Как перестраивать работу под новое регулирование в ИБ?

Дата: 01.08.2022. Автор: СёрчИнформ. Категории: Главное по информационной безопасности, Статьи по информационной безопасности
Как перестраивать работу под новое регулирование в ИБ?

2022 год для сферы информационной безопасности стал знаковым. Пришли в движение многие «тектонические плиты», которые ИБ-активисты пытались сдвинуть несколько лет: подписаны указы президента, вносятся революционные изменения в ФЗ-152. Давайте разберемся, что и для кого меняется с точки зрения обеспечения информационной безопасности.

1. Обязательное импортозамещение защитных технологий

В марте 2022 года президент подписал Указ №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации». Документ запретил значимым объектам КИИ закупать иностранное ПО, больше того, с 2025 года нельзя будет использовать уже закупленные иностранные лицензии.

Этот шаг дополнительно подстегнул интерес к российскому софту, наряду с «горящими» проблемами вроде уходящих один за одним западных вендоров, когда заказчики остались без защиты, оплаченных лицензий и техподдержки, не получив при этом возврат затраченных средств. И хотя выбор отечественного ИБ-софта широкий, темпы замещения буксуют. По опросам коллег, доля российских средств защиты в некоторых сегментах составляет только 15%.

Дело в том, что отечественные ИБ-решения должны на чем-то работать, а большинство софта написано под иностранные ОС и оборудование. При этом у заказчиков до последнего не было четкого спроса на ПО под «отечественные платформы», так что разработчики уделяли поддержке российского системного софта меньше времени, это сказывалось на функционале. В худшем случае о поддержке российской инфраструктуры речи совсем не шло: сами ИБ-решения базировались на западных ОС и СУБД.

Вторая большая проблема для заказчика – в «железе». Иностранные поставки сегодня практически встали, а в стране пока не хватает мощностей, чтобы поставить, например, отечественные процессоры в необходимых объемах. К тому же российские процессоры «Эльбрус» и «Байкал» пока объективно уступают импортным в производительности.

Однако рынок уже адаптируется к новым реалиям и предлагает решения. Проблему с оборудованием «закрывает» перенос защитных систем в облака и работа с вендорами по MSSP-модели. В этом случае вопрос, где найти мощности для развертывания систем, да так, чтобы они соответствовали всем стандартам – «головная боль» провайдера.

Например, мы «подружили» всю нашу линейку с отечественными облачными провайдерами, поддерживаем и расширяем возможности защиты ПК на российских OC, контроля отечественного ПО (мессенджеров, офисных программ и пр.), перевозим софт на российские СУБД PostgreSQL.

Эта практика распространяется во всех сегментах рынка, вендоры идут навстречу заказчикам и способны быстро создать условия для комфортного импортозамещения.

2. Отделы ИБ и замы по безопасности

В мае появился президентский Указ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Он предписывает всему госсектору, а также системообразующим предприятиям и КИИ создать подразделения по ИБ. На руководителей таких структур ложится персональная ответственность за ИБ, причем они должны иметь прямой доступ к высшему руководству для оперативного информирования об угрозах.

Указ призван решить огромную проблему: по данным нашего исследования, в 2020 году в 60% российских компаний не было подразделения по защите информации. Но опаснее то, что такие подразделения может оказаться не из кого собрать. В 2021-м треть компаний говорили об острой нехватке ИБ-специалистов и отсутствии квалифицированных кандидатов.

В этих условиях выполнить требования указа будет проблематично. Альтернативой могут стать сервисы по информационной безопасности. Контроль внешних угроз можно возложить на SOC, мониторинг утечек и контроль персонала – на аутсорсеров DLP и других систем внутренней защиты. Выгода подхода еще и в том, что собственные специалисты заказчика смогут работать в системах параллельно с внештатными аналитиками, перенимать их опыт и практики.

Например, мы даже в формате аутсорсинга оставляем за сотрудниками заказчика высшие привилегии в наших системах и готовы обучать сотрудников работе в системе. Плюс к тому в учебном центре постоянно действуют больше десятка программ для повышения квалификации ИБ-специалистов.

3. Отчетность об утечках ПДн и оборотные штрафы

Летом Госдума в третьем чтении проголосовала за поправки к ФЗ-152 «О персональных данных». Ожидается, что осенью закон будет подписан и вступит в силу. И компании, которые хранят и обрабатывают ПДн, будут обязаны в течение суток отчитываться регуляторам в случае киберинцидента и в течение 72 часов представлять им результаты внутренних расследований. Если речь о внешней атаке или сбое – отчет пойдет в ГосСОПКА, если об утечке по вине сотрудников – в Роскомнадзор. А еще одна инициатива, выдвинутая Минцифры, вводит оборотные штрафы в 1% за утечки и 3%, если компания попытается скрыть инцидент (эти цифры еще могут измениться).

Эти поправки, по сути, самые массовые, ведь хотя в реестре операторов ПДн зарегистрированы только 440 тыс. компаний, по факту требования коснутся всех, кто обрабатывает и хранит личные данные граждан.

Проблема в том, что выполнить требования компаниям будет невозможно, если нечем выявить инцидент и расследовать его причины. Учитывая объемы обработки ПДн, собрать эти сведения вручную невозможно. Поэтому потребуется внедрять специальные средства контроля:

DCAP-системы, чтобы найти все персданные в компании и отслеживать действия с ними. Это необходимый минимум, чтобы «закрыть» новые требования. Автоматический аудит и логирование файловых операций помогут понять, у кого есть доступы к ПДн и отрегулировать их, зафиксировать инцидент по аномальной активности с файлами, по логам восстановить картину нарушения.
DCAP-системы как класс – решение относительно молодое, но на российском рынке есть, из чего выбрать. Главное, чтобы система надёжно определяла уязвимый контент и могла достоверно фиксировать нарушения прав доступа и изменения в критичных данных. Например, «СёрчИнформ FileAuditor» наводит порядок в хранилищах и защищает документы от опасных действий сотрудников благодаря блокировкам на уровне файловых потоков.

DLP-системы – самый «профильный» инструмент, который автоматически обнаружит и сможет заблокировать утечку. DLP контролируют каналы передачи данных, активность сотрудников в ПО, локальной сети и на внешних сервисах, так что зафиксируют передачу ПДн за пределы корпоративного периметра в любом виде. Благодаря большому охвату каналов контроля, они «видят» нарушение и его обстоятельства в мельчайших подробностях. При этом вручную разбираться с этим не придется, хорошие DLP с развитой аналитикой сами и куда точнее человека определят границы инцидента и соберут необходимые доказательства.
Выбор DLP на российском рынке большой, так что решающими могут стать небольшие «бонусные» фичи. Например, в нашем «СëрчИнформ КИБ» есть таск-менеджер для удобного управления расследованием, карточки пользователей с досье нарушений и больше 30 отчетов с возможностью быстрого экспорта – как раз хватит, чтобы «закрыть» новые нормативы. К тому же КИБ бесшовно интегрируется с нашим файловым аудитором и может, например, одновременно контролировать движение сразу всех файлов, которые DCAP определил как «ПДн».

SIEM-системы выявят внешние атаки и другие угрозы системам обработки ПДн. Это нарушения доступов, уязвимости, взломы, неочевидные причины «самопроизвольных» утечек – скажем, если из-за изменений настроек сервера база с ПДн стала доступна в интернете. Данные о происходящем SIEM собирают из источников во всей IT-инфраструктуре, так что все проблемы с ИБ решаются по принципу одного окна. Например, система увидит связь между алертом о подозрительных операциях из DCAP и об утечке от DLP, и сообщит об этом в реальном времени.
Хороший вариант – SIEM со встроенным сканером уязвимостей, он поможет заранее увидеть, откуда ждать кибератаку. А если взлом или утечка произошли, нужна возможность быстро отчитаться по всей форме. У нас она есть, мы напрямую интегрировали SIEM с ГосСОПКА.

С таким набором систем жизненный цикл ПДн в компании будет под контролем. Кроме того, такой ИБ-комплекс позволит не допустить утечек в будущем: распределить доступы к персданным, заблокировать передачу этих данных в любых каналах, создать правила корреляции, которые моментально укажут на проблемы.

Где найти финансирование?

Итого – решения есть, компании не остаются один на один с новой реальностью и могут рассчитывать на поддержку вендоров. Но остается проблема, что одномоментно предстоит провести огромную работу по перестройке ИБ-инфраструктуры, это большие затраты времени и денег. Непосредственно защиту на переходный период можно перевести в аутсорсинг. А чтобы найти средства на закупки, можно пересмотреть бюджеты: например, какой иностранный софт действительно используется, а какой по факту не нужен, но до сих пор вытягивает деньги на техподдержку.

В качестве альтернативы можно рассмотреть субсидирование закупок. Грантовые проекты, например, реализуют Сколково и РФРИТ. Можно поучаствовать в программах вместе с вендорами, чтобы получить средства сразу на проработанный проект внедрения. А чтобы к нему подготовиться, можно заранее протестировать возможности защиты в «боевых» условиях.

Автор – Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».

Об авторе СёрчИнформ

Российская компания, производитель программного обеспечения для защиты от утечек информации, контроля продуктивности сотрудников за ПК и управления событиями информационной безопасности.
Читать все записи автора СёрчИнформ

Добавить комментарий

Ваш адрес email не будет опубликован.