В январе 2013 года Эдвард Сноуден раскрыл секретные данные Агентства национальной безопасности США. Этот факт стал информационной "бомбой" мирового масштаба.
Информация АНБ была защищена с помощью самых лучших технологий, но была похищена. Мы назвали это эффектом "Сноудена". Широкая огласка сделала очевидным для всех тот факт, что появилась новая угроза, в виде обобщенного "Сноудена", перед которой бессильны традиционные средства защиты информации. Более того, дальнейшее усовершенствование и модернизация сложившихся направлений защиты информации не исправит ситуацию, так как изменилась постановка задачи: Необходимость создать защиту от того, кому разрешено все в соответствии со служебными обязанностями.
Если для широкой общественности действия Сноудена были новостью, то в профессиональной среде уже давно осознавали эти угрозы и работали над методами и технологиями противодействия им. Группа Компаний «Контрол» на протяжении 10 лет разрабатывала и совершенствовала такую систему защиты – XVmatic.
В качестве исходных данных была сформулирована следующая модель потенциального нарушителя.
«Сноуденом» может стать любой сотрудник, имеющий легальный доступ в служебные помещения, а также к аппаратным средствам вычислительной техники и коммуникациям. Также сотрудники, владеющие широкими правами пользователя информационных ресурсов для выполнения своих служебных обязанностей или подрядных договорных отношений и обладающие высокой квалификацией в области технических и программных средств на уровне разработчиков или системных администраторов.
В качестве модели угроз, которым должна противодействовать система XVmatic, принимались следующие действия:
- передача, утеря, хищение или копирование радиокарточки и пароля для доступа в помещения и к АРМ;
- передача своих прав пользователя АРМ другим лицам после легального процесса регистрации;
- несвоевременное удаление прав пользователя АРМ сотрудника после его увольнения;
- предоставление прав пользователя АРМ несуществующему сотруднику;
- работа на АРМ в неустановленное время;
- использование своей радиокарты для пропуска в служебные помещения посторонних лиц;
- уход из рабочего помещения без окончания сеанса работы на АРМ;
- нарушение правил выполнения рабочих операций, требующих присутствия второго сотрудника или контролера;
- фотографирование экрана компьютера с помощью сотового телефона;
- работа с АРМ до загрузки операционной системы Windows;
- передача вирусов или вредоносного кода из системы защиты в Центр обработки данных (ЦОД);
- несанкционированные:
- вскрытие системных блоков АРМ;
- замена клавиатуры, мыши и монитора;
- отключение питания АРМ;
- вскрытие аппаратных стоек серверов, отдельно для каждой стойки;
- работа с сейфами для хранения носителей информации.
Таким образом, целью создания системы было противодействие несанкционированным поступкам сотрудников компании или подрядных организаций, обладающих всеми полномочиями и паролями. Именно таких сотрудником теперь можно назвать «Сноуденами».
Кроме этого, необходимо было обеспечь полный контроль их действий по безусловному выполнению регламентов работы со стандартными средствами защиты информации и защитить вычислительные и коммуникационные аппаратные средства от возможности закладки вредоносного кода.
Как правило, Центр обработки данных имеет три компонента обеспечения безопасности. Это физическая защита, информационная защита и административные правила. Наша система находится на стыке этих трех компонентов.
Технологии системы защиты XVmatic от "Сноуденов"
- Технология работы под контролем
- Сценарий "4-х глаз"
Одновременная работа на одном АРМ двух сотрудников, один из которых оператор, а другой — контролер. Если контролер или оператор покинет помещение, в котором находится АРМ, сеанс автоматически прерывается.
- Работа под контролем дежурного службы безопасности
Постоянный мониторинг действий пользователя посредством видеокамеры, расположенной перед оператором, и устройства захвата изображения на экране компьютера. В дежурной службе отображается: текущее изображение экрана, фотография сотрудника из базы данных и реальное изображение, полученное с видеокамеры. Если у оператора дежурной службы возникают какие-либо подозрения или сомнения в правомерности действий пользователя АРМ, он может удаленно отключить компьютер и разобраться в инциденте.
- Удаленный контроль руководителем
Данный вид контроля может осуществляться как за действиями операторов АРМ, так и за действиями дежурной службы в экстренных ситуациях.
- Автоматизированный контроль
Используются технические средства XVmatic, в том числе контроль доступа в помещение, биометрическая верификация, видеонаблюдение, управление процессами, регламентами и сценариями.
- Полное физическое разделение системы охраны и ЦОД
Система XVmatic физически отделена от защищаемого ЦОД. Нет никаких цифровых интерфейсов, связывающих обе системы. При этом осуществляется контроль доступа, биометрическая верификация, мониторинг работы и целостности защищаемых средств вычислительной техники. Такой подход позволяет даже теоретически исключить возможность занесения в защищаемую среду зловредов или вирусов.
- Технология процессов, регламентов и сценариев
Сертифицированные средства всегда имеют правила их использования. Например, пароль нельзя передавать другому пользователю. Однако эти правила существуют только на бумаге и имеют только административную силу. Управление процессами и регламентами в системе XVmatic позволяет сделать физически невозможным нарушение этих правил.
- Технология бинарной защиты информации
Защищаемая система разделяется на два или несколько компонентов, каждый из которых не представляет угрозу с точки зрения защиты информации. Для выполнения рабочих процессов эти компоненты объединяются системой XVmatic по заданным регламентам и сценариям.
- Технология непрерывного мониторинга парольной защиты
Режим распознавания лица применяется в системе XVmatic не только для биометрической идентификации сотрудника при входе в систему, но и для периодического распознавания лица с целью подтверждения личности оператора. Кроме этого, на рабочее место оператора настроен детектор присутствия подсистемы видеонаблюдения XViewsion. Если оператор покидает рабочее место, через заданный временной интервал АРМ блокируется. При этом не происходит прерывания программы работы ЦОД.
- Технология объединения процессов управления и контроля доступа в виртуальном и физическом мире
Доступ к АРМ осуществляется подсистемой IDmatic по профилю, в котором учитывается время доступа, номер помещения, номер АРМ, номер радиокарты, пароль, биометрические и личные данные пользователя. Эти параметры однозначно идентифицируют сотрудника в физическом мире по биометрическим признакам и связывают по паролю и логину его действия в виртуальном мире программных кодов.
- Технологии информационного следа и анализа инцидентов по базе метаданных
В процессе работы системы защиты XVmatic регистрируется огромное количество информации, связанной с работой каждого сотрудника ЦОД. Достаточно сказать, что на крупных объектах базы этих данных имеют объем до 5 Петабайт. Это необходимо для того, чтобы выявлять неправомерные действия сотрудников, которые могут носить и отложенных характер. Фиксируется временной интервал от трех до пяти лет. Для быстрого поиска и анализа применена технология метаданных.
- Технология физической защиты аппаратных средств вычислительной техники
Контролируется вскрытие корпуса системного блока АРМ, отключение и подключение клавиатуры, мыши и монитора на компьютерах и терминалах. Помимо этого организован физический контроль доступа к аппаратным, коммуникационным стойкам и сейфам хранения носителей информации.
Все аппаратные средства находятся в зонах камер подсистемы видеонаблюдения.
- Технология обеспечения бесперебойной работы системы XVmatic
В системе осуществляется диагностика и мониторинг работоспособности всех компонентов. По заданным сценариям происходит оповещение дежурной службы об авариях и внештатных ситуациях. Система обеспечена отдельными коммуникациями и источниками бесперебойного питания. Установлено кондиционирование помещений аппаратных стоек с непрерывным контролем климатических параметров.
Десятилетний опыт применения XVmatic на практике показал, что этот подход был выбран правильно, а технологии системы защиты действительно эффективны. В реальной практике на нескольких объектах были выявлены и предотвращены практически все противоправные действия, описанные в модели угроз. Совершали эти действия сотрудники, относящиеся именно к выбранной модели нарушителей.
В качестве дополнительных «эффектов» системы защиты XVmatic надо отметить повышение производственной дисциплины и контроля рабочего времени сотрудников, что приводило к сокращению производственных издержек.
Группа компаний "Контрол"
www.controlgroup.ru
www.idmatic.ru
www.hifivideo.ru
Источник