Ляпунов И.В. Начальник управления решений по информационной безопасности ЛАНИТ, Москва e-mail: liapunov@lanit.ru тел. (095) 265-3101, 967-6650 Управление безопасностью в корпоративных распределенных вычислительных системах и сетях связи. Практические аспекты Интерес к теме информационной безопасности, большое количество разнообразных публикаций по этой проблеме могут подвести к мысли, что основную угрозу конфиденциальным документам, финансовой информации представляют злоумышленники, работающие в Интернете, хакеры, почтовые вирусы, то есть всё, что называется hi-tech-угрозами. Таким образом, встает вопрос, что проще: осуществить взлом через Интернет или подкупить сотрудника организации? Давайте обратимся к статистике! К сожалению, достаточно сложно собрать полную информацию по имевшим место утечкам и потере информации из-за понятной закрытости этой темы, и нежелания служб безопасности различных организаций оглашать негативные факты своей работы. Но всё же по опыту нашей работы можно сказать следующее: На первом месте по причинам сбоя информационных систем стоят ошибки пользователей и администраторов систем. Непреднамеренные ошибки пользователей при вводе, модификации и обработке информации ежегодно приносят компаниям большие убытки. Особенно опасны для крупных компьютерных систем ошибки администраторов, так как администратор, как правило, имеет максимум привилегий и возможностей по случайному искажению или удалению информации. Неправильная настройка программного обеспечения и оборудования влечет за собой нарушение технологии работы, последовательности операций вплоть до полной парализации работы организации. На втором месте стоят хищения физических носителей информации, “бумажных” документов, а также утечки информации через персонал. Как это ни странно, на третьем месте по наносимому ущербу информации и системам ее обработки стоят всевозможные стихийные бедствия, пожары, аварии систем отопления и, что особенно актуально для нашей страны - сбои электропитания. И только ближе к концу списка стоит угроза похищения информации через общедоступные сети и Интернет. Атаки, идущие из Интернет, достаточно разнообразны и во многом зависят от своих жертв. Так, например, для популярных информационных серверов, новостных каналов, развлекательных порталов, серверов известных фирм, ориентированных на широкий круг пользователей, основным типом атак является нарушение доступности серверов. Таким образом, несложно сделать вывод, от чего в первую очередь нужно защищаться. Многие эксперты в области информационной безопасности и даже специализированные организации не берутся за решение такой проблемы. И это понятно. Утечки информации через персонал – это сложные и трудно контролируемые каналы, так как нет формальных методов отслеживания внешних контактов сотрудников организации, перемещения дискет, CD-дисков, бумаг и т.п. Почему так высока опасность утечки больших объемов информации через сотрудников организации? Во-первых, существует проблема неформализованности должностных обязанностей сотрудников. Как правило, один сотрудник выполняет целый ряд задач, плюс те работы, которые единовременно поручает выполнить начальник помимо основных обязанностей. Иногда возникает необходимость подменить того или иного сотрудника по причине болезни, командировки. Складывается ситуация, когда «все занимаются всем», т.е. с точки зрения информационной безопасности, все сотрудники потенциально имеют доступ ко всей информации, проходящей через подразделение. А через такие подразделения, как договорной отдел или бухгалтерия, проходит вообще вся коммерческая активность и, соответственно, большой объем конфиденциальной информации доступен многим сотрудникам. В этом случае при утечке информации очень трудно выделить, откуда она произошла. Еще одно важное замечание: в таких условиях доступ к конфиденциальной информации имеют далеко не ключевые сотрудники, вплоть до секретарей и водителей, подкуп которых, в принципе, не сложен. Во-вторых, в условиях преобладания бумажного документооборота очень трудно отслеживать четкие маршруты прохождения документов, трудно ранжировать поступающие документы по степени конфиденциальности. Конфиденциальный документ, проходя согласование, визирование у многих руководителей и во многих подразделениях, оказывается в руках большого числа посторонних людей, секретарей, заместителей, помощников руководителей, которые, в свою очередь, потенциально могут снять с него копию или запомнить его суть. Документ может оказаться лежащим просто на столе секретаря, где его могут украсть, прочитать посетители или люди, ожидающие приема руководства. Опять же невозможно очертить круг лиц, к которым попадал тот или иной документ. И в-третьих, подобная неразбериха творится в компьютерах. В Госкомстате, как и в большинстве крупных организаций практически не упорядочен электронный документооборот, все документы хранятся на рабочих станциях, нет системы разграничения доступа, нет системы резервного копирования. Как правило, сотрудники сидящие в одной комнате знают пароли соседей и могут беспрепятственно входить и в компьютер, и в сеть с рабочей станции своего коллеги. Вот лишь основные причины того, что информация вероятнее всего «уходит» из компании через персонал. Что же делать? Нужно понимать, что по объективным причинам вообще исключить такие угрозы невозможно. Целью работ должен явиться комплекс административных, процедурных и программно-аппаратных мер, направленных на минимизацию утечки информации через сотрудников. Основная идея всех мер (как для бумажной, так и для электронной информации) следующая: сократить количество людей, допущенных к конкретной информации до минимально необходимого, жестко разграничивать доступ к хранилищам информации, контролировать, кто получил информацию, защищать процесс ее передачи. Административные и процедурные меры защиты должны структурировать и максимально формализовать отношения между подразделениями, документальные потоки между ними, правила общения отделов, правила передачи информации между ними. То есть, основная задача административных мероприятий - ограничить круг лиц, имеющих доступ к каждому виду информации, зафиксировать тех, кто может иметь к ней доступ, упорядочить места ее хранения (и электронной, и бумажной), ввести правила обращения с конфиденциальными документами. На такую структурированную систему уже достаточно просто накладывать защитные механизмы. На основе этого уже будут формироваться политика безопасности и конфигурации, закладываемые в программно-аппаратные средства защиты. Конечно, в реальных условиях трудно говорить о формализации документооборота внутри каждого конкретного отдела, да это в большинстве случаев и не нужно. Одним из основных принципов создания систем информационной безопасности является удобство работы сотрудников, т.е. человек должен работать, а не преодолевать одно за другим средство защиты. Поэтому в архитектуру системы защиты закладываются средства защиты не конкретных сотрудников, а локализованных замкнутых групп пользователей, внутри которых информационный обмен не формализован, а передача информации наружу контролируется средствами защиты. Программно-аппаратные средства защиты информации должны реализовывать и контролировать выполнение общей стратегии обеспечения информационной безопасности, поддерживать организационные меры защиты. В их функции входит: - разграничение доступа между подсетями различных подразделений, выделение сильно защищенных контуров, обрабатывающих строго конфиденциальную информацию; - защита каналов связи между различными офисами организации, между отдельными подразделениями или сотрудниками; - защита рабочих станций пользователей от непосредственного доступа к ним других сотрудников; - строгое разграничение доступа к архивам документов, рабочей информации; - протоколирование и аудит действий сотрудников организации с конфиденциальной информацией; - резервное копирование архивов документов и др. Эти функции должны выполняться целым рядом средств защиты, каждое из которых закрывает определенный набор уязвимостей и угроз: - межсетевыми экранами (или firewall’ами), осуществляющими фильтрацию проходящего через них сетевого трафика в соответствии с заданными правилами; - средствами создания виртуальных защищенных сетей (VPN-технология), шифрующими потоки информации; - антивирусными программами; - средствами активного аудита и адаптивной безопасности, контролирующими в режиме реального времени негативную сетевую активность и др. Отдельно стоит проблема, напрямую не связанная с обсуждаемой темой, но косвенно влияющая на общий уровень информационной безопасности Госкомстата. Это проблема хранения паролей и парольной защиты вообще. Пароли, как правило, наиболее узкое место для любой системы защиты, потому что все пользователи получают доступ к тому или иному ресурсу или конфиденциальной информации, вводя пароль. Если этот пароль похищен, подсмотрен, перехвачен или подобран, то злоумышленник получает доступ к защищаемой информации. А пароль подобрать не сложно! В основном пользователи выбирают не- сложные пароли, которые легко запомнить, или используют один и тот же для доступа к любому серверу или, если он достаточно длинный и трудный, записывает его на стикере и приклеивают на монитор. Пароли – головная боль любого администратора безопасности. Сейчас на российском рынке начали появляться технологии эффективно решающие эту проблему. Это технологии биометрической аутентификации пользователей, т.е. пользователь для получения доступа к персональному компьютеру, сетевому ресурсу или архиву документов предъявляет системе свой отпечаток пальца, тем самым избавляя себя от необходимости запоминать пароли и хранить их. Такие решения хорошо встраиваются в корпоративную информационную систему, подменяя собой все другие механизмы аутентификации. Единственное, что нужно учитывать при выборе подобной системы, это масштабируемость решения, качество распознавания, т.е. уровень ошибочного допуска (ошибка второго рода) должен быть не хуже 10-7 – 10-8, ну, и, конечно же, удобство использования устройств считывания отпечатков пальцев. В последнее время за счет установки средств биометрической информации система дорожает не более, чем на 100-150 долларов на одно рабочее место. Помимо программных и аппаратных решений стоят такие очевидные, но редко выполняемые меры, как защита от «обиженных» сотрудников. Все организации всегда страдали от них. Если человека увольняют из организации не по собственному желанию, то его естественная реакция - это обида, желание отомстить. В компьютерной системе сделать это просто! Достаточно нескольких нажатий клавиш и важная информация будет удалена. Или еще один вариант, Ваш конкурент возьмет такого сотрудника к себе на работу тем охотнее, чем больше конфиденциальной информации принесет с собой Ваш сотрудник. А переписать все документы с сервера на дискету или CD-диск опять же просто. Во многих западных компаниях принято при объявлении сотруднику об увольнении провожать его до рабочего места, чтобы он собрал вещи, и сажать в такси. При этом сразу аннулируются все его пропуска, электронные ключи, пароли доступа в компьютерную систему и т.п. У нас же существует обратная практика, когда сотрудник ходит на работу еще две недели и имеет полную свободу действий в компьютерной системе. В заключение хотелось бы подчеркнуть, что проблема защиты компьютерной системы является частью общей проблемы информационной безопасности организации. Ее решение наиболее эффективно только в комплексе организационных и процедурных мероприятий по защите информации, которые должны поддерживаться единым комплексом программно-технических средств защиты. Этот сложный развивающий организм, имеющий сложную внутреннюю структуру, действующий по своим собственным законам, имеет своей главной целью обеспечение безопасности организации, ее информации и информационных потоков. Но как справиться с ним? Не потерять контроля над его ростом и развитием? Это проблема очень непростая. С появлением новых технологий защиты, усложнение существующих, а также ростом самой корпоративной информационной системы остро встает вопрос управления безопасностью. Идеология управления безопасностью закладывается еще на этапе разработки Концепции информационной безопасности, проектирования системы защиты информации. Об этом и о многом другом будет рассказано в настоящем докладе.