Этапы разработки мер по предотвращению угроз утечки информации реферат

Обновлено: 06.07.2024

В организационную структуру системы входят:

  • руководитель – несет персональную ответственность за обеспечение информационной безопасности (устав организации, положение об органе);
  • заместитель руководителя, курирующий вопросы информационно-технической безопасности (должностной регламент);
  • постоянно действующий коллегиальный орган, вырабатывающий предложения по решению проблемных вопросов в области защиты информации; (положение о комиссии);
  • подразделение или специалист, ответственные за реализацию мероприятий по технической защите информации (положение о подразделении, должностная инструкция или регламент специалиста).

Задачи, решаемые системой защиты информации:

  • исключение неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
  • исключение неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
  • исключение неправомерного блокирования информации (обеспечение доступности информации).

Жизненный цикл системы защиты информации (СЗИ) объекта обработки информации состоит из стадии создания системы и стадии эксплуатации.

Стадию создания осуществляет (организует) обладатель информации, заказчик; стадию эксплуатации СЗИ осуществляет оператор.

Жизненный цикл системы защиты информации объекта информатизации - совокупность взаимоувязанных процессов последовательного изменения состояния системы защиты информации конкретного объекта от принятия решения о необходимости защиты обрабатываемой на нем информации до окончания его эксплуатации.

Стадия (этап) жизненного цикла – часть жизненного цикла, характеризующаяся определенным состоянием системы защиты информации, совокупностью видов предусмотренных работ с их конечными результатами.

Обладатель информации – лицо, создавшее информацию и (или) имеющее право разрешать или ограничивать доступ к информации.

Заказчик – лицо, заключившее контракт на создание объекта обработки информации.

Оператор – лицо, эксплуатирующее объект, в том числе непосредственно осуществляющее обработку содержащейся в нем информации.

Уполномоченное лицо – лицо, осуществляющее на договорной основе с заказчиком или оператором обработку информационного ресурса и (или) предоставляющее для этих целей вычислительные ресурсы.

Поставщик информации – лицо, наделенное полномочиями по предоставлению сведений для их внесения в базу данных объекта.

Этапы стадии создания системы защиты информации

  1. Этап 1. Формирование требований к системе защиты информации (предпроектный этап).
  2. Этап 2. Разработка системы защиты информации (этап проектирования).
  3. Этап 3. Внедрение системы защиты информации (этап установки, настройки, испытаний).
  4. Этап 4. Подтверждение соответствия системы защиты информации (этап оценки).

Формирование требований к системе защиты информации

Этап 1 осуществляется обладателем информации (заказчиком).

Перечень работ на этапе 1:

  1. Принятие решения о необходимости защиты обрабатываемой информации.
  2. Классификация объекта по требованиям защиты информации (установление уровня защищенности обрабатываемой информации).
  3. Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности обрабатываемой информации.
  4. 4. Определение требований к системе защиты информации.

Решение о необходимости создания системы защиты информации принимается на основе анализа стоящих задач, обрабатываемой информации и нормативной базы. В ходе анализа определяются структурно-функциональные характеристики объекта и режим обработки информации:

  • статус (принадлежность) объекта (государственный, муниципальный, иной);
  • структура объекта (локальный или распределенный);
  • масштаб объекта (федеральный, региональный, объектовый);
  • наличие подключений к сторонним сетям, в том числе сетям общего пользования (имеются или отсутствуют);
  • режим обработки информации (одно или многопользовательский);
  • уровень доступа (с разграничением или без разграничения);
  • перечень технологических операций (чтение, поиск, запись, удаление, сортировка, модификация, передача, голосовой ввод,);
  • используемые информационные технологии (беспроводный, удаленный доступ, виртуализация, мобильные объекты, туннелирование и пр.),

Категория информации, подлежащей защите, и свойства ее безопасности:

  • информация ограниченного доступа (конфиденциальность, целостность, доступность);
  • общедоступная информация (целостность, доступность),

Нормативная правовая база по информационно-технической безопасности выделяет разные задачи по защите информации:

  • защита информации, составляющей государственную тайну;
  • защита государственного информационного ресурса, не отнесенного к государственной тайне;
  • обеспечение безопасности персональных данных в иных информационных системах;
  • обеспечение безопасности критической информационной инфраструктуры;
  • обеспечение безопасности информации в информационных системах общего пользования.

Более подробно правовое сопровождение защиты информации рассмотрено в разделе экономических и правовых аспектов защиты информации.

Актуальным на этом этапе видится формулирование целей и задач защиты информации.

Цель защиты информации - минимизировать (предотвратить) ущерб обладателю информации из-за возможных нарушений свойств ее безопасности.

Задача защиты информации - обеспечить необходимый уровень защищенности информации от нарушений ее целостности, доступности, конфиденциальности.

Решение оформляется локальным нормативным правовым актом, в котором отражаются цели и задачи защиты информации, этапы и сроки создания системы защиты информации, функционал и ответственность обладателя информации, заказчика и оператора.

Основные документы, формируемые по результатам исполнения работ на этапе формирования требований к системе защиты информации:

Действие Документ
1. Принятие решения о необходимости защиты информации Локальный нормативный правовой акт, определяющий необходимость создания системы защиты информации
2. Классификация по требованиям защиты информации (по уровню защищенности информации) Акт классификации по требованиям безопасности информации
3.Определение актуальных угроз безопасности информации Частная модель угроз безопасности информации
4. Определение требований к системе защиты информации ТЗ на создание системы защиты информации с указанием требований к мерам и средствам защиты информации

Разработка системы защиты информации

Этап 2 - разработка системы защиты информации – организуется обладателем информации (заказчиком).

Перечень работ на этапе 2:

  1. Проектирование системы защиты информации.
  2. Разработка эксплуатационной документации на систему защиты информации.

работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, а также работы и услуги по проектированию в защищенном исполнении:

  • средств и систем информатизации;
  • помещений со средствами (системами) информатизации, подлежащими защите;
  • защищаемых помещений.

Основные документы, формируемые по результатам исполнения работ на этапе разработки системы защиты информации:


Действие Документ
1.Проектирование системы защиты информации Технический проект (рабочая документация) на создание системы защиты информации
2.Разработка эксплуатационной документации на систему защиты информации Описание структуры системы защиты информации. Технический паспорт с указанием наименования, состава и мест установки аппаратных и программных средств.
Перечень параметров настройки средств защиты информации. Правила эксплуатации средств защиты информации.

Примерный состав эксплуатационной документации, разрабатываемой на этапе проектирования системы защиты информации

  1. Технический паспорт с указанием состава и мест установки ее технических и программных средств.
  2. Описание технологического процесса обработки информации.
  3. Описание параметров и порядка настройки средств защиты информации.
  4. Описание организационной структуры системы защиты информации, с указанием функциональных обязанностей ее элементов.
  5. Ведомость и журнал учета применяемых машинных носителей информации.
  6. Правила эксплуатации системы защиты информации.

Внедрение системы защиты информации

Этап 3 - Внедрение системы защиты информации – организуется обладателем информации (заказчиком) с привлечением оператора. Перечень работ на этапе 3:

  1. Установка и настройка средств защиты информации.
  2. Внедрение организационных мер защиты информации, в том числе, разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ходе эксплуатации объекта.
  3. Выявление и анализ уязвимостей программных и технических средств, принятие мер по их устранению;
  4. Испытания и опытная эксплуатации системы защиты информации.

Основные документы, формируемые по результатам исполнения работ на этапе внедрения системы защиты информации:

Действие Документ
1. Установка и настройка средств защиты информации Акт установки средств защиты информации
2.Внедрение организационных мер, разработка организационно-распорядительных документов Документы по регламентации правил по эксплуатации и вывода из эксплуатации системы защиты информации
3.Выявление и анализ уязвимостей Протокол контроля уязвимостей программного обеспечения и технических средств
4.Испытания и опытная эксплуатации системы защиты информации Протоколы контроля оценки эффективности средств и оценки защищенности информации

Состав обязательных организационно-распорядительных документов, разрабатываемых на этапе внедрения системы защиты информации:

  1. Порядок администрирования системой защиты информации.
  2. Порядок выявления инцидентов, которые могут привести к возникновению угроз безопасности информации и реагирования на них.
  3. Порядок управления конфигурацией объекта и его системы защиты информации.
  4. Порядок контроля за обеспечением уровня защиты обрабатываемой информации.
  5. Порядок защиты информации при выводе из эксплуатации объекта.

Подтверждение соответствия системы защиты информации

Этап 4 - подтверждение соответствия системы защиты информации – организуется обладателем информации (заказчиком) или оператором. Перечень работ на этапе 4 определяется в Программе и методиках аттестационных испытаний, разрабатываемой до их начала. Документ формируется исполнителем работ и согласовывается с заявителем.

Аттестация – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации (информационной системы) требованиям безопасности информации.

Аттестация объектов информатизации делится на обязательную и добровольную.

Обязательная аттестация проводится в принятых законодательством случаях для определения соответствия системы защиты информации объекта исключительно требованиям, установленным федеральными нормативными правовыми актами.

Добровольная аттестация проводится по инициативе заявителя для определения соответствия системы защиты информации объекта требованиям, установленным национальными стандартами, владельцем информации или владельцем объекта.

Обязательной аттестации подлежат государственные (муниципальные) информационные системы и их сегменты, содержащие информацию ограниченного доступа, добровольной – все иные информационные системы.

Порядок проведения аттестации информационных систем по требованиям безопасности информации:

  1. Подача и рассмотрение заявки на аттестацию.
  2. Предварительное ознакомление с аттестуемым объектом (при необходимости).
  3. Разработка программы и методики аттестационных испытаний.
  4. Проведение аттестационных испытаний объекта.
  5. Оформление, регистрация и выдача аттестата соответствия.

Подача и рассмотрение заявки на аттестацию объекта информатизации:

  1. Заявителем выбирается исполнитель работ по аттестации объекта информатизации (организация-лицензиат по технической защите конфиденциальной информации).
  2. Заявителем направляется исполнителю заявка на проведение аттестации с исходными данными на аттестуемый объект.
  3. Исполнителем рассматривается заявка, принимается решение о порядке аттестации, готовятся договорные документы на оказание услуг по аттестации объекта информатизации.

При недостаточности исходных данных в порядок аттестации включаются работы исполнителя по предварительному ознакомлению с аттестуемым объектом.

Аттестуемая распределенная информационно-телекоммуникационная система


Основные документы, формируемые по результатам исполнения работ на этапе подтверждения соответствия системы защиты информации:


Действие Документ
1.Аттестационные испытания системы защиты информации Протоколы и заключение по результатам аттестационных испытаний
2.Оформление результатов аттестационных испытаний Рекомендации по обеспечению защищенности информации на аттестуемом объекте и Аттестат соответствия

После подтверждения соответствия системы защиты информации осуществляется переход на другую стадию жизненного цикла – стадию эксплуатации.

Этапы стадии эксплуатации системы защиты информации

  • Этап 5. Ввод системы защиты информации в постоянную эксплуатацию.
  • Этап 6. Промышленная эксплуатация системы защиты информации.
  • Этап 7. Вывод из эксплуатации системы защиты информации.

Этап 5 - ввод системы защиты информации в постоянную эксплуатацию – осуществляется оператором.

Решение о вводе оформляется локальным нормативным правовым актом, в котором определяются должностные лица, ответственные за эксплуатацию и сопровождение системы защиты информации: начальник объекта, системные администраторы, администраторы информационной безопасности.

Этап 6 - промышленная эксплуатация системы защиты информации – осуществляется оператором.

Также оператор осуществляет администрирование системы защиты информации, выявление инцидентов и реагирование на них, управление конфигурацией объекта и его системой защиты информации, контроль за обеспечение необходимого уровня защищенности информации.

  • осуществляют эксплуатацию объекта информатизации в соответствии с требованиями безопасности информации, а также условиями и ограничениями, установленными эксплуатационной документацией на систему защиты информации, и аттестатом соответствия;
  • извещают орган по аттестации (организацию), выдавший аттестат соответствия, о всех изменениях в информационных технологиях, составе и размещении средств и систем, условиях их эксплуатации, которые могут повлиять на эффективность системы защиты информации;
  • предоставляют необходимые документы и условия для осуществления контроля и надзора за соблюдением порядка аттестации и за эксплуатацией аттестованного объекта информатизации.

Органы по аттестации:

  • отменяют и приостанавливают действие выданных этим органом (организацией) аттестатов соответствия;
  • проводят на договорной основе оценку эффективности средств защиты информации и оценку защищенности информации от несанкционированного доступа.

Повторная аттестация ГИС осуществляется вслучае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы.

При увеличении состава угроз безопасности информации или изменении проектных решений, реализованных при создании системы защиты информации ГИС, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.

Продление срока действия сертификата организацией, эксплуатирующей СЗИ:

Организация, эксплуатирующая средство защиты информации, заблаговременно , но не позднее чем за три месяца до окончания срока действия сертификата соответствия, связывается с организацией – первичным заявителем, с целью получения информации о проводимых работах по продлению сроков действия сертификата соответствия и о порядке получения копии продленного сертификата.

В случае получения информации об отсутствии намерений первичного заявителя продлевать сроки действия сертификата соответствия эксплуатирующая организация самостоятельно направляет в Федеральный орган по сертификации (ФСТЭК России) соответствующую заявку установленного образца (не позднее, чем за один месяц до окончания срока действия сертификата).


Этап 7 - вывод системы защиты информации из эксплуатации - осуществляется оператором.

На этом этапе производится архивирование информации, уничтожение или стирание данных и остаточной информации с машинных носителей информации, уничтожение машинных носителей информации.


Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд. Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру. Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.

Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

Источники конфиденциальной информации

  • Люди (сотрудники, клиенты, посетители, обслуживающий персонал).

Угрозы конфиденциальной информации

Каналы утечки конфиденциальной информации (через организацию деятельности)

  • Деятельность с контрагентами на основе гражданско-правовых договоров.

Каналы утечки конфиденциальной информации (через технические средства)

По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

    Акустический канал утечки информации.

Каналы утечки конфиденциальной информации (через человеческий фактор)

  • Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).

7 важных мер по защите информации

Есть семь основных направлений работы по защите корпоративных данных от утечек:

  1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
  2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
  3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
  4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
  5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
  6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
  7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Подготовительные мероприятия: что нужно сделать для настройки системы защиты

  • Определить, какая информация подлежит или нуждается в защите.

На что обратить внимание

  • Использование гаджетов на территории предприятия.

5 принципов информационной безопасности

Защита от утечек информации – это комплекс мер, направленных на обеспечение сохранности и целостности конфиденциальной информации предприятия в целях недопущения репутационных и финансовых потерь. Это те данные, которые составляют коммерческую тайну, хранят информацию о персональных данных сотрудников и клиентов, а также различные производственные секреты.

Существенная
экономия средств
Масштабируемость ресурсов
Доступность из любой точки
Оптимизация системы 1С

Почему необходима защита от утечки информации?

Утечка информации несет в себе множество проблем для компании, что выражается в ощутимых последствиях для бизнеса в виде финансового и репутационного ущерба:

  • упущенная выгода вследствие испорченной репутации компании;
  • штрафы и судебные издержки;
  • прямые финансовые потери;
  • перехват клиентов конкурентами.

Утечка данных предприятия может произойти по различным каналам, уязвимость которых порой может быть недооценена.

Как предотвратить утечку информации?

Мы помогаем клиентам обеспечить комплексную защиту от утечки конфиденциальной информации, что позволяет избежать таких проблем как:

Возникли вопросы?

Получите консультацию

  • перехват информации по внешним каналам сети Интернет;
  • получение доступа злоумышленника к корпоративным ресурсам через сеть Интернет;
  • внутренняя утечки данных через инсайдеров;
  • промышленный шпионаж со стороны конкурентов;
  • потеря данных вследствие рейдерского захвата компании;
  • непреднамеренная передача информации третьим лицам.


Комплексный подход к предотвращению утечек конфиденциальной информации включает три направления:


 Противодействие внешним угрозам

  • Использование защищенных туннелей VPN.
  • Повсеместное применение сертификатов для авторизации на корпоративных ресурсах.
  • Введение корпоративных каналов связи (аккаунты почты, мессенджеры, телефония и т.д.) для обмена какой-либо информацией.
  • Применение профессиональных устройств Firewall.
  • Использование систем предупреждения и предотвращения атак IDS\IPS.


 Противодействие внутренним угрозам

  • Оснащение помещений компании камерами наблюдения.
  • Строгий режим допуска на территорию компании, особенно в зоны хранения и обработки конфиденциальной информации.
  • Шифрование как можно большего количества важной информации.
  • Персональная ответственность должностных лиц за выдачу разрешения на доступ сотрудников к конфиденциальным документам.
  • Шифрование USB флеш-карт, CD, DVD, разделов с данными на мобильных устройствах.
  • Внедрение корпоративной системы управления мобильными устройствами MDM (Mobile Device Management).
  • Оснащение серверов компании средствами по мгновенному уничтожению информации.
  • Хранение важной информации на зарубежных доверенных площадках.


 Противодействие угрозам социального типа

  • Внедрение профессиональных DLP-систем.
  • Ограничение доступа персонала к определенным документам компании.
  • Мониторинг работы пользователей с корпоративными ресурсами.
  • Мониторинг внутреннего и внешнего трафика пользователей.
  • Составление и контроль соблюдения политики информационной безопасности.
  • Персональная ответственность сотрудников за вверенные ему носители информации.
  • Регламентация работы персонала с корпоративными документами.
  • Запись телефонных разговоров.
  • Использование терминального режима работы пользователей для централизации периметра безопасности.

Контур информационной безопасности

Мы предлагаем внедрение DLP-системы, которая защитит компанию от утечки коммерчески значимой информации в несколько этапов:

Система работает на двух уровнях: контролирует информацию, которая уходит в Интернет и следит за тем, что происходит на рабочих станциях сотрудников. Это позволяет системе защищать данные круглосуточно как внутри офиса, так и в случаях командировок и работы извне.

Что находится под контролем?

Система в режиме реального времени анализирует все информационные потоки и сообщает об инцидентах. Система хранит всю перехваченную информацию и позволяет восстановить детали, если возникает необходимость полноценного расследования.

Что получает клиент?

  • Защиту от угроз, связанных с утечками информации.
  • Возможность разоблачать схемы мошенников, промышленный шпионаж и саботаж.
  • Стимуляцию соблюдения трудовой дисциплины и рабочего регламента со стороны сотрудников.
  • Возможность контроля уровня лояльности коллектива.
  • Контроль расходов материальных ресурсов организации.
  • Выполнение требований регуляторов ФЗ РФ.
  • Упрощение процесса инвентаризации оборудования и мониторинга ПО.

Защитите Ваш бизнес уже сейчас!

Наша команда специалистов выполнит внедрение системы защиты компании от утечки информации, в результате чего Вы не только повысите безопасность бизнеса, но и получите реальный экономический эффект от предотвращения утечек в будущем.

Заказать услугу

Почему стоит выбрать EFSOL?

Опыт профессионального построения систем ИТ-безопасности с 2010 года

Компания занимается проектами по ИТ-безопасности с 2010 года. В нашей практике есть опыт работы с системами безопасности, включающими в себя сотни пользователей и тысячи узлов.

Сертификация ITIL, MBA Project и GAMP5

Наши специалисты по информационной безопасности обладают навыками и сертификатами по управлению средними и крупными проектами, построению сложных ИТ-архитектур, инструментами валидации систем и соответствию определенным уровням и стандартам.

Следование принципам и методикам

Процедуры создания ИТ-архитектур основаны на строгом следовании методологии COBIT, GMP, стандартам ИТ-безопасности ISO и ГОСТ, что позволяет обоснованно минимизировать риски утечки данных благодаря систематизации подхода.

Эффективная команда ИТ-профессионалов

Мы собрали опытную команду, состоящую из сертифицированных ИТ-специалистов, работающих в различных ИТ-областях. Наши инженеры ИТ-безопасности имеют полную информационную поддержку и консультации практически в любом техническом вопросе.

Партнерство с вендорами

Мы находимся в давнем и тесном партнерстве с компаниями-поставщиками программных решений ИТ-безопасности и провайдерами соответствующих услуг. Регулярное посещение конференций, мастер-классов, совместное обучение персонала, тестирование новинок - позволяет нам находиться всегда в тренде решений и событий в сфере защиты информации.

В современных информационных системах (ИС) информация обладает двумя противоречивыми свойствами – доступностью и защищенностью от несанкционированного доступа. Во многих случаях разработчики ИС сталкиваются с проблемой выбора приоритета одного из этих свойств.

Под защитой информации обычно понимается именно обеспечение ее защищенности от несанкционированного доступа. При этом под самим несанкционированным доступом принято понимать действия, которые повлекли "…уничтожение, блокирование, модификацию, либо копирование информации…"(УК РФ ст.272). Все методы и средства защиты информации можно условно разбить на две большие группы: формальные и неформальные.

Рис. 1. Классификация методов и средств защиты информации

Формальные методы и средства

Это такие средства, которые выполняют свои защитные функции строго формально, то есть по заранее предусмотренной процедуре и без непосредственного участия человека.

Техническими средствами защиты называются различные электронные и электронно-механические устройства, которые включаются в состав технических средств ИС и выполняют самостоятельно или в комплексе с другими средствами некоторые функции защиты.

Физическими средствами защиты называются физические и электронные устройства, элементы конструкций зданий, средства пожаротушения, и целый ряд других средств. Они обеспечивают выполнение следующих задач:

  • защиту территории и помещений вычислительного центра от проникновения злоумышленников;
  • защиту аппаратуры и носителей информации от повреждения или хищения;
  • предотвращение возможности наблюдения за работой персонала и функционированием оборудования из-за пределов территории или через окна;
  • предотвращение возможности перехвата электромагнитных излучений работающего оборудования и линий передачи данных;
  • контроль за режимом работы персонала;
  • организацию доступа в помещение сотрудников;
  • контроль за перемещением персонала в различных рабочих зонах и т.д.

Криптографические методы и средства

Криптографическими методами и средствами называются специальные преобразования информации, в результате которых изменяется ее представление.

В соответствии с выполняемыми функциями криптографические методы и средства можно разделить на следующие группы:

  • идентификация и аутентификация;
  • разграничение доступа;
  • шифрования защищаемых данных;
  • защита программ от несанкционированного использования;
  • контроль целостности информации и т.д.

Неформальные методы и средства защиты информации

Неформальные средства – такие, которые реализуются в результате целенаправленной деятельности людей, либо регламентируют ( непосредственно или косвенно) эту деятельность.

К неформальным средствам относятся:

Организационные средства

Это организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. По своему содержанию все множество организационных мероприятий условно можно разделить на следующие группы:

  • мероприятия, осуществляемые при создании ИС;
  • мероприятия, осуществляемые в процессе эксплуатации ИС: организация пропускного режима, организация технологии автоматизированной обработки информации, организация работы в сменах, распределение реквизитов разграничения доступа(паролей, профилей, полномочий и т.п.) ;
  • мероприятия общего характера: учет требований защиты при подборе и подготовке кадров, организация плановых и превентивных проверок механизма защиты, планирование мероприятий по защите информации и т.п.

Законодательные средства

Это законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного использования и устанавливаются меры ответственности за нарушение этих правил. Можно сформулировать пять ”основных принципов”, которые лежат в основе системы законов о защите информации:

Морально – этические нормы

Эти нормы могут быть как не писанными (общепринятые нормы честности, патриотизма и т.п.) так и писанными, т.е. оформленными в некоторый свод правил и предписаний (устав).

С другой стороны, все методы и средства защиты информации можно разделить на две большие группы по типу защищаемого объекта. В первом случае объектом является носитель информации, и здесь используются все неформальные, технические и физические методы и средства защиты информации. Во втором случае речь идет о самой информации, и для ее защиты используются криптографические методы.

1.3.2. Угрозы безопасности информации и их источники

Наиболее опасными (значимыми) угрозами безопасности информации являются:

  • нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую, судебную, врачебную и коммерческую тайну, а также персональных данных;
  • нарушение работоспособности (дезорганизация работы) ИС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
  • нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов ИС, а также фальсификация (подделка) документов.

Приведем ниже краткую классификацию возможных каналов утечки информации в ИС – способов организации несанкционированного доступа к информации.

Косвенные каналы, позволяющие осуществлять несанкционированный доступ к информации без физического доступа к компонентам ИС:

  • применение подслушивающих устройств;
  • дистанционное наблюдение, видео и фотосъемка;
  • перехват электромагнитных излучений, регистрация перекрестных наводок и т.п.

Каналы, связанные с доступом к элементам ИС, но не требующие изменения компонентов системы, а именно:

Каналы, связанные с доступом к элементам ИС и с изменением структуры ее компонентов :

  • незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или к линиям связи;
  • злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;
  • злоумышленный вывод из строя механизма защиты.

1.3.3. Ограничение доступа к информации

В общем случае система защиты информации от несанкционированного доступа состоит из трех основных процессов:

  • идентификация;
  • аутентификация;
  • авторизация.

При этом участниками этих процессов принято считать субъекты – активные компоненты (пользователи или программы) и объекты – пассивные компоненты (файлы, базы данных и т.п.).

Задачей систем идентификации, аутентификации и авторизации является определение, верификация и назначение набора полномочий субъекта при доступе к информационной системе.

Идентификацией субъекта при доступе к ИС называется процесс сопоставления его с некоторой, хранимой системой в некотором объекте, характеристикой субъекта – идентификатором. В дальнейшем идентификатор субъекта используется для предоставления субъекту определенного уровня прав и полномочий при пользовании информационной системой.

Аутентификацией субъекта называется процедура верификации принадлежности идентификатора субъекту. Аутентификация производится на основании того или иного секретного элемента (аутентификатора), которым располагают как субъект, так и информационная система. Обычно в некотором объекте в информационной системе, называемом базой учетных записей, хранится не сам секретный элемент, а некоторая информация о нем, на основании которой принимается решение об адекватности субъекта идентификатору.

Авторизацией субъекта называется процедура наделения его правами соответствующими его полномочиям. Авторизация осуществляется лишь после того, как субъект успешно прошел идентификацию и аутентификацию.

Весь процесс идентификации и аутентификации можно схематично представить следующим образом:

Рис. 2. Схема процесса идентификации и аутентификации

1- запрос на разрешение доступа к ИС;

2- требование пройти идентификацию и аутентификацию;

3- отсылка идентификатора;

4- проверка наличия полученного идентификатора в базе учетных записей;

5- запрос аутентификатора;

6- отсылка аутентификаторов;

7- проверка соответствия полученного аутентификатора указанному ранее идентификатору по базе учетных записей.

Из приведенной схемы (рис.2) видно, что для преодоления системы защиты от несанкционированного доступа можно либо изменить работу субъекта, осуществляющего реализацию процесса идентификации/аутентификации, либо изменить содержимое объекта – базы учетных записей. Кроме того, необходимо различать локальную и удаленную аутентификацию.

При локальной аутентификации можно считать, что процессы 1,2,3,5,6 проходят в защищенной зоне, то есть атакующий не имеет возможности прослушивать или изменять передаваемую информацию. В случае же удаленной аутентификации приходится считаться с тем, что атакующий может принимать как пассивное, так и активное участие в процессе пересылки идентификационной /аутентификационной информации. Соответственно в таких системах используются специальные протоколы, позволяющие субъекту доказать знание конфиденциальной информации не разглашая ее (например, протокол аутентификации без разглашения).

Общую схему защиты информации в ИС можно представить следующим образом (рис.3):

Рис. 3. Съема защиты информации в информационной системе

Таким образом, всю систему защиты информации в ИС можно разбить на три уровня. Даже если злоумышленнику удастся обойти систему защиты от несанкционированного доступа, он столкнется с проблемой поиска необходимой ему информации в ИС.

Семантическая защита предполагает сокрытие места нахождения информации. Для этих целей может быть использован, например, специальный формат записи на носитель или стеганографические методы, то есть сокрытие конфиденциальной информации в файлах-контейнерах не несущих какой-либо значимой информации.

В настоящее время стеганографические методы защиты информации получили широкое распространение в двух наиболее актуальных направлениях:

  • сокрытие информации;
  • защита авторских прав.

Последним препятствием на пути злоумышленника к конфиденциальной информации является ее криптографическое преобразование. Такое преобразование принято называть шифрацией. Краткая классификация систем шифрования приведена ниже (рис.4):

Рис. 4. Классификация систем шифрования

Основными характеристиками любой системы шифрования являются:

В настоящее время принято считать, что алгоритм шифрации/дешифрации открыт и общеизвестен. Таким образом, неизвестным является только ключ, обладателем которого является легальный пользователь. Во многих случаях именно ключ является самым уязвимым компонентом системы защиты информации от несанкционированного доступа.

Из десяти законов безопасности Microsoft два посвящены паролям:

Именно поэтому выбору, хранению и смене ключа в системах защиты информации придают особо важное значение. Ключ может выбираться пользователем самостоятельно или навязываться системой. Кроме того, принято различать три основные формы ключевого материала:

1.3.4. Технические средства защиты информации

В общем случае защита информации техническими средствами обеспечивается в следующих вариантах:
источник и носитель информации локализованы в пределах границ объекта защиты и обеспечена механическая преграда от контакта с ними злоумышленника или дистанционного воздействия на них полей его технических средств

  • соотношение энергии носителя и помех на входе приемника установленного в канале утечки такое, что злоумышленнику не удается снять информацию с носителя с необходимым для ее использования качеством;
  • злоумышленник не может обнаружить источник или носитель информации;
  • вместо истинной информации злоумышленник получает ложную, которую он принимает как истинную.

Эти варианты реализуют следующие методы защиты:

  • воспрепятствование непосредственному проникновению злоумышленника к источнику информации с помощью инженерных конструкций, технических средств охраны;
  • скрытие достоверной информации;
  • "подсовывание" злоумышленнику ложной информации.

Применение инженерных конструкций и охрана - наиболее древний метод защиты людей и материальных ценностей. Основной задачей технических средств защиты является недопущение (предотвращение) непосредственного контакта злоумышленника или сил природы с объектами защиты.

Под объектами защиты понимаются как люди и материальные ценности, так и носители информации, локализованные в пространстве. К таким носителям относятся бумага, машинные носители, фото- и кинопленка, продукция, материалы и т.д., то есть всё, что имеет четкие размеры и вес. Для организации защиты таких объектов обычно используются такие технические средства защиты как охранная и пожарная сигнализация.

Носители информации в виде электромагнитных и акустических полей, электрического тока не имеют четких границ и для защиты такой информации могут быть использованы методы скрытия информации. Эти методы предусматривают такие изменения структуры и энергии носителей, при которых злоумышленник не может непосредственно или с помощью технических средств выделить информацию с качеством, достаточным для использования ее в собственных интересах.

1.3.5. Программные средства защиты информации

Эти средства защиты предназначены специально для защиты компьютерной информации и построены на использовании криптографических методов. Наиболее распространенными программными средствами являются:

1.3.6. Антивирусные средства защиты информации

Согласно одной из популярных классификаций, каналы утечки информации по физическим принципам делят на 6 типов: акустические, электромагнитные, визуально-оптические, материально-вещественные и информационные. Как показывают многочисленные исследования, немалая часть инцидентов в сфере информационной безопасности (далее — ИБ) связана именно с информационными каналами утечки информации. Давайте рассмотрим, что это за каналы, как через них утекают конфиденциальные данные, и какими способами/средствами их можно защитить.

Что такое информационный канал утечки информации

К этой категории принято относить каналы, которые связаны с доступом к:

· Самой информации и ее носителям.

· Элементам IT-инфраструктуры, которые участвуют в процессах обработки и хранения информации.

4 вида информационных каналов утечки

К данной категории относят каналы:

· Рабочих станций и периферийных устройств.

· Локальной сети и интернета.

· Машинных носителей информации.

Утечки через линии связи

Часто утечки информации возникают при использовании аналоговой телефонной связи. Как правило, злоумышленники используют 2 способа перехвата информации: прослушивание разговоров и акустический контроль помещения через телефонный аппарат. Защититься от прослушивания переговоров можно при помощи анализаторов телефонной сети, скремблеров (криптографические средства защиты), односторонних маскираторов речи. Защита от акустического контроля организуется путем использования специальных телефонных аппаратов, либо постановщиков активных помех (шумов).

Информационные каналы утечки через компьютеры и периферийные устройства, локальные сети и интернета

Эти 2 группы информационных каналов утечки информации целесообразно рассматривать вместе, т.к. они тесно связаны между собой.

Утечки важных данных через рабочие станции, локальные сети и интернет могут возникать по ряду причин. Среди них:

· Вредоносное программное обеспечение. Кей-логгеры, сканеры жесткого диска, экранные и почтовые шпионы — ПО для несанкционированного доступа к информации на рабочих станциях многообразно. Для предотвращения утечек через этот информационный канал используются различные средства. Это: антивирусные программы, программные файрволы, Anti-Spyware ПО. Для поиска уязвимостей в инфраструктурах с множеством компьютеров используются сканеры уязвимости, IPS-, SIEM-, IDS- и аналогичные по функционалу решения. При правильно организованном анализе данных, полученных с их помощью, вы сможете быстро обнаруживать и надежно перекрывать различные каналы утечки конфиденциальной информации.

· Утечки по сети. Для кражи данных из корпоративных сетей используются все те же программы шпионы, кей-логгеры, сканеры накопителей и пр. Соответственно, и меры защиты здесь схожи с использующимися для одиночных компьютеров.

Канал машинных носителей информации

Механизмов возникновения утечек посредствам носителей информации несколько. Чаще всего данные попадают в третьи руки после потери или кражи флешки, внешнего жесткого диска или другого накопителя. Часто носители информации бывают источниками заражения компьютеров вредоносными программами, либо шифровальщиками данных, делающими доступ к ним невозможным.

Помимо рассмотренных для каждого канала технических и программных средств защиты информации от утечки также необходимо использовать и организационные меры. Они включают разработку политик информационной безопасности в компании, управление правами доступа к информации, организацию контроля уровня знаний правил ИБ сотрудниками, а также своих обязанностей по защите информации от утечек, в том числе и по информационным каналам.

Полезны здесь будут и физические средства защиты информации (системы контроля доступа и пр.). Они ограничивают несанкционированный физический доступ к рабочим станциям, периферийной и другой технике, которая может стать частью информационного канала утечки.

Читайте также: