Инженерно техническая защита информации на предприятии

СЗИ, чтобы отвечать требованиям

Такие системы могут понадобиться и для выполнения различных требований со стороны регуляторов. Например, ФЗ-152, 719-П, ГОСТ и других. Вот примеры таких решений:

  • «КИТ-Журнал». СЗИ, которая поможет выполнять требования приказа ФАПСИ №152 и ПКЗ-2005. Система автоматизации учета и процессов информационной безопасности поможет правильно вести соответствующие документы. Есть функции разграничения прав доступа, а интерфейс — привычный и удобный. Есть традиционные планировщик задач, электронная подпись, автоматизация действий и многое другое.
  • TimeInformer. СЗИ, которая пригодится, если для отчетности нужно точно знать, какие ресурсы в интернете посещают сотрудники в течение рабочего дня. Из программы можно выгрузить подробные отчеты с аналитикой рабочего времени, установленному на компьютерах ПО и другой информацией. Одним из главных достоинств программы является ее незаметность — она не снижает скорость работы компьютеров сотрудников.
  • Контур информационной безопасности SearchInform может быть хорошим выбором, если вы ищете именно российское решение, которым пользуются множество известных компаний в России и зарубежных странах. У этого решения есть все нужные сертификаты, и им пользуются такие компании, как Банк «Открытие», Газпромнефть, Тройка-Диалог, МТТ и многие другие. Среди множество функций есть даже «Выявление инсайдеров в компании».

Соответствие нормам

Чтобы объект или техническое средство имели право на обработку секретных данных, они обязательно должны соответствовать определенным правилам и стандартам безопасности информационных систем. Объект должен пройти аттестацию и получить разрешение на определенный срок

Под пристальное внимание попадет организационная структура и состав технических средств, программного обеспечения, пройдет проверку документация и уровни всей системы. Обычно проверяется правильность категорирования, уровень подготовки кадров и определяется соответствие выбранной системы защиты информации

При этом все выбранные технические и программные средства должны иметь сертификат и успешно пройти испытания.

Кроме аттестации, продукция, используемая при создании системы защиты, должна пройти обязательную сертификацию на соответствие заявленным требованиям. Процесс подтверждения (сертификация) не является обязательным, но наличие документа повышает доверие к производителю. Если программные или технические средства используются в целях защиты государственной тайны, тогда этот пункт должен учитываться в обязательном порядке.

В документе к товару указывается класс защищенности (их всего 7). Для обычных граждан, работающих с конфиденциальными сведениями, будет достаточно внедрить 5-6 класс защищенности, который работает на принципе избирательного управления доступом. По мандатному принципу управления доступом работают более высокие 2-4 классы. Их используют для работы с государственной тайной. Самым защищенным считается 1-й класс (верифицированная защита).

Правильное категорирование информации открывает путь к построению правильной и эффективной системы защиты. Самым низким уровнем данных по секретности и по причиненным ущербам может быть конфиденциальная информация. Секретная информация разделяется на такие категории:

  • Личная – персональные данные или сведения о личной жизни гражданина;
  • Служебная – все, что связано с исполнением служебных обязанностей, но не являющееся государственной тайной;
  • Коммерческая – сведения, являющиеся коммерческой ценностью, не могут быть переданы конкурирующим организациям;
  • Судебно-следственная – тайна следствия и судопроизводства;
  • Профессиональная конфиденциальная – врачебная, адвокатская тайна;
  • Производственная – тайна изобретения или создания модели производства.

Высоким уровнем секретности обладает государственная тайна, которая имеет 3 степени: особо важная информация (военная, экономическая, научно-техническая с ущербом для всего государства в указанных областях), совершенно секретная (ущерб для одной или нескольких областей деятельности) и секретная информация (ущерб предприятию, учреждению или организации в одной из деятельностей). Тщательный анализ всей системы и создание прочной сертифицированной и лицензированной базы для защиты секретных данных позволит обезопасить предприятие или государство на самом высоком уровне.

Риски возникающие при не защищенном использовании интернета

Перечислить, какие именно могут возникнуть опасности, если защита информации в сети интернет не организована или организована плохо — практически невозможно.

Каждый отдельный случай — это обычно совокупность, зачастую самое неприятное сочетание нескольких факторов.

Их краткий список можно сформулировать так:

  • получение несанкционированного доступа к информации;
  • кража критически важных данных;
  • подмена или намеренное изменение информации в хранилище или непосредственно при передаче;
  • злонамеренное удаление важных данных;
  • разглашение конфиденциальной информации после получения доступа к ней различными методами;
  • намеренное шифрование данных с целью последующего шантажа, вымогательства.

При организации системы мер по сохранению данных, которые будут тщательно читывать все законы о защите информации в интернете — стоит понимать существующие проблемные зоны.

Сохранение корпоративной информации методом её выкупа у злоумышленников

Одна из них относится к человеческому фактору, другая касается методик передачи, третья формулирует схему организации хранения.

2.1 Криптография

Криптографическое преобразование — один из наиболее
эффективных методов, резко повышающих безопасность:

• передачи данных в компьютерных сетях;

•        данных, хранящихся в удаленных устройствах
памяти;

•        информации при обмене между удаленными
объектами.

Защита информации методом криптографического
преобразования заключается в приведении ее к неявному виду путем преобразования
составных частей информации (букв, цифр, слогов, слов) с помощью специальных
алгоритмов либо аппаратных средств и кодов ключей. Ключ- это изменяемая
часть криптографической системы, хранящаяся в тайне и определяющая, какое
шифрующее преобразование из возможных выполняется в данном случае.

Для преобразования (шифрования) используется некоторый
алгоритм или устройство, реализующее заданный алгоритм, которые могут быть
известны широкому кругу лиц. Само же управление процессом шифрования
осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего
каждый раз оригинальное представление информации при использовании одного и
того же алгоритма или устройства. Знание ключа позволяет относительно быстро,
просто и надежно расшифровать текст.

К методам криптографического преобразования применимы
следующие требования:

• метод должен быть достаточно устойчивым к попыткам
раскрытия исходного текста на основе зашифрованного;

•        обмен ключа не должен быть труден для
запоминания;

•        затраты на защитные преобразования должны
быть приемлемы при заданном уровне сохранности информации;

•        ошибки в шифровании не должны приводить к
явной потере информации;

Существует несколько методов защитных преобразований,
которые можно подразделить на четыре основные группы: перестановка замены
(подстановки), аддитивные и комбинированные методы.

2.2 Идентификации и аутентификации пользователей

Идентификацию и аутентификацию можно считать основой
программно-технических средств безопасности, поскольку остальные сервисы
рассчитаны на обслуживание именованных субъектов. Идентификация и
аутентификация — это первая линия обороны, «проходная» информационного
пространства организации.

Идентификация — это присвоение какому-либо объекту
или субъекту уникального имени или образа.

Аутентификация — это установление подлинности, т.е.
проверка, является ли объект (субъект) действительно тем, за кого он себя
выдает.

Конечная цель процедур идентификации и аутентификации
объекта (субъекта) — допуск его к информации ограниченного пользования в случае
положительной проверки либо отказ в допуске в случае отрицательного исхода
проверки.

Объектами идентификации и аутентификации могут быть:
люди (пользователи, операторы и др.); технические средства (мониторы, рабочие
станции, абонентские пункты); документы (ручные, распечатки и др.); магнитные
носители информации и др.

Один из наиболее распространенных методов
аутентификации — присвоение лицу или другому имени пароля и хранение его
значения в вычислительной системе. Пароль-это совокупность символов,
определяющая объект (субъект).

Учитывая важность пароля как средства повышения
безопасности информации от несанкционированного использования, следует
соблюдать некоторые меры предосторожности, в том числе:

•    не хранить пароли в вычислительной системе в
незашифрованном виде;

•        не печатать и не отображать пароли в явном
виде на терминале пользователя;

•        не использовать в качестве пароля свое имя
или имена родственников, а также личную информацию (дата рождения, номер
домашнего или служебного телефона, название улицы и др.);

•        не использовать реальные слова из
энциклопедии или толкового словаря;

•        выбирать длинные пароли;

•        использовать смесь символов верхнего и
нижнего регистров клавиатуры;

•        использовать комбинации из двух простых слов,
соединенных специальными символами (например, + , = и др.);

•        придумывать новые слова (абсурдные или даже
бредового содержания);

•        чаще менять пароль.

Для идентификации пользователей могут применяться
сложные в плане технической реализации системы, обеспечивающие установление
подлинности пользователя на основе анализа его индивидуальных параметров:
отпечатков пальцев, рисунка линий руки, радужной оболочки глаз, тембра голоса и
др. Но пока эти приемы носят скорее рекламный, чем практический характер.

Более широкое распространение нашли физические методы
идентификации с использованием носителей кодов паролей. Такими носителями
являются пропуска в контрольно-пропускных системах; пластиковые карты с именем
владельца
, его кодом, подписью; пластиковые карточки с магнитной полосой,
содержащей около 100 байт информации, которая считывается специальным
считывающим устройством (используются как кредитные карточки, карточки для
банкоматов и др.); пластиковые карты, содержащие встроенную микросхему ( smart-
card
); карты оптической памяти и др.

Одно из интенсивно разрабатываемых направлений по
обеспечению безопасности информации — идентификация и установление подлинности
документов на основе электронной цифровой подписи.

Электронная цифровая подпись представляет собой способ
шифрования с помощью криптографического преобразования и является паролем,
зависящим от отправителя, получателя и содержания передаваемого сообщения. Для
предупреждения повторного использования подпись должна меняться от сообщения к
сообщению.

[править] Технические средства защиты информации

Для защиты периметра информационной системы создаются:

  • системы охранной и пожарной сигнализации;
  • системы цифрового видео наблюдения;
  • системы контроля и управления доступом (СКУД).

Защита информации от её утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями:

  • использованием экранированного кабеля и прокладка проводов и кабелей в экранированных конструкциях;
  • установкой на линиях связи высокочастотных фильтров;
  • построение экранированных помещений («капсул»);
  • использование экранированного оборудования;
  • установка активных систем зашумления;
  • создание контролируемых зон.

Основные тенденции сектора рынка

Согласно исследованию компании «Б152» (разработчик автоматизированной системы защиты персональных данных), решающими факторами при защите персональных данных являются страх потерять деньги на штрафах от регуляторов (63% опрошенных) и чистота перед законом (41%). При этом при выборе подрядчика для решения вопроса о выполнении требований закона №152ФЗ «О персональных данных» большинство опрошенных ориентируется на стоимость услуг (59%), вторым приоритетом является быстрота реализации проекта (49%).

Ситуация с решениями для защиты гостайны во многом представляется аналогичной. Стоит разделять коммерческих заказчиков (например, аттестующих рабочие места для получения лицензии ФСБ или выполняющих требования по защите ПДн) и государственные организации.

Можно с уверенностью утверждать, что для коммерческих клиентов при выборе СЗИ от НСД наиболее важно следующее:

  • формальное выполнение требований РД ФСТЭК (реализуется всеми сертифицированными СЗИ от НСД);
  • совместимость с ОС компьютера, который будет аттестован (совместимость должна быть не просто реализованной, но и прописанной в сертификате);
  • слабое влияние на компьютер в процессе работы (можно проверить с помощью демоверсии, поэтому чем легче ее получить, тем лучше);
  • стабильность программного обеспечения (косвенно опять таки можно определить с помощью демоверсии либо получить представление по отзывам других пользователей на форумах и пр.);
  • отсутствие дополнительных средств, затрудняющих установку и эксплуатацию;
  • минимальная цена.

Для государственных заказчиков при выборе СЗИ от НСД важны те же факторы.

А сейчас рекламная пауза!

Единственным сертифицированным MDM / EMM / UEM решением для Android и iOS является наша платформа SafePhone. Конечно, цифровому фрезировщику iPad не светит. Но если начальник из профильного ведомства, угодивший на принудительную удалёнку, захочет получить доступ с iPad к рабочим файлам без их пересылки на личный почтовый ящик Google, ему придётся аттестовать ГИС удалённого доступа и тут мы ему поможем.

И ещё одно. Чтобы оптимизировать затраты своих заказчиков, мы недавно встроили в свою платформу антивирусные библиотеки Лаборатории Касперского. Теперь, чтобы удовлетворить регулятора, нужно покупать на одно решение меньше. Встречайте SafePhone MTD Edition.

Механизмы СКЗИ для информационной защиты

  1. Защита конфиденциальности хранимой или передаваемой информации происходит применением алгоритмов шифрования.
  2. При установлении связи идентификация обеспечивается средствами электронной подписи при их использовании во время аутентификации (по рекомендации X.509).
  3. Цифровой документооборот также защищается средствами электронной подписи совместно с защитой от навязывания или повтора, при этом осуществляется контроль достоверности ключей, используемых для проверки электронных подписей.
  4. Целостность информации обеспечивается средствами цифровой подписи.
  5. Использование функций асимметричного шифрования позволяет защитить данные. Помимо этого для проверки целостности данных могут быть использованы функции хеширования или алгоритмы имитозащиты. Однако эти способы не поддерживают определения авторства документа.
  6. Защита от повторов происходит криптографическими функциями электронной подписи для шифрования или имитозащиты. При этом к каждой сетевой сессии добавляется уникальный идентификатор, достаточно длинный, чтобы исключить его случайное совпадение, и реализуется проверка принимающей стороной.
  7. Защита от навязывания, то есть от проникновения в связь со стороны, обеспечивается средствами электронной подписи.
  8. Прочая защита — против закладок, вирусов, модификаций операционной системы и т. д. — обеспечивается с помощью различных криптографических средств, протоколов безопасности, антивирусных ПО и организационных мероприятий.

Как можно заметить, алгоритмы электронной подписи являются основополагающей частью средства криптографической защиты информации. Они будут рассмотрены ниже.

СЗИ от несанкционированного доступа

Чтобы защитить сеть и данные от посторонних, такие СЗИ идентифицируют и аутентифицируют устройства и пользователей, регистрируют работу процессов и программ, управляют информационными потоками между устройствами, сканируют носители информации и делают множество других вещей. Вот два примера таких СЗИ:

  • Dallas Lock. Разработана для операционных систем Windows. Можно подключить аппаратные идентификаторы. Из возможностей — поддерживает виртуальные среды, аудит действий пользователей, контроль целостности файловой системы, программно-аппаратной среды, реестра и многое другое.
  • Электронный замок «Соболь». Поддерживает доверенную загрузку и доверенную программную среду. Есть функции регистрации попыток доступа, сторожевого таймера и многого другого. Имеет сертификаты соответствия ФСТЭК и ФСБ.

Средства межсетевого экранирования

Эти СЗИ защищают корпоративную сеть от попыток проникновения. Иногда их называют также файрволами или брандмауэрами. Грубо говоря, это действительно стена, которая, как предполагается, сможет остановить злоумышленников. Вот примеры:

  • TrustAccess. Может разделить локальную сеть на сегменты для защиты информации, разграничить доступ к информационным системам на сетевом уровне. Кроме того, здесь есть собственный механизм аутентификации, обеспечивающий защиту от прослушивания, попыток подбора и перехвата паролей.
  • «Континент». Это несколько продуктов, которые умеют, например, объединять несколько филиалов организации в виртуальную частную сеть и организовывать защищенный удаленный доступ в корпоративную сеть. Поддерживается множество операционных систем. Например, Windows, Linux и Android.

Рекомендации по ограничению физического доступа к оборудованию связи.

Для достижения указанной цели следует применять аппаратуру, проверенную на отсутствие внедренных “закладок”, эксплуатируемую аппаратуру — пломбировать, ремонт аппаратуры производить только с привлечением доверенных специалистов под контролем владельца или сотрудника службы безопасности, исключить какие-либо инициативные переделки введенной в эксплуатацию аппаратуры обслуживающим персоналом или ремонтниками

Особое внимание следует обращать на легко заменяемые элементы. Например, кабель, соединяющий телефонный аппарат с аппаратом защиты (скремблером, шифратором) может быть заменен за несколько секунд, а его конструкция и габариты допускают установку весьма совершенной “закладки”

Такие элементы следует дополнительно закреплять и маркировать. Дополнительное крепление и маркировка должны быть незаметны для постороннего наблюдателя, но легко проверяться владельцем терминала или допущенным обслуживающим персоналом. Прокладка проводов, несущих сигналы незащищенной информации, должна выполняться скрыто, по возможности без разъемных соединений, функционально необходимые разъемы должны дополнительно фиксироваться или пломбироваться.

Для исключения перехвата информации по электромагнитным полям желательно применять аппаратуру, сертифицированную Гостехкомиссией России, выполняя указания по ее размещению. При использовании иной аппаратуры желательно провести инструментальную проверку возможности приема сигналов защищаемой информации в непосредственной близости (10 — 15 см) от аппаратуры.

Отходящие цепи должны быть максимально удалены от аппаратуры обработки информации. Кабели, шнуры, несущие сигнала защищаемой информации, и находящиеся вблизи аппаратуры отходящие цепи должны быть экранированы.

Поскольку применение сертифицированной аппаратуры и рекомендуемое размещение аппаратуры и кабелей в условиях коммерческого предприятия часто невыполнимы, полезным может быть размещение в составе абонентского терминала генераторов электромагнитного шума. При этом излучающие системы (антенны) генераторов должны быть максимально совмещены в пространстве с излучающими элементами аппаратуры.

В целом при организации рабочего места абонента защищенной связи следует придерживаться правил:

Следует отметить, что при всей кажущейся простоте предлагаемых мер, их реализация и, главное, оценка эффективности требует глубокого анализа конкретной аппаратуры связи, ее размещения и помещения, в котором установлен терминал. Это связано с тем, что большинство процессов, приводящих к утечке информации (за исключением непосредственного подключения злоумышленника к линии связи) носит паразитный характер, не нормируется документацией на аппаратуру, не проявляется в основном рабочем процессе. Многие параметры этих процессов существенно изменяются от экземпляра к экземпляру аппаратуры связи и сопряженных с ней изделий, существенно зависят от воздействий, не влияющих на основной рабочий процесс (например, от перемещения кабелей питания). Оценка значимости тех или иных паразитных процессов в конкретной ситуации, выбор рациональных мер их подавления, формирование правил эксплуатации терминала в части поддержания на требуемом уровне его информационной защищенности требуют высокой квалификации и качественно могут быть выполнены только с привлечением специализированной организации.

Каким образом происходит утечка информации?

Каналами утечки секретной информации могут стать такие обычные предметы как неэкранированные провода, трансформаторы, громкоговорители, разъемы или разомкнутые контуры. Информация с них снимается с помощью электромагнитных полей.

В случае если злоумышленники смогут воспользоваться одним из технических каналов передачи информации, то они получат доступ не только к секретным данным, но и получат возможность их исказить или же вовсе заблокировать. Добраться до таких информационных систем не составит труда, так как они распространяются в воздушном пространстве, по линии электропередачи информации и электропитания. Для этого мошенники используют устройства передающие импульсы, которые могут гасить сигналы записывающих приборов.

Вредители могут преследовать цель не только скопировать или уничтожить данные, но и создать помехи в работе приборов на предприятии. Что в свою очередь приведет к выходу из строя инженерно технической защиты, некоторые системы которой станут работать не в полную силу или вовсе неправильно. В некоторых случаях это повлечет за собой возникновение аварийной ситуации на защищаемых объектах.

10 КРУПНЕЙШИХ УТЕЧЕК ДАННЫХ С НАЧАЛА XXI ВЕКА10 КРУПНЕЙШИХ УТЕЧЕК ДАННЫХ С НАЧАЛА XXI ВЕКА

СЗИ от несанкционированного доступа

Чтобы защитить сеть и данные от посторонних, такие СЗИ идентифицируют и аутентифицируют устройства и пользователей, регистрируют работу процессов и программ, управляют информационными потоками между устройствами, сканируют носители информации и делают множество других вещей. Вот два примера таких СЗИ:

  • Dallas Lock. Разработана для операционных систем Windows. Можно подключить аппаратные идентификаторы. Из возможностей — поддерживает виртуальные среды, аудит действий пользователей, контроль целостности файловой системы, программно-аппаратной среды, реестра и многое другое.
  • Электронный замок «Соболь». Поддерживает доверенную загрузку и доверенную программную среду. Есть функции регистрации попыток доступа, сторожевого таймера и многого другого. Имеет сертификаты соответствия ФСТЭК и ФСБ.

Дифференциация требований к УД СЗИ в зависимости от класса (категории/уровня) защищенности объекта

Согласно документам ФСТЭК России, к СЗИ относятся: межсетевые экраны, средства обнаружения вторжений, антивирусные программы, средства доверенной загрузки и контроля съемных носителей, другие решения в области информационной безопасности. В таблице 1 приведена дифференциация требований к УД СЗИ в зависимости от класса (категории/уровня) объекта защиты.

Таблица Anti-Malware.ru: Дифференциация требований к уровням доверия СЗИ
СЗИ, соответствующие 6-му УД, подлежат применению в значимых объектах критической информационной инфраструктуры (далее — КИИ) 3 категории, в государственных информационных системах (далее — ГИС) 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами (далее — АСУ ТП) 3 класса защищенности, в информационных системах персональных данных (далее — ИСПДн) при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.

СЗИ, соответствующие 5-му УД, подлежат применению в значимых объектах КИИ 2 категории, в ГИС 2 класса защищенности, в АСУ ТП 2 класса защищенности, в ИСПДн при необходимости обеспечения 2 уровня защищенности персональных данных.

СЗИ, соответствующие 4-му УД, подлежат применению в значимых объектах КИИ 1 категории, в ГИС 1 класса защищенности, АСУ ТП 1 класса защищенности, в ИСПДн при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.

СЗИ, соответствующие 1-му, 2-му и 3-му УД, применяются в информационных (автоматизированных) системах, в которых обрабатываются сведения, составляющие государственную тайну.  

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий