Одни из самых актуальных вопросов к ИТ-продуктам это вопросы безопасности. Продавая собственные разработки через одного клиента, мы сталкиваемся с интересом к этой теме. Давайте разберем основные моменты, на которые стоит обращать внимание, а на какие нет.
Во-первых, я сразу хотел бы разделить вопросы безопасности на два типа: технические и административные. К техническим относится все, что связано непосредственно с программированием и техническим администрированием. К административным отнесем вопросы организационного характера – да, таких вопросов очень много и о на них часто не обращают внимание.
Технические вопросы безопасности
Шифрование
Первое и основное, на что направлены меры по информационной безопасности, это сохранность данных. Практически все ИТ-продукты являются серверными и многопользовательскими. Это значит, что данные с рабочего места пользователя отправляются на сервер, а потом обратно с сервера отправляются другим пользователям. Если никак не прятать (шифровать) эти данные в процессе пересылки, злоумышленник легко их перехватит со всеми вытекающими последствиями.
Так как этот вопрос сверх важный и сверх распространенный, придумали унифицированный способ, а именно защищенный протокол передачи данных в интернете HTTPS. А алгоритм шифрования, который лежит в основе этого протокола называется SHA-2.
Вы легко можете проверить является ли сайт “защищенным”, если нажмете на иконку “замочек” в адресной строке рядом с адресом сайта. После нажатия вы увидите сообщение вида “Безопасное подключение” или “Подключение защищено”, далее ниже вы можете открыть информацию о сертификате и т.д. Главное, что вы убедились в базовой защите приложения или сайта. Если говорить про проверку десктопных приложений, у которых нет веб-версий, то для проверки защищенности их соединения потребуются дополнительные программы анализа сетевого траффика и небольшое обучение работы в этих программах.
Эксплойты и другие уязвимости систем
Существуют разные способы взлома ИТ-продуктов. К одним из самых распространенных относят эксплойты. Эксплойты – это программный код, который использует уязвимости в ИТ-продукте для получения расширенного доступа над какими-то компонентами или над всей системой целиком. Обычно для веб-систем самыми критичным и важным местом является база данных. Поэтому усилия злоумышленников направлены в первую очередь на получение различной информации, которая хранится в базе данных. Такой информацией могут быть личные данные пользователей или записи каких-то внутренних производственных журналов и т.д.
К сожалению, обычный человек, пользователь компьютера не сможет сам никак узнать о наличии подобных уязвимостей в системе. Этим занимаются специалисты по информационной безопасности и целые компании, которые оказывают целый спектр услуг по информационной безопасности. Сами компании разработчики программных продуктов должны регулярно заказывать у внешних организаций аудит безопасности своих программ, а после получения его результатов принимать меры по устранению уязвимостей.
В зависимости от важности и крупности проекта по закупке и внедрению информационной системы, вы можете запросить у поставщика заключение о проведенной проверке и принятые меры по устранению угроз. Но в общем случае, вы можете просто спросить как компания поставщик подходит к вопросам информационной безопасности и, если в ответе прозвучат слова о проводимых проверках и т.д., это будет хорошим знаком.
Безопасность при размещении на серверах
Как я писал ранее, большинство программ на сегодняшний день имеют серверную часть, на которой данные от пользователей обрабатываются и сохраняются. Эта “серверная часть” состоит из различных программы (которые ещё в ИТ среде принято называть “сервисами”), баз данных и файловых хранилищ. Поэтому особое внимание уделяется тому, на каких компьютерах (серверах) запускаются эти сервисы и базы данных. Задаются такие вопросы как – “где физически находятся сервера”, “какая у них надежность”, “насколько защищен к ним доступ”, “кто является их владельцем”. Эти вопросы рождаются от того, что специалисты по ИТ и информационной безопасности всегда рассматривают самые плохие сценарии – когда данные пытаются скомпрометировать, украсть, а саму работу программы остановить, заблокировать или нарушить и т.д.
Основные стратегии размещения программ на серверах
- “Программа как услуга” (SaaS) – программа предоставляется через браузер или мобильное приложение через предоставления данных для входа (связки логин-пароль)
- Программа, размещенная на серверах заказчика, (on-Premises) размещенных непосредственно на территории его организации
Каждая из этих стратегий делится еще на две дополнительные стратегии:
- К первой, “программа как услуга” (SaaS+), добавляется возможность выбирать на каких серверах будет работать программа, какие будут требования к безопасности и т.д.
- Во второй меняется способ размещения на внешние сервера (on-Premises+), которые арендуются у провайдера.
3я и 4я стратегия очень похожи между собой. Их объединяет размещение на серверах третьей стороны (хотя большая часть производителей ПО изначально пользуются услугами таких компаний и не держат своих собственных дата-центров. Это могут себе позволить только такие гиганты как Яндекс, Mail и другие).
Ниже приведена сводная таблица по стратегиям размещения, в которой собраны основные характеристики:
| Характеристика\Стратегия | 1я SaaS | 2я on-Premises | 3я SaaS+ | 4я on-Premises+ |
| Кто является владельцем | Производитель ПО (Вендор) | Заказчик | Провайдер инфраструктуры дата-центров | Провайдер инфраструктуры дата-центров |
| Где физически находятся | Там, где удобно вендору (зачастую в стране вендора, но бывает и в странах клиентов) | Совпадает полностью со страной, где находится и работает клиент | Совпадает полностью со страной, где находится и работает клиент | Совпадает полностью со страной, где находится и работает клиент |
| Какой уровень надежности | Не гарантируется никакой особенный, но удовлетворяет большинству клиентов вендора | Ограничен возможностями внутреннего ИТ-отдела, зачастую не сертифицирован внешними компаниями | Сертифицирован внешними компаниями, практически не ограничен в средствах защиты | Сертифицирован внешними компаниями, практически не ограничен в средствах защиты |
| Насколько защищен доступ | Минимальная защита | Максимальная защита за счет жестких сетевых ограничений и полного физического контроля | Средняя защита (достаточная в 99% случаев) | Средняя защита (достаточная в 99% случаев) |
За рамками мы оставили вопросы стоимости и скорости изменения характеристик серверов. То есть случаев, когда вам нужно увеличить объем хранилища, мощность сервера, добавить несколько рядом стоящих серверов для одновременной более быстрой обработки данных. Поскольку это не относится к вопросам безопасности, но, в конечном счете, влияет на принятие решения об определении со стратегией размещения на серверах.
Сертификации информационных систем
При разработке или внедрении корпоративных информационных систем мы сталкиваемся с требованиями к их сертификации. При этом в каждом конкретном случае возникает множество нюансов, которые вызывают обсуждения и иногда даже очень жаркие споры. В конечном же итоге, право последнего голоса остается за специалистом по информационной безопасности компании клиента.
ФЗ-152 “О персональных данных”
С законом о защите персональных данных (принят в 2006 году) мы сталкиваемся в повседневной жизни постоянно. Информационные системы в этом плане не стали исключением. Поэтому особое внимание должно уделяться проектированию информационных систем, а также их настройке для максимального обеспечения защиты персональных данных. Если коротко описать закон, то он описывает категории персональных данных, вводит понятия операторов персональных данных, определяет принципы и правила обработки и предоставления.
Существует разница между корпоративными системами, владельцами которых являются компании, а пользователи это сотрудники этих компаний или контрагенты. В данном случае отношения по обработке персональных данных регулируются в том числе внутренними корпоративными документами. Другой же случай, если система продается непосредственно физическим лицам и использует их персональные данные. В таком случае, обязательно соглашение должно заключаться между вендором и конечным пользователем.
Многие провайдеры ИТ-инфраструктуры предусматривают возможности физической и инфраструктурной защиты персональных данных. Обязательно учитывайте это при выборе своего провайдера. Обычна эта информация публична и описана на сайте в определенном разделе с детальными инструкциями по настройке серверов.
Сертификация ФСТЭК
ФСТЭК – это Федеральная служба по техническому и экспортному контролю. Сертификация ФСТЭК необходима для подтверждения уровня защиты информации, в частности персональных данных по ФЗ-152. Аттестацией занимаются специальные организации, а аттестуется непосредственно информационная система, а не программа в ее классическом понимании. Информационная система – это программа, установленная в конкретной ИТ-инфраструктуре, то есть на конкретных серверах и, возможно, с дополнительными интеграциями с другими системами. Все это может влиять на защищенность использования программы.
Классы защищенности автоматизированных систем соответствуют уровням значимости (критичности) информации и описывают исчерпывающе меры защиты информации. Стоит отметить, что для большинства систем достаточно соответствовать 3му уровню значимости. Ознакомиться подробно с регламентирующим документом можно по ссылке – https://fstec.ru/component/content/article?id=868:prikaz-fstek-rossii-ot-14-marta-2014-g-n-31
Лицензия ФСБ
Лицензия ФСБ это особый вид сертификации, который не нужен для большинства информационных систем. Но почему-то (видимо по какой-то старой привычке) вписывается как требование в технические задания на разработку и внедрение у крупных корпораций. Если же мы обратимся к рекомендациям непосредственно на сайт ФСБ РФ, то увидим следующий перечень систем, которые должны получать сертификат лицензии ФСБ (http://clsz.fsb.ru/clsz/license.htm):
- работа с государственной тайной – создание средств защиты, услуги в области защиты, использование сведений и т.д.;
- разработка средств шифрования;
- создание, распространение технических средств для негласного получения или выявления информации.
