Внедрение решений для обеспечения информационной безопасности веб-порталов государственных организаций не всегда объясняется только реальной необходимостью. С 2009 года в нашей стране действует федеральный закон №8, обязывающий государственные органы и органы местного самоуправления предоставить гражданам доступ через интернет к сведениям о своей деятельности. Он напрямую не регламентирует использование технических средств, но требует принять меры по защите информации в соответствии с российским законодательством. Однако говорить стоит о защите не только доступности, но и целостности информации, размещенной на веб-сайте, ведь взломанный сайт с некорректной информацией в ряде случаев может быть гораздо более неприятной проблемой, чем недоступный в течение некоторого времени. Впрочем, конфиденциальность также надо охранять, ведь многие сайты госорганов могут содержать базы данных физических и юридических лиц, кража которых может привести к неприятным последствиям для того же госоргана, не говоря уж о самих субъектах этих данных.

Подобные требования существуют и в коммерческом секторе, хотя бизнес чаще сталкивается с законом о персональных данных (ФЗ №152) и с выпущенными отраслевыми регуляторами нормативными актами. Открывая доступ к информации через сети общего пользования, организации сталкиваются с угрозами хакерских атак, а также с необходимостью разобраться во всех юридических нюансах. Это может оказаться очень непростым делом и сегодня мы попробуем разложить все задачи, что называется, по полочкам.

Кому это нужно?
Обязывающий государственные организации выкладывать информацию в сеть ФЗ №8 приводит нас к статье 16 ФЗ №149, в которой говорится, что требования о защите содержащейся в государственных информационных системах информации устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Например, для госорганов одним из таких документов является приказ ФСТЭК России №17 от 11.02.2013 г. в редакции от 15.02.2017 г., обязывающий их применять средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации.

Не менее важен федеральный закон №152 и другие нормативные акты, регулирующие обработку персональных данных россиян — они затрагивают деятельность ресурсов государственных организаций (сайт госуслуг, личный кабинет налогоплательщика, личный кабинет пенсионного фонда), а также любых коммерческих структур, собирающих и хранящих информацию граждан. И в этом случае также существенную роль играют решения по защите порталов, например, медицинских организаций и других компаний, от подбора паролей к личным кабинетам, войдя в который злоумышленник получит доступ к весьма чувствительной информации.

Деятельность кредитных организаций будет регулировать выпущенный Банком России ГОСТ по информационной безопасности, который вступит в силу в 2018 году — он, в частности, требует использовать имеющие сертификат ФСТЭК средства даже в коммерческих банках. Оформляющие электронные полисы ОСАГО страховые компании обязаны обеспечить круглосуточный бесперебойный доступ к своим ресурсам, они также активно работают с персональными данными и все это накладывает определённые ограничения на выбор средств защиты. Приведённый нами список отраслей и нормативных актов далеко не полон — нарушения федеральных законов и требований регуляторов могут возникнуть где угодно, хотя в других сферах эта проблема стоит не так остро.

Модель угроз
Перед попадающими под госрегулирование систем безопасности организациями встают вопросы обеспечения доступности, целостности и конфиденциальности данных. Если говорить о модели угроз, в первую (по распространённости, а не в порядке важности) очередь созданные ими ресурсы страдают от DDoS-атак (сокр. от англ. Distributed Denial of Service, распределённый отказ в обслуживании) — сотни тысяч заражённых вредоносным ПО и объединённых в так называемый ботнет компьютеров способны создать такой поток запросов, с которым сервис заведомо не сможет справиться.

Массированная DDoS-атака может привести к временной недоступности данных, но наибольшую опасность представляют атаки на веб-приложения: всевозможные SQL-инъекции, межсайтовый скриптинг и другие способы удаленной эксплуатации уязвимостей в установленном на серверы программном обеспечении. Часто это целевые атаки и злоумышленники вначале исследуют систему безопасности жертвы — для этого они могут внедрять на компьютеры организации вредоносное ПО и использовать методы социального инжиниринга. В результате обычно происходят утечки персональных данных, кражи денежных средств или порча информации.

Методы защиты
Для защиты от DDoS-атак вычислительные ресурсы серверов и пропускная способность сети должны иметь некоторый запас, а самое главное — требуется установка специальных аппаратно-программных комплексов, способных распознать вредоносный трафик и эффективно его отфильтровать. В случае, если мы говорим о защите крупнейших веб-порталов, то как правило, используется система двойной очистки трафика, то есть сочетание собственного аппаратно-программного комплекса по защите от DDOS, работающего, желательно, в прозрачном режиме, т.е. не имеющего внешнего IP-адреса, с сервисом защиты от DDOS, выполняющего функцию предварительной очистки трафика. Возможности оказывающих подобные услуги провайдеров заведомо больше чем у атакуемых организаций, а их системы позволяют отразить даже массированные DDoS-атаки. Различных решений на рынке множество, но если специфика вашей деятельности предполагает использования сертифицированных ФСТЭК продуктов и услуг, выбор будет серьезно ограничен — в качестве примера можно привести способный функционировать независимо комплекс «Периметр» компании «МФИ Софт» и облачный сервис Kaspersky DDoS Protection.

Для противодействия хакерским атакам на сайты необходимы решения класса WAF (Web Application Firewall). Они позволяют защитить веб-приложения даже при наличии критических уязвимостей и блокируют перебор паролей, обход авторизации, sql-инъекции, межсайтовый скриптинг, удаленное выполнение кода и другие методы из арсенала современных злоумышленников. По сути дела, это специализированные защитные экраны, работающие на уровне приложения и распознающие попытки неправомерного доступа к информации. Также существуют разнообразные сканеры уязвимостей и, разумеется, владельцам ресурсов необходимо регулярно проводить тесты на проникновение самостоятельно, либо с привлечением внешних подрядчиков. Различных WAF на рынке немало, но далеко не все они имеют сертификат ФСТЭК — в качестве хорошего примера можно назвать PT Application Firewall компании Positive Technologies.

Помимо федеральных законов и подзаконных актов есть требования регуляторов и огромное количество других важных нормативных документов — мы упомянули далеко не все из них. Чтобы не иметь проблем с контролирующими органами и не платить в случае нарушений огромных штрафов, предоставляющим доступ к своим ресурсам через интернет или работающим с персональными данными компаниям и организациям стоит провести аудит системы информационной безопасности.

Необходимо проверить, соответствует ли она требованиям законодательства, но решить столь объемную задачу своими силами непросто даже крупной корпорации с мощным штатом юристов и безопасников, поэтому лучше прибегнуть к внешнему аудиту — услуги консалтинга в этой сфере оказывают многие системные интеграторы. Они помогут оценить риски, при необходимости порекомендуют сертифицированные ФСТЭК продукты и помогут их внедрить.

Автор: Яков Гродзенский, руководитель направления информационной безопасности компании "Системный софт"

Подробнее: https://www.securitylab.ru/analytics/489911.php

Автор: Яков Гродзенский, руководитель направления информационной безопасности компании "Системный софт"

Подробнее: https://www.securitylab.ru/analytics/489911.php