Подходы к построению системы защищенного применения служебных носителей информации.

Служебный носитель информации (СНИ) представляет собой портативное запоминающее устройство, которое использует в качестве носителя флеш-память, предоставляется сотруднику организацией и подключается к инфраструктуре информационной системы организации (компьютерам или иным считывающим устройствам) по интерфейсу USB с целью обработки (хранения, приема/передачи) корпоративной информации.

В основу построения системы защищенного применения СНИ положены результаты исследования следующих вопросов:

• с какой целью и каким образом сотрудники организаций используют СНИ? (мотивационные факторы);
• каковы основные угрозы безопасности информации, обрабатываемой с использованием СНИ? (сдерживающие факторы).

Исследование различных аспектов (прикладного; психологического; аспекта, связанного с защитой обрабатываемой информации) применения СНИ и выделение его характерных особенностей позволяют сформировать набор требований к системе защищенного применения СНИ:

1) должна быть сохранена принципиальная возможность реализации сотрудником прикладных целей:

• ограничение доступа к данным посредством определения порядка доступа к СНИ как к физическому устройству;
• распространение данных посредством выполнения адресной транспортировки;
• отложенное распространение данных в виде реализации контролируемого распространения данных, ранее размещенных на СНИ с целью ограничения к ним доступа;

2) должен быть сохранен высокий уровень «психологического обладания» технологией за счет удовлетворения потребностей сотрудников в автономности и контроле, безопасности, удовлетворении от использования технологии;

3) должны быть предусмотрены механизмы противодействия основным угрозам безопасности информации СНИ, в том числе хищению корпоративной информации, ее несанкционированной модификации и блокированию, а также внедрению с использованием СНИ вредоносного ПО.

Анализ мотивирующих и сдерживающих факторов показывает, что в настоящее время в отношении использования СНИ в организации с некоторой степенью условности имеет место «конфликт интересов»: сотрудник узурпирует функции управления доступом к информации СНИ, контролируя и распространяя ее по своему усмотрению, в то время как корпоративные интересы требуют противодействия возможности несанкционированного доступа к информации СНИ со стороны третьих лиц.

Предполагается, что в системе защищенного применения СНИ должен быть соблюден разумный баланс между мотивационной и сдерживающей составляющими.

Сложившаяся ситуация дает основания выдвинуть предположение, что система защищенного применения СНИ должна реализовывать разделение функций контроля между организацией и сотрудником: организация ограничивает множество компьютеров, на которых может быть осуществлен доступ к информации, а сотрудник контролирует процесс ее обработки в рамках ограничиваемого организацией множества компьютеров.

Для реализации данной концепции в общем случае может быть использовано два подхода. При этом в обоих подходах используются артефакты разделения функций контроля между организацией и сотрудником: защищенный сервер организации и портативное устройство сотрудника в форме специального носителя (СН) - аппаратного модуля, выполненного в форм-факторе флеш-диска с интерфейсом USB и предназначенного для ограничения доступа к корпоративной информации. Доступ к информации осуществляется исключительно в результате некоторого заданного управляющего взаимодействия между этими артефактами.

1 подход . Корпоративная информация хранится на USB-флеш-накопителе, входящем в состав СН. Доступ к корпоративной информации предоставляется только в результате выполнения следующих условий:

1) подключение СН к USB-порту рабочей станции;

2) успешная авторизация сотрудника на доступ к информации СН посредством ввода пароля;

3) взаимная аутентификация СН и защищенного сервера организации, размещенного в одном сегменте сети с рабочей станцией, посредством выполнения соответствующего криптографического протокола.

Характерными чертами данного подхода являются:

• доступ к данным не может быть получен без ведома сотрудника (сохраняется положительное влияние эффектов, связанных с «психологическим обладанием» и реализацией прикладных целей сотрудника);
• доступ к данным СН осуществляется сотрудником только на компьютере организации, подключенным к сегменту сети организации, в который включен соответствующий сервер аутентификации;
• имеется возможность ограничить использование в организации посторонних СН за счет использования процедуры эмиссии СН;
• имеется возможность расширения числа компьютеров, на которых может быть получен доступ к данным СН, за счет регистрации последнего в дружественных сегментах сети с явного разрешения организации (это может быть удобно, например, если есть необходимость передачи корпоративной информации на СН между филиалами организации, не включенными в единую сеть);
• имеется возможность ограничения числа компьютеров, на которых может быть получен доступ к данным СН, даже внутри сегмента сети, в который включен соответствующий сервер аутентификации;
• конфиденциальность информации сохраняется в случае выноса СН за пределы организации;
• имеется возможность противодействия несанкционированной модификации и блокированию информации СН за счет использования процедуры авторизации сотрудника перед получением доступа к данным;
• существенно затруднено распространение посредством СН вредоносного ПО, поскольку множество компьютеров, на которых имеется возможность получения доступа к информации СН, ограничено сегментами сети организации;
• затруднена реализация угрозы восстановления остаточной информации СН, выведенных из употребления, сданных в ремонт, на обслуживание, переданных для использования другим пользователям или для использования за пределами ИС;
• имеется возможность реализации прозрачного шифрования корпоративной информации, записываемой на СН, и расшифрования в момент считывания после выполнения процедур авторизации и аутентификации;
• так же как и при использовании «традиционных» USB-флеш-накопителей, максимальный объем обрабатываемой корпоративной информации ограничен емкостью флеш-диска СН, и в том случае, если корпоративная информация хранится на СН в единственном экземпляре, потеря или кража СН приводит к нарушению доступности информации (однако с сохранением свойства конфиденциальности).

2 подход . Корпоративная информация хранится в каталоге на защищенном сервере организации. Доступ к корпоративной информации предоставляется в результате выполнения следующих условий:

1) подключение СН к рабочей станции;

2) успешная авторизация сотрудника на доступ к информации на сервере посредством ввода пароля;

3) взаимная аутентификация СН и защищенного сервера, на котором зарегистрирован СН, посредством выполнения соответствующего криптографического протокола.

При использовании данного подхода СН не содержит корпоративную информацию и в простейшем случае может представлять собой аппаратный ключ, предназначенный для получения доступа к ней со стороны авторизованного пользователя. В более сложных реализациях СН может выступать в качестве носителя «персональной рабочей среды» пользователя, в состав которой могут входить ОС, набор необходимых для обработки информации приложений, криптографические ключи для организации защищенного взаимодействия с хранилищем и другие компоненты.

Для описываемого подхода характерны большинство свойств, перечисленных выше для первого подхода, включая сохранение положительного влияния эффектов, связанных с «психологическим обладанием» (в силу того, что без СН невозможно получить доступ к определенной для него корпоративной информации, имеют место предпосылки, связанные с автономностью, контролем, безопасностью и получением удовлетворения от использования СН) и реализацией прикладных целей сотрудника.

К числу существенных отличительных особенностей второго подхода следует отнести следующие:

• потеря или кража СН не приводит к нарушению конфиденциальности, целостности и доступности (если реализован механизм восстановления утраченного СН) корпоративной информации;
• невозможна реализация угрозы восстановления корпоративной информации СН, выведенных из употребления, сданных в ремонт, на обслуживание, переданных для использования другим пользователям или для использования за пределами ИС, поскольку СН не содержит корпоративной информации;
• исключено распространение посредством СН вредоносного ПО, поскольку отсутствует возможность сохранения информации в памяти СН;
• преднамеренное осуществление сбоев, внесение неисправностей, уничтожение СН не приводит к нарушению целостности и доступности корпоративной информации (если реализован механизм восстановления испорченного СН);
• максимальный объем корпоративной информации, обрабатываемой с использованием СН, ограничен только размерами выделенного хранилища на сервере;
• отсутствует возможность расширения числа компьютеров, на которых может быть получен доступ к корпоративной информации за счет регистрации СН в дружественных сегментах сети - отсутствие сетевого подключения между сегментами в этом случае является решающей преградой. Следует отметить, что данное условие представляет собой существенное ограничение, во многом противоречащее традиционному представлению о функциональности USB-флеш-накопителей.

Автор: Лыдин С. С.

Дата публикации: 01.01.2012

Библиографическая ссылка: Лыдин С. С. Подходы к построению системы защищенного применения служебных носителей информации // Комплексная защита информации. Безопасность информационных технологий. Материалы XVII Международной конференции 15–18 мая 2012 года, Суздаль (Россия). М., 2012. С. 167–169.

---