Перейти к основному содержимому

8.07. Средства защиты информации

ОБЯЗАТЕЛЬНОРАЗРАБОТЧИКУАНАЛИТИКУТЕСТИРОВЩИКУАРХИТЕКТОРУИНЖЕНЕРУ
Разработчику Аналитику Тестировщику Архитектору Инженеру

Средства защиты информации

Что такое средство защиты информации

Средство защиты информации (СЗИ) — это техническое, программное или программно-техническое средство, а также вещество или материал, которые предназначены или используются для защиты информации.

Основная цель любого СЗИ — снижение уровня киберрисков путём реализации конкретных технических мер и соответствующих процессов информационной безопасности (ИБ). Эти средства выполняют широкий спектр задач: от простого разграничения доступа до сложного анализа поведения пользователей и систем в реальном времени. Они способны выявлять, анализировать и устранять киберугрозы, а также обеспечивать непрерывный мониторинг состояния систем, сетей и других сущностей ИТ-инфраструктуры.

Согласно российскому стандарту ГОСТ Р 50922-2006, именно такое определение является официальным и лежит в основе всей нормативной базы в области ИБ.

Примечание о терминологии
В профессиональной среде часто используются синонимичные термины: «средства технической защиты информации» (СТЗИ), «средства обеспечения безопасности информационных технологий» (СОБИТ). Все они подразумевают одну и ту же категорию решений.

CСЗИ в российском законодательстве

В Российской Федерации применение СЗИ регулируется строгой нормативной базой, которая определяет не только необходимость их использования, но и конкретные требования к их характеристикам.

Основу регулирования составляют три ключевых закона:

  • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  • Федеральный закон № 152-ФЗ «О персональных данных».
  • Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

Эти законы переводятся в практические инженерные задачи через подзаконные акты, в первую очередь — приказы ФСТЭК России и ФСБ России.

  • ФСТЭК России курирует некриптографические технические меры защиты. Он устанавливает классы защищённости для государственных информационных систем (ГИС) и уровни защищённости для информационных систем персональных данных (ИСПДн). От выбранного класса или уровня напрямую зависит перечень обязательных к применению СЗИ.
  • ФСБ России отвечает за криптографическую защиту. Любые средства, использующие шифрование для защиты информации (СКЗИ), должны быть сертифицированы ФСБ и входить в официальный перечень.

Ключевой принцип российского подхода — доказуемость. Недостаточно просто установить СЗИ, необходимо документально подтвердить его корректную настройку, эффективность и соответствие требованиям.

Это достигается через синхронизацию трёх компонентов:

  • документов (политик, регламентов),
  • технологий (самих СЗИ),
  • процессов (управления доступом, реагирования на инциденты).
Эволюция терминологии: от СЗИ от НСД к СУД

В новых требованиях ФСТЭК России (Приказ № 117 от 11.04.2025) происходит важная эволюция понятий. Вместо узкого термина «Средства защиты информации от несанкционированного доступа (СЗИ от НСД)» всё чаще используется более широкое понятие — «Система управления доступом (СУД)». СУД охватывает не только функции разграничения прав доступа к файлам и ресурсам, но и полный жизненный цикл учётных записей, мониторинг действий пользователей и аудит привилегий. Это отражает переход от пассивной защиты к активному управлению рисками, связанными с доступом.

Виды средств защиты информации

Классификация СЗИ может проводиться по различным признакам. На практике наиболее полезным является деление по целевому назначению и реализации. Такой подход позволяет понять, какую именно проблему решает то или иное средство и как оно интегрируется в общую архитектуру безопасности.

Классификация по целевому назначению

По функциональному назначению все СЗИ можно разделить на три большие категории, которые соответствуют ключевым аспектам защиты:

  1. Защита инфраструктуры — решения, направленные на обеспечение безопасности сетей, серверов, конечных устройств и облачных сред. Сюда входят межсетевые экраны, системы обнаружения и предотвращения вторжений, средства защиты конечных точек и многие другие.
  2. Управление киберинцидентами — решения, которые помогают организациям подготовиться к инцидентам, эффективно их обнаруживать, расследовать и устранять последствия. Ярким примером являются SIEM-системы и платформы автоматизированного реагирования (SOAR).
  3. Защита данных — решения, сфокусированные непосредственно на самом ценном активе — информации. Они обеспечивают контроль над её жизненным циклом: от создания и хранения до передачи и уничтожения. Сюда относятся DLP-системы, средства криптографической защиты и системы управления доступом.

Эта трёхуровневая модель отражает современную парадигму безопасности: защита периметра (инфраструктуры) уже недостаточна, необходимо уметь быстро реагировать на инциденты и строить защиту вокруг самих данных.

Классификация по способу реализации

По форме исполнения СЗИ делятся на следующие типы:

  1. Программные средства — это приложения и сервисы, которые устанавливаются на операционные системы или запускаются в виртуальных средах. Они обеспечивают защиту за счёт алгоритмов анализа кода, поведения программ, мониторинга сетевого трафика и сигнализирования об аномалиях. Классический пример — антивирусное ПО, брандмауэры на уровне ОС, агенты EDR.
  2. Аппаратные и программно-аппаратные средства — это специализированные электронные устройства (часто в виде серверов в стойке или компактных коробок), которые интегрируются в физическую или логическую структуру сети. Они защищают внутренние ресурсы за счёт аппаратной фильтрации трафика, разграничения доступа и высокопроизводительной обработки данных. Примеры: межсетевые экраны нового поколения (NGFW), системы предотвращения вторжений (IPS), аппаратные модули доверенной загрузки.
  3. Физические средства — это реальные преграды и системы, которые ограничивают физический доступ к информационным системам и носителям информации. К ним относятся системы видеонаблюдения, охранные сигнализации, системы контроля и управления доступом (СКУД), а также элементарные меры вроде запирающихся серверных шкафов или заборов вокруг дата-центра. Без физической безопасности любые программные и технические меры могут быть легко обойдены.

Антивирусные решения

Антивирусное программное обеспечение — это класс программных средств защиты информации, предназначенный для обнаружения, блокировки и нейтрализации вредоносного программного обеспечения (ВПО).

Основная задача антивируса — предотвратить выполнение кода, который может повредить данные, украсть конфиденциальную информацию или нарушить нормальную работу системы. Современные антивирусы используют комбинированный подход к обнаружению угроз:

  • Сигнатурный анализ — сравнение исполняемого файла или его фрагментов с базой известных образцов вредоносного кода (сигнатур). Этот метод эффективен против уже известных угроз, но бессилен перед новыми, ранее не встречавшимися образцами (zero-day).
  • Эвристический анализ — проверка поведения программы на наличие подозрительных действий, характерных для ВПО (например, попытка скрыть своё присутствие, модифицировать системные файлы, отправлять данные на внешние серверы без ведома пользователя). Этот метод позволяет выявлять новые или модифицированные угрозы.
  • Анализ в «песочнице» — запуск подозрительного файла в изолированной виртуальной среде, где он не может причинить вред основной системе. Наблюдая за его поведением, антивирус делает вывод о его вредоносности.

После обнаружения угрозы антивирус может предпринять следующие действия:

  • Изоляция (карантин) — перемещение подозрительного файла в специальную защищённую папку, откуда он не может быть запущен.
  • Лечение — попытка удалить вредоносный код из заражённого файла, восстановив его исходное состояние.
  • Удаление — полное уничтожение файла, если его лечение невозможно или небезопасно.

Антивирусы являются одним из самых распространённых и базовых средств защиты как на домашних компьютерах, так и в корпоративных сетях.

Межсетевые экраны

Межсетевой экран (МЭ) — это программное или аппаратное средство, которое контролирует входящий и исходящий сетевой трафик на основе заранее определённых правил безопасности.

Основная функция межсетевого экрана — создание барьера между доверенной внутренней сетью (например, корпоративной) и недоверенной внешней сетью (например, интернетом). Он работает как фильтр, пропуская только тот трафик, который соответствует установленным политикам, и блокируя всё остальное.

Межсетевые экраны нового поколения (NGFW)

Межсетевой экран нового поколения (Next-Generation Firewall, NGFW) — это развитие классического МЭ, который сочетает в себе функциональность традиционного фильтра пакетов с более глубокими возможностями анализа.

Ключевые особенности NGFW:

  • Глубокая проверка пакетов (Deep Packet Inspection, DPI) — анализ содержимого сетевых пакетов не только на уровне IP-адресов и портов (уровни 3–4 модели OSI), но и на уровне приложений (уровень 7). Это позволяет точно идентифицировать конкретные приложения (например, Facebook, Skype, торрент-клиенты) и управлять ими независимо от используемых портов.
  • Интеграция с системами IPS/IDS — встроенные модули обнаружения и предотвращения вторжений позволяют NGFW не просто фильтровать трафик, а активно защищаться от известных атак и эксплойтов.
  • Поддержка шифрования (SSL/TLS Inspection) — возможность расшифровывать и проверять зашифрованный трафик, что критически важно для обнаружения угроз, скрывающихся внутри HTTPS-соединений.
  • Контроль пользователей и устройств — интеграция с системами каталогов (например, Active Directory) позволяет применять правила фильтрации не только к IP-адресам, но и к конкретным пользователям или группам.

Унифицированное управление угрозами (UTM)

Унифицированное управление угрозами (Unified Threat Management, UTM) — это комплексное решение, объединяющее в одном устройстве несколько функций безопасности. Типичный UTM-аппарат включает в себя:

  • межсетевой экран,
  • антивирус,
  • систему предотвращения вторжений (IPS),
  • фильтрацию контента,
  • VPN-шлюз,
  • DLP-функционал (не всегда).

На практике граница между NGFW и UTM размыта. Оба термина описывают многофункциональные сетевые устройства безопасности. Однако исторически UTM-решения ориентированы на малый и средний бизнес, предлагая простоту развёртывания и управления «из коробки», тогда как NGFW часто нацелены на крупные предприятия, требующие гибкой и глубокой настройки.

Средства защиты конечных точек (EDR и XDR)

Система обнаружения и реагирования на конечных точках (Endpoint Detection and Response, EDR) — это класс решений, обеспечивающих расширенную защиту рабочих станций, серверов и мобильных устройств.

В отличие от традиционных антивирусов, которые сосредоточены на предотвращении угроз, EDR фокусируется на мониторинге, анализе и реагировании. EDR-агент постоянно собирает данные о событиях на устройстве: запуск процессов, изменения в реестре, сетевая активность, доступ к файлам. Эта информация отправляется в центральную консоль, где с помощью алгоритмов корреляции и машинного обучения выявляются сложные, многоэтапные атаки, которые могут быть незаметны для других средств защиты.

Функционал EDR включает:

  • Расследование инцидентов — возможность «отмотать назад» события на устройстве, чтобы понять, как началась атака.
  • Активное реагирование — удалённое завершение вредоносных процессов, изоляция заражённого устройства из сети, восстановление изменённых файлов.
  • Автоматизация ответных мер — выполнение заранее заданных сценариев реагирования на определённые типы угроз.

Расширенное обнаружение и реагирование (Extended Detection and Response, XDR) — это логическое развитие EDR. XDR собирает и коррелирует данные не только с конечных точек, но и с почтовых серверов, облачных сред, сетевых устройств и других источников. Такой единый взгляд на всю ИТ-инфраструктуру позволяет гораздо быстрее и точнее обнаруживать сложные целевые атаки, которые затрагивают сразу несколько компонентов системы.

Средства криптографической защиты информации (СКЗИ)

Средство криптографической защиты информации (СКЗИ) — это программное, аппаратное или программно-аппаратное средство, реализующее криптографические алгоритмы для обеспечения конфиденциальности, целостности, аутентичности и неотказуемости информации.

Основные функции СКЗИ:

  • Шифрование — преобразование информации в нечитаемую форму (шифротекст) с использованием секретного ключа. Только обладатель правильного ключа может расшифровать данные. Шифрование применяется как для защиты данных при хранении (на диске, в базе данных), так и при передаче (в сетях).
  • Электронная цифровая подпись (ЭЦП) — криптографический механизм, позволяющий подтвердить авторство документа и его неизменность с момента подписания. Любое изменение подписанного документа делает подпись недействительной.
  • Аутентификация — проверка подлинности пользователя или устройства с использованием криптографических протоколов (например, TLS).

В Российской Федерации все СКЗИ, используемые для защиты информации, подлежащей обязательной защите, должны быть сертифицированы ФСБ России и включены в официальный перечень. Это гарантирует, что используемые алгоритмы и реализация соответствуют государственным стандартам безопасности.

Примеры СКЗИ: ViPNet, КриптоПро, Signal (для мессенджеров), TLS-библиотеки в веб-серверах.

Системы управления информационной безопасностью (SIEM)

Система управления информационной безопасностью и событиями (Security Information and Event Management, SIEM) — это платформа, предназначенная для централизованного сбора, хранения, анализа и корреляции данных о событиях безопасности из различных источников ИТ-инфраструктуры.

Источниками данных для SIEM могут быть: серверы, сетевые устройства (маршрутизаторы, коммутаторы, МЭ), операционные системы, приложения, антивирусы, EDR-системы и многие другие. SIEM агрегирует огромные потоки логов и применяет к ним правила корреляции, чтобы выявить сложные, распределённые во времени и пространстве атаки, которые невозможно заметить, наблюдая за каждым источником по отдельности.

Основные задачи SIEM:

  • Обнаружение инцидентов — выявление подозрительной активности на основе анализа логов.
  • Расследование — предоставление аналитику полной картины события, включая все связанные действия на разных системах.
  • Отчётность и аудит — формирование отчётов для демонстрации соответствия требованиям регуляторов (например, ФСТЭК, PCI DSS).

Важно понимать, что SIEM сама по себе не блокирует угрозы. Она является «мозгом» системы безопасности, который информирует администраторов о происходящем, чтобы те могли принять решение и инициировать ответные меры, часто вручную или через интеграцию с другими системами (например, SOAR).

Системы обнаружения и предотвращения вторжений (IDS/IPS)

Система обнаружения вторжений (Intrusion Detection System, IDS) — это средство, которое анализирует сетевой трафик или активность на хосте для выявления признаков несанкционированного доступа или атак.

Система предотвращения вторжений (Intrusion Prevention System, IPS) — это IDS с дополнительной функцией активного вмешательства. При обнаружении угрозы IPS может не только сгенерировать оповещение, но и автоматически заблокировать вредоносный трафик, тем самым предотвратив атаку.

Различают два основных типа:

  • Сетевые (NIDS/NIPS) — устанавливаются на границе сети и анализируют весь проходящий трафик.
  • Хостовые (HIDS/HIPS) — устанавливаются непосредственно на защищаемом устройстве (сервере, рабочей станции) и анализируют его системные вызовы, журналы и процессы.

IDS/IPS используют сигнатурный и аномальный анализ для обнаружения известных атак (например, сканирование портов, эксплуатация уязвимостей) и подозрительного поведения.

Системы предотвращения утечек данных (DLP)

Система предотвращения утечек данных (Data Loss Prevention, DLP) — это класс решений, направленных на контроль и предотвращение несанкционированного перемещения конфиденциальной информации за пределы организации.

DLP-система работает по следующему принципу:

  1. Идентификация — с помощью политик и правил система определяет, какие данные являются конфиденциальными (например, номера банковских карт, паспортные данные, коммерческая тайна).
  2. Мониторинг — система постоянно отслеживает все каналы, по которым данные могут покинуть организацию: электронная почта, мессенджеры, облачные хранилища, USB-накопители, печать на принтере.
  3. Реагирование — при попытке передачи конфиденциальной информации система может предпринять различные действия: заблокировать передачу, зашифровать данные, уведомить администратора или запросить дополнительное подтверждение от пользователя.

DLP является ключевым элементом для организаций, работающих с персональными данными или другой чувствительной информацией, и помогает соответствовать требованиям законодательства, например, 152-ФЗ.

Система управления доступом (СУД)

Система управления доступом (СУД) — это комплекс технических и программных средств, обеспечивающих реализацию политики разграничения доступа к информационным ресурсам.

СУД управляет полным жизненным циклом учётных записей и их прав:

  • Аутентификация — проверка подлинности пользователя (логин/пароль, двухфакторная аутентификация, биометрия).
  • Авторизация — предоставление пользователю минимально необходимых прав доступа к ресурсам (принцип наименьших привилегий).
  • Аудит — регистрация всех действий пользователя в системе для последующего анализа и расследования инцидентов.

СУД заменяет собой устаревший термин «Средства защиты информации от несанкционированного доступа (СЗИ от НСД)», расширяя его функционал до полноценного управления рисками, связанными с доступом. Примеры решений: решения на базе Active Directory с PAM-модулями, специализированные продукты вроде Secret Net Studio.

Средства и модули доверенной загрузки

Средства (или модули) доверенной загрузки (СДЗ/МДЗ) — это аппаратные или программно-аппаратные компоненты, предназначенные для обеспечения целостности операционной системы и её компонентов на этапе запуска.

Основная задача СДЗ — гарантировать, что компьютер загружается только с авторизованного, неизменённого носителя и что ни один элемент загрузочной цепочки не был подменён или скомпрометирован. Перед передачей управления операционной системе СДЗ выполняет проверку цифровых подписей или хэш-сумм всех критически важных компонентов (загрузчика, ядра ОС, драйверов). Если обнаружено несоответствие, загрузка либо прекращается, либо система переводится в ограниченный режим работы.

Ключевые функции СДЗ:

  • Защита от подмены ОС — предотвращает установку и запуск неавторизованной или вредоносной операционной системы, даже если злоумышленник имеет физический доступ к устройству.
  • Контроль целостности — обеспечивает, что системные файлы не были изменены после последней проверки.
  • Поддержка многофакторной аутентификации — может требовать наличия специального аппаратного токена (например, USB-ключа) или ввода PIN-кода для завершения процесса загрузки.

Типичным примером аппаратной реализации является Trusted Platform Module (TPM) — микросхема, встроенная в материнскую плату современных компьютеров. TPM безопасно хранит криптографические ключи и предоставляет сервисы для измерения целостности платформы.

Сканеры уязвимостей

Сканеры уязвимостей — это программные решения, предназначенные для автоматизированного поиска слабых мест в ИТ-инфраструктуре: операционных системах, сетевых службах, веб-приложениях и базах данных.

Принцип работы сканера прост: он отправляет на исследуемый объект набор специально сформированных запросов и анализирует ответы. На основе этого анализа он сопоставляет конфигурацию объекта с базой известных уязвимостей (CVE — Common Vulnerabilities and Exposures) и выдаёт отчёт с перечнем найденных проблем, их критичностью и рекомендациями по устранению.

Сканеры уязвимостей являются проактивным инструментом, позволяющим организациям выявлять и устранять риски до того, как ими воспользуются злоумышленники. Они могут использоваться как для регулярных внутренних аудитов, так и для проверки внешнего периметра сети. Популярным открытым решением является фреймворк OpenVAS.

Физические и организационные средства защиты

Хотя основное внимание в сфере ИБ уделяется программным и техническим средствам, нельзя недооценивать роль физических и организационных мер.

Физические средства защиты создают реальные барьеры на пути потенциального нарушителя. К ним относятся:

  • Системы контроля и управления доступом (СКУД) — турникеты, электронные замки, считыватели карт, которые ограничивают вход в серверные комнаты и другие критически важные помещения только авторизованным персоналом.
  • Системы видеонаблюдения и сигнализации — обеспечивают постоянный мониторинг и регистрацию всех событий в защищаемой зоне.
  • Элементарные меры — запирающиеся шкафы для оборудования, защита от стихийных бедствий (огнетушители, системы пожаротушения).

Без надёжной физической защиты любые самые современные программные СЗИ могут быть легко обойдены путём прямого доступа к оборудованию.

Организационные меры — это совокупность правил, процедур и политик, регулирующих поведение персонала в отношении информационных активов. К ним относятся:

  • Политики информационной безопасности — документы, определяющие общие принципы и правила работы с информацией в организации.
  • Процедуры управления доступом — чёткие инструкции по выдаче, изменению и отзыву прав доступа для сотрудников.
  • Регламенты реагирования на инциденты — заранее подготовленные планы действий в случае кибератаки или сбоя.
  • Обучение и повышение осведомлённости сотрудников — регулярные тренинги по распознаванию фишинга, безопасному обращению с данными и другим аспектам ИБ.

Организационные меры формируют «человеческий фактор» — часто самый уязвимый, но при правильном подходе и самый надёжный элемент всей системы защиты.

Освоение главы0%