Время перемен. Как выполнить новые требования регуляторов в ИБ и не поседеть

BIS Journal №3(46)/2022

30 августа, 2022

Время перемен. Как выполнить новые требования регуляторов в ИБ и не поседеть

2022 год для сферы информационной безопасности стал знаковым: начали движение «тектонические плиты», которые ИБ-активисты пытались сдвинуть несколько лет.

С начала года защита данных «на устах» у высших чинов, президент предписал создать ИБ-подразделения в организациях и назначить заместителей руководителя, ответственных за безопасность. А к концу полугодия Госдума проголосовала за долгожданные поправки в 152-ФЗ «О персональных данных».

Таким образом вопросы информационной безопасности вышли в стране на революционно новый уровень. В теории это значит, что оборот и хранение наших данных станут безопаснее. На практике – что почти 80% компаний столкнутся с серьезными проблемами.

Давайте разберемся, что и для кого меняется с точки зрения обеспечения информационной безопасности.

 

ОБЯЗАТЕЛЬНОЕ ИМПОРТОЗАМЕЩЕНИЕ ЗАЩИТНЫХ ТЕХНОЛОГИЙ

В марте 2022 года президент подписал Указ №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации». Документ запретил значимым объектам КИИ закупать иностранное ПО, больше того, с 2025 года нельзя будет использовать уже закупленные иностранные лицензии.

Этот шаг дополнительно подстегнул интерес к российскому софту, наряду с «горящими» проблемами вроде уходящих один за одним западных вендоров, когда заказчики остались без защиты, оплаченных лицензий и техподдержки, не получив при этом возврат затраченных средств. И хотя выбор отечественного ИБ-софта широкий, темпы замещения буксуют. По опросам коллег, доля российских средств защиты в некоторых сегментах составляет только 15%.

Дело в том, что отечественные ИБ-решения должны на чем-то работать, а большинство софта написано под иностранные ОС и оборудование. При этом у заказчиков до последнего не было четкого спроса на ПО под «отечественные платформы», так что разработчики уделяли поддержке российского системного софта меньше времени, это сказывалось на функционале. В худшем случае о поддержке российской инфраструктуры речи совсем не шло: сами ИБ-решения базировались на западных ОС и СУБД.

Вторая большая проблема для заказчика – в «железе». Иностранные поставки сегодня практически встали, а в стране пока не хватает мощностей, чтобы поставить, например, отечественные процессоры в необходимых объемах. К тому же российские процессоры «Эльбрус» и «Байкал» пока объективно уступают импортным в производительности.

Однако рынок уже адаптируется к новым реалиям и предлагает решения. Проблему с оборудованием «закрывает» перенос защитных систем в облака и работа с вендорами по MSSP-модели. В этом случае вопрос, где найти мощности для развертывания систем, да так, чтобы они соответствовали всем стандартам – «головная боль» провайдера.

Например, мы «подружили» всю нашу линейку с отечественными облачными провайдерами, поддерживаем и расширяем возможности защиты ПК на российских OC, контроля отечественного ПО (мессенджеров, офисных программ и пр.), перевозим софт на российские СУБД PostgreSQL.

Эта практика распространяется во всех сегментах рынка, вендоры идут навстречу заказчикам и способны быстро создать условия для комфортного импортозамещения.

 

ОТДЕЛЫ ИБ И ЗАМЫ ПО БЕЗОПАСНОСТИ

В мае появился президентский Указ №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Он предписывает всему госсектору, а также системообразующим предприятиям и КИИ создать подразделения по ИБ. На руководителей таких структур ложится персональная ответственность за ИБ, причем они должны иметь прямой доступ к высшему руководству для оперативного информирования об угрозах.

Указ призван решить огромную проблему: по данным нашего исследования, в 2020 году в 60% российских компаний не было подразделения по защите информации. Но опаснее то, что такие подразделения может оказаться не из кого собрать. В 2021-м треть компаний говорили об острой нехватке ИБ-специалистов.

В этих условиях выполнить требования указа будет проблематично. Альтернативой могут стать сервисы по информационной безопасности. Контроль внешних угроз можно возложить на SOC, мониторинг утечек и контроль персонала – на аутсорсеров DLP и других систем внутренней защиты. Выгода подхода еще и в том, что собственные специалисты заказчика смогут работать в системах параллельно с внештатными аналитиками, перенимать их опыт и практики.

Например, мы даже в формате аутсорсинга оставляем за сотрудниками заказчика высшие привилегии в наших системах и готовы обучать сотрудников работе в системе. Плюс к тому в учебном центре постоянно действуют больше десятка программ для повышения квалификации ИБ-специалистов.

 

ОТЧЕТНОСТЬ ОБ УТЕЧКАХ И ОБОРОТНЫЕ ШТРАФЫ

Летом Госдума в третьем чтении проголосовала за поправки к ФЗ-152 «О персональных данных». Ожидается, что осенью закон будет подписан и вступит в силу. И компании, которые хранят и обрабатывают ПДн, будут обязаны в течение суток отчитываться регуляторам в случае киберинцидента и в течение 72 часов представлять им результаты внутренних расследований. Если речь о внешней атаке или сбое – отчет пойдет в ГосСОПКА, если об утечке по вине сотрудников – в Роскомнадзор. А еще одна инициатива, выдвинутая Минцифры, вводит оборотные штрафы в 1% за утечки и 3%, если компания попытается скрыть инцидент (эти цифры еще могут измениться).

Эти поправки, по сути, самые массовые, ведь хотя в реестре операторов ПДн зарегистрированы только 440 тыс. компаний, по факту требования коснутся всех, кто обрабатывает и хранит личные данные граждан.

Проблема в том, что выполнить требования компаниям будет невозможно, если нечем выявить инцидент и расследовать его причины. Учитывая объемы обработки ПДн, собрать эти сведения вручную невозможно. Поэтому потребуется внедрять специальные средства контроля:

DCAP-системы, чтобы найти все персданные в компании и отслеживать действия с ними. Это необходимый минимум, чтобы «закрыть» новые требования. Автоматический аудит и логирование файловых операций помогут понять, у кого есть доступы к ПДн и отрегулировать их, зафиксировать инцидент по аномальной активности с файлами, по логам восстановить картину нарушения.

DCAP-системы как класс – решение относительно молодое, но на российском рынке есть, из чего выбрать. Главное, чтобы система надёжно определяла уязвимый контент и могла достоверно фиксировать нарушения прав доступа и изменения в критичных данных. Например, «СёрчИнформ FileAuditor» наводит порядок в хранилищах и защищает документы от опасных действий сотрудников благодаря блокировкам на уровне файловых потоков.

DLP-системы – самый «профильный» инструмент, который автоматически обнаружит и сможет заблокировать утечку. DLP контролируют каналы передачи данных, активность сотрудников в ПО, локальной сети и на внешних сервисах, так что зафиксируют передачу ПДн за пределы корпоративного периметра в любом виде. Благодаря большому охвату каналов контроля, они «видят» нарушение и его обстоятельства в мельчайших подробностях. При этом вручную разбираться с этим не придется, хорошие DLP с развитой аналитикой сами и куда точнее человека определят границы инцидента и соберут необходимые доказательства.

Выбор DLP на российском рынке большой, так что решающими могут стать небольшие «бонусные» фичи. Например, в нашем «СëрчИнформ КИБ» есть таск-менеджер для удобного управления расследованием, карточки пользователей с досье нарушений и больше 30 отчетов с возможностью быстрого экспорта – как раз хватит, чтобы «закрыть» новые нормативы. К тому же КИБ бесшовно интегрируется с нашим файловым аудитором и может, например, одновременно контролировать движение сразу всех файлов, которые DCAP определил как «ПДн».

SIEM-системы выявят внешние атаки и другие угрозы системам обработки ПДн. Это нарушения доступов, уязвимости, взлом периметра, неочевидные причины «самопроизвольных» утечек – скажем, если из-за изменений настроек сервера база с ПДн стала доступна в интернете. Данные о происходящем SIEM собирают из источников во всей IT-инфраструктуре, так что все проблемы с ИБ решаются по принципу одного окна. Например, система увидит связь между алертом о подозрительных операциях из DCAP и об утечке от DLP, и сообщит об этом в реальном времени.

Хороший вариант – SIEM со встроенным сканером уязвимостей, он поможет заранее увидеть, откуда ждать кибератаку. А если взлом или утечка произошли, нужна возможность быстро отчитаться по всей форме. У нас она есть, мы напрямую интегрировали SIEM с ГосСОПКА.

С таким набором систем жизненный цикл ПДн в компании будет под контролем. Кроме того, такой ИБ-комплекс позволит не допустить утечек в будущем: распределить доступы к персданным, заблокировать передачу этих данных в любых каналах, создать правила корреляции, которые моментально укажут на проблемы.

 

ГДЕ НАЙТИ ФИНАНСИРОВАНИЕ?

Итого – решения есть, компании не остаются один на один с новой реальностью и могут рассчитывать на поддержку вендоров. Но остается проблема, что одномоментно предстоит провести огромную работу по перестройке ИБ-инфраструктуры, это большие затраты времени и денег. Непосредственно защиту на переходный период можно перевести в аутсорсинг. А чтобы найти средства на закупки, можно пересмотреть бюджеты: например, какой иностранный софт действительно используется, а какой по факту не нужен, но до сих пор вытягивает деньги на техподдержку.

В качестве альтернативы можно рассмотреть субсидирование закупок, грантовые проекты, например, реализуют Сколково и РФРИТ. Например, можно поучаствовать в программах вместе с вендорами, чтобы получить средства сразу на проработанный проект внедрения. А чтобы к нему подготовиться, можно заранее протестировать возможности защиты в «боевых» условиях.

 

Все продукты и сервисы «СёрчИнформ» доступны для бесплатного пилотирования в течение месяца. Оставьте заявку на триал на сайте.

Смотрите также

25.09.2022
Модели угроз, выстроенные ФСТЭК, в целом оправдали себя
25.09.2022
Банк России строит свой подход от рисков
24.09.2022
Эволюция технологий, единство людей. Открыта регистрация на SOC-Форум 2022
24.09.2022
«Стать перед зеркалом, признаться и покаяться»
23.09.2022
Узбекистан приостановил обслуживание карт «Мир». Не всех и временно
23.09.2022
«Чтобы финансовая система продолжила работать бесперебойно»
23.09.2022
Хакеры по сравнению с производителями зарубежного ПО — это безобидная история
23.09.2022
ФСТЭК России в ближайшее время выпустит методики оценки критичности уязвимостей и тестирования обновлений
23.09.2022
«Газпромбанк» на очереди?
22.09.2022
Целью HR-мошенников может быть включение устройства соискателя в ботнет-сеть