DLP и рекомендации ФСТЭК по защите информации: пересекающиеся параллели

    11 февраля 2014 года ФСТЭК России утвердила методический документ «Меры защиты информации в государственных информационных системах». Этот документ применяется для «выбора и реализации в отношении информации, не относящейся к гостайне и содержащейся в государственных информационных системах (ГИС), мер защиты, направленных на обеспечение конфиденциальности, целостности и доступности информации». Регулятор рекомендует применять данный документ для защиты информации как в ГИС, так и в негосударственных информационных системах, в том числе для обеспечения безопасности ПДн.

    В документе указаны рекомендуемые меры защиты информации с отсылкой к определенным классам систем, например, таким как средства аутентификации, антивирусы, IDS/IPS и др. При этом регулятор напрямую не указывает на необходимость применения систем защиты конфиденциальных данных от утечек (DLP). Однако эти системы позволяют выполнить такие требования, как обеспечение конфиденциальности, целостности информации, передаваемой из информационной системы, регистрация событий безопасности и др.

    image

    Итак, где же можно найти точки пересечения двух, на первый взгляд, параллельных друг другу явлений – регуляторики и защиты от утечек? Подробности под катом.

    Для начала скажем пару слов о назначении DLP-систем. Внедрение DLP преследует следующие базовые цели:

    • Предотвращение утечек конфиденциальной информации.
    • Сбор сведений об инцидентах и нарушениях для формирования доказательной базы в случае передачи дел в суд.
    • Ведение архива действий пользователей и ретроспективный анализ для выявления признаков мошенничества.

    По многолетнему опыту можем сказать, что задач, которые заказчики решают с помощью DLP, множество, вплоть до самых узких и специфичных. Их мы оставим за рамками данного материала, здесь же рассмотрим фундаментальные.

    Несмотря на то, что DLP-системы не относятся к обязательным для использования средствам защиты информации, продукты данного класса способны обеспечить необходимую функциональность для реализации ряда мер, рекомендуемых ФСТЭК в вышеупомянутом документе.

    Обеспечение целостности


    Начнем с основных рекомендаций по обеспечению целостности информационной системы и информации (ОЦЛ), приведенных в методическом документе ФСТЭК от 11 февраля 2014 года.
    «ОЦЛ.5 — Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы».
    Какие меры регулятор предлагает применять для контроля содержания информации, и что из этого можно реализовать с помощью систем защиты от утечек?
    Неправомерная передача защищаемой информации. Выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений, включая сети связи общего пользования и реагирование на них.
    Данная процедура реализуется с помощью разделенного функционала по двум составляющим DLP в зависимости от используемых каналов связи:

    • Проверка информации, передаваемой по протоколам http/https, на предмет неправомерной передачи защищаемых данных может осуществляться с помощью инструментария систем класса веб-прокси.
    • Для анализа внутрисетевого трафика при отправке данных с прокси-сервера или маршрутизаторов можно отслеживать передачу файлов и сообщений по почтовым протоколам.
    Неправомерная запись на съемные носители. Выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них.
    DLP-агент, установленный на рабочей станции, помимо контроля действий пользователя, анализирует содержимое файлов и может блокировать попытки пользователя скопировать на USB или отправить на печать конфиденциальные документы. Факт подключения USB-накопителя фиксируется на агенте, по результатам специалист по информационной безопасности может изменить политику DLP-системы, включив данный накопитель в «черные» или «белые» списки.
    Контроль хранения защищаемой информации на серверах и автоматизированных рабочих местах.
    Выявление фактов хранения конфиденциальной информации на общих сетевых ресурсах (общие папки, системы документооборота, базы данных, почтовые архивы и иные ресурсы).

    image
    Обозначенные меры можно реализовать с помощью функциональности сканирования файловых хранилищ, которая с разной степенью проработанности реализована во всех продвинутых DLP-системах. Эта функциональность позволяет проводить инвентаризацию содержимого как на файловых/облачных хранилищах и локальных жестких дисках, так и на почтовых архивах.

    Сканирование файловых хранилищ выявляет конфиденциальные данные и нарушения правил их хранения с помощью следующих механизмов (список может варьироваться в зависимости от системы):

    • Сканирование узлов локальной сети, общедоступных файловых и облачных хранилищ.
    • Сканирование почтовых серверов с целью анализа архива электронных писем.
    • Сканирование архивов теневого копирования.
    • Активное противодействие нарушениям правил хранения защищаемых данных (перемещение нелегитимно хранящейся конфиденциальной информации в карантинное хранилище, замена файлом-уведомлением, копирование на рабочую станцию ИБ-специалиста и др.).
    • Автоматическая классификация корпоративных данных в зависимости от настроек политики.
    • Контроль распространения информации в рамках компании и выявление мест несогласованного хранения критичных данных.

    Дополнительно в требованиях к усилению данной меры приводится блокировка передачи из ИС информации с недопустимым содержанием. Практически все DLP-системы позволяют выполнять данные требования по различным каналам связи – от почтовых сообщений до копирования на USB-носитель.

    Регистрация событий безопасности


    Вторым важным блоком рекомендаций ФСТЭК по защите информации является регистрация событий безопасности — РСБ. Конечно же, прежде чем приступать к выполнению данных мер, в организации должны быть категорированы все информационные активы (ресурсы). После этого становится возможным выполнение следующих мер:
    Определение состава и содержания информации о событиях безопасности, подлежащих регистрации.
    Сбор, запись и хранение информации о событиях безопасности в течение основного времени хранения.
    Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них.
    image

    Не все DLP-решения способны отображать факт и время аутентификации пользователей в информационных системах, а также информацию о предоставленных пользователям правах. Но большинство позволяет настраивать запрет запуска определенных приложений и осуществлять контроль действий пользователей при работе в различных информационных системах. В продвинутых DLP-системах, как правило, реализована расширенная градация событий по уровню их критичности, до 4-5 уровней. Это очень удобно для профилирования событий, формирования отчетов и сбора статистики. После анализа данных событий специалист по информационной безопасности, работающий с системой, принимает решение о том, имел ли место инцидент ИБ.

    Благодаря сохранению всех событий в базе данных DLP-системы, при обновлении политик можно провести ретроспективный анализ и расследование.

    Защита ИС, ее средств и систем связи и передачи данных


    Вернемся к базовым целям, стоящим перед DLP-системами. По зрелому размышлению становится очевидным, что для их достижения важна не только возможность сбора и консолидации различного рода логов, но и защита накапливаемых данных при их передаче/обработке и хранении. Собственно, речь идет о том самом понятии неотрекаемости при создании, отправке и получении информации, о которой мы подробно рассказывали в предыдущей статье. Подойти к выполнению этой меры можно с разных сторон. Реализации некоторых DLP-систем подразумевают использование для обеспечения «неотрекаемости» лишь дополнительных коммерческих СЗИ и СКЗИ. Другие же позволяют применять и стандартные возможности операционной системы. Рассмотрим, на что можно опереться, например, в ОС CentOS и БД PostgreSQL:

    • Шифрование тома по секторам, встроенным в ядро ОС «DM_Crypt».
    • Шифрование БД – модуль «pgcrypto» (шифрование таблиц и строчек самой БД, что позволяет в том числе выстроить защиту и от привилегированных пользователей, включая ИТ-персонал).
    • Создание защищенного соединения в кластере между БД «pg_hba.conf».
    • Защита клиент-серверного соединения – фактически необходимо TLS 1.2 и выше.

    Несмотря на то, что ФСТЭК не регламентирует использование криптографических средств защиты, дополнительно видится целесообразным применение шифрования для Защиты информационной системы, ее средств и систем связи и передачи данных (ЗИС) с тем, чтобы сама DLP-система в руках грамотного ИТ-персонала не стала объектом утечки закрытой информации. Так как вышеперечисленные средства являются компонентами ОС и сопутствующего ПО, рассмотренный пример носит частный характер. Однако в любом случае при необходимости всегда можно найти opensource/бесплатную альтернативу существующим коммерческим средствам криптографической защиты информации. Но здесь сразу же встает вопрос о сертификации данных решений, а это уже тема для отдельной беседы.

    В нашем следующем материале мы расскажем о применимости ключевых DLP-систем по составляющим модулям к рекомендациям американского стандарта NIST US.
    Ростелеком-Солар
    362,77
    Безопасность по имени Солнце
    Поделиться публикацией

    Комментарии 25

      +1
      Регулятор рекомендует применять данный документ для защиты информации как в ГИС, так и в негосударственных информационных системах, в том числе для обеспечения безопасности ПДн.

      Меня всегда умиляет эта фраза "регулятор рекомендует". Первое, у нас столько регуляторов, и под всех надо подстраиваться. И второе, если это рекомендации, то почему при проверках они становятся обязательными?


      Рассмотрим, на что можно опереться, например, в ОС CentOS и БД PostgreSQL:
      Шифрование тома по секторам, встроенным в ядро ОС «DM_Crypt».
      Шифрование БД – модуль «pgcrypto» (шифрование таблиц и строчек самой БД, что позволяет в том числе выстроить защиту и от привилегированных пользователей, включая ИТ-персонал).
      Создание защищенного соединения в кластере между БД «pg_hba.conf».
      Защита клиент-серверного соединения – фактически необходимо TLS 1.2 и выше.

      Но ведь говоря о криптографии, мы должны иметь ввиду российскую криптографию.

        0
        у нас столько регуляторов

        Тут как раз просто. У каждого регулятора своя зона ответственности. Как правило эти зоны ответственности разделяются в соответствующем законе. Скажем по 152-фз ФСБ отвечает за шифрование
        А регулятор рекомендует по причине того, что 1. обязать может закон и трактовать закон никто не может. Скажем по 152-фз согласие субъекта обязано быть письменным и хоть обрекомендуйся, что галочка на сайте это согласие — текст закона это нарушает
        и 2. регулятор может в любой момент сменить свои рекомендации. Так в 17й приказ сейчас входят уровни доверия. Которые ДСП и что делать с имеющимися сертификатами на средства защиты — в упор не ясно
        а. Еще и 3. Даже если вы выполнили все рекомендации регуляторов — суд может решить, что вы что-го нарушили.
          –1
          Даже если вы выполнили все рекомендации регуляторов — суд может решить, что вы что-го нарушили.

          А до решения суда регулятор или еще кто-то может отозвать лицензию или приостановить ее действие, если он решил что нарушены его РЕКОМЕНДАЦИИ?

            0
            Смотря какой регулятор. Если говорить про компании, подпадающие под некие требования, то тут ближе всего к вашему вопросу — может ли Роскомнадзор без суда наложить штраф или потребовать некие действия
            ФСТЭК проводит очень мало проверок и я с ними не сталкивался, но вот лицензиата своего он думаю может лишить лицензии.
              0
              вот лицензиата своего он думаю может лишить лицензии.

              Но для этого нужны основания. Является ли основанием не выполнение рекомендаций?

                –1
                Очень давно интересовался темой, не рискну сейчас утверждать что-то
                  –1

                  Спасибо.

            0
            Скажем по 152-фз согласие субъекта обязано быть письменным и хоть обрекомендуйся, что галочка на сайте это согласие — текст закона это нарушает


            Пункт 1 статьи 9 152-ФЗ: Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
              0
              Нажатие галочки на сайте не позволяет подтвердить, что ее нажал именно тот человек, данные которого указаны. Именно поэтому для доступа скажем к данным налоговой галочку на сайте поставить мало — надо прийти и подтвердить свою личность
              В ближайшее время в 152-ФЗ будут внесены изменения, позволяющие использовать для идентификации электронные ключи. Вот тогда да, на сайтах можно будет идентифицироваться уверенно — если они конечно эти ключи поддержат
                0
                Я не про галочку на сайте, а про то, что вы пишите, что якобы по 152-ФЗ согласие субъекта на обработку его ПДн всегда должно быть письменным, хотя это не так. Не вводите людей в заблуждение.
                  –2
                  Формально вы абсолютно правы, но читаем далее:
                  Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных… возлагается на оператора.

                  Как может оператор доказать, что ему точно дал согласие именно этот субъект? Варианты перечисляются далее

                  В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью

                  Так что альтернатива письменной форме только электронная подпись. Вы много раз видели ее применение? Я вот ни разу
                    0
                    Связка логин-пароль является простой электронной подписью. Так что если речь не идет о квалифицированных ЭП, то да, я много раз видел применение таких ЭП.

                    А давайте посмотрим что же думает сам РКН в своем постатейном комментарии 152-ФЗ от 2015 года про согласия субъекта в Интернете:

                    Комментарий к части 1 статьи 9 152-ФЗ

                    В комментируемой статье содержатся общие требования, предъявляемые к согласию субъекта персональных данных на обработку его персональных данных.
                    Часть 1 анализируемой статьи устанавливает условия принятия решения субъектом персональных данных о предоставлении своих персональных данных и дачи согласия на их обработку своей волей и в своем интересе. Следует отметить, что согласие должно быть конкретным, информированным и сознательным.

                    Конкретное согласие означает явно выраженное, предметное, определенное и неабстрактное согласие.

                    Под информированным согласием подразумевается уведомительное, сообщающее намерение о подтверждении того или иного события, факта, действия.

                    Под сознательным согласием имеется в виду осмысленное, обдуманное, разумное согласие.

                    Так, например, субъект персональных данных (пользователь) при регистрации на интернет-сайте принимает условия пользования указанным интернет-сайтом (пользовательское соглашение) и тем самым берет на себя обязательства, установленные указанным соглашением, а также всеми дополнительными правилами (правила верификации), которые являются неотъемлемой частью пользовательского соглашения. Перед регистрацией на интернет-сайте пользователь обязан ознакомиться с вышеуказанным пользовательским соглашением.

                    Таким образом, пользователь Интернета при регистрации на любом сайте самостоятельно принимает решение о предоставлении своих персональных данных и дает конкретное, информированное и сознательное согласие на их обработку своей волей и в своем интересе. То есть при использовании интернет-сервисов и согласно их политике в области конфиденциальности пользователь безоговорочно принимает условия данной политики в полном объеме в момент начала использования сервисов. В случае несогласия с каким-либо пунктом политики пользователь не имеет права использовать сервисы.

                    Зачастую в пользовательских соглашениях указано, что пользователь понимает и согласен с тем, что правообладатель вправе использовать информацию в сервисах, а также размещать комментарии пользователя, предоставленные и (или) добавленные им с помощью сервисов, в официальных группах социальных сетей и иных сообществах правообладателя в Интернете. Таким образом, факт размещения какой-либо информации (фамилии, имени, отчества, электронного адреса) на странице сайта предполагает согласие пользователя с условиями политики, а значит, согласие на размещение тех или иных комментариев на сервисе.

                    Также, например, субъект персональных данных при регистрации в качестве участника конкурса на интернет-сайтах принимает условия правил проведения конкурса, размещенных на сайте, и тем самым берет на себя обязательства, установленные указанными правилами. При этом факт участия в конкурсе означает конкретное, информированное и сознательное согласие участника на обработку организатором конкурса предоставленных участником персональных данных, в том числе фамилии, имени, отчества, номера телефона, а также почтового адреса.

                    В практике Роскомнадзора имеются случаи, когда субъект персональных данных после участия в конкурсе обращается в Роскомнадзор с требованием удалить информацию о себе, размещенную в открытом доступе. Вместе с тем на первоначальном этапе участия в конкурсе участник дает согласие на обработку персональных данных своей волей и в своем интересе и осознает, что раскрытие такой информации об участниках конкурса содержится в положениях ряда нормативных правовых актов.
                      0
                      Связка логин-пароль является простой электронной подписью

                      Электронная подпись подразумевает возможность централизованной проверки, при использовании логина и пароля этого нет. нет возможности подтвердить, что вводит их именно субъект — их владелец

                      По поводу комментариев Роскомнадзора. Я о них знаю. Но есть проблема. Ни один регулятор не имеет право комментировать/сужать требования закона. Я уже рассказывал историю, когда на конференции во Владивостоке упомянул при депутате Госдумы, что Роскомнадзор выпускает некие комментарии. Депутат был категоричен — никто кроме госдумы и верховного суда не имеет права толковать законы. Точка.
                      Роскомнадзор уже не раз говорил о том, что он не обладает правом трактовать законодательство.
                      . Отсюда
                        0
                        ФЗ «Об электронной подписи». Статья 5:

                        2. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.


                        Регулятор, который проводит проверки на выполнение закона не может трактовать этот закон. Ок, понял. А как они тогда проверяют? Может с законом что-то не так, что он требует дополнительного толкования?
                          0
                          По подписи. Мы с вами как я понял говорим о разном.
                          подтверждает факт формирования электронной подписи определенным лицом

                          Я вполне верю, что логин и пароль могут быть сформированы определенным лицом. Но вот подтвердить, что ввело логин и пароль именно это лицо никак нельзя. Я говорю именно о возможности подтверждения личности
                          За цитату кстати спасибо, не знал

                          О толковании. После вашего прошлого письма я для интереса попытался найти, кто может толковать закон. Пишут, что высказывать мнение — может кто угодно, но вот утверждать, что так, а не иначе — может только определенный список органов. И я вполне верю, что любой регулятор может высказать мнение — пока его не поправит тот, кто имеет право толковать закон.
                          Вот скажем типичная ситуация. В законе сказано, что нужно использовать средства, прошедшие процедуру проверки соответствия. Орган власти говорит, что российскими органами, а регулятор говорит, что нужно использовать сертифицированные средства. Означает ли это, что все должны использовать только сертифицированные средcтва?
                          На всякий случай. Я действительно не нашел полного и точного списка тех, кто может толковать закон. Если у вас есть подобные сведения — буду благодарен
                        0
                        Проконсультировался у юристов. Ситуация куда интереснее. Комментировать закон может любой (даже частное лицо), вопрос в какой форме выпущены комментарии.
                        Если это некий приказ и он зарегистрирован в Минюсте, то это означает, что данный документ говорит, о том, что написанное в нем не противоречит закону. А вот если это некое письмо, разъяснение и оно в Минюсте не зарегистрировано, то это частное мнение (хотя конечно ЦБ выпускает именно письма...)
                        Но Минюст может накосячить, поэтому есть суд. Решение суда выше мнения Минюста
                        Однако все мы знаем, как косячат суды первой инстанции, да и в апелляции всякое бывает. Поэтому окончательный диагноз — решение Верховного суда, однако если решение первичной инстанции вступило в силу (никто его не опротестовал), то оно тоже будет иметь законную силу
                        Тоесть смотрим:
                        — зарегистрирован ли документ в Минюсте
                        — нет ли решений судов вступивших в закорнную силу, опровергающих точку зрения документа, зарегистрированного в Минюсте
                        Как-то так.
              0
              Меня всегда умиляет эта фраза «регулятор рекомендует». Первое, у нас столько регуляторов, и под всех надо подстраиваться. И второе, если это рекомендации, то почему при проверках они становятся обязательными?
              «Рекомендует» — всего лишь повод для торга. Да, при аттестации в соответствии с требованиями будут смотреть на сертификаты, и каким образом осуществляется защита предназначенным для этого ПО. DLP сертифицирован только на НДВ и по сути не относится к СЗИ. То есть функционал DLP остается в стороне при аттестации (исключая специализированные требования) — лишь бы не понижал общий уровень. Поэтому здесь слово «рекомендация» вполне уместно.
              Во вступлении, кстати, есть пояснение – «При этом регулятор напрямую не указывает на необходимость применения систем защиты конфиденциальных данных от утечек (DLP). Однако эти системы позволяют выполнить такие требования, как обеспечение конфиденциальности, целостности информации, передаваемой из информационной системы, регистрация событий безопасности и др.»
              Но ведь говоря о криптографии, мы должны иметь ввиду российскую криптографию.
              Да, но перечисленные в статье средства защиты идут в качестве модулей самой ОС, распространяющейся в РФ официально. Смотрим Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств (утв. постановлением Правительства РФ от 29 декабря 2007 г. N 957)
              Настоящее Положение не распространяется на деятельность по распространению:
              а) шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну;
              б) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки;
              в) персональных кредитных карточек со встроенной микроЭВМ, криптографические возможности которых не могут быть изменены пользователями; и т.д.
                –1
                «Рекомендует» — всего лишь повод для торга.

                Это и страшит. Как торговаться?


                Смотрим Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств (утв. постановлением Правительства РФ от 29 декабря 2007 г. N 957)

                А за это спасибо. Как-то не обращал внимания.

                  0
                  О! Тут крайне весело. Читаем например что по 152-ФЗ используемый продукт должен пройти оценку соответствия. По жизни большинство приобретают сертифицированные продукты. Но сертификация лишь один из видов оценки соответствия. Поэтому вы можете опереться на закон и сказать, что ваш продукт прошел оценку соответствия (предъявив естественно нужную бумагу). За рубежом например — в законе нигде не сказано, что оценка соответствия должна происходить в России
                  И так делают. К сожалению разговор был на бегу и не поинтересовался для каких продуктов
                    –1
                    О! Тут крайне весело.

                    Веселого мало, если иметь ввиду сертификацию, ее сроки и стоимость.

                      0
                      Я бы сказал стоимость и сроки это ужас. Исправление уязвимости, давно доступной коммерческим клиентам хорошо через 4 месяца тем, кому нужно использовать сертифицированную версию. Нужна поддержка новой ОС? Платите деньги и ждите опять же месяца три
                      А уж сами требования, на которые проходит сертификация это просто… Не знаю даже слова… Грусть?
                        –1

                        Грусть...

                  –1
                  Да, но перечисленные в статье средства защиты идут в качестве модулей самой ОС, распространяющейся в РФ официально. Смотрим Положение ...

                  К чему Вы это цитируете?
                  Да, на деятельность по распространению операционных систем и СУБД не требуется лицензия ФСБ на СКЗИ.
                  Но с т.з. требований регулятора это не относится к СЗКИ в контексте требований ФСБ по защите ПДн.
                  С т.з. практики такое шифрование может помочь в ряде случаев.
                0
                Меня всегда умиляло, когда вендоры притягивают за уши все подряд меры из всех возможных нормативных документов, не заостряя своего внимания, что меры бывают базовые, а бывают и нет. Для разных классов — разные базовые меры. Плюс есть меры не базовые ни для одного класса. Но нет, мы перечислим все что можно, скажем заказчику, что он должен все это выполнять и выполняется это все конечно же нашей чудо-софтиной/железкой.
                  +1
                  Да, Вы правы, в части привязки мер к DLP – об этом даже делали ремарку во вступлении, что нет прямой привязки мер и использования DLP. Да и рассмотрение систем в разрезе мер обеспечения безопасности есть практически у всех вендоров.
                  Но основная мысль текста не в этом, а в том, что необходима защита как каналов передачи информации, так и непосредственно самой БД DLP от:
                  — изменения/модернизации квалифицированным ИТ персоналом
                  — использования данных в личных целях.
                  Без выполнения вышеперечисленного DLP так и останется вспомогательным инструментом расследования, не более.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое