Ваш браузер устарел. Рекомендуем обновить его до последней версии.

Осуществляем консультирование и техническую поддержку по вопросам обеспечения информационной безопасности для всех типов конфиденциальной информации, кроме государственной тайны: персональные данные, коммерческая тайна, служебная тайна, профессиональная тайна, ДСП; информация обрабатываемая в государственных информационных системах и АСУ ТП.

Исходя из современных представлений об информационной безопасности (ИБ), основанных на лучших практиках, возможно провести внешний аудит состояния ИБ Компании, исходя из основных угроз, связанных с нарушением следующих состояний информации: доступность, целостность и конфиденциальность.

Для обеспечения необходимого и достаточного уровня ИБ должны быть реализованы определенные механизмы, которые мы опишем ниже. Выбор набора для реализации этих механизмов зависит потребностей конкретной Компании.

 

На рисунке изображена общая схема информационной среды среднестатистической Компании.

 

Необходимо отметить, что все мероприятия по обеспечению ИБ должны сочетаться с комплексом мер по организации режима.

Далее предлагается описание компонентов, указанных на схеме, с описанием их функционала.

  • firewall – специальные устройства (Cisco ASA, MS ISA и т.д.), позволяющие: надежно защитить ЛВС компании от любого не желательного вторжения из Интернет, разделить внутренние сегменты с разным уровнем защищенности, выделить «внешние» сервера в демилитаризованную зону DMZ, и в некоторых случаях организовать защищенный доступ (VPN) к информационным ресурсам компании внешним пользователям.

  • система предотвращения вторжений (Intrusion prevention system (IPS) – специальная система (Cisco IPS, IBM Proventia Network IPS и т.д.) для анализа как внешнего так и внутреннего трафика с целью предотвращения нестандартных способов реализации угроз ИБ.

  • система организации защищенного доступа к внутренним ресурсам (Virtual Private Network — виртуальная частная сеть VPN) – специализированные устройства (Cisco ASA, STerra на базе оборудования Cisco, АПКШ "Континент" и т.д.), обеспечивающие защищенное взаимодействие сетей Компании путем организаций конфиденциальность при передаче информации по открытым каналам связи (VPN).

  • VLANs – виртуальные сети, реализуемые на коммутаторах (Cisco Catalyst), позволяющие разделить ЛВС на несколько частей с разграничением доступа между ними.

  • Network Access (Admission) Control (NAC) – (Cisco NAC, Microsoft NAP и т.д.) использует инфраструктуру сети для контроля над соблюдением политики безопасности на всех устройствах, стремящихся получить доступ к ресурсам сети.  Этим путем снижается ущерб, который могут причинить возникающие угрозы безопасности. Используя NAC, клиенты получают возможность предоставлять сетевой доступ только соблюдающим предписанные требования, безопасным конечным устройствам (например, компьютерам, серверам и КПК) и ограничивать доступ для устройств, не соответствующих требованиям.

  • защита от вредоносного кода – (Kaspersky Endpoint Security и т.д.) это система ПО, позволяющая обеспечить комплексную защиту серверов и рабочих станций от вирусов, троянов, шпионских программ, использования в качестве части зомби-сетей и т.д. (Вредоносная программа (буквальный перевод англоязычного термина Malware, malicious — злонамеренный и software — программное обеспечение, жаргонное название — «малварь»).

  • система централизованного обновления ПО – это служба управления исправлениями (WSUS) позволяет централизованно развертывать обновления продуктов Майкрософт.

  • HIPS (Host-based Intrusion Prevention System - система противодействия вторжениям для защиты хост-компьютеров) – проактивная технология защиты, построенная на анализе поведения. Программы данного класса не содержат базы данных сигнатур вирусов и не осуществляет их детектирование. HIPS-продукты осуществляют анализ активности программного обеспечения и всех модулей системы и блокирование потенциально опасных действий в системе пользователя.

  • защита конечных точек (Endpoint Security или Endpoint Protection) – специальное ПО (Kaspersky Endpoint Security, Symantec Endpoint Protection и т.д.), осуществляющее комплексную защиту рабочих станций и серверов от всех основных видов информационных угроз (вредоносное ПО, внешние атаки, поведение пользователя и прикладного ПО, HID-устройств и т.д.)

  • Active Directory – система, позволяющая централизованно управлять учетными данными пользователей, на основе которой производится и разграничение доступа к ресурсам ИС Компании.

  • Identity and Access Management (IDM) – система управления и контроля  идентификацией и доступом, упрощающая процесс администрирования и контроля за учетными записями в гетерогенной информационной среде.

  • усиленная идентификация – комплексная система, состоящая из оборудования и специализированного ПО (Aladdin, RSA SecurID, ActivIdentity CMS и т.д.), и, при необходимости, удостоверяющего центра, позволяющая идентифицировать пользователей с помощью защищенных смарт-карт, токенов и расположенных на них цифровых сертификатов, токенов с одноразовыми паролями и т.д. Чаще всего для краткости употребляется термин «протокол AAA» – от Authentication (аутентификация), Authorization (авторизация, проверка полномочий, проверка уровня доступа), Accounting(учёт).

  •  «гостевой сегмент» – выделенный сегмент ЛВС Компании, с контролируемым ограниченным доступом к основным ее ресурсам. Чаще всего используется для подключения мобильных устройств «гостей» Компании.

  • серверный сегмент – это выделенный сегмент ЛВС Компании с контролируемым доступом к расположенным в нем информационным системам Компании. Та же возможно ужесточение контроля за администрированием и доступом к серверам путем активирования внутренних механизмов операционных систем.

  • защищенный сегмент – это выделенный, защищенный специальными средствами, сегмент ЛВС Компании с ограниченным доступом к расположенным в нем информационным ресурсам Компании, содержащим конфиденциальную информацию. Для реализации этих задач используют «внутренние» VPN-сети построенные на базе ПО (Secret Net, ViPNet и т.д.)

  • система контентного контроля трафика:

    • защита от СПАМ – специальное устройство (Cisco IronPort, Barracuda, и т.д.) позволяющее отфильтровать более 93% не нужного, а зачастую опасного, количества сообщений электронной почты.

    • контроль веб – специальное устройство (Websense, Blue Coat и т.д.) позволяющее осуществлять полный контроль использования сотрудниками компании веб-ресурсов Интернет, в том числе использование запросов GET и POST, контроль HTTPS-трафика и т.д.

    • контроль почты – специализированное ПО (Дозор-Джет СМАП и т.д.), позволяющее осуществлять архивирование и контроль всей переписки по электронной почте.

    • контроль IM-трафика (Instant Messenger - средство мгновенного обмена сообщениями) – специализированное ПО (SearchInform и т.д.), позволяющее осуществлять архивирование и контроль всей переписки пользователей по средствам такого ПО как ICQ, Jabber и т.д.

  • система защиты конфиденциальных данных от внутренних угроз (Data Loss Prevention (DLP) защита от утечек данных) – специализированная система (InfoWatch, Websense, SearchInform и т.д.) предотвращающая злоупотребления (намеренные или случайные) со стороны сотрудников организации, имеющих легальные права доступа к соответствующим данным, своими полномочиями.

  • пользовательский сегмент:

    • контроль за внешними устройствами – реализуется специальным ПО (ZLock, Device Lock, Device Control и т.д.). Позволяет исключить возможность подключения и/или использования устройств ввода/вывода информации таких как: CD/DVD-ROM/RW, flash и внешних накопителей,  смартфонов, локальных принтеров, Bluetooth, WiFi устройств и т.д. (контроль использования HID-устройств).

    • контроль за исполняемым ПО – реализуется дополнительным ПО (Cisco Security Agent, Symantec Endpoint Protection и т.д.) и/или дополнительным ужесточением системных политик пользовательских операционных систем и направлен на исключение возможности запуска пользователем неразрешенного ПО.

  • контроль печати – реализуется специализированным ПО и позволяет полностью контролировать информацию, выводимую как на локальный принтер так и на сетевые устройства. Реализуется как отдельными средствами, так и в составе DLP-решений.

  • система контроля использования WiFi – реализуется, в дополнение к выше перечисленным мерам, по большей степени комплексом организационных мер с использованием периодического сканирования периметра компании на наличие WiFi устройств.

  • корпоративный удостоверяющий центр (УЦ) – специализированное ПО (КриптоПро УЦ, RSA Keon, MS CA и т.д.), предназначенное для выполнения организационно-технических мероприятий по обеспечению пользователей УЦ средствами и спецификациями для использования сертификатов открытых ключей.

  • сегмент ИБ – выделенный сегмент ЛВС Компании, с контролируемым ограниченным доступом, где размещены все критичные информационные системы ИБ и администрирование которого осуществляется только сотрудниками ИБ.

  • система управления событиями ИБ (Security Information and Event Management SIEM) – специализированная система (ArcSight ESM, Symantec SIM, IBM Tivoli Security Operations Manager, Cisco MARS и т.д.) которая позволяет осуществлять централизованный сбор, анализ, корреляцию и реакцию на события систем ИБ, что призвано заметно сократить внутренние издержки на обслуживание систем ИБ и улучшить качество управления процессами ИБ.

  • контроль VPN – реализуется системой ПО и призван обеспечить заданный уровень защищенности информационных систем удаленного пользователя нашей информации.

Защита коммерческой тайны – в Компании может вестись лицензируемая деятельность, связанная с защитой конфиденциальной информации (лицензия «…» №… действительна до …).

В рамках данной деятельности реализуются механизмы защиты информации конфиденциального характера. В частности регламентируются отношения Компании с сотрудниками и контрагентами в области защиты конфиденциальной информации.

Защита персональных данных – с 1 января 2008 года вступил в силу 152-ФЗ «О персональных данных», а с 1 июля 2011 года регулирующими органами могут приводится проверки, призванные выявить реальное положение дел на предприятии по данному вопросу.

Регламентированное взаимодействие подразделения ЗИ с другими структурными подразделениями – необходимо для выполнения всех функциональных обязанностей Сектора. Отдельно должны регламентироваться механизмы взаимодействия с: ИТ (как в тактическом так и в стратегическом плане), Экономическая безопасность, Внутренний аудит, Управление персоналом и т.д.

Создание системы управления информационной безопасностью – если Компания серьезно относится к вопросам ИБ, то со временем возможно внедрение Системы управления информационной безопасностью (СУИБ, например по стандарту ISO 27001). В рамках работ по внедрению СУИБ будут прорабатываться следующие вопросы: область распространения, решаемые задачи, структура управления, система управления рисками ИБ, вопросы непрерывности критичных бизнес процессов и т.д.

Тестовые зоны и стендыпоскольку в Компании в целях производственной необходимости периодически приходится отрабатывать или тестировать различные информационные системы необходимо контролировать данную деятельность.

IP-телефония + видеоконференцсвязь – организация обеспечения защиты данного сервиса может осуществляться как встроенными средствами самих программно-аппаратных комплексов так и внешними средствами и мероприятиями.