Нормативное регулирование и ПО по ИБ

В конце июля 2017 года наделавший в свое время много шума закон “О персональных данных” снова претерпел изменения. С момента его вступления в силу, этот закон успел стать настоящей головной болью для многих отечественных предпринимателей. С тем, что данные, особенно те, что касаются пользователей, необходимо защищать, не спорит никто, но то, что федеральные органы вправе в любой момент решать, какие именно решения должны использоваться для этого, порой создает трудности. 
В законе прописано, какие меры обеспечения безопасности данных должны применяться на вашем предприятии, а за их несоблюдение законом предусмотрены крупные штрафы. 
Какие же меры предусматривает закон?
Необходимо, во-первых, предусмотреть режим обеспечения безопасности помещений, в которых размещена информационная система, препятствовать возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения. Во-вторых, предприниматель несет ответственность за сохранность носителей персональных данных. В-третьих, перечень лиц, имеющих доступ к информации, должен быть документально зафиксирован. Наконец, вы обязаны использовать только те средства защиты информации (аппаратные и программные), которые прошли процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации. 
Именно последнее положение нередко вызывает споры и вопросы. Так, например, в сентябре Роскомнадзор и ФСБ заявили о незаконности использования серверов Google Global Cache. Провайдеры, получившие предупреждение, заявили, что такие серверы не являются средством связи, а потому не подлежат сертифицированию. Несмотря на это, от использования таких серверов многим пришлось отказаться. 
Давайте отдельно поговорим о сертификации программного обеспечения. 
Сертификация проводится (по крайней мере, должна проводиться) независимой лабораторией, специалисты которой изучают заявленный функционал программы и особенности ее кода, и независимой сертификационной комиссией, эксперты которой выносят решение на основе отчета лаборатории. 
В России существует возможность добровольной сертификации, но для ряда продуктов она является обязательной. Сертификация включает в себя проверку на соответствие двум типам нормативных документов:
Соответствие заявленных функций. Чаще всего ПО проверяют на соответствие уже существующему документу, например одному из руководящих документов Гостехкомиссии России. В случае, если нет документа, которому функционал программы должен соответствовать, то требования к нему должны быть сформулированы в технических условиях или в виде задания по безопасности.
Проверка кода программы на отсутствие недекларированных возможностей. В ходе проверки важно выяснить, имеются ли в программе возможности, не заявленные разработчиками, например, передача информации на сторонние ресурсы без ведома владельца. Выявление недекларированных возможностей предполагает проведение серии тестов исходных текстов программ, предоставление которых является необходимым условием для возможности проведения сертификационных испытаний.
В большинстве случаев обязательна сертификация обоих типов, исключения делаются для малобюджетных продуктов и для малого бизнеса, с низким рейтингом защиты.
После введения обязательной сертификации многие компании-разработчики столкнулись с непредвиденными сложностями. Так, например, продукты компании Oracle долгое время не могли получить сертификаты соответствия руководящему документу Гостехкомиссии.
Проблема сертификации заключаются в том, что большинство лабораторий и экспертных комиссий являются коммерческими организациями. В результате, процесс сертификации, порой, сильно затягивается и требует от производителя существенных денежных затрат.
Многие потребители (а порой и производители) считают, что единственная цель сертификации — получение прибыли, поэтому для успешного прохождения достаточно “дополнительно оплатить расходы” лаборатории и экспертов. Однако в России сертификация является объективной и ПО действительно строго проверяется на соответствие требованиям, поэтому можно уверенно говорить, что все продукты, прошедшие сертификацию, действительно выполняют заявленные функции и не содержат известных уязвимостей.
Сертификации подлежат и продукты иностранных компаний. В таком случае проверка обычно производится выездной группой, так как крупные компании-разработчики редко соглашаются предоставлять исходный код своих продуктов. С каждым годом число компаний, прошедших сертификацию, неуклонно растет. Все продукты, представленные на сайте Softprom, имеют все необходимые сертификаты соответствия, поэтому использование их для защиты данных на предприятии гарантировано избавит вас от проблем с законодательством.
Для корпоративного сектора соблюдение законов по защите информации зачастую превращается в настоящую “головную боль”. Невозможность исполнить все требования нормативного регулирования базируется на той ИТ-инфраструктуре, которая эволюционно развивалась и формировалась вместе с самой компанией, в результате чего быстрая замена программного и аппаратного обеспечения бывает невозможна. Ситуация усугубляется тем, что по ряду требований могут быть применены разные меры взысканий, от штрафов до уголовной ответственности. Тем не менее, при поэтапном планировании “исправления” этой ситуации можно существенно снизить риски штрафов или даже вообще “закрыть” все проблемные вопросы в соответствии требованиям законов.
В зависимости от существующей ИТ-инфраструктуры заказчика соответствие требованиям обеспечивается комбинацией двух или более программно-аппаратных решений. Например, для финансового сектора в качестве подготовки к аудиту прекрасно подойдёт Rapid7 - все уязвимости будут выявлены в течение нескольких часов. В этой же сфере упреждающим средством защиты информации от хакерских атак хорошо зарекомендовал себя TrapX - решение по созданию копии узлов ИТ-инфраструктуры для введения в заблуждение хакеров и отслеживания всех типов атак. Однако есть ещё и человеческий фактор. Получение писем и переход по “зловредным” ссылкам, как и причинение вреда собственными сотрудниками не запретишь. Поэтому от инсайдерских инцидентов и распространения атак внутри инфраструктуры великолепно работает CyberArk, управляющий привилегированными учётными записями пользователей и приложений.
Надо заметить, что в разных сферах существуют разные законодательные требования. В связи с этим, хранение архивной информации в течение 30 лет в зашифрованном виде будет неактуально для телеком-сектора, а управление учётными записями приложений - для малого и среднего бизнеса. Учитывая это, решения по ИБ можно сгруппировать по сферам бизнеса, показав их кросс-платформенную взаимодополняемость и эффективность для организаций любого уровня.