Обзор "Средства защиты информации и бизнеса 2007" подготовлен	При поддержке

Внутренняя безопасность: подводные камни практического применения

Проблема обеспечения внутренней информационной безопасности (ИБ) стоит сегодня как никогда остро. Компании страдают от нецелевого использования сетевых ресурсов, утечки конфиденциальных данных и саботажа. Инсайдером может оказаться любой: от администратора сети и специалиста по безопасности до руководителя высшего звена. В свою очередь стандарты ИБ содержат массу рекомендаций по защите данных, но дают очень мало действительно ценных советов по противодействию внутренним угрозам. Именно о внутренней безопасности на практике, а не в теории, пойдет речь далее.

Как в действительности происходит процесс «внедрения» внутренней ИБ в коммерческой компании? Поставлена задача: построить систему защиты от утечки информации (со стороны персонала), ввести режим коммерческой тайны и выявить злоумышленников. Обычно специалисты подходят к этому вопросу в несколько этапов, разделяя временные и денежные затраты. Поэтому процесс длится достаточно долго, позволяя своим исполнителям осознать процесс до деталей. Как легко догадаться, в этом случае уходит больше денег, чем запланировано. Процесс происходит от простого, а точнее от очевидного к сложному. Его можно разделить на несколько этапов.

Классификация данных

Задача понятна, но решить ее не так то и просто. Существующая актуальная классификация защищаемых данных на предприятии — это редкая удача для специалиста по внутренней ИБ. Ведь если данные классифицированы, то уже понятно, что защищать. Для коммерческих компаний используются приведенные ниже категории (в госструктурах классы несколько сложнее).

Классификация ценности данных

Источник: InfoWatch, 2007

Практический совет: классификация не должна быть избыточной, так как это приведет к большим дополнительным расходам. Нужно обязательно учитывать, что у информации может меняться категория и нужно гибко обеспечить процесс перехода информации из одной категории в другую.

После этого, для каждой категории должны быть определены процедуры обращения с информацией: как копировать, хранить, передавать по каналам и как уничтожать.

Инвентаризация ресурсов

Все ресурсы, в том числе информационные, должны быть учтены и иметь назначенных владельцев. Во внутренней ИБ подотчетность за ресурсы помогает гарантировать обеспечение конфиденциальности.

Процесс инвентаризации ресурсов это важный аспект управления рисками внутренней ИБ. На основе полученной информации, компания может обеспечить должный уровень конфиденциальности , соответствующий ценности активов. Чаще всего мы говорим о следующих ресурсах:

Во-первых, информационные ресурсы, содержащие конфиденциальную информацию. К ним могут относиться файлы, базы данных, документация, руководства, заархивированная информация.

Во-вторых, программные ресурсы, обрабатывающие конфиденциальную информацию. Это прикладные программы (MS Word, Adobe Acrobat, Open Office), СУБД (MS SQL, Oracle), средства управления документами (Documentum), а также почтовые системы и proxy-сервера, через которые проходит и кэшируется информация.

В-третьих, это физические ресурсы, в которых обрабатывается конфиденциальная информация. К ним относятся серверы, рабочие станции, съемные носители, ноутбуки, коммуникационное оборудование.

Пример таблицы инвентаризации информационных ресурсов

Источник: InfoWatch, 2007

В результате, после выполнения этих двух этапов, становится, наконец, понятно, какая информация присутствует в сети, где хранится и как обрабатывается. И что не маловажно, кто ответственен за ее сохранность.

Теперь наша задача сводится к следующим шагам. Во-первых, нужно организовать автоматизированный контроль за работой авторизованных пользователей с информацией, которую мы отнесли к конфиденциальной. Во-вторых, выстроить политику работы с конфиденциальной информацией, издать соответствующие руководства и процедуры.

Выбор программного решения

Программные решения делятся на канальные и периметральные. Канальные решения работают по следующему принципу. Выбирается модель нарушителя, использующего некоторый канал утечки, и под этот канал происходит выбор метода защиты.

Принцип работы канального решения для предотвращения утечек информации.

Источник: InfoWatch, 2007

В этом случае оперировать приходится следующими методами защиты. Сначала контроль доступа к ресурсам. Самый простой способ, но он же самый ресурсоемкий. Затем — контроль использования ресурсов. К нему относятся системы на основе статической блокировки устройств (DeviceLock, ZLock) и системы на основе динамической блокировки устройств (InfoWatch Net Monitor, Страж, Аккорд, SecretNet). А также контроль контента. В арсенале следующие продукты: SurfControl, MIMESweeper, InfoWatch Traffic Monitor, Дозор-Джет и т.п. Принцип работы: в передаваемой информации ищутся ключевые слова, по результатам поиска принимается решение о необходимости блокировки передачи.

Практический вывод: контентный анализ хорошо справляется с задачей предотвращения утечки в режиме online только в случае, если успешно проведена классификация информации и подробно составлена база терминов, относящихся к конфиденциальным. Также контентный анализ необходим для создания архива трафика и противодействия случайной утечки информации. Однако одна лишь эта технология задачу противодействия утечкам не решает.

И еще одни практический вывод: решения на основе блокировки устройств работают по принципу либо все можно, либо ничего нельзя. Не контролируется передача информации в сеть. Такие решения не умеют отличать секретную информацию от не секретной, что также не решает поставленную задачу.

В результате каждый канал утечки, такие как почтовый и веб-трафик, сервера баз данных и т.д. — оснащается одним или несколькими инструментами защиты. После внедрения такого числа продуктов придется столкнуться с проблемами: настройки политик доступа и использования ресурсов для всех каналов разные, способы идентификации пользователя тоже разные (e-mail, IP-адрес, login-password, учетная запись). Для каждого канала нужна своя база данных контентной фильтрации. Каждый продукт создает и использует собственный журнал событий. Консолей управления несколько и все они разные. Таким монстром управлять достаточно сложно, необходимо на каждый канал утечки посадить офицера безопасности. Но такую роскошь могут себе позволить только очень крупные структуры. А как же быть коммерческим компаниям, которым есть что защищать, но которые не могут разбрасываться деньгами направо и налево? Ответ один. Нужно стремиться к единому технологическому решению, завязанному на ИТ-инфраструктуру и бизнес-процессы. Т.е. к периметральным решениям (Oakley Networks SureView, InfoWatch Enterprise Solution).

Целостные программные продукты осуществляют управление рисками внутренней ИБ и минимизируют риск утечки конфиденциальной информации за счет большого числа технологических составляющих, глубоко интегрирующихся в информационную структуру предприятия. К ним относятся, во-первых, отслеживание перемещения конфиденциальной информации по информационной системе (data-in-shell). Во-вторых, управление риском утечки через сетевой трафик по протоколам TCP/IP (generic), SMTP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, собственных протоколов посредством контентной фильтрации на уровне шлюза, через которые идет трафик из внутренней сети во внешнюю сеть (data-in-motion), контентной фильтрации на уровне сервера, обрабатывающего определенный тип трафика (data-at-rest), контентной фильтрации на уровне рабочей станции (data-in-use), и, наконец, контентная фильтрация внутренних каналов почты Microsoft Exchange, Lotus Notes.

В-третьих, управление риском утечки с рабочих станций, периферийных и мобильных устройств посредством контроля действий авторизованных пользователей с конфиденциальными данными: контроль работы с файлами, с внешними устройствами, с сетью (локальной, беспроводной), с буфером обмена, контроль работы приложений и устройств печати (локальных и сетевых), проактивная защита, персональный сетевой экран и теневое копирование информационных объектов. В-четвертых, единая база контентной фильтрации для всех каналов.

Единая база правил для всех каналов

Целостный продукт противодействия утечкам является программным слоем между существующей инфраструктурой на предприятии и корпоративными приложениями, где обрабатываются конфиденциальные данные и с которыми работают сотрудники. Программный комплекс состоит не только из ПО, но еще и из совокупности организационных мер, согласно политике внутренней ИБ. Решение связывает воедино инфраструктуру, информацию и людей, предоставляя целостный инструмент для специалистов по ИБ. В таком продукте сочетаются все важные свойства, характерные для больших сетей: многопоточность (по процессам на одном процессоре, по процессорам на одном сервере, по разным серверам); физическое разделение on-line и off-line функций; повсеместная кластеризация и масштабирование, возможность выстраивать распределенные схемы, располагая мониторинг в филиалах, а единое хранилище в главном офисе, а так же возможность мониторинга всех каналов с помощью одной базы контентной фильтрации.

Практический вывод: только целостный продукт противодействия утечкам решит основную задачу, а именно выявит человека, инициировавшего утечку, что необходимо для службы безопасности.

Документы внутренней ИБ

Теперь крайне важно все задокументировать, для того чтобы запустить машину внутренней ИБ. Первый шаг — это введение коммерческой тайны в соответствии с федеральным законом N 98-ФЗ о коммерческой тайне. Процедура чаще всего состоит из следующих документов: «Приказ генерального директора о введении коммерческой тайны в компании», «Положение о коммерческой тайне», «Перечень сведений, составляющих коммерческую тайну» и «Учет носителей коммерческой тайны (журналы, грифы)».

В продолжение, необходимо создать набор политик внутренней ИБ примерно следующего объема: «Политика внутренней ИБ», «Политика Интернет», «Политика электронной почты», «Политика удаленного доступа», «Политика предоставления прав доступа к информационным ресурсам», «Инвентаризация информационных ресурсов» и «Соглашение о неразглашении с контрагентами».

Практический вывод: в соответствии со статьей 14 закона о коммерческой тайне N 98-ФЗ, инсайдер, организовавший утечку может быть привлечен к уголовной ответственности, при условии, что выполнены все нормы данного федерального закона. В решении этой задачи поможет только целостное программное решение.

***

Действительно, грамотно организовать защиту чувствительных данных на предприятии непросто. Для этого нужно провести классификацию данных, инвентаризацию ресурсов, выбор программного решения, сделать документы внутренней ИБ. Главную роль в этой непростой работе по минимизации рисков утечки данных играют политики и программные средства, а также режим коммерческой тайны при работе с информацией. Программные решения идут в ногу с рынком и, к сожалению, не обладают порой нужной функциональностью. В продуктах есть только то, что требуют заказчики, исходя из принципа «здесь и сейчас». Но уже сегодня появляются решения, способные в автоматическом режиме обеспечить режим конфиденциальности и сильно облегчиться жизнь не только специалистам по ИБ, но и топ-менеджерам, а главное владельцам бизнеса, заинтересованным в сохранности своего главного актива — информации.

Дмитрий Скомаровский