В настоящее время конфиденциальная информация и персональные данные обрабатываются в АС практически любого предприятия. Но вот как ее защищать, чем отличаются средства защиты домашнего компьютера и компьютеров в корпоративных приложениях, особенно в таких критичных, к каким относится банковская сфера, какие задачи защиты информации и каким образом должны решаться в комплексе для обеспечения эффективной защиты конфиденциальной информации? В статье делается попытка ответить на эти и иные не менее важные вопросы по реализации защиты информации в корпоративных приложениях. Возможность реализации предлагаемых в статье подходов к построению средства защиты конфиденциальной информации и персональных данных и их эффективность автор иллюстрирует на примере построения КСЗИ «Панцирь-К» для ОС Windows 2000/XP/2003 (разработка ЗАО «НПП «Информационные технологии в бизнесе»). 

1. Как следует относиться к защите конфиденциальной информации и персональных данных в банковском секторе?

Приведем немного статистики.

1. Только факты. Несколько примеров из статьи « Банковские инсайдеры, или "Посторонним вход воспрещен"!, опубликованной на сайте www.bankir.ru (01.09.2008г.):

·       В мае текущего года в областной суд в Тюмени поступило уголовное дело мошеннической группировки, занимавшейся хищением денежных средств по кредитным картам банка «Русский стандарт». Своих людей мошенники внедряли не только в филиалы банка, но и в почтовые отделения в Тюмени, Кургане и Омске. От действий мошенников пострадало более чем 450 человек. За 8 месяцев группировка мошенников нанесла общий ущерб в размере 11 млн рублей. Эксперты оценили ущерб в $1 млн.;

·       По данным от 12 декабря 2006 года, утечки допустили сразу 10 российских банков: ХКФ-банк, «Русский стандарт», Импэксбанк, Финансбанк, Росбанк и другие. Мошенниками была выпущена база «Отказы по кредитам и стоп-листы банков России», которая продавалась всего за 2000 рублей. В базе находились 3 млн записей об отказах в выдаче кредитов и о просрочках и неплатежах по кредитам. Были указаны банки – источники сведений, а также информация о заемщиках, их телефонах, адресах, местах работы и причинах попадания в базу (например, отказ в выдаче кредита или просрочка по кредиту). По мнению экспертов, репутация банков, попавших в базу, значительно испортилась. $500 тысяч – экспертная оценка ущерба для каждого банка.

2. Каковы последствия? В исследовании «2006 Annual Study – Cost of a Data Breach», проведенном Ponemon Institute (было опрошено 9 тыс. человек), респонденты рассказывали, как они поступили бы с провинившейся компанией, под которой понимается компания, не обеспечивающая должного уровня ИТ-безопасности. Результаты данного исследования представлены на рис.1.

 1.jpg

Рис.1 Результаты исследования

По результатам данного исследования можно сделать следующий важный вывод: Сам факт недостаточно серьезного отношения компании к вопросам обеспечения ИТ-безопасности, сегодня может «оттолкнуть» от нее как клиентов, так и партнеров, что можно рассматривать как основную угрозу коммерческой деятельности предприятия, в частности, в банковской сфере.

Согласитесь, что на фоне данного вывода, все рассуждения на тему влияния решения задач обеспечения информационной безопасности на бизнес-процессы компании, как-то «меркнут»!

3. Кто же нам противостоит? Обратимся к результатам исследований на эту тему, опубликованным в статье « Банковские инсайдеры, или "Посторонним вход воспрещен"!, опубликованной на сайте www.bankir.ru (01.09.2008г.): «Все эксперты сходятся во мнении, что основная причина - получение финансовой выгоды. Именно этот момент, а не принесения ущерба компании или ее информационной системе (хотя такое тоже встречается) является основополагающим».

Результаты исследований: Мотивы и цели инсайдеров (под «инсайдером» понимается санкционированный пользователь, допущенный к обработке информации на вычислительном средстве в рамках выполнения своих служебных обязанностей) представлены на рис.2:

 image003.jpg

Рис.2. Результаты исследования

Результаты данного исследования весьма показательны. Когда мотивацией становится извлечение финансовой выгоды (а, например, не возможность самоутверждения в глазах друзей), уже априори следует предполагать наличие достаточного (если не высокого) уровня квалификации потенциальных злоумышленников и надеяться на то, что их квалификация, по крайней мере, сопоставима с квалификацией лиц, отвечающих за информационную безопасность на вашем предприятии. И речь здесь не идет о знании правовых и иных норм в области защиты информации, мы говорим о технической грамотности!

2. Общий подход к решению задачи защиты конфиденциальной информации и персональных данных в современных условиях.

Для ответа на вопрос, что, от кого и как следует защищать в современных условиях, обратимся к некоторым исследованиям и к соответствующей статистике.

В части иллюстрации мнения на этот счет потребителей средств защиты весьма показательно исследование, проведенное компанией Perimetrix, один из результатов которого приведен на рис.3.

 image005.jpg

Рис. 3 Результаты исследования

Посмотрев внимательно на рис.3, можно сделать вывод о том, что практически в равной мере для потребителей сегодня актуально решение задач защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечение эффективного противодействия атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве), решение задач эффективного противодействия вирусным атакам, эксплойтам, вредоносным, шпионским и любым иным деструктивным программам, атакам на ошибки программирования в системном и прикладном ПО. Другими словами, задачи защиты информации должны решаться в комплексе! (не будем забывать поговорку: «где тонко, там и рвется»).

На самом деле, необходимость комплексного решения задач защиты диктуется не только целесообразностью предотвращения максимального спектра угроз информационной безопасности. Все гораздо «глубже»! Без реализации комплексного подхода к решению задачи защиты информации невозможно эффективно решить ни одной локальной задачи защиты. Приведем простой пример. Пусть на компьютере существует возможность запуска произвольной программы. Это означает не только подверженность атакам со стороны хакеров из сети (связанных с внедрением и запуском вредоносного кода), но и невозможностюь противодействовать атакам инсайдеров, которые могут локально запустить вредоносную программу, направленную на взлом средства защиты. Это ставит под сомнение саму теоретическую возможность реализации защиты. В этом случае уже бессмысленны и какие-либо оценки квалификации злоумышленника при анализе возможных угроз, т.к. ему достаточно лишь запустить программу, которая уже все необходимое сделает сама. Что получаем? Отсутствие решения лишь одной задачи защиты приводит к полной бессмысленности всех попыток по решению любых иных задач защиты информации, включая все их многообразие!

Прежде, чем переходить к рассмотрению отдельных задач защиты и путей их возможного решения в комплексе, остановимся на первостепенной задаче (по сути, это то, с чего начинается защита) – на задаче формирования объекта защиты.

3. Задача формирования объекта защиты - первостепенная задача защиты информации. Способ решения.

Актуальность данной задачи обусловливается тем, что, с одной стороны, в настоящее время на практике, как правило, используются универсальные ОС, одним из основных потребительским свойств которых является универсальность в части возможности использования ПО и иных ресурсов, в первую очередь, устройств. Это несомненное достоинство данных ОС, если не задумываться о вопросах информационной безопасности. В корпоративных же приложениях (в АС предприятия), где и должны решаться задачи защиты конфиденциальной информации и персональных данных, требования к подобным средствам диаметрально противоположны – следует использовать только те ресурсы, которые необходимы для решения производственных, либо бизнес задач. С другой стороны, объект, функционал и набор возможных ресурсов для которого не определены (не сформированы средством защиты), защитить невозможно даже теоретически. Простой пример. Если компьютер физически («шнурком») не подключен к сети, это отнюдь не означает, что перед вами автономный компьютер. А задачи защиты автономного компьютера и компьютера в составе сети кардинально различаются, кардинально различаются и к используемым в данных альтернативных приложениях средствам защиты.

К механизмам формирования объекта защиты  относятся:

·       Механизм обеспечения замкнутости программной среды. Возможны различные варианты реализации данного ключевого механизма защиты. Например, в КСЗИ «Панцирь» реализовано следующее решение. Администратором могут задаваться папки (это, в первую очередь, каталоги Windows (для разрешения запуска системных процессов) и Program Files, при необходимости, другие), из которых разрешен запуск программ (в них администратор должен штатными средствами ОС инсталлировать приложения), и которые запрещено модифицировать - какая-либо несанкционированная модификация этих папок предотвращается, даже при наличии у злоумышленника системных прав. В итоге, принципиально предотвращается сама возможность запуска любой деструктивной программы (вируса, трояна, шпионской программы, эксплойта, программы-взломщика средства защиты и др.), причем при попытке их запуска, как удаленно, так и локально – инсайдером. Весь компьютер может быть «заражен» подобными программами, но запустить их при этом невозможно. Не требуется какого-либо сигнатурного анализа – задача защиты решается в общем виде без какого-либо влияния на производительность системы, Заметим, что этот механизм защиты, в том числе, является основой антивирусной защиты (позволяет в принципе предотвратить наиболее критичные вирусные атаки, связанные с запуском деструктивной программы). Вообще говоря, без реализации в системе замкнутости программной среды говорить о какой-либо защите не приходится в принципе – если злоумышленник может локально, либо удаленно запустить собственную программу, то, так или иначе, он обойдет любую защиту;

·       Механизм управления подключением (монтированием) к системе устройств. Этот механизм призван обеспечить жестко заданный набор устройств, подключение которых разрешается к системе. Только при реализации подобного механизма можно однозначно описать объект защиты (автономный он или сетевой, с возможностью или без возможности использования отчуждаемых накопителей и каких, и т.д., и т.п.). Важен он и в том смысле, что к устройствам, которые разрешено монтировать к системе, должны разграничиваться права доступа (об этом будем говорить далее) – и без реализации данного механизма потребуется разграничивать доступ ко всем устройствам (что, попросту, глупо). КСЗИ «Панцирь» позволяет разрешить монтирование к системе только необходимых для работы пользователя устройств (в отличие от ОС Windows XP, в КСЗИ реализована разрешительная политика управления подключением устройств – все, что не разрешено (явно не прописано), то запрещено -это единственно возможное корректное решение задачи защиты), причем с учетом серийных номеров их производителей (например, два Flash- устройства могут быть различимы между собою – монтировать можно разрешить не просто устройства, а конкретные устройства, идентифицируемые их серийными номерами – без подобной возможности системы защиты трудно говорить о реализации каких-либо организационных мер защиты при работе с внешними накопителями).

Настраивается данный механизм защиты к КСЗИ «Панцирь» из интерфейса, приведенного на рис.4.

 image006.jpg

Рис. 4. Интерфейс механизма управления подключением (монтированием) к системе устройств

Сформировав объект защиты с использованием рассмотренных механизмов, уже можно переходить конкретных задач защиты информации.

Продолжение следует.