ПОИСК
ВЫБЕРИТЕ НОМЕР
         
Показать все
статьи из этой
рубрики
Показать все
статьи этого
автора
Показать все
статьи по этой теме
НАШИ ИЗДАНИЯ
Connect! Мир Связи
Каталог-справочник
НАШИ ПРОЕКТЫ
Наши авторы о важном
СОТРУДНИЧЕСТВО
Выставки и конференции
Connect Conferences
РЕКЛАМА



Яндекс Цитирования





Rambler's Top100 Rambler's Top100


Круглый стол
Сетевая безопасность персональных данных   Сергей Рябко

Счастье привалило?
Сергей РябкоЕсли вы читаете эту статью, то почти наверняка принадлежите к авангарду пятимиллионной армии счастливых операторов персональных данных, взявших на себя заботу защитить права граждан, дарованные нам в статье 23 Конституции Российской Федерации, ФЗ №152 и в прочих, регулирующих исполнение этих высоких документов, нормативных актах. Поздравляю вас и выражаю глубочайшее почтение вашему решению.
Поскольку, предполагаю, вы, как и большинство участников рынка, в некотором замешательстве размышляете, как вам наилучшим образом выполнить этот гражданский долг, постараюсь вам помочь, чем смогу, исходя из возможностей, предоставляемых понятными мне технологиями.
В статье этой я практически не могу уделить внимание технике. Если вас интересует именно она - отошлю вас к справочной архитектуре системы сетевой безопасности ИСПДн [1]. Я же постараюсь помочь вам тезисами относительно постановки задачи и, главное, последующей защиты достигнутого вами результата.

Этапы большого пути
Чтобы построить систему защиты ИСПДн, вам, в соответствии с общепринятым технологическим циклом, следует выполнить этапы:
* разработки требований и спецификаций;
* проектирования и внедрения системы безопасности ИСПДн;
* ее аттестации.
Регулирование несколько расширяет и конкретизирует содержание работ по традиционным этапам.
Чтобы сформулировать требования, вам необходимо инвентаризовать и классифицировать ваши персональные данные. Если вы затрудняетесь сделать это самостоятельно - посоветуйтесь с кем-нибудь из профильных системных интеграторов. Они первыми сориентировались в обстановке, и найти внятного партнера вам не составит труда.
Относительно классификации ПДн рекомендую следующее.
Совет 1. По возможности не завышайте классификацию ПДн. Для системы более низкого класса вы с большей честью выполните свой гражданский долг, и обойдется это вам дешевле. В некоторых случаях техническая реструктуризация вроде "обезличивания ПДн" может потребовать меньших затрат, чем организация защиты.
Совет 2. Если вы, паче чаяния, подпадаете под высокую классификацию ИСПДн (К2 или даже К1) - не торопитесь распространить эту классификацию на всю свою информационную систему. Постарайтесь сузить защищаемое пространство, выделив подсистему обработки высококритичных данных.
Хорошо, класс ИСПДн вы определили. Из него вытекают требования регуляторов по применению соответствующих заданному классу ПДн механизмов безопасности (их не следует путать с техническими требованиями - это будет следующий уровень конкретизации).
Совет 3. Определяйте требования по защите системы исходя из задачи ее аттестации. Приступайте к формированию технических требований только после того, как составили перечень чисто формальных аттестационных показателей.
Совет 4. Если позволяют финансы, обеспечьте сквозной цикл проектирование - внедрение - аттестация. Получите целостную ответственность исполнителя за конечный результат и наверняка сэкономите.
Следующий шаг разработки ТЗ на защиту ИСПДн - модель угроз. Задача эта не столь сложная, но если вы не очень в себе уверены, то лучше посоветоваться с профильными специалистами.
Совет 5. Постарайтесь рационализировать перечень угроз, исключая отвлеченные угрозы. Помните, что у вас есть святое право принимать риски, юридически это вполне адекватная мера защиты информации.
Совет 6. В соответствии с документом [2] не пренебрегайте в документе "Модель угроз" разделом "Модель нарушителя информационной безопасности". Перечень угроз, не показывающий, кто нападает (нарушитель), на что нападает (ну тут мы, слава Богу, уже определились с классом ПДн) и как нападает (метод реализации угрозы - канал атаки,  непродуктивен. Понятие "атака" также весьма ценно при чисто техническом анализе в процессе проектирования системы защиты, причем в сети необходимо анализировать как логический, так и топологические аспекты понятия "канал атаки".
Совет 7. Отстоять и принятие риска, и ограничения модели угроз перед регулятором (даже перед заинтересованным в заработке системным интегратором) не всегда просто. На этот случай помните, что у вас есть спасательный круг в виде формулы "... обеспечивается организационными мерами". Но не злоупотребляйте: если уж записали оргмеры, то подумайте о том, чтобы они реализовывались и были действенными.
Кстати. Описанная в Совете 7 "отмазка" организационными мерами - не всегда то, что вам нужно. Помните, часто техника оказывается дешевле оргмер.
Совет 8. Оцените стоимость и организационного, и технического решений. При этом не попадитесь в ловушку "цены железа". Весьма значительны могут быть затраты на эксплуатацию, техническое сопровождение и сопутствующие услуги, типа подписки на сигнатуры вирусов, атак, обновлений ПО. Заклинание против этих демонов называется "расчет совокупной стоимости владения". Пользуйтесь им.
Однако помните, что с этим заклинанием опытные люди делают чудеса. Как в вашу пользу - чтобы застраховать ваши риски, так и не в вашу пользу. Часто вам "впаривают" дорогой товар, утешая, что "совокупная стоимость владения при этом на 40% ниже, чем у конкурентов". При этом, конечно, прилагается расчет. Беда, правда, в том, что у конкурента на столе лежит точно такой же, но в его пользу... Или наоборот: показывают вам ничтожную цену товара, типа "подключение бесплатно!", умалчивая, что входящая в стоимость владения цена подписки влетит в копеечку.
Проблема в том, что финансовой службе нормального оператора персональных данных может быть непосильно проверить каббалу жреца, рассчитавшего вам совокупную стоимость владения защитой. Тем более что волхв еще и не сам все придумал, а тщательно все запутал, используя священные книги Гартнера и иже с ним. Если вам, крепкому хозяйственнику, подозрительны обоснования в терминах совокупной стоимости владения, то прислушайтесь к следующим рекомендациям.
Совет 9. Позовите жреца из конкурирующей конфессии. Заплатите ему малую толику за критическое толкование каббалы. Это не грех измены, а старый добрый принцип, в том числе информационной безопасности: "доверяя, проверяй многократно". Потратите немного, но либо убедитесь, что вы таки попали на сумму, близкую к обозначенной, либо получите аргументацию для торга и сэкономите.
Ну, положим, первый этап пройден. Переходим к проектированию.

Таинство творения
Система защиты ИСПДн [3] должна включать ряд подсистем. Разберемся, каков вклад в них технологий сетевой защиты.
* Подсистема управления доступом. Контроль доступа - понятие комплексное. Задачи контроля доступа решаются средствами прикладного уровня, операционной системы и сетевой инфраструктуры. Начать следует с приложения, но
Совет 10. Если приложения не имеют встроенной защиты или средства защиты, предлагаемые приложением, операционной системой не сертифицированы (что приведет к их заниженной оценке при аттестации системы), то у вас в запасе имеется понятие "доверенная среда обработки персональных данных". Такую среду можно обеспечить средствами сетевой защиты.
Совет 11. Сетевая инфраструктура сама по себе является весьма эффективной системой контроля доступа. Ее следует использовать для построения зон обработки критичных данных и для отделения их от прочих областей сети.
Совет 12. Сегментируя сложную и иерархическую ИСПДн, придерживайтесь такой модели, чтобы каждый изолированный сегмент можно было аттестовать как "многопользовательск




Заказать полную PDF-версию свежего номера Connect!



Показать все статьи по теме Информационная безопасность

Поставьте свою оценку:
   1   2   3   4   5   

< Предыдущая статья

  
Следующая статья >

НАШИ ПРОЕКТЫ
ПРОСМОТР ПО ТЕМАМ
IP-телефония
Беспроводная связь
Бизнес-аналитика
Биллинг и OSS/BSS решения
Видеоконференцсвязь
Измерительная техника
Инфокоммунникации регионов
Информационная безопасность
ИТ-услуги
КИС (Корпоративные информационные системы)
Контакт-центры
КСПД (Корпоративные сети передачи данных)
Мобильная связь
Облачные технологии
Профессиональная радиосвязь
Серверные решения
Системы бесперебойного питания
Системы хранения данных
Ситуационные центры
Спутниковая связь
УПАТС
Фиксированная связь
Цифровое телевидение
TOP 20 СТАТЕЙ
Роль государства в обеспечении информационной безопасности
Консолидация телекоммуникационных ресурсов отраслей топливно-энергетического комплекса
Реквием по SoftSwitch
Трехсайтовая архитектура – реальная защита от катастроф
В Тулу за кальяноваром, или Что такое адаптивный call-центр
Ненадежность IP-телефонии: мифы и реальность
Четвертым будешь?
Путеводитель по рынку OSS-решений
В жизни все бывает, поэтому сделайте резервную копию…
Оптимизация энергопотребления в современном ЦОД
VSATизация России – промежуточные итоги
Современные программные телефоны
Аккумуляторные батареи для современных ИБП
Особенности информатизации телекоммуникационных компаний в России
Отечественные производители телекоммуникационного оборудования
Проблемы нормативно-правового, организационно-технического и программного обеспечения защиты информационных систем
Смена поколений в стандартизации СКС
Проблемы и перспективы формирования мобильной медиасреды в России
Принципы организации сетевой инфраструктуры ООО «ЛУКОЙЛ-ИНФОРМ»
Модульные отказоустойчивые системы бесперебойного питания: за и против
Все ТОПовые статьи >>