В данной статье рассматриваются мифы и реальность касательно простейших (с точки зрения затрат, реализации и осознания) подходов к защите информации в существующих условиях.
Ни для кого не секрет, что обеспечение безопасности считается достаточно "паразитической" деятельностью для бизнеса. Психология топ-менеджмента строится таким образом, что затраты на предотвращение каких-либо событий представляются неоправданными, так как не дают результата. Знаменитый афоризм "связь - как воздух" применим тут в наиболее полной мере. Однако, специалисты по ИТ и безопасности часто отмечают, что затраты на высокотехнологичные решения действительно оправдывают себя лишь отчасти, в то время как более простые и действительно эффективные методы защиты либо забываются, либо считаются "драконовскими" и не применяются "из этических соображений". Далее разбирается ряд наиболее часто вспоминаемых в этой связи простейших подходов к информационной безопасности, чтобы понять, что из этого действительно достойно применения, а что - не более, чем легенда.
Ни для кого не секрет, что обеспечение безопасности считается достаточно "паразитической" деятельностью для бизнеса. Психология топ-менеджмента строится таким образом, что затраты на предотвращение каких-либо событий представляются неоправданными, так как не дают результата. Знаменитый афоризм "связь - как воздух" применим тут в наиболее полной мере. Однако, специалисты по ИТ и безопасности часто отмечают, что затраты на высокотехнологичные решения действительно оправдывают себя лишь отчасти, в то время как более простые и действительно эффективные методы защиты либо забываются, либо считаются "драконовскими" и не применяются "из этических соображений". Далее разбирается ряд наиболее часто вспоминаемых в этой связи простейших подходов к информационной безопасности, чтобы понять, что из этого действительно достойно применения, а что - не более, чем легенда.
Физическое блокирование USB-устройств
USB-устройства являются самым неоднозначным достижением современных технологий с точки зрения безопасности. С одной стороны - быстрый и простой протокол обмена данных, относительно низкая стоимость устройства и отсутствие специфических требований к системно-программной части. С другой - отсутствие встроенных возможностей избирательного контроля устройств и избирательного контроля точек входа в АРМе. Таким образом, USB-устройство может нести в себе сразу целый комплекс угроз для организации, таких как:
- быть источником вредоносного и шпионского ПО;
- быть утерянным, будучи носителем защищаемой информации ограниченного доступа;
- быть утерянным, будучи единственным носителем защищаемой информации;
- использоваться в качестве носителя при совершении инсайдерских хищений (быть элементом скрытых информационных потоков);
- и т. д.
- многие внешние устройства используют USB-интерфейс для подключения к ПЭВМ. Без многих подобных устройств работы с ПЭВМ становится затруднительной (USB-мышь, клавиатуры, веб-камера, микрофон и т. д.). Устройств, использующих "старые" интерфейсы (COM, PS/2, LPT), практически не осталось, или найти их сложнее, чем остальные;
- многие средства защиты используют USB-носители в качестве элементов. USB-ключи для криптосредств, USB-токены - все это не совсем обычные USB-устройства, которые нельзя использовать для скрытого хищения данных или заражения ПЭВМ вредоносной программой, однако, если заблокировать USB, то их применение будет невозможно, так как возможностей фильтровать USB-устройства или избирательно блокировать USB-порты ПЭВМ в широком доступе либо не существует, либо их реализация не оправдана с точки зрения эффективности;
- на ПЭВМ многих типов просто физически не осталось других интерфейсов для взаимодействия с "внешним миром". Если заблокировать USB, единственным каналом остается ЛВС. Ее, конечно, контролировать проще, однако, это серьезный удар по производительности функциональных сотрудников.
Таким образом, полное физическое блокирование USB-устройств дает проблем гораздо больше, чем выгод от повышения уровня безопасности. Иными словами, затраты (в данном случае - в виде снижения результативности и эффективности деятельности функциональных сотрудников) на систему защиты не соответствуют перекрываемому ущербу.
В результате, данный метод является едва ли не самым проблемным и неэффективным для защиты от угроз. Его стоит применять только в исключительных случаях, в качестве "финального мазка" для создания системы защиты с полным перекрытием (пример есть далее по тексту). А в подавляющем большинстве случаев, применение этого метода неоправданно. В отдельных случаях целесообразнее рассмотреть различные методы защиты USB-устройств, рассматриваемые в решениях, например, тут.
Исключение рисков через физическое сегментирование информационной системы
Под таким подозрительно сложным для "простейшего" метода названием скрывается группа мероприятий по разделению сетей организации и физическому "отрезанию" сегментов от источников угроз. Например, выделение отдельного ПЭВМ (или сети ПЭВМ) , имеющего подключение к Интернету без взаимодействия с остальными ПЭВМ (специализированные ПЭВМ для доступа к информации в Интернете, например, справочные и т. п.), или выделение отдельной сети разработчиков, работающих с информацией особого уровня доступа, без взаимодействия с остальной сетью организации.
Физическое сегментирование сети организации - не самый популярный метод. Эта непопулярность обусловлена в первую очередь тем, что гораздо более простым методом является объединение всех ПЭВМ организации в единую ЛВС с дальнейшим развертыванием сетевой инфраструктуры (например, рабочей группы или централизованного домена) и реализации защитных мероприятий по разграничению доступа и сегментированию логическими и программными средствами. Плюс, как правило, исторически ЛВС организации расширяется итеративным методом, поэтому раннее проектирование не срабатывает в большинстве случаев, а заниматься перекоммутацией в дальнейшем никому не хочется.
Между тем, заняться бы стоило. Практика показывает, что логические средства, несмотря на сертификаты ФСТЭК, гарантии разработчика и прочие плюсы, могут давать промашку, а также могут быть просто выключены пользователем или сброшены системой в результате ошибки. Ясно, что все эти события будут в дальнейшем обнаружены в качестве инцидентов, и, при должной скорости реакции группы CERT, будут разрешены без ущерба, однако, иногда лучше перестраховаться. К примеру, отключение производственной ЛВС от Интернета и выделение одного-двух ПЭВМ в качестве "справочных" для доступа в глобальную сеть может быть вполне оправдано. В действительности, редким функциональным специалистам требуется доступ в Интернет непосредственно с рабочего места, как правило, им необходимо получить какую-то справочную информацию. А выделение отдельной ЛВС для сотрудников, взаимодействующих с информацией особого уровня доступа, и физическое отделение ее от остальной ЛВС организации может быть оправдано в первую очередь с точки зрения защиты от инсайдерских утечек. Как правило, в таких ситуациях следуют аргументы, мол, все можно запомнить и "унести в голове", однако, согласитесь, что сложно "унести в голове" распиновку микроконтроллера или производственную схему.
Фактически, у данного подхода есть только два явных недостатка:
- его категорически нельзя применять к ПЭВМ, которым необходимо иметь доступ в отделяемые сети в режиме реального времени. Например, заставить программиста, работающего с секретной информацией, время от времени бегать к "справочному" компьютеру, чтобы залезть в Гугл, можно без потерь производительности, а вот заставить то же самое делать банковского кредитного специалиста или менеджера турфирмы получится вряд ли;
- он не перекрывает ряд угроз и требует применения дополнительных методов. Например, никто не мешает сотруднику, работающему на ПЭВМ, находящемся в физически изолированной ЛВС без доступа в Интернет, скопировать свою работу на флешку и унести ее на ПЭВМ с доступом в Интернет. В таком случае для полного перекрытия следует применять этот метод в совокупности с предыдущим. Организация, конечно, будет иметь некоторые проблемы из числа тех, что обозначены в факторах, препятствующих отключению USB, но, согласитесь, что найти PS/2-мыши и другие не-USB-внешние устройства на некоторые ПЭВМ, работающие с информацией особого уровня доступа, проще, чем на все ПЭВМ в организации.
Использование собственных подсистем ИБ системного и прикладного ПО, применяемых в защищаемых информационных системах
В 2009 году автору довелось побывать в рамках конференции по ИБ на пленарном заседании, посвященном самому животрепещущему вопросу ИБ последних лет - защите персональных данных. Незаметно, словно зима в декабре, к операторам персональных данных подкрался срок (тогда - первый) начала проверок соответствия ИСПДн требованиям, и те всполошились, увидев, что им предстоит проделать не только серьезную аналитическую и архитектурную работу, но и вложить немало средств в применение систем защиты информации. Тогда представители регуляторов, присутствующие на заседании, предложили минимизировать затраты путем реализации некоторых требований через использование встроенных подсистем ИБ различного ПО, которое уже используется в рассматриваемых ИСПДн. Речь, конечно, шла об операционных системах семейства Windows и сопутствующих продуктах корпорации Microsoft, которые так кстати на тот момент прошли сертификацию на соответствие требованиям по НСД и НДВ в ФСБ и ФСТЭК и оказались пригодны к использованию в ИСПДн.
Собственно, с тех пор прошло три года. За это время Microsoft даже выложил на своем сайте целое руководство, в котором красочно описал, как собственными силами можно покрыть большую часть требований к подсистемам управления доступом, регистрации и учета, а также обеспечения целостности в ИСПДн вплоть до класса К1. Фактически, ничего сверхъестественного в данных требованиях действительно нет, большинство многопользовательских систем реализуют их с избытком. На самом деле, применение средств защиты, реализованных через штатные функции операционных систем, серверов приложений и иных системных и прикладных программных средств, действительно возможно и может существенно упростить развертывание защиты, соответствующей требованиям (например, требованиям к АС, изложенным в соответствующем руководящем документе Гостехкомиссии/ФСТЭК). Но существует одно НО.
Сертификация. Под сертификацией понимается процесс подтверждения оценки соответствия объекта требованиям, предъявляемым к нему. Сертификация является процессом, инициируемым производителем объекта, выполняемым соответствующим органом по сертификации и периодически подтверждаемым. Так вот. Закрытие требований безопасности штатными средствами возможно только в случае, если применяются сертифицированные версии ОС, серверов и т. д. Самостоятельно Microsoft в России сертификацию не осуществляет, за него это делали некоторые распространители. И только системы, приобретенные у этих распространителей (которых можно пересчитать по пальцам) являются сертифицированными и годными к применению в качестве СЗИ. Поскольку на сертифицированную версию той же ОС Windows было потрачено больше средств, чем на обычную (распространитель сдал репрезентативную выборку из партии на анализ в испытательную лабораторию и оплатил услуги по сертификации), то и стоят они дороже. Вероятность, что те ОС, которые используются в данный момент в защищаемой информационной системе, пусть даже они являются лицензионными и купленными у официального распространителя, будут сертифицированными очень мала. С любителями СПО вообще все грустно. Коробочные версии систем на базе Linux, сертифицированные ФСТЭК, также существуют, однако их применение полностью нейтрализует все "плюсы", которые есть этих операционных системах, такие как открытость кода, возможность изменений и бесплатность.
Поэтому данный подход может быть применен только в случае проектирования новой информационной системы и наличия правильного поставщика программных средств. В иных случаях действует один из законов ИБ, согласно которому иногда правильнее будет добавить к неэффективному СЗИ еще одно, наложенное, вместо того, чтобы удалять его и заменять на аналогичное, эффективное.
Поэтому данный подход может быть применен только в случае проектирования новой информационной системы и наличия правильного поставщика программных средств. В иных случаях действует один из законов ИБ, согласно которому иногда правильнее будет добавить к неэффективному СЗИ еще одно, наложенное, вместо того, чтобы удалять его и заменять на аналогичное, эффективное.
Вывод
Стоит отметить, что несмотря на общее впечатления, все вышеописанные методы могут применяться, с учетом всех приведенных в данной статье недостатков, проблем и рисков.
В целом даже рекомендуемые к применению методы следует применять по итогам адекватного и аргументированного анализа, в совокупности с другими, имеющимися средствами защиты. Применение данных, "простейших" методов призвано не полностью заменить собой специализированные СЗИ и подходы к защите, а упростить их применение, снизить затраты на их использование и сделать деятельность более безопасной без потери эффективности.