Данные, находящиеся в информационных системах организаций, защищают от несанкционированного доступа способами, которые соответствуют их ценности. Если сведения охраняются законом, дополнительную защиту они приобретают за счет действия норм административного и уголовного законодательства.

Объекты защиты

Выстраивая концепцию информационной защиты сведений любого уровня, необходимо определить объекты, безопасность которых надо обеспечить, и ранги их значимости. Для некоторых средства защиты будут более сложными, создающими несколько линий обороны. 

Информация, которая может быть интересна злоумышленникам:

1. Государственная тайна. Закон «О государственной тайне» определяет перечень сведений, составляющих ГТ. К ним уполномоченные государственные организации относят сведения в военной сфере, науке, технике, внешней политике. Право собственности компании на эту информацию, если она получена в ходе реализации государственного контракта или иным путем, засекречивается. Формы защиты информации определяются руководящими указаниями ФСТЭК и ФСБ.

2. Коммерческая тайна. Это информация, создаваемая предприятием в процессе работы – бизнес-планы, ноу-хау, маркетинговые стратегии и иные данные, интересные конкурентам. Чтобы эти сведения получили статус коммерческой тайны и были защищены со стороны закона и правоохранительных органов, а убытки от утечки компенсировал виновник, необходимо ввести в компании режим коммерческой тайны, составить перечень относящихся к ней сведений и ознакомить с ним сотрудников.

3. Банковская тайна. Это информация о счетах и вкладах граждан и организаций. Она охраняется согласно ст. 6 Закона «О банках и банковской деятельности». Программные и технические средства, используемые для обеспечения информационной защиты сведений этого характера, определяет Центральный банк РФ.

4. Различные виды служебной тайны – адвокатская, врачебная. Она защищается исходя из требований конкретных законов. Технические и программные средства обеспечения безопасности не регламентируются.

5. Персональные данные. Биометрическая информация, Ф. И. О., сведения об имуществе, месте жительства граждан, обрабатываемые операторами ПДн, защищаются в зависимости от категории данных и класса информационной системы, количества учетных записей. Требования по использованию программных и аппаратных средств определяет ФСТЭК РФ.

В деятельности организации образовываются различные массивы информации с разным статусом защиты. Если нет возможности обрабатывать их обособленно, в системах с определенным уровнем защиты, их безопасность обеспечивается по единому регламенту. Часть информации при этом признают свободно распространяемой.

Риски информационной безопасности

Перечень основных рисков размещен на сайте ФСТЭК. Они классифицируются по нескольким категориям.

По отношению к организации:

• внутренние риски, возникающие со стороны сотрудников. Борьба с ними осуществляется путем регламентации доступа к данным, использования ПО для контроля действий пользователей за ПК – SIEM- и DLP-систем; 
• внешние риски, в их появлении которых виноваты внешние злоумышленники и хакерские группировки. Эти риски реализуются с использованием протоколов межсетевого взаимодействия и основным средством защиты от них становятся межсетевые экраны.

По источнику:

• техногенные, связанные с авариями и выходом из строя оборудования;
• вызываемые природными факторами – катастрофами, наводнениями, землетрясениями;
• виновником которых становится человек.

По степени потенциала нарушителя. Под потенциалом понимается владение специальными знаниями и программными средствами. 

Нарушители могут иметь разный потенциал:

• низкий – обычные инсайдеры, хакеры, использующие общедоступные программные средства;
• средний – квалифицированные хакеры, сотрудники организаций, занимающихся промышленным шпионажем;
• высокий – представители иностранных технических разведок.

По свойству информации, на которое направлена угроза:

• угроза конфиденциальности;
• угроза целостности;
• угроза доступности.

У ФСТЭК есть методика распознавания и классификации угроз. Она отмечает, что не все они связаны с намеренными или случайными действиями сотрудников или покушениями злоумышленников. Некоторые имеют техногенный характер, могут быть вызваны неполадками оборудования или уязвимостями в программном обеспечении. Ряд угроз реализуется в процессе передачи данных по техническим каналам связи, в ситуации, когда они выходят за пределы информационного периметра организации. Эта ситуация требует внедрения дополнительных мер защиты. 

ФСТЭК называет типы носителей угрозы:

• субъект, хакер или инсайдер;
• носитель вредоносной программы;
• аппаратная закладка.

Выстраивая собственную стратегию обеспечения безопасности, организация должна подготовить модель угроз, опираясь на категорию и ценность обрабатываемой ею информации и текущую ситуацию. Законодательство о защите ПДн прямо требует разработки модели угроз в качестве одного из локальных нормативных актов компании. Новые типы угроз выявляют при помощи экспертиз, опроса специалистов, должностных лиц, использования данных, которые консолидируются в национальных системах мониторинга угроз, например, ГосСОПКА, методом сетевого сканирования и исследования информационных систем.

Угрозы оценивают по степени актуальности. Она определяется по двум параметрам: уровень исходной защищенности информационной системы и частота реализации рассматриваемой угрозы (с учетом статистики).

Статистику собирают в ряде случаев на основе нормативного регулирования, например, на основе инструкций ЦБ. Так, Центральный банк обязывает кредитные учреждения в оперативном порядке предоставлять данные обо всех инцидентах информационной безопасности и использует эту статистику для выработки рекомендаций по безопасности.

Нормативно-правовые меры защиты

Создавая собственную систему защиты, нельзя забывать о существовании статей КоАП и УК РФ, направленных на наказание злоумышленников, посягающих на конфиденциальность, целостность и доступность информации ограниченного доступа и персональных данных. 

В КоАП это следующие статьи:

• 13.11. Нарушение законов, действующих в области защиты персональных данных;
• 13.12. Нарушение правил защиты информации. Здесь рассматриваются случаи нарушения правил работы с лицензиями, например, на разработку средств шифрования и использования нелицензионного или несертифицированного ПО, если оно подлежит сертификации;
• 13.14. Разглашение данных с ограниченного доступа. В рамках этой статьи, например, наказывают адвокатов, разгласивших служебную тайну. Штраф при этом вырастает до 5 тысяч рублей.

Уголовный кодекс предусматривает ответственность по следующим статьям:

• 272. Неправомерный доступ к компьютерной информации;
• 273. Создание, использование и распространение вредоносных компьютерных программ;
• 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей; 
• 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.

Кроме того, существует ст. 183. «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну». 

Для ее применения на практике необходимо выполнить несколько условий:

• отнесение информации к категории, защищаемой по закону. Для коммерческой тайны это будет введение на предприятии режима коммерческой тайны;
• принятие в организации мер защиты. При проведении следственных экспертиз это позволит установить, обеспечила ли компания защиту сведениям или они находились в открытом доступе;
• учет инцидентов информационной безопасности и действий пользователей в информационной системе, чтобы предоставить дознанию и следствию необходимые доказательства. 

Деятельность компании по защите информации

Чтобы обеспечить информационную защиту данных на высоком уровне, после оценки угроз и составления их модели компания разрабатывает собственную стратегию работы, из трех групп мер:

• организационных,
• технических,
• программных.

Поэтапное внедрение стратегии помогает нивелировать большинство рисков информационной безопасности.

Организационные меры

В законах о защите ПДн перечислены внутренние нормативные акты, которые должны быть разработаны и приняты в компании. Они регламентируют деятельность сотрудников, определяют риски и способы защиты. К ним присоединяются документы, связанные с защитой коммерческой тайны. 

Общий перечень документов выглядит следующим образом: 

1. Положение об обработке персональных данных.
2. Положение о коммерческой тайне с перечнем сведений, ее составляющих.
3. Стратегия информационной безопасности.
4. Правила дифференцированного доступа.
5. Правила работы на ПК.
6. Правила обращения со съемными носителями информации и их учета.
7. Правила копирования документов.
8. Приказ о назначении лиц, допущенных к работе с персональными данными и коммерческой тайной.

Документы размещают на сайте организации (некоторые – в открытом доступе для внешних пользователей) и обновляют по мере необходимости. 

Технические организационные меры включают:

• ограничение доступа посторонних лиц на объект, установление СКУД;
• организацию системы видеонаблюдения;
• ведение журналов учета действий пользователей.

Организационные меры часто основываются на внедрении технических средств информационной защиты данных.

Технические меры

Технические средства защиты данных призваны решить задачу ограничения доступа пользователей к ПК и серверам. Для этого чаще всего используют электронные средства идентификации – карты или токены, при наличии которых можно включить компьютер, запустить операционную систему или войти в БД. Иногда токены используют для двухфакторной идентификации при работе с облачными базами данных. 

Токен является аналогом флеш-карты и содержит зашифрованный электронный код для идентификации пользователей. Иногда они содержат электронную подпись пользователя. 

Токены бывают:

• программные,
• программно-аппаратные,
• аппаратные,
• облачные.

Последние – новый тип. «Ключ» находится в защищаемом облаке и при соединении с ним через идентифицированное мобильное устройство, на которое направляется одноразовый пароль. 

Помимо токенов, аппаратный характер носят некоторые средства криптографической защиты, когда шифрование и дешифрование осуществляются не на ПК или сервере, а на отдельном устройстве. Траффик шифруется не в ПК, а на отдельном устройстве.

Программные меры

Наибольшие возможности защиты информации предоставляет специализированное ПО. Перечень программных средств информационной защиты данных очень широк. 

К ним относятся:

• средства защиты от несанкционированного доступа – обеспечивающие идентификацию, аутентификацию, дифференциацию доступа. Это штатные средства ОС, опции в СУБД или утилиты;
• средства доверенной загрузки, которые блокируют загрузку ОС для пользователей, не имеющих доступа, и исключают загрузку операционной системы с внешних носителей;
• межсетевые экраны, разграничивающие сектора сети, процессы и исключающие использование одного процесса для получения контроля над другим. Обычно устанавливаются на границе информационного периметра локальной сети для защиты от внешних атак;
• системы обнаружения вторжений. В их функции входит поиск уязвимостей в оборудовании и программном обеспечении, мониторинг попыток проникновения извне, распознавание источника атаки – внутреннего или внешнего, контроль за качеством работы системных администраторов;
• сканеры уязвимостей. Программные продукты, приобретенные организацией, лицензионные или облачные, доступные по демо-версии, которые имитируют хакерские атаки на информационную сеть с целью выявления уязвимостей. Сканеры содержат базу данных последних угроз. Применять их нужно регулярно, выявляя и устраняя уязвимости; 
• системы мониторинга безопасности. SIEM-системы в постоянном режиме проводят мониторинг информационной системы и ее отдельных узлов, проверяют работоспособность, выявляют отклонения от заданных параметров и при обнаружении инцидентов информационной безопасности направляют сообщение администратору сети. Они обеспечивают сбор, хранение и анализ информации об инцидентах, способны произвести корреляцию событий;
• антивирусы. Штатные средства не всегда справляются со всеми задачами безопасности, необходима установка более мощных решений. Различным функционалом обладают антивирусы, предназначенные для серверов, ПК и мобильных устройств. В работе им помогают программы фильтрации электронной почты, исключающие попадание в систему сообщений, содержащих вирусы; 
• системы предотвращения утечек информации. DLP-системы выявляют попытки скопировать или направить вне периметра организации информацию, содержащую коммерческую тайну, и блокируют их, одновременно отправляя сообщение об инциденте службе безопасности. Может быть заблокирована передача информации не только из локальной сети, но и внутри нее, например, вывод документа на принтер или перенаправление данных сотруднику, не имеющему доступа;
• программы криптографической защиты, обеспечивающие шифрование данных и файлов на компьютере, при передаче по техническим каналам связи;
• средства унифицированного управления угрозами. Эти программные продукты обеспечивают комплексную защиту от инсайдерских и внешних угроз. Они создаются на базе файрвола и содержат функционал системы обнаружения и предотвращения вторжений, VPN, антивирус, средства анализа и инспектирования сетевого трафика.

Следить за происходящим в ИТ-системе компании помогает «СёрчИнформ SIEM». Программа автоматически собирает и отображает в едином интерфейсе ключевые события безопасности, в том числе попытки вирусных атак и несанкционированного доступа.  

Использование программных средств операторами персональных данных должно основываться на их наличии у них сертификата ФСТЭК, что гарантирует бесперебойную работу и отсутствие незадекларированных возможностей. Для информации, содержащей государственную тайну, требования к ПО ужесточаются. Все программные средства информационной защиты данных должны своевременно обновляться.

***

Выбор решений для защиты данных зависит от ее целей, бюджета компании, ценности информации. ФСТЭК иногда не будет настаивать на буквальном соблюдении своих требований, дав время на обновление ПО, но растущие угрозы информационной безопасности требуют использования всех доступных возможностей.

17.11.2020