Кибербезопасность

Стандартизация защиты от утечек данных: "Солар" рассказал о разработке ГОСТ

Кибербезопасность
Читать на сайте Ria.ru
МОСКВА, 13 ноя - РИА Новости. В последние годы государство планомерно реализует стратегию по борьбе с утечками данных, чтобы мотивировать бизнес тщательнее оберегать персональные данные и наращивать надежность систем кибербезопасности. Параллельно наблюдается резкий рост инцидентов с информацией — как в рамках общемирового тренда, так и в результате направленных атак на российские инфраструктуры. В качестве ответной меры Госдума рассматривает законопроект об ужесточении ответственности компаний за утечки и о введении оборотных штрафов за повторное нарушение. В свою очередь, ГК "Солар" инициировала проект по разработке Национального стандарта "Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения". Он включен в План работы Технического комитета по стандартизации "Защиты информации" (ТК 362) на 2023 год. О том, почему сегодня компаниям необходим единый формализованный подход к процессам защиты данных, рассказывает руководитель департамента клиентского сервиса Центра "Дозор" ГК "Солар" Анна Попова.
Почему стандарт необходим именно сейчас?
Ужесточение регулирования в сфере защиты информации стало одной из самых обсуждаемых сегодня тем индустрии ИБ: какой должна быть система штрафов и насколько она будет реально применима в нынешних условиях, когда закон даже не определяет, что считать утечкой. При этом проблема стоит довольно остро: 33% всех киберугроз, с которыми столкнулись российские компании за год, пришлось именно на утечки, а в среднем от одного инцидента крупный бизнес теряет 5,5 миллиона рублей.
Развитие регуляторики в отношении защиты данных — тренд последних пяти лет во всем мире. В Европе с 2018 года действует Общий регламент защиты персональных данных (GDPR), определяющий базовые понятия, принципы работы с информацией, порядок оповещения об утечках и ответственность — максимальный штраф достигает 20 миллионов евро либо 4% годовой выручки, если эта сумма больше. Впоследствии Китай, Индия и ряд других азиатских стран приняли законы, которые базируются на верхнеуровневых принципах GDPR, и продолжают работать над конкретикой. В США законодательство в этой сфере разнится от штата к штату, но общее направление, в котором оно развивалось и дополнялось в последний год — ужесточение порядка уведомления об инцидентах и расширение понятия персональных данных.
Как эффективно вкладываться в кибербезопасность
Для профессионального сообщества стала очевидна необходимость подготовки национального стандарта использования DLP-систем (программных продуктов для предотвращения утечек конфиденциальных данных в корпоративной сети). В мае 2023 года на площадке "Солара" прошла стратегическая сессия по вопросу защиты от утечек. По ее итогам вендоры и заказчики DLP-систем договорились о создании экспертного сообщества для единого подхода к предотвращению утечек корпоративных и государственных данных. Это решение поддержал заместитель руководителя ФСТЭК России Виталий Лютиков, также участвовавший в мероприятии. Формирование отраслевого стандарта защиты данных было заявлено как одна из ключевых целей новой рабочей группы.
Чтобы соблюсти требования законодательства, избежать многомиллионных штрафов для себя и ущерба субъектам персональных данных, эффективно организовать защиту от утечек данных по вине сотрудников, но при этом не нарушить их права на защиту частной жизни (во многих случаях защита от утечек связана с контролем работы сотрудника на рабочем месте), компаниям необходимы формальные основания и единообразные подходы. Поэтому для согласования понятийного аппарата и общей структуры процессов в сфере защиты от утечек важно в ближайшее время выработать соответствующие отраслевые стандарты. А в приоритете, подчеркивает ФСТЭК, выработка единых методологических подходов к организации комплексного процесса защиты информации от утечек.
Какие пробелы восполнит стандарт?
На сегодняшний день сфера защиты от утечек очень разрознена: в отсутствие нормативного регулирования каждая организация внедряет практики на свое усмотрение и так, как посчитает нужным, и даже в рамках одной компании процессы разных подразделений могут быть не согласованы между собой.
Исследование показало, сколько ущерба нанесли хакеры российским компаниям
Выстроить эти стандарты путем обмена опытом внутри сообщества проблематично: компании не готовы раскрывать подробности инцидентов, с которыми они столкнулись, за исключением тех случаев, когда они стали достоянием общественности. Особенно чувствительная тема — внутренний нарушитель, когда утечка происходит из периметра самой организации. Кибератаки попадают в поле зрения широкой общественности, и потому о них говорят, а пласт внутренних утечек остался не охвачен, хотя для компании это такой же ущерб. Проблема существует, средства защиты от этих рисков используются, но формальных оснований и унифицированной методологии для этого нет.
Если говорить о правовом поле, то законодательно вообще нет понятия "утечка", как и в целом базовой терминологии, описывающей реальные процессы и соответствующие технологии защиты. В существующих сегодня законах, регулирующих смежные сферы — таких как 98-ФЗ "О коммерческой тайне", — фокус исключительно на действиях нарушителя и полагающейся за них ответственности: например, фигурирует такой термин как "разглашение". А вопросы откуда, как и почему происходят утечки, что нужно с этим сделать остаются за пределами внимания существующего законодательства. На них и призван ответить новый ГОСТ.
Как идет работа над национальным стандартом?
Первую редакцию Национального стандарта "Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения" "Солар" подготовил совместно с Центром безопасности информации, опираясь на большой опыт последнего в разработке стандартов в сфере защиты информации. Со своей стороны, "Солар" привносит в проект многолетнюю экспертизу, сформированную на живом опыте защиты более 850 крупнейших коммерческих и государственных организаций, в том числе внедрения собственной DLP-системы. Разработка ГОСТ должна быть завершена до конца года — такие амбициозные сроки поддержаны регулятором и диктуются внешними обстоятельствами.
Чтобы сделать стандарт максимально объективным, полезным и понятным широкому кругу пользователей, его обсуждение ведется в формате экспертного сообщества с участием нескольких вендоров средств защиты от утечек, а также других заинтересованных сторон: компаний, которые их используют, экспертных и научных организаций и вузов. Кибербезопасность обозначена как национальный приоритет, и мы в "Соларе" ратуем за единство требований и подходов как стратегический драйвер развития отрасли. Мы рады, что к рабочей группе и экспертному сообществу присоединились наши коллеги, имеющие ценнейший опыт, наработанные практики и профессиональное видение борьбы с киберугрозами".
"Взломали "Госуслуги" и взяли кредит". Кто сливает личные данные россиян
В рамках проекта эксперты стремятся доработать нормативную базу, ввести единую терминологию и закрепить роли и функции подразделений, вовлеченных в процессы защиты от утечек.
Что дальше?
Утверждение стандарта, как рассчитывает "Солар" и другие участники экспертного сообщества, позволит закрепить в правовом поле понятие утечки данных из программной среды как угрозу безопасности информации в критических системах. Однако это не самоцель.
Следующим шагом станет разработка методического документа, который ответит на вопрос — как именно организовывать те процессы, которые описаны в ГОСТе. Он раскроет конкретные практические вопросы защиты от утечек на уровне организации. Также важно согласовать и формализовать перечень функций ПО, необходимого для защиты информации, и технические требования к средствам защиты от утечек. "Солар" с поддержкой экспертного сообщества планирует выходить к регулятору с предложениями для разработки такого документа.
Все предложения и документы, которые станут логическим продолжением разработки ГОСТ, также предполагается предварительно обсуждать в формате экспертного сообщества. Эта комплексная совместная работа профессионалов ИБ и заинтересованных сторон нацелена на зрелый и системный подход к развитию средств защиты.
Разработка Национального стандарта "Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения", инициированная ГК "Солар" — первый и основополагающий этап решения назревшей проблемы стандартизации терминов и общих подходов к защите от утечек, основанных на лучших мировых практиках и отражающей реальные задачи, стоящие перед службами кибербезопасности.
Обсудить
Рекомендуем