Что включают в себя инженерно технические средства защиты информации
Инженерно-техническая защита информации на предприятии
ИБ-аутсорсинг
на базе DLP-системы
Контроль исполнения документов
Мониторинг ИТ инфраструктуры
Защита бизнеса от мошенничества
Разработка требований к защите информации
Управление системами фильтрации электронной почты и веб-трафика
АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА
У спех деятельности современного предприятия основан на обладании информацией. Материально-технические ресурсы значительно уступают ей по ценности и важности для работы, поскольку их потеря может быть восполнена без изменения технологии или специфики работы. В то же время утрата конфиденциальной информации представляет собой серьезную проблему. Восстановление базы данных – крайне сложная процедура, результат которой заранее предсказать нельзя.
Для сохранения информации требуются грамотно организованные системы защиты, которые обеспечат комплексную охрану данных от актуальных угроз.
Одним из направлений в информационной безопасности является инженерно-техническая защита сведений. Это система средств и мер для обнаружения и отсечки несанкционированных действий с информацией. Рассмотрим ее внимательнее.
Общие положения
Защита информации – это комплекс мероприятий, проводимых с помощью организационных и технических средств. Они выполняются в соответствии с нормами действующего законодательства, определяющего рамки, регулирующего взаимоотношения между участниками информационного обмена.
Особое внимание принято уделять технической защите информации. Она непосредственно противостоит внешним и внутренним угрозам, физически обеспечивая выполнение задач по охране сведений. Организационные мероприятия дают положительный результат, но без эффективной инженерно-технической защиты они не производят полноценного эффекта.
Режим охраны и защиты информации устанавливается ее владельцем (руководством предприятия) в соответствии со спецификой, уровнем ценности, объемами сведений. Использование технических средств защиты происходит в рамках общих действий службы информационной безопасности предприятия.
Комплекс мероприятий, целью которых является сохранность сведений и предотвращение несанкционированных действий с ними, представляет собой постоянно действующую систему технической защиты информации. Она создается после всестороннего анализа имеющейся информации, изучения источников угроз, выработки необходимых мер и правил. Все действия выполняют служба безопасности или отдельные сотрудники, назначенные руководством организации.
Нередко охрану данных поручают сторонним специалистам, если их компетенция в глазах администрации предприятия не подлежит сомнению. Этот вариант имеет свои преимущества – не приходится отвлекаться на создание своего подразделения, нарабатывать опыт и рисковать конфиденциальной информацией. Однако с развитием и ростом предприятия увеличивается объем информации, возрастает ее ценность. Это вынуждает владельца создавать собственную службу, обеспечивающую техническую защиту информации.
Специалисты по ИБ-аутсорсингу «СёрчИнформ» готовы взять на себя защиту от внутренних угроз – поиск сотрудников, замешанных в мошеннических схемах, и работников с опасными зависимостями. Узнать об услуге подробнее.
Подготовка к созданию системы защиты информации
Для охраны и защиты информационных массивов нужна отдельная служба, создание которой является результатом комплекса подготовительных мероприятий. В их состав входят:
Перечень подготовительных действий может быть существенно расширен. Это определяют специфика предприятия, условия его работы, размеры, количество сотрудников и другие факторы. По результатам подготовки составляется аналитическое обоснование необходимости создания системы охраны данных с использованием технических средств защиты информации.
Основным пунктом, определяющим эффективность последующих мер, является анализ. Проводится тщательное исследование всех аспектов и видов деятельности организации. Изучаются возможности несанкционированного доступа, обработки или передачи информации. Обнаруженные каналы утечки информации немедленно уничтожаются, вводятся меры профилактики их повторного возникновения.
Выполняется сортировка и классификация защищаемых объектов, вводится система допусков с обязательным тестированием и проверкой сотрудников. Составляется схема помещений (поэтажный план), где определяются контролируемые зоны. Отдельно отмечаются все устройства с выходом в Интернет, системы проводной связи (интерком), телефонные линии, пути прокладки кабелей, оптоволоконные каналы. Все эти точки являются потенциальными источниками угрозы, требуют постоянного внимания, контроля.
Каналы утечки данных
Технические каналы утечки сведений должны стать объектами повышенного внимания службы информационной безопасности. Они делятся на два типа:
1. Скрытые каналы передачи данных, которые при обнаружении подлежат немедленному уничтожению.
2. Действующие линии связи, сетевые коммуникации и прочие системы, которые активно используются и не могут быть отключены.
Для определения путей утечки конфиденциальной информации составляют и тщательно анализируют следующие документы:
Необходимо узнать историю эксплуатации здания – бывшие собственники, какие организации или предприятия размещались в нем ранее, кто строил или реконструировал данный объект. Могли быть внесены изменения и созданы новые проходы, каналы прокладки кабелей или вентиляционные каналы, не отмеченные на поэтажных планах.
Определяются размеры или границы охраняемой зоны, устанавливаются места стоянки автотехники. Иногда для сотрудников предприятия организуют отдельную закрытую стоянку с контролируемым доступом, фиксацией времени прихода и ухода.
Фиксируются участки, позволяющие наблюдать за охраняемой зоной, получать сведения о перемещениях сотрудников по территории предприятия.
Отдельно определяются места размещения переговорных комнат, которые должны быть максимально защищены от внешних воздействий. В идеале для переговоров необходимо использовать выделенные помещения с подключением соответствующих средств защиты информации – ультразвуковых глушилок на окнах, экранирования комнат от передачи данных электромагнитными методами, прочих технологий.
Особое внимание следует уделить соседним или смежным помещениям. Необходимо определить их владельца, получить сведения о режиме использования, порядке доступа, прочих особенностях этих объектов. В силу непосредственной близости от охраняемого объекта они представляют повышенную опасность, поэтому нуждаются в плотном наблюдении, контроле.
Важными объектами являются линии электропитания, коммуникации. Они предоставляют злоумышленникам массу возможностей как физического проникновения в здание, так и подключения к каналам связи для прослушки или участия в переговорах. Кроме этого, подобные линии часто используются для удаленного воздействия на защищаемую информацию.
Категории и группы охраняемых сведений и объектов
Для эффективного обеспечения информационной безопасности предприятия необходим тщательный анализ имеющихся информационных ресурсов.
Должна быть проведена сортировка данных и разбивка на категории:
Кроме этого, все имеющиеся данные могут быть поделены на две группы:
1. Сведения, предназначенные только для внутреннего использования в пределах данной организации;
2. Информация, полученная со стороны или предназначенная для передачи другим пользователям.
Учитывая это, для имеющейся информации могут быть определены шесть уровней конфиденциальности – три уровня для группы 1 (внутренние документы) и три уровня для группы 2 (сведения для передачи другим лицам). Такая разбивка позволит ограничить круг доверенных пользователей, получивших допуск к информации высокого уровня конфиденциальности.
Вводится три режима доступа к конфиденциальной информации:
Подобное разграничение помогает отсечь от массивов данных сотрудников, чья компетенция не позволяет производить использование или обработку конфиденциальных сведений.
Также необходимо проведение работ по защите объектов информатизации. Под этим термином понимается связка – помещение и определенный объем данных, находящихся в нем.
Все объекты необходимо рассортировать по степени конфиденциальности данных, а также по уровню сложности физического доступа к ним сотрудников и посторонних лиц.
Объекты делят на два класса:
Необходимо учитывать, что организация инженерно-технической защиты информации требует значительных финансовых вложений. Процесс разработки и запуска системы требует приобретения оборудования, подготовки сотрудников службы ИБ, устройства комплексов наблюдения, идентификации. Для того чтобы получить эффективную систему защиты конфиденциальной информации, следует заранее взвесить свои возможности и выделить определенную сумму. По мере развития предприятия оснащенность службы безопасности можно увеличить, расширить ее возможности.
Ввод системы в эксплуатацию
По результатам анализа и подготовительных работ составляется технический проект, на основании которого производится монтаж инженерных систем наблюдения, сигнализации, оповещения и контроля. Эти работы следует поручать организациям, имеющим лицензию ФСТЭК РФ (Федеральной Службы по Техническому и Экспортному Контролю), обладающим необходимым опытом и оборудованием. Важно обращать внимание на количество и состав рабочих бригад, проверять их допуск. После окончания работ помещения проверяют на наличие закладок (электронных средств слежения, прослушки, фото- и видеосъемки). Затем производится проверка работоспособности вновь созданных комплексов оборудования и устраняются обнаруженные ошибки. По результатам приемки составляется акт, в котором отражают состояние систем, вносят замечания и пометки о наличии недостатков. После этого инженерные средства защиты информации окончательно вводят в эксплуатацию.
Технологии защиты информации в компании
Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.
Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ
Базовые элементы информационной безопасности
Рассмотрим основные составляющие информационной безопасности:
Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.
Разновидности угроз информационной безопасности
Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.
Угрозы доступности
Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.
Рассмотрим подробнее источники угроз доступности:
Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.
Угрозы целостности
Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:
Внимание! Угроза нарушения целостности касается и данных, и самих программ.
Базовые угрозы конфиденциальности
Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:
Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.
Методы защиты информации
Методы защиты, как правило, используются в совокупности.
Инструменты организационно-правовой защиты
Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.
Инструменты инженерно-технической защиты
Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:
Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.
Криптографические инструменты защиты
Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:
КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.
Программно-аппаратные инструменты для защиты сведений
Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:
В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.
ТЕМА 1.3. ОСНОВЫ И МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
Оглавление
1.3.1. Основные понятия
В современных информационных системах (ИС) информация обладает двумя противоречивыми свойствами – доступностью и защищенностью от несанкционированного доступа. Во многих случаях разработчики ИС сталкиваются с проблемой выбора приоритета одного из этих свойств.
Под защитой информации обычно понимается именно обеспечение ее защищенности от несанкционированного доступа. При этом под самим несанкционированным доступом принято понимать действия, которые повлекли «…уничтожение, блокирование, модификацию, либо копирование информации…»(УК РФ ст.272). Все методы и средства защиты информации можно условно разбить на две большие группы: формальные и неформальные.
Рис. 1. Классификация методов и средств защиты информации
Формальные методы и средства
Это такие средства, которые выполняют свои защитные функции строго формально, то есть по заранее предусмотренной процедуре и без непосредственного участия человека.
Техническими средствами защиты называются различные электронные и электронно-механические устройства, которые включаются в состав технических средств ИС и выполняют самостоятельно или в комплексе с другими средствами некоторые функции защиты.
Физическими средствами защиты называются физические и электронные устройства, элементы конструкций зданий, средства пожаротушения, и целый ряд других средств. Они обеспечивают выполнение следующих задач:
Криптографические методы и средства
Криптографическими методами и средствами называются специальные преобразования информации, в результате которых изменяется ее представление.
В соответствии с выполняемыми функциями криптографические методы и средства можно разделить на следующие группы:
Неформальные методы и средства защиты информации
Неформальные средства – такие, которые реализуются в результате целенаправленной деятельности людей, либо регламентируют ( непосредственно или косвенно) эту деятельность.
К неформальным средствам относятся:
Организационные средства
Это организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. По своему содержанию все множество организационных мероприятий условно можно разделить на следующие группы:
Законодательные средства
Это законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного использования и устанавливаются меры ответственности за нарушение этих правил. Можно сформулировать пять ”основных принципов”, которые лежат в основе системы законов о защите информации:
Морально – этические нормы
Эти нормы могут быть как не писанными (общепринятые нормы честности, патриотизма и т.п.) так и писанными, т.е. оформленными в некоторый свод правил и предписаний (устав).
С другой стороны, все методы и средства защиты информации можно разделить на две большие группы по типу защищаемого объекта. В первом случае объектом является носитель информации, и здесь используются все неформальные, технические и физические методы и средства защиты информации. Во втором случае речь идет о самой информации, и для ее защиты используются криптографические методы.
1.3.2. Угрозы безопасности информации и их источники
Наиболее опасными (значимыми) угрозами безопасности информации являются:
Приведем ниже краткую классификацию возможных каналов утечки информации в ИС – способов организации несанкционированного доступа к информации.
Косвенные каналы, позволяющие осуществлять несанкционированный доступ к информации без физического доступа к компонентам ИС:
Каналы, связанные с доступом к элементам ИС, но не требующие изменения компонентов системы, а именно:
Каналы, связанные с доступом к элементам ИС и с изменением структуры ее компонентов :
1.3.3. Ограничение доступа к информации
В общем случае система защиты информации от несанкционированного доступа состоит из трех основных процессов:
При этом участниками этих процессов принято считать субъекты – активные компоненты (пользователи или программы) и объекты – пассивные компоненты (файлы, базы данных и т.п.).
Задачей систем идентификации, аутентификации и авторизации является определение, верификация и назначение набора полномочий субъекта при доступе к информационной системе.
Идентификацией субъекта при доступе к ИС называется процесс сопоставления его с некоторой, хранимой системой в некотором объекте, характеристикой субъекта – идентификатором. В дальнейшем идентификатор субъекта используется для предоставления субъекту определенного уровня прав и полномочий при пользовании информационной системой.
Аутентификацией субъекта называется процедура верификации принадлежности идентификатора субъекту. Аутентификация производится на основании того или иного секретного элемента (аутентификатора), которым располагают как субъект, так и информационная система. Обычно в некотором объекте в информационной системе, называемом базой учетных записей, хранится не сам секретный элемент, а некоторая информация о нем, на основании которой принимается решение об адекватности субъекта идентификатору.
Авторизацией субъекта называется процедура наделения его правами соответствующими его полномочиям. Авторизация осуществляется лишь после того, как субъект успешно прошел идентификацию и аутентификацию.
Весь процесс идентификации и аутентификации можно схематично представить следующим образом:
Рис. 2. Схема процесса идентификации и аутентификации
1- запрос на разрешение доступа к ИС;
2- требование пройти идентификацию и аутентификацию;
3- отсылка идентификатора;
4- проверка наличия полученного идентификатора в базе учетных записей;
5- запрос аутентификатора;
6- отсылка аутентификаторов;
7- проверка соответствия полученного аутентификатора указанному ранее идентификатору по базе учетных записей.
Из приведенной схемы (рис.2) видно, что для преодоления системы защиты от несанкционированного доступа можно либо изменить работу субъекта, осуществляющего реализацию процесса идентификации/аутентификации, либо изменить содержимое объекта – базы учетных записей. Кроме того, необходимо различать локальную и удаленную аутентификацию.
При локальной аутентификации можно считать, что процессы 1,2,3,5,6 проходят в защищенной зоне, то есть атакующий не имеет возможности прослушивать или изменять передаваемую информацию. В случае же удаленной аутентификации приходится считаться с тем, что атакующий может принимать как пассивное, так и активное участие в процессе пересылки идентификационной /аутентификационной информации. Соответственно в таких системах используются специальные протоколы, позволяющие субъекту доказать знание конфиденциальной информации не разглашая ее (например, протокол аутентификации без разглашения).
Общую схему защиты информации в ИС можно представить следующим образом (рис.3):
Рис. 3. Съема защиты информации в информационной системе
Таким образом, всю систему защиты информации в ИС можно разбить на три уровня. Даже если злоумышленнику удастся обойти систему защиты от несанкционированного доступа, он столкнется с проблемой поиска необходимой ему информации в ИС.
Семантическая защита предполагает сокрытие места нахождения информации. Для этих целей может быть использован, например, специальный формат записи на носитель или стеганографические методы, то есть сокрытие конфиденциальной информации в файлах-контейнерах не несущих какой-либо значимой информации.
В настоящее время стеганографические методы защиты информации получили широкое распространение в двух наиболее актуальных направлениях:
Последним препятствием на пути злоумышленника к конфиденциальной информации является ее криптографическое преобразование. Такое преобразование принято называть шифрацией. Краткая классификация систем шифрования приведена ниже (рис.4):
Рис. 4. Классификация систем шифрования
Основными характеристиками любой системы шифрования являются:
В настоящее время принято считать, что алгоритм шифрации/дешифрации открыт и общеизвестен. Таким образом, неизвестным является только ключ, обладателем которого является легальный пользователь. Во многих случаях именно ключ является самым уязвимым компонентом системы защиты информации от несанкционированного доступа.
Из десяти законов безопасности Microsoft два посвящены паролям:
Закон 5: «Слабый пароль нарушит самую строгую защиту»,
Закон 7: «Шифрованные данные защищены ровно настолько, насколько безопасен ключ дешифрации».
Именно поэтому выбору, хранению и смене ключа в системах защиты информации придают особо важное значение. Ключ может выбираться пользователем самостоятельно или навязываться системой. Кроме того, принято различать три основные формы ключевого материала:
Пароль – секретная информация, запоминаемая пользователем и таким образом неразрывно с ним связанная,
Ключ – секретная информация, хранящаяся на некотором носителе, которой могут воспользоваться без ведома пользователя,
Биометрия – биометрическая информация (отпечаток пальца, сетчатка глаза, голос и т.п.)
1.3.4. Технические средства защиты информации
В общем случае защита информации техническими средствами обеспечивается в следующих вариантах:
источник и носитель информации локализованы в пределах границ объекта защиты и обеспечена механическая преграда от контакта с ними злоумышленника или дистанционного воздействия на них полей его технических средств
Эти варианты реализуют следующие методы защиты:
Под объектами защиты понимаются как люди и материальные ценности, так и носители информации, локализованные в пространстве. К таким носителям относятся бумага, машинные носители, фото- и кинопленка, продукция, материалы и т.д., то есть всё, что имеет четкие размеры и вес. Для организации защиты таких объектов обычно используются такие технические средства защиты как охранная и пожарная сигнализация.
Носители информации в виде электромагнитных и акустических полей, электрического тока не имеют четких границ и для защиты такой информации могут быть использованы методы скрытия информации. Эти методы предусматривают такие изменения структуры и энергии носителей, при которых злоумышленник не может непосредственно или с помощью технических средств выделить информацию с качеством, достаточным для использования ее в собственных интересах.
1.3.5. Программные средства защиты информации
Эти средства защиты предназначены специально для защиты компьютерной информации и построены на использовании криптографических методов. Наиболее распространенными программными средствами являются:
1.3.6. Антивирусные средства защиты информации
В общем случае следует говорить о «вредоносных программах», именно так они определяются в руководящих документах ГосТехКомиссии и в имеющихся законодательных актах(например, статья 273 УКРФ «Создание, использование и распространение вредоносных программ для ЭВМ»). Все вредоносные программы можно разделить на пять типов:
В настоящее время вредоносные программ в «чистом» виде практически не существуют – все они являются некоторым симбиозом перечисленных выше типов. То есть, например: троян может содержать вирус и в свою очередь вирус может обладать свойствами логической бомбы. По статистике ежедневно появляется около 200 новых вредоносных программ, причем «лидерство» принадлежит червям, что вполне естественно, вследствие быстрого роста числа активных пользователей сети Интернет.
В качестве защиты от вредоносных программ рекомендуется использовать пакеты антивирусных программ ( например: DrWeb, AVP – отечественные разработки, или зарубежные, такие как NAV, TrendMicro, Panda и т.д.). Основным методом диагностики всех имеющихся антивирусных систем является «сигнатурный анализ», то есть попытка проверить получаемую новую информацию на наличие в ней «сигнатуры» вредоносной программы – характерного куска программного кода. К сожалению, такой подход имеет два существенных недостатка:
Закон 8: «Не обновляемая антивирусная программа не намного лучше полного отсутствия такой программы»
Одним из известных путей повышения эффективности диагностирования вредоносных программ является использование так называемого «эвристического метода». В этом случае предпринимается попытка обнаружить наличие вредоносных программ, учитывая известные методы их создания. Однако, к сожалению, в случае если в разработке программы принимал участие высококлассный специалист, обнаружить ее удается лишь после проявления ею своих деструктивных свойств.