[Информационная безопасность, Законодательство в IT] Теперь каждую ИСПДн нужно подключать к SOC?

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
19-Янв-2021 12:30


Наверное, многие из вас видели в конце декабря 2020 года в СМИ заголовки вроде «Подписано около 100 новых законов» и возможно даже читали подборки изменений новых правил из различных сфер жизни, вступающих в силу с 1 января 2021 года. Одним из таких подписанных документов был Федеральный закон от 30.12.2020 №515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности». Казалось бы – как связаны оперативно-розыскная деятельность, любая ИСПДн (информационная система персональных данных) и SOC (Security Operation Center)?Дело в том, что этим законом, в том числе, были внесены изменения в пункт 6 части 2 статьи 19 Федерального закона №152-ФЗ «О персональных данных» и теперь этот пункт выглядит так:2. Обеспечение безопасности персональных данных достигается, в частности:6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них; (жирным шрифтом выделено новое).А разве раньше не нужно было выявлять компьютерные инциденты и реагировать на них в ИСПДн?За техническую сторону требований 152-ФЗ отвечает приказ ФСТЭК России от 18.02.2013 г. №21, где в приложении есть подходящая мера с индексом «РСБ.5»: Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них.Нестыковка здесь в том, что эта мера, по мнению ФСТЭК, является базовой (читай – обязательной) для ИСПДн первого и второго уровней защищенности (самых высоких). А большинство обычных «1С-ок» небольших предприятий является, как правило, ИСПДн четвертого уровня защищенности. Да и достаточно крупные ИСПДн (содержащие персональные данные более 100 000 субъектов) часто классифицируются по третьему уровню защищенности (если там не содержится специальных категорий персональных данных, например, сведений о здоровье).То есть получается, что большая часть ИСПДн из под обязательных требований организации выявления компьютерных инцидентов и реагирования на них выпадала, но сейчас это требование внесли в Федеральный закон, который в иерархии руководящих документов выше приказа ФСТЭК.Так что же это, теперь любой мелкий предприниматель, ведущий excel-базу своих 10 сотрудников и 20 клиентов должен организовывать у себя SOC или подключаться к внешнему? Давайте разберемся.Обнаружение компьютерных атак это только SOC?На самом деле в том варианте, в котором это сформулировано в законодательстве – не обязательно, если ориентироваться на чисто формальный подход. Что такое SOC? Если коротко, то это набор неких технических решений для регистрации событий в пределах контролируемой зоны.  Чаще всего представлена в виде анализатора событий (логов) из различных источников, их хранения и корреляции на основе заранее заданных правил (SIEM-системы) плюс персонал первой, второй и третьих линий, обрабатывающих «пойманные» SIEM-системами инциденты.Но в законодательстве, что в ФЗ, что у ФСТЭК нет прямого указания ни на SIEM-системы, ни на корреляцию событий безопасности, ни на штат упомянутых выше специалистов. В 152-ФЗ это «обнаружение компьютерных атак», а по ФСТЭК «мониторинг (просмотр, анализ) результатов регистрации событий безопасности». Ну и конечно «реагирование на них» (на атаки и события соответственно). Как показывает наш опыт, самая сложная задача в этом деле это все-таки обнаружение компьютерного инцидента (если это конечно не что-то типа WannaCry, который сразу кричит о себе с экранов мониторов), а уж реагирование в каком-либо виде в любом случае последует.К вопросу о менее заметных невооруженным глазом инцидентах. На днях получили запрос о помощи в ликвидации последствий инцидента и дальнейшем сопровождении информационной безопасности от одной коммерческой организации, которой выписало предписание ФСБ России. Предписание выдано за то, что в этой организации поймали ботнет, который в свою очередь уже атаковал объект критической информационной инфраструктуры в другом регионе России. Предписано устранить нарушения, а ответственный за ИБ получил административку по ч. 6 ст. 13.12 КоАП РФ.Кстати, формулировка ФСТЭКа, еще усугубляется мерами РСБ.1 и РСБ.2 (которые уже являются обязательными для ИСПДн всех уровней защищенности), согласно которым оператор персональных данных сам определяет состав событий безопасности, подлежащих регистрации и сроки их хранения.Таким образом, если стоит задача «отбрехаться от проверки», то тот самый мелкий предприниматель может во внутренних документах установить состав регистрируемых событий безопасности:
  • срабатывания антивируса;
  • записи о неудачных входах в систему.
Как обнаруживаем атаки? Сисадмин приходит раз в неделю и смотрит эти события «глазами». Нашел что-то подозрительное? Реагируем! Формально требование выполняем? Выполняем. Фактически мера работает? Конечно же, - нет. Да и чего греха таить, скорее всего, сисадмин даже раз в неделю эти самые события не смотрит. Если к вопросу обнаружения атак подходить не с формальной стороны, то быстро становится понятно, что двух источников явно недостаточно. В полноценной информационной системе для того, чтобы выловить хоть какие-то инциденты информационной безопасности, нужно анализировать события как минимум со следующих источников:
  • операционные системы (Windows Event Log, Syslog);
  • служба каталогов (Windows Event Log);
  • антивирусы;
  • «умные» межсетевые экраны (NGFW, UTM, WAF);
  • системы обнаружения и предотвращения вторжений.
В этом нам поможет SIEM-система. Но дальше встает вопрос – кто будет эту систему обслуживать, кто будет писать и улучшать корреляции, чтобы снизить ложноотрицательные и ложноположительные срабатывания, кто будет разбирать выявленные инциденты? Правильно, специалисты, а SIEM+специалисты=SOC как ни крути.Как будут действовать регуляторы (пока что предположения)Как мы знаем, в сфере защиты персональных данных у нас три основных регулятора – Роскомнадзор, ФСТЭК и ФСБ. И если от первых как раз и вполне вероятно отбрехаться по приведенной выше схеме от нового требования 152-ФЗ, поскольку они проверяют больше юридическую сторону вопроса, то от вторых и третьих уже вряд ли получится.В силу свежести нового требования нельзя точно говорить о какой-то практике проверок и правоприменения, связанных с ним. Но что мы точно можем сказать по своему опыту, со стороны ФСТЭК и ФСБ взят курс на смещение акцентов с «бумажной» информационной безопасности в сторону реальной.Что касается негосударственных организаций, то ФСТЭК все еще вряд ли туда придет проверять вопросы защиты персональных данных. Еще пару лет назад, мы бы сказали то же самое и про ФСБ, но в последние годы у нас было несколько кейсов проверок организаций, никак не связанных с государством этим регулятором. Так что быть в курсе последних изменений в законодательстве не помешает.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_zakonodatelstvo_v_it (Законодательство в IT), #_152fz (152-фз), #_personalnye_dannye (персональные данные), #_zaschita_informatsii (защита информации), #_soc, #_monitoring_sobytij_bezopasnosti (мониторинг событий безопасности), #_blog_kompanii_informatsionnyj_tsentr (
Блог компании Информационный центр
)
, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_zakonodatelstvo_v_it (
Законодательство в IT
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 13:04
Часовой пояс: UTC + 5