Есть сотрудники, от благонадежности которых зависит очень много, в том числе, даже репутация ведомства. Если неблагонадежный сотрудник работает с конфиденциальными данными, а потом их конфиденциальность оказывается нарушена, то ответственность за это ложится на того, кто неверно оценил сотрудника как заслуживающего доверия.
Вместе с тем, если ограничить в работе с информацией тех, для кого информация является основным материалом, инструментом, да и результатом труда, — то ограничится и эффективность их деятельности.
К сожалению, до сих пор благонадежность, как и другие личные качества сотрудников, можно было установить только по косвенным признакам, и не всегда это удавалось сделать правильно даже в результате трудоемких и резонансных расследований уже случившихся инцидентов.
Теперь ситуация изменилась. Для тех, кому необходимо работать с конфиденциальными данными вне контролируемого периметра, ОКБ САПР предлагает «Секрет Особого Назначения» — служебный носитель (флешку), который позволяет:
- исключить нарушение конфиденциальности данных, записанных на служебный носитель, при его утере или краже;
- в зависимости от настроек — исключить использование на компьютерах, не входящих в «белый список», то есть на каких-либо, кроме явно разрешенных;
- исключить возможность сокрытия факта подключения служебного носителя к компьютеру, даже если это подключение было неуспешным, и диск не был открыт для работы с данными;
- использовать служебный носитель на любом разрешенном компьютере без предустановки на него какого-либо специального ПО.
Принципиальное отличие «Секрета Особого Назначения» от любой другой флешки, в том числе и других служебных носителей семейства «СЕКРЕТ», заключается в том, что в его аппаратном журнале фиксируются все попытки работы с ним на различных ПК, вне зависимости от того, была ли попытка успешной. Если «Секрет Особого Назначения» подключали к какому-то ПК, данные об этом зафиксированы в его журнале, отредактировать который пользователь не может.
Это прекрасный способ снять необоснованные подозрения, но не остаться в плену необоснованного доверия: просто убедиться в том, как обстоят дела на самом деле, причем несложным и корректным способом — через специально предназначенный для этого администраторский интерфейс.
Трудно переоценить плюсы такой системы, ведь даже при абсолютном доверии со стороны руководства к сотруднику, которому поручается работа с конфиденциальными данными, носимыми на флешке, предельно возрастает риск спекуляций на подозрениях и допущениях, которые невозможно проверить. Обычная флешка не расскажет, куда ее подключали, и не расскажет, что ее не подключали никуда. А «Секрет Особого Назначения» — расскажет, и подозрения сменятся доказательствами или будут развеяны.
Кроме фиксации событий большое значение имеют и другие защитные функции служебного носителя. Администратор может устанавливать запрет на работу с «Секретом» на компьютерах вне заранее определенного перечня.
В результате пользователь сможет открывать закрытую часть «Секрета» на компьютерах из «белого списка», а на всех остальных флешка не будет монтироваться и доступа к данным не будет.
При этом в журнал будут записаны и первые, и вторые случаи, то есть несанкционированное действие будет зафиксировано даже в том случае, если оно не принесло результата. Это очень важно для профилактики нарушений.
Если запрет не установлен, то пользователь может подключать «Секрет» к любым компьютерам, но так же под свою персональную ответственность, так как информация об этом будет отражена в журнале.
Важно, что для работы с «Секретом Особого Назначения» не требуется установка на компьютер никакого специального ПО, так что возможна работа на компьютерах, администрирование которых затруднено или невозможно (Интернет-кафе, компьютер в сети смежной организации). Такие ситуации возможны, и отсутствие административных прав не должно стать ни причиной срыва важной работы, ни основанием для применения незащищенных технологий.
«Секрет Особого Назначения» выполнен на базе служебного носителя с шифрованием содержимого закрытого диска «на лету», причем шифрование, как и в других криптографических устройствах линейки «Секрет» выполняется аппаратно, контроллером устройства, а не процессором компьютера, к которому оно подключено.
Однако по специальному заказу может быть произведена партия «Секретов Особого Назначения» и без поддержки шифрования данных.
Но важнее всего для каждодневной работы со служебным носителем то, что он позволяет сделать осязаемой личную ответственность сотрудника за решение, которое он принимает. Когда события подключений служебной флешки к любому компьютеру, а также и отсутствие таких подключений — устанавливаются точно, а не со значительной степенью вероятности, благонадежный сотрудник не будет под подозрением, а неблагонадежный не сможет скрыть своих несанкционированных действий. Так средство защиты информации поможет защитить репутацию, а во многих случаях окажется и сдерживающим фактором.
Об авторе: Конявская Светлана - кандидат филологических наук, заместитель генерального директора ОКБ САПР
Опубликовано Информационные технологии, связь и защита информации МВД России - 2012. Ч. 2. С. 238.
Как удержать в контролируемой зоне информацию, записанную на флешку
Светлана КОНЯВСКАЯ
В любой организации сотрудники делятся на две жестко противопоставленные группы: те, кто считает, что флешки - это хорошо, и те, кто считает, что флешки - это плохо. Для первых флешки - это удобство, экономия времени, сил и места, а для вторых - источник заражения систем вредоносным ПО и неизбежных утечек. Первых обычно больше, но ко вторым обычно относятся владельцы бизнеса. Действительно, применение флешек на предприятии больше выгодно сотрудникам, чем владельцу предприятия, а неприятностей от него больше у владельцев, чем у пользователей.
Однако у владельцев систем гораздо больше и возможностей по внедрению в систему средств обеспечения информационной безопасности. Почему же тогда задача защищенной работы с USB-флешками в организации до сих пор не была решена?
Если флешки выдаются сотруднику на работе, то, как и все средства вычислительной техники, принадлежат они владельцу информационной системы. Если же сотрудники покупают флешки сами, то им они и принадлежат.
Однако система защиты должна обеспечивать возможность распоряжаться доступом к ресурсу именно его владельцу, а это значит, что владелец должен быть один у всех ресурсов, формирующих систему, иначе сомнительны основания для ограничения доступа к «спорным» ресурсам. Ведь модель угроз, необходимая для построения корректной системы защиты (не только информации), напрямую зависит от того, где проходят баррикады и кто по какую сторону от них.
Итак, в служебной системе должны функционировать «служебные», а не «личные» флешки. Но что вообще обозначает «владелец» по отношению к USB-памяти?
Человек знает, что флешка «его», для флешки же все люди одинаковы. Фактическийвладелец флешки - тот, кто подключает ее к компьютеру. Обыкновенные USB-флешки по природе своей НИЧЬИ. А ничье невозможно защитить.
Цель принятия различных мер по защите информации - не продублировать функции охраны на входе в здание, а обеспечить такой режим, при котором доступом к информации будет управлять именно владелец. Чтобы обеспечить такой режим, нужно знать, кто владелец.
Так же и с любой другой собственностью - защитить интересы собственника можно только в том случае, если известно, кто собственник. Защита интересов владельца - это защита его приоритетного положения по отношению к своей собственности.
Защита неравенства
Владелец системы должен определять, кто и как может применять свое служебное устройство:
- кто может использовать флешку,
- какую именно флешку сотрудник может использовать,
- на каких именно компьютерах данный сотрудник может использовать данную флешку.
При этом за пределами ИС служебную флешку должно быть использовать нельзя.
И вот тут нужно задать себе вопрос, что означает «за пределами ИС». До сих пор, если этот вопрос и задавался, то ответом в лучшем случае было «флешки нельзя выносить с работы». Но ведь достаточно очевидно, что границы ИС и границы помещения - связаны мало. Если я переношу флешку из одного офиса компании в другой - я выношу ее «за пределы» ИС? А как отличается случай выноса из здания в другой офис компании от выноса из здания в офис другой компании? Даже на уровне фраз различить сложно.
Значит, должно быть нельзя не вынести на улицу, а использовать на «чужих» ПК.
Невозможно что-то запретить на тех компьютерах, которые мы не контролируем?
Это не так. Именно такую возможность предоставляет система на основе защищенного носителя информации «Секрет». Эта система лишена недостатков, присущих принятым ранее способам работы с флешками в организациях.
Основные ошибки тех, кто пытается защищать флешки
Если обобщить, то для владельца системы проблемы с флешками две: на ней можно унести то, что не следует уносить, и на ней можно принести то, что не следует приносить. Для обеих проблем разработчики средств защиты информации предлагают свои решения.
Решения эти различны по качеству и лежащим в основе принципам, однако, хуже другое - ни одно из них не обеспечивает возможности комфортной и в то же время безопасной работы в организации с USB-памятью.
Состоят решения по предотвращению утечек через USB-накопители так или иначе
- в снабжении флешек механизмами аутентификации пользователя и
- в предоставлении возможности запрещать использование в информационной системе таких устройств вообще, или разрешать использование только устройств с теми или иными уникальными идентификаторами.
В лучшем случае это дополняется возможностью настройки правил разграничения доступа таким образом, чтобы пользоваться определенными флешками можно было только определенным пользователям и записывать на них не что-угодно, а только определенные файлы.
Все это скорее осложняет жизнь пользователям и администраторам, чем создает действительно защищенную и в то же время удобную инфраструктуру использования USB-памяти. Просто «решения» направлены не на то, в чем состоят «проблемы».
Главная проблема с флешками состоит не в том, как они применяются внутри системы, и не в том, как они применяются снаружи, а в том, что для флешек не существует разницы между понятиями «внутри» и «снаружи», и свободно пересекая границы системы, они размывают ее защищенный контур. На разрешенной к использованию флешке тоже можно перенести то, что не следует, туда, куда не следует, так как флешка от системы не зависит.
Метод защиты от утечек через USB-носители путем ограничения их использования на защищаемых ПК принципиально ущербен, ведь применение флешек на посторонних ПК при этом никак не ограничивается.
Необходимо наоборот, сделать невозможным использование флешек вне системы, сделать их зависимыми от нее.
Материализация нематериальных сущностей
Никакой реальной связи между владельцем и его собственностью, как правило, нет. Эта связь носит социальный - правовой, моральный и т. д. характер. Мы можем установить, что человек является собственником, по признакам, не связанным физически ни с владельцем, ни с имуществом - по документам на собственность, например. Даже детальное изучение человека не позволяет заключить, его ли та или иная вещь, и изучение вещи тоже не укажет на ее владельца.
Именно поэтому мы с детства стараемся «пометить» особенно дорогие нам вещи - поцарапать, приклеить наклейку, написать свою фамилию, нанести логотип. «Привязать» к себе свою собственность.
Это дает возможность различить свое и чужое, но, к сожалению, никак не ограничивает возможности «самозванца» безосновательно распоряжаться чужим имуществом в личных целях.
Защита приоритетного права владельца распоряжаться своей собственностью - задача тем более не простая, когда непосредственные действия по использованию предмета собственности должны осуществлять совсем другие лица, интересы которых, возможно, и не противопоставлены интересам владельца, но и не прямо совпадают с ними. В этом случае задачей защиты интересов владельца будет обеспечение режима, когда он способен контролировать, кем и для чего используется его собственность.
Примерно такую задачу решает банк-эмитент, эмитируя банковские карты. Банковская карта является собственностью банка, одним из технических средств, инструментов функционирования его системы, однако использует ее совсем другой человек. Основанием эмиссии карты является договор, правовые отношения между банком и клиентом, однако эмиссия делает эти отношения «материальными», технологически связывая банк, карту и держателя карты (владельца счета). Карта привязана не к зданию банка, а к самому банку, потому что является его порожденной частью, элементом его системы. А из здания ее можно выносить, пожалуйста.
Именно такой механизм мы заложили в основу системы «Секрет» - в систему управления специальными служебными USB-носителями.
Храните данные в СЕКРЕТЕ!
Система состоит из самих служебных носителей (СН) - специальных USB-флешек - и ПО, устанавливаемого на компьютеры для управления этими служебными носителями. «Секрет» обеспечивает такой режим работы, при котором данные, хранящиеся на СН, могут обрабатываться только легальными пользователями (после введения PIN-кода) и только на разрешенных компьютерах. При этом использование всех других флешек в системе может быть запрещено.
При подключении «Секрета» к любому компьютеру, кроме разрешенных, пользователю даже не будет предложено ввести PIN-код, устройство вообще не будет «обнаружено» компьютером как устройство типа mass-storage. Для пользователя это будет выглядеть как неисправное устройство, или устройство не поддерживаемого данным ПК типа.
Решение, предназначенное для корпоративного использования - «Секрет фирмы» - состоит из СН «Секрет», ПО для рабочих станций («Секретный агент») и ПО для сервера аутентификации («Центр управления»).
СН «Секрет» - это USB-устройство, предназначенное для хранения в его внутренней памяти информации ограниченного доступа, в том числе ключевой информации и персональных данных. «Секреты» выдаются пользователям и применяются ими на тех рабочих станциях, на которых а) установлено ПО «Секретный агент» и б) на которых разрешено работать с данным конкретным «Секретом». Настройки, в том числе назначения, на каких ПК можно работать с какими «Секретами», задаются на сервере аутентификации (СА), на котором установлено ПО «Центр управления». Именно СА на основании обмена данными с «Секретом» принимает решение о доступе, а рабочая станция только передает данные от «Секрета» на сервер. Пользователь получает доступ к содержимому «Секрета» в том случае, если рабочая станция опознала «Секрет» как разрешенный для работы на ней, пользователь ввел верный PIN-код, подтвердив свое право использовать «Секрет», и СА подтвердил права пользователя и «Секрета».
Кто хозяин? Эмиссия СЕКРЕТОВ
Хорошо понятно, что такая система должна быть явным образом «привязана» к эксплуатирующей ее организации. Если, пусть даже и только по предварительному сговору, было бы можно раскрывать «Секреты» одной организации в системе другой, тоже применяющей эту технологию, смысл защиты свелся бы на «нет».
Аутентификация «Секрета» на СА производится на основании специального протокола с применением криптографических ключей. Эти ключи и являются той самой технологической привязкой, по которой сервер аутентификации отличает свой «Секрет» от «Секрета» другой фирмы. Для этого служебные носители «Секрет», применяемые в информационной системе, эмитируются в этой же системе на АРМ эмиссии, ПО которого входит в состав «Секрета фирмы». Эта технология исключает, что кто-либо, даже производитель «Секретов», сможет выпустить носитель, «подходящий» для использования в чужой системе. Нейтральные при покупке носители с помощью специальной защищенной процедуры эмитируются как элементы именно той системы, для которой они приобретены.
Для использования эмитированного «Секрета» на компьютерах системы его нужно зарегистрировать на сервере аутентификации. При этом «Секрет» и СА обмениваются ключами аутентификации, выработанными при эмиссии и известными только им, а значит, «Секреты» эмитированные для других фирм в принципе не смогут быть зарегистрированы в этой системе.
Таким образом, легальные пользователи могут использовать служебные носители на разрешенных компьютерах без ограничений функциональности обыкновенной флешки - только с введением PIN-кода, но ни они, ни кто-либо другой случайно или намеренно завладевший «Секретом» не сможет раскрыть его ни на одном другом компьютере, даже в системе, в которой тоже используется «Секрет» и установлено необходимое для его применения ПО.
Применение системы «Секрет» не решает всех задач защиты информации в организации, важно это хорошо понимать. Однако это обеспечивает режим, при котором исключен вынос из системы информации, записанной на служебные носители этой системы. Служебный носитель - это часть именно той системы, в которой он эмитирован. И это принципиально.
Об авторе: Конявская Светлана - кандидат филологических наук, заместитель генерального директора ОКБ САПР
Опубликовано http://www.okbsapr.ru/konyavskaya_2012_2.txt