Защита информации в корпоративных сетях экономических ИС

Неоднородность сферы деятельности различных организаций, фирм, банков делает объективно необходимым конкретизацию стра­тегий защиты информации и управления ими в случае серьезного нарушения или кризиса. Такой подход побуждает разрабатывать различные концепции информационной безопасности в зависимости от размеров организации (малый, средний, крупный), сфер деятель­ности (финансовая, банковская, производственная, торговая), на­циональных региональных особенностей. Анализ информационных рисков включает определение того, что нужно защищать, от кого и как защищаться. Рациональный уровень информационной безопас­ности выбирается в первую очередь из соображений экономической целесообразности.

Корпорация — это объединение организаций, лиц на основе со­вместных, профессиональных интересов, одна из форм акционер­ного общества для крупного бизнеса, в том числе банковского.

Для крупных корпораций характерна сложная, территориально- распределенная структура с многоуровневым и многозвенным по­строением. Масштабы деятельности и объемы выпускаемой про­дукции, услуг могут носить региональный, глобальный характер.

Характерной и отличительной особенностью корпоративных вычислительных сетей является то, что их построение осуществля­ется, как правило, на протяжении нескольких лет. В таких сетях функционирует оборудование разных производителей и разных по­колений, т.е. оборудование, как самое современное, так и устарев­шее, не всегда изначально ориентированное на совместную работу, передачу и обработку данных. По мере количественного и качест­венного развития корпоративных сетей задача управления ими все более усложняется, требует новых средств управления сетями в масштабах всего предприятия. Такие средства должны быть незави­симы от протоколов, масштабируемы и должны обеспечивать цен­трализованное управление сетью.

В настоящее время потребители ищут решения по объединению разрозненных филиалов не только в рамках одной корпорации, но и регионов по стране в целом. Основная цель объединения филиа­лов — создание единого информационного пространства и единых сервисных функций. Современные решения позволяют предоста­вить потребителям единую систему управления и контроля (мони­торинга) ресурсов корпоративной сети, снижение затрат, объедине­ние сетей передачи данных и телефонии, защиту от несанкциони­рованного доступа.

Информационный ресурс корпоративного уровня особенно уяз­вим и требует качественной и надежной защиты, так как информа­ционная структура организаций корпоративного типа разнородна, состоит из набора распределенных систем, технологий, баз и бан­ков данных и локальных задач.

В крупных организациях разные виды деятельности имеют раз­ную информационную поддержку. Данные разных подразделений (при отсутствии их интеграции) могут дублироваться, храниться в разных форматах, дополнять друг друга в какой-то предметной об­ласти и при этом быть недоступными специалистам и т.д. Корпора­ция нередко не имеет возможности использовать все разнообразие информационных ресурсов в полной мере. Такое положение за­трудняет, усложняет и удорожает создание и надежное функциони­рование систем защиты.

Так как в свое время проблемы безопасности информационных технологий решались в нашей стране в основном для защиты госу­дарственной тайны, то теперь настоятельно требуют решения спе­цифичные проблемы защиты банковского или иного бизнеса и только теперь они интегрируются с мировой системой. Защита информации в той или иной сфере хозяйственной деятельности имеет ряд сущест­венных особенностей, связанных с влиянием на организацию ин­формационной безопасности. Наиболее важные из них:

• приоритет экономических, рыночных факторов и отношений собственности;

• использование открытых систем, создание подсистемы защи­ты информации из средств широко доступных на рынке;

• юридическая значимость информации, которая обеспечивает юридическую защиту документов, информационных ресурсов, информационных процессов в соответствии с установленным законодательством Российской Федерации.

Необходимость обмена информацией не только между террито­риально разнесенными пользователями корпорации, но и с внешним миром, требует использования глобальных мировых сетей. При под­ключении к Интернету работа с его сервисами существенно увели­чивает поле угроз информации, обрабатываемой в корпорации.

Сервисы Интернета делятся на открытые и закрытые. Открытый сервис предполагает взаимодействие пользователей корпорации с внешними структурами. Закрытый сервис распространяется на поль­зователей сети корпорации, в том числе и удаленных. Интергриро- ванный сервис Интернета предоставляет одновременно сервис закры­того и открытого типов.

Для целей информационной безопасности корпорации создается необходимая инфраструктура, используются надежные программы взаимодействия с Интернетом, что требует соблюдения следующих правил при работе корпорации с Интернетом:

• тщательно сохранять пароль и при подозрении менять его;

• не оставлять компьютер без присмотра во время сеанса связи;

• получив необходимые сведения, полностью закончить сеанс связи перед посещением других сайтов;

• использовать кодирование сообщений, происходящих по сети и другое.

При создании корпоративных сетей учитываются законодатель­ные акты о защите информации, разрабатываются нормы ответст­венности за нарушение информационной безопасности. Современ­ная компьютерная глобализация сетей — это практически никем не контролируемое пространство, которое постоянно пополняется ме­габайтами различной информации. Под видом полезной информа­ции компьютеры поражаются различными вирусами (вредоносными программами). Через Интернет могут быть атакованы, похищены конфиденциальные данные, разрушены базы данных и т.д.

Можно сформулировать следующие основные требования к за­щите корпоративных сетей, объектов информации от вредоносных программ.

• Использование в работе лицензионно чистых программных средств, технических средств и средств защиты.

• Проведение аттестации объектов информации на соответствие требованиям нормативных документов по защите, включая испыта­ния на наличие недекларированных возможностей.

• Определение и фиксация перечня допустимых к использо­ванию программных средств, категорический запрет применения не включенных в комплект программных средств.

• Использование для защиты современных антивирусных средств борьбы с вредоносными программами и обеспечение их своевремен­ного обновления.

• Разработка необходимых организационно распорядительных документов по защите объектов от вредоносных программ и кон­кретизация методов профилактики по недопущению их попадания в сеть, обеспечение осведомленности пользователей об общих признаках появления вредоносных программ.

• Разработка методов резервирования, сохранения и восста­новления программного обеспечения и информационных ресурсов при их заражении или поражении вирусами, обеспечив при этом надежное хранение исходных образцов программных средств и информационных ресурсов в безопасном месте.

• Обеспечение регулярных проверок компьютерных средств на предмет заражения вредоносными программами.

Кроме законодательного не менее важным является управленче­ский уровень. Руководство каждой корпорации должно осознавать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Главное, что должен осущест­вить управленческий уровень, — это выработать политику обеспе­чения информационной безопасности, соответствующую общему направлению работ предприятия.

Главная цель мер, предпринимаемых на управленческом уровне, — формирование программы работ в области информационной без­опасности и обеспечение ее выполнения. В задачу управления вхо­дит выделение необходимых ресурсов и контроль за состоянием дел. Основой программы является многоуровневая политика без­опасности, отражающая подход организации к защите своих инфор­мационных активов и интересов. Использование информационных систем связано с определенной совокупностью рисков. Когда риск неприемлемо велик, необходимо предпринять защитные меры. Пе­риодическая переоценка рисков необходима для контроля эффек­тивности деятельности в области безопасности и для учета измене­ния обстановки.

Для поддержания режима информационной безопасности осо­бенно важны программно-технические меры и средства, поскольку основная угроза компьютерным системам находится в них: сбои обо­рудования, ошибки программного обеспечения, промахи пользова­телей и администраторов и т.п.

Ключевыми механизмами обеспечения информационной безо­пасности корпоративных сетей являются:

• идентификация и аутентификация;

• управление доступом;

• протоколирование и регистрация;

• криптография и сетевая защита;

• экранирование.

Экранирование в корпоративных сетях выполняется с помощью межсетевых экранов. Межсетевой экран предотвращает возможность нарушения пользователями установленных администраторами правил безопасности информации. Экран не позволяет доступа к серверам, которые не требуются для выполнения служебных обязанностей поль­зователей.

Межсетевые экраны могут быть реализованы программно и ап- паратно. Программные реализации дешевле, но менее производи­тельны и требуют значительных ресурсов компьютерной системы. Аппаратные межсетевые экраны выпускаются как специальные аппа­ратно-программные технические комплексы, работающие под управ­лением специализированных или обычных, операционных систем, модифицированных для выполнения защитных функций.

Следующие рекомендации можно рассматривать как общие при выборе средств защиты от несанкционированного доступа.

1. Ориентироваться необходимо только на сертифицированные продукты.

2. Выбирать следует того поставщика систем защиты, который обеспечит полный комплекс обслуживания, т.е. не только продажу и гарантии, предоставляемые всеми, но и услуги по установке и на­стройке (при необходимости), по обучению сотрудников работе со средствами защиты, по сопровождению приобретенных систем.

3. Выбирать систему защиты, обеспечивающую разграничение доступа в различных операционных системах.

4. Ориентироваться следует на системы с лучшими эксплуатаци­онными характеристиками, такими, как: высокая надежность, со­вместимость с различным программным обеспечением, минималь­ное снижение производительности рабочей станции, обязательное наличие средств централизованного управления защитными меха­низмами с рабочего места администратора безопасности, оператив­ное оповещение администратора обо всех событиях НСД на рабо­чих станциях.

5. При выборе обращать внимание не только на стоимость по­добных средств, но и на уровень предполагаемых расходов на их экс­плуатацию и сопровождение.

Обработка сведений, составляющих коммерческую тайну, требу­ет обеспечения их безопасности и тщательной проектной работы на стадии создания ИС. Проектирование включает: обследование ав­томатизированной системы и разработку организационно-распоряди­тельных документов; выбор, приобретение, установку, настройку и эксплуатацию средств защиты; обучение персонала работе с имею­щимися средствами защиты; информационное обслуживание по вопросам безопасности; периодический аудит системы информаци­онной безопасности.

Желательно, чтобы подобные работы были выполнены про­фессионалами, так как просчеты на этапе обследования и проек­тирования системы информационной безопасности могут обер­нуться серьезными проблемами и потерями при ее построении и эксплуатации.

С учетом особенностей корпоративной сети разработанные до­кументы должны предусматривать решение следующих задач:

• защиту от проникновения в корпоративную сеть и от утечки информации из сети по каналам связи;

• разграничение потоков информации между сегментами сети;

• защиту наиболее критичных ресурсов сети от вмешательства в нормальный процесс функционирования;

• защиту важных рабочих мест и ресурсов от несанкциониро­ванного доступа (НСД);

• криптографическую защиту наиболее важных информацион­ных ресурсов.

В настоящее время не существует ни одного готового решения (аппаратного, программного или иного), обеспечивающего реализа­цию функций одновременно всех перечисленных задач.

Объясняется это тем, что, с одной стороны, требования каждого конкретного пользователя по выполнению тех или иных защитных мероприятий существенно различаются, и, с другой стороны, каждая из задач решается с помощью специфических средств. Рассмотрим некоторые реализующие эти функции средства.

Защита от проникновения в сеть и от утечки информации из сети. В качестве основного средства, позволяющего реализовать подобную угрозу, рассматривается канал подключения корпоративной сети к глобальной сети Интернет.

Применение межсетевых экранов является наиболее распростра­ненным решением. Они позволяют определить и реализовать прави­ла разграничения доступа, как для внешних, так и для внутренних пользователей корпоративной сети, скрыть при необходимости структуру сети от внешнего пользователя, блокировать отправку информации по «запретным» адресам и, наконец, просто контроли­ровать применение Интернета.

Разграничение потоков информации между сегментами сети. В зависимости от характера обрабатываемой в том или ином сегменте сети информации и от способа взаимодействия между сегментами реализуют разные варианты. Наиболее частым является применение межсетевых экранов, которое рекомендуется при организации взаимодействия между сегментами через сеть Интернет. Как прави­ло, данный способ используется тогда, когда в сети уже имеются межсетевые экраны, предназначенные для контроля за потоками ин­формации между внутренней сетью и Интернетом, что позволяет предотвратить лишние расходы — более полно используются воз­можности имеющихся средств.

Защита наиболее критичных ресурсов сети от вмешательства в нормальный процесс функционирования является первоочередной. Наиболее критичными ресурсами в корпоративной сети являются серверы. Основным способом вмешательства в нормальный процесс их функционирования является проведение атак с использованием уязвимых мест сетевого аппаратного и программного обеспечения. При этом атака может быть реализована как из внешней (Интернет), так и из внутренней сети, например, одним из штатных сотрудников. Основная проблема заключается не только в своевременном обна­ружении и регистрации атаки, что позволяют сделать многие сред­ства, но и в противодействии ей, так как даже поимка злоумыш­ленника (на основе результатов регистрации) будет служить слабым утешением, если корпоративная сеть будет парализована на некото­рое время из-за успешно проведенного нападения.

Защита важных рабочих мест и ресурсов от несанкционирован­ного доступа имеет следующие особенности. До настоящего време­ни многие автоматизированные системы работали и продолжают работать, ориентируясь только на встроенные защитные механизмы различных операционных систем (как правило, сетевых), что обес­печивает достаточную защиту (при правильном администрирова­нии) информации на серверах. Но количество серверов составляет в корпоративной сети 1—3% общего числа рабочих станций, на кото­рых и производится обработка защищенной информации. При этом подавляющее большинство рабочих станций (примерно 90%) рабо­тает под управлением MS DOS или Windows и не имеет никаких средств защиты, так как эти операционные системы не содержат встроенных защитных механизмов.

Возникает ситуация — на незащищенном рабочем месте может обрабатываться важная информация, доступ к которой ничем не ограничен. Именно в этих случаях рекомендуется применять до­полнительные средства защиты, в частности средства криптографи­ческой защиты (для защиты криптографических ключей); регламен­тирование и протоколирование действий пользователей; разграни­чение прав пользователей по доступу к локальным ресурсам.

Криптографической защите подвергаются наиболее важные ин­формационные ресурсы. Шифрование является надежным способом защиты данных от ознакомления и использования другими людьми в своих целях. Особенностью подобных средств в России является то, что их применение жестко регламентируется законами. В настоящее время информационные продукты, предназначенные для шифрова­ния в корпоративных сетях, устанавливаются только на тех рабочих местах, на которых хранится информация, имеющая очень высокую важность, или обрабатываются электронные денежные платежи (например, в системах «Банк—клиент»).

Для всесторонней защиты корпоративных информационных систем и технологий рекомендуется использование программно-технических средств крупных компаний. Они способны предоставить более полный спектр услуг и средств и в более технологичном исполнении.

Так как защита информации в корпорациях вопрос комплексный, то никакие средства цифровой подписи и шифрования не помогут, если не рассмотрены остальные составляющие защиты. Большинство корпоративных структур практически не рассматривают угрозу утечки информации по техническим каналам (по системам электропитания, телефонным линиям, инженерным сооружениям, устройствам не­гласного снятия информации и т.д.) как реальную, хотя, по данным ряда организаций, занимающихся вопросами защиты информации, это один из самых распространенных в настоящее время каналов хищения информации.

Контроль качества защиты информации на объектах находится в ведении организаций, прошедших специальную экспертизу и ак­кредитованных в общей системе сертификации. Они несут полную юридическую и финансовую ответственность за свои действия. В настоящее время на рынке услуг в этой области существует две ка­тегории организаций: имеющие лицензию, но не аккредитованные Гостехкомиссией (в настоящее время — Федеральная служба по техническому и экспортному контролю) как органом аттестации, и обладающие и лицензией, и аккредитаций. Разница между ними состоит в том, что хотя и те и другие могут проводить проверки ор­ганизаций, относящихся к первой категории (чаще всего это орга­низации — субподрядчики), не имеют права утверждать аттестат соответствия и должны обращаться за этим в один из органов по аттестации, либо непосредственно в Гостехкомиссию.

Каждому корпоративному предприятию, банку в зависимости от конкретных условий его работы требуется персонализированная сис­тема защиты информации. Построение такой системы возможно лишь фирмами, имеющими лицензию на указанный характер деятельности.

На примере банка персонализированная система защиты ин­формации должна быть адекватной уровню важности и секретности информации. Ее стоимость не должна превосходить возможный ущерб от нарушения безопасности охраняемой информации. Но в то же время преодоление системы защиты должно быть экономиче­ски нецелесообразно по сравнению с возможной выгодой от полу­чения доступа, уничтожения, модификации или блокировки защи­щаемой информации. Для определения адекватности стоимости системы защиты следует сопоставить размеры ущерба и вероятность его нанесения с размерами затрат на обеспечение защиты. Так как реальную стоимость информации оценить довольно сложно, поэто­му часто применяются качественные экспертные оценки. Инфор­мационные ресурсы классифицируют как критичные при ведении бизнеса, в случае их особой важности в каком-либо деле и т.д.

Уровень защищенности информации формально должен опре­деляться исходя из уровня конфиденциальности обрабатываемой информации, уровня ущерба от нарушения защиты. Определение требуемого уровня конфиденциальности — прерогатива руководства банка. Он может меняться в широких пределах в зависимости от стратегических и тактических целей банка, применяемой техноло­гии обработки информации, частного мнения руководства, состава обслуживающего персонала, состава автоматизированных средств и множества иных причин. Важными при определении уровня кон­фиденциальности информации являются требования законодатель­ной базы и государственных структур.

Степень защищенности информации в автоматизированных банковских системах определяется также конкретизированным по­лем угроз нарушения конфиденциальности. Полный перечень угроз в современном компьютеризованном мире составляет не одну стра­ницу. Конкретизированную оценку вероятности появления каждой угрозы следует определять на конкретной банковской системе.

Существующие сегодня на рынке программные продукты в от­ношении методов защиты информации содержат систему разграни­чения доступа. Мероприятия по вводу нового пользователя в систе­му с организационной точки зрения остаются на усмотрение служб безопасности. Примером может служить заполнение анкеты на пра­во доступа к системе, в которой содержится перечень функцио­нальных задач, перечень операций в конкретной функциональной задаче, перечень действий, разрешенных оператору к выполнению. Анкету утверждают руководство банка, служба безопасности, служ­ба сопровождения. После этих действий, оператору для входа в сис­тему необходимо знать два пароля: пароль супервизора для физиче­ского входа в компьютер и личный пароль для входа в систему.

В большинстве случаев компьютерные преступления соверша­ются сотрудниками банка. Некоторые банки предпочитают содер­жать штат разработчиков программного обеспечения. Разработчику системы известно о системе все, все ее слабые места, он знает, как можно модифицировать информацию так, чтобы об этом не узнал никто. Никто, кроме него, не может лучше осуществлять сопровож­дение системы. Как показывает практика, осуществлению компью­терных преступлений способствует нарушение регламента и правил архивирования информации.

В настоящее время общество в целом зависит от компьютеров, поэтому сегодня проблема информационной безопасности — про­блема всего общества.

Защита информации стала самостоятельной, динамично разви­вающейся отраслью науки, техники и технологий. Современные тен­денции в защите информации следуют общим тенденциям развития компьютерных систем и технологий: интегрированность, стандарти­зация, переносимость, прозрачность.

Разработки в области безопасности информации продолжают бурно развиваться. Спрос на программные продукты с гарантией ин­формационной безопасности увеличивается. Наиболее актуальными остаются сетевые проблемы.