Журнал "Information Security/ Информационная безопасность" #1, 2021

Колонка эксперта обеспечению защиты информации в автоматизированных системах управ- ления производственными и техно- логическими процессами на крити- чески важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опас- ность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федераль- ной службы по техническому и экс- портному контролю от 14 марта 2014 г. № 31" 22 . Как и следовало ожидать, измене- ния направлены на приведение тре- бований по сертификации средств защиты информации в соответствие к действующим в настоящее время в системе сертификации ФСТЭК Рос- сии требованиям к уровням доверия (Требованиям по безопасности информации, устанавливающим уров- ни доверия к средствам технической защиты информации и средствам обеспечения безопасности информа- ционных технологий, утвержденным приказом ФСТЭК России от 2 июня 2020 г. № 76). Административная ответственность за нарушение требований по обработке персональных данных Федеральным законом от 24 февраля 2021 г. № 19-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" 23 (далее – ФЗ № 19). С 27 марта 2021 г. увеличивается размер штрафов по боль- шинству составов нарушений законода- тельства Российской Федерации в обла- сти ПДн, а также появилась ответствен- ность за повторное нарушение по ряду оснований. Перечень изменений в адми- нистративные штрафы приведен в таб- лице 1. Требования к защите информации в платежной системе Банка России 15 февраля 2021 г. официально опуб- ликовано положение Банка России от 23.12.2020 № 747-П "О требованиях к защите информации в платежной систе- ме Банка России" 24 (далее – 747-П). 747-П официально вступило в силу 26 февраля 2021 г. (за исключением положений, для которых установлены иные сроки вступления в силу) и при- знает утратившим силу положение Банка России от 09.01.2019 № 672-П. Положения практически совпадают по содержанию, однако есть изменения, связанные с внесением изменений в Федеральный закон от 27.06.2011 № 161-ФЗ "О национальной платежной системе", выходом нового положения от 24.09.2020 № 732-П "О платежной системе Банка России", изменениями в подходе Банка России к управлению рисками. l В контексте нормального функциони- рования процессов анализа данных и принятия решений важно, чтобы каждый участник для исполнения своих обязан- ностей был обеспечен доступом к необходимым и достаточным ресур- сам. Не больше! Для поддержания правильной работы информационной системы нужны адми- нистраторы, обладающие привилегией доступа ко всем ее подсистемам и ком- понентам. Возникает вопрос: как орга- низовать выдачу прав доступа и уста- новить ответственность для такой необычной категории пользователей? Чтобы структурировать доступ систем- ных администраторов к корпоративным ресурсам, существуют системы контро- ля привилегированного доступа, PAM (Privilege Access Management). Что нужно учесть при выборе PAM? Управляемая ИТ-инфраструктура долж- на быть достаточно сложной. Если у вас работают, к примеру, два сменных адми- нистратора, вполне можно обойтись стан- дартными средствами контроля доступа. Однако же если администраторов, серве- ров и систем больше двух десятков, если наблюдается текучка кадров, если вы привлекаете аутсорсеров, о которых зача- стую известен лишь логин, если бизнесу необходимо защищать коммерческую тайну, и утечка может фатально повлиять на его жизнедеятельность, то следует серьезно задуматься о внедрении PAM. PAM динамически ограничивает при- вилегированный доступ временными рамками, назначенной задачей, целе- вым ресурсом и возможностью эскала- ции запроса на доступ к ответственным лицам. При этом в идеале PAM дает администраторам систем лишь мини- мально необходимые привилегии. Что PAM должна уметь? 1. Следует серьезно задуматься о без- опасности самой системы PAM, посколь- ку ее компрометация тождественна утеч- ке доступа ко всем ресурсам. 2. Нужна высокая доступность систе- мы PAM и инструкция по действиям в случае ее отказа. 3. Следует понимать, что специали- сты, на деятельность которых влияет эта система, обладают повышенной экспертизой в ИТ, и это несет дополни- тельные риски в случае, если кто-то из них задумается об обходе системы. 4. Не следует забывать о технологи- ческих учетных записях, которые, как правило, не имеют своего хозяина и оказываются вне фокуса внимания. 5. PAM должна уметь работать в гетерогенной среде, иметь возможность управлять всем существующим и буду- щим набором систем и средств вашего ИТ-ландшафта. 6. Система должна поддерживать весь набор привычных вашим админи- страторам инструментов. Недоступность неограниченного доступа для пользователей обеспечивается за счет сокрытия паролей от привилегированных учетных записей. Система PAM сама соз- даст новую сессию, инжектирует логин и пароль в нужные окна и после авторизации выдаст готовую сессию пользователю. Если же необходимо раскрыть пользова- телю пароль, система сама поменяет этот пароль после использования. Поддержи- вается также контроль использования раз- деленных учетных записей. С помощью PAM вы без большого труда найдете того, кто, к примеру, пару недель назад непра- вомерно загрузил образ из-под root. В системе PAM должна поддерживать- ся видеозапись и журналирование всех действий пользователей с возможностью последующего поиска с фильтрацией. Во избежание ненужной траты челове- ческого ресурса на мониторинг в режиме 24х7 должна поддерживаться автомати- ческая реакция системы на некорректные действия пользователей в виде уведом- лений офицерам ИБ, предупреждений пользователям, блокировки или пере- хвата ввода либо полной блокировки учетной записи пользователя. l • 19 ПРАВО И НОРМАТИВЫ www.itsec.ru 23 http://publication.pravo.gov.ru/Document/View/0001202102240010? index=0&range- Size=1&fbclid=IwAR141sjRsN3O5ndM_zjyFEFoMTO9RH5O4GGdk8Vh06hLbz1S6gvva FACf-U 24 https://cbr.ru/Queries/UniDbQuery/File/90134/1243 Ваше мнение и вопросы присылайте по адресу is@groteck.ru Критерии выбора системы PAM Николай Валаев, специалист по продуктам контроля привилегированного доступа компании Web Control