Информационные технологии в деятельности ОВД
References
1. Bukeikhanov P.E. Missing: tactics, strategy, methods of search of adult missing persons in non-criminal circumstances.
- M.: Examination, 2006. 256 p.
2. Buryakov E.V. Legal basis, organization and tactics of tracing missing persons: dis. ... candidate. the faculty of law. Sciences. - Omsk, 1999.
3. Grineva D.A. Tracing missing persons: legal, investigative and forensic aspects: dis. ... candidate. the faculty of law. Sciences. - Kaliningrad, 2006.
4. How to find missing in the world: Newspapers, the FBI and tortillas // URL: http://ria.ru/world/20130830/959523658. html (accessed February 3, 2015).
5. Prokopenko A.N. Legal regulation of information resources of the Ministry of internal Affairs of Russia: monograph.
- Belgorod: Belgorod law Institute of MIA of Russia, 2010. 160 p.
(Статья сдана в редакцию 15.05.2015)
О НЕКОТОРЫХ СРЕДСТВАХ ЗАЩИТЫ ИНФОРМАЦИОННЫХ СИСТЕМ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
some methods of the protection of confidential
INFORMATION INFORMATION SYSTEMS AGAINST
illegal access
УДК 004
П.Н. ЖУКОВА,
доктор физико-математических наук, доцент
(Белгородский юридический институт МВД России) e-mail: pnzhukova@mail.ru
P.N. ZHUKOVA,
doctor of physico-mathematical Sciences,associate Professor (Belgorod Law Institute of the Ministry of the Interior of the Russian Federation)
В.А. НАСОНОВА,
кандидат физико-математических наук , доцент (Белгородский юридический институт МВД России ) тел. (4722) 55-71-35
V.A. NASONOVA,
candidate of physico-mathematical Sciences, Assistant Professor (Belgorod Law Institute of the Ministry of the Interior of the Russian Federation)
Н.В. ХОДЯКОВА,
доктор педагогических наук , доцент (Волгоградская академия МВД России) тел. (8442) 31-41-32
N.V. HODAKOVA,
doctor of pedagogical Sciences, Assistant Professor (Volgograd Academy of the Ministry of internal Affairs of Russia)
Аннотация: в статье рассматриваются средства защиты конфиденциальной информации информационных систем от несанкционированного доступа.
Ключевые слова: информационные системы, информационная безопасность.
Проблемы правоохранительной деятельности 2’15
83
Информационные технологии в деятельности ОВД
Abstract: this article is considered the protection of confidential information information systems against illegal access.
Keywords: information systems, information securit.
Информация в современном обществе является не только предметом профессиональных обменов, ресурсом принятия управленческих решений, средством обеспечения более высокого качества жизни. Информация все чаще выполняет функции объекта преступных посягательств, средства конкурентной борьбы бизнес-структур и даже оружия информационных войн. В этих условиях возрастает роль безопасного использования информации, прежде всего, в органах государственной власти, в правоохранительных органах, в системах жизнеобеспечения страны.
Предотвращение утечки информации, несанкционированного доступа является одной из важнейших задач отделов информационной безопасности подразделений МВД. Безусловно, наличие конфиденциальной информации (государственной, профессиональной тайны, персональных данных), приводит к существенной проблеме ее охраны от хищения, удаления, изменения, просмотра. С ростом количества сотрудников увеличивается опасность хищения информации, в том числе самими сотрудниками, это приводит к ужесточению политики и систем контроля.
Рынок средств информационной безопасности наполнен системами, в том или ином виде работающими над данной проблемой. Рассмотрим некриптографические средства защиты от несанкционированного доступа (НСД).
Существуют внешние и внутренние угрозы безопасности информационным системам. Под внешними угрозами безопасности понимаются угрозы со стороны внешней среды, такие как:
• атаки из сети Интернет, направленные на искажение, уничтожение, кражу информации или приводящие к отказу в обслуживании информационных систем;
• распространение вредоносного кода - вирусов, троянского программного обеспечения, шпионских программ, интернетчервей;
•нежелательные рассылки (спам). Защита от внешних угроз информационной безопасности
Многоуровневая защита от вредоносного кода и спама - комплекс мер, включающий
внедрение следующих корпоративных систем:
• антивирусной защиты рабочих станций и серверов;
• контентной фильтрации трафика на наличие вредоносного программного обеспечения;
• защиты от спама.
Защита периметра организации:
• организация межсетевого экранирования - проектирование и построение систем организации доступа в Интернет или между филиалами предприятий;
• развертывание систем обнаружения и предотвращения вторжений (IPS). Данные системы представляют собой аппаратнопрограммные комплексы по анализу трафика на наличие сигнатур атак с возможностью автоматического реагирования и отражения атак.
Защита каналов передачи данных.
• организация и построение шифрованных каналов связи между филиалами предприятий, организация систем безопасного удаленного доступа к ресурсам предприятия.
Защита WEB-ресурсов организации:
• анализ защищенности внешних WEB ресурсов организации (сайтов, интернетпорталов, корпоративных ресурсов), разработка и внедрение рекомендаций по защите от внешних угроз безопасности;
• внедрение программно-аппаратных комплексов по защите от распределенных атак отказа в обслуживании (DDoS).
Защита от внутренних угроз информационной безопасности
Под внутренними угрозами информационной безопасности понимаются угрозы со стороны сотрудников компании как умышленные (мошенничество, кража, искажение или уничтожение конфиденциальной информации, промышленный шпионаж и т.п.), так и неумышленные (изменение или уничтожение информации из-за низкой квалификации сотрудников или невнимательности), а также сбои программных или аппаратных средств обработки и хранения информации.
Защита от утечек конфиденциальной информации.
Данная услуга представляет собой построение комплексной системы контроля
Проблемы правоохранительной деятельности 2’15
84
Информационные технологии в деятельности ОВД
и противодействия внутренним угрозам безопасности (умышленным действиям инсайдеров по нарушению целостности, доступности или конфиденциальности информации). Внедрение данного комплекса позволяет обеспечить защиту информации от несанкционированного доступа, копирования, искажения:
• в каналах передачи данных применяются системы контентной фильтрации трафика пользователей (WEB, E-mail, ICQ, P2P);
• на рабочих местах сотрудников - контроль съемных носителей (USB устройства - флэш-накопители, внешние HDD), очередей печати, доступа к сетевым ресурсам.
Данная система позволяет централизованно управлять контролем и эффективно применять меры по противодействию, а также создавать необходимую доказательную базу по инцидентам безопасности. При этом сама система остается совершенно «прозрачной» для пользователей.
Обеспечение конфиденциальности информации при хранении и передаче
Представляет собой комплекс организационно-технических мер по недопущению компрометации, кражи, модификации или уничтожения конфиденциальной информации как внутренними нарушителями безопасности, так и третьими лицами. В рамках данных услуг предлагается:
• шифрование каналов связи (организация VPN, SSL, ЭЦП, PKI);
• шифрование носителей информации (создание защищенных контейнеров, построение корпоративной системы шифрования и хранения данных).
Система управления уязвимостями
Построение комплекса централизованного управления уязвимостями в прикладном, серверном и аппаратном программном обеспечении.
Данный комплекс позволяет в реальном времени эффективно и своевременно реагировать на появляющиеся в информационных системах уязвимости и снизить, таким образом, риск эксплуатации данных уязвимостей вредоносным ПО или злоумышленниками в локально-вычислительных сетях и на рабочих станциях.
Следовательно, существует ряд стандартных средств некриптографического характера по защите конфиденциальной информации:
• межсетевые экраны (МЭ);
• антивирусы;
• системы Data Leakage Prevention (DLP-
системы);
• системы класса Security Information and Event Management (SIEM- системы);
• системы Intrusion Detection System^ntrusion Prevention System(IDS/IPS-системы).
Остановимся более подробно на указанных средствах защиты от НСД, причем первые два широко известны, поэтому рассматривать их подробно - нет смысла.
Межсетевые экраны созданы для предотвращения проникновений во внутренний контур организации с целью хищения информации.
Антивирусы предотвращают возможность попадания вирусов на компьютеры пользователей, которые могут похитить или уничтожить ценные данные.
DLP системы предотвращают возможность копирования важной информации на флэш-накопители, отправку этой информации по почте.
Речь идет о предотвращении утечки информации из организации через легальных пользователей (инсайдеров).
Защита конфиденциальной информации осуществляется DLP-системой при помощи использования следующих основных функций:
• фильтрация трафика по всем каналам передачи данных;
• глубокий анализ трафика на уровне контента и контекста.
Защита конфиденциальной информации в DLP-системе осуществляется на трех уровнях: Data-in-Motion, Data-at-Rest, Data-in-Use.
Data-in-Motion - данные, передаваемые по сетевым каналам:
• Web (HTTP/HTTPS протоколы);
• Интернет-мессенджеры (ICQ, QIP, Skype, MSN и т.д.);
• корпоративная и личная почта (POP, SMTP, IMAP и т.д.);
• беспроводные системы (WiFi, Bluetooth, 3G и т.д.);
• FTP-соединения.
Data-at-Rest - данные, статично хранящиеся на:
• серверах;
• рабочих станциях;
• ноутбуках;
• системах хранения данных (СХД).
Data-in-Use - данные, используемые на
рабочих станциях.
Меры, направленные на предотвращение утечек информации, состоят из двух основных частей: организационной и тех-
Проблемы правоохранительной деятельности 2’15
85
Информационные технологии в деятельности ОВД
ническои.
Защита конфиденциальной информации включает в себя организационные меры по поиску и классификации имеющихся в организации данных. В процессе классификации данные разделяются на 4 категории:
• секретная информация;
• конфиденциальная информация;
• информация для служебного пользования;
• общедоступная информация.
В DLP-системах конфиденциальная информация может определяться по ряду различных признаков, а также различными способами, например, лингвистический анализ информации, статистический анализ информации, регулярные выражения (шаблоны), метод цифровых отпечатков и т.д.
После того как информация найдена, сгруппирована и систематизирована, следует вторая организационная часть - техническая.
Защита конфиденциальной информации при помощи технических мер основана на использовании функционала и технологий системы по защите данных от утечек. В состав DLP-системы входят два модуля: хостмодуль и сетевой модуль.
Хост-модули устанавливаются на рабочие станции пользователей и обеспечивают контроль действий, производимых пользователем в отношении классифицированных данных (конфиденциальной информации). Кроме этого, модуль хоста позволяет отслеживать активность пользователя по различным параметрам, например, время, проведенное в Интернет, запускаемые приложения, процессы и пути перемещения данных и т.д.
Сетевой модуль осуществляет анализ передаваемой по сети информации и контролирует трафик выходящей за пределы защищаемой информационной системы. В случае обнаружения в передаваемом трафике конфиденциальной информации сетевой модуль пресекает передачу данных.
Таким образом, после внедрения системы защиты данных от утечки в информационную систему получаем следующие результаты:
• защиту информационных активов и важной стратегической информации;
• структурированные и систематизированные данные;
• прозрачность процессов для руководства и отделов безопасности;
• контроль процессов передачи конфиденциальных данных;
• снижение рисков, связанных с потерей, кражей и уничтожением важной информации;
• защита от вредоносного ПО, попадающего во внутреннюю сеть изнутри;
• сохранение и архивация всех действий, связанных с перемещением данных внутри информационной системы.
Кроме того, существуют вторичные плюсы DLP -системы, такие как:
• контроль присутствия персонала на рабочем месте;
• экономия Интернет-трафика;
•оптимизация работы корпоративной
сети;
•контроль используемых пользователем приложений.
SIEM-системы (Система Сбора и Корреляции Событий) отслеживают подозрительные активности как внутри контура, так и извне.
Изначально такие системы были не способны что-либо предотвращать или защищать. SIEM-системы второго поколения позволяют выявить подозрительные активности и отреагировать на них, например, заблокировать учетную запись при попытке подбора паролей. Задача состоит в анализе информации, поступающей от различных систем, таких как антивирусы, DLP-системы, IDS-системы, маршрутизаторы, межсетевые экраны, операционные системы серверов и пользовательских ПК, и при этом детектировать отклонение от норм по каким-либо критериям. Если такое отклонение выявлено - система генерирует инцидент. Стоит отметить, что в основе работы SIEM лежат, в основном, статистические и математические технологии. Таким образом, они регистрируют попытки сканирования портов, подбора паролей и прочее, и предоставляют информацию в виде отчета.
Для выполнения своей задачи современные SIEM-системы используют следующие источники информации:
• Access Control, Authentication. Применяются для мониторинга контроля доступа к информационным системам и использования привилегий;
• DLP-системы. Сведения о попытках инсайдерских утечек, нарушении прав доступа;
• IDS/IPS-системы. Несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам;
• антивирусные приложения. Генерируют события о работоспособности ПО, базах
Проблемы правоохранительной деятельности 2’15
86
Информационные технологии в деятельности ОВД
данных, изменении конфигураций и политик, вредоносном коде;
• журналы событий серверов и рабочих станций. Применяются для контроля доступа, обеспечения непрерывности, соблюдения политик информационной безопасности;
• межсетевые экраны. Сведения об атаках, вредоносном ПО и прочем;
• сетевое активное оборудование. Используется для контроля доступа, учета сетевого трафика;
• сканеры уязвимостей. Данные об инвентаризации активов, сервисов, ПО, уязвимостей, поставка инвентаризационных данных и топологической структуры;
• системы инвентаризации и asset-management. Поставляют данные для контроля активов в инфраструктуре и выявления новых;
• системы веб-фильтрации. Предоставляют данные о посещении сотрудниками подозрительных или запрещенных Web-сайтов.
Таким образом, внедрение SIEM-систем позволяет защищать конфеденциальную и стратегическую информацию информационных систем от утечки.
I DS\IPS-системы.
Системы обнаружения вторжений или IDS (Intrusion Detection System) в отличие от межсетевых экранов, которые функционируют на базе заранее определенных политик, служат для мониторинга и выявления подозрительной активности. Таким образом, IDS можно назвать важным дополнением для инфраструктуры сетевой безопасности. Именно с помощью системы обнаружения вторжений администратор сможет детектировать неавторизованный доступ (вторжение или сетевую атаку) в компьютерную систему или сеть и предпринять шаги по предотвращению атаки.
В целом, благодаря IDS, представляющем собой программное или аппаратное решение, администратор сможет не только обнаружить вторжение или сетевую атаку, но и спрогнозировать возможные будущие атаки и найти уязвимости для предотвращения их вторжения. Ведь атакующий предварительно выполняет ряд действий, например, сетевое сканирование для обнаружения уязвимостей целевой системы. Кроме того, сотрудники службы ИТ могут документировать существующие угрозы и локализировать источник атаки по отношению к локальной сети: внешние либо внутренние атаки.
В свою очередь, системы предотвращения
IPS (Intrusion Prevention System) появились на базе IDS, то есть каждая IPS включает в себя модуль IDS.
По своим функциям системы схожи, но есть и отличия:
• IDS - это «пассивное» решение, которое занимается мониторингом сетевых пакетов, портов, сравнивает трафик с определенным набором правил и оповещением при обнаружении вредоносных действий;
• IPS блокирует вредоносное воздействие при попытках проникновения в сеть. В случае риска вторжения сетевое соединение отключается, либо блокируется сессия пользователя с остановкой доступа к iP-адресам, аккаунту, сервису или приложению.
Кроме того, чтобы отвести угрозу атаки, IPS-устройства способны провести перенастройку межсетевого экрана или маршрутизатора. Некоторые решения также используют накатывание новых патчей при повышенной уязвимости хоста.
При развертывании систем IPS используется четыре основные технологии:
• установка выделенных устройств по периметру корпоративной сети, а также внутри нее. Как правило, IPS интегрирована в инфраструктуру, поскольку такой вариант намного выгоднее автономного решения. Прежде всего, потому что стоимость интегрированного устройства ниже цены автономного, также выше надежность, так как в цепочке прохождения трафика отсутствует дополнительное звено, подверженное отказам;
• IPS интегрируют в маршрутизатор, тогда система получает доступ к анализируемому трафику. Однако у этого варианта есть недостаток: интегрированная в маршрутизатор IPS-система способна отражать атаки только на периметре сети. Поэтому, чтобы защитить внутренние ресурсы, механизмы предотвращения атак внедряют в коммутаторы локальной сети;
• IPS-системами активно оснащают и точки беспроводного доступа. Подобные решения, помимо обнаружения и предотвращения различных атак, способны находить несанкционированно установленные точки доступа и клиентов;
• установка IPS на рабочей станции или сервере как прикладного программного обеспечения поверх операционной системы называется Host IPS (HIPS). Использование системы Host IPS ведет к сокращению частоты установки критических обновлений, помогает защищать конфиденциальные данные и выполнять регулятивные требования и
Проблемы правоохранительной деятельности 2’15
87
Информационные технологии в деятельности ОВД
предписания. Она сочетает в себе систему предотвращения вторжений (IPS) на основе анализа поведения и сигнатур, брандмауэр, имеющий функцию отслеживания состояния соединений, и механизм блокирования приложений с целью защиты всех конечных точек - персональных компьютеров, ноутбуков и серверов - от известных и неизвестных угроз.
Не вызывает сомнения, что информационные технологии являются важной составляющей любой современной организации. Говоря образно, информационные технологии - это сердце организации, которое поддерживает работоспособность и повышает эффективность ее деятельности.
Становится очевидным, что большое количество стратегических, конфиденциальных и персональных данных является важным информационным активом такой организации, как МВД, и последствия утечки информации скажутся плачевно на многих областях жизнедеятельности общества.
Использование традиционных на сегодня мер безопасности, таких как антивирусы и фаерволлы, выполняет функции защиты информационных активов от внешних угроз, но никаким образом не обеспечивает защиту информационных активов от утечки, искажения или уничтожения внутренним
злоумышленником. Внутренние угрозы информационной безопасности могут оставаться игнорируемыми или в ряде случаев незамеченными руководством ввиду отсутствия понимания критичности этих угроз. Защита конфиденциальной информации от утечки является важной составляющей комплекса информационной безопасности организации. Решить проблему случайных и умышленных утечек конфиденциальных данных призваны такие системы, как DLP-системы, SIEM- системы, IDS/IPS. Тем не менее необходимо признать, что указанные технологии не делают систему абсолютно безопасной.
Из сказанного вытекает необходимость пересмотра концепции обучения специалистов государственных структур, в том числе сотрудников органов внутренних дел, по дисциплинам предметного блока «Информационная безопасность». Как видим, имеются достаточные основания говорить о расширении и углублении содержания такого обучения, о моделировании в ходе обучения ситуаций всего спектра информационных угроз, о введении поисковоисследовательского компонента (в форме выполнения курсовых проектов) в процесс предметной подготовки специалистов.
Литература —
1. Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».
2. Постановление Правительства РФ от 03 марта 2012 № 171 «Перечень технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения видов работ, установленных Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» (в редакции от 04.04.2015).
3. Приказ Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования».
4. Жукова П.Н., Насонова В.А., Прокопенко А.Н. Обоснование показателя качества системы защиты информации // Математические методы и информационно-технические средства: материалы X Всероссийской научно-практической конференции (г. Краснодар, 20-21 июня 2014 г.). - Краснодар: Краснодарский университет МВД России, 2014. С. 107-111.
References
1. Presidential Decree of 17 March 2008 № 351 «On measures to ensure the information security of the Russian Federation to the use of information and telecommunication networks of international exchange of information»
2. RF Government Resolution on 03 March 2012 № 171 «The List of technical and technological documentation, national standards and guidance documents necessary to perform the types of work established by the provisions on licensing activities for the development and production of protection of confidential information». (updated 04.04.2015).
3. Order of the Federal Security Service, the Federal Service for Technical and Export Control of August 31, 2010 № 416/489 «On Approval of Requirements for the Protection of the information contained in public information systems».
4. Zhukova P.N., Nasonova VA, Prokopenko A.N. Justification Quality Score information protection system // Mathematical methods and information technology equipment: Materials X All-Russian scientific-practical conference (Krasnodar, June 20-21, 2014). - Krasnodar: Krasnodar University of the Ministry of Interior of Russia, 2014. Р. 107-111.
(Статья сдана в редакцию 24.04.2015)
Проблемы правоохранительной деятельности 2’15
88