- •Организации защиты информации в современных условиях
- •1. Факторы, оказывающие влияние на состав защищаемой информации и систему ее защиты в политической, военной и экономических сферах деятельности государства
- •2. Общие подходы и требования к организации защиты конфиденциальной информации
- •3. Организация защиты служебной тайны
- •4. Организация защиты персональных данных
- •5. Ответственность за разглашение конфиденциальной информации
- •5.1. Выписки из Уголовного кодекса Российской Федерации
- •5.2. Выписки из Кодекса Российской Федерации об административных правонарушениях
- •5.3.Выписки из Трудового кодекса
- •6. Законопроекты в области защиты информации
- •7. Проблемы правового обеспечения информационной безопасности
- •8.Проблемы защиты конфиденциальной информации от средств технической разведки в XXI веке
- •8.1.Роль средств технической разведки в XXI веке
- •8.2.Защита от утечек конфиденциальной информации в центрах обработки и хранилищах данных
- •8.3. Защита конфиденциальных данных
- •8.4. Проблема инсайдеров
- •7.5. Проблема защиты от администраторов и разработчиков
- •7.6. Защита баз данных
8.3. Защита конфиденциальных данных
Как же защищать конфиденциальные данные, как сделать работу центров обработки безопасной?
Как и везде, в вопросах построения систем информационной безопасности необходим комплексный, взвешенный, многоуровневый подход, поскольку осечка в одном вопросе способна свести на нет усилия во всех остальных направлениях.
Для того чтобы понять основные направления, на которые следует обращать внимание, рассмотрим главные черты, характеризующие системы хранения и обработки данных:
все основные массы информации накапливаются в структурированных базах данных;
все компьютерные ресурсы обычно находятся в выделенных, хорошо охраняемых серверных комнатах (так называемых ЦОД - Центрах обработки данных);
хранилища — это не просто мертвые склады информации, но и наличие большого числа тесно связанных с ним прикладных и обслуживающих систем (например, программное обеспечение для архивирования информации, управления, системы обработки, системы типа ETL (extraction, transformation, loading), прикладные системы, которые, собственно, и порождают исходные данные и т. д.);
средний размер хранилища составляет 1 Терабайт и выше, что диктует серьезное отношение к сетевой инфраструктуре и системам хранения и обработки информации.
Если не рассматривать физическую безопасность и организационные меры (организация центров обработки требует серьезного подхода), то одним из первых вопросов окажется организация надежной и безопасной телекоммуникационной инфраструктуры, включающей в себя как защиту периметра, так и внутреннюю безопасность.
Центры обработки должны быть максимально закрыты от попыток проникновения снаружи. Все внешние соединения должны включать шифрование трафика (SSH, IPSec, SSL и т. д.), которое также желательно во внутренней сети управления (ее целесообразно выделить из сети общей передачи данных на физическом уровне или с помощью VLAN). Из-за проблем с производительностью шифрование на уровне ядра сети обычно не используется.
Разные сетевые протоколы и сетевые взаимодействия требуют своих уровней защиты:
защита транспортного уровня;
организация VLAN, Port Security и т. д.;
proxy-серверы на периметре, анализирующие прикладной уровень взаимодействия;
системы предотвращения вторжений (Intrusion Detection/Prevention) идр;
уровень Fibre Channel: Fibre Channel Authentication Protocol, Switch Link Authentication Protocol и т. д.;
уровень SAN: Virtual SAN, маркировка LUN и др.
8.4. Проблема инсайдеров
В последнее время часто обсуждается проблема утечек информации и рассматриваются решения по контролю телекоммуникационного периметра и внешних устройств на компьютерах в связи с термином «инсайдер».
В этой области есть зарубежные и отечественные решения по контролю внешних устройств (типа USB, DVD-RW, Bluetooth). Такие продукты предлагают SecureWave (Sanctuary Device Control), Safend, Control Guard, SecurIT и другие компании. Есть большая группа средств сетевого контроля и защиты периметра от компаний (из отечественных компаний здесь наиболее заметна Info Watch).
Кстати, не следует забывать о необходимости тщательного контроля компьютеров пользователей: что за ПО на них установлено, нет ли брешей в безопасности, какие программы разрешено запускать, какие процессы обязаны работать в системе и т. д.
Но! Как это зачастую бывает, попытка сделать инфраструктуру максимально защищенной порождает перекосы в реализации комплексной системы безопасности. Часто за деревьями не видно леса.
Первое, что следует отметить: не существует стопроцентной защиты от утечек информации. Можно контролировать корпоративную почту и порты компьютера, но злоумышленник всегда найдет дополнительные возможности для реализации своего замысла. Например, напечатать документ или просто сфотографировать экран с дальнейшим преобразованием к нужному электронному формату путем программ распознавания текста. Кроме того, следует помнить о трудностях, связанных с тем, как именно все это контролировать (кто будет анализировать, какие данные уполномоченный пользователь записал на USB-устройство?). Можно вспомнить и о морально-психологической стороне вопроса: если компания уполномочила пользователя работать с данным документом (следовательно, ему доверяют эту работу), то откуда возникает потребность в контроле его действий? В данном случае это означает, что, наверное, в организации неправильно выстроены сами основы безопасности - корпоративное управление идентификацией, авторизацией и доступом, а также защита баз данных.