Калининградский государственный научно-исследовательский центр информационной и технической безопасности

Средства защиты информации

Средства защиты информации (СЗИ) – это специализированные программные, программно-аппаратные средства, предназначенные для защиты от актуальных угроз.

При защите информации, требования к защите которой определены действующим законодательством, применяемые СЗИ должны обладать сертификатами соответствия требованиям регуляторов. Для большинства СЗИ требуется наличие сертификатов, выданных Федеральной службой по техническому и экспортному контролю России, однако в случае необходимости применения средств криптографической защиты информации (СКЗИ) требуется наличие сертификатов, выданных Федеральной службой безопасности России.

Организация, устанавливающая данные СЗИ в виде услуги, должна обладать лицензиями, выданными соответствующими лицензирующими органами. КГ НИЦ является партнером ведущих производителей средств защиты информации, обладает необходимыми лицензиями и обширным опытом работы с ними 

Мы поможем Вам подобрать комплексные решения, которые будут оптимальны именно для Вашей организации, организуем поставку, проведем установку и настройку в соответствии с особенностями Вашей информационной инфраструктуры и требованиями регуляторов.

Средства защиты от несанкционированного доступа (CЗИ от НСД) — это программные и/или аппаратные средства, позволяющие предотвратить попытки несанкционированного доступа, такие как неавторизованный физический доступ, доступ к файлам, хранящимся на компьютере, уничтожение конфиденциальных данных.

Функции СЗИ от НСД:

  • идентификация и аутентификация пользователей и устройств;
  • регистрация запуска (завершения) программ и процессов;
  • реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа;
  • управление информационными потоками между устройствами;
  • учет носителей информации и другие функции.

Модуль доверенной загрузки (МДЗ) представляет собой комплекс аппаратно-программных средств (плата, аппаратные средства идентификации и аутентификации, программное обеспечение для поддерживаемых операционных систем), устанавливаемый на рабочее место вычислительной системы (персональный компьютер, сервер, ноутбук, специализированный компьютер и др.) и выполняет следующие функции:

  • идентификация и аутентификация пользователей до загрузки операционной системы с помощью персональных электронных идентификаторов (USB-ключи, смарт-карты, идентификаторы iButton и др.);
  • контроль целостности программного и аппаратного обеспечения компьютера до загрузки операционной системы;
  • блокировка несанкционированной загрузки операционной системы с внешних съемных носителей;
  • функционирование сторожевого таймера, позволяющего блокировать работу компьютера при условии, что после его включения и по истечении определенного времени управление не было передано плате МДЗ;
  • контроль работоспособности основных компонентов МДЗ (энергонезависимой памяти, идентификаторов, датчика случайных чисел и др.);
  • регистрация действий пользователей и совместная работа с внешними приложениями (датчики случайных чисел, средства идентификации и аутентификации, программные средства защиты информации и др.).

В зависимости от реализации модули доверенной загрузки различаются на аппаратно-программные и программные. Функции исполняемые МДЗ в зависимости от вида могут различаться.

Межсетевой экран (файрвол, МЭ) — это локальное (однокомпонентное) или функционально — распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему и/или выходящей из информационной системы.

Среди задач, которые решают межсетевые экраны, основной является защита сегментов сети или отдельных хостов от несанкционированного доступа с использованием уязвимых мест в протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах сети. Межсетевые экраны пропускают или запрещают трафик, сравнивая его характеристики с заданными шаблонами.

Наиболее распространённое место для установки межсетевых экранов — граница периметра локальной сети для защиты внутренних хостов от атак извне. Однако атаки могут начинаться и с внутренних узлов — в этом случае, если атакуемый хост расположен в той же сети, трафик не пересечёт границу сетевого периметра, и межсетевой экран не будет задействован. Поэтому в настоящее время межсетевые экраны размещают не только на границе, но и между различными сегментами сети, что обеспечивает дополнительный уровень безопасности

Выделяют следующие виды межсетевых экранов:

межсетевой экран уровня сети;

межсетевой экран уровня логических границ;

межсетевой экран уровня узла;

межсетевой экран уровня веб-сервера колу передачи гипертекста, проходящих к веб-серверу и от веб-сервера;

межсетевой экран уровня промышленной сети.

Системы обнаружения и предотвращения вторжений (IPS/IDS) — это комплекс программных или аппаратных средств, которые выявляют факты и предотвращают попытки несанкционированного доступа в корпоративную систему. Их обычно разделяют на два основных компонента: системы обнаружения, IDS, и IPS — системы предотвращения вторжений.

К основным функциям систем IDS относятся:

  • обнаружение вторжений и выявление сетевых атак,
  • прогнозирование и поиск уязвимостей,
  • распознавание источника атаки (взломщики или инсайдеры),
  • обеспечение контроля качества системного администрирования.

 

Концептуальная схема систем обнаружения вторжений включает в себя:

  • подсистему сбора событий, или сенсорную,
  • подсистему анализа данных, полученных от сенсорной подсистемы,
  • подсистему хранения событий,
  • консоль администрирования.

 

Выделяют следующие виды систем обнаружения вторжений:

  • СОВ уровня сети;
  • СОВ уровня узла.

Сканеры уязвимостей — это программные или аппаратные средства, служащие для осуществления диагностики и мониторинга сетевых компьютеров, позволяющее сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности, оценивать и устранять уязвимости.

Сканеры уязвимостей позволяют проверить различные приложения в системе на предмет наличия «дыр», которыми могут воспользоваться злоумышленники. Также могут быть использованы низкоуровневые средства, такие как сканер портов, для выявления и анализа возможных приложений и протоколов, выполняющихся в системе.

В нормативных требованиях сканеры уязвимости периодически называются средствами анализа и контроля защищенности информации.

Основные функции сканеров уязвимости:

  • получения информации о системе;
  • проверки сетевых устройств;
  • проверки возможности осуществления атак типа «отказ в обслуживании» («Denial of Service»), «подмена» («Spoofing»);
  • проверки паролей;
  • проверки межсетевых экранов;
  • проверки удаленных сервисов;
  • проверки DNS;
  • проверки учетных записей ОС;
  • проверки сервисов ОС;
  • проверки установленных patch’ей системы безопасности ОС и другие функции.

Системы мониторинга и управления событиями безопасности строятся на базе SIEM-систем. Аббревиатура SIEM образована от security information and event management, что дословно можно перевести как система управления событиями и информационной безопасностью. SIEM обеспечивает анализ в реальном времени событий, происходящих в ИТ-инфраструктуре. Подобный анализ необходим для обнаружения и определения среди всех событий событий информационной безопасности и реагирования на них.

SIEM системы, вне зависимости от производителя, обладают следующим функционалом:

  • агрегация данных — сбор, обработка и хранение логов с различных устройств и приложений;
  • корреляция событий — поиск общих атрибутов события. Подобная технология обеспечивает применение различных технических приёмов для интеграции данных из различных источников для превращения исходных данных в информацию с которой можно работать дальше;
  • оповещение — SIEM системы поддерживают возможность оповещения о событиях по различным каналам связи;
  • анализ и управления рисками безопасности;
  • проведение расследования инцидентов;
  • формирование отчётов;
  • реакция на атаки.

Источниками данных для SIEM систем являются:

  • IDS/IPS системы;
  • антивирусные программы;
  • журналы событий операционных систем и программного обеспечения;
  • межсетевые экраны;
  • сканеры уязвимостей;
  • системы инвентаризации;
  • прокси-сервера;
  • системы аутентификации;
  • средства защиты от несанкционированного доступа;
  • сетевое оборудование.

Антивирусная программа (антивирус) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Выделяет следующие виды средств антивирусной защиты:

  • предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах);
  • предназначенные для применения на серверах информационных систем;
  • предназначенные для применения на автоматизированных рабочих местах информационных систем;
  • предназначенные для применения на автономных  автоматизированных рабочих местах.

Системы предотвращения утечек информации (Data Leak Prevention, DLP) — технические устройства (программные или программно-аппаратные), которые строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Функции DLP-систем:

  • архивирование пересылаемых сообщений на случай возможных в будущем расследований инцидентов;
  • предотвращение передачи вовне не только конфиденциальной, но и другой нежелательной информации (обидных выражений, спама, эротики, излишних объёмов данных и т. п.);
  • предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи внутрь информационной системы;
  • предотвращение использования работниками казённых информационных ресурсов в личных целях;
  • оптимизация загрузки каналов, экономия трафика;
  • контроль присутствия работников на рабочем месте;
  • контроль активности работника на рабочем месте;
  • контроль записи информации в различные источники;
  • контроль содержимого текстов;
  • отслеживание благонадёжности сотрудников, их политических взглядов, убеждений, сбор компромата.

Средства криптографической защиты информации (СКЗИ) – аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.

Выделяют следующие виды СКЗИ:

  • СКЗИ для локального шифрования информации (для доверенного хранения на рабочем месте);
  • СКЗИ для обеспечения юридической значимости электронных документов, подтверждения подлинности адресата и целостности информации (криптопровайдеры, иные криптокомбайны);
  • СКЗИ для организации частных виртуальных сетей (криптомаршрутизаторы, крипто-клиенты, удостоверяющие ключевые центры и центры управления сетями);
  • СКЗИ для организации защищенных сессий на основе отечественных алгоритмов шифрования протокола защиты транспортного уровня (TLS-сервера, tls-клиенты).

Средства унифицированного управления угрозами (Unified threat management — UTM) — универсальное устройство, решение в сфере компьютерной безопасности, обеспечивающее мощную комплексную защиту от сетевых угроз. UTM — модификация обыкновенного файервола, продукт «все включено», объединяющий в себе множество функций, связанных с обеспечением сетевой связанной и безопасности, например: система обнаружения и предотвращения вторжений, межсетевой экран, VPN, антивирус, средства анализа и инспектирования сетевого трафика.

Оставьте заявку на консультацию по средствам защиты информации