Спрос на решения для защиты конфиденциальной информации по-прежнему остается достаточно высоким со стороны финансовых организаций. Это связано с тем, что информация традиционно считается одним из главных и ценнейших активов любого банка. По мнению экспертов, востребованность таких решений в 2011 году по сравнению с прошлым годом выросла. Это связано как с выходом экономики из кризиса, так и с увеличившимся числом киберугроз, зачастую направленных именно на финансовый сектор.

Новая задача – защита мобильников

Подзаконные акты Федеральной службы по техническому и экспортному контролю РФ (ФСТЭК), ФСБ, Банка России выдвигают ряд серьезных требований по построению современной системы информационной защиты финансовых организаций. Эти требования предполагают использование самого широкого набора решений, инструментов и механизмов. Среди них можно выделить основные: системы предотвращения вторжений, межсетевые экраны, шифрование, антивирусные решения, защита от утечек, системы управления событиями безопасности, управление идентификацией пользователей, контроль доступа и другие защитные механизмы, перечисленные в руководящем документе ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных». В этом документе излагается общая методика построения защиты информационных систем и требования к классификации данных, к месту их хранения, к выстраиванию для них моделей угроз и моделей нарушителя. И уже затем на основе всех этих данных можно выбрать средства защиты, способные предотвратить конкретные, возникающие в ходе ежедневной работы, угрозы.

По мнению начальника управления информационной безопасностью ОТП Банка Сергея Чернокозинского, серьезных изменений в механизмах, используемых финансовыми институтами для защиты конфиденциальной информации, не произошло. «При этом видны определенные тенденции, в первую очередь, в области защиты дистанционного банковского обслуживания и электронных каналов взаимодействия, а также в сфере защиты мобильных устройств», - считает эксперт.

Руководитель отдела безопасности информационных систем банка Rietumu Владислав Рабинович также считает, что технические средства защиты информации за последние пару лет принципиально не изменились. Однако при этом они постоянно совершенствуются и усложняются, требуя соответствующих знаний для их настройки и эксплуатации. «Например, алгоритмы шифрования данных, встроенные в Windows и Mac OS (Macintosh Operating System), становятся более стойкими, надежными и в то же время более прозрачными для конечного пользователя, - рассказывает эксперт. - Возможности шифрования данных появились и на мобильных устройствах, которые дают возможность управлять банковским счетом (например, на iPhone). В ноутбуках бизнес-класса для доступа к информации теперь зачастую используются отпечатки пальцев и т.д.».

Рынок разнообразных решений

В настоящее время рынок предложений различных решений по защите конфиденциальных данных достаточно разнообразен. Предложения варьируются от простейших решений по антивирусной защите до комплексных систем обеспечения безопасности, включающих в себя многоуровневые, эшелонированные системы безопасности. Эксперты подтверждают, что в посткризисный период рынок информационной безопасности устремился к росту - на нем появляются новые решения и механизмы, основанные на статистическом, семантическом, синтаксическом анализах.

В настоящее время все большее количество финансовых организаций и их клиентов переходит на безбумажные удаленные способы взаимодействия, что накладывает определенные обязательства и на решения для защиты конфиденциальных данных.

Поэтому, по мнению Сергея Чер-нокозинского, в ближайшей перспективе активно будут развиваться механизмы по защите электронных каналов взаимодействия. Это защита и дистанционного банковского обслуживания, и электронных каналов продаж, и других различных финансовых операций, осуществляемых посредством сети Интернет или систем удаленного обслуживания.

Владислав Рабинович отмечает, что такое популярное направление, как «облачные вычисления», породило целую волну новых решений для защиты информации. «Предприятия, которые пользуются таким сервисом, не имеют собственных серверов и получают все услуги от провайдера, что требует специфической защиты», - поясняет специалист.

По мнению эксперта, основные направления развития решений для защиты конфиденциальных данных в ближайшей перспективе как раз будут связаны с «облачными вычислениями», «системами виртуализации» (наиболее популярными сегодня техническими решениями, которые позволяют иметь на одном «железе» десятки и сотни серверов и эффективно управлять ими) и мобильными устройствами.

Цена вопроса

Конечно, возникает вопрос, в какую «копеечку влетает» банкам защита информационной безопасности. Эксперты говорят, что цены на решения по защите конфиденциальных данных сильно различаются в зависимости от того, какую нишу занимает то или иное решение и какие возможности оно предоставляет. Кроме того, на уровень цен влияет и конкурентная борьба участников ИТ-рынка. Стоимость может составлять от 100 долларов за простейший базовый функционал до 500 тыс долларов и больше за крупное комплексное решение, отмечает Сергей Чернокозинский.

По мнению Владислава Рабиновича, цены на решения по защите информации зависят от позиции компании-производителя и могут различаться для западноевропейского и российского рынков. «Кстати, помимо платных решений есть множество вариантов качественного бесплатного программного обеспечения (Open Source). Само по себе оно не стоит ничего, хотя и требует ресурсов для внедрения, освоения, развития, обучения персонала», - говорит эксперт.

Комплекс решений

Разработчики программного обеспечения предлагают самые разнообразные средства и инструменты для решения задач информационной безопасности, в частности, защиты данных от краж, искажения и нарушения целостности.

По мнению Владислава Рабиновича, универсальных решений для защиты информации не существует в принципе. Лишь использование комплекса нужных решений дает необходимую эффективность. Оптимальный результат всегда достигается формированием индивидуального «пакета» мер безопасности. «Если на обычном домашнем компьютере вполне достаточно установить одну качественную антивирусную программу, то для корпоративной инфраструктуры часто выбирается комбинация их двух антивирусных программ разных производителей (так называемый «принцип четырех глаз»). Это связано с тем, что разные антивирусы имеют разную скорость обновления своих баз, и, например, на вирус, «пришедший с востока», обычно быстрее реагирует программа восточного производителя. Или, например, если раньше существовал единый firewall для защиты сети, то сейчас используются application firewall, data base firewall и т.д. - то есть решения, обеспечивающие специфическую защиту для конкретных целей.

Защита от вирусов является одним из средств предотвращения утечек конфиденциальной информации, в том числе и персональных данных, поскольку вирусы, «черви» и другие вредоносные программы очень часто занимаются кражей данных и организуют скрытые каналы утечки информации. И здесь на помощь приходят антивирусные решения, включающие в себя не только сигнатурную защиту, но и более современные средства - поведенческий анализ программ, экраны уровня приложений, контроль целостности критических для операционной системы данных и другие методы защиты рабочих мест и серверов.

Системы предотвращения вторжений (Intrusion Prevention System, IPS) устанавливаются в местах разрывов сети. Они служат для выявления в проходящем трафике признаков нападения и для блокировки обнаруженной атаки. В отличие от шлюзовых антивирусов IPS анализируют не только содержимое IP-пакетов, но и используемые протоколы, и корректность их использования. Спектр атак, от которых могут защитить системы предотвращения вторжений, несколько шире, чем у шлюзовых антивирусов.

Межсетевые экраны и сканеры уязвимостей

Следующий тип защитных систем - это межсетевые экраны для Web-приложений (Web Application Firewall, WAF). Вся корпоративная сеть банка и каждое отдельное рабочее место сотрудника должны быть защищены не только от атак вирусов, но и от целенаправленных сетевых атак. Для этого необходимо поставить систему блокировки неиспользуемых сетевых протоколов и сервисов, что и выполняют межсетевые экраны. Нередко к функциональности экранов добавляют и средства организации виртуальных частных сетей - VPN.

На развитие и появление систем WAF свое влияние оказал стандарт PCI DSS, в соответствии с которым информация о кредитных картах в публичных Web-приложениях должна быть защищена каким-либо из двух методов: с помощью анализа кода Web-приложения или путем установки точки применения политики безопасности. Одно из назначений систем WAF - защита данных (например, в соответствии с PCI DSS) путем анализа и блокирования входящих потенциально опасных сеансов.

Среди средств защиты выделяют также сканеры уязвимостей, проверяющие информационную систему банка на наличие различных «слабых мест» в операционных системах и в программном обеспечении. Зачастую это отдельные программы или устройства, тестирующие систему. Происходит это с помощью посыла специальных запросов, имитирующих атаку на протокол или приложение. Сканеры уязвимостей можно использовать для проведения внутреннего аудита защиты, предусмотренного стандартами ФСТЭК.

DLP-системы

Системы защиты от утечек (Data Leak Prevention - DLP) предоставляют возможность с помощью специальных алгоритмов и на основе централизованных политик осуществлять идентификацию, мониторинг и защиту информации во время ее использования, передачи и хранения.

Преимущества использования DLP-систем для бизнеса очевидны. Во-первых, DLP защищают информационные активы организации от неправомерных действий, передачи этих активов третьим лицам и несанкционированного доступа к ним. Во-вторых, DLP-системы минимизируют риски потери критически важной для бизнеса информации. Наконец, внедрение системы защиты от утечек помогает сократить расходы, связанные с управлением данными и безопасностью, снизить затраты на соблюдение требований законодательства в области защиты персональных данных.

Системы DLP обладают функциональными возможностями в трех сферах. Во-первых, в области контроля передачи информации по каналам электронной почты и Web (data-in-motion). Во-вторых, в сфере контроля над операциями с конфиденциальной информацией на уровне рабочей станции (data-in-use). Наконец, в сфере сканирования сетевых ресурсов для обнаружения мест ее хранения (data-at-rest).

В системах DLP применяются сложные механизмы анализа: сравнение по шаблонам с использованием словарей и регулярных выражений, лингвистический и контекстный анализ, цифровые отпечатки. Словари и шаблоны удобно применять в конкретных областях, например, для контроля номеров кредитных карт и других персональных данных.

Следует отметить, что DLP не входят в число обязательных мер защиты операторов персональных данных. Организации, выполняя требования закона, имеют право применять любые решения в области защиты от утечек, в том числе и DLP. При этом регуляторы, проверяющие компании, как правило, положительно оценивают наличие таких систем. Кстати, за рубежом главным фактором роста сегмента DLP являются именно законодательные требования.

Шифрование: было, есть и будет

К средствам защиты конфиденциальных данных от утечек относят также шифрование информации. Многие эксперты считают, что до сегодняшнего дня ничего более эффективного в области защиты информации от несанкционированного доступа, чем шифрование, не изобретено. При условии сохранности криптографических ключей шифрование гарантирует безопасность чувствительных данных.

«Самым эффективным решением для защиты конфиденциальных данных было, есть и в ближайшей перспективе будет шифрование, - говорит Сергей Чернокозинский. - Это связано с тем, что шифрованию свойственна относительная простота использования, по большому счету, отсутствие уязвимости, и при всем при этом обеспечивается высочайший уровень защиты».

Существует несколько основных технологий шифрования данных, одни из них являются более надежными, другие -более быстрыми. Во-первых, пофайловое шифрование. Данный метод используется в основном для того, чтобы посылать зашифрованные файлы по e-mail или через Интернет. Пользователь сам выбирает файлы, которые следует зашифровать и отправить получателю. Такой подход не требует глубокой интеграции средств шифрования в систему. Однако при этом он страдает низкой скоростью работы, поскольку требуется шифровать каждый прикрепляемый к письму файл (это не совсем удобно, когда нужно пересылать большие объемы информации).

Существует еще один негативный момент в пофайловом шифровании, отмечают специалисты. Шифруется лишь файл-оригинал, а временные файлы остаются незащищенными. Поэтому защиту можно обеспечить лишь от того преступника, который пытается перехватить сообщение в Интернете, но не против злоумышленника, похитившего персональный компьютер или ноутбук.

Вторая технология - это шифрование каталогов. В отличие от предыдущего метода данный подход позволяет переносить файлы в папку, где они будут зашифрованы автоматически. В основе шифрования каталогов лежит все то же пофайловое шифрование. Эксперты отмечают, что шифрование каталогов является очень неэкономичным, ресурсоемким и медленным.

Третья технология - шифрование виртуальных дисков - подразумевает создание скрытого файла, находящегося на жестком диске. В дальнейшем операционная система работает с ним как с отдельным логическим диском. Вся информация, хранящаяся на виртуальном диске, находится в зашифрованном виде. Основное отличие этого метода от вышеперечисленных заключается в том, что криптографическому программному обеспечению не требуется шифровать каждый файл отдельно. Здесь данные шифруются автоматически только в том случае, когда они записываются на виртуальный диск или считываются с него.

Эксперты указывают на то, что использование виртуальных дисков создает повышенную нагрузку на ресурсы операционной системы. И это, конечно, отрицательно сказывается на ее производительности.

Четвертая технология - это шифрование всего диска, т.е. любой файл, записанный на диск, будет зашифрован. Криптографические программы шифруют данные, прежде чем операционная система поместит их на диск. Для этого криптографическая программа перехватывает все попытки операционной системы записать данные на физический диск и производит операции шифрования, что называется, «на лету». Шифрование всего диска позволяет избежать ситуаций, когда какая-либо часть важных данных или их точная копия остаются где-нибудь на диске в незашифрованном виде. Наконец, существует такая технология, как защита процесса загрузки. Ее целесообразно осуществлять при шифровании всего диска, поскольку именно в этом случае операционная система не сможет запуститься до тех пор, пока какой-либо механизм не расшифрует файлы загрузки. Чтобы операционная система могла начать свою работу, пользователю требуется ввести пароль. Если пользователь вводит пароль правильно, программа шифрования получает доступ к ключам шифрования, что позволяет считывать информацию с диска.

АКЦЕНТ
СКЗИ «MS_KEY К» ЧЕРЕЗ ПРИЗМУ ЗАКОНА №63-Ф3 «ОБ ЭЛЕКТРОННОЙ ПОДПИСИ»
Алексей Ершов, менеджер по продукту ООО «МультиСофт Системз»

8 апреля 2011 года вступил в силу Федеральный закон Российской Федерации №63-ФЗ «Об электронной подписи» (от 6 апреля 2011 г.). Одним из основных нововведений закона явилось определение понятия квалифицированной цифровой подписи. Перед владельцами систем и их пользователями встал вопрос, какие средства СКЗИ могут вырабатывать квалифицированную цифровую подпись, а какие - нет. В сложившейся ситуации весьма своевременным оказывается создание ООО «МультиСофт Системз» своего СКЗИ «MS_KEY K». 1 июля 2011 года на СКЗИ «MS_KEY K» получен сертификат ФСБ России №СФ/124-1695, в соответствии с которым указанный продукт может быть использован для вычисления квалифицированной электронной подписи. Таким образом, в соответствии с действующим законом №63-ФЗ «Об электронной подписи» СКЗИ «MS_KEY K» предоставляет сервис вычисления квалифицированной электронной подписи и может использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну. Данное СКЗИ соответствует требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001 и требованиям ФСБ России к СКЗИ класса КС2.
СКЗИ «MS_KEY K» состоит из специального программного обеспечения и аппаратного модуля, реализующего криптографические вычисления «на борту». То есть аппаратный модуль СКЗИ «MS_KEY K» является персональным аппаратным вычислителем цифровой подписи в соответствии с ГОСТ Р 34.10-2001 с неизвлекаемым закрытым ключом пары. Конструктивно аппаратный модуль СКЗИ «MS_KEY K» выполняется в виде USB-устройства либо смарт-карты. Он разработан, прежде всего, с учетом требований, предъявляемых к защите современных систем дистанционного банковского обслуживания. Применяется для защиты транзакций интернет-банкинга от атак злоумышленников, направленных на фальсификацию платежных поручений и хищение средств клиентов.
Платформа «MS_Key», на которой построено данное СКЗИ, за четыре года своего существования прочно зарекомендовала себя среди производителей систем ДБО и производителей систем защиты информации.