После долгих дискуссий о том, как защищать персональные данные, профессиональное сообщество смогло выработать систему общих взглядов на реализацию требований регуляторов. Системы защиты персональных данных (СЗПДн) теряют признаки «штучного» товара, поскольку нарабатывается и методология, и практика, и опыт проектирования и внедрения.

Постоянно появляются сообщения о том, как компания X помогла защитить ПДн компании Y. Профессиональные консультанты, сертифицированные СЗИ, оптимизация затрат… Торжественное разрезание ленточки, фанфары, занавес… Что дальше? Счастливые участники покидают торжество, справедливо гордясь проделанной работой. Гаснут софиты, стихает музыка. А новому кораблю под названием «СЗПДн», о борт которого только что с помпой разбили бутылку шампанского, предстоит отныне ходить по морям-океанам и преодолевать те девять баллов, под которые его проектировали и строили.

Ходить ли? Сколько примеров того, как спущенные на воду СЗПДн тонули у пирса в течение месяца. Точнее, их топили. «Кто?» – вопрос вторичный, а вот «почему?» – попробую сказать в двух словах. Хорошо ли плохо ли, ПДн сделались страшилкой для бизнеса. В ожидании очередного 01-01-2010 (01-01-2011, 01-07-2011…) нервы выдерживают не у всех. В итоге позиция «надо защищать ПДн, а то будет больно» выносится на самый высокий уровень, подыскивается опытный лицензиат – и процесс пошел. Через несколько месяцев появился пакет ОРД, техпроект, система защиты – все, к проверке готовы! Точка.

Приверженцы описанного подхода могут дальше не читать. Для остальных же после сдачи системы защиты в эксплуатацию возникает вопрос: как постоянно и оперативно оценивать соответствие СЗПДн нормативным требованиям? Беспокойство оправдано: за здоровьем надо следить все время, а не раз в год при диспансеризации (аттестации). Да и при проверке приятнее показать не гору бумаги и «железа» (да, все соответствует!), а реально работающий процесс и его объективные показатели.

Но как обеспечить постоянный мониторинг, ведь в системе защиты крупной ИСПДн могут функционировать десятки и сотни механизмов безопасности? Не будешь же непрерывными сериями проводить сканирование для обнаружения недостатков и уязвимостей – от такого издевательства остановится и сама система, и сетевая инфраструктура. Да и средства контроля и анализа защищенности являются частью СЗПДн, и их работу тоже надо отслеживать.

На помощь страждущим приходит технология SIEM (Security Information and Event Management –управление событиями и информацией о безопасности), позволяющая собирать и обрабатывать информацию о событиях безопасности от множества источников. Хочу остановиться на платформе RSA enVision (рис. 1) – пожалуй, одной из лучших реализаций этой технологии.

Об RSA enVision можно говорить долго и много, но буду краток. Это решение будет работать с ЛЮБЫМ объектом, который способен ЛЮБЫМ способом сгенерировать информацию о событии. Сообщение syslog? Милости просим. SNMP-трап? Добро пожаловать. Запись в файл или базу данных? Отлично. Перечень поддерживаемых источников исчисляется сотнями, а для неподдерживаемых – специалисты создадут нужные адаптеры. Установка программ-агентов – не требуется!

Самый главный принцип RSA enVision – «что настроишь, то и получишь». И позиционируется это решение как инструмент, обеспечивающий:

  • повышение уровня ИБ и снижение рисков (Enhanced Security);
  • оптимизацию и упрощение обслуживания ИТ-инфраструктуры (Optimized IT Oversight);
  • упрощение соблюдения нормативов (Simplified Compliance).

Применив принцип «что настроишь…» к направлению Simplified Compliance, мы в НТЦ «Вулкан» создали методологию контроля соответствия ИСПДн требованиям к обеспечению безопасности, подкрепленную пакетом шаблонов корреляционных правил для RSA enVision. Теперь система защиты, работая по прямому назначению, может находиться под непрерывным контролем специалистов. Причем каждый из них возьмет от RSA enVision то, что нужно именно ему: директор по ИБ – диаграмму и «табличку на полстранички» для доклада первым лицам, администратор безопасности – статистику инцидентов в различных временных и технологических срезах, аудитор – «сырые» данные от средств защиты (рис. 2).

Таким образом, СЗПДн будет находиться под постоянным контролем, а отклонения от заданных параметров удастся парировать более оперативно. И это большой плюс в деятельности тех специалистов, которые защищают ПДн «не для галочки», а потому, что так надо их компании, их руководителям и их репутации.

Необходимо отметить, что использовать RSA enVision только для оперативного наблюдения за ИСПДн/СЗПДн – это все равно что пользоваться современным коммуникатором исключительно для телефонных звонков. Проект по внедрению этой платформы «накрывает» очень многие аспекты деятельности ИТ и ИБ, а именно:

  • оснащение SOC;
  • управление событиями;
  • оперативную отчетность;
  • обработку инцидентов;
  • управление уязвимостями и информацией об активах;
  • обнаружение критической деятельности;
  • контроль виртуальных сред

и далее по списку...

Согласитесь, приятно навести в ИТ-хозяйстве порядок и при этом не забыть про защиту персональных данных?