Современные технологии защиты от утечки конфиденциальной информации

Аналитические возможности
DLP-системы

Утечка информации является серьезной проблемой и для государственных учреждений, и для коммерческих организаций. Новые технологии перехвата важных данных появляются и совершенствуются постоянно. Не всегда за ними успевают меры защиты, связано это с тем, что до внедрения новая технология должна пройти стадии апробации, оценки, внедрения. Тем не менее предвидение возможных угроз и использование всего комплекса ресурсов, предлагаемого современной наукой и техникой, помогут обеспечить надежную защиту.

Игроки защиты и нападения

Отрасль, связанная с разработкой средств и методов хищения коммерческой тайны, развивается очень быстро. Сегодня на рынке присутствуют зарубежные, в основном китайские, компании, специализирующиеся на разработке и реализации шпионских устройств; зарубежные и отечественные программисты и хакеры, совершенствующие шпионский софт; многочисленные посредники, адаптирующие для рынка технологии спецслужб; продавцы оборудования, среди которого:

  • радиопередатчики;
  • замаскированные и закладные устройства;
  • мобильные телефоны с активированными полицейскими функциями (передачи звуковой конфиденциальной информации, формируемой в зоне вокруг аппарата);
  • аппаратно-промышленные комплексы ведения корпоративной разведки.

В защите от утечек информации ключевую роль играют в основном крупные российские компании, специализирующиеся на разработке технологий и технических средств защиты, а также IT-компании, создающие специализированный софт. В большинстве своем они также взаимодействуют со спецслужбами или имеют в своей структуре их сотрудников, что позволяет проводить мониторинг рынка нападения и давать на него адекватные ответы. Кроме того, крупные международные корпорации сосредоточились на выпуске рабочих станций с повышенным классом надежности против угроз информационной безопасности. Использование такого оборудования позволяет сократить риски утечки данных через типичные офисные каналы.

К игрокам защиты необходимо также отнести:

  • международные организации, работающие в сфере стандартизации, которые разрабатывают стандарты безопасности;
  • законодателей, которые создают нормативно-правовые акты, повышающие ответственность за преступления, совершаемые в сфере информации.

Каналы утечки

Информация не является предметом, ограниченным физическими и пространственными рамками, поэтому каналы ее утечки не могут быть только материальными. Она утекает буквально сквозь воздух, например, при считывании специальными закладными устройствами звуковых или электромагнитных волн. Классификация каналов утечки предполагает их первоначальное деление по инициатору создания на внешние и внутренние. К внешним относятся лица, проникающие на объект или в периметр защищенных данных извне при помощи современных технологий, к внутренним – сотрудники компании, инсайдеры, чьими действиями создается львиная доля утечек. Инсайдеры для хищения важных сведений пользуются следующими каналами:

  • копирование конфиденциальной информации, хранимой в электронном виде, с жестких дисков компьютеров или МФУ на носители различного рода – от флеш-карт до карт памяти мобильных телефонов;
  • распечатывание документов и вынос их в материальном виде за пределы территории офиса;
  • передача данных по каналам внешней электронной почты, через мессенджеры, позволяющие прикреплять файлы, или социальные сети. Для предотвращения перехвата данные могут быть предварительно обработаны, конвертированы в графические или видеофайлы при помощи методов стеганографии;
  • непосредственное хищение носителей;
  • фотографирование или видеозапись документов или событий;
  • звукозапись переговоров.

Большинство этих действий могут быть предотвращены путем реализации системы организационных и технических мер.

При хищении конфиденциальной информации извне добавляются такие способы:

  • хакерское проникновение в хранилища конфиденциальных данных;
  • перехват или получение у провайдера информации о телефонных переговорах;
  • установка закладных устройств, перехватывающих звуковую информацию или электромагнитные волны, которые могут быть преобразованы в информацию;
  • внедрение вирусных программ – червей, похищающих и передающих файлы;
  • получение данных от контрагентов или при инспирировании заказной проверки контролирующими органами.

Бороться с этими способами организации утечек необходимо также организационно и технически, но уделяя основное внимание оперативной составляющей в деятельности служб внутренней безопасности.

Стандарты безопасности

Любые способы защиты должны основываться на стройной концепции, предполагающей внимание ко всем аспектам и нюансам организации периметра обороны. Для систематизации знаний разрабатываются и внедряются стандарты информационной безопасности. Сейчас наиболее применимой является группа стандартов ISO 27000, американская модель, пришедшая на смену британской модели BS 7799-1:2005. Компании, уделяющие внимание не только борьбе с утечками, но и демонстрации деловым партнерам степени своей защищенности, сертифицируют свою деятельность по ним и применяют рекомендованные технологии. В их рамках разработаны 4 отдельные группы стандартов:

  • обзорные, разъясняющие терминологию;
  • определяющие ключевые требования к разработке и внедрению СУИБ (системы управления информационной безопасностью);
  • определяющие правила проведения и требования к аудиту СУИБ;
  • лучшие практики внедрения, развития и совершенствования системы управления информационной безопасностью и защиты от утечки конфиденциальной информации.

Стандартами предусматривается следующий алгоритм работы с возможными каналами утечки данных:

  • разработка и внедрение профилактических мер;
  • выявление возможных каналов утечки в охраняемом периметре;
  • обнаружение реальных задействованных в организации процесса хищения каналов;
  • оценка степени опасности;
  • предложение мероприятий по защите от утечек конфиденциальной информации, оценка их стоимости;
  • определение целесообразности принятия тех или иных мер защиты;
  • применение мер;
  • локализация каналов;
  • проверка качества закрытия каналов;
  • аудит произведенных мер, выработка предложений по их оптимизации.

Основные способы защиты

Стандарты предлагают иерархическую систему мер защиты. Она начинается с принятия общей концепции защиты информационной безопасности и предотвращения утечек конфиденциальной информации, на базе которой разрабатываются стандарты и методики и внедряются новейшие технические решения.

Организационные меры

Политики и методики, разрабатываемые и принимаемые на уровне руководства компании, становятся тем краеугольным камнем, на котором строится здание надежной защиты. Среди политик, которые должны быть внедрены в первую очередь:

  • режим коммерческой тайны, включающий перечень данных, систему ознакомления, системы грифов, мер дисциплинарной ответственности;
  • политика ранжирования важности данных, допусков к ним сотрудников в зависимости от их рангов в системе;
  • политика работы с компьютерами и носителями информации;
  • политика обмена информацией с государственными организациями по их запросам.

Соблюдение политик должно лечь в основу мер стимулирования персонала. После разработки нормативной документации необходимо уделить внимание физической защите данных, обеспечив пропускной режим, средства идентификации сотрудников, защиту телефонных линий и помещений от прослушивания, оборудование их видеокамерами.

Также к организационным мерам можно отнести периодические беседы с сотрудниками по вопросам соблюдения режима коммерческой тайны, негласный контроль над потенциальными инсайдерами, проведение оперативных комбинаций по их выявлению. Конечно, все эти меры должны полностью соответствовать действующему законодательству и не нарушать права персонала на защиту частной жизни.

Технические меры

Но основная тяжесть борьбы с утечками ложится на долю технических средств. Среди них:

  • создание особой архитектуры рабочих станций;
  • создание изолированных автоматизированных систем;
  • установка терминального сервера;
  • программные продукты, разработанные для обеспечения безопасности.

Изолированные автоматизированные системы

Практика все больше идет по пути внедрения в работу компаний изолированных автоматизированных систем. Рабочие станции, на которых производится обработка и хранение конфиденциальных данных, объединяются в единую интегрированную сеть, которая работает по следующим принципам:

  • она полностью отключена от Интернета;
  • система требует от работников при входе в нее повышенных степеней идентификации;
  • система оснащена контролем доступа, рабочие станции находятся в защищенных помещениях, вход в которые возможен по электронным пропускам, а комнаты, где находятся компьютеры, оснащены видеокамерами;
  • компьютеры, сканеры, принтеры и другие устройства доработаны так, что копирование информации на внешние ее носители исключено – отключены дисководы, USB-входы, системные блоки и порты опечатаны;
  • передача информации во внешнюю среду, например, создание резервной копии данных и документов для их хранения на удаленном сервере, производится по строго оговоренным процедурам только несколькими уполномоченными сотрудниками.

Такая технология часто реализуется банками, в которых компьютеры, подключенные к банковским программным продуктам, содержащим данные о счетах, клиентах и сделках, финансовую и бухгалтерскую информацию, не подключены к общей сети и к Интернету. Этот способ достаточно старый, но он до сих пор доказывает свою эффективность. Он практически не реализуем для коммерческих организаций, работающих на открытом рынке и не обладающих большим объемом конфиденциальных данных, из-за своей очевидной дороговизны, так как требует создания двух параллельных систем рабочих мест со всеми вытекающими из этого затратами.

Системы активного мониторинга рабочих станций

Зарекомендовало себя в последнее время внедрение систем активного мониторинга рабочих станций. Эти средства позволяют в постоянном режиме производить проверку всех событий, происходящих на рабочих станциях пользователей, выявлять и предотвращать возникновение инцидентов безопасности. Современная система активного мониторинга включает в себя следующие компоненты:

  • модули-датчики. Они устанавливаются на рабочих станциях сотрудников, регистрируют все происходящие на них события и передают информацию на модуль анализа данных, далее – уполномоченным политиками безопасности агентам – системам обработки данных или напрямую сотрудникам службы безопасности. Датчики самостоятельно разрешают или блокируют определенные действия, например, запрещают копирование данных или их передачу по внешним каналам связи;
  • модуль анализа данных проверяет согласно регламентам переданные ему сведения с целью выявления инцидентов информационной безопасности, к которым могут относиться действия различного рода – от копирования до передачи данных;
  • модуль реагирования, выбирающий алгоритм действия при выявлении инцидентов;
  • модуль хранения данных мониторинга и архива принятых решений для последующего анализа их эффективности;
  • модуль централизованного управления системами.

Системы активного мониторинга рабочих станций сравнительно недороги, при правильной постановке технического задания способны до минимума сократить количество несанкционированных действий, но имеют два-три существенных недостатка:

  • не защищают данные от внешних атак;
  • затрудняют администрирование системы;
  • могут создавать конфликты программного обеспечения, что приводит к выходу корпоративной системы из строя.

Установка терминального сервера

Еще одним недорогим решением станет установка терминального сервера, через который будут проходить все транзакции, связанные с обработкой конфиденциальной информации. На терминале установлены рабочие приложения, требуемые пользователю для обработки данных. Он подключается к ним, открывая терминальную сессию, но все команды проходят через терминал, который может блокировать нежелательные транзакции и полностью исключить запись конфиденциальных данных на внешние носители. При работе с данными пользователь видит только их графическое отображение, скопировать их любым способом, кроме скриншота экрана, он не может. Один сервер может одновременно отвечать на запросы нескольких сотен пользователей. Среди предлагаемых на рынке решений в сегменте терминального доступа – Microsoft Terminal Services и Citrix MetaFrame. Преимуществами технологии становятся:

  • ограничение возможности копирования или печати важных документов;
  • экономичность;
  • возможность блокировки передачи пакетов данных с терминального на внешние ресурсы благодаря методике их фильтрации с выделением только тех пакетов, которые содержат графическую информацию, необходимую для пользователей.

Такая модель работы с конфиденциальными сведениями поможет надежно защитить персональные, бухгалтерские и производственные базы данных, базы клиентских данных.

Программные средства

Комплексные программные решения помогают защитить весь информационный периметр и предотвратить большинство ситуаций, связанных с действиями инсайдеров или хакерскими атаками. Необходимо рассмотреть следующие типы программных средств, применяемых в области информационной безопасности:

  • средства контентного анализа;
  • средства криптографической защиты;
  • DLS-системы.

Среди отдельных предложений рынка необходимо выделить средства контентного анализа. Они помогают фильтровать трафик, направляемый на внешние серверы. Устанавливаются эти средства защиты в разрыв между корпоративной сетью и выходом в Интернет. Обработка данных происходит методом их разбития на служебные поля, внутри которых идет фильтрация по критериям, заданным службой безопасности изначально. Самым простым способом станет выявление грифов «конфиденциально» или «для служебного пользования». Эти механизмы не работают, если сообщение перед отправкой было зашифровано или методом стеганографии преобразовано в музыкальный или графический файл.

Криптографические программные средства помогают зашифровать данные, находящиеся на жестких дисках, на съемных носителях, в пакетах данных, передаваемые по каналам связи. Ключи при этом хранятся на отдельном носителе, который находится в защищенном месте. Даже хищение жесткого диска в этом случае сделает практически невозможной расшифровку конфиденциальной информации. Microsoft, дополнительно к этому алгоритму, предложила еще один уровень защиты, при котором расшифровать данные может только пользователь, имеющий специальные права.

Помимо установки программного обеспечения и создания оптимальной конфигурации системы службы безопасности предприятий в рамках реализуемых организационных и технических решений должны систематически проводиться проверки для выявления закладных приспособлений – электронных устройств перехвата информации – и для произведения специальных исследований (СИ) на побочные электромагнитные излучения и наводки. Для организации таких проверок также требуется специальная аппаратура. При обеспечении охраны определенной зоны необходимо уделять внимание пропускному режиму на контролируемой территории и обеспечивать выявление скрытыми средствами электромагнитных излучений, исходящих от всех визитеров – от клиентов и контрагентов до ремонтных служб. Каждый из них может пронести в охраняемый периметр закладное устройство – перехватчик звуковой информации.

Только комбинация всех современных средств технической защиты с организационными мерами позволит достичь успеха в борьбе с утечками информации.

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.