В этой статье мы продолжим построение системы защиты персональных данных (далее СЗПДн). В предыдущих двух статьях мы достаточно подробно рассмотрели процесс установления уровня защищенности персональных данных, актуальных угроз, а также выяснили, какие именно меры защиты нам необходимо применять для тех или иных уровней защищенности и актуальных угроз.

Теперь самое время поговорить о практической стороне вопроса, а именно, непосредственно о тех решениях, которые мы можем использовать в своей системе защиты.

Решения и их выбор

За долгие годы существования требований по защите персональных данных было сломано множество копий по вопросу использования сертифицированных средств защиты. Должны или нет используемые средства защиты иметь сертификат ФСТЭК? Желающие могут почитать различные точки зрения на данный вопрос у наших ИБ блогеров. Но в рамках данной статьи мы будем говорить только об использовании сертифицированных средств защиты.

Дабы в комментах меня не обвинили в рекламе тех или иных решений, я буду приводить описания различных продуктов применительно к реализации защитных мер.

Но хотелось бы заметить, что без упоминаний конкретных вендоров и их решений в статье обойтись не получится. И несколько слов о том, из каких вендоров мы будем выбирать. Если в прежние времена можно было выбирать как отечественные, так и иностранные сертифицированные средства (кроме криптографии), то после известных событий ФСТЭК отозвал сертификаты у целого ряда иностранных производителей. Ну и кроме того, банально приобрести многие иностранные продукты сейчас практически невозможно. Поэтому, далее в статье будут рассматриваться только российские решения, имеющие сертификат ФСТЭК. Узнать какие сертификаты имеет то  или иное решение (и имеет ли вообще) можно на сайте ФСТЭК https://reestr.fstec.ru/reg3.

Меры и решения

Начнем с Идентификации и аутентификации (ИАФ). Защитные механизмы здесь можно реализовывать как с организационных, так и с помощью технических мер. Организационные мероприятия -  разработка правил и процедур (политик) идентификации и аутентификации субъектов доступа и объектов доступа. Реализуется путём выполнения положений внутренних документов.

Однако, очевидно, что выполнить все требования данной группы мер только с помощью «бумажной безопасности». Здесь нам в обязательном порядке потребуются и технические средства.

Группа мер ИАФ определяет различные требования к обеспечению безопасной аутентификации в системе. Для выполнения этих требований можно воспользоваться решением Secret Net Studio от Кода Безопасности. Secret Net Studio имеет несколько редакций и позволяет осуществлять вход в систему как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Возможно использование как стандартной аутентификации, так и усиленной аутентификации по ключу или по паролю.

Secret Net Studio может работать как совместно с Active Directory, так и без глобального каталога. В случае, если у вас не используется ОС Windows (а в 2025 году у нас много где использовать винду как у другой иностранный софт будет запрещено) можно воспользоваться редакцией Secret Net LSP, работающей под Linux. При этом, Secret Net LSP поддерживает отечественные дистрибутивы ОС Linux.

Помимо решения от Кода Безопасности для выполнения требований ИАФ можно также воспользоваться СЗИ от НСД Dallas Lock от Конфидент. Это решение обеспечивает авторизацию в загрузчике до загрузки ОС, также прозрачное преобразование жестких дисков и мандатный принцип разграничения доступа к объектам файловой системы и устройствам. 

Следующей группой мер является Управление доступом (УПД). Меры из данной группы обеспечивают управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа. Фактически требования из данной группы можно выполнить с помощью тех же Secret Net Studio и Dallas Lock.

Отдельно хотелось бы отметить выполнение требований ИАФ и УПД в виртуальной среде. Здесь ввиду виртуальной специфики использование средств защиты, представленных ранее будет не совсем правильным. Для защиты виртуальной среды можно воспользоваться решением vGate от того же кода безопасности. Данное решение поддерживает идентификацию и аутентификацию пользователей в виртуальной среде и при работе с гипервизором.  

Меры по ограничению программной среды (ОПС) должны обеспечивать установку и/или запуск только разрешенного к использованию ПО.  Здесь для выполнения требований можно, конечно, прибегнуть к тем решениям, которые были представлены чуть выше, но я предлагаю рассмотреть другой вариант реализации защитных мер – использование сертифицированных ОС. Понятное дело, такой вариант подойдет далеко не всем, так как установка ОС требует определенных трудозатрат как на развертывание, так и на обучение пользователей. В этом отношении наложенные средства защиты удобнее. Однако, если по тем или иным причинам вам проще развернуть сертифицированную ОС Linux, то тогда можно рассмотреть несколько отечественных дистрибутивов. Важным преимуществом сертифицированных ОС является то, что они сразу закрывают большое количество требований приказа ФСТЭК.

В качестве примеров сертифицированных ОС можно привести Astra Linux Special Edition. Данный дистрибутив в зависимости от выбранной редакции может использоваться для защиты ИСПДн. На сайте вендора можно посмотреть список мер из 21 приказа, которые закрывает Astra Linux и этот список достаточно внушительный, закрыто большинство мер.

Также говоря о сертифицированных ОС, стоит упомянуть ОС РОСА. Этот дистрибутив также содержит в себе большое количество защитных механизмов, позволяющих выполнить требования большинства мер из 21 приказа ФСТЭК.

Далее в приказе следует набор мер по учету машинных носителей информации, которые обычно в большей части реализуется с помощью организационных мер. А необходимые технические действия, такие как уничтожение информации на машинных носителях, могут быть выполнены средствами сертифицированных ОС.

А вот следующая группа мер Регистрация событий безопасности (РСБ) представляет больший интерес с технической точки зрения. Здесь к выполнению требований можно конечно подойти формально и просто собирать события от ОС и средств защиты локально и этого будет достаточно для выполнения требований. А можно воспользоваться специализированным классом решений SIEM (Security Information Event Management), которые отвечают за централизованный сбор, обработку и хранение собранных с источников событий. Помимо собственно сбора событий SIEM решения могут осуществлять их анализ в режиме реального и в случае выявления подозрительных активностей автоматически создавать инциденты.

Наиболее интересным решением на российском рынке является Kaspersky Unified Monitoring and Analysis Platform (KUMA). Данный продукт поддерживает большое количество источников событий “из коробки”, то есть для их подключения достаточно выполнить готовую инструкцию по настройке на источнике и события начнут автоматически собираться. Также учитывая то, что разработчиком этого решения является Лаборатория Касперского, данный продукт хорошо интегрируется с другими решениями от ЛК, о которых речь пойдет далее.

Для выполнения требований группы мер по антивирусной защите (АВЗ) нам как раз поможет сертифицированная версия Kaspersky Endpoint Security. В качестве альтернативного решения по антивирусной защите можно воспользоваться сертифицированной версией антивируса Доктор Веб.

Следующей у нас выступает группа мер по обнаружению (предотвращению) вторжений. Здесь можно использовать функционал СОВ на конечных узлах, который имеется в том же Secret Net Studio. Но лучше все-таки анализировать сетевой трафик в поисках угроз. И здесь мы плавно переходим к сетевым средствам защиты. В качестве модуля СОВ можно использовать Континент СОВ/СОА от Кода Безопасности. Также можно использовать ViPNet IDS NS от Инфотекса. Данные системы получают копию сетевого трафика и анализируют его на наличие подозрительных активностей.

Меры по контролю и анализу защищенности (АНЗ) можно реализовать с помощью хорошо всех знакомых сканеров уязвимостей XSpider или MaxPatrol.

Группа мер по обеспечению целостности (ОЦЛ) может быть реализована теми средствами, о которых мы уже говорили ранее. То есть контроль целостности файлов можно осуществлять с помощью того же Secret Net, сертифицированной ОС или антивируса.

Группа мер по обеспечению доступности хотя и выдвигает технические требования, но по сути реализуется скорее организационными мерами. Так, одно из требований это обеспечение резервирования технических средств, которое очевидно реализуется с помощью создания отказоустойчивых конфигураций оборудования и ПО.

Группа мер по защите среды виртуализации актуальна для систем, в которых используется виртуализация. Здесь естественно должен использоваться vGate, но также можно использовать антивирусные решения для виртуальных сред, например Легкий агент от Лаборатории Касперского.

Большая группа мер Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) выдвигает разнообразные требования, часть из которых мы можем закрыть уже описанными ранее решениями (например меры по защите архивных файлов, параметров настройки средств защиты информации и программного обеспечения можно выполнить с помощью средств контроля целостности, описанных ранее). Но есть и новые требования, такие как сегментирование сети, которые должны выполняться с помощью средств межсетевого экранирования. Здесь можно рекомендовать решения от UserGate или уже упомянутые Код Безопасности и ViPNet.

Оставшиеся группы мер Защита технических средств (ЗТС), Выявление инцидентов и реагирование на них (ИНЦ) и Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) выполняются преимущественно с помощью организационных мер и технические средства здесь могут использоваться только как вспомогательные инструменты.

Немного о криптографии

Помимо требований приказа ФСТЭК у нас также есть требования ФСБ относительно передачи персональных данных по каналам связи идущим вне контролируемой зоны. Так если вы передаете ПДн в филиал организации, находящийся за пределами контролируемой зоны, вы должны использовать сертифицированную криптографию. Для этого можно использовать уже знакомые нам АПКШ Континент или ViPNet, которые имеют соответствующие сертификаты и могут использоваться для защиты персональных данных.

Заключение

В этой статье мы рассмотрели основные решения, с помощью которых можно выполнить нормативные требования. Конечно, на рынке есть множество других решений и здесь были представлены только наиболее распространенные продукты, однако список сертифицированных средств этим не ограничивается и при необходимости можно подобрать решение подходящее под вашу ИТ инфраструктуру.

Ну и по традиции хочу порекомендовать вам бесплатный вебинар, в рамках которого вы узнаете, какие обязанности возложены на владельцев сайтов согласно 152-ФЗ. Какие сайты попадают под действие закона о персональных данных. Какие штрафы и за что могут быть наложены.

Комментарии (4)


  1. remendado
    21.06.2023 13:04
    +2

    Тот случай, когда бюрократия полностью погребла под собой первоначальную проблему. Основная задача на данный момент - предъявить проверяющим некий комплект бюрократических документов, с той или иной степенью соответствующий многочисленным (и часто противоречащим друг другу) нормативным актам в этой сфере. А ПД как утекали, так и утекают, причем оттуда, откуда уж, казалось бы...


    1. vilgeforce
      21.06.2023 13:04
      +1

      Есть две безопасности: реальная и бумажная...


  1. freeExec
    21.06.2023 13:04
    +1

    Да все тлен, ибо не могу я проверить по фстэк там у них разграничения или любая уборщица подключенная к вай-фай имеет доступ. Не говоря уже о том куда они это отправляют, шифруют ли каналы и отечественной ли криптографией.

    И ничего проверяющие не смогут там проверить, даже если бы у них были специалисты, это не реально в нынешних объемах.


    1. Shaman_RSHU
      21.06.2023 13:04

      Когда большие объёмы, идут от обратного - проводят пентест. Смогли получить доступ к данным - защиты нет.