Организации по мере роста создают сложные информационные системы (ИС), содержащие множество элементов. Обрабатываемая в них информация может иметь высокую степень конфиденциальности. Компании при создании собственной архитектуры защиты данных выбирают один из двух путей – самостоятельную разработку модели ИС или приглашение организаций, профессионально оказывающих услуги по защите информации. При выборе технических и программных средств следует опираться на модель рисков и методы, рекомендованные ФСТЭК.

Как построить работающую и безопасную ИС

Выбор метода и способов защиты зависит от уровня рисков и бюджета на разработку и внедрение системы защиты данных. Далеко не все сотрудники ИТ-подразделений знают, достаточно ли сертифицированного ФСТЭК ПО для защиты от рисков, связанных с возможными утечками конфиденциальной информации и персональных данных. 

На первом этапе разработки собственной модели консультация специалистов позволит построить пошаговую стратегию защиты от рисков, используя комплексные методы защиты, по алгоритму:

1. Аудит ИС компании для оценки ее соответствия требованиям закона «О персональных данных», рекомендациям ФСТЭК и предполагаемой модели риска. Изучается использование сертифицированного программного обеспечения, степень защищенности ИС от внутренних и внешних угроз ее работоспособность.

2. Разработка и внедрение комплекса организационных мер по защите информации. Здесь готовятся требуемые законом внутренние положения и инструкции, разрабатывается регламент допуска сотрудников к информационным ресурсам.

3. Выявление релевантных рисков и разработка модели потенциальных нарушений.

4. Изучение классов информации и типов персональных данных, обрабатываемых в организации. Определяется требуемый ФСТЭК тип защищенности системы с учетом стратегии развития и перспектив роста компании.

5. Разработка технического задания на создание системы защиты данных.

6. Приобретение и внедрение технических и программных средств обеспечения безопасности информации.

7. Оценка работоспособности ИС. Для ГИС (государственных информационных систем) дополнительно требуется аттестация. Для систем общего типа проводить ее необязательно, но это повысит уровень доверия к организации со стороны клиентов и партнеров.

Модели рисков 

Риски информационной безопасности зависят от размера компании и сферы, в которой она работает. А уровень конфиденциальности информации в ИС влияет на тип потенциальных злоумышленников. Например, компания, работающая в малом и среднем бизнесе и обрабатывающая персональные данные сотрудников и клиентов, может не опасаться, что против нее будут работать специалисты иностранных технических разведок. Типичным образом злоумышленника для нее является сотрудник или поставщик ПД на черный рынок данных. Поэтому используемые ей методы защиты могут не опираться на сложные технические решения.

Защита от внешних угроз может быть реализована штатными средствами. Главное – ограничить доступ к данным внутренних пользователей и обучить их ИБ-правилам, чтобы исключить непреднамеренное заражение ИС вредоносными программами.

Угрозы распространяются на следующие характеристики информации:

• конфиденциальность. Утечка данных может принести репутационный, финансовый или физический ущерб организации, сотрудникам, партнерам и клиентам;
• целостность. Преднамеренное или непреднамеренное изменение данных затрудняет бизнес-процессы, чем наносит финансовый ущерб организации;
• доступность. Сведения, которые должны быть доступны сотрудникам или клиентам, могут быть заблокированы, например, в случае отказа программы или DDoS-атаки на сайт организации.

Перечень современных угроз с указанием предполагаемого источника и свойства информации, на которое осуществляется покушение, размещен на сайте ФСТЭК. 

При составлении модели угрозы делят на три типа. Первый – существенные и требующие повышенного внимания, второй – вероятные, требующие внимания, третий – должны оставаться в поле наблюдения, но не требуют немедленного принятия мер. От типа угрозы зависит модель бюджетирования обновлений ИС. 

Базовая модель включает следующие угрозы:

• реализуемые при непосредственном доступе пользователя к информационным ресурсам. Тип угрозы по внутренней классификации компании – третий, реализация маловероятна, актуальность низкая, меры защиты приняты;
• возникающие в результате действия вредоносных программ. Тип угрозы по внутренней классификации – первый, реализация вероятна, актуальность высокая, меры защиты приняты;
• возникающие из-за недостатков или незадекларированных возможностей сетевого ПО. Тип угрозы второй, реализация вероятна, актуальность средняя, меры защиты принимаются.

Тип угрозы компании определяют по собственной классификации, опираясь на их актуальность, используя методы математического анализа. Многие компании не ограничиваются широким перечнем, а указывают весь выявленный список угроз по классификации ФСТЭК. Это помогает более точно выбирать средства защиты.

«СёрчИнформ КИБ» перехватывает данные, передаваемые по различным каналам – почта, облачные сервисы, съемные носители, мессенджеры, документы, отправленные на печать. Программа анализирует поток данных и выявляет случаи их небезопасного использования. 

Структура ИС и модель защиты

Стандартная модель ИС в небольшой компании без филиалов и удаленных подразделений – клиент-серверная. Она включает:

• рабочие места сотрудников;
• сервер;
• маршрутизатор и точки контакта с Интернетом.

При разработке системы защиты данных в такой ИС в связи с отсутствием каждодневной и постоянной необходимости обмена большими пакетами данных не уделяется внимание обеспечению безопасности при передаче информации по внешним каналам связи с удаленными подразделениями. Дополнительными объектами защиты в случае их использования в работе компании могут оказаться IP-телефония и данные, размещаемые на облачных ресурсах, где многие компании хранят архивы, БД различных приложений: бухгалтерских, кадровых, по взаимодействию с клиентами – CRM.

Компания в стандартном варианте, по которому работает до 80% предприятий малого и среднего бизнеса, обрабатывает персональные данные сотрудников в таком ПО, как Контур.Персонал, 1С: Зарплата и управление персоналом, 1С: Бухгалтерия. ПД сотрудников попадают в CRM, в 1С: Предприятие, обрабатываются в различных базах данных под управлением СУБД. При выборе программ, в которых непосредственно обрабатываются персональные данные, надо ориентироваться на ПО, уже имеющее сертификацию ФСТЭК. Также нужно принимать во внимание рекомендации ведомства по выбору общих для системы защиты данных средств и методов безопасности. Они обеспечат сохранность ПД и других типов конфиденциальной информации.

Организационные меры обезопасят данные от некорректных или неграмотных действий сотрудников, технические обеспечат дифференцированный допуск к данным. Использование трех типов средств защиты, включая такие аппаратные способы как электронные ключи доступа и замки, призвано обезопасить ИС от любых угроз.

Организационные

В стандартной ситуации, до начала внедрения разрабатываемой на основе аудита и подготовленного ТЗ модели безопасности система защиты персональных данных и конфиденциальной информации в компании выглядит следующим образом:

• внедрен пропускной режим, паспортные данные сотрудников и посетителей заносят в бумажную книгу учета и в информационную базу в виде электронных копий;
• разработаны основные локальные нормативные документы: Положение об обработке ПД и согласие на обработку, Положение о коммерческой тайне. В трудовые договоры сотрудников внесено условие о необходимости соблюдения требований законодательства по отношению к ПД и коммерческой тайне;
• ограничен доступ в помещения, где производится ручная и автоматизированная обработка ПД;
• обеспечено безопасное хранение документов;
• работает система видеонаблюдения.

Для реализации, требуемого законом механизма защиты ПД нужно дополнительно:

• создать механизм учета и хранения электронных носителей информации;
• внедрить режим контроля и управления доступом на объект (СКУД);
• установить охранную сигнализацию;
• назначить подразделение, ответственное за охрану информации;
• проводить ознакомление сотрудников с требованиями по защите информации, порядку использования программных и технических средств безопасности.

Также возникает необходимость постоянного обновления текстов принятых документов и списка допущенных к работе с ПД сотрудников. Обучение сотрудников должно включать правила работы с мессенджерами, мобильными устройствами, электронной почтой.

Технические

Технические средства призваны обеспечить решение задач ограничения доступа к информации и их криптографической защиты. 

Функция ограничения доступа возлагается на электронные карты или токены, при помощи которых:

• ограничивается доступ в помещение;
• исключается загрузка операционной системы на компьютере или отдельных приложений неавторизованными пользователями;
• вход на облачные ресурсы производится с дополнительной авторизацией при помощи смс.

Средства криптографической защиты, необходимые при охране государственной тайны, информации о счетах, картах или финансовых трансакциях, выпускаются в программно-аппаратном и программном виде. Они обеспечивают шифрование и дешифровку данных.

Программные средства

Выбор необходимых средств и способов защиты основывается на требованиях Приказа ФСТЭК № 21, содержащего перечень программных продуктов и цели их использования. Документ относится только к ИС, требующим защиты персональных данных и не распространяется на сведения, составляющие государственную тайну. Но его рекомендации часто используются для обеспечения безопасности коммерческой тайны. 

Документ называет следующие типы программных средств для:

• идентификации и аутентификации пользователей. Чаще реализуются в рамках штатных средств ОС;
• управления дифференцированным доступом пользователей;
• ограничения программной среды. Они управляют запуском приложений и протеканием процессов в различных секторах ИС, исключают возможность установки запрещенных в компании программ;
• защиты носителей информации. Это средства обеспечения безопасности дисков (RAID-технологии и программы, исключающие применение съемных носителей информации);
• регистрации событий безопасности. Информация должна сохраняться, передаваться в уполномоченное подразделение, анализироваться (SIEM-системы);
• антивирусной защиты. Штатной иногда бывает недостаточно;
• обнаружения внешних вторжений. Исключается доступ к ИС извне;
• обеспечения целостности ИС. Программы контролируют наличие модификацию и удаление информации;
• контроля работоспособности всех элементов ИС;
• защиты данных, размещенных на облачных ресурсах;
• защиты ИС и каналов передачи данных.

Для каждого пункта ведомство рекомендует список программ и указывает для ИС какого типа они могут применяться. Наиболее важные межсетевые экраны и антивирусы.  

***

Разрабатывая собственную систему защиты данных, нужно понимать, что только применение сертифицированных ФСТЭК приложений, в которых обрабатываются ПД, не решает задачу обеспечения безопасности полностью. Для предотвращения угроз и рисков причинения финансового ущерба компании и выполнений требований регулятора требуется полный пересмотр обычной модели защиты, основанной на штатных возможностях операционной системы, как происходит в обычной ситуации, когда компания обрабатывает только ПД персонала и не заявляет себя в качестве оператора. 
 

23.11.2020