В 2022 году объем утечек персональных данных в России достиг 667 млн, что почти в 2,7 раза больше, чем годом ранее. По мнению аналитиков, тенденцией последнего года стала утечка данных бесплатно, без попытки продать их с целью получения прибыли. Хотя роль человеческого фактора в росте числа утечек неоспорима, не менее важен и выбор мер защиты персональных данных. Они определяют уровень безопасности и надежности системы. Владимир Алишев, эксперт СТЭП ЛОДЖИК по комплексным проектам ИБ, рассказал о решениях, существующих на рынке, и деталях их внедрения.
— Какие средства защиты нужны регуляторам сегодня? Как реагирует на эти требования российский рынок информационной безопасности?
— С технической точки зрения требование регулятора заключается в реализации комплекса общих мер по обеспечению безопасности персональных данных, согласно приказу ФСТЭК России от 18 февраля 2013 года N 21 Наиболее интересным в данном случае является то, какие конкретные технические меры защиты могут быть использованы. Производители стремятся сочетать в своих продуктах различные функции, ведь чем больше мер защиты, тем лучше для клиента. Так, межсетевые экраны (ME) и системы обнаружения вторжений (IDS) могут быть объединены в одном сетевом устройстве, а персональные межсетевые экраны (ME), антивирусная защита (AVS), системы обнаружения вторжений на уровне хоста (IDS) и контроль подключения съемных носителей (RSC) в сочетании с программным обеспечением для конечных точек.
Интересно, что в документе нет явных требований к использованию специальных мер защиты, поэтому для некоторых мер могут использоваться внутренние механизмы защиты в системном или прикладном ПО (как это описано в аналогичном приказе ФСТЭК о защите критически важных данных). Объекты ИБК) (например, контроль доступа или журналы событий безопасности). Однако для некоторых мер, таких как защита каналов связи или защита от вирусов, такой подход неприменим.
Чем выше категория персональных данных, то есть чем выше уровень защиты, тем более строгие требования предъявляются к мерам защиты. Для определения подходящей системы защиты персональных данных используются механизмы аутентификации. Это значительно упрощает процесс выбора клиента. Если продукт имеет необходимый уровень сертификации, то его можно использовать.
— Ваша оценка национальных мер по предотвращению несанкционированного доступа. Какие из них вы бы использовали сами?
— В нашем портфеле решений более 20 продуктов, предназначенных для защиты от несанкционированного доступа. Причем речь идет не только о защите персональных данных (не все компании имеют сертификаты ФСТЭК), но и об информационной безопасности в целом. Каждая из этих мер имеет свои нюансы реализации и особенности применения. При выборе системы предотвращения вторжений в первую очередь следует оценить возможности защиты конечных точек. Это означает, защищает ли продукт от сетевых угроз, сканирует ли вредоносное ПО в трафике, контролирует ли съемные носители и т. д.
Следует добавить, что стандартные программные средства и приложения операционной системы могут использоваться для закрытия комплекса мер защиты от несанкционированного доступа. Их использование рекомендуется, но предварительно необходимо провести оценку соответствия.
— Средства межсетевого экранирования: что лучше?
— Лучший способ реализации межсетевого экрана — это объединение его с интеллектуальным контролем трафика в едином шлюзе, который обычно называется NGFW (Next Generation Firewall). Стандартный набор функций NGFW: межсетевой экран, система обнаружения вторжений и контроль приложений. Кроме того, он может включать интегрированную проверку URL-фильтрации и антивирусного трафика, возможность отправки файлов на проверку в стороннее решение, реализующее антивирусное сканирование, или «песочницу» для имитации поведения файлов. Сложно дать окончательный ответ на вопрос «что лучше?». Это связано с тем, что разные решения имеют свои преимущества в зависимости от различных сценариев и индивидуальных требований заказчика.
— Какие решения (сканеры уязвимостей) вы используете для анализа безопасности персональных данных?
— Наиболее важным параметром сканера является качество анализа безопасности, то есть количество уязвимостей, которые может найти решение, и скорость обновления базы данных новыми сигнатурами уязвимостей.
Обычно ИСПДн развертываются в одном или нескольких сегментах сети, которые гораздо проще защитить от нормативных требований. Для небольших подразделений подойдут традиционные сканеры уязвимостей, а для крупных инфраструктур рекомендуется использовать систему управления уязвимостями, которая определяет приоритеты уязвимостей и постоянно контролирует уровень безопасности.
Все более популярными становятся «облачные» сканеры уязвимостей. Такие инструменты обычно не используются для защиты персональных данных, поскольку их работа заключается в сканировании только из интернета, то есть с периметра.
— Современная тенденция — импортозамещение, когда производители ИТ-систем стараются как можно быстрее перенести свои системы на различные Linux-платформы. Существует два основных варианта миграции: предоставление всей операционной системы и программного обеспечения в образе виртуального устройства или адаптация программного обеспечения для установки на платформу операционной системы Linux. Платформы операционных систем в основном разрабатываются внутри страны и сертифицируются ФСТЭК. На этом фоне растет спрос на антивирусные продукты, поддерживающие интеграцию с Linux. Скорость пополнения базы данных новыми сигнатурами вредоносных программ также очень важна при выборе антивирусного продукта.
— Что необходимо для защиты персональных данных в виртуальной среде?
— Мы используем один и тот же базовый подход для защиты как виртуальной среды, так и ИТ-инфраструктуры. Во-первых, конечные узлы (виртуальные машины) защищены, а трафик между ними контролируется (микросегментация). Однако виртуальные инфраструктуры имеют ряд особенностей, которые требуют, например, разграничения и контроля доступа к виртуальным машинам как пользователей, так и администраторов виртуализации. Помимо самих виртуальных машин, необходимо защищать и гипервизор. В крупных инфраструктурах виртуальные машины создаются с помощью шаблонов или «золотых образов», целостность которых также необходимо проверять.
— Совет: как обеспечить комплексный подход к защите персональных данных в компании?
— Поскольку внедрение систем всех категорий, представленных на рынке (а их насчитывается более 60), может привести к чрезмерному увеличению бюджета, рекомендуется подходить к вопросу защиты персональных данных системно.
Сначала оценивается наличие и достаточность ресурсов для создания и поддержания системы защиты информации. На этом этапе определяется возможность привлечения подрядчиков. Есть ли в компании специалисты с нужным уровнем компетенции? Есть ли для них достаточное количество задач? Достаточно ли ресурсов для сохранения и развития этих специалистов?
Если да, то количество возможных каналов утечки должно быть сведено к минимуму. Необходимо изучить информацию, права доступа и информационные потоки, изменить существующие бизнес-процессы и архитектуру MS, чтобы отбросить и сократить ненужные данные. Количество мест хранения и т. д.
На следующем этапе разрабатываются и внедряются меры по защите информации в организации. Кроме того, они должны учитывать масштаб деятельности и бизнес-процессы. Меры должны быть не только формально утверждены, но и применяться таким образом, чтобы их было проще выполнить, чем обойти, после чего они становятся эффективными.
И только после этого имеет смысл приступать к проектированию и построению системы мер технической защиты информации.
Перед началом работы компания должна
Малые организмы.
С технической точки зрения здесь есть все. По сути, вся инфраструктура построена на Виндовс, с одним сервером и несколькими рабочими станциями в 1С. Защита информации (далее IPS) быстро разрабатывается и регулируется, что обычно не вызывает проблем. Другими словами, на этом техническом этапе все хорошо. Затем идет процесс обучения работе с этими системами защиты, если они не получают механизмов идентификации/опознания. Работа превращается в ад. В большинстве случаев сотрудники крайне негативно относятся к изменениям в работе, особенно когда речь идет о технологиях. В итоге мы получаем следующее:
Все гораздо сложнее. Существует отдел информационных технологий или штатный системный менеджер. В исключительных случаях есть охранник. Инфраструктура создана. Это начало проблемы. Применение эффективной системы защиты с точки зрения регулирования означает перестройку существующей инфраструктуры. Обычно в таких случаях ИСПДн разделяется на разные части и защищается отдельно, чтобы не влиять на общую архитектуру и бесперебойную работу компании. В этом случае кто-то управляет системой защиты, что является неоспоримым преимуществом. Опять же, работники не довольствуются сменой работы, и внедрение организационных мер защиты отходит на второй план. Управление их приложениями поручается ИТ-специалистам, которые заняты более важными делами. В результате мы имеем следующее.
Крупные организации
Здесь все еще интереснее. Информационные факультеты, отделы безопасности, распределенные информационные системы, виртуализация, многочисленные корпоративные сервисы и т. д. Обычно все хитро застраховано, зашифровано и защищено по всем правилам и лучшим практикам. Здесь же все защищено по-хорошему, но со словом «сертифицировано». Это и портит все. Можно написать статью для каждого проекта, но нельзя адаптировать стандарт. Но в итоге и с организационной, и с технической частью все в порядке. Чиновники выполняют свою работу. Пользователи обучены, процессы контролируются. В результате мы имеем следующее.
Как установить процессы защиты персональных данных в организации
По данным BI.ZONE, в 2022 году 925 баз данных, содержащих персональные данные, будут подвержены воздействию сети, в них будет храниться более 160 ГБ информации и 1,4 млрд строк. Узнайте, как предотвратить подобные инциденты и создать систему кибербезопасности, которая действительно сможет защитить данные ваших клиентов, сотрудников и партнеров.
Баланс: требования законодательства и реальная безопасность.
Регуляторы требуют от компаний практического решения вопросов кибербезопасности. В законодательстве не только говорится о необходимости защиты персональных данных, но и приводится подробный перечень действий. Им могут воспользоваться даже те компании, которые не знают, с чего начать.
Соблюдение нормативных требований освобождает юридических лиц от штрафов в размере до 1,8 млн рублей, а физических лиц — до 1 млн рублей. Однако нет никакой гарантии, что инцидента удастся избежать, если компании будут соблюдать только документальные требования. Например, если компания использует дорогостоящие средства защиты, но они не настроены должным образом, предотвратить утечку данных невозможно. В этом случае компании рискуют потерять клиентов, испортить отношения с партнерами, понести финансовый и репутационный ущерб. Злоумышленники могут использовать похищенную информацию для будущих атак.
Помимо формального соблюдения требований законодательства, компаниям, обрабатывающим персональные данные, также важно обеспечить кибербезопасность. Чтобы помочь компаниям в этом, мы подготовили краткое руководство.
Руководство: как реализовать защиту персональных данных на практике
Устойчивая киберзащита основана на четырех принципах.
Если хотя бы один элемент отсутствует, вся система рухнет. Например, технические меры защиты не уберегут компанию от инцидента, если сотрудники не знают правил цифровой гигиены. Неосторожный сотрудник может запустить вредоносный файл из вложения в электронном письме или на флешке, подвергнув риску всю компанию.
Основываясь на этих принципах, мы разработали алгоритм, который позволяет построить систему кибербезопасности в соответствии с требованиями законодательства. Для этого необходимо выполнить три шага.
Этот процесс должен быть непрерывным, обновляться и модернизироваться. Все этапы подробно описаны в этом разделе.
Шаг 1: Инвентаризация данных
Для начала необходимо определить, какие данные наиболее важны для вашей компании. В каких системах они будут обрабатываться и кому отправляться? Также необходимо определить, каковы юридические требования вашей организации.
Сделать это можно несколькими способами. Заполните исследовательские формы, опросите ключевых сотрудников или проанализируйте документы.
Самое главное — сохранить эти данные. В противном случае они не помогут вам выстроить защиту. Например, необходимо информировать о процедурах, когда меняется структура компании, когда импортируются новые системы и т. д. Это легко сделать с помощью средств автоматизации, таких как платформа bi. zone compliance.
Шаг 2: Определите возможные атаки и угрозы
На этом этапе вам необходимо знать
Для этого необходимо обнаружить уязвимости во всех ISPDN и создать модель угроз. Эта модель должна быть дополнена данными об уже выявленных уязвимостях и инцидентах. Это поможет определить наиболее актуальные сценарии.
Механизмы моделирования, в том числе определенные российским ФСТЭК, позволяют выбрать из общего списка угроз наиболее важные для конкретной компании. Это позволяет грамотно распределить бюджет и приобрести только те системы защиты, которые необходимы.
Важно поддерживать модель угроз в актуальном состоянии, регулярно анализировать защищенность ИСПДн и переоценивать риски. В этом могут помочь средства автоматизации.
Шаг 3: Создание системы защиты с учетом бюджета
Полученная информация и разработанные модели угроз помогут вам построить более эффективную систему кибербезопасности. При этом необходимо следовать схеме «люди — процессы — технологии».
В ходе этого процесса важно учитывать требования законодательства, а также усиливать контроль в наиболее уязвимых областях.
Почему конфиденциальность важна?
Регулятор Роскомнадзор («РКН») и Федеральная служба безопасности («ФСБ») всерьез взялись за организации, обрабатывающие персональные данные («ПДн»). Это следует из нового документа, который уже вступил в силу. Обработка персональных данных осуществляется оператором персональных данных. Оператором является любая компания, физическое или юридическое лицо, которое собирает и обрабатывает персональные данные пользователей, клиентов или сотрудников. Таким образом, предлагаемые изменения затронут всех, кто обрабатывает персональные данные, в частности операторов, осуществляющих трансграничную передачу данных. Такая забота о защите персональных данных не удивительна, ведь случаи утечки, кражи и дальнейшего распространения данных в последнее время стали очень распространенными.
Например, недавно были скомпрометированы данные около миллиона пользователей МТС Банка. Это грозит серьезной атакой со стороны злоумышленников, имеющих доступ к этой информации.
Новые нормативные требования к защите персональных данных
Данные документы включены в 266 Официальный вестник от 14 июля 2022 года и касаются изменений в 152 Официальный вестник, которые вступят в силу 1 марта 2025 года.
Изменения, внесенные в 266-ФЗ, имеют большое значение для защиты персональных данных людей, и контролеры персональных данных будут уделять им больше внимания.
Давайте рассмотрим требования нововведений и кратко опишем основные из них.
Во-первых, стоит отметить, что если раньше никто не был обязан информировать Роскомнадзор об обработке ПДн, то теперь есть обязанность направить уведомление, если организация каким-либо образом обрабатывает такую информацию.
Уведомление содержит большой объем информации об обработке и защите персональных данных.
Постановление Правительства Российской Федерации № 24, №. 6, no. 2526.
Эти решения касаются запрета или ограничения трансграничной передачи данных.
Следует также подчеркнуть, что в случае трансграничной передачи данных необходимо направить уведомление в РКН.
Согласно этим документам, РКН может ограничить передачу персональных данных, если сочтет это необходимым.
Приказ № 128 РКН
Ряд указов был издан РКН и играет важную роль.
Приказ № 128 РКН содержит перечень иностранных государств, которые надлежащим образом защищают права субъектов персональных данных.
Приказ № 178 РКН.
Приказ № 178 вводит новые правила оценки ущерба.
Результатом оценки должен быть акт, включающий следующее.
Если все три степени вреда подходят для субъекта данных, закон требует указывать самую высокую степень.
Приказ № 179 Налоговой службы Российской Федерации.
Согласно Приказу № 179 Федеральной налоговой службы Российской Федерации, теперь необходимо не только удалять персональные данные, но и сохранять доказательства, подтверждающие факт удаления.
Такие доказательства представляют собой акт об удалении персональных данных.
Приказ содержит следующие требования к надлежащему оформлению документов.
Если обработка персональных данных осуществляется автоматизированными средствами, то уместна загрузка из журнала событий, а не из акта. Приказ также содержит требования к такой выгрузке.
Акты, уничтожающие персональные данные, должны храниться не менее трех лет. Ранее такую документацию составляли многие контролеры персональных данных, но теперь она обязательна для всех контролеров.
Приказ РКН №. 187
Приказ № RKN № 187 содержит инструкции по сообщению об инцидентах в РКН.
Уведомление может быть отправлено в бумажном или электронном виде с помощью формы на сайте РКН.
Первоначальное письмо должно быть отправлено в течение 24 часов или 72 часов, если есть спор или объяснение.
Первоначальное уведомление должно содержать следующее
Дополнительные уведомления должны содержать следующую информацию.
Приказ ФСБ № 77.
Изменения оформляются документами ФСБ.
Согласно им, Приказ №. 77 регламентирует процесс уведомления регулятора о компьютерных инцидентах, поэтому у операторов ISPDDN теперь есть процесс взаимодействия с ГОСОПКА.
Как и предполагалось, есть два варианта: отправка информации через НКЦКИ или через сайт РКН.
Оповещение ЭССИ должно быть осуществлено в течение 24 часов с момента обнаружения компьютерного инцидента.
Рекомендации Роскомназора по защите персональных данных
Проблема защиты персональных данных в последнее время стала настолько серьезной, что регуляторы пытаются обратить внимание хранителей персональных данных на этот вопрос с помощью законодательных изменений.
В начале августа 2025 года Роскомнадзор представил следующие новые рекомендации по защите персональных данных.
Все эти требования также содержатся в нормативных документах, ранее представленных регулятором. Господин Роскомнадзор лишь еще раз подчеркнул важность соблюдения правил защиты персональных данных.
Одним из важнейших нововведений является немедленное уведомление регулятора о любых инцидентах, происходящих в компании.
Под инцидентом понимается любое событие, повлекшее за собой несанкционированную передачу персональных данных. Организации должны стремиться выстроить свои системы защиты персональных данных таким образом, чтобы время обнаружения инцидента было минимальным.