Субъекты КИИ, операторы ПДн и все-все-все: кому закон предписывает внедрять SIEM

Алексей Парфентьев Заместитель генерального директора по инновационной деятельности «СёрчИнформ»

Почему SIEM

SIEM-системы служат для мониторинга и управления событиями информационной безопасности. Они собирают данные о состоянии элементов ИТ-инфраструктуры и сопоставляют их в «одном окне», выявляют угрозы и помогают их устранить: например, позволяют оценить масштаб инцидента и запустить реагирование в нужной точке. На языке регуляторов — в частности, ФСТЭК — это сформулировано как задачи по:

• инвентаризации инфраструктуры,
• выявлению и расследованию инцидентов безопасности,
• составлению отчетности об инцидентах ИБ.

Традиционно они стояли перед предприятиями из финансового, энергетического сектора, промышленности, связи, транспорта, здравоохранения и пр. (субъектов КИИ). Схожие требования выдвигаются для операторов персональных данных. На практике это до недавнего времени означало довольно узкую нишу, в которую входили в основном крупные предприятия, ввиду специфики деятельности хорошо знакомые с ИБ. Но в последнее время регуляторы ужесточили ответственность за несоблюдение требований и уточнили критерии отнесения организаций к «подотчетным» категориям.

Например, поправки в 187-ФЗ с 2026 года закрепляют конкретные перечни ИТ-систем, при наличии которых организация признается субъектом КИИ — вплоть до сервисов для продажи билетов на пассажирский транспорт, автоматизации работы аптек или управления складскими мощностями. Ими пользуются тысячи совсем небольших компаний. И все они теперь должны будут выполнять строгие требования по ИБ, в том числе с помощью SIEM.

Общие требования

Ключевая обязанность субъектов КИИ — участвовать в системе ГосСОПКА и сообщать в НКЦКИ об инциденте ИБ. С 2025 года эти правила стали обязательными и для всех государственных структур. За скрытие инцидентов предусмотрены крупные штрафы: организация заплатит от 100 до 500 тысяч рублей, а ответственный специалист — до 50 тысяч.

Если требования к КИИ касаются только избранных отраслей, то с персональными данными (ПДн) работают все. Любая организация, у которой есть сотрудники или клиенты, автоматически становится оператором ПДн. С 2022 года такие компании обязаны сообщать в уполномоченные органы обо всех инцидентах, повлекших утечку ПДн. Если власти узнают об утечке из сторонних источников, бизнесу грозит штраф от 1 до 3 млн рублей. Для госслужащих и сотрудников бюджетных учреждений санкции — от 400 до 800 тысяч. Чтобы избежать этих рисков, компании важно обнаружить инцидент самостоятельно и первой сообщить о нем регулятору.

Но чтобы вовремя сообщить об инциденте, его нужно сначала выявить. Для этого необходимо следить за безопасностью всех систем организации. Обычно их много: например, транспортная компания одновременно использует сервис продажи билетов, диспетчерское ПО и системы управления автопарком. Данные хранятся на серверах, а доступ к ним имеют десятки сотрудников со своих устройств. Каждое действие в такой сети — это событие, которое может стать инцидентом. Это тысячи системных уведомлений в день, вручную анализировать их невозможно даже в небольшой компании.

SIEM-система подключается ко всем источникам в ИТ-инфраструктуре, вычитывает и анализирует эти события. Например, в «СёрчИнформ SIEM» есть коннекторы к большинству типовых источников — от ОС и СУБД до отраслевого прикладного ПО и средств ИБ. Нетиповые системы можно подключить через универсальные коннекторы к сетевым протоколам. Для самых необычных случаев есть кастомные коннекторы: чтобы получать данные напрямую из нужных БД или подсистем.

Среди собранных событий нужно выделять реальные угрозы. Изменение прав учетной записи пользователя — обычное дело. Но если рядовой учетке вдруг присвоили привилегированные права, ее владелец запустил копирование базы данных, а когда копирование кончилось, привилегии сняли — это подозрительно. Чтобы выявить нарушение, нужно сопоставить эти факты между собой.

«СёрчИнформ SIEM» выявляет опасные события по 500+ готовым правилам корреляции. Можно в два клика создать правила кросс-корреляции — и система будет автоматически сопоставлять разрозненные сведения, чтобы выявить сложный инцидент. Специалист сразу видит суть проблемы: когда произошла атака, какие элементы инфраструктуры пострадали и что стало причиной сбоя.

В результате компания получает полный контроль над ИТ-инфраструктурой и автоматизирует поиск и расследование инцидентов. Например, при утечках ПДн регулятору необходимо докладывать о характере и причинах нарушений, составе пострадавших данных — вся «фактура» будет в SIEM. Останется только передать их: в НКЦКИ, если оператор — субъект КИИ или госструктура, в ФИНЦЕРТ — если это финансовое учреждение, или РКН — во всех остальных случаях.

«СёрчИнформ SIEM» упрощает и этот процесс. Система интегрирована с ГосСОПКА, отчет по установленной форме можно автоматически сформировать и отправить прямо из интерфейса. В других случаях можно экспортировать данные об инцидентах в подходящем формате или настроить автоматическую отправку по почте на адрес регулятора.

SIEM для КИИ и госструктур

Помимо отчетности об инцидентах, 239-й приказ ФСТЭК предписывает субъектам КИИ выполнять целый комплекс технических и организационных мер безопасности. Чем выше категория значимости ИТ-систем в такой компании, тем больше этих мер. Чтобы упростить работу и не настраивать каждый процесс вручную, тоже нужна автоматизация. SIEM позволяют разом закрыть до 40% всех задач, предусмотренных регулятором. Вот только некоторые:

• АУД.1 Инвентаризация информационных ресурсов;
• АУД.4 Регистрация событий безопасности;
• АУД.6 Защита информации о событиях безопасности;
• АУД.7 Мониторинг безопасности;
• АУД.8 Реагирование на сбои при регистрации событий безопасности;
• АУД.9 Анализ действий отдельных пользователей;
• АУД.10 Проведение внутренних аудитов;
• ИНЦ.1 Выявление компьютерных инцидентов;
• ИНЦ.2 Информирование о компьютерных инцидентах;
• ИНЦ.3 Анализ компьютерных инцидентов;
• ИНЦ.6 Хранение и защита информации о компьютерных инцидентах;
• ОДТ.3 Контроль безотказного функционирования средств и систем.

Под каждую задачу в «СёрчИнформ SIEM» есть готовые инструменты. Например, для аудитов помогут дашборды — в них система собирает данные оборудования, ОС и ПО в режиме реального времени. Это быстрый способ увидеть критичные инциденты и опасные тенденции: самых частых нарушителей, систематический перегрев оборудования и т.д. Для инвентаризации полезен встроенный сканер сети. Он визуализирует данные обо всех устройствах или портах, которые передают сигналы о событиях безопасности. В «СёрчИнформ SIEM» решается даже поиск уязвимостей — благодаря интеграции с 9 БДУ, в т.ч. базой ФСТЭК, по которым система проверяет источники в инфраструктуре.

SIEM для операторов персональных данных

Любая система, с помощью которой компания собирает и хранит персональные данные — CRM, БД клиентских сервисов, даже просто ПК сотрудников — с точки зрения закона является информационной системой персональных данных (ИСПДн). ИСПДн делятся на четыре уровня защищенности. Правила их определения прописаны в постановлении Правительства № 1119. Логика простая: чем важнее данные (например, истории болезней или биометрия), чем больше их объем и чем опаснее потенциальные угрозы, тем выше требования к защите. Например, критичной угрозой считается обработка ПДн в зарубежных ОС, СУБД и прикладном ПО, так как они не проходят проверку на недекларированные возможности.

Организация должна сама оценить свои риски и обеспечить безопасность данных в соответствии с назначенным уровнем защищенности. Конкретные меры безопасности по уровням прописаны в 21-м приказе ФСТЭК.

С помощью SIEM, например, выполняются следующие меры из этого приказа:

• ИНЦ.2. Обнаружение, идентификация и регистрация инцидентов;
• ИНЦ.4. Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;
• РСБ.1. Определение событий безопасности, подлежащих регистрации, и сроков их хранения;
• РСБ.2. Определение состава и содержания информации о событиях безопасности, подлежащих регистрации;
• РСБ. 3. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения;
• РСБ. 5. Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них.

Для ИСПДн высоких категорий значимости ФСТЭК напрямую предписывает применять специальные технические средства защиты — по сути, как раз SIEM. На деле решение полезно любой компании, которая постоянно работает с данными людей, и чья инфраструктура насчитывает больше пары серверов.

Ключевое преимущество SIEM для операторов персональных данных — умение системы расширить контекст инцидента данными из разных источников. Благодаря этому «СёрчИнформ SIEM» покажет, например, что утечка клиентской базы произошла, потому что хакеры воспользовались сетевым доступом, который остался открытым из-за уязвимости в ПО.

В итоге ИБ-служба сможет и сообщить об инциденте, и помочь установить его обстоятельства, и предупредить новые нарушения. Это упростит взаимодействие с регулятором и сыграет в пользу компании, если встанет вопрос об объемах ее ответственности за инцидент.

Почему это не сложно

Изменения в законодательстве сделали внедрение ИБ-средств актуальным фактически для всех организаций. SIEM помогут взять процессы защиты под контроль и автоматизируют большую часть новых задач: от аудитов инфраструктуры до выявления угроз и управления инцидентами.

При этом внедрение таких решений сегодня по плечу даже небольшим компаниям. Например, «СёрчИнформ SIEM» поставляется с готовыми пресетами для выявления инцидентов, то есть показывает результат сразу без долгой настройки. Все управление выведено в графический интерфейс, это тоже снижает порог входа: разобраться в системе можно без специальной подготовки. А понятное лицензирование (по числу сетевых узлов) и оптимизированная архитектура экономично расходуют ресурсы. В результате заказчик получит полноценную защиту и выполнит нормативные требования без лишних усилий и затрат.

Опробовать возможности «СёрчИнформ SIEM» можно бесплатно в течение 30 дней.