Если вы читаете эту статью, то почти наверняка принадлежите к авангарду пятимиллионной армии счастливых операторов персональных данных, взявших на себя заботу защитить права граждан, дарованные нам в статье 23 Конституции Российской Федерации, ФЗ №152 и в прочих, регулирующих исполнение этих высоких документов, нормативных актах. Поздравляю вас и выражаю глубочайшее почтение вашему решению.
Счастье привалило?
Поскольку, предполагаю, вы, как и большинство участников рынка, в некотором замешательстве размышляете, как вам наилучшим образом выполнить этот гражданский долг, постараюсь вам помочь, чем смогу, исходя из возможностей, предоставляемых понятными мне технологиями.
В статье этой я практически не могу уделить внимание технике. Если вас интересует именно она – отошлю вас к справочной архитектуре системы сетевой безопасности ИСПДн [1]. Я же постараюсь помочь вам тезисами относительно постановки задачи и, главное, последующей защиты достигнутого вами результата.
Этапы большого пути
Чтобы построить систему защиты ИСПДн, вам, в соответствии с общепринятым технологическим циклом, следует выполнить этапы:
* разработки требований и спецификаций;
* проектирования и внедрения системы безопасности ИСПДн;
* ее аттестации.
Регулирование несколько расширяет и конкретизирует содержание работ по традиционным этапам.
Чтобы сформулировать требования, вам необходимо инвентаризовать и классифицировать ваши персональные данные. Если вы затрудняетесь сделать это самостоятельно – посоветуйтесь с кем-нибудь из профильных системных интеграторов. Они первыми сориентировались в обстановке, и найти внятного партнера вам не составит труда.
Относительно классификации ПДн рекомендую следующее.
Совет 1. По возможности не завышайте классификацию ПДн. Для системы более низкого класса вы с большей честью выполните свой гражданский долг, и обойдется это вам дешевле. В некоторых случаях техническая реструктуризация вроде “обезличивания ПДн” может потребовать меньших затрат, чем организация защиты.
Совет 2. Если вы, паче чаяния, подпадаете под высокую классификацию ИСПДн (К2 или даже К1) – не торопитесь распространить эту классификацию на всю свою информационную систему. Постарайтесь сузить защищаемое пространство, выделив подсистему обработки высококритичных данных.
Хорошо, класс ИСПДн вы определили. Из него вытекают требования регуляторов по применению соответствующих заданному классу ПДн механизмов безопасности (их не следует путать с техническими требованиями – это будет следующий уровень конкретизации).
Совет 3. Определяйте требования по защите системы исходя из задачи ее аттестации. Приступайте к формированию технических требований только после того, как составили перечень чисто формальных аттестационных показателей.
Совет 4. Если позволяют финансы, обеспечьте сквозной цикл проектирование – внедрение – аттестация. Получите целостную ответственность исполнителя за конечный результат и наверняка сэкономите.
Следующий шаг разработки ТЗ на защиту ИСПДн – модель угроз. Задача эта не столь сложная, но если вы не очень в себе уверены, то лучше посоветоваться с профильными специалистами.
Совет 5. Постарайтесь рационализировать перечень угроз, исключая отвлеченные угрозы. Помните, что у вас есть святое право принимать риски, юридически это вполне адекватная мера защиты информации.
Совет 6. В соответствии с документом [2] не пренебрегайте в документе “Модель угроз” разделом “Модель нарушителя информационной безопасности”. Перечень угроз, не показывающий, кто нападает (нарушитель), на что нападает (ну тут мы, слава Богу, уже определились с классом ПДн) и как нападает (метод реализации угрозы – канал атаки, непродуктивен. Понятие “атака” также весьма ценно при чисто техническом анализе в процессе проектирования системы защиты, причем в сети необходимо анализировать как логический, так и топологические аспекты понятия “канал атаки”.
Совет 7. Отстоять и принятие риска, и ограничения модели угроз перед регулятором (даже перед заинтересованным в заработке системным интегратором) не всегда просто. На этот случай помните, что у вас есть спасательный круг в виде формулы “… обеспечивается организационными мерами”. Но не злоупотребляйте: если уж записали оргмеры, то подумайте о том, чтобы они реализовывались и были действенными.
Кстати. Описанная в Совете 7 “отмазка” организационными мерами – не всегда то, что вам нужно. Помните, часто техника оказывается дешевле оргмер.
Совет 8. Оцените стоимость и организационного, и технического решений. При этом не попадитесь в ловушку “цены железа”. Весьма значительны могут быть затраты на эксплуатацию, техническое сопровождение и сопутствующие услуги, типа подписки на сигнатуры вирусов, атак, обновлений ПО. Заклинание против этих демонов называется “расчет совокупной стоимости владения”. Пользуйтесь им.
Однако помните, что с этим заклинанием опытные люди делают чудеса. Как в вашу пользу – чтобы застраховать ваши риски, так и не в вашу пользу. Часто вам “впаривают” дорогой товар, утешая, что “совокупная стоимость владения при этом на 40% ниже, чем у конкурентов”. При этом, конечно, прилагается расчет. Беда, правда, в том, что у конкурента на столе лежит точно такой же, но в его пользу… Или наоборот: показывают вам ничтожную цену товара, типа “подключение бесплатно!”, умалчивая, что входящая в стоимость владения цена подписки влетит в копеечку.
Проблема в том, что финансовой службе нормального оператора персональных данных может быть непосильно проверить каббалу жреца, рассчитавшего вам совокупную стоимость владения защитой. Тем более что волхв еще и не сам все придумал, а тщательно все запутал, используя священные книги Гартнера и иже с ним. Если вам, крепкому хозяйственнику, подозрительны обоснования в терминах совокупной стоимости владения, то прислушайтесь к следующим рекомендациям.
Совет 9. Позовите жреца из конкурирующей конфессии. Заплатите ему малую толику за критическое толкование каббалы. Это не грех измены, а старый добрый принцип, в том числе информационной безопасности: “доверяя, проверяй многократно”. Потратите немного, но либо убедитесь, что вы таки попали на сумму, близкую к обозначенной, либо получите аргументацию для торга и сэкономите.
Ну, положим, первый этап пройден. Переходим к проектированию.
Таинство творения
Система защиты ИСПДн [3] должна включать ряд подсистем. Разберемся, каков вклад в них технологий сетевой защиты.
* Подсистема управления доступом. Контроль доступа – понятие комплексное. Задачи контроля доступа решаются средствами прикладного уровня, операционной системы и сетевой инфраструктуры. Начать следует с приложения, но
Совет 10. Если приложения не имеют встроенной защиты или средства защиты, предлагаемые приложением, операционной системой не сертифицированы (что приведет к их заниженной оценке при аттестации системы), то у вас в запасе имеется понятие “доверенная среда обработки персональных данных”. Такую среду можно обеспечить средствами сетевой защиты.
Совет 11. Сетевая инфраструктура сама по себе является весьма эффективной системой контроля доступа. Ее следует использовать для построения зон обработки критичных данных и для отделения их от прочих областей сети.
Совет 12. Сегментируя сложную и иерархическую ИСПДн, придерживайтесь такой модели, чтобы каждый изолированный сегмент можно было аттестовать как “многопользовательскую АС с равными правами пользователей”. Если такая сегментация получится, то задачи защиты ИСПДн и ее последующей аттестации значительно упростятся. Сегментирование осуществляйте по принципам локализации мест обработки ИСПДн данного класса операторами с заданными правами доступа. Следует также уделять внимание способу обработки ПДн – часто точки создания, модернизации и уничтожения персональных данных требуют иных средств защиты и инфраструктуры, чем области их пассивного хранения и распространения.
Совет 13. Сегодня в документах технического регулирования как система сетевого контроля доступа представлен межсетевой экран. Это историческая традиция. Прочие средства сетевого контроля доступа – протоколы IP-IP туннелирования, коммутаторы, поддерживающие функциональность VLAN 802.1q и аутентификацию при доступе к порту 802.1х, ARP-мониторы и ARP-прокси, массово предлагаемый операторами в WAN-каналах контроль доступа MPLS, VPN, концентраторы удаленного доступа – все эти технологии в комплексе (а) повысят качество защиты в целом и (б) позволят не применять межсетевой экран там, где его эффективно замещают другие, более адекватные задаче средства сетевого контроля доступа. При этом вам не следует, как это делают многие, опасаться того, что регулятор признает только сертифицированный межсетевой экран и не оценит при аттестации иные средства контроля доступа. Просто нужно (а) применять сертифицированные средства – это не проблема и не ваши затраты, производитель сегодня охотно идет на сертификацию свое продукции, (б) внятно описать реализуемые этими средствами защиты механизмы безопасности в представленной к аттестации проектной документации.
Совет 14. При проектировании VPN любого типа придерживайтесь метафоры “VPN – это граница периметра”, а не метафоры “VPN – это средство защиты данных при их распространении по не заслуживающим доверия каналам данных” [4]. Регулятор, вполне возможно, зачтет криптографическую VPN-защиту как достаточное средство обеспечения конфиденциальности ПДн. Но вы должны понимать, что задача обеспечения конфиденциальности заключается не только в том, чтобы зашифровать данные. Важно (возможно, важнее) не допустить посторонних в места их обработки в целом, исключить доступ как к данным, так и к ключам их шифрования, СКЗИ, операционным системам, в которые они встроены, и т. п. Эта задача системно сложнее тривиального шифрования файла, и VPN решает в первую очередь именно ее. (См. совет 10 и упоминаемое в нем понятие “доверенная среда”).
* Контроль доступа требует надежной аутентификации операторов. Средства сетевой безопасности обеспечивают строгую и многофакторную аутентификацию пользователей при их доступе в сегменты обработки ИСПДн. В концепции сетевой доверенной среды такая аутентификация может использоваться и при доступе к операционным системам, СУБД и приложениям. Но следует иметь в виду, что
Совет 15. Вы выиграете в показателях качества защиты, удобства и экономичности процесса эксплуатации системы, если сумеете построить единую вертикальную инфраструктуру аутентификации для всех систем одновременно – приложений, ОС, средств сетевой защиты. Технические возможности для этого есть, причем весьма широкие – неважно, идет речь о LDAP и доменах Windows, одноразовых паролях, сертификатах Х.509 или токенах.
Совет 16. В документах технического регулирования пока не получил отражения, но имеет, на мой взгляд, чрезвычайное значение, наряду с аутентификацией, контроль соответствия терминалов доступа требованиям политики безопасности организации. В сеть сегодня пускают не только по признакам положительного результата аутентификации и наличия прав доступа. Дополнительно проверяют наличие и активность антивирусных средств, состояние и актуальную политику средств защиты, актуальность ключевых документов СКЗИ и т. д. Без использования этих механизмов велик риск, что аутентифицированный, но не проверенный оператор ПДн принесет с собой “грязь” и компрометирует ИСПДн в целом. Применение средств контроля соответствия так же необходимо, как при найме шеф-повара ресторана нужно потребовать не только паспорт и диплом, но и справку от доктора об отсутствии известных болезней. И, хотя регуляторы пока не выработали требований и критериев оценки этой функциональности, ее применение будет воспринято глубоко позитивно и зачтется при аттестации.
* Подсистема обеспечения целостности и Подсистема криптографической защиты. Часто функции этих подсистем обеспечиваются при помощи средств криптографии.
Совет 17. Современное регулирование требует применения СКЗИ только для класса ИСПДн К1. Однако не следует заблуждаться относительно того, что в системах классов К2-К3 не понадобятся средства криптографии. Дело в том, что комплекс аутентификация – контроль доступа – очень часто строится с применением криптографических технологий. Их использование системно оправдано и обязательно зачтется вам при аттестации ИСПДн. К счастью, сегодня эти средства представлены на рынке в широком ассортименте, не требуют высокой квалификации оператора и стоят вполне разумных денег.
Совет 18. Если вы приняли решение о применении средств криптографии, то разумно использовать СКЗИ прикладного уровня, даже если ваша сетевая инфраструктура шифрует, где надо, сетевые потоки. Дело в том, что (а) функциональность криптозащиты должна быть сквозной – от получателя до отправителя без точек несанкционированного перехвата/модернизации данных; (б) вы сможете привязать событие применения защиты непосредственно к действиям конкретного оператора. Это называется локализацией ответственности и обеспечивает, когда нужно, даже такую красивую функцию безопасности, как неотказуемость, юридически значимое доказательство авторства выполненного действия.
* Подсистема антивирусной защиты.
Совет 19. Регулирование явно требует применения средств защиты от опасного контента. С точки зрения дизайна сети, я предложил бы здесь обратить внимание на три важных аспекта применения этих средств.
1. Применяйте архитектуру “изолирующий периметр c единственным контролируемым входом в защищенный периметр” (или с единицами таких контролируемых входов). Такая архитектура не принесет вам избыточных затрат, поскольку трафик в открытых сетях сегодня не дорог и добраться до “точки входа”, например, в Москве и в Питере, вашему оператору будет стоить одинаковых денег. Но у вас появится возможность упростить дизайн и логику работы системы. А главное достоинство такой архитектуры – единая точка инвестиций в защиту контролируемого входа в систему. Сосредоточив все инвестиции там, вы сможете обеспечить высокий уровень защиты, ее производительность и спать спокойно.
2. Если от организации “контролируемого входа” остались деньги – разумно вспомнить о концепциях эшелонированного построения антивирусных систем – на рабочих станциях операторов в шлюзах малых офисов. “Грязь” ведь приходит не только из Интернета. И трактуйте более широкое толкование понятия “антивирус”: сейчас спам, который раньше был преимущественно навязанной и навязчивой рекламой, становится основной средой распространения вирусов. И, опять-таки, фишинг – не предмет заботы антивирусной программы, но уже вполне традиционный способ воровать все те же персональные данные.
3. Помните об интеграции технологий в современном мире. В контексте Совета 19 перечитайте Совет 16 о средствах сетевой автоматизации контроля соответствия при удаленном доступе. Пропускайте внутрь ИСПДн только тех, кто соблюдает гигиену, в том числе антивирусную.
* Подсистема регистрации и учета и Подсистема обнаружения вторжений. Тема – обеспечение контроля над состоянием безопасности системы – достаточно многогранная. За неимением места – лишь несколько рекомендаций.
Совет 20. Уделите особое внимание построению инфраструктуры безопасности, включающей средства управления, мониторинга и аудита. Централизуйте эти службы и обеспечивайте их взаимодействие. Такие средства в совокупности давно уже составляют единый комплекс и работают в едином технологическом цикле: задал политику безопасности сети – проверил, что она активирована, – отследил по событиям атаку – реализовал контрмеры – проверил, что они работают, – подправил общую политику с учетом проведенной атаки – и т. д., по циклу. Обратите внимание прежде всего на средства мониторинга и аудита. Что важнее – защитить или знать, насколько ты защищен? Какова судьба сторожа с ружьем, если, пока он спит в своей сторожке, бандиты из “Черной кошки” перепилили дужку замка? Можно ли применять лекарство, не зная точного диагноза? В регулировании эта тема часто недоразобрана. Стоит checkbox – регистрация событий. Это было хорошо для времен “Оранжевой книги”. Сегодня у нас есть возможность создать централизованную систему регистрации событий, сливающую информацию с разнородных систем в единую базу данных с он-лайн анализом и корреляцией. Сетевые устройства умеют “докладывать обстановку”, используя для оперативной сигнализации SNMP – между приборами и графические ситуационные центры, e-mail, SMS – для взаимодействия с человеком в рабочем режиме и по тревоге. Датчики систем детектирования аномалий устанавливаются на сетевые узлы и серверы, карауля атаки. Их развитием служат системы автоматического активного подавления активности злоумышленника. Активно пользуйтесь всем этим богатством, что, несомненно, зачтется при аттестации. Но, главное, без этого у вас не будет настоящей безопасности…
* Подсистема защиты от утечки за счет ПЭМИН (для ИСПДн первого и второго классов). Эта тематика мало связана с механизмами сетевой безопасности, хотя, если в вашей ИСПДн используются радиоканалы, то, даже когда речь идет о системах Personal Area Network, работающих в радиусе 10 м, следует помнить, что перехват данных и несанкционированное подключение к радиосети – излюбленный и распространенный прием хакера. А с очень недорогой направленной антенной он сможет подсоединяться к вашей сети, эффективный диаметр которой, как вы считаете, 10 м, издалека, с дистанции 500-1000 м. Хорошей практикой и единственной возможностью применить сертифицированные средства защиты в данном случае является построение криптографического VPN [5].
Освящение храма
Итак, проект защиты вашей ИСПДн выполнен. Время произвести ее оценку и отчитаться перед регулятором. Формат данногое мероприятия для систем класса К1 и К2 – аттестация. На этом этапе мне рекомендовать нечего, если вы последуете
Совету 21. Задание на работы по аттестации в самом начале включите разделом в общее техническое задание на разработку ИСПДн. Укажите в нем целевой класс аттестации и приведите перечень ее мероприятий и их результатов. Согласуйте с органами технического регулирования не только модель угроз, но и техническое задание на систему и, хорошо бы, материалы технического проекта системы.
В этом случае и при условии, что вы учли советы 3, 4 и 21, этап аттестации будет для вас, заказчика, временем отдохновения и умиления при взгляде на дело рук своих и интегратора, аттестатора, регулятора, а также законодателей и прогрессивной общественности.
***
Такая получилась большая статья, но и ее мало, для того, чтобы расписать все по уму, да по науке, да по практике… Удачи вам, благородный защитник ПДн! А я пойду ковать вам сетевые доспехи.
1 “Справочная архитектура подсистемы сетевой безопасности персональных данных”, каталог “IT Security. Системы и средства защиты информации”, стр. 14-15, “Гротек” 2009 г.
Сергей Рябко, Connect!