Из чего состоит типовая система IT-безопасности
В статье «Современные киберугрозы» [1] мы рассмотрели спектр существующих на сегодняшний день киберугроз, а также возможные негативные последствия их воздействия на незащищённую IT-инфраструктуру малых и средних предприятий.
Мы пришли к выводу, что для полноценной защиты информационного пространства предприятия, систем хранения и обработки данных требуется не просто установка соответствующего программного обеспечения, но целый комплекс программно-технических, административно-организационных и нормативно-правовых мероприятий.
На этот раз мы попробуем разобраться, что же обычно используется для защиты информации, устройств и носителей, какие технические средства, программное обеспечение, нормативные документы и режимные меры для этого требуются. Причём попытаемся сделать это максимально просто и доступно, не углубляясь в дебри специфических терминов и профессиональные хитрости. Главная наша задача — рассмотреть основные аспекты построения систем IT-безопасности, что уже в какой-то мере позволит, например, руководителю предприятия оценивать степень компетентности ответственного за IT-безопасность специалиста или же выбирать наиболее подходящие предложения от специализирующейся на построении систем защиты компании.
Программно-технические мероприятия
Наиболее известным программным средством защиты является, безусловно, антивирус. Причём современные антивирусы представляют собой уже достаточно сложный, интегрированный продукт, способный защитить непосредственно рабочую станцию, на которую он установлен, не только от вирусов, но и от спама, сетевых вторжений, вредоносных веб-скриптов и тому подобных угроз. В антивирусные пакеты сегодня встраивают даже компоненты, предназначенные для удалённого резервирования важных данных и их шифрования.
В принципе, для применения в малых офисах, где установлено не более пяти компьютеров, и обычного антивируса в ряде случаев может оказаться вполне достаточно. Тем не менее, даже для столь малых компаний удобнее всё-таки специализированное решение — например, Kaspersky Small Office Security (цена — 5900 руб., более чем доступно даже для индивидуальных предпринимателей), рассчитанный на 5 ПК и один сервер и предлагающий в том числе такие функции, отсутствующие у чисто «домашних» продуктов, как централизованное управление безопасностью, ограничение доступа сотрудников к интернету и приложениям, автоматическое резервное копирование по расписанию, хранение ценных данных в зашифрованных файлах-контейнерах, файловый «шредер» для предотвращения восстановления и кражи удалённых документов и так далее. Ключевым же звеном здесь является, пожалуй, именно возможность централизованного управления, поскольку в противном случае на должность системных администраторов приходилось бы набирать как минимум марафонцев-разрядников, способных целый день бегать от компьютера к компьютеру.
Более крупной же компании требуется и более серьёзная функциональность, соответствующая её IT-пространству. Так, довольно распространены в нашей стране бизнес-продукты от компаний Symantec, ESET и всё той же Лаборатории Касперского. На примере пакета «Kaspersky Security для бизнеса» хорошо видна разница между «бытовым» антивирусом и продуктом бизнес-класса. Подобные комплексные решения не только позволяют защищать конечные рабочие станции сотрудников предприятия, но и способны обезопасить почтовые и файловые серверы, интернет-шлюзы, прокси-серверы, серверы совместной работы и так далее. Причём всё это работает не только в среде Windows, но и в других операционных системах и даже на смартфонах.
Тем не менее, как бы ни были многофункциональны подобные программы, абсолютно все задачи IT-безопасности они охватить не в силах. Поэтому в зависимости от того, какие уязвимые точки надо прикрыть в той или иной компании, может потребоваться дополнительное программное обеспечение. Например, одной из часто встречающихся задач в корпоративном секторе является предотвращение утечки конфиденциальных данных. Её решением занимается отдельный класс ПО — так называемые DLP-системы (Data Loss / Leak Prevention). Как правило, они устанавливаются на прокси-серверах, серверах электронной почты, могут присутствовать в сети и в виде отдельных серверов. Устанавливаются их компоненты и на персональных компьютерах работников для контроля таких каналов, как запись информации на компакт-диски, флэш-накопители и т. п. При этом отслеживаются изменение сетевых настроек на рабочих станциях, установка программ для туннелирования, стеганографии и другие возможные методы обхода контроля сотрудниками предприятия. В качестве примера подобной системы приведём ещё один отечественный продукт — InfoWatch Traffic Monitor Enterprise. Он осуществляет мониторинг и анализ данных, отправляемых через почтовые системы, интернет, системы обмена сообщениями, распечатываемых и копируемых на съёмные носители, предотвращая утечку конфиденциальных данных путём блокирования передачи в случае нарушения политик безопасности. Причём, даже если какой-нибудь злоумышленник попробует схитрить и вместо похищения исходного документа сделает его скриншот и уже в виде графического файла попробует переслать или скопировать на внешний носитель, то и в этом случае защита сработает благодаря встроенной технологии распознавания символов.
Точно так же обеспечивается защита и других ключевых процессов — начиная от организации резервного копирования важных данных и шифрования и заканчивая защитой виртуальных машин и облачными технологиями. Не стоит забывать и про системы аутентификации, разграничения и управления доступом, программные решения, осуществляющие аудит и протоколирование действий сотрудников, сетевые экраны и брандмауэры, системы обнаружения и предотвращения вторжений, обеспечение бесперебойного электропитания и так далее. Всё это может потребоваться если не сейчас, то по мере развития информационного пространства компании. Что-то из этого уже «умеют» делать серверные операционные системы, тем не менее, без стороннего, специализированного ПО обойтись, скорее всего, не получится.
Ассортимент такого ПО может в результате получиться чрезвычайно разнообразным, но, разумеется, комплексные интегрированные продукты проще в обслуживании (а следовательно — надёжнее), нежели «сборная солянка» от десятка разных разработчиков. Кроме того, в быстроразвивающихся компаниях меры по информационной безопасности должны соответствовать и растущим запросам предприятия, а потому особое внимание следует обращать на масштабируемые решения. Надо также учитывать, что немаловажным фактором при выборе продукта, обеспечивающего безопасность корпоративной информационной сети, является наличие качественной технической поддержки со стороны разработчика, функционирующей в режиме «24 часа, 7 дней в неделю». Программы эти далеко не так просты, как может показаться, поэтому даже самому выдающемуся администратору может потребоваться помощь в борьбе с очередной вирусной эпидемией или DDoS-атакой.
Многие из подобных решений поставляются не в виде программ, а как уже готовые законченные устройства — высокозащищённые компьютеры и серверы, нередко — на базе специализированных операционных систем. Это могут быть серверы аутентификации, сетевые экраны, спам-фильтры и тому подобное. Подобный подход весьма удобен и позволяет, в частности, создавать многоуровневую систему защиты, однако требует от IT-специалистов весьма высокой квалификации и знаний в самых различных областях — начиная от систем на базе Linux и заканчивая настройкой оборудования Cisco.
Конкретный же набор программно-технических средств, разумеется, зависит от начальных условий. Как мы уже говорили, всё зависит от того, что надо защищать в первую очередь и в каких случаях грозят наиболее существенные потери. В конце концов, дело может дойти и до защиты от «прослушки», когда придётся противостоять не только возможному вибро- и акустическому съёму информации, но и утечке данных по слаботочным цепям, по телефонным линиям, по сетям электропитания. Предела совершенству, как известно, нет.
Административно-организационные мероприятия
Административно-организационные мероприятия нацелены в первую очередь на физическое противодействие внутренним угрозам. Если злоумышленник получил прямой доступ к интересующему его компьютеру, то его задача очень серьёзно упрощается, невзирая на то, какое защитное ПО на нём установлено. Поэтому данные мероприятия включают в себя такие компоненты, как организация режима и охраны всего объекта либо каких-то его критически важных узлов, чтобы исключить возможности проникновения на территорию и в помещения (например, серверные) посторонних лиц или несанкционированный доступ к конфиденциальной информации и компьютерной аппаратуре неуполномоченных на то сотрудников.
Работа сотрудников с документами, в том числе электронными, также должна быть строго регламентирована и систематически контролироваться, включая использование носителей конфиденциальной информации, их учёт, возврат, хранение и уничтожение. При этом помещения, в которых производится обработка или хранение конфиденциальных данных, всевозможные серверные должны соответствовать режимным и иным корпоративным требованиям, вплоть до требований по противопожарной защите и организации видеонаблюдения. Должны быть определены лица, ответственные за хранение и использование средств защиты информации, за выполнение криптографической защиты, за другие критически важные процессы.
Также необходимо разработать процедуры подбора, проверки и обучения персонала, допущенного к конфиденциальной и критически важной информации, методы расследования случаев нарушения режима и должностных инструкций.
Отвечающие же за информационную безопасность службы и сотрудники должны на базе анализа возможных угроз и рисков адекватно выработать и настроить политики безопасности в операционных системах и корпоративных приложениях, организовать протоколирование действий пользователей, работающих на компьютерах, обеспечить работу всех сотрудников исключительно с легальным программным обеспечением. Нельзя забывать и о своевременной профилактике и ремонте технических средств, регулярном обновлении программного обеспечения, проверке работоспособности всех систем.
В идеале должна быть выработана чёткая концепция информационной безопасности, увязанная с общей концепцией безопасности компании. Именно от неё следует отталкиваться при разработке и внедрении технологии обеспечения информационной безопасности. Собственно говоря, даже построение самой информационной системы было бы логичнее начинать только после этого, но на уже действующих предприятиях приходится вписываться в уже имеющуюся инфраструктуру.
Нормативно-правовые мероприятия
Одним из важнейших аспектов при организации системы IT-безопасности является обеспечение правовой базы для её функционирования, в основе которой, разумеется, лежит соблюдение законодательства — как национального, так и международного. Например, использование и обслуживание шифровального оборудования в нашей стране регулируется федеральным законом «О лицензировании отдельных видов деятельности». В результате компании, предполагающей применение шифровального оборудования, чтобы избежать риска штрафных санкций, необходимо получить лицензию на техническое обслуживание шифровальных средств или же поручить обслуживание данных средств фирме, уже имеющей такую лицензию. В ряде случаев, например, при организации защищённого канала связи с удалёнными офисами, можно, конечно, отказаться от собственного криптографического оборудования и использовать соответствующие услуги интернет-провайдера, но надо отдавать себе отчёт в том, что риск утечки конфиденциальных данных через провайдера при этом серьёзно возрастает.
Но только лишь законодательством (а это, например, ещё один важный федеральный закон, прямо касающийся IT-безопасности — «О персональных данных») дело не ограничивается. Нельзя оставлять без внимания и другие документы и подзаконные акты, прямо или косвенно касающиеся организации системы информационной безопасности:
- указы Президента РФ;
- постановления правительства РФ;
- нормативные правовые акты федеральных министерств и ведомств;
- нормативные правовые акты субъектов РФ, органов местного самоуправления;
- доктрину информационной безопасности РФ;
- руководящие документы ФСТЭК (Гостехкомиссии России);
- приказы ФСБ;
- международные стандарты;
- государственные (национальные) стандарты РФ;
- рекомендации по стандартизации;
- методические указания.
Например, в банковской сфере предусмотрен целый комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законодательства — Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС).
К организационно-правовым мероприятиям относится и разработка определённых внутренних документов самих предприятий и организаций, регламентирующих степень и порядок допуска собственных сотрудников, а также сторонних лиц и организаций к конкретным информационным ресурсам. Трудовой договор или контракт с сотрудником, а также должностные инструкции (приказы, директивы, положения и т. п.), должны чётко регламентировать права и обязанности сотрудника, касающиеся сферы ИБ, его ответственность в случае их нарушения, конкретизировать другие вопросы защиты конфиденциальной информации на предприятии. Грубо говоря, каждый сотрудник должен знать правила информационной безопасности, что он может делать, а что — нет. Какие программы он может устанавливать на свой рабочий ПК, какими веб-ресурсами может пользоваться, какие санкции предусмотрены за нарушения и так далее. При необходимости можно организовать подписку о сохранении коммерческой тайны. Не обойтись и без установления персональной ответственности всех должностных лиц предприятия за решение вопросов защиты информации.
Резюмируя наш беглый обзор, ещё раз скажем, что именно комплексный подход к организации защиты информационного пространства является наиболее эффективным и способен наиболее полно противостоять постоянно растущему числу киберугроз при работе с современными средствами компьютерной связи и электронного документооборота.