Политики хранения и ввода ключевой информации.
Методы и средства защиты информации
Лекция 14
Комплексная система безопасности
Основная рекомендация по разработке системы безопасности – комплексный подход к этой проблеме. Существует множество методик, обеспечивающих выявление самых уязвимых мест в структуре работы с информацией. Комплекс превентивных мер против атак на информацию называется политикой безопасности предприятия.
1. Классификация информационных объектов
Обрабатываемые данные могут классифицироваться согласно различным категориям информационной безопасности: требованиям к их доступности (безотказности служб), целостности, конфиденциальности.
1.1. Классификация по требуемой степени безотказности
От различных типов данных требуется различная степень безотказности доступа. Тратить большие деньги на системы безотказности для не очень важной информации невыгодно и даже убыточно, но нельзя и неправильно оценивать действительно постоянно требуемую информацию – ее отсутствие в неподходящий момент также может принести значительные убытки.
Безотказность, или надежность доступа к информации, является одной из категорий информационной безопасности. Предлагается следующая схема классификации информации на 4 уровня безотказности.
| Параметр | класс 0 | класс 1 | класс 2 | класс 3 |
| Максимально возможное непрерывное время отказа | 1 неделя | 1 сутки | 1 час | 1 час |
| В какое время время отказа не может превышать указанное выше ? | в рабочее | в рабочее | в рабочее | 24 часа в сутки |
| Средняя вероятность доступности данных в произвольный момент времени | 80% | 95% | 99.5% | 99.9% |
| Среднее максимальное время отказа | 1 день в неделю | 2 часа в неделю | 20 минут в неделю | 12 минут в месяц |
1.2. Классификация по уровню конфиденциальности
Классификация по степени конфиденциальности – одна из основных и наиболее старых классификаций данных. Она применялась еще задолго до появления вычислительной техники и с тех пор изменилась незначительно.
Уровень конфиденциальности информации является одной из самых важных категорий, принимаемых в рассмотрение при создании определенной политики безопасности учреждения. Предлагается следующая схема классификации информации на 4 класса по уровню ее конфиденциальности.
| Класс | Тип информации | Описание | Примеры |
| 0 | открытая информация | общедоступная информация | информационные брошюры, сведения, публиковавшиеся в СМИ |
| 1 | внутренняя информация | информация, недоступная в открытом виде, но не несущая никакой опасности при ее раскрытии | финансовые отчеты и тестовая информация за давно прошедшие периоды, отчеты об обычных заседаниях и встречах, внутренний телефонный справочник фирмы |
| 2 | конфиденциальная информация | раскрытие информации ведет к значительным потерям на рынке | реальные финансовые данные, планы, проекты, полный набор сведений о клиентах, информация о бывших и нынешних проектах с нарушениями этических норм |
| 3 | секретная информация | раскрытие информации приведет к финансовой гибели компании | (зависит от ситуации) |
1.3. Требования по работе с конфиденциальной информацией
Различные классы конфиденциальной информации необходимо снабжать различными по уровню безопасности системами технических и административных мер.
При работе с информацией 1-го класса конфиденциальности рекомендуется выполнение следующих требований:
· осведомление сотрудников о закрытости данной информации,
· общее ознакомление сотрудников с основными возможными методами атак на информацию
· ограничение физического доступа
· полный набор документации по правилам выполнения операций с данной информацией
При работе с информацией 2-го класса конфиденциальности к перечисленным выше требованиям добавляются следующие:
· расчет рисков атак на информацию
· поддержания списка лиц, имеющих доступ к данной информации
· по возможности выдача подобной информации под расписку (в т.ч. электронную)
· автоматическая система проверки целостности системы и ее средств безопасности
· надежные схемы физической транспортировки
· обязательное шифрование при передаче по линиям связи
· схема бесперебойного питания ЭВМ
При работе с информацией 3-го класса конфиденциальности ко всем перечисленным выше требованиям добавляются следующие:
· детальный план спасения либо надежного уничтожения информации в аварийных ситуациях (пожар, наводнение, взрыв)
· защита ЭВМ либо носителей информации от повреждения водой и высокой температурой
· криптографическая проверка целостности информации
2. Политика ролей
Ролями называются характерные наборы функций и степени ответственности, свойственные теми или иными группами лиц. Четкое определение ролей, классификация их уровней доступа и ответственности, составление списка соответствия персонала тем или иным ролям делает политику безопасности в отношении рабочих и служащих предприятия четкой, ясной и легкой для исполнения и проверки.
Функции каждого человека, так или иначе связанного с конфиденциальной информацией на предприятии, можно классифицировать и в некотором приближении формализовать. Подобное общее описание функций оператора носит название роли. В зависимости от размеров предприятия некоторые из перечисленных ниже ролей могут отсутствовать вообще, а некоторые могут совмещаться одним и тем же физическим лицом.
Специалист по информационной безопасности играет основную роль в разработке и поддержании политики безопасности предприятия. Он проводит расчет и перерасчет рисков, ответственен за поиск самой свежей информации об обнаруженных уязвимостях в используемом в фирме программном обеспечении и в целом в стандартных алгоритмах.
Владелец информации – лицо, непосредственно работающее с данной информацией, (не нужно путать с оператором). Зачастую только он в состоянии реально оценить класс обрабатываемой информации, а иногда и рассказать о нестандартных методах атак на нее (узкоспецифичных для этого вида данных). Владелец информации не должен участвовать в аудите системы безопасности.
Поставщик аппаратного и программного обеспечения. Обычно стороннее лицо, которое несет ответственность перед фирмой за поддержание должного уровня информационной безопасности в поставляемых им продуктов.
Разработчик системы и/или программного обеспечения играет основную роль в уровне безопасности разрабатываемой системы. На этапах планирования и разработки должен активно взаимодействовать со специалистами по информационной безопасности.
Линейный менеджер или менеджер отдела является промежуточным звеном между операторами и специалистами по информационной безопасности. Его задача – своевременно и качественно инструктировать подчиненный ему персонал обо всех требованиях службы безопасности и следить за ее их выполнением на рабочих местах. Линейные менеджеры должны быть осведомлены о всей политике безопасности предприятия, но доводить до сведения подчиненных только те ее аспекты, которые непосредственно их касаются.
Операторы – лица, отвественные только за свои поступки. Они не принимают никаких решений и ни за кем не наблюдают. Они должны быть осведомлены о классе конфиденциальности информации, с которой они работают, и о том, какой ущерб будет нанесен фирмы при ее раскрытии.
Аудиторы – внешние специалисты или фирмы, нанимаемые предприятием для периодической (довольно редкой) проверки организации и функционирования всей системы безопасности.
3. Создание политики информационной безопасности
Методика создания политики безопасности предприятия состоит из учета основных (наиболее опасных) рисков информационных атак, современной ситуации, факторов непреодолимой силы и генеральной стоимости проекта.
Политика безопасности – это комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии. Политика безопасности включает в себя требования в адрес персонала, менеджеров и технических служб. Основные направления разработки политики безопасности:
· определение какие данные и насколько серьезно необходимо защищать,
· определение кто и какой ущерб может нанести фирме в информационном аспекте,
· вычисление рисков и определение схемы уменьшения их до приемлемой величины.
Существуют две системы оценки текущей ситуации в области информационной безопасности на предприятии. Они получили образные названия "исследование снизу вверх" и "исследование сверху вниз". Первый метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме: "Вы – злоумышленник. Ваши действия?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.
Метод "сверху вниз" представляет собой, наоборот, детальный анализ всей существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этап производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).
Далее следует выяснение насколько серьезный ущерб может принести фирме раскрытие или иная атака на каждый конкретный информационный объект. Этот этап носит название "вычисление рисков". В первом приближении риском называется произведение "возможного ущерба от атаки" на "вероятность такой атаки". Существует множество схем вычисления рисков, остановимся на одной из самых простых.
Ущерб от атаки может быть представлен неотрицательным числом в приблизительном соответствии со следующей таблицей:
| Величина ущерба | Описание |
| 0 | Раскрытие информации принесет ничтожный моральный и финансовый ущерб фирме |
| 1 | Ущерб от атаки есть, но он незначителен, основные финансовые операции и положение фирмы на рынке не затронуты |
| 2 | Финансовые операции не ведутся в течение некоторого времени, за это время фирма терпит убытки, но ее положение на рынке и количество клиентов изменяются минимально |
| 3 | Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов |
| 4 | Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы. |
| 5 | Фирма прекращает существование |
Вероятность атаки представляется неотрицательным числом в приблизительном соответствии со следующей таблицей:
| Вероятность | Средняя частота появления |
| 0 | Данный вид атаки отсутствует |
| 1 | реже, чем раз в год |
| 2 | около 1 раза в год |
| 3 | около 1 раза в месяц |
| 4 | около 1 раза в неделю |
| 5 | практически ежедневно |
Необходимо отметить, что классификацию ущерба, наносимого атакой, должен оценивать владелец информации, или работающий с нею персонал. А вот оценку вероятности появления атаки лучше доверять техническим сотрудникам фирмы.
Следующим этапом составляется таблица рисков предприятия. Она имеет следующий вид:
| Описание атаки | Ущерб | Вероятность | Риск (=Ущерб*Вероятность) |
| Спам (переполнение почтового ящика) | 1 | 4 | 4 |
| Копирование жесткого диска из центрального офиса | 3 | 1 | 3 |
| ... | ... | ... | 2 |
| Итого: | 9 | ||
На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 7. Сначала проверяется каждая строка таблицы на не превышение риска этого значения. Если такое превышение имеет место, значит, данная строка – это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 7*2=14) с интегральным риском (ячейка "Итого"). Если интегральный риск превышает допустимое значение, значит, в системе набирается множество мелких огрешностей в системе безопасности, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дает самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.
На самом ответственном этапе производится собственно разработка политики безопасности предприятия, которая обеспечит надлежащие уровни как отдельных рисков, так и интегрального риска. При ее разработке необходимо, однако, учитывать объективные проблемы, которые могут встать на пути реализации политики безопасности. Такими проблемами могут стать законы страны и международного сообщества, внутренние требования корпорации, этические нормы общества.
После описания всех технических и административных мер, планируемых к реализации, производится расчет экономической стоимости данной программы. В том случае, когда финансовые вложения в программу безопасности являются неприемлимыми или просто экономически невыгодными по сравнению с потенциальным ущербом от атак, производится возврат на уровень, где мы задавались максимально допустимым риском 7 и увеличение его на один или два пункта.
Завершается разработка политики безопасности ее утверждением у руководства фирмы и детальным документированием. За этим должна следовать активная реализация всех указанных в плане компонентов. Перерасчет таблицы рисков и, как следствие, модификация политики безопасности фирмы чаще всего производится раз в два года.
Политики хранения и ввода ключевой информации.
Локальные политики.
1. Политика использования одного ключа шифрования.
Это наиболее широко используемая сегодня на практике ключевая политика. Суть ее состоит в следующем. Ключ шифрования присваивается файловому объекту (это позволяет использовать возможность шифрования данных, как дополнительный атрибут доступа к файловым объектам), при доступе к которому, сохраняемые/считываемые в нем/из него файлы автоматически преобразуются с использованием данного ключа. Также данный ключ может использоваться для идентификации пользователя, с целью предоставления запрашиваемого им доступа к файловому объекту (функция контроля доступа). Следуя тому, что ключ шифрования не должен храниться вместе с зашифрованными им данными, ключ должен располагаться на каком-либо внешнем носителе, например, на Flash-устройстве, подключаемом при доступе к объекту, либо вводиться пользователем с клавиатуры.
К недостаткам (уязвимостям) данной политики можно отнести следующее:
o Данная политика не обеспечивает защиту от несанкционированного доступа к зашифрованным данным в случае утери (хищения) у пользователя носителя с ключевой информацией. В части замечания отметим, что данный недостаток преодолевается за счет использования специальных электронных ключей, требующих прохождения авторизации пользователем для считывания ключевой информации. Однако, использование подобных ключей приводит к значительному удорожанию системы защиты данных;
o Данная политика не обеспечивает выполнения требования в части того, что ключ шифрования должен быть не известен пользователю, как следствие, при ее применении невозможно воспрепятствовать пользователю в хищении конфиденциальных данных (у пользователя существуют все условия несанкционированного доступа к конфиденциальным данным: собственно зашифрованные данные, например, на внешнем носителе, и ключ, которым они были зашифрованы, как следствие, могут быть расшифрованы).
2. Политики использования двух или более ключей шифрования.
Суть данных политик состоит в том, что для шифрования (расшифрования) данных используются два ключа - основной и дополнительный. При этом основной ключ предназначен для шифрования (расшифрования) собственно данных, дополнительный - для шифрования (расшифрования) основного ключа. Рассмотрим эти политики в соответствии с их назначением:
o Защита ключевой информации от утери (хищения) носителя. Данная политика реализуется следующим образом. Основной ключ шифрования должен храниться в файле внешнего устройства - на носителе (например, в файле на Flash-устройстве), которое может быть утеряно, либо похищено у пользователя. Для защиты ключевой информации, хранящейся в файле устройства (именно им шифруются файловые объекты - данные), данный ключ, также как файловый объект, шифруется другим ключом (дополнительным), например, в режиме ввода ключа с клавиатуры - парольная фраза (здесь может использоваться любой из предоставляемых системой защиты способов хранения и ввода ключа). При этом файл с защищаемой ключевой информацией (основной ключ) должен быть включен в группу объектов, шифруемых дополнительным ключом. Основной ключ при хранении будет зашифрован дополнительным ключом. Для прочтения зашифрованных данных потребуется сначала с использованием дополнительного ключа расшифровать основной ключ (осуществив идентификацию пользователя для группы объектов, в которую включен основной ключ шифрования), затем идентифицировать из ключом файла (при этом основной ключ уже будет считан в расшифрованном виде) пользователя для доступа к группе объектов, где хранятся защищаемые данные. Таким образом, при реализации такой политики ключ, шифрующий данные, зашифрован другим ключом, например, парольной фразой, т.е. его утеря или хищение не приведут к несанкционированному прочтению данных.
Видим, что в отличие от предыдущей политики, в части защиты данных от утери (хищения) ключа шифрования, здесь не требуется использовать дорогостоящих ключей, реализующих функцию, так называемой, двухфакторной авторизации.
o Доступ к защищаемым данным по двум ключам. Суть реализации данной политики та же, что и предыдущей политики. Особенность состоит в том, что ключи (основной и дополнительный) должны быть у различных пользователей (заметим, один ключ - обязательно в файловом объекте, например, на Flash-устройстве, другой - может храниться любым предоставляемым системой защиты способом). При этом доступ к данным (соответственно, преобразование данных) возможно только в присутствии обоих пользователей (каждый должен осуществить идентификацию для доступа к объектам соответствующей группы по своему ключу). Любого одного из двух ключей для преобразования защищаемых данных будет недостаточно. Таким образом, может быть реализован доступ к защищаемым данным по любому числу ключей, при этом доступ к данным будет возможен лишь в присутствии всех пользователей, имеющих соответствующие ключи.
Данная политика может быть использована на практике для обеспечения контроля доступа к особо важным данным, осуществляемого, например, пользователем только в присутствии начальника подразделения, т.е. обеспечивает техническими средствами возможность реализации дополнительных организационный мер защиты обработки особо важных данных.
o Защита ключевой информации от несанкционированного прочтения пользователем. Суть реализации данной политики та же, что и предыдущей политики. Особенность состоит в том, что ключи (основной и дополнительный) должны распределяться следующим образом - дополнительный ключ у пользователя (может храниться любым предоставляемым системой защиты способом), основной (которым собственно шифруются данные) в отдельном файле на компьютере. При реализации подобной политики, обеспечивается возможность расшифровывать защищаемые данные пользователем только на том компьютере, в файле которого находится основной ключ, который не может быть похищен, т.к. зашифрован дополнительным ключом пользователя. При этом наличие ключа и носителя с зашифрованными данными не позволят пользователю несанкционированно (в частности, на другом компьютере) прочитать данные.
4. Методы обеспечения безотказности
Безотказность сервисов и служб хранения данных достигается с помощью систем самотестирования и внесения избыточности на различных уровнях: аппаратном, программном, информационном.
Методы поддержания безотказности являются смежной областью в схемах комплексной информационной безопасности предприятия. Основным методом в этой сфере является внесение избыточности. Она может реализовываться в системе на трех уровнях: уровне данных (или информации), уровне сервисов (или приложений) и уровне аппаратного обеспечения.
Внесение избыточности на уровне данных практикуется достаточно давно: это резервное копирование и помехоустойчивое кодирование. Резервное копирование выполняется обычно при хранении информации на современных запоминающих устройствах (поскольку для них в аварийной ситуации характерен выход из строя больших блоков данных целиком – трудновосстановимое с помощью помехоустойчивого кодирование повреждение). А вот использование кодов с обнаружением и некоторым потенциалом для исправления ошибок получило широкое применение в средствах телекоммуникации.
Внесение избыточности на уровне приложений используется гораздо реже. Однако, многие, особенно сетевые, службы изначально поддерживают возможность работы с резервным или вообще с неограниченным заранее неизвестным количеством альтернативных служб. Введение такой возможности рекомендуется при разработке программного обеспечения, однако, сам процесс автоматического переключения на альтернативную службу должен подтверждаться криптографическим обменом первоначальной (установочной) информацией. Это необходимо делать для того, чтобы злоумышленник не мог, выведя из строя реальный сервис, навязать Вашей программе свой сервис с фальсифицированной информацией.
Внесение избыточности на аппаратном уровне реализуется обычно в отношении периферийных устройств (накопители на гибких и жестких дисках, сетевые и видео- адаптеры, мониторы, устройства ввода информации от пользователя). Это связано с тем, что дублирование работы основных компонентов ЭВМ (процессора, ОЗУ) гораздо проще выполнить, установив просто полноценную дублирующую ЭВМ с теми же функциями. Для автоматического определения работоспособности ЭВМ в программное обеспечение встраиваются либо 1) проверка контрольных сумм информации, либо 2) тестовые примеры с заведомо известным результатом, запускаемые время от времени, либо 3) монтирование трех и более дублирующих устройств и сверка их выходных результаты по мажоритарному правилу (каких результатов больше – те и есть правильные, а машины, выдавшие не такие результаты, выведены из строя).
Внутренние ИТ-угрозы.
До настоящего времени, в качестве основной задачи защиты конфиденциальной информации, общепринято было рассматривать ее защиту от внешних угроз. Как следствие, это привело к кардинальному перераспределению источников угроз - доминировать стали внутренние угрозы. Защитить информацию от внутренних угроз не сравнимо сложнее, чем от внешних. Важнейшей становится задача защиты информации от возможности ее хищения санкционированным пользователем (или, как сейчас говорят, инсайдером). Решение данной задачи предполагает необходимость пересмотреть ключевые требования к механизмам защиты.
В России были проведены исследования в период с 01.09 по 01.12 2005 г. были опрошены представители 315 государственных и коммерческих организаций Российской Федерации. Опрос проводился среди посетителей крупнейших отечественных ИТ-выставок, семинаров и конференций, организованных InfoWatch и ее партнерами, а также непосредственно у респондентов тремя путями – при личной встрече в рамках устного интервью, с помощью телефонного интервью или по электронной почте.
Некоторые результаты данного исследования:
- В России только начинает формироваться культура профессионального отношения к ИБ: лишь 16% респондентов имеет выделенные отделы ИБ. В 94% случаев эти отделы были сформированы в течение последних 2 лет.
- 62% респондентов считают, что действия инсайдеров являются самой большой угрозой для российских организаций.
- 87% считают технические средства эффективным способом защиты. Однако всего 1% респондентов используют их, в то время как 68% вообще не предпринимают никаких действий.
- Российские организации осознают опасность внутренних ИТ-угроз, но не знают как с ней бороться: 58% не осведомлены о существующих технологических решениях.
- 76% планируют внедрение систем защиты от нарушения конфиденциальности информации в ближайшие 2 года.
- Чем больше организация, тем выше озабоченность угрозой утечки конфиденциальной информации.
Мнения респондентов практически совпадает, в части определения наиболее опасных ИТ-угроз, что проиллюстрировано на рис. 1.
Рис. 1.
Наибольшего внимания заслуживает спад обеспокоенности специалистов об угрозе со стороны вирусов (снижение составило 11%) и некоторый рост показателя в отношении спама (7%). Эти изменения имеют логическое объяснение. ИТ-сообщество уже давно выработало эффективные средства противодействия вредоносным программам и, как будет видно из нижеследующих вопросов, практически повсеместно установило антивирусные средства. Сообщения о новых эпидемиях, на протяжении последних лет занимавшие заголовки масс-медиа, похоже, «приелись» и уже воспринимаются специалистами как неизбежный информационный шум. В то же время, борьба со спамом не может похвастаться столь значительными успехами: по данным «Лаборатории Касперского», доля нежелательной корреспонденции в общем потоке почтового трафика в 2005 г. составила около 80%. Неудивительно, что эта проблема вызывает повышенное раздражение пользователей. Сегодня вирусы и хакеры больше напоминают неизбежное зло, которое все знают и уже не воспринимают как нечто из ряда вон выходящее. Противоположность тому – инсайдеры: их тоже все знают, но еще не умеют эффективно защищаться.
Вместе с тем, на практике сегодня широко применяются средства защиты, отнюдь не предназначенные для противодействия этим угрозам, что иллюстрирует рис.2. Естественно, что эти результаты исследований напрямую зависимы - из рис.2 следуют результаты, представленные на рис.1.
Большая часть респондентов просто не знает, как подойти к решению данных задач, при этом заметим, что доминирующая их часть вполне обоснованно считает, что решение состоит в использовании технических средств защиты компьютерной информации.
Почему же на практике сегодня не решаются наиболее актуальные задачи защиты конфиденциальной информации? Тому есть ряд причин. Во-первых, в основе архитектуры защиты современных универсальных ОС (в частности, ОС семейств Windows и Unix) лежит принцип "ПОЛНОГО ДОВЕРИЯ К ПОЛЬЗОВАТЕЛЮ". По-видимому, это обусловливается самой историей создания данных системных средств, изначально операционные системы создавались как персональные ОС. Как следствие, наверное, не стоит ждать от разработчиков ОС быстрой адаптации возможностей механизмов защиты, встроенных в ОС, применительно к защите информации от санкционированного пользователя, т.к. решение данной задачи требует кардинального пересмотра самой архитектуры системных средств (при этом необходимо учитывать, что в современной конкурентной борьбе мало кто может себе позволить создание сложного системного средства "с нуля" - без использования наработанного десятилетиями программного кода).
Рис. 2.
На основании этого можно сделать вывод, что, по крайней мере, в ближайшее время (исчисляемое годами) решение данной задачи может осуществляться лишь добавочными средствами защиты информации.
Во-вторых, в требованиях к добавочным средствам защиты, в частности, сформулированных в соответствующих нормативных документах в области защиты информации, задача защиты информации от несанкционированных пользователей не определена, как таковая, поэтому и требования не адаптированы к решению данной задачи.
Как следствие, разработчики средств добавочной защиты, реализуя данные требования, что является для них обязательным, не пытаются решить рассматриваемые в работе наиболее актуальные задачи защиты конфиденциальной информации. В-третьих, задача защиты от санкционированного пользователя на порядки сложнее, чем от внешних угроз. Ее эффективное решение требует совершенно новых подходов при построении системы защиты, требует проведения серьезных исследований, разработки и внедрения новых технологий и технических решений по реализации основных механизмов защиты. Но далеко не все разработчики средств защиты (а точнее сказать, подавляющая их часть) обладают подобными технологиями и проводят необходимые исследования в этом направлении. Результатом этого является то, что создаваемые ими добавочные средства защиты в той или иной мере повторяют (а то и просто используют) возможности встроенных в ОС механизмов защиты, в результате чего, разрабатываемые ими добавочные средства защиты становятся бесполезными в части решения рассматриваемых здесь задач защиты информации от возможности ее хищения санкционированными пользователями - на сегодняшний день - наиболее актуальных задач защиты конфиденциальной информации.
Если мы говорим об идентификации и аутентификации пользователя при входе в систему, то для защиты от внешней угрозы возможно решение этой задачи еще до загрузки ОС. Говоря же о защите от инсайдеров, уже необходимо усиливать этот механизм для всех возможностей входа в систему и смены текущего пользователя, предоставляемых ОС, в том числе и в режиме Safe Mode (вход в который ОС предоставляет обычному пользователю, и в котором можно просто отключить компоненты добавочной защиты). Здесь уже актуальной становится задача контроля заимствования пользователем маркеров безопасности других пользователей, контроля олицетворения маркеров безопасности и т.д. Т.е. задача многократно усложняется.
Если мы говорим о контроле доступа к ресурсам, то, прежде всего, что наиболее очевидно, появляется проблема полноценного разграничения доступа к устройствам (в части подключения устройств ОС Windows предоставляет массу возможностей, в том числе, и возможность взаимодействия с мобильным телефоном, кстати говоря, не контролируя их). А если требуется одному и тому же пользователю на одном и том же компьютере обеспечить возможность и обработки конфиденциальной информации, и работы с сетевыми ресурсами. Здесь вообще задача защиты формулируется принципиально иначе. Уже необходимо реализовать разграничение прав доступа к файловым объектам для приложений, решить задачу их изоляции (например, предотвратить возможность взаимодействия приложений с использованием буфера обмена) и т.д. Если различные пользователи на одном компьютере имеют различные права обработки информации, необходимо предотвратить возможность обмена ими информации, в частности разделить между ними файловые объекты, неразделяемые системой и приложениями.
Если коснуться вопросов криптографической защиты данных, сразу возникает необходимость реализации следующих противоречивых требований к реализации ключевой политики:
Ключ шифрования не должен храниться вместе с зашифрованными им данными;
Ключ шифрования должен принадлежать пользователю для его ввода при доступе к зашифрованным данным;
Ключ шифрования не должен быть известен пользователю, в противном случае невозможно воспрепятствовать санкционированному пользователю в хищении конфиденциальных данных.
Приведенных примеров вполне достаточно, чтобы сделать вывод о том, что требования к средствам защиты от внешних и от внутренних угроз кардинально различаются. Следствием этого является то, что большая часть средств защиты, в том числе и добавочной, представленных сегодня на рынке, созданных для противодействия внешним угрозам, не может применяться в данных приложениях (применяться, конечно, может, но это не только неэффективно, но, вообще говоря, во многом бессмысленно).
Вывод. Защита от внутренних угроз - это вполне самостоятельная задача защиты информации, требующая разработки инновационных технологий и новых средств добавочной защиты, а также адаптации, применительно к этой задаче, требований к средствам защиты информации, сформулированных в соответствующих нормативных документах.
Отметим, что в части реализации подобных требований сегодня на рынке можно выделить разработки ЗАО "НПП "Информационные технологии в бизнесе": Комплексная система защиты информации (КСЗИ) "Панцирь-К" для ОС Windows 2000/XP/2003 и Система защиты данных (СЗД) "Панцирь" для ОС Windows 2000/XP/2003 и это не случайно, т.к. данные средства защиты изначально создавались с целью обеспечения эффективной защиты конфиденциальной информации от возможности ее хищения санкционированными пользователями.
Рис. 3
IDS/IPS – системы обнаружения и предотвращения вторжений.
Внутренние ИТ-угрозы, в частности кража информации и халатность собственных сотрудников остаются главной опасностью для российских организаций. На фоне незначительного снижения общего индекса обеспокоенности информационной безопасностью, эта угроза остается на прежнем уровне и превосходит по значимости все остальные. В то же время интерес к вирусным эпидемиям и хакерским атакам постепенно снижается и эти проблемы переходят в разряд информационного шума. Государственный и коммерческий сектор практически повсеместно установили высокоэффективные системы защиты от внешних ИТ-угроз, но до сих пор остаются уязвимыми перед угрозами внутренними.
С точки зрения защиты от утечки конфиденциальной информации российские организации движутся в правильном направлении, но недостаточно быстрыми темпами. В стране уже сложилась очень сильная профессиональная основа даже для таких сложных проектов, осознание актуальности защиты достигло критической точки, однако заказчики все еще не готовы переходить «от слов к делу». Основными препятствиями на этом пути является психологическая неготовность, а также неосведомленность о существующих технологических решениях, нехватка квалифицированных специалистов и отсутствие федеральных стандартов и обязательных требований. Одновременно ощущается влияние иностранных стандартов, мотивирующих организации, вовлеченные в международную деятельность к внедрению специализированных средств защиты данных.
В целом изменения в стране с точки зрения защиты конфиденциальной информации можно признать положительными, хотя общей ситуации далеко до идеала. Россия успешно преодолела первый, но очень важный этап осознания актуальности проблемы. В дальнейшем предстоит преодолеть долгий, насыщенный трудностями путь выбора решений и их внедрения.