Классификация методов защиты информации

Информационная безопасность и ее особенности

Конфиденциальной информацией считаются персональные данные граждан, секреты коммерческой деятельности фирм, служебные и государственные тайны, материалы судопроизводства.
Охрана конфиденциальной информации подразумевает проведение мероприятий по физической и технической защите секретных материалов. Безопасность достигается путем ограничения доступа к секретным данным, сохранения их достоверности и целостности в процессе работы с уязвимой информацией.

Существует несколько возможных каналов утечки ценной информации. Прямые каналы утечки информации – это непосредственное копирование важных документов или нарушение коммерческой тайны.

К косвенным относят:

• потерю или кражу устройств – носителей информации;
• неправильную утилизацию данных, подлежащих уничтожению;
• дистанционное прослушивание или фотографирование документов с секретной информацией;
• радиоперехват сообщений.

Виновниками разглашения персональной информации зачастую становятся социальные сети. Нередко в Интернет попадают материалы с информацией о личной жизни, семейных тайнах граждан. Мошенники могут получить доступ к электронным кошелькам. Чтобы защищиться, приходится использовать сложные пароли и принимать другие меры безопасности.

Существуют различные приемы похищения информации: акустические (подслушивание), оптические (видеосъемка). Для перехвата данных могут быть использованы электромагнитные, электронные и другие устройства. 

Для компаний, нуждающихся в защите ценной информации, разработаны специальные системы защиты информации класса DLP (Data Loss Prevention). С их помощью можно узнать, кто работал с секретной информацией и куда ее передал. Оценивается степень защищенности информации и риск утечки.

Объекты защиты

Способы защиты информации имеют свою цену, и необходимо так разграничить объекты охраны, чтобы наиболее сложные и дорогостоящие методы применялись к наиболее ценным информационным объектам. Такое ранжирование производится еще на стадии разработки требований к архитектуре информационной системы. 

Выделяются следующие информационные массивы:

• исходные данные – сведения, которые направляются в АИС на хранение и обработку от пользователей, клиентов, контрагентов;
• производные данные, создающиеся в АИС в результате обработки исходных. Это базы данных, отчеты, структурированные иным способом информационные массивы;
• служебные, вспомогательные сведения, данные сканирования, архивы работы систем защиты;
• программные средства защиты информации, представляющие собой лицензионные продукты или созданные собственными силами;
• алгоритмы, которые легли в основу разработки программ.

За исключением вспомогательных данных, большинство информационных массивов может содержать коммерческую тайну, защита которой должна обеспечиваться на самом высоком уровне.

Средства межсетевого экранирования

Эти СЗИ защищают корпоративную сеть от попыток проникновения. Иногда их называют также файрволами или брандмауэрами. Грубо говоря, это действительно стена, которая, как предполагается, сможет остановить злоумышленников. Вот примеры:

• TrustAccess. Может разделить локальную сеть на сегменты для защиты информации, разграничить доступ к информационным системам на сетевом уровне. Кроме того, здесь есть собственный механизм аутентификации, обеспечивающий защиту от прослушивания, попыток подбора и перехвата паролей.
• «Континент». Это несколько продуктов, которые умеют, например, объединять несколько филиалов организации в виртуальную частную сеть и организовывать защищенный удаленный доступ в корпоративную сеть. Поддерживается множество операционных систем. Например, Windows, Linux и Android.

Примечания

1. Hakim, Joy. A History of Us: War, Peace and all that Jazz (англ.). — New York: Oxford University Press, 1995. — ISBN 0-19-509514-6.
2. Приказ ФСБ РФ от 09.02.2005 № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение пкз-2005)»
3. Указ президента РФ от 03.04.1995 № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации»
4. Правительство РФ. Постановление от 16 апреля 2012 г. № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищённых с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» (рус.). Правительство РФ (16 апреля 2012). Дата обращения 19 сентября 2012. Архивировано 16 октября 2012 года.
5. Постановление Правительства РФ от 31.10.1996 № 1299 «О порядке проведения конкурсов и аукционов по продаже квот при введении количественных ограничений и лицензирования экспорта и импорта товаров (работ, услуг) в Российской Федерации»

Актуальные вопросы защиты информации

Общественность интересует, насколько эффективно ведомство выполняет свои функции. Отчитываясь о результатах реализации требований в сфере защиты информации, ФСТЭК применительно к разработчикам ПО, критически важным объектам инфраструктуры и частично к операторам ПД отмечает:

• в 2018 году продлен срок сертификации ПО, теперь операторы не обязаны самостоятельно продлять сертификации;
• изменилось формирование модели угроз, сейчас она опирается на архитектуру системы;
• предложена модель защиты прав оператора, если он установил несертифицированное ПО. Если ранее ему требовалась инсталляция нового, теперь он сам, а не разработчик, вправе подать заявку на сертификацию;
• в связи с изменением информационной среды разработаны требования к новым средствам защиты информации, в том числе в облачной среде;
• изменена методика выявления уязвимостей в ПО;
• создан и поддерживается банк данных угроз безопасности информации. Базовое описание предлагает до 700 типов уязвимостей.

Деятельность ФСТЭК РФ показывает ее готовность успевать за требованиями времени и предлагать рынку новые инструменты защиты информации.

Как обеспечивается безопасность

Для сохранения конфиденциальных сведений от разглашения используются следующие приемы:

1. Сертификация данных. При разработке мер по защите информации учитывают требования нормативных документов. В них регламентируются средства, обеспечивающие конфиденциальность данных. Сертификация – это проверка соответствия защитных мер установленным нормам работы с секретной информацией.2. Лицензирование – выдача разрешения на определенный вид деятельности или использование изобретения. Если дело касается информации, не подлежащей разглашению, осуществляется контроль за соблюдением условий и требований конфиденциальности, оговоренных в лицензии.3. Категорирование – разделение объектов на категории секретности и с учетом опасности утечки данных при работе с секретной информацией.4. Аттестация – проверка помещений, в которых хранятся конфиденциальные материалы, на соответствие требованиям безопасности и наличие необходимых технических средств.

Руководители компаний, владеющих секретной информацией, должны иметь перечень сведений, не подлежащих разглашению, а также поименный список лиц, имеющих допуск к таким материалам. При приеме на работу новых сотрудников предупреждают о недопустимости разглашения служебной информации и о грозящей ответственности.

Если дело не касается государственных тайн, руководители предприятий сами устанавливают степень конфиденциальности информации, а также выбирают методики и средства ее защиты. При этом руководство берет на себя ответственность за неправильное обращение с ценной информацией и определяет возможные последствия. Все мероприятия по информационной защите осуществляются в соответствии с федеральным законом и указами президента Российской Федерации.

Риски возникающие при не защищенном использовании интернета

Перечислить, какие именно могут возникнуть опасности, если защита информации в сети интернет не организована или организована плохо — практически невозможно.

Каждый отдельный случай — это обычно совокупность, зачастую самое неприятное сочетание нескольких факторов.

Их краткий список можно сформулировать так:

• получение несанкционированного доступа к информации;
• кража критически важных данных;
• подмена или намеренное изменение информации в хранилище или непосредственно при передаче;
• злонамеренное удаление важных данных;
• разглашение конфиденциальной информации после получения доступа к ней различными методами;
• намеренное шифрование данных с целью последующего шантажа, вымогательства.

При организации системы мер по сохранению данных, которые будут тщательно читывать все законы о защите информации в интернете — стоит понимать существующие проблемные зоны.

Сохранение корпоративной информации методом её выкупа у злоумышленников

Одна из них относится к человеческому фактору, другая касается методик передачи, третья формулирует схему организации хранения.

Виды информации, охраняемой по закону

Мировое сообщество на протяжении последних десятилетий уделяет много внимания правовому регулированию вопросов информационной безопасности. Частично они решаются на уровне международных и межгосударственных соглашений, но в основном соответствующие нормы попадают в национальное законодательство. 

Нормативно-правовые акты делятся на три категории:

• определяющие необходимость и степень обеспечения безопасности информации;
• связанные с уголовным или административным преследованием лиц, нарушающих законодательство в сфере сохранности данных;
• определяющие меры, охраняющие массивы информации. Здесь называются организационные, аппаратные и программные методы.

По правовому статусу информация делится на следующие группы:

• безусловно защищаемая нормами закона – государственная тайна, персональные данные, степень охраны которых бывает нескольких уровней, а также банковская, врачебная, адвокатская тайна и другие типы служебной информации; 
• защищаемая на основании решения субъекта или субъектов оборота – коммерческая тайна. Она охраняется нормами закона после совершения компанией ряда действий. Это включение данных в список сведений, ознакомления с ним сотрудников и принятия ряда внутренних нормативных актов компании;
• информация, не относящаяся к любой из этих групп, но разглашение, уничтожение или изменение которой может причинить существенный вред организации или иным лицам.

Для сведений из первой и второй групп законодатель устанавливает стандарты безопасности и предлагает воспользоваться для организации системы безопасности программными средствами обеспечения защиты информации, прошедшими сертификацию в ФСТЭК и ФСБ РФ. 

Шифрование

Шифрование применяют для искажения всех данных полностью или отдельного блока информации в процессе хранения и передачи. Даже если злоумышленник похитит важные сведения, прочитать их без ключа он не сможет. 
Иногда для защиты ставят пароль на дешифровку. В этом случае работа с информацией происходит следующим образом: перед использованием производится ее расшифровка, а после данные снова «прячутся». 

Основные способы шифрования:

• симметричное и ассиметричное;
• хеширование данных;
• шифрование на уровне хранилища;
• на уровне БД;
• на уровне приложений.

Шифрование используется для защиты от несанкционированных пользователей не только информации, но и алгоритмов, функций программ. Однако использование шифрования и дешифровки усложняет работу системы управления базами данных (СУБД), так как дает дополнительную нагрузку на сервер.   

Полномочия ведомств в части рекомендации ПО

Право на определение программных продуктов, которые могут быть применены для защиты информации, имеющей категорию государственной тайны или персональных данных, принадлежат трем структурам:

1. Межведомственной комиссии по защите государственной тайны (ее полномочия распространяются только в отношении информации, составляющей государственную тайну).

2. ФСБ РФ (в части определения прав допуска к охраняемым данным и в части сертификации криптографических программ).

3. ФСТЭК России (в части применения некриптографических программных методов).

Ведомства принимают решение о сертификации программы, и только после этого она может быть использована для защиты конфиденциальной информации. Следует учитывать, что:

• сертификации подлежит ограниченное количество экземпляров программ;
• сертифицируется только одна версия, при ее обновлении этот процесс необходимо проходить заново, а пользователю, соответственно, приобретать новый продукт – сертифицированное обновление;
• сертифицированные программы не могут дорабатываться (дописываться).

При защите банковской тайны полномочия по определению программного обеспечения, которое может быть использовано в этих целях, принадлежат ЦБ РФ.

Средства антивирусной защиты информации

Такие СЗИ предназначены для поиска вредоносных программ и восстановления поврежденных данных. Кроме того, их используют для профилактического сканирования системы. Вот два примера:

• «Доктор Веб». Под этой маркой выпускаются решения как для среднего, так и для малого бизнеса. С их помощью можно централизованно защитить все узлы сети — интернет-шлюзы, мобильные и терминальные устройства, рабочие станции и сервера. Есть функции антиспама, офисного контроля и брандмауэра.
• ESET NOD32. Компания предлагает комплексные бизнес-решения с централизованной защитой от угроз. Есть возможность построить антивирусные системы любого масштаба. В том числе, есть версии, сертифицированные ФСТЭК.

Причины утечки информации

Чаще всего угрозы информационной безопасности в компьютерных сетях возникают по следующим причинам:

• человеческий фактор;
• использование нелицензионного программного обеспечения;
• хакерские атаки;
• вирусные угрозы.

Корпоративные сети в большей степени подвержены воздействию антропогенной угрозы. Сотрудники, преднамеренно или по невнимательности, могут отправить секретные сведения по небезопасным каналам связи или скопировать их на съемный носитель для работы вне офиса. Утеря карты памяти, флешки или диска может привести к попаданию информации к посторонним лицам.

При использовании пиратского ПО не обеспечивается защита от несанкционированного доступа к информации третьими лицами. Владельцы нелицензированных программ не получают обновления и техническую поддержку. По данным Microsoft, пиратские программы в 7% случаев заражены зловредными программами, предназначенными для кражи паролей и персональных данных.

Хакерские атаки проводятся на каналы связи или сервера ресурсов. Они применяются в конкурентной борьбе для получения сведений о клиентах компании или с целью похищения денег пользователей сайта.

Одной из наиболее опасных угроз является вирусное заражение компьютера. Вирусы повреждают операционную систему и влияют на работу всей IT-системы. Они проникают на компьютер через почтовые сообщения или программы обмена уведомлениями. Наиболее опасными среди вирусов являются троянские программы, которые могут уничтожать или повреждать файлы, а также открывать злоумышленникам доступ к данным пользователей.

SIEM-системы

Сокращение расшифровывается, как «Управление информацией о безопасности и событиями ИБ» (Security information and event management). Система может оперативно обнаружить внешние и внутренние атаки, анализировать инциденты и события, оценивать уровень защиты информационной системы, формировать отчеты и другую аналитику.

Информационная безопасность

Узнать больше

Главное преимущество SIEM-систем — они одновременно собирают и анализируют большое количество данных, благодаря чему могут обнаружить атаки очень быстро. Именно поэтому многие компании воспринимают SIEM-системы, как важную часть защиты корпоративной сети.

В качестве примеров можно привести следующие решения:

• MaxPatrol SIEM. Популярная российская разработка с русскоязычными техподдержкой и документацией. Также есть сертификация ФСТЭК и Минобороны РФ. Кроме того, она проста в использовании. MaxPatrol умеет собирать данные более чем с 300 источников, включая «Лабораторию Касперского», «1С» и многие другие.
• LogRhythm. Американское решение, разработанное одноименной компанией. Особенность системы — для анализа ситуации в корпоративной сети она использует множество интеллектуальных решений. Например, поведенческий анализ и логарифмическую корреляцию. Также LogRhytm регулярно занимает лидирующие места в отраслевых рейтингах SIEM-решений.
• RuSIEM. Еще одно российское решение, ориентированное на отечественный рынок. Среди преимуществ — масштабируемость, а также отсутствие ограничений по количеству событий, их источникам и размеру архивного хранилища.

Привлечение сторонних организаций для создания систем информационной безопасности

Самостоятельная разработка и внедрение систем защиты информации доступны не всем предприятиям. Существуют специализированные организации, которые оказывают помощь в создании комплексных охранных систем. Необходимо создать специальную группу, которая проводит аудит и оценивает риски. Определить наиболее опасные источники угроз, разработать план действий. Он обсуждается с руководством предприятия, после чего следует приступить к созданию (или реорганизации) подразделения информационной безопасности. 

Провести инструктаж всех сотрудников, по необходимости организовать обучающие занятия по информационной безопасности и использованию массивов данных. Все организационные мероприятия следует производить в соответствии со спецификой предприятия. Основной упор нужно сделать на опасные каналы утечки данных, проинформировать сотрудников об ответственности за преднамеренные несанкционированные действия с информацией. В течение первых месяцев работы потребуется консультационное сопровождение деятельности ИБ-службы, отработка важных методик и приемов работы.

09.10.2019

Организационно-техническая составляющая информационной безопасности

Вначале определим объекты защиты. Ими являются:

• речевая информация;
• данные, передающиеся техническими средствами.

В защите нуждаются как основные техсредства и системы (ОТСС), задействованные в работе с защищаемыми данными, так и вспомогательные техсредства и системы (ВТСС), а также заранее определенные помещения.

Организационная защита информации состоит в своде правил, составленных на основе правовых актов РФ, призванных предотвратить неправомерное овладение конфиденциальными данными.

Организационный метод обеспечения информационной безопасности имеет следующие составляющие:

• создание режима охраны информации;
• разработка правил взаимоотношений между сотрудниками;
• регламентация работы с документами;
• правила использования технических средств в рамках существующего правового поля РФ;
• аналитическая работа по оценке угроз информационной безопасности.

Защита информационной инфраструктуры от несанкционированного доступа обеспечивается регламентацией доступа субъектов (работников) к объектам (носителям данных и каналам их передачи). Организационный метод обеспечения информационной безопасности не подразумевает использования технического инструментария. Такая информационная безопасность зачастую состоит, например, в удалении ОТСС за периметр охраняемой территории на максимально возможное расстояние.

Применение же технического оборудования и различных программ для обеспечения информационной безопасности, включая системы управления базами данных, прикладное ПО, различные шифровальщики, DLP-системы и SIEM-системы, исключающих утечки данных через компьютерную сеть, относится к техническому методу обеспечения информационной защиты.

«СёрчИнформ КИБ» сочетается с SIEM-решениями. Комбинация продуктов усиливает защиту данных в компании.

Оба метода взаимодополняемы и называются организационно-техническими (например, проведение специальных проверок технических средств и помещений на предмет обнаружения сторонних устройств, предназначенных для фиксирования и передачи информации). Организационно-технические мероприятия в обязательном порядке должны соответствовать правовым методам обеспечения информационной безопасности, предписанным нормативными документами РФ.

Политика информационной безопасности разрабатывается с учетом существования множества подсистем, включая:

• подсистему предоставления доступа;
• подсистему регистрации и учета;
• подсистему по обеспечению безопасности за счет использования шифров.

Главные правила успешной системы информационной безопасности:

• перманентность действия установленных правил;
• полнота принимаемых мер;
• комплексность;
• согласованность;
• результативность.

Порядок обеспечения информационной безопасности

При осуществлении защиты засекреченной информации соблюдается следующий порядок действий:

1. Составляется перечень коммерческих тайн и сведений, не подлежащих разглашению. При этом учитывается необходимость проведения охранных мероприятий в смежной организации, имеющей доступ к подобным сведениям;
2. Разрабатываются способы хранения информации (использование электронных носителей, бумажных документов, технических средств обработки). Выделяются помещения и оборудование для хранения документов с ценной информацией, составляется список ответственных лиц;
3. Проверяется эффективность принятых мер.

***

Повышение информационной безопасности требует проведения комплексных мероприятий с использованием сложных технических устройств

Необходимо правильно оценивать степень риска утечки информации и принимать адекватные меры, чтобы не допустить похищения сведений, которые могут быть использованы в незаконных и преступных целях. Важно постоянно анализировать эффективность информационной защиты и совершенствовать  методику ее проведения. 

Средства криптографической защиты информации

Эти СЗИ защищают уже не доступ к информации, а ее саму — с помощью криптографии. То есть, вся она передается в зашифрованном виде и декодируется с помощью криптографических ключей. Без них злоумышленник не сможет понять смысла данных, даже если перехватит их. Вот два примера:

• КриптоПро CSP. Алгоритмы криптографии здесь отвечают требованиям ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая». Есть сертификаты соответствия ФСБ России.
• КриптоАРМ. Еще одно решение с сертификатами соответствия ФСБ России. Шифрование здесь также соответствует требованиям ГОСТ 28147-89.

Какими средствами обеспечивается, классификация

Предупреждение утечки или утери информации должно осуществляться комплексно, т. е. для получения наилучших результатов все виды защиты информации нужно объединить.

Комплексная защита информационной системы включает:

1. Организационную защиту, т. е. специальные мероприятия от собраний до разработки планов и организации отделов, занимающихся предотвращением несанкционированного доступа.
2. Программно-аппаратную защиту, компьютерные системы и программы.
3. Инженерно-техническую защиту: камеры видеонаблюдения, интеллектуальные замки, ограничивающие доступ в секретные помещения (к конфиденциальной информации) посторонних.
4. Законодательную защиту.

Избирательное и обязательное управление доступом

Система управления БД позволяет разграничить права доступа пользователей или, наоборот, объединить их в группы по признаку разрешенных однотипных действий. 

Избирательное управление доступом включает:

1. Распределение доступа к данным – с БД можно работать группой или дать разрешение определенным сотрудникам на использование конкретных сведений.

2. Дополнительный учет данных при входе в систему (информация о том? кто, под какой учеткой, в какое время обращался к базе данных), аудите и изоляции отдельных сведений.

Свою «подлинность» сотрудник подтверждает при входе в БД логином и паролем. При аутентификации могут запрашиваться дополнительные сведения, например, ответ на секретный вопрос. После входа в систему пользователь может реализовать только права, предоставленные ему администратором (или владельцем БД) в зависимости от уровня доступа. Минимальные полномочия (уровень доступа) определяется должностными обязанностями сотрудника.

При обязательном управлении доступом данные классифицируются, например, «секретно», «совершенно секретно», «для общего пользования». Каждый пользователь имеет свой уровень доступа. Чаще всего подобная структура БД присуща правительственным или военным предприятиям. Получить необходимые сведения может только человек с уровнем допуска равным грифу данных или выше. 

Признаки, которые могут навести на мысль о том, что рядом идет торговля «секретами фирмы»

Во-первых, от компании уходят клиенты – вероятнее всего конкурентам кто-то слил клиентскую базу.

Во-вторых, очевидная перемена в поведении некоторых сотрудников: внезапное улучшение материального положения, снижение заинтересованности в работе, активизировавшаяся переписка в интернете, частая пересылка графических или запароленных архивированных файлов.

В-третьих, «кучкование». Так, в одной компании 30 из 40 сотрудников, которые занимались заключением договоров, сговорившись, зарегистрировали собственную организацию и фактически работали на нее. Сотрудники предлагали клиентам, с которыми напрямую общались, те же услуги, но немного дешевле и перезаключали с ними договоры уже от имени собственной организации.

Заключение

Любой человек так или иначе сталкивается с методами обеспечения информационной безопасности. Он является участником правовых, когда подписывает договор с банком.

Поэтому обладать минимальными знаниями о рекомендованных обществом мерах обеспечения информационной безопасности — просто обязан.

Например: не разглашать номера паспортов друзей, не давать номера их мобильных телефонов без явного на то согласия, не рассказывать шапочному знакомому о секретах компании. Минимальный набор простых действий способен значительно облегчить жизнь, а его отсутствие — сильно ее испортить.