Роман Паршин: О тонкостях защиты государственных секретов

Как в последнее время меняются методы атаки иностранных разведок и что могут российские компании противопоставить новым разведывательным методам?

РОМАН ПАРШИН: Вопрос противодействия ИТР является очень актуальным, поэтому тут рекомендация может быть только одна — соблюдать требования по технической защите информации, изложенные в Приказе ФСТЭК России № 025.

Приказ ФСТЭК России №025 был принят в октябре 2016 года. Не потерял ли он актуальность с этого времени? Появились ли за прошедшее время новые методы организации утечек секретной информации?

РОМАН ПАРШИН: Нет, приказ не потерял актуальность, методы утечки не изменились.

Как должна быть организована защита секретной информации от утечек по каналам побочных электромагнитных излучений и наводок (ПЭМИН)? На что нужно обратить внимание при организации такой защиты?

РОМАН ПАРШИН: Ответ на этот вопрос содержится в том же режимном документе — Приказе ФСТЭК России № 025. Информация о том, как именно защищать информацию может навредить самой деятельности по ее защите, поэтому регулятор закрывает данные сведения соответствующим грифом и доводит их до субъектов исключительно при наличии соответствующих данному грифу допусков.

Но если говорить про те же каналы ПЭМИН, то общие рекомендации есть — техника должна пройти специальные проверки и специальные исследования, по результатам которых специалисты определяют искомые показатели. Если они будут соответствовать требованиям обозначенного выше документа, то техническое средство можно использовать. Если нет, то необходимо применить дополнительные средства и меры защиты, например генераторы шума, которые призваны уменьшить полученные ранее показатели.

Какие нормативные требования есть по защите данных от утечек по побочным каналам и как они изменились в последнее время? В чем особенность защиты государственной тайны? Что нужно учитывать при построении ее защиты?

РОМАН ПАРШИН: Основным документом являются «Требования по технической защите информации», утвержденные приказом ФСТЭК России № 025, но в рамках защиты государственной тайны о его содержании и изменениях мы с вами говорить не можем и не будем. Как уже говорилось ранее — особенность ее защиты в том, что защищается в том числе информация и о том, как защищаются такие сведения.

Если интересно, то в наиболее общем виде могу привести основные методы защиты ГТ:

• скрытие;
• ранжирование;
• дезинформация;
• дробление;
• страхование;
• морально-нравственные;
• учет;
• кодирование;
• шифрование.

Но более детально о них могут говорить только допущенные к данным сведениям люди и при соблюдении определенных условий.

Как компании организовывать защиту конфиденциальной информации? Какие нормативные документы и оборудование для этого необходимо использовать? В чем особенность защиты персональных данных и какие методы их защиты эффективнее всего использовать?

РОМАН ПАРШИН: Что касается защиты персональных данных то, по сравнению с защитой государственной тайны, тут все легче и как следствие менее закрыто.

Меры защиты конфиденциальной информации делятся на правовые, организационные и технические.

Правовые — это совокупность нормативных актов, устанавливающих соответствующие требования. Любая компания имеет возможность ознакомиться с ними.

ФЗ №149-ФЗ. На его основании можно определить какая информация считается конфиденциальной и требует соответствующего обращения, содержит рекомендации по безопасному обмену данными, ограничению доступа к ним, определяет требования по защите информации, а также ответственность за нарушения.

ФЗ №98-ФЗ содержит критерии отнесения информации к коммерческой тайне.

ФЗ № 152-ФЗ. Имеет отношение к любой компании, которая хранит и обрабатывает информацию о сотрудниках и клиентах.

ФЗ № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Он актуален не для всех компаний, а для предприятий «КИИ».

Если говорить именно о том, кому и как защищать, то в этих целях существуют Приказы ФСТЭК России № 17 и 21, а также методические рекомендации ведомства «Меры защиты информации в государственных информационных системах».

Организационные меры — это совокупность разработанных конкретным субъектом локальных актов, направленных на защиту конфиденциальной информации, циркулирующей внутри самой компании. Сюда можно отнести различного рода политики безопасности, правила допуска как сотрудников к чувствительной информации, так и любых лиц на объект в целом, определение ответственных лиц, их обучение и иные меры, которые компания сама определяет и утверждает для себя в данных целях.

Технические меры защиты конфиденциальной информации — использование сертифицированных регулятором технических средств и систем в целях защиты КИ. Тут важным моментом будет то, что эти средства и системы должны быть сертифицированы ФСТЭК для применения. Это и использование антивирусного ПО, межсетевых экранов, SIEM-систем, средств доверенной загрузки, IPS, IDS и DLP систем.

Как организовать защиту помещений от прослушки и постороннего вмешательства? Какие организационные и технические меры для этого необходимо использовать?

РОМАН ПАРШИН: Начать необходимо с правильного выбора помещения. Мы понимаем, что, чем меньше лиц, а тем более посторонних лиц имеют доступ к ограждающим такое помещение конструкциям, тем надежнее защищена информация, циркулирующая в нем. Чем толще стены, тем лучше. Есть окна — необходимо исключить возможность визуально видеть снаружи то, что происходит внутри (шторы, рольставни справятся с этой задачей).

Если говорить про технический аспект, то самым логичным методом защиты речевой информации будет метод зашумления с помощью различных генераторов акустических сигналов. Но, опять же, мы понимаем, что эти технические средства также должны быть сертифицированы.

Какие технические инструменты защиты необходимо использовать для защиты таких секретов как персональные данные и конфиденциальная информация?

РОМАН ПАРШИН: Защита персональных данных и конфиденциальной информации является важной и многоаспектной задачей, решение которой требует применения технических инструментов, таких как:

1. Шифрование данных - является одним из наиболее эффективных способов их защиты. Этот процесс преобразует исходную информацию в закодированный вид, который невозможно прочитать без специального ключа. Таким образом, даже в случае несанкционированного доступа к данным, злоумышленник не сможет получить к ним доступ. Это особенно важно для информации, передаваемой по открытым каналам связи.
2. Многофакторная аутентификация - существенно повышает уровень безопасности доступа к конфиденциальным данным. Она предполагает использование нескольких методов подтверждения личности пользователя, например, сочетание пароля и одноразового кода, высылаемого на мобильный телефон. Это значительно усложняет процесс получения несанкционированного доступа.
3. Управление доступом к информации - является важным барьером на пути возможных утечек. Ограничение прав доступа только для тех сотрудников, кому это необходимо для выполнения служебных обязанностей, исключает риск случайного или преднамеренного разглашения данных.
4. Регулярное резервное копирование информации - является страховкой на случай непредвиденных ситуаций, таких как сбои в работе систем или кибератаки. Наличие резервных копий позволяет быстро восстановить данные и минимизировать потери в случае возникновения подобных инцидентов.

Комплексное применение этих технических инструментов в совокупности с организационными мерами безопасности является ключом к эффективной защите персональных данных и конфиденциальной информации.

Насколько процесс импортозамещения опасен или полезен при организации защиты различных секретов?

РОМАН ПАРШИН: Если рассматривать данный вопрос по направлению деятельности нашей компании, то необходимо учитывать, что требования регуляторов обязывают использовать для защиты сертифицированные средства, внесенные в реестры, за ведение которых отвечает регулятор. Данные сертификаты имела и продукция зарубежных производителей, но, на фоне текущей повестки, эти сертификаты были отозваны. Таким образом, мы понимаем, что с точки зрения достижения конечной цели работ по защите информации, расширение номенклатуры и количества отечественных средств защиты информации безусловно несет пользу.

‍

Оригинал статьи на Tadviser