SavePearlHarbor

Реализация требований и мер обеспечения безопасности персональных данных с помощью автоматизации

от автора

admin

Юрий Подгорбунский, Security Vision

Начнем с основных определений

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому субъекту персональных данных (далее – ПДн).

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (далее – ИСПДн).

Требования и меры обеспечения безопасности

Требования и меры обеспечения безопасности ПДн в ИСПДн установлены в следующих основных документах:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон).

  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление Правительства).

  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ ФСТЭК).

Требования и меры обеспечения безопасности ПДн будут учитываться и рассматриваться только те, которые явно можно автоматизировать!

 Итак, требования

Требования Федерального закона следующие:

  • определение угроз безопасности ПДн при их обработке в ИСПДн;

  • применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн (будут рассмотрены ниже, в части требований Приказа ФСТЭК России);

  • обнаружение фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;

  • восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

  • а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.

 Требования Постановления Правительства РФ:

  • определение уровня защищенности ПДн обрабатываемых в ИСПДн (более детально рассмотрим ниже);

  • автоматическая регистрация в электронном журнале безопасности изменения полномочий работника организации по доступу к ПДн в ИСПДн.

Пояснение к требованию

Что есть уровень защищенности ПДн?

Под уровнем защищенности ПДн понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн.

Установлены следующие уровни защищенности:

  • 1-й уровень – самый высокий и к нему предъявляется больше требований и мер безопасности; 2, 3, и 4 – самый низкий.

Определение уровня защищенности осуществляется исходя из:

  • типа угроз (1-3 тип угроз, рассмотрены ниже);

  • количества обрабатываемых ПДн в ИСПДн (менее или более 100 000 субъектов ПДн);

  • обрабатываемых категорий ПДн в ИСПДн (специальные, биометрические, иные, общедоступные);

  • и субъектов ПДн являются работниками организации, в которой обрабатываются ПДн или нет.

Постановлением Правительства РФ установлены следующие типы угроз:

  • угрозы 1-го типа, связанные с наличием недокументированных или недекларированных возможностей в системном программном обеспечении (например, в операционных системах);

  • угрозы 2-го типа, связанные с наличием недокументированных или недекларированных возможностей в прикладном программном обеспечении (например, в базах данных);

  • угрозы 3-го типа актуальны, если они не связанные с угрозами 1-го и 2-го типа.

 Требования приказа ФСТЭК России

Реализация организационных и технических мер в рамках системы защиты персональных данных с учетом актуальных угроз безопасности (которые определяются по итогам моделирования угроз безопасности ПДн) и применяемых информационных технологий осуществляется следующим образом:

  • идентификация и аутентификация субъектов доступа и объектов доступа;

  • управление доступом субъектов доступа к объектам доступа;

  • ограничение программной среды;

  • защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;

  • регистрация событий безопасности;

  • антивирусная защита;

  • обнаружение (предотвращение) вторжений;

  • контроль (анализ) защищенности персональных данных;

  • обеспечение целостности информационной системы и персональных данных;

  • обеспечение доступности персональных данных;

  • защита среды виртуализации;

  • защита технических средств;

  • защита информационной системы, ее средств, систем связи и передачи данных;

  • выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее — инциденты), и реагирование на них;

  • управление конфигурацией информационной системы и системы защиты персональных данных.

 Реализация требований

Автоматизация выполнения требований по защите ПДн в ИСПДн

1. Определение угроз безопасности персональных данных

Определение и оценка угроз безопасности ПДн, обрабатываемых в ИСПДн, осуществляется в соответствии с методическим документом ФСТЭК России «Методика оценки угроз безопасности информации».

Автоматизация данного процесса реализуется с использованием Security Vision Управление персональными данными, которое включает в себя возможность моделирования угроз безопасности информации:

  • автоматизированное формирование исходных данных об ИСПДн (объекты воздействия и их интерфейсы и т.д.);

  • определение источников угроз;

  • определение актуальных способов реализации угроз безопасности информации

  • формирование перечня актуальных угроз;

  • автоматическое формирование документа «Модель угроз безопасности ПДн».

Дополнительно автоматизация может быть усилена за счет интеграции с базой данных конфигурации систем или систем учета активов.

2. Обнаружение фактов несанкционированного доступа и реагирование на инциденты

Автоматизация обеспечивается за счет внедрения централизованных систем мониторинга и анализа событий, например:

  • Data Loss/Leak Prevention системы, предназначенные для защиты конфиденциальной информации (в частности ПДн) от утечек;

  • Security Vision SIEM (SIEM) — сбор и корреляция событий безопасности информации;

  • Security Vision EDR (EDR) — выявление вредоносной или несанкционированной активности на конечных устройствах (автоматизированные рабочие места, сервера).

Функции автоматизации заключаются в следующем:

  • выявление событий информационной безопасности, связанных с ПДн (операционные системы, средства защиты информации, базы данных);

  • корреляция событий из различных источников;

  • генерация инцидентов безопасности информации.

Дополнительно может применяться автоматизированное реагирование на инциденты с помощью Security Vision SOAR (SOAR):

  • получение инцидента из SIEM;

  • обогащение инцидента (из аналитических сервисов, sigma-правила и т.д.);

  • классификация и анализ инцидента (Mitre ATT&CK, Kill Chain, слепки хостов, цифровые свидетельства);

  • блокирование и изоляция (учетных записей, хостов, вредоносных доменов URL/Email);

  • реагирование на основе преднастроенных действий для хостов, учетных записей и т.д.;

  • возврат скомпрометированных объектов в исходное состояние.

3. Восстановление персональных данных

Для того, чтобы провести восстановление ПДн или базы данных, необходимо реализовать резервное копирование, а затем провести восстановление, например, с использованием следующих систем:

  • резервного копирования Veeam Backup & Replication;

  • управления базами данных PostgreSQL (СУБД) с непрерывным архивированием и восстановлением на момент времени (Point-in-Time Recovery).

Автоматизация включает следующее:

  • регулярное создание резервных копий по расписанию;

  • хранение копий с версиями;

  • автоматический запуск процедур восстановления при компьютерных инцидентах связанных с ПДн и не только;

  • тестирование восстановления (очень важный момент, особенно проявляется, когда из копии по каким-либо причинам невозможно восстановиться).

4. Регистрация и учет действий с ПДн

Регистрация и учет всех действий пользователей с ПДн обеспечиваются за счет журналирования на уровне приложений и СУБД.

Автоматизация включает:

  • фиксацию всех операций (доступ, изменение, удаление ПДн);

  • привязку действий к конкретному пользователю;

  • защиту логов от модификации;

  • автоматический анализ событий и выявление подозрительных действий.

5. Определение уровня защищённости ПДн

Определение уровня защищенности ПДн может осуществляется автоматически, исходя из комбинации следующих элементов:

  • типа угроз;

  • количества обрабатываемых ПДн в ИСПДн;

  • обрабатываемых категорий ПДн в ИСПДн;

  • субъектов ПДн являются работниками организации.

После внесения вышеуказанных элементов производится автоматический расчет уровня защищенности с помощью Security Vision Управление персональными данными.

6. Автоматическая регистрация изменений прав доступа

Изменение полномочий пользователей автоматически регистрируется в журнале безопасности за счет следующих систем:

  • Active Directory (AD) служба каталогов от Microsoft, обеспечивающая централизованное управление пользователями и их учетными данными.

  • Identity and Access Management (IAM) система управления идентификацией и доступом, обеспечивающая безопасность ИТ-инфраструктуры за счет контроля, кто, к чему и с какими правами имеет доступ.

Автоматизация включает:

  • фиксацию операций назначения и отзыва прав доступа;

  • ведение истории изменений прав доступа;

  • автоматическое уведомление при изменении критичных прав (привилегированные учетные записи);

  • контроль соответствия принципу минимальных привилегий.

 Реализация мер защиты ПДн

Базовый набор мер уже понятен, как только определили, например, 4-й уровень защищенности ПДн (в приложении Приказа ФСТЭК России в соответствии с уровнем защищенности). Вот только мер достаточно много, и не всегда есть ресурсы (люди, средства, время), а реализовывать необходимо. И тут, для начала:

  • Адаптируем базовый набор мер (исключаем из набора меры, которые явно неприменимы к нашей ИСПДн, например, виртуализация и т.д.).

  • Уточняем адаптируемый набор мер для нейтрализации актуальных угроз безопасности ПДн, которые мы получаем в результате моделирования угроз.

На окончательный набор мер можно применить приоритетность в реализации и исходить из того, насколько:

  • мера предотвращает прямую утечку ПДн;

  • затрудняет злоумышленнику получить доступ к ПДн;

  • или снижает ущерб при инциденте.

Начинаем по порядку, используем экспертный подход.

Также, по реализации мер защиты, исходя из имеющихся ресурсов, можно применить, например:

  • Базовый уровень реализации меры (минимальный уровень защиты ПДн).

  • Усиленный уровень.

 В итоге манипуляций с мерами защиты остались следующие:

1. Идентификация и аутентификация

Приоритет 1 для реализации.

Базовый уровень:

  • локальные учетные записи операционных систем (ОС) и СУБД;

  • парольная политика (для создания и использования сложных паролей);

  • блокировка после попыток входа (защита от перебора паролей);

  • реализация Active Directory (AD).

Усиленный уровень:

  • реализация IAM.

 2. Управление доступом

Безусловно, приоритет 1 для реализации.

Базовый уровень:

  • использование механизма обеспечения безопасности Access Control List (ACL) в ОС и СУБД, представляющего собой набор правил, определяющих права доступа субъектов (пользователей, программ) к объектам (файлам, папкам, записям в базе данных).

Усиленный уровень:

  • реализация IAM;

  • реализация решения для управления привилегированным доступом Privileged Access Management (PAM).

 3. Регистрация событий безопасности

Определяем приоритет.

Базовый уровень:

  • настройка и контроль системных журналов ОС и СУБД;

  • настройка и контроль событий безопасности в части средств защиты информации.

Усиленный уровень:

  • передача событий безопасности в SIEM.

4. Контроль (анализ) защищенности

Определяем приоритет.

Базовый уровень:

  • периодическое сканирование сетевых устройств, серверов и автоматизированных рабочих мест на наличие известных уязвимостей, оценка их критичности;

  • устранение критичных уязвимостей (необходимо оценивать исходя из конкретной ИСПДн);

  • обновление ОС, приложений, СУБД.

Усиленный уровень:

  • реализация и использование систем управления уязвимостями и исправлениями.

 5. Антивирусная защита

Определяем приоритет.

Базовый уровень:

  • классическая антивирусная система;

  • регулярные обновления системы.

Усиленный уровень:

  • использование EDR.

 В заключение

Определение приоритета для реализации мер безопасности ПДн экспертным методом означает, что далеко не у всех и не всегда может совпадать приоритетность!

Тут еще очень важный момент, то, что мера реализована, и на этом, конец истории, абсолютно нет! Необходимо периодически оценивать эффективность мер защиты, в противном случае, от них может быть мало толку – ложное чувство защищенности до определенного момента!

Также, для усиления защищенности ИСПДн можно использовать так называемый hardening (харденинг) – это процесс усиления защиты путем уменьшения количества потенциальных уязвимостей и поверхностей атаки. Проще говоря, берем сервер, автоматизированное рабочее место, приложение или сеть и отключаем все лишнее, настраиваем безопасные параметры, тем самым, повышаем устойчивость к взлому. Часто этим пренебрегаем, но в безопасности как раз делается акцент на использование в первую очередь встроенных механизмов защиты в ОС, приложениях, СУБД, активных сетевых устройствах и т.д. При этом, рекомендуется использовать правило, где затрачивается меньше усилий с получением максимального результата (опять же, не забываем о приоритетности).

ссылка на оригинал статьи https://habr.com/ru/articles/1043470/