Приложения
Категории
  1. Главная
  2. Защита информации

Защита информации

/ 20 августа 2010 0 комментариев

« Защита конфиденциальной информации, хранящейся на серверах»Внедрение автоматизированных информационных технологий – это трудоёмкий процесс, в котором особое место занимает задача защиты информационных ресурсов от несанкционированного доступа и утечки.

Рост электронного документооборота ставит новые задачи по обеспечению защиты циркулирующих внутри организаций и между ними электронных документов. Задача сохранения целостности конфиденциальности данных, не в ущерб доступности для тех, кто по долгу службы имеет право ими пользоваться, актуальна, прежде всего, для электронных архивов и центров обработки данных (ЦОД). При этом не менее остро стоит проблема обновления компьютерного парка – утилизация и надежное уничтожение данных на носителях, снимаемых с эксплуатации, защита данных, хранящихся в резервных хранилищах.

Законодательство РФ в сфере защиты персональных данных

На сегодняшний день иерархию документов, регламентирующих вопросы защиты персональных данных при их автоматизированной обработке в информационных системах, можно представить следующим образом.

  1. Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»
  2. Федеральный закон от 19 декабря 2005 года № 160-ФЗ «О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных»
  3. Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера»
  4. Постановление Правительства РФ от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
  5. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»

На основании этих нормативных документов организации могут создать внутренние регламенты по информационной безопасности (ИБ), после чего встанет вопрос о выборе технических решений по защите информации. Однако независимо от пока ещё необнародованных требований и рекомендаций, на рынке уже давно представлены продукты и решения самых различных разработчиков, способные обеспечить надёжную защиту данных. Рассмотрим этот вопрос подробнее.

Для успешной борьбы с угрозой компрометации персональных данных, ничего лучше, чем криптографическая защита, пока ещё не придумано. Шифрование данных широко и с успехом применяется во всем мире уже много лет. Проверенный временем метод криптозащиты информации не теряет своей актуальности в наши дни и по-прежнему позволяет предотвратить несанкционированный доступ к информации и её утечку, даже в случае утери носителей информации.

У классических методов шифрования есть свои сложности в применении. Однако их можно преодолеть с помощью современных вычислительных систем и информационных технологий:

Время процессов криптографических преобразований

В современных системах операции шифрования выполняются «на лету», практически незаметно для пользователя. Мощности процессоров вполне хватает для зашифрования и расшифрования больших объемов информации с использованием надежных симметричных криптоаглоритмов с длиной ключа 256 бит и более.

Генерация надежных ключей шифрования

Используются аппаратные источники случайных последовательностей (ДСЧ), исключающих слабость программных генераторов случайных чисел и «человеческий фактор» при генерации ключей шифрования.

Надежное хранение секретных ключей

Ключи шифрования хранятся в специальных аппаратных устройствах (смарт-картах и т.п.), защищенных от извлечения информации и автоматически уничтожающих всю хранящуюся в них информацию при неавторизованном доступе к таким устройствам.

В современных информационных системах основной объем информации хранится на серверах. С развитием технологии виртуализации для решения задач обработки информации всё чаще будут использоваться специализированные серверы – серверы приложений (электронная почта, базы данных и т.п.), терминальные серверы, файловые серверы. В связи с этим фокус разработчиков уже сейчас заметно смещается в сторону создания технологий для защиты данных, хранящихся стороне сервера. Сохраняя и обрабатывая большие объемы электронных документов на серверных мощностях, компании существенно экономят как временные, так и человеческие ресурсы, однако подобная автоматизация при некорректной организации контроля доступа и защиты данных, может обернуться серьёзным ущербом для компании.

Исходя из приоритетности защиты конфиденциальных данных на серверах, попробуем последовательно рассмотреть этот вопрос, обращая внимание на типовые ошибки, возникающие в процессе решения этой задачи.

1. Разработка корпоративной политики информационной безопасности, создание соответствующих регламентов и внесение изменений в нормативную базу и штатное расписание организации.

В организации должен существовать утвержденный перечень конфиденциальной информации, включая коммерческую тайну и персональные данные сотрудников, заказчиков и клиентов. Должны быть выделены и утверждены серверные ресурсы, на которых хранятся конфиденциальные данные.

Необходимо назначить ответственных лиц, которые будут управлять техническими средствами защиты информации, определять права доступа к конфиденциальной информации и осуществлять общий контроль. Необходимо четко разделить задачи администрирования информационной системой компании. А именно, необходимо разделить процессы управления информационной системой на несколько отдельных задач, решение которых возлагается на сотрудников с различными должностями и степенями ответственности. В общем случае можно выделить задачи администрирования службы каталога, администрирование серверов, администрирование серверных приложений, администрирование службы резервного копирования и администрирование системы защиты информации.

В зависимости от объема работ по администрированию корпоративной информационной системы и количества сотрудников IT-отдела, управление описанными выше подсистемами может быть либо объединено в одних руках, либо, наоборот разделено между несколькими сотрудниками. Так, например, администратор безопасности может взять на себя решение задачи резервного копирования информации. В то же время управление сервером может вести два или более сотрудников. Конкретное распределение обязанностей администраторов должно осуществляться для каждой компании отдельно в соответствии с действующей в ней политикой безопасности.

2. Выбор технических средств (системы шифрования, системы аутентификации, системы резервного копирования и т.д.) и интеграция всех этих систем в единое решение.

При выборе системы шифрования данных необходимо обратить внимание на решение следующих задач:

  • надежная аутентификация администраторов, пользователей системы
  • хранение ключей шифрования
  • периодическая смена ключей шифрования

Вопрос аутентификации может быть надежно решен с применением специализированных аппаратных устройств – смарт-карт или токенов — с использованием цифровых сертификатов. Такая схема аутентификации широко применяется в современных информационных системах и показала свою надежность и удобство применения. С помощью цифровых сертификатов удобно управлять правами всех пользователей информационной системы, включая администраторов и офицеров безопасности. Стоит отметить, что на российском рынке сегодня присутствует сертифицированные ФСТЭК токены (например, eToken PRO cert.), применение которых для аутентификации рекомендовано отраслевыми стандартами (например, Стандарт ЦБ РФ) и требованиями законодательства РФ.

Хорошей практикой считается интеграция системы защиты информации с развернутой в организации PKI-системой. В этом случае будет, во-первых, обеспечен надежный контроль доступа пользователей к конфиденциальной информации, и, во-вторых, будут надежно защищены функции управления самой системой защиты.

При использовании систем шифрования информации неизбежно возникает вопрос хранения ключей шифрования. В некоторых продуктах они кодируются на основе пароля администратора безопасности и записываются вместе с защищенными данными. Необходимо понимать, что в общем случае общая безопасность системы определяется безопасностью самого «узкого» ее места, которым в данном случае является выбранный пароль. Если он будет недостаточно стоек к взлому или записан на листке бумаги, приклеенном к монитору «чтобы не забыть», то защиту от несанкционированного доступа к конфиденциальным данным никак нельзя считать надежной. Есть другой вариант – хранение ключей шифрования на мобильных носителях. Но и этот способ очень далек от совершенства. Мобильный носитель легко потерять, он может быть похищен или отобран у администратора безопасности силой.

Поэтому предпочтение стоит отдавать тем системам, в которых ключи шифрования защищены не слабее, чем сама конфиденциальная информация. Например, для хранения ключей шифрования можно использовать специализированные аппаратные устройства – смарт-карты и электронные ключи, в которых ключи шифрования и цифровые сертификаты хранятся в защищенной памяти. При применении смарт-карт и электронных ключей неавторизованный пользователь не сможет получить доступ к хранящимся в защищенной памяти ключам шифрования, даже если он сможет получить в руки такое устройство. Стоит отметить, что в идеальном случае двухфакторная аутентификация с применением смарт-карт или токенов должна использоваться всеми сотрудниками, имеющими доступ к информационной системе предприятия. Во вяском случае, как минимум, администраторов и ответственных за безопасность необходимо обеспечить надежными средствами аутентификации. Такой вариант позволяет при относительно небольших затратах существенно уменьшить угрозу утечки конфиденциальных данных.

Вопрос периодической смены ключей шифрования является не менее важным, чем надежное хранение ключей шифрования. При длительной эксплуатации системы шифрования, вероятность утечки ключа шифрования возрастает. Поэтому в регламенте применения системы защиты информации должна быть предусмотрена периодическая смена ключей, например, не реже 1 раза в год. Применяемая система шифрования должна предусматривать возможность смены ключа шифрования без снижения уровня защиты на время смены ключа.

Также система защиты конфиденциальной информации должна давать возможность проведения аудита действий администраторов и офицеров безопасности. Такой аудит необходим для оценки компетентности ответственных лиц и для разбора инцидентов, связанных с нарушениями безопасности защищаемой информации (утечками и т.п.).

Применение системы шифрования позволяет решить вопрос защиты от несанкционированного доступа и утечки резервных копий конфиденциальной информации. При правильном применении системы шифрования защищаемая информация попадает в резервное хранилище в зашифрованном виде. В этом случае утеря резервных носителей не приведет к разглашению информации.

Еще одним важным свойством системы защиты информации является возможность экстренного предотвращения доступа к защищаемой информации в случае возникновения нештатных ситуаций. Например, в случае несанкционированного проникновения в серверную комнату, оборудованную охранной сигнализацией, система шифрования должна получить сигнал от охранной сигнализации и прекратить доступ к данным всем пользователям. Восстановление доступа может выполнить администратор или ответственный за безопасность после разбора возникшего инцидента вместе с сотрудниками отдела безопасности согласно принятого в организации порядка.

Итак, общая схема защиты конфиденциальной информации и персональных данных, хранящихся на серверах, включает в себя:

  • категоризация информации
  • выделение ответственных лиц и раздельное администрирование
  • создание политики информационной безопасности, регламентов и других нормативных документов
  • внедрение системы надежной аутентификации администраторов, ответственных за безопасность, а также пользователей
  • ведение аудита действий по управлению системой защиты
  • интеграция системы защиты с системой резервного копирования
  • возможность экстренного предотвращения доступа к конфиденциальной информации
  • отказоустойчивость системы защиты
  • применение надежных криптоалгоритмов
  • надежное хранение ключей шифрования
  • периодическая смена ключей шифрования

Приведенные требования, являются необходимыми для обеспечения надежной защиты от утечки и несанкционированного доступа. Естественно, в каждой отдельно взятой организации существует своя специфика. В максимальной степени это касается госструктур, к обеспечению защиты информационных ресурсов которых законодательство России предъявляет особые требования. Так, в Федеральном Законе «Об информации, информатизации и защите информации» оговаривается список организация и учреждений, которые в обязательном порядке должны применять исключительно сертифицированные системы защиты данных.

Использование сертифицированных систем защиты может положительно сказаться на репутации компании и доверие к ней со стороны деловых партнеров. Ведь ни для кого не является секретом тот факт, что у сотрудничающих фирм довольно часто возникает необходимость обмена конфиденциальной информацией. При этом компания, получившая такие данные, отвечает за их нераспространение. Естественно, при утечке чужой конфиденциальной информации, будет нанесен серьезный удар по репутации компании. Особенно это верно в том случае, если у организации есть партнеры среди зарубежных фирм. На Западе информационной безопасности традиционно уделяется очень большое внимание. И поэтому наличие подтвержденной сертификатами системы защиты – значительный плюс в глазах руководителей зарубежный компаний.

На российском рынке следует выделить продукт разработчика ЗАО «Aладдин Р.Д.» — Secret Disk Server NG cert. Помимо органов госвласти, реальными и потенциальными заказчиками сертифицированных решений в Aladdin видят предприятия, планирующие внедрение технологий защиты информации на базе инфраструктуры открытых ключей (PKI) с использованием цифровых сертификатов, а также организации, политика информационной безопасности которых требует применения исключительно сертифицированных российских СКЗИ.

Безусловно, организациям, сделавшим свой выбор в пользу криптографической защиты информационной инфраструктуры, предстоит немало работы. Однако систематизированный подход, использование консультационных услуг специалистов по информационной безопасности позволяет уже сейчас эффективно и с наименьшими затратами решить проблему утечки конфиденциальной информации.

Источники информации:

  1. Репортаж «Интернет: тайны больше нет»
  2. По данным http://www.cnews.ru/news/line/index.shtml?2008/04/09/296363
  3. По данным http://www.cnews.ru/news/line/index.shtml?2008/03/20/292960

Комментарии

Написать комментарий

Связаться с нами
Компания
Приложения
Контакты
  • г. Москва, ул. Орджоникидзе д.11
  • Телефоны: +7 (495) 970 94 78;
    +7(985)967 48 16;
  • Факс: +7 (495) 970 94 78
  • email: mail@da1c.ru
Copyright © ООО "АСУ-ДИРЕКТ", 2015.