Мы все знаем, что однимиз рекомендованных способов защиты информационных сетей, до сих пор остаётся"воздушный зазор". Не рассматривая применимость "воздушногозазора" в географически распределенных сетях завязанных друг с другом VPNпопробуем разобраться в действенности этого метода на сегодняшний момент. Дляпростоты попытаюсь остаться в рамках РД контролирующих органов.
Для начала представимсебе идеальный объект - изолированной предприятие, без дочерних и прочихструктур, которое не увлекается outsourcing. Здесь по идее необходимо сделать допущение и определиться:промышленное предприятие и управляющая организация, но как мы поймем дальше этоне принципиально.
Из руководящихдокументов у нас есть модель каналов котором, в том числе, участвует дваэлемента: среда распространения и носитель данных. Не зацикливаясь на неудачныхформулировках просто отметим себе, что решение "воздушный зазор" сэтой точки зрения обладает известной степенью изящества: разрушая средураспространения мы, в рамках этой модели делаем не возможным саму атаку.
Теперь рассмотримсовременную информационную систему. Очевидно, что в соответствии с требованиямиФСТЭК в ИС присутствуют, как минимум авторизация и разграничение доступа, антивирус , ПМЭ. И со стороны выглядит все вроде как пристойно.
Принципиально нас так жеинтересуют ее коммуникационные потребности:
- Обмен информации внутри иерархической структуры, в которую входит организация.
- Обновления программного обеспечения.
- Обмен информации с фискальными и контролирующими органами.
- Обмен информацией с финансовыми учреждениями.
- Получение актуальной информации в рамках компетенции самой организации.
- Представительство организации в Internet.
- Обмен информацией с контрагентами и партнерами.
- Оперативное управление на различном уровне: системные администраторы, среднее и высшее управляющее звено.
Часть потребностей можноснять путем отказа их удовлетворять, например обновление ПО, получениеактуальной информации, представительство в Internet. Очевидно, что данное решение оказываетсущественное влияние на эффективность организации, но возможно там хранитсясекрет сопоставимый с секретом "Coca-Cola".
Часть потребностей можноперевести на обмен с помощью информационных носителей и передавать отчеты черезсистему изолированных от информационной системы рабочих мест подключенных кInternet. Так же можно наладить связь с контрагентами и получение входящей электроннойкорреспонденции.
И здесь возникает вопрос:как организована работа на этих рабочих местах? А правда, что генеральныйдиректор приходит в специально отведенную комнату для того что бы вмести сколлегами в порядке живой очереди побродить по Internet? Или отправляет своегосекретаря? А тот же вопрос о системном администраторе?
И здесь мы начинаемпонимать, что фалэшка из класса носителей информации чудесным образом превращаетсяв брюки среду распространения, и канал не разрушается…
Учитывая, что ответственныйза антивирусную защиту не будет несколько раз бегать за обновлениями антивирусамы получаем серьёзную уязвимость рассматриваемой ИС: явное отставаниеантивирусной подсистемы от быстро меняющихся угроз malware. К сожалению этиразмышления касаются и любых обновляемых производителем элементов СЗИ, напримерDLP, сканеры безопасности.
