Выберите регион:
Ваш город:
Нижний Новгород
ISO 9001:2008
Оставьте отзыв о нашей работе
21 Декабря

Защита коммерческой информации: актуальные вопросы

Процесс миграции материальных активов в сторону информационных — одна из ведущих тенденций развития современной бизнес-среды. В силу этого безопасность конфиденциальной информации становится все более важным аспектом ведения бизнеса в условиях агрессивной рыночной экономики. Освещение основных моментов ее обеспечения стало центральной частью семинара «Актуальные вопросы защиты коммерческой информации», организованного компанией «1С:Бухучет и Торговля» (БИТ) и ее структурным подразделением — компанией «7000».

            Согласно ГОСТу 350922-96, защита информации определяется как комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования и блокирования этой информации.
Основное количество информации перехватывается сегодня с помощью технических средств. По словам генерального директора компании «7000» Сергея ИВАНОВА, объясняется это довольно просто: большинство информации в настоящее время хранится, обрабатывается и передается электронными методами, которые позволяют вести наблюдение и регистрацию перехватываемых данных со стороны с помощью специальной аппаратуры, не вмешиваясь непосредственно в работу технических систем.
Каналы утечки информации достаточно многочисленны. Они могут быть как естественными, так и искусственными, то есть созданными с помощью технических средств. Перекрытие всех возможных каналов несанкционированного съема информации требует значительных затрат, и поэтому в полном объеме сделать это удается далеко не всегда. Следовательно, в первую очередь необходимо обратить внимание на те из них, которыми с наибольшей вероятностью могут воспользоваться недобросовестные конкуренты или злоумышленники.
С целью предотвращения утечек акустической (речевой), видовой информации, а также утечек информации за счет побочных электромагнитных излучений и наводок применяются специальные технические средства.
            Пассивные средства защиты, как правило, реализуются на этапе разработки проектных решений при строительстве или реконструкции зданий и позволяют заранее учесть типы строительных конструкций, способы прокладки коммуникаций, оптимальные места размещения защищаемых помещений. Защита данных в этом случае обеспечивается путем звукоизоляции помещений, систем инженерного обеспечения (вентиляции, отопления и кондиционирования), а также ограждающих конструкций (стены, пол, потолок, окна, двери).
В случае технической невозможности использования пассивных средств защиты помещений, применяют активные меры, заключающиеся в создании маскирующих акустических и вибрационных помех.
С целью предотвращения утечки информации по телефонным каналам связи оконечные устройства телефонной связи, имеющие прямой выход на городскую АТС, оборудуют специальными средствами защиты, которые используют электроакустическое преобразование.
Для осуществления мероприятий по защите персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) от несанкционированного доступа (НСД) и неправомерных действий пользователей и нарушителей системы защиты ПДн могут включать в себя ряд подсистем.
Подсистема управления доступом, регистрации и учета, как правило, реализуется с помощью специальных программных и программно-аппаратных средств защиты операционных систем, систем управления базами данных (СУБД) и прикладных программ, выполняющих функции защиты самостоятельно или в комплексе с другими средствами защиты и направленных на исключение или затруднение выполнения несанкционированных действий пользователей или нарушителей. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики (тестирование файловой системы), регистрации (журналирование действий и операций) и сигнализации (предупреждение об обнаружении фактов несанкционированных действий или нарушения штатного режима функционирования ИСПДн).
Одним из наиболее распространенных способов обеспечения защищенного удаленного взаимодействия между территориально разнесенными филиалами является организация виртуальных частных сетей (Virtual Private Network, сокр. VPN) на базе коммутируемых сетей общего пользования. VPN-технологии не требуют построения выделенного канала связи и при грамотном использовании средств защиты могут обеспечивать приемлемый для любой организации уровень информационной безопасности.
Для удаленной работы пользователей с корпоративными ресурсами повсеместно используются открытые Интернет-каналы передачи данных, что повышает вероятность  атак на ресурсы локальной сети в рамках информационного обмена. В таких обстоятельствах на первый план выходят проблемы проверки подлинности пользователя, дистанционно обращающегося к корпоративным ресурсам. Для этого могут применяться пароли, цифровые сертификаты, генераторы одноразовых паролей, токены ли же комбинация этих средств.
            «Самый большой минус парольной защиты — высокая вероятность утечки информации. Этот недостаток и послужил толчком для многочисленных попыток создания идеального идентификатора, — поясняет Сергей ИВАНОВ. — В их числе — использование электронных ключей Touch Memory, смарт-карт и других идентифицирующих устройств. Ряд подобных разработок на сегодняшний день завершают токены — персональные электронные идентификаторы доступа к информационным ресурсам, позволяющие безопасно хранить и использовать пароли, цифровые сертификаты, ключи шифрования и электронно-цифровые подписи. Основным их назначением является строгая аутентификация доступа, защита электронной переписки и финансовых транзакций. Различные модели eToken, выпускаемые фирмой Aladdin Knowledge Systems и российской компанией Aladdin, поддерживают работу и интегрируются со всеми основными системами и приложениями, использующими технологии смарт-карт или управления открытыми ключами (Public Key Infrastructure). Применение сертифицированных ключей eToken позволяет обеспечить выполнение требований ФСТЭК в подсистемах управления доступом».
Подсистема обеспечения целостности также реализуется преимущественно средствами самих операционных систем и СУБД. Работа данных средств основана на расчете контрольных сумм, уведомлении о сбое в передаче пакетов сообщений, повторе передачи непринятых пакетов.
Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, обеспечивающей обработку этой информации, применяются средства антивирусной защиты. Для осуществления разграничения доступа к ресурсам ИСПДн при межсетевом взаимодействии применяется межсетевое экранирование, которое реализуется программными и программно-аппаратными межсетевыми экранами, устанавливаемыми между защищаемой внутренней и внешней сетями; за счет соответствующих настроек задаются правила, которые позволяют ограничивать доступ пользователей из внутренней сети во внешнюю и наоборот.
Подсистема анализа защищенности предназначена для осуществления контроля настроек защиты операционных систем на рабочих станциях и серверах, позволяет оценить возможность проведения нарушителями атак на сетевое оборудование и контролирует безопасность программного обеспечения. С помощью так называемых средств обнаружения уязвимостей производится сканирование сети с целью исследования ее топологии, осуществления поиска незащищенных или несанкционированных сетевых подключений, проверки настроек межсетевых экранов и так далее. Результатом работы средств анализа защищенности является отчет, в котором обобщаются сведения об обнаруженных уязвимостях. По итогам сканирования системы вырабатываются рекомендации и меры, позволяющие устранить выявленные недостатки.
Для обеспечения безопасности ПДн при передаче по открытым каналам или в несегментированной сети служит подсистема криптографической защиты каналов связи. Помимо вышеназванной задачи она позволяет обеспечивать безопасное взаимодействие с технологическими сетями и доступ для осуществления удаленного администрирования.
Для реализации перечисленных подсистем общая структура средств защиты ПДн может включать в себя как существующие, так и дополнительные программно-аппаратные средства защиты информации. В соответствии с Постановлением Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» технические и программные средства, используемые для обработки данных в ИСПДн, должны в установленном порядке проходить процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.


Возврат к списку

Линия консультации
Поддержка вашего бизнеса 24/7

У вас возникли вопросы?
Задайте их нам!

Заполните форму - и мы перезвоним Вам в течение 2 часов в рабочее время.

Выберите регион:
Контакты

Узнайте первым об акциях и скидках и получайте профессиональные новости, а также советы по «1С» – еженедельно!


Если вы заметили ошибку, сообщите нам, выделив проблемный текст и нажав Shift + Enter. Спасибо!