На тему различий российского и западного менталитетов написана куча текстов, издано немало книг, снято множество фильмов. Ментальное расхождение сквозит буквально во всем, начиная с бытовых нюансов и заканчивая нормотворчеством – в том числе в области применения систем защиты от утечек информации (DLP). Так у нас родилась идея подготовить для наших читателей серию статей-сравнений подходов к защите от утечек на русский и на американский манер.
В первой статье мы сравним сходства и различия в тех рекомендациях российских и зарубежных регуляторов по защите информации, к которым в той или иной степени могут быть применимы системы защиты от утечек. Во второй – расскажем о применимости ключевых DLP-систем по составляющим модулям к мерам защиты ГИС, рекомендуемым ФСТЭК РФ. В третьей рассмотрим тот же перечень систем защиты от утечек на предмет корреляций с рекомендациями американского стандарта NIST US.
Итак, что же нам рекомендуют ФСТЭК РФ и NIST US применительно к защите информации, для обеспечения которой могут быть использованы DLP-системы? Ответ на этот вопрос – под катом.
В Российской Федерации органом, осуществляющим реализацию государственной политики, а также специальные и контрольные функции в области государственной информационной безопасности, является ФСТЭК (Федеральная служба по техническому и экспортному контролю). Основным регламентирующим документом для ГИС (государственных информационных систем) и ИСПДн (информационных систем персональных данных), согласно приказам №№17, 21 и 31, является методический документ ФСТЭК «Меры защиты информации в государственных информационных системах». Документ описывает методику реализации организационных и технических мер защиты информации в государственных и связанных информационных системах (ИС).
В этом документе прописано, что требования к защите информации зависят от класса защищенности системы. Классов всего три – К1, К2, К3, они направлены на обеспечение конфиденциальности, целостности и доступности информации, обрабатываемой в системе. Первый класс (К1) самый высокий, третий класс (К3) самый низкий. Класс системы зависит от двух параметров: от уровня значимости обрабатываемой информации и от масштаба информационной системы.
В документе ФСТЭК прописаны меры защиты информации в информационных системах, начиная с идентификации и аутентификации и заканчивая защитой самих ИС, средств и систем связи и передачи данных. Процесс обеспечения информационной безопасности, согласно документу, должен строиться следующим образом:
В США вопросами регулирования информационной безопасности государственных и коммерческих организаций занимается NIST (National Institute of Standards and Technology) – Национальный институт стандартов и технологий.
С начала 1990-х годов NIST публикует Федеральные стандарты обработки информации (FIPS) и более детальные разъяснения/рекомендации (Special Publications) в области информационной безопасности. К системам предотвращения утечек данных применима одна из публикаций данной категории – SP 800-53 rev. 5 «Security and Privacy Controls for Information Systems and Organizations» («Контроль безопасности и конфиденциальности информационных систем и организаций»). Этот документ пока не утвержден, но уже закрыт для обсуждения. Предварительный текст документа будет опубликован весной 2019 г., а окончательный – летом 2019 г.
Несмотря на то, что по своей структуре документы отличаются, подход к обеспечению информационной безопасности, прописанный в них, во многом схож. При этом в американском стандарте заметен уклон в сторону консалтинга:
Категорирование информационных систем по классам регламентируется другим документом – FIPS 199. Подход к классификации, как и в рекомендациях ФСТЭК, строится на основе классической триады «Конфиденциальность – Целостность – Доступность». Максимальная критичность определяется, исходя из потенциально наивысшего воздействия на ИС одного из элементов триады.
Итак, выделим непосредственно те меры и указания, которые можно отнести к средствам предотвращения утечек данных (см. таблицу ниже).
Как видно из таблицы, базовые рекомендации NIST носят более высокоуровневый характер. Стоит отметить, однако, что в американских стандартах присутствуют прямые указания на использование систем предотвращения утечек данных, в том числе и отдельная глава, посвященная «легализации» подобного рода систем, где прописаны все необходимые меры, от юридических процедур и разработки политики ИБ, назначения ответственных и до контроля обмена информацией с третьей стороной.
Американский стандарт допускает использование для аутентификации в информационных системах персональных мобильных устройств с применением механизма временной блокировки и/или стойкого шифрования. Но несмотря на всю «продвинутость», в документе не сказано, каким образом следует регламентировать использование данных устройств для идентификации в системах предотвращения утечек данных.
В дальнейшем, в связи с широким распространением DLP-систем и ростом числа выявленных инцидентов будет увеличиваться и количество судебных разбирательств. В такой ситуации просто «легализации» не достаточно – нужна доказательная база, а она не может существовать без «неотрекаемости». В NIST этому посвящена отдельная глава аудита – AU-10, где дано определение этого понятия. В дополнительных рекомендациях по усилению описана процедура обеспечения «неотрекаемости» при создании, отправке и получении информации:
В рекомендациях ФСТЭК процедура обеспечения «неотрекаемости» подробно не описана, хотя в требованиях усиления ИАФ.7 (идентификация и аутентификация объектов файловой системы) указана необходимость «использования свидетельств подлинности». Возможно в дальнейшем регулятор подробнее рассмотрит меры, которые целесообразно применять для обеспечения «неотрекаемости».
На наш взгляд, полезными рекомендациями американского стандарта являются:
Возможно, в будущем эти рекомендации найдут отражение и в отечественных стандартах.
В первой статье мы сравним сходства и различия в тех рекомендациях российских и зарубежных регуляторов по защите информации, к которым в той или иной степени могут быть применимы системы защиты от утечек. Во второй – расскажем о применимости ключевых DLP-систем по составляющим модулям к мерам защиты ГИС, рекомендуемым ФСТЭК РФ. В третьей рассмотрим тот же перечень систем защиты от утечек на предмет корреляций с рекомендациями американского стандарта NIST US.
Итак, что же нам рекомендуют ФСТЭК РФ и NIST US применительно к защите информации, для обеспечения которой могут быть использованы DLP-системы? Ответ на этот вопрос – под катом.
У нас
В Российской Федерации органом, осуществляющим реализацию государственной политики, а также специальные и контрольные функции в области государственной информационной безопасности, является ФСТЭК (Федеральная служба по техническому и экспортному контролю). Основным регламентирующим документом для ГИС (государственных информационных систем) и ИСПДн (информационных систем персональных данных), согласно приказам №№17, 21 и 31, является методический документ ФСТЭК «Меры защиты информации в государственных информационных системах». Документ описывает методику реализации организационных и технических мер защиты информации в государственных и связанных информационных системах (ИС).
В этом документе прописано, что требования к защите информации зависят от класса защищенности системы. Классов всего три – К1, К2, К3, они направлены на обеспечение конфиденциальности, целостности и доступности информации, обрабатываемой в системе. Первый класс (К1) самый высокий, третий класс (К3) самый низкий. Класс системы зависит от двух параметров: от уровня значимости обрабатываемой информации и от масштаба информационной системы.
В документе ФСТЭК прописаны меры защиты информации в информационных системах, начиная с идентификации и аутентификации и заканчивая защитой самих ИС, средств и систем связи и передачи данных. Процесс обеспечения информационной безопасности, согласно документу, должен строиться следующим образом:
- определение базового набора мер защиты согласно классу ИС,
- адаптация базового набора мер,
- уточнение мер согласно модели угроз,
- дополнение с учетом иной нормативно-правовой базы в части защиты информации.
У них
В США вопросами регулирования информационной безопасности государственных и коммерческих организаций занимается NIST (National Institute of Standards and Technology) – Национальный институт стандартов и технологий.
С начала 1990-х годов NIST публикует Федеральные стандарты обработки информации (FIPS) и более детальные разъяснения/рекомендации (Special Publications) в области информационной безопасности. К системам предотвращения утечек данных применима одна из публикаций данной категории – SP 800-53 rev. 5 «Security and Privacy Controls for Information Systems and Organizations» («Контроль безопасности и конфиденциальности информационных систем и организаций»). Этот документ пока не утвержден, но уже закрыт для обсуждения. Предварительный текст документа будет опубликован весной 2019 г., а окончательный – летом 2019 г.
Несмотря на то, что по своей структуре документы отличаются, подход к обеспечению информационной безопасности, прописанный в них, во многом схож. При этом в американском стандарте заметен уклон в сторону консалтинга:
- Раздел базового управления.
- Дополнительные руководящие указания.
- Улучшение элементов базового управления.
- Связанные элементы управления.
- Раздел ссылок на иную нормативно-правовую базу, применимую к элементу управления или позволяющую улучшить данный элемент.
Категорирование информационных систем по классам регламентируется другим документом – FIPS 199. Подход к классификации, как и в рекомендациях ФСТЭК, строится на основе классической триады «Конфиденциальность – Целостность – Доступность». Максимальная критичность определяется, исходя из потенциально наивысшего воздействия на ИС одного из элементов триады.
Итак, выделим непосредственно те меры и указания, которые можно отнести к средствам предотвращения утечек данных (см. таблицу ниже).
Сравнительная таблица рекомендаций ФСТЭК и NIST
Как видно из таблицы, базовые рекомендации NIST носят более высокоуровневый характер. Стоит отметить, однако, что в американских стандартах присутствуют прямые указания на использование систем предотвращения утечек данных, в том числе и отдельная глава, посвященная «легализации» подобного рода систем, где прописаны все необходимые меры, от юридических процедур и разработки политики ИБ, назначения ответственных и до контроля обмена информацией с третьей стороной.
Американский стандарт допускает использование для аутентификации в информационных системах персональных мобильных устройств с применением механизма временной блокировки и/или стойкого шифрования. Но несмотря на всю «продвинутость», в документе не сказано, каким образом следует регламентировать использование данных устройств для идентификации в системах предотвращения утечек данных.
В дальнейшем, в связи с широким распространением DLP-систем и ростом числа выявленных инцидентов будет увеличиваться и количество судебных разбирательств. В такой ситуации просто «легализации» не достаточно – нужна доказательная база, а она не может существовать без «неотрекаемости». В NIST этому посвящена отдельная глава аудита – AU-10, где дано определение этого понятия. В дополнительных рекомендациях по усилению описана процедура обеспечения «неотрекаемости» при создании, отправке и получении информации:
- Сбор необходимой информации о пользователе и идентификация в информационной системе.
- Валидация – подтверждение подлинности идентификатора и личности.
- Ведение жизненного цикла – непрерывный процесс сбора сведений и проверки прав на соответствие согласно выполняемым действиям.
- Проверка неизменности / модификации информации перед передачей и обработкой. Например, путем использования контрольной суммы.
- Применение электронной подписи.
В рекомендациях ФСТЭК процедура обеспечения «неотрекаемости» подробно не описана, хотя в требованиях усиления ИАФ.7 (идентификация и аутентификация объектов файловой системы) указана необходимость «использования свидетельств подлинности». Возможно в дальнейшем регулятор подробнее рассмотрит меры, которые целесообразно применять для обеспечения «неотрекаемости».
Что можно позаимствовать
На наш взгляд, полезными рекомендациями американского стандарта являются:
- целесообразность применения средств идентификации/аутентификации, дальнейшей защиты учетных записей и передаваемой информации в рамках процедуры обеспечения «неотрекаемости». В российский стандарт можно включить такие рекомендации в каком-либо явном и упрощенном виде без использования квалифицированной электронной подписи согласно ФЗ №63.
- регламентирование механизма «легализации» DLP, начиная с документального сопровождения и заканчивая предоставлением информации третьей стороне.
Возможно, в будущем эти рекомендации найдут отражение и в отечественных стандартах.
Комментарии (4)
FatRunner
25.12.2018 11:01+1У вас ошибка, согласно Приказа ФСТЭК №17 класса защищенности три К1, К2, К3. А вот уровней защищенности персональных данных четыре Приказ ФСТЭК №21.
HiMem-74
26.12.2018 10:35в рамках процедуры обеспечения «неотрекаемости»
Обычно используется термин «неотказуемость»
saipr
Конечно электронная подпись да еще на базе квалифицированного сертификата для обеспечения неотрекаемости было бы здорово. Во электронная подпись это криптография, это ипархия ФСБ России. И здесь как-то надо будет соблюсти баланс интересов. И использовать только сертифицированные средства ЭП. Тут будет много подводных и рнадводных камней.