Комплексний захист інформації в корпоративних мережах існуючі рішення, особливості,

Особливості та завдання корпоративних систем захисту інформації

Забезпечення інформаційної безпеки є актуальним насамперед для корпорацій зі складною, територіально-розподіленою, багаторівневою структурою: великих банків, транснаціональних та державних компаній. Найчастіше корпоративні мережі подібних організацій побудовані з використанням обладнання різних поколінь та різних виробників, що помітно ускладнює процес управління ІТ-системою.

Крім того, інформаційні структури корпорацій відрізняються різнорідністю, вони складаються з різних баз, наборів розподілених та локальних систем. Це робить ресурси корпоративного рівня особливо вразливими. У процесі обміну даними між користувачами організації та зовнішнім світом мережі можуть бути уражені шкідливими програмами, які руйнують бази даних та здійснюють передачу відомостей третім особам.

Реалізація шкідливих алгоритмів може призвести як до паралізації системи та її збоїв, так і до втрати, підміни чи витоку інформації. Все це загрожує величезними іміджевими, тимчасовими та фінансовими втратами для компанії.

Таким чином, головними завданнями будь-якої системи інформаційної безпеки є:

Для вирішення зазначених цілей сьогодні застосовуються такі методи захисту інформації, як реєстрація та протоколювання, ідентифікація та автентифікація, керування доступом, створення міжмережевих екранів та криптографія. Однак про них, як і про конкретні програмні продукти на їх основі, ми поговоримо дещо пізніше.

Варто зазначити, що важливість забезпечення інформаційної безпеки оцінена і на державному рівні, що відображається у нормативно-правових вимогахактів, таких як:

Це важливо!

Регуляторами в галузі інформаційної безпеки в Україні є: Федеральна служба з технічного та експортного контролю, Федеральна служба безпеки, Федеральна служба охорони, Міністерство оборони РФ, Міністерство зв'язку та масових комунікацій РФ, Служба зовнішньої розвідки України та Банк України.

Так, регуляторами висуваються такі вимоги щодо захисту даних у комп'ютерних мережах:

  • використання ліцензійних технічних засобів та ПЗ;
  • проведення перевірки об'єктів інформації на відповідність нормативним вимогам щодо захищеності;
  • складання списку допустимих до застосування програмних засобів та заборона на використання коштів, що не входять до цього переліку;
  • використання та своєчасне оновлення антивірусних програм, проведення регулярних перевірок комп'ютерів щодо зараження шкідливими ПЗ;
  • розробка способів профілактики недопущення попадання вірусів у мережу;
  • розробка методів зберігання та відновлення зараженого ПЗ.

У банківських структурах також необхідно забезпечувати розмежування доступу до даних для запобігання злочинним діям з боку співробітників та впроваджувати методи шифрування даних з метою забезпечення безпеки проведення електронних грошових операцій.

Комплексний підхід при побудові системи інформаційної безпеки та захисту інформації

Надійний захист інформації може забезпечити лише комплексний підхід, що передбачає одночасне використання апаратних, програмних та криптографічних засобів (жоден із цих засобів окремо не є достатньо надійним). Подібний підхід передбачає аналіз та оптимізацію всієї системи, а не окремих її частин, щодозволяє забезпечити баланс показників, тоді як поліпшення одних властивостей часто призводить до погіршення інших.

Це цікаво!

Стандартом побудови системи безпеки є ISO 17799, який передбачає впровадження комплексного підходу до вирішення поставлених завдань. Дотримання цього стандарту дозволяє вирішити завдання щодо забезпечення конфіденційності, цілісності, достовірності та доступності даних.

Організаційні заходи, які вживаються при комплексному підході, є самостійним інструментом і об'єднують усі методи, що використовуються, в єдиний цілісний захисний механізм. Такий підхід забезпечує безпеку даних всіх етапах їх обробки. У цьому правильно організована система створює користувачам серйозних незручностей у процесі роботи.

Комплексний підхід включає детальний аналіз системи, що впроваджується, оцінку загроз безпеки, вивчення засобів, що використовуються при побудові системи, та їх можливостей, аналіз співвідношення внутрішніх та зовнішніх загроз та оцінку можливості внесення змін до системи.

Методи та засоби захисту інформації

Таким чином, для забезпечення захисту інформації необхідно вживати таких заходів:

  • формування політики безпеки та складання відповідної документації;
  • Використання захисних технічних засобів.

І хоча 60–80% зусиль щодо забезпечення безпеки у великих компаніях спрямовано на реалізацію першого пункту, другий є не меншим, а можливо й важливішим.

До основних програмно-апаратних засобів відносяться:

Межмережні екрани. Вони забезпечують поділ мереж та запобігають порушенню користувачами встановлених правил безпеки. Сучасні міжмережеві екрани відрізняються зручним.управлінням та великим функціоналом (можливістю організації VPN, інтеграції з антивірусами та ін.). В даний час спостерігаються тенденції:

  • до реалізації міжмережевих екранів апаратними, а не програмними засобами (це дозволяє знизити витрати на додаткове обладнання та ПЗ та підвищити ступінь захищеності);
  • до впровадження персональних міжмережевих екранів;
  • до орієнтації на сегмент SOHO, що призводить до розширення функціоналу цих засобів.

Антивірусний захист інформації. Зусилля найбільших виробників спрямовано забезпечення ешелонованого захисту корпоративних мереж. Системи, що розробляються, захищають робочі станції, а також закривають поштові шлюзи, проксі-сервери та інші шляхи проникнення вірусів. Ефективним рішенням є паралельне використання двох і більше антивірусів, у яких реалізовано різні методи виявлення шкідливого ПЗ.

Системи виявлення атак. Подібні системи тісно інтегровані із засобами блокування шкідливих впливів та з системами аналізу захищеності. Система кореляції подій акцентує увагу адміністратора лише на тих подіях, які можуть завдати реальної шкоди інфраструктурі компанії. Виробники IDS прагнуть підвищення швидкісних показників своїх розробок.

Контроль доступу та засоби захисту інформації всередині мережі. З метою забезпечення безпеки даних великими компаніями проводиться автоматизація управління інформаційною безпекою або створення спільної консолі управління, а також розмежування доступу між співробітниками відповідно до їхнього функціоналу. В області засобів створення VPN відзначається прагнення до підвищення продуктивності процесів шифрування та забезпечення мобільності клієнтів (тобто доступу до інформації збудь-якого пристрою). Розробники систем контролю вмісту прагнуть домогтися того, щоб створені ними системи не створювали дискомфорту користувачам.

Тенденції у сфері комплексного захисту інформації

Комплексні засоби захисту інформації змінюються з часом і визначаються передусім поточними економічними умовами та загрозами. Так, збільшення кількості шкідливих атак та економічна криза змушують українські компанії та держструктури обирати тільки рішення, що реально працюють. Цим пояснюється зміна орієнтирів.

Якщо раніше корпорації були націлені насамперед виконання вимог регуляторів, то тепер їм не менш важливо забезпечити реальну безпеку бізнесу шляхом впровадження відповідних програмних та апаратних засобів. Все більше компаній прагне інтегрувати захисні засоби з іншими системами ІТ-структур, зокрема, SIEM, які в режимі реального часу аналізують події безпеки, що надходять від мережевих пристроїв та додатків. Функція адміністрування засобів захисту передається від підрозділів безпеки до ІТ-відділів.

Це важливо!

Останнім часом керівниками компаній та ІТ-директорами приділяється особлива увага технологічності застосування, сумісності та керованості засобів захисту. Відзначається перехід від простого пошуку вразливостей (чисто технічного підходу) до ризик-орієнтованого менеджменту (до комплексного підходу).

Все більш важливими для клієнтів є наочність звітності, зручність інтерфейсу, забезпечення безпеки віртуальних середовищ при роботі з мобільними пристроями. У зв'язку із збільшенням частки цільових атак зростає попит на рішення в галузі захищеності критичних об'єктів та інфраструктури (розслідування комп'ютерних інцидентів,запобігання DDoS-атак).

Вартість рішень щодо захисту інформації

Ціна організації корпоративної системи захисту відомостей складається з багатьох складових. Зокрема, вона залежить від сфери діяльності компанії, кількості співробітників і користувачів, територіальної розподіленості системи, необхідного рівня захищеності та ін.

Так, вартість програмно-апаратного комплексу Cisco WebSecurity варіюється від $170 (при кількості користувачів до 1000) до $670 (5000-10000 користувачів). Пристрій McAfee WebGateway, що локально розгортається, коштує від $2000 до $27 000. Ціна веб-фільтра Websense WebSecurity може досягати $40 000.

Вартість Barracuda WebFilter стартує від $1500 за обладнання, що обслуговує до 100 користувачів одночасно (апарат для обслуговування 300–8000 користувачів коштуватиме $4000). При цьому щорічне оновлення ПЗ коштуватиме ще $400–1100. Придбати GFI WebMonitor для 100 користувачів на рік можна за 208 000 рублів ($2600).

Сучасні корпоративні рішення для зберігання даних

Сьогодні український ринок не може запропонувати жодного корпоративного менеджера паролів, а деякі іноземні системи хоч і задовольняють більшу частину бізнес-потреб, проте викликають серйозну недовіру щодо безпеки та надійності.

Адміністрування одним чи кількома співробітниками компанії – значний мінус існуючих корпоративних рішень. Те, що співробітник має доступ до всієї бази даних, є загрозою безпеці компанії. До того ж, майже всі сучасні системи орієнтовані на індивідуальне використання, так щопередати паролі або дозволити іншим користувачам керувати своїми записами неможливо.

Новим цікавим рішенням для керування паролями можна назвати програму KeepKeys. Ця новаторська технологія належить компаніям «Платформа ДОМІНАНТУ» та BeneQuire. Ця система забезпечує збереження даних та зручне керування інформацією.

До переваг цього продукту належать:

Таким чином, KeepKeys допомагає вирішити безліч проблем з безпекою зберігання даних усередині компанії, а також забезпечує зручний доступ до особистих даних.