27.08.2008

Применение систем шифрования для защиты конфиденциальной информации, хранящейся на серверах

Максим Скида, Т-Comm №3

Идущая семимильными шагами информатизация процессов государственного управления в рамках приоритетной национальной программы "Электронная Россия" ставит перед IT-сообществом новые и подчас нетривиальные задачи. Внедрение автоматизированных информационных технологий – это трудоёмкий процесс, в котором особое место занимает задача защиты информационных ресурсов от несанкционированного доступа и утечки. Интересы государства, бизнеса и населения нередко находятся в прямой зависимости от того насколько надёжны системы обеспечения информационной безопасности. При этом постоянно мелькающие сообщения в СМИ о новых утечках конфиденциальной информации, рекламные письма с предложениями о покупке различных баз данных и постоянно обновляемые рыночные лотки с дисками, содержащими всевозможные сведения о россиянах и гражданах ближнего зарубежья, заставляют задуматься о том как именно защищена такого рода информация и почему этой защиты может быть недостаточно…

Недавняя громкая утечка базы персональных данных1 жителей России и стран СНГ, попавшая в свободный доступ в сеть Интернет – всего лишь один пример недостаточности применяемых мер по защите информации в местах сбора и обработки персональных сведений граждан. 21 марта 2008 г. в интернете появился сайт www.radarix.com с базой данных об очень многих жителях России и стран СНГ. В ней содержатся имена, паспортные данные, адреса прописки людей и информация из налоговой инспекции. Кроме того, в открытом доступе оказались данные ГАИ, сведения о недвижимости в собственности и прочее.

Рост электронного документооборота также ставит новые задачи по обеспечению защиты циркулирующих внутри организаций и между ними электронных документов. Задача сохранения целостности конфиденциальности данных, не в ущерб доступности для тех, кто по долгу службы имеет право ими пользоваться, актуальна, прежде всего, для электронных архивов и центров обработки данных (ЦОД). При этом не менее остро стоит проблема обновления компьютерного парка – утилизация и надежное уничтожение данных на носителях, снимаемых с эксплуатации, защита данных, хранящихся в резервных хранилищах.

Согласно исследованию компании Symantec, выпущенном 9 апреля 2008 года (XIII том Отчета об угрозах интернет-безопасности Internet Security Threat Report - ISTR) на американском рынке:

  • Кража или утеря компьютера или другого устройства стала причиной 57% всех случаев утечки информации во втором полугодии 2007 г. и 46% — в первом полугодии.
  • Государственное управление стало сектором, в котором происходит больше всего утечек персональных данных — 60% от их общего числа, против 12% за предыдущий отчетный период2.

Однако не только в Америке ситуация столь неутешительна. Так, по результатам исследования МВД Германии, стало известно, что из государственных учреждений страны за последние три года пропало около 500 компьютеров с конфиденциальными данными3. В России проблема утечки конфиденциальной информации и персональных данных стоит не менее остро. И первый важнейший шаг для борьбы с ней в нашей стране был сделан в июле 2006 года – именно тогда был принят Федеральный закон №153-ФЗ "О персональных данных". В принципе, вступления в силу данного закона казалось бы уже достаточно для того, чтобы более внимательно отнестись к существующей ситуации. Но российские компании в силу не иначе как ментальных причин предпочли дождаться принятия технических требований ФСТЭК по защите персональных данных, с которыми эта структура по каким-то причинам не спешит. В то же время практика использования информационных технологий требует решения задачи защиты конфиденциальной информации (в том числе и персональных данных) от утечки и неавторизованного доступа уже сегодня, вне всякой зависимости от указаний свыше. Ведь предупредить подобные инциденты превентивными мерами значительно проще, чем бороться с их последствиями.

Понятно, что как бы ни была сильна технологическая оборона, для решения проблем утечки данных необходим комплексный подход, включающий и организационные, и технические меры. Первый шаг по организации защиты данных уже сделан (принят "Закон о персональных данных"). Следующий шаг – появление руководящих документов, содержащих технические требования по исполнению ФЗ о персональных данных  – ожидается в ближайшее время. На основании этих нормативных документов организации смогут создать внутренние регламенты по ИБ, после чего встанет вопрос о выборе технических решений по защите информации. Однако независимо от пока ещё не обнародованных требований и рекомендаций, на рынке уже давно представлены продукты и решения самых различных разработчиков, способные обеспечить надёжную защиту данных. Рассмотрим этот вопрос подробнее.

Для успешной борьбы с угрозой компрометации персональных данных, ничего лучше, чем криптографическая защита, пока ещё не придумано. Шифрование данных широко и с успехом применяется во всем мире уже много лет. Проверенный временем метод криптозащиты информации не теряет своей актуальности в наши дни и по-прежнему позволяет предотвратить несанкционированный доступ к информации и её утечку, даже в случае утери носителей информации.

У классических методов шифрования есть свои сложности в применении. Однако их можно преодолеть с помощью современных вычислительных систем и информационных технологий:

  • долгое время процессов криптографических преобразований

В современных системах операции шифрования выполняются "на лету", практически незаметно для пользователя. Мощности процессоров вполне хватает для зашифрования и расшифрования больших объемов информации с использованием надежных симметричных криптоаглоритмов с длиной ключа 256 бит и более.

  • генерация надежных ключей шифрования

Используются аппаратные источники случайных последовательностей (ДСЧ), исключающих слабость программных генераторов случайных чисел и "человеческий фактор" при генерации ключей шифрования.

  • надежное хранение секретных ключей

Ключи шифрования хранятся в специальных аппаратных устройствах (смарт-картах и т.п.), защищенных от извлечения информации и автоматически уничтожающих всю хранящуюся в них информацию при неавторизованном доступе к таким устройствам.

 

Использование криптографии в информационных системах имеет свою историю, методологию и практику. Применение криптографии во всем мире и в нашей стране регулируется соответствующими законодательными актами и стандартами. В России приняты стандарты ГОСТ 28147-89 (алгоритм блочного шифрования с длиной ключа 256 бит) и ГОСТ Р 34.10-2001 (алгоритм цифровой подписи). Существует большое количество сертифицированных решений, позволяющих использовать шифрования при обработке и передаче конфиденциальной информации.

В современных информационных системах основной объем информации хранится на серверах. С развитием технологии виртуализации для решения задач обработки информации всё чаще будут использоваться специализированные серверы – серверы приложений (электронная почта, базы данных и т.п.), терминальные серверы, файловые серверы. В связи с этим фокус разработчиков уже сейчас заметно смещается в сторону создания технологий для защиты данных, хранящихся стороне  сервера. Сохраняя и обрабатывая большие объемы электронных документов на серверных мощностях, компании существенно экономят как временные, так и человеческие ресурсы, однако подобная автоматизация при некорректной организации контроля доступа и защиты данных, может обернуться серьёзным ущербом для компании.

Исходя из приоритетности защиты конфиденциальных данных на серверах, попробуем последовательно рассмотреть этот вопрос, обращая внимание на типовые ошибки, возникающие в процессе решения этой задачи.

Безусловно, начинать необходимо с организационных и регламентных мер. В организации должен существовать утвержденный перечень конфиденциальной информации, включая коммерческую тайну и персональные данные сотрудников, заказчиков и клиентов. Должны быть выделены и утверждены серверные ресурсы, на которых хранятся конфиденциальные данные.

Далее необходимо назначить ответственных лиц (офицеров безопасности), которые будут управлять техническими средствами защиты информации, определять права доступа к конфиденциальной информации и осуществлять общий контроль. Необходимо четко разделить задачи администрирования информационной системой компании. А именно, необходимо разделить процессы управления информационной системой на несколько отдельных задач, решение которых возлагается на сотрудников с различными должностями и степенями ответственности. В общем случае можно выделить задачи администрирования службы каталога, администрирование серверов, администрирование серверных приложений, администрирование службы резервного копирования и администрирование системы защиты информации.

В зависимости от объема работ по администрированию корпоративной информационной системы и количества сотрудников IT-отдела, управление описанными выше подсистемами может быть либо объединено в одних руках, либо, наоборот разделено между несколькими сотрудниками. Так, например, администратор безопасности может взять на себя решение задачи резервного копирования информации. В то же время управление сервером может вести два или более сотрудников. Конкретное распределение обязанностей администраторов должно осуществляться для каждой компании отдельно в соответствии с действующей в ней политикой безопасности.

В общем, первым шагом в решении задачи защиты конфиденциальной информации является выработка корпоративных политик информационной безопасности, создание соответствующих регламентов и внесение изменений в нормативную базу и штатное расписание организации.

Вторым шагом является выбор технических средств (системы шифрования, системы аутентификации, системы резервного копирования и т.д.) и интеграция всех этих систем в единое решение.

При выборе системы шифрования данных необходимо обратить внимание на решение следующих задач:

  • надежная аутентификация администраторов и офицеров безопасности, пользователей системы;
  • хранение ключей шифрования;
  • периодическая смена ключей шифрования.

Вопрос аутентификации может быть надежно решен с применением специализированных аппаратных устройств – смарт-карт или токенов - с использованием цифровых сертификатов. Такая схема аутентификации широко применяется в современных информационных системах и показала свою надежность и удобство применения. С помощью цифровых сертификатов удобно управлять правами всех пользователей информационной системы, включая администраторов и офицеров безопасности. Стоит отметить, что на российском рынке сегодня присутствует сертифицированные ФСТЭК токены (например, eToken PRO cert.), применение которых для аутентификации рекомендовано отраслевыми стандартами (например, Стандарт ЦБ РФ ) и требованиями законодательства РФ.

Хорошей практикой считается  интеграция системы защиты информации с развернутой в организации PKI-системой. В этом случае будет, во-первых, обеспечен надежный контроль доступа пользователей к конфиденциальной информации, и, во-вторых, будут надежно защищены функции управления самой системой защиты.

При использовании систем шифрования информации неизбежно возникает вопрос хранения ключей шифрования. В некоторых продуктах они кодируются на основе пароля администратора безопасности и записываются вместе с защищенными данными. Необходимо понимать, что в общем случае общая безопасность системы определяется безопасностью самого "узкого" ее места, которым в данном случае является выбранный пароль. Если он будет недостаточно стоек к взлому или записан на листке бумаги, приклеенном к монитору "чтобы не забыть", то защиту от несанкционированного доступа к конфиденциальным данным никак нельзя считать надежной. Есть другой вариант – хранение ключей шифрования на мобильных носителях. Но и этот способ очень далек от совершенства. Мобильный носитель легко потерять, он может быть похищен или отобран у администратора безопасности силой.

Поэтому предпочтение стоит отдавать тем системам, в которых ключи шифрования защищены не слабее, чем сама конфиденциальная информация. Например, для хранения ключей шифрования можно использовать специализированные аппаратные устройства – смарт-карты и электронные ключи, в которых ключи шифрования и цифровые сертификаты хранятся в защищенной памяти. При применении смарт-карт и электронных ключей неавторизованный пользователь не сможет получить доступ к хранящимся в защищенной памяти ключам шифрования, даже если он сможет получить в руки такое устройство. Стоит отметить, что в идеальном случае двухфакторная аутентификация с применением смарт-карт или токенов должна использоваться всеми сотрудниками, имеющими доступ к информационной системе предприятия. Во вяском случае, как минимум , администраторов и офицеров безопасности необходимо обеспечить надежными средствами аутентификации. Такой вариант позволяет при относительно небольших затратах существенно уменьшить угрозу утечки конфиденциальных данных.

Вопрос периодической смены ключей шифрования является не менее важным, чем надежное хранение ключей шифрования. При длительной эксплуатации системы шифрования, вероятность утечки ключа шифрования возрастает. Поэтому в регламенте применения системы защиты информации должна быть предусмотрена периодическая смена ключей, например, не реже 1 раза в год. Применяемая система шифрования должна предусматривать возможность смены ключа шифрования без снижения уровня защиты на время смены ключа.

Также система защиты конфиденциальной информации должна давать возможность проведения аудита действий администраторов и офицеров безопасности. Такой аудит необходим для оценки компетентности ответственных лиц и для разбора инцидентов, связанных с нарушениями безопасности защищаемой информации (утечками и т.п.).

Применение системы шифрования позволяет решить вопрос защиты от несанкционированного доступа и утечки резервных копий конфиденциальной информации. При правильном применении системы шифрования защищаемая информация попадает в резервное хранилище в зашифрованном виде. В этом случае утеря резервных носителей не приведет к разглашению информации.

Еще одним важным свойством системы защиты информации является возможность экстренного предотвращения доступа к защищаемой информации в случае возникновения нештатных ситуаций. Например, в случае несанкционированного проникновения в серверную комнату, оборудованную охранной сигнализацией, система шифрования должна получить сигнал от охранной сигнализации и прекратить доступ к данным всем пользователям. Восстановление доступа может выполнить офицер безопасности после разбора возникшего инцидента вместе с сотрудниками отдела безопасности согласно принятого в организации порядка.

Итак, общая схема защиты конфиденциальной информации и персональных данных, хранящихся на серверах, включает в себя:

  • категоризация информации;
  • выделение ответственных лиц и раздельное администрирование;
  • создание политики информационной безопасности, регламентов и других нормативных документов;
  • внедрение системы надежной аутентификации администраторов и офицеров безопасности, а также пользователей;
  • ведение аудита действий по управлению системой защиты;
  • интеграция системы защиты с системой резервного копирования;
  • возможность экстренного предотвращения доступа к конфиденциальной информации;
  • отказоустойчивость системы защиты;
  • применение надежных криптоалгоритмов;
  • надежное хранение ключей шифрования;
  • периодическая смена ключей шифрования.

 

Приведенные требования, на наш взгляд, являются необходимыми для обеспечения надежной защиты от утечки и несанкционированного доступа. Естественно, в каждой отдельно взятой организации существует своя специфика. В максимальной степени это касается госструктур, к обеспечению защиты информационных ресурсов которых законодательство России предъявляет особые требования. Так, в Федеральном Законе "Об информации, информатизации и защите информации" оговаривается список организация и учреждений, которые в обязательном порядке должны применять исключительно сертифицированные системы защиты данных. Однако этот небольшой, по сути перечень, врядли можно считать исчерпывающим.

Ведь наличие сертификата - это подтверждение надежности продукта, отсутствии специально оставленных "дыр", что немаловажно в вопросе защиты конфиденциальных данных и более того – является гарантией того, что компании могут доверять продуктам и решениям этого разработчика.

Использование сертифицированных систем защиты может положительно сказаться на репутации компании и доверие к ней со стороны деловых партнеров. Ведь ни для кого не является секретом тот факт, что у сотрудничающих фирм довольно часто возникает необходимость обмена конфиденциальной информацией. При этом компания, получившая такие данные, отвечает за их нераспространение. Естественно, при утечке чужой конфиденциальной информации, будет нанесен серьезный удар по репутации компании. Особенно это верно в том случае, если у организации есть партнеры среди зарубежных фирм. На Западе информационной безопасности традиционно уделяется очень большое внимание. И поэтому наличие подтвержденной сертификатами системы защиты –значительный плюс в глазах руководителей зарубежный компаний.

Сегодня в нашей стране в области сертификации систем защиты компьютерной информации существует некая двойственность. Дело в том, что существуют два вида сертификатов, которые выдают различные организации. Первый из них предназначен только для программных и аппаратных реализаций криптографического алгоритма ГОСТ 21847-89, "главной" технологии шифрования нашей страны. Им занимается одно из подразделений ФСБ РФ. Второй тип сертификатов выдается всем остальным системам защиты. Занимается этим ФСТЭК (Федеральная служба по техническому и экспортному контролю). Таким образом, получается, что сертифицированная система защиты должна одновременно обладать как минимум двумя сертификатами. Именно поэтому в ряде продуктов, предназначенных для защиты конфиденциальной информации методом шифрования, предусмотрена возможность подключения внешних криптопровайдеров. В их качестве могут использоваться сертифицированные ФСБ программные и аппаратные модули. Сами же системы защиты не являются криптографическими продуктами, то есть в них не реализованы алгоритмы шифрования. А это значит, что им требуется только сертификат ФСТЭК.

Справедливости ради стоит отметить, что на российском рынке сертификатом ФСБ на разработку криптосредств, а также сертификатом ФСТЭК на конкретный продукт обладает пока лишь один разработчик – ЗАО "Aладдин Р.Д." с её флагманским продуктом Secret Disk Server NG cert. Причем сертификаты ФСТЭК имеют все ее элементы: программные модули, смарт-карты и USB-ключи. Внутренние данные Aladdin’а свидетельствуют о качественном изменении структуры продаж сертифицированных решений: если буквально 2-3 года назад продукты, имеющие сертификат ФСТЭК, составляли 15%, то теперь на их долю приходится 65%. "Мы перешли на другой качественный уровень – стали очень плотно взаимодействовать с крупнейшими инфраструктурными заказчиками: Пенсионным фондом, Министерством финансов, ФНС, ФТС и т.д. Это требует других навыков и компетенций и, конечно, продуктов, отвечающих требованиям регулятора" - комментирует ситуацию Сергей Груздев, генеральный директор Aladdin.

Помимо органов госвласти, реальными и потенциальными заказчиками сертифицированных решений в Aladdin видят предприятия, планирующие внедрение технологий защиты информации на базе инфраструктуры открытых ключей (PKI) с использованием цифровых сертификатов, а также организации, политика информационной безопасности которых требует применения исключительно сертифицированных российских СКЗИ. Secret Disk Server NG работает с сертифицированными российскими СКЗИ (например, КриптоПро CSP версии 2.0/3.0, Infotecs CSP и Signal-COM CSP), реализующими шифрование данных по алгоритму ГОСТ 28147-89 с длиной ключа 256 бит.

Безусловно, организациям, сделавшим свой выбор в пользу криптографической защиты информационной инфраструктуры, предстоит немало работы. Однако систематизированный подход, использование консульационных услуг специалистов по информационной безопасности (а на данный момент все ведущие разработчики предлагают в том числе и услуги по консалтингу) позволяет уже сейчас эффективно и с наименьшими затратами решить проблему утечки конфиденциальной информации.