Защита по всем правилам

О том, как российским организациям обеспечить комплексную защиту информации и персональных данных (ПДн) в соответствии с новыми поправками к ФЗ №152, а также какие новые решения в этой области появились на рынке информационной безопасности, корреспонденту «Стандарта» Екатерине ЛАШТУН рассказал генеральный директор ООО «ИТЕРАНЕТ», входящего в международную группу компаний (МГК) «ИТЕРА», Игорь МАЦКЕВИЧ.

И.В. Мацкевич 
Журнал «Стандарт» №10 (105), октябрь 2011

– Обеспечение информационной безопасности – одна из важных и порой приоритетных задач руководителя любой компании. Какой подход к решению этой проблемы предлагает ИТЕРАНЕТ?
– Предлагаемые нами решения по обеспечению информационной безопасности, как правило, сочетают программно-технические и организационные меры защиты информации. Они включают в себя резервное копирование, разграничение доступа к информационным ресурсам и мониторинг внутрисистемных процессов, антивирусную защиту, брандмауэры, прокси-серверы, системы фильтрации электронной почты, защиту офисных телефонных станций. Есть системы криптографической защиты каналов передачи данных, межофисной телефонной связи и электронной почты, которые обеспечивают безопасность информации при взаимодействии через сети общего пользования и выделенные каналы связи.

– Вы сказали о технических мерах защиты информации. Что предусматривает эта услуга?
– Технические меры включают специальную проверку помещений и оборудования с целью выявления установленных без ведома клиента технических средств негласного съема информации и определения соответствия этих помещений требованиям, предъявляемым к объектам, предназначенным для обработки сведений, составляющих государственную тайну. После проведения указанного обследования возможно оборудование комнат переговоров, кабинетов руководителей и т. п. специальными техническими средствами, которые практически исключают возможность утечки информации, требующей защиты. Для государственных организаций в соответствии с действующим законодательством в области защиты конфиденциальной информации и государственной тайны специалисты ИТЕРАНЕТ проведут аттестацию помещений по утвержденным методикам.

– А какое решение считается наиболее эффективным?
– Наиболее эффективны комплексные решения. То есть системы, способные как защитить от утечки информации, так и ограничить доступ персонала без допуска к соответствующим массивам данных. Для решения задач по ограничению доступа мы предлагаем продукты ряда российских разработчиков. Когда есть необходимость в программно-аппаратных решениях, устанавливаем собственную разработку – систему информационной безопасности Business Guardian.

– Входят ли в компетенцию вашей компании вопросы по защите персональных данных?
– Да, наша компания предоставляет услуги по защите персональных данных. Как правило, любое коммерческое предприятие, начиная бизнес, связанный с хранением, передачей и обработкой личных данных граждан и другой конфиденциальной информации, должно обеспечить обязательную аттестацию информационных систем на право работы с конфиденциальной информацией.
Работы, проводимые по регламенту таких аттестаций, может выполнить лишь организация, имеющая соответствующие лицензии. ИТЕРАНЕТ – одна из немногих в России компаний, у которых сформирован полный пакет лицензий Федеральной службы безопасности (ФСБ России) и Федеральной службы по техническому и экспортному контролю (ФСТЭК России) в области защиты информации, что позволяет нам организовывать и проводить работы по защите информации на солидной методологической основе.

Созданные специалистами компании системы по защите ПДн соответствуют всем требованиям по безопасности информации и нормативно-правовым документам ФСТЭК России и ФСБ России.

– Успели ли, на ваш взгляд, российские компании – операторы персональных данных разобраться с новыми требованиями законодательства и доработать средства защиты ПДн в соответствии с ними?
– Лишь небольшая часть коммерческих компаний и государственных организаций – те, которые уделяли и уделяют значительное внимание вопросам защиты информации и имеют достаточный ресурс для построения систем защиты персональных данных, – успела привести в соответствие с требованиями регулирующих органов свои информационные системы. Говорить о выполнении новых требований пока рано ввиду отсутствия подзаконных актов регуляторов, которые ожидаются в ближайшие месяцы. И в связи с некоторой долей неопределенности в отрасли многие операторы заняли выжидательную позицию.

– Какой комплекс организационно-технических мер по обеспечению защищенности персональных данных необходимо реализовать оператору ПДн, чтобы соответствовать ФЗ №152?
– Пока регуляторами не выработаны новые правила игры, оператору, как и до 1 июля 2011 года, необходимо выполнять требования «приказа трех» (приказ ФСТЭК РФ, ФСБ РФ и Министерства информационных технологий и связи РФ №55/86/20, – прим. «Стандарта»), приказа ФСТЭК №58 и положения методических рекомендаций ФСТЭК и ФСБ РФ.

– Как вы считаете, нуждается ли ФЗ №152 в доработке?
– К сожалению, новая редакция этого закона не учитывает всех реалий бизнес-процессов и специфических процессов обработки информации в различных отраслях, что вызывает недопонимание на местах и поднимает множество вопросов. Данные вопросы обычно закрываются подзаконными актами, которые будут уточняться регуляторами в соответствии с новой редакцией закона. Мы надеемся, что с течением времени подзаконные акты внесут полную ясность в вопрос организации защиты персональных данных.

– Вы упомянули о собственной разработке компании ИТЕРАНЕТ – системе информационной безопасности. Что представляет собой Business Guardian, каковы ее возможности?
– Business Guardian – это программный комплекс, обладающий функционалом DLP-систем и предназначенный для обеспечения контроля за информационными потоками в компьютерных сетях с целью выявления и последующего предотвращения утечки конфиденциальной информации. К основным возможностям этой системы можно отнести мониторинг информационных потоков, передаваемых по сети Ethernet, и обмена сообщениями между рабочими станциями, декодирование протоколов HTTP, FTP, SMTP, а также декодирование WebMail (почта, отправляемая через общедоступные сервисы: Mail.ru, Yandex.ru и т. п.). Кроме того, с помощью Business Guardian можно осуществлять контент-анализ трафика на основе рубрицирования, анализ текстов с учетом морфологии на разных языках и анализ формальных реквизитов объекта. Система также позволяет контролировать и блокировать действия пользователя при авторизации на публичных веб-ресурсах (почтовые серверы, социальные сети, форумы и т. д.), вести базы данных обнаруженных нарушений корпоративной политики безопасности и проводить полнотекстовый поиск по архиву сохраненной информации.

– В чем заключаются основные конкурентные преимущества этой системы и кому она может быть полезна?
– Среди достоинств Business Guardian – оперативность, универсальность, высокая производительность. В минимальной конфигурации система способна в реальном времени обрабатывать трафик со скоростью до 100 Мбит/с. К тому же она хорошо масштабируется, что позволяет обеспечить обработку трафика типовых каналов связи средних и больших организаций.
Имея модульную структуру, Business Guardian решает задачу гибкой настройки под существующую инфраструктуру телекоммуникационной сети и расширения функциональности отдельно взятого модуля. Возможность территориального распределения позволяет компаниям, чьи офисы расположены, например, в разных городах, поэтапно внедрять контроль информационных потоков филиалов, оставляя функции управления и мониторинга в центральном офисе.
В первую очередь система представляет интерес для предприятий, использующих данные, не подлежащие разглашению, для компаний, работающих с закрытой информацией клиентов (юридические бюро, консалтинговые компании, ЧОПы и пр.). А также для организаций, имеющих территориально удаленные офисы (страховые компании, банки и пр.).
Система привлекательна еще и тем, что может использоваться любой организацией независимо от направления ее деятельности, будь то торговый комплекс или производственное предприятие, склад или государственное учреждение, то есть там, где руководством ставится задача по обеспечению комплексной информационной безопасности в телекоммуникационной сети организации.

– Как происходит процесс внедрения системы Business Guardian? Какие трудности могут возникнуть?
– Процесс внедрения системы включает в себя прежде всего обследование телекоммуникационной инфраструктуры организации с учетом тех задач по предотвращению утечки конфиденциальной информации, которые ставит заказчик, выдачу рекомендаций по конфигурации аппаратных средств и системного программного обеспечения. Затем проводится инсталляция системы и обучение персонала. Трудности вряд ли возникнут, если будут соблюдены все процедуры.

– Так какой подход к защите информации вы порекомендовали бы, например, новой компании?
– Конечно, комплексный. С точки зрения затрат это будет рационально, а с точки зрения результативности – эффективно.

Компания ИТЕРАНЕТ – одна из немногих в РФ, имеющих полный пакет
лицензий ФСБ и ФСТЭК в области защиты информации, что позволяет ей
организовывать и проводить работы по защите информации на солидной
методологической основе.