В этой статье я хочу рассказать о том, какие существуют законодательные и регуляторные аспекты при работе с конфиденциальной информацией и какими средствами наш DataArmor позволяет достичь соответствия этим требованиям и защите данных

Краткое описание функций DataArmor

  Межсетевой экран DataArmor представляет собой программное средство защиты информации, хранящейся в базах данных Oracle, PostgreSQL и Netezza. Благодаря непрерывному мониторингу трафика DataArmor выявляет и блокирует неавторизованные и вредоносные запросы, а анализ ответов БД позволяет предотвратить возможные утечки важной информации.   DataArmor включает в себя следующие компоненты:  

Data Audit

Функция аудита данных позволяет DataArmor отслеживать и регистрировать все действия, которые производятся в отношении базы данных. Аудит включает в себя запись кода SQL-запросов, а также регистрацию действий пользователей, IP-адресов и приложений, от которых исходят запросы. Поскольку аудит сам по себе не является инструментом ограничения доступа к содержимому БД, в большинстве случае эта функция используется для выявления утечек информации либо во время расследования случаев взлома.  

Data Security

Компонент Data Security позволяет распознавать и блокировать несанкционированные запросы к БД, а также подозрительные запросы, имеющие признаки SQL-инъекции. При срабатывании защиты DataArmor немедленно блокирует опасный запрос (в виде ошибки SQL или разрыва соединения) и оповещает администратора с помощью SMTP- или SNMP-сообщений.  

Data Masking

Встроенная функция маскировки данных позволяет DataArmor скрывать записи, содержащиеся в таблицах базы данных, путём их замены случайными записями, предварительно заданными строками либо специальными символами. Маскировка всей базы данных либо её избранных элементов проводится в режиме реального времени, на этапе получения запроса от пользователя, что исключает возможность утечки информации. Чаще всего функция маскировки применяется при передаче базы данных либо записей из неё третьим лицам (например, при тестировании), поэтому основной функцией маскировки является предотвращение случайного доступа и утечки данных.  

Законодательство РФ о защите данных. Общие вопросы

 

Конфиденциальность информации

Поскольку аппаратные и программные средства защиты данных как правило используются для охраны конфиденциальных сведений, остановимся на понятии «конфиденциальности». Согласно п. 7 ст.2 Федерального Закона №149-ФЗ «Об информации, информационных технологиях и о защите информации», конфиденциальность информации — это обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя. Полный перечень сведений, считающихся конфиденциальными, устанавливается Указом Президента РФ №188. В частности, к конфиденциальным данным относятся сведения о человеке, позволяющие идентифицировать его как личность (персональные данные), а также сведения, представляющие коммерческую, служебную, врачебную, нотариальную, адвокатскую тайну, тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных сообщений и т.д.    

Персональные данные

Наиболее наглядным примером конфиденциальных сведений являются персональные данные — какая-либо информация, прямо или косвенно относящаяся к определенному физическому лицу, позволяющая установить его личность (имя, фамилия, адрес проживания, сведения о фактах, обстоятельствах и событиях личной жизни и т.д.). Порядок работы с персональными данными устанавливается Федеральным Законом №152-ФЗ «О персональных данных». Общие требования к защите персональных данных при их обработке также устанавливаются Постановлением Правительства РФ №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».  

Коммерческая тайна

Понятие коммерческой тайны раскрывается в Федеральном Законе №98-ФЗ «О коммерческой тайне». Согласно п. 1 ст 3. Закона, коммерческая тайна — это конфиденциальность информации, позволяющая её обладателю увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Это касается научно-технической, технологической, производственной, финансово-экономической информации, а также информации другого рода, ценность которой обеспечивается её секретностью и к которой ограничен доступ третьих лиц на законных основаниях.  

Государственная тайна

Согласно Закону РФ № 5485-1 «О государственной тайне», государственной тайной являются защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.    

Права и обязанности по защите информации

  Согласно п. 3 ст. 6 Федерального Закона «Об информации, информационных технологиях и о защите информации», обладатель информации имеет право разрешать или ограничивать доступ к информации, самостоятельно определяя порядок и условия доступа к ней. П. 4 ст.6 вышеуказанного Федерального Закона содержит важный аспект: обладатель информации обязан принимать меры по защите информации при осуществлении своих прав. Обязанности обладателя информации по её защите более подробно изложены в п. 4, ст. 16 вышеуказанного Закона. В частности: обладатель информации, оператор информационной системы в случаях, установленных законодательством РФ, обязаны предотвращать несанкционированный доступ к информации и (или) передачу её лицам, не имеющим права на доступ к такой информации (подп.1 п. 4 ст. 16). Также обладатель и оператор обязаны обеспечить своевременное обнаружение фактов несанкционированного доступа к информации. (подп. 2 п. 4 ст. 16)  

Коммерческая тайна

Согласно подп. 2 п. 2 ст. 6.1 Закона «Об информации, информационных технологиях и о защите информации», обладатель информации, составляющей коммерческую тайну, имеет право разрешать или запрещать доступ к информации, определять порядок и условия доступа к такой информации.    

Обязанности по защите персональных данных

  Согласно Ст. 19 Федерального Закона №152-ФЗ «О персональных данных», любые учреждения, организации, физические и юридические лица, проводящие обработку персональных данных обязаны принимать все необходимые меры для защиты информации от неправомерного либо случайного доступа, повреждения, блокирования и т.д. Помимо мер организационного характера, п. 2 ст 19 152-ФЗ предусматривает применение при обработке персональных данных технических мер защиты. Обязанности по защите персональной информации также устанавливаются Приказом ФСТЭК №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Согласно п. 2 Приказа, безопасность персональных данных обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора. Из всего вышеизложенного следует, что лицо, владеющее любой конфиденциальной информацией не только вправе, но и обязано защищать её от неправомерных воздействий: от повреждения, утечки или целенаправленного похищения.  

Как DataArmor помогает защитить конфиденциальные сведения

 

Разграничение прав доступа к хранилищам персональных данных

Согласно п. 8 (также п. 8.2) Приказа ФСТЭК №21, в число мер по обеспечению безопасности персональных данных входит «управление доступом субъектов доступа к объектам доступа». Более подробное описание всех требований содержится в Приложении к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — «Приложение»). Так, согласно подразделу II Приложения, для обеспечения безопасности персональных данных необходимо разделить полномочия всех лиц, работающих с информационной системой, и обеспечить разграничение их прав доступа (УПД.2 и УПД.4). Компонент Data Security позволяет администратору DataArmor разграничивать права доступа пользователей БД. Благодаря гибкой системе правил, администратор может блокировать запросы определенных пользователей или приложений как к базе данных в целом, так и к её отдельным компонентам, таким как таблицы или колонки.  

Регистрация событий безопасности

Согласно п. 8 вышеуказанного Приказа, в число необходимых мер входит «регистрация событий безопасности». П. 8.5 уточняет, что меры по регистрации должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности, а также возможность просмотра и анализа информации о таких событиях и реагирование на них (также подраздел V Приложения). Встроенный в DataArmor компонент System Monitor позволяет DataArmor собирать и отображать информацию как о системных событиях самого файрволла, так и о событиях безопасности, и представлять её в виде таблиц или диаграмм. Более того, DataArmor способен уведомлять администратора о случаях срабатывания правил защиты, аудита и маскировки с помощью SMTP- и SNMP-сообщений.    

Обнаружение и предотвращение вторжений

П. 8 Приказа требует принятия мер по обнаружению вторжений в информационную систему. Согласно п. 8.7 (также СОВ.1 Приложения) эти меры должны обеспечивать обнаружение всех действий, направленных на получение несанкционированного доступа к конфиденциальной информации. Благодаря непрерывному мониторингу трафика DataArmor мгновенного выявляет и блокирует попытки неавторизованного доступа к базе данных. Вдобавок DataArmor успешно борется с SQL-инъекциями, которые часто применяются хакерами для взлома веб-приложений. Параллельно с блокированием DataArmor проводит фиксацию всех действий и событий, что позволяет принимать меры по профилактике и расследованию попыток взлома. Оперативному реагированию на выявленные попытки вторжения также способствуют уведомления с помощью SMTP и SNMP-сообщений. В некоторых случаях помимо блокирования доступа к базе данных, для защиты информации может применяться компонент Data Masking, хотя основной функцией маскировки является предотвращение случайного доступа и утечки данных.  

Выявление фактов несанкционированного доступа к персональным данным

Согласно подп. 6 п. 2 ст.19 Федерального Закона «О персональных данных», оператор информационной системы обязан принимать меры по обнаружению фактов несанкционированного доступа к персональным данным и соответственно реагировать. DataArmor позволяет выявить произошедшие случаи несанкционированного доступа либо утечки информации при помощи функции аудита данных. Аудит также позволяет выявлять подозрительное поведение пользователей и заблаговременно принимать необходимые меры.  

PCI DSS

  PCI DSS — это стандарт безопасности данных, созданный основными брендами платёжных карт (VISA, American Express, JCB и Discover). Фактически, PCI DSS — это набор детализированных указаний, призванных значительно снизить риск взлома или утечки информации. Данный стандарт является обязательным для всех субъектов, проводящих операции с платёжными картами, и их бизнес-партнеров. Учитывая распространенность пластиковых карт Visa и Master Card, с уверенностью можно сказать, что PCI DSS является актуальным для большинства стран мира, в том числе, и для России.  

Разграничение прав доступа

  Согласно Требованию 7 PCI DSS, субъекты обязуются предоставлять своим сотрудникам доступ к информации о держателе карты в соответствие со служебной необходимостью. Это подразумевает введение жестких мер контроля за правами доступа и предоставление доступа к конфиденциальной информации только тем лицам, которым такой доступ требуется для выполнения их непосредственных должностных обязанностей.  

Действия DataArmor

Функция защиты данных Data Protection позволяет предотвратить неавторизованные действия пользователей БД (в данном случае — сотрудников субъектов PCI), блокируя доступ к определенным элементам БД. В случае необходимости, DataArmor позволяет не блокировать доступ к определенным элементам БД, а маскировать (скрывать) информацию, содержащуюся в них, при помощи функции динамической маскировки данных Data Masking.  

Отключение неактивных пользовательских записей

Согласно требованию 8.1.4, субъекты PCI обязаны удалять или деактивировать неактивные учетные записи пользователей не реже одного раза в 90 дней. Данное требование обусловлено тем, что хакеры могут воспользоваться «дремлющей» записью для совершения взлома.  

Действия DataArmor

Выявление неактивных учётных записей может быть выполнено при помощи средства аудита DataArmor. Data Audit проводит мониторинг пользовательской активности и помогает обнаружить «спящие» учетные записи, также как и подозрительное поведение пользователей.  

Предотвращение проникновения в БД. Контроль за доступом к БД. Разграничение доступа

  Требование 8.7 PCI DSS гласит, что доступ к БД, содержащей информацию о держателях карт, может осуществляться только программными методами (т. е. при помощи специальных клиентских приложений) и только администраторы БД должны иметь возможность прямого доступа и запросов к БД. В большинстве случае развёртывание DataArmor проводится в режиме прокси, поэтому клиентские приложения связываются с базой данных только через промежуточный сервер, роль которого играет DataArmor. Таким образом, прямой доступ пользователей к БД полностью исключается, что в свою очередь исключает возможность эксплуатации хакерами программных уязвимостей СУБД.    

Аудит данных

  Требование 10 содержит 25 подпунктов, устанавливающих обязанности субъектов по внедрению мер аудита данных. Фактически, субъекты PCI обязуются отслеживать всю пользовательскую активность и предотвращать любые попытки неавторизованного доступа к информации об аудите.  

Действия DataArmor

DataArmor позволяет удовлетворить данные требования PCI благодаря функции аудита данных. Файрволл производит непрерывный аудит данных и мониторинг всех действий пользователей и клиентских приложений, не оказывая дополнительной нагрузки на сервер БД или саму СУБД. Также необходимо отметить, что отчеты функции аудита позволяют администратору файрволла связывать все зарегистрированные DataArmor действия с конкретными пользователями.  

HIPAA

  HIPAA — это американский федеральный закон, устанавливающий требования по защите информации о физическом и психическом здоровье пациентов. Субъектами этого закона являются лица и организации, оказывающие услуги здравоохранения, страховые компании и государственные медицинские программы, а также центры обработки медицинских данных. HIPAA устанавливает серию административных, физических и технических требований, направленных на защиту медицинской информации (PHI) от разглашения и неправомерного использования. Хотя HIPAA не имеет юридической силы за пределами США, нормы этого закона считаются достаточно современными и совершенными, поэтому с большой вероятностью будут взяты за основу при разработке аналогичного российского законодательства по защите медицинской информации. Объектом закона служит так называемая «Закрытая информация о состоянии здоровья» (PHI). В контексте данной статьи нас интересует электронная информация о состоянии здоровья (ePHI).  

Контроль доступа к ePHI

  Согласно HIPAA (Требования 164.312 (a) и 164/308 (a)) субъекты закона должны ограничить доступ к ePHI в соответствие со служебной необходимостью. Это подразумевает предоставление доступа к ePHI только тем лицам и только в таком объеме, который требуется для выполнения ими их рабочих обязанностей. Доступ к ePHI разрешен только лицам и приложениям, получившим должную авторизацию.  

Действия DataArmor

DataArmor позволяет защитить БД от неавторизованного доступа или изменения благодаря функции Data Security. Для выполнения этой задачи администратор файрволла создаёт набор правил безопасности для каждого пользователя или группы пользователей, определяя, к каким именно элементам БД (вплоть до колонок) необходимо разрешить или запретить доступ. Затем DataArmor проводит мониторинг всех действий пользователей и блокирует попытки неавторизованного доступа.  

Аудит ePHI

  HIPAA требует от своих субъектов внедрения технических и процедурных механизмов для протоколирования и анализа активности в информационных системах, оперирующих ePHI (Требование 164.312 (b) )  

Действия DataArmor

DataArmor помогает выполнить это требование при помощи компонента DataAudit. Файрволл проводит непрерывный мониторинг трафика базы данных и регистрирует все действия пользователей и клиентских приложений. Благодаря возможности составления отчетов аудита, администратор имеет возможность идентификации конечных пользователей и приложений, которые использовались для доступа к БД.  

Вывод

  DataArmor помогает удовлетворить наиболее критичные требования вышеупомянутых стандартов безопасности. Однако, необходимо отметить, что DataArmor не является криптографическим средством защиты информации, а основной функцией файрволла является предотвращение несанкционированного доступа к базам данных, содержащим конфиденциальную информацию. Для создания надёжной системы защиты данных необходим комплексный подход, включающий в себя применение как технических, так и административных и организационных мер.
Комментарии