Программно-аппаратные средства защиты автоматизированных систем от несанкционированного доступа

Siem-системы

Еще одним программным продуктом являются SIEM-системы. Это комплексное решение, задачей которого становится сбор информации, поступающей от программных и аппаратных средств:

  • DLP;
  • IDS;
  • антивирусных программ;
  • маршрутизаторов;
  • серверов.

Если в данных выявлено отклонение, то оно анализируется, и система выбирает способ реакции. Любое отклонение учитывается в качестве инцидента информационной безопасности, и дальнейшая реакция на него происходит по заданным алгоритмам. Это может быть отказ в совершении действия, уведомление службы безопасности.

Преимуществом системы является возможность тонкой настройки. Даже изменение внешнего адреса электронной почты, на который происходит отправка корреспонденции уполномоченным на это пользователем, будет зафиксировано системой. Генерация инцидентов происходит по принципам машинного обучения: программа накапливает информацию, анализирует ее и выявляет отклонения.

Дополнительной функцией станет возможность системы проводить аудит общей архитектуры сети на ее соответствие каким-либо заданным требованиям или параметрам безопасности. Если в программе дополнительно предусмотрен сканер уязвимостей, она регулярно будет проводить аудит защищенности и снимать риски проникновения.

Выбор программного средства защиты информации определяется архитектурой системы и степенью защиты, которая требуется исходя из норм законодательства и рекомендаций ФСТЭК России. Правильный выбор и применение средств в комплексе позволят минимизировать риски утечек важных данных и ущерб, причиненный компании.

07.11.2020

Ведомственные программы

Многие российские ведомства самостоятельно создают комплексные или направленные на решение конкретных задач средства безопасности, не рассчитывая на качество ПО внешних разработчиков. Так, в Реестр сертифицированных средств внесены такие программные средства защиты от НСД (несанкционированного доступа), как «Снег 2.0», «Страж 1.1», созданные для корпорации «Росатом».

Большинство ведомств приняли внутренние документы, посвященные вопросам сохранения доверенных им сведений. Так, в ФНС РФ действует Концепция информационной безопасности. Она рекомендует при создании ведомственных продуктов опираться на ГОСТ Р 51583-2000 и международный стандарт ISO/IEC FDIS 27001. Также при их создании используются нормы постановления правительства РФ от 25.12.

2009 № 1088 «О единой вертикально интегрированной государственной автоматизированной информационной системе «Управление», которое говорит о необходимости применения единой логики при разработке всех ведомственных программных средств защиты информации от ПНД. Требования к защите информации для государственных учреждений установлены приказом Минкомсвязи № 104.

Виды информации, охраняемой по закону

Мировое сообщество на протяжении последних десятилетий уделяет много внимания правовому регулированию вопросов информационной безопасности. Частично они решаются на уровне международных и межгосударственных соглашений, но в основном соответствующие нормы попадают в национальное законодательство. 

Нормативно-правовые акты делятся на три категории:

  • определяющие необходимость и степень обеспечения безопасности информации;
  • связанные с уголовным или административным преследованием лиц, нарушающих законодательство в сфере сохранности данных;
  • определяющие меры, охраняющие массивы информации. Здесь называются организационные, аппаратные и программные методы.
Предлагаем ознакомиться  Chapter 3. Configuring Virtual Machines

По правовому статусу информация делится на следующие группы:

  • безусловно защищаемая нормами закона – государственная тайна, персональные данные, степень охраны которых бывает нескольких уровней, а также банковская, врачебная, адвокатская тайна и другие типы служебной информации; 
  • защищаемая на основании решения субъекта или субъектов оборота – коммерческая тайна. Она охраняется нормами закона после совершения компанией ряда действий. Это включение данных в список сведений, ознакомления с ним сотрудников и принятия ряда внутренних нормативных актов компании;
  • информация, не относящаяся к любой из этих групп, но разглашение, уничтожение или изменение которой может причинить существенный вред организации или иным лицам.

Для сведений из первой и второй групп законодатель устанавливает стандарты безопасности и предлагает воспользоваться для организации системы безопасности программными средствами обеспечения защиты информации, прошедшими сертификацию в ФСТЭК и ФСБ РФ. 

Защита информации как законное требование

Большинство организаций сталкиваются с необходимостью обеспечения безопасности информации только в части персональных данных сотрудников клиентов, охранять которые от утечек предписывают законы РФ. Но даже в этом, относительно легком, случае вопросы ее сохранности данных жизненно важны. Утечка фотографий из клиники эстетической медицины или историй болезни может сломать и жизнь человека, и успешную деятельность медицинского учреждения, утечка баз данных ГИБДД или Росреестра может нанести ущерб имуществу граждан.

Но существуют и другие риски. Одним из наиболее серьезных становится риск внешнего вмешательства в системы управления стратегических объектов, например, электростанций, в системы кредитных организаций, в оборонные информационные системы. Утрата или искажение информации в этих базах может причинить ущерб десяткам тысяч людей.

Существуют следующие типы угроз безопасности информации:

  • утрата конфиденциальности – утечка, перехват, съемка, неумышленная утрата, разглашение;
  • нарушение целостности – модификация, искажение, отрицание подлинности достоверных данных, навязывание ложной информации, в Доктрине информационной безопасности под этим термином понимается не только изменение данных, как в случае искажения, но и включение новых в текст сообщения;
  • нарушение доступности, что выражается в блокировке или уничтожении.

Криптографические средства

Функции по сертификации криптографических средств возложены на ФСБ РФ. На их разработку и распространение требуется лицензия. Криптографическое ПО делится на следующие группы:

  • для шифрования;
  • для имитозащиты (позволяют выявить ложную или намеренно измененную информацию, вычленить случаи навязывания недостоверной информации); 
  • для кодировки (часть операций по преобразованию текста выполняется не в программном, а в ручном или аппаратном режиме);
  • для изготовления ключевых документов (содержат ключи для шифрования и дешифрования).

Отдельно выделяются средства электронной подписи. 

Средства криптографической защиты бывают как программными, так и программно-аппаратными. Сертифицированные криптографические программные средства должны противостоять атакам, производимым из-за периметра зоны защиты информации. Они делятся на следующие классы: КС1, КС2, КС3, КВ и КА, они различаются по уровню опасности источников атак.

Предлагаем ознакомиться  Какие видеокарты для ноутбуков лучше ‌

Средства класса КС1 защищают от злоумышленников, которые не являются специалистами в криптографии. Антивирусники класса КВ, напротив, содержат сложный механизм шифрования, который защищает от атак, разработанных специалистами, понимающими правила создания и функционирования алгоритмов криптографической защиты.

Межсетевые экраны

Эта категория средств защиты информации представляет собой программные или программно-аппаратные продукты, для контроля и фильтрации сетевого трафика. Параметры, по которым осуществляется фильтрация, задаются разработчиком или в процессе внедрения программного продукта. В бытовом применении межсетевые экраны называют «файрволами», они блокируют в компьютере рекламу и всплывающие окна.

Обычно межсетевые экраны устанавливаются на границах локальной сети, они призваны исключить попытки несанкционированного вторжения. 

Для межсетевых экранов ФСТЭК предлагает пять классов безопасности:

  • 1 – применяется для АСУ класса 1А согласно классификации ФСТЭК РФ, описывающей АС с точки зрения обеспечения безопасности (и для АСУ классов 2А, 3А, если обрабатывается информация особой важности);
  • 2 – для систем класса 1Б;
  • 3 – для систем класса 1В;
  • 4 – для систем класса 1Г;
  • 5 – для систем класса 1Д.

По объектам защиты межсетевые экраны делятся на следующие группы:

  • сети («А»);
  • логических границ сети («Б»);
  • узла («В»);
  • сервера («Г»);
  • промышленной сети («Д»).

Межсетевые экраны класса «Д» выпускают лишь в программно-аппаратном варианте, остальные – в виде программных продуктов.

Полномочия ведомств в части рекомендации по

Право на определение программных продуктов, которые могут быть применены для защиты информации, имеющей категорию государственной тайны или персональных данных, принадлежат трем структурам:

1. Межведомственной комиссии по защите государственной тайны (ее полномочия распространяются только в отношении информации, составляющей государственную тайну).

2. ФСБ РФ (в части определения прав допуска к охраняемым данным и в части сертификации криптографических программ).

3. ФСТЭК России (в части применения некриптографических программных методов).

Ведомства принимают решение о сертификации программы, и только после этого она может быть использована для защиты конфиденциальной информации. Следует учитывать, что:

  • сертификации подлежит ограниченное количество экземпляров программ;
  • сертифицируется только одна версия, при ее обновлении этот процесс необходимо проходить заново, а пользователю, соответственно, приобретать новый продукт – сертифицированное обновление;
  • сертифицированные программы не могут дорабатываться (дописываться).

При защите банковской тайны полномочия по определению программного обеспечения, которое может быть использовано в этих целях, принадлежат ЦБ РФ.

Средства антивирусной защиты

Этот тип ПО в наибольшей степени знаком рядовому пользователю. Они предназначены для выявления вредоносных программ, восстановления поврежденных файлов, предохранения операционной системы или отдельных файлов от заражения.

Работают эти средства по одному из двух алгоритмов:

1. Анализ содержания файла, как обычного, так и содержащего команды. Производится детектирование на наличие сигнатур (характеристика программного кода ПО, включающая определенные блоки, соответствующие признакам вирусной программы) вирусов и присутствие подозрительных команд.

Предлагаем ознакомиться  Антивирус как средство защиты информации

2. Отслеживание поведения программы при ее выполнении. Все события протоколируются при реальном запуске и его эмуляции.ФСТЭК сертифицирует антивирусы по шести классам. Чем выше класс ПО (первый самый высокий), тем в более сложных системах оно может применяться.

Выделяются три типа антивирусных средств:

  • для серверов;
  • для автоматизированных рабочих мест;
  • для автономных (удаленных) рабочих мест.

Антивирусы устанавливаются вне зависимости от того, находится ли информация под охраной в рамках режима защиты, так как современные вредоносные программы могут повредить не только ПО, но и оборудование, а также оказаться средством вымогательства денег. 

Средства доверенной загрузки (сдз)

При загрузке информации в Сеть также возникают риски ее потери. Третье лицо может получить доступ к защищенным файлам, загрузив с внешнего устройства специальную программу. Исключить этот риск поможет применение программных средств доверенной загрузки. 

Они делятся на три группы:  

  • функционирующие на уровне базовой системы ввода-вывода;
  • работающие на уровне платы расширения, вставляемой в материнскую плату для увеличения объема ее функций;
  • функционирующие на уровне загрузочной записи. 

Для СДЗ ФСТЭК рекомендует профили безопасности, которые представляют собой набор обязательных требований, выполнение которых становится основанием для сертификации. Также ведомство устанавливает для программного продукта шесть возможных классов защиты, класс устанавливается в зависимости от уровня сложности системы, для которой они применяются. Если сети подключены к каналам связи, обеспечивающим международный обмен данными, необходимо устанавливать СДЗ не ниже четвертого класса.

Средства контроля съемных машинных носителей

Эксперты пишут о том, что более 80 % случаев утечки информации происходят в результате переписывания файлов на съемные носители. Устранить этот риск помогают программы, контролирующие запись данных на такие носители, которые делятся на две группы:

  • контролирующие подключение флеш-карт и иных накопителей;
  • контролирующие запись информации на диск с таких носителей.

Средства обнаружения вторжений

Информация уязвима как со стороны пользователя-инсайдера, так и со стороны внешнего проникновения в систему, защитить ее от таких атак позволяют механизмы обнаружения вторжений (СОВ). Они представляют собой программные или программно-аппаратные средства для выявления несанкционированного вторжения в сеть или внешнего, нерегламентированного управления ее компонентами. Их функционал направлен на отражение следующих видов угроз:

  • сетевые атаки на уязвимости;
  • атаки, связанные с повышением привилегий по доступу к ресурсам;
  • несанкционированный (неавторизованный) доступ к закрытым данным;
  • действия вредоносных программ (черви, трояны).

В архитектуре СОВ выделяются следующие элементы:

  • сенсорная подсистема для сбора событий и инцидентов безопасности;
  • архив событий и данные их анализа;
  • консоль управления. 

В целях систематизации и сертификации СОВ бывают для сетей и узлов: первые наблюдают за несколькими сетевыми узлами одновременно, контролируя внешний трафик, вторые следят за работой узлов, концентрируясь на системных вызовах, возникающих внутри локальной сети. 

Оцените статью
Техничка
Adblock detector