Теперь каждую ИСПДн нужно подключать к SOC?

    Наверное, многие из вас видели в конце декабря 2020 года в СМИ заголовки вроде «Подписано около 100 новых законов» и возможно даже читали подборки изменений новых правил из различных сфер жизни, вступающих в силу с 1 января 2021 года.

    Одним из таких подписанных документов был Федеральный закон от 30.12.2020 №515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности». Казалось бы – как связаны оперативно-розыскная деятельность, любая ИСПДн (информационная система персональных данных) и SOC (Security Operation Center)?

    Дело в том, что этим законом, в том числе, были внесены изменения в пункт 6 части 2 статьи 19 Федерального закона №152-ФЗ «О персональных данных» и теперь этот пункт выглядит так:

    2. Обеспечение безопасности персональных данных достигается, в частности:

    6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них; (жирным шрифтом выделено новое).

    А разве раньше не нужно было выявлять компьютерные инциденты и реагировать на них в ИСПДн?

    За техническую сторону требований 152-ФЗ отвечает приказ ФСТЭК России от 18.02.2013 г. №21, где в приложении есть подходящая мера с индексом «РСБ.5»: Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них.

    Нестыковка здесь в том, что эта мера, по мнению ФСТЭК, является базовой (читай – обязательной) для ИСПДн первого и второго уровней защищенности (самых высоких). А большинство обычных «1С-ок» небольших предприятий является, как правило, ИСПДн четвертого уровня защищенности. Да и достаточно крупные ИСПДн (содержащие персональные данные более 100 000 субъектов) часто классифицируются по третьему уровню защищенности (если там не содержится специальных категорий персональных данных, например, сведений о здоровье).

    То есть получается, что большая часть ИСПДн из под обязательных требований организации выявления компьютерных инцидентов и реагирования на них выпадала, но сейчас это требование внесли в Федеральный закон, который в иерархии руководящих документов выше приказа ФСТЭК.

    Так что же это, теперь любой мелкий предприниматель, ведущий excel-базу своих 10 сотрудников и 20 клиентов должен организовывать у себя SOC или подключаться к внешнему? Давайте разберемся.

    Обнаружение компьютерных атак это только SOC?

    На самом деле в том варианте, в котором это сформулировано в законодательстве – не обязательно, если ориентироваться на чисто формальный подход.

    Что такое SOC? Если коротко, то это набор неких технических решений для регистрации событий в пределах контролируемой зоны.  Чаще всего представлена в виде анализатора событий (логов) из различных источников, их хранения и корреляции на основе заранее заданных правил (SIEM-системы) плюс персонал первой, второй и третьих линий, обрабатывающих «пойманные» SIEM-системами инциденты.

    Но в законодательстве, что в ФЗ, что у ФСТЭК нет прямого указания ни на SIEM-системы, ни на корреляцию событий безопасности, ни на штат упомянутых выше специалистов. В 152-ФЗ это «обнаружение компьютерных атак», а по ФСТЭК «мониторинг (просмотр, анализ) результатов регистрации событий безопасности». Ну и конечно «реагирование на них» (на атаки и события соответственно).

    Как показывает наш опыт, самая сложная задача в этом деле это все-таки обнаружение компьютерного инцидента (если это конечно не что-то типа WannaCry, который сразу кричит о себе с экранов мониторов), а уж реагирование в каком-либо виде в любом случае последует.

    К вопросу о менее заметных невооруженным глазом инцидентах. На днях получили запрос о помощи в ликвидации последствий инцидента и дальнейшем сопровождении информационной безопасности от одной коммерческой организации, которой выписало предписание ФСБ России. Предписание выдано за то, что в этой организации поймали ботнет, который в свою очередь уже атаковал объект критической информационной инфраструктуры в другом регионе России. Предписано устранить нарушения, а ответственный за ИБ получил административку по ч. 6 ст. 13.12 КоАП РФ.

    Кстати, формулировка ФСТЭКа, еще усугубляется мерами РСБ.1 и РСБ.2 (которые уже являются обязательными для ИСПДн всех уровней защищенности), согласно которым оператор персональных данных сам определяет состав событий безопасности, подлежащих регистрации и сроки их хранения.

    Таким образом, если стоит задача «отбрехаться от проверки», то тот самый мелкий предприниматель может во внутренних документах установить состав регистрируемых событий безопасности:

    • срабатывания антивируса;

    • записи о неудачных входах в систему.

    Как обнаруживаем атаки? Сисадмин приходит раз в неделю и смотрит эти события «глазами». Нашел что-то подозрительное? Реагируем! Формально требование выполняем? Выполняем. Фактически мера работает? Конечно же, - нет. Да и чего греха таить, скорее всего, сисадмин даже раз в неделю эти самые события не смотрит.

    Если к вопросу обнаружения атак подходить не с формальной стороны, то быстро становится понятно, что двух источников явно недостаточно. В полноценной информационной системе для того, чтобы выловить хоть какие-то инциденты информационной безопасности, нужно анализировать события как минимум со следующих источников:

    • операционные системы (Windows Event Log, Syslog);

    • служба каталогов (Windows Event Log);

    • антивирусы;

    • «умные» межсетевые экраны (NGFW, UTM, WAF);

    • системы обнаружения и предотвращения вторжений.

    В этом нам поможет SIEM-система. Но дальше встает вопрос – кто будет эту систему обслуживать, кто будет писать и улучшать корреляции, чтобы снизить ложноотрицательные и ложноположительные срабатывания, кто будет разбирать выявленные инциденты? Правильно, специалисты, а SIEM+специалисты=SOC как ни крути.

    Как будут действовать регуляторы (пока что предположения)

    Как мы знаем, в сфере защиты персональных данных у нас три основных регулятора – Роскомнадзор, ФСТЭК и ФСБ. И если от первых как раз и вполне вероятно отбрехаться по приведенной выше схеме от нового требования 152-ФЗ, поскольку они проверяют больше юридическую сторону вопроса, то от вторых и третьих уже вряд ли получится.

    В силу свежести нового требования нельзя точно говорить о какой-то практике проверок и правоприменения, связанных с ним. Но что мы точно можем сказать по своему опыту, со стороны ФСТЭК и ФСБ взят курс на смещение акцентов с «бумажной» информационной безопасности в сторону реальной.

    Что касается негосударственных организаций, то ФСТЭК все еще вряд ли туда придет проверять вопросы защиты персональных данных. Еще пару лет назад, мы бы сказали то же самое и про ФСБ, но в последние годы у нас было несколько кейсов проверок организаций, никак не связанных с государством этим регулятором. Так что быть в курсе последних изменений в законодательстве не помешает.

    Comments 9

      –2
      SOC != SIEM + специалисты
      Зрелый SOC также должен реагировать на инциденты. С помощью SIEM и голыми руками сотрудников это не сделать.
        0
        При желании ФСБ может докопаться (законнно докопаться!!!) до практически любой мелкой <неугодной> компании?
        Своим — все. Врагам — закон.

        Верно понял основной смысл статьи?
          0
          Посмотрим… Пока что все эти «реальные кейсы» удобны всяким интеграторам ИБ, чтобы под шумок получить свою копеечку. Из разработки «бумаги» на соответствие 152-ФЗ скорее всего уже все соки высосаны.
            0
            Вот здесь недавно писали что из «бумаги» в общем-то неплохо так соки еще сосут, правда приходится прибегать уже к не совсем этичным техникам.

            А ваш скепсис по поводу кейса абсолютно не понятен. Особенно учитывая, что вы сам архитектор ИБ судя по профилю. Вы думаете это страшилка, что можно словить ботнет с которого потом будут атаковаться важные объекты? Мы, к сожалению, не договорились с потерпевшим о возможности выложить скан предписания и их в целом можно понять. Смысл ссылки на такой кейс заключается в нашем опыте того, что почему-то до сих пор ответственные лица многих даже крупных, даже государственных организаций считают, что «инцидент ИБ» это когда поймали шифровальщик и другие случаи, когда невозможно продолжать работу, а когда в их системе закрепился троян, но никак себя не выдает это «ок» и никто не узнает и регулятор по шапке на надает. Так вот — оказывается, что узнает и по шапке надает. Информация к сведению. Вы можете не верить, но я убежден, что таким опытом безопасникам делиться нужно.

            Ну и в этом случае, хоть регулятор и ссылался на отмененные постановления правительства, как оказалось, среагировали не зря. У потерпевшей организации, не то что сертифицированного, даже бесплатного антивируса не было, даже встроенный Windows Defender был отключен и не обновлялся. Вы как архитектор ИБ считаете это нормальным?
              0
              Как архитектор ИБ я это не считаю нормальным.
              Однако в данном конкретном случае не понятно, кто принял на себя риски (нет антивируса и т.п.). Это руководство приняло риски не выделив средств или безопасники не донесли до руководства проблему? А может быть проблема вообще совсем не в рисках, а банально в организации нет квалифицированных кадров? Мало конкретики.
                0
                Да в общем-то там было всё, что вы перечислили. И кадров нет и доводить руководству некому. Руководство тоже не в теме ИБ, поэтому о рисках даже не думали. Сеть делал одноразовый подрядчик — работает и ладно!

                К сожалению, это реальность, в которой по большей части мы тут работаем.

                Если бы проблема была в чем-то одном из вами перечисленного это было бы слишком круто для нашей деревни =)
                  0
                  Теперь всё встало на свои места. К сожалению, тут никакая архитектура не поможет :(
            0
            Верно понял основной смысл статьи?


            Нет, не верно. Основной смысл, что требование уже было но не для всех, а теперь вроде как для всех, но как будут реагировать регуляторы — посмотрим. Может и никак. У нас, кстати планируется публикация об одном требовании ФСБ, которому уже минимум 12 лет, но на которое всем пофигу, в том числе самим ФСБ.

            Что касается «докопаться», то ФСБ конечно может, но их претензии тоже нужно внимательно читать и анализировать. На самом деле в том действительно реальном кейсе, которое почему-то другой комментатор берет в кавычки, ФСБ ссылается на утратившее силу постановление правительства, что вполне себе можно использовать в мотивированном ответе на предписание. Так что с регуляторами спорить можно и нужно, тем более они не редко бывают не правы, а требования бывают не обоснованы.
            –1

            А без антивируса (угу сертифицированного
            ...) Нельзя никак… Ну вот Эксель в ноуте ноут в сейфе, wifi отключен… Ну так в порядке бреда.…
            Законы пишут думая о банках/крупных компаниях и т.п., а проблемы они часто создают тем про кого "писатели" даже и не думали (возможно не все)

            Only users with full accounts can post comments. Log in, please.