В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Алексей Плешков,
начальник отдела защиты информационных технологий, "Газпромбанк" (Открытое акционерное общество)
На пороге 21-го века, когда развитие "движения Интернет-пользователей" в России не носило эпидемического характера, а подключение к Интернету являлось прерогативой людей, по роду своей деятельности близких или вхожих в среду специалистов по ИТ, об автоматизированных системах поточной фильтрации Интернет-трафика, по большому счету, никто не задумывался. Шли годы, количество пользователей Глобальной сети росло в геометрической прогрессии, развивались технологии, изменялись форматы и характер ведения бизнеса, претерпевали модификацию технологические процессы, высокоскоростные коммуникации и надежная связь все активнее внедрялись в повседневную работу любой организации. В итоге Интернет, как международная сеть, объединяющая воедино информационные ресурсы, относящиеся к разным направлениям деятельности, стал одним из основных инструментов ведения успешного бизнеса.
У любой медали - две стороны. Наряду с очевидной пользой для бизнеса всеобщая информатизация и повышение компьютерной грамотности привели к появлению принципиально новых, ранее не принимаемых во внимание рисков для бизнеса.
Не требуется разбираться в структуре php-кода или периодически компилировать новое ядро *nux операционных систем, чтобы купить необходимое для подключения к Интернету оборудование, установить на свой домашний компьютер дополнительное программное обеспечение и настроить доступ в Глобальную сеть в соответствии с прилагаемой инструкцией. А дальше новый член движения Интернет-пользователей получает реальную возможность для саморазвития и поиска интересующей его информации любыми доступными ему способами. Способов этих, как известно, очень и очень много.
Представим теперь, что тот же человек является сотрудником крупной организации, централизованно подключенной к сети Интернет. Сотрудники по отношению к организации могут занимать две позиции: либо лояльно относиться к своей работе, либо нелояльно. Говорить о нейтралитете нелогично. К сожалению, в настоящее время, даже будучи лояльно настроенным, сотрудник, используя ресурсы Глобальной сети на рабочем месте без должного контроля и защиты, рискует нанести существенный урон организации, сам того не желая.
Для иллюстрации данного факта можно обратиться к статистике 2008-2009 гг., подготовленной ведущими в области информационной безопасности аналитическими агентствами. Более 50% всех доказанных и опубликованных утечек информации непосредственно с рабочих мест сотрудников на территории организаций по всему миру в 2008 г. были осуществлены случайно, т.е. без умысла со стороны сотрудников. В большинстве случаев были зафиксированы следы работы программ с потенциально опасными последствиями, а также факты использования на рабочем месте несанкционированно установленного программного обеспечения с недокументированными возможностями.
Менталитет российских организаций таков, что руководство предпочитает публикациям молчание, поэтому получить точную статистику по России достаточно проблематично.
Что уж говорить о нелояльно настроенных сотрудниках, цель которых - получить максимальную выгоду от своей организации, используя для этого любые доступные способы и каналы выноса информации. В условиях, когда использование периферийных портов на служебных компьютерах сотрудников повсеместно контролируется, права пользователя в операционной системе ограничены, а внос-вынос носителей информации регламентирован, единственным доступным и возможным способом "увода" информации остается сеть общего пользования - Интернет.
Обладая минимальными техническими знаниями, сотрудник, допущенный по роду своей деятельности к информации ограниченного доступа, используя базовые инструменты и средства сети Интернет, потенциально обладает возможностью совершить попытку несанкционированного "увода" информации за пределы охраняемой зоны. Это риск, который неизбежен. Вероятность реализации такого риска совпадает с вероятностью реализации рискового события, связанного с поэтапным физическим запоминанием сотрудником доступной ему информации и выносом ее с территории. Защититься здесь практически невозможно.
Поэтому одной из основных задач, которые ставятся перед подразделением, ответственным за обеспечение информационной безопасности в организации, является минимизация до приемлемого уровня вероятности реализации рисков нарушения конфиденциальности информации ограниченного доступа, в том числе недопущение фактов компрометации информации инсайдерами.
Инсайдер, и/или потенциальный внутренний нарушитель информационной безопасности, - это лицо, обладающее служебными полномочиями в отношении информационных активов и/или знаниями особенностей организационно-технической среды и способное использовать их нежелательным для организации образом.
К инсайдерам относятся следующие лица:
Задачи контроля посещения сотрудниками в рабочее и нерабочее время сайтов, содержание (например, наличие на странице ActiveX-компонентов или исполняемых файлов JavaScript, при запуске которых на рабочую станцию через HTTP загружается, а затем и устанавливается часть полиморфного вируса) или сервисы (например, электронная конференция, форум или файловый сервер) которых потенциально могут привести к компрометации информации и/или нарушению работоспособности внутренней инфраструктуры, лежат в зоне ответственности подразделения, ответственного за обеспечение информационной безопасности. При этом отходит на второй план прикладное содержание страниц - социальные сети, Интернет-игры или сайты с содержанием, не относящимся напрямую к выполнению сотрудниками служебных обязанностей. С точки зрения применяемой технологии поточной фильтрации Интернет-трафика не имеет значения, какие сайты (URL-адреса сайтов) блокировать.
В общем случае при работе сотрудников организации в Интернете можно выделить следующие классы угроз информационной безопасности.
Здесь можно вспомнить не только вредоносное программное обеспечение, но и "чистое ПО", не имеющее подтверждений наличия юридически должным образом оформленных отношений с разработчиком и/или правообладателем.
Также всегда нужно помнить и рассматривать репутацион-ные риски от использования сотрудниками ресурсов Интернета в личных целях и/или в ущерб интересам организации, в том числе для получения нелицензионных мультимедиа-файлов, а также файлов другого рода, доступных в Интернете и защищенных авторскими правами на территории Российской Федерации.
Вероятность реализации перечисленных выше угроз и рисков может быть снижена путем внедрения в организации программно-аппаратного комплекса защиты на базе системы поточной фильтрации содержимого проходящего Интернет-трафика (далее - СФ).
Общий принцип работы СФ подробно описывается в рекламной документации производителей и на сайтах компаний -системных интеграторов и по этой причине не является предметом рассмотрения данной статьи.
Однако хотелось бы более подробно остановиться на этапе проектирования и составления требований по информационной безопасности к такого рода системам. Наряду с требованиями к внедряемой автоматизированной системе подразделений, ответственных за информационное обеспечение организации, к СФ должны предъявляться комплексные требования по информационной безопасности, к которым в общем случае относятся:
1. Обеспечение комплексного подхода к организации подсистемы антивирусной защиты:
2. Наличие подсистемы фильтрации, в которой должны быть реализованы перечисленные ниже потенциальные возможности:
3. Гибкая политики лицензирования:
4. Наличие подсистемы журналирования событий и интерфейсов формирования отчетности. Количество событий и глубина протоколирования определяются спецификой работы организации.
5. Наличие реализованных интерфейсов для интеграции СФ со следующими классами систем, используемых в организации:
Необходимо понимать, что даже с учетом выполнения разработчиками всех перечисленных выше требований к функциональности и уровню обеспечения информационной безопасности СФ не гарантирует стопроцентную защиту и снижение рисков до минимально возможного значения. Для любого средства защиты рано или поздно будут найдены обходные пути, которые позволят, пренебрегая требованиями политики информационной безопасности, несанкционированно выполнять действия в Интернете.
Таким образом, необходимо, чтобы подходы к обеспечению безопасности при работе сотрудников в сети Интернет были комплексными. Недостаточно просто фильтровать трафик, анализируя контент на предмет наличия в нем шаблонных (сигнатурных) элементов или проверять URL-адреса по черным спискам, пусть даже динамически обновляемым. Существуют ошибки первого и второго рода, которые не позволят с уверенностью говорить о корректной работе системы фильтрации.
На основе имеющегося опыта можно предложить развертывание комплексного решения по предоставлению доступа в Интернет для сотрудников крупной организации, состоящего из следующих основных частей (см. рис.):
1) комплекс межсетевого экранирования;
2) система терминального доступа (клиент - сервер);
3) файловые серверы для получения, промежуточного хранения, проверки на наличие вредоносного кода и односторонней передачи полученной информации;
4) система поточной фильтрации в кластерном исполнении:
Предложенное решение призвано обеспечить приемлемый уровень защищенности информации, хранимой и обрабатываемой во внутренней сети организации.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2009