erid: 2SDnjeU7TaZ erid: 2SDnjeU7TaZ

С чего начать выстраивать ИБ там, где ранее про нее ничего не знали

erid: 2SDnjc6Ex1F
С чего начать выстраивать ИБ там, где ранее про нее ничего не знали
С чего начать выстраивать ИБ там, где ранее про нее ничего не знали
30.03.2023

АП_СерчИнформ.jpg
Алексей Парфентьев
Руководитель отдела аналитики «СёрчИнформ»

Прошлый год, вероятно, побил все рекорды по объему нововведений в законодательство по защите информации. Этому способствовало увеличившееся количество кибератак и утечек персональных данных россиян. Сначала о защите персональных данных заговорили чиновники, к концу полугодия Госдума проголосовала за поправки в закон о персональных данных, а еще и майский Указ №250, согласно которому в организациях должно появиться ИБ-подразделение во главе с директором по безопасности.

После всех изменений ИБ-специалистам добавилось не только работы, но и ответственности. И хорошо, если в компании налажены процессы по защите информации, но так бывает не всегда. Что делать начинающим ИБ-специалистам или тем, кто придет работать в компанию, где раньше про ИБ и не думали? Собрал инструкцию, как последовательно выстроить информационную безопасность в компании.

Итак, если вы пришли в компанию, где ИБ в плачевном состоянии, у вас есть два пути: ориентироваться на требования бизнеса и опираться на указания регулятора. Сначала разберем первый вариант – считаю его оптимальным, т.к. позволяет увязать установки регуляторов с реальными задачами бизнеса.

Вариант первый: исходим из запросов бизнеса

Даже если руководство компании понимает важность информационной безопасности, то инициатива того «как правильно выстраивать ИБ» все равно должна идти от ИБ-специалиста. Подготовьте план хотя бы в общих чертах: что должно быть выполнено «как минимум», начиная с инвентаризации (железа, ПО и контента), шагов по определению основных рисков и способов их минимизации.

Чтобы «кастомизировать» этот план, начинаем работу с подразделениями. Проводим опрос каждого отдела/департамента в формате круглого стола, приватных бесед – как нравится. Нужно собрать ответы на 3 вопроса:

  • что сами специалисты считают информационным активом?
  • какие риски они видят, от чего хотят защититься?
  • что будут считать инцидентом и какой критичности?

Без ответов на эти 3 вопроса не подобрать адекватные организационные и технические меры по защите информации.

Что особенно важно – на этих же круглых столах нужно согласовать не только методику действий, но и санкции за их невыполнение. Поскольку за ИБ отвечает профильный специалист, то у него должны быть инструменты воздействия на нарушителей. То есть какое наказание будет ожидать пользователей, не выполняющих правила безопасности, менеджеров, не согласовавших вовремя бюджет на ИБ, айтишников, ответственных за работоспособность ИТ-систем.

Реализация

Ниже перечисляю список мер защиты информации и инфраструктуры. Это не единоразовый проект, а цикл действий.

1. Инвентаризация

Речь про инвентаризацию не на бумаге, а на деле. Проинспектируйте инфраструктуру на старте – вы должны понимать, что у вас есть: какое железо и ПО, какие версии прошивок, какие порты открыты, какие соединения есть, какие данные на СХД, есть ли среди них ПДн и конфиденциальные, кто к ним имеет доступ.

В идеале это должен быть автоматизированный процесс, потому что делать инвентаризацию нужно регулярно. Даже в госорганизациях, где инфраструктура меняется медленнее, чем в частном бизнесе, ситуация месяц назад и сегодня будет отличаться. И каждый раз вы будете обнаруживать сюрпризы. А уж в первый раз вы точно увидите и открытые порты, и документы в неверных папках.

2. Криптозащита

Сразу после инвентаризации нужно обеспечить криптозащиту. Если у вас есть узел, который взаимодействует с другими, или хранилище с важной информацией, нужно защитить их сразу. Напомню, что криптозащита бывает для данных и для каналов, нужно защищать и то, и другое. Ничего не должно остаться незакрытым. И не потеряйте ключи\пароли.

3. Разграничение доступа к информации

Это как минимум разграничение доступа к файлам, папкам или компьютерам в Active Directory. Но здесь можно сделать только атрибутивное разграничение доступа (без контента, то есть на конкретный файл или папку).

Правильнее разграничивать доступ к информации по контенту, то есть по содержимому. Сделать это можно с помощью специализированных систем, анализирующих содержимое файла. В зависимости от степени конфиденциальности информации, программа будет разрешать или запрещать действия с файлом. В линейке наших продуктов это FileAuditor.

4. Аудит событий безопасности

Он должен быть тотальный, т.е. касаться любых источников (программ и железа). Плохая новость в том, что вручную анализировать ситуацию везде невозможно. Хорошая – что почти все ИТ-системы логируют действия, притом подробно. Автоматизированные системы умеют с этими логами работать, превращая событие (или цепочку взаимосвязанных событий) в инцидент. Подобрать такую систему можно под любой бюджет, есть в т.ч. бесплатные, опенсорсные (ELK и подобные). В нашей линейке это «СёрчИнформ SIEM».

5. Создание/уточнение политик безопасности

Как только в потоке событий становятся заметны инциденты, вы можете начать дополнять «встроенные» политики безопасности ИБ-систем собственными. Все политики нужно время от времени корректировать, подгоняя под бизнес-процессы и инфраструктуру. Под политиками имеются в виду любые настройки в любых средствах защиты: от антивирусников до NGFW.

6. Повышение осведомленности самих сотрудников

Многие проблемы с безопасностью идут изнутри по незнанию, из-за ошибок – поэтому этот шаг нельзя игнорировать. Крупные компании создают образовательные порталы, учат в том числе и в игровой форме. В госорганизациях такой шаг обычно реализуется через регламенты и учения. Кроме того, сейчас можно найти множество бесплатных материалов в свободном доступе. Мы, например, тоже регулярно проводим курсы и постоянно пополняем список полезных материалов, которые ИБ-специалисты используют для повышения цифровой грамотности.

7. Анализ защищенности

Это ручная или автоматизированная работа по изучению, какие уязвимости есть в инвентаризированном ПО, портах, железе.

Вы можете вручную пройтись по всем источникам и проверить, нет ли дырявых версий, дефолтных паролей и everyone-доступов. Честно говоря, это трудоемкий способ. Если вы начинающий, но пытливый специалист, дело вам по силам. И все же тут требуется изрядное мастерство и сноровка. Поэтому лучше нанять команду профессионалов, которая раз в год или другой периодичностью будет проводить анализ защищенности. Это более качественный вариант, хотя и дорогостоящий.

Автоматизированный вариант – пустить по следу специализированное ПО, сканер уязвимостей, который может быть и коммерческим, и open-source.

Это сложный, хотя и важный этап, хорошо, если вы им не станете пренебрегать. Если решите проводить его своими руками, вот что вам пригодится:

8. Отработка инцидентов

Здесь начинается глубинная работа по расследованию, анализу и предотвращению инцидентов. Задача на этом этапе – добиваться того, чтобы не только фиксировать все критически важные события, не упуская ничего, а делать выводы: почему, несмотря на созданные политики безопасности, негативные события произошли, как минимизировать их последствия и предотвратить подобное в будущем. Это уже не просто тюнинг политик для ликвидации пропусков инцидентов и ложных срабатываний, а повышение уровня ИБ в целом с помощью технических и организационных мер, например, киберучений по реагированию на различные типы инцидентов.

Путь бизнеса наиболее правильный и помогает компании совместить задачи по защите и нормативные требования. Но подходит только в том случае, если руководство компании понимает важность защиты информации. Если это не ваш случай, за основу берем регуляторику и, добавив здравого смысла, начинаем внедрять все по букве стандартов, рекомендаций и приказов. Это второй путь для внедрения информационной безопасности в вашей организации.

Если видите, что ни у руководства, ни у рядовых сотрудников нет понимания того, что такое ИБ и зачем он нужен, то сбор ответов на вопрос «какие активы самые важные?» станет потерей времени. В такой ситуации быстрее и правильнее будет начать с «бумажной» безопасности, постепенно добавляя ей жизни.

Вариант второй: исходим из требований регуляторов

Первое – это стандарты: отраслевые (например, для медорганизаций есть стратегия Минздрава) и корпоративные (как правило есть в группах компаний).

Второе – нормативка, т.е. законы, требования регуляторов.

Основными направляющими выступают 3 документа, действия которых распространяются почти на все организации:

1. ФЗ-152 «О персональных данных», наиболее интересна будет статья 19 «О мерах по обеспечению безопасности персональных данных при их обработке».

2. Приказ №21 Федеральной службы по техническому и экспортному контролю, описывающий организационные и технические меры по обеспечению безопасности персональных данных.

3. Приказ ФСБ России № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных», а также 152 инструкция ФАПСИ по «обращению с СКЗИ».

Перечисленные документы построены вокруг персональных данных, т.к. именно в защите ПДн граждан государство видит свое «регуляторское» участие. Государству не важно, работает сайт организации или лег в результате DDoS, не зашифровал ли зловред диски, не идет ли с домена контрагентам спам – это исключительно риски организации, влияющие на ее успешность. Как реагирует на эти проблемы компания – дело личное (но только до того момента, пока ее не определили как часть критической информационной инфраструктурой РФ), а вот защиту ПДн обеспечить должен каждый.

Приступаем к реализации

Ниже собрали общие, базовые шаги, которые описаны в требованиях регулятора. Они в целом универсальны и будут полезны и оператору ПДн, и АСУТП, и субъекту КИИ – хоть два последних и имеют свои индивидуальные регламенты.

На данный момент избежать статуса «оператора» практически невозможно, даже факт обработки данных собственных сотрудников – уже повод уведомить РКН о обработке ПДн.

Общие рекомендации и требования:

Самое «травмоопасное нарушение» для оператора – хранение данных вне территории РФ. Максимальный штраф за это нарушение доходит до 18 млн рублей.

Поэтому проведите аудит ваших ИТ-систем, особое внимание уделите подпискам на облачные иностранные ИТ-сервисы (CRM и др.), виртуализацию в облаке (подписка на ресурсы), онлайн-хранилища (dropbox и др.), почту, мессенджеры или социальные сети. Ничего из вышеперечисленного нельзя использовать для обработки (пересылки и хранения, даже кратковременного) ПДн граждан РФ, если оно иностранное, точнее хранит данные на серверах за пределами РФ. Задачу можно автоматизировать, делегировав аудит информационных потоков DLP-системе.

Будьте готовы выявить и расследовать утечку ПДн. Закон дает 24 часа на уведомление об утечке и 72 часа на предоставление отчетности по результатам внутреннего расследования.

Расследование должно быть полноценным и объективным, т.к. в законе четко сказано (статья 19 ФЗ-152), что оператор должен фиксировать любые действия с ПДн, включая создание, удаление, изменение, обращение и перемещение вне зависимости от места их фактического расположения в ЛВС, форму представления, формат хранения и иные параметры.

Ваши записи о ПДн должны быть актуальны и не должны быть избыточны.

Данные (включая учетные записи в ИТ-системах, которые также содержат ПДн), например, уволенных сотрудников, следует удалять. Аналогичная ситуация и с другой персональной информацией – по заказчикам, контрагентам и т.д. Также вы должны быть готовы по требованию владельца данных удалить их из всех баз и хранилищ.

Задачу можно «делегировать» DCAP-системе, которая проведет аудит обработки и перемещения персональных или любых других чувствительных данных, а также автоматически определит, какие данные имеют отношения к ПДн.

Здесь я не привожу мер по защите, хотя они, конечно, есть, но в законе они определены нечетко, в основном все сводится к ссылке на регламенты, где расписаны уже довольно подробно. Вот эти регламенты:

Регламенты ФСБ

Если упростить десятки листов требований до одного предложения, то выглядеть оно будет так – при перемещении или передаче ПДн по открытым каналам связи (т.е. всем, которые не защищены сертифицированными средствами криптографии), они должны быть зашифрованы сертифицированными средствами. Если передаёте данные через USB – флешка должна быть зашифрована, если обмениваетесь записями с контрагентами по сети – необходим криптошлюз, защищающий канал передачи ПДн.

Регламенты ФСТЭК

До одного предложения сократить не выйдет, т.к. они состоят из более чем сотни мер, которые я сгруппировал по тематическим блокам:

1. Контроль аутентификации/идентификации

Регламенты напоминают, что среди устройств есть как стационарные, так и мобильные, а среди пользователей – внутренние и внешние. Кроме того, регулятор указывает, что компания должна обеспечить управление средствами аутентификации и защитить обратную связь при вводе данных.

Как правило, эти вопросы не про внедрение нового защитного ПО, а про контроль имеющегося. В любом ПО есть (по крайней мере должна быть) авторизация, поэтому заказчику требуется следить за тем, насколько качественно она реализована, а также за процессами централизации (чтобы оперировать не различными учетками, а единой). Естественно, сертификационные требования никуда не пропадают, но это забота разработчика решений, который поставляет ПО с авторизацией.

2. Управление доступом к файлам и папкам

Регулятор напоминает, что учетки необходимо не только заводить, но и вовремя уничтожать. Перечислены методы работы (дискреционный, мандатный, ролевой) и типы действий с файлами: чтение, запись, выполнение или иной тип.

Тут стоить рассказать про несколько подводных камней. Первый состоит в том, что без специальных средств вы не будете иметь всю картину происходящего – то есть реальные места хранения критичной информации будут на практике отличатся от той картины, которую вы нарисовали в голове (и к которой разграничили доступ). Вторая особенность в том, что ни полноценно аудировать, ни контролировать операции с ПДн ОС или прикладные сервисы не умеют, т.к. оперируют не понятием контент, а понятием папка, файл, раздел, таблица, строка и т.д. В итоге для выполнения требования нужен либо ручной регулярный мониторинг и постоянные изменения регламентов объектов, либо специализированные DCAP-системы.

3. Ограничение программной среды

Под этим понимается невозможность установить и запустить самим пользователем программу, без ведома и одобрения администратора.

Самое главное заблуждение – достаточно не давать административных прав пользователям, тогда они не смогут установить «левое» ПО. Да, это так, но запустить смогут, при этом оно может не иметь подписи или иметь невалидную подпись, то есть быть заведомо опасным. Обезопаситься от подобных рисков можно только с помощью специализированных средств, которые ограничивают работу исполняемых файлов и следят за их целостностью.

4. Защита машинных носителей

В этом разделе нормативных документов упоминается контроль подключения внешних устройств к корпоративной сети (проводной и беспроводной), а также контроль доступа устройств по типу контента, т.к. носители с ПДн требуют отдельных регламентов – разрешение на подключение, запись, чтение и т.д.

5. Меры регистрации событий – этот этап совпадает с пунктом «аудит событий» в бизнес-пути.

6. Требования по антивирусной защите – регуляторы выделяют его отдельно, видимо, так исторически сложилось.

7. Обнаружение вторжений

Речь про политики безопасности, нацеленные на обнаружение атак извне и их настройку для того, чтобы вы могли не только фиксировать факт атаки, но и реагировать на него. Занимаются этим либо специализированные IDS\IPS решения, либо заказчики довольствуются функциями NGFW (так называемые некст-ген файерволы), где функции анализа траффика на угрозы включены в поставку.

8. Контроль защищенности

Анализ и выявление уязвимостей, контроль за обновлениями и парольной политикой. Реализуется за счет контроля версий ПО и изучения известных проблем с конкретными версиями, по результатам чего принимаются меры для нейтрализации выявленных угроз уже при помощи стороннего защитного ПО.            

9. Обеспечение целостности

Это блокировка работы исполняемых файлов, не имеющих подтверждения легитимности. Например, исполняемых файлов без валидной цифровой подписи или файлов без подписи, но которые были изменены по каким-то причинам.

10. Обеспечение доступности

Это поле скорее ИТ-отдела, который решает, как распределять нагрузку на вычислительные мощности и каналы передачи данных, чтобы бизнес-процессы не тормозили, а данные бекапировались. С точки зрения ИБ здесь стоит обратить внимание на противодействие атакам по типу отказа в обслуживании, чем занимаются соответствующие решения, а также на контроль доступа к созданным резервным копиям.

11. Защита среды виртуализации

Требование понятное и само собой разумеющееся, регулятор вынес его в специальную категорию, чтобы акцентировать внимание и не дать забыть про этот важный аспект. Из практики здесь важно то, что кроме ОС и прикладного ПО в нем появляется среда виртуализации, которая нуждается в защите. При этом критически важно при оценке событий следить за их связностью – т.к. даже отсутствие таковой уже является инцидентом.

12. Защита технических средств

Здесь нет ничего айтишного, поскольку речь идет о «нецифровых» методах защиты физических объектов. Например, внедрение системы помех на водосточной трубе, чтобы нельзя было снять с нее звук или считать лазером со стекол. С точки зрения информационной безопасности пункт довольно спорный, к счастью, эта мера не обязательна, за исключением совсем уж очевидных вещей – например, обеспечение физической охраны оборудования и установки его таким образом, чтобы отображение ПДн было недоступно стороннему наблюдателю через окно или отсутствующую дверь.

Вывод

Этот текст – небольшая методичка, которая может пошагово выстроить информационную безопасность в компании, где раньше вопрос защиты не стоял остро. Приведенные выше шаги хотя и универсальны, но их можно адаптировать под ваши задачи и особенности компании. И, конечно, этот путь вам не обязательно проходить «в одиночку», большинство вендоров предлагают заказчикам широкий диапазон продуктов и услуг, которые закрывают потребности бизнеса и требования регуляторов.

erid: 2SDnjdbjuoP erid: 2SDnjdbjuoP

Читайте также


Комментарии 0