8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Вы находитесь в разделе Типовых решений систем безопасности

Эффективные решения по противодействию внутренним ит-угрозам



В прошлом году было опубликовано весьма актуальное и очень своевременное исследование Infowatch о внутренних ИТ-угрозах в России (на сайте www.itsec.ru от 22.11.2005 г.). Данное исследование Внутренние ИТ-угрозы в России 2004 показало, что не защищенность информации современными системными средствами от санкционированных пользователей (инсайдеров) – пользователей, допущенных к обработке конфиденциальных данных в процессе своей служебной деятельности, практически по единогласному мнению опрошенных специалистов, переводит проблему противодействия внутренним ИТ-угрозам (угрозам хищения информации инсайдерами) в разряд ключевых проблем защиты информации, а возможность эффективного противодействия внутренним ИТ-угрозам – в разряд доминирующих потребительских свойств средства защиты информации.

Прошел год, ознаменовавшийся крупными скандалами вокруг событий, связанных с хищениями и раскрытием конфиденциальности персональных данных. С целью подведения итогов прошедшего года и анализа изменения тенденций, специалистами Infowatch вновь было проведено аналогичное исследование Внутренние ИТ-угрозы в России 2005, результаты которого были опубликованы на сайте: www.infosecurity.ru от 02.02.2006 г.

Специалисты нашей компании, со своей стороны, также попытались разобраться в этих вопросах, однако не в части констатации сложившегося положения дел (которое, кстати говоря, было предсказуемо – это следствие архитектурных особенностей построения современных системных средств), а в части выявления причин сложившейся ситуации. В результате проведенного исследования, опубликованного на сайте компании: www.npp-itb.spb.ru, нашими специалистами были предложены общие подходы и технические решения обеспечивающие эффективное противодействие внутренним ИТ-угрозам. Предложенные технические решения реализованы в Комплексной системы защиты информации (КСЗИ) «Панцирь-К» для ОС Windows 2000/XP/2003 (разработка ЗАО «НПП «Информационные технологии в бизнесе», сертификат ФСТЭК №1144 от 17.01.2006 на соответствие СВТ 5 класса защищенности).

Особое внимание в проведенном исследовании было уделено вопросам отсутствия (по мнению респондентов, участвующих в опросе) законодательной базы для решения задач противодействия внутренним ИТ-угрозам. В своем исследовании наши специалисты предлагают обратиться к двум основополагающим ныне действующим нормативным документам в области защиты информации: документ «Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации» и документ «Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации». Первый из этих документов формализует требования к корректности реализации механизмов защиты и поэтому используется при сертификации средств защиты, второй документ – требования к достаточности набора механизмов защиты, применительно к условиям использования защищаемого объекта, и поэтому используется при аттестации объектов информатизации. Таким образом, в совокупности эти документы формализуют и то, какой набор механизмов защиты должен иметь место на защищаемом вычислительном средстве, и то, какими функциями должен обладать каждый из используемых механизмов защиты (при защите конфиденциальной информации речь идет о требованиях к СВТ 5 класса защищенности и АС класса 1Г).

Назначение этих документов следует собственно из их названия (здесь двух мнений быть не может) - защита от несанкционированного доступа к информации (под несанкционированным доступом понимается доступ в обход заданной разграничительной политики, т.е. в обход того, что не разрешается – в рассматриваемых приложениях - это запрещенная запись конфиденциальной информации на мобильные накопители, запрещенная передача конфиденциальной информации по электронной почте и т.д.). На основании этого сделан вывод, что именно данные документы и определяют требования, реализация которых призвана обеспечить эффективное противодействие хищению данных инсайдерами (данная задача защиты информации – противодействие внутренним ИТ-угрозам должна рассматриваться лишь как частная задача при построении средства защиты).

Сделав вывод о том, что разговоры о необходимости каких-либо дополнительных законодательных требований в части решения задачи противодействия ИТ-угрозам, не актуальны, специалисты нашей компании обратились к анализу корректности существующих требований (напомним, изданных еще в 1992 году), применительно к решению задачи противодействия хищению конфиденциальных данных инсайдерами. На основании проведенных исследований формализованных требований, сформулированных в соответствующих нормативных документах, сделан вывод о том, что они в полном объеме применимы и корректны, в части решения рассматриваемой задачи защиты конфиденциальной информации, однако некоторые их позиции, с учетом архитектурных особенностей построения современных системных средств, необходимо уточнить (не изменить). К подобным уточняющим требованиям отнесены: необходимость разграничивать между пользователями неразделяемые системой и приложениями файловые объекты, разграничивать между пользователями (в идеале – между процессами) буфер обмена, в частности при запуске приложений с использованием утилиты runas, и др., что частично, либо в полном объеме не реализуется современными системными средствами (ОС), и что делает невозможных эффективное использование встроенных в современные ОС механизмов для решения рассматриваемых задач защиты информации (полный список уточняющих требований к средству защиты информации представлен в сайте компании: www.npp-itb.spb.ru). Это позволило сделать вывод о том, что эффективно противодействовать внутренним ИТ-угрозам в современных условиях возможно только с использованием добавочных средств защиты информации. Отчасти проведенный анализ выявил и причину того, что современные добавочные средства защиты информации, реализующие, по большому счету, одни и те же требования, сильно различаются по своим функциональным возможностям (здесь вопрос в реализации соответствующих уточняющих требований).

Важным полученным результатом можно считать и сделанный вывод относительно того, что требования, формализуемые нормативными документами в области защиты информации, рассматривают задачу защиты в комплексе, и именно такой подход - обеспечение комплексной защиты информации техническими средствами, а не использование отдельных частных решений (и уж тем более, не реализацией организационных мер), и может обеспечить защиту данных, в том числе, и в части оказания противодействия их возможному хищения инсайдерами.

В результате проведенного исследования специалисты нашей компании не увидели каких-либо явных причин, препятствующих решению задачи противодействия внутренним ИТ-угрозам – противодействию хищению конфиденциальной информации инсайдерами. Это, с одной стороны внушает некоторый оптимизм (задача может быть решена и может быть решена эффективно, по крайней мере, средства, позволяющие это сделать, существуют, причем они сертифицированы по требованиям информационной безопасности (которые также существуют, применительно к решению данной задачи), т.е. отсутствуют формальные препятствия на пути их внедрения, существует и понимание специалистами необходимости решения этой задачи, как одной из ключевых на сегодняшний день задач защиты информации), с другой стороны, это внушает и некоторые опасения, т.к., как все сказанное имело место и год назад, но при этом какого-либо существенного изменения положения дел за год не произошло.




Читайте далее:
Ibutton интегрированы в систему защиты информации
Оптимальный вариант транспортной среды
Анализ рынка безопасности ,март 2005 года,
безопасность загородной недвижимости стоит дорого
Защита банка
7. портрет участника рынка безопасности 2007 года
Конкуренция в южнокорейском экспорте
Перспективы азиатского рынка безопасности в 2003 году
11 - 15 февраля 2008 года
18 - 24 февраля 2008 года
17 - 23 марта 2008 года
21 - 27 апреля 2008 года ,рынок безопасности,
28 - 30 апреля 2008 года ,рынок it,
01 - 04 мая 2008 года ,рынок безопасности,
05 - 11 мая 2008 года ,рынок it,