Многоуровневая система безопасности
Многоуровневая система безопасности — это комплекс организационных и технических мер, направленных на защиту объекта, информации или процесса от угроз различной природы, реализованный посредством последовательного применения нескольких независимых эшелонов защиты (рубежей, уровней). Основной принцип такой системы заключается в том, что преодоление одного уровня защиты не приводит к компрометации всей системы, так как следующий уровень продолжает выполнять свои функции. Многоуровневая система безопасности применяется в информационных технологиях, физической охране объектов, промышленной безопасности, а также в государственном управлении и военном деле.
История возникновения
Концепция многоуровневой защиты восходит к военной фортификации, где крепости и замки строились с несколькими линиями обороны: внешние стены, ров, внутренние стены, цитадель. Каждый рубеж был рассчитан на задержку противника и нанесение ему потерь. В XX веке, с развитием сложных технических систем и появлением информационных угроз, этот принцип был адаптирован для гражданских и коммерческих нужд.
В информационной безопасности термин «многоуровневая защита» (defense in depth) был формализован в 1990-х годах Национальным агентством безопасности США (NSA). В России аналогичные подходы закреплены в нормативных документах Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и Федеральной службы безопасности (ФСБ России). В области физической защиты объектов многоуровневые системы стали стандартом после серии терактов в 2000-х годах, в частности, после захвата школы в Беслане (2004 год), что привело к ужесточению требований к охране образовательных учреждений и мест массового пребывания людей.
Классификация
Многоуровневые системы безопасности классифицируются по различным признакам. Наиболее распространённые типы:
- По объекту защиты: системы защиты информации (СЗИ), системы физической защиты объектов (СФЗ), системы промышленной безопасности (защита технологических процессов), системы экологической безопасности.
- По масштабу: локальные (защита одного здания или сервера), корпоративные (защита сети предприятия), государственные (защита критической информационной инфраструктуры — КИИ).
- По принципу построения: иерархические (уровни подчинены друг другу) и сетевые (уровни взаимодействуют на равных, образуя «периметр»).
Устройство и принципы
Физическая безопасность объектов
В системах физической защиты (СФЗ) выделяют несколько типовых уровней:
- Периметральная защита: ограждение территории, контрольно-пропускные пункты (КПП), инженерные заграждения (рвы, бетонные блоки, колючая проволока), системы видеонаблюдения и охранной сигнализации по периметру.
- Защита входов и зон доступа: турникеты, шлюзовые кабины, системы контроля и управления доступом (СКУД), биометрическая идентификация (отпечатки пальцев, распознавание лица). В России на объектах КИИ и в государственных учреждениях обязательно применение сертифицированных ФСБ России средств криптографической защиты для передачи данных СКУД.
- Внутренняя защита зданий: датчики движения, разбития стекла, пожарные извещатели, посты охраны внутри помещений, системы тревожной сигнализации.
- Защита ценных активов: сейфы, хранилища, бронированные комнаты, системы видеонаблюдения с высоким разрешением, круглосуточная охрана.
Информационная безопасность
В сфере защиты информации (ЗИ) многоуровневая система строится на основе модели OSI (Open Systems Interconnection) или набора политик безопасности. Типовые уровни:
- Физический уровень: защита серверных помещений, кабельной инфраструктуры, контроль доступа к оборудованию.
- Сетевой уровень: межсетевые экраны (firewall), системы обнаружения и предотвращения вторжений (IDS/IPS), сегментация сети, VPN-туннели.
- Прикладной уровень: антивирусное программное обеспечение, системы фильтрации контента, контроль целостности приложений, средства анализа трафика (DPI).
- Уровень данных: шифрование хранимых и передаваемых данных, резервное копирование, системы управления ключами.
- Организационный уровень: политики безопасности, регламенты, обучение персонала, процедуры реагирования на инциденты.
В России требования к многоуровневой защите информации регламентируются приказами ФСТЭК России № 21 (для государственных информационных систем) и № 31 (для автоматизированных систем управления производственными процессами). Для систем КИИ действует Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Применение
В промышленности
На промышленных предприятиях (нефтегазовый комплекс, химическая промышленность, атомная энергетика) многоуровневая система безопасности включает:
- Защиту от несанкционированного доступа на территорию.
- Защиту технологических процессов от кибератак (сегментация сетей АСУ ТП — автоматизированных систем управления технологическими процессами).
- Системы аварийной остановки (E-stop) и газоанализаторы.
- Физическую защиту опасных производственных объектов (резервуары, реакторы).
Пример: на АЭС «Ленинградская» (Россия) используется трёхуровневая система защиты реактора: топливные таблетки, герметичная оболочка тепловыделяющих элементов и защитная оболочка реакторного здания.
В государственном управлении
Государственные информационные системы (Единый портал госуслуг, ГАС «Выборы», система «Электронный бюджет») строятся с использованием нескольких уровней защиты: от криптографических шлюзов до систем обнаружения атак и резервирования центров обработки данных (ЦОД). В соответствии с постановлением Правительства РФ № 1119 (2012 год) для всех государственных систем установлены классы защищённости (от 1-го до 3-го), каждый из которых требует определённого набора уровней защиты.
В финансовом секторе
Банковские системы (например, АБС — автоматизированные банковские системы) используют многоуровневую защиту для обеспечения безопасности транзакций: аутентификация клиента (пароль, SMS, биометрия), шифрование каналов связи, мониторинг мошеннических операций (anti-fraud), защита серверов и баз данных.
Критика и ограничения
Многоуровневые системы безопасности имеют недостатки. Главный из них — высокая стоимость внедрения и эксплуатации. Каждый дополнительный уровень требует приобретения оборудования, лицензий, найма персонала и регулярного обновления. Для малых и средних предприятий это может быть непосильной нагрузкой.
Второй недостаток — снижение производительности. В информационных системах каждый уровень защиты (шифрование, фильтрация трафика, антивирусное сканирование) добавляет задержки, что может быть критично для высоконагруженных систем (например, биржевых торгов или систем реального времени).
Третья проблема — сложность администрирования. Необходимость согласования политик безопасности на разных уровнях, обновления сигнатур и правил, а также координация действий при инцидентах требуют высокой квалификации персонала. Ошибки в конфигурации могут привести к ложным срабатываниям или, наоборот, к уязвимостям.
Кроме того, многоуровневая защита не гарантирует абсолютной безопасности. При целенаправленной атаке с использованием социальной инженерии (например, фишинг) или инсайдерских угроз система может быть скомпрометирована, если один из уровней (человеческий фактор) окажется слабым звеном.
Интересные факты
- В России для защиты объектов КИИ (критической информационной инфраструктуры) обязательно применение сертифицированных ФСТЭК России средств защиты информации не ниже 4-го класса защищённости.
- Принцип многоуровневой защиты используется в ядерной физике: на АЭС применяется так называемая «глубокоэшелонированная защита», включающая до 5 барьеров безопасности.
- В 2017 году атака вируса-вымогателя WannaCry продемонстрировала недостаточность многоуровневой защиты в организациях, где не было своевременно установлено обновление операционной системы (один из уровней оказался неактуальным).
- В системах физической защиты музеев (например, Государственного Эрмитажа) используется до 7 уровней защиты: от датчиков движения в залах до систем лазерной сигнализации и круглосуточного мониторинга пультом вневедомственной охраны Росгвардии.
Источники
- Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».
- Методические документы ФСТЭК России по защите информации (серия «Меры защиты информации»).
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →