Средства защиты ПДн: что сегодня могут ИБ-решения?

Объем утечек персональных данных в России в 2022 году составил 667 млн записей, что почти в 2,7 раза больше, чем годом ранее. По информации аналитиков, трендом прошлого года стали бесплатные сливы данных, без попыток заработать на их продаже. Роль человеческого фактора в росте утечек неоспорима, но не менее важен выбор средства защиты ПДн. Именно они определяют уровень защищенности и надежности системы. Эксперт по комплексным ИБ-проектам STEP LOGIC Владимир Арышев рассказал о решениях, которые в данный момент доступны на рынке, и особенностях их применения.

– Какие типы средств защиты требуют сегодня регуляторы? Как реагирует на эти требования российский рынок информационной безопасности?

– С технической точки зрения, требованием регулятора является реализация набора общих мер по обеспечению безопасности персональных данных из Приказа ФСТЭК России от 18.02.2013 N 21. Самый интересный вопрос в данном случае, какие конкретные технические средства защиты при этом могут использоваться. Производители стремятся комбинировать в своем продукте разные функции, ведь чем больше мер он закрывает, тем лучше для заказчика. Поэтому на рынке все чаще появляются комбинированные решения, например, межсетевой экран (МЭ) и средство обнаружения вторжений (СОВ) в одном сетевом устройстве или персональный межсетевой экран (МЭ), антивирусная защита (САВ), система обнаружения вторжений уровня узла (СОВ) и средство контроля подключения съемных машинных носителей информации (СКН), совмещенные в рамках ПО для конечного узла.

Интересно, что явного требования использовать специализированные средства защиты в документе нет, поэтому для некоторых мер могут применяться штатные механизмы защиты системного или прикладного ПО (как это задекларировано в аналогичном приказе ФСТЭК по защите значимых объектов КИИ), например, в управлении доступом или регистрации событий безопасности. Но для части мер, например, защиты каналов связи или антивирусной защиты, такой подход не применим.

Чем выше категория ПДн, и, соответственно, уровень защищенности, тем серьезнее требования предъявляются к средствам защиты. Для определения подходящих СЗИ для защиты ПДн используется механизм сертификации, что значительно упрощает процесс подбора для заказчиков: если у продукта есть сертификат нужного уровня – значит это решение можно использовать.

– Ваша оценка отечественных средств предотвращения несанкционированного доступа. Какими вы пользуетесь сами?

– В нашем портфеле решений более 20 отечественных продуктов, реализующих защиту от НСД. Причем, речь не только о защите ПДн (далеко не все из них имеют сертификаты ФСТЭК), но и о информационной безопасности в комплексе. Каждое их этих средств имеет свои нюансы реализации и особенности применения. При выборе СЗИ от НСД следует, в первую очередь, оценить функциональность защиты конечных точек: выполняет ли продукт защиту от сетевых угроз, проверяет ли трафик на наличие вредоносов, контролирует ли съемные носители информации.

Стоит добавить, что набор мер защиты от несанкционированного доступа можно закрыть с применением штатных средств ОС и прикладного ПО. Их даже рекомендуется использовать, но сначала стоит провести оценку соответствия.

– Средства межсетевого экранирования: что лучше?

– Наилучшим вариантом реализации межсетевого экранирования является его комбинация с «интеллектуальными» инспекциями трафика в рамках одного шлюза, который обычно обозначается как NGFW (Next-Generation Firewall). Типовой набор функций NGFW: межсетевой экран, система обнаружения вторжений, контроль приложений. В качестве дополнения может быть URL-фильтрация и встроенная антивирусная проверка трафика либо возможность отправки файлов на проверку в стороннее решение, реализующее антивирусную проверку либо «песочницу» для эмуляции работы файлов. Однозначный ответ на вопрос «что лучше» дать довольно сложно, потому что у разных решений есть преимущества в различных сценариях и с учетом индивидуальных требований заказчиков.

– Какие решения вы используете для анализа защищенности ПДн (сканеры уязвимости)?

– Наиболее важный параметр сканера – качество анализа защищенности, а именно какое количество уязвимостей решение способно найти и как быстро его база пополняется сигнатурами новых уязвимостей.

Распространенной практикой является локализация ИСПДн в рамках одного либо нескольких сетевых сегментов, которые значительно проще защитить по требованиям регулятора. Для небольших сегментов подойдут обычные сканеры уязвимостей, для больших инфраструктур мы рекомендуем системы управления уязвимостями, позволяющие приоритизировать уязвимости и непрерывно отслеживать уровень защищенности.

Сейчас популярность набирают облачные сканеры уязвимости. Особенностью их работы является сканирование из Интернета, то есть только внешнего периметра, поэтому для защиты ПДн такие инструменты обычно не используются.

– Ваш выбор антивирусной защиты?

– Трендом текущего времени является импортозамещение, в рамках которого производители ИТ-продуктов стремятся как можно скорее перенести свои системы на различные платформы ОС Linux. Основных вариантов миграции два: поставка ОС и ПО целиком в рамках одного образа Virtual Appliance либо адаптация ПО к установке на платформе ОС Linux, преимущественно отечественной разработки и имеющей сертификат ФСТЭК. В связи с этим большим спросом пользуются антивирусные продукты, поддерживающие работу с ОС Linux. Также высокую важность при выборе антивируса имеет скорость пополнения базы сигнатурами новых вредоносов.

– Что необходимо для защиты ПДн в виртуальной среде?

– Мы используем одинаковые базовые подходы при защите как виртуальных сред, так и ИТ-инфраструктуры: прежде всего обеспечиваем безопасность конечных узлов (виртуальных машин) и контроль трафика между ними (микросегментацию). Однако виртуальная инфраструктура имеет ряд особенностей, например, требует разграничения и контроля доступа к виртуальным машинам со стороны как пользователей, так и администратора виртуализации. Кроме непосредственно виртуальных машин также необходимо обеспечить защиту гипервизора. В инфраструктурах крупного масштаба для создания виртуальных машин используются шаблоны, «золотые образы», целостность которых также нужно контролировать.

– Ваш совет: как обеспечить комплексный подход к защите персональных данных в компании?

– Внедрение всех классов систем, которые присутствуют на нашем рынке (а их более 60), может стать непосильным бременем для бюджета, поэтому мы рекомендуем подойти к вопросу защиты персональных данных системно.

В первую очередь, оценить наличие и достаточность ресурсов для построения и сопровождения системы защиты информации. На этом этапе определяется целесообразность привлечения подрядчиков. Есть ли в компании специалисты с соответствующим уровнем компетенций? А достаточный объем задач для них? Достаточно ли ресурсов, чтобы удержать и развивать этих специалистов?    

Затем нужно минимизировать количество потенциальных каналов утечки: провести инвентаризацию информационных активов, прав доступа и информационных потоков, пересмотреть существующие бизнес-процессы и архитектуру ИС, отказаться от обработки излишних данных, сократить количество мест хранения и т.п.

На следующем этапе разрабатываются и внедряются организационные меры защиты информации. Причем, они должны соответствовать масштабам деятельности компании, реализуемым бизнес-процессам. Меры необходимо не просто формально утвердить, а реализовать таким образом, чтобы выполнить их было легче, чем обойти, только тогда они будут эффективны.

И только после этого есть смысл переходить к проектированию и построению системы технических мер защиты информации. 

Перед началом работ компания должна:

• определить итоговый набор мер защиты, необходимых в соответствии с требованиями законодательства;

• определить, какие из мер реализуются штатными и существующими средствами, а какие - потребуют внедрения дополнительных решений;

• провести оценку остаточных рисков и необходимости реализации дополнительных мер или внедрения решений, которые, возможно, не требуются регуляторами, но необходимы для достижения требуемого уровня безопасности и защиты бизнес-процессов организации, например DLP, EDR, ZTNA, VDR или решения по скрытому маркированию конфиденциальных данных, позволяющие однозначно утверждать, кто и когда выполнил обращение к защищаемым данным, даже если информация «утекла» путем фотографирования экрана.