Журнал "Information Security/ Информационная безопасность" #6, 2024

ка систем ИБ должна производиться, исходя из этого принципа. В этом контексте SIEM становится незаменимым инструментом, который позволяет отслеживать попытки несанк- ционированного доступа, – например, использование аккаунтов для подключе- ний из нетипичной геопозиции или с нового устройства. При правильной настройке SIEM выявит подобные попыт- ки и таким образом поможет подтвер- дить подозрения, что эта конкретная учетная запись действительно была скомпрометирована. Дальнейшие дей- ствия очевидны: нужно менять пароль, добавлять дополнительные факторы аутентификации или даже полностью отключать доступ. Помимо этого, SIEM может быть настроена на мониторинг перебора паро- лей. Суть заключается в том, что если система зафиксировала несколько неудач- ных попыток ввода логина подряд, а затем последовал успешный вход, это должно быть расценено как инцидент, на который обязательно нужно отреагировать. Смягчающие обстоятельства Одно из новых смягчающих обстоя- тельств для снижения размера оборот- ного штрафа – если в течение трех лет компания тратит хотя бы 0,1% от своего оборота на нужды информационной без- опасности. Но пока не вполне ясны трак- товка и практика применения этого поло- жения. В любом случае важно помнить, что комплексный подход предполагает вовлеченность в вопросы ИБ не только специально выделенных специалистов или подразделений, но и всей организа- ции. В этом контексте обеспечение без- опасности становится общим делом всего коллектива, и руководство компании играет важную роль в повышении уровня осведомленности и защищенности на всех уровнях. Это касается не только непосредственно ИБ-отделов, но и рабо- ты юристов, сотрудников подразделений, которые взаимодействуют с персональ- ными данными, а также обязательного обучения всего персонала основам без- опасности. Время, которое сотрудники тратят на обучение, по сути, можно рас- сматривать как затраты на ИБ. Кроме того, важно отметить, что даже компании, которые не выделяют отдель- ные средства на информационную без- опасность, уже оснащены сетевыми устройствами и базовыми средствами защиты, такими как антивирусы, VPN- шлюзы, межсетевые экраны, коммута- торы. Многие из этих продуктов давно решают не только ИТ-задачи, но обес- печивают дополнительную безопасность. Это позволяет фактически достигать установленного порога на основе уже затраченного времени и усилий, а также приобретенного оборудования. Безусловно, затраты на приобретение, внедрение и эксплуатацию SIEM при должном документировании также помо- гут достичь необходимого уровня. Новый рывок для рынка ИБ Законодательные требования всегда были важным драйвером развития рынка информационной безопасности в России. Достаточно вспомнить ажиотаж, сопро- вождающий вступление в силу законов № 152 и № 187. Текущие нововведения, скорее всего, создадут для заказчиков определенные сложности, но станут еще одним уско- рителем для рынка информационной безопасности. Однако можно привести и пару возражений против этого тезиса. Во-первых, если рассматривать круп- ные компании, то с учетом введенного размера штрафов для них ситуация не сильно изменилась, и значительный вклад в рост рынка ИБ они вряд ли внесут. Во-вторых, оборотные штрафы вво- дятся только при повторной утечке, в то время как при первом инциденте штра- фы хотя и заметно выросли, но все же остались фиксированными. Будем реа- листами: большинство компаний, став- ших жертвами атак, подвергались им только один раз, а оборотные штрафы в таких случаях не накладываются. Но действительно беспокоит то, что из-за новых штрафов стоимость услуг по восстановлению дан- ных после атак шифро- вальщиков, вероятно, значительно возрастет. Если раньше расчет стои- мости расшифровки осно- вывался на оценке затрат на защиту и восстановление инфраструктуры, то теперь он будет включать и возможные штрафы. Стоит ожидать, что средний выкуп за расшифровку данных значи- тельно вырастет. Тем не менее шаги, предпринимаемые для защиты ПДн, в целом правильные. Не раз поднимался вопрос о том, что старые штрафы были слишком малы и не способствовали реальному улуч- шению уровня информационной без- опасности. Заключение Нововведения в законодательство о персональных данных довольно активно смещает акцент с "бумажных" аспектов и комплаенса на реальную защиту. Нет сомнений в том, что в ближайшем будущем использование SIEM как ядра системы информационной безопасности станет более широким, выходящим за пределы требований 21-го приказа ФСТЭК России и норм о защите крити- ческой информационной инфраструк- туры. Однако как бы ни была продвинута система ИБ, идеальной защиты не суще- ствует, особенно в условиях нехватки квалифицированных специалистов. К сожалению, я встречал немало при- меров, когда организация покупала SIEM-систему, устанавливала и забыва- ла о ней. В других случаях SIEM внедря- ли, но никто за ней не следил, не обнов- лял и не адаптировал под изменяющийся ландшафт угроз. Бывает, что настройка системы выполняется на высоком уров- не, создаются десятки правил корреля- ции, но со временем это приводит к пере- грузке системы, и она становится неэффективной. Все это лишний раз подтверждает, что не все проекты завер- шаются успешным внедрением и полно- ценной эксплуатацией системы. Поэтому стоит полагаться не только на интуицию, но и более внимательно прислушиваться к советам вендоров. l • 59 Защита персональных данных www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ RUSIEM см. стр. 72 NM Реклама Рис. Экосистема RuSIEM Рисунок: RuSIEM