Protecția informațiilor împotriva scurgerilor prin canale tehnice se realizează prin soluții de proiectare și arhitectură, măsuri organizatorice și tehnice, precum și identificarea dispozitivelor electronice portabile pentru interceptarea informațiilor (mai târziu ne vom concentra asupra acestui lucru).

Un eveniment organizațional este un eveniment de protecție a informațiilor, a cărui implementare nu necesită utilizarea unor mijloace tehnice special dezvoltate.

Principalele măsuri organizatorice și de regim includ:

• - implicarea în realizarea lucrărilor de protecție a informațiilor a organizațiilor care dețin licență de funcționare în domeniul protecției informațiilor, eliberată de autoritățile competente;
• - categorizarea și certificarea obiectelor și spațiilor TSPI alocate pentru desfășurarea evenimentelor închise (denumite în continuare spații alocate) pentru a îndeplini cerințele de asigurare a protecției informațiilor la desfășurarea lucrărilor cu informații de gradul de secretizare corespunzător;
• - utilizarea TSPI și VTSS certificate la unitate;
• - stabilirea unei zone controlate în jurul obiectului;
• - implicarea în construcția și reconstrucția instalațiilor TSPI, instalarea echipamentelor organizațiilor autorizate să opereze în domeniul securității informațiilor pe punctele relevante;
• - organizarea controlului și restricționarea accesului la instalațiile TSPI și la spațiile desemnate;
• - introducerea de restricții teritoriale, de frecvență, energetice, spațiale și temporale în modurile de utilizare a mijloacelor tehnice supuse protecției;
• - deconectarea echipamentelor tehnice care conțin elemente care acționează ca traductoare electroacustice de la liniile de comunicație etc., pe perioada evenimentelor închise.

Un eveniment tehnic este un eveniment de protecție a informațiilor care presupune utilizarea unor mijloace tehnice speciale, precum și implementarea de soluții tehnice.

Măsurile tehnice vizează închiderea canalelor de scurgere de informații prin slăbirea nivelului semnalelor informaționale sau reducerea raportului semnal-zgomot în locurile în care echipamentele portabile de recunoaștere sau senzorii acestora pot fi amplasate la valori care asigură imposibilitatea izolării unei informații. semnalează prin mijloace de recunoaștere și sunt efectuate folosind mijloace active și pasive.

Măsurile tehnice care utilizează mijloace pasive includ

Controlul și restricția accesului la facilitățile TSPI și la spațiile desemnate:

Instalarea mijloacelor tehnice și a sistemelor de restricționare și control al accesului la unitățile TSPI și în spațiile desemnate.

Localizarea radiațiilor:

• - ecranarea TSPI și a liniilor lor de legătură;
• - împământarea TSPI și ecranele liniilor de legătură ale acestora;
• - izolare fonică a camerelor dedicate.

Decuplarea semnalelor informaționale:

• - instalarea echipamentelor speciale de protecție în mijloace și sisteme tehnice auxiliare care au „efect de microfon” și se extind dincolo de zona controlată;
• - instalarea de inserții dielectrice speciale în împletiturile cablurilor de alimentare cu energie electrică, conductelor sistemelor de încălzire, sistemelor de alimentare cu apă și canalizare care se extind dincolo de zona controlată;
• - instalarea de surse de alimentare autonome sau stabilizate TSPI;
• - instalarea dispozitivelor de alimentare garantată TSPI;
• - instalarea filtrelor de suprimare a zgomotului tip FP în circuitele de alimentare TSPI, precum și în rețelele de iluminat și prize ale încăperilor dedicate.

Activitățile care utilizează mijloace active includ:

Zgomot spațial:

• - zgomot electromagnetic spațial folosind generatoare de zgomot sau crearea de interferențe țintite (la detectarea și determinarea frecvenței radiațiilor de la un dispozitiv încorporat sau a radiațiilor electromagnetice colaterale de la TSPI) folosind mijloace de creare a interferenței țintite;
• - crearea de interferențe acustice și de vibrații cu ajutorul generatoarelor de zgomot acustic;
• - suprimarea înregistratoarelor de voce în modul de înregistrare folosind supresoare de înregistratoare de voce.

Zgomot liniar:

• - zgomotul liniar al liniilor de alimentare cu energie electrică;
• - zgomotul liniar al conductoarelor străine și al liniilor de legătură ale VTSS care se extind dincolo de zona controlată.

Distrugerea dispozitivelor încorporate:

Distrugerea dispozitivelor încorporate conectate la linie folosind generatoare de impulsuri speciale (arzătoare de bug-uri).

Identificarea dispozitivelor electronice portabile de interceptare a informațiilor (dispozitive încorporate) se realizează prin efectuarea de anchete speciale, precum și inspecții speciale ale facilităților TSPI și ale spațiilor desemnate.

Inspecțiile speciale ale obiectelor TSPI și ale spațiilor desemnate sunt efectuate prin inspecție vizuală fără utilizarea mijloacelor tehnice.

O verificare specială se efectuează folosind mijloace tehnice:

Identificarea dispozitivelor încorporate folosind mijloace pasive:

• - instalarea în spațiile desemnate a mijloacelor și sistemelor de detectare a iradierii (iluminării) cu laser a geamurilor;
• - instalarea detectoarelor de înregistrare vocală staționară în zonele desemnate;
• - căutarea dispozitivelor încorporate folosind indicatoare de câmp, interceptoare, frecvențămetre, receptoare scanner și sisteme de control hardware și software;
• - organizarea monitorizării radio (permanent sau pe durata evenimentelor confidenţiale) şi a radiaţiilor electromagnetice colaterale de la TSPI.

Identificarea dispozitivelor încorporate folosind mijloace active:

• - inspectia speciala a spatiilor desemnate folosind localizatoare neliniare;
• - inspecția specială a spațiilor desemnate, TSPI și mijloace tehnice auxiliare folosind complexe de raze X.

Protecția informațiilor prelucrate prin mijloace tehnice se realizează prin metode și mijloace pasive și active.

Metodele pasive de protecție a informațiilor vizează:

• - slăbirea radiațiilor electromagnetice laterale (semnale de informare) ale TSPI la limita zonei controlate la valori care asigură imposibilitatea identificării lor prin mijloace de recunoaștere pe fondul zgomotului natural;
• - slăbirea interferenței din radiațiile electromagnetice laterale (semnale de informare) ale TSPI în conductoarele străine și liniile de legătură ale VTSS care se extind dincolo de zona controlată, la valori care asigură imposibilitatea identificării lor prin mijloace de recunoaștere pe fondul zgomotului natural;
• - excluderea (slăbirea) scurgerii semnalelor informaționale TSPI în circuitele de alimentare care se extind dincolo de zona controlată, la valori care asigură imposibilitatea identificării lor prin mijloace de recunoaștere pe fondul zgomotului natural.

Metodele active de protecție a informațiilor vizează:

• - crearea de mascare a interferențelor electromagnetice spațiale pentru a reduce raportul semnal-zgomot la limita zonei controlate la valori care fac imposibilă identificarea semnalului informațional TSPI de către instrumentele de recunoaștere;
• - crearea de mascare a interferențelor electromagnetice în conductoarele străine și liniile de conectare ale VTSS pentru a reduce raportul semnal-zgomot la limita zonei controlate la valori care fac imposibilă identificarea semnalului informațional TSPI de către instrumentele de recunoaștere.

Atenuarea radiațiilor electromagnetice parasite de la TSPI și interferența acesteia în conductorii străini se realizează prin ecranarea și împământarea TSPI și a liniilor lor de conectare.

Eliminarea (slăbirea) scurgerii semnalelor de informații TSPI în circuitul de alimentare se realizează prin filtrarea semnalelor de informații. Pentru a crea interferențe electromagnetice de mascare, sunt utilizate sisteme de zgomot spațial și liniar.

Ecranarea mijloacelor tehnice. Funcționarea oricăror mijloace tehnice de informare este asociată cu fluxul de curenți electrici de diferite frecvențe prin elementele sale purtătoare de curent și formarea unei diferențe de potențial între diferite puncte ale circuitului său electric, care generează câmpuri magnetice și electrice, numite laterale electromagnetice. radiatii.

Unitățile și elementele echipamentelor electronice, în care apar tensiuni înalte și curg curenți mici, creează câmpuri electromagnetice în zona apropiată cu predominanța componentei electrice. Influența predominantă a câmpurilor electrice asupra elementelor echipamentelor electronice se observă și în cazurile în care aceste elemente sunt insensibile la componenta magnetică a câmpului electromagnetic.

Unitățile și elementele echipamentelor electronice, în care curg curenți mari și scăderi mici de tensiune, creează câmpuri electromagnetice în zona apropiată cu predominanța componentei magnetice. Influența predominantă a câmpurilor magnetice asupra echipamentelor se observă și dacă dispozitivul în cauză este insensibil la componenta electrică sau este mult mai mică decât componenta magnetică datorită proprietăților emițătorului.

Câmpuri electrice și magnetice alternative sunt create și în spațiul care înconjoară liniile de legătură (sârme, cabluri) ale TSPI.

Radiația electromagnetică laterală de la TSPI este cauza canalelor de scurgere de informații electromagnetice și parametrice și poate provoca, de asemenea, interferența semnalelor de informații în liniile și structurile străine purtătoare de curent. Prin urmare, se acordă multă atenție reducerii nivelului de radiații electromagnetice parasite.

O metodă eficientă de reducere a nivelurilor PEMI este de a le proteja sursele. Se disting următoarele metode de ecranare:

• - electrostatic;
• - magnetostatic;
• - electromagnetice.

Ecranarea electrostatică și magnetostatică se bazează pe închiderea ecranului (având în primul caz conductivitate electrică ridicată, iar în al doilea - conductivitate magnetică) a câmpului electric și respectiv magnetic.

Ecranarea electrostatică se reduce, în esență, la închiderea câmpului electrostatic de pe suprafața unui ecran metalic și la descărcarea sarcinilor electrice la pământ (la corpul dispozitivului). Împământarea scutului electrostatic este un element necesar la implementarea ecranului electrostatic. Utilizarea ecranelor metalice vă permite să eliminați complet influența câmpului electrostatic. Când se utilizează ecrane dielectrice care se potrivesc strâns pe elementul ecranat, este posibil să se slăbească câmpul sursei de interferență cu un factor E, unde E este constanta dielectrică relativă a materialului ecranului.

Sarcina principală a ecranării câmpurilor electrice este reducerea capacității de cuplare dintre elementele structurale ecranate. În consecință, eficacitatea ecranării este determinată în principal de raportul capacităților de cuplare dintre sursă și receptorul de captare înainte și după instalarea unui ecran împământat. Prin urmare, orice acțiune care duce la o scădere a capacității de comunicare crește eficacitatea ecranării.

Efectul de ecranare al unei foi de metal depinde în mod semnificativ de calitatea conexiunii dintre ecran și corpul dispozitivului și de părțile ecranului între ele. Este deosebit de important să nu existe fire de legătură între părțile ecranului și carcasă. În intervalele de metri și de lungimi de undă mai scurte, conectarea conductorilor de câțiva centimetri lungime poate degrada dramatic eficiența ecranării. La unde și mai scurte ale intervalelor decimetrice și centimetrice, conectarea conductorilor și a autobuzelor între ecrane este inacceptabilă. Pentru a obține o eficiență ridicată a ecranării câmpului electric, este necesar să utilizați conexiunea continuă directă a părților individuale ale ecranului între ele.

Într-un ecran metalic, fante și găuri înguste, ale căror dimensiuni sunt mici în comparație cu lungimea de undă, practic nu afectează ecranarea câmpului electric.

Pe măsură ce frecvența crește, eficiența de ecranare scade.

Cerințele de bază pentru ecranele electrice pot fi formulate după cum urmează:

• - designul ecranului trebuie ales astfel încât liniile de câmp electric să se apropie de pereții ecranului fără a depăși limitele acestuia;
• - în regiunea de joasă frecvență (la o adâncime de penetrare (?) mai mare decât grosimea (d), adică la? > d), eficiența ecranării electrostatice este determinată practic de calitatea contactului electric al ecranului metalic cu corpul dispozitivului și depinde puțin de materialul ecranului și de grosimea acestuia;
• - în regiunea de înaltă frecvență (la d

Ecranarea magnetostatică este utilizată atunci când este necesară suprimarea interferențelor la frecvențe joase de la 0 la 3 ... 10 kHz.

Cerințele de bază pentru ecranele magnetostatice pot fi rezumate după cum urmează:

• - permeabilitatea magnetică a materialului ecranului trebuie să fie cât mai mare posibil. Pentru fabricarea ecranelor, este de dorit să se utilizeze materiale magnetice moi cu permeabilitate magnetică ridicată (de exemplu, permalloy);
• - o creștere a grosimii pereților ecranului duce la o creștere a eficienței de ecranare, cu toate acestea, ar trebui luate în considerare eventualele restricții de proiectare privind greutatea și dimensiunile ecranului;
• - îmbinările, tăieturile și cusăturile din ecran trebuie plasate paralel cu liniile de inducție magnetică ale câmpului magnetic. Numărul lor ar trebui să fie minim;
• - împământarea ecranului nu afectează eficacitatea ecranării magnetostatice.

Eficiența ecranării magnetostatice crește atunci când sunt utilizate scuturi multistrat.

Ecranarea unui câmp magnetic de înaltă frecvență se bazează pe utilizarea inducției magnetice, care creează curenți turbionari inductivi alternativi (curenți Foucault) în ecran. Câmpul magnetic al acestor curenți din interiorul ecranului va fi direcționat către câmpul excitant, iar în afara acestuia - în aceeași direcție cu câmpul excitant. Câmpul rezultat este slăbit în interiorul ecranului și întărit în afara acestuia. Curenții turbionari din ecran sunt distribuiți neuniform pe secțiunea transversală (grosime). Acest lucru este cauzat de fenomenul efectului de suprafață, a cărui esență este că câmpul magnetic alternativ slăbește pe măsură ce pătrunde mai adânc în metal, deoarece straturile interne sunt ecranate de curenții turbionari care circulă în straturile de suprafață.

Datorită efectului de suprafață, densitatea curenților turbionari și intensitatea câmpului magnetic alternativ scade exponențial pe măsură ce se pătrunde mai adânc în metal. În sursele de câmpuri electromagnetice și interferențe, filtrarea este efectuată pentru a preveni răspândirea oscilațiilor electromagnetice nedorite dincolo de limitele dispozitivului - sursa semnalului periculos. Filtrarea câmpurilor electromagnetice și interferența în dispozitivele receptor ar trebui să elimine impactul acestora asupra receptorului.

Pentru a filtra semnalele în circuitele de alimentare TSPI, se folosesc transformatoare de izolare și filtre de suprimare a zgomotului.

Transformatoare de izolare. Astfel de transformatoare trebuie să asigure decuplarea circuitelor primar și secundar prin semnale de interferență. Aceasta înseamnă că interferențele care apar în circuitul de înfășurare primar nu trebuie să pătrundă în circuitul secundar al transformatorului. Pătrunderea interferenței în înfășurarea secundară se explică prin prezența unor circuite de comunicație rezistive și capacitive nedorite între înfășurări.

Pentru a reduce cuplarea înfășurărilor din cauza semnalelor de interferență, se folosește adesea un scut intern, realizat sub forma unei garnituri împământate sau a unei folii plasate între înfășurările primare și secundare. Cu ajutorul acestui ecran, interferența care acționează în înfășurarea primară este scurtcircuitată la masă. Cu toate acestea, câmpul electrostatic din jurul ecranului poate provoca, de asemenea, pătrunderea zgomotului în circuitul secundar.

Transformatoarele de izolare sunt folosite pentru a rezolva o serie de probleme. - Mod de acces: http://www.keydevil.com/secure-purchase.html.

13. Kuhn Markus G. Emanații compromițătoare: riscurile de interceptare a afișajelor computerelor.[Resursă electronică]. - Mod de acces: http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-577.html .

14. Produse de securitate și supraveghere.[Resursă electronică]. - Mod de acces: http://endoacustica.com/index_en.htm.

15. Keylogger controlat fără fir.[Resursă electronică]. - Mod de acces:

Competitivitatea organizațiilor din multe sectoare ale economiei depinde direct de siguranța secretelor lor comerciale - baza de clienți, strategiile de afaceri și prețurile de achiziție. Cu toate acestea, volumul informațiilor confidențiale a crescut recent, iar alegerea mijloacelor de protecție împotriva scurgerilor de informații devine dificilă.

Alegerea arhitecturală a instrumentelor pentru rezolvarea acestei probleme este determinată de răspunsurile la următoarele întrebări:

• Ce informații trebuie protejate (datele clienților, contactele clienților, prețurile de achiziție, datele personale)?
• De cine ar trebui să fie protejate informațiile (modelul intrus)?
• Ce segment de infrastructură trebuie protejat - unde, ca primă aproximare, se află informațiile protejate (birou, fabrică, magazin, dispozitive mobile)?

Articolul descrie în mod consecvent metodologia de analiză și pregătire a răspunsurilor la întrebările de mai sus - dezvoltarea arhitecturii unui sistem de protecție împotriva scurgerilor de informații.

Ce informații trebuie protejate?

Răspunsul standard al unui specialist în securitatea informațiilor la întrebarea „ce trebuie protejat” va conține trei aspecte - informații confidențiale, date sensibile și secrete comerciale. Cu toate acestea, este necesar să se clarifice că, în fiecare caz specific, răspunsul la această întrebare este determinat de informațiile pe care întreprinderea le consideră a fi de mare valoare. Pentru unele companii aceasta ar putea fi baza lor de clienți, pentru altele ar putea fi informații de geolocalizare și probabil pentru toate afacerile ar putea fi informații legate de activitățile lor financiare.

Mai mult, orice întreprindere este o colecție de unități de afaceri și departamente de servicii, ai căror șefi pot ajuta un specialist în securitatea informațiilor să înțeleagă ce anume este valoros pentru întreprindere, ce informații specifice sunt. De exemplu, pentru o companie de rețea electrică, din punct de vedere al serviciului financiar, este necesar să se protejeze structura costurilor tarifului, iar din punctul de vedere al personalului, informații despre compensații (salarii și bonusuri), ca precum și baza de date CV-uri.

După formarea unei viziuni generale asupra a ceea ce vor fi clasificate drept date valoroase, este necesar să trecem la clasificarea matricei de date existente în întreprindere. Pentru a reduce intensitatea muncii și a îmbunătăți calitatea acestei etape a muncii, instrumente de automatizare din clasa Aplicație de clasificare a datelor (sau „păianjen”, „crawler”), disponibile pe scară largă pe piață - Digital Guardian, Forcepoint, Varonis IDU Classification Framework, Titus , Classifier360 și altele, pot fi utilizate pe scară largă pe piață. Aceste soluții oferă căutarea și clasificarea matricei de date a unei întreprinderi în funcție de criterii specificate și sunt adesea folosite ca unul dintre elementele unui set de măsuri de securitate împotriva scurgerilor de informații.

Principiile de bază ale clasificării datelor sunt:

• analiza de conținut a conținutului fișierelor pentru cuvinte cheie (numerele cardurilor de credit, numerele contractelor, date de geopoziționare etc.);
• analiza contextuală (expeditorul scrisorii, data creării și autorul documentului etc.);
• clasificarea personalizată a datelor, atunci când atribuirea etichetelor datelor de protejat se face manual.

Această structură de date trebuie înregistrată în documentele interne ale întreprinderii - descrieți nivelurile de confidențialitate ale informațiilor sensibile (lista informațiilor confidențiale) și determinați metodologia de lucru cu aceste informații - elaborați politici de securitate a informațiilor, reglementări pentru lucrul cu informații confidențiale.

Un element cheie care asigură eficiența protejării unei întreprinderi împotriva scurgerilor de informații este informarea angajaților despre compoziția informațiilor confidențiale și regulile de lucru cu acestea. Unul dintre marile fonduri de investiții cu active de peste un miliard de dolari a pierdut controlul asupra raportării financiare confidențiale pur și simplu prin faptul că nu a comunicat regulile de securitate unui angajat cheie: departamentul de securitate a considerat că HR a predat regulile de lucru cu informații confidențiale, iar HR că departamentul de securitate l-a predat. Între timp, angajatul a luat hard disk-ul acasă. Nimeni nu ar fi știut despre acest incident a fost descoperit doar în timpul auditului eficacității funcțiilor IT ale companiei.

O abordare modernă a sarcinii de formare și monitorizare a cunoștințelor angajaților este utilizarea de programe specializate pentru a crește gradul de conștientizare a utilizatorilor (de exemplu, astfel de soluții sunt disponibile de la UBS, Kaspersky Lab, Angara Technologies Group etc.). Instruirea și controlul cunoștințelor angajaților întreprinderii se desfășoară interactiv, sub format de lecții și teste video, precum și chestionare și chestion-uri - pentru utilizatorii cu un nivel ridicat de acces la informații.

De cine ar trebui protejate informațiile?

Intrus extern

Abordarea de bază a protecției împotriva unui intrus extern este crearea unui perimetru de întreprindere securizat, atât informațional, cât și fizic. Echipamentul tehnic esențial este un sistem de control și management al accesului (ACS) și un sistem de supraveghere video, care este un instrument indispensabil în investigarea incidentelor.

O atenție deosebită trebuie acordată distrugerii corecte a documentelor pe hârtie. Destul de ciudat, nu toate companiile folosesc tocatoare la locurile de muncă ale angajaților lor: o companie mare a efectuat instruire și testare obligatorie privind stocarea și transmiterea informațiilor confidențiale, a introdus reglementări de securitate a informațiilor și a implementat un „birou curat” și „sertare încuiate” politica. Cu toate acestea, sistemul de distrugere a documentelor folosea cutii de carton care erau trimise la tocatoarele industriale o dată pe săptămână. Astfel, in perioadele de completare a cutiilor se puteau gasi in ele documente valoroase de orice fel: contracte, facturi, scrisori confidentiale etc.

Principalele componente ale perimetrului protejat de informații ale unei întreprinderi includ disponibilitatea instrumentelor de protecție a rețelei și de gestionare a vulnerabilităților.

Întreprinderile rusești folosesc trei principale tipul mijloacelor de protecție a rețelei:

• Firewall-uri, sau mai exact, soluții NGFW sau UTM (Check Point NGTP, Palo Alto NGFW, Fortinet FortiGate etc.). Firewall-urile moderne au deja motoare DLP minime care vă permit să detectați scurgerile folosind modele personalizate.
• Funcție de control al traficului web - ca gateway separat sau ca parte a unui NGFW (Blue Coat SG, McAfee WGW, Cisco WSA, Check Point NGTP, Palo Alto NGFW, Fortinet FortiGate etc.). În special, ar fi util să interziceți utilizarea serviciilor Google (Disk, Gmail), mail.ru, yandex.ru, cel puțin pentru operațiunea de încărcare. În special, este necesar să se monitorizeze acțiunile utilizatorilor pe Internet și să se limiteze cantitatea de informații descărcate.
• Dacă o întreprindere folosește un portal corporativ pentru a stoca documente confidențiale, este logic să acordați atenție soluțiilor din clasa Web Application Firewall (WAF) (de exemplu, astfel de soluții sunt disponibile de la companii: Imperva, F5 Networks, A10 Networks, Positive). Tehnologii, Cod de securitate etc.).

Managementul vulnerabilităților- un proces extrem de important pentru construirea unei infrastructuri sigure: evenimentele recente cu virusul WannaCry și, mai ales semnificativ, cu virusul Petya (de fapt, exploatează aceeași vulnerabilitate) au amintit clar acest lucru. Da, protecția împotriva virușilor ransomware este mai aproape de domeniul soluțiilor de prevenire a pierderii datelor decât de furtul de informații. Totuși, de exemplu, procesul de gestionare a actualizărilor software (Patch Management), în general, va complica pătrunderea fundamentală în perimetrul informațional al întreprinderii, indiferent de scopul acesteia.

Intrus înăuntru

Protecția împotriva unui intrus intern este un subiect foarte relevant și cu mai multe fațete, căruia îi sunt dedicate sute de articole și studii. În această publicație, observăm că, pentru a proteja eficient împotriva scurgerii de informații importante pentru o întreprindere, este necesar să se dezvolte un model de încălcare a securității informațiilor interne, ținând cont de cel puțin următorii parametri: are acces legitim încalcătorului la date, ce drepturi are (limitat sau privilegiat), tip de acces la date - numai din rețeaua corporativă sau și din exterior, de pe ce dispozitive este posibil accesul (calculator personal, dispozitive mobile), natura acțiunilor (intenţionat sau neintenţionat).

Printre mijloacele promițătoare de protecție împotriva unui atacator intern se numără nu atât binecunoscutul DLP, ci mijloacele moderne de analiză comportamentală și de evenimente - UEBA (User and Entity Behavioral Analysis), SIEM (Security Incidents and Event Monitoring).

Într-una dintre primele 50 de bănci comerciale (cu capital internațional), disperată să găsească o soluție accesibilă, serviciul de securitate a informațiilor a înlocuit DLP cu un complex de instrumente SIEM, NGFW și de protecție a punctelor terminale.

Ce segment de infrastructură trebuie protejat?

Ca orice entitate „vie” în schimbare, datele au propriul ciclu de viață și propria lor cale în infrastructură, și anume:

• stocarea și procesarea datelor într-un centru de date sau un centru de date în cloud;
• stocarea și prelucrarea datelor pe computerul personal al utilizatorului, transfer între centrul de date și computerul utilizatorului;
• stocare și procesare pe dispozitivul mobil al utilizatorului, transmiterea către dispozitivul mobil al utilizatorului.

Protecția datelor în centrul de date

Nu se poate vorbi de vreo protecție dacă nu există măsuri de bază pentru controlul accesului la resursele centrului de date. Acest lucru se poate face folosind următoarele instrumente de bază:

• Microsegmentarea segmentului de server și controlul granular al accesului la acesta - conceptele SDN sau TrustSec, care sunt mai relevante acum, și implementarea NGFW interne (inclusiv implementările virtuale) vor ajuta aici.
• Autentificare la accesarea resurselor, de preferință cu doi factori (RSA, JaCarta, Rutoken etc.).
• Autorizarea utilizatorilor pentru accesarea resurselor corporative: aici puteți lua în considerare sistemele globale IDM și SSO - sisteme de atribuire de drepturi utilizatorilor în funcție de rolurile care le sunt atribuite, cu „moștenire” transparentă a acreditărilor între sistemele informaționale. Aceste sisteme fac, de asemenea, posibilă reducerea numărului de erori cauzate de „factorul uman”, atunci când utilizatorului i se atribuie mai multe drepturi decât are nevoie, sau erori asociate cu eliminarea prematură a drepturilor revocate.

La atingerea unui anumit nivel de „maturitate”, este posibil să se utilizeze soluții la nivel de aplicație:

• Implementarea conceptului Virtual Data Room (VDR) - o stocare de date structurată cu acces granular la containerele de documente sau documentele în sine. De regulă, interfața cu utilizatorul este un portal web cu un birou virtual de unde utilizatorul are acces la document. Cele mai cunoscute opțiuni de implementare sunt Microsoft SharePoint și portalul Google Docs.
• Monitorizarea și Prevenirea activității bazei de date (DAM/DAMP) este un sistem de auditare și monitorizare a activităților cu baza de date, de fapt, monitorizarea cererilor către baza de date. Sistemul vă permite să monitorizați și, în cazul DAMP, să blocați cererile nelegitime către baza de date. Astfel, este posibil să se controleze dacă utilizatorul primește acces la baza de date care nu este necesară pentru munca sa și dacă efectuează o solicitare regulată de înregistrări de care nu are nevoie pentru munca sa. Acest sistem vă permite să controlați utilizatorii de baze de date privilegiați, să îi monitorizați pentru scurgeri sau să blocați descărcările lor de date.
• Criptarea bazei de date este o opțiune care este mai sigură pentru un utilizator nelegitim în ceea ce privește stocarea datelor decât DAM(P). În acest caz, înregistrările din baza de date sunt stocate criptat, lucrul cu ele se realizează prin interfața de conversie și, prin urmare, furtul datelor de către un utilizator nelegitim nu îi va permite să le citească. Opțiuni de criptare: întreaga bază de date, tabele de baze de date dedicate, înregistrări dedicate. Dezavantajul acestei protecții este impactul direct asupra performanței bazei de date.
• Unstructured Data Management (UDM) este o soluție care vizează gestionarea datelor din depozitele de fișiere, portaluri și alte surse nestructurate. Uneori, atunci când folosește UDM, utilizatorul nu lucrează direct cu datele, ci obține acces prin interfața sistemului UDM. În alte cazuri, UDM caută informații sensibile, gestionează informațiile sensibile în conformitate cu politicile de securitate corporative și ajută la înțelegerea „cine a mâncat din bolul meu” în situații de conflict complexe.

Securitate în procesele de afaceri

Deosebit de greu de implementat este controlul fluxurilor de informații și mișcarea informațiilor în timpul stocării, procesării și transmiterii informațiilor de către utilizatori. Utilizatorii nu respectă întotdeauna regulile de securitate a informațiilor (sau chiar le ignoră complet), regulile de flux de documente (semnături, etichete și alte mecanisme de marcare) și, de asemenea, doresc ca serviciile și echipamentele să funcționeze fără întârzieri. Pentru a îndeplini cerințele enumerate, întreprinderile folosesc trei clase de tehnologii specializate (seturi de tehnologii):

• Data Leak Prevention (DLP) și DLP nu acționează ca un produs, ci ca un set de soluții. Este necesar să se controleze scurgerile de-a lungul întregii căi de date dintre computer și utilizator, prin toate canalele de transmisie a datelor - aceasta este e-mailul, web-ul și dispozitivele de stocare externe. De asemenea, este necesar să se monitorizeze absența programelor interzise pe computerul utilizatorului, de exemplu, programe de criptare sau conexiuni la modemuri USB externe. Sistemele DLP pot monitoriza scurgerile printr-un canal corporativ, monitorizând cuvintele cheie, etichetele documentelor și metadatele acestora. Scurgerile printr-un canal web sunt monitorizate în același mod, cu dezvăluirea obligatorie a traficului SSL (este necesară integrarea cu un gateway web). Sistemul DLP trebuie să aibă software agent care monitorizează mișcarea fișierelor pe sistemul de fișiere al utilizatorului. Uneori, un sistem DLP este instalat în modul „monitorizare silențioasă”, neobservat de utilizator. În acest caz, utilizatorul care a decis să preia datele de care este interesat de la întreprindere este mai ușor de detectat, deoarece el, de regulă, folosește mijloace simple pentru scopurile sale.
• Fără utilizarea unei abordări integrate pentru asigurarea securității informațiilor, implementarea unui sistem DLP poate să nu aducă rezultatele așteptate. De exemplu, dacă utilizatorii au capacitatea de a copia informații pe unități USB sau de a transfera arhive criptate prin e-mail, atunci scurgerea documentelor, chiar și cu un sistem DLP implementat, nu va fi detectată. Tocmai aceasta este situația apărută în timpul unui proiect pilot de implementare a unui sistem DLP la unul dintre retailerii rețelei de retail.
• Soluțiile din clasa Information Rights Management (IRM) / Digital Rights Management (DRM) realizează containerizarea fiecărui document protejat individual. Astfel, informațiile despre drepturile de acces și cheile de criptare a documentelor sunt legate direct de documentul în sine. Prin urmare, chiar dacă documentul cade în mâini greșite, acesta nu va fi deschis și citit. Din punct de vedere al protecției documentelor, această soluție își îndeplinește scopul în aproape orice scenariu de furt de documente. Dezavantajul unor astfel de soluții este complexitatea implementării lor, atât tehnic (cerințe pentru computerele utilizatorilor, disponibilitatea serverelor de autorizare), cât și organizatoric (este necesar să se instruiască angajații să lucreze cu sistemul, să atribuie corect drepturile, este necesar să se asigure suport de sistem).
• Pentru utilizatorii de telefonie mobilă cu un nivel ridicat de acces la documente valoroase, cel mai bine este să utilizați criptarea completă a sistemului de fișiere al laptopului - Full Disk Encryption (FDE). Atunci un laptop uitat la aeroport nu va deveni un „dezastru” pentru companie. În presă au apărut informații că Administrația Națională pentru Aeronautică și Spațiu (NASA) a pierdut deja 4 laptopuri cu date despre programe spațiale și zeci de mii de angajați.

Protecția împotriva scurgerilor în timpul lucrului utilizatorilor privilegiați este în primul rând o soluție a clasei Privileged User Management (PUM), care implementează „proxy” a muncii unui utilizator privilegiat cu sistemul țintă. Ca parte a funcționării sistemului, este posibil să controlați comenzile introduse de utilizator, să blocați acțiunile interzise și să înregistrați literalmente prin video toate acțiunile efectuate de utilizator. De asemenea, pentru a controla și limita puterile utilizatorilor privilegiați, se folosește soluția DRM menționată mai sus sau mascarea datelor din baza de date.

Securitatea computerelor mobile

În 2017, nu se poate să nu menționăm un alt context important pentru lucrul cu documente valoroase – telefoanele mobile și tabletele. Problemele publicării securizate a datelor pe Internet și stocării datelor pe dispozitivele utilizatorilor ies în prim-plan. Să enumerăm principalele soluții care sunt utilizate cu succes de întreprinderile rusești în acest context:

• Portaluri SSL - mulți producători de gateway-uri NGFW sau Web-GW oferă implementarea de module software - portaluri web care implementează, în primul rând, criptarea SSL, în al doilea rând, autentificarea și autorizarea utilizatorilor la conectare, înregistrarea acțiunilor utilizatorului și, cel mai important, Ce este important în acest caz este implementarea unui client mobil pentru lucrul cu portalul și documentele primite prin intermediul acestuia. Opțiunile de implementare includ atât soluții care protejează datele doar în timpul transmiterii, cât și soluții cu protecție minimă a datelor și atunci când sunt stocate pe dispozitiv, inclusiv containerizarea și interzicerea accesului la fișierele aplicațiilor mobile externe, autentificarea utilizatorului la accesarea documentelor și, în unele cazuri, criptarea container cu date (Check Point Capsule).
• Soluții din clasa Mobile Device Management (MDM): dacă lucrul cu documente valoroase este disponibil de pe dispozitivele mobile ale utilizatorilor și întreprinderea folosește conceptul BYOD (Bring Your Own Device), atunci implementarea unui sistem MDM pare foarte relevantă.

concluzii

Scurgerea de informații valoroase implică nu numai pierderi financiare, ci și de reputație pentru întreprindere, care adesea nu sunt posibile de evaluat în termeni monetari. Prin urmare, implementarea soluțiilor de protecție împotriva scurgerilor de informații la o întreprindere necesită nu numai o abordare integrată și un studiu tehnic atent, ci și o viziune strategică și sprijin din partea conducerii companiei. Dacă o companie are de gând să domine piața și să opereze în vederea creșterii pe termen lung, ar trebui să se gândească la protejarea secretelor sale.

Cu toate acestea, protecția poate să nu merite secretele protejate sau chiar să fie complet inutilă, dacă este realizată la întâmplare, fără a planifica cu atenție un sistem de protecție împotriva scurgerii de informații confidențiale ale întreprinderii.

Protecția informațiilor împotriva scurgerilor prin PEMIN se realizează folosind metode și mijloace pasive și active.

Metodele pasive de protecție a informațiilor vizează:

• slăbirea radiațiilor electromagnetice laterale (semnale de informare) ale OTSS la limita zonei controlate la valori care asigură imposibilitatea identificării lor prin mijloace de recunoaștere pe fondul zgomotului natural;
• slăbirea interferenței radiațiilor electromagnetice parasite în conductoarele străine și liniile de legătură care se extind dincolo de zona controlată, la valori care asigură imposibilitatea identificării lor prin mijloace de recunoaștere pe fondul zgomotului natural;
• eliminarea sau slăbirea scurgerii semnalelor informaționale în circuitele de alimentare care se extind dincolo de zona controlată, până la valori care asigură imposibilitatea identificării lor prin mijloace de recunoaștere pe fondul zgomotului natural.

Metodele active de protecție a informațiilor vizează:

• crearea de mascare a interferențelor electromagnetice spațiale pentru a reduce raportul semnal-zgomot la limita zonei controlate la valori care să asigure imposibilitatea identificării unui semnal de informare prin recunoaștere;
• crearea de mascare a interferențelor electromagnetice în conductorii străini și liniile de legătură pentru a reduce raportul semnal-zgomot la limita zonei controlate la valori care fac imposibilă identificarea unui semnal de informare pentru instrumentele de recunoaștere.

Să luăm în considerare mai detaliat cele mai comune metode de protecție pasivă și activă împotriva PEMIN.

Ecranarea mijloacelor tehnice

După cum se știe din prelegerile anterioare, în timpul funcționării mijloacelor tehnice de procesare, primire, stocare și transmitere a informațiilor (TSPI), se creează curenți și câmpuri laterale care pot fi utilizate de către un atacator pentru a obține informații. Pentru a rezuma, putem concluziona că între două elemente conductoare pot apărea următoarele tipuri de comunicare:

• printr-un câmp electric;
• printr-un câmp magnetic;
• printr-un câmp electromagnetic;
• prin fire de legătură.

Caracteristica principală a câmpului este puterea sa. Pentru câmpurile electrice și magnetice din spațiul liber, este invers proporțional cu pătratul distanței de la sursa semnalului. Intensitatea câmpului electromagnetic este invers proporțională cu prima putere a distanței. Tensiunea de la capătul unui fir sau al unei linii de undă scade lent odată cu distanța. În consecință, la o distanță mică de sursa semnalului, au loc toate cele patru tipuri de comunicații. Pe măsură ce distanța crește, mai întâi dispar câmpurile electrice și magnetice, apoi câmpul electromagnetic și la o distanță foarte mare este afectată doar comunicarea prin fire și ghiduri de undă.

Una dintre cele mai eficiente metode pasive de protecție împotriva PEMI este ecranarea. Ecranarea- localizarea energiei electromagnetice într-un anumit spațiu prin limitarea distribuției acesteia în toate modurile posibile.

Există trei tipuri de ecranare:

• electrostatic;
• magnetostatic;
• electromagnetic.

Ecranare electrostatică constă în închiderea unui câmp electrostatic pe suprafața unui ecran metalic și descărcarea sarcinilor electrice la pământ (la corpul dispozitivului) folosind o buclă de masă. Acesta din urmă ar trebui să aibă o rezistență de cel mult 4 ohmi. Utilizarea ecranelor metalice este foarte eficientă și vă permite să eliminați complet influența câmpului electrostatic. Cu utilizarea corectă a ecranelor dielectrice care se potrivesc strâns pe elementul ecranat, este posibil să se slăbească câmpul sursei de semnal de ε ori, unde ε este constanta dielectrică relativă a materialului ecranului.

Eficacitatea utilizării ecranului depinde în mare măsură de calitatea conexiunii dintre carcasa TSPI și ecran. Aici, absența firelor de conectare între părțile ecranului și corpul TSPI este de o importanță deosebită.

Cerințele de bază pentru ecranele electrice pot fi formulate după cum urmează:

• designul ecranului trebuie ales astfel încât liniile de câmp electric să se apropie de pereții ecranului fără a depăși limitele acestuia;
• în regiunea de joasă frecvență (la o adâncime de penetrare (δ) mai mare decât grosimea (d), adică la δ > d), eficiența ecranării electrostatice este determinată practic de calitatea contactului electric al ecranului metalic cu corpul dispozitivului și depinde puțin de materialul ecranului și de grosimea acestuia;
• în regiunea de înaltă frecvență (la d< δ) эффективность экрана, работающего в электромагнитном режиме, определяется его толщиной, проводимостью и магнитной проницаемостью.

La ecranarea câmpurilor magnetice, se face o distincție între câmpurile magnetice de joasă frecvență și cele de înaltă frecvență. utilizat pentru interferențe de joasă frecvență în intervalul de la 0 la 3...10 kHz. Câmpurile magnetice de joasă frecvență sunt deviate de ecran datorită direcției liniilor de câmp de-a lungul pereților ecranului.

Să luăm în considerare mai detaliat principiul ecranării magnetostatice.

În jurul elementului (să fie bobină) cu curent continuu există un câmp magnetic cu intensitatea H 0, care trebuie ecranat. Pentru a face acest lucru, înconjurăm bobina cu un ecran închis a cărui permeabilitate magnetică µ este mai mare decât unitatea. Ecranul va fi magnetizat, creând un câmp secundar care va slăbi câmpul primar din afara ecranului. Adică liniile de câmp ale bobinei, întâmpinând un ecran care are o rezistență magnetică mai mică decât aerul, tind să treacă de-a lungul pereților ecranului și să ajungă în spațiul din exteriorul ecranului în cantitate mai mică. Un astfel de ecran este în egală măsură potrivit pentru protecția împotriva influenței unui câmp magnetic și pentru protejarea spațiului exterior de influența unui câmp magnetic creat de o sursă din interiorul ecranului (Figura 16.1).

Orez. 16.1.

Cerințele de bază pentru ecranele magnetostatice pot fi rezumate după cum urmează:

• Permeabilitatea magnetică µ a materialului ecranului trebuie să fie cât mai mare posibil. Pentru fabricarea ecranelor, este de dorit să se utilizeze materiale magnetice moi cu permeabilitate magnetică ridicată (de exemplu, permalloy);
• o creștere a grosimii pereților ecranului duce la o creștere a eficienței de ecranare, cu toate acestea, ar trebui luate în considerare posibilele limitări de proiectare privind greutatea și dimensiunile ecranului;
• îmbinările, tăieturile și cusăturile din ecran trebuie plasate paralel cu liniile de inducție magnetică ale câmpului magnetic. Numărul lor ar trebui să fie minim;
• Împământarea ecranului nu afectează eficacitatea ecranării magnetostatice.

Eficiența ecranării magnetostatice crește atunci când sunt utilizate scuturi multistrat.

Ecranare electromagnetică folosit la frecvente inalte. Acțiunea unui astfel de ecran se bazează pe faptul că câmpul electromagnetic de înaltă frecvență este slăbit de curenții turbionari de tensiune inversă pe care îi creează. Această metodă de ecranare poate slăbi atât câmpurile magnetice, cât și cele electrice și, prin urmare, este numită electromagnetică.

Esența fizică simplificată a ecranării electromagnetice se reduce la faptul că, sub influența unei surse de energie electromagnetică, sarcinile apar pe partea ecranului îndreptată spre sursă, iar în pereții săi apar curenți, ale căror câmpuri în spațiul exterior sunt opuse câmpurilor sursei și sunt aproximativ egale cu aceasta ca intensitate. Cele două câmpuri se anulează reciproc.

Din punct de vedere al conceptelor ondulatorii, efectul de ecranare se manifesta datorita reflexiei multiple a undelor electromagnetice de la suprafata ecranului si atenuarii energiei undelor in grosimea sa metalica. Reflexia energiei electromagnetice este cauzată de o nepotrivire între caracteristicile undei ale dielectricului în care se află ecranul și materialul ecranului. Cu cât discrepanța este mai mare, cu atât este mai diferită impedanțele undelor ecran și dielectric, cu atât efectul de ecranare parțial determinat de reflexia undelor electromagnetice este mai intens.

Alegerea materialului ecranului depinde de multe condiții. Materialele metalice sunt selectate în funcție de următoarele criterii și condiții:

• necesitatea atingerii unei anumite valori de atenuare a câmpului electromagnetic în prezența unor limitări ale dimensiunii ecranului și influența acestuia asupra obiectului protejat;
• stabilitatea și rezistența metalului ca material.

Printre cele mai comune metale pentru fabricarea ecranelor se numără oțelul, cuprul, aluminiul și alama. Popularitatea acestor materiale se datorează în primul rând eficienței lor de ecranare destul de ridicate. Oțelul este popular și datorită posibilității de a utiliza sudarea la instalarea ecranului.

Dezavantajele ecranelor din tablă includ costul ridicat, greutatea mare, dimensiunile mari și dificultatea de instalare. Aceste dezavantaje lipsesc plasă metalică. Sunt mai ușoare, mai ușor de fabricat și plasat și mai ieftine. Parametrii principali ai rețelei sunt pasul său, egal cu distanța dintre centrele adiacente ale sârmei, raza sârmei și conductivitatea materialului rețelei. Dezavantajele plaselor metalice includ, în primul rând, uzura mare în comparație cu ecranele din tablă.

Folosit și pentru ecranare materiale din folie. Acestea includ materiale subțiri electric cu o grosime de 0,01...0,05 mm. Materialele foliei sunt realizate în principal din materiale diamagnetice - aluminiu, alamă, zinc.

O direcție promițătoare în domeniul ecranării este utilizarea vopsele conductoare, deoarece sunt ieftine, nu necesită lucrări de instalare și sunt ușor de utilizat. Vopselele conductoare sunt create pe baza unui material filmogen dielectric cu adăugarea de componente conductoare, un plastifiant și un întăritor. Argintul coloidal, grafitul, negrul de fum, oxizii metalici, cupru sub formă de pulbere și aluminiul sunt utilizați ca pigmenți conductivi.

Vopselele conductoare nu prezintă dezavantajele ecranelor din tablă și ale grilajelor mecanice, deoarece sunt destul de stabile în condițiile schimbărilor climatice bruște și sunt ușor de utilizat.

Trebuie remarcat faptul că nu numai TSPI-urile individuale pot fi protejate, ci și premisele în ansamblu. În încăperile neechipate, funcțiile ecranului sunt îndeplinite parțial de componente din beton armat din pereți. Nu există ferestre sau uși, deci sunt mai vulnerabili.

La ecranarea încăperilor se folosesc următoarele: tablă de oțel cu grosimea de până la 2 mm, plasă de oțel (cupru, alamă) cu celulă de până la 2,5 mm. În zonele protejate, ușile și ferestrele sunt ecranate. Ferestrele sunt ecranate cu plasă, perdele metalizate, sticlă metalizată și acoperite cu pelicule conductoare. Usile sunt realizate din otel sau acoperite cu materiale conductoare (tabla de otel, plasa metalica). O atenție deosebită se acordă prezenței contactului electric între straturile conductoare ale ușii și pereții de-a lungul întregului perimetru al ușii. La protejarea câmpurilor, prezența golurilor și a fisurilor în ecran este inacceptabilă. Dimensiunea celulei grilei nu trebuie să depășească 0,1 lungime de undă de radiație.

Într-un PC protejat, de exemplu, unitățile de control ale tubului catodic sunt ecranate, carcasa este din oțel sau metalizată din interior, ecranul monitorului este acoperit cu o peliculă conductivă împământă și (sau) protejată de o plasă metalică. .

Trebuie remarcat faptul că, pe lângă funcția de protecție împotriva scurgerilor de informații prin PEMIN, ecranarea poate reduce efectele nocive ale radiațiilor electromagnetice asupra oamenilor și nivelul de zgomot în timpul funcționării TSPI.