Мы все знаем, что одним из рекомендованных способов защиты
информационных сетей определенных организаций, до сих пор остаётся
"воздушный зазор". Не рассматривая применимость "воздушного
зазора" в географически распределенных сетях завязанных друг с другом VPN
попробуем разобраться в действенности этого метода на сегодняшний момент. Для
простоты попытаюсь остаться в рамках РД контролирующих органов.
Для начала представим
себе идеальный объект - изолированное предприятие, без дочерних и прочих
структур, которое не увлекается outsourcing. Здесь по идее необходимо сделать допущение и определиться:
промышленное предприятие и управляющая организация, но как мы поймем дальше это
не принципиально.
Из руководящих
документов у нас есть модель каналов, в которой, в том числе, участвует два
элемента: среда распространения и носитель данных. Не зацикливаясь на неудачных
формулировках просто отметим себе, что решение "воздушный зазор" с
этой точки зрения обладает известной степенью изящества: разрушая среду
распространения мы, в рамках этой модели делаем не возможным саму атаку.
Теперь рассмотрим
современную информационную систему. Очевидно, что в соответствии с требованиями
ФСТЭК в ИС присутствуют, как минимум авторизация и разграничение доступа,
антивирус, ПМЭ. И со стороны выглядит все вроде как пристойно.
Принципиально нас так же
интересуют ее коммуникационные потребности:
- Обмен информации внутри иерархической структуры, в
которую входит организация.
- Обновление программного обеспечения.
- Обмен информации с фискальными и контролирующими
органами.
- Обмен информацией с финансовыми учреждениями.
- Получение актуальной информации в рамках компетенции
самой организации.
- Представительство организации в Internet.
- Обмен информацией с контрагентами и партнерами.
- Оперативное управление на различном уровне: системные
администраторы, среднее и высшее управляющее звено.
Часть потребностей можно
снять путем отказа их удовлетворять, например обновление ПО, получение
актуальной информации, представительство в Internet. Очевидно, что данное решение оказывает
существенное влияние на эффективность организации, но возможно там хранится
секрет сопоставимый с секретом "Coca-Cola".
Часть потребностей можно
перевести на обмен с помощью информационных носителей и передавать отчеты через
систему изолированных от информационной системы рабочих мест подключенных к
Internet. Таким же способом можно наладить связь с контрагентами и получение
входящей электронной корреспонденции.
И здесь возникает
вопрос: как организована работа на этих рабочих местах? А правда, что
генеральный директор приходит в специально отведенную комнату для того что бы
вместе с коллегами в порядке живой очереди побродить по Internet? Или
отправляет своего секретаря? И тот же вопрос о системном администраторе?
И здесь мы начинаем
понимать, что флэшка из класса носителей информации чудесным образом
превращается в брюки среду распространения, и канал рассматриваемый в модели не
разрушается…
Учитывая, что
ответственный за антивирусную защиту не будет несколько раз в день бегать за
обновлениями антивируса, мы получаем серьёзную уязвимость рассматриваемой ИС:
явное отставание антивирусной подсистемы от быстро меняющихся угроз malware. К сожалению, эти размышления касаются и любых
обновляемых производителем элементов СЗИ, например DLP, сканеры безопасности.
Этот комментарий был удален автором.
ОтветитьУдалить