Разработан ГОСТ защиты от утечек информации

Группа компаний «Солар» и компания «Центр безопасности информации» (ООО «ЦБИ») представили для публичного обсуждения в Росстандарт проект Национального стандарта (ГОСТа) «Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения».

Новый ГОСТ позволит ввести в правовое поле понятие «утечка информации (из программной среды информационных (автоматизированных) систем)» и заложит методическую и нормативную базу для защиты от этого вида киберугроз и использования специальных технических средств защиты от утечки (DLP-систем).

Разработка проекта была инициирована ГК «Солар» и осуществлялась в рамках работы технического комитета Росстандарта 362 «Защита информации». Предварительное обсуждение документа велось в формате экспертного сообщества, куда вошли регуляторы в сфере защиты информации, все ключевые разработчики DLP-систем, а также их эксплуатанты, научные организации.

По мнению руководителя отдела аналитики ООО «СерчИнформ» Алексея Парфентьева:

«Документ получится сбалансированный, так как у каждого была возможность внести предложения и усовершенствования. Суммарно исходный вариант был переработан более чем на 50%, перед тем как выйти на общественные обсуждения».

Директор ГК InfoWatch Михаил Смирнов рассказал, что участвовавшие в разработе ГОСТа эксперты поддерживают позицию ФСТЭК по созданию стандарта, «который отвечал бы потребностям рынка и пользователей, а не отдельно взятого вендора». При этом представитель InfoWatch напомнил, что работа по стандартизации идет уже как минимум 10 лет.

В рамках обсуждения был создан понятийный аппарат стандарта, например раздел с описанием технических средств, используемых для защиты информации от утечки, сформировали с учётом конкурентного положения отдельных производителей DLP‑систем.

По словам разработчиков документа, ГОСТ зафиксирует оптимальные процессы организации защиты от утечек информации и даст формальные основания для использования специальных технических средств. На повышение прозрачности процессов внедрения и эксплуатации DLP‑систем направлены предложения по их формализации: от корректного документального оформления в организации режима защиты информации до уведомления сотрудников о контроле работы со служебной информацией работодателем.

Как рассказала руководитель направления по работе с государственными структурами ГК «Солар» Елена Черникова, в рамках обсуждения содержания ГОСТа его участники затрагивают такие важные вопросы, как технические и аналитические возможности DLP‑систем, юридические аспекты их использования, взаимодействие с производителями контролируемых систем и необходимость подготовки квалифицированных кадров.

Заместитель генерального директора ГК «Гарда» Рустэм Хайретдинов так ответил на вопрос об участии в работе над проектом стандарта:

«Нас приглашали в качестве наблюдателей, но разработчики стандарта все сделали по-своему. Претензий к получившемуся содержанию у нас нет. И в целом какой-то срочной необходимости нет, компании в большинстве уже так или иначе построили работу по борьбе с утечками данных по техническим каналам. Рынку решений по борьбе с утечками уже больше 20 лет, опыт накоплен большой, есть лучшие практики во всех дисциплинах: моделирование угроз, оценка рисков, критерии выбора организационных и технических мер, внедрение и настройка типовых решений и т.п.».

По его мнению, ничего реально нового крупные компании от документа не получат, однако «хорошо, когда все лучшие практики собраны в одном документе, изданном от имени государства».

«ГОСТ по предотвращению утечек — это только первый этап. Далее последуют методические рекомендации. Уже после этого требования по защите от утечек должны стать приказами регуляторов, обязательными как минимум для операторов ПДн. Причина необязательности как раз в том, что нет готовой методологии по защите от утечек, а методология может ссылаться только на государственный стандарт», – полагает Алексей Парфентьев.