Перейти к контенту ↓

Из чего состоит типовая система IT-безопасности

Сергей Трошин

В статье «Современные киберугрозы» [1] мы рассмотрели спектр сущест­вующих на сегодняшний день киберугроз, а также возможные негативные последствия их воздействия на неза­щищённую IT-инфра­структуру малых и средних предприятий.

Мы пришли к выводу, что для полно­ценной защиты информа­ционного пространства предприятия, систем хранения и обработки данных требуется не просто установка соответ­ствующего программного обеспечения, но целый комплекс программно-технических, админи­стративно-организа­ционных и нормативно-правовых мероприятий.

На этот раз мы попробуем разобраться, что же обычно исполь­зуется для защиты информации, устройств и носителей, какие технические средства, программное обеспечение, нормативные документы и режимные меры для этого требуются. Причём попытаемся сделать это макси­мально просто и доступно, не углубляясь в дебри специфи­ческих терминов и профессио­нальные хитрости. Главная наша задача — рассмотреть основные аспекты построения систем IT-безопасности, что уже в какой-то мере позволит, например, руководителю предприятия оценивать степень компетентности ответст­венного за IT-безопасность специалиста или же выбирать наиболее подходящие предложения от специали­зирую­щейся на построении систем защиты компании.

Программно-технические мероприятия

Наиболее известным программным средством защиты является, безусловно, анти­вирус. Причём современные анти­вирусы представляют собой уже достаточно сложный, интегри­рованный продукт, способный защитить непосре­дственно рабочую станцию, на которую он установлен, не только от вирусов, но и от спама, сетевых вторжений, вредо­носных веб-скриптов и тому подобных угроз. В анти­вирусные пакеты сегодня встраивают даже компоненты, пред­наз­наченные для удалённого резервирования важных данных и их шифрования.

В принципе, для применения в малых офисах, где установлено не более пяти компьютеров, и обычного анти­вируса в ряде случаев может оказаться вполне достаточно. Тем не менее, даже для столь малых компаний удобнее всё-таки специали­зированное решение — например, Kaspersky Small Office Security (цена — 5900 руб., более чем доступно даже для индиви­дуальных пред­прини­мателей), рассчитанный на 5 ПК и один сервер и пред­лагающий в том числе такие функции, отсутст­вующие у чисто «домашних» продуктов, как централи­зованное управление безопасностью, ограничение доступа сотрудников к интернету и приложениям, авто­мати­ческое резервное копирование по рас­писанию, хранение ценных данных в зашиф­рованных файлах-контейнерах, файловый «шредер» для предотвращения восста­новления и кражи удалённых документов и так далее. Ключевым же звеном здесь является, пожалуй, именно возможность централи­зованного управления, поскольку в противном случае на должность системных админис­траторов приходи­лось бы набирать как минимум марафонцев-разрядников, способных целый день бегать от компьютера к компьютеру.

Более крупной же компании требуется и более серьёзная функцио­нальность, соответ­ствующая её IT-пространству. Так, довольно распро­странены в нашей стране бизнес-продукты от компаний Symantec, ESET и всё той же Лаборатории Касперского. На примере пакета «Kaspersky Security для бизнеса» хорошо видна разница между «бытовым» анти­вирусом и продуктом бизнес-класса. Подобные комп­лексные решения не только позволяют защищать конечные рабочие станции сотрудников предприятия, но и способны обезопасить почтовые и файловые серверы, интернет-шлюзы, прокси-серверы, серверы совместной работы и так далее. Причём всё это работает не только в среде Windows, но и в других опера­ционных системах и даже на смартфонах.

Тем не менее, как бы ни были много­функцио­нальны подобные программы, абсолютно все задачи IT-безопасности они охватить не в силах. Поэтому в зависимости от того, какие уязвимые точки надо прикрыть в той или иной компании, может потребо­ваться дополни­тельное программное обеспечение. Например, одной из часто встреча­ющихся задач в корпоративном секторе является предотв­ращение утечки конфиден­циальных данных. Её решением занимается отдельный класс ПО — так называемые DLP-системы (Data Loss / Leak Prevention). Как правило, они устанав­ливаются на прокси-серверах, серверах электронной почты, могут присут­ствовать в сети и в виде отдельных серверов. Устанав­ливаются их компоненты и на персо­нальных компьютерах работников для контроля таких каналов, как запись информации на компакт-диски, флэш-накопители и т. п. При этом отслежи­ваются изменение сетевых настроек на рабочих станциях, установка программ для туннели­рования, стегано­графии и другие возможные методы обхода контроля сотрудниками предприятия. В качестве примера подобной системы приведём ещё один отечес­твенный продукт — InfoWatch Traffic Monitor Enterprise. Он осуще­ствляет мониторинг и анализ данных, отправляемых через почтовые системы, интернет, системы обмена сообщениями, распеча­тываемых и копируемых на съёмные носители, предотвращая утечку конфиден­циальных данных путём блоки­рования передачи в случае нарушения политик безопасности. Причём, даже если какой-нибудь зло­умыш­ленник попробует схитрить и вместо похищения исходного документа сделает его скриншот и уже в виде графического файла попробует переслать или скопировать на внешний носитель, то и в этом случае защита сработает благодаря встроенной технологии распоз­навания символов.

Точно так же обеспечивается защита и других ключевых процессов — начиная от организации резервного копирования важных данных и шифрования и заканчивая защитой виртуальных машин и облачными техно­логиями. Не стоит забывать и про системы аутенти­фикации, разграничения и управления доступом, программные решения, осущест­вляющие аудит и протоко­лирование действий сотрудников, сетевые экраны и бранд­мауэры, системы обнаружения и предотв­ращения вторжений, обеспечение бес­пере­бойного электро­питания и так далее. Всё это может потребоваться если не сейчас, то по мере развития информа­ционного пространства компании. Что-то из этого уже «умеют» делать серверные опера­ционные системы, тем не менее, без стороннего, специали­зированного ПО обойтись, скорее всего, не получится.

Ассортимент такого ПО может в результате получиться чрезвычайно разно­образным, но, разумеется, комплексные интегри­рованные продукты проще в обслу­живании (а следо­вательно — надёжнее), нежели «сборная солянка» от десятка разных разработчиков. Кроме того, в быстро­развиваю­щихся компаниях меры по инфор­мационной безопасности должны соответ­ствовать и растущим запросам предприятия, а потому особое внимание следует обращать на масшта­бируемые решения. Надо также учитывать, что немало­важным фактором при выборе продукта, обеспечи­вающего безопасность корпоративной информа­ционной сети, является наличие качест­венной технической поддержки со стороны разработчика, функцио­нирующей в режиме «24 часа, 7 дней в неделю». Программы эти далеко не так просты, как может показаться, поэтому даже самому выдающемуся админи­стратору может потребо­ваться помощь в борьбе с очередной вирусной эпидемией или DDoS-атакой.

Многие из подобных решений поставляются не в виде программ, а как уже готовые законченные устройства — высоко­защищённые компьютеры и серверы, нередко — на базе специали­зированных опера­ционных систем. Это могут быть серверы аутенти­фикации, сетевые экраны, спам-фильтры и тому подобное. Подобный подход весьма удобен и позволяет, в частности, создавать много­уровневую систему защиты, однако требует от IT-специ­алистов весьма высокой квалификации и знаний в самых различных областях — начиная от систем на базе Linux и заканчивая настройкой оборудования Cisco.

Конкретный же набор программно-технических средств, разумеется, зависит от начальных условий. Как мы уже говорили, всё зависит от того, что надо защищать в первую очередь и в каких случаях грозят наиболее сущест­венные потери. В конце концов, дело может дойти и до защиты от «прослушки», когда придётся противо­стоять не только возможному вибро- и акусти­ческому съёму информации, но и утечке данных по слабо­точным цепям, по теле­фонным линиям, по сетям электро­питания. Предела совершенству, как известно, нет.

Админис­тративно-организа­ционные меро­приятия

Админис­тративно-организа­ционные мероп­риятия нацелены в первую очередь на физическое противо­действие внутренним угрозам. Если злоумыш­ленник получил прямой доступ к интере­сующему его компьютеру, то его задача очень серьёзно упрощается, невзирая на то, какое защитное ПО на нём установлено. Поэтому данные мероп­риятия включают в себя такие компоненты, как организация режима и охраны всего объекта либо каких-то его критически важных узлов, чтобы исключить возможности проник­новения на терри­торию и в помещения (например, серверные) посторонних лиц или несанкцио­нированный доступ к конфиден­циальной информации и компьютерной аппаратуре неуполно­моченных на то сотрудников.

Работа сотрудников с документами, в том числе электронными, также должна быть строго регламен­тирована и систе­мати­чески контроли­роваться, включая исполь­зование носителей конфиден­циальной информации, их учёт, возврат, хранение и уничтожение. При этом помещения, в которых производится обработка или хранение конфиден­циальных данных, все­воз­можные серверные должны соответ­ствовать режимным и иным корпоративным требованиям, вплоть до требований по противо­пожарной защите и орга­низации видео­наблюдения. Должны быть определены лица, ответственные за хранение и исполь­зование средств защиты информации, за выполнение крипто­графической защиты, за другие критически важные процессы.

Также необходимо разработать процедуры подбора, проверки и обучения персонала, допущенного к конфиден­циальной и критически важной информации, методы рассле­дования случаев нарушения режима и должностных инструкций.

Отвеча­ющие же за инфор­мационную безопасность службы и сотрудники должны на базе анализа возможных угроз и рисков адекватно выработать и настроить политики безопасности в опера­ционных системах и корпоративных приложениях, организовать протоко­лирование действий пользователей, работающих на компьютерах, обеспечить работу всех сотрудников исклю­чительно с легальным программным обеспечением. Нельзя забывать и о свое­временной профилактике и ремонте технических средств, регулярном обновлении программного обеспечения, проверке работо­способности всех систем.

В идеале должна быть выработана чёткая концепция информационной безопасности, увязанная с общей концепцией безопасности компании. Именно от неё следует отталкиваться при разработке и внедрении технологии обеспечения информационной безопасности. Собственно говоря, даже построение самой информационной системы было бы логичнее начинать только после этого, но на уже действующих предприятиях приходится вписываться в уже имеющуюся инфраструктуру.

Нормативно-правовые меро­приятия

Одним из важнейших аспектов при организации системы IT-безопасности является обеспечение правовой базы для её функцио­нирования, в основе которой, разумеется, лежит соблюдение законо­дательства — как нацио­нального, так и между­народного. Например, исполь­зование и обслу­живание шифро­вального оборудования в нашей стране регулируется федеральным законом «О лицен­зировании отдельных видов деятельности». В результате компании, пред­пола­гающей применение шифровального оборудования, чтобы избежать риска штрафных санкций, необходимо получить лицензию на техническое обслу­живание шифровальных средств или же поручить обслу­живание данных средств фирме, уже имеющей такую лицензию. В ряде случаев, например, при организации защищённого канала связи с удалёнными офисами, можно, конечно, отказаться от собст­венного крипто­графи­ческого обору­дования и исполь­зовать соответ­ствующие услуги интернет-провайдера, но надо отдавать себе отчёт в том, что риск утечки конфиде­нциальных данных через провайдера при этом серьёзно возрастает.

Но только лишь законо­дательством (а это, например, ещё один важный федеральный закон, прямо касающийся IT-безопасности — «О персональных данных») дело не ограни­чивается. Нельзя оставлять без внимания и другие документы и под­законные акты, прямо или косвенно касающиеся организации системы информационной безопасности:

  • указы Президента РФ;
  • постановления правительства РФ;
  • нормативные правовые акты федеральных министерств и ведомств;
  • нормативные правовые акты субъектов РФ, органов местного само­управления;
  • доктрину информа­ционной безопасности РФ;
  • руководящие документы ФСТЭК (Гос­тех­комиссии России);
  • приказы ФСБ;
  • между­народные стандарты;
  • государ­ственные (национальные) стандарты РФ;
  • рекомендации по стан­дартизации;
  • методические указания.

Например, в банковской сфере преду­смотрен целый комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законо­дательства — Стандарт Банка России по обес­печению информа­ционной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС).

К органи­зационно-правовым меро­приятиям относится и разработка опреде­лённых внутренних документов самих пред­приятий и орга­низаций, регламен­тирующих степень и порядок допуска собственных сотрудников, а также сторонних лиц и организаций к конкретным информа­ционным ресурсам. Трудовой договор или контракт с сотрудником, а также должностные инструкции (приказы, директивы, положения и т. п.), должны чётко регламен­тировать права и обязанности сотрудника, касающиеся сферы ИБ, его ответст­венность в случае их нарушения, конкрети­зировать другие вопросы защиты конфиден­циальной информации на пред­приятии. Грубо говоря, каждый сотрудник должен знать правила информа­ционной безопасности, что он может делать, а что — нет. Какие программы он может устана­вливать на свой рабочий ПК, какими веб-ресурсами может пользоваться, какие санкции преду­смотрены за нарушения и так далее. При необ­ходимости можно органи­зовать подписку о сохранении коммерческой тайны. Не обойтись и без установления персональной ответст­венности всех должностных лиц предприятия за решение вопросов защиты информации.

Резюмируя наш беглый обзор, ещё раз скажем, что именно комплексный подход к организации защиты информа­ционного пространства является наиболее эффективным и способен наиболее полно противо­стоять постоянно растущему числу киберугроз при работе с современными средствами компьютерной связи и электронного документо­оборота.

Темы