Согласно требованиям закона №152-ФЗ “О персональных данных”, каждый оператор персональных данных должен аттестовать свою информационную систему обработки персональных данных (ИСПДн) у соответствующих уполномоченных регуляторами представителей — лицензиатов ФСБ и ФСТЭК. Компания RSA, являющаяся подразделением безопасности корпорации EMC, полагает, что этот этап может и должен стать поводом для модернизации корпоративных систем информационной безопасности в целях противодействия наиболее актуальным ИБ-угрозам. Многие компании уже выбрали для построения своих ИБ-систем методологию, основанную на концепции управления информационными рисками. Эта концепция может быть эффективно использована также и для построения модели угроз и нарушителей, лежащей в основе ИСПДн, соответствующей требованиям № 152-ФЗ и являющейся стартовым этапом ее построения.
Суть концепции управления информационными рисками заключается в том, что, поскольку даже теоретически невозможно блокировать все риски, связанные с потерями, искажениями, компрометацией информации, то компаниям следует определить для себя и ранжировать по значимости все потенциальные ИБ-угрозы, и уже после этого сосредоточить инвестиции на противодействии наиболее опасным из них.
От защиты сети к защите данных
За последние несколько лет произошло заметное смещение парадигмы информационной безопасности: от защиты сети к защите систем в рамках сети и далее — к защите самих данных. В результате традиционные технологии обеспечения безопасности, ориентированные на хакерские атаки и защиту периметра, не позволяют адекватно снижать внутренние риски. Необходим новый подход, учитывающий также угрозы, обусловленные действиями инсайдеров, которые злонамеренно или непреднамеренно подвергают данные риску, например вследствие нарушения бизнес-процесса или режима безопасности. В конечном счете риски от потери конфиденциальных данных ведут к финансовым потерям, связанным с затратами на ликвидацию последствий нарушений, издержками на соблюдение правовых норм, убытками от оттока клиентов и ухудшения имиджа торговой марки.
Аналитические данные свидетельствуют о том, что 90% утечек информации в организациях происходит по вине персонала, причем в подавляющей части не по злому умыслу, а по халатности и незнанию. Эти явления стали основой для разработки и распространения решений DLP (Data Loss Prevention) и систем управления инцидентами и событиями информационной безопасности SIEM (Security Information and Event Management).
Система RSA DLP Suite помогает пользователям обнаружить риски, связанные с потерей конфиденциальных данных, и оперативно снизить их за счет корректирующих мер, основанных на разработанных ИБ-политиках и усилении контроля над циркуляцией данных. Она обеспечивает снижение риска утечек независимо от того, хранятся ли данные в информационном центре, передаются ли по сети, или обрабатываются пользователем на рабочей станции.
RSA DLP Suite представляет собой интегрированный пакет продуктов, обеспечивающих проактивный подход к управлению рисками, связанными с потерей корпоративных данных. Ее три компонента — RSA DLP Datacenter, RSA DLP Network, и RSA DLP Endpoint — можно использовать по отдельности или в комплексе в зависимости от предъявляемых заказчиком требований к обеспечению уровня защиты конфиденциальных данных. Единый подход основан на принципе централизованного управления политиками с помощью продукта Enterprise Manager, что позволяет предотвратить потери конфиденциальных данных независимо от их местонахождения.
Механизмы уведомления и исполнения политик системы RSA DLP, как утверждают её разработчики, позволяют удовлетворить специфические требования в различных сферах деятельности, а также требования нормативных и правовых ведомств или других заинтересованных сторон, например связанных с управлением персональными данными.
Эффективное управление ИБ
Для повышения эффективности своей работы специалисты по безопасности должны пользоваться инструментами, позволяющими постоянно превращать множество событий реального времени в данные, имеющие практическое значение, и поддерживать процесс управления инцидентами и снижения рисков. Также они нуждаются в возможности визуального контроля для оценки и тонкой настройки политик безопасности, процессов и ресурсов.
Для этих целей специалистами RSA разработана платформа RSA enVision, которая относится к системам класса SIEM. Она предоставляет собой состоящее из трех интегрированных компонентов решение для регистрации событий, которое, как утверждают в RSA, упрощает соблюдение нормативных требований, повышает эффективность работы службы безопасности, снижает риски и оптимизирует эксплуатацию ИТ-инфраструктуры посредством автоматического сбора, анализа, оповещения, аудита, генерации отчетов и хранения журналов регистрации событий.
RSA enVision собирает, анализирует и сопоставляет данные от всех источников событий, происходящих в корпоративной информационной инфраструктуре, интеллектуально обобщает данные об угрозах реального времени, уязвимостях, информационных ресурсах. За счет автоматизации ручных процессов платформа RSA enVision повышает уровень ИБ и снижает расходы на ее обеспечение. Программное обеспечение RSA enVision в режиме реального времени уведомляет аналитиков и ИБ-специалистов о проблемах, имеющих высокий (согласно установленным в компании критериям) уровень риска и инициирует процесс эффективного решения проблемы.
Благодаря информации об инцидентах, хранящихся данных, уязвимостях и бизнес-приоритетах, а также использованию корреляции событий данное решение позволяет отсеивать ложные срабатывания. Скорость устранения инцидентов возрастает благодаря цикличности их обработки, анализу больших объемов данных и применению усовершенствованного поиска в сочетании с возможностями обращения к исходным событиям для проведения расследований инцидентов. Графические панели и отчеты дают наглядное представление о состоянии корпоративной системы безопасности, что позволяет контролировать эффективность применяемых мер и их исполнение.
Следующим шагом для организаций в направлении повышения эффективности ИБ корпоративной информационной системы, как считают в компании RSA, должно стать создание круглосуточной службы мониторинга и расследования инцидентов (Critical Incident Response Center), являющегося развитием центров оперативного управления ИБ (Security Operation Center).
Проблема сертификации
Для средств защиты информации (СЗИ), предназначенных к использованию в информационных системах обработки персональных данных (ИСПДн), законом “О персональных данных” № 152-ФЗ и относящимися к нему подзаконными нормативными актами государственных регуляторов предусмотрена специальная процедура оценки их соответствия требованиям этого закона — сертификация. Сертификации, например, подлежат антивирусы, межсетевые экраны, сетевые маршрутизаторы и коммутаторы, продукты криптографической защиты, средства анализа защищенности и выявления уязвимостей, системы обнаружения вторжений, средства защиты от несанкционированного доступа (НСД) к ИКТ-ресурсам.
Аттестация ИСПДн должна стать поводом для модернизации корпоративных ИБ-систем в целях противодействия наиболее актуальным ИБ-угрозам.
Исследования показывают, что к настоящему времени сертифицированные средства защиты в своих ИСПДн использует менее 20% российских операторов персональных данных. Это означает, что спрос на сертифицированные СЗИ далек от насыщения. Учитывая потребность со стороны российских заказчиков в средствах разграничения доступа к информации и ее защите от несанкционированного использования, сертифицированных согласно требованиям закона № 152-ФЗ, компания RSA объявила о готовности сертифицировать свою систему двухфакторной аутентификации RSA SecurID с таким расчетом, чтобы она могла использоваться в автоматизированных системах класса защищенности до 1Г включительно.
При этом RSA обращает внимание на следующую проблему сертификации средств защиты от НСД в России. Как известно, ФСТЭК сертифицирует только конкретные партии продуктов. Генераторы одноразовых паролей (токены SecurID) — “товар скоропортящийся”, поскольку из-за особенностей технологии токены имеют ограниченное время работы, а значит, крупную партию таких устройств (скажем, 100 тыс. шт.) нельзя сертифицировать заранее и потом постепенно продавать. Поэтому вендор готов сертифицировать RSA SecurID только под конкретные проекты, причем достаточно крупные (по оценкам специалистов RSA, такие, где заказывается не меньше нескольких тысяч токенов, чтобы сертификация не была убыточной).
Для построения ИБ-систем, адекватных угрозам бизнесу, следует выбирать методологию, основанную на концепции управления информационными рисками.
Вместе с тем, как утверждают в RSA, ее сервер управления цифровыми сертификатами RSA Certificate Manager (RCM, ранее он назывался RSA Keon) уже поставляется в адаптированном под потребности российского рынка варианте и соответствует требованиям ФСБ к ИБ класса КС1 удостоверяющих центров систем электронного документооборота, предназначенных для обработки информации, не содержащей государственную тайну.
Подготовлено по материалам компании ЕМС