Технические меры защиты объектов КИИ: обзор методов аутентификации, шифрования и контроля доступа

С развитием информационных технологий вопросы защиты данных становятся всё более актуальными. Особое внимание уделяется защите критически важных объектов информационной инфраструктуры (КИИ). Угрозы могут возникнуть как в результате действий внешних злоумышленников, так и от действий внутренних нарушителей. В этом контексте методы аутентификации, шифрования и контроля доступа становятся одними из ключевых технических мер защиты объектов КИИ. У нас существует услуга, с помощью которой возможно обеспечить безопасность работы таких объектов: https://literafort.ru/service/kii-zokii/

Аутентификация

Аутентификация – это процесс подтверждения идентичности пользователя или системы. Это ключевой шаг к созданию безопасной среды, поскольку он предотвращает несанкционированный доступ к информации. В большинстве технических и программных средствах аутентификации, применяемых на объектах КИИ, используется сочетание классических методов аутентификации по фактору знания (пароль) и по фактору владения (персональный идентификатор). Рассмотрим одни из них.

• Парольная аутентификация: стандартный метод, применяемый к пользователям объекта критической информационной инфраструктуры — использовать уникальные и сложные пароли для доступа к системе. Для повышения надежности можно установить политики сложности паролей и проводить периодическую смену.
• Двухфакторная аутентификация: этот метод сочетает в себе два или более типов аутентификации, обычно что-то, что знает пользователь (например, пароль), и что-то, что у пользователя есть (например, смартфон или специальный токен). В качестве аутентификаторов могут выступать программно-аппаратные средства генерации токенов, смарт-карта, USB-ключ и иные машинные носители информации.
• Двухсторонняя аутентификация (или взаимная аутентификация) — это метод аутентификации, который требует подтверждения как со стороны клиента/пользователя, так и со стороны сервера/системы. В процессе двухсторонней аутентификации клиент и сервер обмениваются своими сертификатами или другой формой идентификации, чтобы убедиться, что обе стороны действительны и подлинны. Для двухсторонней аутентификации могут использоваться сертификаты SSL/TLS, набор протоколов IPsec или SAML. Эти протоколы обеспечивают защищенную коммуникацию между клиентом и сервером.

Важно отметить, что выбор метода аутентификации должен основываться на уровне риска, связанного с конкретным объектом КИИ, а также на требованиях к безопасности и доступности системы.

Шифрование

Шифрование – это процесс преобразования информации в нечитаемый формат с целью предотвращения несанкционированного доступа. Шифрование может быть применено как к информации, хранящейся на устройстве (атрибутивное шифрование), так и к передаваемой информации (шифрование канала связи). Важно отметить, что шифрование не заменяет необходимость аутентификации и контроля доступа, но служит дополнительным уровнем защиты. На объектах КИИ (критической информационной инфраструктуры) применяются различные программно-аппаратные средства, программы крипто-провайдеров, микроконтроллеры, реализующие методы шифрования информации для обеспечения её конфиденциальности и защиты от несанкционированного доступа. Некоторые из таких методов включают:

• Симметричное шифрование: в этом методе используется один и тот же ключ для шифрования и расшифрования данных. Примеры таких алгоритмов включают AES (Advanced Encryption Standard) и DES (Data Encryption Standard).
• Асимметричное шифрование: в этом методе используется пара ключей (открытый и закрытый). Открытый ключ используется для шифрования данных, а закрытый ключ — для их расшифровки. Примеры алгоритмов асимметричного шифрования включают RSA и ECC
• Электронная цифровая подпись: цифровая подпись используется для аутентификации отправителя и обеспечения целостности данных. Цифровая подпись создается с использованием закрытого ключа и может быть проверена с использованием открытого ключа. Это позволяет получателю убедиться, что данные не были изменены после их подписания. Примеры алгоритмов цифровой подписи включают RSA и DSA (Digital Signature Algorithm).
• VPN (Virtual Private Network): VPN используется для защиты передаваемых данных между сетями или устройствами. Он использует различные протоколы шифрования данных, такие как IPSec или SSL/TLS, для обеспечения конфиденциальности и целостности информации.

Контроль доступа

Контроль доступа представляет собой меры, применяемые для ограничения доступа к ресурсам. Контроль доступа может осуществляться на основе ролей, основе правил или на основе атрибутов. Это позволяет предоставить доступ к ресурсам только тем пользователям или системам, которым он необходим для выполнения своих обязанностей. Для реализации контроля доступа используются программные решения, которые управляют и аутентифицируют пользователей, контролируют и разграничивают доступ на основе заданных политик. Рассмотрим несколько методов.

• Аутентификация и Авторизация: аутентификация пользователей — это процесс проверки и подтверждения их подлинности перед получением доступа к системе или данным. Она может осуществляться с использованием паролей, биометрических данных (отпечатков пальцев, сетчатки глаза, голоса) или токенов. После успешной авторизации пользователю присваиваются определенные права доступа в системе или к ресурсам. Авторизация определяет, какие действия пользователь может выполнять и к каким ресурсам он имеет доступ.
• Управление правами доступа: эта мера предусматривает ограничение доступа и назначение определенных прав для пользователей в соответствии с их ролями и обязанностями. Доступ пользователей к ресурсам ограничивается только тем, что им необходимо для выполнения своих задач.
• Принцип наименьших привилегий: данный принцип предполагает, что пользователи и процессы получают только тот минимальный набор прав доступа, который требуется для выполнения их задач. Это ограничивает возможность несанкционированного доступа и ограничивает неблагоприятное воздействие на объекты КИИ в случае их компрометации.
• Шифрование данных: применение криптографического шифрования позволяет защитить конфиденциальность информации. Данные шифруются перед передачей или хранением, и только авторизованным пользователям предоставляются ключи для дешифровки.
• СКУД: подразумевает собой применение программно-аппаратных, технических и других средств, предназначенных для ограничения и регистрации прохода/въезда людей и автотранспорта на объект. Применение систем для контроля и управления доступом особенно актуально на крупных объектах с большим штатом сотрудников, в силу производственного процесса посещаемых большим количеством людей

Это лишь несколько примеров технических мер контроля доступа, которые могут быть применены для обеспечения безопасности объектов критической информационной инфраструктуры. Обычно использование нескольких мер в комбинации обеспечивает более надежную защиту.

Заключение

В целом, при правильной реализации аутентификации, шифрования и контроля доступа они могут обеспечить эффективную защиту объектов КИИ от большинства угроз. Однако, учитывая быстрое развитие технологий и изменчивую природу угроз, постоянное обновление и адаптация этих мер является необходимым для поддержания высокого уровня защиты. Вышеперечисленные методы можно реализовать с помощью применения профильных СЗИ, включающих в себя функции аутентификации, шифрования, контроля доступа, либо базовыми возможностями системы.