Основные способы защиты бизнес информации

Основные способы защиты бизнес информации.

Говоря о построении, либо об использовании средства защиты информации, прежде всего, необходимо определиться с областью его практического  применения (для чего оно создано, как следствие, чем определяется его потребительская стоимость), т.к. именно область практического использования и диктует те требования к любому системному средству, которые должны быть реализованы разработчиком, дабы повысить потребительскую стоимость данного средства.

К сожалению, данный очевидный посыл не всегда учитывается и разработчиками, и потребителями средств защиты. Вместе с тем, достаточно просто показать, что требования к средствам защиты для различных областей их практического использования очень сильно различаются, а подчас, и противоречат друг другу, что не позволяет создать единого средства защиты «на все случаи жизни». Другими словами, нельзя говорить об эффективности абстрактного средства защиты, можно вести разговор об эффективности средства, созданного для конкретных приложений.

Попробуем обосновать сказанное.

Когда речь заходит  об информационных технологиях, можно  выделить два их основных приложения – это личное использование компьютера в домашних условиях и корпоративное  использование – на предприятии. Если задуматься, то разница требований, в том числе, и к средствам защиты, в данных приложениях огромна. В чем же она состоит.

Когда речь идет о личном использовании компьютера в домашних условиях, мы сразу же начинаем задумываться о предоставляемых  системным средством сервисах – это максимально возможное использование устройств, универсальность приложений, мечтаем о всевозможных играх, проигрывателях, графике и т.д. и т.п.

Важнейшими  же отличиями использования средства защиты в данных приложениях является следующее:

• По большому счету, отсутствие какой-либо конфиденциальности (по крайней мере, формализуемой) информации, требующей защиты. Информация является собственностью пользователя;
• Отсутствие критичности конфиденциальности (по крайней мере, формализуемой) не только в части хищения обрабатываемой информации, но и в части ее несанкционированной модификации, либо уничтожения. Не так критичны в этих приложениях и атаки на системные ресурсы, в большой мере, они связаны лишь с неудобством для пользователя;
• Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и естественное нежелание заниматься этими вопросами (защищать-то нечего);
• Отсутствие какого-либо внешнего администрирования системного средства, в том числе, в части настройки механизмов защиты – все задачи администрирования решаются непосредственно пользователем – собственно пользователь должен самостоятельно решать все вопросы, связанные с безопасностью. Другими словами, пользователь и есть администратор – сам себе и защитник, и безопасник (именно он и защищает свою собственную информацию);
• Отсутствие какого-либо недоверия к пользователю – пользователь сам обрабатывает собственную информацию (он же владелец компьютера, он же владелец информации – может не доверять лишь себе), вместе с тем, по этой же причине, недоверие со стороны пользователя к какому-либо проявлению внешнего администрирования;
• В большинстве своем, обработка информации пользователем осуществляется на одном компьютере, локально.

Если же мы начинаем говорить о корпоративных приложениях, то здесь, как условия использования системные средств, так и требования к средству защиты не то, чтобы были кардинально иные, они прямо противоположны. В частности, здесь уже нет необходимости в большой номенклатуре устройств, приложений, игрушки и прочее являются отвлекающим от служебной деятельности фактором, возможность их запуска в принципе желательно предотвратить, и т.д. и т.п.

Важнейшими  отличиями использования средств  защиты в данных приложениях является следующее:

• В данных приложениях априори присутствует конфиденциальная информация, требующая квалифицированной защиты. Данная информация не является собственностью пользователя и предоставлена ему во временное использование для выполнение своих служебных обязанностей, что обусловливает возможность ее хищения пользователем;
• Критичным является не только факт хищения обрабатываемой информации, но и возможность ее несанкционированной модификации, либо уничтожения. Критичным в этих приложениях также становится вывод из строя системных средств на продолжительное время, т.е. важнейшими объектами защиты становятся не только информационные, но и системные ресурсы;
• Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и нежелание заниматься этими вопросами (у него иные обязанности, связанные с обработкой информации), и вместе с тем, наличие администратора безопасности, основной служебной обязанностью которого является защита информации, т.е. именно для решения этой задачи он и принят на работу, который априори должен обладать высокой квалификацией, т.к., в противном случае, о какой-либо эффективной защите конфиденциальной информации в современных условиях говорить не приходится;
• Все задачи администрирования средств защиты должны решаться непосредственно администратором, пользователь должен быть исключен из схемы администрирования во всех их проявлениях, т.к. только в этих условиях администратор может нести ответственность за защиту информации;
• Недоверие к пользователю – пользователь обрабатывает не собственную, а корпоративную, либо иную конфиденциальную информацию, которая потенциально является «товаром», как следствие, пользователь должен рассматриваться в качестве потенциального злоумышленника (в последнее время, даже появилось такое понятие, как инсайдер, а внутренняя ИТ-угроза – угроза хищения информации санкционированным пользователем, некоторыми потребителями и производителями средств защиты позиционируется, как одна из доминирующих угроз, что не лишено оснований);
• В большинстве своем, обработка конфиденциальной информации осуществляется в корпоративной сети, причем, не всегда в локальной – это обусловливает невозможность эффективного решения задачи администрирования безопасности локально на каждом компьютере - без соответствующего инструментария (АРМа администратора в сети).

Ответьте на вопрос: может ли одно и то же средство защиты одновременно удовлетворять  обеим группам данных противоречивых условий использования, т.е. быть эффективным  в альтернативных приложениях? Естественно, что нет! Но тогда очевидно, что  для альтернативных областей приложений, в основу построения средств защиты должны закладываться и альтернативные принципы.

Альтернативные принципы построения средств защиты информации.

Теперь посмотрим, что  же (какое условие) можно считать  доминирующим при построении средства защиты для личного использования компьютера в домашних условиях. Очевидно, что доминирующим является следующее требование - отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и естественное нежелание заниматься этими вопросами - каждый должен заниматься своим делом! Это очень важный момент. Попытайтесь предоставить подобному потребителю сложное средство защиты информации (в частности, сложное в администрировании, требующем владения определенными знаниями в области защиты информации) и оно им просто не будет использоваться – он не справится с подобным средством.

Заметим, что мы не хотим  обидеть энтузиастов защиты информации, не являющихся специалистами в этой области знаний, но серьезно интересующихся этими вопросами и достигших на данном поприще определенных результатов. Ведь, в конечном счете, их не так много в общей массе обладателей персональных компьютеров. Речь не о них.

Другими словами, основным потребительским  свойством средства защиты в данных приложениях является простота эксплуатации и администрирования. Это, неминуемо, приводит к тому, что вопросы безопасности в данных приложениях становятся вторичными. И разработчику остается лишь одно, не очень акцентировать внимание на вопросах безопасности, в противном случае, у потребителя возникнет резонный вопрос о принципиальной целесообразности использования подобных средств защиты.

Какой же принцип построения средства защиты удовлетворяет данным требованиям. В первую очередь, естественно  – это использование механизмов контроля. Механизм контроля предполагает, что существует некий эталон, на соответствие которому могут производиться необходимые сравнения. Остается создать подобный эталон, что может быть осуществлено разработчиком средства защиты. Реализация данного подхода требует простейших действий от пользователя – «нажал кнопку, и готово» - «мечта»! Данный принцип положен в основу построения большинства антивирусных решений. Все вопросы, требующие квалифицированного решения, здесь «перекладываются на плечи» разработчиков средства защиты, в частности, поддержание базы вирусов в максимально актуальном состоянии. Заметим, что, так как никакого администрирования не предполагается, весь диалог осуществляется с конечным пользователем, а не с администратором, что, кстати говоря, даже при использовании средств контроля, подчас, ставит пользователя «в тупик», т.к. требует повышения квалификации пользователя в области компьютерной безопасности, а ему этого объективно не нужно.

Насколько эффективны такие  средства? Естественно, что с точки зрения обеспечения какого-либо приемлемого уровня защиты информации, об эффективности подобных средств говорить не приходится. Это утверждение очевидно – в любой момент времени база выявленных сигнатур априори не полна (полной она не может быть даже теоретически).

Кстати говоря, обратите внимание, что чуть ли  не важнейшим сравнительным критерием подобных средств является то, как оперативно разработчик сумеет выявить сигнатуру вируса и пополнить антивирусную базу. Но сигнатура-то выявляется уже после обнаружения вируса, а что этот вирус «натворит» до тех пор, пока не будет обнаружен?

Возможно, мы преувеличиваем? Что на этот счет думают эксперты:

• Вот, информация годичной давности: «Современные антивирусные средства неэффективны для противодействия новым троянам, шпионам и другим вредоносным программам. Грэхем Ингрэм, главный управляющий австралийского подразделения Группы оперативного реагирования на чрезвычайные ситуации в компьютерной области (AusCERT) утверждает, что распространённые антивирусные приложения блокируют лишь около 20 процентов недавно появившихся вредоносных программ. При этом популярные антивирусы пропускают до 80 процентов новых троянов, шпионов и других вредоносных программ. Это означает, что в восьми из десяти случаев недавно появившийся вирус может проникнуть на компьютер пользователя».
• А вот, что об этом думают сегодня: «На 12% компьютеров с установленными антивирусами действует вредоносное ПО, а на 35% находится скрытое вредоносное ПО, т.е. оно не активно, когда работает сканер, но может в любой момент активироваться и начать действовать, сообщает Panda Security по итогам сканирования компьютеров с помощью программ NanoScan и TotalScan на сайте Infectedornot.com
• Но это не единственная ключевая проблема использования механизмов контроля в качестве основы защиты информации. Современные условия практического использования подобных средств характеризуются тем, что  базы сигнатур уже давно «перевалили» за сотню тысяч. Если контроль только системного диска может составлять несколько часов, может ли в принципе использоваться такое средство на практике -  как часто мы будем использовать такое средство? Здесь уже разговор не об эффективности, а о применимости. Что же мы имеем - нет никакой гарантии выявить вновь созданный вирус, да и к тому же, серьезные ограничения по практическому применению - как использовать – редко бессмысленно, часто невозможно. Видим определенный «тупик» в реализации простых решений.

Когда же речь заходит  о корпоративных приложениях, то уже «во главу угла» ставится задача эффективной защиты информации, которая должна решаться профессионально. Не случайно, что защита информации в данных приложениях регламентируется соответствующими нормативными документами, средства защиты предполагают их сертификацию, а автоматизированная система (АС) обработки информации – аттестацию, а все в совокупности - квалифицированный анализ достаточности и корректности реализации механизмов защиты.

Основу обеспечения информационной безопасности в данных приложениях уже составляют именно механизмы защиты,  реализующие разграничительную политику доступа к ресурсам, а не простейшие механизмы контроля!

Важнейшим условием построения защиты в корпоративных  приложениях является то, что собственно пользователь должен рассматриваться в качестве основного потенциального злоумышленника (инсайдера). Как отмечали, это обусловливается тем, что пользователь здесь обрабатывает не собственную информацию, а корпоративную, следовательно, может быть заинтересован в ее хищении. Как следствие, появляется необходимость исключения пользователя из схемы администрирования средства защиты. Здесь уже не допустимо задание каких-либо вопросов пользователю, ответы на которые определяют действия системы. Есть администратор безопасности, любой «диалог» средства защиты возможен только с администратором. С учетом же того, что, как правило, администратор безопасности должен отвечать за безопасность некого набора компьютеров в сети (число которых может определяться сотнями), возможность подобного «диалога» принципиально исключается.

С учетом сказанного, в двух словах, вернемся к вопросам антивирусной защиты (именно этот пример, как наиболее полно характеризующий  положение дел, нами рассматривается в работе).

Так что же такое  «вирус» в общем случае, что  же несет в себе угрозу вирусной атаки? Для ответа на этот вопрос приведем известную укрупненную классификацию  вирусных атак:

4.     "Вредные программы" (трояны и т.п.). Отдельные программы, которые выполняют те или иные деструктивные/несанкционированные действия.

5.     «Вирусы». Программы, обычно не имеющие собственного исполняемого модуля и "живущие" (как правило, заражение осуществляется по средством их присоединения к исполняемому файлу) внутри другого файлового объекта или части физического носителя.

6.     «Черви». Разновидность 1,2,4, использующая сетевые возможности для заражения.

7.     «Макро-вирусы» (скриптовые вирусы) - программы, для исполнения которых требуется определенная среда выполнения (командный интрепретатор, виртуальная машина и т.п.). В эту же группу можем отнести и офисные приложения, позволяющие создавать и подключать макросы.