Технический комитет Росстандарта 362 представил для публичного обсуждения проект стандарта "Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения". Новый ГОСТ заложит методическую и нормативную базу для защиты от данного класса киберугроз.
Проект стандарта разработали и внесли в Технический комитет Росстандарта 362 "Защита информации" ГК "Солар" и ООО "Центр безопасности информации" (ООО "ЦБИ"). В обсуждении проекта приняли участие регуляторы в сфере защиты информации, все ключевые разработчики DLP-систем, а также их эксплуатанты и научные организации.
Над стандартом работала вся отрасль
"Для экспертной работы ГОСТа была привлечена вся отрасль, в том числе и мы. Вижу в этом одни плюсы. Во-первых, экспертная поддержка профильных разработчиков систем неоценима для ТК 362. Во-вторых, документ получится сбалансированный, так как у каждого была возможность внести предложения и усовершенствования. Суммарно исходный вариант был переработан более чем на 50%, перед тем как выйти на общественные обсуждения", - поделился опытом работы над документом руководитель отдела аналитики ООО "СерчИнформ" Алексей Парфентьев. По его оценке, тема разработки нормативного и правового обеспечения по организации защиты от утечек информации стоит максимально остро: "Причина в том, что постоянно растет количество утечек, ужесточается законодательство в виде оборотных штрафов и уголовных сроков за преступления с данными. Конечно, рынку и компаниям нужен понятный регламентирующий документ, в котором четко будут прописаны определения - понятие утечки данных, описание действий по защите от утечек и проч.".
"Мы работали над проектом данного стандарта в рамках экспертного сообщества и, помимо этого, оказывали содействие расширению круга привлеченных экспертов, поскольку поддерживаем позицию ФСТЭК по созданию стандарта, который отвечал бы потребностям рынка и пользователей, а не отдельно взятого вендора, - рассказывает директор экспертно-аналитического центра ГК InfoWatch Михаил Смирнов. - На предварительном обсуждении эксперты предложили около сотни правок. Как члены подкомитета ТК 362, мы получили последнюю версию и до 15 марта должны представить к ней свои комментарии".
При этом представитель InfoWatch напомнил, что работа по стандартизации идет уже как минимум 10 лет: "В 2014 г. мы одними из первых стали заниматься вопросами технической стандартизации DLP-систем. Вопросами в области стандартизации защиты информации начал заниматься Центральный банк РФ еще в 2016 г., когда выпустил рекомендации по стандартизации в области информационной безопасности при легитимном доступе к информации. В 2021 г., когда рынок достиг определенной технической зрелости, мы решили не останавливаться только на техническом стандарте и посмотрели на проблему стандартизации под новым углом. Мы предложили создать принципиально новую область, которая не ограничивалась бы стандартизацией DLP-систем, а рассматривала контроль и управление потоками информации на более глобальном уровне, предусматривала модели зрелости организаций, имела критерии к этим моделям. На наш взгляд, такой подход имеет большой потенциал и может дать импульс к развитию не только рынка DLP-систем и ИБ, но и всего рынка информационных технологий и безопасности в целом. Документ был направлен в ТК 362, обратную связь по нему мы не получили. В 2023 г. на ежегодном BIS Summit, соорганизатором которого является ГК InfoWatch, мы расширенным составом участников, куда в том числе входили представители "Солар" и ЦБИ, провели отдельную большую сессию, посвященную стандартизации, где обсудили самые актуальные вопросы, дали возможность участникам рынка высказать мнения и наметили дальнейшие шаги в этом направлении".
"При разработке проекта Национального стандарта, на этапе его подготовки к обсуждению в Техническом комитете Росстандарта 362 "Защита информации", мы проводили предварительные консультации с участниками экспертного сообщества по защите от утечек, работу которого ГК "Солар" запустила в мае 2023 г. Уже на этом этапе мы получили и отработали порядка 200 замечаний, в основном от компаний - производителей средств защиты от утечек (DLP-систем). Структурно стандарт не перерабатывался - общая логика текста и набор этапов процесса защиты от утечек, которые там описаны, - мы исправили много технических замечаний, согласовали понятийный аппарат и утвердили единые подходы к тому, как должны быть описаны в стандарте технические средства защиты от утечек (DLP-системы)", - такие подробности привела руководитель направления по работе с государственными структурами ГК "Солар" Елена Черникова.
Заместитель генерального директора ГК "Гарда" Рустэм Хайретдинов так ответил на вопрос об участии в работе над проектом стандарта: "Нас приглашали в качестве наблюдателей, но разработчики стандарта все сделали по-своему. Претензий к получившемуся содержанию у нас нет. И в целом какой-то срочной необходимости нет, компании в большинстве уже так или иначе построили работу по борьбе с утечками данных по техническим каналам. Рынку решений по борьбе с утечками уже больше 20 лет, опыт накоплен большой, есть лучшие практики во всех дисциплинах: моделирование угроз, оценка рисков, критерии выбора организационных и технических мер, внедрение и настройка типовых решений и т.п.".
Это лишь первый шаг
Национальный стандарт зафиксирует оптимальные процессы организации защиты от утечек информации и даст формальные основания для использования специальных технических средств. На повышение прозрачности процессов внедрения и эксплуатации DLP-систем также направлены предложения по их формализации: от корректного документального оформления в организации режима защиты информации до уведомления сотрудников о том, что работодатель контролирует их работу со служебной информацией. При этом раздел, содержащий описание технических средств, используемых для защиты информации от утечки, сформирован таким образом, чтобы не нарушить конкуренцию между производителями систем защиты от утечек (DLP).
Елена Черникова считает главной задачей документа уточнение понятийного аппарата: "Это краеугольный камень в стандартизации процессов, в том числе "защиты от утечки информации". Это связано и с разнообразием подходов к определению самой "защищаемой информации", и с разнообразием угроз, с которыми связан риск утечек. Важно отметить, что большая часть из этих угроз и соответствующих им мер и средств защиты уже была так или иначе описана. Для нас предметом стандартизации стал процесс защиты от утечек (как случайных, так и умышленных), связанных с действиями сотрудников организации. Средством защиты от этого типа угроз являются так называемые DLP-системы. Поскольку применение данного средства защиты затрагивает множество внутренних процессов деятельности организации, в том числе лежащих в области трудовых отношений работодателя и сотрудников, крайне важно корректно описать и понятийный аппарат, и методологию его использования".
По мнению Рустэма Хайретдинова, ничего реально нового крупные компании от документа не получат: "Хорошо, когда все лучшие практики собраны в одном документе, изданном от имени государства. Для компаний, долго занимающихся защитой от утечек, а это все крупные предприятия и госорганы, ничего нового в документе не появится: они давно применяют эти практики. К тому же документ покрывает только часть методик борьбы с утечками, в реальности задача стоит гораздо шире. За пределами документа остались контроль привилегированных пользователей, мониторинг транзакций в приложениях, защита данных в СУБД и др. Возможно, такой документ будет полезен для компаний, которые только начинают системно защищать данные от утечек, но не знают как".
"Значимость стандартизации сложно переоценить. Разница в подходе к этому документу, будут ли его требования распространяться на технические средства или на предметную область в целом. Мы продолжаем заниматься этой темой и готовим обновленную версию нашей стандартизации, которую покажем на BIS Summit 2024″, - полагает Михаил Смирнов.
"Роскомнадзор считает необходимым установить особые требования к компаниям, которые обрабатывают большие объемы данных. Обязательным условием должно стать подтверждение выполнения организацией требований по безопасности, - прокомментировала пресс-служба ведомства. - Соблюдение национального стандарта (ГОСТ) в области организационно-технических мер безопасности данных будет дополнительным элементом подтверждения соблюдения крупными операторами требований законодательства".
"ГОСТ по предотвращению утечек - это только первый этап. Далее последуют методические рекомендации. Уже после этого требования по защите от утечек должны стать приказами регуляторов, обязательными как минимум для операторов ПДн. Причина необязательности как раз в том, что нет готовой методологии по защите от утечек, а методология может ссылаться только на государственный стандарт, - полагает Алексей Парфентьев. - ГОСТ крайне важен, так как это ориентир, отправная точка во многих прикладных вопросах. Например, как понять подлежит ли случай, когда утечка произошла по вине внешнего злоумышленника (хакера), наложению оборотного штрафа для компании? Сейчас это вопрос открытый, но с появлением стандарта он будет однозначен, ведь термин "утечка" описывается ГОСТом так: "Неконтролируемое распространение защищаемой информации в результате ее разглашения с использованием программной среды информационной (автоматизированной) системы". А действия по защите определяются так: "Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения с использованием штатных программных средств информационной (автоматизированной) системы лицами, имеющими к ней право доступа. Таким образом, хакерская атака не может классифицироваться как нарушение, попадающее под оборотный штраф, а ответственность не может распространяться на компанию, потому что хакеры не имеют регламентированного права доступа к конфиденциальной информации, соответственно это кража, а не утечка. Другой случай, когда распространение - разглашение, или же утечка, - произошло без использования программной среды информационной системы, другими словами, никто внутри компании не нажимал кнопку "отправить" ни в какой из корпоративных ИТ-систем". Представитель "СерчИнформ" оценил вероятность принятия данного стандарта как практически 100%, вопрос лишь во времени.
"Основные вехи разработки и утверждения ГОСТ отражены в Плане работы Технического комитета 362 Росстандарта "Защита информации" на 2024 г. Он есть в разделе "ТК 362″
В Zecurion отказались от комментариев. В ООО "Атом Безопасность" не ответили на запрос ComNews. ООО "Айтипротект Груп" не смогло предоставить комментарий.