что такое техническая защита информации
Что такое техническая защита информации
Статья 16. Защита информации
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации;
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
(п. 7 введен Федеральным законом от 21.07.2014 N 242-ФЗ)
5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.
Техническая защита информации
ИБ-аутсорсинг
на базе DLP-системы
Контроль исполнения документов
Мониторинг ИТ инфраструктуры
Защита бизнеса от мошенничества
Разработка требований к защите информации
Управление системами фильтрации электронной почты и веб-трафика
АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА
З начительная часть существующей информации представляет определенный интерес для посторонних лиц. Охрана информационных систем – это сложный комплекс мероприятий, который включает техническую защиту информации. Для реализации охраны данных производятся непосредственные действия с массивами информации, а также профилактические меры разного вида и состава.
Что такое информация?
Общего определения термина «информация» не существует. Чаще всего под ним понимают совокупность данных, сведений, знаний, в том числе:
Основные свойства грамотно охраняемой информации:
Сведения хранятся в виде бумажных документов или электронных файлов. Способ представления информации не имеет принципиального значения, поскольку это лишь вариант ее консервации до момента использования. В современных условиях предпочтительны цифровые способы хранения данных, поскольку они удобны для быстрой передачи, тиражирования, изменения и прочих видов обработки. Однако это удобство имеет обратную сторону – появляется возможность доступа к информации для посторонних лиц или злоумышленников. Возникает необходимость охраны информационных массивов с помощью организационных или технических средств, программных методов.
Почему информации нужна защита?
Большинство сведений представляет собой определенную ценность и могут быть использованы во вред их обладателям. Злоумышленники используют массу методов несанкционированного доступа к информации, приносящих значительный вред организации или физическому лицу.
Перечень угроз безопасности информации велик – от прямого хищения документов до взлома компьютерных систем с целью хищения или несанкционированной обработки данных.
Необходимо учитывать, что универсальных методов защиты информации не существует. Невозможно заранее предусмотреть все варианты развития событий. Особенностью сведений является изменчивость их важности в глазах как собственника, так и посторонних лиц.
Актуальность и содержательность данных меняются, иногда это происходит с большой скоростью. Противостояние систем защиты информации и злоумышленников способно принять любые формы – от активных действий до случайных, эпизодических попыток несанкционированного доступа. Нередко возникает ситуация, когда внешних признаков угрозы нет, и руководство организации начинает относиться к обеспечению информационной безопасности как к излишней, непродуктивной нагрузке. Сокращается финансирование подразделений охраны, уделяется меньше внимания мероприятиям по защите информации. В таких условиях потери или хищения сведений – лишь вопрос времени.
Законодательная база
Основным законодательным актом, обеспечивающим защиту информации, является Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации». В нем перечислен ряд понятий, с помощью которых реализуется государственный подход к охране и защите конфиденциальной информации. Определены принципы и нормы правового регулирования, даны четкие определения объектов и субъектов правовых отношений в сфере информационной безопасности. Регулируется право на различные действия с информацией:
Отдельно определена ответственность за действия, связанные с нарушениями в сфере информационных технологий. Для обеспечения государственной поддержки защиты информационных ресурсов создана Федеральная служба по техническому и экспортному контролю (ФСТЭК). Это государственный орган, который обеспечивает защиту информации на стратегическом уровне, в том числе выполняет множество функций:
На базе ФЗ № 149 созданы ГОСТы, определяющие порядок защиты информации в организациях, сетях электросвязи и других сферах деятельности. Они являются основными нормативными документами в сфере защиты конфиденциальной информации. Действия подразделений или служб, обеспечивающих охрану данных, должны быть согласованы с этими стандартами.
Системный подход к защите данных
Особенностью защиты информации является невозможность выработки универсальных методик. Для успешного решения возможных проблем необходим комплексный подход. Возникает необходимость в системах защиты информации, объединяющих все существующие методики. Это непростая задача, требующая всестороннего анализа существующих данных, оценки их важности и распределения массивов по уровню ценности. Необходимо определить возможные каналы утечки информации, предотвратить несанкционированный доступ посторонних лиц или неавторизованных сотрудников к ценным сведениям. Для этого нужны средства защиты информации. Важно, чтобы действия службы охраны данных не оказались помехой для работы организации.
Задачи службы безопасности
Охрана конфиденциальной информации требует наличия специального подразделения. Для создания службы информационной безопасности (ИБ-службы) руководству организации необходимо точно представлять себе ее задачи и приоритетные функции. К ним относятся:
Подразделение обеспечения безопасности должно состоять из проинструктированных сотрудников. Необходимо обследовать территорию и разбить ее на зоны ответственности. Для каждой определить уровень допуска сотрудников для выполнения профессиональных обязанностей. Параллельно надо вести работу по изучению возможных способов проникновения, устанавливать посты или КПП. При этом мероприятия не должны создавать препятствий для функционирования организаций, тормозить работу сотрудников. Важно четко различать источники опасности и доверенных сотрудников, чтобы не получить на выходе сплошной контроль без полезных результатов.
Возможные пути утечки данных
Потеря сведений возможна на любом этапе их использования. Охрана важных данных должна базироваться на принципе недоступности информации для посторонних, отсутствии возможности случайного доступа, воздействия или обработки.
К наиболее проблемным каналам утечки следует отнести:
Необходимо также обеспечить невозможность прослушки переговоров сотрудников. Нередко офисы организаций находятся в жилых домах, где есть возможность услышать разговоры в соседней комнате. Кроме того, существуют технические системы, позволяющие получать информацию, считывая ее снаружи, с оконных стекол кабинета. Они направляют луч лазера на поверхность стекла и фиксируют мельчайшие колебания, возникающие при его контакте со звуковыми волнами (разговор). Поэтому для важных переговоров предпочтительно использование специальных помещений. На стекла в таких переговорных устанавливают ультразвуковые глушилки, делающие устройства прослушки бесполезными.
Не менее важными объектами защиты являются телефонные или оптоволоконные кабели, провода систем связи. Современные технологии позволяют получить сигнал даже без непосредственного подключения, путем электромагнитного сканирования проводов. Поэтому необходимо выполнять прокладку кабелей и проводов по закрытым, надежно экранированным каналам.
Необходимо внимательно анализировать и изучать задачи злоумышленников. Понимание, в каких целях предпринимаются попытки доступа к базам данных, позволит принимать эффективные меры по их обнаружению. Важно учитывать, что преступники не всегда считают хищение сведений своей задачей. Часто им требуется уничтожить или изменить данные. Поэтому необходимо предусмотреть варианты злонамеренного использования информации и максимально ограничить такие возможности.
Средства и методы защиты информации
Специфика технических систем защиты данных должна соответствовать форме и условиям их хранения и использования. Существуют общие меры предотвращения несанкционированного доступа:
Большую важность имеет организация работы с сотрудниками. Они должны получить определенный допуск к информационным ресурсам, который соответствует их профессиональным обязанностям. Кроме этого, сотрудникам необходимо пройти инструктаж по обращению с данными. Работникам ИБ-службы следует предупредить персонал об ответственности за повреждение или хищение информационных массивов.
Реализация технической защиты
Для охраны баз данных используются два основных метода:
С помощью аппаратного метода выполняют поиск и обнаружение попыток несанкционированного доступа. Используются методы пассивного и активного противодействия атакам злоумышленников.
Программный метод предназначен для отсечки попыток получения данных из компьютерной техники. Используются антивирусные приложения, файрволы, шифрование данных, парольная защита.
Если аппаратные методы рассчитаны на непосредственное использование технических средств защиты, то программные методики предназначены для предотвращения удаленных способов воздействия на базы данных.
Обе методики нуждаются в постоянном контроле работоспособности и обновлении. С появлением новых технических и программных средств старые способы защиты перестают работать. Злоумышленники находятся в постоянном поиске новых возможностей получения чужих сведений, поэтому системы защиты не должны отставать от них. Попытки экономии на охране неизменно приводят к потере данных. Работа организации может быть полностью парализована, чего допустить нельзя. Важно предусмотреть намерения злоумышленников, опередить их на всех стадиях неправомерных действий.
Техническая защита информации на предприятии
ИБ-аутсорсинг
на базе DLP-системы
Контроль исполнения документов
Мониторинг ИТ инфраструктуры
Защита бизнеса от мошенничества
Разработка требований к защите информации
Управление системами фильтрации электронной почты и веб-трафика
АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА
С овременное предприятие располагает большими объемами информации, необходимой для устойчивой и эффективной работы. Основную ценность составляют технологические данные, ноу-хау, собственные разработки или приобретенные методики. Кроме этого, в компаниях хранятся сведения о финансовых операциях, кредитах.
Одним из важных аспектов деятельности службы информационной безопасности (ИБ-службы) становится техническая защита информации. Вне зависимости от размеров и специализации предприятия, информационные ресурсы интересуют конкурентов и заставляют их предпринимать враждебные действия. Методы злоумышленников разнообразны, поэтому ИБ-служба должна вести постоянный поиск каналов утечки информации, отслеживать цели и действия преступников.
Степень опасности. Оценка рисков
Для создания надежной системы защиты конфиденциальной информации необходимо рассортировать имеющиеся данные по специфике и уровню ценности.
Как правило, на предприятии хранятся массивы информации следующих категорий:
Нередко основная опасность исходит не столько от внешних источников, сколько от сотрудников компании и даже от ее руководства. Первые имеют доступ к ценной информации, которую при определенных условиях способны предоставить посторонним лицам или злоумышленникам. Вторые не обращают должного внимания на системы обеспечения информационной безопасности, считая угрозу несущественной или мнимой.
Если организовать контроль за действиями сотрудников относительно просто, то убедить руководство в необходимости технической защиты информации крайне сложно. Создание систем защиты данных – трудоемкое и затратное мероприятие. Многие владельцы или руководители, не имея печального опыта потери данных, склонны относиться к охране сведений слишком легкомысленно. Подобное отношение следует считать наиболее опасной угрозой для информации. Осознание важности охраны данных приходит только после потери сведений, когда приходится в срочном порядке восстанавливать нормальную работу предприятия.
Оценка информационных рисков предприятий является базисом, на котором строятся системы технической защиты информации. К наиболее проблемным направлениям следует отнести:
Пристального внимания требуют и действия работников предприятия. Основной ошибкой службы безопасности является разделение на «своих» и «чужих». Иногда считается, что сотрудники не представляют угрозы для конфиденциальной информации, а все проблемы могут прийти только извне. Важно понимать, что в случае с информационной безопасностью делить людей следует только на авторизованных (доверенных) и неавторизованных пользователей.
Выделять подозрительных и опасных сотрудников из общего числа помогает поведенческий анализ. Например, автоматизированный профайлинг составляет психологические портреты на основе анализа рабочей переписки персонала. Как это работает.
Вероятные источники угроз
Для организации максимально эффективных систем технической защиты информации необходимо четко представлять себе наиболее вероятные источники опасности.
В список актуальных угроз входят:
Перечисленные угрозы могут исходить как от посторонних лиц, так и от персонала. Нередко для получения нужных сведений конкуренты используют сотрудников, имеющих доступ к информации конфиденциального характера.
Наиболее распространенным способом является копирование сведений с последующей их передачей заинтересованным лицам. Для исключения подобных действий следует тщательно контролировать носители информации, находящиеся в пользовании сотрудников. Чем выше уровень допуска, тем интенсивнее должен быть контроль, вплоть до полного запрета использовать флешки или внешние накопители.
Отдельного внимания требуют мобильные телефоны. Современные модели обладают широкими возможностями передачи данных. Недобросовестный сотрудник может сфотографировать документы, скопировать данные в память своего гаджета и отправить файл заинтересованным лицам. Для сотрудников, работающих с конфиденциальной информацией, необходим запрет на использование мобильных телефонов внутри здания.
Посторонние лица для получения информации чаще всего используют программные средства. Среди них наиболее распространены следующие:
Для создания эффективных систем технической защиты информации необходимо учитывать все существующие риски и методы злоумышленников. Потребуются как аппаратные, так и программные средства, использование комплексных систем обнаружения и предотвращения доступа злоумышленников в информационные системы.
Примеры преступных действий
Действия злоумышленников могут иметь различные формы. Наиболее распространенные схемы неправомерного использования информации:
В любом случае для совершения преступления злоумышленникам надо получить доступ к информации. Учитывая это условие, необходимо усилить систему безопасности предприятия с помощью следующих мер:
Приведенный перечень мер по усилению технической защиты информации нельзя назвать исчерпывающим, поскольку злоумышленники используют новые технические средства и методики. Мероприятия, проводимые для обеспечения безопасности данных, должны соответствовать уровню технической и теоретической оснащенности мошенников. Необходимо регулярное обновление технической базы, оборудования и ПО. Допускать отставание в этих направлениях нельзя, поскольку это равноценно отсутствию технической защиты информации на предприятии.
Организация технической защиты информации на предприятии
Для создания эффективной системы защиты конфиденциальной информации необходимо действовать продуманно и последовательно. Процесс состоит из нескольких этапов:
Все принимаемые меры должны соответствовать действующим законодательным нормам, иначе возникнут конфликты правового характера. В этом отношении сотрудникам ИБ-службы необходимо постоянно сверяться с нормами и требованиями ФСТЭК и статей закона ФЗ-149, чтобы не допустить нарушений и не втянуть предприятие в судебные разбирательства. Правовая основа должна быть базой, на которой строится вся система защиты информации на предприятии.
Важным этапом является изучение рисков и определение источников опасности. От этого зависит эффективность системы защиты информации. Если все возможные угрозы правильно определены, опасность утечки данных снижается до минимальных значений. Необходимо выполнить следующие действия:
Если у компании нет ресурсов и времени для создания собственной ИБ-службы, можно передать ее задачи на аутсорсинг. Что это такое?
Основными задачами ИБ-службы являются:
Методы, используемые для технической защиты информации, должны соответствовать специфике предприятия. Среди них можно выделить наиболее эффективные мероприятия:
Кроме этих мер необходимо ввести процедуру проверки и тестирования сотрудников с высоким уровнем допуска. Рекомендуется присутствие ИБ-сотрудника в помещениях, где производится обработка конфиденциальных данных.
Привлечение сторонних организаций для создания систем информационной безопасности
Самостоятельная разработка и внедрение систем защиты информации доступны не всем предприятиям. Существуют специализированные организации, которые оказывают помощь в создании комплексных охранных систем. Необходимо создать специальную группу, которая проводит аудит и оценивает риски. Определить наиболее опасные источники угроз, разработать план действий. Он обсуждается с руководством предприятия, после чего следует приступить к созданию (или реорганизации) подразделения информационной безопасности.
Провести инструктаж всех сотрудников, по необходимости организовать обучающие занятия по информационной безопасности и использованию массивов данных. Все организационные мероприятия следует производить в соответствии со спецификой предприятия. Основной упор нужно сделать на опасные каналы утечки данных, проинформировать сотрудников об ответственности за преднамеренные несанкционированные действия с информацией. В течение первых месяцев работы потребуется консультационное сопровождение деятельности ИБ-службы, отработка важных методик и приемов работы.
АУТСОРСИНГ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Средства защиты информации от несанкционированного доступа
Тест на прочность: чему нас учат недостатки СЗИ?
Защитить информацию от несанкционированного доступа можно с помощью любого из популярных специализированных средств. Главное — знать его сильные и слабые стороны, чтобы в случае необходимости нейтрализовать негативные последствия. Мы провели эксперимент, чтобы посмотреть, как ведут себя различные решения в ситуации несанкционированного доступа.
Современный рынок средств защиты информации (СЗИ) представлен различными аппаратными, программными и комбинированными комплексами. Продукты различаются по цене, функциональности и настройкам. Прежде чем сделать выбор, IT-специалист должен все это хорошо изучить. Ведь ценность защищаемой информации не дает ему права на ошибку, а руководитель требует обосновать стоимость покупки конкретного СЗИ.
Цель нашего эксперимента — понять, какие дополнительные меры безопасности необходимо принять, чтобы обезопасить информацию от кражи.
Моделируемая ситуация: в компьютере финансового директора обрабатывается очень важная информация, интерес к которой имеет недовольный зарплатой сотрудник. В обеденный перерыв директор заблокировал свой компьютер и ушел. У злоумышленника есть только час на то, чтобы незаметно похитить нужную ему информацию.
Тестируемые средства
Действия злоумышленника: Предположим, что на компьютере установлено одно из вышеуказанных СЗИ и шестизначный пароль, содержащий буквы разного регистра и спецсимволы. На подбор такого пароля потребуется много времени, поэтому злоумышленник, скорее всего, попробует обойти систему следующим образом:
Совет № 1. Запретите загрузку с внешних носителей и используйте пароли на BIOS.
Программные СЗИ, к сожалению, оставляют возможность загрузиться в обход операционной системы и похитить ценную информацию. И в этом заключается их главный недостаток. Единственным программным СЗИ, которое не удалось обойти таким образом, оказался «Страж NT».
В СЗИ «Страж NT» идентификация и аутентификация пользователя производится до загрузки операционной системы, что позволяет исключить возможность получения доступа к информации, содержащейся на жестком диске компьютера без успешного прохождения процедуры аутентификации.
Программа идентификации и аутентификации содержится в главной загрузочной записи (MBR) жесткого диска и вызывается автоматически после прохождения процедуры POST BIOS: пользователю предлагается предъявить персональный идентификатор и ввести пароль.
Модификация главной загрузочной записи, выполняемая СЗИ при его инициализации, предотвращает попытки несанкционированного доступа при загрузке компьютера с внешнего носителя, так как любая операционная система «повиснет» при попытке монтирования раздела, на котором установлена СЗИ «Страж NT». Таким образом, для злоумышленника исключается несанкционированный доступ к содержимому жесткого диска, несмотря на гипотетическую возможность загрузки персонального компьютера с внешнего носителя или подключения жесткого диска к другому компьютеру.
Вне эксперимента нам удалось с помощью программы восстановления потерянных разделов TestDisk восстановить загрузочный сектор. Но на эту процедуру ушло больше часа.
При использовании остальных СЗИ рекомендуем в настройках BIOS выставить единственное загрузочное устройство — локальный жесткий диск. Необходимо установить пароль на BIOS. Можно установить ПАК «Соболь» или Secret Net Card, которые обеспечат доверенную загрузку.
Совет № 2. При использовании любых СЗИ, кроме «Страж NT», опечатывайте или опломбируйте корпус системного блока.
При тестировании программных СЗИ мы увидели, что добыть информацию можно и без физического вмешательства в системный блок. В случае с рассматриваемыми программно-аппаратными комплексами «Аккорд» и Secret Net способ загрузки в обход операционной системы не сработал из-за наличия установленной платы, которая не давала доступа к настройкам BIOS и не позволяла изменить источник первичной загрузки.
При настройке системы защиты в соответствии с требованиями законодательства, если системный блок не опломбировать или не закрыть на замок, злоумышленнику ничего не мешает на время своих злодеяний извлечь эту плату из системного блока. В этом состоит главный недостаток плат доверенной загрузки. Таким образом, мы настоятельно рекомендуем использовать такую меру защиты как опломбирование системных блоков и закрытие на ключ.
Совет № 3. Используйте встроенные или дополнительные средства шифрования данных.
Мы рассматриваем ситуацию, когда злоумышленник пытается незаметно похитить информацию. Если это условие убрать, то и установка пароля на BIOS, и опечатывание системного блока не помешают информации «сделать ноги». Поэтому общая рекомендация для всех рассмотренных средств защиты информации следующая — использовать средства шифрования данных. При таких условиях у злоумышленника не будет возможности получить доступ к информации описанными нами или любыми иными способами.
Так, например, в СЗИ Dallas Lock средство шифрования данных является встроенным, а для Secret Net есть возможность приобрести лицензию с возможностью сокрытия выбранных разделов на жестком диске. Для остальных СЗИ остается использовать только дополнительные средства шифрования от сторонних производителей.
Совет № 4. Используйте комплекс мер: дополняйте технические средства административными мерами.
Прежде чем принимать решение о применении того или иного средства защиты, необходимо продумать и смоделировать все возможные варианты утечки информации. В каждой конкретной ситуации это будут различные меры. В случае, описанном в начале статьи, мы бы порекомендовали не оставлять открытым помещение с важной информацией, установить системы видеонаблюдения. Для особо важной информации необходимо использовать средства защиты, позволяющие шифровать информацию «на лету» и т д.
Совет № 5. Не переплачивайте: стоимость средств защиты не должна превышать стоимость самой информации.
Если руководитель поручил защитить информацию на конкретных компьютерах, необходимо понять, какова ценность информации «в цифрах». И только после этого принимать решение о выборе СЗИ. Правда, есть один нюанс: для информации, охраняемой законодательством, это правило не работает — защищать придется даже информационные системы обработки персональных данных, содержащие сведения о пяти сотрудниках.
Вадим Галлямшин, руководитель проектов внедрения систем информационной безопасности «СКБ Контур».
Станислав Шиляев, руководитель группы технической защиты информации проекта «Контур-Безопасность»
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.