Обработка конфиденциальной информации всегда представляла собой определенную трудность для служб безопасности компаний и государственных структур.

Обработка конфиденциальной информации всегда представляла собой определенную трудность для служб безопасности компаний и государственных структур. Современные многофункциональные офисные устройства обладают широкими возможностями по печати, сканированию и копированию «чувствительных» документов. Их использование снимет множество проблем и существенно упростит работу исполнителей.

Одна из актуальных проблем, стоящих сегодня перед отечественными разработчиками, — создание защищенных систем автоматизации деятельности организаций, связанной с обработкой конфиденциальной информации. Наличие ограничений на процессы обработки конфиденциальных документов существенно сужает сферу применения современных офисных устройств. И если в области вычислительной техники работа по защите информации проводится давно и успешно (разграничение доступа, защищенные серверы, разнообразные средства парольной защиты и др.), то о широком использовании специальных возможностей офисной техники по защите информации, тем более об опыте такого использования, пока нет значимых и достоверных сведений.

А есть ли проблема?

Конфиденциальной считается информация, не содержащая сведений, составляющих государственную тайну, но доступ к которой ограничен в соответствии с законодательством Российской Федерации. В настоящее время существует более 30 видов конфиденциальной информации, и именно она представляет интерес для конкурентов. Так, например, в типовой российской компании с персоналом до 15 человек в перечень конфиденциальных сведений, как правило, входит внутрифирменная информация (отдельная входящая и исходящая корреспонденция), личные дела, содержание архивных дел компании, шаблоны некоторых документов и др. Если же говорить о государственных и правительственных структурах, то там подобной информации значительно больше, а требования к ее обработке жестче. Практика показывает, что в течение рабочего дня огромное количество конфиденциальных документов копируется, размножается, печатается, докладывается руководству, переделывается, пересылается по каналам электронной почты, сканируется. И при этом практически неизбежно нарушается основной принцип работы — недопустимо смешивать обычные и конфиденциальные («чувствительные») сведения.

К наиболее важным с точки зрения безопасности участкам специалисты по защите информации относят процессы ее импорта/экспорта. Именно здесь при преобразовании документов в электронный вид для последующей обработки конфиденциальная информация, как полученная извне, так и порожденная внутри организации, попадает во внешний мир. Участки хранения информации (файловые серверы и рабочие станции пользователей), несмотря на их важность, считаются вторичными по значимости.

Угрозы документу

В настоящее время осуществляется активный переход к так называемой сетевой экономике, где информация распространяется по сетям. Внутренняя корпоративная сеть — объективная необходимость современного офиса, и виртуальные частные сети (VPN) уже становятся типовым решением, в том числе и для государственных организаций. Вместе с тем штамп конфиденциальности существенно ограничивает распространение по сети такой информации. А если ее много, то и преимущества сетей не могут быть использованы в полной мере.

Угрозы документу при его обработке в сети представляют «атаки» на обрабатываемую информацию и на офисные устройства со стороны внутренних и внешних нарушителей, результатом которых может стать получение несанкционированного доступа к обрабатываемой информации, нарушение ее свойств (целостности, достоверности и т. д.), а также работоспособности программно-аппаратных средств.

Основную опасность для офисной техники представляют внутренние нарушители. Подтверждение этому — данные ежегодных исследований Института компьютерной безопасности США, которые показывают, что количество успешных вторжений в информационные системы растет буквально в разы за год, и более половины всех нарушений совершают сотрудники компаний, то есть внутренние пользователи.

В последнее время установка систем обеспечения безопасности документооборота считается приоритетной задачей для современных офисов. Здесь используются разнообразные средства разграничения доступа, но, по признанию многих аналитиков, проблему защиты информационных ресурсов от внутренних нарушителей они не решают. Связано это со следующими тремя основными факторами:

  • внутренний нарушитель является авторизованным пользователем, следовательно, ему легче осуществлять несанкционированные действия;
  • внутренний нарушитель находится в среде обладателей и носителей конфиденциальной информации, активно общается с ними, в том числе по каналам Intranet, где информация объективно менее контролируется;
  • внутренний нарушитель легально получает доступ и работает с конфиденциальной информацией, следовательно, существует возможность записи ее на внешние носители, печати, сканирования и последующей обработки при отсутствии должного контроля.

Учитывая высокую эффективность использования общих сетевых принтеров, можно предположить, что решения для сетевой печати и копирования — слабое место в общей системе безопасности, поскольку не составляет особого труда перехватить задание на пути к сетевому принтеру или взять непосредственно с принтера.

Особую значимость задача защиты информации при ее вводе и выводе приобретает при использовании многофункциональных офисных устройств. К таким устройствам наиболее применимо латинское выражение multum in рarvо (многое в малом) — они способны одновременно выполнять многочисленные функции по обработке документа (сканирование, копирование, печать, финишная обработка и др.). Широкому внедрению таких устройств способствовал переход от аналоговых способов обработки информации к цифровым. Например, однократно осуществив «оцифровку» информации, ее затем можно многократно использовать. Однако при этом увеличивается количество каналов, упрощается перехват такой информации, большее количество исполнителей имеет доступ к местам ее хранения и др., что усложняет задачу обработки конфиденциальной информации.

Мы защищаемся

Задач в сфере защиты от несанкционированного доступа существует достаточно много. Одна из таких задач - комплексное обеспечение конфиденциальности информации, в том числе при работе с бумажными копиями документов. Насколько мне известно, к числу таких разработок можно, в частности, отнести системы защиты информации Secret Net (разработки НИП «Информзащита»), Dallas Lock («Конфидент»). Основное назначение предлагаемых ими средств — исключить несанкционированный доступ посторонних лиц к информации, хранящейся в самом компьютере, но определенное внимание уделяется и завершающим этапам обработки информации — печати, сканированию, копированию и т. д. При этом традиционно используются организационные меры:

  • установка соответствующей офисной техники в закрытых помещениях, доступ в которые ограничен и контролируется;
  • реализация правил разграничения доступа к устройствам создания твердых копий;
  • закрытие доступа к портам печати — для вывода конфиденциальной информации на «твердую» копию необходимо вызвать администратора, который разрешит печать конфиденциальной информации (так это реализуется, например, при работе в государственной системе защиты информации «Кобра ЛВС»);
  • наличие и поддержание в актуальном состоянии различных списков контроля доступа;
  • развитые средства протоколирования событий, происходящих в системе при обработке документа;
  • использование для печати конфиденциальных документов персональных принтеров, подключенных непосредственно к компьютерам сотрудников, допущенных к работе с такой информацией и др.

К наиболее существенным элементам программного обеспечения безопасности в государственных и коммерческих структурах относится так называемое мандатное управление доступом, состоящее в том, что для каждого пользователя устанавливается определенный уровень допуска к конфиденциальной информации, а каталогам и файлам назначается категория конфиденциальности. При этом доступ к файлу пользователь получит только в том случае, если его уровень допуска не ниже уровня конфиденциальности файла.

Так, в системе Secret Net используются три категории конфиденциальности информации: «открытая», «конфиденциальная», «строго конфиденциальная». При работе системы в режиме полномочного управления доступом для контроля перемещения документа используется контроль потоков, при котором, например, «конфиденциальный» документ нельзя переместить в «неконфиденциальную» директорию; контролируется буфер обмена операционной системы, чтобы исключить возможность печати всего документа или его части с помощью буфера, и другие возможности. При печати конфиденциальной информации ведется автоматическая маркировка каждой страницы грифом конфиденциальности, порядковым номером, а также указывается имя пользователя, производившего печать. Факт печати вносится в журнал регистрации, указывается дата и время печати; имя распечатанного файла и гриф конфиденциальности; имя пользователя, распечатывавшего документ; количество распечатанных копий.

Еще одно решение — многопользовательская операционная система Вооруженных сил (МСВС 3.0). В ее состав входит специальная система, позволяющая осуществлять печать документов в соответствии с требованиями, предъявляемыми к защищенным системам. С помощью средств МСВС происходит анализ уровня конфиденциальности документа. Если документ является конфиденциальным, задание перенаправляется на сервер печати, если нет — документ печатается локально. На этапе формирования задания на печать определяется уровень конфиденциальности документа, и задание автоматически направляется на принтер в соответствии с правилами печати, принятыми в данной организации. Каждый напечатанный лист автоматически маркируется учетными атрибутами документа, включающими фамилию пользователя, распечатавшего документ, и имя компьютера, с которого было отправлено задание на печать. Как следствие, приложения, выводящие на печать, учитывают маркировку листов. Факт печати регистрируется в специальном журнале учета размножения печатных документов. Для работы с этим журналом используется специальная программа, позволяющая просматривать, редактировать некоторые поля записей и распечатывать их.

В определенной степени эффективна обязательная и независимая от пользователя печать конфиденциальных документов на фоне установленного логотипа организации либо на фоне, указывающем модель/серийный номер аппарата, а также место его расположения.

Сотрудники соответствующих служб многих государственных структур полагают, что перечисленных функций достаточно, чтобы выявить несанкционированное копирование конфиденциальной информации или ее распечатку, а также узнать, кто из пользователей превышает ограничения, установленные политикой безопасности. Вместе с тем внимательный анализ применяемых методов и средств показывает, что большинство мер направлено на защиту все же от внешних, а не внутренних нарушителей. Так, специалист, имеющий доступ к жесткому диску, потенциально может извлечь конфиденциальную информацию, уже подготовленную для печати или иной обработки. Пользуясь возможностями внутренней электронной почты, внутренний нарушитель может перенаправить документ или его обезличенную часть по не установленному адресу. Возможна реализация и других угроз.

Вендоры предлагают

Многие западные поставщики разрабатывают специальные классы многофункциональных аппаратов для компаний и организаций с высокими требованиями по обработке конфиденциальной информации, таких как правительственные структуры, подразделения министерств обороны и служб безопасности, банки, юридические и производственные фирмы. При этом обеспечению функций безопасности при разработке офисных устройств придается большое значение. В результате появляются решения, удовлетворяющие требованиям как по оперативной и качественной обработке документов, так и по безопасности ее обработки и представления (см. рисунок).

В ряде случаев понятие конфиденциальности связывается с таким решением, как выход финишных копий отпечатанных или откопированных документов «изображением вниз», что может быть эффективно лишь до определенной степени и рассматриваться как необходимое, но недостаточное условие.

Существуют решения, в которых специальные аппаратные устройства подключаются к выводному тракту принтеров и осуществляют автоматическую сортировку выводимых документов по персональным ячейкам сотрудников. Каждая из ячеек запирается на замок, и забрать ее содержимое может только тот сотрудник, у которого имеется ключ от этой ячейки. Решение интересно удачным сочетанием организационных и технических мер защиты информации. Тем не менее оно не лишено недостатков, к числу которых можно отнести априори ограниченное количество ячеек, значительность размеров таких «абонентских ящиков» (для 100 пользователей потребуется уже значительное место в офисе!) и высокая вероятность перехвата заданий (если они не зашифрованы) по пути к сетевым принтерам или копировальным аппаратам.

Распространены методы парольной защиты. Например, активно применяются так называемые промежуточные электронные «почтовые ящики» пользователя, в которых можно сохранять электронные копии документов. Конфиденциальный документ сначала направляется по сети в «почтовый ящик», а затем уже с панели управления аппаратом пользователь посылает его на печать. Защита документов обеспечивается за счет применения специального модуля, который задерживает передачу задания на печать до тех пор, пока пользователь не идентифицирует себя с помощью пароля на каком-либо из сетевых принтеров. Сервер печати сверяет IP-адрес компьютера пользователя со списком «авторизованных». Все обращения к устройствам допустимы только с тех компьютеров, чьи IP-адреса зарегистрированы на сетевой плате, остальные запросы игнорируются, неавторизированные — блокируются. Конфиденциальные документы распечатываются только после введения пароля на панели управления аппарата в присутствии пользователя.

Практически во всех офисных устройствах, в которых внедряются меры обеспечения безопасности работы с конфиденциальной информацией, реализуются специальные алгоритмы принудительного уничтожения информации с жесткого диска аппарата после печати/копирования без возможности ее восстановления специальными методами, например многократной перезаписью кода случайными последовательностями чисел.

Полезной является такая функция, как сканирование на сервер электронной почты (scan-to-e-mail) с дальнейшим направлением отсканированных документов с панели управления аппарата на компьютер конкретного пользователя в заданную папку (scan-to-folder).

Интересно решение автоматической блоки?ровки создания нежелательных дубликатов какого-либо документа — на оригинале присутствует скрытый упорядоченный набор точек, который и сигнализирует устройству о необходимости проигнорировать задание.

Предлагаются и так называемые наборы защиты данных — специальное программное обеспечение устройств ввода/вывода и компьютеров, защищающие информацию комплексно. Такие наборы обеспечивают безопасность электронных данных, находящихся во внутренней памяти копира/принтера, шифруют все данные, сохраняемые в оперативной памяти принтера и на жестком диске, защищают данные от доступа, использующего сеть, интерфейсы принтера, линии связи и др.

Программы позволяют производить печать конфиденциальных документов при условии идентификации пользователя, а также имеют гибкие возможности по разграничению прав сотрудников на использование печатающих устройств посредством подключения специальных идентификационных устройств напрямую в локальную сеть в непосредственной близости от сетевых принтеров. В качестве идентификационных устройств могут использоваться клавиатуры ввода PIN-кода, системы идентификации на основе магнитных или бесконтактных карт, системы ввода отпечатков пальцев и др. В комплекте с продуктом поставляются специальные утилиты, позволяющие эти данные получать с принтера, а также администрировать работу продукта. Каждому пользователю, который будет применять систему безопасности, на компьютер ставится небольшой драйвер, выдается смарт-карта и/или сообщается собственный PIN-код. При отправке документа на печать программа запрашивает необходимость его шифрования и использования функции безопасности. Задания на жестком диске принтера хранятся в зашифрованном виде, они не дешифруются и не печатаются до тех пор, пока адресат не подойдет к принтеру и не авторизуется карточкой и/или PIN-кодом.

Такое программное обеспечение сертифицируется на соответствующие уровни безопасности международных стандартов, в частности стандарта ISO/IEC 15408. Но необходимо учитывать, что цена таких программ включается в совокупную стоимость владения офисных устройств и, естественно, увеличивает ее.

Решения совершенствуются

Системы обеспечения безопасности в крупных компаниях становятся самодостаточными, учет разнообразных условий обеспечения и выполнения требований по безопасности теперь стал отдельной и непростой задачей. В последних решениях ведущих производителей реализуются дополнительные функции, направленные, на обеспечение удобства работы системных администраторов и пользователей; не только на составление, но и на кодирование списков персонала, допущенного к конфиденциальной информации, и др.

Так, например, пользователю всегда необходимо помнить (или, как это принято в России, записывать на листочках!) разнообразные уникальные логины и пароли авторизации доступа к устройствам, учитывать ограничения, налагаемые для различных групп клиентов и т. д. В устройствах последнего поколения не требуется запоминания дополнительных паспортов, идентификаторов для пользователей, традиционных кодов доступа к сетевому оборудованию. Имена пользователей и пароли, вводимые при стандартной авторизации Windows, используются и для «входа» на многофункциональное устройство, что особенно удобно для организаций с распределенной структурой управления.

Использование электронного документооборота в организациях, обрабатывающих конфиденциальную информацию, существенно сдерживается сложностью контроля ее обработки и пересылки по каналам электронной почты. В частности, практика работы с конфиденциальной информацией потребовала исключить возможность подделки поля «от кого» в шаблоне письма электронной почты при реализации функции «сканирование с последующей отправкой по каналам электронной почты» (scan-to-e-mail). Теперь авторизованное имя пользователя автоматически поступает в поле «имя отправителя» и изменить его нельзя, а отсканированный материал отправляется только по заданному адресу и недоступен другим пользователям. Причем только пользователи, которым даются соответствующие полномочия, могут переправить файл в иное место после сканирования. Для затруднения доступа внутренних нарушителей к обрабатываемой информации реализована также функция «сканирование в папку» (scan-to-folder) заданного пользователя на его рабочей станции минуя каналы электронной почты, что еще более существенно сужает круг лиц, работающих с конфиденциальной информацией.

Существуют четыре главные функции политики управления файлами и доступа к приложениям:

  • ограничение возможности работы с документом (например, только чтение);
  • редактирование документа при печати — пользователь может читать и изменить установки печати;
  • расширенное редактирование — пользователь может редактировать установки печати и уничтожать файлы, предназначенные для печати;
  • полный контроль — пользователь выполняет все указанные выше функции и может администрировать права других пользователей (напечатать файл, задержать его печать, просмотреть контент, информацию и др).

Они обеспечивают такую высокую степень гибкости администрирования процессов обработки документов, что обычный администратор компьютерной сети может поддерживать и функции администрирования многофункционального устройства. При этом пользователи могут быть объединены в группы, для которых задаются различные разрешенные функции печати и копирования.

Ограничению доступа к информации, которая может быть значимой для внутреннего нарушителя, способствует решение о кодировании адресной книги, в которой аккумулируются сведения обо всех зарегистрированных лицах, допущенных к работе на данном аппарате.

Такая гибкость при непосредственном применении существующей структуры авторизации пользователей сетей Windows в процессах обработки конфиденциальной информации исключает несанкционированное использование аппаратов, ограничивает доступ к приложениям, облегчает работу системного администратора и в целом является очень удобной в практическом применении.

Что выбрать

Наиболее естественным и объективным критерием выбора многофункциональных офисных устройств является соотношение их эффективности и стоимости. Следует выбирать решение, обладающее минимальной совокупной стоимостью владения среди всех удовлетворяющих требованиям оперативности и качеству печати, а также безопасности.

Определенным преимуществом обладает решение, при котором функции безопасности реализуются без установки дополнительных специализированных аппаратных устройств и программных приложений.

Анализ имеющихся в открытой печати материалов по эксплуатационным характеристикам последних моделей офисных аппаратов показывает, что на рынке представлен широкий спектр многофункциональных устройств, в которых реализованы функции обеспечения безопасности обрабатываемой информации. Они обладают различными потребительскими и эксплуатационными характеристиками (скоростью копирования и печати, максимальным объемом печати, емкостью памяти жесткого диска, ресурсом барабана, общим сроком службы аппарата и др.), и в качестве основного критерия при выборе целесообразно использовать «цену отпечатка». В этом критерии в консолидированном виде отражаются все основные характеристики многофункциональных устройств, в том числе одна из ключевых составляющих совокупной стоимости владения — стоимость расходных материалов. Так, например, если цена отпечатка меньше всего на 0,02 долл., то совокупная стоимость владения аппарата на протяжении, например, семи лет эксплуатации окажется на 15% меньше, чем аналогичная характеристика других аппаратов.

Литература
  1. Тюлин А., Жуков И., Ефанов Д. На страже конфиденциальной информации//Открытые системы, 2001, № 10.
  2. Асмаков С. Безопасная печать//Компьютер-Пресс, 2003, № 3.
  3. Смирнов И., Крупеник А. Выбирая сетевую печать. Обзор//Компьютерная неделя, 1998, № 7(131).
  4. Сердюк В. А. Защита информационных систем от потенциальной угрозы «пятой колонны»//Информост, 2004, № 6.
  5. Руководство по разработке профилей защиты и заданий по безопасности. Руководящий документ Гостехкомиссии России. М., 2001.
  6. Международный стандарт ИСО/МЭК 15408-1-99. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
  7. Risk of Sharing, Report, Vanson Bourne Ltd., UK, 2004.

Вячеслав Абросимов — руководитель аналитической службы компании Unit Copier, avk787@hotmail.com

Способы защиты

Специального документа, содержащего требования по обеспечению безопасности документов на этапах обработки, нет. Обработка выполняется пользователем с применением технических средств. Исходя из ценности информации и режимов ее обработки определяется класс его защиты, требования к которому устанавливаются документом Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)». Кроме того, отдельные требования при рассмотрении документа как источника информации можно обнаружить в различных нормативных актах, таких как ГОСТ/ISO 15408 и др.

Так, например, в указанном стандарте при демонстрации соответствия угроз и целей безопасности для данных, выводимых на печать, угрозами считаются ознакомление с ними или изъятие их неуполномоченным лицом, а также несанкционированное копирование. При этом в качестве мер против незаконного копирования и печати данных рассматриваются управление эксплуатацией (в частности, ограничение использования функции или терминала приложения), обеспечение защиты информации в отсутствии уполномоченного лица, контроль прав доступа к данным, предотвращение раскрытия данных (в том числе путем шифрования), выполнение требований эксплуатационной документации.

Ниже перечислены наиболее распространенные способы защиты конфиденциальной информации на этапах ввода и вывода информации из корпоративных сетей.

  1. Материалы, отправленные на печать, защищаются паролем и не распечатываются до тех пор, пока исполнитель не введет пароль либо с дисплея печатающего устройства, либо удаленно со своего терминала.
  2. Временные данные, которые сохраняются после выполнения любой операции на аппарате в памяти, стираются способом, не допускающим восстановления.
  3. Задания при отправке на печать зашифровываются и расшифровываются непосредственно перед печатью.
  4. Обращения к печати разрешаются только с тех компьютеров, адресам которых присвоены соответствующие полномочия.
  5. Предусматривается автоматическая сортировка выводимых документов по персональным ячейкам сотрудников, физически закрываемых на ключ.
  6. Непосредственно на компьютерах авторизованных пользователей и на офисных устройствах устанавливаются специализированные технические средства и инсталлируется клиентское ПО.
  7. Для обеспечения безопасности предусматриваются и специальные меры: наличие малозаметных точек при печати, печать на фоне логотипа предприятия, с учетом места расположения и др.