ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Защита корпоративной сети – одна из главных задач любой крупной организации

Защита корпоративной сети

Интервью с президентом группы компаний "С-Терра" Сергеем Рябко

– Как бы вы в целом охарактеризовали ситуацию в сфере защиты информации, сложившуюся на предприятиях отечественного оборонного комплекса? Чем она обусловлена? Много ли вам известно предприятий, которые сформулировали стратегию информационной безопасности и руководствуются ею на практике?

– Не думаю, что слово "стратегия" уместно в отношении информационной безопасности уровня предприятия. Информационная безопасность – это некая служебная, вспомогательная функция, а не суть того, чем предприятие занимается. Более правильно говорить о концепции ИБ. Концепция – это свод правил, определяющих, что, от чего и как нужно защищать.

Если говорить о концепции ИБ на режимных предприятиях, то она является фактически продолжением той концепции безопасности, которая сложилась еще в советское время. Суть ее – в максимальной изоляции защищаемого ресурса, исключении всех коммуникаций с внешней сетью кроме самых необходимых и минимизации приложений, работающих в режимной зоне.

На сегодняшний день серьезной альтернативы такому подходу нет. Он рационален, и его можно было бы считать соответствующим специфике оборонной отрасли, если бы не то обстоятельство, что самый большой риск информационной безопасности – социальный. Во времена СССР на каждом предприятии существовал весьма влиятельный "первый отдел". Зарплата сотрудника ВПК заставляла его дорожить своим рабочим местом. Сегодня прежних механизмов воздействия на сотрудников нет. Режим соблюдается менее строго. Зарплаты в коммерческом секторе выше, чем в оборонном, поэтому специалиста проще перекупить или склонить к шпионажу.

Поэтому уровень реальной защищенности информационных ресурсов ОПК резко снизился. Слава Богу, в условиях современной геополитики военные угрозы не так высоки, как во времена холодной войны, соответственно, спрос на добычу "военной тайны" путем шпионажа не столь велик.

– Итак, ключевые риски информационной безопасности для режимного предприятия лежат в социальной сфере. А какова роль технических средств ИБ, в какой мере востребованы современные разработки? В частности, те, которые предлагает ваша компания?

– Когда мы говорим об информационной безопасности в коммерческой зоне (где защищается конфиденциальная информация) и об информационной безопасности в режимной зоне (где защищается гостайна), то речь идет о несколько разных вещах.

В условиях интенсивной информатизации в коммерческой зоне появляется масса сложных систем, и обеспечение ИБ предполагает управление разнородными средствами защиты и их гармонизацию. В зоне режима гостайны такого рода задача обычно не стоит, здесь ИБ – это определенный режим работы с документацией, усиленный отдельными техническими средствами. Излишняя информатизация в зоне гостайны исключается. Конкретный комплекс автоматизации можно поместить в изолированное пространство, исключить утечки через телефоны и карманы пользователей, экранировать каналы связи, и дальнейшая защита – уже вопрос соблюдения режима. Поэтому и от средств защиты не требуется весь функционал, применяемый в тотально информатизированном коммерческом секторе.

Другое дело, все территориально распределенные корпорации ощущают потребность в защите корпоративного пространства. При любом уровне информатизации задача оградить свое информационное пространство предприятия, поставить на него "защитную оболочку" очень актуальна, и она решается. Если я вас спрошу, что такое VPN, вы наверняка ответите, что это средство шифрования трафика в недоверенном канале. Это распространенное понимание, которое на самом деле является ограниченным и, более того, идеологически неверным. Что такое сеть современного предприятия? Это среда, в которой информация циркулирует в автоматическом режиме, причем корпоративная сеть имеет стыки с внешними, в том числе публичными сетями, и контролировать движение информации – задача непростая. Организацию корпоративной сети можно сравнить с задачей строительства водопровода. Водопровод – это не труба, проложенная между пунктом А и пунктом Б, он должен представлять собой полностью замкнутую систему, в которой водозабор из внешних источников осуществляется через специальные шлюзы, и чистая вода не смешивается с грязной. Технология VPN, которую мы предлагаем, – не средство защиты конкретного канала (как многие полагают), а средство изоляции всей сети, которое делает ее "чистой". Изоляция достигается за счет шифрования, т. е. обеспечения конфиденциальности и целостности трафика. Причем целостность обеспечивается на двух уровнях – на уровне пакетов (когда передаваемый пакет нельзя исказить) и на уровне потока пакетов (когда невозможно "вбросить" посторонний пакет).

Таким образом, роль технологий, которые мы предлагаем, – это стойкая граница корпоративной коммуникационной среды.

– Выбирая решение, формулируя техзадание, заказчик, особенно работающий с гостайной, должен опираться на существующую нормативную базу, требования регуляторов. Какова эта база, и как с ней соотносятся те решения, которые предлагает "С-Терра"?

– Таких документов довольно много, например СТР-К (Специальные требования и рекомендации по технической защите конфиденциальной информации ФСТЭК). В нем указывается, что при выходе данных за пределы контролируемой зоны трафик должен быть зашифрован, а средство шифрования должно быть сертифицированным. Аналогичные требования выдвигает ФСБ России. Обе системы требований, система ФСТЭК и система ФСБ, задействованы в оценке безопасности информационных систем. Но эти системы различаются по своей архитектуре. Регулирование ФСТЭК практически полностью построено на уровневой схеме, которая непосредственно определяется уровнем конфиденциальности информации. В регулировании ФСБ также присутствуют уровни защиты, однако с грифом информации они не соотносятся. Требования ФСБ привязаны к условиям эксплуатации криптографического средства.

Таким образом, требование защитить информацию класса "Совершенно секретно" продуктами с соответствующим сертификатом ФСТЭК заказчик часто относит ко всем применяемым в зоне обработки этой информации средствам защиты, что значительно сужает выбор продуктов для защиты. Требования же ФСБ позволяют более гибко комбинировать средства защиты. Если, например, секретная зона защищена по периметру по соответствующему классу, внутри этой зоны можно применять устройства более низкого класса. Или же можно построить периметр защиты конфиденциальной информации, внутри которого выделить контур циркуляции секретной и совсекретной информации.

Наши продукты имеют сертификаты, позволяющие применять их для защиты конфиденциальной информации, не составляющей государственную тайну, в автоматизированных системах до класса 1Г включительно. Таким образом, мы создаем "внешнюю оболочку" для защиты гостайны и условия для функционирования внутри нее СКЗИ более высокого класса. Требованиям ФСБ это не противоречит.

Почему целесообразно строить сеть именно так, разделяя зоны, вкладывая периметры защиты один в другой? Да потому, что продукты с рынка защиты гостайны в силу требований к ним и особенностей их реализации таковы, что они исключают использование ряда IP-сервисов, например, поддержку качества сервиса. Между тем, даже режимному предприятию нужны современные телекоммуникационные сервисы, а более 95% их трафика не относится к гостайне. Наша задача – выстроить периметр защиты так, чтобы не ограничивать сетевые сервисы. А в содержимое циркулирующих по VPN-сети IP-пакетов мы не вникаем. Поэтому наши решения могут применяться в различных сферах, в том числе и на предприятиях, работающих с гостайной.

Есть оборонные предприятия, которые интересуются нашей продукцией и уже работают с нами. Например, недавно мы общались со специалистами одной из корпораций – там стоит задача защиты корпоративной сети, в которой используются сервисы телефонии, ВКС и ряд других.

Сейчас мы работаем только в зоне внешнего периметра, в котором циркулирует не самая критичная информация. Но есть и планы работы в проектах по защите гостайны. Продукты для этого будут теми же самыми, но с несколько большими функциональными ограничениями, которые диктуются регуляторными требованиями.

– Какие решения вы предлагаете, в чем их преимущества?

– Компания "С-Терра СиЭсПи" предлагает заказчикам сочетание некриптографических средств защиты информации от Cisco Systems и сертифицированных продуктов сетевой защиты CSP VPN. Думаю, решения Cisco в рекомендациях не нуждаются. Продукт CSP VPN характеризуется высокой масштабируемостью, что гарантирует высокую экономическую эффективность его применения, и хорошим балансом надежности и производительности.

Стоит отметить, что в этом году мы получили сертификаты, подтверждающие, что решение CSP VPN Gate версии 3.1 отвечает последней редакции "Требований к шифровальным (криптографическим) средствам, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну" ФСБ России. Решение может использоваться для защиты информации, передаваемой по протоколу TCP/IP, и выполняет такие функции, как пакетная фильтрация трафика, защита трафика на основе шифрования пакетов по протоколам IPSec AH и/или IPSec ESP, идентификация и аутентификация партнеров при установлении соединения, контроль целостности пакетов с использованием хэш-функции. Решение CSP VPN Gate версии 3.1 выпускается в нескольких исполнениях. Есть исполнения аппаратно-программные и чисто программные, на каждое оформлен отдельный сертификат, согласно которому конкретное исполнение соответствует требованиям к СКЗИ классов КС1 или КС2.

– Для предприятия ОПК приоритет в области ИБ – защита информации, содержащей государственную тайну. Насколько применимо здесь понятие "эффективность", отличается ли его трактовка от таковой в коммерческом секторе?

– Если рассуждать об эффективности защиты информации, то начать стоило бы со сравнения приоритетов в бизнес-секторе и в зоне гостайны.

Для бизнес-сектора приоритетом является обеспечение защиты де-факто. Ряд коммерческих структур применяют несертифицированные криптосредства, регуляторы, как правило, этому не препятствуют. Тем не менее, наряду с этим высоким приоритетом обладает аттестационная пригодность системы защиты.

Следующий приоритет – функциональность и удобство использования средств защиты для бизнеса, их соответствие бизнес-целям. Если защита неудобна, пользователь просто начинает ею пренебрегать.

Наконец, важна технологичность, т. е. возможность комплексного автоматизированного управления защитой. В условиях, когда существует множество сложных систем, делать это вручную невозможно.

Для государственных предприятий, работающих с гостайной, первый приоритет – легитимность используемых средств, т. е. наличие сертификации. Вторым, полагаю, является экономика. Госпредприятия сталкиваются, с одной стороны, с недостаточностью бюджета на ИТ, с другой – с высокими ценами на продукты, обусловленными спецификой производства в данной сфере. Специфика эта состоит в том, что производитель сертифицированных средств защиты информации (1) работает на малом, национальном рынке и не может снизить рентабельность до уровня, приемлемого для мирового вендора, пасущегося на более обширной кормовой базе; (2) несет избыточные затраты на лицензирование деятельности и сертификацию продукции; (3) пользуется протекционизмом государства и иногда монопольным положением на рынке (особенно если создает "уникальные", нестандартные решения, в ряде случаев это работающий инструмент для манипуляций).

Следующий приоритет госсектора – минимальная пригодность средства для эксплуатации. Защитнику гостайны важно, чтобы шифратор "вписывался" в отведенную полосу пропускания, иначе обмен данными будет занимать непозволительно много времени. А уж "изыски" – комплексность и технологичность, необходимые коммерческому сектору, управление, мониторинг, оценка уровня безопасности на основании лучших практик здесь не требуются, поскольку при защите гостайны используются ограниченная информатизация процесса и его точечная функциональная защита.

– Подведем итог: можно ли констатировать, что современные технологические разработки в области защиты информации в оборонном секторе востребованы, что "не режимом единым" защищается критически важная информация? Вы ожидаете повышения спроса на ваши решения со стороны этого сектора?

– Исторически информатизация госсектора в оборонпроме отставала от коммерческого сегмента и критически важных гражданских секторов рынка в силу ограничений финансирования. Но сейчас здесь происходят изменения к лучшему. Если гостайна находится в зоне ограниченной автоматизации и, соответственно, функционально ограниченной защиты, то защита корпоративной сети становится для многих предприятий задачей номер один. Путь, по которому здесь нужно идти, – формирование и развитие механизмов разделения ресурсов, разграничения зон, где циркулируют конфиденциальная информация и гостайна. В архитектуре "контур защиты гостайны, как вложенная сеть в периметре защиты открытого и конфиденциального ресурса" появляется значительно больше возможностей для внедрения современных коммуникационных сервисов в пользование для персонала оборонного предприятия.


connect! (27.10.2011 в 13:10) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2011 ООО "Ди Эй Кей продакшн"