В мае - июне 2017 года отмечены масштабные компьютерные инциденты, связанные с проникновением в информационные системы персональных данных (ИСПДн) вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций.
Согласно информационному сообщению ФСТЭК России от от 02.07.2017 N240/22/3171 "О мерах по защите информации, направленных на нейтрализацию угроз безопасности информации, связанных с проникновением вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций" проникновение вирусов (WannaCry, Petya, Misha и их модификаций) в ИСПДн и их распространение осуществляется за счет эксплуатации уязвимости операционной системы Windows и пакета программ Microsoft Office (BDU:2017-01034), а также уязвимостей протокола SMB v.1 (BDU:2017-01095, BDU:2017-01096, BDU:2017-01097, BDU:2017-01098, BDU:2017-01099, BDU:2017-01100), позволяющих нарушителю выполнить произвольный код.
После успешного проникновения в ИСПДн для распространения некоторых модификаций вредоносного программного обеспечения (Petya/ExPetr) используются методы перехвата учетных данных привилегированных пользователей. Таким образом, наличие указанных уязвимостей даже на одном компьютере локальной вычислительной сети компьютера ставит под угрозу все компьютеры данной ИСПДн.
При проникновении в ИСПДн вредоносное программное обеспечение осуществляет шифрование файлов пользователей и (или) главных загрузочных записей загрузочных секторов машинных носителей информации, что приводит к нарушению целостности и доступности персональных данных, а также к нарушению штатного режима функционирования ИСПДн.
ФСТЭК России отмечает, что безопасность персональных данных в ИСПДн должна обеспечиваться в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18.02.2013 N21.
Указанным нормативным правовым актом ФСТЭК России установлена необходимость реализации в ИСПДн мер защиты, направленных на нейтрализацию угроз безопасности персональных данных, связанных с проникновением и распространением вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций. К указанным мерам по защите персональных данных относятся:
- обновление программного обеспечения до актуальных версий (АНЗ.2);
- выявление и анализ уязвимостей ИСПДн и оперативное устранение выявленных уязвимостей (АНЗ.1);
- обнаружение и реагирование на поступление в ИСПДн незапрашиваемых электронных сообщений (электронных писем, документов) (ОЦЛ.4);
- периодическое резервное копирование персональных данных на резервные машинные носители персональных данных (ОДТ.4) и обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (ОДТ.5);
- защита периметра ИСПДн (исключение доступа к ТСР-портам 139 и 445) (УПД.3, ЗИС.17).
Кроме того, защита от угроз безопасности персональных данных, связанных с проникновением вредоносного программного обеспечения, обеспечивается применением средств антивирусной защиты (АВЗ.1), в которых реализованы эвристические методы выявления вредоносного программного обеспечения, систем обнаружения вторжений (СОВ.1), в которых настроены соответствующие решающие правила, а также систем управления и корреляции событий с настроенными индикаторами на действия вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций.
В соответствии с пунктом 9 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18.02.2013 N21 оператору персональных данных требуется внести выше указанные меры в Дополненный уточненный адаптированный базовый набор мер по обеспечению
безопасности персональных данных, а именно:
- для ИСПДн 4 уровня защищенности персональных данных:
- СОВ.1 Обнаружение вторжений;
- СОВ.2 Обновление базы решающих правил;
- АНЗ.1 Выявление, анализ уязвимостей ИСПДн и оперативное устранение вновь выявленных уязвимостей;
- ОЦЛ.4 Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама);
- ОДТ.4 Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных;
- ОДТ.5 Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала;
- ЗИС.17 Разбиение ИСПДн на сегменты (сегментирование ИСПДн) и обеспечение защиты периметров сегментов ИСПДн;
- для ИСПДн 3 уровня защищенности персональных данных:
- СОВ.1 Обнаружение вторжений;
- СОВ.2 Обновление базы решающих правил;
- ОЦЛ.4 Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама);
- ОДТ.4 Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных;
- ОДТ.5 Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала;
- ЗИС.17 Разбиение ИСПДн на сегменты (сегментирование ИСПДн) и обеспечение защиты периметров сегментов ИСПДн.
Принятие Дополненного уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных позволит существенно снизить вероятность возникновения угроз безопасности персональных данных, связанных с проникновением и распространением вредоносного программного обеспечения WannaCry, Petya, Misha и их модификаций.