Контроль информационных потоков как средство борьбы с инсайдерами

19.05.2009 |

Александр Абрамов.

21 апреля 2009 года в Санкт-Петербургской торгово-промышленной палате прошел совместный семинар Санкт-Петербургского клуба ИТ-директоров «SPb CIO Club», Комитета по информационным технологиям и Комитета по безопасности и правовому сопровождению предпринимательской деятельности торгово-промышленной палаты СПб «Как выполнить требования Федерального Закона о Персональных данных. Контроль информационных потоков как средство борьбы с инсайдерами».

В современном деловом мире происходит процесс миграции материальных активов в сторону информационных. По мере развития организации усложняется ее информационная система, основной задачей которой является обеспечение максимальной эффективности ведения бизнеса в постоянно меняющихся условиях конкуренции на рынке. Рассматривая информацию как товар, можно сказать, что нанесение ущерба информации в целом приводит к материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, и, как следствие, владелец технологии, а может быть и автор, потеряют часть рынка и т.д. С другой стороны, информация является субъектом управления, и ее изменение может привести к катастрофическим последствиям в объекте управления. Об актуальности этой проблемы в своем выступлении на тему: «О политике информационной безопасности организации» рассказал Василий Викторович Платонов, Председатель комитета по безопасности и правовому сопровождению предпринимательской деятельности. Также Василий Викторович отметил, что информационная безопасность занимает одно из важнейших мест в деятельности бизнеса и является залогом его успеха. Василий Викторович затронул такую важную проблему как сохранение коммерческой тайны и сказал об особенностях Федерального Закона «О персональных данных». Данный закон, в частности, определяет требования к информационным системам персональных данных и регламентирует необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним.

Далее Юрий Шойдин, сопредседатель комитета по информационной безопасности СоДИТ, член правления «SPb CIO Club», сделал доклад на тему: «Защита персональных данных, что делать?». Обращаясь к истории, Юрий упомянул, что корни обсуждаемой темы связаны с Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персональных данных личного характера от 28.01.1981 EST № 108, Федеральным законом от 19.12. 2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», статья № 19 которого гласит: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры <…> для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

В своём выступлении Юрий затронул такие аспекты, как нормативная база по защите ПД, документы уполномоченных органов, обязанности операторов ПД, ответственность, порядок проведения классификации ИСПДн, требования ФСТЭК России к ИСПДн 2 класса, рекомендации по обеспечению безопасности ПД с помощью криптографических средств, документальное сопровождение ИСПДн, а также предложил варианты решений.
Говоря об основных мероприятиях по обеспечению безопасности ПД, Юрий отметил, что конкретный состав мероприятий по защите ПД определяется в зависимости от класса ИС и характеристик информационных систем. Мероприятия по защите ПД должны быть реализованы в рамках следующих подсистем:
• Управление доступом
• Регистрация и учет
• Обеспечение целостности
• Контроль отсутствия НДВ
• Антивирусная защита
• Безопасность межсетевого взаимодействия ИСПДн
• Анализ защищенности
• Обнаружение вторжений

Коммерческий директор компании «SoftInform», Сергей Ожегов, в своем докладе на тему: «Информационная безопасность» отметил, что одними из основных источников угроз информационной безопасности являются деятельность иностранных разведывательных и специальных служб, преступных сообществ, организаций, групп, формирований и противозаконная деятельность отдельных лиц, направленная на сбор или хищение ценной информации, закрытой для доступа посторонних лиц. Причем в последние годы приоритет в данной сфере деятельности смещается в экономическую область. Особенно актуальным это становится сейчас – в эпоху развившегося экономического кризиса.
Сергей сказал, что промышленный (экономический) шпионаж осуществляется в целях:
овладения рынками сбыта, подделки товаров, дискредитации или устранения (физического или экономического подавления) конкурентов, срыва переговоров по контрактам, перепродажи фирменных секретов, шантажа определенных лиц, создания условий для подготовки и проведения террористических и диверсионных акций. Докладчик уточнил, что в последнее время очень актуальной проблемой для многих компаний является деятельность инсайдеров, которые занимаются хищением конфиденциальной информации. Это одна из главных признанных угроз. Именно «на их совести» большинство громких краж данных, зафиксированных по всему миру в последние годы.
Высутающий привел различные способы утечки информации и проблемы, которые она может породить. Существует распространённое решение проблемы утечки информации за пределы компании – блокировка каналов возможного хищения. Однако этот вариант не является оптимальным. Необходимо создавать грамотную политику информационной безопасности, именно благодаря ей удается совместить противоречивые требования топ-менеджеров, ИТ и ИБ отделов, а также других заинтересованных участников, как внешних, так и внутренних. Докладчик рассказал о программе «Контур информационной безопасности», которая позволяет отслеживать утечки конфиденциальной информации через е-mail, ICQ, Skype, внешние устройства (USB/CD), документы отправляемые на печать и выявлять её появление на компьютерах пользователей (MailSniffer, SkypeSniffer, DeviceSniffer, PrintSniffer). Сергей обозначил преимущества контура информационной безопасности. Среди них:
- Поиск похожих. Позволяет уменьшить нагрузку на сотрудников, отвечающих за информбезопасность и более эффективно выявлять утечки конфиденциальной информации. Значительно уменьшает количество ложных срабатываний.

- Разграничение прав доступа.

- Создание архива перехваченной информации. Позволяет восстановить последовательность событий в прошлом.

- Инсталляция системы в течении нескольких часов, благодаря тому, что для работы системы не надо менять инфраструктуру сети.

- Легкость обучения и управления системой, благодаря чему отсутствует необходимость демонстрировать конфиденциальные документы фирмы посторонним людям и др.

Сергей рассказал о компании «SoftInform», которая работает в сфере информационных технологий, специализируясь на технологиях полнотекстового поиска, хранения и обработки информации. В сферу информационной безопасности компания со своими разработками попала не случайно. Интеллектуальный поиск является основой качественного анализа перехваченной информации, а без этого система безопасности не имеет смысла. Программные продукты компании «СофтИнформ» успешно решают поставленные задачи в банках и финансовых компаниях, государственных структурах и в крупных промышленных, сырьевых, телекоммуникационных и IT-компаниях России и стран СНГ.

После небольшого перерыва Вячеслав Кочанов, заместитель директора ООО "ИМД" (IMD Ltd.) Инновационный центр института систем управления БГТУ «Военмех», представил технологии защиты информации компьютерных систем и сетей в рамках темы «Технология информационной безопасности уровня ядра ОС». Исполняемый код уровня ядра операционной системы (драйверы) – основа технологий информационного безопасности компьютерных систем и сетей. Драйвера уровня ядра (Kernel-mode drivers) работают в режиме ядра, и составляют, с момента их загрузки, его часть. Это позволяет решить ряд задач: увеличить производительность фильтрующего (модифицирующего) кода, изолировать данные от пользовательского режима, сделать систему «невидимой» для пользователя, выполнить привилегированные команды процессора, брать под контроль непосредственно устройства хранения и передачи информации, обеспечить контроль подключения устройств к компьютеру. Вячеслав рассказал о трёх моделях:
1. Модель уровней исполняемого кода (два уровня)
2. Модель уровней исполняемого кода ядра ОС (три уровня)
3. Драйверы-перехватчики, промежуточные драйверы и драйверы-фильтры – возможность контроля и модификации потоков информации.
Вячеслав отметил, что с точки зрения систем контроля и модификации потоков информации наиболее интересен уровень промежуточных драйверов, т.к. является наиболее универсальным по сравнению с уровнем NIC-драйверов и обеспечивает полный контроль уровня логических драйверов. Таким образом, основой технологии систем контроля и модификации потоков информации является разработка промежуточных драйверов уровня ядра ОС.
Во второй части своего доклада Вячеслав рассмотрел технологии защиты информации компьютерных систем и сетей. Он отметил, что технология базируется на наборе промежуточных драйверов уровня ядра ОС, каждый из которых предназначен для контроля, фильтрации и модификации потока информации соответствующего класса устройства. Далее докладчик представил описание работы драйвера-перехватчика для контроля и модификации данных жестких дисков, для съемных накопителей, для контроля консоли компьютера, описание работы промежуточного драйвера (NDIS Intermediate Driver) для контроля и модификации данных, передаваемых по сетям Ethernet.
Что касается практического применения технологий, то в этом блоке докладчик рассказал о защите информации на жёстких дисках мобильных компьютеров (Notebooks), контроле и блокировке подключения сменных накопителей, контроле работы Пользователя на компьютере, удаленном подключении к рабочей сети с защитой на транспортном уровне, применении технологии в смежных областях бизнес-процессов. Подводя итог, докладчик отметил, что совместное применение драйверов уровня ядра ОС позволяет выполнить практически все программные задачи защиты информации корпоративного уровня.

В заключение вечера Юрий Шойдин, ведущий семинара, провел деловую игру. Разделившись на две команды, самые активные участники вечера решали проблемы, связанные с эффективным взаимодействием служб ИБ и ИТ. По итогам игры самые лучшие решения были поощрены подарками от клуба.