Андрей Янкин — эксперт центра компетенции информационной безопасности компании «АйТи»; ayankin@it.ru |
Выполнение требований Федерального закона № 152 «О персональных данных» в последнее время является одной из самых актуальных задач в области информационной безопасности не только для крупных предприятий, но и для представителей малого и среднего бизнеса. И если первые могут привлечь значительные ресурсы, создать в рамках отдела ИБ группу специалистов, занимающихся исключительно персональными данными, прибегнуть к помощи крупных интеграторов и консультантов, то для организации меньшего размера вопрос экономии средств зачастую выходит на первый план.
Нередко руководство среднего предприятия, сталкиваясь с проблемой защиты персональных данных (ПДн), руководствуется следующими посылами: «мы не самая крупная компания, о нас еще долго не вспомнят», «когда к нам придут, тогда и будем разбираться», а зачастую и самым характерным для России — «как-нибудь договоримся». Давайте попробуем разобраться, чем же на самом деле рискует организация, не выполняя требования ФЗ № 152?
Основными регуляторами в области защиты ПДн являются Роскомнадзор, ФСТЭК и ФСБ. Сферы деятельности этих государственных органов можно условно разделить следующим образом:
• Роскомнадзор является главным регулятором в области защиты ПДн, он занимается общими вопросами, контролирует состояние организационно-распорядительной документации, ведет реестр операторов ПДн;
• ФСТЭК занимается в первую очередь технической стороной защиты ПДн, обрабатываемых в информационных системах организации;
• ФСБ курирует вопросы криптографической защиты ПДн и государственной безопасности в контексте ПДн (например, ФСБ может заблокировать передачу ПДн за рубеж).
Рис. 1. Этапы реализации типичного проекта по защите персональных данных |
Проверка может быть плановой или внеплановой. Планы проверок на год находятся в свободном доступе в Интернете (ФСТЭК: http://www.fstec.ru/_razd/_plano.htm, Роскомнадзор: http://www.rsoc.ru/plan-and-reports/contolplan/). И если с плановой проверкой все более-менее ясно, то причин для внеплановой проверки может быть множество, в том числе и просто жалоба физического лица. При этом недовольному чем-то гражданину не придется ничего доказывать — достаточно просто в официальном порядке поделиться подозрением с соответствующими органами.
В случае выявления нарушений к организации могут быть применены различные меры воздействия: начиная от небольших штрафов и заканчивая блокированием информационных систем, приостановкой действия лицензий и привлечением руководства к ответственности (вплоть до уголовной). Но даже если дело не приняло такого крутого оборота, предприятие может получить предписание устранить нарушения в определенный срок или уничтожить данные. Причем отведенный срок этот может быть настолько мал, что станет равносилен «смертному приговору» для компании.
Как же грамотно организовать защиту персональных данных в организации?
Рис. 2. Схема межсетевого экранирования |
Процесс приведения обработки ПДн в организации в соответствие ФЗ № 152 можно разделить на этапы, показанные (сверху вниз) на рис. 1. Этап аттестации является необязательным.
По результатам аудита в рамках организации выделяются информационные системы персональных данных (ИСПДн) и проводится их классификация. Всего существует четыре класса (К4 – К1). ИСПДн первого класса нуждаются в самой усиленной защите, а системы четвертого класса предъявляют наименьшие требования к обеспечению защиты (защита на усмотрение оператора ПДн). Для средних и малых компаний характерны ИСПДн классов К2 и К3.
Для организации защиты ПДн могут использоваться только те средства защиты информации (СЗИ), которые прошли проверку соответствия в уполномоченных госорганах (для СЗИ, используемых коммерческими организациями, это ФСТЭК и ФСБ), поэтому далее речь пойдет только о сертифицированных решениях.
Подбирать системы защиты будем для небольшой организации. Допустим, что в результате аудита были выявлены ИСПДн классов К2 и К3, охватывающие 50 рабочих мест и 5 серверов под управлением Microsoft Windows. «Положение о методах и способах защиты информации в информационных системах персональных данных» ФСТЭК (более известное как «приказ № 58») выделяет ряд подсистем защиты персональных данных, описанных ниже.
Одним из ключевых документов, подготавливаемых после проведения аудита, является модель угроз ИСПДн. В ней производится классификация угроз информационной безопасности ИСПДн и рассчитывается их актуальность. В процессе составления модели угроз ИСПДн может быть показано, что необходимости включать в состав системы защиты все перечисленные в «58-м приказе» подсистемы нет. Рассмотрим подробнее каждую из подсистем, изменив порядок их следования для удобства изложения.
Подсистема межсетевого экранирования
В случае, если ИСПДн организации имеют доступ к сетям общего пользования (Интернет), обосновать отсутствие межсетевого экранирования будет достаточно сложно. Межсетевой экран при этом должен быть сертифицирован. На данный момент целый ряд устройств (как иностранного, так и отечественного производства) имеют соответствующие сертификаты ФСТЭК.
Для экономии средств и повышения отказоустойчивости имеет смысл не располагать межсетевой экран на периметре сети, чтобы ему не пришлось обрабатывать весь интернет-трафик компании. Сертифицированным межсетевым экраном можно выделить отдельные сегменты обработки ПДн (см. рис. 2). В таком случае межсетевой экран будет обслуживать только узлы, включенные в ИСПДн.
Таблица 1. Сравнение стоимости межсетевых экранов |
Рассмотрим несколько популярных в области защиты персональных данных устройств (см. табл. 1). Рассматривать будем варианты с реальной производительностью выше 100 Мбит/с. Средние цены даны для устройств в сертифицированном исполнении и включают сервисную поддержку. Здесь и далее цены приводятся из последних доступных на момент написания статьи (начало июня 2011 года) прайс-листов производителей и дистрибьюторов решений. Цены могут различаться в зависимости от индивидуальных договоренностей, уровня партнерства и т. п.
До недавнего времени «сертифицированное» значило «отечественное». Теперь ситуация изменилась, и многим зарубежным вендорам удалось получить сертификаты на свои решения. Функционал иностранных устройств существенно шире, чем у российских, однако есть преимущество и у последних. Например, у продуктов АПКШ «Континент», S-Terra CSP VPN Gate, ViPNet Coordinator имеется встроенная поддержка отечественной криптографии, сертифицированная ФСБ. Важно также понимать, что если организация передает ПДн через Интернет (например, в рамках обмена информацией с филиалами), ей не обойтись без решения вопросов криптографической защиты каналов связи. И в таком случае, приобретя устройство с поддержкой шифрования по ГОСТу, можно убить сразу двух зайцев. Это, кстати, понимают и иностранные производители: например, CheckPoint и StoneSoft реализовали в своих устройствах поддержку российской криптографии и сейчас активно работают над получением соответствующих сертификатов ФСБ.
Таблица 2. Стоимость антивирусов для сети в 55 узлов |
Когда количество узлов, на которых происходит обработка ПДн, совсем небольшое, стоит обратить внимание на вариант использования локального межсетевого экрана на каждом сервере и рабочей станции. Это, возможно, позволит сэкономить на аппаратном решении без потери качества. Рынок сертифицированных локальных межсетевых экранов довольно развит и богат различными отечественными разработками. Особо стоит выделить новый продукт от ГК «Информзащита» — Security Studio Endpoint Protection, созданный на базе проверенного временем ядра Agnitum Outpost. Выгодно отличает это решение от прочих наличие сертифицированного антивируса и системы обнаружения вторжений. Стоимость одной лицензии составляет 2440 руб. в базовом варианте и 2700 руб. со встроенным антивирусом.
Подсистема антивирусной защиты
Очень редко встречаются организации, для которых угроза заражения вирусами собственной ИСПДн неактуальна.
Приятно удивляет подход к сертификации своих продуктов, выбранный антивирусными компаниями (законодателем мод здесь традиционно является «Лаборатория Касперского»). Цена сертифицированного решения не отличается от обычной. Покупателю необходимо приобрести один сертифицированный дистрибутив на всю свою сеть и пакет документации (цена не более 2–2,5 тыс. руб.). Если вы уже используете антивирус, достаточно докупить только сертифицированный дистрибутив.
Цены на некоторые сертифицированные антивирусные решения (для защиты 50 рабочих станций и 5 серверов) приведены в табл. 2.
Подсистемы контроля целостности, управления доступом, регистрации и учета
Данные подсистемы де-факто являются обязательными для любой ИСПДн. Их следует рассмотреть в комплексе, так как реализуются они одними и теми же техническими средствами.
К созданию этих подсистем есть два принципиально разных подхода, имеющих свои достоинства и недостатки: использование наложенных средств защиты или встроенных возможностей операционной системы.
Таблица 3. Решения по контролю целостности, управлению доступом, регистрации и учету |
Преимуществом первого подхода является простота его реализации. На узлы устанавливается специальное ПО, выполняющее все необходимые функции. Основных недостатков тут два: такое ПО сильно загружает рабочие станции/серверы и стоит недешево.
Второй подход кажется логичным: почему бы не использовать встроенные возможности ОС? Тем более что компания Microsoft сертифицировала свои основные ОС как СЗИ (в подавляющем числе средних и малых организаций в России используются ОС от Microsoft, однако и любители UNIX имеют шанс подобрать сертифицированный аналог используемых ОС — число их постоянно растет). Сертифицированные сборки Microsoft принципиально ничем не отличаются от обычных версий, и администраторам не придется осваивать новые системы. Недостатка у данного подхода также два: необходимость в ряде случаев переустановки ОС с сертифицированного дистрибутива и отсутствие подсистемы контроля целостности.
Со второй проблемой помогает справиться специально созданный продукт «Агент ИКЦ 2011». Эта утилита, помимо контроля целостности с использованием в том числе алгоритма ГОСТ Р 34.11-94, позволяет производить инвентаризацию ПО и аппаратной части узлов сети и почти не загружает машину.
Стоимость такого комплексного решения складывается из следующих компонентов: пакеты сертификации для ОС (6000–8000 руб. для сервера Win2003 Standard Edition и 1800–2200 руб. для рабочей станции), один на сеть ключ eToken для получения обновлений (около 1000 руб.), сертифицированные дистрибутивы ОС (по 1000 руб. для каждого типа ОС) и ПО «Агент ИКЦ» (1120 руб. за одну лицензию). Таким образом, суммарная стоимость для одной рабочей станции нашей сети составит около 3200 руб., а для одного сервера — около 8000 руб.
В табл. 3 приведены цены на основные решения в данном классе.
Подсистема анализа защищенности
Данную подсистему часто недооценивают и отсекают еще на этапе составления модели угроз, хотя результаты работы сканера безопасности нередко вызывают удивление у неискушенных администраторов и их руководителей.
Рынок сертифицированных сканеров безопасности в России, по сути, монополизирован отечественной компанией Positive Technologies. Ее решение MaxPatrol ориентировано на очень крупные компании, а для SMB предлагается сканер безопасности XSpider. Это действительно качественное решение, стоящее в одном ряду с лучшими мировыми образцами.
Ориентировочная минимальная цена лицензии для наших 55 узлов составляет 39 600 руб.
Подсистема обнаружения вторжений
Ситуация с этой подсистемой до недавнего времени была парадоксальной: требования о ее наличии были, а сертифицированные решения на рынке отсутствовали. Поэтому ее традиционно просто отбрасывали на уровне составления модели угроз ИСПДн.
Сейчас на рынке уже появились решения данного класса. Наибольший интерес для нашего случая представляет устройство StoneGate IPS-1030 (цена в сертифицированном исполнении 286 000 руб.). Другим распространенным решением в данной области является серия систем обнаружения вторжений Cisco IPS 4200, но к немалой стоимости таких устройств (15 600 долл. для младшего устройства линейки IPS 4240 с учетом годовой поддержки) прибавляется еще и цена сертификации каждого отдельного устройства, что для нашей небольшой организации, скорее всего, было бы неприемлемо.
Здесь, так же как и в случае с межсетевым экраном, можно обратить внимание на встроенную в Security Studio Endpoint Protection систему обнаружения вторжений.
Что в итоге?
Подсчитаем, во что же в итоге обойдется для нашей средней организации внедрение технических средств защиты информации. Остановимся на следующих решениях: S-Terra CSP VPN Gate 1000 в качестве недорогого межсетевого экрана с дополнительной возможностью построения криптотуннелей; проверенный, хоть и не самый дешевый, Антивирус Касперского для рабочих станций и серверов; связка из сертифицированной ОС и «Агента ИКЦ 2011» для рабочих станций (Win XP/7); Secret Net 6 без аппаратной части для серверов и сканер безопасности XSpider 7.7. На системе обнаружения вторжений мы сэкономим, обосновав ее отсутствие при помощи модели угроз. Таким образом, общая стоимость комплекса средств защиты персональных данных составит порядка 360 000 руб. Если какие-то средства защиты уже установлены, стоимость может быть ниже.
До недавнего времени бытовало мнение, что выполнение требований ФЗ № 152 «О персональных данных» — непосильная и бессмысленная ноша для организации как с финансовой, так и с технической точки зрения. Сейчас появилась возможность взглянуть на ситуацию иначе. Сертификаты соответствия получает все большее число устройств и программных решений, реализующих функции безопасности на лучшем мировом уровне. Возможно, стоит задуматься об общей модернизации систем безопасности предприятия и в рамках этого процесса решить и проблему защиты персональных данных. Тем более все предпосылки к этому на сегодняшний день уже имеются.