Информационная безопасность в управлении транспортом

 

На рис. 2.28 приведены наиболее опасные объекты (проблемы), с точки зрения информационной безопасности, по мнению руководителей ряда АТП.

 

 

Рис. 2.28. Основные проблемы АТП

 

Видно, что для многих АТП на первый план выходят ИТ – как инструмент поддержки процессов управления. Трёхуровневая система управления приведена на рис. 2.29.

Рис. 2.29. Основные процессы управления АТП

Автоматизация бизнес-процессов на основе внедрения АИС позволяет грамотно планировать и учитывать затраты, проводить технологическую подготовку транспортного процесса, оперативно управлять самим транспортным процессом в соответствии с плановой программой и технологическим процессом.

Построение эффективной, сбалансированной, экономически оправданной системы управления бизнесом напрямую связано с правильно построенной подсистемой информационной безопасности (КСИБ).

При этом необходимо решить следующие задачи:

1. произвести качественную оценку текущего уровня безопасности, задать допустимые уровни рисков, разработать план обеспечения требуемого уровня;

2. обосновать требуемые финансовые вложения в создание КСИБ на основе технологии анализа рисков;

3. выявить и ликвидировать уязвимые для атак позиции;

4. определить функциональные отношения и зоны ответственности взаимодействия подразделения и служб по обеспечению информационной безопасности;

5. создать необходимый пакет организационно-распорядительной документации;

6. спланировать создание и внедрить КСИБ;

7. обеспечить поддержку КСИБ в условиях развития организации (бизнеса), регулярными доработками и развитием комплекса защиты.

Для решения поставленных задач необходимо провести:

1. аудит – оценку и переоценку уровня текущего состояния информационной безопасности на соответствие современным нормам;

2. анализ информационных рисков;

3. выработку рекомендаций по обеспечению информационной безопасности предприятия;

4. разработку концепции, политики и плана защиты, проектирование КСИБ;

5. экспертизу КСИБ на предмет соответствия заданному уровню безопасности и выработанным рекомендациям;

6. разработку пакета организационно-распорядительной документации;

7. внедрение, обслуживание, развитие и интегрированные решения по управлению КСИБ.

К средствам, обеспечивающим решение поставленных задач на современном уровне, следует отнести следующие подсистемы, приведённые ниже.

 

1. Средства анализа защищенности (сканеры безопасности). Существует острая необходимость в средствах анализа защищенности для своевременного обнаружения уязвимостей и принятия мер по их ликвидации.

Сложившаяся ситуация в сфере информационной безопасности предполагает обязательное использование средств анализа защищенности в компаниях, имеющих выход в сети связи общего пользования, осуществляющих обработку персональных данных, а так же в иных случаях (соответствие стандартам PCI DSS, ISO 17799, СТО БР ИББС).

Для транспортного бизнеса через сети связи общего пользования осуществляется реализация взаимодействия с клиентской сетью, с контрагентами и контролирующими государственными структурами (налоговая инспекция, пенсионный фонд и др.).

При аудите безопасности, аттестации АИС используются сетевые сканеры уязвимостей, позволяющие проводить инвентаризацию сети и идентификацию уязвимостей. На рынке сканеров представлен широкий спектр устройств. Это и условно бесплатные устройства с открытым кодом до специализированных комплексов аудитора информационной безопасности. Сетевые сканеры служат для анализа защищенности сети путем сканирования и зондирования сетевых ресурсов и выявления их уязвимостей.

Классификация сканеров и перечень решаемых ими задач приведена на рис. 2.30.

 

 

Рис. 2.30. Классификация средств анализа защиты

 

Применение сканеров позволяет решить следующие задачи:

· инвентаризация ресурсов, включающих устройства сети, ОС, службы и ПО;

· идентификация и анализ уязвимостей;

· патчинг (автоматизированная отдельно поставляемая программа необходимая для устранения проблем в ПО или изменения его функционала) новых уязвимостей до выхода официальных исправлений от производителя;

· формирование отчетов, в том числе с описанием проблем и вариантами устранения.

При проведении обследования защищенности ресурсов могут быть использованы различные инструменты выявления проблем безопасности. Большую часть их, как правило, составляют различные сетевые сканеры.

 

2. Мониторинг. Инфраструктура современного АТП имеет разнородную, разнообразную, распределенную структуру. Тысячи, и даже десятки тысяч пользователей, десятки и сотни серверов, огромное количество сетевого оборудования, систем безопасности, различных общих, прикладных, специализированных систем требуют круглосуточного управления, мониторинга и контроля состояния, реакции на события.

В таких условиях наиболее важным и критичным для обеспечения безопасности является своевременное обнаружение и реакция на события и инциденты информационной безопасности КИС. В качестве технологической основы возможно, как пример, использовать решение Symanteс Security Information Manager (SIM).

Symantec SIM (рис. 2.31) – это АПК, позволяющий в режиме реального времени собирать, структурировать по важности и анализировать все события, имеющие значения с точки зрения информационной безопасности в КИС.

 

 

Рис. 2.31. Состав и функции Symantec SIM

Компоненты могут быть установлены как на одном сервера, так и разнесены на разные платформы.

Внедрение АПК позволяет получить следующие преимущества:

· Обеспечение контроля состояния КИС в реальном времени;

· Снижение затрат на ИТ-штат, за счет централизованного мониторинга и управления событиями;

· Уменьшение влияния «человеческого фактора» при обнаружении инцидентов безопасности;

· Уменьшение времени реагирования и автоматизация процесса реагирования на инциденты за счет подсказок системы и применения лучших практик;

· Получение инструмента для расследования и доказательств инцидентов;

· Соответствие требованиям регламентов и стандартов (PCI DSS и др.).

3. Резервное копирование. Для обеспечения защиты от сбоев, потери информации, а также обеспечения непрерывности и восстановления данных после сбоев и инцидентов используются системы резервного копирования и защиты данных.

Резервирование – это один из необходимых методов обеспечения непрерывности, а в ряде случаев обязательной подсистемой для соответствия стандартам в области информационной безопасности.

В рамках построения систем резервного копирования и защите данных возможно использовать, например, решения ведущих вендоров Symantec (решение Symantec Symantec Backup Exec) и HP (решение HP Data Protector).

Это комплексные решения, позволяющие значительно упростить процедуры резервного копирования, восстановления данных, дедупликации (устранения дублирования данных), управления жизненным циклом резервных копий.

Система резервного копирования и защиты данных позволяет произвести резервное копирование и защиту данных:

· На серверах и рабочих станциях;

· На платформах Windows, Linux, UNIX средах;

· В средах виртуализации Hyper-V, VMWare

4. Системы антивирусной защиты. С каждым годом растет количество нового вирусного ПО, увеличивается процент вероятности заражения вредоносным кодом. Факт заражения может произойти на конечных рабочих станциях пользователей, серверах, шлюзах или мобильных устройствах, в том числе использующихся удаленно.

Различные виды атак на информационные ресурсы приведены на рис. 2.32.

Исходя из этого, необходимо осуществлять комплексную защиту всех точек возможного проникновения вредоносного кода в корпоративную сеть АТП.

Данный тип защиты подразумевает применение систем антивирусной защиты, обеспечивающих безопасность всех без исключения устройств внутри и за пределами сети компании.

 

Рис. 2.32. Виды атак

Необходимо использовать единый центр управления всеми узлами системы антивирусной защиты для удобства администрирования и наглядности процессов, происходящих в области вирусной активности.

Сложившаяся ситуация в сфере информационной безопасности предполагает обязательное использование систем антивирусной защиты (соответствие стандартам PCI DSS, ISO 17799, СТО БР ИББС, выполнение требований по защите персональных данных).

Применение систем антивирусной защиты позволяет решить следующие задачи:

· блокирование проникновения вирусов на АРМ при использовании на них инфицированных файлов с переносимых устройств памяти;

· предотвращение заражения вирусами с помощью ПО из Интернета;

· предотвращение проникновения вирусов при подключении к КИС инфицированных АРМ удаленных или мобильных пользователей;

· предупреждение заражения вирусами с удаленного сервера, обменивающегося данными с корпоративными серверами файл - приложений и БД;

· блокирование распространения почтовых и Интернет-«червей»;

· предупреждение с помощью эвристической защиты заражения новыми и ранее неизвестными угрозами;

· управление доступом к конкретным процессам, файлам и папкам со стороны пользователей и приложений;

· контроль подключения и использования периферийных устройств;

· восстановление работы приложений после вирусных эпидемий и предотвращение вирусных эпидемий.

5. Системы защиты информации от НСД предназначена для защиты информации, а также для разграничения полномочий пользователей по доступу к файловой системе и другим ресурсам ПК. Разграничения касаются всех пользователей – локальных, сетевых, доменных, терминальных.

Назначение системы:

· идентификация пользователей, как по индивидуальным паролям, так и по аппаратным идентификаторам;

· ограничение доступа пользователей к ПК по дате и времени;

· ранжирование доступа пользователей к массивам данных и ПО с помощью мандатного или дискреционного контроля (управление доступом по спискам);

· контроль целостности параметров компьютера (АПК, файлов и папок при загрузке компьютера или при доступе);

· очистка остаточной информации, освобождаемой памяти, файла подкачки виртуальной памяти, освобождаемого дискового пространства, определенных папок при выходе пользователя из системы – это гарантирует предотвращение восстановления удаленных данных;

· контроль печати на принтерах позволяет протоколировать вывод документов на печать и маркировать эти документы (в качестве маркера может выступать гриф секретности документа, имя пользователя, имя принтера, имя документа и другая служебная информация);

· автоматическое ведение различных видов электронных журналов;

· создание замкнутой программной среды для пользователя (режим, в котором пользователь может запускать только программы, определенные администратором);

· функция преобразования в «прозрачном» режиме данных, хранящихся на локальных дисках;

· централизованное администрирование системы защиты, осуществляется с использованием специального модуля — сервера безопасности, установленного на отдельный компьютер.

 

6. Система идентификации и аутентификации пользователей обеспечивает аппаратную авторизацию пользователей при доступе к информационным ресурсам на основе электронных ключей или смарт-карт, содержащих личную информацию.

В качестве критерия идентификации пользователя при использовании электронных USB-ключей и смарт-карт eToken могут использоваться:

· цифровые сертификаты стандарта Х.509 (PKI);

· пользовательские пароли, коды доступа.

Электронные ключи eToken – персональное средство аутентификации и защищённого хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и ЭЦП.

Назначение электронных ключей:

· модельный ряд eToken представлен USB-ключами, смарт-картами, комбинированными устройствами и автономными генераторами одноразовых паролей;

· аппаратная поддержка работы с цифровыми сертификатами и ЭЦП;

· универсальное устройство: применяется в любых приложениях, использующих технологии смарт-карт или PKI (Public Key Infrastructure);

· встраивание бесконтактных радио-меток (RFID), применяемых для контроля физического доступа сотрудников в помещения.

7. Криптографическая защита. Одним из способов защиты информации от НСД является криптографическая защита (шифрование). Криптографическая защита может применяться на всех этапах обработки информации.

При построении систем криптографической защиты существуют различные решения. Например, защита информации осуществляется методом «прозрачного шифрования» с помощью стойких алгоритмов шифрования.

Зашифровать можно отдельные жесткие диски сервера, любые дисковые массивы, а также съёмные диски (например, подключаемые к серверу для резервного копирования). При чтении данных с диска происходит их раскодирование, при записи на диск — шифрование.

Находящиеся на диске данные всегда зашифрованы, что делает доступ к ним невозможным для злоумышленника даже в случае кражи или изъятия, как отдельного диска, так и всего сервера.

Основные функции криптозащиты это:

1. Прозрачное шифрование данных, производимое в реальном времени, позволяет работать с документами в обычном режиме;

2. Информация хранится в контейнере в виде зашифрованного файла на диске или внешнем носителе и защищается файл-ключом или электронным ключом;

3. При подключении контейнер отображается в системе как обычный диск. При отключении контейнер перестает отображаться в системе, поэтому установить факт наличия конфиденциальной информации и получить к ней доступ невозможно;

4. В программе существуют режимы экстренного отключения контейнеров и выхода из программы (режим «Опасность»), а также режим экстренного уничтожения доступа к информации для всех пользователей программы (режим «Большая опасность»).

8. Сетевая защита (системы предотвращения вторжений) обнаруживает вредоносную активность в сети за счет выявления аномалий на уровне протоколов или общего трафика, либо сопоставления событий, описываемых сигнатурами, с состоянием TCP-соединения и предотвращает её.

Назначение сетевой защиты:

· идентифицирует, классифицирует и блокирует вредоносный трафик, в том числе «черви», шпионские и рекламные программы, вирусы, а также предотвращает нарушения работы приложений;

· обеспечивает высокоэффективное интеллектуальное обнаружение угроз и защиту при различных вариантах развертывания;

· использует фильтрацию на основании репутации и глобальные проверки с целью предоставления предприятиям интеллектуальных рекомендаций, позволяющих принимать меры, и уверенного предотвращения угроз;

· поддерживает непрерывность деятельности и помогает предприятиям обеспечивать соответствие требованиям стандартов и нормативов.

9. Системы фильтрации содержимого (почта, Internet) – комплексное модульное программное решение, предназначенное для защиты корпоративной информации от утечки или несанкционированного распространения, предотвращает утечки конфиденциальной информации за счет оперативного анализа данных и автоматического применения политик безопасности, независимо от того, работают пользователи в корпоративной сети или за её пределами.

Назначение фильтрации содержимого:

· мониторинг и анализ данных, отправляемых за пределы корпоративной сети через почтовые системы, web, системы обмена сообщениями, распечатываемых или копируемых на различные устройства ввода-вывода;

· предотвращение утечки конфиденциальных данных путем блокирования процесса передачи в случае обнаружения нарушения политики безопасности;

· анализ и хранение данных для проведения расследований;

· анализирует содержание, контекст и направление передачи данных, позволяя администраторам управлять тем, кто может пересылать информацию, какую информацию разрешено пересылать, кому она может быть адресована и какими способами осуществляется пересылка;

· проводит мониторинг всех типов данных в сети и на конечных компьютерах, защищая данные от утечек, независимо от их формата и местоположения;

· централизованная система управления и отчетности предоставляет мощные инструменты анализа, выявления и устранения инцидентов, а также генерации отчетов.

При формировании требований с условием максимального использования зарубежного научно-технического задела в этой области, необходимо учитывать специфические российские условия.

Так в связи с изменяющимися условиями и постоянными попытками пользователей избежать контроля должна проводиться постоянная адаптация алгоритма контроля, как это изображено на рис. 2.33.

 

Рис. 2.33. Процесс адаптации системы контроля

Это может быть достигнуто при использовании в управляющем блоке РИЦ ИТС специальной ЭС.

Защита от умышленных попыток манипуляции со стороны «хакеров» могут быть предотвращены за счет:

· применения защищённых от НСД специальных АС;

· постоянная модификация АС при обнаружении новых видов мошенничества;

· постоянный мониторинг активности черного рынка (продажа видоизмененных программ и приборов);

· обеспечение высокого уровня контроля за работой АС за счет высокой степени его автоматизации;

· создание специальных контрольных лабораторий для внештатной проверки АС без контакта с сотрудниками контрольных органов;

· создание системы слежения за работой самих контролеров.

Вопросы для самопроверки

1. Что понимается под информационной безопасностью РФ?

2. Перечислите виды и раскройте содержание угроз безопасности информационных и телекоммуникационных средств и систем.

3. Приведите источники угроз информационной безопасности РФ.

4. Каковы основные проблемы и процессы управления АТП?

5. Зачем используются сканеры безопасности?

6. Классификация сканеров и перечень решаемых ими задач.

7. Состав и функции АПК Symantec SIM.

8. Для чего служит резервное копирование?

9. Различные виды атак на информационные ресурсы.

10. Какие задачи позволяет решить применение систем антивирусной защиты?

11. Назначение системы защиты информации от НСД.

12. Назначение системы идентификации и аутентификации пользователей.

13. Назначение метода «прозрачного шифрования».

14. Что обнаруживает сетевая защита?

15. Для чего предназначено комплексное модульное программное решение системы фильтрации содержимого?