Глава 15. Защита информации в корпоративных системах

Цели и задачи корпоративной системы информационной безопасности

Главной целью любой системы обеспечения информационной безопасности является обеспечение устойчивого функционирования предприятия, предотвращение угроз его безопасности, защита законных интересов предприятия от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной торговой и производственной деятельности всех подразделений предприятия.

Еще одной целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.

Основными задачами любой системы информационной безопасности предприятия являются:

· отнесение информации к категории ограниченного доступа (служебной или коммерческой тайне);

· прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

· создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

· создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

· создание условий для максимально возможного возмещения и локализаций ущерба, наносимого неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения информационной безопасности на достижение стратегических целей.

Политики информационной безопасности

Основные понятия политик безопасности

Политика информационной безопасности компании – это формальное изложение правил поведения лиц, получающих доступ к конфиденциальным данным в корпоративной информационной системе. При этом различают:

· общую стратегическую политику безопасности компании, взаимоувязанную со стратегией развития бизнеса и информационно-технологической стратегией компании;

· частные тактические политики безопасности, детально описывающие правила безопасности при работе с соответствующими информационно-технологическими системами и службами компании.

В соответствии с рекомендациями ведущих международных стандартов в области планирования информационной безопасности и управления ею политики безопасности должны содержать следующее:

· предмет, основные цели и задачи политики безопасности;

· условия применения политики безопасности и возможные ограничения;

· описание позиции руководства компании в отношении выполнения политики безопасности и организации режима информационной безопасности компании в целом;

· права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности компании;

· порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности.

Актуальность разработки политик безопасности для отечественных компаний и организаций объясняется необходимостью формирования основ планирования информационной безопасности и управления ею на современном этапе. В настоящее время большинством российских компаний определены следующие приоритетные задачи развития и совершенствования своей деятельности:

· минимизация рисков бизнеса путем защиты своих интересов в информационной сфере;

· обеспечение безопасного, доверенного и адекватного управления предприятием;

· планирование и поддержка непрерывности бизнеса;

· повышение качества деятельности по обеспечению информационной безопасности;

· снижение издержек и повышение эффективности инвестиций в информационную безопасность;

· повышение уровня доверия к компании со стороны акционеров, партнеров, уполномоченных государственных органов и др.

Успешное выполнение перечисленных задач проблематично. Это связано с. возрастающей необходимостью повышения уровня информационной безопасности и недостаточной проработанностью политик информационной безопасности в отечественных компаниях.

При разработке политик безопасности важно иметь в виду:

· для достижения разумного баланса между стоимостью и эффективностью разрабатываемых правил политик безопасности необходимо учитывать в равной мере нормативные, экономические, технологические, технические и организационно-управленческие аспекты планирования информационной безопасности и управления ею;

· политики безопасности российских компаний не должны противоречить отечественной нормативной базе в области защиты информации в автоматизированных системах на территории РФ;

· при создании политик безопасности желательно учесть текущие реформы действующей Государственной системы стандартизации;

· при отражении в политиках безопасности нормативного аспекта рекомендуется следовать требованиям новой российской национальной системы стандартизации. Следование этим требованиям позволит устранить существующие технические барьеры для отечественных компаний в торговле и обеспечения конкурентоспособности продукции;

· использование в политиках безопасности современных подходов и принципов обеспечения информационной безопасности, основанных на лучшем мировом и отечественном опыте. Это позволит выработать концептуальную схему обеспечения информационной безопасности, а также требуемые модели постановки проблем в области управления информационной безопасностью и предложить разумно достаточные решения этих проблем;

· при отражении в разрабатываемых политиках безопасности отечественных компаний экономического подхода к планированию информационной безопасности и управлению ею на основе концепции управления рисками рекомендуется обратить внимание на методы прикладного информационного анализа; расчета потребительского индекса; расчета добавленной экономической стоимости; определения исходной экономической стоимости; управления портфелем активов; оценки действительных возможностей; поддержки жизненного цикла искусственных систем; расчета системы сбалансированных показателей; расчета совокупной стоимости владения; функционально-стоимостного анализа;

· при разработке детальных технических политик безопасности следует определить техническую архитектуру корпоративных систем защиты конфиденциальной информации компаний, в частности: определить цели создания технической архитектуры корпоративной системы защиты информации; разработать эффективную систему обеспечения информационной безопасности на основе управления информационными рисками; рассчитать совокупности детализированных показателей для оценки соответствия информационной безопасности заявленным целям; выбрать требуемый инструментарий обеспечения информационной безопасности и оценки ее текущего состояния; реализовать требуемые методики мониторинга и управления информационной безопасностью;

· политики безопасности должны представлять собой законченные нормативные документы, содержащие единые нормы и требования по обеспечению информационной безопасности, обязательные для утверждения и применения соответствующими органами управления, руководством служб безопасности, руководством служб информационно-технологического обеспечения отечественных компаний.

Современный рынок средств защиты информации можно условно разделить на две группы:

· средства защиты для государственных структур, позволяющие выполнить требования нормативно-правовых документов (федеральных законов, указов Президента РФ, постановлений Правительства РФ), а также требования нормативно-технических документов(государственных стандартов, руководящих документов Гостехкомиссии (ФСТЭК) России, силовых ведомств РФ;

· средства защиты для коммерческих компаний и структур, позволяющие выполнить требования и рекомендации федеральных законов, указов Президента РФ, постановлений Правительства РФ и некоторых международных стандартов.

Например, к защите конфиденциальной информации в органах исполнительной власти могут предъявляться следующие требования.

1. Выбор конкретного способа подключения к сети Интернет, в совокупности обеспечивающего межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для сокрытия структуры внутренней сети, а также проведение анализа защищенности интернет-узла, использование средств антивирусной защиты и централизованное управление, должны производиться на основании действующих рекомендаций Гостехкомиссии РФ.

2. Автоматизированные системы организации должны обеспечивать защиту информации от несанкционированного доступа в соответствии с действующим руководящим документом Гостехкомиссии РФ.

3. Средства вычислительной техники, программные средства автоматизированных систем должны удовлетворять требованиям действующего руководящего документа Гостехкомиссии РФ.

4. Программно-аппаратные средства межсетевого экранирования, применяемые для изоляции корпоративной сети от сетей общего пользования, должны удовлетворять требованиям действующего руководящего документа Гостехкомиссии РФ.

5. Информационные системы должны удовлетворять требованиям действующего ГОСТ по защищенности информационных систем в рамках заданных профилей защиты.

6. Программно-аппаратные средства криптографической защиты конфиденциальной информации, в том числе используемые для создания виртуальных защищенных сетей - Virtual Private Network (VPN), должны быть легитимны (т.е. соответствовать действующему законодательству).

7. Обязательным является использование средств электронно-цифровой подписи (ЭЦП) для подтверждения подлинности документов.

8. Для использования персональных цифровых сертификатов и поддержки инфраструктуры открытых ключей, средств ЭЦП и шифрования необходимо создать легитимный удостоверяющий центр (систему удостоверяющих центров).

9. Политика информационной безопасности должна предусматривать обязательное включение в технические задания на создание коммуникационных и информационных систем требований информационной безопасности.

10. Должен быть регламентирован порядок ввода в эксплуатацию новых информационных систем, их аттестации по требованиям информационной безопасности.

Для выполнения перечисленных требований и надлежащей защиты конфиденциальной информации в госструктурах принято использовать сертифицированные средства, например, средства защиты от несанкционированного доступа, межсетевые экраны и пр.

Средства защиты информации для коммерческих структур более многообразны и включают в себя средства:

· управления обновлениями программных компонент;

· межсетевого экранирования;

· построения VPN;

· контроля доступа;

· обнаружения вторжений и аномалий;

· резервного копирования и архивирования;

· централизованного управления безопасностью;

· контроля деятельности сотрудников в сети Интернет;

· анализа содержимого почтовых сообщений;

· анализа защищенности информационных систем;

· защиты от спама;

· защиты от атак класса «отказ в обслуживании»;

· контроля целостности;

· инфраструктуры открытых ключей и пр.

Можно привести следующую краткую характеристику основных средств защиты информации.

1. Средства управления обновлениями.

Внедрение средств управления обновлениями программных компонент автоматизированных систем, например Microsoft Software Update Services, позволяет уменьшить объем интернет-трафика предприятия в целом, так как становится возможным организовать и контролировать необходимые обновления программных компонент автоматизированных систем предприятия с одной точки – выделенного внутреннего сервера. При этом предприятие получает следующие преимущества:

· уменьшаются расходы по оплате трафика;

· увеличивается надежность функционирования программных компонент;

· уменьшается время на техническую поддержку и сопровождение программных компонент;

· повышается защищенность автоматизированной системы в целом, в частности уменьшается количество инцидентов, связанных с вирусами.

2. Средства межсетевого экранирования.

Межсетевые экраны используются как средства защиты от несанкционированного доступа периметра сети и основных критичных компонент автоматизированных систем. Межсетевые экраны позволяют организовать защиту на уровне доступа к компонентам и сети в целом, на сетевом уровне (контроль IP-адресов), на транспортном уровне и на прикладном уровне.

3. Средства построения VPN.

Средства построения виртуальных частных сетей (VPN) используются для организации защиты трафика данных, передаваемых по открытым каналам связи. При этом защита организуется на физическом уровне (защита кабелей, экранизация наводок), на сетевом уровне (например, шифрование трафика от компьютера до компьютера на основе протокола IPsec), на транспортном уровне (например, шифрование данных, передаваемых одним приложением другому приложению на другом компьютере, на основе протокола SSL) на прикладном уровне (например, шифрование данных самостоятельно приложением).

4. Средства контроля доступа.

Данные средства осуществляют аутентификацию (точное опознание) подключающихся к автоматизированным системам (АС) пользователей и процессов, авторизацию (наделение определенными полномочиями) пользователей и процессов, регламентируя доступ множества пользователей к приложениям и информационным ресурсам предприятия.

5. Средства обнаружения вторжений и аномалий.

Средства обнаружения вторжений (Intrusion Detection Systems, IDS) позволяют с помощью некоторого регламента проверок контролировать состояние безопасности корпоративной сети в реальном масштабе времени. Это программные или аппаратные средства, предназначенные для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения.

6. Средства резервного копирования и архивирования.

Средства резервного копирования и архивирования применяются для обеспечения целостности хранилищ в случаях аппаратных и программных сбоев, ошибочных действий администраторов и пользователей, а также отказов средств вычислительной техники.

7. Средства централизованного управления безопасностью.

Средства централизованного управления информационной безопасностью позволяют эффективно создавать, проверять и поддерживать технические политики безопасности программных компонент автоматизированной системы.

8. Средства предотвращения вторжений на уровне серверов.

Так как серверы компании обычно являются основной целью атак злоумышленников (на них обрабатывается основная часть конфиденциальной информации компании), то необходимо использовать средства предотвращения вторжений на уровне серверов.

9. Средства мониторинга безопасности.

Большое количество средств обеспечения информационной безопасности (межсетевые экраны, системы обнаружения вторжений, маршрутизаторы, средства создания виртуальных частных сетей, журналы безопасности серверов, системы аутентификации, средства антивирусной защиты и т.д.) генерирует огромное количество сообщений. Для успешного мониторинга и управления этими средствами рекомендуется использовать соответствующие средства аудита безопасности.

10. Средства контроля деятельности сотрудников в Интернете.

В настоящее время одной из серьезных проблем в работе отечественных служб безопасности является предотвращение попыток использования интернет-ресурсов компании в личных целях (загрузка видео, аудио, картинок, нелицензированного программного обеспечения). Нецелевое использование Интернета приводит к потере продуктивности сотрудников компании приблизительно на 30-40%.

Для предупрежден6ия подобных действий рекомендуется применять соответствующие средства, например Websense, которые позволяют анализировать и формировать отчеты по использованию сотрудниками компании ресурсов Интернета и программного обеспечения на рабочих местах, а также проводить анализ сетевой активности и пропускной способности сети компании в целом.

11. Средства анализа содержимого почтовых сообщений.

Средства анализа содержимого почтовых сообщений предназначены для обнаружения и предотвращения передачи конфиденциальной информации с помощью корпоративной электронной почты.

12. Средства анализа защищенности.

Анализ защищенности АС является одним из ключевых аспектов построения надежной системы обеспечения информационной безопасности предприятия и основан на применении сканеров безопасности.

Основной особенностью наиболее продаваемых и используемых коммерческих сканеров является возможность как минимум еженедельно обновлять базы данных уязвимостей путем взаимодействия с крупнейшими центрами по сбору новых уязвимостей и с ведущими производителями сетевого оборудования и программного обеспечения.

13. Средства защиты от спама.

Спам наносит предприятию значительный ущерб. Приходится тратить время на просмотр и удаление таких сообщений. Спам также содержит вирусы, программы-шпионы и пр. Для предотвращения получения сотрудниками сообщений, содержащих спам, можно воспользоваться одним из продуктов следующих фирм: Symantec (использует технологию фирмы Brightmail), Trend Micro (использует технологию фирмы Postini) или «Лаборатории Касперского».

14. Средства защиты от атак класса «отказ в обслуживании».

В связи с тем, что атаки класса «отказ в обслуживании» приносят значительные убытки отечественным и западным компаниям, можно воспользоваться специальными средствами защиты, например продуктами компании Cisco Systems.

15. Средства контроля целостности.

Внесение некорректного изменения в конфигурацию сервера или маршрутизатора может привести к выходу из строя необходимого сервиса или целой сети. Очень важно предупредить и отследить несанкционированные изменения. Для быстрого реагирования на такую ситуацию нужно иметь средство отслеживания всех производимых изменений. Данную возможность предоставляет, например, серия продуктов компании Tripwire.

16. Средства инфраструктуры открытых ключей.

Внедрение инфраструктуры открытых ключей очень трудоемкая задача, требующая тщательной проработки и анализа. При решении этой задачи можно воспользоваться продуктами компании RSA Security (Keon) и отечественной компании «КриптоПро» («Криптопровайдер»).