Я сформулировал 7 тезисов, объединяющие ключевые меры, которые необходимо выполнять, чтобы из информационных систем персональных данных в процессе эксплуатации не утекали данные. Да и не только из ИСПДн, буду использовать гостовский термин «автоматизированная система, АС», так как он шире и корректнее описывает систему, включая персонал и правила обработки информации.

Вот они:

1. Логичный, неизбыточный и описывающий ситуации процесс обработки данных в системе — от ввода до выгрузки.
2. Грамотно спроектированная и введённая в эксплуатацию система ЗИ в ИСПДн.
3. Постоянный мониторинг защищенности, а также управление уязвимостями.
4. Постоянный мониторинг прав доступа к инф ресурсам — фактических и офиц согласованных, а также по должностным обязанностям.
5. Постоянная работа с персоналом по предупреждению умышленных и неумышленных утечек.
6. Постоянный контроль и фиксация выгружаемых и передаваемых данных.
7. Совершенствование системы ЗИ по результатам мониторига и при изменении условий эксплуатации, требований, архитектуры ИС и т. п.

Да, получилось по логике цикла Шухарта-Дёминга. Так мы и говорим о жизненном цикле системы, перефразируя анекдот - «а новый способ не придумали». Здесь нет только этапа вывода ИСПДн из эксплуатации, он включён намеренно.

Первое. «Логичный, неизбыточный и описывающий ситуации процесс обработки данных в системе — от ввода до выгрузки». Перед автоматизацией процесса и внедрением АС аналитики описывают процесс обработки информации, предлагают изменить его

И если в нём появляются, например, ситуации, когда на каком-то этапе данные в открытом виде выгружаются на внешний диск и переносятся для загрузки в другую часть системы, в другую систему, для передачи в другую организацию. Всё, бесконтрольно их можно скопировать. Допустим, внедрены орг меры безопасности, а админ обученный и доверенный человек, но разве это делает утечку невозможной? Нет, мы видим статистику утечек из-за сисадминов и топ-менеджеров, например.

То есть:

человеческий фактор можно минимизировать и для этого есть соответствующие средства;

до внедрения аналитикам необходимо поставить задачу, среди прочих, учесть требования по ЗИ, в т.ч. не допускать ситуаций, когда будет теряться контроль за данными.

Второе - что значит грамотно спроектированная и введённая в эксплуатацию система ЗИ?

Здесь слово «грамотно» относится и к проекту и к этапу ввода в эксплуатации.

То есть если не прописать процесс оценки соответствия при приёмке в эксплуатацию как всей АС, так и её системы ЗИ, соответствующий Требованиям ТЗ, ТЗ на СЗИ, в том числе модели угроз, то не будет никакой уверенности, что создано то, что заказывали и реализовано всё соответствующим образом.

А этим этапом часто пренебрегают как для приёмки системы в целом, так и для системы ЗИ.

В принципе, после ввода системы в эксплуатацию, если там не было раздела ЗИ, возможна аттестация АС, и в некоторых случаях, например, ГИС, она обязательная. Но приёмка учитывает взаимосвязь всех подсистем, лучше ею не пренебрегать. К тому же, аттестация по требованиям ИБ, даже если всё проверили при приёмке,  больше официальная процедура, когда обязательны все этапы и выписка официального аттестата соответствия требованиям ИБ. Или попробовать совместить аттестацию и приёмку — описать этап в части ЗИ соответствующим образом, но прописать и тесты на проверку совместимости подсистем с системой ЗИ, отсутствием вредного влияния и т. п.

С пунктами 3 и 4, полагаю, ясно — пишут много, средства и системы есть. Однако, если системы сложные и достаточно критичны, то без SOC не обойтись — собственного или на аутсорсинге.

Тема выставления критериев к мониторингу довольно серьезная и её также формулируют, описывают и обсуждают как в НПА, так и на различных форумах.

Никакой утечки не предотвратить, если админы, операторы, пользователи системы не будут скрупулезно соблюдать требования процесса обработки, в том числе по безопасности. Даже если со всех сторон «закрутить гайки» оргмерами, закрыть всё возможное техническими и программно-аппаратными средствами. Всё равно где-то перепутают, отправят не в тот адрес, сделают не ту копию, возьмут домой поработать чтобы успеть до отпуска и т. п. И гайки постепенно открутятся, так как выяснится, что где-то мешают, в том числе чему-то срочному или кому-то важному.

Понятно, здесь не обойтись без предупредительной работы со стороны служб ИБ и ИТ, но это касается неумыщленных утечек.

Кто не хочет учиться и соблюдать правила, или кто тайком хочет продать конкурентам или забрать на новое место работы — это «клиенты» службы безопасности.

Здесь важно определиться с источником сведений о типовых нарушениях, о попытках нарушений, о подозрительном поведении и т. п. Средства есть, другой вопрос, что их надо корректно внедрить, поддерживать в актуальном состоянии.

Модернизация системы ЗИ АС (ИСПДн)

Здесь я выделю следующие моменты.

• Первое — последовательность и полнота сведений. То есть не пропускать данные о появившихся уязвимостях, патчах или отсутствии и т. п.
• Второе — своевременность. Если есть основания полагать, что изменения в составе АС изменят модель угроз — появятся новые актуальные угрозы, то необходимо как можно ранее приступать к модернизации.
• Третье — системность. Закрывая и улучшая одно, важно не забыть посмотреть и проанализировать где появится новая дверка с чёрного хода или ослабнет защита.
• Четвертое — не выключать защиту в ходе модернизации, желательно проводить во время технологического останова с отключением от каналов связи и пользователей. Здесь нам не привыкать работать в выходные, не так ли, коллеги?
• Пятое — так же как при вводе в эксплуатацию  полноценно провести приёмочные испытания.

Вывод
Без скрупулезного соблюдения правил эксплуатации защищаемой АС невозможно существенно снизить риск утечки данных.
Потенциальный размер оборотных штрафов позволит соотнести стоимость создания / модернизации системы ЗИ и расходов на её эксплуатацию, подготовку специалистов и обучение персонала-пользователей.

А об еще одной стороне этого процесса я расскажу в следующей статье. Догадываетесь, о какой?