Программно-технический уровень

Львиная доля активности в области информационной безопасности приходится на программно-технический уровень. Если иметь в виду зарубежные продукты, здесь существует полный спектр решений. Если ограничиться разработками, имеющими российские сертификаты по требованиям безопасности, картина получается существенно более разреженной.

Согласно современным воззрениям, в рамках информационных систем должны быть доступны по крайней мере следующие механизмы безопасности:

· идентификация и проверка подлинности (аутентификация) пользователей;

· управление доступом;

· протоколирование и аудит;

· криптография;

· (межсетевое) экранирование;

· обеспечение высокой доступности.

Кроме того, информационной системой в целом и механизмами безопасности в особенности необходимо управлять. И управление, и механизмы безопасности должны функционировать в разнородной, распределенной среде, построенной, как правило, в архитектуре клиент/сервер. Это означает, что упомянутые средства должны:

 

· опираться на общепринятые стандарты;

· быть устойчивыми к сетевым угрозам;

· учитывать специфику отдельных сервисов.

В соответствии с действующим в России порядком, за идентификацию/аутентификацию, управление доступом, протоколирование/аудит отвечает Гостехкомиссия России, за криптографию — ФАПСИ, межсетевое экранирование является спорной территорией, доступностью не занимается никто.

На сегодняшний день подавляющее большинство разработок ориентировано на платформы Intel/DOS/Windows. В то же время, наиболее значимая информация концентрируется на иных, серверных платформах. В защите нуждаются не отдельные персональные компьютеры, не только локальные сети на базе таких компьютеров, но, в первую очередь, существенно более продвинутые современные корпоративные системы. Пока для этого почти нет сертифицированных средств.

Рассмотрим типичную государственную организацию, имеющую несколько производственных площадок, на каждой из которых могут находиться критически важные серверы, в доступе к которым нуждаются работники, базирующиеся на других площадках, и мобильные пользователи. В число поддерживаемых информационных сервисов входят файловый и почтовый сервисы, системы управления базами данных (СУБД), Web-сервис и т.д. В локальных сетях и при межсетевом доступе основным является протокол TCP/IP. Схематически информационная система такой организации представлена на Рисунке.

 

Рисунок. Информационная система типичной государственной организации.

 

 

 

Для построения эшелонированной обороны подобной информационной системы необходимы по крайней мере следующие защитные средства программно-технического уровня:

· межсетевые экраны (разграничение межсетевого доступа);

· средства поддержки частных виртуальных сетей (реализация защищенных коммуникаций между производственными площадками по открытым каналам связи);

· средства идентификации/аутентификации, поддерживающие концепцию единого входа в сеть (пользователь один раз доказывает свою подлинность при входе в сеть организации, после чего получает доступ ко всем имеющимся сервисам в соответствии со своими полномочиями);

· средства протоколирования и аудита, отслеживающие активность на всех уровнях — от отдельных приложений до сети организации в целом, оперативно выявляющие подозрительную активность;

· комплекс средств централизованного администрирования информационной системы организации;

· средства защиты, входящие в состав приложений, сервисов и аппаратно-программных платформ.

На момент написания статьи из интересующего нас спектра продуктов были сертифицированы по требованиям безопасности для применения в госорганизациях ряд межсетевых экранов, операционных систем и реляционных СУБД. Даже если включить в этот перечень продукты, сертифицированные ФАПСИ для применения в коммерческих организациях (систему "ШИП", поддерживающую виртуальные частные сети, и средства криптографической защиты семейства "Верба"), большинство рубежей остается без защиты.

Таким образом, на сегодняшний день государственная организация не может получить современную информационную систему, защищенную сертифицированными средствами.

Коммерческие структуры, в отличие от госорганизаций, в определенной степени свободнее в своем выборе защитных средств. Тем не менее, в силу целого ряда обстоятельств (необходимость взаимодействия с госструктурами, расширительная трактовка понятия гостайны — "гостайна по совокупности", необходимость получения лицензии на эксплуатацию криптосредств, ограничения на импорт криптосредств) эта свобода не слишком велика. Практически на все категории субъектов информационных отношений перенесен подход, рассчитанный на госструктуры.