Средства защиты информации, составляющих коммерческую тайну, от несанкционированного доступа
Программные средства блокирования несанкционированных действий, сигнализации и регистрации реализуются практически во всех подсистемах систем защиты информации. Это специальные, не входящие в ядро какой-либо операционной системы программные и программно-аппаратные средства защиты самих операционных систем, электронных баз данных и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения опасных для конфиденциальности, целостности и доступности программ действий пользователя или нарушителя. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики, регистрации, уничтожения, сигнализации и даже имитации.
Средства диагностики осуществляют тестирование файловой системы и баз данных, постоянный сбор информации о функционировании элементов системы обеспечения безопасности данных.
Средства уничтожения предназначены для уничтожения остаточных данных и могут предусматривать аварийное уничтожение данных в случае прямой угрозы несанкционированного доступа (далее – НСД), которая не может быть блокирована системой.
Средства сигнализации предназначены для предупреждения пользователей при их обращении к защищенным данным и для предупреждения администратора при обнаружении факта НСД к данным, искажении программных средств защиты, выходе или выводе из строя аппаратных средств защиты и т.д.
Средства имитации имитируют работу с нарушителями при обнаружении попытки НСД к защищаемым данным. Имитация позволяет увеличить время на определение места и характера НСД, что особенно важно в территориально распределенных сетях и «увести» нарушителя в сторону от защищаемых данных.
Средства защиты от сбоев, отказов и ошибок включают в себя:
- средства и системы бесперебойного питания;
- средства и системы диагностики;
- программные средства архивирования и резервного копирования;
- программные средства блокирования программ из-за наличия опасных для выполнения этих программ ошибок.
Следует отметить, что в организациях, где уделяется должное внимание защите информации, средства и системы бесперебойного питания, программные средства архивирования и резервного копирования, как правило, применяются в обязательном порядке. Средства и системы диагностики, если они не включены в сервис операционной системы, применяют в основном специалисты или специализированные организации, однако в случае развертывания средств защиты информации, составляющей коммерческую тайну (далее – СЗИКТ) подсистемы контроля и диагностики являются, как правило, составной частью СЗИКТ.
Программные средства блокирования программ из за наличия опасных для выполнения этих программ ошибок являются обязательным атрибутом любой грамотно составленной прикладной программы и тем более операционной системы.
Средства повышения достоверности и обеспечения целостности передаваемых данных и надежности транзакций реализуется преимущественно операционной системой и системами управления базами данных и основаны на расчете так называемых контрольных сумм, уведомлении о сбое в передаче пакета сообщения, в повторе передачи непринятого пакета и т.д.
Средства анализа защищенности исследуют настройки защиты операционной системы на рабочих станциях и серверах, проверяют подверженность атакам злоумышленников сетевого оборудования, контролируют безопасность программного обеспечения. Для этого они обследуют топологию сети, ищут незащищенные или несанкционированные сетевые подключения, проверяют настройки межсетевого экрана. Подобный анализ проводится на основании детальных описаний слабостей настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых экранов) или уязвимостей операционной системы или прикладного программного обеспечения. В зависимости от того, насколько полно описаны уязвимости и насколько тщательно проводится анализ, работа сканера безопасности является более или менее эффективной. Результатом работы средства анализа защищенности является отчет, в котором обобщаются сведения об обнаруженных уязвимостях. Более того, если сканер содержит адаптивный компонент, то устранение найденной уязвимости может быть осуществлено автоматически.
Однако в классическом случае сканер безопасности только формирует отчет, который направляется администратору безопасности и содержит описание выявленных уязвимостей, а также инструкции по их устранению. Средства обнаружения уязвимостей могут функционировать на сетевом уровне (в этом случае они называются «netvork-based»), уровне операционной системы («host-based») и уровней приложения («application-based»). Применяя сканирующее программное обеспечение, можно быстро составить карту всех доступных узлов корпоративной сети, выявить используемые на каждом из них сервисы и протоколы, определить основные настройки и сделать предположения относительно вероятности реализации НСД (как изнутри, так и снаружи корпоративной сети). По результатам процедуры сканирования средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки.
На динамику рынка СЗИ от НСД влияет как развитие законодательной базы, так и крупные инциденты, например эпидемии WannaCry, NotPetya и BadRabbit, затронувшие не одну компанию и принесшие реальные потери в виде прямых финансовых убытков, репутационного вреда и приостановок деятельности.
В настоящее время среди основных игроков отечественного рынка сертифицированных СЗИ от НСД можно выделить:
- «Secret Net», «Secret Net Studio» и ПАК «Соболь» («Код Безопасности»);
- «Dallas Lock» (компания «Конфидент»);
- «Аккорд» (компания ОКБ САПР);
- «Блокхост-сеть К» и «Блокхост-АМДЗ 2.0» («Газинформсервис»);
- «ПАНЦИРЬ» (НПП «Безопасные информационные технологии»);
- «Diamond ACS» (компания ТСС);
- «Страж NT 4.0» (компания «Рубинтех»);
- «Аура» (СПИИРАН)»;
- «Щит-РЖД» (СПИИРАН);
- «Фантом» (РНТ);
- СРД «КРИПТОН-ЩИТ» (ООО Фирма «Анкад»).
В последнее время кроме «традиционных» средств защиты информации от НСД широкое применение находят новые решения.
Разработанные для защиты информации DLP-системы служат для обнаружения и предотвращения несанкционированных попыток копировать или передавать информацию (преднамеренно или непреднамеренно) без разрешения и доступа, как правило, со стороны пользователей, которые имеют право доступа к конфиденциальной информации. Сама аббревиатура DLP расшифровывается как Data Leak Prevention – то есть предотвращение утечки данных. Подобного рода системы создают защищенный цифровой «периметр» вокруг организации, анализируя всю исходящую, а в ряде случаев и входящую информацию. Контролируемой информацией должен быть не только интернет-трафик, но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д.
Поскольку DLP-система должна препятствовать утечкам конфиденциальной информации, то она в обязательном порядке имеет встроенные механизмы определения степени конфиденциальности документа, обнаруженного в перехваченном трафике. Как правило, наиболее распространены два способа: путём анализа специальных маркеров документа и путём анализа содержимого документа. В настоящее время более распространен второй вариант, поскольку он устойчив перед модификациями, вносимыми в документ перед его отправкой, а также позволяет легко расширять число конфиденциальных документов, с которыми может работать система.
Помимо своей основной задачи, связанной с предотвращением утечек информации, DLP-системы также подходят для решения ряда других «побочных» задач, связанных с контролем действий персонала. Наиболее часто DLP-системы применяются для решения следующих неосновных для себя задач:
- контроль использования рабочего времени и рабочих ресурсов сотрудниками;
- мониторинг общения сотрудников с целью выявления «подковерной» борьбы, которая может навредить организации;
- контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.);
- выявление сотрудников, рассылающих резюме, для оперативного поиска специалистов на освободившуюся должность.
За счет того, что многие руководители организаций считают именно эти «побочные» задачи (особенно контроль использования рабочего времени) более приоритетными, чем защита от утечек информации, возник целый ряд программ, предназначенных именно для этого, однако способных в ряде случаев работать и как средство защиты информации от утечек.
В настоящее время основными игроками мирового рынка DLP-систем являются компании, которые широко известны другими своими продуктами для обеспечения информационной безопасности в организациях. Это, прежде всего, Symantec, McAffee, TrendMicro, WebSense.
Российский рынок DLP-систем представлен такими компаниями как «Инфосистемы Джет» (решение «Дозор-Джет), InfoWatch (решение InfoWatch Traffic Monitor Enterprise), SearchInform (решение «Контур информационной безопасности»), «МФИ Софт» (решение «АПК «Гарда Предприятие»), DeviceLock, Zecurion, Falcongaze, Perimetrix, Trafica и ряд других.
В нашей «Базе Решений» Вы можете найти шаблоны документов с примерами их заполнения для выполнения требований законодательства о персональных данных.