Иб: средства защиты

Перечень документов

1. О ГОСУДАРСТВЕННОЙ ТАЙНЕ. Закон Российской Федерации от 21 июля 1993 года № 5485-1
   (в ред. Федерального закона от 6 октября 1997 года № 131-ФЗ).
2. ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ. Федеральный закон Российской Федерации
   от 20 февраля 1995 года № 24-ФЗ. Принят Государственной Думой 25 января 1995 года.
3. О ПРАВОВОЙ ОХРАНЕ ПРОГРАММ ДЛЯ ЭЛЕКТРОННЫХ ВЫЧИСЛИТЕЛЬНЫХ МАШИН И БАЗ ДАННЫХ.
   Закон Российской Федерации от 23 фентября 1992 года № 3524-1.
4. ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ. Федеральный закон Российской Федерации от 10 января
   2002 года № 1-ФЗ.
5. ОБ АВТОРСКОМ ПРАВЕ И СМЕЖНЫХ ПРАВАХ. Закон Российской Федерации от 9 июля 1993 года
   № 5351-1.
6. О ФЕДЕРАЛЬНЫХ ОРГАНАХ ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОРМАЦИИ. Закон Российской Федерации
   (в ред. Указа Президента РФ от 24.12.1993 № 2288; Федерального закона от 07.11.2000 № 135-ФЗ.
7. Положение об аккредитации испытательных лабораторий и органов по сертификации средств
   защиты информации по требованиям безопасности информации / Государственная техническая
   комиссия при Президенте Российской Федерации.
8. Инструкция о порядке маркирования сертификатов соответствия, их копий и сертификационных
   средств защиты информации / Государственная техническая комиссия при Президенте Российской
   Федерации.
9. Положение по аттестации объектов информатизации по требованиям безопасности информации
   / Государственная техническая комиссия при Президенте Российской Федерации.
10. Положение о сертификации средств защиты информации по требованиям безопасности информации:
    с дополнениями в соответствии с Постановлением Правительства Российской Федерации от 26 июня
    1995 года № 608 «О сертификации средств защиты информации»
    / Государственная техническая комиссия при Президенте Российской Федерации.
11. Положение о государственном лицензировании деятельности в области защиты информации
    / Государственная техническая комиссия при Президенте Российской Федерации.
12. Автоматизированные системы. Защита от несанкционированного доступа к информации.
    Классификация автоматизированных систем и требования по защите информации: Руководящий
    документ / Государственная техническая комиссия при Президенте Российской Федерации.
13. Концепция защиты средств вычислительной техники и автоматизированных систем от
    несанкционированного доступа к информации: Руководящий документ
    / Государственная техническая комиссия при Президенте Российской Федерации.
14. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного
    доступа к информации. Показатели защищенности от несанкционированного доступа к информации:
    Руководящий документ
    / Государственная техническая комиссия при Президенте Российской Федерации.
15. Средства вычислительной техники. Защита от несанкционированного
    доступа к информации. Показатели защищенности от несанкционированного доступа к информации:
    Руководящий документ
    / Государственная техническая комиссия при Президенте Российской Федерации.
16. Защита информации. Специальные защитные знаки. Классификация и общие требования:
    Руководящий документ
    / Государственная техническая комиссия при Президенте Российской Федерации.
17. Защита от несанкционированного доступа к информации. Термины и определения:
    Руководящий документ
    / Государственная техническая комиссия при Президенте Российской Федерации.

Информационная система на примере виртуального здания

Информационная система (ИС) – это комплекс средств, используемых для хранения, обработки и выдачи информации. Современное понимание этого термина предполагает использование компьютера в качестве основного технического средства переработки данных.

ИС также можно представить в виде здания. Хотя оно и виртуальное, но также нуждается в защите. В качестве средств, обеспечивающих защиту, можно использовать те же устройства физической безопасности. Отличие заключается в том, что они должны быть разработаны с учетом IT-технологий.

Если вход в физическое помещение преграждает турникет или сотрудник охраны, в ИС для этого используются устройства аутентификации или межсетевой экран, контролирующие входящий трафик в ИС. 

Как обеспечивается безопасность информации

Информационную безопасность корпоративной сети обеспечивают два метода:

1. Фрагментарный. Изучает источники возникновения конкретных угроз в определенных условиях. Примеры осуществления метода: отдельные виды защиты, позволяющие контролировать доступ и управлять им, автономные варианты шифрования информации, применение антивирусного ПО. Плюсом этой методики специалисты называют высокую избирательность по отношению к конкретной опасности потери данных. Минусы тоже присутствуют – не выработана целостная защищенная среда, в которой информация поддается обработке, безопасность информации гарантируется в рамках определенного перечня изученных угроз. При появлении других опасностей объекты систем становятся незащищенными. 
2. Комплексный. Обеспечение информационной безопасности осуществляется посредством создания среды, которая отвечает за защищенную обработку данных. Она объединяет мероприятия, с помощью которых можно противодействовать угрозам безопасности информации. Среди недостатков отмечается ограничение действий тех, кто пользуется системой данных. Методика недостаточно чувствительна к ошибкам. Корректировки требуют настройки средств защиты информации.

Комплексный путь используют, когда нужно защитить корпоративные сети, созданные большими организациями. Также возможна защита информационных систем от несанкционированного доступа, если корпоративные сети незначительные, но на них возложено исполнение важных задач. 

В соответствии с особенностями распространения информации, она может быть:

• свободно передаваемой;
• предоставляемой по договору отдельных лиц, между которыми возникли соответствующие партнерские отношения;
• которую по законам федерального значения нельзя скрывать и следует предоставлять в обязательном порядке;
• которая не подлежит всеобщему разглашению, что указано в законах РФ.

При реализации угрозы информационные ресурсы и программное обеспечение могут настолько измениться, что это чревато огромным материальным ущербом. Денежные потери могут быть распределены между учредителями организации и клиентами. Вот почему подобным организациям стоит серьезно и ответственно подходить к информационной безопасности. В идеале защита должна быть комплексной. Именно комплексный подход используют на крупных коммерческих и государственных предприятиях.

Методика, учитывающая большинство нюансов защиты информации, отражается в разных стандартах. Ее основу составляет разработка внутренней политики информационной безопасности. Она призвана определять источники угроз. Для этого применяют технические средства, которые в первую очередь существуют для сохранения конфиденциальной информации.

Требования к системе защиты ИБ

Защита информационных ресурсов должна быть:

1. Постоянной. Злоумышленник в любой момент может попытаться обойти модули защиты данных, которые его интересуют.

2. Целевой. Информация должна защищаться в рамках определенной цели, которую ставит организация или собственник данных.

3. Плановой. Все методы защиты должны соответствовать государственным стандартам, законам и подзаконным актам, которые регулируют вопросы защиты конфиденциальных данных.

4. Активной. Мероприятия для поддержки работы и совершенствования системы защиты должны проводиться регулярно.

5. Комплексной. Использование только отдельных модулей защиты или технических средств недопустимо. Необходимо применять все виды защиты в полной мере, иначе разработанная система будет лишена смысла и экономического основания.

6. Универсальной. Средства защиты должны быть выбраны в соответствии с существующими в компании каналами утечки.

7. Надежной. Все приемы защиты должны надежно перекрывать возможные пути к охраняемой информации со стороны злоумышленника, независимо от формы представления данных.

Перечисленным требованиям должна соответствовать и DLP-система. И лучше всего оценивать ее возможности на практике, а не в теории. Испытать «СёрчИнформ КИБ» можно бесплатно в течение 30 дней.   

Организация технической защиты информации на предприятии

Для создания эффективной системы защиты конфиденциальной информации необходимо действовать продуманно и последовательно. Процесс состоит из нескольких этапов:

1. Всесторонний анализ имеющихся информационных ресурсов.
2. Выбор концепции информационной безопасности, соответствующей специфике и особенностям используемых данных.
3. Внедрение средств защиты.
4. Разработка организационных мер защиты данных, соответствующих специфике компании.

Все принимаемые меры должны соответствовать действующим законодательным нормам, иначе возникнут конфликты правового характера. В этом отношении сотрудникам ИБ-службы необходимо постоянно сверяться с нормами и требованиями ФСТЭК и статей закона ФЗ-149, чтобы не допустить нарушений и не втянуть предприятие в судебные разбирательства. Правовая основа должна быть базой, на которой строится вся система защиты информации на предприятии.

Важным этапом является изучение рисков и определение источников опасности. От этого зависит эффективность системы защиты информации. Если все возможные угрозы правильно определены, опасность утечки данных снижается до минимальных значений. Необходимо выполнить следующие действия:

• составить перечень всех устройств, содержащих конфиденциальную информацию. Кроме этого, учесть все действующие и резервные каналы связи, как проводные, так и сетевые;
• определить наиболее ответственные участки, разграничить доступ в помещения, установить систему контроля за перемещением сотрудников и посторонних лиц;
• используя результаты анализа, рассчитать величину ущерба, определить последствия несанкционированного доступа и мошеннического использования информации;
• составить перечень документов и информационных массивов, подлежащих первоочередной защите. Установить уровень допуска и составить списки доверенных пользователей;
• создать службу информационной безопасности, которая является отдельным подразделением и, помимо специалистов по безопасности, включает системных администраторов и программистов.

Если у компании нет ресурсов и времени для создания собственной ИБ-службы, можно передать ее задачи на аутсорсинг. Что это такое?  

Основными задачами ИБ-службы являются:

• общая техническая защита информации;
• исключение доступа и несанкционированного использования конфиденциальных данных;
• обеспечение целостности информационных массивов, в том числе при возникновении чрезвычайных ситуаций (пожары, стихийные бедствия).

Методы, используемые для технической защиты информации, должны соответствовать специфике предприятия. Среди них можно выделить наиболее эффективные мероприятия:

• криптографическая защита информации (шифрование);
• использование электронной подписи для подтверждения авторства доверенного пользователя; 
• резервное копирование баз данных и операционных систем;
• создание системы паролей для идентификации и аутентификации сотрудников;
• контроль событий, происходящих в информационной системе. Фиксация попыток входа и выхода, действий с файлами;
• применение смарт-карт, электронных ключей в рамках системы допусков и ограничения перемещений работников;
• установка и использование на компьютерах межсетевых экранов (файрволов).

Кроме этих мер необходимо ввести процедуру проверки и тестирования сотрудников с высоким уровнем допуска. Рекомендуется присутствие ИБ-сотрудника в помещениях, где производится обработка конфиденциальных данных.

Виды и причины возникновения угроз информационной безопасности

Угрозы информационной безопасности подразделяют на внутренние (инсайдерские) и внешние. 

Основными рисками безопасности являются:

1. Несанкционированный доступ к бумажным, электронным и другим носителям данных. Угроза копирования, похищения, изменения или уничтожения важных сведений;
2. Утечка персональных данных сотрудников и клиентов. Информация может быть использована для шантажа, компрометации, нанесения материального ущерба, входа в служебные информационные системы;
3. Внедрение в электронные устройства, с помощью которых производится обработка информации, вредоносного программного обеспечения. Возможно кодирование, намеренное повреждение файлов;
4. Установка шпионских компьютерных программ, атаки хакеров;
5. Отказы в работе охранного оборудования и электронных устройств, возникающие из-за непредвиденных ситуаций (аварий и катастроф);
6. Использование злоумышленниками технических (электромагнитных, оптических, акустических) средств разведки, похищения информации.

Угрозу информационной безопасности компании представляет использование нелицензионного программного обеспечения. Причиной является отсутствие возможности обновления программ, невозможность проверки подлинности приложений, отсутствие технической помощи со стороны разработчиков ПО.

Иногда причиной разглашения конфиденциальной информации становятся действия органов правопорядка. При проведении проверок деятельности предприятий или расследовании уголовных преступлений изымается важная документация и компьютерные носители с ценными коммерческими данными, которые могут стать доступными для злоумышленников. Меры защиты от подобной угрозы законодательством не предусмотрены.

Причинами возникновения угроз могут быть действия посторонних лиц, а также нарушения требований безопасности со стороны легальных пользователей (сотрудников или совладельцев бизнеса).

Защита персональных данных

Долг каждого гражданина — знать и понимать, какой информацией он обладает и как необходимо с ней обращаться. Очень часто отсутствие у людей основных понятий о личной информации, пренебрежение требованиями информационной безопасности,  приводит к неприятным последствиям, из-за чего в дальнейшем они могут легко стать жертвой мошенников или злоумышленников.

К персональным данным относятся сведения или совокупность сведений о физическом лице, которое идентифицировано или позволяют конкретно идентифицировать его. Примером персональных данных является фамилия, имя, отчество, адрес, телефоны, паспортные данные, национальность, образование, семейное положение, религиозные и мировоззренческие убеждения, состояние здоровья, материальное положение, дата и место рождения, место жительства и пребывания и т.д. , данные о личных имущественных и неимущественных отношения этого лица с другими лицами, в том числе членами семьи, а также сведения о событиях и явлениях, происходивших или происходящих в бытовой, интимной, товарищеской, профессиональной, деловой и других сферах жизни лица (за исключением данных по выполнению полномочий лицом, занимающим должность, связанную с осуществлением функций государства или органа местного самоуправления) и др.

Указанная выше информация является информацией о физическом лице и членах его семьи и является конфиденциальной. Конфиденциальная информация может обрабатываться и распространяться только с согласия лица, которому она принадлежит (субъект персональных данных), кроме случаев, определенных законом.

Основным способом обеспечения информационной безопасности и исключения несанкционированного доступа к ресурсам информационных систем с данными являются подтверждения подлинности пользователей и разграничение их намерений на доступ к определенным информационным ресурсам. Подтверждение подлинности пользователя обеспечивается выполнением процедуры его идентификации, проверкой подлинности лица и осуществлением контроля за всеми действиями, обусловленными приписанными данному пользователю полномочиями доступа. Идентификация пользователя включает в себя регистрацию в системе безопасности вычислительного устройства уникального регистрационного имени пользователя (логина) и соответствующего этому пользовательском имени — пароля. Установления подлинности пользователя (аутентификация) заключается в проверке истинности его полномочий. Для особо надежного опознания при идентификации и аутентификации пользователя иногда используются специальные технические средства, фиксирующие и распознают индивидуальные физические и лингвистические характеристики человека (голос, отпечатки пальцев, структура зрачки, языковые особенности и т.д.). Однако такие методы требуют значительных затрат, поэтому их используют редко, так что основным и самым массовым средством идентификации остается парольную доступ.

В ряде случаев при необходимости обеспечить высокую степень защиты данных, содержащихся в компьютере, используют также специальные криптографические методы защиты информации (шифрование, цифровая подпись, цифровые водяные знаки и т.д.). При шифровании информации происходит ее обратное преобразование в некоторую кажущуюся случайную последовательность символов, которая называется шифротекстом, или криптограммой. Для создания и работы с криптограммой требуется знание алгоритма и ключа шифрования. Алгоритм шифрования представляет собой последовательность преобразований обрабатываемых данных в соответствии с ключом шифрования, ключ шифрования обеспечивает шифрование и дешифрование информации.

Сегодня все большую популярность приобретает такое криптографическое средство защиты информации, как электронная цифровая подпись (ЭЦП). Такая подпись уже стала достаточно часто используемым способом идентификации и аутентификации пользователя в банковской и других сферах деятельности. Электронная цифровая подпись представляет собой присоединенное к какому-либо тексту его криптографическое (зашифрованное определенным способом) преобразования, что позволяет получателю текста проверить подлинность его авторства и подлинности самого текста. К такому же типу технологической защиты можно отнести и цифровые водяные знаки (англ. Digital watermark), которые сегодня чаще всего используют для предотвращения несанкционированного копирования мультимедийных файлов, как один из эффективных способов защиты авторских прав.

Основные проблемы защиты информации

Личные данные пользователя Сети, прежде чем доходят до конечного пункта, проходят через множество серверов и маршрутизаторов. Передача данных по незащищенным каналам дает мошенникам возможность перехватить или видоизменить первоначальные данные.

Выделяют три основных категории проблем, связанных с защитой данных в Сети:

• нарушение конфиденциальности; 
• искажение информации;
• нарушение исключительных прав на контент.

Под защитой конфиденциальных сведений подразумевается отсутствие доступа к информации у посторонних лиц. Искажение информации происходит путем преобразования исходного сообщения или замены данных другой информацией. Нарушение исключительного права на контент выражается в подмене авторства или использовании информации без соответствующего разрешения.

Киберпреступность и потери организаций

Киберпреступность стала крупнейшим в мире направлением в криминальном мире. Хроника событий в статье:

Киберпреступность в мире

Кибермошенники ежегодно наносят гигантский экономический ущерб отдельным организациям и целым странам:

Потери организаций от киберпреступности

Банки являются крупнейшими целями киберпреступников. Информация о потерях финансовых учреждений вынесена в отдельную статью:

Потери банков от киберпреступности

Часто финансовый ущерб организациям наносят не преступники, а собственные сотрудники, которые воруют, удаляют данные или теряют носители информации за пределами контура организации:

Потери от утечек данных

Система ИБ

Система информационной безопасности для компании – юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.

Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:

• статическое, выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;
• динамическое, подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации.

Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.

Доступность – это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.

Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.

Равные свойства ИБ имеют разную ценность для пользователей, отсюда – две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр – доступность.

Аутентификация и идентификация

Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.

Идентификация – это механизм присвоения собственного уникального имени или образа пользователю, который взаимодействует с информацией. Аутентификация – это система способов проверки совпадения пользователя с тем образом, которому разрешен допуск.

Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль.

Угрозы конфиденциальности информационных ресурсов

Угроза – это возможные или действительные попытки завладеть защищаемыми информационными ресурсами.

Источниками угрозы сохранности конфиденциальных данных являются компании-конкуренты, злоумышленники, органы управления. Цель любой угрозы заключается в том, чтобы повлиять на целостность, полноту и доступность данных.

Угрозы бывают внутренними или внешними. Внешние угрозы представляют собой попытки получить доступ к данным извне и сопровождаются взломом серверов, сетей, аккаунтов работников и считыванием информации из технических каналов утечки (акустическое считывание с помощью жучков, камер, наводки на аппаратные средства, получение виброакустической информации из окон и архитектурных конструкций).

Внутренние угрозы подразумевают неправомерные действия персонала, рабочего отдела или управления фирмы. В результате пользователь системы, который работает с конфиденциальной информацией, может выдать информацию посторонним. На практике такая угроза встречается чаще остальных. Работник может годами «сливать» конкурентам секретные данные. Это легко реализуется, ведь действия авторизованного пользователя администратор безопасности не квалифицирует как угрозу.