Защита информации - о сложном простыми словами

Михаил Симаков
заместитель начальника ОЭБ КБ
"Первый Экспресс" (ОАО)

Организационные мероприятия

К организационным мероприятиям относится разграничение прав доступа в помещения и к информации. Это целая серия мероприятий, основанных на различных документах. Регламенты, порядок доступа в помещения и к ресурсам, должностные инструкции и т.п. Главное правило во всех этих документах одно - каждый сотрудник должен иметь доступ только к той информации, которая ему необходима для исполнения своих служебных обязанностей. В соответствии с этим разграничивается доступ в помещения, к компьютерным и сетевым ресурсам, программному обеспечению.

Техническая сторона

Информация должна быть защищена физически.

Помещения, в которых обрабатывается либо хранится значимая для организации информация, должны иметь надежные стены, пол, потолок, окна и двери. В нерабочее время (ночь, выходные, праздники), данные помещения должны быть надежно закрыты и сданы под охрану. Доступ посторонним лицам (в том числе и сотрудникам организации) в данные помещения должен быть запрещен.

Необходимо обеспечить надежное электропитание.

Электропитание критически важных участков компьютерной сети обработки информации (сервера, хранилища данных, маршрутизаторы) должно быть непрерывным. Для обеспечения этого используется следующая схема:

• каждый "кусочек" компьютерной сети обеспечивается источником    бесперебойного питания, при этом время работы рассчитывается с учетом гарантированного подключения внешнего электропитания либо "правильного" отключения узла с завершением работы и сохранением всех данных;
• обеспечивается внешнее электропитание важных узлов не менее чем от двух независимых подстанций с автоматическим переключением между линиями;
• при отключении сразу обеих линий электропитания должен включаться независимый источник автономного электроснабжения (генератор).

Какие из этих мер использовать, решает собственник информации в зависимости от ее значимости и вероятности угрозы ее потерять.

В помещениях, где обрабатывается либо хранится значимая информация, должен поддерживаться определенный климат.

Здесь все понятно - указанные выше помещения должны быть оснащены установками поддержания микроклимата (кондиционерами). Причем они (кондиционеры) должны зимой подогревать помещение, а летом - охлаждать в автоматическом режиме. Не очень хорошо для поддержания микроклимата размещать в серверных батареи центрального отопления, так как в случае их "прорыва" ценная аппаратура и данные могут выйти из строя. Следует также учесть, что далеко не все кондиционеры способны работать в условиях русской зимы.

Должна быть обеспечена защита помещений и информации от пожара.

Необходимо оснастить помещения системами пожарного оповещения либо, в зависимости от значимости, системами автоматического пожаротушения. При этом системы пожарной сигнализации должны быть выведены на пульт охраны либо на пульт противопожарной службы, а системы автоматического пожаротушения должны учитывать, что в помещении работает большое количество электроприборов и возможно присутствие людей.

Должен быть обеспечен контроль за входом сотрудников в помещения. Помещения, в которых хранится либо обрабатывается значимая для организации информация, оснащаются системами контроля доступа. При этом в данную категорию входят как обыкновенный "кодовый" замок, так и сложная система контроля и управления доступом, подключенная к различным автоматизированным системам и системам видеонаблюдения. Какую систему разворачивать - решать собственнику.

Однако защита информации на этом далеко не закончилась.

Рассмотрим защиту программ, носителей и собственно информации.

Кстати, само "железо", то есть аппаратура, на которой происходит обработка и хранение значимой информации, тоже должна быть в специальном исполнении. Необходимо обеспечить как минимум ее надежность и безотказность (дублированные блоки питания, высоконадежные серверные компоненты, массивы данных повышенной надежности, "горячее" дублирование наиболее важных узлов компьютерной сети и т.д.).

Защита информации

Одним из наиболее важных моментов защиты информации является резервное копирование и дублирование систем. Я не случайно объединил эти два аспекта, так как оба процесса взаимосвязаны, зависимы и являются продолжением друг друга. В данной статье не говорится о резервном копировании с целью создания архиbob и соблюдения требований нормативов по хранению информации. Все, что описывается в этом разделе, относится к так называемому оперативному резервному копированию, которое необходимо для быстрейшего восстановления работоспособности систем и сохранения информации. Резервное копирование с целью создания различных архивов документов либо копирование информации в определенные периоды времени, связанное с исполнением законодательства и регламентирующих документов, необходимо рассматривать как отдельную процедуру.

Итак, резервирование информации должно обеспечивать гарантированное восстановление ее в случае каких-либо сбоев системы. При этом должно быть обеспечено несколько обязательных условий:

• резервное копирование должно обеспечивать возможность восстановления информации на тот момент времени, с которого возможно восстановление с "бумажных" версий документов. В небольших организациях обычно проводят ночное копирование;
• резервные копии должны храниться за весь период, в течение которого информация, содержащаяся на них, является актуальной. Практикуется перезапись носителей через 4 недели или более, если это позволяют объемы хранения;
• резервному копированию подлежат как данные, так и ПО, необходимое для работы с ними.

В некоторых случаях целесообразно разворачивать системы так называемого горячего резервирования, в которых на однотипном и основном оборудовании развернуто все необходимое программное обеспечение и поддерживается максимально актуальный массив информации.

Логическим продолжением систем резервного копирования являются системы дублирования. Причем дублируется и ПО, и данные. Если системы дублирования ПО и потоков обработки информации предназначены в первую очередь для обеспечения непрерывности процессов, то дублирование именно информации, так называемые системы побайтового дублирования, преследует целью обеспечение целостности и достоверности информации в любой момент времени.

Кроме локального дублирования, когда все "зеркала" находятся в пределах одной, пусть даже очень обширной, компьютерной сети, в последнее время широко распространяется облачное, когда информация дублируется на некий облачный ресурс.

Техническая защита информации

В общем, защищать надо все.

Начнем с периметра сети. Компьютерная сеть организации должна быть защищена по всему периметру без исключения. На всех точках выхода во внешнюю сеть обязательно организовываются межсетевые экраны. Компьютеры, на которых возможен выход за пределы Интранета, оборудуют персональными файрволами. Все другие точки выхода должны быть отключены организационно-техническими мерами либо в административном порядке. На выходах за пределы Интранета организуется подмена IP-адреса (NAT).

Компьютеры внутренней сети должны быть оснащены лицензионными операционными системами и программным комплексом, необходимым для работы. При этом в ОС должны быть установлены все необходимые патчи, обеспечивающие безопасность системы, а версии программ должны быть актуальными и безопасными. В тех случаях, когда это предписано федеральными законами либо другими нормативными документами, обязательными для исполнения, операционная система и программы должны быть сертифицированными.

Во внутренней компьютерной сети организуется работа корпоративного антивируса с системой централизованного администрирования и поддержания антивирусных баз в актуальном состоянии с обязательным подключением антивирусной защиты, защиты от шпионских программ и эвристического анализа.

Кроме того, на всех точках подключения Интранета к внешним сетям разворачивается антивирусная система, отличная от корпоративной (антивирус другого производителя). Это позволит в случае сбоя в работе одной системы все равно перехватить вредоносный код.

К сожалению, даже многократно защищенные антивирусом компьютеры и сети не могут противостоять квалифицированным атакам, направленным конкретно на данный участок.

В компьютерной сети применяется разграничение прав доступа к участкам сети и к информационным ресурсам, а также ограничение прав пользователя до минимально необходимых для работы. Для этой цели можно использовать средства операционной системы, AD, специальное ПО или даже оборудование разграничения доступа (электронные замки и т.п.).

Следующим шагом в нелегком пути защиты информации может (да и должно) служить разделение компьютерной сети на сегменты. В компьютерной сети организации выделяют кампусную часть. Разделение может быть проведено как логически (по адресному пространству), так и (это лучший способ) физически, на отдельном коммутаторе либо сегменте коммутатора третьего уровня. Подключение кампусной части к Интранету проводится посредством маршрутизаторов, осуществляющих разделение сетей с использованием межсетевых экранов в программном либо аппаратном исполнении. С помощью таких же устройств осуществляется подключение кампусной части и различных участков к внешним сетям.

Разделение компьютерной сети на сегменты осуществляется обычно по функциональным либо территориальным признакам или с использованием обоих факторов. То есть территориально удаленные участки выделяются в отдельные сегменты, в то же время абсолютно обоснованно выглядит логическое либо физическое разделение системы на подсети, работающие в различных информационных системах.

Подключение территориально удаленных сегментов сети к кампусной части для более надежной защиты информации необходимо осуществлять по выделенным каналам связи с использованием средств шифрования канала либо данных либо по выделенным оптоволоконным линиям связи с преобразованием сигнала только на оконечных участках.