Совершенствование методов защиты информации от несанкционированного доступа

DOI:

В современном мире в связи с постоянно растущими техническими возможностями злоумышленников по несанкционированному доступу к защищаемой информации в локальных вычислительных сетях (ЛВС), совершенствованию способов проведения на них атак

возникает необходимость совершенствования известных и разработки новых методов защиты информации.

Помимо технической составляющей немаловажным фактором риска является «человеческий», из-за которого по всему миру происходит до 52 % утечек информации (преднамеренных и непреднамеренных). Они распределяются по следующим категориям: 62,3 % – персональные данные, 31,0 % – платежные документы, 3,9 % – государственные тайны, 2,8 % – коммерческие тайны [4].

Необходимость защиты информации, содержащейся в информационных системах, в том числе государственных (ГИС), устанавливает Федеральный Закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». В данном документе указывается на то, что «лица, владеющие информацией, а также занимающиеся непосредственно обработкой (операторы ИС), обязаны обеспечивать должную защиту информации путем принятия организационных, технических и правовых мер, направленных на соблюдение таких трех составляющих, как конфиденциальность, целостность и доступность» [5].

Организация, занимающаяся обработкой защищаемой информации, обязана выполнять следующие задачи:

– контроль функционирования системы защиты;

– непрерывное совершенствование средств и методов контроля над работоспособностью механизмов защиты;

– совершенствование методов борьбы с вредоносными программами и вирусами;

– оптимизацию затрат на создание и эксплуатацию систем контроля, выражающуюся в экономической целесообразности применения систем информационной безопасности.

Реализация перечисленных задач предполагает использование соответствующих методов и средств защиты информации.

Программные, технические, программно-аппаратные являются одними из основных средств, которые обеспечивают безопасность в современных информационных системах.

Эффективными способами защиты считаются криптографические средства. Те из них, которые удовлетворяют соответствующим требованиям, характеризуются наибольшей надежностью и основываются на всевозможных криптоалгоритмах для шифрования данных [2].

Систематическое применение всех перечисленных выше средств и методов совре- менной защиты информации значительно увеличивает надежность системы безопасности и предотвращает разглашение защищаемой информации.

При этом существующие методы защиты информации включают в себя довольно большое количество механизмов и являются весьма трудоемким процессом, требующим постоянного совершенствования и оптимизации.

Рассмотрим один из них, а именно совершенствование программных средств защиты от несанкционированного доступа (НСД).

Выделим относительно новую, но малоизвестную в нашей стране систему сбора и корреляции событий информационной безопасности (ИБ) SIEM , которая относится к программным средствам.

Система защиты информации организации состоит из множества составляющих: антивирусные программы, межсетевые экраны, DLP , Web , E-mail- фильтрации и другие решения. Отдельные элементы защиты, пусть даже и лучшие в данном классе, имеют разные стандарты представления информации, что усложняет мониторинг событий ИБ, их сравнение, выявление и расследование.

Для оперативного обнаружения и реагирования на события ИБ современных предприятий используют системы класса SIEM (Security Information and Event Management). SIEM – это средство для автоматизации процессов выявления и реагирования на события в системе ИБ. Последняя выполняет сбор и анализирует события ИБ, в результате чего обнаруживает угрозы утечки защищаемой информации и оповещает об их появлении [6].

Стандартом построения системы является ISO 17799, который предусматривает внедрение комплексного подхода к решению поставленных задач по обеспечению конфиденциальности, целостности и доступности данных.

Данная система может функционировать в комплексе как с интегрированной, так и с адаптивной системой управления безопасностью.

Работа SIEM заключается в том, что система получает информацию о событиях из таких источников, как межсетевые экраны, IPS, антивирусные программы, операционные системы (ОС), накопители и т. д. Она отфильтровывает приобретенную информацию, приводя ее к единому формату. Это позволяет формировать и централизованно сохранять журналы событий. Далее SIEM отлаживает события: находит взаимосвязи и закономерности, что позволяет с высокой точностью выявлять потенциальные угрозы, аномалии, сбои в работе информационной системы, попытки несанкционированного доступа. Кроме того, использование SIEM дает возможность автоматизировать процессы реагирования на всевозможные инциденты ИБ.

В таблице приведены некоторые проблемы, которые можно решить SIEM системой. Ее использование позволит повысить эффективность защиты информации от НСД:

– снизить возникновение угроз ИБ за счет оперативного выявления и своевременного реагирования;

– сократить затраты и повысить производительность работы персонала;

– автоматизировать процесс оценки угроз и уязвимостей в соответствии с требованиями отечественных и зарубежных стандартов;

– эффективно контролировать состояние информационной системы и сократить время возможных задержек;

– оценивать эффективность имеющихся средств защиты информации за счет выявления и локализации всевозможных инцидентов ИБ;

– централизованно хранить информацию о процессах и инцидентах информационной безопасности с возможностью их последующего анализа.

Таким образом, к перспективным, но пока мало распространенным защитным технологиям от НСД можно отнести SIEM, PKI системы корреляции событий безопасности и системы единого управления разнородными средствами защиты. Данные технологии в настоящее время востребованы только в случаях комплексного применения межсетевых экранов, антивирусов, систем разграничения доступа, контроля НСД и т. д. Лишь десятки из тысяч российских компаний используют такие комплексные системы защиты информации [1; 3].

Применение данных технологий позволит в значительной степени уменьшить факторы риска по НСД, нарушения работы ИС и тем самым приведет к стабильности работы организации в целом.