Защита критически важной информации: подходы и инструменты

Данный обзор itWeek посвящён актуальным задачам защиты критически важной информации (КВИн), конфиденциальность которой наиболее существенна для её владельцев.

Защита корпоративных данных не может быть эффективной, если затраты на неё превосходят ценность самих этих данных. Поэтому прежде чем приступать к построению корпоративной системы информационной безопасности, следует выделить наиболее ценную, критичную для владельцев информацию и оценить, каким может быть ущерб от её хищения, уничтожения, искажения или недоступности для пользователей.

Источниками КВИн могут быть как непосредственно бизнес-системы (скажем, АБС — автоматизированные банковские системы), так и данные систем промышленного Интернета вещей (например, те, что поступают от датчиков производственных процессов).

Как же выделить КВИн из общего множества корпоративных данных? Как построить её защиту? С какой стороны ожидать наиболее серьёзных угроз для неё? Может, со стороны персонала, по-прежнему остающегося "самым слабым звеном" в корпоративной ИБ? Следует ли тогда в первую очередь обзаводиться системами защиты от утечек данных (DLP) и контроля поведения пользователей (UBA)?

Или всё-таки для КВИн страшнее внешние угрозы со стороны "чёрных" хакеров, вооруженных современными инструментами взлома (в которых, в частности, уже используются технологии машинного обучения), и, значит, необходимо спешно внедрять системы управления событиями безопасности (SIEM), строить центры мониторинга и реагирования на инциденты ИБ (SOC), развёртывать системы резервного копирования и восстановления данных, устанавливать "песочницы", межсетевые экраны нового поколения (NGFW) и защитные экраны веб-приложений (WAF), чтобы противостоять целевым атакам (APT), программам-шифровальщикам, атакам на уязвимости веб-приложений?

В этом обзоре itWeek мы постараемся найти ответы на прозвучавшие вопросы, получить рекомендации о том, как выделить КВИн из прочих корпоративных данных, как определить наиболее вероятные векторы атак на КВИн и оценить возможные ущербы от реализации этих атак.

С такой целью мы дали слово экспертам в сфере защиты информации.

Как из корпоративных данных выделить КВИн

По мнению опрошенных нами экспертов, КВИн — это информация, нарушение свойств безопасности которой (конфиденциальность, целостность, доступность) может привести компанию к значительным финансовым потерям, включая репутационные, конкурентные и прочие возможные непрямые ущербы, либо к таким ситуациям, которые могут повлечь за собой масштабные катастрофы (разрушение объектов федеральной критической инфраструктуры, остановку системообразующих процессов масштаба страны, человеческие жертвы...).

"В терминологии защиты ключевых систем информационной инфраструктуры существует устоявшееся понятие „КВИн“, однако, по моему убеждению, этот термин адекватно подходит к вопросам безопасности любой организации. КВИн — информация, от конфиденциальности, целостности и доступности которой зависит функционирование рабочего процесса организации", — полагает директор департамента развития технологий компании "Аладдин Р.Д." Денис Суховей.

Secret Disk компании "Аладдин Р.Д.": предотвращение информационных утечек

Конфиденциальную и важную корпоративную информацию надёжно защитит программный комплекс Secret Disk от компании "Аладдин Р.Д.", ведущего российского разработчика и поставщика решений для обеспечения информационной безопасности. Это специализированное решение призвано предотвращать любые утечки конфиденциальных данных.

Функционал Secret Disk весьма обширен, остановимся на самом важном.

Шифрование системного раздела (FDE): чтобы загрузить компьютер, необходимо пройти обязательную двухфакторную аутентификацию, чего злоумышленник сделать никак не сможет. Не повышает риски и физический доступ к диску с системным разделом, потому что информация на нём тоже надёжно защищена методом шифрования. При этом на авторизованного пользователя работа системы защиты не накладывает никаких ограничений и является для него совершенно прозрачной.

Шифрование папок и файлов, благодаря которому можно создать отдельную защищённую область хранения и обработки конфиденциальной информации. Доступ к такой информации возможен только для авторизованного пользователя. У остальных пользователей, включая ИТ-администратора, доступа к зашифрованным данным не будет. Таким образом проблема разделения рабочей и личной областей на домашнем компьютере решается без дополнительных сложностей.

Контроль использования USB-носителей, позволяющий разрешить копирование защищаемой (а значит, важной/конфиденциальной) информации только авторизованным пользователям. При копировании вся информация, попадающая на USB-носитель, будет зашифрована, и прочитать её также сможет только авторизованный пользователь и только на определённой рабочей станции. Предприятию, располагающему такой возможностью, не придётся отказываться от использования флэшек, поскольку его информация всегда будет надёжно защищена.

Криптоконтейнеры — функция, позволяющая поместить один или несколько файлов в специальный защищённый файл-контейнер и передать его другому сотруднику либо контрагенту по e-mail или через любой публичный сервис. Обмен будет произведён без риска компрометации конфиденциальных данных в случае перехвата контейнера при передаче. Такой способ не потребует обязательного использования Secret Disk на компьютере получателя, ему достаточно установить компактную утилиту и получить от отправителя пароль к контейнеру.

Отличительной особенностью Secret Disk является обязательная двухфакторная аутентификация, гарантирующая надёжный контроль доступа к защищённым данным. Система работает в связке с USB-токенами и смарт-картами линейки JaCarta для обеспечения усиленной или строгой двухфакторной аутентификации в информационных системах и сервисах, также разработанных компанией «Аладдин Р.Д.». Secret Disk совместим с продуктами других производителей, что дает свободу в выборе технологических решений.

ПАРТНЁРСКИЙ МАТЕРИАЛ

Методы и инструменты оценки возможных ущербов от реализации угроз КВИн

По словам Дениса Суховея, для определения возможного ущерба от реализации угроз КВИн в настоящее время используется ряд методов анализа — натурный эксперимент, математическое моделирование и экспертные методы. "Суть натурного эксперимента заключается в подготовке полноценной копии реального объекта защиты с учётом взаимосвязей между компонентами объекта и другими объектами определенной системы. Полученная модель позволяет моделировать возможные действия нарушителей, осуществляющих несанкционированный доступ к объекту защиты. Результаты моделирования статистически обрабатываются, на основе этой информации вырабатываются практические рекомендации по обеспечению защиты информации. Что касается математического моделирования, то это процесс определения соответствия реального объекта защиты некоторой математической модели. В дальнейшем модель подвергается анализу возможных действий злоумышленника по изменению различных ее характеристик. И, наконец, экспертный метод предполагает опрос специалистов и владельцев информации с последующим созданием базы информации, подлежащей анализу. В ходе анализа за основу берутся определенные экономические показатели объекта защиты. Далее специалисты высказывают свое мнение об относительном снижении данных показателей в результате предполагаемой реализации угроз КВИн. Финальные выводы определяются на основе усредненных значений", — пояснил он.

Кто должен отвечать за ущербы от атак на КВИн

Если КВИн относится к тому виду данных, на которые распространяются требования действующих федеральных законов (персональные данные, гостайна, коммерческая тайна и т. п.), то ответственные за обеспечение безопасности КВИн и меры наказания за ее нарушение определены теми самыми законами.

По мнению Дениса Суховея, ответственность за безопасность КВИн и возможный ущерб, понесенный в результате реализации угроз, несет владелец данной информации и соответствующих производственных процессов. "В большинстве случаев ответственного определить достаточно сложно. Это продиктовано тем, что организации чаще всего имеют сквозные процессы, зоны ответственности размываются в ходе развития и изменений организации", — отметил он.

Актуальные модели угроз и векторы атак на КВИн

"Основной угрозой КВИн в подавляющем большинстве вариантов является несанкционированный доступ злоумышленника к информации и, как результат, — противоправное использование этой информации»", — уверен Денис Суховей.

Рекомендуемые подходы к защите КВИн

По словам Дениса Суховея, современные технологии защиты КВИн, рекомендуемые к обязательному использованию, должны быть достаточно универсальными и распространенными. "В контексте данного вопроса такими технологиями представляются: защита с помощью шифрования информации на дисках компьютеров, рабочих станций, серверов и иных устройств объекта защиты; контроль доступа пользователей к защищенной информации с помощью средств двухфакторной аутентификации; обеспечение защиты коммуникаций между компонентами объекта защиты и внешними системами. Сочетание в использовании этих трех технологий позволяет противодействовать большинству распространенных угроз КВИн", — считает он.