В статье дается анализ архитектуры систем информационной безопасности различного типа и приводятся рекомендации выбора архитектуры в зависимости от типа организации.
Ключевые слова: локальная сеть, архитектура, информационная безопасность, средства защиты, информация, передача данных.
Архитектура системы информационной безопасности представляет собой комплекс аппаратных средств защиты и организационных мероприятий, направленных на противостояние актуальным угрозам и минимизацию рисков утраты данных.
Идеальная архитектура систем информационной безопасности должна соответствовать ряду ключевых принципов:
- Отвечать правилам многоэшелонированной защиты (Defence in depth). Наличие лишь межсетевого экрана (брандмауэра) не обеспечит полной информационной безопасности.
- Архитектура системы информационной безопасности должна иметь возможности для масштабирования и отвечать всем растущим потребностям предприятия в течение заданного периода времени.
- Система должна быть достаточно простой как в эксплуатации, так и в наладке. Специалист не должен из-за неверных настроек сетевого экрана спешить в любое время суток в серверную предприятия.
- Система информационной безопасности должна предусматривать интеграцию с различными корпоративными системами, такими как служба Active Directory, используемая для аутентификации администраторов в разных системах.
Средства защиты также должны поддерживать такую интеграцию. Уровень защищённости необходимо повышать не только за счёт установки максимального количества защитных решений, но и благодаря эффективному использованию их возможностей для защиты данных.
- Для повышения уровня защищенности недостаточно просто устанавливать максимальное количество средств защиты; важно действительно эффективно использовать все их возможности для обеспечения безопасности данных. [1, с. 123].
К ключевым элементам системы информационной безопасности относятся:
— средства защиты периметра (например, межсетевые экраны, системы предотвращения утечек данных DLP, инструменты защиты электронной почты, системы обнаружения и предотвращения вторжений IDS/IPS, сетевые экраны для веб-приложений WAF, сетевые «песочницы», программы для управления доступом к сети NAC, а также защита от DDoS-атак);
— аппаратно-программные решения, применяющие криптографические методы защиты (СКЗИ);
— средства, используемые при защите внутренней инфраструктуры (брандмауэры, NAC, IDS/IPS);
— инструменты для защиты внутренней инфраструктуры (такие как межсетевые экраны, системы управления сетевым доступом NAC и системы обнаружения и предотвращения вторжений IDS/IPS);
— компоненты, обеспечивающие мониторинг состояния средств защиты, ведение журналов событий по информационной безопасности, а также сканирование на наличие уязвимостей [2, с. 56].
Архитектуру системы информационной безопасности следует разрабатывать, учитывая актуальные угрозы и реальную ценность защищаемой информации, а также вероятность возникновения угроз. Нет смысла вкладывать миллионы рублей в решение для защиты данных, стоимость которых составляет всего лишь десятки тысяч. Однако, если эти меры помогут избежать штрафов или сохранить репутацию компании, то их применение становится оправданным.
Чаще всего компоненты систем информационной безопасности имеют конкретную функциональность (сетевой экран, антивирусный пакет и т. п.). Более выгодным является приобретение многофункциональных систем.
Архитектуры систем информационной безопасности классифицируются на моновендорные и мультивендорные и на централизованные и децентрализованные. Проанализируем их плюсы и минусы.
Таблица 1
Классификация архитектуры систем информационной безопасности
|
Плюсы |
Минусы |
|
Моновендорная архитектура |
|
|
Единая унифицированная архитектура, обеспечивающая интеграцию компонентов |
Имеется риск ухода разработчика с рынка, соответственно прекращение поддержки или вообще работы |
|
Стоимость компонентов ниже, чем при наличии нескольких вендоров |
Зависимость от технологий данного вендора |
|
Неполная защита от актуальных угроз |
|
|
Слабые стороны разработки не компенсированы другими вендорами |
|
|
Мультивендорная архитектура |
|
|
Независимость от конкретного разработчика |
Отсутствие или сложность взаимной интеграции компонентов |
|
Защита от всех актуальных угроз |
Требуется наличие штатных специалистов разбирающихся в устройствах разных разработчиков |
|
Сильные стороны одних разработчиков компенсируют слабость других |
Стоимость закупки таких систем защиты может оказаться значительно выше |
|
Централизованная архитектура |
|
|
Единый центр управления и мониторинга |
Требуется приобретение системы управления |
|
Высокий контроль действий администраторов безопасности |
Локальное управление разработками некоторых вендоров требует централизованной системы управления |
|
Простота эксплуатации |
Риск неверного конфигурирования может повредить всю архитектуру |
|
Децентрализованная архитектура |
|
|
Не требуются затраты на приобретение централизованной системы управления |
Сложность эксплуатации |
|
Возможно использование политик безопасности независимо |
Слабый контроль над действиями администраторов |
В связи с наличием в различных видах архитектуры информационной безопасности определенных плюсов и минусов, крупные компании часто используют комбинированный подход с применением решений различных разработчиков.
В небольших же фирмах чаще применяется архитектура какого-то одного разработчика из представленных на рынке, например, Cisco Systems, Kaspesky Lab, Код Безопасности и т. п.
При выборе целевой архитектуры системы информационной безопасности нужно исходить из данных о существующей инфраструктуре предприятия и о необходимых целях (повысить защищенность, выполнить установленные руководством требования, расширить функционал), а также не забывать об удобстве эксплуатации.
Централизованная архитектура походит крупному бизнесу, имеющему большую распределенную структуру, использующему частое изменение политик безопасности и нуждающемуся в обеспечении синхронизации этих политик.
Децентрализованная же архитектура удобнее компаниям с независимыми филиалами, квалифицированным персоналам на каждой площадке, редким изменением и отсутствием необходимости в синхронизации политик безопасности.
При создании архитектуры учитываются особенности существующей ИТ-инфраструктуры организации. Основные принципы интеграции следующие:
- Разделение инфраструктуры на сегменты по функциональному назначению и выделение зон безопасности: демилитаризованная зона (DMZ), корпоративная сеть, система управления, автоматизированные системы управления производством, серверная инфраструктура и рабочие станции сотрудников. Взаимодействие между этими сегментами осуществляется исключительно через межсетевой экран.
- Четкое установление политик безопасности внутри каждой защищенной зоны и при обмене данными с внешней средой.
- Усиленная защита каждого элемента внутри сегмента путем обновления операционных систем, отключения ненужных сервисов, использования политики сложных паролей и применения многофакторной аутентификации.
4. Ведение журналов информационной безопасности и анализ текущей защищенности [3, с. 74].
Следует отметить, что все применяемые на предприятии средства защиты не должны мешать осуществлению бизнес-процессов и средства защиты не должно тормозить передачу данных внутри сети.
Литература:
- Егоров М. Е., Иванов А. Н., Смирнов О. Ю. Основы проектирования систем информационной безопасности: принципы и методология. Учебное пособие. — СПб: Издательство Политехнического университета, 2020.
- Карпов, Е. Ю., Горелов, Н. В., Малюков, С. П. Комплексная защита информации на предприятии: подходы и практика. — М.: Альпина Паблишер, 2019.
- Козлов, Д. А., Марков, А. С. Управление рисками информационной безопасности: методические рекомендации. — М.: Лаборатория Касперского, 2021. — С. 74.
