Многолетний труд регуляторов привел к появлению в нашей стране уже третьего поколения законов в этой области. Казалось бы, за долгие годы обсуждений в блогах и на конференциях все спорные моменты должны быть утрясены. Но нет. Практика показала, что (как минимум в нашей стране) компании интересуются защитой на бумаге. Возможно, именно поэтому больше обсуждаются вопросы, связанные с юридическими тонкостями, — что защищать, как получать согласие, где размещать сервера. А вот вопросы методики оценки угроз и выбора мер защиты не проработаны вовсе. Реализовать надежную систему защиты нереально в принципе.

Еще одна проблема — «не читал, но обсуждаю». Громадное количество запросов и комментариев делаются без прочтения документов, которые обсуждаются.

Не согласны? Два простых вопроса:

  • Требуют ли законы и документы регуляторов в области персональных данных использования в качестве защиты антивируса?
  • Можно ли использовать для защиты средства, имеющие зарубежные сертификаты?

Ответили? Давайте проверим ответы.

Защита персональных данных — это, пожалуй, та область, с которой в силу законодательных требований приходится сталкиваться наверно всем компаниям. Поэтому посмотрим на то, как видят решение проблемы антивирусной защиты на законодательном уровне, начнем именно с нее.

Антивирусная защиты с точки зрения Федерального закона от 27.07.2006 № 152-ФЗ

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. Федерального закона от 25.07.2011 N 261-ФЗ). (Здесь и далее для простоты из списков мер убраны нетехнические меры — составление списков лиц, назначение ответственных, использование сертифицированных продуктов и т. д. Там тоже много интересного, но статья и так уже неимоверно выросла)

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться…
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

Все! Слово «антивирус» не упоминается ни разу. Более или менее явно требуется контроль доступа, бекап, система логирования (в свете современной моды — DLP). Использование именно антивируса не определено. Согласно Федеральному закону № 152-ФЗ перечень мер по защите должно определить правительство:

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
2. Обеспечение безопасности персональных данных достигается, в частности:
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

Правда, тот же Федеральный закон № 152-ФЗ устанавливает, что меры, определяемые правительством, обязательны только для государственных или муниципальных органов:

Статья 18.1. Пункт 3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

Использовать или не использовать ПП 1119, определяющие эти меры обычным компаниям? По этому поводу было сломано немало копий.
Мое личное мнение:

  1. Все равно никакого иного документа нет.
  2. Что бы мы ни придумали — в большинстве случаев прав окажется проверяющий.

Случаи, когда в компании не использовали классификацию из ПП 1119, мне не известны.

Безопасность с точки зрения правительства

Для очистки совести заглянем в ПП 1119:

13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
15. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
16. Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных пунктом 15 настоящего документа, необходимо выполнение следующих требований:
а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

Если подвести черту, то для защиты персональных данных нужно нанять охранника, не терять дискеты и документы, назначить ответственного и не пускать посторонних к логам. Это, отметим, меры для уровня Особой важности. Красота. Антивирусы опять не требуются.

Правда, ПП 1119 оговорилось:

4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».

Требования ФСТЭК России по защите персональных данных

На данный момент единственным документом, выпущенным ФСТЭК России, является Приказ № 21. Отдадим должное ФСТЭК. Несмотря на тяжелое наследие ПП 1119 документ, если рассматривать его как список мер (а порядок расчета угроз до сих пор не определен), неплохой. Откроем его.

8.6. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.

Соответственно:

  • Никакие иные меры защиты, определенные в приказе (а их достаточно много: управление доступом субъектов доступа к объектам доступа, ограничение программной среды, обеспечение целостности...), не направлены согласно приказу на защиту от вредоносных программ.
  • «Меры по антивирусной защите» — это не антивирус, это список мер, направленных на ликвидацию угрозы от вредоносных программ. Более того, если антивирус не может быть установлен по причине низких системных требований — нет препятствий не использовать его:

10. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

Не определен в приказе и функционал антивирусной защиты — все, что упоминается:

  1. АВЗ.1 Реализация антивирусной защиты
  2. АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

К счастью, поскольку в Приказе № 17 у нас определены полностью аналогичные меры по антивирусной защите — мы можем воспользоваться документом ФСТЭК России «Методический документ. Меры защиты информации в государственных информационных системах» и узнать, что думает регулятор о функциях антивируса.

3.6. АНТИВИРУСНАЯ ЗАЩИТА (АВЗ)
АВЗ.1 РЕАЛИЗАЦИЯ АНТИВИРУСНОЙ ЗАЩИТЫ
Требования к реализации АВЗ.1: Оператором должна обеспечиваться антивирусная защита информационной системы, включающая обнаружение компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
Реализация антивирусной защиты должна предусматривать:
  • применение средств антивирусной защиты на автоматизированных рабочих местах, серверах, периметральных средствах защиты информации (средствах межсетевого экранирования, прокси-серверах, почтовых шлюзах и других средствах защиты информации), мобильных технических средствах и иных точках доступа в информационную систему, подверженных внедрению (заражению) вредоносными компьютерными программами (вирусами) через съемные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования (вложения электронной почты, веб- и другие сетевые сервисы);

Данное положение абсолютно правильно требует установки антивирусной защиты на всех компьютерах и устройствах, подверженных заражению (в том числе на личных устройствах и домашних компьютерах, с которых осуществляется доступ в информационную систему). Однако:

  • Существует ряд компьютеров и устройств, для которых установка необходимых средств защиты невозможна. В частности, к таким устройствам относятся технологические и встроенные системы, отрабатывающие жестко заданный порядок действий (циклограмму). В связи с тем, что любое антивирусное средство не гарантирует выполнение проверки за определенное время, то на такие устройства может быть установлен только антивирусный сканер, выполняющийся при старте системы или по внешней команде.
  • Существуют устройства, работающие под малораспространенными операционными системами или под операционными системами, создатели которых не разрешают создания антивирусных средств защиты (Apple iOS и аналогичные).
  • Невозможна установка антивирусных средств на устройства с малым размером оперативной памяти (старые компьютеры, сетевые устройства, принтеры, телевизоры и т. д.). Заражение данных устройств и/или использование их злоумышленниками возможно, но для установки и работы современных средств защиты не хватает ресурсов.
  • Полноценная установка антивирусных средств также нежелательна на высоконагруженных системах.

Кроме этого, необходимо отметить, что защита серверов средствами антивирусной защиты может не подразумевать защиту сервисов, работающих на них. Так, установка постоянной антивирусной защиты сервера (файлового монитора) не будет означать проверки почты, проходящей через MS Exchange, или трафика через MS ISA/TMG. В связи с этим на сервера нужно устанавливать несколько средств антивирусной защиты — для защиты самого сервиса, а также для защиты объектов, проходящих через сервисы, работающие на сервере, и недоступных для файлового антивируса по тем или иным причинам.

Также не очень удачно использование слов «внедрению (заражению)», так как заражение подразумевает запуск и активацию вредоносной программы, а внедрение может осуществляться простым размещением файла — в том числе на ОС, заражение которых данной вредоносной программой невозможно (например, размещением вредоносной программы на файловом сервере Linux).

  • проверку в масштабе времени, близком к реальному, объектов (файлов) из внешних источников (съемных машинных носителей информации, сетевых подключений, в том числе к сетям общего пользования, и других внешних источников) при загрузке, открытии или исполнении таких файлов;

Ключевая ошибка в определении задач защиты. Требуется перепроверка не только для ранее полученных объектов в случае их получения из внешних источников, но и для иных файлов/объектов (в том числе имевшихся в момент установки и/или размещенных злоумышленниками в обход систем безопасности). Проверка необходима в связи с тем, что на момент проникновения (внедрения) вредоносная программ может быть неизвестна антивирусной системе — но станет известной после очередного обновления.

Более того. Нужно проверять и уже запущенные процессы — там также могут находиться ранее неизвестные угрозы.

Ну и я бы добавил, что проверка при загрузке должна происходить до получения объекта клиентской программой (браузером, почтовым клиентом) — с целью исключения использования злоумышленниками уязвимостей этих программ для обхода встроенных в них систем защиты.

Требования к усилению АВЗ.1:
2) в информационной системе должно обеспечиваться централизованное управление (установка, удаление, обновление, конфигурирование и контроль актуальности версий программного обеспечения средств антивирусной защиты) средствами антивирусной защиты, установленными на компонентах информационной системы (серверах, автоматизированных рабочих местах);

Распространенным явлением является изменение настроек, заданных администратором, пользователями системы, игнорирование рекомендаций по выполнению срочных действий для повышения безопасности. Но несмотря на то, что выше требовалась защита всех узлов сети, в данном пункте централизованное управление мобильными устройствами, личными компьютерами и т. д. не предусматривается.

3) оператором должен обеспечиваться запрет использования съемных машинных носителей информации, которые могут являться источниками вредоносных компьютерных программ (вирусов);

Забавно, но в таблице, распределяющей меры защиты в зависимости от класса информационной системы, данное требование не упоминается вообще. К чему тогда слово «должен»?

4) в информационной системе должно обеспечиваться использование на разных уровнях информационной системы средств антивирусной защиты разных производителей;

Данное требование исходит из того, что в связи с тем, что поток создаваемых вредоносных программ достаточно велик, в произвольный момент времени каждая из антивирусных программ знает только часть из новейших вредоносных программ. Также логично, что, поскольку сети обнаружения вредоносных программ у каждого вендора свои, то часть вендоров найдет одни вредоносные файлы, часть — другие. В развернутом виде правило подразумевает, что любой документ, получаемый пользователем, должен проходить проверку двух антивирусов:

  • при получении документа с файлового сервера или хранилища — антивирусом на файловом сервере и антивирусом на рабочей станции;
  • при получении или отправке сообщения — антивирусом на почтовом сервере и антивирусом на рабочей станции;
  • при получении или отправке файла в Интернет — антивирусом на шлюзе и антивирусом на рабочей станции.

В таком виде требование описывается в Письме Банка России от 24.03.2014 N 49-Т:

2.1.10. Использование средств защиты от ВК различных организаций-производителей или поставщиков и их раздельная установка на следующих группах средств вычислительной техники и объектов защиты:
  • рабочие станции;
  • серверы;
  • маршрутизаторы и межсетевые экраны.

и в Положении Банка России от 9 июня 2012 года № 382-П (с изменениями согласно Указаниям Банка России 3007-У от 05.06.2013, N 3361-У от 14.08.2014):

2.7.3 Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают использование технических средств защиты информации от воздействия вредоносного кода различных производителей и их раздельную установку на персональных электронных вычислительных машинах и серверах, используемых для осуществления переводов денежных средств, а также на межсетевых экранах, задействованных в осуществлении переводов денежных средств, при наличии технической возможности.

Однако, данное требование не учитывает изменившуюся систему разработки вредоносных программ — в реальности основную опасность представляют протестированные на актуальных версиях систем защиты вредоносные программы, не обнаруживаемые ими. В связи с чем количество антивирусов существенной роли не играет (при условии использования систем защиты равного уровня).

Но использование двух антивирусов в системе все же оправданно — если второй антивирус предназначен для периодических проверок на еще неизвестные производителю вредоносные файлы. Де-факто в России в качестве утилит экстренного лечения используется Dr.Web CureIt! (для лечения отдельных компьютеров) или Dr.Web CureNet! (для сканирования сети в целом).

6) в информационной системе должна обеспечиваться проверка объектов файловой системы средством антивирусной защиты до загрузки операционной системы;

Опять же используется слово «должна», но в списках мер защиты этот пункт не требуется. Полная проверка может занимать достаточно длительное время и действительно оправданна в случае либо подозрений на заражение, либо при отсутствии средств постоянной антивирусной защиты.

8) оператором должна обеспечиваться антивирусная защита на этапе инициализации микропрограммного обеспечения средства вычислительной техники.

С учетом наличия неизвестных вредоносных файлов и уязвимостей — даст ли это надежную гарантию невнедрения закладок?

АВЗ.2 ОБНОВЛЕНИЕ БАЗЫ ДАННЫХ ПРИЗНАКОВ ВРЕДОНОСНЫХ КОМПЬЮТЕРНЫХ ПРОГРАММ (ВИРУСОВ)
Требования к усилению АВЗ.2:
2) в информационной системе должно обеспечиваться автоматическое обновление базы данных признаков вредоносных компьютерных программ (вирусов) на всех компонентах информационной системы;

Обновление требуется на всех компонентах информационной системы, а управление — нет.

3) в информационной системе должен обеспечиваться запрет изменений настроек системы обновления базы данных признаков вредоносных компьютерных программ (вирусов) на автоматизированных рабочих местах и серверах;
4) в информационной системе должна обеспечиваться возможность возврата (отката) к предыдущим обновлениям базы данных признаков вредоносных компьютерных программ (вирусов).

Фактически только эти два последних пункта указывают, что средство защиты — это антивирус, а не что-либо иное.

ЗСВ.9 РЕАЛИЗАЦИЯ И УПРАВЛЕНИЕ АНТИВИРУСНОЙ ЗАЩИТОЙ В ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЕ
Требования к реализации ЗСВ.9: В информационной системе должны обеспечиваться реализация и управление антивирусной защитой в виртуальной инфраструктуре в соответствии с АВЗ.1, АВЗ.2.
При реализации соответствующих мер должны обеспечиваться:
  • проверка наличия вредоносных программ (вирусов) в хостовой операционной системе, включая контроль файловой системы, памяти, запущенных приложений и процессов;

Отчетливо видно, что документ собирался из разных источников. В АВЗ.1 контроля памяти и запущенных процессов не требуют.

  • проверка наличия вредоносных программ в гостевой операционной системе, в процессе ее функционирования, включая контроль файловой системы, памяти, запущенных приложений и процессов.

Если кто-то сможет поделиться схемой проверки с помощью безагентской защиты виртуальных машин памяти и запущенных процессов в виртуальных машинах — буду благодарен. До сего момента я не видел ни одной схемы защиты по безагентской технологии от неизвестных угроз.

Требования к усилению ЗСВ.9:
2) в информационной системе должен обеспечиваться контроль функционирования средств антивирусной защиты в виртуальной инфраструктуре, в том числе маршрутизация потоков информации в виртуальной инфраструктуре через средство антивирусной защиты;

Крайне интересно. Возможно ли обеспечить маршрутизацию потоков информации в виртуальной инфраструктуре через средство антивирусной защиты? Информация это не только трафик. Да и маршрутизация это не совсем проверка.

4) в информационной системе должна обеспечиваться проверка наличия вредоносных программ (вирусов) в гипервизоре;

И в полном соответствии с этим пунктом уже требуют наличия антивируса на гипервизоре VmWare. Законодатели, не бросайтесь требованиями! Нам же все это реализовывать!

Для сокращения цитат были исключены требования по периодической поверке на наличие вредоносных программ (отметим, что не по антивирусному сканированию, а именно по проверке — разница существенная), наличию централизованного управления и обновления, распределения прав доступа по управлению, наличию системы оповещения администратора, поддержанию соответствующих процедур. Если кому интересны замечания по неупомянутым пунктам (тем более что среди них есть и неисполнимое) — спрашивайте.

Можно отметить, что данные требования не особо отличаются от представленных в иных стандартах и руководящих документах — в том числе зарубежных.

Заметно, что основной упор во всех требованиях к антивирусной защите делается на модули файлового монитора и антивирусного сканера. При этом обнаружение файловым монитором вредоносных программ определяется только при проникновении (записи) или запуске. Обнаружение особо опасных, ранее неизвестных вредоносных программ в качестве задачи антивируса не рассматривается вовсе! Единственное ограничение на распространение пока неизвестных вредоносных программ — запрет сменных носителей — явно недостаточно.

Для интереса рассмотрим список мер, которые в целом могут, по мнению регулятора, применяться для защиты данных (за исключением антивирусной защиты и защиты отдельных подсистем, меры по защите которых являются комбинацией иных мер).

В информационной системе подлежат реализации следующие меры защиты информации:
  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • регистрация событий безопасности;
  • обнаружение (предотвращение) вторжений;
  • обеспечение целостности информационной системы и информации;
  • защита информационной системы, ее средств и систем связи и передачи данных.

Если рассмотреть данный список внимательно, то будет очевидно, что большая часть перечисленных мер относится к мерам по антивирусной защите:

  • управление доступом субъектов доступа к объектам доступа, идентификация и аутентификация субъектов доступа и объектов доступа, ограничение программной среды, защита машинных носителей информации — это меры, предотвращающие внедрение вредоносных программ путем ограничения прав доступа пользователей, под которыми могут внедряться программы;
  • обнаружение (предотвращение) вторжений, обеспечение целостности информационной системы и информации — это меры, предотвращающие внедрение вредоносных программ за счет нарушения нормальной работы программ и систем.

Забавно, что когда речь зашла о защите мобильных устройств, то требования по защите оказались близки к тому, что требовалось бы написать об антивирусной защите в целом:

ЗИС.30 ЗАЩИТА МОБИЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ, ПРИМЕНЯЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ
Требования к реализации ЗИС.30: Оператором должна осуществляться защита применяемых в информационной системе мобильных технических средств.
Защита мобильных технических средств включает:
Реализацию в зависимости от мобильного технического средства (типа мобильного технического средства) мер по идентификации и аутентификации в соответствии с ИАФ.1 и ИАФ.5, управлению доступом в соответствии с УПД.2, УПД.5, УПД.13 и УПД.15, ограничению программной среды в соответствии с ОПС.3, защите машинных носителей информации в соответствии с ЗНИ.1, ЗНИ.2, ЗНИ.4, ЗНИ.8, регистрации событий безопасности в соответствии с РСБ.1, РСБ.2, РСБ.3 и РСБ.5, антивирусной защите в соответствии с АВЗ.1 и АВЗ.2, контролю (анализу) защищенности в соответствии с АНЗ.1, АНЗ.2 и АНЗ.3, обеспечению целостности в соответствии с ОЦЛ.1.

Так требуется ли антивирус для защиты персональных данных?

Для тех, кто смог дочитать до конца — подведем итоги:

  • Как Федеральный закон № 152-ФЗ, так и приказы регуляторов не ограничивают в использовании средств антивирусной защиты. Требование использования только антивируса появляется лишь в требованиях Методического документа в разделе обновлений. Более того, если вы опираетесь на ПП 1119 и вы не можете использовать антивирус по тем или иным причинам — вы можете заменить его другими средствами. Но доказывать свое видение проверяющим вы должны будете сами.
  • Меры защиты, задаваемые регуляторами, не рассчитаны на защиту от неизвестных угроз. Соответственно, те, кто думает, что они, выполнив требования, защищены от атак — расслабьтесь.
  • Требования регуляторов в области персональных данных не обеспечивают защиту всех узлов сети.

В следующей статье мы поговорим о необходимости сертификации средств антивирусной защиты. В связи с этим вопросы, которые нам часто задают:

  • Необходимо ли использование продуктов, сертифицированных на соответствие Федеральному закону № 152-ФЗ?
  • Нужно ли сертифицировать файерволы, входящие с антивирусные продукты, на требования профилей защиты?

В связи с командировкой заранее приношу извинения за возможные задержки с ответами.

Комментарии (19)


  1. olku
    13.04.2015 13:35

    Где можно глянуть достоверную статистику снижения риска потери данных по типам защитных средств, напр., антивирус, шифрование носителя, шифрование БД?


    1. teecat Автор
      13.04.2015 13:46

      ROI :-) Крайне сомневаюсь в наличии подобной статистики. Слишком много факторов. В частности еще и потому, что применять средства защиты по отдельности — самоубийство


      1. olku
        13.04.2015 14:05

        То есть, вляние того или иного средства защиты на риски потери данных — неизвестно? Тогда к чему такие утверждения…


        1. teecat Автор
          13.04.2015 14:17

          Скажем вероятность расшифровки после криптографов имеется. Примерно известна вероятность пропуска вредоносной программы (эффективность антивируса). Но вот вероятность возникновения инцидента ИБ только от этих двух цифр не рассчитаешь. Тем более, что эти цифры тоже не являются постоянными. Зависит от уровня администратора, выбранной системы защиты, интересности для злоумышленника именно вашей конторы или конкретно имеющихся у вас данных… Как скажем оценить вероятность открытия письма «от налоговой»?
          Влияние известно, но точных цифр, достаточных для расчета нет. Пожалуй за исключением антиспама
          По сути можно только сказать, что просто установкой какого-либо (любого) средства защиты безопасность данных не обеспечишь никак


    1. Arlakz
      13.04.2015 19:19

      Потому, что это не имеет смысла.

      Всегда выигрывает «Комплексный» подход/методы/…

      Если у вас отличное шифрование, но вы пропустили вирус.
      Или свободный физический доступ к компам(разлоченным, БД расшифрована), но отличное шифрование и антивирус/файрвол
      Или…

      В общем в этой плотине должно быть как можно меньше щелей. Если есть хоть одна — плотина может рухнуть. А может и нет. Если их несколько — когда рухнет — вопрос только времени.
      А лучше законопатить все и постоянно проверять на появление новых (обновления, бэкапы и тд и тп)


      1. olku
        13.04.2015 22:36

        Извините, это чушь, как с математической, так и прикладной точек зрения. Бизнес говорит языком денег — вероятность помноженная на ущерб. Все. Мой вопрос про изменения вероятности с учетом применения тех или иных средств. Хотелось бы услышать мнение профессионала с опытом построения нелинейных вероятностных моделей.


        1. teecat Автор
          14.04.2015 06:58
          +2

          1. Россия относится к странам с высоким риском ведения бизнеса. в наших условиях вероятность краха бизнеса от решений правительства\местных органов\роста курса валюты и тд куда выше, чем от вирусов. Поэтому для всех, кто не обжегся — на ИБ — плевать
          2. публичная статистика утечек в России отсутствует. По нашим расследованиям суммы утечек в сотни миллионов — реальность. В условиях отсутствия статистики строить какие либо модели — бессмысленно
          3. большая часть проблем — неграмотность персонала. в мои числе технарей и ИБшников. В этих условиях, сколько софта не купи — толку не будет. Читаешь отчеты по тестированию или результаты аудитов — толи ржать, толи плакать.


          1. olku
            14.04.2015 10:02

            Спасибо за ответ, за последнее предложение особенно. Печально добавлю, что почти каждый вебинар для аудиторов ИС от одной известной организации по теме утечки данных, после вводных страшилок, в лучшем случае сводится к списку мер «хорошо бы это сделать, и это, и еще то», в худшем — «купи вот эту штуку и будет счастье». Создается неприятное впечатление о дорогостоящих дармоедах — жрецах культа инфобезопасности в донаучную эпоху :)


        1. Spewow
          14.04.2015 07:48

          Почему сразу чушь? :)
          Все правильно товарищ говорит про Комплексный подход.

          Что касается бизнеса, если уж он задумался и создал подразделение ИБ, значит уже где-то обжегся и решил прикрыться в этом направлении.

          Если не обжегся, то и тратить денег на само создание подразделения бизнес не будет. Язык денег говорит, что это же как минимум нужен ФОТ ИБ персоналу. Лучше пустить эти деньги на найм еще парочки «продажников», мол пусть приносят прямую легко считаемую прибыль. :)


          1. olku
            14.04.2015 09:34

            лучше законопатить все

            Я имел в виду эту фразу. Все невозможно, ни теоретически (нет всех знаний), ни практически (нет всех денег).


            1. Arlakz
              20.04.2015 18:28

              Если данные достаточно «секретны» то например полная изоляция компа с такими данными от ЛВС/И-Нета и сменных носителей + заземленная сетка в стенах комнаты, по завершению срока службы все носители уничтожаются механически до состояния трухи.
              будет одним из необходимых, но недостаточных мер.
              Как ввод данных можно использовать например сканер и клавиатуру (читал я лет 10 назад про такие меры в реальном учреждении, если рассказчик не соврал, там это было защитой от вирусов)

              Если данные чуть менее секретны — хорошо настроенная сеть+файрвол+прокси+ NAT+антивирус+… то же будут необходимы, но недостаточны

              В любом случае необходимы обучение персонала и постоянные проверки.
              А то как при одном аудите рассказывали — раскидали флешки с вирусом у порога офиса — и все.
              Или в мусорке рядом покопались.

              В общем нужен Комплекс мер.
              и конопатить все что можно, до состояния «если еще чуть — выделенных денег точно не хватит»

              Причем затыкаются сначала самые очевидные и большие дыры, то что закрыть дешевле и тп
              А «на потом» остаются те меры, которые требуют максимальных усилий и средств


              1. olku
                20.04.2015 19:13

                Спасибо, но, про меры я не спрашивал, они известны.


      1. lubezniy
        14.04.2015 07:15

        Выключить и не включать надёжнее.


  1. Spewow
    13.04.2015 14:37

    По моему сейчас сложилась практика сделать все по требованиям регуляторов только «чтобы не заругали», желательно по минимуму.

    В остальном накручивать защиту по максимуму в случае грамотной ИТ ИБ службы, гуляя не от требований регуляторов, а от best practices в отрасли вообще.

    Это конечно если компания в принципе озабочена защитой информации.


    1. teecat Автор
      13.04.2015 15:06

      Не совсем так. Сложилась практика делать все согласно сложившимся в конкретном сообществе/отрасли умолчаниям. Скажем написано в документах регуляторов использовать антивирусную систему защиты, прошедшую процедуру оценки соответствия — все ставят сертифицированный антивирус, хотя ни одним (почти) словом равенство антивируса и антивирусной защиты и сертификации и оценки соответствия не задается. Но все приняли как правило и все.
      При этом апологеты иных методов защиты даже не удосуживаются почитать стандарты/приказы и увидеть, что предлагаемые ими методы защиты в общем-то зачастую не противоречат требованиям того же ФСТЭК
      А вот насчет лучших практик… Не видел я практик, адекватных текущим угрозам. Что у нас, что у них. Хотя не исключаю, что есть неизвестные мне стандарты. Если есть интерес — могу например нист разобрать.
      Еще хуже с реализацией процедур. Читал недавно презентацию в Казани. У какого процента участвующих было понятие, как организовать процедуру обработки инцидента ИБ?


      1. Spewow
        13.04.2015 15:53

        Если у меня но 17 приказу Класс защищенности ИС 3 и IDS вроде и не нужен. То я все равно будут их применять, поэтому что это хорошо. :)

        У ФСТЕК-а нормальные РД, если бы еще не стояла приставка — «сертифицируемый». И по жопе за нарушение больно дают с конфискацией «несертифицируемых» средств защиты.

        А это «сертифицируемое» зачастую кривое, глючное и неудобное, хоть и увешано, как генерал орденами медалями от фстек и фсб.
        Поэтому «сертифицированное» применять по минимуму согласно РД, «что-бы не заругали». А остальную защиту наворачивать по максимуму из удобных и подходящих -Мне- компонентов.

        А уж теме, что такое оценка соответствия, сертификация или нет, в глазах проверяющего уже не один год.
        anvolkov.blogspot.ru/2012/05/blog-post_21.html#.VSu6so77KP8
        Проверяющему нужна пыль в глаза, чтоб медальки фстека на продукте блестели, он не продвинутый хакер с зеронайта, а обычный служивый с чек листом.
        Нет медальки? Держи предписание )


        1. teecat Автор
          13.04.2015 16:31

          Я не против использования каких-либо средств защиты. Я против того, что вместо того, чтобы подумать — люди не думая идут проторенной дорогой, а по пути еще и возмущаются, что их заставляют. Меня скажем всегда бесит, когда люди навешивают ярлыки, даже не прочитав требования. Недавний пример — на Хабре с новостью о Сбербанке
          У ФСТЕКа нормальные документы (не все, большое счастье, что скажем документ по обновлениям не приняли), но мало их. Скажем 17 и 31 приказы хороши — но как списки мер. А как считать угрозы или выбирать продукты (и не надо мне показывать профиля. за файрволы не скажу, но антивирусы и особенно НДВ это грустно) — совершенно не ясно
          И кстати по 21му сертифицированные средства не требуются — об этом будет следующая статья. Это тоже пример того, как произошла подмена формулировок и все это тихо приняли.
          Волкова (как и других я читаю регулярно) — наши законы/приказы к сожалению не складываются в один пазл. Примеры формулировок по оценке соответствия тому свидетельство
          «настоящих буйных мало» — посему так и живем :-)


          1. Spewow
            13.04.2015 17:09

            Если вы любите копаться в РД, то мне бы интересно было ваше мнение про отношение СПО (linux, bsd) и наших регуляторов с точки зрения закона.

            С одной стороны большое кол-во отечественных программных средств защиты информации построено на этом самом СПО, методом Дениса Попова.
            С другой стороны попробуй поставить эту защиту в «чистом» виде. Сразу будет считаться что у противника есть доступ к исходным кода, тип нарушителя Н5-6, со всеми вытекающими.


            1. teecat Автор
              13.04.2015 17:27

              Не то чтобы люблю. Просто знание первоисточника всегда дает бонусы в аргументации
              Если говорить о СПО, то я не встречал у значимых компаний существенного количества СПО. Единственное по сути и широко распространенное исключение — сквид. Иногда встречается почтовый прокси. Все остальное — единичные случаи.
              Тихо подозреваю, что все СПО — это провайдеры и СМБ. В силу размеры слабо интересующие проверяющих (за редким исключением) и вендоров — просто руки до них не дотягиваются
              Запрета в чистом виде нет, но нет и проработанного расчета рисков (что крайне странно в связи с древностью курса на импортозамещение). С учетом уровня зарплат в большинстве мелких компаний и распространенности мифа о неуязвимости линукс (кстати опять нашли, да еще и вирус) — выбор СПО всегда настораживает. Я сам линуксоид, но к сожалению часто Линукс ставят с позиции, что он по умолчанию неуязвим