Журнал "Information Security/ Информационная безопасность" #6, 2018

Утечка информации – неконтролируемое распро- странение защищаемой информации в результате ее передачи (разглашения) либо получения к ней несанкционированного доступа 1 . Из определения видно, что утечка информации воз- можна как вследствие доступа к ней извне, так и как вследствие действий внутреннего нарушителя – инсайдера. Следует также отметить, что утечка инфор- мации может являться результатом как умышлен- ных, так и неумышленных действий. Общие способы противодействия утечкам информации Для защиты от утечек инфор- мации, как правило, используют систему мер, включающую: l организационно-правовые меры – подготовка различных документов (приказов, регла- ментов, инструкций), описываю- щих бизнес-процессы защиты от утечки информации; l технические и программные меры – установка и настройка средств защиты информации, непосредственно реализующих защиту от утечек информации; l морально-этические меры – обучение и работа с персона- лом, ознакомление работников с внутренними документами компании, касающимися защи- ты информации, поддержание необходимого уровня лояльно- сти работников. Из технических мер наиболее популярными на сегодняшний день в части защиты от утечек информации являются системы класса DLP (Data Leak Preven- tion), название которых дослов- но так и переводится – системы предотвращения утечек инфор- мации. Однако спектр приме- нения DLP-систем ограничива- ется лишь предотвращением утечек информации от пользо- вателей информационных систем – работников организа- ции. Они не могут обеспечить, например, защиту информации при ее передаче за пределы контролируемой зоны (при обмене электронными сообще- ниями или транспортировке материального носителя инфор- мации), а также не осуществ- ляют ограничение пользовате- лей сторонних организаций, имеющих доступ к информа- ционной системе в части воз- можности ознакомления с "чужими" массивами информа- ции. Для защиты от подобного рода утечек используются сред- ства криптографической защи- ты информации. Практические аспекты применения криптографии для противодействия утечкам информации Одновременно с ускоренным развитием информационных технологий растет и потреб- ность в обмене информацией с использованием информацион- но-телекоммуникационных сетей. Практически все органи- зации переходят на электрон- ный документооборот, включая внешний, где применяют для обеспечения целостности и под- тверждения авторства докумен- тов электронные подписи на основе алгоритмов криптогра- фического преобразования, а также защищенные с помощью шифрования каналы связи, поз- воляющие обеспечить возмож- ность защиты от ознакомления с этой информацией третьих лиц в процессе ее передачи. Для защиты информации при передаче по каналам связи существует огромное количе- ство аппаратно-программных средств (например, ViPNet, АПКШ "Континент", "С-Терра" и т.п.). Кроме того, практически все современные операционные системы, включая мобильные, содержат встроенные приложения, позволяющие осуществ- лять криптографическое пре- образование информации при ее передаче. На основании практики авто- ра можно сказать, что создание защищенных сетей (VPN 2 ) с использованием алгоритмов шифрования практикуется повсеместно, причем как в дея- тельности организаций, при обмене персональными данны- ми, коммерческой тайной и иной информацией ограничен- ного доступа, так и физически- ми лицами в целях обеспечения приватности коммуникаций. Другая сфера применения крип- тографических средств защиты информации – это защита от несанкционированного доступа и распространения информации, хранящейся в локальных храни- лищах (базах данных) или на материальных носителях. Основ- ная цель криптографического пре- образования такой информации – защита от ознакомления с ней как внешнего, так и внутреннего нарушителя. Для предотвращения утечек из баз данных используются средства криптографической защиты информации, осуществ- ляющие шифрование таблиц баз данных и двухфакторную аутен- тификацию пользователей посредством применения крип- тографических ключей (напри- мер, продукт "КриптоБД"). Для неавторизованных пользовате- лей защищаемые данные мас- кируются (представлены в виде • 21 КРИПТОГРАФИЯ www.itsec.ru Криптография как средство борьбы с утечками риптография как средство защиты информации известна со времен глубокой древности. Современные комплексные системы защиты также активно используют криптографические средства и методы защиты информации. В данной статье автор рассмотрит исключительно прикладные (практические) вопросы применения криптографии для защиты от утечек информации, абстрагируясь от сложных математических моделей, с которыми читатель может ознакомиться в любом учебнике по криптографии. К Константин Саматов, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова 1 Определение сформулировано на основании ГОСТ Р 53114–2008 “Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения". 2 Virtual Private Network