Для защиты персональных данных нужны российские решения

Ирина Семцова

  На рынке средств защиты персональных данных не видно серьезных перемен. Нормативная база в этой области на сегодняшний день достаточно обширна, однако на практике ситуация оставляет желать лучшего. Об особенностях рынка, основных проблемах и требованиях к средствам защиты персональных данных, а также о соответствующих им решениях CNews рассказал Михаил Емельянников, руководитель дирекции по развитию компании "Информзащита".

  CNews: В чем особенность сегодняшнего рынка средств защиты персональных данных? Какие тенденции вы можете назвать главенствующими? Что изменилось за последний год?

  Михаил Емельянников: Особенность рынка одна – никаких специальных средств защиты персональных данных на сегодняшний день не существует. И за год ничего не изменилось. Причины просты. Во-первых, закон о персональных данных не начал по-настоящему работать. А пока этого не произойдет, разработчики не будут серьезно вкладываться в создание специализированных средств. Во-вторых, регуляторы не требуют никаких новых, специфических механизмов обеспечения безопасности персональных данных.

  Требования к функциональности средств защиты давно используются в нормативных и методических документах ФСТЭК и ФСБ, применительно к персональным данным просто конкретизированы механизмы, необходимые для нейтрализации угроз в зависимости от класса информационной системы и особенностей ее функционирования (распределенность, подключение к интернету, возможность разграничения прав и др.).

  Речь может идти только о выборе продуктов, имеющих функциональность, полностью отвечающую требованиям нормативно-методических документов по защите персональных данных. Компания "Информзащита", одна из первых в стране начавшая практические работы по обеспечению безопасности персональных данных, готовит технологическое решение, обеспечивающее соответствие требованиям регуляторов в зависимости от класса, но это именно технология, упрощающая конфигурирование механизмов безопасности существующих средств для серверов и рабочих станций в информационных системах персональных данных различных классов.

  CNews: Какие основные проблемы в области защиты персональных данных вы можете отметить?

  Михаил Емельянников: Самая серьезная проблема – высокая сложность и, соответственно, стоимость работ по приведению системы безопасности в соответствие с требованиями регуляторов. Нейтрализация угроз для ИСПДн первого и второго классов требует применения практически всего спектра средств безопасности, причем – сертифицированных. Встраивать их в гетерогенные распределенные информационные системы с большим количеством приложений, в основном – зарубежного производства, крайне сложно и очень дорого.

  Следующий момент – проблема понимания требований. На наш взгляд, нельзя серьезно рассчитывать на то, что оператор, не имеющий квалифицированных специалистов в области ИБ, сможет самостоятельно построить модель актуальных угроз безопасности и спроектировать систему защиты, обеспечивающую нейтрализацию этих угроз. Операторов в нашей стране, по разным оценкам, несколько миллионов, и каждый должен принять меры, как сказано в законе, для "защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий". При этом моделирование угроз и проектирование подсистемы безопасности ИСПДн является обязательной составной частью работ.

  CNews: Что, на ваш взгляд, является главной угрозой для персональных данных?

  Михаил Емельянников: Главная угроза – безусловно, инсайдер, авторизованный пользователь системы, который из корыстных или иных побуждений может скопировать персональные данные и передать третьим лицам, модифицировать или вообще уничтожить их.

  Вторая по значимости проблема – использование вредоносного кода с целью хищения персональных данных, имеющих коммерческую ценность: номеров платежных карт, идентификационных данных пользователей и т.п. При этом вредоносная программа может быть занесена в ИСПДн как снаружи, через межсетевые экраны, так и изнутри самими пользователями системы, применяющими съемные носители информации, например, флеш-диски. Результат действия подобного зловредного ПО – это искажение или утечка конфиденциальных данных, в том числе и персональных. Именно такие "выборочные" утечки являются серьезнейшей проблемой во всем мире. Торговля в интернете идентификационными данными пластиковых карт давно стала обычным бизнесом, и недооценивать последствия таких краж ни в коем случае нельзя.

  CNews: Какими законодательными нормативами сейчас регулируется безопасность персональных данных? Насколько эти нормативы действенны?

  Михаил Емельянников: С целью реализации требований ст.19 федерального закона "О персональных данных" постановлением правительства РФ 2007 г. № 781 утверждено "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", в развитие которого приняты нормативные документы ФСБ и ФСТЭК, обязательные для выполнения всеми операторами персональных данных. В них есть отсылки к другим документам регуляторов. Таким образом, нормативная база на сегодняшний день весьма обширна. Действенность системы может быть оценена только в рамках государственного контроля и надзора, предусмотренного законом. Пока он активно не ведется, говорить о действенности сложно – базы по-прежнему продаются и незаконно публикуются, и улучшений ситуации не видно.

  CNews: Какие требования к средствам ИБ, и в частности к антивирусным продуктам, предъявляет закон о персональных данных?

  Михаил Емельянников: Закон вообще не предъявляет требований к средствам ИБ. Он лишь определяет, что оператор персональных данных обязан принять меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. На реализацию части этих требований, таких, как препятствование распространению, модификации и уничтожению, и направлен функционал антивирусных средств. Упомянутое выше постановление правительства № 781 требует, чтобы все средства защиты, в том числе – и антивирусные, прошли процедуры оценки соответствия, т.е. были сертифицированы. А конкретный функционал антивирусных средств описывают нормативно-методические документы ФСТЭК.

  CNews: Чем отличаются персональные данные от других видов информации с точки зрения обеспечения ИБ?

  Михаил Емельянников: От многих видов они отличаются тем, что относятся к сведениям ограниченного доступа, порядок защиты которых регулируется государством. С точки зрения особенностей использования, в отличие, скажем от государственной или коммерческой тайны, персональные данные не локализуются в одной информационной системе, а хранятся и обрабатываются большим количеством распределенных приложений, от адресных книг почтовых систем до ERP и CRM масштаба предприятия, к которым имеет доступ большое количество пользователей.

  CNews: Какие ИБ-решения предпочитают заказчики? Какими параметрами они руководствуются при выборе?

  Михаил Емельянников: Для защиты персональных данных, в силу требований об обязательной сертификации, востребованными являются, в первую очередь, решения отечественных производителей, прошедшие процедуру оценки соответствия и имеющие подтверждения предписанного регуляторами функционала. Кроме того, как уже отмечалось, персональные данные хранятся и обрабатываются в распределенных приложениях на многих узлах корпоративной сети, которая к тому же связана с сетями общего доступа. В связи с этим для заказчика очень важно, чтобы защитой обеспечивались все уровни его информационной системы: интернет- и почтовые шлюзы, почтовые и файловые серверы, рабочие станции, ноутбуки. При этом адекватная защита от проникновения и распространения вредоносного ПО организации, насчитывающей сотни и тысячи автоматизированных рабочих мест, невозможна без надежных средств централизованного управления всеми компонентами. Поэтому, скажем, для антивирусной защиты в информационных системах персональных данных корпоративного уровня используются, в первую очередь, продукты "Лаборатории Касперского", реальной альтернативы которым сегодня нет.

  CNews: Какие компании требуют сертифицированных решений?

  Михаил Емельянников: Все, поставившие перед собой задачу выполнения требований государственных регуляторов. Это, в первую очередь, органы государственной власти, крупнейшие предприятия, операторы связи, банки, страховые компании.

  CNews: В чем особенность построения антивирусной защиты в рамках операторов персональных данных?

  Михаил Емельянников: Построение системы антивирусной защиты для ИСПДн должно отвечать требованиям ФСТЭК, определенным в нормативно-методических документах. В частности, антивирусной проверке в ИСПДн должны подвергаться все программные модули (прикладные программы), как с использованием сигнатурного метода, так и с помощью эвристического анализа. Антивирусные средства должны обеспечивать автоматическое блокирование обнаруженных вредоносных программ путем их удаления из программных модулей или уничтожения, а при выявлении фактов программно-математического воздействия на ИСПДн должна инициироваться автоматическая антивирусная проверка всей ИСПДн. При этом необходимо предусмотреть возможность отката для устанавливаемого числа операций удаления вредоносных программ из оперативной или постоянной памяти, из программных модулей и прикладных программ или программных средств, содержащих вредоносные программы. Для ИСПДн второго класса, подключенных к Интернету или сетям связи общего пользования, должен проводиться непрерывный автоматический мониторинг информационного обмена с внешней сетью с целью выявления вредоносных программ, а в системах первого класса, кроме всего вышеуказанного, еще и непрерывный согласованный по единому сценарию автоматический мониторинг информационного обмена в ИСПДн с целью выявления проявлений различного рода программно-математических воздействий. Говоря об этих воздействиях, следует отметить, что, в связи с резко возрастающим количеством новых угроз, уже недостаточно традиционных решений, распознающих зловредное ПО по его сигнатуре. Современные антивирусные средства должны уметь определять еще неизвестные им вредоносные программы, осуществляющие программно математические воздействия, на основе особенностей их поведения, запросов к системе и блокировать их работу.

  CNews: Все ли данные требуют защиты?

  Михаил Емельянников: Если говорить о защите антивирусной, то, конечно, все. Обработка различных данных на одних и тех же серверах и рабочих станциях не позволяет иными способами предотвратить проникновение в систему вредоносного кода, кроме как обеспечить тотальную проверку всех данных. Надо говорить не только о защите всех данных, но и о защите на каждом узле сети, где данные хранятся и обрабатываются. Кроме того, должна быть обеспечена безопасность взаимодействия с другими (общедоступными) сетями, откуда, например, может проникнуть зловредная программа, предназначенная для похищения персональных данных. Большое внимание следует уделять и защите электронной почты, поскольку вместе со значимыми сообщениями в вычислительную сеть, а значит и в ИСПДн, может проникнуть зловредное ПО. Следует еще раз отметить, что любая "щель" в системе защиты может быть использована вредоносными программами для проникновения.

  CNews: Существуют ли какие-либо угрозы, которые заказчики еще не воспринимают всерьез?

  Михаил Емельянников: Применительно к системам персональных данных многие предприятия и организации еще не осознали двух главных угроз – собственно наступления последствий утечки персональных данных и реализации рисков, связанных с санкциями органов государственного контроля и надзора. Вся работа по обеспечению безопасности обработки персональных данных строится сейчас в различных организациях по трем совершенно различным сценариям: полного игнорирования требований законодательства ("авось, пронесет", "да кто нас будет проверять?!", "поживем, увидим" и т.п.); формального выполнения требований государственных регуляторов в минимальном объеме, позволяющем избежать санкций (часто это проявляется уже на этапе классификации информационных систем, которые пытаются скопом отнести к третьему классу с минимальными требованиями по безопасности); и, наконец, построения действительно эффективной системы защиты, направленной не на формальное соответствие, а на предотвращение опасных инцидентов с персональными данными. По третьему сценарию строится система безопасности в компаниях, уже реально ощутивших негативные последствия утечек, а также там, где уровень зрелости по вопросам ИБ высок, и подсистемы безопасности информационных систем стали неотъемлемой частью механизмов защиты бизнеса.

  Недостаточно серьезно относятся заказчики и к безопасности тех персональных данных, которые располагаются на таких мобильных устройствах, как корпоративные смартфоны и коммуникаторы. Большинство сотрудников пренебрегают какой-либо защитой подобных устройств, не понимая, что они тоже связаны с ИСПДн. Между тем, персональные данные, которые содержатся только в адресной книге или в сообщениях электронной почты коммуникаторов, достаточно важны, для того, чтобы задуматься об их безопасности при вредоносном воздействии, при потере или краже подобного устройства.

  Очень трудно пока воспринимается необходимость нейтрализации угроз, связанных с использованием побочных электромагнитных излучений и наводок. Действительно, обычному оператору, пусть и эксплуатирующему ИСПДн первого класса, очень трудно представить себе нарушителя, пытающегося извлечь информацию, содержащую персданные, из сети электропитания, отыскивая там информативный сигнал, наведенный устройствами, обрабатывающими персональные данные.

  CNews: Какие средства обеспечения ИБ вы используете в повседневной жизни? Почему? Чем обусловлен выбор?

  Михаил Емельянников: На домашнем компьютере у меня стоит последний билд продукта Лаборатории Касперского – Kaspersky Internet Security 2009. Причин этому несколько. Это и удобство пользования, и частота обновлений, и дружественный интерфейс, и то, что производитель находится в России и первым откликается на угрозы, возникающие именно в нашей стране. Постоянное пребывание в интернете, активное использование электронных магазинов, оплата услуг по всеми миру с использованием пластиковых карт требуют наличия функционала, выходящего за традиционное понимание антивирусной защиты, поэтому и выбран Internet Security, а не просто антивирус.

  Соотношение цена/качество вполне соответствуем моим ожиданиям, а наличие круглосуточной технической поддержки домашних пользователей, к которым я в данном случае отношусь, да еще на русском языке, вообще выводит продукт в среду, где, на мой взгляд, реальной конкуренции в России быть не может. Пользоваться этой поддержкой мне приходилось, поэтому и говорю, исходя из практического опыта, а не гипотетического сравнения с конкурирующими решениями.