Регистрировать ли события безопасности ПДн?
Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» регламентирует реализацию организационных и технических мер обеспечения безопасности, которые необходимо использовать оператору персональных данных для соблюдения требований Федерального закона «О персональных данных».
Согласно второй главе Приказа ФСТЭК России №21:
"8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят: <…> регистрация событий безопасности;
<…>
8.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них."
Таким образом, регистрация событий безопасности является одной из необходимых мер обеспечения безопасности персональных данных.
Новые требования по обнаружению фактов несанкционированного доступа к ПДн
В конце 2020 года вступил в силу Федеральный закон от 30.12.2020 №515-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности", который дополнил п. 6 ч. 2 ст. 19 Федерального закона «О персональных данных» следующей формулировкой:
"2. Обеспечение безопасности персональных данных достигается, в частности:
<…>
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;"
Для выполнения обновленных требований Федерального закона «О персональных данных» могут использоваться следующие меры обеспечения безопасности персональных данных из Приказа ФСТЭК России №21:
- РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения.
- РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации.
- РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения.
- РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них.
- РСБ.7 Защита информации о событиях безопасности.
- COB.1 Обнаружение вторжений.
- ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов.
- ИНЦ.4 Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий.
- ИНЦ.5 Принятие мер по устранению последствий инцидентов.
- ИНЦ.6 Планирование и принятие мер по предотвращению повторного возникновения инцидентов.
Исходя из анализа правил реализации вышеперечисленных мер, описанных в Методических указаниях ФСТЭК России от 11 февраля 2014 «Меры защиты информации в государственных информационных системах», можно выделить следующие требования по реализации процесса регистрации событий безопасности:
- Обеспечить обнаружение и предотвращение вторжений (компьютерных атак) посредством системы обнаружения вторжений, которая должна включать в себя компоненты регистрации, анализа и реагирования на события безопасности.
- Определить перечень событий безопасности, которые необходимо регистрировать, с учетом возможных угроз безопасности информации.
- Определить, какую информацию о событиях безопасности необходимо фиксировать в системе регистрации событий.
- Установить сроки обработки информации о событиях безопасности.
- Проводить периодический мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагировать на них.
- Обеспечить синхронизацию системного времени для точной фиксации событий безопасности.
- Отобразить реализацию вышеперечисленных рекомендаций в организационно-распорядительных документах по защите информации.
Для выполнения требований законодательства можно использовать SIEM решения.
Какие события безопасности необходимо регистрировать?
Согласно ст. 3 Федерального закона «О персональных данных» под ИСПДн понимается: совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Таким образом, регистрация событий безопасности возможна как на уровне базы данных, так и на уровне технологий обработки (например, на сервере приложений).
В результате анализа содержания мер по обеспечению безопасности персональных данных Приказа ФСТЭК России №21, Методических указаний ФСТЭК России, а также Международного стандарта ISO/IEC 27701 (Менеджмент персональной информации) нами был сформирован следующий рекомендуемый к регистрации список событий безопасности:
- удачные и неудачные попытки аутентификации в информационной системе;
- факт доступа к персональным данным (в т.ч. неудачные попытки), включая информацию о том:
- кому,
- когда, и
- к каким персональным данным был предоставлен доступ или какие изменения были внесены;
- любые попытки выполнения действий, не разрешенных правилами информационной системы;
- факт передачи персональных данных в другие информационные системы или другим операторам персональных данных;
- внесение изменений в правила разграничения доступа, права и привилегии пользователей ИСПДн, а также информация о том, когда и кем данные изменения были внесены;
- обновление или установка новых приложений, программ и компонентов ИСПДн, изменение конфигурации ИСПДн.