Неоднородность сферы деятельности различных организаций, фирм, банков делает объективно необходимым конкретизацию стратегий защиты информации и управления ими в случае серьезного нарушения или кризиса. Такой подход побуждает разрабатывать различные концепции информационной безопасности в зависимости от размеров организации (малый, средний, крупный), сфер деятельности (финансовая, банковская, производственная, торговая), национальных региональных особенностей. Анализ информационных рисков включает определение того, что нужно защищать, от кого и как защищаться. Рациональный уровень информационной безопасности выбирается в первую очередь из соображений экономической целесообразности.
Корпорация — это объединение организаций, лиц на основе совместных, профессиональных интересов, одна из форм акционерного общества для крупного бизнеса, в том числе банковского.
Для крупных корпораций характерна сложная, территориально- распределенная структура с многоуровневым и многозвенным построением. Масштабы деятельности и объемы выпускаемой продукции, услуг могут носить региональный, глобальный характер.
Характерной и отличительной особенностью корпоративных вычислительных сетей является то, что их построение осуществляется, как правило, на протяжении нескольких лет. В таких сетях функционирует оборудование разных производителей и разных поколений, т.е. оборудование, как самое современное, так и устаревшее, не всегда изначально ориентированное на совместную работу, передачу и обработку данных. По мере количественного и качественного развития корпоративных сетей задача управления ими все более усложняется, требует новых средств управления сетями в масштабах всего предприятия. Такие средства должны быть независимы от протоколов, масштабируемы и должны обеспечивать централизованное управление сетью.
В настоящее время потребители ищут решения по объединению разрозненных филиалов не только в рамках одной корпорации, но и регионов по стране в целом. Основная цель объединения филиалов — создание единого информационного пространства и единых сервисных функций. Современные решения позволяют предоставить потребителям единую систему управления и контроля (мониторинга) ресурсов корпоративной сети, снижение затрат, объединение сетей передачи данных и телефонии, защиту от несанкционированного доступа.
Информационный ресурс корпоративного уровня особенно уязвим и требует качественной и надежной защиты, так как информационная структура организаций корпоративного типа разнородна, состоит из набора распределенных систем, технологий, баз и банков данных и локальных задач.
В крупных организациях разные виды деятельности имеют разную информационную поддержку. Данные разных подразделений (при отсутствии их интеграции) могут дублироваться, храниться в разных форматах, дополнять друг друга в какой-то предметной области и при этом быть недоступными специалистам и т.д. Корпорация нередко не имеет возможности использовать все разнообразие информационных ресурсов в полной мере. Такое положение затрудняет, усложняет и удорожает создание и надежное функционирование систем защиты.
Так как в свое время проблемы безопасности информационных технологий решались в нашей стране в основном для защиты государственной тайны, то теперь настоятельно требуют решения специфичные проблемы защиты банковского или иного бизнеса и только теперь они интегрируются с мировой системой. Защита информации в той или иной сфере хозяйственной деятельности имеет ряд существенных особенностей, связанных с влиянием на организацию информационной безопасности. Наиболее важные из них:
• приоритет экономических, рыночных факторов и отношений собственности;
• использование открытых систем, создание подсистемы защиты информации из средств широко доступных на рынке;
• юридическая значимость информации, которая обеспечивает юридическую защиту документов, информационных ресурсов, информационных процессов в соответствии с установленным законодательством Российской Федерации.
Необходимость обмена информацией не только между территориально разнесенными пользователями корпорации, но и с внешним миром, требует использования глобальных мировых сетей. При подключении к Интернету работа с его сервисами существенно увеличивает поле угроз информации, обрабатываемой в корпорации.
Сервисы Интернета делятся на открытые и закрытые. Открытый сервис предполагает взаимодействие пользователей корпорации с внешними структурами. Закрытый сервис распространяется на пользователей сети корпорации, в том числе и удаленных. Интергриро- ванный сервис Интернета предоставляет одновременно сервис закрытого и открытого типов.
Для целей информационной безопасности корпорации создается необходимая инфраструктура, используются надежные программы взаимодействия с Интернетом, что требует соблюдения следующих правил при работе корпорации с Интернетом:
• тщательно сохранять пароль и при подозрении менять его;
• не оставлять компьютер без присмотра во время сеанса связи;
• получив необходимые сведения, полностью закончить сеанс связи перед посещением других сайтов;
• использовать кодирование сообщений, происходящих по сети и другое.
При создании корпоративных сетей учитываются законодательные акты о защите информации, разрабатываются нормы ответственности за нарушение информационной безопасности. Современная компьютерная глобализация сетей — это практически никем не контролируемое пространство, которое постоянно пополняется мегабайтами различной информации. Под видом полезной информации компьютеры поражаются различными вирусами (вредоносными программами). Через Интернет могут быть атакованы, похищены конфиденциальные данные, разрушены базы данных и т.д.
Можно сформулировать следующие основные требования к защите корпоративных сетей, объектов информации от вредоносных программ.
• Использование в работе лицензионно чистых программных средств, технических средств и средств защиты.
• Проведение аттестации объектов информации на соответствие требованиям нормативных документов по защите, включая испытания на наличие недекларированных возможностей.
• Определение и фиксация перечня допустимых к использованию программных средств, категорический запрет применения не включенных в комплект программных средств.
• Использование для защиты современных антивирусных средств борьбы с вредоносными программами и обеспечение их своевременного обновления.
• Разработка необходимых организационно распорядительных документов по защите объектов от вредоносных программ и конкретизация методов профилактики по недопущению их попадания в сеть, обеспечение осведомленности пользователей об общих признаках появления вредоносных программ.
• Разработка методов резервирования, сохранения и восстановления программного обеспечения и информационных ресурсов при их заражении или поражении вирусами, обеспечив при этом надежное хранение исходных образцов программных средств и информационных ресурсов в безопасном месте.
• Обеспечение регулярных проверок компьютерных средств на предмет заражения вредоносными программами.
Кроме законодательного не менее важным является управленческий уровень. Руководство каждой корпорации должно осознавать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Главное, что должен осуществить управленческий уровень, — это выработать политику обеспечения информационной безопасности, соответствующую общему направлению работ предприятия.
Главная цель мер, предпринимаемых на управленческом уровне, — формирование программы работ в области информационной безопасности и обеспечение ее выполнения. В задачу управления входит выделение необходимых ресурсов и контроль за состоянием дел. Основой программы является многоуровневая политика безопасности, отражающая подход организации к защите своих информационных активов и интересов. Использование информационных систем связано с определенной совокупностью рисков. Когда риск неприемлемо велик, необходимо предпринять защитные меры. Периодическая переоценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменения обстановки.
Для поддержания режима информационной безопасности особенно важны программно-технические меры и средства, поскольку основная угроза компьютерным системам находится в них: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т.п.
Ключевыми механизмами обеспечения информационной безопасности корпоративных сетей являются:
• идентификация и аутентификация;
• управление доступом;
• протоколирование и регистрация;
• криптография и сетевая защита;
• экранирование.
Экранирование в корпоративных сетях выполняется с помощью межсетевых экранов. Межсетевой экран предотвращает возможность нарушения пользователями установленных администраторами правил безопасности информации. Экран не позволяет доступа к серверам, которые не требуются для выполнения служебных обязанностей пользователей.
Межсетевые экраны могут быть реализованы программно и ап- паратно. Программные реализации дешевле, но менее производительны и требуют значительных ресурсов компьютерной системы. Аппаратные межсетевые экраны выпускаются как специальные аппаратно-программные технические комплексы, работающие под управлением специализированных или обычных, операционных систем, модифицированных для выполнения защитных функций.
Следующие рекомендации можно рассматривать как общие при выборе средств защиты от несанкционированного доступа.
1. Ориентироваться необходимо только на сертифицированные продукты.
2. Выбирать следует того поставщика систем защиты, который обеспечит полный комплекс обслуживания, т.е. не только продажу и гарантии, предоставляемые всеми, но и услуги по установке и настройке (при необходимости), по обучению сотрудников работе со средствами защиты, по сопровождению приобретенных систем.
3. Выбирать систему защиты, обеспечивающую разграничение доступа в различных операционных системах.
4. Ориентироваться следует на системы с лучшими эксплуатационными характеристиками, такими, как: высокая надежность, совместимость с различным программным обеспечением, минимальное снижение производительности рабочей станции, обязательное наличие средств централизованного управления защитными механизмами с рабочего места администратора безопасности, оперативное оповещение администратора обо всех событиях НСД на рабочих станциях.
5. При выборе обращать внимание не только на стоимость подобных средств, но и на уровень предполагаемых расходов на их эксплуатацию и сопровождение.
Обработка сведений, составляющих коммерческую тайну, требует обеспечения их безопасности и тщательной проектной работы на стадии создания ИС. Проектирование включает: обследование автоматизированной системы и разработку организационно-распорядительных документов; выбор, приобретение, установку, настройку и эксплуатацию средств защиты; обучение персонала работе с имеющимися средствами защиты; информационное обслуживание по вопросам безопасности; периодический аудит системы информационной безопасности.
Желательно, чтобы подобные работы были выполнены профессионалами, так как просчеты на этапе обследования и проектирования системы информационной безопасности могут обернуться серьезными проблемами и потерями при ее построении и эксплуатации.
С учетом особенностей корпоративной сети разработанные документы должны предусматривать решение следующих задач:
• защиту от проникновения в корпоративную сеть и от утечки информации из сети по каналам связи;
• разграничение потоков информации между сегментами сети;
• защиту наиболее критичных ресурсов сети от вмешательства в нормальный процесс функционирования;
• защиту важных рабочих мест и ресурсов от несанкционированного доступа (НСД);
• криптографическую защиту наиболее важных информационных ресурсов.
В настоящее время не существует ни одного готового решения (аппаратного, программного или иного), обеспечивающего реализацию функций одновременно всех перечисленных задач.
Объясняется это тем, что, с одной стороны, требования каждого конкретного пользователя по выполнению тех или иных защитных мероприятий существенно различаются, и, с другой стороны, каждая из задач решается с помощью специфических средств. Рассмотрим некоторые реализующие эти функции средства.
Защита от проникновения в сеть и от утечки информации из сети. В качестве основного средства, позволяющего реализовать подобную угрозу, рассматривается канал подключения корпоративной сети к глобальной сети Интернет.
Применение межсетевых экранов является наиболее распространенным решением. Они позволяют определить и реализовать правила разграничения доступа, как для внешних, так и для внутренних пользователей корпоративной сети, скрыть при необходимости структуру сети от внешнего пользователя, блокировать отправку информации по «запретным» адресам и, наконец, просто контролировать применение Интернета.
Разграничение потоков информации между сегментами сети. В зависимости от характера обрабатываемой в том или ином сегменте сети информации и от способа взаимодействия между сегментами реализуют разные варианты. Наиболее частым является применение межсетевых экранов, которое рекомендуется при организации взаимодействия между сегментами через сеть Интернет. Как правило, данный способ используется тогда, когда в сети уже имеются межсетевые экраны, предназначенные для контроля за потоками информации между внутренней сетью и Интернетом, что позволяет предотвратить лишние расходы — более полно используются возможности имеющихся средств.
Защита наиболее критичных ресурсов сети от вмешательства в нормальный процесс функционирования является первоочередной. Наиболее критичными ресурсами в корпоративной сети являются серверы. Основным способом вмешательства в нормальный процесс их функционирования является проведение атак с использованием уязвимых мест сетевого аппаратного и программного обеспечения. При этом атака может быть реализована как из внешней (Интернет), так и из внутренней сети, например, одним из штатных сотрудников. Основная проблема заключается не только в своевременном обнаружении и регистрации атаки, что позволяют сделать многие средства, но и в противодействии ей, так как даже поимка злоумышленника (на основе результатов регистрации) будет служить слабым утешением, если корпоративная сеть будет парализована на некоторое время из-за успешно проведенного нападения.
Защита важных рабочих мест и ресурсов от несанкционированного доступа имеет следующие особенности. До настоящего времени многие автоматизированные системы работали и продолжают работать, ориентируясь только на встроенные защитные механизмы различных операционных систем (как правило, сетевых), что обеспечивает достаточную защиту (при правильном администрировании) информации на серверах. Но количество серверов составляет в корпоративной сети 1—3% общего числа рабочих станций, на которых и производится обработка защищенной информации. При этом подавляющее большинство рабочих станций (примерно 90%) работает под управлением MS DOS или Windows и не имеет никаких средств защиты, так как эти операционные системы не содержат встроенных защитных механизмов.
Возникает ситуация — на незащищенном рабочем месте может обрабатываться важная информация, доступ к которой ничем не ограничен. Именно в этих случаях рекомендуется применять дополнительные средства защиты, в частности средства криптографической защиты (для защиты криптографических ключей); регламентирование и протоколирование действий пользователей; разграничение прав пользователей по доступу к локальным ресурсам.
Криптографической защите подвергаются наиболее важные информационные ресурсы. Шифрование является надежным способом защиты данных от ознакомления и использования другими людьми в своих целях. Особенностью подобных средств в России является то, что их применение жестко регламентируется законами. В настоящее время информационные продукты, предназначенные для шифрования в корпоративных сетях, устанавливаются только на тех рабочих местах, на которых хранится информация, имеющая очень высокую важность, или обрабатываются электронные денежные платежи (например, в системах «Банк—клиент»).
Для всесторонней защиты корпоративных информационных систем и технологий рекомендуется использование программно-технических средств крупных компаний. Они способны предоставить более полный спектр услуг и средств и в более технологичном исполнении.
Так как защита информации в корпорациях вопрос комплексный, то никакие средства цифровой подписи и шифрования не помогут, если не рассмотрены остальные составляющие защиты. Большинство корпоративных структур практически не рассматривают угрозу утечки информации по техническим каналам (по системам электропитания, телефонным линиям, инженерным сооружениям, устройствам негласного снятия информации и т.д.) как реальную, хотя, по данным ряда организаций, занимающихся вопросами защиты информации, это один из самых распространенных в настоящее время каналов хищения информации.
Контроль качества защиты информации на объектах находится в ведении организаций, прошедших специальную экспертизу и аккредитованных в общей системе сертификации. Они несут полную юридическую и финансовую ответственность за свои действия. В настоящее время на рынке услуг в этой области существует две категории организаций: имеющие лицензию, но не аккредитованные Гостехкомиссией (в настоящее время — Федеральная служба по техническому и экспортному контролю) как органом аттестации, и обладающие и лицензией, и аккредитаций. Разница между ними состоит в том, что хотя и те и другие могут проводить проверки организаций, относящихся к первой категории (чаще всего это организации — субподрядчики), не имеют права утверждать аттестат соответствия и должны обращаться за этим в один из органов по аттестации, либо непосредственно в Гостехкомиссию.
Каждому корпоративному предприятию, банку в зависимости от конкретных условий его работы требуется персонализированная система защиты информации. Построение такой системы возможно лишь фирмами, имеющими лицензию на указанный характер деятельности.
На примере банка персонализированная система защиты информации должна быть адекватной уровню важности и секретности информации. Ее стоимость не должна превосходить возможный ущерб от нарушения безопасности охраняемой информации. Но в то же время преодоление системы защиты должно быть экономически нецелесообразно по сравнению с возможной выгодой от получения доступа, уничтожения, модификации или блокировки защищаемой информации. Для определения адекватности стоимости системы защиты следует сопоставить размеры ущерба и вероятность его нанесения с размерами затрат на обеспечение защиты. Так как реальную стоимость информации оценить довольно сложно, поэтому часто применяются качественные экспертные оценки. Информационные ресурсы классифицируют как критичные при ведении бизнеса, в случае их особой важности в каком-либо деле и т.д.
Уровень защищенности информации формально должен определяться исходя из уровня конфиденциальности обрабатываемой информации, уровня ущерба от нарушения защиты. Определение требуемого уровня конфиденциальности — прерогатива руководства банка. Он может меняться в широких пределах в зависимости от стратегических и тактических целей банка, применяемой технологии обработки информации, частного мнения руководства, состава обслуживающего персонала, состава автоматизированных средств и множества иных причин. Важными при определении уровня конфиденциальности информации являются требования законодательной базы и государственных структур.
Степень защищенности информации в автоматизированных банковских системах определяется также конкретизированным полем угроз нарушения конфиденциальности. Полный перечень угроз в современном компьютеризованном мире составляет не одну страницу. Конкретизированную оценку вероятности появления каждой угрозы следует определять на конкретной банковской системе.
Существующие сегодня на рынке программные продукты в отношении методов защиты информации содержат систему разграничения доступа. Мероприятия по вводу нового пользователя в систему с организационной точки зрения остаются на усмотрение служб безопасности. Примером может служить заполнение анкеты на право доступа к системе, в которой содержится перечень функциональных задач, перечень операций в конкретной функциональной задаче, перечень действий, разрешенных оператору к выполнению. Анкету утверждают руководство банка, служба безопасности, служба сопровождения. После этих действий, оператору для входа в систему необходимо знать два пароля: пароль супервизора для физического входа в компьютер и личный пароль для входа в систему.
В большинстве случаев компьютерные преступления совершаются сотрудниками банка. Некоторые банки предпочитают содержать штат разработчиков программного обеспечения. Разработчику системы известно о системе все, все ее слабые места, он знает, как можно модифицировать информацию так, чтобы об этом не узнал никто. Никто, кроме него, не может лучше осуществлять сопровождение системы. Как показывает практика, осуществлению компьютерных преступлений способствует нарушение регламента и правил архивирования информации.
В настоящее время общество в целом зависит от компьютеров, поэтому сегодня проблема информационной безопасности — проблема всего общества.
Защита информации стала самостоятельной, динамично развивающейся отраслью науки, техники и технологий. Современные тенденции в защите информации следуют общим тенденциям развития компьютерных систем и технологий: интегрированность, стандартизация, переносимость, прозрачность.
Разработки в области безопасности информации продолжают бурно развиваться. Спрос на программные продукты с гарантией информационной безопасности увеличивается. Наиболее актуальными остаются сетевые проблемы.