автордың кітабын онлайн тегін оқу Информационная безопасность
Информация о книге
УДК 004.056(075.8)
ББК 32.973-018.2я73
Г86
Автор:
Гродзенский Я. С., кандидат технических наук, доцент МИРЭА — Российского технологического университета.
В учебном пособии согласно требованиям государственных образовательных стандартов рассматриваются вопросы обеспечения информационной безопасности предприятий. Целью данного пособия является знакомство читателя с основными понятиями в области информационной безопасности, угрозами и методами реагирования, а также международными и национальными стандартами в области информационной безопасности, в основу которых положен мировой опыт борьбы с киберпреступлениями.
Материал, составивший содержание пособия, соответствует программам курсов «Информационная безопасность», «Защита информации», читаемых студентам и магистрантам.
Предназначено для студентов, обучающихся по техническим и экономическим специальностям и направлениям, преподавателей технических вузов, менеджеров, экономистов и инженеров. Может быть использовано при подготовке кадров, а также при повышении квалификации специалистов.
Изображение на обложке foxaon1987/Shutterstock.com
УДК 004.056(075.8)
ББК 32.973-018.2я73
© Гродзенский Я. С., 2019
© ООО «Проспект», 2019
Список основных сокращений
АРМ — автоматизированное рабочее место
АС — автоматизированные системы
ИБ — информационная безопасность
ИСПДн — информационная система персональных данных
ИТ — информационные технологии
КИИ — критическая информационная инфраструктура
МСЭ — межсетевые экраны
НСД — несанкционированный доступ к информации
ПО — программное обеспечение
ПЭМИН — побочные электромагнитные излучения и наводки
РД — руководящий документ
СВТ — средства вычислительной техники
СЗИ — средства защиты информации
СКЗИ — средства криптографической защиты информации
СКУД — системы контроля и управления доступом
СМИБ — система менеджмента информационной безопасности
СТР-К — специальные требования и рекомендации по технической защите конфиденциальной информации
СУИБ — система управления информационной безопасностью
ФЗ — федеральный закон
ФСТЭК — Федеральная служба по техническому и экспертному контролю
Введение
Бурное развитие отрасли информационных технологий, подобно гигантской океанской волне, несет с собой как большие возможности, так и серьезные угрозы, прежде всего, угрозы информационной безопасности (ИБ). По данным Центра стратегических и международных исследований (англ. The Center for Strategic and International Studies) США, в 2014 году объем убытков от киберпреступлений составил 445 миллиардов долларов США, в 2017 году, по данным компании McAfee, приблизился к 600 миллиардам, а в 2021 году убытки от киберпреступности, согласно прогнозам Cybersecurity Ventures, могут подняться до 6 триллионов.
Количество зафиксированных инцидентов ИБ в 2013 году превысило 42 миллиона, т.е. в среднем происходило более 115 тысяч кибератак в день. В течение 2016 года было заблокировано более 81 миллиарда угроз только решениями японской компании — разработчика программного обеспечения для кибербезопасности Trend Micro, что на 56% больше, чем годом раньше, т.е. каждую секунду блокировалось примерно три тысячи атак.
Россия стабильно входит в тройку стран, на территории которых детектируется наибольшее число кибератак. В середине 2017 года по данным лаборатории Касперского количество обнаруживаемых атак составляло около 300 в секунду. Изменилась и картина киберпреступлений. Если на рубеже XX и XXI веков основную угрозу представляли компьютерные вирусы, то сейчас это в первую очередь атаки на веб-приложения, целенаправленные (англ. Advanced Persistent Threat) угрозы мобильным устройствам.
В учебных программах многих вузов появилась дисциплина «Информационная безопасность», по которой один за другим выходят учебники и монографии, укажем только на несколько, что появились в последнее время [1–5]. Целью данного учебного пособия является знакомство читателя с основными понятиями в области ИБ, угрозами ИБ и методами реагирования, а также международными и национальными стандартами в этой области, в основу которых положен мировой опыт борьбы с киберпреступлениями.
Основной материал пособия изложен в 16 разделах. В первом даются понятия и основные принципы ИБ, классификация методов обеспечения ИБ. Обзор современных национальных и международных стандартов в области ИБ приведен во втором разделе. В третьем рассказывается об особенностях обработки персональных данных в соответствии с законодательством Российской Федерации, а в четвертом речь пойдет о способах несанкционированного доступа к информации и методах его предотвращения. Пятый раздел знакомит с понятием утечки информации по техническим каналам и борьбы с инцидентами такого рода. О понятии криптографии и о методах криптографической защиты идет речь в шестом разделе. В седьмом разделе читатель познакомится с понятием электронной подписи, областями ее применения и техническим обеспечением ее использования. Восьмой раздел посвящен управлению уязвимостями ИБ. Одной из наиболее важных составляющих ИБ является сетевая безопасность, которой посвящен девятый раздел.
Неправильно написанное или сконфигурированное веб-приложение может стать для злоумышленника способом получить данные о ее клиентах. Как предотвратить инциденты такого характера? Об этом — десятый раздел. Мобильные устройства стали неотъемлемой частью работы для большинства людей. Об угрозах, подстерегающих пользователей мобильных устройств, и борьбе с ними — одиннадцатый раздел. Двенадцатый раздел посвящен самому важному аспекту для компаний — защите информации ограниченного доступа, включая коммерческую тайну. Нормативная база, а также технические методы защиты информации компаний рассматриваются в этом разделе. Отдельное место занимают вопросы обеспечения ИБ в промышленном производстве и управлении качеством, где цена ошибки может быть очень высока.
Об основных угрозах ИБ, возникающих на производстве, и методах борьбы с ними, а также о методах обеспечения ИБ в управлении качеством читайте в тринадцатом разделе. В связи с принятием Федерального закона от 26.07.2017 187-ФЗ о безопасности критической информационной инфраструктуры (КИИ) стала весьма актуальной и эта тема, ей посвящен четырнадцатый раздел. Вопросы анализа рисков ИБ чрезвычайно важны, поскольку дают возможность объективно оценить угрозы и распределить усилия и ресурсы для защиты от них. Читайте об этом в пятнадцатом разделе. Основным стандартом в области ИБ является ISO 27001. В шестнадцатом разделе можно узнать о том, что должны предпринять организации для соответствия этому стандарту.
1. Понятие информационной безопасности (ИБ). Основные принципы ИБ. Виды угроз информационной безопасности. Классификация методов и мер обеспечения информационной безопасности
Отрасль ИБ в России формируется под влиянием двух основных факторов — мировых тенденций развития информационных технологий (ИТ) и меняющегося, в связи с этим характера киберугроз. Серьезную роль на вектор развития отрасли оказывают также изменения российского законодательства и международных стандартов. Количество нормативно-правовых документов в России, касающихся только банковской сферы, приближается к 150. Существует и множество разнообразных стандартов в области ИБ. При этом надо отметить, что многие из международных стандартов ИСО (Международной организации по стандартизации) и МЭК (Международной электротехнической комиссии) нашли свое применение в российской системе стандартизации.
Не стал исключением и ГОСТ Р ИСО/МЭК 17799-2005 — «Практические правила управления информационной безопасностью». В соответствии с этим стандартом ИБ — это защита конфиденциальности, целостности и доступности информации. Разберем эти три свойства ИБ. Конфиденциальность информации — это обеспечение доступа к информации только авторизованным пользователям.
Необходимо отметить, что конфиденциальная информация — это вполне юридически значимое понятие, которое нашло свое отражение как в различных национальных стандартах, так и в законодательных актах. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07. 2006 № 149-ФЗ в статье 5 говорит, что «Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)». В статье 7 этого закона дано следующее определение общедоступной информации. «К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен».
Общедоступная информация делится на информацию, доступ к которой не может быть ограничен, т.е. которая в соответствии с законодательством должна быть общедоступной, например, на основании «Правил отнесения информации к общедоступной информации, размещаемой государственными органами и органами местного самоуправления в информационно-телекоммуникационной сети «Интернет» в форме открытых данных», утвержденными Постановлением Правительства РФ от 10.07.2013 № 583 и ту, которую общедоступной делают физические и юридические лица по собственному желанию. Так, размещая резюме в открытых источниках, вы по собственному желанию делаете свои персональные данные общедоступными.
Что касается информации ограниченного доступа, то в российском законодательстве упоминается более 50 видов тайн (видов информации ограниченного доступа). Их перечень приводится в Приложении № 1. Эти виды тайн (информации ограниченного доступа) относятся или к конфиденциальной информации или государственной тайне. В свою очередь конфиденциальная информация подразделяется на:
– персональные данные;
– коммерческую тайну;
– служебную тайну;
– профессиональную тайну.
Целостность информации — это состояние информации, при котором отсутствует любое ее изменение, либо изменение осуществляется только преднамеренно субъектами, имеющими на него право. Одним из известных способов проверки целостности информации является использование хэш-функции (англ. hash function от hash — «превращать в фарш», «мешанина» https://ru.wikipedia.org/wiki/%D0%A5%D0%B5%D1%88-%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F - cite_note-_ff142c473b3a285a-1) — функции, осуществляющей преобразование массива входных данных произвольной длины в выходную установленной длины, выполняемое определенным алгоритмом. Об этом подробно рассказывается в разделе 7.
Доступность информации — это состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие права доступа, могут реализовывать их беспрепятственно, но в рамках предоставленных им прав. К правам доступа относятся: право на чтение, изменение, копирование, уничтожение информации, а также права на изменение, использование, уничтожение ресурсов.
Говоря о методах обеспечения доступности, следует упомянуть системы бесперебойного питания, решения для резервного копирования, резервирования и дублирования мощностей. Управление доступностью является частью планирования непрерывности бизнес-процессов, подробно описанного в ГОСТ Р ИСО 22301-2014 «Системы менеджмента непрерывности бизнеса. Общие требования». Кроме того, доступность может быть нарушена злоумышленниками извне, например, путем осуществления DDOS-атак (англ. Distributed Denial of Service — распределенный отказ в обслуживании) на веб-сайты. И для защиты от таких атак требуется применять специальные программно-аппаратные решения.
Несмотря на то что ключевыми свойствами ИБ являются конфиденциальность, целостность и доступность, также важное значение имеют неотказуемость, подлинность, подотчетность и достоверность.
Неотказуемость — это способность удостоверить имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты. Обеспечение неотказуемости является одной из задач организации удостоверяющего центра на основе PKI (англ. Public Key Infrasracture — инфраструктура открытых ключей). Другим примером выполнения функции неотказуемости является электронная подпись, использующая однонаправленную хэш-функцию.
Подлинность — это свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Способом проверки подлинности личности является использование электронной подписи. Также, для аутентификации и авторизации, а соответственно подтверждения личности пользователей широко распространены разнообразные методы двухфакторной аутентификации.
Подотчетность — это обеспечение идентификации субъекта доступа и регистрации его действий. Подотчетность включает в себя идентификацию и аутентификацию, предоставление надежных маршрутов пользователя к системе, в том числе, включая защищенный канал связи, а также регистрацию всех действий пользователей в системах. Рассматривая аутентификацию, заметим, что она бывает односторонней, когда клиент доказывает свою подлинность серверу и двусторонней, т.е. взаимной.
Достоверность — это свойство соответствия предусмотренному поведению и результатам. Например, потеря целостности информации на веб-портале оператора связи, сделанная посредством SQL-инъекции (англ. Structure query language — язык структурированных запросов) и выразившаяся в подмене реквизитов получателя платежа, приводит к потере достоверности, так как получаемые в виде сгенерированной веб-страницы результаты отличаются от тех, которые должны быть.
Говоря об угрозах конфиденциальности, заметим, что некоторые виды информации ограниченного доступа охраняются законом, например, Федеральным Законом № 152-ФЗ «О персональных данных». Ответственность за разглашение тех или иных сведений конфиденциального характера установлена в уголовном кодексе РФ и других нормативно-правовых актах. Для защиты персональных данных в законодательстве предусмотрены организационные и технические меры их защиты. Но такие меры расписаны не для всех видов информации ограниченного доступа. Например, техническая защита информации, составляющей коммерческую тайну, находится в ведении компаний. Иными словами, закон вводит ответственность за разглашение коммерческой тайны, но не требует от компании вводить специальный режим. Требования по обеспечению целостности и доступности информации содержатся в нормативно-правовых актах, например, в Стандарте Банка России по обеспечению ИБ.
Иногда угрозы ИБ возникают из-за халатности сотрудников, которые забывают флэшки с ценной информацией, а также из-за техногенных сбоев, например, отключения электричества, или непреднамеренных ошибок при написании программного обеспечения. При расчете рисков ИБ можно опираться на частоту таких инцидентов, и проектировать защитные меры, исходя из данных статистики. Случайные угрозы наряду с преднамеренными можно минимизировать за счет применения организационных и технических мер. Например, с помощью шифрования можно защитить данные на компьютерах и съемных носителях. На рис. 1 приведена классификация угроз ИБ и их возможных источников.
Рис. 1. Классификация угроз ИБ
Но специалисты по ИБ борются, прежде всего, с преднамеренными угрозами, исходящими от внешних и внутренних нарушителей, о защите от которых мы и будем говорить далее. Активные и пассивные угрозы относятся к преднамеренным угрозам. Отличие активных угроз от пассивных заключается в том, что первые непосредственно влияют на функционирование информационных систем. К ним могут относиться применение зловредного программного обеспечения (ПО) с целью заражения компьютера (например, вирусами-шифровальщиками), или, например, SQL-инъекция при атаке на веб-сайт.
Пассивные угрозы, как правило, представляют, собой различные виды несанкционированного сбора информации, не влекущего ее изменения и в ряде случаев, могут являться подготовительной стадией для активной угрозы. Распространенными методами реализации пассивных угроз являются снифферы (от англ. snif — нюхать), задачей которых является сбор и анализ трафика из локальной сети, кей-логгеры, фиксирующие ввод данных с клавиатуры и несанкционированные RDP (англ. Remote Desktop Protocol — протокол удаленного рабочего стола). Нельзя не упомянуть о большом количестве зловредного ПО, которое под видом легитимных программ, может собирать информацию с мобильных устройств.
Современные способы реализации угроз ИБ сочетают методы социальной инженерии и инструментальные программно-аппаратные средства для получения несанкционированного доступа. Хорошо отработанной схемой у хакеров, позволяющей получить доступ к информации, является использование фишинга, распространенного вида мошенничества с использованием электронных писем в сочетании с анализом уязвимостей программного обеспечения, электромагнитное, термическое, механическое, акустическое воздействие, а также использование специальных технических средств для записи речевой, визуальной информации и каналов ПЭМИН (побочных электромагнитных излучений и наводок).
Атаки могут быть разной продолжительности. Если вирусы-вымогатели действуют практически мгновенно, т.е. достаточно просто открыть вложение в письме или скачать приложение по ссылке и вся информация на компьютере становится зашифрованной, то особенностью самого современного типа атак, которые принято называть целенаправленными, является длительность их подготовки и осуществления.
В течение определенного времени организация-жертва изучается, после чего c помощью сочетания методов социальной инженерии и уязвимостей программного обеспечения на компьютеры определенных сотрудников устанавливается вредоносное шпионское программное обеспечение, выполняющее определенные функции, например, отправка снимков экрана, логирование нажатий на клавиши или банальный запуск RDP-подключения. Целевая атака может занимать от двух-трех месяцев до года.
Угрозы могут исходить как от внешних злоумышленников так и от внутренних, например, нелояльных сотрудников. С внешними угрозами все более ли менее понятно — в первую очередь, они исходят от хакеров, которые действуют целенаправленно по чьему-либо заказу, а также представителей аутсорсеров, выполняющих подрядные работы в ИТ-системах, и которые также могут оказаться преступниками, использующими доступ к данным организации-заказчика для собственных целей. Что касается внутренних злоумышленников, то именно от них очень часто исходит основная угроза, так как они изначально имеют гораздо больший доступ к информации, чем те, кто не является сотрудником компании.
Антропогенные угрозы ИБ связаны с действиями человека, техногенные — с недостатками технических средств или программного обеспечения, используемого в компьютерных сетях. К стихийным источникам угроз относятся форс-мажорные обстоятельства («обстоятельства непреодолимой силы»): наводнения, пожары, техногенные катастрофы и т.д. Когда мы говорим о внутренних источниках угроз, то помимо злоумышленников внутри компании, источником внутренней угрозы может быть нерадивый администратор, вовремя не устраняющий уязвимости, или сотрудник, не предпринимающий меры предосторожности на рабочем месте. Так или иначе, все инциденты ИБ связаны с несовершенством системы ее обеспечения. Только сочетание организационных и технических мер может обеспечить сохранность информации, т. е. уменьшить риски для конфиденциальности, целостности и доступности информации.
В некоторых случаях злоумышленникам требуется непосредственный доступ к атакуемой информационной системе, а во многих случаях достаточно удаленного доступа с использованием скрытых каналов. Как правило, второй вариант становится доступен благодаря наличию не устраненных уязвимостей, в том числе «нулевого дня», в операционных системах или прикладном программном обеспечении, позволяющих получить привилегированный доступ к рабочей станции. Целью атаки может быть или субъект, работающий в информационной системе или объект, который к ней относится. Как уже говорилось выше, злоумышленники используют как методы социальной инженерии, так и недостатки в программном обеспечении.
Часть атак на объекты инфраструктуры требует ответа от атакуемого объекта (субъекта), например, при рассылке фишинговых писем требуется открыть ссылку или вложение, в котором активировать макрос или исполняемый файл, после чего будет активирован канал удаленного доступа к компьютеру, а в некоторых случаях этого не требуется, например, при организации DDOS-атаки (англ. Denial of Service — «отказ в обслуживании») – хакерской атаки на веб-сервер компании, целью которой является приведение веб-сайта в неработоспособное состояние путем большого числа запросов к нему (флуд-атака — одна из разновидностей DDOS-атаки). Также, атаки могут быть классифицированы по уровню модели OSI (англ. Open System Interconnection — взаимодействие открытых систем), на котором происходит атака. Методы и меры обеспечения ИБ на предприятии динамически меняются по мере изменения модели угроз информационным системам и появления новых типов атак на инфраструктуру. Подразделяются все меры ИБ на три основных типа: организационные, физические и технические.
К техническим мерам относится проектирование и внедрение средств защиты информации (межсетевые экраны, антивирусы, средства защиты от несанкционированного доступа и т.д.), к организационным — разработка, внедрение и контроль исполнения локальных нормативных актов, организационно-распорядительной документации в сфере защиты информации, например, положение о коммерческой тайне, или политика в области обработки персональных данных, а также проведение обучающих семинаров и тренингов по ИБ для сотрудников. Физические меры включают в себя систему контроля и управления доступом на территории предприятия.
Организационные меры обходятся предприятию дешевле, нежели технические. Как пример, для предотвращения атак на рабочие места сотрудников можно отключить интернет на данных компьютерах, но в этом случае работа компании может быть парализована. Поэтому, защита информации — это всегда разумный компромисс и сочетание всех вышеприведенных мер на основе оценки рисков ИБ. В любом случае необходимо сверяться с требованиями законодательства. Например, если осуществляется проект по защите персональных данных, то необходимо ознакомиться с Федеральным Законом от 27.07.2006 № 152-ФЗ «О персональных данных», затем с Постановлением Правительства РФ от 01.11.2012 № 1119, чтобы определить уровни защищенности персональных данных, и с Приказом ФСТЭК России от 18.02.2013 № 21 для выбора приемлемых технических мер защиты.
Все меры по защите информации можно разделить на сдерживание, превентивные меры, корректировка, восстановление, детективные меры, компенсирующие меры, меры соответствия требованиям законодательства в области защиты информации [6]. Сдерживание — комплекс мер для предотвращения попыток совершения преступления со стороны возможного злоумышленника. К ним относятся предупреждение сотрудников об ответственности за разглашение коммерческой тайны, или информация о том, что в компании внедрена DLP-система (англ. Data Leak Prevention — предотвращение утечек информации).
Превентивные меры служат для предотвращения киберпреступления. Например, DLP-систему можно поставить в разрыв, чтобы весь сетевой трафик компании проходил через нее, а часть его блокировалась в соответствии при обнаружении попыток отправки за периметр компании чувствительной информации. Можно поставить ее в режиме зеркалирования трафика, когда система ничего не блокирует, а лишь анализирует трафик и оповещает офицера безопасности о возможных нарушениях ИБ. Упомянем системы класса IPS (англ. Intrusion Prevention System — система предотвращения вторжений), которые предотвращают попытки вторжения в сеть, но в отличие от IDS-систем (англ. Intrusion Detection System — система обнаружения вторжений перевод и русская аббревиатура) такие попытки только детектируют.
Такими мерами, могут являться и организационные, например, тщательная проверка персонала при приеме на работу, или программы повышения осведомленности сотрудников. Физические меры по предотвращению инцидентов включают в себя установку современных СКУД (Системы контроля и управления доступом), в том числе, с использованием современных биометрических технологий и интеграции их с системой двухфакторной аутентификации в сети компании. Корректировка — комплекс мер, предназначенных для внесения изменения в систему управления информационной безопасностью (СУИБ) после того, как инцидент произошел.
Идеальным алгоритмом здесь является классический цикл Шухарта-Деминга PDCA (Планируй-Действуй-Проверяй-Корректируй). В применении к ИБ это может выглядеть следующим образом.
Мы спроектировали СУИБ в соответствии с актуальной моделью угроз (Планируй), после чего внедрили комплекс защитных мер (Действуй), в случае инцидента провели расследование (Проверяй), и скорректировали СУИБ в соответствии с изменившейся моделью угроз (Корректируй). Необходимо одно уточнение. В связи с тем, что большинство компаний имеют динамически меняющуюся инфраструктуру, третий этап цикла, а (Проверяй) необходимо проводить регулярно в виде тестов на проникновение (pen-test) и аудита ИБ, опираясь как на требования регуляторов в области защиты информации, так и рекомендации стандартов.
СУИБ — это комплекс технических, организационных и физических мер, которые включают в себя ограничение полномочий пользователей при работе в сети компании и корректировка включает внесение изменение, в том числе, в настройки системного и прикладного программного обеспечения. Восстановление требуется для реанимирования защитных мер после того, как инцидент произошел. Например, если устройство для защиты от DDOS-атак установлено с помощью изменения в записи DNS (имеет IP-адрес), то при массированной DDOS-атаке оно может быть выведено из строя, или пропускать вредоносный трафик наряду с очищенным. Восстановление защитных мер могут являться частью BCM (англ. Business Continuity Management — управления непрерывностью бизнеса), в которой указывается срок восстановления защитных мер.
Детективные меры предназначены для проведения расследований кибер-инцидентов с привлечением специализированных организаций. Для упрощения их работы в компании важно иметь набор прикладных решений, позволяющих в ретроспективном контексте восстановить пошагово те действия, которые предпринял злоумышленник. К таким системам относятся SIEM-решения (англ. Security Information and Event Management — объединение двух терминов, обозначающих область применения ПО: SIM (Security information management
– управление ИБ) и SEM (Security event management
– управление событиями безопасности).
Компенсирующие меры позволяют обеспечить альтернативные виды зашиты информации. Данная возможность обусловлена тем, что частная модель угроз в рамках российского законодательства определяется заказчиками самостоятельно, ровно, как и выбор мер по защите от этих угроз. В связи с этим есть возможность грамотного балансирования между организационными, физическими и техническими мерами, в рамках имеющихся финансовых и кадровых возможностей. Меры соответствия — тот набор решений, который должен быть внедрен в соответствии с законодательством Российской Федерации.
Мы рассмотрели основные типы угроз ИБ и меры защиты от них. Обеспечение ИБ призвано защитить информацию, в первую очередь, от компрометации конфиденциальности, целостности и доступности. Количество различных видов тайн, охраняемых законодательством, превышает 50. В связи с особой важностью некоторых видов информации ограниченного доступа, для них в законодательстве разработан целый ряд нормативных документов, регламентирующих порядок их обработки и защиты. Одним из них являются персональные данные, которые охраняются с особой тщательностью. Существует более двадцати видов угроз ИБ для реагирования на которые разработан целый ряд организационных и технических мер, которые мы рассмотрим в следующих разделах.
Вопросы для самопроверки
1. Какие свойства ИБ являются ключевыми?
2. Как подразделяются угрозы ИБ по природе возникновения?
3. Чем активные угрозы ИБ отличаются от пассивных?
4. В чем особенность превентивных мер по защите информации?
2. Стандартизация, сертификация и метрология как часть обеспечения информационной безопасности предприятия
Регулирование отрасли ИБ в Российской Федерации основано на трех группах законов и стандартов. Первая группа — это обязательные к исполнению на территории Российской Федерации руководящие документы ФСТЭК России (ранее Гостехкомиссия России) и ФСБ России, а также постановления Правительства России, Федеральные законы Российской Федерации и решения коллегии Евразийской экономической комиссии, вторая — это национальные, в том числе, отраслевые стандарты по обеспечению ИБ, и третья — это международные стандарты по обеспечению ИБ, среди которых также есть относящиеся к конкретной отрасли, например, PCI DSS (англ. Payment Card Industry Data Security Standard — стандарта безопасности данных индустрии платежных карт).
Стандарты могут носить обязательный или рекомендательный характер. Если финансовая организация имеет в своем распоряжении процессинговый центр, в котором обрабатываются данные пластиковых карт, то банк должен регулярно проходить аудит на соответствие требованиям упомянутому выше PCI DSS. А стандарт ISO 27001 не является обязательным к применению, но, проведя сертификацию СУИБ в соответствии с ним, можно поднять цену компании в глазах потенциальных инвесторов, в первую очередь, зарубежных. Другими словами, указанный стандарт можно считать своего рода чек-листом для проверки совершенства СУИБ. Перечень национальных стандартов в области ИБ приведен в Приложении № 2.
Правовое регулирование ИБ является мощным механизмом, позволяющим поддерживать инвестиции в ИБ на достаточно высоком уровне. Это связано, в первую очередь, с Федеральными законами, нормативными актами, а также обязательными к исполнению стандартами. Штрафы и санкции за их невыполнение ужесточаются, поэтому можно уверенно говорить о том, что они действительно двигают рынок вперед. Сложно представить, что из себя представляла бы отрасль ИБ в России и в мире в целом, если бы государственные органы не уделяли ей столько внимания. Кроме того, стандарты являются воплощением опыта практикующих экспертов или, как принято говорить, “best practice”, и являются руководством к действию для специалистов в области ИБ. В то же время угрозы появляются намного быстрее, чем разрабатываются меры противодействия, находящие отражение в стандартах и нормативно-правовых актах.
П. Друкер признается основоположником концепции, которая стала основой современного менеджмента и называется «Управление по целям» — метод управления, предусматривающий предвидение возможных результатов деятельности и планирование путей их достижения. Воплощением управления по целям, является «Система KPI» (англ. Key Performance Indicators — ключевые показатели эффективности), которая помогает организации определить достижение стратегических и тактических (операционных) целей, дает возможность оценить свое состояние и позволяет проводить контроль деловой активности сотрудников и компании в целом. Стандарты описывают структуру СУИБ, поэтому определяя ее KPI можно ориентироваться на них. Конкретные средства защиты подбирают, исходя из анализа угроз и предложений по их отражению, основываясь на исследованиях независимых рейтинговых и аналитических агентств, например, Gartner. Основным Федеральным законом в области стандартизации является Федеральный закон «О техническом регулировании» от 27.12.2002 № 184. В нем определены основные цели стандартизации:
– повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;
– обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);
– содействие соблюдению требований технических регламентов;
– создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.
Применительно к ИБ стандартизация применяется для:
– аудита ИБ;
– моделирования угроз ИБ;
– определения методик испытания программных средств на отсутствие не декларированных возможностей;
– определения методов защиты от несанкционированного доступа;
– защиты персональных данных и конфиденциальной информации;
– использования криптографии для обеспечения ИБ;
– управления ИБ;
– управления рисками ИБ;
– определения методов и средств обеспечения ИБ;
– защиты от специальных электромагнитных воздействий.
Говоря о соответствии предприятий требованиям стандартов и законов, нельзя не сказать о том, каким образом они проверяются. В Российской Федерации есть два основных регулятора — это Роскомнадзор и ФСБ России. Первый уполномочен проверять предприятия, в основном, на предмет правильности обработки и принятых мер по защите персональных данных, второй — деятельности, связанной с использованием средств криптографической защиты информации. Результатом проверок является предписание об устранении нарушений. Для подготовки к проверкам организации зачастую приглашают профессиональные консультационные компании, обладающие требуемыми лицензиями ФСТЭК России на деятельность по технической защите конфиденциальной информации и ФСБ России на распространение и обслуживание криптографических средств.
Вторая лицензия требуется в том случае, если в частной модели угроз существуют те виды угроз, нейтрализация которых возможна только с использованием СКЗИ, например, угрозы конфиденциальности информации, передаваемой по открытым каналам связи. Результатом деятельности такого аудита или проекта является оценка соответствия информационных систем требованиям руководящих документов или аттестация информационных систем/рабочих мест в соответствии с теми же требованиями.
Основным методом доказательства соответствия компании его требованиям стандарта является соответствующий сертификат. Как и в других отраслях, в области ИБ стандартизация и сертификация идут бок о бок, а точнее, друг за другом. После проведения мероприятий, связанных с внедрением в организации стандарта в области ИБ, проводятся сертификационные испытания и выдается сертификат соответствия требованиям тех или иных руководящих документов, например, ISO 27001. Кроме того, в РФ существует система обязательной сертификации СЗИ на проверку отсутствия не декларированных возможностей и соответствия требованиям руководящих документов ФСТЭК России. Надо сказать, что подход государственных органов в России и за рубежом несколько отличается. Например, штраф за нарушение в области персональных данных в Европе, где действует GDPR (англ. General Data Protection Regulation — генеральный регламент о защите персональных данных) доходят до 4% от дохода, у нас значительно меньше.
Также, отличается и сам подход к защите информации. На условном «Западе» многие годы главенствует риск-ориентированный подход, когда соизмеряется ценность информации, накапливается статистика инцидентов ее компрометации, и на этом основании вырабатывается система мер защиты, стоимость которой должна быть адекватна той информации, которую собираемся защищать и тому реальному риску для нее, который определен в результате аудита. При этом список мер по защите информации не фиксирован, а определяется в соответствии с лучшими практиками. В России же регуляторами заранее определяется список мер по защите информации, а оценка рисков ИБ не предусматривается. Серия стандартов для специалистов по ИБ ISO 27000 включает:
– обзор и терминология — ГОСТ Р ИСО/МЭК 27000-2012;
– требования к СМИБ (система менеджмента информационной безопасности) — ГОСТ Р ИСО/МЭК 27001-2006, а также свод норм и правил менеджмента ИБ ГОСТ Р ИСО/МЭК 27002-2012;
– руководство по реализации СМИБ и измерения в области ИБ — ГОСТ Р ИСО/МЭК 27003-2012 и ГОСТ Р ИСО/МЭК 27004-2011;
– менеджмент рисков в области ИБ — ГОСТ Р ИСО/МЭК 27005-2010.
Особое место в этой серии занимает безопасность сетей и приложений, для которых существуют отдельные стандарты, а также требования к органам, осуществляющим аудит и сертификацию СМИБ, и ряд других аспектов ИБ. Подчеркнем разницу между стандартами и спецификациями. Стандарты регламентируют основные требования и правила управления СМИБ, а спецификации определяют конкретную реализацию тех или иных мер защиты информации, например, IpSEC, Kerberos, TLS [18].
Метрология играет ключевую роль в процессе обеспечения ИБ. Несмотря на то что в метрологии речь идет об измерении физических величин, в широком смысле слова, метрология — это (от греч. μέτρον «мера » + λόγος «мысль ; причина ») — наука об измерениях, методах и средствах обеспечения их единства и способах достижения требуемой точности. Стандарт ГОСТ Р ИСО/МЭК 27004-2011 — «СМИБ. Измерения» «содержит рекомендации по разработке и использованию мер измерения для проведения оценки эффективности реализованной СМИБ, а также мер и средств контроля и управления или их групп по ИСО/МЭК 27001».
Это позволяет определить ключевые показатели эффективности СМИБ, и разработать методику их измерения и контроля, что позволяет поддерживать СМИБ в работоспособном состоянии в промежутках между внешними аудитами ИБ. Стандарт определяет цели, программу и модель измерений, а также факторы успеха, а кроме того, описывает процесс анализа данных и совершенствование системы измерений.
Методы измерения могут быть объективными, основанными на математических вычислениях и субъективными, основанными на суждениях. Один из многочисленных параметров СМИБ, которые можно измерять, это уровень знаний сотрудников об угрозах ИБ и основах защиты от них. Цель такого измерения — оценка осведомленности персонала в области ИБ. Практически это выглядит так. Организация проводит обучение персонала и ведет соответствующие записи в журнале. Оценивается численность персонала, получившего обучение, в процентах от общего количества сотрудников, и сравнивается с плановым показателем, после чего в процесс обучения вносится корректировка. Здесь мы видим также применение стандартного цикла Шухарта-Деминга.
Среди принципов Деминга для менеджера один посвящен вопросам обучения. Эффективно управлять изменениями на фирме могут только компетентные профессионалы. Невозможно победить в конкурентной борьбе и при этом не уделять должного внимания вопросам подготовки и переподготовки кадров. Безошибочная работа начинается с правильного понимания каждым своих обязанностей и уверенности в том, что он может их выполнить. Это означает, что каждый работник:
– know (знает) — обучен с учетом индивидуальных особенностей, выполняемой деятельности и постоянным повышением квалификации, причем знания должны быть синтетическими;
– can (может) — имеет опыт и может применить свои знания на практике;
– want (хочет) — когда он знает, что его хорошая работа будет по достоинству вознаграждена;
– do (делает) — предприятие создало все необходимые и достаточные условия для качественного выполнения работы.
Программа обучения на рабочем месте, разработанная в США и затем использованная в Японии, получила название TWI (Training within Industry) — одна из глобальных практик обучения людей на рабочем месте [7, 8].
Среди других параметров, измеряемых на постоянной основе, можно выделить число инцидентов ИБ, количество найденных уязвимостей в программном обеспечении, количество паролей, генерируемых вручную и в автоматизированном режиме и т.д.
Кроме серии ISO 27000 существует еще ряд стандартов, относящихся к ИБ, в первую очередь, BS 7799 Британского института стандартов, а также 800-я серия NIST (Национального института стандартов и технологии), где подробно расписываются компенсирующие меры по защите информации. Из международных стандартов заслуживает внимания HIPAA (англ. Health Insurance Portability and Accountability Act — Закон об учете и безопасности медицинского страхования), где сформулированы правила конфиденциальности в целях защиты информации о здоровье пациентов, а также FISMA (англ. Federal Information Security Management Act), основополагающий федеральный закон США об обеспечении и управлении ИБ.
Укажем на закон Sarbanes-Oxley (SOX), определяющий достаточно жесткие требования к подготовке отчетности и внутреннему контролю, частью которого является обеспечение ИБ. Надо сказать, что данный закон обязателен для компаний, планирующих IPO (англ. Initial Public Offering — первичное публичное размещение акций) и выход на американский фондовый рынок, что в настоящее время актуально и для некоторых российских компаний.
Что касается российских стандартов и законов, то помимо перечисленных выше имеет смысл упомянуть СТО БР ИББС, стандарт Банка России, регламентирующий процедуры и определяющие основные механизмы защиты информации в финансовых учреждениях, а также ГОСТ Р 57580.1-2017 (Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер). Одними из основополагающих законов в области защиты информации в России являются 152-ФЗ «О персональных данных», 149-ФЗ «Об информации, информационных технологиях и защите информации», 98-ФЗ «О коммерческой тайне», 187-ФЗ «О безопасности критической инфраструктуры Российской Федерации» и ряд других. Перечень законов и нормативных актов в области защиты информации приводится в Приложении № 3.
Поскольку основным стандартом в области ИБ является ISO 27001, то наличие сертификата о соответствии системы обеспечения ИБ данному стандарту является подтверждением построенной системы ИБ, повышает уровень доверия партнеров к организации. Метрология, в широком значении этого понятия, также является очень важной, поскольку деятельность специалистов по ИБ неразрывно связана с самыми разнообразными измерениями, например, измерением количества инцидентов ИБ и обнаруженных уязвимостей.
Вопросы для самопроверки
1. Приведите пример обязательного стандарта в области ИБ.
2. Опишите области ИБ, где применяется стандартизация.
3. Наличие какого сертификата в области ИБ является подтверждением построенной системы обеспечения ИБ в компании?
4. В чем отличие стандартов от спецификаций?
3. Обеспечение безопасности персональных данных при их обработке в информационных системах
Одним из основных видов конфиденциальной информации являются персональные данные и наибольшее количество нормативных актов в области защиты информации в нашей стране относится именно к ним. В статьях 23 и 24 Конституции РФ говорится:
«1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения» (статья 23).
«Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются» (статья 24).
Уместно вспомнить и Европейскую конвенцию о защите прав человека и основных свобод, которую наша страна ратифицировала 30 марта 1998 года. Для наших граждан факт ратификации означает, что они вправе обращаться в Европейский Суд по правам человека при нарушении их прав в случае, если исчерпаны возможности их защиты в Российской Федерации. Вопросам персональных данных в Конвенции посвящена статья 8 «Право на уважение частной и семейной жизни».
Основным нормативным актом в Российской Федерации, регулирующим порядок обработки и защиты персональных данных, является Федеральный закон «О персональных данных» от 27.07.2016 152-ФЗ, согласно которому: «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». При этом необходимо подчеркнуть, законодательство защищает, прежде всего, именно конфиденциальность персональных данных, т.е. их защиту от лиц, которым не предоставлен легитимный доступ к такой информации.
Отсюда необходимость эшелонированной защиты персональных данных в компаниях на всех этапах их обработки. Остановимся на персональные данных, касающихся здоровья граждан. С одной стороны, следует обеспечить защиту от утечек персональных данных о пациентах, а с другой, от вмешательства в информационные системы медицинской организации и изменения данных, например, о диагнозе, т.е. потери целостности, или выводе из строя сервера обработки данных медицинской информационной системы.
В настоящее время обработка информации происходит как в сетевом периметре организации, так и вне его (с мобильных телефонов и планшетов сотрудников, партнеров и клиентов), в том числе с использованием незащищенного интернет-соединения. Поэтому необходимо использовать VPN-подключение (англ. Virtual Private Network — виртуальная частная сеть) — соединение между группой отдельных сетей, которые обмениваются зашифрованными данными к корпоративным ресурсам, а также защищать информацию на мобильных устройствах с помощью EMM (англ. Enterprise Mobility Management — управление мобильностью предприятия — набор технологий, процессов и политик для обеспечения безопасности мобильных устройств и управления ими) — решений.
Несмотря на то что перечень мер по защите персональных данных четко регламентирован, рекомендуем анализировать все вектора атак, и предпринимать меры по защите от них, например, анализировать код приложений, которые обрабатывают персональные данные, на устойчивость к взлому. Защита персональных данных — это сочетание как технических, так и организационных мер, которые подразумевают набор организационно-распорядительных документов, в частности, политики ИБ, не позволяющих скомпрометировать информацию, обрабатываемую на персональных компьютерах, не имеющих антивирусных программ, не говоря о защите от продвинутых атак (Advanced Threat Protection) и EDR (Endpoint Detection and Response), оперирующих понятиями «индикатор компрометации».
Техническая защита конфиденциальной информации, в частности, проектирование в защищенном исполнении средств и систем информатизации, лицензируется ФСТЭК России. Техническая защита без лицензии является нарушением Федерального закона «О лицензировании отдельных видов деятельности» от 04.05.2011 № 99-ФЗ. Кроме того, если есть риск компрометации персональных данных при их передаче по открытым каналам связи, необходимо внедрять средства криптографической защиты информации, такая деятельность лицензируется ФСБ России.
Как сказано выше, закон от 27.07.2006 № 152-ФЗ «О персональных данных» является основным федеральным законом, регулирующим данную область. В нем дается определение персональных данных, принципы и условия их обработки, определяются права субъекта персональных данных и обязанности оператора персональных данных. Часто приходится слышать следующие аргументы для того, чтобы не уделять вопросу обработки персональных данных большое внимание: «мы не обрабатываем персональные данные», «персональные данные являются несущественными или не представляющими интерес», «мы не являемся оператором, так как подавали уведомление об обработке персональных данных». Эти и многие другие формулировки свидетельствуют о все еще низком уровне грамотности компаний в области российского законодательства по ИБ.
В соответствии с законом № 152-ФЗ «оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными…»
А «обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».
У каждой компании есть сотрудники, клиенты — физические и юридические лица, партнеры, поставщики, с сотрудниками которых ведется взаимодействие, по различным каналам связи. И если вспомнить приведенное выше определение персональных данных, то практически любая компания в России является оператором, а факт неподачи уведомления об обработке персональных данных в Роскомнадзор — это прямое нарушение закона.
Федеральные законы определяют терминологию, базовые принципы обработки персональных данных, права и обязанности субъектов персональных данных и операторов персональных данных, а непосредственный перечень мер защиты определяется подзаконными актами. Основными подзаконными актами являются Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказ от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Идеология постановления Правительства № 1119 в том, что защита персональных данных должна осуществляться дифференцированно в зависимости от актуальности угроз и уровня защищенности. Угрозы персональным данным делятся на три типа: угрозы 1-го типа актуальны для информационных систем при наличии не декларированных возможностей в системном ПО, 2-го типа — в прикладном ПО, 3-го типа — не связанные с НДВ системном и прикладном ПО.
Определение типа угроз является привилегией операторов персональных данных и должно проводиться с учетом оценки возможного вреда. Что касается уровня защищенности персональных данных, то постановлением Правительства РФ № 1119 установлено четыре уровня, которые зависят от типа угроз, категории обрабатываемых персональных данных (специальные, биометрические, общедоступные или иные), а также количества обрабатываемых записей персональных данных (более 100 000 или менее этого количества).
После определения уровня защищенности персональных данных, открываем 21-й Приказ ФСТЭК России и определяем меры защиты, которые необходимо внедрить. Технические меры защиты делятся на три класса: 4-й, 5-й и 6-й, а средства вычислительной техники (СВТ), на которых ведется обработка персональных данных, на 5-й и 6-й классы. В зависимости от уровня защищенности подбираются решения СЗИ, а также организационные меры. Для соответствия требованиям законодательств необходимо применять сертифицированные ФСТЭК России СЗИ. В 2016–2017 гг. ФСТЭК России выпустила обновление методических документов, касающихся использования межсетевых экранов и операционных систем, создав для них профили защиты. Основные меры по обеспечению безопасности в соответствии с приказом ФСТЭК России № 21:
– идентификация и аутентификация субъектов и объектов доступа;
– управление доступом субъектов доступа к объектам доступа;
– ограничение программной среды;
– защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
– регистрация событий безопасности;
– антивирусная защита;
– обнаружение (предотвращение) вторжений;
– контроль (анализ) защищенности персональных данных;
– обеспечение целостности информационной системы и персональных данных;
– обеспечение доступности персональных данных;
– защита среды виртуализации и технических средств;
– защита информационной системы, систем связи и передачи данных;
– выявление инцидентов, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных и реагирование на них;
– управление конфигурацией информационной системы и системы защиты персональных данных.
Напомним, что существует понятие «модель угроз персональным данным». Она строится на основе базовой модели угроз ФСТЭК России — документа, который в формализованном виде, отражает мнение регулятора по поводу тех векторов атак, которые надо учитывать при построении системы защиты. Документ оперирует такими понятиями как источник угрозы, уязвимости ИСПДн, способ реализации угрозы, объект воздействия и деструктивное воздействие. В соответствии с Федеральным законом № 152 оператор не обязан иметь модель угроз, но ее наличие в компании де-факто признается практически обязательным. Модель отражает деятельность оператора по выявлению угроз для персональных данных, и дает понимание того, что те меры защиты, которые внедрены, соответствуют актуальным угрозам.
С 1 сентября 2015 года вступил в силу Федеральный закон № 242-ФЗ, который внес изменения в Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и защите информации» — дополнен статьей 15.5 о создании «Реестра нарушителей прав субъектов персональных данных». У Роскомнадзора появилась возможность блокировать сайты, на которых персональные данные обрабатываются с нарушениями. Статья 18 Федерального закона № 152 дополнена пунктом «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети “Интернет”, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».
Закон широко обсуждался в средствах массовой информации и профессиональном сообществе, и не все компании пошли на перенос баз данных, расположенных за рубежом, в Россию. Часто компании заказывают услугу по приведению обработки персональных данных в соответствии с законодательством профессиональным консультационным компаниям. В ходе таких проектов проводится обследование процессов обработки персональных данных, по результатам которого составляется отчет с указанием выявленных недостатков и нарушений, и предлагаются меры по их устранению. После этого разрабатывается технический проект, модель угроз, техническое задание на внедрение средств защиты информации, комплект организационно-технической документации и проводится оценка эффективности мер защиты информационных систем персональных данных (декларирование соответствия ИСПДн).
Потеря конфиденциальности персональных данных может приводить к тяжелым последствиям. В обязанности оператора персональных данных входит правильная обработка персональных данных и в необходимых случаях их защита. Для определения мер защиты устанавливаются уровни защищенности в соответствии с Постановлением Правительства РФ № 1119, и определяются сами защитные меры на основе Приказа ФСТЭК России № 21.
Вопросы для самопроверки
1. Как определяется уровень защищенности персональных данных?
2. Что такое «обработка персональных данных»?
3. В каких ситуациях необходимо использовать VPN для защиты персональных данных?
4. На основе какого нормативного документа определяются меры по защите персональных данных?
4. Борьба с угрозами несанкционированного доступа к информации
Обеспечение защиты от несанкционированного доступа к информации (НСД) является ключевой задачей ИБ и включает в себя целый ряд организационных и технических мер. Оно находит свое отражение в целом ряде нормативных актов и методических документов, в том числе, в упоминавшейся базовой модели угроз безопасности персональным данным ФСТЭК России. Говоря об угрозах НСД, необходимо разделять задачи выполнения требований законодательства и те меры, которые требуется принять в соответствии с актуальными угрозами ИБ, существующими в настоящее время.
30 марта 1992 г. стал знаковым днем для отрасли ИБ в России. В тот день решением Гостехкомиссии России был утвержден перечень руководящих документов по защите информации от несанкционированного доступа, среди которых:
– «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»;
– «Защита от несанкционированного доступа к информации. Термины и определения»;
– «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;
– «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
Позднее появились руководящие документы «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации», «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей», «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей».
Начнем с определения НСД. В соответствии с концепцией защиты СВТ и АС, НСД определяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС. Как мы видим, концепция предполагает отличия в части защиты СВТ и АС, поскольку СВТ изначально не содержат информацию, а в случае с АС мы уже получаем дополнительные характеристики АС, например, полномочия пользователей или модель нарушителя. Разница в защите СВТ от НСД и АС от НСД в том, что при защите СВТ от НСД внедряется комплекс программно-технических средств, а в случае защиты АС, кроме этого, еще и вводятся организационные меры.
Модель нарушителя предусматривает четыре уровня возможностей, предоставляемых им средствами, АС и СВТ, от первого, где нарушитель ограничен заранее предопределенным набором функций ПО до четвертого, когда нарушитель может управлять АС, а также запускать собственные программы с необходимыми ему функциями. В концепции приводятся основные методы НСД и направления обеспечения защиты от НСД.
Следующим документом, на который имеет смысл обратить внимание, является РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». В соответствии с этим РД установлено семь классов защищенности СВТ от НСД, где седьмой класс — самый низкий. Классы делятся на четыре группы, отличающихся уровнем защиты. Если посмотреть в таблицу показателей защищенности СВТ, то можно увидеть, что в числе этих показателей присутствует принцип контроля доступа, причем для низших классов предполагается использовать дискреционный принцип контроля доступа, а для высших - мандатный.
Дискреционный принцип управления доступом DAC (англ. Discretionary Access Control) — управление доступом субъектов к объектам на основе списков AСL (англ. Access Control List) или матрицы доступа. Это означает, что владелец объекта может полностью контролировать доступ к объекту, включая и список тех, кому разрешено изменять права доступа к объекту. Мандатный принцип управления доступом MAC (англ. Mandatory access control) — разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности.
В соответствии с этим принципом можно ввести в компании уровни допуска к информации и метки, и доступ к ним будет возможен при наличии соответствующего разрешения. Это устраняет основной недостаток дискреционного принципа, и позволяет провести довольно тонкую настройку доступа к файлам. Другой технологией защиты доступа к файлам является DRM (англ. Digital Rights Management), использующая криптографическую защиту информации. Эта технология часто является одной из функций решений класса VDR (англ. Virtual Data Room — виртуальная комната данных), предназначенных для безопасного обмена файлами между сотрудниками компании и контрагентами. В указанном РД не указан такой принцип доступа как ролевой, а между тем в современности именно он начинает играть решающую роль.
Ролевой принцип управления доступом (англ. Role Based Access Control) — принцип управления доступом, когда права в информационных системах даются пользователям на основании их роли в компании. Данный принцип лежит в основе функционирования IDM систем (Identity Management), которые, получая информацию о сотрудниках из кадровых систем, автоматически предоставляют им права в информационных системах, взаимодействие с которыми осуществляется с помощью специальных коннекторов. Таким же образом IDM-системы отбирают права у уволенных сотрудников.
На практике имеет смысл использовать смешанную модель управления доступом в компании: ролевую модель для управления правами доступа сотрудников в информационных системах, мандатную — для повышенной защиты информации ограниченного доступа, дискреционную — для иной информации.
Несанкционированный доступ к информации возможен с использованием легитимного доступа к АС, например, администратором сети, или хакером с использованием вредоносного ПО и социальной инженерии. Поэтому важно иметь актуальную модель угроз и модель нарушителя, рассчитывать риски НСД в соответствии с международными стандартами для того, чтобы трезво оценивать все возможные вектора атак.
Говоря о защите информации от несанкционированного доступа, надо иметь в виду, что всегда профилактика предпочтительнее лечения. Другими словами, превентивные, предупреждающие меры являются одними из наиболее важных. К ним относятся:
– сегментация сети с использованием групповых политик;
– использованием смешанного принципа управления доступом, о котором мы говорили выше;
– использование IDM-систем для управления правами доступа сотрудников;
– защита привилегированных учетных записей от компрометации (англ. PIM — Privileged Identity Management);
– использование межсетевых экранов нового поколения с функционалом обнаружения вторжений в сеть и защиты от них, а также решений по защите от продвинутых атак, установленных на периметре и конечных точках;
– контроль целостности ключевых компонентов средства защиты информации и объектов файловой системы;
– своевременный патч-менеджмент, т.е. установка обновлений операционных систем и прикладного ПО на серверах и рабочих станциях, в том числе с помощью сканеров уязвимостей;
– использование доверенной информационной среды;
– контроль действий приложений;
– использование антивирусной защиты;
– использование парольной политики с запретом использования простых паролей и регулярной сменой пароля;
– использование двухфакторной, в том числе биометрической аутентификации;
– использование СКЗИ для защиты информации на конечных устройствах и в процессе ее передачи по каналам связи;
– использование решений для управления доступом к данным класса DAG (англ. Data Access Governance) для аудита действий пользователей в файловых «шарах»;
– использование решений класса EDR (англ. Endpoint Detection and Response), использующих профилирование, для определения вредоносной активности на конечных станциях, не определяемой сигнатурным методом;
– использование EMM-решений (англ. Enterprise Mobility Management) для предотвращения вектора атаки через вредоносное ПО на мобильных устройствах, с помощью помещения корпоративной информации в крипто контейнер;
– использование технологий Security Awareness для повышения осведомленности пользователей об угрозах ИБ.
Обратим внимание, что в зависимости от метода эксплуатации различных СЗИ их цель может варьироваться от предотвращения инцидентов, т.е. превентивных мер до детектирования. Например, межсетевой экран (МСЭ) может эксплуатироваться в режиме зеркалирования, когда на него подается копия трафика с устройств в сети, но при этом он не блокирует его, а только осуществляет анализ, так и в разрыв, когда МСЭ блокирует трафик в соответствии с политикой безопасности.
Промышленную эксплуатацию СЗИ в режиме блокировки трафика надо производить после их тонкой настройки. Если не провести тщательную настройку правил блокировки почтового трафика в DLP-системах (англ. Data Leak Prevention — защита от утечек информации), работа компании мгновенно может быть парализована, поскольку правила фильтрации «из коробки» зачастую требуют дополнительной настройки под заказчика, и без этого количество ложных срабатываний будет очень большим, впрочем как и в противном случае, может «утекать» информация, которую систему не сочтет конфиденциально. Что касается DLP, то несмотря на то, что эти системы предназначены для борьбы с внутренними злоумышленниками, зачастую имеющих легальный доступ к информации, так как эти решения контролируют весь трафик, то в случае атаки на хост извне, DLP это зафиксирует, поэтому такие системы можно рассматривать как элемент защиты от НСД.
Каждая компания имеет индивидуальные особенности, и при внедрении таких систем важно наличие профессионального аналитика, который в состоянии настроить правила срабатывания на инцидент для конкретной компании в зависимости от ее профиля, бизнес-процессов, организационной структуры, и тех видов информации ограниченного доступа, которые не обрабатываются.
К детективным мерам, в первую очередь, можно отнести SIEM-системы (англ. Security Information and event Management), решения класса Data Governance, системы обнаружения вторжений (англ. IDS — Intrusion Detection System), сейчас являющиеся частью функционала межсетевых экранов (МСЭ), а также системы контроля за работой сотрудников и систему видеонаблюдения. Перечисленные системы, используя в том числе функционал профилирования и UEBA (англ. User and Entity Behavior Analytics — системы поведенческого анализа), круглосуточно накапливают информацию обо всех событиях в сети и выявляют аномалии или инциденты, после чего подается сигнал в службу информационной безопасности.
В настоящее время в крупных организациях на основе внедренных SIEM-систем и workflow-систем класса IRM (англ. Incident Response Management) созданы SOC и (англ. SOC — Security Operations Center — центр мониторинга информационной безопасности) — подразделения, круглосуточно выявляющие инциденты, скапливающиеся в SIEM-системах, и реагирующие на них.
Если инцидент произошел, и служба ИБ узнала о нем не из отчетов СЗИ, а, например, от клиента организации, данные которого были похищены, то проводится расследование. Злоумышленнику свойственно заметать следы преступления, в частности, удалять файлы с записями о событиях, то расследовать киберпреступление, как и любое другое, легче всего по горячим следам. Поэтому, столь важно внедрять именно превентивные меры по защите информации, которые снижают вероятность того, что инцидент произойдет. Что касается того, какие решения нужны, в первую очередь, конкретной компании, то здесь имеет смысл еще раз вернуться к риск-ориентированному подходу, оценке активов и возможного ущерба для них, после чего определить приемлемый остаточный риск и подобрать необходимые СЗИ.
Гораздо сложнее приходится с внутренними злоумышленниками, инсайдерами, которые имеют легитимный доступ к информации. Здесь на помощь, помимо уже упомянутых DLP-систем и автоматизированных систем контроля сотрудников, приходят организационные меры, в том числе, ранее упомянутое сдерживание — к примеру, информирование сотрудников об ответственности за разглашение коммерческой тайны, оповещение о введенном режиме коммерческой тайны и т.д.
Как уже говорилось, конкретный список решений по защите от НСД определяется требованиями законодательства и теми рисками для компании, которые рассчитаны с учетом частной модели угроз, т.е. актуальных векторов атак (виды угроз приведены в разделе 1), а также тех СЗИ, которые уже внедрены. Для расчета рисков полезно использовать автоматизированные решения класса GRC (Governance, Risk management and Compliance), которые рассматривают риски ИБ по модели «бизнес-процесс — информационные системы — аппаратное обеспечение». В них существует «workflow, в графическом интерфейсе которого прорисовываются бизнес-процессы организации, и на них накладывается информация об активах, как правило, есть возможность импорта информации из CMDB (англ. Configuration Management Database — база данных управления конфигурации) источников или сканеров безопасности.
Оценка рисков бывает количественная и качественная. Качественная оценка оперирует понятиями высокий, средний и низкий уровень риски, количественная оценка стоимостью активов и стоимостью реализации рисков. При этом один из классических подходов к оценке рисков учитывает количество инцидентов для того или иного актива за прошлые годы. Дело в том, что стоимость защитных мер, рассчитанная с учетом вероятности инцидента, основанной на статистике, не должна превышать ущерба от потери актива. Но если, например, в течение 10 лет не было кражи коммерческой тайны из организации, это не значит, что такое не случится в будущем. Вопросы управлении рисками ИБ рассматриваются в разделе 15.
Защита от несанкционированного доступа — это базовая задача специалистов по ИБ, которая решается с помощью применения различных организационных и технических защитных мер. В случаях, предусмотренных законодательством, для защиты информации от НСД необходимо действовать на основе Руководящих документов ФСТЭК России. С точки зрения технических мер, защита от НСД — это комплекс превентивных мер (IDM-решений, патч менеджмент) и мониторинга инцидентов ИБ, например, SIEM-системы.
Вопросы для самопроверки
1. Для чего нужен патч-менеджмент?
2. В чем отличие мандатного управления доступом от ролевого?
3. От каких угроз защищают EMM-решения?
4. Есть ли разница в защите СВТ от НСД и АС от НСД?
5. Защита информации от утечки по техническим каналам
Принято считать, что все способы компрометации информации, которые существуют в современном мире, используют исключительно вредоносное ПО, устанавливаемое на рабочие станции и сервера. Но это далеко не так. Когда речь идет, например, о государственной тайне, служебной тайне или другой информации, представляющую особую ценность, киберпреступниками могут быть использованы программно-аппаратные решения, основанные на иных принципах.
Они могут быть гораздо более изощренными нежели шпионские программы, распространяемые через электронную почту, флэшки или мессенджеры, но когда в организации, ставшей целью злоумышленников, приобретены и используются межсетевые экраны нового поколения, сканеры уязвимости, антивирусы, средства защиты от продвинутых угроз на шлюзе и конечных станциях, проведено обучение персонала и т.д., то злоумышленники используют инструменты из другого арсенала. Основные технические каналы для получения нелегитимного доступа к информации:
– электромагнитные, электрические и индукционные каналы;
– акустические, электроакустические, виброакустические, оптико-электронные (лазерные) и параметрические каналы;
– визуальные каналы;
– материальные каналы.
Электромагнитные каналы используют ПЭМИН, которые всегда существуют при работе компьютерной техники. Перехват ПЭМИН осуществляется в моменты обработки информации, например:
– ввод данных с клавиатуры;
– чтение и запись информации на съемные носители;
– вывод информации на монитор;
– отправка информации в канал связи;
– вывод информации на печатающие устройства и т.д.
Перехват ПЭМИН по цепям электропитания и заземления представлен на рис. 2.
Рис. 2. Перехват информации с помощью средств разведки ПЭМИН по цепям электропитания и заземления
Чтобы была понятна актуальность проблемы, достаточно сказать, что мощность электромагнитного излучения у старых мониторов была такой, что съем информации с них был возможен на расстоянии более километра, и с целью блокировки такой незаконной деятельности устанавливались специальные экранирующие сетки. Сейчас расстояние, на котором можно снимать информацию с мониторов, снизилось до нескольких десятков метров. Но из-за большого числа не заглушенных USB-разъемов, записи информации на внешние твердотельные накопители, подключенных устройств аудио вывода, а главное недостаточной осведомленности организаций и людей об этой проблеме, все равно эта проблема остается животрепещущей.
Комплекс для анализа и расшифровки ПЭМИН состоит из антенны, комплекса по обработке сигнала и программного решения по его декодированию, использующего статистические методы для удаления «шума». При идеально настроенной системе и минимальных помехах декодирование электромагнитных сигналов при вводе простой текстовой информации может осуществляться практически, в режиме реального времени.
Бороться с атаками, использующими ПЭМИН, можно используя разнообразное оборудование для генерации электромагнитного шума, заземление проводов, а также виртуальную клавиатуру вместо физической в тех приложениях, где это возможно. Не стоит забывать и о том, что существуют портативные средства радиоразведки, которые используются в электромагнитных каналах утечки информации, способные перехватывать телефонные переговоры.
Электрические каналы используют непосредственное подключения к кабелям для перехвата информации через специальные согласующие устройства или устройства компенсации падения напряжения для того, чтобы скрыть факт подключения к линиям связи. Индукционные каналы утечки информации, в отличие от электрических, не требуют контакта с линией связи. В данном случае используются специальные датчики, фиксирующие электрические сигналы, возникающие в электромагнитном поле вокруг кабеля.
Следующий вид информации, которую можно перехватывать по техническим каналам связи, это речевая информация. Ее можно улавливать с использованием акустических, электроакустических, виброакустических, оптико-электронных и параметрических каналов. Все эти каналы различаются средой распространения и методами съема информации.
В акустических каналах для съема речевой информации, т.е. сигналов, передаваемых по воздуху, используются специальные направленные микрофоны, соединяемые со звукозаписывающими устройствами и передатчиками. Виброакустические каналы подразумевают использование строительных конструкций, т.е. непосредственно самого помещения, а также труб отопления, вентиляции и других, в которых возникают колебания, вызываемые акустическими сигналами, т.е. речью, регистрируемые соответствующими устройствами.
Для съема информации в таких каналах используются вибродатчики и электронные радиостетоскопы, устанавливаемые в стенах, или с внешней стороны окна. Радиостетоскоп регистрирует колебания и передает информацию на специальный портативный комплекс, где она впоследствии обрабатывается. Для защиты от такой атаки используют комплекс виброакустической защиты, в который включается, в частности, генератор шума, а также системы виброзашумления.
Благодаря возможности преобразования акустических сигналов в электрические существуют электроакустические каналы утечки информации. Под действием акустического поля трансформаторы, катушки индуктивности, электромагниты, находящиеся в офисных устройствах, могут изменять емкость, индуктивность и т.д. Это приводит модуляции токов или появлению ЭДС. С помощью подключения к соединительным линиям специальных усилителей возможен перехват электроакустических колебаний, и в частности, прослушивание разговоров.
Оптико-электронный канал утечки акустической информации подразумевает перехват речевой информации с помощью лазерного зондирования оконных стекол, когда используется зеркальное отражение лазерного луча. При этом в определенных ситуациях, например, когда расстояние до окна не более 50 метров, используется диффузное отражение лазерного луча. Параметрические каналы утечки информации появились благодаря возможности воздействия высокочастотным сигналом на электронные устройства. С помощью него в помещении, где установлены специальные полуактивные закладные устройства, параметры которых, такие как добротность, меняются по закону изменения акустических сигналов. Для перехвата информации также используется передатчик высокочастотного излучения и приемник.
В визуальных (видовых) каналах утечки данных используется фотографирование информации с экранов, копирование информации и прочие аналогичные методы, которые могут применяться и инсайдерами. Кроме того, надо иметь в виду, что киберпреступниками может быть перехвачено управление системой видеонаблюдения в офисе, что может тоже относится к визуальному каналу утечки. Также, не стоит забывать о возможности установки скрытых, миниатюрных камер и тепловизоров в офисе организации. С помощью методов нелинейной локации возможно обнаруживать все работающие видеокамеры в силу того, что каждая камера имеет определенный спектр побочного излучения.
Серьезным каналом утечки информации является материальный канал. Как ни парадоксально, но мусор, в том числе производственные отходы могут быть источником ценной информации о производимой продукции, а офисный мусор — конфиденциальной информации и коммерческой тайны. Мы очень часто, не задумываясь, выбрасываем в мусорные корзины документы, которые могут быть очень интересны нашим конкурентам и другим третьим лицам. Поэтому не стоит забывать о необходимости использования шредеров. Что касается последних двух каналов, то очень важным элементом защиты являются организационные меры, проведение мероприятий по повышению осведомленности персонала, а также сдерживающие меры, направленные против инсайдеров.
Необходимость проверки оборудования, использующегося при обработке государственной и служебной тайны, а также помещений, в котором данное оборудование установлено, определяется указом президента РФ от 17.03.2008 № 351 (ред. от 22.05.2015) «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена». В нем говорится, что «…размещение технических средств, подключаемых к информационно-телекоммуникационным сетям международного информационного обмена, в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, осуществляется только при наличии сертификата, разрешающего эксплуатацию таких технических средств в указанных помещениях...»
Нормативная база в этой области разрабатывается ФСТЭК России (ранее Гостехкомиссия России), ФСБ России и СВР России. Она затрагивает различные виды информации ограниченного доступа, в том числе, и персональные данные. В базовой модели угроз безопасности персональным данным при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 15.02.2008, рассматриваются угрозы, связанные с утечкой по каналам ПЭМИН, речевой и видовой информации.
Есть упоминание об этом и в приказе ФСТЭК от 18.02.2013 № 21 «Об утверждении состава организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», а также приказе ФСТЭК от 15.07.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». В этих приказах существует мера ЗТС.1. Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам. В информационном сообщении ФСТЭК России от 15.07.2013 № 240/22/2637 сказано, что в качестве методического документа для защиты информации в государственных информационных системах от утечек информации по техническим каналам (17-й Приказ ФСТЭК России) требуется применение все еще остающегося актуальным СТР-К (Специальные требования и рекомендации по технической защите конфиденциальной информации Гостехкомиссии России, принятые решением Коллегии Гостехкомиссии от 02.03.2001 № 7.2).
Для проверки оборудования на наличие скрытых закладных устройств, которые могут использоваться для получения информации по вышеуказанным техническим каналам, а также отсутствия благоприятных факторов для утечки информации по техническим каналам проводятся специальные проверки, обследования и исследования. Этот комплекс мероприятий обязателен к проведению для предприятий, обрабатывающих государственную тайну, но может использоваться и коммерческими компаниями, которые хотят быть уверенными в том, что их информация не может быть получена злоумышленниками по техническим каналам.
Говоря о специальных проверках оборудования, надо сказать, что в основном речь идет об оборудовании иностранного производства, а также отечественного, содержащего иностранные комплектующие. При проведении проверки техническое средство передается в лабораторию, имеющую требуемые лицензии ФСТЭК России и ФСБ России, а также аттестат аккредитации органа по аттестации. В соответствии с программой проверки технического средства проводятся специальные работы, и в случае положительного заключения выдается комплект документов, отправляемый в режимный отдел предприятия, а на само техническое средство наклеивается специальный голографический знак.
Если специальные проверки позволяют найти закладные устройства в технике, то специальные исследования проводятся для выявления возможности передачи информации ограниченного доступа, т.е. конфиденциальной или гостайны, по техническим каналам утечки информации. Техника, например, может проверяться на уровень ПЭМИН и защищенность от утечек по этому каналу, а помещение на наличие акустических, виброакустических и других каналов. Говоря об угрозах утечки информации с помощью ПЭМИН, надо сказать, что есть различные методики анализа защищенности технических средств, основанных на измерении радиуса вокруг испытуемого устройства, и сравнении реального показателя напряженности электромагнитного поля с нормативным. Под радиусом подразумевается та зона, в пределах которой возможен перехват информации посредством ПЭМИН с нужным качеством.
Специальное обследование помещений предназначено для поиска в них закладных шпионских устройств и технических каналов утечки. При этом моделируются действия киберпреступника, и составляется список «жучков» различного действия. Затем с помощью специальных технических средств и осмотра производится обследование помещения для поиска возможных технических каналов, т.е. радиоэфира, вибро- и электроакустических каналов, ПЭМИН, после чего производится анализ и делаются выводы о необходимых мерах по исправлению положения. Результатом такого рода проверок должен являться аттестат помещения или оборудования на соответствие требованиям в области защиты государственной тайны или технической защите конфиденциальной информации на основании СТР-К.
Для похищения информации злоумышленниками используются не только шпионские программы, внедряемые в операционную систему или методы социальной инженерии, но и разнообразные устройства съема информации, использующие технические каналы утечки, например, акустический или ПЭМИН. Поэтому в определенных случаях, например, при создании аккредитованного удостоверяющего центра проводится проверка и аттестация помещений на отсутствие закладных устройств, а также специальная проверка компьютерной техники на отсутствие жучков и устойчивость к утечкам информации через технические каналы.
Вопросы для самопроверки
1. Каким образом злоумышленник может похитить информацию с помощью перехвата ПЭМИН?
2. В чем разница в перехвате информации по акустическому и виброакустическому каналу?
3. Что такое радиостетоскоп?
4. Для чего проводятся специальные проверки оборудования?
