Контакты
Подписка 2025
Статьи по информационной безопасности

Новая роль SIEM в защите персональных данных

Максим Степченков, 05/02/25

Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.

Автор: Максим Степченков, совладелец компании RuSIEM

Однако с недавним резким увеличением штрафов и усилением контроля возникло четкое понимание, что персональные данные становятся частью общего риска для бизнеса. Осознание важности мер безопасности пришло только с опытом утечек.

Тем не менее защита персональных данных по-прежнему проще обосновывается требованиями законодательства. Например, если какое-либо техническое решение не прописано в соответствующем нормативном акте, заказчикам, особенно из числа госструктур, бывает сложно найти аргументы для его применения.

SIEM – это ядро корпоративной информационной безопасности. Главной функцией этой системы является мониторинг: своевременное выявление атак и адекватное реагирование на них за счет корреляции событий, происходящих в инфраструктуре. Такой подход при правильной настройке позволяет обнаружить большинство инцидентов.

Использование SIEM-системы с точки зрения законодательства о ПДн не является обязательным для всех организаций. Однако мы подошли к моменту, когда реальная безопасность, интегрированная с защитой персональных данных, немыслима без SIEM.

Расследование утечек

SIEM помогает не только в мониторинге событий и реагировании на инциденты в реальном времени. Она незаменима и при расследовании происшествий. Нередко бывает так, что утечка данных уже случилась, и необходимо выяснить, как именно это произошло. Именно SIEM становится одной из ключевых систем для расследования.

Процесс начинается с анализа данных: аналитики исследуют, как произошел инцидент, выявляют использованные уязвимости, выясняют источник атаки. Один из самых запоминающихся случаев из нашей практики – это атака, которую заказчик сначала принял за действия инсайдера. Однако в ходе расследования выяснилось, что организация была взломана через общедоступные уязвимости, информация о которых публиковалась в Даркнете.

Конечно, большинство злоумышленников стараются уничтожить следы своего присутствия и своих действий, но даже в таких случаях SIEM позволяет обнаружить, продолжается ли атака в текущий момент, и восстановить хронологию событий.

Правильно проведенные расследования помогают внести в настройку средств защиты необходимые изменения, чтобы избежать в будущем реализации того же вектора атаки, повторных утечек и, как следствие, оборотных штрафов.

К слову, мы сталкивались с примерами, когда SIEM не была установлена до инцидента, но после него систему внедряли и начинали активно, а главное, правильно использовать.

Уведомление об утечках

Штрафы за несвоевременное уведомление об инцидентах, связанных с утечкой персональных данных, были значительно увеличены. На уведомление отводится 24 часа, после чего необходимо провести расследование и дополнительно информировать о результатах произошедшего в течение 72 часов.

SIEM помогает собрать необходимую информацию и позволяет автоматизировать техническую часть процесса подготовки и отправки уведомления, сокращая время и облегчая выполнение требований законодательства.

Хотя уведомления можно отправлять и другими способами, SIEM значительно упрощает этот процесс, особенно в случаях, когда компании среднего и крупного бизнеса сталкиваются с многочисленными инцидентами и необходимо выделить те из них, которые действительно требуют уведомления.

Впрочем, не стоит полностью отдавать SIEM решение об отправке уведомления. Необходим тщательный анализ каждого инцидента, и его может выполнить только человек. Важно понимать, что не все события, которые система фиксирует как возможные утечки, таковыми являются. Нередко встречаются случаи, когда компании ошибочно считали инцидент утечкой.

Приведу характерный пример из практики: два ЦОД одной организации синхронизируют информацию между собой. В таком случае SIEM-система может сработать на обычный процесс резервного копирования, ошибочно считая его утечкой данных. Если в результате этого каждый день будет отправляться уведомление в ГосСОПКА, это приведет к ненужным последствиям.

Есть и другие риски: например, случаи, когда уведомления автоматически отправляются в огромных объемах, что может привести к блокировке доступа к ГосСОПКА, если система, например, случайно определит DDoS-атаку за утечку данных. Важно найти золотую середину: хотя автоматизация уведомлений полезна, конечное решение о том, что уведомление действительно необходимо, должен принимать человек.

Важно также правильно внедрить и протестировать SIEM, чтобы в случае реального инцидента не было сомнений в действиях системы. В конце концов, в случаях, когда утечка действительно произошла, необходимо незамедлительно оповестить все заинтересованные стороны.

Принцип "все уже утекло"

Стоит принять за данность, что любые персональные данные и аккаунты, как правило, уже скомпрометированы с высокой степенью вероятности. Настройка систем ИБ должна производиться, исходя из этого принципа.

В этом контексте SIEM становится незаменимым инструментом, который позволяет отслеживать попытки несанкционированного доступа, – например, использование аккаунтов для подключений из нетипичной геопозиции или с нового устройства. При правильной настройке SIEM выявит подобные попытки и таким образом поможет подтвердить подозрения, что эта конкретная учетная запись действительно была скомпрометирована. Дальнейшие действия очевидны: нужно менять пароль, добавлять дополнительные факторы аутентификации или даже полностью отключать доступ.

Помимо этого, SIEM может быть настроена на мониторинг перебора паролей. Суть заключается в том, что если система зафиксировала несколько неудачных попыток ввода логина подряд, а затем последовал успешный вход, это должно быть расценено как инцидент, на который обязательно нужно отреагировать.

Смягчающие обстоятельства

Одно из новых смягчающих обстоятельств для снижения размера оборотного штрафа – если в течение трех лет компания тратит хотя бы 0,1% от своего оборота на нужды информационной безопасности. Но пока не вполне ясны трактовка и практика применения этого положения.

В любом случае важно помнить, что комплексный подход предполагает вовлеченность в вопросы ИБ не только специально выделенных специалистов или подразделений, но и всей организации. В этом контексте обеспечение безопасности становится общим делом всего коллектива, и руководство компании играет важную роль в повышении уровня осведомленности и защищенности на всех уровнях. Это касается не только непосредственно ИБ-отделов, но и работы юристов, сотрудников подразделений, которые взаимодействуют с персональными данными, а также обязательного обучения всего персонала основам безопасности. Время, которое сотрудники тратят на обучение, по сути, можно рассматривать как затраты на ИБ.

Кроме того, важно отметить, что даже компании, которые не выделяют отдельные средства на информационную безопасность, уже оснащены сетевыми устройствами и базовыми средствами защиты, такими как антивирусы, VPN-шлюзы, межсетевые экраны, коммутаторы. Многие из этих продуктов давно решают не только ИТ-задачи, но обеспечивают дополнительную безопасность.

Это позволяет фактически достигать установленного порога на основе уже затраченного времени и усилий, а также приобретенного оборудования.

Безусловно, затраты на приобретение, внедрение и эксплуатацию SIEM при должном документировании также помогут достичь необходимого уровня.

Новый рывок для рынка ИБ

Законодательные требования всегда были важным драйвером развития рынка информационной безопасности в России. Достаточно вспомнить ажиотаж, сопровождающий вступление в силу законов № 152 и № 187.

Текущие нововведения, скорее всего, создадут для заказчиков определенные сложности, но станут еще одним ускорителем для рынка информационной безопасности. Однако можно привести и пару возражений против этого тезиса.

Во-первых, если рассматривать крупные компании, то с учетом введенного размера штрафов для них ситуация не сильно изменилась, и значительный вклад в рост рынка ИБ они вряд ли внесут.

Во-вторых, оборотные штрафы вводятся только при повторной утечке, в то время как при первом инциденте штрафы хотя и заметно выросли, но все же остались фиксированными. Будем реалистами: большинство компаний, ставших жертвами атак, подвергались им только один раз, а оборотные штрафы в таких случаях не накладываются.

Но действительно беспокоит то, что из-за новых штрафов стоимость услуг по восстановлению данных после атак шифровальщиков, вероятно, значительно возрастет. Если раньше расчет стоимости расшифровки основывался на оценке затрат на защиту и восстановление инфраструктуры, то теперь он будет включать и возможные штрафы. Стоит ожидать, что средний выкуп за расшифровку данных значительно вырастет.

Тем не менее шаги, предпринимаемые для защиты ПДн, в целом правильные. Не раз поднимался вопрос о том, что старые штрафы были слишком малы и не способствовали реальному улучшению уровня информационной безопасности.

ris1_w-Feb-05-2025-03-17-11-4612-PM
Рис. Экосистема RuSIEM

Заключение

Нововведения в законодательство о персональных данных довольно активно смещает акцент с "бумажных" аспектов и комплаенса на реальную защиту.

Нет сомнений в том, что в ближайшем будущем использование SIEM как ядра системы информационной безопасности станет более широким, выходящим за пределы требований 21-го приказа ФСТЭК России и норм о защите критической информационной инфраструктуры.

Однако как бы ни была продвинута система ИБ, идеальной защиты не существует, особенно в условиях нехватки квалифицированных специалистов.

К сожалению, я встречал немало примеров, когда организация покупала SIEM-систему, устанавливала и забывала о ней. В других случаях SIEM внедряли, но никто за ней не следил, не обновлял и не адаптировал под изменяющийся ландшафт угроз. Бывает, что настройка системы выполняется на высоком уровне, создаются десятки правил корреляции, но со временем это приводит к перегрузке системы, и она становится неэффективной. Все это лишний раз подтверждает, что не все проекты завершаются успешным внедрением и полноценной эксплуатацией системы. Поэтому стоит полагаться не только на интуицию, но и более внимательно прислушиваться к советам вендоров.

 

Весь номер журнала «Информационная безопасность» читайте на https://cs.groteck.com/IB_6_2024/
Темы:Персональные данныеSIEMRuSIEmЖурнал "Информационная безопасность" №6, 2024оборотные штрафы

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Защищенный удаленный доступ: технологии безопасной дистанционной работы
Материалы конференции Форума ITSEC 2025 →
Статьи по той же темеСтатьи по той же теме

  • Чек-лист: как выбрать результативный SIEM
    Олег Хныков, руководитель группы продуктового маркетинга по инфраструктурной и сетевой безопасности, Positive Technologies
    Как может выглядеть один день из жизни аналитика SOC? Экран завален сотнями событий ИБ, мигают новые алерты, очередные срабатывания правил корреляций. В голове одна мысль: где-то прямо сейчас злоумышленник движется по инфраструктуре, а ты его не видишь, – в этой лавине даже опытный аналитик может пропустить главное.
  • Когда свой – чужой: как вычислить злоумышленника под легитимной учеткой
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    Злоумышленники, использующие легитимные учетные записи – ключевая угроза сегодня для корпоративной инфраструктуры. Если атаки через вредоносный трафик может обнаружить система IDS, а вирусное ПО – антивирус, то действия хакера под видом обычного сотрудника выявить гораздо сложнее. Здесь на помощь приходит SIEM.
  • Оборотные штрафы за утечку персональных данных: как минимизировать риски
    Андрей Быков, руководитель центра консалтинга в области защиты данных, BI.ZONE
    В мае 2025 г. вступили в силу поправки в КоАП РФ, которые ужесточили ответственность за утечки и неправомерное использование персональных данных. За правонарушения компаниям грозят крупные оборотные штрафы, однако судебная практика в этой сфере только формируется. Рассмотрим подробнее вопросы ответственности за утечки и смягчающих обстоятельствах, а также ошибки, которые допускают операторы данных. В статье вы найдете пошаговый план и чек-лист, которые помогут создать систему защиты.
  • 97% россияе реагируют на утечку своих персональных данных
    Эксперты отмечают, что к 2025 г. до 3% сократилось количество людей, которые не реагируют на утечки ПДн. Зато россияне все больше интересуются тем, как компании защищают их данные и была ли наказана компания, которая допустила утечку.
  • SIEM и приказ № 117: что изменится и что делать?
    Максим Степченков, совладелец компании RuSIEM
    Приказ № 117 ФСТЭК России вновь вывел в центр внимания тему информационной безопасности вообще и SIEM в частности. Он не стал революцией, но именно такие документы задают рамки и скорость развития рынка. Для крупных компаний это скорее уточнение правил игры, а, например, для муниципальных структур – серьезный повод для пересмотра подхода к информационной безопасности. Ведь теперь SIEM становится не просто желательным инструментом, а обязательным элементом инфраструктуры. Возникает главный вопрос: как внедрить решение, если денег и специалистов не хватает, а сроки уже определены?
  • Персональные данные: малый и средний бизнес под прицелом
    Людмила Астахова, д.п.н., профессор, заместитель директора по методической и научной работе ООО “Институт мониторинга и оценки информационной безопасности” (Москва)
    Злоумышленники больше не идут напролом в крупные компании, они заходят с фланга через малый и средний бизнес. Утечки, штрафы, незнание закона, иллюзия “мы никому не нужны” – все это делает МСБ не просто уязвимыми, а удобной точкой входа в чужую инфраструктуру

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Материалы конференции →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Материалы конференции →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"

Политика конфиденциальности
Согласие на обработку персональных данных