Вибір засобів забезпечення безпеки даних і інформаційного захисту

Універсальних рецептів тут немає. Все залежить від тих цілей, які ставить перед собою керівник організації або ІТ-відділу. Можна привести тільки деякі загальні рекомендації. По-перше, витрати на забезпечення інформаційної безпеки не повинні перевищувати вартість об'єкту, що захищається, або величину збитку, який може виникнути унаслідок атаки на об'єкт, що захищається. Основна проблема - правильно оцінити можливу вартість такого збитку.

Залежно від масштабу компанії можна виділити три основні класи мереж:

IECO (International Enterprise Central Office) - центральна мережа міжнародної розподіленої компанії, яка може налічувати сотні і тисячі вузлів;

ROBO (Regional Office / Branch Office) - мережа регіонального філіалу, що налічує декілька десятків або сотень вузлів;

SOHO (Small Office / Home Office), - мережі невеликих філіалів або домашні (мобільні) комп'ютери, що підключаються до центральної мережі.

Можна також виділити три основні сценарії забезпечення інформаційної безпеки для цих класів мереж, що розрізняються різними вимогами по забезпеченню захисту інформації.

При першому сценарії мінімальний рівень захищеності забезпечується за рахунок можливостей, вбудованих в мережеве устаткування, яке встановлене на периметрі мережі (наприклад, в маршрутизаторах). Залежно від масштабів мережі, що захищається, ці можливості (захист від підміни адрес, мінімальна фільтрація трафіку, доступ до устаткування по паролю і т. д.) реалізуються в магістральних маршрутизаторах - наприклад, Cisco 7500 або Nortel BCN, маршрутизаторах регіональних підрозділів - наприклад, Cisco 2500 або Nortel ASN, і маршрутизаторах видаленого доступу - наприклад, Cisco 1600 або 3Com OfficeConnect. Великих додаткових фінансових витрат цей сценарій не вимагає.

Другий сценарій, що забезпечує середній рівень захищеності, реалізується вже за допомогою додатково придбаних засобів захисту, до яких можуть бути віднесені нескладні міжмережеві екрани, системи виявлення атак і т.п. В центральній мережі може бути встановлений міжмережевий екран (наприклад, CheckPoint Firewall-1), на маршрутизаторах можуть бути настроєні прості захисні функції, що забезпечують першу лінію оборони (списки контролю доступу і виявлення деяких атак), весь вхідний трафік перевіряється на наявність вірусів і т.д. Регіональні офіси можуть захищатися простішими моделями міжмережевих екранів. За відсутності в регіонах кваліфікованих фахівців рекомендується встановлювати програмно-апаратні комплекси, керовані централізований і що не вимагають складної процедури введення в експлуатацію (наприклад, CheckPoint VPN-1 Appliance на базі Nokia IP330).

Третій сценарій, що дозволяє досягти максимального рівня захищеності, призначений для серверів e-Commerce, Internet-банків і т.д. В цьому сценарії застосовуються високоефективні і багатофункціональні міжмережеві екрани, сервери аутентифікації, системи виявлення атак і системи аналізу захищеності. Для захисту центрального офісу можуть бути застосовані кластерні комплекси міжмережевих екранів, що забезпечують відмовостійкість і високу доступність мережевих ресурсів (наприклад, CheckPoint VPN-1 Appliance на базі Nokia IP650 або CheckPoint VPN-1 з High Availability Module). Також в кластер можуть бути встановлені системи виявлення атак (наприклад, RealSecure Appliance).

Для виявлення вразливих місць, які можуть бути використані для реалізації атак, можуть бути застосовані системи аналізу захищеності (наприклад, сімейство SAFE-suite компанії Internet Security Systems). Аутентифікація зовнішніх і внутрішніх користувачів здійснюється за допомогою серверів аутентифікації (наприклад, CiscoSecure ACS). Ну і, нарешті, доступ домашніх (мобільних) користувачів до ресурсів центральної і регіональних мереж забезпечується по захищеному VPN-з'єднанню. Віртуальні приватні мережі (Virtual Private Network - VPN) також використовуються для забезпечення захищеної взаємодії центральної і регіональних офісів. Функції VPN можуть бути реалізовані як за допомогою міжмережевих екранів (наприклад, CheckPoint VPN-1), так і за допомогою спеціальних засобів побудови VPN.

Здавалося б, після того, як засоби захисту придбані, всі проблеми знімаються. Проте це не так: придбання засобів захисту - це тільки верхівка айсберга. Мало придбати захисну систему, найголовніше - правильно її упровадити, набудувати і експлуатувати. Тому фінансові витрати тільки на придбанні СЗІ не кінчаються.

Необхідно наперед закласти до бюджету такі позиції, як оновлення програмного забезпечення, підтримку з боку виробника або постачальника і навчання персоналу правилам експлуатації придбаних засобів. Без відповідного оновлення система захисту з часом перестане бути актуальною і не зможе відстежувати нові і витончені способи несанкціонованого доступу в мережу компанії.

Авторизоване навчання і підтримка допоможуть швидко ввести систему захисту в експлуатацію і набудувати її на технологію обробки інформації, прийняту в організації. Зразкова вартість оновлення складає близько 15-20% вартості програмного забезпечення. Вартість річної підтримки з боку виробника, яка, як правило, вже включає оновлення ПЗ, складає близько 20-30% вартості системи захисту. Таким чином, щороку потрібно витрачати не менше 20-30% вартості ПЗ на продовження технічної підтримки засобів захисту інформації.

Стандартний набір засобів комплексного захисту інформації у складі сучасної ІС звичайно містить наступні компоненти:

засоби забезпечення надійного зберігання інформації з використанням технології захисту на файловому рівні (File Encryption System - FES);

засоби авторизації і розмежування доступу до інформаційних ресурсів, а також захист від несанкціонованого доступу до інформації з використанням систем біометричної авторизації і технології токенів (смарт-карти, touch-memory, ключі для USB-портів і т.п.);

засоби захисту від зовнішніх погроз при підключенні до загальнодоступних мереж зв'язку (Internet), а також засобу управління доступом з Internet з використанням технології міжмережевих екранів (Firewall) і змістовної фільтрації (Content Inspection);

засоби захисту від вірусів з використанням спеціалізованих комплексів антивірусної профілактики;

засоби забезпечення конфіденційності, цілісності, доступності і достовірності інформації, що передається по відкритих каналах зв'язку з використанням технології захищених віртуальних приватних мереж (VPN);

засоби забезпечення активного дослідження захищеності інформаційних ресурсів з використанням технології виявлення атак (Intrusion Detection);

засоби забезпечення централізованого управління системою інформаційної безпеки відповідно до узгодженої і затвердженої "Політики безпеки компанії".

Залежно від масштабу діяльності компанії методи і засоби забезпечення ІБ можуть розрізнятися, але будь-який кваліфікований CIO або фахівець IT-служби скаже, що будь-яка проблема у області ІБ не розв'язується односторонньо - завжди потрібен комплексний, інтегральний підхід.

Придбання і підтримка засобів захисту - це не даремна витрата фінансових коштів. Це інвестиції, які при правильному вкладенні окупляться з лишком і дозволять вивести бізнес на бажаний рівень!

 

Підсумки теми

1. При побудові системи захисту необхідно захищатися як від зовнішніх зловмисників, так і від зловмисників внутрішніх, тобто вибудовувати комплексну систему інформаційної безпеки.

2. Система інформаційної безпеки має включати такі заходи і технічні рішення по захисту:

від порушення функціонування інформаційного простору шляхом виключення дії на інформаційні канали і ресурси;

від несанкціонованого доступу до інформації шляхом виявлення і ліквідації спроб використання ресурсів інформаційного простору, що приводять до порушення його цілісності;

від руйнування вбудованих засобів захисту з можливістю доказу неправомочності дій користувачів і обслуговуючого персоналу;

від впровадження "вірусів" і "закладок" в програмні продукти і технічні засоби.

3. Формування політики ІБ повинне зводитися до наступних практичних кроків:

визначення і розробка керівних документів і стандартів у області ІБ, а також основних положень політики ІБ.

розробка методології виявлення і оцінки погроз і ризиків їх здійснення, визначення підходів до управління ризиками: чи є достатнім базовий рівень захищеності або потрібно проводити повний варіант аналізу ризиків.

структуризація контрзаходів по рівнях вимог до безпеки.

порядок сертифікації на відповідність стандартам у області ІБ.

4. Існують три категорії засобів захисту - традиційні засоби, нові технології і засоби криптографічного захисту інформації.

5. Для ефективного захисту автоматизованої системи організації необхідно вирішити ряд організаційних завдань:

створити спеціальний підрозділ, що забезпечує розробку правил експлуатації корпоративної інформаційної системи, який визначає повноваження користувачів по доступу до ресурсів цієї системи і що здійснює адміністративну підтримку засобів захисту (правильну настройку, контроль і оперативне реагування на сигнали, що поступають, про порушення встановлених правил доступу, аналіз журналів реєстрації подій безпеки і т. п.);

розробити технологію забезпечення інформаційної безпеки, що передбачає порядок взаємодії підрозділів організації із питань безпеки при експлуатації автоматизованої системи і модернізації її програмних і апаратних засобів;

упровадити технологію захисту інформації і КІС шляхом розробки і затвердження необхідних нормативно-методичних і організаційно-розпорядливих документів (концепцій, положень, інструкцій і т.п.), а також організувати навчання всіх співробітників, що є адміністраторами і користувачами КІС.

6. Стандартний набір засобів комплексного захисту інформації у складі сучасної ІС звичайно містить наступні компоненти:

засоби забезпечення надійного зберігання інформації з використанням технології захисту на файловому рівні (File Encryption System - FES);

засоби авторизації і розмежування доступу до інформаційних ресурсів, а також захист від несанкціонованого доступу до інформації з використанням систем біометричної авторизації і технології токенів (смарт-карти, touch-memory, ключі для USB-портів і т.п.);

засоби захисту від зовнішніх погроз при підключенні до загальнодоступних мереж зв'язку (Internet), а також засобу управління доступом з Internet з використанням технології міжмережевих екранів (Firewall) і змістовної фільтрації (Content Inspection);

засоби захисту від вірусів з використанням спеціалізованих комплексів антивірусної профілактики;

засоби забезпечення конфіденційності, цілісності, доступності і достовірності інформації, що передається по відкритих каналах зв'язку з використанням технології захищених віртуальних приватних мереж (VPN);

засоби забезпечення активного дослідження захищеності інформаційних ресурсів з використанням технології виявлення атак (Intrusion Detection);

засоби забезпечення централізованого управління системою інформаційної безпеки відповідно до узгодженої і затвердженої "Політики безпеки компанії".

Питання для самоперевірки

1. Хто розробляє стратегію інформаційної безпеки і захисту управлінської інформації?

2. Які сучасні засоби захисту інформації застосовуються в корпоративних інформаційних системах?

3. Що включає поняття "модель інформаційної безпеки підприємства"?

4. Перерахуйте зовнішні і внутрішні погрози для інформаційних потоків і систем компанії.

5. Що таке "політика інформаційної безпеки" і які елементи вона містить?

6. Перерахуйте ключові питання забезпечення інформаційної безпеки.

7. Які програмно-апаратні засоби застосовуються при забезпеченні інформаційної безпеки підприємства?