Основные требования по информационной безопасности

Требования по безопасности многих категорий данных и ИТ-объектов нормативно регламентированы. Так, прикладные задачи по защите персональных данных, ГИС и КИИ отражены в приказах ФСТЭК № 17, № 21, № 239 соответственно. Регулирующие документы разные, но ИБ-требования в них пересекаются и условно делятся на следующие блоки:

Требования	Нормативные акты
Аудит и разграничение доступа к информационным ресурсам	Приложения № 2 к Приказам ФСТЭК № 17, № 21, Приложение к Приказу ФСТЭК № 239, блок мер II. П. 2 ч. 1 ст. 10 Федерального закона «О коммерческой тайне». П. 8 ч. 2 ст. 19 Федерального закона «Об информации, информационных технологиях и защите информации»»
Контроль действий и коммуникаций пользователей, защита информации от разглашения	Приложения № 2 к Приказам ФСТЭК № 17, № 21, блоки мер III, XI, XII, XIII. Приложение к Приказу ФСТЭК № 239, блоки мер III, X, XI.
Аудит и контроль ИТ-инфраструктуры	Приложения № 2 к Приказам ФСТЭК № 17, № 21, блоки мер I, X. Приложение к Приказу ФСТЭК № 239, блоки мер V, IX.
Обнаружение инцидентов и реагирование на них.	Приложения № 2 к Приказам ФСТЭК № 17, № 21, блок мер V. Приложение к Приказу ФСТЭК № 239, блок мер XII. Ч. 3.1 ст. 21 Закона о персональных данных. П. 1 ч. 2, п. 3 ч. 3 ст. 9 Закона о безопасности КИИ.

При этом одним техническим средством можно закрыть сразу несколько однородных требований:

1. Аудит и разграничение доступа к данным, контроль их жизненного цикла

Эти задачи актуальны для всех организаций: будь то операторы персональных данных, государственных информсистем или субъекты КИИ. Они обязаны:

• выявить защищаемые файлы, присвоить им определенные атрибуты или метки
• обеспечить хранение чувствительных данных только в защищенных непубличных ресурсах
• разграничить доступ к защищаемым файлам согласно правилам организации

Для решения этих задач применяются системы класса DCAP. Например, DCAP «СёрчИнформ FileAuditor» выявит данные, которые нуждаются в особой защите: файлы с персональными данными, коммерческой тайной, финансовыми данными и другой чувствительной информацией. DCAP классифицирует все файлы – проставит метки – и применит к ним определенные атрибуты безопасности.

В «СёрчИнформ FileAuditor» можно настроить блокировки доступа к файлам, запретить доступ к ним через приложения. А также ограничить работу с ними для отдельных сотрудников и их групп. Метки классификации встраиваются в структуру файлового потока и наследуются при операциях с файлом. Поэтому разграничение доступа не удастся «обойти», например, через создание копии или смену формата документа.

Подробнее о возможностях DCAP-системы «СёрчИнформ FileAuditor»

2. Контроль действий и коммуникаций пользователей
за рабочим ПК

Эти требования актуальны при защите персональных данных, информации в ГИС или на объектах КИИ, коммерческой тайны. Для их выполнения организация должна:

• взять под контроль коммуникации сотрудников на рабочих местах, исключить разглашение конфиденциальной информации
• отслеживать активность персонала в информационной инфраструктуре, исключить опасные действия с защищаемыми файлами (выгрузку, публикацию, передачу, порчу, удаление)

Выполнить эти задачи помогают решения класса DLP. Например, DLP-система «СёрчИнформ КИБ» контролирует любую активность сотрудников на автоматизированных рабочих местах и их коммуникации по различным каналам связи: по электронной почте, через мессенджеры, соцсети, ВКС и другим.

Система имеет встроенные механизмы блокировки, через которые можно запретить доступ в определенные программы. А бесшовная интеграция с DCAP «СёрчИнформ FileAuditor» позволит использовать правила доступа к файлам или вовсе ограничить его. Например, можно для всех сотрудников запретить передачу персональных данных в мессенджерах или выгрузку их на съемные накопители.

«СёрчИнформ КИБ» мониторит действия сотрудников на рабочих местах. Система покажет ИБ-службе нарушения со стороны персонала – попытки слива информации, подделки документов, общение с конкурентами, недоработки и пр.

Подробнее о возможностях DLP «СёрчИнформ КИБ»

3. Аудит и контроль ИТ-инфраструктуры

Меры, связанные с защитой ИТ-инфраструктуры, нормативно установлены для операторов персональных данных и ГИС, и, в особенности, для субъектов КИИ. Чтобы выполнить эти задачи, организация должна:

• проанализировать, какие объекты (сервера, АРМ, программное обеспечение и другие) входят в ИТ-инфраструктуру компании, имеют ли они «слабые места» и уязвимости
• обеспечить централизованный сбор показателей о работе элементов ИТ-инфраструктуры и выявить сбои, нарушения и другие инциденты

С этим справляются решения класса SIEM. Например, «СёрчИнформ SIEM» с помощью коннекторов подключается к различным объектам ИТ-инфраструктуры и логирует все происходящие на них события. Встроенные правила корреляции и кросс-корреляции помогают сопоставлять, обогащать и нормализовать события из разных источников. Оператор может видеть полную картину происходящего в ИТ-инфраструктуре, контролировать ее работоспособность и предотвращать инциденты.

Больше про функционал «СёрчИнформ SIEM»

4. Обнаружение инцидентов и реагирование на них

Выявлять нарушения и реагировать на них – требование, актуальное для всех организаций, реализующих меры защиты информации. Чтобы их выполнить, организации необходимо:

• обнаруживать подозрительную активность пользователей и аномалии в работе ИТ-систем
• выявлять причины инцидентов, обнаруживать их виновников и собирать доказательства их причастности
• принимать меры к минимизации нежелательных последствий инцидента
• информировать об инцидентах контролирующие органы

Выполнить эти задачи поможет комплекс из DCAP-, DLP- и SIEM-систем.

DCAP «СёрчИнформ FileAuditor» позволит увидеть нежелательные изменения в защищаемых файлах и избежать их безвозвратной утраты или порчи. В решение встроены механизмы «умного» бэкапирования, позволяющие восстановить данные в необходимой версии, если они будут неправомерно модифицированы или удалены.

DLP «СёрчИнформ КИБ» помогает выявлять внутренние инциденты ИБ на ранних стадиях и оперативно реагировать на них. Блокировки, выполняемые с помощью агентских компонентов DLP, производятся в реальном времени и позволяют немедленно пресечь выгрузку или любые другие опасные действия с данными.

Система автоматизирует составление отчетов о выявленных инцидентах. Так, сведения об инцидентах с персональными данными можно выгрузить из DLP «СёрчИнформ КИБ» в форме, пригодной для направления регулятору в качестве уведомления о нарушении. Кроме того, с помощью системы можно провести ретроспективный анализ выявленных инцидентов, изучить предшествующие им события и действия внутреннего нарушителя. DLP становится важным инструментом для проведения ИБ-расследований, а сведения из нее об инциденте принимаются судами в качестве доказательств.

«СёрчИнформ SIEM» позволит выявить любые аномалии и сбои в работе элементов ИТ-инфраструктуры: вирусные заражения, попытки несанкционированного доступа, нарушения правил аутентификации и пр. Система интегрирована с другими средствами ИБ, что расширяет возможности обнаружения инцидентов. А благодаря правилам кросс-корреляции снижается число ложных срабатываний. Например, сброс учетной записи сотрудника – обычное событие. Но, если оно обнаружено ночью и к этому ПК одновременно подключен съемный носитель, это повод для проверки ситуации. SIEM-система позволяет провести ретроспективный анализ событий до и во время инцидента и выявить его причины.

В «СёрчИнформ SIEM» автоматизировано составление и отправка отчетности об ИБ-событиях. Интеграция с системой ГосСОПКА позволяет направить уведомление в НКЦКИ по требуемой форме в несколько кликов.

Дополнительные возможности базовых средств защиты информации

Зачастую в организациях, особенно небольших, ресурсы и кадры на обеспечение ИБ серьезно ограничены. При этот требований и задач по защите информации много. В таком случае решающими характеристиками в защитных решениях становятся многофункциональность, быстрое развертывание, простая настройка и эксплуатация. Такое комбо реализовано в «коробочных» системах с преднастроенными политиками безопасности. Решения «СёрчИнформ» созданы именно по этому принципу: поставляются в комплекте с готовыми правилами, адаптированы под разные отрасли экономики, имеют возможности кастомизации.

Системы «СёрчИнформ» готовы к работе сразу после установки, требуют минимальной донастройки, которая производится в простых графических интерфейсах. При этом возможности решений «СёрчИнформ» выходят за привычные рамки своего класса, что позволяет ИБ-специалисту решать больше задач без дополнительных инвестиций. Например, в «СёрчИнформ КИБ» включены возможности анализа поведения пользователей, свойственные для систем классов UBA/UEBA, а в «СёрчИнформ SIEM» имеется сканер уязвимостей.

Больше об инструментах безопасности: