Защита информации в автоматизированных информационных системах

ИБ-аутсорсинг
на базе DLP-системы

СёрчИнформ КИБ
30 дней для тестирования ИБ-аутсорсинга ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Требования по защите информации в автоматизированных информационных системах (АИС) формируются вокруг необходимости оградить конфиденциальные данные от утечек или искажений. Угрозы имеют различный генезис: информация страдает от техногенных аварий, повреждающих оборудование, действий хакеров и вредоносных программ, от инсайдеров, похищающих ее для продажи. Создание комплекса аппаратных и программных средств защиты поможет избежать этих рисков.

Задачи по защите информации

Информация имеет свойства, изменение которых приводит к утрате ее ценности. В законодательстве об охране данных к ним относят:

  • конфиденциальность – недоступность третьим лицам;
  • целостность или неизменность предполагает, что изменить данные могут только лица, имеющие допуск;
  • доступность означает, что необходимые данные будут в распоряжении пользователя, доступ к информации не будет ограничен из-за аппаратных проблем или вирусов-шифровальщиков.

Дополнительно выделяется свойство достоверности. Оно рассматривается как точность и правильность, и задача IТ-специалиста – повысить достоверность данных различными методами.

Это реализуется следующими способами:

  • Информационный выражается в добавлении контрольных разрядов (дополнительного бита данных, превращающего 8-битный код в 9-битный), что позволяет проверить точность данных, и в добавлении дополнительных операций обработки данных. Это позволяет обнаружить и устранить ошибки в данных.
  • Временный. Процедуры контроля применяются не единожды, а несколько раз на протяжении определенного времени.
  • Структурный. Создание резервного хранилища данных, структурный сквозной контроль, реализуемый на всех этапах обработки информации и позволяющий найти ошибку на наиболее ранних этапах.  

Меры защиты информации в АИС применяются и ко всему объему данных, обрабатываемых в организации, и к отдельным блокам, отличающимся по степени ценности данных. 

Объекты защиты

Способы защиты информации имеют свою цену, и необходимо так разграничить объекты охраны, чтобы наиболее сложные и дорогостоящие методы применялись к наиболее ценным информационным объектам. Такое ранжирование производится еще на стадии разработки требований к архитектуре информационной системы. 

Выделяются следующие информационные массивы:

  • исходные данные – сведения, которые направляются в АИС на хранение и обработку от пользователей, клиентов, контрагентов;
  • производные данные, создающиеся в АИС в результате обработки исходных. Это базы данных, отчеты, структурированные иным способом информационные массивы;
  • служебные, вспомогательные сведения, данные сканирования, архивы работы систем защиты;
  • программные средства защиты информации, представляющие собой лицензионные продукты или созданные собственными силами;
  • алгоритмы, которые легли в основу разработки программ.

За исключением вспомогательных данных, большинство информационных массивов может содержать коммерческую тайну, защита которой должна обеспечиваться на самом высоком уровне.

Планирование и реализация систем защиты

Задача по защите информации в автоматизированных электронных системах должна решаться планомерно. Невозможно обеспечить эффективную работу системы без структурирования деятельности. 

Выделяются следующие этапы работы:

1. Планирование. Выработка требований к обеспечению информационной безопасности становится основой для создания системы. Требования к безопасности опираются на категорию бизнес-процессов, потребности пользователей, модель угроз, степень опасности, исходящей от внутренних или внешних угроз. Планирование осуществляется на основе мировых или отечественных стандартов защиты информации. Это ISO/IEC 27001 и аналогичные, регулирующие различные аспекты информационной безопасности, и российский ГОСТ Р ИСО/МЭК 27001, прямо повторяющий нормы международного. За базу принимаются и рекомендации ФСТЭК РФ в части защиты персональных данных.

2. Внедрение. Процесс выстраивается таким образом, чтобы исключить срывы сроков или ошибки, возникающие в ходе неправильного планирования и бюджетирования.

3. Управление. Для крупных компаний нужна оперативно-диспетчерская служба. Небольшим достаточно сил одного системного администратора. Оперативное управление представляет собой организованное реагирование на нештатные ситуации в процессе функционирования системы, на инциденты информационной безопасности. Оно носит комплексный характер, проводится в ручном и автоматическом режимах. 

4. Плановое руководство защитой информации. Оно состоит из регулярного аудита работы систем защиты, анализа результатов аудита, подготовки докладов руководству и выработки предложений по улучшению систем защиты и усилению мер безопасности.

5. Повседневная деятельность по обеспечению безопасности информации. Это планирование, организация, управление, оценка, выявление инцидентов, оперативные корректировки работы программных и аппаратных средств.

Каждый этап работы по обеспечению безопасности данных должен осуществляться с использованием всех доступных ресурсов и контролем их эффективности.

Методы защиты информации

Выстраивая систему защиты информации в автоматизированных информационных системах корпорации, IT-специалист может использовать различные методы, одновременное применение которых позволяет решать поставленные задачи.

Они делятся на следующие подгруппы:

  • методы повышения степени достоверности информации;
  • методы защиты данных от утраты в результате аварий или сбоя оборудования;
  • методы контроля возможности физического доступа к аппаратуре, панелям управления и сетям, в результате которого возможно повреждение оборудования, хищение информации, намеренное создание аварийных или нештатных ситуаций, установка закладных устройств, позволяющих считывать звуковые и электромагнитные волны;
  • методы аутентификации пользователей, программ, съемных носителей информации.

На практике специалисты используют и другие организационные и аппаратно-программные методы. Организационные реализуются на уровне всей компании, решение о выборе аппаратно-программных средств остается в компетенции специалиста.

Организационные 

Выбор и применение этой группы методов зависит от специфики работы организации и от того, в каком правовом поле она существует:

  • частная компания, не являющаяся оператором персональных данных и не работающая со сведениями, содержащими государственную тайну. Для нее возможно применение любых удобных организационных методов, без допущения избыточности;
  • частная фирма – оператор персональных данных или работающая со сведениями, содержащими государственную тайну. Требования к организационным способам защиты информации для нее устанавливаются на уровне закона и нормативных документов ФСТЭК РФ;
  • банк, в чьей работе которого возникает три вида конфиденциальной информации – персональные данные, банковская тайна, коммерческая тайна. Требования по защите информации в АИС для него дополнительно устанавливает регулятор, Центробанк, и он же решает, какие организационные методы должны применяться;
  • государственный орган или компания, для которых большинство организационных методов определяются централизованно, на уровне министерств или головных организаций.

Организационные методы делятся на две группы – системные и административные.

К системным относятся:

  • повышение надежности оборудования, выбор рабочих станций с меньшими рисками отказа, установка оборудования, снижающего риск утраты информации в результате отключения электроэнергии;
  • резервное хранение данных на внешних серверах, что позволяет устранить ошибки, возникающие из-за системных сбоев или уничтожения оборудования;
  • ранжирование пользователей – предоставление им разного уровня доступа к сведениям при обработке информации, что снижает риск несанкционированного проникновения к данным, их уничтожения, изменения или копирования; 
  • структурирование обработки информации, оптимизация связанных бизнес-процессов, выделение специальных кластеров для обработки информации определенного типа.

Задача по разработке и внедрению административных методов ложится совокупно на руководство предприятия, вышестоящие организации, отделы персонала и безопасности. 

К административным способам относятся:

  • принятие внутренних нормативных актов, регулирующих действия по обработке информации и доступу к АИС;
  • повышение корпоративной культуры, направленное на возникновение интереса пользователей к защите информации;
  • установление режима коммерческой тайны, включение в трудовые договоры пункта об ответственности за ее разглашение;
  • обучение пользователей, повышение их мотивации;
  • повышение эргономичности труда, облегчение условий работы таким образом, чтобы системные сбои или утрата важной информации не происходили по причине усталости или невнимательности персонала.

Внедрение организационных способов защиты информации в автоматизированных информационных системах должно постоянно сопровождаться аудитом действенности примененных мер и их дальнейшим совершенствованием по результатам выявленных ошибок.

Аппаратно-программные

Эта группа методов зависит от общей политики компании и действий IТ-подразделений. Программные методы призваны обеспечить защиту информации при ее обработке в АИС и при передаче по каналам связи. Аппаратные обеспечивают применение точных контрольно-технических средств, дублирующих функции программных методов (например, шифрование на высоком уровне невозможно обеспечить только программными средствами) и способных обнаружить ошибки, недоступные для выявления программными средствами. 

Задачи аппаратно-программных методов по обеспечению сохранности и достоверности информации делятся на группы:

1. Дублирование и резервирование информации на трех уровнях, создание удаленных баз данных. Оперативное резервирование – создание копий файлов в режиме реального времени. Восстановительное, когда копии файлов создаются в целях их восстановления, если утеря произошла из-за сбоя. Долгосрочное, при котором системные сведения сохраняются в большом объеме, включая копии всех системных файлов, и хранятся длительное время как в целях восстановления, так и в целях аудита.  

2. Блокировка злонамеренных или ошибочных операций, создаваемых действиями пользователей или внешних злоумышленников, вредоносными программами.

3. Защита от вредоносных программ. Это вирусы, черви, троянские кони и логические бомбы. В борьбе с ними используются сканирование, выявление изменения элементов файлов, аудит, антивирусные программы.

4. Защита от внешних проникновений и несанкционированного доступа к информации. Здесь используются сетевые экраны, средства обнаружения атак.

5. Шифрование информации при помощи средств криптографической защиты.

6. Аутентификация пользователей, использование средств контроля доступа. Доступ может быть ограничен или разграничен программными средствами. 

Перечисленные способы программной защиты информации в автоматизированных информационных системах не являются исчерпывающими. Помимо них широко применяются такие комплексные решения, как DLP- и SIEM-системы.

Методы контроля доступа

Первым шагом на пути защиты информации является создание системы контроля доступа пользователей, так как риск для данных существенно выше при внутреннем, а не при внешнем проникновении в систему. Этот метод реализуется и в организационной, и в программной плоскости.

Для его реализации применяются следующие средства:

  1. Создается замкнутое пространство, где размещаются рабочие станции и периферийные устройства, в которое исключен доступ для посторонних благодаря созданной в организации системе пропусков. Допускается выделение отдельных зон, в которых обрабатывается информация особой важности внутри компании. При этом рабочие станции не подключаются к общей сети, а попасть в помещение возможно только по электронному пропуску.
  2. Обработка отдельных процессов производится на выделенных исключительно для них рабочих станциях, часто также не подключенных к Интернету. В рамках этого метода разграничения создаются отдельные кластеры для вывода информации на печать.

Методы идентификации пользователей

Вторым системным решением, обязательным для безопасности информации в АИС, становится допуск к работе только уполномоченных пользователей.

Существует несколько способов распознавания, и компания выбирает необходимый, исходя из ценности информации, которую следует защищать: 

1. Простой пароль и логин. Система распознает пользователя при их введении. В целях безопасности пароли должны иметь установленный формат, меняться с заданной периодичностью, а за неправомерную передачу пароля и логина другому сотруднику или пользование чужими средствами идентификации должна устанавливаться дисциплинарная ответственность.

2. Диалоговый режим распознавания. В программу изначально вносятся определенные данные, идентифицирующие пользователя, и при каждом соединении или входе в система запрашивает у него ответы на вопросы, которые могут меняться.

3. Биометрический метод распознавания (по отпечаткам пальцев, сетчатке глаза) потребует внедрения дорогостоящих технологий, доступных не всем компаниям.

4. Распознавание при помощи автоматических радиокодовых устройств (токенов), направляющих в систему шифрованные сигналы. При их совпадении с заданными доступ предоставляется. Вариантом метода является аппаратный способ контроля доступа, когда компьютер может быть включен только с помощью электронного ключа.

5. Распознавание с использованием электронных карточек (чипов). Чип содержит информацию, идентифицирующую пользователя, она считывается при обращении к рабочей станции. Информация может наноситься в зашифрованном виде. Ключ шифрования может быть дополнительным параметром идентификации, вводится при входе в систему, для обеспечения наивысшего уровня безопасности меняется при каждом входе.

Аппаратные способы контроля допуска дают наибольшую гарантию защиты данных. Пароли не могут быть подделаны или перехвачены, а решение с биометрическими характеристиками оказывается наиболее эффективным.

Средства разграничения доступа

Помимо физического барьера для входа в АИС существуют и барьеры, закрывающие доступ к информации определенного уровня. Категории информации и ранги пользователей, имеющих к ней доступ, определяются во внутренних политиках безопасности компании. Применяемые системы разграничения доступа обязаны исключить все случаи превышения полномочий пользователя. 

Механизм разграничения предполагает следующие варианты:

1. По уровням конфиденциальности информации. Устанавливаются грифы секретности разной степени: «Секретно», «Совершенно секретно», «Особой важности». Ими маркируются пользователи и массивы информации. Сотрудник получает доступ к базам данных своего уровня и ниже, доступ к более высоким уровням исключается.

2. По специальным спискам. Он может реализовываться в двух вариантах. Для каждого информационного объекта (файла, программы, базы) устанавливается перечень пользователей, имеющих право на работу с ним, или для каждого пользователя определяется список элементов данных, к которым он имеет допуск.

3. По матрице полномочий. В программе создается двухмерная матрица, в которой каждому пользователю присваивается идентификатор. Он указывается в столбце матрицы, в строке находятся идентификаторы элементов информации. При их совпадении допуск разрешается.

4. По принципу мандата. Защищаемый информационный элемент получает метку. Документ открывается только, если запрос к нему содержит аналогичную метку. Пользователям метка выдается системным администратором или владельцем информации.

Но такие системы контроля не всегда защищают от действий инсайдеров, присвоивших чужие идентифицирующие признаки. Для этого необходимо внедрять систему протоколирования действий пользователей.

Протоколирование

Журналы учета, в которые автоматически заносится информация о действиях пользователей, работают на основе программ-регистраторов, которые могут функционировать самостоятельно или быть частью DLP-системы. Такие программы или устройства контролируют использование защищаемой информации, выявляют успешные или безуспешные попытки несанкционированного доступа к ней, производят запись всех действий, в результате накапливают статистические данные о функционировании системы защиты, служащие базой для информационного аудита.

Криптографические средства

Системы допуска работают для внутренних пользователей, но если в систему происходит внешнее проникновение или данные передаются по внешним каналам связи, единственным эффективным способом защиты информации в автоматизированных информационных системах становится шифрование. При шифровании информация видоизменяется, и вернуть ей первоначальную форму можно только при помощи ключа. Средства криптографической защиты сертифицируются ФСБ РФ и могут носить только программный и программно-аппаратный характер, когда информация зашифровывается и расшифровывается при помощи аппаратных средств.

Шифроваться могут файлы, папки, диски, передаваемые данные. Недорогим, но эффективным способом защиты данных является архивирование с паролем. Использование при передаче данных VPN-протокола также поможет сохранить информацию, циркулирующую внутри сети предприятия.

SIEM-системы

Крупные компании при разработке концепции комплексной защиты информации в информационных системах обращают внимание на такие решения, как SIEM-системы. Они не предназначены для защиты от инцидентов информационной безопасности напрямую. Программы из категории Security Information and Event Management призваны обеспечить оперативное информирование о любых сбоях в работе оборудования, программ, любых отклонениях от заданных параметров.

SIEM с определенной периодичностью опрашивает программы, включая DLP-системы, антивирусы, а также маршрутизаторы и другое оборудование. Данные сравниваются с изначально заданными параметрами, и при выявлении отклонений система направляет уведомление об инциденте. Службы, получившие уведомление, принимают меры оперативного реагирования. 

Дополнительными функциями являются:

  • протоколирование действий пользователей, данные журналов учета, что станет доказательственной базой в суде при возбуждении дела о компьютерном преступлении или краже коммерческой тайны;
  • аудит работоспособности системы и существующего уровня безопасности.

При разработке стратегии безопасности данные SIEM-системы выступают основанием для изменения технологических характеристик системы или приобретения нового программного обеспечения. 

DLP-системы

Набирающие популярность на российском рынке средств защиты информации DLP-системы – решение, которое максимально обеспечивает конфиденциальность и целостность информации, предотвращая несанкционированные действия со стороны пользователей. Принцип работы DLP-системы строится на умении отличать конфиденциальную информацию от открытой. Отслеживая внутренний и внешний трафик, система выявляет случаи, когда маркированная конфиденциальная информация несанкционированно отправляется на печать, копируется, направляется во внешний мир при помощи мессенджера или электронной почты. Все такие ситуации блокируются, а на рабочий стол пользователя выводится предупреждение о запрете действий. Система дорабатывается под потребности компании-клиента и комплексно решает задачи безопасности. Такие системы должны быть проверены и сертифицированы ФСТЭК РФ на отсутствие незадекларированных возможностей, что уверит пользователя в их соответствии нормативной документации.  

Планирование этапов защиты информации в автоматизированных информационных системах должно начинаться с выработки стратегии наиболее эффективного использования программных и аппаратных средств. Иногда отказ от использования сложного, но безопасного решения приводит к утечке данных стоимостью в годовой бюджет компании и репутационным потерям. 

14.11.2019

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними