Технические меры защиты информации. перечень и характеристики средств

Организация технической защиты информации на предприятии

Для создания эффективной системы защиты конфиденциальной информации необходимо действовать продуманно и последовательно. Процесс состоит из нескольких этапов:

  1. Всесторонний анализ имеющихся информационных ресурсов.
  2. Выбор концепции информационной безопасности, соответствующей специфике и особенностям используемых данных.
  3. Внедрение средств защиты.
  4. Разработка организационных мер защиты данных, соответствующих специфике компании.

Все принимаемые меры должны соответствовать действующим законодательным нормам, иначе возникнут конфликты правового характера. В этом отношении сотрудникам ИБ-службы необходимо постоянно сверяться с нормами и требованиями ФСТЭК и статей закона ФЗ-149, чтобы не допустить нарушений и не втянуть предприятие в судебные разбирательства. Правовая основа должна быть базой, на которой строится вся система защиты информации на предприятии.

Важным этапом является изучение рисков и определение источников опасности. От этого зависит эффективность системы защиты информации. Если все возможные угрозы правильно определены, опасность утечки данных снижается до минимальных значений. Необходимо выполнить следующие действия:

  • составить перечень всех устройств, содержащих конфиденциальную информацию. Кроме этого, учесть все действующие и резервные каналы связи, как проводные, так и сетевые;
  • определить наиболее ответственные участки, разграничить доступ в помещения, установить систему контроля за перемещением сотрудников и посторонних лиц;
  • используя результаты анализа, рассчитать величину ущерба, определить последствия несанкционированного доступа и мошеннического использования информации;
  • составить перечень документов и информационных массивов, подлежащих первоочередной защите. Установить уровень допуска и составить списки доверенных пользователей;
  • создать службу информационной безопасности, которая является отдельным подразделением и, помимо специалистов по безопасности, включает системных администраторов и программистов.

Если у компании нет ресурсов и времени для создания собственной ИБ-службы, можно передать ее задачи на аутсорсинг. Что это такое?  

Основными задачами ИБ-службы являются:

  • общая техническая защита информации;
  • исключение доступа и несанкционированного использования конфиденциальных данных;
  • обеспечение целостности информационных массивов, в том числе при возникновении чрезвычайных ситуаций (пожары, стихийные бедствия).

Методы, используемые для технической защиты информации, должны соответствовать специфике предприятия. Среди них можно выделить наиболее эффективные мероприятия:

  • криптографическая защита информации (шифрование);
  • использование электронной подписи для подтверждения авторства доверенного пользователя; 
  • резервное копирование баз данных и операционных систем;
  • создание системы паролей для идентификации и аутентификации сотрудников;
  • контроль событий, происходящих в информационной системе. Фиксация попыток входа и выхода, действий с файлами;
  • применение смарт-карт, электронных ключей в рамках системы допусков и ограничения перемещений работников;
  • установка и использование на компьютерах межсетевых экранов (файрволов).

Кроме этих мер необходимо ввести процедуру проверки и тестирования сотрудников с высоким уровнем допуска. Рекомендуется присутствие ИБ-сотрудника в помещениях, где производится обработка конфиденциальных данных.

SIEM-системы

Сокращение расшифровывается, как «Управление информацией о безопасности и событиями ИБ» (Security information and event management). Система может оперативно обнаружить внешние и внутренние атаки, анализировать инциденты и события, оценивать уровень защиты информационной системы, формировать отчеты и другую аналитику.

Информационная безопасность

Узнать больше

Главное преимущество SIEM-систем — они одновременно собирают и анализируют большое количество данных, благодаря чему могут обнаружить атаки очень быстро. Именно поэтому многие компании воспринимают SIEM-системы, как важную часть защиты корпоративной сети.

В качестве примеров можно привести следующие решения:

  • MaxPatrol SIEM. Популярная российская разработка с русскоязычными техподдержкой и документацией. Также есть сертификация ФСТЭК и Минобороны РФ. Кроме того, она проста в использовании. MaxPatrol умеет собирать данные более чем с 300 источников, включая «Лабораторию Касперского», «1С» и многие другие.
  • LogRhythm. Американское решение, разработанное одноименной компанией. Особенность системы — для анализа ситуации в корпоративной сети она использует множество интеллектуальных решений. Например, поведенческий анализ и логарифмическую корреляцию. Также LogRhytm регулярно занимает лидирующие места в отраслевых рейтингах SIEM-решений.
  • RuSIEM. Еще одно российское решение, ориентированное на отечественный рынок. Среди преимуществ — масштабируемость, а также отсутствие ограничений по количеству событий, их источникам и размеру архивного хранилища.

[править] Аппаратные средства защиты информации

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

  • специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;
  • устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;
  • схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.
  • устройства для шифрования информации (криптографические методы);
  • модули доверенной загрузки компьютера.

[править] Программные средства защиты информации

  • Встроенные средства защиты информации
  • Антивирусная программа (антивирус) — программа для обнаружения компьютерных вирусов и лечения инфицированных файлов, а также для профилактики — предотвращения заражения файлов или операционной системы вредоносным кодом.
  • Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства. Кроме программ шифрования и криптографических систем, существует много других доступных внешних средств защиты информации.
  • Межсетевые экраны (также называемые брандмауэрами или файрволами — от нем. Brandmauer, англ. firewall — «противопожарная стена»). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода — это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Используемые технологии: PPTP, PPPoE, IPSec.

СЗИ от несанкционированного доступа

Чтобы защитить сеть и данные от посторонних, такие СЗИ идентифицируют и аутентифицируют устройства и пользователей, регистрируют работу процессов и программ, управляют информационными потоками между устройствами, сканируют носители информации и делают множество других вещей. Вот два примера таких СЗИ:

  • Dallas Lock. Разработана для операционных систем Windows. Можно подключить аппаратные идентификаторы. Из возможностей — поддерживает виртуальные среды, аудит действий пользователей, контроль целостности файловой системы, программно-аппаратной среды, реестра и многое другое.
  • Электронный замок «Соболь». Поддерживает доверенную загрузку и доверенную программную среду. Есть функции регистрации попыток доступа, сторожевого таймера и многого другого. Имеет сертификаты соответствия ФСТЭК и ФСБ.

Полномочия ведомства

Все действия регулятора, ранее именуемого Ростехкомиссией и созданного впервые еще в СССР для борьбы с иностранными техническими разведками, регламентированы на уровне закона и указов президента. 

Указ № 1085 устанавливает функции ФСТЭК РФ в сфере защиты информации:

  • обеспечение безопасности критической информационной инфраструктуры;
  • борьба с работой зарубежных технических разведок;
  • организация системы защиты гостайны и других массивов данных, представляющих ценность и охраняемых законом;
  • контроль за разработкой программных средств;
  • экспортный контроль.

Для реализации этих функций ведомству предоставлен ряд полномочий:

  • самостоятельное нормативно-правовое регулирование в сфере своей компетенции;
  • координация работы других государственных органов, работающих в сфере защиты информации;
  • проведение проверок деятельности юридических лиц;
  • лицензирование;
  • внесение предложений о привлечении к ответственности виновных в нарушении требований информационной безопасности;
  • приостановление деятельности организаций;
  • лицензирование, сертификация, разработка требований по созданию программных и технических средств защиты информации.

Подчиняется служба непосредственно президенту. 

Защита от НСД

При выборе методов и средств защиты данных нужно учитывать, что существует несколько принципов защиты от несанкционированного доступа (НСД). На них основана работа средств программно-аппаратной защиты:

  • доступ к данным предоставляется только тем пользователям, которые уполномочены его получить на уровне внутренних документов компании;
  • каждый уполномоченный пользователь имеет доступ только к своему уровню информации, его прав недостаточно для работы с данными, находящимися в сфере ответственности других пользователей;
  • перечень операций, которые допустимо выполнять с данными, строго регламентирован, и зависит от изначально заданных прав пользователей.

Для защиты от НСД в аппаратно-программных средствах должен быть механизм распознавания уполномоченного пользователя и его авторизации (идентификации и аутентификации). 

Процесс авторизации состоит из трех этапов:

1. Идентификация. Пользователь должен передать системе свой идентифицирующий признак, например, логин и пароль. При использовании аппаратных средств становится возможной и более глубокая степень идентификации по отпечатку пальца, сетчатке глаза, иным биометрическим признакам или на основании владения определенным устройством (магнитная карточка, электронный ключ);

2. Аутентификация. Этот процесс в работе программно-аппаратных средств нацелен на сравнение заявленного пользователем идентифицирующего признака с теми, которые хранятся в памяти устройства. В ходе аутентификации устанавливается подлинность пользователя. Она может реализовываться на основе простой или усложненной PIN-идентификации. В обоих случаях персональный идентификационный номер пользователя сравнивается с эталоном. При простом механизме идентификации система проводит обычное сравнение и в случае совпадения выдает разрешение на дальнейшую работу. При сложном, защищенном, система посылает запрос ключу, тот «отвечает» отправкой 64-разрядного ключа. Система складывает число с введенным пользователем PIN-кодом, направляя полученный результат ключу, тот проводит итоговую идентификацию, при положительном результате которой выдает разрешение на работу;

3. Авторизация. После того как подлинность пользователя установлена, аппаратно-программным средством определяется объем предоставленных ему прав.

Термины и определения

Объект защиты
– информация, носители информации, технические средства и технология их
обработки, а также средства защиты информации.

Объект информатизации
— совокупность информационных ресурсов, средств и систем обработки
информации, используемых в соответствии с заданной
информационной технологией, средств обеспечения объекта информатизации,
помещений или объектов (зданий, сооружений, технических средств), в которых
они установлены.

Защищаемые помещения (ЗП)
— помещения (служебные кабинеты, актовые, конференц-залы и т.д.),
специально предназначенные для проведения конфиденциальных мероприятий
(совещаний, обсуждений, конференций, переговоров и т.п.).

Автоматизированная система (АС)
– система, состоящая из персонала и комплекса средств автоматизации его
деятельности, реализующая информационную технологию выполнения
установленных функции.

Контролируемая зона (КЗ)
– это пространство (территория, здание, часть здания), в котором исключено
неконтролируемое пребывание сотрудников и посетителей организации, а также
транспортных, технических и иных материальных средств.

Специальные исследования (СИ)
– это выявление с использованием контрольно-измерительной аппаратуры
возможных каналов утечки защищаемой информации от основных и
вспомогательных технических средств и систем.

Специальная проверка (СП)
– это проверка технических средств и систем объекта защиты с целью
выявления возможно внедренных электронных устройств съема информации
(закладочных устройств).

Специальные обследования помещений
– комплекс мер в области защиты информации в части проведения работ по
выявлению электронных устройств, предназначенных для негласного получения
сведений в помещениях, где циркулирует информация ограниченного
пользования.

Аттестация объекта защиты
– это официальное подтверждение наличия на объекте защиты необходимых и
достаточных условий, обеспечивающих выполнение установленных требований РД
по ЗИ.

Утечка информации по техническому каналу
— это неконтролируемое распространение информации от носителя защищаемой
информации через физическую среду до технического средства, осуществляющего
перехват информации.

Основные технические средства и системы (ОТСС)
— технические средства и системы, а также их коммуникации, используемые для
обработки, хранения и передачи конфиденциальной информации.

К ОТСС относятся:

  • технические средства АС управления, электронно-вычислительные машины и их
    отдельные элементы (СВТ);
  • средства изготовления и размножения документов (СИРД);
  • аппаратура звукоусиления, звукозаписи, звуковоспроизведения и синхронного перевода;
  • системы внутреннего телевидения; системы видеозаписи и видеовоспроизведения;
  • системы оперативно-командной связи;
  • системы внутренней автоматической телефонной связи, включая и
    соединительные линии перечисленного выше оборудования и т.д.

Вспомогательные технические средства и системы (ВТСС)
— технические средства и системы, не предназначенные для передачи,
обработки и хранения конфиденциальной информации, устанавливаемые совместно
с ОТСС или в защищаемых помещениях (на них могут воздействовать эл., магн.
и ак. поля опасного сигнала).

К ВТСС относятся:

  • различного рода телефонные средства и системы;
  • средства передачи данных в системе радиосвязи;
  • системы охранной и пожарной сигнализации;
  • средства оповещения и сигнализации;
  • контрольно-измерительная аппаратура;
  • системы кондиционирования;
  • системы проводной радиотрансляционной сети и приема программ радиовещания
    и телевидения (абонентские громкоговорители, системы радиовещания,
    телевизоры и радиоприемники и т.д.);
  • средства электронной оргтехники;
  • средства и системы электрочасофикации;
  • иные технические средства и системы.

Информативный сигнал
— электрические сигналы, акустические, электромагнитные и другие физические
поля, по параметрам которых может быть раскрыта защищаемая информация,
передаваемая, хранимая или обрабатываемая
в ОТСС или обсуждаемая в защищаемых помещениях.

Технический канал утечки информации
— совокупность объекта технической разведки, физической среды
распространения информативного сигнала и средств,
которыми добывается защищаемая информация.

Тестовый сигнал
– испытательный сигнал, эквивалентный по интересующим (заданным) параметрам
имитируемому опасному сигналу (требования определены в
ГОСТ Р29339-92).

Нормирование показателей защищенности
– установление нормативными документами численных значений показателей защищенности информации.

Основные защитные средства от несанкционированного доступа

Такие методы могут быть административными и техническими. Грамотные организационные меры вкупе с эффективными программными средствами позволяют создать надежный механизм защиты информации от злоумышленников. 

Защиту информации можно обеспечить посредством внедрения архитектурно-планировочных решений, позволяющих защитить критичные помещения от прослушивания, и определения разных уровней доступа к секретным данным.

Чтобы регламентировать деятельность персонала, можно оформить запрос на доступ к Сети, внешней электронной почте и другим ресурсам. Это позволит контролировать действия внутренних пользователей. Защиту информации, передаваемой по электронным каналам, усиливает использование электронной цифровой подписи.

К административным средствам защиты информации также относят организацию:

  • физической охраны ИС;
  • аутентификации пользователей;
  • разграничения доступа к защищаемым компонентам;
  • регистрации всех обращений к данным под защитой.

Рабочие ПК предпочтительно размещать в надежно запираемых помещениях. В рабочее время за компьютерами должны наблюдать ответственные сотрудники, в частности, не оставлять ПК без парольной защиты, когда покидают рабочее место. При обработке конфиденциальной информации в офисе могут находиться только лица, допущенные к этому процессу. 

Владелец ИС должен удостовериться в том, что у рядовых пользователей есть доступ только к тем ресурсам (массивам информационных данных), которые нужны им для работы. 

Идентификация достоверно определяет легитимность всех обращений пользователей к ИС. Она проводится на этапе входа пользователя в ОС. 

Для этого применяются следующие методы, обеспечивающие защиту информации:

  • вход по учетной записи;
  • вход по индивидуальным физиологическим характеристикам (отпечатки пальцев, тембр голоса, сетчатка глаза, лицо);
  • вход с применением радиокодовых устройств;
  • вход с использованием электронных носителей.

Вход по учетной записи. Каждый зарегистрированной пользователь в системе, получает личный логин и пароль, которые обязан хранить в тайне и вводить при каждом обращении к ИС. Логин и пароль посредством специального ПО сравниваются с эталонами. Если вводные данные совпадают, пользователь получает доступ под защитой. 

Очевидным достоинством этого способа является простота, недостатком – возможность утери или подбора логина и пароля. К тому же существует вероятность несанкционированного проникновения в область хранения эталонных паролей.

Вход по биометрическим данным. Биометрия считается одним из самых надежных методов защиты от НСД, но пока он не получил широкого распространения из-за необходимости специальной аппаратуры и соответствующего программного обеспечения, гарантирующего защиту. 
Существуют, однако, и методы обхода биометрической защиты. Например, систему распознавания лиц, которая используется в смартфонах, журналист Forbes сумел обойти с помощью гипсового слепка головы. 

Вход с применением радиокодовых устройств. Идентификация по радиокодовым устройствам предполагает использование механизмов, способных передавать радиосигналы с персональными свойствами. ПК оборудуется программно-аппаратными средствами приема, регистрации и обработки сигналов. Каждый пользователь получает такое приспособление, а его параметры заносятся в запоминающее устройство средств защиты. 

Минус этого метода идентификации в том, что похищение такого механизма дает правонарушителю потенциальную возможность НСД. 

Вход с использованием электронных носителей. В этом случае используются специальные карточки с данными, которые позволяют быстро идентифицировать сотрудника, вошедшего в офис или защищенный кабинет. Информация вносится на носитель в зашифрованном виде. Ключ кодирования известен только владельцу карточки либо сотруднику, который отвечает за обеспечение информационной безопасности в компании. Также возможно уничтожение ключа сразу после использования. ИС должна быть оснащена устройствами считывания информации с карточки. Этот способ часто находит применение в крупных территориально распределенных сетях, например, в автоматизированных банковских системах.

Уязвимость этого метода идентификации в том, что потеря карточки владельцем открывает доступ в помещения посторонним.

Виды информации, охраняемой по закону

Мировое сообщество на протяжении последних десятилетий уделяет много внимания правовому регулированию вопросов информационной безопасности. Частично они решаются на уровне международных и межгосударственных соглашений, но в основном соответствующие нормы попадают в национальное законодательство. 

Нормативно-правовые акты делятся на три категории:

  • определяющие необходимость и степень обеспечения безопасности информации;
  • связанные с уголовным или административным преследованием лиц, нарушающих законодательство в сфере сохранности данных;
  • определяющие меры, охраняющие массивы информации. Здесь называются организационные, аппаратные и программные методы.

По правовому статусу информация делится на следующие группы:

  • безусловно защищаемая нормами закона – государственная тайна, персональные данные, степень охраны которых бывает нескольких уровней, а также банковская, врачебная, адвокатская тайна и другие типы служебной информации; 
  • защищаемая на основании решения субъекта или субъектов оборота – коммерческая тайна. Она охраняется нормами закона после совершения компанией ряда действий. Это включение данных в список сведений, ознакомления с ним сотрудников и принятия ряда внутренних нормативных актов компании;
  • информация, не относящаяся к любой из этих групп, но разглашение, уничтожение или изменение которой может причинить существенный вред организации или иным лицам.

Для сведений из первой и второй групп законодатель устанавливает стандарты безопасности и предлагает воспользоваться для организации системы безопасности программными средствами обеспечения защиты информации, прошедшими сертификацию в ФСТЭК и ФСБ РФ. 

Для чего нужна программно-аппаратная защита информации

Аппаратные средства защиты в большинстве случаев охраняют информацию, доступ к которой ограничен на основании требований закона, например, государственную или банковскую тайну, персональные данные. Поэтому правила их использования полностью или частично регламентируются на уровне государства. Статус охраняемой информации определяется законами, например, законом «О персональных данных», правила выбора аппаратно-программных средств – нормативными актами и рекомендациями ФСТЭК РФ.

Обеспечение безопасности информации на программно-аппаратном уровне предохраняет сведения от несанкционированного доступа и снижает риски хищения и дальнейшего неправомерного использования полученных сведений. 

Комплекс аппаратно-программной защиты состоит из двух частей:

  • аппаратное устройство;
  • программный модуль.

Принцип работы системы состоит в том, что при попытке получения доступа к данным программа отправляет запрос к устройству, обеспечивающему работу ключа (токену, ридеру, электронному идентификатору, после подключения которого к компьютеру тот дает разрешение на работу), и функционирует только при его положительной реакции.

С точки зрения надежности эта методика выглядит предпочтительнее, чем просто программная защита, но стоимость аппаратной части делает ее доступной только для крупных и средних компаний или государственных организаций.