В последние два года ситуацию буквально возможно охарактеризовать как «вал утечек информации», рост и количества утечек, и их объемов… И, прежде всего, утечек персональных данных.
Увы, но вследствие цифровизации мир становится прозрачным как с легальной, и с нелегальной стороны. Утечки информации — а где здесь угрозы для общества, государства, организации, человека. Какие утечки информации опасны и для кого? Обесценились ли утечки за последний год?
Но сейчас сесть за давно задуманную статью заставил, так же как и год назад, когда сел и написал статью «DLP как СЗИ или причём здесь средства защиты информации», - разговор с коллегами из отрасли ИБ
Да, недавно столкнулся с мнением, что будто бы существующая нормативная база не требует защищать данные от утечек, предотвращаться их, бороться с последствиями…
Сначала был некоторый шок, потом мысль, что, возможно, я смотрю зашоренным за почти 30 лет работы в безопасности взглядом. Действительно, мы, как специалисты, знаем, что у информации есть свойства «конфиденциальность, целостность, доступность», которые защищаем (у открытой – последние два). Более того, у нас вся индустрия безопасности построена на обеспечении конфиденциальности, по-моему, даже с перекосом в эту сторону, хотя в современных условиях доступность систем, предоставляющих цифровые (электронные, дистанционные и т. п.) сервисы (услуги) не менее важна, да и целостность — это ведь достоверность, та самая, которая, например, защищается и подтверждается ЭП. То есть защищают и данные, и системы.
Просто далеко не все воспринимают защиту открытой информации как часть индустрии ИБ, но сейчас речь про утечки и конфиденциальность.
Затем возникла мысль, что это чисто «сейловая» история. Но и здесь ключевой момент — наличие или отсутствие для организаций требований по защите именно от утечек информации. Прямых. Или неочевидность и необязательность существующих, их размытость в общих требованиях ИБ. Ведь не секрет, что «продать безопасность» (во всех смыслах слова «продать») - это продать страх, защиту от угроз, минимизацию рисков, причём от наказаний за неисполнение закона тоже.
И цепочка получается такая: угрозы — требования — меры — оценка соответствия и контроль — выявленные нарушения — компенсации пострадавшим — наказания.
Два отступления:
- Если насчёт последствий как в части компенсаций пострадавшим или хотя бы извинений я соглашусь, что у нас пока такие вопросы решаются в основном в частном порядке, но хотя бы факты были, а также публичные извинения за утечки.
- В статье обойду вопросы, связанные с защитой гостайны. Поговорим о защите конфиденциальной информации, в том числе персональных данных.
Утечки информации из автоматизированных систем
В процессе разговора мы уточнили, что область сужается, и речь идёт именно о предотвращении утечек компьютерной информации, т. е. информации, обрабатываемой автоматизированными системами (АС). Её утечка возможна как по техническим каналам, так и вследствие санкционированного (разглашение, например) или несанкционированного доступа (НСД) к ресурсам АС (ИС в терминах 149-ФЗ).
Далее в процессе обсуждения появилось ключевое слово «прямо», т. е. «руководителю организации прямо не указано, что он обязан создавать системы защиты информации и предотвращать утечки, а в т.ч. покупать, внедрять, эксплуатировать средства защиты информации» (СЗИ).
Может, так происходит, потому что в НПА прямо и заглавными буквами не написано - «защитить такие-то и такие-то данные от утечек (неконтролируемого распространения, ознакомления неуполномоченных лиц и т.п.)»?
Или формулировки требований (обязательных мер, которые должны быть реализованы) не позволяют обосновать затраты на создание и эксплуатацию систем защиты информации (технические, организационные, найм и обучение специалистов и т. п.)?
Или всё зависит в итоге от мастерства специалиста, разрабатывающего требования к СМИБ, готовящего ТЗ на системы обеспечения безопасности автоматизированных систем организации? Сможет он обосновать перед руководством плюс деньги «лишние» есть — включат, нет — отложат на внедрение в последней очереди проекта, то есть никогда.
Проще, когда речь идёт о защите собственной коммерческой тайны, секретов производства, впрочем, и здесь чаще заинтересован собственник предприятий, чем наёмный работник, пусть он даже и топ.
А если необходимо изыскать и потратить средства часто на безопасность «чужих» данных, не своих (персональных, коммерческих и т.п.), а потом еще отчитаться надо, обосновать траты владельцам, вышестоящему руководству, ревизорам. Как часто воспринимается? Деньги не потратишь – максимум штраф 60000р., тем более, после того, как прошла серия утечка-штраф из многих крупных и уважаемых предприятий и ничего…
И только ли здесь проблема – в требованиях, обязанностях, деньках и отчётности?
А в как дела в ИТ? В одной из самых передовых отраслей, тесно связанных с информационной безопасностью?
Все внедрили процессы безопасной разработки ПО, разрабатывают и встраивают функции безопасности в системное и прикладное ПО, обязательно включают в состав проектов по созданию АС подсистемы ЗИ, а в ПМИ — разделы, связанные с ИБ?
Наказания за утечки информации, за невыполнение требований
Требования – это когда обязан
А если обязан, но ничего не будет?
В российском законодательстве говорится о защите прав и свобод граждан, в том числе «при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну» (статья 2 152-ФЗ).
Есть соответствующие статьи в административном и уголовном кодексе, практика их применения — штрафы и уголовные дела. Правда, складывается впечатление, что граждан наказывают строже и часто по уголовным статьям, организации обычно обходятся штрафами в 60 000р. И нет примеров, что какого-то руководителя уволили за утечки данных.
Статистику публикуют соответствующие органы, также ряд организаций проводит исследования, например https://www.infowatch.ru/analytics/analitika
Кстати, немалое количество уголовных дел по безопасности КИИ как раз связано с утечкой данных из объектов КИИ, не только в связи с нарушением их функционирования
И посмотрите на статистику проверок Роскомнадзора по соблюдению правил обращения с персональными данными.
И еще «указ» 250 персональную ответственность за ИБ устанавливает…
Так в чём же проблема?
Как так? Проверки есть, наказания есть, а мнение, что у организаций и у их руководителей нет обязанностей по защите конфиденциальной информации от утечки, встречается?
Или просто способ избежать затрат, пренебрегая рисками административной и уголовной ответственности?
Какие меры по защите от утечек информации нам указаны
Посмотрим, что есть про требования и про меры по защите от утечек информации в серии приказов ФСТЭК России за номерами 21/17/31/239, зарегистрированных в Минюсте, и, фактически, являющимися одними из основных при создании систем защиты информации в организациях.
Во всех четырёх есть раздел «Защита технических средств и систем (ЗТС)» и мера:
- ЗТС.1. Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам (21 приказ).
- ЗТС.1. Защита информации от утечки по техническим каналам (239 приказ).
- ЗТС.1. Защита информации от утечки по техническим каналам (31 приказ).
- ЗТС.1. Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам (17 приказ).
И во всех перечисленных приказах эта мера не является обязательной.
Также в 239-м и 31-м приказах есть еще мера «ЗИС.17 Защита информации от утечек», но она тоже не обязательная.
То есть, требования нет и решение о необходимости реализации принимает владелец при разработке и утверждении модели угроз.
Кстати, уважаемые сообщества и ассоциации экспертов по защите информации, как так получилось? Как так мы все дружно прохлопали отсутствие мер по защите от утечек информации из ИС/АС вследствие НСД, не по техническим каналам? Их обязательность? Или раньше это не важно было?
Причем я не только про производителей DLP.
Всё начинается с угрозы
Может, угроз существенных не было? Риски были не критичными? Применительно к защите данных в АС от последствий несанкционированного доступа.
А риски и угрозы, связанные с утечкой информации по техническим каналам были основными? Или количество и важность данных в «цифре» не набрало критического значения?
Или подразумевалось, что раз утечка — это одно из возможных последствий НСД к АС, следовательно, и не стоит её выделять — специалисту и так понятно.
Кстати, так и есть в ряде документов, например, в базовой модели ПДн 2008 года, есть разделы:
4. Угрозы утечки информации по техническим каналам.
4.1. Угрозы утечки акустической (речевой) информации.
4.2. Угрозы утечки видовой информации.
4.3. Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок.
А также: «Угрозы НСД в ИСПДн с применением программных и программно-аппаратных средств реализуются при осуществлении несанкционированного, в том числе случайного, доступа, в результате которого осуществляется нарушение конфиденциальности (копирование, несанкционированное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн, и включают в себя: …»
Посмотрим БДУ ФСТЭК России. Четыре угрозы утечки компьютерной информации:
УБИ. 135. Угроза потери и утечки данных, обрабатываемых в облаке.
УБИ. 193. Угроза утечки информации за счет применения вредоносным программным обеспечением алгоритмов шифрования трафика.
УБИ. 201. Угроза утечки пользовательских данных при использовании функций автоматического заполнения аутентификационной информации в браузере.
УБИ. 203. Угроза утечки информации с неподключенных к сети Интернет компьютеров.
Две формулировки привязаны к объекту обработки информации, из которого возможна утечка, две – к способу, но они есть.
Иерархия угроз здесь не предусмотрена, но если подойти с точки зрения создания методики формирования перечня угроз, то полагаю, что применительно к теме статьи корневая угроза могла бы быть сформулирована так:
Угроза утечки информации ограниченного распространения из автоматизированной системы вследствие несанкционированного (неправомерного) доступа к АС (ресурсам АС),
а уже далее конкретизировать виды информации, особенности АС и режимов её работы, наличия подключения к ИТКС, причин и способов реализации НСД, наличия специализированных инструментов, средства контроля и т.п.
Куда отнести угрозу утечки вследствие санкционированного (разрешенного, правомерного, легитимного) доступа? Внести в БДУ? Или скорректировать и оставить в национальных стандартах для полного описания сферы утечек информации, но чёткого отделения области стандартизации, связанной с технической защитой информации, в т.ч. с защитой от технических разведок, от других направлений обеспечения информационной безопасности?
Нет угрозы без ущерба
Или есть? Я про любой ущерб (вред). Но пойдём дальше.
Если взять методический документ ФСТЭК России «Методика оценки угроз безопасности информации», то там среди основных видов воздействия на информационных ресурсов и компонентов систем и сетей, которые могут привести к негативным последствиям, есть
- «утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности)»,
- «несанкционированный доступ к компонентам, защищаемой информации, системным, конфигурационным, иным служебным данным».
Хотя я бы оценил первое, не как воздействие, а как следствие второго (доступ – воздействие), но, главное, что утечка отнесена к таким воздействиям, причём на первом месте.
В приложении 4 к Методике «Виды рисков (ущерба) и типовые негативные последствия от реализации угроз безопасности информации» мы видим:
Ущерб физическому лицу:
- Нарушение неприкосновенности частной жизни.
- Нарушение личной, семейной тайны, утрата чести и доброго имени.
- Нарушение тайны переписки, телефонных переговоров, иных сообщений.
- Нарушение конфиденциальности (утечка) персональных данных.
- Разглашение персональных данных граждан
Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью:
- Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.)
Ущерб государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности:
- Доступ к персональным данным сотрудников органов государственной власти, уполномоченных в области обеспечения обороны, безопасности и правопорядка, высших должностных лиц государственных органов и других лиц государственных органов.
- Утечка информации ограниченного доступа.
Итого
Коллеги, а как вы считаете, исходя из нормативных правовых документов, в России существует требование по защите конфиденциальной информации от утечек из информационных / автоматизированных систем?
Или вопрос надуманный и каждому руководителю, эксперту, обывателю и так понятно, что данные от утечек надо защищать и тратить на это ресурсы (материальные, временные)?
Если так, то:
Формулировки требований (обязательных мер, которые должны быть реализованы) позволяют обосновать затраты на создание и эксплуатацию систем защиты информации от утечек (технические, организационные, найм и обучение специалистов и т. п.)?
Сведения об авторе: Михаил Смирнов, член правления АРСИБ, главный редактор BISA.
Ставьте лайк и подписывайтесь на нашу страницу в АРСИБ Яндекс.Дзен и будьте в курсе актуальной информации в сфере информационной безопасности!