Защита информации специальными программами

ИБ-аутсорсинг
на базе DLP-системы

СёрчИнформ КИБ
30 дней для тестирования ИБ-аутсорсинга ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Выстраивая концепцию защиты информации в компании, необходимо опираться на современные методы с проверенным качеством. Традиционно технические средства и способы защиты информации делят на аппаратные и программные. Выбор ПО должен основываться на рекомендациях профессионалов в сфере информационной безопасности. И первый критерий выбора – сертификация программного обеспечения ФСБ и ФСТЭК РФ.

Защита информации как законное требование 

Большинство организаций сталкиваются с необходимостью обеспечения безопасности информации только в части персональных данных сотрудников клиентов, охранять которые от утечек предписывают законы РФ. Но даже в этом, относительно легком, случае вопросы ее сохранности данных жизненно важны. Утечка фотографий из клиники эстетической медицины или историй болезни может сломать и жизнь человека, и успешную деятельность медицинского учреждения, утечка баз данных ГИБДД или Росреестра может нанести ущерб имуществу граждан. 

Но существуют и другие риски. Одним из наиболее серьезных становится риск внешнего вмешательства в системы управления стратегических объектов, например, электростанций, в системы кредитных организаций, в оборонные информационные системы. Утрата или искажение информации в этих базах может причинить ущерб десяткам тысяч людей.

Существуют следующие типы угроз безопасности информации:

  • утрата конфиденциальности – утечка, перехват, съемка, неумышленная утрата, разглашение;
  • нарушение целостности – модификация, искажение, отрицание подлинности достоверных данных, навязывание ложной информации, в Доктрине информационной безопасности под этим термином понимается не только изменение данных, как в случае искажения, но и включение новых в текст сообщения;
  • нарушение доступности, что выражается в блокировке или уничтожении.

Виды информации, охраняемой по закону

Мировое сообщество на протяжении последних десятилетий уделяет много внимания правовому регулированию вопросов информационной безопасности. Частично они решаются на уровне международных и межгосударственных соглашений, но в основном соответствующие нормы попадают в национальное законодательство. 

Нормативно-правовые акты делятся на три категории:

  • определяющие необходимость и степень обеспечения безопасности информации;
  • связанные с уголовным или административным преследованием лиц, нарушающих законодательство в сфере сохранности данных;
  • определяющие меры, охраняющие массивы информации. Здесь называются организационные, аппаратные и программные методы.

По правовому статусу информация делится на следующие группы:

  • безусловно защищаемая нормами закона – государственная тайна, персональные данные, степень охраны которых бывает нескольких уровней, а также банковская, врачебная, адвокатская тайна и другие типы служебной информации; 
  • защищаемая на основании решения субъекта или субъектов оборота – коммерческая тайна. Она охраняется нормами закона после совершения компанией ряда действий. Это включение данных в список сведений, ознакомления с ним сотрудников и принятия ряда внутренних нормативных актов компании;
  • информация, не относящаяся к любой из этих групп, но разглашение, уничтожение или изменение которой может причинить существенный вред организации или иным лицам.

Для сведений из первой и второй групп законодатель устанавливает стандарты безопасности и предлагает воспользоваться для организации системы безопасности программными средствами обеспечения защиты информации, прошедшими сертификацию в ФСТЭК и ФСБ РФ. 

Полномочия ведомств в части рекомендации ПО

Право на определение программных продуктов, которые могут быть применены для защиты информации, имеющей категорию государственной тайны или персональных данных, принадлежат трем структурам:

1. Межведомственной комиссии по защите государственной тайны (ее полномочия распространяются только в отношении информации, составляющей государственную тайну).

2. ФСБ РФ (в части определения прав допуска к охраняемым данным и в части сертификации криптографических программ).

3. ФСТЭК России (в части применения некриптографических программных методов).

Ведомства принимают решение о сертификации программы, и только после этого она может быть использована для защиты конфиденциальной информации. Следует учитывать, что:

  • сертификации подлежит ограниченное количество экземпляров программ;
  • сертифицируется только одна версия, при ее обновлении этот процесс необходимо проходить заново, а пользователю, соответственно, приобретать новый продукт – сертифицированное обновление;
  • сертифицированные программы не могут дорабатываться (дописываться).

При защите банковской тайны полномочия по определению программного обеспечения, которое может быть использовано в этих целях, принадлежат ЦБ РФ.

Виды и типы программ, обеспечивающих безопасность данных

Если программа по защите данных была одобрена и сертифицирована ФСТЭК РФ, она вносится в государственный реестр, где получает определенные обозначения, например, «класс РД СВТ», «НДВ», которые дают представление об уровне защищенности данных при ее использовании.

Под этими терминами следует понимать:

  • класс контроля НДВ (уровня отсутствия НДВ) – это категория недокументированных возможностей программы, которые не отражаются в пользовательской документации. Часто применяются для тестирования этих возможностей или для контроля (слежения) за действиями пользователей. Именно из-за наличия НДВ российские государственные учреждения переходят на отечественное ПО;
  • класс АС учитывает количество уровней доступа к информации;
  • класс РД СВТ определяет уровень защиты от несанкционированного доступа (НСД), всего их семь.

Подробнее уровни защиты от НСД описываются следующим образом:

1 уровень Так защищается информация, содержащая государственную тайну с грифом секретности особой важности. Для него реализован режим перехвата любых попыток доступа.
2 уровень Требуется для охраны данных с грифом «Совершенно секретно».
3 уровень Применяется для защиты данных с грифом «Секретно». Для 2-4 уровней предусмотрена реализация механизма классификационных меток для документов, ранжирующих доступ пользователей
4-7 уровень Будет достаточен для защиты данных, не имеющих отношения к государственной тайне, дополнительные требования по их использованию определяются законодательством по защите персональных данных. На 5 и 6 обязательно предусматривается разграничение прав доступа пользователей.

Выделяются следующие классы средств защиты информации, подлежащих сертификации:

  • межсетевые экраны;
  • обнаружения вторжения;
  • защиты от вирусов и других вредоносных программ;
  • доверенной загрузки;
  • контроля съемных носителей.

Кроме этого, требования предъявляются к операционным системам, криптографическим средствам, к электронной подписи. Все они также могут быть отнесены к программным средствам защиты информации. Помимо них, существуют комплексные решения – DLP- и SIEM-системы. Они также могут быть сертифицированы по различным классам уровня отсутствия НДВ.

Межсетевые экраны

Эта категория средств защиты информации представляет собой программные или программно-аппаратные продукты, для контроля и фильтрации сетевого трафика. Параметры, по которым осуществляется фильтрация, задаются разработчиком или в процессе внедрения программного продукта. В бытовом применении межсетевые экраны называют «файрволами», они блокируют в компьютере рекламу и всплывающие окна.

Обычно межсетевые экраны устанавливаются на границах локальной сети, они призваны исключить попытки несанкционированного вторжения. 

Для межсетевых экранов ФСТЭК предлагает пять классов безопасности:

  • 1 – применяется для АСУ класса 1А согласно классификации ФСТЭК РФ, описывающей АС с точки зрения обеспечения безопасности (и для АСУ классов 2А, 3А, если обрабатывается информация особой важности);
  • 2 – для систем класса 1Б;
  • 3 – для систем класса 1В;
  • 4 – для систем класса 1Г;
  • 5 – для систем класса 1Д.

По объектам защиты межсетевые экраны делятся на следующие группы:

  • сети («А»);
  • логических границ сети («Б»);
  • узла («В»);
  • сервера («Г»);
  • промышленной сети («Д»).

Межсетевые экраны класса «Д» выпускают лишь в программно-аппаратном варианте, остальные – в виде программных продуктов.

Средства обнаружения вторжений

Информация уязвима как со стороны пользователя-инсайдера, так и со стороны внешнего проникновения в систему, защитить ее от таких атак позволяют механизмы обнаружения вторжений (СОВ). Они представляют собой программные или программно-аппаратные средства для выявления несанкционированного вторжения в сеть или внешнего, нерегламентированного управления ее компонентами. Их функционал направлен на отражение следующих видов угроз:

  • сетевые атаки на уязвимости;
  • атаки, связанные с повышением привилегий по доступу к ресурсам;
  • несанкционированный (неавторизованный) доступ к закрытым данным;
  • действия вредоносных программ (черви, трояны).

В архитектуре СОВ выделяются следующие элементы:

  • сенсорная подсистема для сбора событий и инцидентов безопасности;
  • архив событий и данные их анализа;
  • консоль управления. 

В целях систематизации и сертификации СОВ бывают для сетей и узлов: первые наблюдают за несколькими сетевыми узлами одновременно, контролируя внешний трафик, вторые следят за работой узлов, концентрируясь на системных вызовах, возникающих внутри локальной сети. 

Средства антивирусной защиты

Этот тип ПО в наибольшей степени знаком рядовому пользователю. Они предназначены для выявления вредоносных программ, восстановления поврежденных файлов, предохранения операционной системы или отдельных файлов от заражения.

Работают эти средства по одному из двух алгоритмов:

1. Анализ содержания файла, как обычного, так и содержащего команды. Производится детектирование на наличие сигнатур (характеристика программного кода ПО, включающая определенные блоки, соответствующие признакам вирусной программы) вирусов и присутствие подозрительных команд.

2. Отслеживание поведения программы при ее выполнении. Все события протоколируются при реальном запуске и его эмуляции.
ФСТЭК сертифицирует антивирусы по шести классам. Чем выше класс ПО (первый самый высокий), тем в более сложных системах оно может применяться. 

Выделяются три типа антивирусных средств:

  • для серверов;
  • для автоматизированных рабочих мест;
  • для автономных (удаленных) рабочих мест.

Антивирусы устанавливаются вне зависимости от того, находится ли информация под охраной в рамках режима защиты, так как современные вредоносные программы могут повредить не только ПО, но и оборудование, а также оказаться средством вымогательства денег. 

Средства доверенной загрузки (СДЗ)

При загрузке информации в Сеть также возникают риски ее потери. Третье лицо может получить доступ к защищенным файлам, загрузив с внешнего устройства специальную программу. Исключить этот риск поможет применение программных средств доверенной загрузки. 

Они делятся на три группы:  

  • функционирующие на уровне базовой системы ввода-вывода;
  • работающие на уровне платы расширения, вставляемой в материнскую плату для увеличения объема ее функций;
  • функционирующие на уровне загрузочной записи. 

Для СДЗ ФСТЭК рекомендует профили безопасности, которые представляют собой набор обязательных требований, выполнение которых становится основанием для сертификации. Также ведомство устанавливает для программного продукта шесть возможных классов защиты, класс устанавливается в зависимости от уровня сложности системы, для которой они применяются. Если сети подключены к каналам связи, обеспечивающим международный обмен данными, необходимо устанавливать СДЗ не ниже четвертого класса. 

Средства контроля съемных машинных носителей

Эксперты пишут о том, что более 80 % случаев утечки информации происходят в результате переписывания файлов на съемные носители. Устранить этот риск помогают программы, контролирующие запись данных на такие носители, которые делятся на две группы:

  • контролирующие подключение флеш-карт и иных накопителей;
  • контролирующие запись информации на диск с таких носителей.

Криптографические средства

Функции по сертификации криптографических средств возложены на ФСБ РФ. На их разработку и распространение требуется лицензия. 
Криптографическое ПО делится на следующие группы:

  • для шифрования;
  • для имитозащиты (позволяют выявить ложную или намеренно измененную информацию, вычленить случаи навязывания недостоверной информации); 
  • для кодировки (часть операций по преобразованию текста выполняется не в программном, а в ручном или аппаратном режиме);
  • для изготовления ключевых документов (содержат ключи для шифрования и дешифрования).

Отдельно выделяются средства электронной подписи. 

Средства криптографической защиты бывают как программными, так и программно-аппаратными. Сертифицированные криптографические программные средства должны противостоять атакам, производимым из-за периметра зоны защиты информации. Они делятся на следующие классы: КС1, КС2, КС3, КВ и КА, они различаются по уровню опасности источников атак. 

Средства класса КС1 защищают от злоумышленников, которые не являются специалистами в криптографии. Антивирусники класса КВ, напротив, содержат сложный механизм шифрования, который защищает от атак, разработанных специалистами, понимающими правила создания и функционирования алгоритмов криптографической защиты.

Ведомственные программы

Многие российские ведомства самостоятельно создают комплексные или направленные на решение конкретных задач средства безопасности, не рассчитывая на качество ПО внешних разработчиков. Так, в Реестр сертифицированных средств внесены такие программные средства защиты от НСД (несанкционированного доступа), как «Снег 2.0», «Страж 1.1», созданные для корпорации «Росатом». 

Большинство ведомств приняли внутренние документы, посвященные вопросам сохранения доверенных им сведений. Так, в ФНС РФ действует Концепция информационной безопасности. Она рекомендует при создании ведомственных продуктов опираться на ГОСТ Р 51583-2000 и международный стандарт ISO/IEC FDIS 27001. Также при их создании используются нормы постановления правительства РФ от 25.12.2009 № 1088 «О единой вертикально интегрированной государственной автоматизированной информационной системе «Управление», которое говорит о необходимости применения единой логики при разработке всех ведомственных программных средств защиты информации от ПНД. Требования к защите информации для государственных учреждений установлены приказом Минкомсвязи № 104. Также при выборе типа программного средства, подлежащего применению в государственном ведомстве или компании, будут приняты во внимание рекомендации ФСТЭК «Меры защиты информации в государственных информационных системах». 

DLP-системы

Комплексные системы защиты информации предоставляют компаниям множество модульных решений по обеспечению безопасности информационного периметра. Для поиска и анализа информации они используют различные методы. Так, контекстный метод помогает выявлять утечки документов, имеющих определенные метки. Для этого используется текстовой анализатор с изначально заданным набором значений. А контейнерный метод ищет файлы по их содержимому. Например, если в документе есть комбинации цифр определенной длины, возможно, в нем содержатся данные банковских карт. 

DLP-системы контролируют информацию на различных уровнях: 

  • движение по сетевым каналам – (http/https почтовым протоколам, если сведения передаются через прокси-сервер); 
  • вывод данных на печать или копирования файлов на съемные носители. Возможна блокировка записи, предусматривается идентификация носителя, включение его в белые или черные списки;
  • шифрование данных, размещенных на сервере;
  • поиск сведений, содержащих метки, в личных каталогах пользователей и на других ресурсах. Такой файл может быть стерт и заменен уведомлением о недопустимости его хранения с нарушением установленного режима.

Стандарты требуют в обязательном порядке включать в такие системы функции идентификации пользователей, разграничения контроля доступа, логирования действий пользователей, регистрации инцидентов безопасности и механизма реакции на них. Реакция может выражаться в уведомлении службы безопасности и в отмене действия, основанием для которого послужил инцидент. Ведение архива действий пользователей позволяет проводить ретроспективный анализ инцидентов, выявлять сотрудников с некорректным поведением постфактум.
Такие системы обычно полностью соответствуют отраслевым стандартам защиты информации и часто дорабатываются под потребности конкретного заказчика.

SIEM-системы

Еще одним программным продуктом являются SIEM-системы. Это комплексное решение, задачей которого становится сбор информации, поступающей от программных и аппаратных средств:

  • DLP;
  • IDS;
  • антивирусных программ;
  • маршрутизаторов;
  • серверов.

Если в данных выявлено отклонение, то оно анализируется, и система выбирает способ реакции. Любое отклонение учитывается в качестве инцидента информационной безопасности, и дальнейшая реакция на него происходит по заданным алгоритмам. Это может быть отказ в совершении действия, уведомление службы безопасности.

Преимуществом системы является возможность тонкой настройки. Даже изменение внешнего адреса электронной почты, на который происходит отправка корреспонденции уполномоченным на это пользователем, будет зафиксировано системой. Генерация инцидентов происходит по принципам машинного обучения: программа накапливает информацию, анализирует ее и выявляет отклонения. Дополнительной функцией станет возможность системы проводить аудит общей архитектуры сети на ее соответствие каким-либо заданным требованиям или параметрам безопасности. Если в программе дополнительно предусмотрен сканер уязвимостей, она регулярно будет проводить аудит защищенности и снимать риски проникновения.

Выбор программного средства защиты информации определяется архитектурой системы и степенью защиты, которая требуется исходя из норм законодательства и рекомендаций ФСТЭК России. Правильный выбор и применение средств в комплексе позволят минимизировать риски утечек важных данных и ущерб, причиненный компании.

07.11.2019

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними