Меры защиты информации в информационных системах

Информационная безопасность БЕЗОПАСНОСТЬ

Ранее в одной из своих статей мы рассмотрели основные источники утечек информации и способы их предотвращения. Эта статья расскажет какие существуют меры защиты информации в информационных системах согласно требованиям ФСТЭК должны обеспечивать необходимый уровень безопасности при взаимодействии защищаемых ИС с другими ИС, при обработке и хранении информации. При этом предлагаемые на этапе проектирования меры должны быть реализуемы в конкретной ИС.

Методы и средства технической защиты информации подбираются с учетом структуры СЗИ, состава и мест размещения ее элементов. Если защищаемая ИС проектируется в составе центра обработки данных (ЦОД) рекомендуется использовать уже имеющиеся в ЦОД средства, меры защиты данных.

Нюансы при выстраивании защиты в государственных информационных системах (ГИС)

  1. К работе допускаются только компании, имеющие лицензию на деятельность по технической защите конфиденциальной информации;
  2. Требования по охране данных и информации базируются на ряде ГОСТов.
  3. Структурирование классов защиты информации для государственных учреждений – жесткое (всего три класса из семи возможных, используемых в работе частных операторов персональных данных).
  4. Модели угроз основываются на документах и баз ФСТЭК.

Что предотвращают организационные мероприятия при защите информации

  • доступ, хищение и распространение закрытых данных;
  • уничтожение/изменение целостности данных;
  • препятствие получению информации, нарушающее права пользователей.
  • Важное значение имеет разработка пакета организационных и распорядительных документов для:
  • регламентации процесса безопасности хранения данных;
  • порядка выявления инцидентов безопасности;
  • регламентации управления конфигурированием информационных систем по защите данных;
  • установления методов мониторинга информсистем.

Существует регламентация разработки систем и введения их в эксплуатацию, разграничения уровней доступности, проведения проверок и анализ реакций, ответственных за организацию защиты специалистов. Лишь после проведения совокупности мероприятий информационная система аттестуется, вводясь в эксплуатацию.

Доступность: цели и метрики

Информационные технологии обеспечивают необходимый уровень доступности автоматизированных систем
управления производством. Высокая доступность является стратегической необходимостью для многих задач автоматизации. Но не все задачи имеют одинаковый приоритет, поэтому важно отметить различие преимуществ и стандартов высокой доступности.

  1. Высокая доступность (High Availability,HA) означает, что приложения остаются доступными в течение очень значительной части общего времени работы и способны быстро восстанавливаться после локализованных сбоев. Пользователи видят короткое прерывание работы или в некоторых случаях вообще не замечают этого.
  2. Постоянная доступность (Fault Tolerance) – это наивысший уровень доступности и означает непрерывную доступность сервисов, невзирая на ошибки приложения и сбои оборудования. Постоянная доступность (устойчивость к отказам) не допускает простоев и связанных с ними потерь данных и транзакций.
  3. Аварийное восстановление (Disaster Recovery) – восстановление ИТ-системы после региональных катастроф, таких как перебои электропитания, наводнения, землетрясения и другие катаклизмы

Технические меры защиты обязывают госструктуры использовать сертифицированные средства, соответствующие классу защиты с функциями:

  • идентификации, аутентификации;
  • управления доступом к данным с возможностью контроля;
  • ограничений по использованию программ;
  • защиты всех информационных носителей;
  • ведение регистрационного учета инцидентов в сфере безопасности;
  • отслеживания вторжений извне;
  • обеспечения целостности находящейся на хранении и обрабатываемой информации;
  • защиты в облачной среде.
Методы, средства и технологии защиты информации в интернете

Для частных компаний это допустимо с более урезанным функционалом, используемым при обработке массива персональных данных.

  • Во-первых, внутренние носители информации компьютеров, серверов и ноутбуков должны быть зашифрованы с использованием встроенных средств криптографической защиты операционной системы (для Windows это Bitlocker, для MacOS – FileVault). Также возможно использование сторонних программных продуктов для полнодискового шифрования (к примеру, Kasperskiy, PGP, VeraCrypt и др.). Дополнительно папки с документами, содержащими коммерческую тайну и конфиденциальную информацию, рекомендуется хранить в виде криптоконтейнеров, созданных с использованием криптографического ПО (например, VeraCrypt), что также снизит вероятность несанкционированного доступа.
  • Во-вторых, внешние носители (флешки, внешние жесткие диски, оптические диски и др.) также могут быть защищены стойким шифрованием. В целях защиты информации рекомендуем использовать носители со встроенными аппаратными средствами криптографической защиты (например, флеш-карты KingstonDataTraveler SE9, KingstonDataTraveler® VaultPrivacy, KingstonDataTraveler® 4000G2). При отсутствии защищенного носителя информация, составляющая коммерческую тайну или персональные данные, может храниться в форме криптографического контейнера.
  • В-третьих, в настройках мобильных устройств должно быть активировано шифрование содержимого памяти.
  • В-четвертых, в облачных хранилищах информацию целесообразно хранить в зашифрованном виде или в виде криптоконтейнеров. Для удаленного безопасного хранения конфиденциальной информации можно, например, использовать такие сервисы, как MicrosoftOneDrive, GoogleDrive, Dropbox, Tresorit, Mega. При этом важно соблюдать нормы законодательства о необходимости хранения на территории РФ определенных данных. В случае невозможности использования специализированного ПО для криптографической защиты информации можно архивировать документы в RAR или 7Zip с применением надежного пароля (более 16 символов, включая спецсимволы, цифры и заглавные буквы). Если использование архиваторов также невозможно, файлы могут быть защищены путем встроенных средств защиты MS Office и Adobe PDF, однако их «устойчивость» к возможности несанкционированного доступа значительно меньше.
  • В-пятых, каждое мобильное устройство, компьютер и сервис (электронная почта, облачное хранилище, мессенджер) должны быть защищены надежным уникальным паролем: более 12 символов, включая спецсимволы, цифры, строчные и заглавные буквы. Если сервис позволяет использовать двухфакторную аутентификацию, такая функция безопасности должна быть активирована и настроена. Рекомендуем использовать специальные приложения для генерации одноразовых паролей (например, GoogleAuthenticator) или аппаратные «токены». Получение паролей по sms или в распечатанном виде снижает уровень безопасности.
  • В-шестых, для безопасного хранения паролей следует использовать защищенные менеджеры паролей (например, 1Password, KeePass и др.).
  • В-седьмых, для защиты от компьютерных вирусов и кибератак необходимы постоянное функционирование антивирусных средств защиты и блокировка сетевых соединений с помощью «фаервола», а также использование VPN-сервисов при работе в незащищенных или публичных сетях (кафе, мобильный Интернет, аэропорт, домашняя сеть и др.

Наконец, должна соблюдаться «гигиена» при работе с электронной почтой и устройствами – следует всегда проверять отправителя и получателя сообщений (адреса электронной почты, заголовки писем); не открывать вложения и ссылки, полученные из сомнительных источников или в достоверности которых нет уверенности; не следует использовать чужие (небезопасные) устройства для доступа к конфиденциальной информации, а также подключать свои мобильные устройства к чужим зарядным устройствам и внешним аккумуляторам (они могут оказаться закамуфлированными средствами «скачивания» информации).

В части электронных коммуникаций также существуют несколько правил цифровой безопасности, которые рекомендуется соблюдать:

  • информация, содержащая коммерческую тайну и другую конфиденциальную инфйормацию, по любым цифровым каналам связи должна передаваться в зашифрованном виде. Для пересылки файлов рекомендуется их размещение в зашифрованном виде в файловом хранилище (в виде зашифрованного архива или криптоконтейнера) с последующей отправкой ссылки на доступ к файлу через электронную почту или мессенджер. Ссылка должна быть защищена паролем и иметь ограниченный срок действия (в качестве файлового хранилища можно использовать, например, MicrosoftOneDrive, GoogleDrive, Dropbox, Tresorit, Mega и другие);
  • для переписки по конфиденциальным вопросам рекомендуем использовать мессенджеры, в которых реализовано сквозное шифрование от устройства к устройству и активируется автоматическое удаление сообщений по времени: секретные чаты Telegram, Signal, Wickr. Также под каждый проект целесообразно заводить новые уникальные учетные записи;
  • для звонков по конфиденциальным вопросам рекомендуем использовать мессенджеры, применяющие сквозное шифрование (Telegram, Signal, Wickr);
  • в качестве сервисов для электронной переписки желательно использовать корпоративные почтовые ящики либо иные известные высоким уровнем безопасности почтовые сервисы, защищенные двухфакторной аутентификацией для доступа. При этом вся конфиденциальная информация должна пересылаться в зашифрованном виде посредством ссылок на внешние облачные хранилища;
  • ссылки на конфиденциальные файлы и пароли должны передаваться по разным каналам связи (например, электронная почта и мессенджер Signal или секретный чат в мессенджере Telegram и звонок через мессенджер Signal).

Приведенные рекомендации по защите информации, на первый взгляд, кажутся сложными. Однако в действительности многое из этого требует не столько специальных познаний, сколько дисциплины и внимательности человека.

Оцените статью