Средства защиты информации

Содержание

Средства защиты информации

В отличие от методов — средства защиты информации рассматривают более узкие области ответственности. Они разделяются на работу с материальными, информационными, трудовыми ресурсами.

Физические

Физические методы крайне схожи с созданием препятствий как общего принципа действия.

Однако существует конкретизация разделения принимаемых мер.

  1. Для предотвращения доступа и одновременного обеспечения безопасности персонала физические методы заключены в разработке путей эвакуации, установке специальных противопожарных дверей, систем оконного заграждения.
  2. С целью контроля доступа в помещения используются идентификаторы трудовой единицы.
  3. Предусматривается установка надежных противопожарных систем для предотвращения потерь данных вследствие пожара.

Физические защитные методы предусматривают контроль периметра, обеспечение бесперебойного питания оборудования, работу систем оповещения.

Система защиты серверной комнаты в случае пожара

Или же систем пожаротушения.

Психологические

Психологические средства расширяют методики побуждения. Они заключены не только в формировании личной заинтересованности и положительной мотивации.

В комплекс психологических мер включается карьерная лестница, создание социальных лифтов, сетки поощрений.

Восхождение на карьерную лестницу

Хорошие результаты приносит и организация хорошего отдыха персонала, например, корпоративные путевки на курорты, тематические экскурсии, туры выходных дней для укрепления морали и сплоченности коллектива.

Организационные

Организационные методы защиты информации — это своеобразный сплав из управления, принуждения, регламентации.

В список включается:

  • разработка инструкций, касающихся проведения тех или иных процедур работы с данными;
  • формирование общих должностных инструкций;
  • разработка системы наказаний, норм ответственности за нарушения;
  • реализация мер, призванных повысить уровень знаний и умений персонала.

Реализация организационных методов защиты позволяет добиться полного умения работников обращаться с информацией, выполнять нормированный список обязанностей, четко осознавать возможные последствия тех или иных нарушений.

Законодательные

Правовые методы защиты информации описывают множество вариантов поведения людей или организации в целом при обращении с теми или иными данными. В частности, самым знакомым среднестатистическому гражданину — является процесс хранения личных сведений.

Иные механики обращения — приняты в компьютерных системах. В частности, пароль доступа является секретным и известным только конкретному пользователю, не может разглашаться, так далее.

Правовые методы защиты могут регламентироваться как законами государства, так и формироваться в пределах оказания отдельной услуги или на время выполнения договора. В этом случае конкретный список прав, разрешений, запрещенных действий — утверждается документально.

Заключение коллективного договора

Аналогичный процесс может реализовываться в разрезе предприятия или компании. Утверждающими документами при этом является коллективный договор, договор подряда, должностные инструкции.

Базовый закон о защите информации

Основным законом о безопасной информации в России является документ, датированный 27.07.2006 года, зарегистрированный под номером 149-ФЗ. В законе представлены главные понятия, важные для защиты информации.

Законопроект определяет отношения и права, которые появляются, когда:

  • происходят поиск, получение или предоставление, передача данных другим лицам;
  • осуществляется использование информационных технологий;
  • обеспечивается защита сведений.

Среди основных понятий, зафиксированных в законе, фигурируют следующие:

  • Информация – данные, которые могут принимать любой формат и выражение.
  • Информационные технологии – методики поиска, сбора и варианты обеспечения сохранности, работы, распространения данных.
  • Обладающий информацией – автор информации или тот, кому ее передали на законных основаниях. Данные призваны обеспечить обработку технологий и техсредств.
  • Атака на компьютеры, объединенные в одну систему, – действие, которое подготовил, спланировал и осуществил злоумышленник, чтобы найти уязвимое место в сети. Завершиться атака может угрозой безопасности информации. Атаку на компьютеры может предотвратить оператор.
  • Оператор системы информации – физическое или юридическое лицо, обеспечивающее применение данных, их обработку, но только если сведения указаны в базах данных.

Задачи оператора информационной системы, зафиксированные в законопроектах РФ, следующие:

  • доступ к ней других лиц может быть только санкционированным;
  • специалист отвечает за обеспечение безопасности информации путем своевременного обнаружения мошеннических действий;
  • эксперту предстоит предупреждать отрицательные последствия относительно нарушенного порядка использования данных;
  • оператор системы защиты, в том числе, отслеживает и не допускает влияния на технические средства, отвечающие за обработку сведений, из-за которого они неверно работают.

Задачи по защите информации

Информация имеет свойства, изменение которых приводит к утрате ее ценности. В законодательстве об охране данных к ним относят:

  • конфиденциальность – недоступность третьим лицам;
  • целостность или неизменность предполагает, что изменить данные могут только лица, имеющие допуск;
  • доступность означает, что необходимые данные будут в распоряжении пользователя, доступ к информации не будет ограничен из-за аппаратных проблем или вирусов-шифровальщиков.

Дополнительно выделяется свойство достоверности. Оно рассматривается как точность и правильность, и задача IТ-специалиста – повысить достоверность данных различными методами.

Это реализуется следующими способами:

  • Информационный выражается в добавлении контрольных разрядов (дополнительного бита данных, превращающего 8-битный код в 9-битный), что позволяет проверить точность данных, и в добавлении дополнительных операций обработки данных. Это позволяет обнаружить и устранить ошибки в данных.
  • Временный. Процедуры контроля применяются не единожды, а несколько раз на протяжении определенного времени.
  • Структурный. Создание резервного хранилища данных, структурный сквозной контроль, реализуемый на всех этапах обработки информации и позволяющий найти ошибку на наиболее ранних этапах.  

Меры защиты информации в АИС применяются и ко всему объему данных, обрабатываемых в организации, и к отдельным блокам, отличающимся по степени ценности данных. 

Средства межсетевого экранирования

Эти СЗИ защищают корпоративную сеть от попыток проникновения. Иногда их называют также файрволами или брандмауэрами. Грубо говоря, это действительно стена, которая, как предполагается, сможет остановить злоумышленников. Вот примеры:

  • TrustAccess. Может разделить локальную сеть на сегменты для защиты информации, разграничить доступ к информационным системам на сетевом уровне. Кроме того, здесь есть собственный механизм аутентификации, обеспечивающий защиту от прослушивания, попыток подбора и перехвата паролей.
  • «Континент». Это несколько продуктов, которые умеют, например, объединять несколько филиалов организации в виртуальную частную сеть и организовывать защищенный удаленный доступ в корпоративную сеть. Поддерживается множество операционных систем. Например, Windows, Linux и Android.

Организация технической защиты информации на предприятии

Для создания эффективной системы защиты конфиденциальной информации необходимо действовать продуманно и последовательно. Процесс состоит из нескольких этапов:

  1. Всесторонний анализ имеющихся информационных ресурсов.
  2. Выбор концепции информационной безопасности, соответствующей специфике и особенностям используемых данных.
  3. Внедрение средств защиты.
  4. Разработка организационных мер защиты данных, соответствующих специфике компании.

Все принимаемые меры должны соответствовать действующим законодательным нормам, иначе возникнут конфликты правового характера. В этом отношении сотрудникам ИБ-службы необходимо постоянно сверяться с нормами и требованиями ФСТЭК и статей закона ФЗ-149, чтобы не допустить нарушений и не втянуть предприятие в судебные разбирательства. Правовая основа должна быть базой, на которой строится вся система защиты информации на предприятии.

Важным этапом является изучение рисков и определение источников опасности. От этого зависит эффективность системы защиты информации. Если все возможные угрозы правильно определены, опасность утечки данных снижается до минимальных значений. Необходимо выполнить следующие действия:

  • составить перечень всех устройств, содержащих конфиденциальную информацию. Кроме этого, учесть все действующие и резервные каналы связи, как проводные, так и сетевые;
  • определить наиболее ответственные участки, разграничить доступ в помещения, установить систему контроля за перемещением сотрудников и посторонних лиц;
  • используя результаты анализа, рассчитать величину ущерба, определить последствия несанкционированного доступа и мошеннического использования информации;
  • составить перечень документов и информационных массивов, подлежащих первоочередной защите. Установить уровень допуска и составить списки доверенных пользователей;
  • создать службу информационной безопасности, которая является отдельным подразделением и, помимо специалистов по безопасности, включает системных администраторов и программистов.

Если у компании нет ресурсов и времени для создания собственной ИБ-службы, можно передать ее задачи на аутсорсинг. Что это такое?  

Основными задачами ИБ-службы являются:

  • общая техническая защита информации;
  • исключение доступа и несанкционированного использования конфиденциальных данных;
  • обеспечение целостности информационных массивов, в том числе при возникновении чрезвычайных ситуаций (пожары, стихийные бедствия).

Методы, используемые для технической защиты информации, должны соответствовать специфике предприятия. Среди них можно выделить наиболее эффективные мероприятия:

  • криптографическая защита информации (шифрование);
  • использование электронной подписи для подтверждения авторства доверенного пользователя; 
  • резервное копирование баз данных и операционных систем;
  • создание системы паролей для идентификации и аутентификации сотрудников;
  • контроль событий, происходящих в информационной системе. Фиксация попыток входа и выхода, действий с файлами;
  • применение смарт-карт, электронных ключей в рамках системы допусков и ограничения перемещений работников;
  • установка и использование на компьютерах межсетевых экранов (файрволов).

Кроме этих мер необходимо ввести процедуру проверки и тестирования сотрудников с высоким уровнем допуска. Рекомендуется присутствие ИБ-сотрудника в помещениях, где производится обработка конфиденциальных данных.

Классификация безопасности информационных систем

Принятые по международной классификации уровни безопасности можно описать простыми словами, на знакомых среднестатистическому пользователю примерах.

  1. Уровень D — нулевая безопасность, при которой каждый пользователь получает полный доступ к данным любой степени значимости. Как пример — можно упомянуть читальный зал библиотеки.
  2. Уровень С — система с ранжированием доступа. Формируется полный и частичный объем данных, к которым могут обращаться группы пользователей. Для идентификации используется парольная система. В зависимости от сложности, уровень С может содержать самый разный механизм контроля, в том числе — с делегированием ответственности.
  3. Уровень В типичен для большинства крупных систем. Здесь ведется полная статистика запросов, сформированных потоков данных, действий пользователей. В ходу развернутая система идентификации и регулирования прав, с полным мониторингом происходящего и делегированием ответственности. Хранимая информация резервируется, предусматривается дублирование функционала системы, отслеживание и блокировка внешних атак.

Высший класс А — относится к сертифицированным системам, соответствующих требованиям безопасности, связанным с определенными сферами применения. Четкой регламентации особенностей подобных структур попросту не существует. Кроме этого, свод требований может зависеть от законодательных норм и принятых правил обмена информацией конкретного государства.

Категории и группы охраняемых сведений и объектов

Для эффективного обеспечения информационной безопасности предприятия необходим тщательный анализ имеющихся информационных ресурсов. 

Должна быть проведена сортировка данных и разбивка на категории:

  • 1 категория – информация, от которой зависит существование организации, экономическая или структурная самостоятельность;
  • 2 категория – данные, утрата которых повлечет серьезные финансовые и репутационные потери;
  • 3 категория – сведения, имеющие ценность для финансового состояния организации. 

Кроме этого, все имеющиеся данные могут быть поделены на две группы:

1. Сведения, предназначенные только для внутреннего использования в пределах данной организации;

2. Информация, полученная со стороны или предназначенная для передачи другим пользователям.

Учитывая это, для имеющейся информации могут быть определены шесть уровней конфиденциальности – три уровня для группы 1 (внутренние документы) и три уровня для группы 2 (сведения для передачи другим лицам). Такая разбивка позволит ограничить круг доверенных пользователей, получивших допуск к информации высокого уровня конфиденциальности.

Вводится три режима доступа к конфиденциальной информации:

  • 1-й устанавливается для менеджмента предприятия (организации) и обеспечивает полный доступ к любым имеющимся сведениям;
  • 2-й действует для руководителей подразделений, отделов или служб. Он обеспечивает допуск к информации, необходимой этим сотрудникам по роду деятельности;
  • 3-й устанавливается для специалистов (рядовых сотрудников), которые допускаются к определенным базам данных для исполнения своих обязанностей.

Подобное разграничение помогает отсечь от массивов данных сотрудников, чья компетенция не позволяет производить использование или обработку конфиденциальных сведений.

Также необходимо проведение работ по защите объектов информатизации. Под этим термином понимается связка – помещение и определенный объем данных, находящихся в нем. 

Все объекты необходимо рассортировать по степени конфиденциальности данных, а также по уровню сложности физического доступа к ним сотрудников и посторонних лиц. 

Объекты делят на два класса: 

  • Класс А означает полное скрытие сигналов, свидетельствующих о работе с информацией.
  • Класс В означает частичное скрытие (недоступность параметров обработки) работ с базами данных.

Необходимо учитывать, что организация инженерно-технической защиты информации требует значительных финансовых вложений. Процесс разработки и запуска системы требует приобретения оборудования, подготовки сотрудников службы ИБ, устройства комплексов наблюдения, идентификации. Для того чтобы получить эффективную систему защиты конфиденциальной информации, следует заранее взвесить свои возможности и выделить определенную сумму. По мере развития предприятия оснащенность службы безопасности можно увеличить, расширить ее возможности.

Аутентификация и идентификация

Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.

Идентификация – это механизм присвоения собственного уникального имени или образа пользователю, который взаимодействует с информацией. Аутентификация – это система способов проверки совпадения пользователя с тем образом, которому разрешен допуск.

Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль.

Комплекс мероприятий для снижения риска утечки данных

Американская программа TEMPEST предложила комплекс решений для снижения риска перехвата данных путем использования побочных электромагнитных излучений и наводок. При защите одновременно реализуется два механизма:

  • устанавливается система ограниченного доступа к информационной системе, компьютерному оборудованию, помещениям, где оно находится;
  • разрабатывается механизм исключения или затруднения получения технических, преобразуемых в информацию данных разведками.

Комплекс средств для защиты информации от утечки по каналам ПЭМИН делится на активные и пассивные механизмы. Нецелесообразно внедрять их в качестве реакции на угрозу, когда утечка уже произошла. Предварительно требуется составить план мероприятий, в котором будут учтены все возможные каналы и угрозы, уже реализованные злоумышленниками и гипотетические. При разработке плана мероприятий отдельно рассматриваются:

  • способы выявления побочных электромагнитных излучений и наводок;
  • организационные меры борьбы;
  • защита электромагнитного поля;
  • меры защиты компьютерного оборудования;
  • меры защиты линий связи.

Организационные меры реализуются в любом случае, меры защиты ПЭВМ и линий связи — исходя из результатов аудита безопасности.

Этапы создания и обеспечения системы защиты информации

На практике создание системы защиты информации осуществляется в три этапа.

На первом этапе разрабатывается базовая модель системы, которая будет функционировать в компании. Для этого необходимо проанализировать все виды данных, которые циркулируют в фирме и которые нужно защитить от посягательств со стороны третьих лиц. Планом работы на начальном этапе являются четыре вопроса:

  1. Какиеисточники информации следует защитить?
  2. Какова цельполучения доступа к защищаемой информации?

Целью может быть ознакомление, изменение, модификация или уничтожение данных. Каждое действие является противоправным, если его выполняет злоумышленник. Ознакомление не приводит к разрушению структуры данных, а модификация и уничтожение приводят к частичной или полной потере информации.

  1. Что являетсяисточником конфиденциальной информации?

Источники в данном случае это люди и информационные ресурсы: документы, флеш-носители, публикации, продукция, компьютерные системы, средства обеспечения трудовой деятельности.

  1. Способы получения доступа, и как защититься от несанкционированных попыток воздействия на систему?

Различают следующие способы получения доступа:

Несанкционированный доступ – незаконное использование данных;

Утечка – неконтролируемое распространение информации за пределы корпоративной сети. Утечка возникает из-за недочетов, слабых сторон технического канала системы безопасности;

Разглашение – следствие воздействия человеческого фактора

Санкционированные пользователи могут разглашать информацию, чтобы передать конкурентам, или по неосторожности.

Второй этап включает разработку системы защиты. Это означает реализовать все выбранные способы, средства и направления защиты данных.

Система строится сразу по нескольким направлениям защиты, на нескольких уровнях, которые взаимодействуют друг с другом для обеспечения надежного контроля информации.

Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции. Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.

Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и физическими носителями данных.

Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа. Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.

Технический уровень условно разделяют на физический, аппаратный, программный и математический подуровни.

  • физический – создание преград вокруг защищаемого объекта: охранные системы, зашумление, укрепление архитектурных конструкций;
  • аппаратный – установка технических средств: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей;
  • программный – установка программной оболочки системы защиты, внедрение правила разграничения доступа и тестирование работы;
  • математический – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.

Третий, завершающий этап – это поддержка работоспособности системы, регулярный контроль и управление рисками

Важно, чтобы модуль защиты отличался гибкостью и позволял администратору безопасности быстро совершенствовать систему при обнаружении новых потенциальных угроз

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Как предотвратить разглашение конфиденциальной информации контрагентами?

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Средства обнаружения и предотвращения вторжений

Эти СЗИ мониторят и анализируют множество данных в корпоративной сети, чтобы вовремя обнаружить факт несанкционированного доступа. Примеры:

  • ViPNet IDS. Здесь вторжения в сеть обнаруживаются с помощью динамического анализа сетевого и прикладного трафика стека протоколов TCP/IP. У ViPNet IDS есть сертификат ФСТЭК России и сертификаты ФСБ России.
  • «Рубикон». Подходящее решение, если нет ресурсов для профессиональной настройки. Интерфейс понятен и не требует глубоких знаний. Есть маршрутизатор с поддержкой мандатных меток, возможность построения однонаправленных шлюзов и многое другое.

Для чего предпринимаются попытки доступа к чужой информации

Основная цель несанкционированного доступа к информации – получение дохода от использования чужих данных. 

Возможные способы использования полученных сведений:

  • перепродажа третьим лицам;
  • подделка или уничтожение (например, при получении доступа к базам должников, подследственных, разыскиваемых лиц и т. п.);
  • использование чужих технологий (промышленный шпионаж);
  • получение банковских реквизитов, финансовой документации для незаконных операций (например, обналичивания денег через чужой счет);
  • изменение данных с целью навредить имиджу компании (незаконная конкуренция).

Конфиденциальная информация представляет собой эквивалент денежных средств. При этом для самого владельца сведения могут ничего не значить. Однако ситуация постоянно меняется, и данные могут внезапно приобрести большое значение, и этот факт потребует их надежной защиты.

Вы знаете, сколько конфиденциальных документов хранится в файловой системе вашей компании? Проведите быстрый и точный аудит с помощью «СёрчИнформ FileAuditor». 

Организация работы по созданию и внедрению Концепции

Внутренний аудит подключается к задаче оценки Концепции на одном из завершающих этапов, а его подготовка ведется департаментами ИТ и безопасности под руководством одного из заместителей директора или членов правления. Он должен отличаться достаточным уровнем компетенции и властных полномочий. Существуют государственные стандарты, описывающие подготовку технического задания при создании Концепции. Следование им сократит срок работы, так как большинство регламентов уже создано.

Руководитель проекта при подготовке основополагающего документа, содержащего основные принципы технического обеспечения информационной безопасности предприятия, определяет исполнителей, сроки и бюджет проведения мероприятий:

  • назначение ответственных лиц, распределение ролей, подготовку поручений по разработке стратегии;
  • разработка, согласование документов организационного характера: методик и регламентов, регулирующих поведение пользователей, – от правил работы с текстовыми документами до регламентов использования съемных носителей;
  • обучение пользователей и технического персонала, подготовка к внедрению новых мер безопасности и необходимости обслуживания новой модели системы безопасности;
  • проектирование и развертывание новой архитектуры системы, ее внедрение на предприятии;
  • аудит внедренной модели, анализ результатов, доработка после внедрения.

Реализация процесса по четырехзвенному механизму – разработка, внедрение, анализ, доработка, помогает повысить работоспособность системы защиты уже на ранних этапах. Частные компании могут обойтись без официальных приемочных испытаний, а вот для ГИС они необходимы. 

Техническое обеспечение информационной безопасности предприятия после его внедрения призвано решить следующие задачи:

  • защита периметра сетей от несанкционированных внешних вторжений и подключений. В этих целях применяются маршрутизаторы, брандмауэры, контроль удаленного доступа;
  • защита серверов компании от НСД, как внешнего, так и инсайдерского, за счет внедрения систем аутентификации и модели дифференцированного доступа;
  • комплексная антивирусная защита, при реализации которой решается задача защиты серверов, рабочих станций пользователей, внешнего шлюза, соединяющего с Интернетом;
  • организация системы мониторинга уязвимостей и реакции на них, мгновенно оповещающей системных администраторов об угрозах. ПО, используемое для мониторинга, должно обновляться таким образом, чтобы выявлять новые угрозы;
  • защита приложений и сервисов, устранение угрозы их сбоя и остановки реализации бизнес-процессов;
  • защита межсетевых взаимодействий, выделение отдельных зон для запуска значимых процессов.

Аудит должен проверить выполнение всех требований и подготовить доклад с рекомендациями по дальнейшему улучшению системы.

Аппаратный средства защиты информации

Аппаратный средства защиты информации
– это любые устройства, которые либо затрудняют несанкционированный съем
информации, либо помогают обнаружить потенциальные каналы утечки
информации. Это самый узкоспециализированный класс средств защиты
информации.

Одних только технических каналов утечки информации насчитывается более
десятка: акустические, виброакустические , оптико-электронные, паразитные
электронно-магнитные импульсы и так далее и тому подобное. Соответственно,
и борьба с утечкой ведется также весьма экзотическими средствами:
генераторы шума, сетевые фильтры, сканирующие радиоприемники и т.д.

Более подробно про аппаратные средства защиты можно прочитать
здесь и
здесь.

Съем информации через технические каналы утечки возможен только при
использовании специального, часто очень дорогостоящего оборудования. Стоит
ли ваша информация столько, сколько готовы потратить злоумышленники на ее
несанкционированное получение?

В обычной деятельности компании из всех видов утечек информации по
техническим каналам актуальными скорее всего будут просмотр информации с
экранов дисплеев, бумажных и иных носителей информации, возможно даже с
помощью оптических средств и прослушивание конфиденциальных переговоров, в
том числе телефонных и радиопереговоров.

Против этого хорошо работают как физические средства защиты информации из
предыдущего пункта так и организационные мероприятия. Перечислим их:

  • не рекомендуется располагать защищаемые помещения на первых этажах зданий;
  • независимо от этажа следует закрывать окна жалюзи или экранами, в идеале
    для конфиденциальных переговоров использовать помещения вообще без окон;
  • использовать двойные двери с тамбурами;
  • исключить пребывание посторонних в местах, где происходят
    конфиденциальные переговоры или обрабатывается конфиденциальная информация;
  • ввести запрет использования мобильных телефонов, смартфонов, диктофонов и
    прочих устройств как минимум при конфиденциальных переговорах;
  • располагать мониторы таким образом, чтобы исключить просмотр информации с их посторонними;
  • всегда блокировать рабочие станции при оставлении рабочего места;

Выявление ПЭМИН в информационной системе и защита от них

Вне зависимости от того, используются ли злоумышленниками побочные излучения и наводки от компьютеров, первым этапом борьбы с ними становится изолирование рабочих машин от Интернета, чтобы избежать передачи вовне перехваченной информации. Маршрутизатор является обязательным средством, но не единственным. Серьезную дополнительную защиту от утечек данных по каналам ПЭМИН, несанкционированного взаимодействия приложений, способных передавать информацию друг другу и обеспечивать ее утечку по менее контролируемым каналам, от проникновения в информационную систему организации вредоносных программ дает межсетевой экран.

В государственных организациях неуклонно соблюдается принцип изоляции компьютеров, на которых обрабатываются данные повышенного уровня конфиденциальности, от общей сети Интернет. Иногда это решается полным отказом от взаимодействия, иногда оборудование подключается к государственным и ведомственным сетям Рунета с повышенным уровнем защиты.

Если сотруднику предоставляются две рабочие машины, одна из которых подключена к Интернету, вторая нет, это не решает задачу. Информация, обрабатываемая в локальной сети, и побочные излучения компьютеров, направленные на кабели локальной сети, с легкостью наводятся на провода машины, подключенной к Интернету. Кабели открытой сети часто выходят за пределы охраняемого помещения, и подключить к ним закладное устройство несложно. Это создает необходимость прокладывания кабелей с соблюдением рекомендованных ФСТЭК правил безопасности. Разработку топологии прокладки проводов лучше проводить на первом этапе обустройства помещения, до установки оборудования. Правильность построения защищенной от перехвата данных по каналам ПЭМИН сети подтверждается аттестацией.

Дополнительный риск создает использование вредоносных программ, работающих по принципу Soft TEMPEST. Выполняя формально не запрещенные операции, они генерируют дополнительное излучение, модулированное информационным сигналом, которое считывается закладными устройствами. Интересно, что в рамках программы TEMPEST реализуются и защитные меры, разработаны специальные шрифты, которые при вводе данных способны погасить побочные излучения.

При анализе оборудования на побочные излучения нельзя ограничиваться компьютерами, дополнительно проверяются:

  • средства связи — от IP-телефонии до «кремлевки», если она установлена в кабинете руководства;
  • средства звукоусиления и звукозаписи;
  • факсовые аппараты;
  • оборудование для проведения видеоконференций;
  • элементы умного дома;
  • сигнализации всех типов;
  • диспетчерская связь;
  • оргтехника;
  • метрологическая аппаратура;
  • световые приборы, передающие информацию путем преобразования электромагнитного излучения в световое;
  • СКУД.

Проверка ведется при помощи специального оборудования по заранее составленному плану. Закладные устройства могут быть подключены к оборудованию, проводам питания и заземления, электророзеткам. Информация по наводкам легко переходит от одного кабеля к другому, поэтому проверке подлежат все провода и сети, если они заранее не размещены недоступным способом или не экранированы. Также в зоне риска находятся пульты управления технологическим оборудованием, распределительные щиты.