Введение
С развитием информационных технологий и компьютеризации в современном мире, вопросы безопасности информации становятся все более актуальными. Каждый день миллионы людей по всему миру обмениваются ценными данными, будь то финансовая информация, личные данные или корпоративная информация. Однако, с появлением новых технологий и возможностей, возникают и новые угрозы безопасности данных.
Системы защиты информации играют ключевую роль в обеспечении конфиденциальности, целостности и доступности данных. Их разработка и внедрение требуют комплексного подхода и рассмотрения различных этапов создания. В данной научно-исследовательской работе мы рассмотрим основные этапы создания системы защиты информации, а именно: анализ угроз и рисков, разработку политики безопасности, выбор и реализацию технических средств защиты, а также обучение персонала и контроль за эффективностью системы.
Целью данной работы является исследование и анализ основных этапов создания системы защиты информации, а также выявление ключевых аспектов, которые необходимо учесть при разработке и внедрении таких систем. Задачи данной работы таковы:
1. Изучить существующие методы и подходы к анализу угроз и рисков информационной безопасности.
2. Проанализировать основные этапы разработки политики безопасности и определить их влияние на эффективность системы защиты информации.
3. Исследовать современные технические средства защиты информации, оценить их применимость и эффективность в различных сценариях.
1. Исследование этапов создания системы защиты информации
1.1 Подходы к построению системы защиты информации
Система защиты определяется как организованная совокупность всех органов, средств, методов и мероприятий, предусматриваемых в КИС для обеспечения защиты информации от разглашения, утечки и несанкционированно доступа к ней.
В современных условиях процесса информатизации построение системы защиты должно осуществляться на следующих принципах: концептуальное единство, соответствие требованиям, адаптируемость, функциональная самостоятельность, удобство эксплуатации, минимизация привилегий, полнота контроля, активность реагирования, невидимость защиты, невозможность перехода в небезопасное состояние, невозможность миновать средства защиты, принцип равнопрочности границ, разделение обязанностей, экономичность.
В соответствии с теорией защиты информации существует два подхода к построению системы защиты: фрагментарный и системный
Фрагментарный подход направлен на противодействие четко определенным угрозам. В качестве примеров реализации подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.д.
Достоинством данного подхода является высокая избирательность к конкретной угрозе. Существенные недостатки - отсутствие единой защищенной среды обработки информации, потеря эффективности защиты при видоизменении угрозы безопасности, внешней среды, деятельности организации.
Фрагментарный подход к защите информации применяется только в узких рамках и лишь для обеспечения безопасности относительно простых КИС. В современных же условиях наиболее рациональным и правильным является использование системного подхода к защите информации.
Системный подход ориентирован на создание защищенной среды обработки информации, объединяющей в единую систему средства противодействия угрозам. Организация защищенной среды позволяет гарантировать определенный уровень безопасности КИС, что является несомненным достоинством системного подхода. Недостатки подхода — ограничение на свободу действий пользователей системы, большая чувствительность к ошибкам установки и настройки средств защиты, сложности управления. Как правило, системный подход применяют для защиты КИС крупных организаций или небольших систем, выполняющих ответственные задачи или обрабатывающих особо важную информацию.
Процесс разработки системы защиты включает в себя следующие этапы:
— аудит информационной безопасности КИС, для которой строится система защиты;
— выбор методов и средств защиты информации;
— проектирование системы защиты;
— реализация и сопровождение системы защиты.
1.2 Исследование этапов создания системы защиты информации
Современное развитие человеческой цивилизации, вступившей в XXI в., характеризуется наиболее интенсивным использованием информационных технологий во всех сферах общественной жизни. В настоящее время трудно назвать те области жизнедеятельности, успехи в которых не были бы связаны с применением таких технологий.
Использование же информационных технологий в управлении организацией, позволяют улучшить и эффективно организовать процесс документационного обеспечения управления и информационного обеспечения управления. Тем не менее, повсеместное использование информационных технологий влечет за собой и ряд проблем – появление разнообразных угроз информационной безопасности и, следовательно, необходимость создания комплексной системы защиты информации.
Сегодня наиболее распространенными и опасными угрозами информационной безопасности являются кража информации, халатность сотрудников организации, вредоносные программы, саботаж, хакерские атаки, финансовое мошенничество, спам, аппаратно-программные сбои, кража оборудования.
Исходя из перечисленных угроз, целесообразно использовать при создании системы защиты информации именно системный подход, который базируется на комплексном применении организационных, технических, законодательных и морально-этических средств защиты.
Проблема успешной реализации действий, направленных на обеспечение защиты информации возникла очень давно, однако, наиболее интенсивное развитие она получила в период массовой информатизации общества и измеряется в более чем 40 лет. В 70-ые – начало 80-ых гг. выявляются основные направления поиска, разработки и реализации средств защиты информации
Создание системы защиты информации проходит в несколько этапов:
1. проведение аудита информационной безопасности системы электронного документооборота (СЭД);
2. выбор методов и средств защиты;
3. проектирование системы защиты, ее реализация и сопровождение
системы.
Аудит информационной безопасности является первым этапом конструирования системы защиты информации. Его сущность заключается в поэтапном проведении анализа существующего информационного, программно
– аппаратного и кадрового компонента организации, выявлении уязвимостей, оценке рисков и прогнозировании их последствий.
При проведении аудита должны быть учтены и рассмотрены все составляющие – состав информационного массива, способы хранения документированной информации, ее передача, обработка, ценность, степень доступа к ней и др.
В процессе проведения аудита устанавливается степень важности информации для организации и выделяется комплекс документов, при нежелательном воздействии на который организация может понести серьезные убытки. Это может быть производственная, технологическая или финансовая документация.
Параллельно идет обследование программно-технической составляющей системы и персонала. Проводится тестирование конкретных программных продуктов на выявление слабых мест, определяется степень изношенности, соответствие нынешнему развитию программных продуктов на рынке. В кадровом вопросе дело обстоит более тонко. Необходимо назначить функциональные права групп пользователей, распределить доступ к документам. Тонкость состоит в том, что все решения в этой области нужно документировать путем включения принятых положений в локальные нормативные акты организации (должностные инструкции, договоры о неразглашении конфиденциальной информации, положения о структурном подразделении и т.д.). Это подразумевает под собой существенную переработку организационной документации и возлагает большой объем работы на службу ДОУ.
Следующий этап аудита связан с анализом угроз. Угрозы возникают из-за существования так называемых уязвимостей системы. Уязвимость – это конкретная характеристика, в определенных условиях ведущая к нежелательному изменению элементов системы. Применительно к информационным системам существует следующая классификация уязвимостей40. Уязвимости проектирования связанны с ошибками в проекте или алгоритме. Этот класс наиболее трудоемок в исправлении, так как даже при идеальном воплощении проект будет дефектен, и, следовательно, будет представлять собой уязвимость. Уязвимости реализации возникают в том случае, когда корректный с точки зрения безопасности алгоритм или проект исполняется неправильно. Эти ошибки исправляются легче, потому что объект изначально не несет в себе уязвимости. Уязвимости эксплуатации заключаются в погрешностях при конфигурировании аппаратного и программного обеспечения. Они наиболее распространены и легче всего исправляются.
На заключительном этапе проводится оценка рисков реализации угроз. В настоящий момент основой большинства ошибок при принятии решений по вопросам безопасности как раз таки является неправильная оценка рисков. При проведении оценки рисков определяется:
l перечень сил и средств защиты, необходимый для гарантии безопасности объекта;
l адекватность задействованных сил и средств защиты, расстановку приоритетов в реализации алгоритмов противодействия;
l реальную оценку возможного экономического ущерба.
Работы по проведению оценки рисков заключаются в следующем:
1. идентификация ключевых ресурсов;
2. определение важности ресурсов;
3. идентификация существующих угроз и уязвимостей;
4. создание неформальной модели нарушителя;
5. вычисление рисков, связанных с осуществлением угроз безопасности.
По результатам аудита формируют запросы и цели дальнейших этапов построения системы защиты информации.
Проведенный аудит позволит обоснованно создать следующие документы:
l Долгосрочный план развития информационной системы.
l Политика безопасности организации.
l Методология работы информационной системы организации.
l План восстановления информационной системы в чрезвычайной
ситуации.
Таким образом, можно сказать, что аудит проводят для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки системы, принятия решения, управления ею. Аудит подразумевает под собой соответствие некоему стандарту, и на данный момент таких стандартов существует великое множество. Результаты аудита влияют на принятие решений во многих сферах повседневной деятельности организации, таких как долгосрочные планы развития информационной инфраструктуры, политика в области управления службой безопасности, отдела ДОУ, кадрами в целом. Процесс аудита осуществляется поэтапно, с обязательным документированием всех этапов. Особая нагрузка ложится на службу ДОУ, которая обеспечивает закрепление результатов и решений аудита в организационно- распорядительных документах организации.
Аудит выявляет степень необходимости защиты и в результате составляется экономически обоснованный план, который предопределяет дальнейший ход действий руководства в этой области.
На втором этапе построения системы защиты информации необходимо выбрать состав методов и средств защиты информации.
При создании системы защиты информации целесообразно применять комплексный системный подход, который базируется на совместном применении организационных, технических, законодательных и морально- этических средств защиты.
Все средства защиты информации можно разделить на две группы – формальные и неформальные. К формальным относятся средства, которые выполняют свои функции формально, то есть преимущественно без участия человека. К неформальным относятся средства, основу которых составляет целенаправленная деятельность людей.
Формальные средства защиты представлены техническими средствами, которые в свою очередь состоят из физических, аппаратных, программных и криптографических средств.
Технические средства защиты информации – это средства, в которых основная защитная функция реализуется некоторым техническим устройством.
Физические средства – механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов. Физические средства выполняют следующие функции:
l внешняя защита – защита от воздействия дестабилизирующих факторов, проявляющихся за пределами основных средств объекта;
l внутренняя защита – защита от дестабилизирующих факторов, проявляющихся непосредственно в средствах обработки информации;
l опознавание – специфическая группа средств, предназначенная для опознавания людей и идентификации технических средств по различным индивидуальным характеристикам.
Физические средства включают организации режима охраны объектов, организацию пропускного режима, противопожарную защиту.
Аппаратные средства – различные электронные, электронно- механические и тому подобные устройства, встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач по защите информации. Аппаратные средства предназначены для нейтрализации технических каналов утечки информации, защиты информации от утечки, поиска закладных устройств съема информации, маскировки сигнала, содержащего конфиденциальную информацию. К аппаратным средствам можно отнести генераторы шума, уничтожители информации на магнитных носителях, электронные замки, блокираторы, устройства сигнализации о попытках несанкционированных действий пользователей.
Программные средства – специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения автоматизированных систем с целью решения задач защиты информации. К основным программным средствам относятся:
l программы идентификации и аутентификации пользователей;
l программы разграничения доступа к ресурсам;
l программы защиты информационных ресурсов от несанкционированного изменения использования и копирования;
l антивирусные программы;
l программы аудита;
l программы имитации работы с нарушителем и т.д.
Криптографические средства защиты информации служат для защиты содержания от раскрытия при помощи различных кодов и шифров.
К несомненным достоинствам технических средств защиты информации относятся широкий круг задач, достаточно высокая надежность, возможность создания развитых комплексных систем защиты, гибкое реагирование на попытки несанкционированных действий, традиционность используемых методов осуществления защитных функций.
Основными недостатками являются высокая стоимость многих средств, необходимость регулярного проведения регламентных работ и контроля, возможность подачи ложных тревог.
Неформальные средства делятся на организационные, законодательные и морально-этические средства. Организационные средства – специально предусматриваемые в технологии функционирования объекта организационно-методические мероприятия по защите информации, осуществляемые в виде целенаправленной деятельности людей
Насколько важным являются организационные мероприятия в общем арсенале средств защиты, говорит уже хотя бы тот факт, что ни одна система обработки данных не может функционировать без участия обслуживающего персонала. Кроме того, организационные мероприятия охватывают все структурные элементы системы защиты на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверка в эксплуатации аппаратуры, оргтехники, средств обработки и передачи данных.
Одним из основных организационных средств защиты информации является организация защиты персональных электронно-вычислительных машин (далее ПЭВМ), информационных систем и сетей. «Организация защиты ПЭВМ, информационных систем и сетей определяет порядок и схему функционирования основных ее подсистем, использование устройств и ресурсов, взаимоотношения пользователей между собой в соответствии с нормативными требованиями и правилами»
В организациях, использующих в своей деятельности сведения с ограниченным доступом, для проведения мероприятий по защите информации могут создаваться соответствующие службы безопасности (службы защиты информации).
К уровню организационных средств относятся действия общего характера, предпринимаемые руководством организации, относящиеся к правовым мерам. На данном уровне главное – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. «Основой программы является политика безопасности, отражающая подход организаций к защите своих информационных активов. Руководство каждой организации должно осознавать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.
Политика безопасности строится на анализе рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы, и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под нее выделяются ресурсы, назначаются ответственные и определяется порядок контроля ее выполнения».
Законодательные средства – существующие в стране нормативно- правовые акты, с помощью которых регламентируются права обязанности, связанные с обеспечением защиты информации, всех лиц и подразделений, имеющих отношение к функционированию системы защиты, а также устанавливается ответственность за нарушение правил обработки информации, следствием чего может быть нарушение защищенности информации.
В нашей стране разработаны следующие нормативно-правовые акты, регламентирующие некоторые вопросы защиты информации: Закон Российской Федерации от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации», закон Российской Федерации от 11 августа 1998 г. N 194-З
«Об авторском праве и смежных правах» (с последующими изменениями и дополнениями), закон Российской Федерации «Об электронном документе и ЭЦП», закон Российской Федерации от 6 октября 1994 г. № 3277-XII «О Национальном архивном фонде и архивах в Российской Федерации» (в редакции Закона Российской Федерации от 06.01.1999 N 236-З), Уголовный Кодекс Российской Федерации, Постановление Совета Министров Российской Федерации от 10 февраля 2000 г. № 186 «О некоторых мерах по защите информации в Российской Федерации», СТБ ГОСТ Р 50922-2000 «Защита информации. Основные термины и определения», СТБ 982-94 «Информационные технологии. Термины и определения», СТБ 1176.2-99 «Информационная технология. Защита информации. Процедура выработки и проверки электронной цифровой подписи», СТБ 1176.1-99 «Информационная технология. Защита информации. Функция хэширования».
Законы Российской Федерации по вопросам защиты информации, в основном, освящают ключевые термины и понятия, относящиеся к данной сфере, цели, объекты, субъекты защиты, их права и обязанности. Так же они регламентируют правонарушения в этой области и меры ответственности за них.
Морально-этические средства – сложившиеся в обществе или в данном коллективе моральные нормы и этические правила, соблюдение которых способствует защите информации, а нарушение приравнивается к несоблюдению правил поведения в обществе или коллективе.
Морально-этические средства предполагают, прежде всего, воспитание сотрудника, то есть проведение специальной работы, направленной на формирование у него системы определенных качеств, взглядов и убеждений, и обучение сотрудника правилам и методам защиты информации, привитие ему навыков работы с носителями секретной и конфиденциальной информации.
Абсолютная необходимость создания комплексной системы защиты информации очевидна.
Решение же проблемы создания комплексной системы защиты требует не только научно обоснованных концепций комплексной защиты, но и создания хорошего инструментария в виде разнообразных средств обеспечения защиты информации.
Система защиты информации является по определению «человеко- машинной» системой и работник в ней является не только основным звеном, но и потенциальной угрозой, так как чаще несанкционированный доступ и утечка информации обусловлены злоумышленными действиями или же небрежностью пользователей и персонала. Эти факторы практически невозможно исключить или локализовать при помощи аппаратных и программных средств, криптографии и физической защиты. Поэтому совокупность организационных средств, применяемых совместно с техническими методами, ставят перед собой цель исключить, уменьшить или полностью устранить потери при действии различных нарушающих факторов.
Третий этап построения системы защиты информации проводится на основе результатов первых двух: при процессе аудита информационной безопасности анализируются риски и формируются требования к системе защиты информации, на основе аудита определяется оптимальный набор методов и средств защиты информации.
Выбранные методы и средства при проектировании трансформируются в систему защиты информации – совокупность механизмов обеспечения информационной безопасности и механизма управления ими. При этом разрабатывается техническое решение и графическое представление в виде соответствующей модели.
Проектирование системы защиты информации лучше всего проводить параллельно с проектирование автоматизированной системы документационного обеспечения управления. В процессе проектирования должны принимать участие не только узкоспециализированные технические работники, но и работники, занимающиеся общими вопросами организации делопроизводства и документооборота (сотрудники службы ДОУ, архивные работники, секретари-референты).
Для повышения эффективности защиты выделяются общеметодологические принципы проектирования системы защиты:
1. концептуальное единство;
2. соответствие выдвинутым требованиям ;
3. невидимость защиты;
4. функциональная самостоятельность;
5. удобство эксплуатации;
6. минимизация привилегий;
7. полнота контроля;
8. невозможность перехода в небезопасное состояние;
9. невозможность миновать средства защиты;
10. экономичность.
При реализации системы защиты информации проводится настройка средств защиты. Реализация осуществляется в соответствии с планом внедрения, который утверждается руководителем организации и содержит сведения о сроках внедрения и ответственных лицах. Планирование связано не только с наилучшим использование всех возможностей, которыми располагает организации, в том числе выделенных ресурсов, но и с предотвращением ошибочных действий, могущих привести к снижению эффективности системы защиты информации.
Сопровождение системы защиты информации заключается в контроле использования средств защиты, сборе и анализе информации, относящейся к вопросам защиты, мониторинге происходящих событий, анализе защищенности информации, разработке предложений по корректировке системы защиты. Из этого следует, что, когда система построена и реализована, необходимо убедиться, что остаточные риски стали приемлемыми. Проверка системы защиты называется «тестированием на проникновение», ее цель – предоставление гарантий того, что не существует простых путей для неавторизованного пользователя обойти механизмы защиты.
Для организации контроля функционирования системы необходимо разработать план проведения план контрольных мероприятий, содержащий сведения о времени, периодичности, полноте контроля, количестве контролируемых элементов.
При внедрении и функционировании системы защиты информации необходима особо тщательная организация текущей работы с персоналом, включающая периодические мероприятия по повышению уровня грамотности сотрудников в области защиты информации, проведения семинаров и тренингов.
Особое внимание необходимо уделить методическому, нормативному и документационному обеспечению работ по защите информации.
Абсолютная необходимость создания комплексной системы защиты информации очевидна.
Решение же проблемы создания комплексной системы защиты требует не только научно обоснованных концепций комплексной защиты, но и создания хорошего инструментария в виде разнообразных средств обеспечения защиты информации.
Система защиты информации является по определению «человеко- машинной» системой и работник в ней является не только основным звеном, но и потенциальной угрозой, так как чаще несанкционированный доступ и утечка информации обусловлены злоумышленными действиями или же небрежностью пользователей и персонала. Эти факторы практически невозможно исключить или локализовать при помощи аппаратных и программных средств, криптографии и физической защиты. Поэтому совокупность организационных средств, применяемых совместно с техническими методами, ставят перед собой цель исключить, уменьшить или полностью устранить потери при действии различных нарушающих факторов.
Система защиты информации создается непосредственно для организации, исходя из ее специфики и предъявляемых требований по обеспечению информационной безопасности. Следовательно, организация должна предпринимать в дальнейшем меры по развитию менеджмента информационной безопасности.
1.3 Анализ отечественного рынка средств защиты информации
Русский рынок средств защиты в области информационной безопасности можно называть еще только формирующимся. Причем формирование это пока далеко от завершения.
На сегодняшний день на рынке России распространены программные средства защиты десятка компаний. Но многие из них, несмотря на требование законодательства, являются несертифицированными.
Порядок сертификации средств защиты информации также не совершенен. Можно взять из профиля защиты (стандарт безопасности) произвольно какие-либо функции безопасности и сертифицировать на их наличие. Т.е. можно сертифицировать многофункциональное устройство на какую-либо малозначительную функцию – и все, его можно поставлять, как якобы полноценное средство защиты. Законодательство обуславливает в качестве необходимого условия поставки средств защиты лишь наличие сертификата или положительного экспертного заключения, но вовсе не требует соответствия защитных функций поставляемого средств защиты реальным угрозам безопасности, как должно быть на самом деле.
За основу анализа средств защиты информации возьмем решения компаний, прошедших сертификацию в Оперативно-аналитическом центре при Президенте Российской Федерации.
RUSCrypt — аппаратно-программное средство криптографической защиты информации, решение от ЗАО «РусХард Групп» (http://www.rushard.com).
RUSCrypt выполнено на основе многофункциональной микропроцессорной карте (ММК) и имеет несколько исполнений:
l в виде смарт-карты с контактным интерфейсом;
l в виде смарт-карты с бесконтактным (радио) интерфейсом;
l в виде USB ключа с SIM модулем.
ВНМCrypt32v2 — программное средство криптографической защиты информации. Весьма будет полезна банковским организациям.
RUSIPSEC — средство криптографической защиты сетевого протокола IP. Автоматически обеспечивает защиту всех протоколов лежащих на более высоком уровне: ТСР, FTP, TFTP, X.400, НТРР, Telnet, SMTP, SNMP, NFS, FTAM, и д.р.
RUSCrypt, ВНМCrypt32v2, RUSIPSEC реализуют функции криптографической защиты информации в соответствии со стандартами Российской Федерации:
l шифрование данных IP пакетов по алгоритму ГОСТ 28147-89;
l ЭЦП в соответствие с СТБ 1176.2-99;
l функцию хэширования в соответствии с СТБ 1176.1-99;
l процедуру выработки псевдослучайных данных в соответствии с РД РБ 07040.1202-2003 «Банковские технологии. Процедуры выработки псевдослучайных данных с использованием секретного параметра».
l протокол формирования общего ключа шифрования в соответствии с алгоритмом, определенным в проекте руководящего документа Российской Федерации РД РБ «Банковские технологии. Протоколы формирования общего ключа».
Многофункциональная микропроцессорная карта (ММК) с реализацией средств цифровой подписи и шифрования в соответствии со стандартами Российской Федерации и международными стандартами.
Система безопасности ММК обеспечивает защиту от несанкционированного доступа, достоверность данных и безопасную передачу сообщений.
Основные функции, выполняемые системой безопасности:
l разграничение прав доступа к данным карты;
l обеспечение конфиденциальности данных;
l обеспечение целостности и достоверности данных;
l подтверждение подлинности данных;
l гибкая система управления ключами.
Программные решения от ГНПО "Агат" (http://www.agat.ru)
Программа контроля целостности «ПКЦЛ» предназначена для реализации контроля целостности файлов программного обеспечения и данных, хранящихся на ПЭВМ, и доведения до администратора защиты сообщений о результатах работы программы. Контроль осуществляется путем сравнения актуального состояния файлов ПО с контрольными данными (эталонами), которые формируются при установке программы, а также по команде администратора.
Программа «ПКЦЛ» работает совместно с программой расчета значения хэш-функции файла «ХЭШ».
Программа «ХЭШ» предназначена для расчета значения хэш-функции файла. Расчет хэш-функции файлов производится по СТБ 1176.1-99.
Программа «ХЭШ» выполняет следующие функции:
– производит расчет хэш значения файлов;
– выводит результат расчета в командную строку.
Среди разработок компаниии ряд комплексных решений по обеспечению защиты информации. Вызывает интерес Комплекс программ защиты информации автоматизированного рабочего места администратора защиты (КП ЗИ АРМ АЗ). Он предназначен для реализации функций администрирования программных средств защиты на АРМ пользователей и серверах автоматизированной системы, а также настройки, контроля и поддержания в актуальном состоянии программных средств защиты и параметров групповых политик безопасности.
КП ЗИ АРМ АЗ обеспечивает выполнение следующих функций:
- управление контролем целостности программного обеспечения, установленного на ПЭВМ;
- управление опознанием;
- управление доступом;
- управление контролем доступа;
- управление аудитом.
КП ЗИ АРМ АЗ состоит из следующих программ:
- программа "Администратор ЗИ" ЕИРВ.50644-01;
- программа "ПКЦ" ЕИРВ.50607-01;
- программа "ПГН" ЕИРВ.50643-01;
- программа "Сбор НСД".
Кроме самого программного обеспечения, ГНПО "Агат" оказывает услуги в области защиты информации. Предприятие осуществляет следующие виды работ:
- разработка концепций защиты информации корпоративных локальных и распределенных систем обработки информации;
- разработка технических заданий на создание систем защиты информации по СТБ 34.101.9-2004;
- разработка программных средств защиты информации, в т.ч. средств контроля и управления доступом, аудита безопасности, генерации, оценки качества и назначения паролей, проверки целостности данных и ПО;
- разработка протоколов защищенного информационного взаимодействия объектов автоматизированных информационных систем;
- интеграция в информационные системы типовых проектных решений в области защиты информации.
ЗАО «АВЕСТ» завоевала долю рынка с помощью нескольких решений:
1. Криптопровайдер AVEST CSP - расширение криптографического ядра системы Microsoft Windows (разработанное в соответствии со спецификацией Microsoft Crypto API), которое позволяет использовать криптографические алгоритмы сертифицированные Государственным Центром Безопасности Информации при Президенте Российской Федерации (ГЦБИ) всем приложениям Microsoft Windows. В марте 2004 года завершена сертификация криптопровайдера AVEST CSP на соответствие национальному стандарту СТБ, что позволяет использовать его в соответствии с Законом РБ "Об электронном документе" для оформления любых юридических и хозяйственных действий в Российской Федерации электронным способом. В настоящее время криптопровайдер AVEST CSP – единственный криптопровайдер в Российской Федерации.
2. Набор программного обеспечения для организации инфраструктуры открытых ключей (PKI) – Центр цифровых сертификатов, Центр регистрации, Персональный менеджер сертификатов.
В настоящее время деятельность предприятия ведется по следующим основным направлениям:
1. Усовершенствование и разработка новых программных решений для организации инфрастуктуры открытых ключей для защиты документооборота в крупных корпорациях, а также по другим направлениям криптографической защиты информации (защита сетевого трафика и др.).
2. Сотрудничество с разработчиками офисного ПО (систем электронного документооборота, электронного архива, систем клиент-банк, и.т.д.) на предмет тестирования работы этих приложений с криптоядром AVEST CSP;
3. Сотрудничество с государственными органами в области разработки нормативно-правовой базы регулирующей защиту информации в электронном документооброте в Российской Федерации.
Итак, основные разработки ЗАО «АВЕСТ», прошедшие сертификацию:
l программное обеспечение программно-аппаратной платформы республиканского удостоверяющего центра инфраструктуры открытых ключей. Программа автоматической обработки запросов к удостоверяющему центру. AvCAServer.exe;
l программное средство криптографической защиты информации «Криптопровайдер Avest CSP for RUSSSF»;
l программный комплекс «Автоматизированное рабочее место плательщика» ;
l программный комплекс «Сервер TLS АВЕСТ»;
l программный комплекс «АВЕСТ TLS tunnel»;
l программный комплекс «Определение статуса цифровых сертификатов Avest Revocation Provider»;
l программное средство электронной цифровой подписи и шифрования «AvCrypt ver.5.0».
Все продукты ЗАО "АВЕСТ" реализуются на основе лицензий, дающих право пользователю на использование данного продукта в рамках условий, определеных в лицензионном договоре.
Для примера приведем цену программного средства "Криптопровайдер Avest CSP" (AvCSP) , включающий сертифицированное программное средство ЭЦП и шифрования "AvCrypt ver.5.0". и программного комплекса "Персональный менеджер сертификатов АВЕСТ" (AvPCM).
Цена колеблется в зависимости от количества приобретаемого продукта и срока действия лицензии. Так стоимость 1-10 продуктов сроком лицензии на 1 год составит всего 17 y.e. Приобретая более 500 лицензий на 10 лет достаточно потратить 26 y.e. Совсем недорого для большой организации.
А вот программное обеспечение для организации инфраструктуры открытых ключей обойдется в сотни раз дороже (цены в USD).
Программный комплекс "Центр цифровых сертификатов АВЕСТ" - лицензия на организацию корневого и одного подчиненного Удостоверяющего центра составляет 9300.
Программный комплекс "Центр цифровых сертификатов АВЕСТ" - лицензия на организацию одного дополнительного подчиненного Удостоверяющего центра составляет 2500.
Программный комплекс "Центр регистрации АВЕСТ" (AvRA) - первая лицензия составит 1500.
ЗАО “НПП РУССОФТ” (www.russoft.ru) предлагает услуги по оценке защищенности ИТ-инфраструктуры, обеспечению безопасности корпоративных сетей и непрерывности бизнеса, а также проведению аудита информационной безопасности.
Среди последних программных продуктов компании – решение IP-guard. IP-guard позволяет управлять внутренними и внешними угрозами, минимизируя риски утечки информации и блокируя внешние атаки.
IP-guard управляет инсайдерскими угрозами
Программа позволяет анализировать, контролировать и управлять доступом сотрудников и партнеров к информационным активам компании и интеллектуальной собственности. С помощью IP-guard осуществляется контроль над тем, какие данные доступны для работы, какие данные запрашиваются и когда. Также с помощью данного продукта можно быстро и легко внедрить принципы "разделения обязанностей" и "наименьшего уровня привилегий", предусматривающие доступ сотрудников только к необходимым ресурсам для выполнения их работы.
IP-guard как способ управления внешними угрозами
В IP-guard есть возможность обнаружения вторжений и расширенного контроля сети для минимизации внешних угроз. При помощи различных модулей, администратор видит любое неадекватное поведение в сети, которое может означать угрозу. Также встроенные модули программы позволяют блокировать незаконный доступ неавторизованных компьютеров и портов.
Еще один участник рынка средств защиты – ООО «Солидекс» (http://www.solidex.ru). Это консалтинговая компания, которая фокусируется на трех направлениях:
l создание и развитие сетей передачи данных и центров обработки данных как для предприятий, так и для операторов связи;
l защита информационных ресурсов;
l создание и развитие коммуникационных систем — телефонных систем, базирующихся на принципах пакетной коммутации; систем видеоконференцсвязи; центров обработки вызовов.
Среди сертифицированных средств защиты информации наиболее успешными являются:
l Многофункциональное устройство защиты информации «FortiMail - 100» с программным обеспечением версии 3.0;
l Многофункциональное устройство защиты информации «FortiMail - 400» с программным обеспечением версии 3.0.
Компания «С-Терра Рус» (http://www.s-terra.ru) специализируется на разработке продукции в сфере сетевой информационной безопасности, содержащей встроенные средства криптографической защиты информации, сертифицированные в Российской Федерации.
Продукция RUS VPN предназначена для защиты межсетевого взаимодействия и удаленного доступа в ведомственных (корпоративных) географически распределенных IP-сетях, банковских платежных системах, IP- телефонии, видеоконференциях. Продукты RUS VPN содержат встроенные средства криптографической защиты информации, сертифицированные в Российской Федерации и работают как под управлением Unix-систем (Solaris, Linux), так и под управлением ОС семейства Windows (Windows XP, Windows Vista).
Основной продукт компании – «Шлюз безопасности RUS VPN Gate» полностью встроен в систему централизованного управления Cisco Security Manager 3.2 (CSM).
Преимущества:
1. Технологичность и универсальность.
2. Достигается многообразием используемых сетевых решений Cisco Systems и глубокой интеграцией с ними продуктов RUS VPN.
3. Сертифицированная криптография.
4. Трафик защищен российскими криптоалгоритмами, в основе которых лежат следующие стандарты: СТБ 1176.1-99, СТБ 1176.2-99, СТБ П 34.101.31-2007, РД РБ 07040.1202-2003.
5. Уникальность.
Программный комплекс «Шлюз безопасности RUS VPN Gate 3.0» c лицензией на неограниченное количество туннелей шифрования (RUS VPN Gate 7000) стоит примерно 15 млн. руб, плюс еще услуги по установке экземпляра ПО обойдутся в 370 тыс. руб, годовая подписка на сервис составляет около 1,6 млн. руб.
OOO «Хедтекнолоджи Рус» (www.headtechnology.ru) успешно закрепилась на рынке как эксклюзивный поставщик продуктов по информационной безопасности от ведущих мировых разработчиков: Lumension, F5, Astaro, Aventail, Clavister, IronPort, Insightix и других.
Акцент компании сделан на защите информации в сети Интернет. Компания предлагает:
• фильтрацию электронной почты, анти-СПАМ
• фильтрацию WEB-трафика
• защиту WEB-приложений.
Наиболее популярное решение компании – программа «Blue Coat».
Продукт обеспечиваеи наивысшей степени безопасность при защите пользователей Web и Web-ориентированных приложений (фильтр нежелательного Web-контента, сканирование и блокировку шпионского ПО и вирусов, а также распознавание вредоносного контента внутри зашифрованных SSL-туннелей). Более того, Blue Coat поддерживает все известные системы аутентификации, что помогает предотвратить какие-либо попытки неавторизованного доступа к важной корпоративной информации с использованием Web. Как результат – все внутренние и внешние угрозы, имеющее отношение к Web – минимизированы.
Несмотря на все достоинства представляется, что программа еще не одаптирована под русские реалии. Так устройства Blue Coat работают под управлением операционной системы SGOS – облегченной специализированной операционной системы. Хотя данное средство сертифицировано в России.
Широкий спектр аппаратных решений предлагает ОАО
«ЭНИГМА»(www.enigma.ru). Наиболее популярный среди них – аппаратный продукт CryptoKey 2001. Его назначение: генерация и хранение ключей криптозащиты, выполнение криптографических функций - ЭЦП, хеширование, шифрование, протоколы формирования общего ключа, защита от несанкционированного доступа к персональному компьютеру.
Сфера применения: системы электронного документооборота, включая "Банк-Клиент".
Перечень криптофункций, выполняемых на процессоре устройства.
l хеширование по СТБ1176.1-99;
l выработка подписи по СТБ 1176.2-99;
l проверка подписи по СТБ1176.2-99;
l выработка общего ключа для зашифрования (односторонний протокол схемы ОРК);
l выработка общего ключа для расшифрования (односторонний протокол схемы ОРК).
Аналогичное аппаратное обеспечение предлагает компания «РусТим», определяющая основынм направлением деятельности создание комплексных систем безопасности и защиты информации. Так компания предлагает Электронный ключ Guardant Sign, скоростной USB-ключ с асимметричной криптографией, аппаратной реализацией AES и возможностью работы без драйверов.
Выбор модели ключа будет зависеть от лицензионной политики разработчика и особенностей защищаемого программного продукта:
Для защиты тиражного программного обеспечения, лицензируемого по классическим схемам, рекомендуется использовать локальный ключ Guardant Sign, либо его сетевой аналог — Guardant Sign Net.
Для защиты программного обеспечения, лицензируемого по времени использования, применяется Guardant Time. Для сетевого программного обеспечения следует использовать Guardant Time Net.
Для защиты особенно ценного программного обеспечения, распространяемого единичными копиями, эффективнее использовать технологию Загружаемый код, реализованную в электронном ключе Guardant Code и его модификации с часами реального времени — Guardant Code Time.
Рынок средств защиты в области информационной безопасности в России можно называть еще только формирующимся. Функционируют десятки организаций, в основном начинающих, еще не укрепившихся на рынке средств защиты. Еще только идет борьба за клиентов в сфере предоставления услуг по защите информации. Тем не менее, программно-аппаратные решения во многом носят идентичный характер, а в условиях жесткой конкуренции рационально было бы предлагать альтернативу.
Среди компаний, которые были исследованы, вызывают интерес такие организации как OOO «Хедтекнолоджи Рус», ЗАО «Авест» и их решения:
Криптопровайдер AVEST CSP – аппаратно-программное средство выработки и проверки ЭЦП, а также криптографической защиты информации;
Программа «Blue Coat», которая обеспечивает фильтрацию электронной почты, анти-СПАМ; фильтрацию WEB-трафика; защиту WEB-приложений.
Заключение
Исходя из проведенного исследования, можно сделать вывод, что создание и поддержка системы защиты информации является неотъемлемой частью работы любой организации в современном информационном обществе. Правильно разработанная и внедренная система защиты информации позволяет минимизировать риски и обеспечить безопасность информационных активов организации. Однако, учитывая динамику развития информационных технологий и постоянно возникающие угрозы, необходимо постоянно совершенствовать системы защиты и быть внимательными к новым тенденциям и инновационным подходам в области информационной безопасности.
Список литературы
1. Ярочкин В.И. Информационная безопасность: учебник/ В.И. Ярочкин. – М.: Академический проект, 2008. – 544 с.
2. Мельников В.П. Информационная безопасность и защита информации: учеб. пособие/ В.П. Мельников, С.А. Клейменов, Н.М. Петраков. – М.: Академия, 2008. – 336 с.
3. Креопалов В.В. Технические средства и методы защиты информации: учебно-практическое пособие/ В.В. Креопалов. – М.:Евразийский открытый институт, 2011. – 278 с. – URL: http://biblioclub.ru/books/element.php?pl1_cid=25&pl1 _id=90753
4. Методы и средства инженерно-технической защиты информации: учебное пособие/ В.И. Аверченков, М.Ю. Рытов, А.В. Кувыклин, Т.Р. Гайнулин. – 2-е изд., стер. – М.: Флинта, 2011. – 187с. http://biblioclub.ru/books/element.php?pl1_cid=25&pl1 _id=93275
5. Титов А.А. Инженерно-техническая защита информации: учебное пособие/А.А.Титов. - Томск: Томский государственный университет, 2010 г. – 195 с. http://biblioclub.ru/books/element.php?pl1_cid=25&pl1 _id=208661
6. Приходько А. Я. Информационная безопасность в событиях и фактах / А. Я. Приходько – М.: СИНТЕГ, 2001. – С. 187-193.
7. Конявский, В.А Развитие средств технической защиты информации / В. А. Конявский // Комплексная защита информации. Сборник материалов XII Международной конференции (13-16 мая 2008 г., Ярославль (Россия)). М., 2008. С. 109-113.)
8. Зегжда Д. П. Основы безопасности информационных систем / Д. П.
9. Пярин В. А. Безопасность электронного бизнеса / В. А. Пярин, А. С.Кузьмин, С. Н. Смирнов – М.: Гелиос-АРВ, 2002. – С. 197-218
10. Малюк, А.А. Зарубежный опыт формирования в обществе культуры информационной безопасности / А.А Малюк, О.Ю Полянская// Безопасность информационных технологий. – 2016. – № 4. – С. 25-37.