Информация, хранящаяся в информационных системах, может быть утрачена по разным причинам – из-за аварии, выхода из строя оборудования, действий хакеров. Технические и программные средства защиты данных призваны обезопасить компанию от рисков информационной безопасности. 

Нормативные основы защиты информации

Определенная группа информационных ресурсов получает защиту на основании закона.

Закон «Об информации» дает классификацию данных, которые относятся к категории конфиденциальных всегда или при определенных условиях:

• государственная тайна. К ней относится засекреченная информация в военной, научной или экономической сфере. Для работы с ней организация должна иметь лицензию и сотрудников в штате, имеющих доступ к таким сведениям;
• служебная тайна. К ней относится информация, образующаяся в деятельности органов государственной власти, правоохранителей, судов, адвокатов, врачей. Защищается она на основании специальных законов и с опорой на инструкции, издаваемые ведомствами;
• банковская тайна. Ее охрану регулирует ст. 6 закона «О банках и банковской деятельности». К ней относят сведения о вкладах и счетах граждан и юридических лиц. Меры по ее защите от внешних и внутренних рисков определяются указаниями Центробанка;
• коммерческая тайна. Это сведения, принадлежащие конкретной компании, создаваемые в ходе работы и интересные конкурентам. Их утечка может привести к ухудшению конкурентных позиций компании. Для обеспечения их защиты на уровне государства компания должна ввести режим коммерческой тайны;
• персональные данные. О них говорит закон «О персональных данных». Сведения, относящиеся к конкретному человеку и позволяющие идентифицировать его, относятся к ПД. Их защита обеспечивается комплексом организационных, технических и программных мер, предусмотренных законодательством и указаниями регуляторов – Роскомнадзора, ФСТЭК, ФСБ.

В нормативных актах порядок обеспечения безопасности в подробностях описан только для государственной тайны и персональных данных. Для всех остальных категорий информации ограниченного доступа ее обладатель вправе разрабатывать собственные комплексы защиты. 

Риски и угрозы

Киберугрозы считаются одним из типов рисков для общемировой безопасности. Об этом заявляют с трибун ООН. Также этот тезис прописан в Доктрине информационной безопасности РФ. Иностранные технические разведки разрабатывают новые и сложные типы угроз. Так, против АСУ некоторых предприятий Ирана, работающих в сфере атомной энергетики, был специально разработан вирус Stuxnet. Крупные международные корпорации, китайские и американские, используют для атаки на конкурентов арсенал военных ведомств. По данным Cybersecurity Ventures, кибератаки происходят каждые 14 секунд по всему миру. А Сбербанк подсчитал, что к концу 2021 года российский бизнес потеряет в результате деятельности киберпреступников до 7 трлн рублей. 

В этих условиях нужно оценивать риски компании максимально четко и применять новейшие и сертифицированные средства защиты электронных данных. 

В обязанности владельцев конфиденциальной информации входит:

• мониторинг угроз информационной безопасности. Некоторые категории юридических лиц – банки и собственники объектов ключевой информационной инфраструктуры (КИИ) – должны передавать отчеты об инцидентах информационной безопасности в центры мониторинга: ГосСОПКА и ФинЦЕРТ;
• блокировка попыток нападений с использованием вредоносных программ, несанкционированного доступа.

ФСТЭК ведет мониторинг угроз информационной безопасности и размещает актуальный перечень на сайте. Они классифицируются по источнику доступа, объекту нападения, квалификации злоумышленника. Для определения типа и уровня используемых средств защиты информации компания должна создать модель угроз, образ нарушителя и понять, к какой категории защищенности относятся сведения, с которыми она работает.

Средства защиты

Современные информационные системы крупных операторов ПД, банков, производственных корпораций и владельцев КИИ характеризуются:

• территориальной распределенностью объектов, наличием нескольких локальных сетей; 
• использованием нескольких аппаратно-программных платформ одновременно;
• использованием облачных компонентов;
• передачей данных по внешним каналам связи.

Это вызывает необходимость использовать целую группу средств защиты, отвечающих за отдельные задачи. Рекомендованный перечень можно найти в Приказе ФСТЭК № 21. Ведомство отвечает за сертификацию и рекомендацию некриптографических средств защиты информации (СЗИ). Средства криптографической защиты (СКЗИ) сертифицирует ФСБ.

ФСТЭК ведет реестр сертифицированных программных продуктов, туда попадает ПО отечественных и зарубежных разработчиков. В нем представлено как повсеместно используемое ПО, например, антивирус Касперского, так и программы, создаваемые по заказу отдельных государственных ведомств. Для аттестации систем защиты данных, созданных по индивидуальному заказу, используемые программные продукты должны пройти сертификацию.

Ключевые показатели в реестре, указываемые в отношении каждого сертифицированного программного продукта и определяющие возможность использования программ для систем защиты – «класс РД СВТ» и «уровень отсутствия НДВ». 

Системы обработки ПД для обычных операторов согласно постановлению Правительства РФ №1119 делятся на категории по количеству обрабатываемых записей и типам данных, информационные системы государственных органов (ГИС), дополнительно, – по территориальному признаку (федерального, регионального и местного масштаба). Сертифицируя программный продукт, ФСТЭК определяет, для какого класса систем он подходит.

Рекомендованные ФСТЭК средства защиты электронных данных призваны предотвратить попытки несанкционированного доступа (НСД) на всех уровнях. 

Штатные системы защиты, встроенные в операционные системы и СУБД, не могут обеспечить охрану от новейших вредоносных программ и злоумышленников, знакомых с типичными уязвимостями. Высокий уровень защищенности системы обеспечивается за счет совместного применения рекомендаций, разрабатываемых в отношении технических и программных средств.

Регулятор рекомендует использовать:

• межсетевые экраны. Они проверяют информацию, входящую в систему или выходящую из нее, блокируют передачу информации между блоками по заявленным параметрам, разграничивают процессы, происходящие в разных блоках системы, например, в офисных программах и АСУ;
• средства обнаружения вторжений. Они контролируют происходящие в ИС события, находят среди них инциденты информационной безопасности;
• антивирусы. Борются с попытками проникновения в систему вредоносных программ;
• средства доверенной загрузки. Исключают запуск ОС или приложений без допуска;
• средства мониторинга инцидентов информационной безопасности (SIEM-системы). Выявляют внешние или внутренние внештатные события, сообщают о них соответствующим службам и сохраняют в архиве;
• средства контроля работоспособности ИС. Проверяют отклонения в показателях качества работы отдельных узлов и принимают меры реагирования;
• средства контроля работы съемных носителей, запрещающие использовать неучтенные носители или блокирующие запись данных на них. Позволяют избежать несанкционированного копирования данных;
• средства криптографической защиты, зашифровывающие информацию в файлах, папках или передаваемую по каналам связи;
• комплексные системы защиты, такие как DLP-системы. Исключают попытки передачи конфиденциальных данных вне информационного периметра организации.

Помимо специализированных средств защиты электронных данных, ФСТЭК сертифицирует программы, для обработки ПД, в том числе, для их хранения: кадровые, бухгалтерские, банковские специализированные продукты, CRM-системы. Помимо программ, используемых в процессе обработки ПД и обеспечении мер защиты ИС этого типа от НСД, регулятор сертифицирует ПО, предназначенное для защиты государственной тайны.

При проведении сертификации нового программного продукта или его новой версии ФСТЭК тестирует его на возможность наличия в нем вредоносного программного кода, который позволит осуществить несанкционированный доступ к информации, ее копирование, блокирование, модификацию. Эти возможности программы называются несертифицированными. После экспертизы ПО присваивается один из четырех уровней. Первый – наивысший, по этому классу сертифицируются программные продукты, используемые для защиты государственной тайны с грифом «Особой важности». Для персональных данных требуется ПО только четвертого уровня.

При сертификации ПО и средств вычислительной техники по признаку уровня защищенности от несанкционированного доступа регулятор предлагает 7 классов. Эту классификацию следует отличать от классификации информационных систем, предусматривающую 4 класса. Для каждого класса ИС подходит один или два класса ПО соответствующего уровня. Первый класс сертификации ПО – высший, основан на использовании способов верифицированной защиты от НСД. Верифицированная защита выражается в том, что диспетчер системы должен перехватывать все попытки доступа к информационным объектам. 2-4 классы должны обеспечивать ролевой доступ на основе меток, присваиваемых пользователям и системным администраторам. 5-6 классы просто определяют, какие пользователи что вправе делать с отдельными файлами – читать, править, копировать. 7 класс предполагает наличие минимумам средств защиты от НСД.

Автоматизированным системам также присваивают классы защищенности. К 1-му с литерами от «А» до «Д» относятся многопользовательские системы с дифференцированным доступом. Группа 2 с литерами «А» и «Б» предполагает наличие у пользователей равных прав, но файлам и папкам в ИС присваиваются разные степени конфиденциальности. Классы «ЗА» и 3Б» присваивают системам с одним пользователем. Также отдельно классифицируются антивирусы и межсетевые экраны.

***

Самостоятельно определить, какие именно средства защиты электронных данных (программы и оборудование) должны использоваться в конкретном случае, не всегда просто. Поэтому при построении системы обеспечения безопасности правильнее сразу обратиться к специалистам, оказывающим профессиональные услуги на рынке информационной безопасности и имеющим соответствующие лицензии.

23.11.2020