Проблемы защиты персональных данных

     Подобные  тенденции характерны не только для  России, но и для всех развитых государств, где ключевую роль в жизни общества играют средства информатизации и массовых коммуникаций. 

     По  характеру угроз мы наблюдаем  и количественное и качественное изменение, отмечаем появление новых  уязвимостей, способов и методов  хищения информации. Основную опасность, как и прежде, представляет кража  персональных данных. Все чаще мы видим, как причиной нарушения правил информационной безопасности становится халатность сотрудников, либо корыстный и преступный умысел. Подобные случаи опережают по своей массовости даже количество атак, в результате которых происходит внедрение в компьютер специальных программ и утечка данных через Интернет. Все также опасны и актуальны хакерские нападения, целью которых является несанкционированный доступ и взлом ресурсов с приватной информацией. 

     Таким образом, можно утверждать, что, как  и прежде – в 80% случаев источник утраты закрытой информации необходимо искать внутри самой организации. 

     Конечно, нельзя утверждать, что внутренние риски ИБ опаснее внешних. Однако налицо факт, что угроза со стороны  служащих компаний и организаций  сегодня вызывает гораздо больше беспокойства, чем вирусы, хакеры и  спам. Проблема здесь в том, что  от внутренних нарушителей нельзя защититься также легко, как, например, от вредоносных  программ с помощью антивируса. С  внутренними угрозами дело обстоит  гораздо серьезнее. Это комплексная, но вполне решаемая проблема.

     Использование различных систем для защиты от внутренних нарушителей становится все более  популярным. С другой стороны, не стоит  думать, что достаточно одноразовой  акции по быстрому затыканию дыр. Проблема в том, что к внутренним угрозам надо подходить комплексно. Техническими средствами взять под  контроль все каналы утечки, а административными  – ограничить доступ к тем, которые  контролировать невозможно. Необходимо уметь обходить такие препятствия  на пути внедрения защиты от утечки, как психологическая неготовность и бюджетные ограничения. Важно  сочетать административные меры с подготовкой  и воспитанием квалифицированного персонала, наряду с внедрением технологических  решений и стандартов.

     Характерным примером является случай с одним  из региональных филиалов одного крупного банка. Аппаратно-программный комплекс обработки счетов и платежей не был  соединен с Интернетом. Политика безопасности безупречна и соблюдалась безупречно. Однако, один из сотрудников вступил  в сговор с преступниками. Целью  их было получить доступ к базе данных владельцев расчетных счетов, провести операции по переводу денег, оперируя раскрытыми персональными данными, а затем, чтобы замести следы, планировалось уничтожить часть  клиентской базы, выдав это за сбой в работе системы. Недобросовестный сотрудник обеспечил физическое подключение одного из компьютеров  к Интернету, в результате чего преступники  попытались завладеть правами администратора на главном компьютере уже в локальной  сети банка. К счастью преступный замысел был вовремя обнаружен, и преступление удалось предотвратить. Однако, не всегда подобные случаи имеют  такой результат. О некоторых  инцидентах пользователи и сотрудники службы безопасности организации узнают только когда персональные данные похищены и использованы. 

     Представители исполнительной и законодательной  власти, общественных и коммерческих организаций не случайно уделяют  особое внимание вопросам утечки персональной информации. Все отчетливо осознают отрицательные последствия этих инцидентов: прямые финансовые убытки, подрыв репутации и, как следствие, потеря доверия населения государства.

     Ущерб от утечек и криминального оборота  персональных данных растет примерно на 20-25% в год. По некоторым оценкам  аналитиков в 2008 году одна лишь экономика США потеряла около 60 млрд. долларов вследствие утечек приватных сведений. В глобальном масштабе однозначно нельзя оценить общемировой ущерб от этих инцидентов. 

     Однако на фоне всех отрицательных тенденций есть сдвиги в правильном направлении. Растет число российских предприятий и организаций, уделяющих особое внимание проблемам информационной безопасности, внедряющих системы защиты от утечек, в целом применяющих комплексный подход в решении подобных задач.

2. Базовые инструменты защиты персональных данных для автоматизированных систем

       Защиту персональных данных можно  обеспечить только в той информационной  системе, где злоумышленник не  может вмешаться в работу ее  базовых элементов – сетевых  устройств, операционных систем, приложений и СУБД.

1. Антивирусы.

     Защита  от вирусов является одним из средств  предотвращения утечек конфиденциальной информации, в том числе и персональных данных, – вирусы, черви и другие вредоносные программы часто  занимаются воровством информации и  организуют скрытые каналы утечки. Современные антивирусные решения  включают в себя не только сигнатурную  защиту, но и более современные  средства, такие как поведенческий  анализ программ, экраны уровня приложений, контроль целостности критических  для операционной системы данных и другие методы защиты рабочих мест и серверов.

2. Межсетевые экраны.

     Корпоративная сеть целиком и каждое отдельное  рабочее место должны быть защищены не только от массовых атак с помощью  вирусов, но и от целенаправленных сетевых  атак. Для этого достаточно поставить  систему блокировки неиспользуемых сетевых протоколов и сервисов, что  и делает межсетевой экран. Часто  к функциональности межсетевых экранов  добавляют и средства организации  виртуальных частных сетей – VPN.

       В некоторых антивирусных решениях  класса Internet Security (например, «Лаборатории  Касперского», Symantec, Eset, McAfee и Trend Micro) уже встроены персональные межсетевые  экраны, фиксирующие атаки по  сетевым протоколам и попытки  сетевых червей проникнуть на  защищаемую машину. Кроме того, межсетевые экраны должны быть активированы на шлюзовом маршрутизаторе (такой функционал, как правило, имеется в сетевых устройствах), что позволит создать так называемую демилитаризованную зону (DMZ) для внешних Web-приложений и систем электронной почты. Собственно, в DMZ, для доступа к которой в межсетевом экране используются более жесткие правила, размещаются сетевые ресурсы, доступные извне, и защитные механизмы для них.

3. Системы предотвращения вторжений.

     Системы предотвращения вторжений (Intrusion Prevention System, IPS) устанавливаются в разрыв сети и служат для выявления в  проходящем трафике признаков нападения  и для блокировки обнаруженной наиболее популярной атаки. В отличие от шлюзовых антивирусов, IPS анализируют не только содержимое IP-пакетов, но и используемые протоколы и корректность их использования. Спектр атак, от которых могут защитить системы предотвращения вторжений, несколько шире, чем у шлюзовых антивирусов. Системы IPS производят как  компании, специализирующиеся на сетевой  защите, такие как Check Point и McAfee (продукт Network Security Platform), так и производители  сетевого оборудова-ния – Juniper и Cisco.

4. Сканеры уязвимостей.

     К общим средствам защиты относятся  также сканеры уязвимостей, которые  проверяют информационную систему  на наличие различных «брешей» в  операционных системах и программном  обеспечении. Как правило, это отдельные  программы или устройства, тестирующие  систему путем посылки специальных  запросов, имитирующих атаку на протокол или приложение. Наиболее популярными  продуктами этого класса являются MaxPatrol, семейство продуктов IBM ISS, Symantec и McAfee (Vulnerability Manager). Впрочем, сейчас появляются пассивные сканеры, которые просто контролируют сетевой трафик и выявляют в нем наличие тех или иных признаков уязвимости. Такие сканеры  только появились и еще не завоевали  достаточно большой доли рынка. Сканеры  уязвимостей можно использовать для проведения внутреннего аудита защиты, который предусмотрен в требованиях  ФСТЭК. 

       Упомянутые средства защиты являются  общими для всей сети и не  связаны непосредственно с защитой  собственно персональных данных, однако в требованиях ФСТЭК  их наличие специально оговаривается,  поэтому эти базовые средства  должны быть у каждого оператора  персональных данных, причем даже  для минимального уровня К4, где  выбор средств защиты предоставляется  самому оператору. 

5. Защита  от утечек

       Набор средств для защиты конфиденциальных  данных от утечек находится  сейчас в стадии формирования. Имеется три класса таких продуктов:  системы контроля над периферийными  устройствами, системы защиты от  утечек (Data Leak Prevention, DLP) и средства шифрования, причем каждый из производителей считает, что именно его продукт защищает от утечек. Скорее всего, для полной безопасности имеет смысл сочетать все три типа продуктов, но пока таких комплексных решений на рынке нет. Продукты для предотвращения утечек конфиденциальной информации можно использовать не только для защиты персональных данных, но и для предотвращения разглашения любых критических для работы предприятия сведений. С помощью этих средств компания может не только формально удовлетворить требования ФСТЭК по защите персональных данных, но и попутно решить задачи по защите других видов конфиденциальной информации.

       Контроль над устройствами. Нередко  утечка данных происходит через  съемные носители информации  и несанкционированные каналы  связи: флэш-память, USB-диски, Bluetooth или  Wi-Fi, поэтому контроль за использованием USB-портов и другого периферийного  оборудования также является  одним из способов контроля  утечек. На рынке имеется несколько  решений этого класса, например  от компаний SmartLine и SecureIT.

      DLP. Системы защиты от утечек  позволяют с помощью специальных  алгоритмов выделить из потока  данных конфиденциальные и заблокировать  их несанкционированную передачу. В DLP-системах предусмотрены механизмы  контроля разнообразных каналов  передачи информации: электронной  почты, мгновенных сообщений, Web-почты,  печати на принтере, сохранения  на съемном диске и др. Причем  модули DLP блокируют утечку только  конфиденциальных данных, поскольку  имеют встроенные механизмы для  определения того, насколько та  или иная информация является  секретной.

       В этом случае используется  три технологии: по ключевым словам  и регулярным выражениям, по отпечаткам  эталонных конфиденциальных документов  или по меткам секретности.  Продукты разных производителей  до недавнего времени использовали  один из этих методов, однако  в последнее время ведутся  разработки комплексного механизма  контроля конфиденциальности, который  использовал бы несколько перечисленных  методов. 

6. Шифрование.

     Защита  данных от утечек так или иначе  использует механизмы шифрования, а  эта отрасль всегда контролировалась ФСБ, и все требования по сертификации систем шифрования публикуются и  проверяются этим ведомством. Следует  отметить, что шифровать нужно  не только сами базы персональных данных, но и их передачу по сети, а также  резервные копии баз данных. Можно  использовать механизмы шифрования, встроенные в базы данных, однако для  их законного применения требуется  интегрировать в них российские алгоритмы шифрования, что не всегда возможно, поэтому некоторые российские компании разрабатывают собственные  продукты, в частности уже упоминавшийся  продукт Aladdin eToken SafeData. Впрочем, для  защиты персональных данных можно шифровать  целые разделы файловой системы, которые используются для хранения данных, такие решения предлагаются в России несколькими компаниями. Наиболее активны в этой сфере Aladdin, SecureIT, InfoWatch и «Физтех-Софт», однако на больших базах данных продукты этих компаний могут сильно замедлять производительность, поэтому для них можно либо использовать специализированные продукты, либо выделять их в отдельные базы, которые шифруются отдельно.

       Шифрование используется и при  передаче персональных данных  по сети в распределенной системе.  С этой целью можно применять  предлагаемые различными разработчиками  продукты класса VPN, которые, как  правило, базируются на шифровании, однако подобные системы должны  быть сертифицированы и тесно  интегрированы с базами данных, в которых хранятся персональные  данные. 

       Перечисленные продукты предотвращают  утечки в том числе и персональных  данных, хотя их можно использовать  и для защиты другой критической  для компании информации, однако  следует помнить, что для выполнения  требований закона «О персональных  данных» надо пользоваться сертифицированными  средствами защиты и при их  установке следует проверить  наличие сертификата ФСТЭК, а  на средства шифрования

     и сертификата от ФСБ. 

7. Управление  правами доступа.

     В автоматизированной системе главной проблемой для администратора является правильная организация доступа сотрудников к различным ресурсам – от корректной настройки прав доступа часто зависит сохранность конфиденциальных данных, поэтому система управления правами доступа должна быть включена в систему защиты крупной информационной системы. Такая система обычно позволяет ввести ролевое управление правами доступа и контролирует соблюдение этих прав. Система также блокирует попытки изменить права доступа без разрешения администратора безопасности, что обеспечивает защиту от локальных администраторов. Типичными представителями этого семейства продуктов являются Oracle IAM и IBM Tivoli Access Manager, но можно назвать также и McAfee Unified Secure Access Solution. Следует отметить, что методика защиты персональных данных предполагает управление правами доступа в системах любых размеров, обрабатывающих такую информацию, однако в небольших базах данных достаточно ручного управления правами доступа.