Нетехнические меры защиты. Уровни контроля информационных потоков

Уровни контроля информационных потоков

Традиционно системы контроля информационных потоков позволяют контролировать информационные потоки в трех режимах:

• Режим архива
• Режим сигнализации
• Режим активной защиты

Режим архива

Этот режим предполагает минимум вмешательства в деятельность информационной системы. В этом режиме система контроля лишь протоколирует действия пользователей, архивируя журналы операций с конфиденциальной информацией и содержимое информационных потоков. Архивы анализируются на предмет наличия в них фактов о нарушении политики информационной безопасности либо по регламенту (каждый вечер, каждую пятницу и т.д.), либо по запросу о расследовании инцидента.

Преимуществом этого режима контроля является нетребовательность к вычислительным ресурсам и гибким управлением временем офицера информационной безопасности. Офицер безопасности сам определяет время для анализа архива. Его рабочее время, занятое анализом архива, не превышает нескольких часов в месяц.

Недостатком этого режима является невозможность предотвращения утечки.

Режим сигнализации

Этот режим представляет собой расширенный режим архива, однако перед укладыванием информации в архив, действие или сообщение проверяется на предмет соответствия политике информационной безопасности. В случае выявления запрещенного действия/сообщения, офицер безопасности получает на свое рабочее место сообщение. В зависимости от уровня нарушения политики ИБ, офицер безопасности принимает решение реагировать немедленно, либо отложить реакцию.

Преимуществом этого способа является возможность немедленно реагировать на события.

Недостатком этого режима является также невозможность предотвращения утечек, а для офицера ИБ недостатком является необходимость постоянно находиться в режиме on-line.

Этот режим нередко используется для тестовой эксплуатации системы перед переходом к режиму активной защиты.

Режим активной защиты

Этот режим позволяет активно вмешиваться в информационные процессы, блокировать опасные операции безвозвратно или до их разрешения офицером безопасности.

Преимуществом этого режима является возможность блокирования попыток нарушить политику информационной безопасности, предотвращение утечек.

Недостатком этого режима является необходимость постоянного присутствия офицера информационной безопасности для разбора спорных случаев и ложных срабатываний. На сегодняшний день максимальная достоверность использующихся технологий не превышает 90%, поэтому в режиме активной защиты на офицера ИБ ложится ответственность за оперативное решение спорных вопросов. Также недостатком такого режима является высокая требовательность к ресурсам, особенно при обработке on-line потоков. Приходится резервировать каналы и наращивать вычислительную мощность, чтобы обеспечить минимальную задержку писем и сообщений в Интернет.