Журнал "Системы Безопасности" № 6‘2024

К О М П Л Е К С Н А Я Б Е З О П А С Н О С Т Ь , П Е Р И М Е Т Р О В Ы Е С И С Т Е М Ы 53 С 11 декабря 2024 г. уголовная ответственность зависит от вида нарушения. В частности, за незаконное использование, передачу, сбор и хранение цифровой информации, содержащей персональные данные, нарушителю грозит до четырех лет лишения свободы. Между тем, по данным Сбера, персональные данные 90% взрослого населения есть в откры- том доступе [4]. Так может, если данные, веро- ятно, уже утекли, не обязательно думать об их защите? Увы, никого не интересует, что данные "уже" утекли. Достаточно связать очередную утечку с конкретным юридическим лицом – и "привет, последствия!". А сопоставить с источ- ником данные обычно технически очень просто, так как выставляют в открытый доступ/на про- дажу не чистые персональные данные, разло- женные по полочкам, а полные дампы/выгруз- ки данных из информационных систем. Такие данные идут в комплекте с различной техниче- ской информацией, специфичной для конкрет- ной системы, для конкретного бизнеса. И по ним сразу понятно, откуда данные слиты. Возможно, кто-то из читателей в силу привычки напомнит, что "строгость российских законов смягчается необязательностью их исполнения". Вот только в сложившейся геополитической и экономической ситуации государство вынуж- дено гораздо активнее работать над пополнени- ем бюджета. И там, где раньше у государства "не доходили руки", сейчас оно уже задает вопросы. Да и люди возмущаются: всех замучили беско- нечные звонки от мошенников по слитым пер- сональным данным и навязчивая реклама. А общество очень радуется, когда злодеев нака- зывают. Таким образом, при наличии возмож- ности пополнить казну за чужой счет и пропиа- рить наказание злодеев государство не преми- нет такой возможностью воспользоваться. На взгляд автора статьи, это довольно весомые аргументы, чтобы как минимум задуматься о соответствии системы физической безопасно- сти актуальному законодательству и ее кибер- защищенности. Не думать сейчас о защите пер- сональных данных – это брать на себя непри- емлемый риск. Наконец, "страх кончается там, где начинается неизбежное"! При этом думать о защите персональных дан- ных можно и нужно в двух направлениях – организационном/юридическом и информа- ционном/техническом. Правильная организация – залог успеха В части обеспечения юридически грамотной обработки персональных данных необходимо правильно выстроить процессы на предприя- тии, вести необходимую документацию, испол- нять формальные требования закона. Это не так просто, как может показаться. Например, рассмотрим систему контроля доступа на небольшом предприятии. В системе контроля доступа заведены сведения о пропус- ках и их владельцах-сотрудниках. Сведения о владельцах пропусков содержат ФИО, долж- ность и фотографию. Каждый сотрудник подпи- сал согласие на обработку персональных дан- ных с предприятием. В таком случае ФИО при- нято считать персональными данными. А сле- довательно, например, просмотром сведений о владельцах пропусков в программе СКУД, то есть обработкой персональных данных, может заниматься только ответственное лицо, назна- ченное для обработки персональных данных на предприятии соответствующим приказом, озна- комившееся под роспись с этим приказом. Внимание, вопрос: верно ли, что сотрудник охраны за стойкой на проходной, выполняю- щий функции фотоидентификации, является таким ответственным лицом? Отображение ФИО и фотографии с целью визуальной иден- тификации лица, предъявившего пропуск на турникете при входе, формально можно трак- товать как обработку персональных данных. Далее, обратим внимание на рабочее место такого сотрудника охраны. Посредством про- граммы фотоидентификации этот сотрудник имеет доступ к персональным данным. Таким образом, это рабочее место обработки персо- нальных данных в информационной системе контроля и управления доступом. В соответ- ствии с постановлением Правительства Россий- ской Федерации от 1 ноября 2012 г. № 1119 к таком рабочему месту предъявляются опреде- ленные требования по защите персональных данных и уровню их защищенности в зависимо- сти от вида обрабатываемых данных. Даже про- смотр фотографий – это обработка биометри- ческих персональных данных. Таким образом, в соответствии с постановлением необходимо обеспечить как минимум третий уровень защи- щенности персональных данных. А это означает, например, что не должно быть возможности неконтролируемого пребывания в помещении с автоматизированным рабочим местом (АРМ) фотоидентификации лиц, не имеющих права доступа в это помещение. Внимание, вопрос: верно ли, что охранник на проходной физически находится в отдельном помещении, доступ в которое ограничен? Кроме того, такое АРМ должно быть надежно защищено, в том числе с использованием средств защиты информации, прошедших про- цедуру оценки соответствия требованиям зако- нодательства Российской Федерации в области обеспечения безопасности информации. То есть операционная система и программные средства должны быть сертифицированы или "закрыты" сертифицированными наложенными средства- ми, не должно быть возможности установки стороннего ПО, копирования данных и прочее, и прочее. Внимание, вопросы: возможно ли подключить к компьютеру флеш-накопитель и скопировать на него какие-либо данные, установлена ли на рабочем месте ОС с действующим сертифика- том ФСТЭК, вроде Astra Linux (или эксплуатиру- ется ОС семейства Windows)? И это лишь малая часть самых простых вопро- сов, на которые необходимо получить верные ответы для соответствия всему многообразию требований по обработке персональных дан- ных. Для того чтобы в достаточном объеме выполнить требования законодательства, на предприятиях приходится выделять под эти задачи штатного специалиста-юриста, а в круп- ных компаниях даже целые юридические отде- лы. Естественно, не все заказчики могут себе это позволить. Киберзащищенность – ключевой фактор Практика показывает, что только организацион- ных мер все же недостаточно, чтобы свести к минимуму вероятность утечки персональных данных. Даже в крупных, весьма обеспеченных корпорациях и ИТ-гигантах происходят утечки (и кстати, особенно громкие: ведь такие ситуа- ции в силу масштаба и публичности компании гораздо сложнее утаить). И это несмотря на наличие выделенных отделов и специалистов по кибербезопасности, юристов и эффективных менеджеров. Чего уж говорить про предприя- тия меньшего масштаба. Все дело в том, что для защиты от утечек необходимо также обеспечить высокий уро- вень киберзащищенности решения – устойчи- вости всех систем к различным атакам и взло- мам. Достаточно взломать одну систему – подобрать пароль, найти "забытый" сетевой тоннель или воспользоваться эксплойтом в устаревшей версии ОС на одном из серверов, и злоумышленник может получить доступ ко всем данным. И системы физической безопасности могут оказаться в этом вопросе самым слабым зве- ном. Представленные на рынке продукты для безопасности зачастую построены на реше- ниях и продуктах 10-/20-/30-летней давно- сти, которые были исходно спроектированы для работы в закрытых/изолированных сетях, без учета современных требований к кибербе- зопасности, без оглядки на злободневные киберугрозы. В таких решениях не заложены актуальные принципы цифровой гигиены: данные передаются по открытым каналам, нет политик управления паролями, работа про- граммного обеспечения в операционной системе осуществляется с полными админи- стративными правами. Посмотрим вниматель- но на типичную систему физической безопас- ности. Во-первых, ПО систем физической безопас- ности часто разрешает использование корот- ких, простых или даже однобуквенных паро- лей. И такие пароли используются годами (!). Часто один и тот же простой пароль исполь- зуется на всех устройствах системы одновре- менно (!!). При этом, по данным Ростелеком Солар, в 2024 г. атаки на слабые пароли являются самыми популярными. В результате подбора по базам известных, популярных и простых паролей злоумышленник получает доступ к системе от имени и с правами соот- ветствующего пользователя. Отсутствие встроенных в ПО политик управления паро- лями – ограничения их минимальной слож- ности, требования периодической ротации www.secuteck.ru декабрь 2024 – январь 2025 Н е думать сейчас о защите персональных данных – это брать на себя неприемлемый риск.