"Финансовая газета. Региональный выпуск", 2007, N 37

РЕШЕНИЕ СОВРЕМЕННЫХ ПРОБЛЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

КОРПОРАТИВНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ

(Продолжение. Начало см. "Финансовая газета. Региональный выпуск",

2007, N 36)

Основные методы защиты корпоративных сетей

В Федеральном законе от 04.07.1996 N 85-ФЗ "Об участии в международном информационном обмене" (далее - Закон о международном обмене) под "информационной безопасностью" понимается состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Под "информационной сферой" подразумевается сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации.

В соответствии с руководящим документом Гостехкомиссии России (сейчас - ФСТЭК) "Защита от несанкционированного доступа к информации. Термины и определения" безопасность информации - состояние защищенности информации, обрабатываемой средствами вычислительной техники, от внутренних или внешних угроз.

На практике важнейшими являются три аспекта информационной безопасности:

целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

конфиденциальность (защита от несанкционированного ознакомления);

доступность (возможность за разумное время получить требуемую информационную услугу).

Под конфиденциальной информацией в соответствии с Законом об информации и Законом о международном обмене понимается документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Европейские согласованные критерии оценки безопасности (ITSEC: Information Technology Security Evaluation Criteria) информационных технологий раскрывают данные термины следующим образом:

конфиденциальность - защита от несанкционированного получения информации;

целостность - защита от несанкционированного изменения информации;

доступность - защита от несанкционированного удержания информации и ресурсов.

Дефиниция "несанкционированный доступ" к информации дана в Законе о безопасности - это доступ к информации, нарушающий установленные правила ее получения.

Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на пять уровней:

законодательный (законы, нормативные акты, стандарты и т.п.);

административный (действия общего характера, предпринимаемые руководством организации);

процедурно-социальный (конкретные меры безопасности, имеющие дело с людьми);

технологический;

программно-технический (конкретные технические меры, реализация определенных технологий).

Концепция безопасности и выработанная политика безопасности должны отвечать требованиям специализированных нормативных документов и стандартов, в частности: международных - ISO 17799, 9001, 15408 (CCIMB-99-031), BSI; российских - распоряжения и руководящие документы Гостехкомиссии России (сейчас - ФСТЭК) и ФАПСИ, ГОСТ 34.003, Р 51624, Р 51583 и др.

Первым шагом построения системы безопасности является обследование корпоративной сети. По его итогам разрабатывается комплект документов (концепция информационной безопасности и план защиты), на основе которых будут проводиться все работы по защите информации.

С учетом размеров современных корпораций, количества их филиалов и отделений вычислительные системы для них в основном строятся из значительно разнесенных территориально сегментов. Как правило, такие концерны и компании должны использовать для внутренних нужд глобальные сети общего пользования. Следовательно, необходимо обеспечить защиту потоков корпоративных данных, передаваемых по открытым сетям.

Для защиты от внешних атак со стороны открытых информационных систем, например Интернета, применяется защищенное подключение к подобным сетям. Необходима защита от проникновения в сеть и от утечки информации из сети, для этого осуществляется разграничение "доверенной" (защищаемой) сети от "недоверенной". Подобное защищенное разграничение реализуется при помощи межсетевых экранов.

Требуется также разграничение потоков информации между сегментами сети, соответствующими разным уровням секретности обрабатываемой в них информации.

В настоящее время для крупного предприятия, имеющего сеть филиалов по стране или миру, для успешного ведения бизнеса важна четкая координация в действиях между всеми его филиалами. Для координации бизнес-процессов, протекающих в различных филиалах, необходим обмен информацией между ними. Кроме того, данные, поступающие из различных офисов, аккумулируются для дальнейшей обработки, анализа и хранения в головном офисе. Накопленную централизованную информацию затем используют для решения своих бизнес-задач все филиалы предприятия.

Для организации безопасного обмена данными через открытую информационную среду между филиалами следует создать защищенный канал передачи данных. Под открытой информационной средой подразумеваются вычислительные сети общего пользования.

По статистике 80% компьютерных преступлений совершается сотрудниками предприятия или при их участии. Реализация подобных угроз является внутренней атакой на сеть ее легальным пользователем. Внешняя защита не предназначена для отражения внутренних атак.

Системы обнаружения и отражения внутренних атак совсем недавно появились на рынке. Для осуществления надежной внутренней защиты сетей уровня предприятия рекомендуется использовать автоматизированные средства обнаружения компьютерных атак, сканирование вычислительных сетей в целях выявления информационных уязвимостей, а также организационные меры.

В первую очередь требуется защита наиболее критичных ресурсов сети от вмешательства в нормальный процесс функционирования. Далее по важности: защита важных рабочих мест и ресурсов от НСД. Необходимо выбирать систему защиты, обеспечивающую разграничение доступа в различных операционных системах.

К организационным мерам относятся поднятие общего уровня грамотности пользователей сети в вопросах информационной безопасности, четко оговоренная ответственность сотрудников, периодическое плановое обучение, профилактическая работа администраторов безопасности с пользователями и персоналом вычислительных сетей, выработка корпоративной психологии безопасного использования информационных ресурсов предприятия. Эти методы защиты призваны противостоять применению социальной инженерии: внедрение в доверие и манипулирование сознанием и действиями легальных пользователей сети с целью получить необходимый для злоумышленника результат.

При организации электронного документооборота необходимо обеспечить не только конфиденциальность, но и целостность сообщения (невозможность подменить, изменить сообщение или его авторство). Кроме того, нельзя допустить возможности отказа автора послания от факта отправления подписанного сообщения.

Если информацией обмениваются стороны, не доверяющие друг другу или заинтересованные в проведении действий, направленных друг против друга (банк и клиент, магазин и покупатель), необходимо применять асимметричные методы шифрования, а также электронную цифровую подпись (ЭЦП).

Для защиты от вредоносных программ следует использовать сетевые распределенные антивирусные системы, способные предоставить высокий уровень антивирусной безопасности на всех уровнях и узлах вычислительной системы.

Важно внимательно подходить к решению вопросов по выбору, приобретению, установке, настройке и эксплуатации систем защиты в соответствии с руководящими документами и рекомендациями, разработанными Гостехкомиссией России (ФСТЭК) и ФАПСИ.

Не менее важным является постоянное обучение администраторов безопасности работе с приобретенными средствами защиты. В процессе обучения администратор приобретает базовые знания о технологии обеспечения информационной безопасности, об имеющихся операционных системах, подсистемах безопасности и возможностях изучаемых систем защиты, о технологических приемах, используемых при их настройке и эксплуатации.

Для установленной системы защиты требуется информационное обслуживание по вопросам безопасности. Наличие своевременной информации об обнаруженных уязвимостях и о способах защиты от них, безусловно, поможет предпринять некоторые меры заблаговременно. Источников подобных сведений в настоящее время очень много - это книги, журналы, web-серверы, списки рассылки и т.п.

Корпоративная сеть, подобно живому организму, является постоянно изменяющейся структурой, поэтому необходим периодический аудит системы информационной безопасности.

Нельзя упускать из виду надежность и безопасность программного обеспечения, используемого в телекоммуникационных комплексах, особенно в случаях, когда передаваемая по ним информация составляет охраняемую законом тайну. Вместе с тем применяемые обычно методы тестирования программных продуктов не обеспечивают соблюдения этого требования в надлежащей степени.

Обнаружение атак. В последнее время активно развивается направление разработки программных и аппаратных комплексов, предназначенных для мониторинга работы вычислительной сети в целях обнаружения в ней нелегальных, несанкционированных или иных подозрительных действий пользователей и программ. Любое отклонение от нормального функционирования сетевых интерфейсов и каждый известный сценарий атаки тщательно анализируются этой системой, а также регистрируются в специальных журналах для последующего ознакомления с развитиями событий сетевых администраторов.

Подобные системы снабжаются средствами сигнализации и уведомления ответственных лиц о любых попытках нарушения безопасного состояния информационной системы. Они локализуют место возникновения угрозы, характеризуют уровень критичности реализации данной угрозы и стадию, на которой находится развитие предполагаемой информационной атаки.

Электронная цифровая подпись. Основной целью принятия Закона об ЭЦП являлось обеспечение правовых условий для использования ЭЦП в электронных документах, при соблюдении которых она признается в электронном документе равнозначной собственноручной подписи в документе на бумажном носителе (п. 1 ст. 1). На отношения, возникающие при использовании иных аналогов собственноручной подписи, Закон об ЭЦП не распространяется (п. 2 ст. 1). Данный нормативный акт значительно укрепил правовой статус ЭЦП и регулирует такие аспекты, как организация электронного документооборота, распределение открытых и закрытых ключей, построение центров сертификации. Положения Закона об ЭЦП помогли разрешить многие спорные вопросы о применении ЭЦП. Однако остались некоторые недочеты и пробелы в вопросах реализации систем электронного документооборота.

Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (ст. 3 Закона об ЭЦП).

Электронная подпись документа позволяет установить его подлинность. Кроме того, криптографические средства обеспечивают защиту от следующих злоумышленных деяний, наносящих значительный ущерб субъектам бизнеса во всем мире:

отказ (ренегатство) - абонент А заявляет, что не посылал сообщения Б, хотя на самом деле посылал;

модификация (переделка) - абонент Б изменяет документ и утверждает, что данный документ (измененный) получил от абонента А;

подмена - абонент Б формирует документ (новый) и заявляет, что получил его от абонента А;

активный перехват - нарушитель (подключившийся к сети) перехватывает документы (файлы) и изменяет их;

"маскарад" - абонент В посылает документ от имени абонента А;

повтор - абонент В повторяет ранее переданный документ, который абонент А послал абоненту Б.

(Окончание см. "Финансовая газета. Региональный выпуск", 2007, N 38)

А.Теренин

К. т. н.,

руководитель группы тестирования ПО

GE Money Bank

Подписано в печать

12.09.2007

————