Донецкий техникум промышленной автоматики

Захист персональних даних: проблеми і рішення

  1. архітектура
  2. захист
  3. базові інструменти
  4. Захист від витоків
  5. Захист по-великому
  6. Як захиститися від витоків

Нові закони мають певний вплив як на ринок засобів ІТ, так і на пропоновані на ньому технологічні рішення. Наприклад, одним з найбільш впливових документів в області інформаційної безпеки до недавнього часу був закон «Про ЕЦП», настільки жорстко регламентував використання технології цифрового підпису, що багатьом клієнтам доводилося свідомо виходити з-під його дії, щоб використовувати засоби захисту, прийняті в усьому цивілізованому світі. Проаналізуємо, яким чином необхідність відповідності з федеральним законом «Про персональні дані», що вступає в чинності 1 січня 2010 року, вплине на ринок інформаційної безпеки і що ІТ-компанії будуть змушені зробити, щоб йому відповідати.

архітектура

В будь-якій інформаційній системі сучасної компанії завжди присутні персональні дані: телефонні книги, відомості бухгалтерської звітності, списки співробітників і т.п.
Відповідно до закону всі ці дані повинні бути тепер захищені, проте для цього можна використовувати різні рівні захисту. Підзаконні акти Федеральної служби з технічного та експортного контролю РФ і ФСБ виділяють чотири категорії персональних даних (К4-К1) - від знеособлених до найбільш цінних для індивіда (відомості про здоров'я, релігійних поглядах або особливості особистого життя). Дані найвищої категорії, що надаються до Пенсійного фонду, є в будь-якої компанії (відомості про зарплату з зазначенням ПІБ, відомості про соціальне становище співробітника, наявність інвалідності, сімейний стан, кількість дітей і ін.).

Чим вище категорія персональних даних, тим складніші механізми потрібні для їх захисту. Для найнижчої категорії - К4 - досить забезпечити тільки цілісність даних, причому підбір технологічних рішень залишається на совісті компанії. Дані категорії К1 необхідно в тому числі, захистити від витоків по візуальним і звуковим каналам, а також по побічному електромагнітному випромінюванню, що організувати досить складно, оскільки буде потрібно спеціальне приміщення та комп'ютерне обладнання, а використовувані для захисту рішення повинні мати відповідні сертифікати ФСТЕК і ФСБ. Останнє відомство контролює використання криптографії, однак без шифрування в системі такого рівня навряд чи вдасться обійтися. До того ж при використанні сертифікованих ФСБ криптобібліотеки потрібно ще мати висновок на коректність їх вбудовування в продукт.

Істотні відмінності у вимогах захисту персональних даних для різних категорій інформації неминуче приведуть до необхідності вносити зміни в існуючі архітектури ІТ-систем, проте це відносно просто виконати лише для невеликих баз даних, але не для всієї системи цілком. Як наслідок, компаніям доведеться виділяти окремі системи, що відповідають за роботу з персональними даними високих категорій, а для економії коштів захист решти інформації забезпечувати на інших, щодо недорогих конфігураціях. В результаті можуть знадобитися зміни архітектури в таких системах, як CRM, центри обробки телефонних викликів і т. Д., Які потребують винесення персональних даних контрагентів в окрему базу даних з високим рівнем захисту.

Архітектура рішення повинна дозволяти виносити персональні дані не тільки в окремий сегмент мережі, а й взагалі в зовнішнє компанію, оскільки, швидше за все, захистом цих баз будуть займатися спеціалізовані компанії, які мають необхідний набір ліцензій на розробку, продаж і надання послуг в області шифрування. Можливо, що організації просто не захочуть самостійно виконувати вимоги закону і підзаконних актів, а передаватимуть захист своїх даних на аутсорсинг. При цьому використовуються в компаніях програмні продукти, такі як CRM, телефонні довідники та т. Д., Які містять персональні дані клієнтів і партнерів, швидше за все, доведеться модифікувати.

Втім, зараз з'являються вітчизняні продукти, які не потребують зміни додатків, наприклад рішення eToken SafeData компанії Aladdin, яке здійснює захист СУБД шляхом вибіркового шифрування рядків і стовпців в таблицях. Однак необхідні механізми криптографічного захисту таблиць і окремих полів можуть бути передбачені й в штатних СУБД - їх тільки потрібно правильно налаштувати.

захист

Компанії, що збирають персональні дані, зобов'язані захищати зібрані відомості від модифікації та розголошення. За дотриманням нормативних вимог стежить «Роскомнадзор» - Федеральна служба з нагляду в сфері зв'язку, інформаційних технологій і масових комунікацій, ведуча реєстру операторів персональних даних (pd.rsoc.ru). Співробітники цього відомства можуть перевірити будь-яку компанію на дотримання вимог щодо захисту персональних даних - регулярними перевірками вони будуть займатися після 1 січня 2010 року, а поки реагують на скарги громадян. Якщо виявиться, що в компанії недостатньо дбають про захист персональних даних, то відомство має право вимагати від оператора в триденний термін виправити всі недоліки або знищити персональні дані. Щоб цього уникнути, краще заздалегідь подбати про класифікацію персональних даних та забезпечення їх захисту відповідно до вимог підзаконних актів.

Фактично підзаконні акти ФСТЕК і ФСБ вимагають від операторів побудови сучасної системи захисту з використанням антивірусних рішень, міжмережевих екранів, систем запобігання вторгнень, управління ідентифікацією користувачів і контролю доступу, шифрування, захисту від витоків, системи управління подіями безпеки та інших захисних механізмів, перерахованих в керівному документі ФСТЕК «Основні заходи щодо організації та технічного забезпечення безпеки персональних даних, які обробляються в інформаційних систе мах персональних даних ». Цей документ формулює загальну методику побудови захисту інформаційних систем і вимагає класифікувати дані, визначити їх місця зберігання, побудувати для них модель загроз і модель порушника і вже на основі цих даних вибирати засоби захисту, які могли б запобігти реалізації загроз з підготовленого списку. Розглянемо більш докладно список продуктів захисту і перелік запобігає ними загроз.

базові інструменти

Захист персональних даних можна забезпечити тільки в тій інформаційній системі, де зловмисник не може втрутитися в роботу її базових елементів - мережевих пристроїв, операційних систем, додатків і СУБД.

Антивіруси. Захист від вірусів є одним із засобів запобігання витоків конфіденційної інформації, в тому числі і персональних даних, - віруси, черв'яки і інші шкідливі програми часто займаються крадіжкою інформації та організують приховані канали витоку. Сучасні антивірусні рішення включають в себе не тільки сигнатурну захист, але і більш сучасні засоби, такі як поведінковий аналіз програм, екрани рівня додатків, контроль цілісності критичних для операційної системи даних і інші методи захисту робочих місць і серверів.

Міжмережеві екрани. Корпоративна мережа цілком і кожне окреме робоче місце повинні бути захищені не тільки від масових атак за допомогою вірусів, але і від цілеспрямованих мережевих атак. Для цього достатньо поставити систему блокування невикористовуваних мережевих протоколів і сервісів, що і робить міжмережевий екран. Часто до функціональності міжмережевих екранів додають і засоби організації віртуальних приватних мереж - VPN.

У деяких антивірусних рішеннях класу Internet Security (наприклад, «Лабораторії Касперського», Symantec, Eset, McAfee і Trend Micro) вже вбудовані персональні міжмережеві екрани, здатні фіксувати атаки з мережних протоколах і спроби мережевих черв'яків проникнути на захищає машину. Крім того, міжмережеві екрани повинні бути активовані на шлюзовому маршрутизаторі (такий функціонал, як правило, мається на мережевих пристроях), що дозволить створити так звану демілітаризовану зону (DMZ) для зовнішніх Web-додатків і систем електронної пошти. Власне, в DMZ, для доступу до якої в межсетевом екрані використовуються більш жорсткі правила, розміщуються мережеві ресурси, доступні ззовні, і захисні механізми для них.

Системи запобігання вторгнень. Системи запобігання вторгнень (Intrusion Prevention System, IPS) встановлюються в розрив мережі і служать для виявлення в поточному трафіку ознак нападу і для блокування виявленої найбільш популярною атаки. На відміну від шлюзових антивірусів, IPS аналізують не тільки вміст IP-пакетів, але і використовувані протоколи і коректність їх використання. Спектр атак, від яких можуть захистити системи запобігання вторгнень, трохи ширше, ніж у шлюзових антивірусів. Системи IPS виробляють як компанії, що спеціалізуються на мережевий захист, такі як Check Point і McAfee (продукт Network Security Platform), так і виробники мережевого обладнання д-ня - Juniper і Cisco.

Сканери вразливостей. До загальних засобів захисту відносяться також сканери вразливостей, які перевіряють інформаційну систему на наявність різних «проломів» в операційних системах і програмному забезпеченні. Як правило, це окремі програми або пристрою, що тестують систему шляхом посилки спеціальних запитів, що імітують атаку на протокол або додаток. Найбільш популярними продуктами цього класу є MaxPatrol, сімейство продуктів IBM ISS, Symantec і McAfee (Vulnerability Manager). Втім, зараз з'являються пасивні сканери, які просто контролюють мережевий трафік і виявляють в ньому наявність тих чи інших ознак вразливості. Такі сканери тільки з'явилися і ще не завоювали досить велику частку ринку. Сканери вразливостей можна використовувати для проведення внутрішнього аудиту захисту, який передбачений у вимогах ФСТЕК.

Згадані засоби захисту є загальними для всієї мережі і не пов'язані безпосередньо із захистом власне персональних даних, однак у вимогах ФСТЕК їх наявність спеціально обмовляється, тому ці базові засоби повинні бути у кожного оператора персональних даних, причому навіть для мінімального рівня К4, де вибір засобів захисту надається самому оператору.

Захист від витоків

Набір засобів для захисту конфіденційних даних від витоків знаходиться зараз в стадії формування. Є три класи таких продуктів: системи контролю над периферійними пристроями, системи захисту від витоків (Data Leak Prevention, DLP) і засоби шифрування, причому кожен з виробників вважає, що саме його продукт захищає від витоків. Швидше за все, для повної безпеки має сенс поєднувати всі три типи продуктів, але поки таких комплексних рішень на ринку немає. Продукти для запобігання витоку конфіденційної інформації можна використовувати не тільки для захисту персональних даних, а й для запобігання розголошенню будь-яких критичних для роботи підприємства відомостей. За допомогою цих коштів компанія може не тільки формально задовольнити вимоги ФСТЕК по захисту персональних даних, а й попутно вирішити завдання щодо захисту інших видів конфіденційної інформації.

Контроль над пристроями. Нерідко витік даних відбувається через знімні носії інформації і несанкціоновані канали зв'язку: флеш-пам'ять, USB-диски, Bluetooth або Wi-Fi, тому контроль за використанням USB-портів і іншого периферійного обладнання також є одним із способів контролю витоків. На ринку є кілька рішень цього класу, наприклад від компаній SmartLine і SecureIT.

DLP. Системи захисту від витоків дозволяють за допомогою спеціальних алгоритмів виділити з потоку даних конфіденційні і заблокувати їх несанкціоновану передачу. У DLP-системах передбачені механізми контролю різноманітних каналів передачі інформації: електронної пошти, миттєвих повідомлень, Web-пошти, друку на принтері, збереження на знімному диску і ін. Причому модулі DLP блокують витік тільки конфіденційних даних, оскільки мають вбудовані механізми для визначення того, наскільки та чи інша інформація є секретною.
У цьому випадку використовується три технології: за ключовими словами і регулярними виразами, за відбитками еталонних конфіденційних документів або по мітках секретності. Продукти різних виробників до недавнього часу використовували один з цих методів, проте останнім часом ведуться розробки комплексного механізму контролю конфіденційності, який використовував би кілька перерахованих методів.

Шифрування. Захист даних від витоків так чи інакше використовує механізми шифрування, а ця галузь завжди контролювалася ФСБ, і всі вимоги по сертифікації систем шифрування публікуються і перевіряються цим відомством. Слід зазначити, що шифрувати потрібно не тільки самі бази персональних даних, а й їх передачу по мережі, а також резервні копії баз даних. Можна використовувати механізми шифрування, вбудовані в бази даних, однак для їх законного застосування потрібно інтегрувати в них російські алгоритми шифрування, що не завжди можливо, тому деякі російські компанії розробляють власні продукти, зокрема вже згадуваний продукт Aladdin eToken SafeData. Втім, для захисту персональних даних можна шифрувати цілі розділи файлової системи, які використовуються для зберігання даних, такі рішення пропонуються в Росії декількома компаніями. Найбільш активні в цій сфері Aladdin, SecureIT, InfoWatch і «Физтех-Софт», однак на великих базах даних продукти цих компаній можуть сильно уповільнювати продуктивність, тому для них можна або використовувати спеціалізовані продукти, або виділяти їх в окремі бази, які шифруються окремо.

Шифрування використовується і при передачі персональних даних через мережу в розподіленої системі. З цією метою можна застосовувати пропоновані різними розробниками продукти класу VPN, які, як правило, базуються на шифруванні, однак подібні системи повинні бути сертифіковані і тісно інтегровані з базами даних, в яких зберігаються персональні дані.

RMS (Right Managemеnt System). Системи даного класу базуються на алгоритмах шифрування, однак керують не процесом шифрування документів, а ключами дешифрування. Ці ключі зберігаються на центральному сервері системи, і доступ до них дозволяється після проходження процедури суворої аутентифікації користувача, що означає - розшифрувати документ може тільки той користувач, у якого є на це права. Рішення класу RMS пропонують поки в основному зарубіжні компанії - Microsoft (Microsoft RMS), Oracle (Oracle IRM) і ряд інших, тому при використанні в російських умовах цих продуктів можуть виникнути проблеми з сертифікацією в ФСБ. Крім того, в існуючих продуктах права доступу до ключів визначають автори документів, що не дозволяє захиститися від внутрішніх загроз, як це робиться в DLP-системах. Тому поки системи RMS не отримали належного поширення в якості засобів захисту від витоків інформації.

Перераховані продукти запобігають витоку в тому числі і персональних даних, хоча їх можна використовувати і для захисту іншої критичної для компанії інформації, проте слід пам'ятати, що для виконання вимог закону «Про персональні дані» треба користуватися сертифікованими засобами захисту і при їх установці слід перевірити наявність сертифіката ФСТЕК, а на засоби шифрування
і сертифіката від ФСБ.

Захист по-великому

Слід зазначити, що в підзаконних актах ФСТЕК є поділ на невеликі, середні та розподілені бази даних, вимоги до захисту яких сильно розрізняються. Так, для захисту розподілених баз, як правило, потрібні додаткові інструменти захисту, що й зрозуміло - розподілена база повинна мати канали зв'язку між своїми частинами, які також необхідно захищати. Взагалі, для захисту великих інформаційних систем є кілька продуктів, що дозволяють централізовано контролювати великі установки захисних продуктів.

Управління правами доступу. У Великій інформаційній сістемі головного проблемою.Більше для адміністратора є правильна організація доступу співробітніків до різніх ресурсов - від коректного налаштування прав доступу частина покладу Збереження конфіденційніх Даних, тому система управління правами доступу винна буті включена в систему захисту Великої інформаційної системи. Така система зазвічай дозволяє ввести Рольова управління правами доступу и Контролює Дотримання ціх прав. Система такоже блокує Спроба Изменить права доступу без Дозволу адміністратора безпеки, что Забезпечує захист від локальних адміністраторів. Типова представник цього сімейства продуктів є Oracle IAM и IBM Tivoli Access Manager, но можна назваті такоже и McAfee Unified Secure Access Solution. Слід зазначити, що методика захисту персональних даних передбачає управління правами доступу в системах будь-яких розмірів, що обробляють таку інформацію, однак у невеликих базах даних досить ручного управління правами доступу.

Кореляція подій. Велика система захисту може генерувати безліч повідомлень про потенційних нападах, які лише потенційно здатні призвести до реалізації тієї чи іншої загрози. Часто такі повідомлення є лише попередженнями, проте у адміністраторів безпеки великої системи повинен бути інструмент, який дозволив би їм розібратися в суті того, що відбувається. Таким інструментом аналізу може стати система кореляції подій, що дозволяє зв'язати кілька повідомлень від пристроїв захисту в єдиний ланцюг подій і комплексно оцінити небезпеку всього ланцюжка. Це дозволяє привернути увагу адміністраторів безпеки до найбільш небезпечним подіям. Прикладами подібних систем є Cisco MARS або netForensics, однак аналогічні модулі є і в Tivoli Security Operations Manager (TSOM).

Управління безпекою. Системи централізованого управління захисними механізмами дозволяють повністю контролювати всі події, пов'язані з безпекою інформаційної системи. Продукти цього рівня можуть виявляти захисні механізми, встановлені на підприємстві, управляти ними і отримувати від них звіти про події, що відбуваються. Ці ж продукти можуть автоматизувати рішення найбільш простих проблем або допомагати адміністраторам швидко розібратися в складних атаках. Це, наприклад, вже названий IBM TSOM, LANDesk Security Suite або McAfee Network Security Manager.

Всі перераховані продукти не є обов'язковими для захисту великих інформаційних систем, однак вони дозволяють автоматизувати більшість завдань, що вирішуються адміністраторами безпеки, і мінімізувати кількість співробітників, необхідних для захисту великої системи.

***

Фактично закон «Про персональні дані» вимагає від компаній - учасників ринку інформаційної безпеки побудови сучасної системи захисту, яка може стати в нагоді не тільки для збереження персональних даних, а й для повного контролю за всієї інформаційної системою, запобігання витоків конфіденційної інформації або інших видів таємниць, запобігання виведення з ладу найбільш важливих частин інформаційної системи. Оскільки в тій чи іншій формі персональні дані є у всіх компаній, цей закон можна сприймати як вимоги держави по інформаційному захисті будь-якого виду діяльності і не слід ігнорувати вимоги цього закону. До того ж більшість компаній вже виконали частину роботи по захисту персональних даних, так як неможливо користуватися Мережею без установки будь-якого антивіруса і брандмауера.

Однак дотримання всіх вимог закону, а точніше підзаконних актів чиновників з ФСТЕК і ФСБ, може виявитися справою досить складним, впоратися з яким компанії до 1 січня 2010 року, схоже, не зможуть. На цьому грунті відкривається велике поле діяльності для підприємств, здатних оперативно побудувати корпоративну систему захисту інформації та підготувати необхідний пакет документів для перевіряючих органів. Іншим варіантом вирішення проблеми відповідності закону «Про персональні дані» є передача функції захисту персональних даних стороннім організаціям, і такі компанії-аутсорсера вже починають з'являтися в Росії. Проте цей варіант може бути пов'язаний зі зміною ІТ-архітектури та потребує часу
і додаткових витрат.

Валерій Коржов ( [email protected] ) - оглядач Computerworld Росія (Москва).

Як захиститися від витоків

В табліці наведені методи захисту конфіденційної інформації, з яких перші п'ять забезпечують поодинокі сценарії захисту конфіденційних даних від витоку, а підхід 6 дозволяє отримувати фінансово значущий результат вже в перші тижні після впровадження системи. Підхід 7 вимагає копіткої впровадження та налагодження (від одного до трьох років). Підходи 8-10 доповнюють DLP-системи за рахунок зниження ризиків витоку в результаті крадіжки / втрати ноутбуків або дисків. Підходи 11-12 в тій чи іншій мірі використовуються у всіх компаніях і можуть побічно вплинути на зниження ризиків витоку інформації.

термінальні рішення

Серйозну проблему для захисту персональних даних представляють сучасні децентралізовані інформаційні системи - виконати вимоги захисту для всіх персональних комп'ютерів набагато складніше, ніж для окремих серверів. Тому одним з можливих варіантів зниження складності проекту по захисту персональних даних є впровадження класичного термінального рішення, в якому дані не залишають меж сервера, а на робочі місця користувачів встановлюються бездискові термінальні станції.

Одним з можливих варіантів побудови подібної системи є рішення, розроблене спільно компаніями Sun Microsystems і «Свемел», що складається із захищеного сервера з операційною системою «Циркон-10», сервера термінального доступу «Циркон-Т», а також набору терміналів Sun Ray 2, Sun Ray 2FS або Sun Ray 270, вироблених компанією Sun за технічними вимогами «Свемел». Операційна система «Циркон-10» являє собою спеціалізовану версію ОС Solaris 10 з вбудованою системою захисту Trusted Extension, вихідні коди якої сертифіковані ФСТЕК на відсутність програмних закладок і надійність контролю доступу. Система може працювати як на платформі SPARC, так і на серверах x86, дозволяючи запускати весь набір додатків для Solaris 10.

Особливістю терміналів Sun Ray є аутентифікація користувачів за допомогою смарт-карт, що більш надійно, ніж паролі. При цьому канал зв'язку між терміналом і сервером також захищається за допомогою шифрування. Користувачі можуть з одного робочого місця працювати або з ресурсами захищеної або відкритої робочої середовища - вибір здійснюється за допомогою спеціальних смарт-карт. Таким чином, рішення «Свемел» дозволяє створити захищене середовище обробки персональних даних.