Средства защиты от внутренних угроз

Валерий Андреев
Заместитель директора по науке и развитию ЗАО ИВК, к.ф.-м.н.

Информационные технологии сегодня развиваются столь стремительно, что уже трудно выделить сферу человеческой деятельности, в которой они не были бы востребованы. Любая организация, создающая инфокомму-никационную систему (ИКС) для обеспечения функционирования своих инфраструктурных подразделений, вовлекается в общий круг пользователей распределенных инфокоммуникационных услуг, в обязательном порядке использует открытые или закрытые глобальные коммуникации, имеет собственное виртуальное представительство, работает с современными средствами информационного обмена в рамках собственного документооборота, создает актуальные защищенные хранилища данных, упорядочивает работу своих сотрудников.

Однако сегодня приходит понимание того, что электронные средства хранения, обработки и передачи информации даже более уязвимы, чем обычные бумажные: цифровые данные можно не только скопировать или уничтожить, но и незаметно для владельца изменить или заблокировать. Вслед за этим пониманием приходит и вынужденный интерес к вопросам ИБ, ведь в докомпьютерное прошлое вернуться уже невозможно!

Внешние и внутренние угрозы

Построение любой системы защиты информации всегда опирается на так называемый "профиль угроз", индивидуальный для каждой организации. Если упростить, то всевозможные угрозы защищаемым ресурсам можно разделить на "внешние" и "внутренние".

По наблюдению экспертов рынка ИБ, внешние и внутренние угрозы на сегодняшний день соотносятся друг с другом как 20 к 80. То есть, по статистике, около 80% вторжений и атак производится либо изнутри контролируемой зоны объектов сотрудниками самой организации, либо извне с их ведома или при непосредственном участии. При этом, по оценкам специалистов, достоянием гласности становится лишь около 15% преступлений в области ИБ. Поэтому этические вопросы лояльности сотрудников руководителю предприятия приходится откладывать и принимать ответственность за ИБ на себя с минимальной экономической составляющей. И тогда вопросы ИБ вменяются в обязанности системному администратору, сотруднику компании или внешнему эксперту, что не только не решает проблему "внутреннего" нарушителя, но еще больше ее усугубляет. Так как именно этот сотрудник и становится чаще всего главным "внутренним" нарушителем (потенциальным, конечно же), то отразить такую угрозу практически невозможно. Поэтому администраторов должно быть все-таки двое, и работать они должны по принципу: "один знает что, но не знает где, а второй - наоборот". Тогда они будут контролировать друг друга, и фактор "внутренней угрозы" существенно снизится. Но даже тогда им нельзя пренебречь!

Интересно, что в зависимости от размера организации фокус интереса руководства к вопросам ИБ смещается. Наиболее понятным для руководителя малого предприятия является комплекс мер защиты от внешнего нарушителя, ведь он полностью доверяет своим сотрудникам, часто являющимися его близкими людьми. Поэтому в сегменте SMB для защиты от внешнего нарушителя нередко ограничиваются достаточно стандартным комплексом мер защиты периметра. Хотя возможность внешней угрозы несколько преувеличена, она реальна. Насыщение периметра любой организации различными средствами защиты информации совершенно необходимо: лучше ограничить несанкционированную деятельность всевозможных нарушителей на границе сети, чем допускать любую ненужную активность внутри самого объекта.

Средства защиты от несанкционированного доступа

В последнее время все большую популярность среди производителей средств защиты информации (СЗИ) приобретают программные и программно-аппаратные средства защиты от несанкционированного доступа (НСД) и копирования. Программные части систем защиты можно классифицировать по принципу действия на:

• системы, участвующие в вычислительном процессе и использующие сложные логические механизмы;
• системы, использующие шифрование защищаемых ресурсов;
• системы, хранящие в аппаратной части последовательность выполнения программного кода.

Под программно-аппаратными СЗИ часто понимаются средства, основанные на использовании так называемых аппаратных (электронных) ключей или замков. Также в качестве такого устройства могут использоваться смарт-карты и иные устройства.

Многие компании, специализирующиеся на решениях защиты информационных систем, предлагают сегодня средства контроля и управления доступом в корпоративную сеть с автоматизированных рабочих мест сотрудников организации. Здесь рассматривается комплекс вопросов, связанных с классификацией программных и программно-аппаратных СЗИ, их достоинствами и недостатками, критериями/условиями выбора данного типа средств.

Возможности применения средств для защиты от внутренних угроз представлены ниже, где дан сравнительный анализ СЗИ от внутренних угроз.

Комментарий экспертов

Дмитрий Никитин
Ведущий аналитик "ЕВРААС - Информационные технологии"

Сегодня вопрос применения в информационных системах средств защиты от НСД уже даже не является актуальным, а скорее, он перешел в разряд безальтернативных. Вопрос состоит, пожалуй, в том, какие именно средства необходимо использовать и как правильно построить и реализовать адекватную и эффективную политику управления доступом.
Простая аналогия: с чего вы начнете защиту своего жилища? Правильно, с установки хорошей металлической двери, серьезного замка и, скорее всего, не одного. Ключи - только у своих. И уже потом появляются злая собака, решетки на окнах, система охранной сигнализации и прочее.

Наиболее популярная в последнее время тема - обеспечение безопасности персональных данных - тоже связана с необходимостью исключения именно НСД к этим данным. При этом задача усложняется необходимостью сертификации средств защиты. Но регуляторы (ФСТЭК, ФСБ) в данном случае идут на уступки в отношении средств защиты от НСД, допуская в отдельных случаях использование несертифицированных средств.

Приоритет же инсайдерских угроз давно является догмой - упрямая статистика сделала свое дело. И суть проблемы проста. Возвращаясь к аналогии с квартирой, можно констатировать тот факт, что инсайдеры - это "свои", то есть ключи у них есть. Именно поэтому еще раз отмечаю, что исключить несанкционированный доступ - только полдела. Для организаций любых масштабов и форм собственности крайне важны вопросы предоставления, разграничения и контроля санкционированного доступа, то есть грамотного и эффективного управления им, о чем и говорится в статье.

И все же совершенно недостаточно в современных условиях обеспечить защищенность технических средств, на которых обрабатываются и хранятся конфиденциальные данные. Активное использование ИТ ведет к динамичному электронному документообороту как в границах корпоративной информационной системы, так и за ее пределами. И необходимо обеспечивать безопасность документов на уровне содержащихся в них данных.

Применение средств криптографической защиты не решает эту проблему, так как для прочтения документа его необходимо расшифровать, а после этого он становится уже совершенно беззащитным - в недоверенной среде к нему легко может быть получен несанкционированный доступ, он может быть полностью или частично скопирован и передан лицам, для которых он не был предназначен; статус легального пользователя документа со временем может измениться, и он потеряет право на работу с этим документом, но, владея прежним ключом шифрования или расшифровав документ ранее, доступа к нему он уже не потеряет!

Решить подобные проблемы с обеспечением конфиденциальности электронных документов при активной работе с ними позволяет применение технологий IRM (управление правами доступа к данным). Использование современных решений, реализующих эту технологию, дает множество дополнительных сервисных возможностей: контроль версионности документов, когда при появлении новых версий всем пользователям сразу автоматически закрывается доступ к прежним; детальный централизованный аудит; журналирование всех операций с защищенным документом и всеми его копиями и многие другие.

Михаил Башлыков
Руководитель направления информационной безопасности компании КРОК

По статистике, большинство утечек происходит по вине инсайдеров и халатных сотрудников. Это основная угроза. Большинство компаний, в первую очередь установивших внешнюю защиту сети, от внешних угроз себя обезопасили. Теперь пора наводить порядок и вводить соответствующие регламенты внутри. Тем более что в условиях кризиса угроза со стороны инсайдеров становится еще более явной: число недовольных сотрудников растет, а возможные кадровые изменения заставляют идти на подобные действия даже проверенных людей. Предотвратить инсайдерские атаки (умышленные или случайные) и повысить эффективность системы безопасности помогает комплексное решение, включающее технологии по предотвращению утечки информации во внешнюю среду, и решения по управлению доступом к информации на уровне контента, системы IRM (Information Right Management) и решения по контролю обработки (в том числе доступа) конфиденциальной информации. Также не нужно забывать и о правовых аспектах борьбы с инсайдерами. Без проработки этих вопросов любые технические средства и собранные факты могут обернуться против самой компании.

Угрозы, которые связаны с инсайдерами, можно разделить на коммерческие и репутационные, но и те и другие приводят к финансовым потерям. К первым относятся возможности получения информации конкурентами о клиентских базах, маркетинговых программах и т.д. Ко вторым - прямой урон репутации компании и потеря доверия со стороны клиентов.

Персональные данные - это одна из категорий конфиденциальной информации. Для многих бизнесов, ориентированных на конечных потребителей, например для банков или страховых компаний, персональные данные их клиентов - один из ключевых ресурсов. Без гарантий сохранности приватности такой информации работа на этих рынках невозможна. Поэтому решения класса Data Leak Prevention (предотвращение утечки данных) занимают центральное место в комплексе информационной безопасности компаний, работающих с персональными данными. Пристальное внимание в нашей стране к этому вопросу возникло на фоне появления Федерального закона "О персональных данных" и нормативных документов ФСТЭК, конкретизирующих требования по их защите, по которым с января 2010 г. наличие сертифицированной системы информационной безопасности станет обязательным.

Применение программных средств и программно-аппаратных комплексов в решении этого вопроса зависит от способа обработки персональных данных компанией: с использованием либо без использования средств автоматизации. Если данные обрабатываются с помощью средств автоматизации, перечень программных средств и программно-аппаратных комплексов (реализующих функционал подсистем защиты персональных данных) зависит от класса соответствующей информационной системы. Требования к подсистемам определены в руководящем документе ФСТЭК "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных". При этом программные средства и аппаратные комплексы должны быть сертифицированы. В случае обработки оператором персональных данных без средств автоматизации необходимо использование средств защиты от несанкционированного доступа, выбор которых остается за компанией, так как этот вопрос законодательством не регулируется.