7.1. Системы информационной защиты от внутренних угроз

Внутренние угрозы: финансовое мошенничество, кража конфиденциальной информации или ее искажение, аппаратные и программные сбои, халатность сотрудников, к сожалению, характерны для каждой компании. И в каждой компании должны осуществляться меры по их предотвращению.

В области защиты от внутренних угроз на предприятии решаются три основные задачи (рис. 1):

1) какая информация является конфиденциальной или закрытой и нуждается в защите от несанкционированного разглашения (например, интеллектуальная собственность, корпоративная конфиденциальная информация, частная информация клиентов и сотрудников);

2) как может произойти утечка информации, т.е. где она хранится, в каких производственных процессах используется, и какие точки выхода следует защитить (электронную почту, P2P-сети или мобильные устройства);

3) построение системы защиты от утечек и несанкционированного использования конфиденциальной информации.

Рис. 12. Основные задачи в области защиты от внутренних угроз на предприятии

Многоуровневая защита сочетает в себе решения для рабочих станций и шлюзов и отличается той самой гибкостью, которая, с одной стороны, не нарушает личных прав пользователя, а с другой стороны, способна предотвратить серьезные нарушения корпоративных правил, что предполагает: фильтрацию сообщений в исходящем потоке электронной почты; фильтрацию HTTP-потока данных, которые могут представлять угрозу утечки конфиденциальной информации; выявление нежелательной активности пользователей в сети; создание специального хранилища почтовой корреспонденции и осуществление ретроспективного анализа инцидентов утечки конфиденциальной информации; централизованное управление и оповещение в режиме реального времени.

«Построение комплексной системы» (рис. 2)позволяет построить эффективную систему контроля и противодействия внутренним угрозам (действия инсайдеров по нарушению конфиденциальности, доступности и целостности конфиденциальной информации).

Рис. 13. Построение комплексной системы

Построенная система позволит (рис.3): осуществлять комплексный контроль (управление, мониторинг, анализ) за электронными документами, содержащими конфиденциальную информацию в корпоративной сети заказчика (файловые хранилища, ресурсы, каналы связи (SMTP,WEB,ICQ)); эффективно пресекать попытки утечки конфиденциальной информации; создать доказательную базу по каждому инциденту.

Рис. 15. Преимущества построенной системы

Основными инструментами для борьбы с «внутренними угрозами» (рис. 4) являются: средства контентной фильтрации («контентный анализ») корреспонденции, покидающей корпоративную информационную систему по каналам связи (корпоративная почта, Интернет); средства разграничения доступа на устройство, на файловый ресурс, осуществляющие контроль портов ввода/вывода информации на рабочих станциях, мониторинг операций пользователей с файловыми ресурсами.

Рис. 14. Основные инструменты для борьбы с «внутренними угрозами»

Комплексное решение представляет собой единую систему, осуществляющую автоматизированный контроль над информацией, содержащейся в файлах данных и атрибутах этих файлов (имя, формат, размер, время). На каждый из каналов потенциальной утечки устанавливается свой “перехватчик”, который не только отслеживает, но и запрещает действия пользователей, которые не соответствуют предварительно установленной частной политике информационной безопасности, регламентам, инструкциям.

«Построение системы контентной фильтрации электронной почты» (рис. 5), основанная на технологии контентного анализа корреспонденции, покидающей корпоративную информационную систему по каналу корпоративной почты, нацелена на снижение рисков утечки конфиденциальной информации и повышение производительности служб информационной безопасности компаний при анализе и мониторинге исходящей электронной корреспонденции (SMTP).

Рис. 16. Построение системы контентной фильтрации электронной почты

Система состоит из следующих основных частей: блок фильтрации сообщений; блок карантина сообщений. Блок фильтрации представляет собой выделенный сервер, выполняющий операции:

Расщепление (декомпозиция) трафика до частей слов (морфем). Учитывается всё многообразие русских кодировок и возможные подмены символов.

Анализ содержимого на предмет наличия конфиденциальных сведений, по технологии контентного анализа. Проверка ведется на основе предварительно разрабатываемой для Заказчика индивидуальной базы контентной фильтрации.

Блок карантина представляет собой почтовый архив, в который помещаются приостановленные исходящие сообщения. Режимы функционирования системы:

Активная защита. «Боевой режим», в котором производится анализ писем в on-line режиме, задержание только подозрительной корреспонденции

Оповещение. «Скрытный режим», при котором система анализирует исходящий почтовый трафик, не задерживая отправку писем, и оповещает компетентного сотрудника обо всех фактах отправки конфиденциального содержания

Архивирование. Описание именно такого режима приведено выше в разделе «Проблематика» данного описания. Функционирует в большинстве предприятий

Преимуществами системы контентной фильтрации электронной почты являются (рис. 6): контроль (управление, мониторинг, анализ) за исходящей электронной почтой (SMTP); эффективное пресечение попыток утечки конфиденциальной информации и оперативное реагирование на данные инциденты; создание доказательной базы по каждому инциденту попытки утечки конфиденциальной информации; разгрузка специалистов службы безопасности.

Рис. 17. Преимущества системы контентной фильтрации электронной почты

«Построение системы» (рис. 7) основано на технологии контентного анализа корреспонденции, покидающей корпоративную информационную систему по «веб-каналам» и нацелено на снижение рисков утечки конфиденциальной информации со стороны сотрудников.

Система контроля исходящего трафика состоит из Блока фильтрации трафика и Корпоративного прокси-сервера.

Рис. 18. Построение системы

Блок фильтрации представляет собой выделенный сервер, выполняющий операции: расщепление (декомпозиция) трафика до частей слов (морфем). Учитывается всё многообразие русских кодировок и возможные подмены символов; анализ содержимого на предмет наличия конфиденциальных сведений, по технологии контентного анализа.

Прокси-сервер, исходя из инструкций, выполняет (либо блокирует) отправку исходящих сообщений. Вся информация о подозрительных сообщениях моментально подается для анализа и контроля на консоль офицера информационной безопасности.

«Построение корпоративной системы ЭЦП» (рис. 8) нацелено на внедрение в систему электронного документооборота корпоративной системы ЭЦП, позволяющей защитить документ от изменения и подмены при передаче его по открытым каналам связи и подтвердить авторство отправителя. Причем факт подписания документа ЭЦП можно использовать при разбирательствах как внутри компании, так и в суде, т.к. имеет юридическую силу.

Технология реализации ЭЦП основана на криптографических методах преобразования информации. В России в качестве стандарта ЭЦП утвержден ГОСТ 34.10-2001, а также в качестве хэш-функции - ГОСТ 34.11-2001. Также в 2001 году вышел в свет Федеральный закон «Об ЭЦП», регламентирующий юридические вопросы применения ЭЦП. Эти же вопросы регламентируются и в других правовых документах, например в Гражданском кодексе РФ.

Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной цифровой информации, передаваемой вместе с подписываемым документом (в качестве подписываемого документа может быть использован любой файл): дата подписи; срок окончания действия ключа данной подписи;

информация о лице, подписавшем файл (ФИО, должность, краткое наименование фирмы); идентификатор подписавшего (имя открытого ключа); цифровая подпись.

Исполнительная система ЭЦП включает две процедуры: постановка подписи (используется секретный ключ отправителя сообщения); проверка подписи (используется открытый ключ отправителя).

Рис. 19. Схема использования ЭЦП

Внедрение корпоративной системы ЭЦП позволит создать систему документооборота, которая с одной стороны использовала бы все преимущества электронного документооборота, но в тоже время в части подтверждения целостности и авторства документа была аналогична бумажному. Причем, применяться ЭЦП может не только в электронном документообороте, но и в любых системах обмена цифровой информации, например, в электронной почте или электронных платежах.

Достоинства электронной цифровой подписи: удостоверяет, что подписанный документ исходит от лица, поставившего подпись; не дает самому этому лицу возможности отказаться от обязательств, связанных с подписанным документом; гарантирует целостность подписанного документа.