3 способы защиты информации при использовании ис

Технологии защиты информации в компании

Больше материалов по теме «Ведение бизнеса» вы можете получить в системе КонсультантПлюс .

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

• Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
• Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
• Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

• Нежелание обучаться работе с информационными системами.
• Отсутствие у сотрудника необходимой подготовки.
• Отсутствие техподдержки, что приводит к сложностям с работой.
• Умышленное или неумышленное нарушение правил работы.
• Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
• Ошибки при переконфигурировании.
• Отказ ПО.
• Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

1. Ввод неправильных данных.
2. Изменение сведений.
3. Подделка заголовка.
4. Подделка всего текста письма.
5. Отказ от исполненных действий.
6. Дублирование информации.
7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
2. Использование одних и тех же паролей в различных системах.
3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
6. Хранение сведений на резервных носителях.
7. Распространение информации по множеству источников, что приводит к перехвату сведений.
8. Оставление ноутбуков без присмотра.
9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

• Защита помещения компании от действий злоумышленников.
• Защита хранилищ информации от действий заинтересованных лиц.
• Защита от удаленного видеонаблюдения, прослушивания.
• Предотвращение перехвата сведений.
• Создание доступа сотрудников в помещение компании.
• Контроль над деятельностью сотрудников.
• Контроль над перемещением работников на территории компании.
• Защита от пожаров.
• Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

• Защита конфиденциальности сведений, которые передаются по открытым каналам.
• Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
• Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
• Сохранение целостности данных при их передаче и хранении.
• Подтверждение отправки сообщения с информацией.
• Защита ПО от несанкционированного применения и копирования.

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

• Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
• Инструменты для шифрования данных.
• Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
• Инструменты для уничтожения сведений на носителях.
• Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Источник

Методы и средства защиты информации в ИС

К основным методам защиты информации в ИС относятся: препятствие, управление доступом, маскировка, регламентация, принуждение, побуждение.

Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом — метод защиты информации путем регулирования использования всех ресурсов информационной системы (элементов баз данных, программных и технических средств). Управление доступом включает следующие функции защиты:

— идентификацию пользователей, персонала и ресурсов системы;

— опознание объекта или субъекта по предъявленному им идентификатору;

— проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

— разрешение и создание условий работы в пределах установленного регламента;

— регистрацию обращений к защищаемым ресурсам;

— реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка — метод защиты информации путем ее криптографического закрытия.

Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Принуждение — такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение — такой метод защиты, который побуждает пользователя и персонал системы не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

К основным средствам защиты относятся:

— технические средства, реализуемые в виде электрических, электромеханических и электронных устройств. Всю совокупность технических средств принято делить на аппаратные и физические. Под аппаратными средствами понимают устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. К физическим средствам относятся автономные устройства и системы (замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации и др.);

— программные средства, специально предназначенные для выполнения функций защиты информации;

— организационные средства защиты (организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации);

— морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе (примером таких норм является Кодекс профессионального поведения членов Ассоциаций пользователей ЭВМ США);

— законодательные средства защиты, определяемые законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Для реализации мер безопасности используются различные механизмы криптографии, т.е. науки об обеспечении секретности и подлинности передаваемых сообщений.

Сущность криптографических методов заключается в том, что для предотвращения несанкционированного доступа к какому-либо сообщению оно зашифровывается. Когда санкционированный пользователь получает это сообщение, он дешифрует или раскрывает его посредством обратного преобразования криптограммы.

Криптографическая система основывается на использовании специального алгоритма, который запускается уникальным числом, называемым шифрующим ключом. Для обмена зашифрованными сообщениями, как отправителю, так и получателю необходимо знать правильную ключевую установку и хранить ее в тайне.

Шифрование может быть симметричным и асимметричным: первое основывается на использовании одного и того же секретного ключа для шифрования и дешифрования, второе характеризуется тем, что для шифрования используется один ключ, являющийся общедоступным, а для дешифрования — другой, являющийся секретным.

Наряду с шифрованием используются и другие механизмы безопасности:

— цифровая (электронная) подпись;

— обеспечение целостности данных;

— арбитраж или освидетельствование.

Механизмы цифровой подписи основываются на алгоритмах ассиметричного шифрования и включают две процедуры: формирование подписи отправителем и ее опознование (верификацию) получателем.

Механизмы контроля доступа осуществляют проверку полномочий объектов АИТ (программ и пользователей) на доступ к ресурсам сети.

Механизмы обеспечения целостности данных реализуются выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке.

Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по физически ненадежным каналам.

Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами АИС, третьей стороной (арбитром).

Источник

Защита информации в автоматизированных информационных системах

ИБ-аутсорсинг
на базе DLP-системы

Контроль исполнения документов

Мониторинг ИТ инфраструктуры

Защита бизнеса от мошенничества

Разработка требований к защите информации

Управление системами фильтрации электронной почты и веб-трафика

АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА

Т ребования по защите информации в автоматизированных информационных системах (АИС) формируются вокруг необходимости оградить конфиденциальные данные от утечек или искажений. Угрозы имеют различный генезис: информация страдает от техногенных аварий, повреждающих оборудование, действий хакеров и вредоносных программ, от инсайдеров, похищающих ее для продажи. Создание комплекса аппаратных и программных средств защиты поможет избежать этих рисков.

Задачи по защите информации

Информация имеет свойства, изменение которых приводит к утрате ее ценности. В законодательстве об охране данных к ним относят:

• конфиденциальность – недоступность третьим лицам;
• целостность или неизменность предполагает, что изменить данные могут только лица, имеющие допуск;
• доступность означает, что необходимые данные будут в распоряжении пользователя, доступ к информации не будет ограничен из-за аппаратных проблем или вирусов-шифровальщиков.

Дополнительно выделяется свойство достоверности. Оно рассматривается как точность и правильность, и задача IТ-специалиста – повысить достоверность данных различными методами.

Это реализуется следующими способами:

• Информационный выражается в добавлении контрольных разрядов (дополнительного бита данных, превращающего 8-битный код в 9-битный), что позволяет проверить точность данных, и в добавлении дополнительных операций обработки данных. Это позволяет обнаружить и устранить ошибки в данных.
• Временный. Процедуры контроля применяются не единожды, а несколько раз на протяжении определенного времени.
• Структурный. Создание резервного хранилища данных, структурный сквозной контроль, реализуемый на всех этапах обработки информации и позволяющий найти ошибку на наиболее ранних этапах.

Меры защиты информации в АИС применяются и ко всему объему данных, обрабатываемых в организации, и к отдельным блокам, отличающимся по степени ценности данных.

Объекты защиты

Способы защиты информации имеют свою цену, и необходимо так разграничить объекты охраны, чтобы наиболее сложные и дорогостоящие методы применялись к наиболее ценным информационным объектам. Такое ранжирование производится еще на стадии разработки требований к архитектуре информационной системы.

Выделяются следующие информационные массивы:

• исходные данные – сведения, которые направляются в АИС на хранение и обработку от пользователей, клиентов, контрагентов;
• производные данные, создающиеся в АИС в результате обработки исходных. Это базы данных, отчеты, структурированные иным способом информационные массивы;
• служебные, вспомогательные сведения, данные сканирования, архивы работы систем защиты;
• программные средства защиты информации, представляющие собой лицензионные продукты или созданные собственными силами;
• алгоритмы, которые легли в основу разработки программ.

За исключением вспомогательных данных, большинство информационных массивов может содержать коммерческую тайну, защита которой должна обеспечиваться на самом высоком уровне.

Планирование и реализация систем защиты

Задача по защите информации в автоматизированных электронных системах должна решаться планомерно. Невозможно обеспечить эффективную работу системы без структурирования деятельности.

Выделяются следующие этапы работы:

1. Планирование. Выработка требований к обеспечению информационной безопасности становится основой для создания системы. Требования к безопасности опираются на категорию бизнес-процессов, потребности пользователей, модель угроз, степень опасности, исходящей от внутренних или внешних угроз. Планирование осуществляется на основе мировых или отечественных стандартов защиты информации. Это ISO/IEC 27001 и аналогичные, регулирующие различные аспекты информационной безопасности, и российский ГОСТ Р ИСО/МЭК 27001, прямо повторяющий нормы международного. За базу принимаются и рекомендации ФСТЭК РФ в части защиты персональных данных.

2. Внедрение. Процесс выстраивается таким образом, чтобы исключить срывы сроков или ошибки, возникающие в ходе неправильного планирования и бюджетирования.

3. Управление. Для крупных компаний нужна оперативно-диспетчерская служба. Небольшим достаточно сил одного системного администратора. Оперативное управление представляет собой организованное реагирование на нештатные ситуации в процессе функционирования системы, на инциденты информационной безопасности. Оно носит комплексный характер, проводится в ручном и автоматическом режимах.

4. Плановое руководство защитой информации. Оно состоит из регулярного аудита работы систем защиты, анализа результатов аудита, подготовки докладов руководству и выработки предложений по улучшению систем защиты и усилению мер безопасности.

5. Повседневная деятельность по обеспечению безопасности информации. Это планирование, организация, управление, оценка, выявление инцидентов, оперативные корректировки работы программных и аппаратных средств.

Каждый этап работы по обеспечению безопасности данных должен осуществляться с использованием всех доступных ресурсов и контролем их эффективности.

Методы защиты информации

Выстраивая систему защиты информации в автоматизированных информационных системах корпорации, IT-специалист может использовать различные методы, одновременное применение которых позволяет решать поставленные задачи.

Они делятся на следующие подгруппы:

• методы повышения степени достоверности информации;
• методы защиты данных от утраты в результате аварий или сбоя оборудования;
• методы контроля возможности физического доступа к аппаратуре, панелям управления и сетям, в результате которого возможно повреждение оборудования, хищение информации, намеренное создание аварийных или нештатных ситуаций, установка закладных устройств, позволяющих считывать звуковые и электромагнитные волны;
• методы аутентификации пользователей, программ, съемных носителей информации.

На практике специалисты используют и другие организационные и аппаратно-программные методы. Организационные реализуются на уровне всей компании, решение о выборе аппаратно-программных средств остается в компетенции специалиста.

Организационные

Выбор и применение этой группы методов зависит от специфики работы организации и от того, в каком правовом поле она существует:

• частная компания, не являющаяся оператором персональных данных и не работающая со сведениями, содержащими государственную тайну. Для нее возможно применение любых удобных организационных методов, без допущения избыточности;
• частная фирма – оператор персональных данных или работающая со сведениями, содержащими государственную тайну. Требования к организационным способам защиты информации для нее устанавливаются на уровне закона и нормативных документов ФСТЭК РФ;
• банк, в чьей работе которого возникает три вида конфиденциальной информации – персональные данные, банковская тайна, коммерческая тайна. Требования по защите информации в АИС для него дополнительно устанавливает регулятор, Центробанк, и он же решает, какие организационные методы должны применяться;
• государственный орган или компания, для которых большинство организационных методов определяются централизованно, на уровне министерств или головных организаций.

Организационные методы делятся на две группы – системные и административные.

К системным относятся:

• повышение надежности оборудования, выбор рабочих станций с меньшими рисками отказа, установка оборудования, снижающего риск утраты информации в результате отключения электроэнергии;
• резервное хранение данных на внешних серверах, что позволяет устранить ошибки, возникающие из-за системных сбоев или уничтожения оборудования;
• ранжирование пользователей – предоставление им разного уровня доступа к сведениям при обработке информации, что снижает риск несанкционированного проникновения к данным, их уничтожения, изменения или копирования;
• структурирование обработки информации, оптимизация связанных бизнес-процессов, выделение специальных кластеров для обработки информации определенного типа.

Задача по разработке и внедрению административных методов ложится совокупно на руководство предприятия, вышестоящие организации, отделы персонала и безопасности.

К административным способам относятся:

• принятие внутренних нормативных актов, регулирующих действия по обработке информации и доступу к АИС;
• повышение корпоративной культуры, направленное на возникновение интереса пользователей к защите информации;
• установление режима коммерческой тайны, включение в трудовые договоры пункта об ответственности за ее разглашение;
• обучение пользователей, повышение их мотивации;
• повышение эргономичности труда, облегчение условий работы таким образом, чтобы системные сбои или утрата важной информации не происходили по причине усталости или невнимательности персонала.

Внедрение организационных способов защиты информации в автоматизированных информационных системах должно постоянно сопровождаться аудитом действенности примененных мер и их дальнейшим совершенствованием по результатам выявленных ошибок.

Аппаратно-программные

Эта группа методов зависит от общей политики компании и действий IТ-подразделений. Программные методы призваны обеспечить защиту информации при ее обработке в АИС и при передаче по каналам связи. Аппаратные обеспечивают применение точных контрольно-технических средств, дублирующих функции программных методов (например, шифрование на высоком уровне невозможно обеспечить только программными средствами) и способных обнаружить ошибки, недоступные для выявления программными средствами.

Задачи аппаратно-программных методов по обеспечению сохранности и достоверности информации делятся на группы:

1. Дублирование и резервирование информации на трех уровнях, создание удаленных баз данных. Оперативное резервирование – создание копий файлов в режиме реального времени. Восстановительное, когда копии файлов создаются в целях их восстановления, если утеря произошла из-за сбоя. Долгосрочное, при котором системные сведения сохраняются в большом объеме, включая копии всех системных файлов, и хранятся длительное время как в целях восстановления, так и в целях аудита.

2. Блокировка злонамеренных или ошибочных операций, создаваемых действиями пользователей или внешних злоумышленников, вредоносными программами.

3. Защита от вредоносных программ. Это вирусы, черви, троянские кони и логические бомбы. В борьбе с ними используются сканирование, выявление изменения элементов файлов, аудит, антивирусные программы.

4. Защита от внешних проникновений и несанкционированного доступа к информации. Здесь используются сетевые экраны, средства обнаружения атак.

5. Шифрование информации при помощи средств криптографической защиты.

6. Аутентификация пользователей, использование средств контроля доступа. Доступ может быть ограничен или разграничен программными средствами.

Перечисленные способы программной защиты информации в автоматизированных информационных системах не являются исчерпывающими. Помимо них широко применяются такие комплексные решения, как DLP- и SIEM-системы.

Методы контроля доступа

Первым шагом на пути защиты информации является создание системы контроля доступа пользователей, так как риск для данных существенно выше при внутреннем, а не при внешнем проникновении в систему. Этот метод реализуется и в организационной, и в программной плоскости.

Для его реализации применяются следующие средства:

1. Создается замкнутое пространство, где размещаются рабочие станции и периферийные устройства, в которое исключен доступ для посторонних благодаря созданной в организации системе пропусков. Допускается выделение отдельных зон, в которых обрабатывается информация особой важности внутри компании. При этом рабочие станции не подключаются к общей сети, а попасть в помещение возможно только по электронному пропуску.
2. Обработка отдельных процессов производится на выделенных исключительно для них рабочих станциях, часто также не подключенных к Интернету. В рамках этого метода разграничения создаются отдельные кластеры для вывода информации на печать.

Методы идентификации пользователей

Вторым системным решением, обязательным для безопасности информации в АИС, становится допуск к работе только уполномоченных пользователей.

Существует несколько способов распознавания, и компания выбирает необходимый, исходя из ценности информации, которую следует защищать:

1. Простой пароль и логин. Система распознает пользователя при их введении. В целях безопасности пароли должны иметь установленный формат, меняться с заданной периодичностью, а за неправомерную передачу пароля и логина другому сотруднику или пользование чужими средствами идентификации должна устанавливаться дисциплинарная ответственность.

2. Диалоговый режим распознавания. В программу изначально вносятся определенные данные, идентифицирующие пользователя, и при каждом соединении или входе в система запрашивает у него ответы на вопросы, которые могут меняться.

3. Биометрический метод распознавания (по отпечаткам пальцев, сетчатке глаза) потребует внедрения дорогостоящих технологий, доступных не всем компаниям.

4. Распознавание при помощи автоматических радиокодовых устройств (токенов), направляющих в систему шифрованные сигналы. При их совпадении с заданными доступ предоставляется. Вариантом метода является аппаратный способ контроля доступа, когда компьютер может быть включен только с помощью электронного ключа.

5. Распознавание с использованием электронных карточек (чипов). Чип содержит информацию, идентифицирующую пользователя, она считывается при обращении к рабочей станции. Информация может наноситься в зашифрованном виде. Ключ шифрования может быть дополнительным параметром идентификации, вводится при входе в систему, для обеспечения наивысшего уровня безопасности меняется при каждом входе.

Аппаратные способы контроля допуска дают наибольшую гарантию защиты данных. Пароли не могут быть подделаны или перехвачены, а решение с биометрическими характеристиками оказывается наиболее эффективным.

Средства разграничения доступа

Помимо физического барьера для входа в АИС существуют и барьеры, закрывающие доступ к информации определенного уровня. Категории информации и ранги пользователей, имеющих к ней доступ, определяются во внутренних политиках безопасности компании. Применяемые системы разграничения доступа обязаны исключить все случаи превышения полномочий пользователя.

Механизм разграничения предполагает следующие варианты:

1. По уровням конфиденциальности информации. Устанавливаются грифы секретности разной степени: «Секретно», «Совершенно секретно», «Особой важности». Ими маркируются пользователи и массивы информации. Сотрудник получает доступ к базам данных своего уровня и ниже, доступ к более высоким уровням исключается.

2. По специальным спискам. Он может реализовываться в двух вариантах. Для каждого информационного объекта (файла, программы, базы) устанавливается перечень пользователей, имеющих право на работу с ним, или для каждого пользователя определяется список элементов данных, к которым он имеет допуск.

3. По матрице полномочий. В программе создается двухмерная матрица, в которой каждому пользователю присваивается идентификатор. Он указывается в столбце матрицы, в строке находятся идентификаторы элементов информации. При их совпадении допуск разрешается.

4. По принципу мандата. Защищаемый информационный элемент получает метку. Документ открывается только, если запрос к нему содержит аналогичную метку. Пользователям метка выдается системным администратором или владельцем информации.

Но такие системы контроля не всегда защищают от действий инсайдеров, присвоивших чужие идентифицирующие признаки. Для этого необходимо внедрять систему протоколирования действий пользователей.

Протоколирование

Журналы учета, в которые автоматически заносится информация о действиях пользователей, работают на основе программ-регистраторов, которые могут функционировать самостоятельно или быть частью DLP-системы. Такие программы или устройства контролируют использование защищаемой информации, выявляют успешные или безуспешные попытки несанкционированного доступа к ней, производят запись всех действий, в результате накапливают статистические данные о функционировании системы защиты, служащие базой для информационного аудита.

Криптографические средства

Системы допуска работают для внутренних пользователей, но если в систему происходит внешнее проникновение или данные передаются по внешним каналам связи, единственным эффективным способом защиты информации в автоматизированных информационных системах становится шифрование. При шифровании информация видоизменяется, и вернуть ей первоначальную форму можно только при помощи ключа. Средства криптографической защиты сертифицируются ФСБ РФ и могут носить только программный и программно-аппаратный характер, когда информация зашифровывается и расшифровывается при помощи аппаратных средств.

Шифроваться могут файлы, папки, диски, передаваемые данные. Недорогим, но эффективным способом защиты данных является архивирование с паролем. Использование при передаче данных VPN-протокола также поможет сохранить информацию, циркулирующую внутри сети предприятия.

SIEM-системы

Крупные компании при разработке концепции комплексной защиты информации в информационных системах обращают внимание на такие решения, как SIEM-системы. Они не предназначены для защиты от инцидентов информационной безопасности напрямую. Программы из категории Security Information and Event Management призваны обеспечить оперативное информирование о любых сбоях в работе оборудования, программ, любых отклонениях от заданных параметров.

SIEM с определенной периодичностью опрашивает программы, включая DLP-системы, антивирусы, а также маршрутизаторы и другое оборудование. Данные сравниваются с изначально заданными параметрами, и при выявлении отклонений система направляет уведомление об инциденте. Службы, получившие уведомление, принимают меры оперативного реагирования.

Дополнительными функциями являются:

• протоколирование действий пользователей, данные журналов учета, что станет доказательственной базой в суде при возбуждении дела о компьютерном преступлении или краже коммерческой тайны;
• аудит работоспособности системы и существующего уровня безопасности.

При разработке стратегии безопасности данные SIEM-системы выступают основанием для изменения технологических характеристик системы или приобретения нового программного обеспечения.

DLP-системы

Набирающие популярность на российском рынке средств защиты информации DLP-системы – решение, которое максимально обеспечивает конфиденциальность и целостность информации, предотвращая несанкционированные действия со стороны пользователей. Принцип работы DLP-системы строится на умении отличать конфиденциальную информацию от открытой. Отслеживая внутренний и внешний трафик, система выявляет случаи, когда маркированная конфиденциальная информация несанкционированно отправляется на печать, копируется, направляется во внешний мир при помощи мессенджера или электронной почты. Все такие ситуации блокируются, а на рабочий стол пользователя выводится предупреждение о запрете действий. Система дорабатывается под потребности компании-клиента и комплексно решает задачи безопасности. Такие системы должны быть проверены и сертифицированы ФСТЭК РФ на отсутствие незадекларированных возможностей, что уверит пользователя в их соответствии нормативной документации.

Планирование этапов защиты информации в автоматизированных информационных системах должно начинаться с выработки стратегии наиболее эффективного использования программных и аппаратных средств. Иногда отказ от использования сложного, но безопасного решения приводит к утечке данных стоимостью в годовой бюджет компании и репутационным потерям.

Источник