Даже если со всех сторон «закрутить гайки» оргмерами, закрыть всё возможное техническими и программно-аппаратными средствами. Всё равно где-то перепутают, отправят не в тот адрес, сделают не ту копию, возьмут домой поработать чтобы успеть до отпуска и т. п. И гайки постепенно открутятся, так как выяснится, что где-то мешают, в том числе чему-то срочному или кому-то важному.
Понятно, здесь не обойтись без предупредительной работы со стороны служб ИБ и ИТ, но это касается неумыщленных утечек.
Кто не хочет учиться и соблюдать правила, или кто тайком хочет продать конкурентам или забрать на новое место работы — это «клиенты» службы безопасности.
Здесь важно определиться с источником сведений о типовых нарушениях, о попытках нарушений, о подозрительном поведении и т. п. Средства есть, другой вопрос, что их надо корректно внедрить, поддерживать в актуальном состоянии.
Модернизация системы ЗИ АС (ИСПДн)
Здесь я выделю следующие моменты.
- Первое — последовательность и полнота сведений. То есть не пропускать данные о появившихся уязвимостях, патчах или отсутствии и т. п.
- Второе — своевременность. Если есть основания полагать, что изменения в составе АС изменят модель угроз — появятся новые актуальные угрозы, то необходимо как можно ранее приступать к модернизации.
- Третье — системность. Закрывая и улучшая одно, важно не забыть посмотреть и проанализировать где появится новая дверка с чёрного хода или ослабнет защита.
- Четвертое — не выключать защиту в ходе модернизации, желательно проводить во время технологического останова с отключением от каналов связи и пользователей. Здесь нам не привыкать работать в выходные, не так ли, коллеги?
- Пятое — так же как при вводе в эксплуатацию полноценно провести приёмочные испытания.
Вывод
Без скрупулезного соблюдения правил эксплуатации защищаемой АС невозможно существенно снизить риск утечки данных.
Потенциальный размер оборотных штрафов позволит соотнести стоимость создания / модернизации системы ЗИ и расходов на её эксплуатацию, подготовку специалистов и обучение персонала-пользователей.
А об еще одной стороне этого процесса я расскажу в следующей статье. Догадываетесь, о какой?