Файл: 1. Техникоэкономическая характеристика предметной области и предприятия. Анализ деятельности как есть 7.docx

Соответственно, для защиты информации на всех уровнях необходимо применять средства защиты, обеспечивающие указанные мероприятия.

Для защиты информации на автоматизированных рабочих местах, в локальных вычислительных сетях, при межсетевом взаимодействии, при работе с системами управления базами данных можно использовать стандартные программные средства защиты от несанкционированного доступа, вредоносных программ и непреднамеренных воздействий.

Но, если защищаемая информация является конфиденциальной и для такой информации нормативными документами установлены повышенные меры защиты, тогда необходимо применять специальные программные и программно­аппаратные средства защиты.

Проектирование системы защиты конфиденциальной информации включает минимизацию трех основных дестабилизирующих факторов [2]:

• 
  атаки на локальную сеть;
  
• 
  непосредственные атаки на рабочие станции;
  
• 
  внутренний нарушитель.
  

Для минимизации дестабилизирующего влияния атаки на локальную сеть внешнего нарушителя применяются средства межсетевого экранирования.

Ключевое значение в системе обеспечения режима информационной безопасности организации играет защита рабочей станции от деструктивных действие вредоносного программного обеспечения.

Выделяют следующие классы вредоносного программного обеспечения:

• 
  вирус является самовоспро изводящимся программным кодом, внедряемым в установленное программное обеспечения без согласия пользователя. Распространение вирусов могут производиться различными способами от использования съемных носителей информации до открытия пользователем вредоносной ссылки или посещения вредоносного сайта. При этом вирус выполняется определенные деструктивные действия.
  
• 
  черви представляют собой саморазмножающиеся программы, которые в отличие от вирусов не инфицируют другие файлы. Данное вредоносное ПО проводит поиск уязвимости для дальнейшего реплицирования. Внедрение червей осуществляется по локальной сети при передаче информации как с участием, так и без участия пользователя АРМ.
  
• 
  троян загружается пользователем под видом легального приложения, однако вместо заявленной функциональности выполняет алгоритм работы, заложенный злоумышленником.
  
• 
  криптолокер относительно новый вид вредоносного программного обеспечения, шифрующий файлы на ЛРМ и требует выкуп за возврат доступа к ним. Данные (документы, фогографрщ, видео ит.п.) зашифровываются сложным криптографическим кодом, для расшифровки которого требуется ключ, находящийся на серверах злоумышленников.
  
• 
  бэкдор (средство удаленного администрирования) - это приложение, позволяющее злоумышленнику осуществлять удаленное управление рабочей станцией. В зависимости от функциональных возможностей конкретного бэкдора, злоумышленник может установить, запустить или удалять на удаленной рабочей станции определенное ПО, выполнять функции кейлогера, загрузки и сохранения файлов.
  
• 
  руткит является особой разновидностью вредоносного программного обеспечения специально разрабатываемого для сокрытия следов внедрения вредоносного кода и результатов его действия от установленных средств обеспечения информационной безопасности. Данная возможность определяется интеграцией руткита с ядром операционной системой. Некоторые руткиты начинают функционировать до загрузчика операционной системы.
  

---

Возможный ущерб, связанный с вредоносным ПО:

• 
  нарушение целостности информации: изменение или удаление информации (документы, базы данных и т.д.);
  
• 
  кража информации (используемых паролей, файлов и т.д.);
  
• 
  создание помех в работе компьютера (например, сбои в работе операционной системы, отдельных программ);
  
• 
  нарушение работы не только зараженного компьютера, но и выведение из строя других компьютеров - вплоть до всей ПС.
  

Основной риск заражения вредоносным ПО возникает при запуске объектов, полученных из внешних источников и загруженных о съемных машинных носителей информации.

Для распространения вредоносное программное обеспечение использует уязвимости операционной системы и программного обеспечения рабочей станции, поэтому для минимизации данного риска устанавливается система контроля защищенности.

Обеспечение режима информационной безопасности на современном развитии инженерно-технических средств и методологий подразумевает постоянный контроль действий пользователя для того, чтобы вовремя обнаружить любые отклонения от нормы и изменения в поведении, которые могут свидетельствовать о злонамеренной деятельности.

Изменяется тип данных, которые интересуют злоумышленников в первую очередь. Теперь это чаще всего данные идентификации личности, информация о состоянии здоровья, объекты интеллектуальной собственности.

В результате значительному риску подвергаются отрасли, где, как правило, не применяются полноценные средства защиты информации, например, здравоохранение и производство.

При этом практика предотвращения утечки данных в большинстве организаций не учитывает эти критические угрозы информационной безопасности.

Изменение вектора защиты данных и использование инструментов, которые помогают обнаружить неизвестные угрозы и странное «поведение» данных - это лучшая возможность их защитить, прежде чем они покинут контур безопасности. DLP

---

-решение, которое только отслеживает файлы, записываемые на съемные носители, не заметит распечатку секретной информации. Без надлежащей классификации всех данных, DLP может пропустить отсылку важной информации на личную почту или файлообменные сайты. Система анализа поведения пользователей в состоянии устранить эти риски, потому что она не ограничена только использованием политик.

Более эффективно отслеживать каналы утечки информации помогает использование журналов рабочих станций, прокси-данных, событий приложений и облачных сервисов. Все это работает на предупреждение нештатных ситуаций или действий с данными.

Для предприятия DLP-система является одним из инструментов управления рисками информационной безопасности. С одной стороны, этот подход ставит задачей DLP-систем снижение бизнес-рисков, связанных с утечками данных ограниченного доступа. С другой стороны, организациям необходимо минимизировать расходы на приобретение и эксплуатацию таких систем. Оба требования важны, и их сбалансированная реализация обеспечивает управляемость рисками ИБ. Именно DLP-система является ос ново по латающим звеном концепции управления рисками корпоративной безопасности.

Исходя из такой концепции, задачей DLP-решения является снижение рисков для бизнеса, связанных с утечками данных ограниченного доступа. С другой стороны, многие организации прямо указывают на необходимость ограничения совокупной стоимости владения используемых DLP-решений. Основываясь на риск- менеджменте [10], организации определяют несколько ключевых критериев, используемых далее для выработки основных функциональных критериев к

---

DLP-решениям.

Использование управления рисками как парадигмы выбора технического решения предиолаг ает формирование нескольких ключевых критериев бизнес-уровня, используемых затем для выработки основных функциональных требований к DLP-системам.

Существуют различные подходы к классификации DLP-систем. Так, с точки зрения архитектуры существуют шлюзовые и хостовые решения, а с точки зрения предотвращения утечек - активные и пассивные. Классификация важна для сравнения DLP примерно одного уровня и выбора для внедрения наилучшего решения. Более-менее сложившееся представление рынка указывают на наличие общих ключевых характеристик, позволяющих отнести ИБ-регаения к классу Data Loss Prevention:

• 
  тотальный контроль каналов утечки. Основные каналы утечки информации составляют две большие группы: локальные (USB, принтеры, а также любые периферийные устройства, на которые можно скопировать конфиденциальную информацию) и сетевые каналы (такие как электронная почта, интернет-мессенджеры, социальные сети, сайты, форумы, блоги и т. п.).
  
• 
  анализ информации. DLP-системы перехватывают весь трафик, выходящий за пределы корпоративной сети предприятий, и анализируют его на предмет наличия конфиденциальной информации. В передовых DLP-системах для обнаружения конфиденциальных данных обычно используются такие технологии как цифровые отпечатки, лингвистический анализ, анализ графических файлов (OCR), самообучающиеся технологии, и др.
  
• 
  блокирование утечек. На основании данных контентного анализа DLP- система принимает решение согласно установленным политикам безопасности о разрешении или запрете передач и сообщения, записи или печати файла.
  
• 
  архивирование информации. Весь перехватываемый трафик DLP- система помещает в собственный архив, который создает полноценную базу для расследования инцидентов информационной безопасности.
  

---

Традиционные DLP-системы оказались неэффективными при предотвращении крупных утечек данных по нескольким причинам. Во-первых, в них используется только сигнатурный метод распознавания, так что их возможности обнаруживать угрозы ограничены известными вариантами. Во- вторых, при развертывании системы с большим количеством включенных политик, создается слишком много данных, что делает систему бесполезной. И, наконец, технология DLP не работает эффективно в организациях, где данные не документируют и не классифицируют.

---