Рост числа утечек персональных данных требует принятия мер по защите информации. Наличие системы защиты информации необходимо в первую очередь для защиты от атак со стороны злоумышленников. При построении системы защиты важно учитывать риски для бизнеса, которые возникают при нарушении защищенности информационных систем персональных данных.
К негативным последствиям реализации угроз безопасности информации относятся
- финансовые потери Компании, причастных сторон, в том числе клиентов, а также иных третьих лиц;
- нарушение сроков оказания услуг;
- невыполнение обязательств по обеспечению защиты интересов клиентов Компании;
- репутационные потери Компании, связанные со снижением уровня доверия клиентов и партнеров;
- несоблюдение требований законодательства Российской Федерации в области защиты персональных данных.
Создание системы защиты лучше начать с оценки рисков. Важно дать однозначный ответ: «От чего нужно защитить как ИС, так и бизнес?». Нужно определить, какой уровень риска допустим и как его свести к минимуму. Это определяет руководство Компании с привлечением ответственных за процессы обработки персональных данных сторон.
Работа с рисками включает в себя 6 основных этапов
- Идентификация риска
- Уменьшение негативного влияния риска
- Анализ событий, связанных с риском (сбор собственной аналитической базы)
- Оценка эффективности функционирования системы управления риском
- Контроль и отчетность по процессу управления риском
- Количественная оценка рисков
В данной статье подробно рассмотрим: идентификацию риска, уменьшение негативного влияния риска, оценку эффективности функционирования системы управления риском.
Анализ событий, связанных с риском, проводится либо на основе данных от аналитических центров, либо на основе данных по внутренним инцидентам ИБ в Компании. Контроль и отчетность по процессу управления рисками должен быть зарегламентирован во внутренних документах по и ИБ и включен в план мероприятий по защите информации.
Идентификация риска
Работу с рисками специалист по защите информации или юрист может организовать самостоятельно с привлечением коллег – владельцев процессов обработки персональных данных. Для этого юристу потребуется обратиться к перечню процессов обработки персональных данных (если подобного документа нет, то необходимо разработать).
При идентификации рисков в соответствии с перечнем процессов следует у коллег уточнить всего лишь два вопроса:
1. Что может нарушить выполнение процесса?
Например, сбои в работе компьютеров, медленная работа информационной системы, невозможность получения доступа к базе данных, искажение данных в базе данных, перебои в системе электроснабжения, ошибки в работе сотрудников.
2. Какие негативные последствия наступят, в случае если процесс будет нарушен?
Например, невозможность оказания услуг клиентам, простои в работе персонала, нарушение договорных обязательств, невозможность заключение договоров, нарушение прав субъектов персональных данных (в.т.ч. утечки ПДн), финансовые потери.
Совет
Изначально при оценке рисков не стоит их пытаться количественно оценить. Это займет много времени, а результат будет либо недостижим, либо субъективен.
Вариант самостоятельной оценки бюджетный, но может потребовать больших усилий с вашей стороны. Потребуется погрузиться в детали каждого процесса, собрать данные, провести их анализ и систематизацию, сделать корректные выводы и на их основе проводить вероятностную оценку рисков. Может затянуться по времени.
Второй путь проще (но при этом дороже) – воспользоваться услугами консалтинговой компании. Консультанты проведут аудит, сформируют/актуализируют перечень процессов обработки персональных данных, проведут оценку рисков.
Примером анализа рисков может служить данная таблица
После того как понятны риски, определены наиболее критичные, можно приступать к уменьшению негативного влияния риска и созданию системы защиты информации.
Уменьшение негативного влияния риска – создание системы защиты информации
Процесс создания системы защиты потребует привлечения ИТ-служб и ИБ – специалистов (если такие есть в компании) и включает следующие шаги:
1. Определение состава информационных систем (ИС), их компонентов, и исходного состояния защищенности информационных систем
Нужно получить ответ на вопрос «Какие ИС обрабатывают персональные данные и на сколько они хорошо защищены». Хорошо, если у вас есть документ «Перечень информационных систем». Он существенно упросит работу на этом шаге.
Итоговый документ: описание ИСПДн или анкета по каждой ИСПДн, в которой описан состав:
- серверов
- рабочих станций
- сетевого оборудования
- каналов связи
- процессов взаимодействия между ИСПДн.
2. Определение того, какой уровень защищенности персональных данных требуется достичь, чтобы минимизировать риски
Следует опираться на акт определения уровня защищенности ПДн в соответствии с Постановлением Правительства №1119 и актуальные угрозы безопасности информации.
Важно получить ответ на вопрос: «Какой уровень защищенности требуется обеспечить?»
В случае, если актуальность угроз безопасности информации не определялась, то стоит разработать документ по форме, представленной в Приложении 3 к Методическому документу «Методика оценки угроз безопасности информации» утв. ФСТЭК России 05 февраля 2021 г. Порядок определения актуальных угроз описан в данном документе.
Итоговый документ: акт определения уровня защищенности ПДн, модель угроз безопасности информации
3. Сформировать план действий по достижению требуемого уровня защищенности и минимизации рисков по информационной безопасности.
Важно получить ответ на вопрос «Что нужно сделать для повышения защищенности ПДн и минимизации рисков»
План действий по минимизации рисков примерно следующий
1. Определить какие меры защиты нужно предпринять для повышения уровня защищенности ПДн и минимизации рисков
Меры защиты персональных закреплены в следующих НПА:
- Приказ ФСТЭК №21
- Приказ ФСБ №378
Из более 120, они разделены на 15 групп мер. Каждой угрозе должно быть выполнено сопоставление мер защиты. Базовый набор мер защиты при необходимости должен быть дополнен мерами, которые однозначно позволят угрозу сделать неактуальной на каждом инфраструктурном уровне ИСПДн.
Итоговый документ: техническое задание на систему защиты ПДн, либо формирование таблицы.
2. Определение состава средств защиты информации, которые позволят реализовать меры на шаге 1и войдут в состав системы защиты информации
Меры защиты могут быть выполнены как с помощью организационных мероприятий, так и технических средств. В рамках данного этапа определяется, как выполнить все необходимые меры и обеспечить требуемый уровень безопасности ПДн и ИС Компании. Не стоит забывать, что размещая ИС в ЦОД часть ответственности по защите ПДн на себя берет ЦОД. Это должно быть закреплено в договоре с поставщиком услуг.
Итоговый документ: технический проект на систему защиты ПДн либо формирование таблицы:
3. Провести оценку стоимости выбранных средств защиты и определить экономическую целесообразность применения того или иного средства защиты
Здесь важно понимать, что стоимость средства защиты должна быть ниже стоимости защищаемой информации. Если вы примерно понимаете финансовые потери и вероятность их реализации, то количественная оценка рисков тоже будет полезна при выборе средств защиты
Порядок цен абсолютно разный. Но все зависит от того на сколько большая у Вас ИТ инфраструктура, как построена сеть и как реализовано взаимодействие с пользователями. Точнее стоимость вам может рассчитать дистрибьютер, который занимается продажей средств защиты (или интегратор).
Рекомендуем сравнивать несколько вариантов реализации системы защиты, их плюсы и минусы, стоимости. Также рекомендуем позаботиться об этом уже на этапе моделирования угроз (перечень актуальных угроз существенно может повлиять на состав средств защиты на их нейтрализацию), чтобы на этапе согласования спецификации оборудования не было разочарования от количества нулей и невозможности реализовать то, что предложили проектировщики.
4. Провести закупку средств защиты и их внедрение (эти работы делают лицензиаты ФСТЭК). Внедрить средства защиты могут и ИТ-специалисты Вашей компании
Не забудьте проверит у него наличие соответствующей лицензии ФСТЭК, подтверждение квалификации специалистов и примеры подобных работ.
5. Подготовить организационно-распорядительные документы, регламентирующие процессы защиты персональных данных. Внедрить организационные меры защиты
Внедрив технические средства необходимо в рамках компании выстроить процессы защиты:
- обучить персонал базовым правилам защиты персональных данных
- предоставить регламенты, с которыми должны они ознакомится, и, положения которых нужно будет соблюдать
Нужно понимать, что какое бы не применялось совершенное средство защиты, упертый незнающий пользователь найдет способ «все сломать».
Оценка эффективности функционирования системы управления риском
Обязательно необходимо проводить контроль фактического уровня защищенности персональных данных и оценивать риски ИБ.
Контроль может быть как в формате:
- периодического аудита
- оценки эффективности
- аттестации
- тестирования на проникновения
Как правило аудит и оценку эффективности оператор может проводить самостоятельно, аттестация и тестирование на проникновение (pentest) требуют привлечения третьей стороны.
Вывод
Создание системы защиты – непростая задача. Но если ее разделить на несколько простых задач, составить план работ и действовать последовательно, то результат позволит вам не только обеспечить стабильность работы ИС, но защитит бизнес от непредвиденных издержек и штрафов.
С уважением, Екатерина Витенбург, Старший консультант по информационной безопасности Б-152.
Подписывайтесь на Telegram-канал Б-152, чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.
Посмотреть подробную информацию о компании Б-152 можно на сайте