Разработка DLP-системы медицинского учреждения

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Введение

В настоящее время обладание информацией позволяет контролировать решение любых проблем мирового сообщества. Она стала фактором, способным привести к крупномасштабным авариям, военным конфликтам и поражению в них, дезорганизовать государственное управление, финансовую систему, работу научных центров. В то же время эффективное использование информации способствует развитию всех сфер деятельности государства в целом и отдельно взятого предприятия в частности и, в конечном счете, приводит к значительным успехам в экономике, бизнесе, финансах. Обладание ценной информацией, предоставляя существенные преимущества, при этом возлагает на субъекты, имеющие на нее права, высокую степень ответственности за ее сохранность и защиту от возможного внешнего воздействия различного рода факторов и событий, носящих как преднамеренный, так и случайный характер.

Информация и информационные технологии определяют пути и направления развития любого общества и государства, коренным образом влияют на формирование человека как личности. Программы развития информационных технологий ведущих мировых держав, государственное финансирование таких программ выходят на первое место, опережая ракетные и космические программы.

Стремительность развития информационных технологий, поднимая на новый уровень практическое значение информации, вместе с тем все больше отдаляет нас от понимания сущности самой информации, форм и способов ее проявления, методов воздействия информации на развитие общества, государства и личности. Эти знания нам необходимы, прежде всего, для понимания общих принципов и основ информационной безопасности, формулирования всего спектра связанных с ней проблем и определения путей их решения.

Термин «информация» происходит от латинского «informatio», что означает разъяснение, изложение. Однако разные науки сегодня вкладывают в это понятие различное содержание. Информация зачастую определяется через различные свойства материи или путем выделения ее содержательного (семантического), ценностного (прагматического) аспектов. Диапазон толкований термина «информация» достаточно широк: от частного, бытового представления (сведения, сообщения, подлежащие переработке) до философского как наиболее общего и мировоззренческого.

Ни наука, ни человек, ни общество не могут эффективно и динамично развиваться без сбора, передачи, накопления и использования информации для получения новых знаний. Ежедневно человек использует самые разнообразные источники информации.

На современном этапе развития общества возрастает роль информационной сферы в целом, которая представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Из всех составляющих информационной сферы ключевыми понятиями являются информация и информационные технологии.

При рассмотрении вопросов, связанных с применением информационных технологий, осуществлением права на поиск, получение, передачу, производство и распространение информации, а также с обеспечением ее защиты, используются следующие понятия информации и информационных технологий:

· информация -- сведения (сообщения, данные) независимо от формы их представления;

· информационные технологии -- процессы, методы, способы поиска, сбора, хранения, обработки, предоставления, распространения информации.

Информационные технологии в значительной степени определяют возможности человека в области формирования, распространения и потребления информации, накопления обществом социально важных сведений.

Информационные технологии обусловливают возможность использования приемов, моделирующих интеллектуальную деятельность человека, для создания средств производства и предметов потребления, ведения вооруженной борьбы, обеспечения социальной коммуникации. По мере развития научно-технического прогресса, возрастания роли информационных технологий в повседневной жизни, их проникновения во все сферы деятельности общества и государства, все большее значение приобретает информационная безопасность личности, общества и государства, а ее обеспечение занимает особое место в деятельности всех государственных институтов. Один из принципов правового регулирования отношений, возникающих в сфере информации, информационных технологий и защиты информации, -- «обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации», иначе говоря -- обеспечение информационной безопасности нашего государства.

1. Информационная безопасность

Информационная безопасность -- состояние сохранности информационных ресурсов и защищенности законных прав личности и общества в информационной сфере.

Информационная безопасность - это процесс обеспечения конфиденциальности, целостности и доступности информации.

Конфиденциальность - обеспечение доступа к информации только авторизованным пользователям.

Целостность - обеспечение достоверности и полноты информации и методов ее обработки.

Доступность - обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность -- все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, отказоустойчивости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации -- состояние защищенности данных, при котором обеспечиваются их конфиденциальность, доступность и целостность. Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

1.1 Административный уровень информационной безопасности

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.

Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы, и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Термин "политика безопасности" является не совсем точным переводом английского словосочетания "security policy", однако в данном случае калька лучше отражает смысл этого понятия, чем лингвистически более верные "правила безопасности". Мы будем иметь в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впереди), а стратегию организации в области информационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высоком уровне.

Под политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов. Такая трактовка, конечно, гораздо шире, чем набор правил разграничения доступа (именно это означал термин "security policy" в "Оранжевой книге" и в построенных на ее основе нормативных документах других стран).

ИС организации и связанные с ней интересы субъектов - это сложная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня.

Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы. Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации, но и видимые грани объектов. Техническим средством составления, сопровождения и визуализации подобных карт может служить свободно распространяемый каркас какой-либо системы управления.

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

· Решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;

· Формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

· Обеспечение базы для соблюдения законов и правил;

· Формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

· Вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;

· Организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;

· Классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;

· Штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);

· Раздел, освещающий вопросы физической защиты ;

· Управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;

· Раздел, описывающий правила разграничения доступа к производственной информации;

· Раздел, характеризующий порядок разработки и сопровождения систем;

· Раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;

· Юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов -отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

· Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

· Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности.

Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

Позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.

Роли и обязанности. В "политический" документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне.

Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

· Кто имеет право доступа к объектам, поддерживаемым сервисом;

· При каких условиях можно читать и модифицировать данные;

· Как организован удаленный доступ к сервису.

При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.

1.2 Защита персональных данных

Защита персональных данных - это комплекс мероприятий, позволяющий выполнить требования законодательства РФ, касающиеся обработки, хранению и передачи персональных данных граждан.

Согласно требованию закона о защите персональных данных, оператор персональных данных обязан выполнить ряд организационных и технических мер касающихся процессов обработки персональных данных.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Правоотношения в сфере персональных данных регулируются федеральным законодательством РФ (Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»), Трудовым кодексом РФ (глава 14), а также Гражданским кодексом РФ.

Закон «О персональных данных» обязывает оператора принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Появление закона поставило сложную и требующую немедленного решения задачу перед большинством российских компаний.

До 1 января 2010 года компании (операторы), обрабатывающие персональные данные в информационных системах, обязаны были обеспечить:

· Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

· Своевременное обнаружение фактов несанкционированного доступа к персональным данным;

· Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

· Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

· Постоянный контроль за обеспечением уровня защищенности персональных данных.

Основные положения Закона «О персональных данных»:

· Основные положения Закона «О персональных данных»: Информационные системы, обрабатывающие персональные данные и созданные до вступления в силу Закона «О персональных данных» должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года;

· Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как Роскомнадзор);

· Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

· Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность физических и должностных лиц.

Требования к обеспечению безопасности персональных данных установлены Постановлением Правительства № 781 от 17.11.2007 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационной системе персональных данных». Положение определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их классом.

Классификация информационных систем производится операторами самостоятельно в зависимости от объема и состава обрабатываемых персональных данных в соответствии с совместным приказом ФСТЭК, ФСБ и Мининформсвязи от 13.02.2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Контроль за выполнением законодательства возложен на следующие органы:

· Роскомнадзор - основной надзорный орган в области персональных данных;

· ФСБ - основной надзорный орган в части использования средств шифрования;

· ФСТЭК - надзорный орган в части использования технических средств защиты информации;

· Уполномоченный орган по защите прав субъектов персональных данных производит как плановые и внеплановые мероприятия по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства Российской Федерации. За 2008 год уполномоченный орган произвел 76 плановых проверок и 40 внеплановых, произведенных в ходе рассмотрения обращений граждан.

Организационные меры по защите персональных данных включают в себя:

· Разработку организационно-распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных;

· Определение перечня мероприятий по защите ПДн.

Технические меры по защите персональных данных предполагают использование программно-аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из класса системы персональных данных.

После внедрения системы по защите персональных данных Заказчик получит:

· Возможность работы с персональными данными не только внутри компании, но и при передаче их сторонним организациям;

· Возможность продолжать свою деятельность, не опасаясь претензий со стороны клиентов и собственных сотрудников;

· Защиту от претензий со стороны регулирующих органов;

· Защиту от непредвиденной и принудительной остановки бизнеса;

· Защиту от недобросовестных конкурентов;

· Информационную систему, соответствующую всем стандартам и требованиям законодательства.

1.3 Защита корпоративных данных

Успех современной компании может непосредственно зависеть от надежности защиты ее корпоративных данных, однако каждое предприятие имеет свою специфику и требует своего подхода к обеспечению безопасности данных.

Защита информации включает в себя защиту от внешних (вредоносный код, спам и т.д.) и от внутренних угроз (утечка данных). Каждый бизнес-процесс должен быть оценен с точки зрения сохранности его данных, особенно это важно для функций, требующих взаимодействия с клиентами или компаниями-партнерами. При этом для внешнего взаимодействия требуется компромисс между удобством и безопасностью - непросто заставить внешних контрагентов соблюдать внутренние распорядки другой компании и нагружать их необходимостью выполнять дополнительные операции.

Безопасность электронной почты.

Электронная почта давно стала одним из основных средств коммуникации в современной бизнес-среде, и неудивительно, что с ней связано большое количество самых разнообразных угроз. Некоторые угрозы актуальны для большинства компаний, другие же возникают только при определенных способах использования электронной почты, например, при пересылке конфиденциальных сведений за пределы корпоративной сети

Казалось бы, задача шифрования электронной почты уже была решена в 1991 году, когда Филипп Циммерман разместил в Сети свою программу PGP, но это не так. В PGP используется классическая технология открытого и закрытого ключа, предполагающая, что закрытый ключ доступен только получателю защищенного сообщения, а открытый - всем желающим. Трудность не в сохранности закрытого ключа, а в доступности открытого ключа всем желающим. Тогда была предложена инфраструктура открытых ключей PKI (Public Key Infrastructure), но внедрить и сопровождать ее можно только в рамках одной организации - многие задачи, например, массовая рассылка зашифрованной почты, подобные системы решить не могут. Обычный пользователь не в состоянии подключить свой компьютер к системе PKI - это сложно, а главное, требует предварительной настройки до получения первого зашифрованного сообщения.

Для решения проблемы доступности открытого ключа всем желающим была создана криптографическая система IBE (Identity Based Encryption), и теперь для отправки кому-либо зашифрованного письма требуется лишь наличие у получателя адреса электронной почты. Если получатель в состоянии подтвердить, что адрес действительно его, он может без установки дополнительных программ расшифровать послание непосредственно в окне браузера. Расшифровщик написан на JavaScript и загружается в Web-странице.

Каждое входящее письмо проходит несколько стадий обработки: снятие его цифрового отпечатка, индексирование, сжатие, шифрование и помещение в хранилище. Сообщения посредством криптографии защищаются от посторонних глаз, но при этом авторизованным лицам обеспечивается возможность поиска по содержимому сообщений. Предусмотрено также сжатие, позволяющее поддерживать минимальный размер хранилища.

Шлюзовые средства безопасности не в состоянии на 100% оградить корпоративную сеть от внешних угроз, и в первую очередь это связано с тем, что многие виды трафика не поддаются эффективному анализу на уровне шлюза, например, зашифрованный трафик. Кроме того, часть сотрудников в компании работает вне корпоративной сети и оказывается вообще без шлюзовой защиты. Если средства безопасности на шлюзе не предотвращают проникновения угрозы внутрь периметра корпоративной сети, то необходимы специализированные средства защиты конечных узлов корпоративной сети: рабочих станций, файловых серверов, мобильных устройств сотрудников.

1.4 Защита от утечки корпоративных данных через персональные мобильные устройства

Мобильный аспект консьюмеризации ИТ.

В последние два года одной из наиболее значимых тенденций развития информационных технологий стало внедрение потребительской электроники и программных продуктов в корпоративные информационные системы -- процесс их консьюмеризации, аппаратная сторона которого характеризуется растущим использованием в бизнесе персональных мобильных устройств.

Несмотря на довольно ограниченный набор корпоративных мобильных приложений (электронная почта, чаты, реже -- мониторинг присутствия), смартфоны и КПК уже доказали свою эффективность как средство повышения производительности труда.

Дальнейшее ускорение корпоративной мобилизации связано с появлением нового поколения однокристальных вычислительных систем (System-On-Ship) с уникальными характеристиками производительности и энергопотреблениия, например, Moorestown производства Intel, в сочетании с распространением высокоскоростных беспроводных сетей -- Wi-Fi, 3G/HSPA, WiMAX -- и их поддержкой в платформах мобильных компьютеров, таких как ноутбуки на базе платформы Montevina компании Intel со встроенной поддержкой Mobile WiMAX.

Утечка данных через мобильные устройства.

Нет сомнений в том, что консьюмеризация корпоративных ИТ скоро сделает мобильной большую часть работников, каждый из которых будет использовать либо личное, либо казенное мобильное устройство. При этом задача управления корпоративными рисками ИБ в условиях использования потребительской электроники или приложений на базе социальных сетей, очевидно, не может основываться на предложенной аналитиками Yankee Group для консьюмеризации дзэн-подобной модели кооперативного управления ИТ-процессами, поскольку бессмысленно ожидать кооперативного поведения и самодисциплины от халатных, забывчивых или, хуже того, злонамеренных сотрудников. Неисправимый «человеческий фактор» многократно усугубляется техническим прогрессом: те же самые технологические достижения, которые определяют сегодня прогресс консьюмеризации, ведут к резкому повышению рисков ИБ, поскольку создают предпосылки для таких негативных процессов, как разработка вредоносных мобильных программ и, что еще более актуально, рост утечек корпоративной информации через персональные мобильные устройства работников.

Но если угроза атак вредоносных программ на мобильные устройства должна еще созреть, поскольку зависит от состояния своих пока неразвитых целевых рынков -- мобильных ОС и корпоративных приложений, -- то угроза утечек корпоративных данных через персональные мобильные устройства неизбежна и насущна, поскольку никуда не денутся случайные ошибки, халатность и злой умысел, равно как и утери, и кражи смартфонов и КПК. Именно поэтому готовность к ее отражению наиболее важна и приоритетна уже сегодня.

Несмотря на то, что резидентные криптографические средства могут полностью защитить данные на утерянных или украденных мобильных устройствах, криптография не является панацеей против всех типов мобильных утечек. Например, при штатной работе устройств прикладные программы работают с нешифрованными данными, хранимыми в ОЗУ устройства, и ничто не мешает пользователю случайно или намеренно отослать эти данные из активного сетевого приложения -- электронной почты, web-браузера, чата -- куда-нибудь за пределы организации. В связи с этим не следует переоценивать эффективность резидентного шифрования как универсального механизма защиты от утечек данных с персональных мобильных устройств, и в обозримом будущем сохранится исключительная важность решений по защите от неконтролируемой передачи данных на мобильные устройства.

Слабое место -- каналы локальной синхронизации.

В общем случае мобильные устройства получают данные извне по каналам трех типов:

· через сетевые приложения;

· съемные карты памяти;

· локальные коммуникации с персональным компьютером для синхронизации (Local Sync).

Сегодня на рынке предлагается множество продуктов и решений для защиты от утечек данных на мобильные устройства через сетевые приложения -- электронную почту, web-браузеры, чат и FTP. Реализованные как серверные программные компоненты или установленные в сети специализированные аппаратные комплексы эти решения используют технологии протокольной и контентной фильтрации, а также контроля типов файлов и доказали свою высокую эффективность. Те же технологии фильтрации контента и типов файлов интегрированы в продукты управления доступом к локальным интерфейсам и портам компьютеров (Endpoint Device/Port Control), обеспечивая таким образом защиту от утечек данных через съемные карты памяти.

Принципиально важным является то, что все современные решения Data Leakage Prevention (DLP) реализованы как канально-специфичные. А поскольку программы локальной синхронизации мобильных устройств также специфичны и не используют протоколы сетевых приложений, существующие сегодня средства и системы контентной фильтрации и детектирования типов файлов не могут контролировать поток данных в каналах локальной синхронизации мобильных устройств.

В результате корпоративные пользователи стоят перед выбором: либо полностью блокировать локальные подключения мобильных устройств и всякое их использование в производственных целях, либо испытывать судьбу и рисковать корпоративными данными каждый раз, нажимая на кнопку Sync. Дефицит контроля каналов локальной синхронизации мобильных устройств уже сегодня воспринимается корпоративными пользователями как серьезная угроза безопасности информации. Бездействие может превратить эту угрозу в одну из главных инсайдерских проблем информационной безопасности предприятий по мере внедрения в их информационные системы потребительской электроники. Поэтому задачей первостепенной важности и срочности для отрасли ИБ является создание комплексного решения защиты от утечек данных через каналы локальной синхронизации мобильных устройств.

1.5 Организация безопасности данных и информационной защиты

Современное развитие информационных технологий и, в частности, технологий Internet/Intranet приводит к необходимости защиты информации, передаваемой в рамках распределенной корпоративной сети, которая использует сети открытого доступа. При работе на своих собственных закрытых физических каналах доступа эта проблема так остро не стоит, так как в эту сеть закрыт доступ посторонним. Однако выделенные каналы может себе позволить далеко не любая компания. Поэтому приходится довольствоваться тем, что есть в распоряжении компании. А есть чаще всего Internet. Поэтому нужно изобретать способы защиты конфиденциальных данных, передаваемых по фактически незащищенной сети.

Рассматривая вопросы информационной защиты, можно выделить несколько вопросов, которые являются базовыми и в обязательном порядке должны прорабатываться высшим руководством компании при организации информационной защиты.

Ответов на этот вопрос может быть множество, в зависимости от структуры и целей компании. Для одних главной задачей является предотвращение утечки информации (маркетинговых планов, перспективных разработок и т. д.) конкурентам. Другие могут пренебречь конфиденциальностью своей информации и сосредоточить свое внимание на ее целостности (например, для банка важно в первую очередь обеспечить неизменность обрабатываемых платежных поручений). Для третьих компаний на первое место выходит задача обеспечения доступности и безотказной работы корпоративных информационных систем. Например, для провайдера Internet-услуг, компании, имеющей Web-сервер, или оператора связи первейшей задачей является именно обеспечение безотказной работы всех (или наиболее важных) узлов своей информационной системы. Расставить такого рода приоритеты можно только в результате анализа деятельности компании.

В абсолютном большинстве случаев ответ на этот вопрос - от внешних злоумышленников, хакеров. По мнению большинства российских предпринимателей, основная опасность исходит именно от них: проникают в компьютерные системы банков и военных организаций, перехватывают управление спутниками и т. д.

При интеграции индивидуальных и корпоративных информационных систем и ресурсов в единую информационную инфраструктуру определяющим фактором является обеспечение должного уровня информационной безопасности для каждого субъекта, принявшего решение войти в это пространство. В едином информационном пространстве должны быть созданы все необходимые предпосылки для установления подлинности пользователя (субъекта), подлинности содержания и подлинности сообщения (т.е. созданы механизмы и инструмент аутентификации). Таким образом, должна существовать система информационной безопасности, которая включает необходимый комплекс мероприятий и технических решений по защите:

· от нарушения функционирования информационного пространства путем исключения воздействия на информационные каналы и ресурсы;

· от несанкционированного доступа к информации путем обнаружения и ликвидации попыток использования ресурсов информационного пространства, приводящих к нарушению его целостности;

· от разрушения встраиваемых средств защиты с возможностью доказательства неправомочности действий пользователей и обслуживающего персонала;

· от внедрения "вирусов" и "закладок" в программные продукты и технические средства.

Наиболее простой способ - купить новейшие рекламируемые средства защиты и установить их у себя в организации, не утруждая себя обоснованием их полезности и эффективности. Если компания богата, то она может позволить себе этот путь. Однако истинный руководитель должен системно оценивать ситуацию и правильно расходовать средства. Во всем мире сейчас принято строить комплексную систему защиту информации и информационных систем в несколько этапов - на основе формирования концепции информационной безопасности, имея в виду в первую очередь взаимосвязь ее основных понятий.

Первый этап - информационное обследование предприятия - самый важный. Именно на этом этапе определяется, от чего в первую очередь необходимо защищаться компании.

Вначале строится так называемая модель нарушителя, которая описывает вероятный облик злоумышленника, т. е. его квалификацию, имеющиеся средства для реализации тех или иных атак, обычное время действия и т. п. На этом этапе можно получить ответ на два вопроса, которые были заданы выше: "Зачем и от кого надо защищаться?" На этом же этапе выявляются и анализируются уязвимые места и возможные пути реализации угроз безопасности, оценивается вероятность атак и ущерб от их осуществления.

По результатам этапа вырабатываются рекомендации по устранению выявленных угроз, правильному выбору и применению средств защиты. На этом этапе может быть рекомендовано не приобретать достаточно дорогие средства защиты, а воспользоваться уже имеющимися в распоряжении. Например, в случае, когда в организации есть мощный маршрутизатор, можно рекомендовать воспользоваться встроенными в него защитными функциями, а не приобретать более дорогой межсетевой экран (Firewall).

Наряду с анализом существующей технологии должна осуществляться разработка политики в области информационной безопасности и свода организационно-распорядительных документов, являющихся основой для создания инфраструктуры информационной безопасности. Эти документы, основанные на международном законодательстве и законах Российской федерации и нормативных актах, дают необходимую правовую базу службам безопасности и отделам защиты информации для проведения всего спектра защитных мероприятий, взаимодействия с внешними организациями, привлечения к ответственности нарушителей и т. п.

Формирование политики ИБ должно сводиться к следующим практическим шагам.

Определение и разработка руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:

· принципы администрирования системы ИБ и управление доступом к вычислительным и телекоммуникационным средствам, программам и информационным ресурсам, а также доступом в помещения, где они располагаются;

· принципы контроля состояния систем защиты информации, способы информирования об инцидентах в области ИБ и выработку корректирующих мер, направленных на устранение угроз;

· принципы использования информационных ресурсов персоналом компании и внешними пользователями;

· организацию антивирусной защиты и защиты против несанкционированного доступа и действий хакеров;

· вопросы резервного копирования данных и информации;

· порядок проведения профилактических, ремонтных и восстановительных работ;

· программу обучения и повышения квалификации персонала.

Разработка методологии выявления и оценки угроз и рисков их осуществления, определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.

Порядок сертификации на соответствие стандартам в области ИБ. Должна быть определена периодичность проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ.

Следующим этапом построения комплексной системы информационной безопасности служит приобретение, установка и настройка рекомендованных на предыдущем этапе средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны, средства анализа защищенности и другие.

Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал.

С течением времени имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных слабых мест и атак, меняется технология обработки информации, изменяются программные и аппаратные средства, приходит и уходит персонал компании. Поэтому необходимо периодически пересматривать разработанные организационно-распорядительные документы, проводить обследование ИС или ее подсистем, обучать новый персонал, обновлять средства защиты.

Следование описанным выше рекомендациям построения комплексной системы обеспечения информационной безопасности поможет достичь необходимого и достаточного уровня защищенности вашей автоматизированной системы.

Вопросы определения стратегии разработки, приобретения и внедрения средств защиты информации, определение круга первоочередных задач и формирование политики информационной безопасности являются прерогативой высшего руководства компании. Вопросы реализации и обеспечения ИБ прямо входят в сферу ответственности руководителя ИТ-департамента (если компания крупная) или ИТ-отдела или ИТ-службы. Доказывать кому-то, что корпоративную информацию и данные нужно тщательно защищать, нет необходимости. Однако те, кому приходилось на практике заниматься вопросами защиты данных и обеспечения информационной безопасности в автоматизированных системах, отмечают следующую особенность - реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, и всеобщий энтузиазм довольно быстро сменяются на резкое неприятие на уровне подразделений, отвечающих за работоспособность ИС организации.

Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

· появление дополнительных ограничений для конечных пользователей и специалистов подразделений обеспечения затрудняют использование и эксплуатацию информационной системы и сетей организации;

· необходимость значительных дополнительных материальных затрат на проведение таких работ, на расширение штата специалистов, занимающихся проблемой информационной безопасности, на их обучение.

Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются: принятие только самых общих организационных мер обеспечения безопасности информации в ИС, использование только простых дополнительных средств защиты информации (СЗИ).

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы, на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей технической поддержки) затрудняют повседневную деятельность сотрудников организации и, как показывает опыт, не выполняются.

Во втором случае приобретаются и устанавливаются дополнительные средства защиты. Применение СЗИ без соответствующей организационной поддержки и планового обучения также неэффективно в связи с тем, что без установленных жестких правил обработки информации в ИС и доступа к данным использование любых СЗИ только усиливает существующий беспорядок.

Как показывает опыт практической работы, для эффективной защиты автоматизированной системы организации необходимо решить ряд организационных задач:

· создать специальное подразделение, обеспечивающее разработку правил эксплуатации корпоративной информационной системы, определяющее полномочия пользователей по доступу к ресурсам этой системы и осуществляющее административную поддержку средств защиты (правильную настройку, контроль и оперативное реагирование на поступающие сигналы о нарушениях установленных правил доступа, анализ журналов регистрации событий безопасности и т. п.);

· разработать технологию обеспечения информационной безопасности, предусматривающую порядок взаимодействия подразделений организации по вопросам безопасности при эксплуатации автоматизированной системы и модернизации ее программных и аппаратных средств;

· внедрить технологию защиты информации и КИС путем разработки и утверждения необходимых нормативно-методических и организационно-распорядительных документов (концепций, положений, инструкций и т. п.), а также организовать обучение всех сотрудников, являющихся администраторами и пользователями КИС.

При создании подразделения информационной безопасности надо учитывать, что для эксплуатации простых средств защиты нужен минимальный штат сотрудников, осуществляющих поддержку функционирования СЗИ. В то же время разработка и внедрение технологии обеспечения информационной безопасности требует значительно большего времени, больших трудозатрат и привлечения квалифицированных специалистов, потребность в которых после ее внедрения в эксплуатацию отпадает. Кроме того, разработка и внедрение такой технологии должны проводиться в сжатые сроки, чтобы не отстать от развития самой корпоративной информационной системы организации.

Применение дополнительных средств защиты информации затрагивает интересы многих структурных подразделений организации - не столько тех, в которых работают конечные пользователи информационной системы, сколько подразделений, отвечающих за разработку, внедрение и сопровождение прикладных задач, за обслуживание и эксплуатацию средств вычислительной техники.

Для минимизации расходов на разработку и эффективное внедрение технологии обеспечения информационной безопасности целесообразно привлекать сторонних специалистов, имеющих опыт в проведении подобного рода работ. При этом, в любом случае, ответственность за разработку, внедрение и эффективность работы защитных систем несет высшее руководство компании.

1.6 Классификация технических каналов утечки информации

Информация передается полем или веществом. Это может быть либо акустическая волна, либо электромагнитное излучение, либо лист бумаги с текстом и т.п. Другими словами, используя те или иные физические поля, человек создает систему передачи информации или систему связи. Система связи в общем случае состоит из передатчика, канала передачи информации, приемника и получателя информации. Легитимная система связи создается и эксплуатируется для правомерного обмена информацией. Однако ввиду физической природы передачи информации при выполнении определенных условий возможно возникновение системы связи, которая передает информацию вне зависимости от желания отправителя или получателя информации - технический канал утечки информации.

Утечка - бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.

Утечка (информации) по техническому каналу - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации. Технический канал утечки информации (ТКУИ), так же, как и канал передачи информации, состоит из источника сигнала, физической среды его распространения и приемной аппаратуры злоумышленника.

На вход канала поступает информация в виде первичного сигнала. Первичный сигнал представляет собой носитель с информацией от ее источника или с выхода предыдущего канала. В качестве источника сигнала могут быть:

· объект наблюдения, отражающий электромагнитные и акустические волны;

· объект наблюдения, излучающий собственные (тепловые) электромагнитные волны в оптическом и радиодиапазонах;

· передатчик функционального канала связи;

· закладное устройство;

· источник опасного сигнала;

· источник акустических волн, модулированных информацией.

Так как информация от источника поступает на вход канала на языке источника (в виде буквенно-цифрового текста, символов, знаков, звуков, сигналов и т. д.), то передатчик производит преобразование этой формы представления информации в форму, обеспечивающую запись ее на носитель информации, соответствующий среде распространения. В общем случае он выполняет следующие функции:

· создает поля или электрический ток, которые переносят информацию;

· производит запись информации на носитель;

· усиливает мощность сигнала (носителя с информацией);

· обеспечивает передачу сигнала в среду распространения в заданном секторе пространства.

Среда распространения носителя - часть пространства, в которой перемещается носитель. Она характеризуется набором физических параметров, определяющих условия перемещения носителя с информацией. Основными параметрами, которые надо учитывать при описании среды распространения, являются:

· физические препятствия для субъектов и материальных тел:

· мера ослабления сигнала на единицу длины;

· частотная характеристика;

· вид и мощность помех для сигнала.

Приемник выполняет функции, обратные функциям передатчика. Он производит:

· выбор носителя с нужной получателю информацией;

· усиление принятого сигнала до значений, обеспечивающих съем информации;

· съем информации с носителя;

· преобразование информации в форму сигнала, доступную получателю (человеку, техническому устройству), и усиление сигналов до значений, необходимых для безошибочного их восприятия.

Основным признаком для классификации технических каналов утечки информации является физическая природа носителя. По этому признаку ТКУИ делятся на:

· оптические;

· радиоэлектронные;

· акустические;

· материально-вещественные.

Носителем информации в оптическом канале является электромагнитное поле (фотоны). Оптический диапазон подразделяется на:

· дальний инфракрасный поддиапазон 100 - 10 мкм (3 - 30 ТГц);

· средний и ближний инфракрасный поддиапазон 10 - 0,76 мкм (30 - 400 ТГц);

· видимый диапазон (сине-зелёно-красный) 0,76 - 0,4 мкм (400 - 750 ТГц).

В радиоэлектронном канале утечки информации в качестве носителей используются электрические, магнитные и электромагнитные поля в радиодиапазоне, а также электрический ток (поток электронов), распространяющийся по металлическим проводам. Диапазон частот радиоэлектронного канала занимает полосу частот от десятков ГГц до звукового. Он подразделяется на:

...