В данной статье представлен обзор существующих и широко распространенных на территории Российской Федерации средств защиты от несанкционированного доступа к средствам вычислительной техники, в том числе применяемым в служебной деятельности. Выделены характерные черты служебной деятельности, дана их характеристика с точки зрения информационной безопасности и защиты информации. Для средств защиты от несанкционированного доступа к техническим устройствам предложены классификация и вариант их разделения по признаку защищаемого объекта: технические средства защиты, средства разграничения доступа (физические и организационные) и средства правовой защиты от несанкционированного доступа. Приведены примеры практической реализации каждого из способов защиты. Рассмотрено состояние организации защиты от несанкционированного доступа к техническим устройствам в конкретной организации. Описаны основные средства защиты от несанкционированного доступа к средствам вычислительной техники, применяемые в ней. Проведена оценка эффективности их использования. Сделан вывод об общем состоянии обеспечения защиты от несанкционированного доступа к средствам вычислительной техники в процессе служебной деятельности. Предложены рекомендации по совершенствованию и развитию применяемой системы защиты. Подведен итог по общему впечатлению о перспективах модернизации и функционированию применяемой политики безопасности в области защиты от несанкционированного доступа к средствам вычислительной техники.
Ключевые слова: защита информации, несанкционированный доступ, средство вычислительной техники, защита информации в процессе служебной деятельности.
Характерной чертой служебной деятельности является строгая предопределенность и стандартизированность протекающих процессов, в том числе связанных с обработкой информации в организации при помощи средств вычислительной техники (далее — СВТ). Под СВТ будем понимать совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем [5]. Информационная безопасность (далее — ИБ) и защита информации (далее — ЗИ) допускают различную трактовку указанной выше черты служебной деятельности. С одной стороны она ограничивает варианты использования СВТ, предопределяет действий пользователей, предоставляет возможность применения шаблонных решений для циклично возникающих событий (и как следствие упрощает настройку политики безопасности для конкретного устройства). С другой же стороны, учитывая особенности циркулирующей информации, очень высокой становится цена рисков — это как непосредственно финансовые потери, так и снижение имиджа организации, в случае успешной атаки злоумышленников, кроме того возможно заранее предугадать тематическую область циркулирующей информации, её актуальность, распространённость, стоимость, а так же режим работы СВТ, что ведет к усложнению системы реагирования на возникновение угроз различного характера, повышение требований к квалификации сотрудников, ответственных за организацию защиты СВТ. Дополнительные трудности организации выполнения требований ИБ и ЗИ для единственного СВТ вызывает большое количество пользователей с различным уровнем технической и организационной подготовки.
Такие неоднозначные трактовки постоянных процессов служебной деятельности показывают сложность организации ИБ и ЗИ, в том числе защиты от несанкционированного доступа (далее — НСД) к СВТ. Под защитой от НСД будем понимать защиту, направленную на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением прав установленных нормативными и правовыми актами или прав, установленных обладателями информации, или правил разграничения доступа к защищаемой информации [4]. При всём этом, необходимо учитывать, что уровень обеспечения ИБ и ЗИ должен быть прежде всего обоснован и сбалансирован.
Из сказанного выше видно, что проблема обеспечения ИБ и ЗИ в целом, и защиты СВТ от НДС в частности, достаточно сложна и требует решения во многих организациях.
Чаще всего злоумышленники пытаются получить доступ к СВТ, входящим в состав автоматизированных систем (далее — АС). Под АС будем понимать систему, состоящую из персонала и комплекса средств автоматизации его деятельности (то есть, СВТ). [2] Как видим, в АС присутствует один из основных факторов, приводящим к нарушения требований ИБ и ЗИ, является человек. Поэтому, для предотвращения возможности появления угроз ИБ и ЗИ в организациях предпринимают комплекс различных мер, которые условно можно разделить на технические, правовые и меры разграничения доступа.
Технические способы защиты от НСД к СВТ представлены в основном способами ЗИ от НСД, среди которых можно выделить три группы: криптографические, аппаратные и программные способы ЗИ от НСД. Криптографические способы ЗИ — это ЗИ с применением непосредственно криптографических средств [1], т. е. шифрование, стеганография, кодирование и сжатие. Примерами средств криптографической ЗИ могут быть азбука Морзе, кодировочные таблицы, универсальные программные средства для шифрования и электронной подписи данных. Аппаратные способы ЗИ основаны на применении различных средств, позволяющих проводить специальные исследования СВТ, выявлять и локализовать каналы утечки информации, проводить поиск и обнаружение средств шпионажа, негласного съема информации, осуществлять противодействие НСД. Аппаратные средства ЗИ выполнены в виде отдельных физических устройств, таких как Электронный ключ eToken (в формате Flash-носителя) или смарт-карты доступа. Программные средства ЗИ представлены широким спектром программного обеспечения (далее — ПО) для различных видов технических устройств, таких как антивирусное ПО, специализированное ПО ЗИ от НСД, файрволлы, proxy-серверы, VPN.
Меры разграничения доступа как защита СВТ от НСД представлены средствами физического и организационного разграничения. Физические средства разграничения доступа представлены различными устройствами, предупреждающими доступ злоумышленников к охраняемым СВТ, например, механические, электромеханические, электронные, электронно-оптические, радиотехнические и другие устройства. Организационные меры разграничения доступа, обусловленные наличием утвержденного порядка. Существуют различные уровни разграничения доступа. Например, по территориальному расположению, возможно выделить следующие уровне ЗИ от НСД к СВТ: 1) установление контрольно-пропускного режима на территории организации; 2) утверждение списка лиц, допущенных в помещение, в котором расположено СВТ; 3) утверждение списка лиц, допущенных к работе с СВТ.
Правовые средства защиты от НСД представлены на трех уровнях: межгосударственном, государственном и внутриорганизационном. Правовая защита СВТ от НСД в Российской Федерации и организациях, расположенных на её территории, определяется межгосударственными договорами, конвенциями, декларациями, Конституцией и законами Российской Федерации, Указами, Постановлениями, гражданским, административным, уголовным правом, изложенных в соответствующих кодексах, ГОСТами и Руководящими документами, внутриведомственными актами и другими нормативно-правовыми актами.
Описанные выше меры защиты от НСД к СВТ являются недостаточно полным перечнем средств защиты для СВТ являющимся часть АС, так как остаётся нерассмотренным «человеческий фактор». Для минимизации его возможных негативных последствий необходимо повышать уровень личной ответственности пользователей и администраторов СВТ (при наличии таковых). Этого можно добиться путем проведения комплекса обучающих и зачетных мероприятий, профилактических бесед с сотрудниками, ознакомления с прецедентами НСД к СВД и их последствиям, публичного поощрения (или порицания) отличившихся сотрудников, установления личной ответственности конкретных сотрудников за соблюдение правил эксплуатации СВТ и ЗИ в процесс служебной деятельности.
Для большей наглядности в определении состояния защищённости от НСД к СВТ конкретной организации, составим таблицу, реализуемых в ней мер защиты от НСД к СВТ, с субъективной оценкой состояния их полноты и актуальности по пятибалльной системе (таблица 1):
Таблица 1
|
Компонент АС |
Вид защиты |
Способ защиты |
Применяемые средства защиты |
Оценка |
|
СВТ |
техническая |
криптографический |
«КриптоАРМ» |
5 |
|
аппаратный |
eToken |
5 |
||
|
программный |
Dr.Web, Kaspersky, SecretNet |
4 |
||
|
разграничение доступа |
физическое |
Электронные пропуска |
4 |
|
|
организационное |
Утвержденные списки лиц, допущенных на объект, перечни СВТ |
5 |
||
|
Правовая |
правовой |
Конституция РФ, ФЗ, УП, НПА, внутриорганизационные приказы, инструкции |
5 |
|
|
Персонал |
- |
- |
Занятия, регулярное доведение информации, ознакомление с положениями руководящих документов |
4 |
|
Общая оценка: |
32 |
|||
После обобщения и придания вероятностного характера полученной оценке, выясняем уровень вероятности наступления НСД к СВТ, который оказывается примерно равен 9 %. Следует учитывать, что полученное значение является грубым приближением, и для получения более корректного результата необходимо расширить количество исследуемых характеристик и применить более точную оценочную шкалу, например, десятибалльную. Однако, даже такое грубое приближение позволяет визуализировать риск возникновения НСД к СВТ для дальнейшего анализа и прогнозирования.
Из таблицы 1 видно, что необходимо усилить внимание за практическим применением программных средств технической ЗИ от НСД к СВТ, ужесточить контроль организации и применения способов физического разграничения доступа, организовать работу с сотрудниками в направлении расширения знаний в области ИБ и ЗИ. В рамках реализации поставленных задач необходимо:
– усилить контроль за своевременностью обновления установленных на СВТ программного обеспечения и антивирусных баз, при наличии потребности в последних для конкретного устройства;
– повысить навык администрирования СЗИ Secret Net сотрудников, ответственных за работу и эксплуатацию СВТ, выполненных в виде различных моделей компьютерной техники;
– оптимизировать работу сотрудников, ответственных за проведение идентификации и аутентификации предоставленных электронных пропусков в режиме визуального осмотра;
– проводить регулярные занятия с персоналом организации, направленные на формирование безопасного с точки зрения ИБ и ЗИ стереотипа поведения при работе с СВТ, повышение осознанности необходимости соблюдения требований ИБ и ЗИ при выполнении служебных и бытовых задач;
– проводить регулярные занятия с персоналом организации, направленные на повышение, закрепление и выравнивание общего уровня технической и организационной подготовки сотрудников.
Из приведенных выше исследований видно, что в организации достаточно эффективно и полно применяются все виды средств защиты от НСД. Однако, принимая во внимание тот факт, что постоянно разрабатываются новые методы взлома и получения доступа, нельзя считать исследуемою организацию однозначно защищенной от угроз возникновения НСД к СВТ в течение времени. Существующий рабочий порядок, самостоятельность в принятии решении относительно политики безопасности и квалификация инженерно-технического персонала позволяют незамедлительно, точно и корректно реагирования на возникающие угрозы защиты от НСД к СВТ. Однако сохраняется необходимость постоянно дорабатывать и усовершенствовать применяющиеся средства защиты от НСД к технике. Осознание этого положения позволяет организации сохранять общее состояние защищенности своих ресурсов на достаточно высоком уровне и дает возможность минимизировать возможный ущерб от атак злоумышленников, направленных на получение НСД к СВТ и к информации, обрабатываемой с её использованием.
Литература:
1. Гатченко, Н. А. Криптографическая защита информации [Текст]: учебное пособие / А. С. Исаев, А. Д. Яковлев. — СПб.: НИУ ИТМО, 2012. — 142 с.
2. ГОСТ 34.003–90 Информационная технология. Комплекс стандартов на автомати- зированные системы. Автоматизированные системы. Термины и определения.
3. ГОСТ Р 50739–95 Средства вычислительной техники. Защита от несанкционированного доступа к информации.
4. ГОСТ Р 50922–2006 Защита информации. Основные термины и определения / Федеральное агентство по техническому регулированию и метрологии. – Введ. 2008–02–01. — М.: Стандартинформ, 2006. — 7 с.
5. Руководящий документ Средства вычислительной техники Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
