Сегодня большинство организаций принимают меры по защите от угроз «извне». Соответствующие средства контроля доступа и защиты от проникновения в корпоративную информационную среду широко представлены на рынке и активно используются для предотвращения действий злоумышленников. При этом по-прежнему острой и до сих пор нерешенной во многих организациях проблемой остается защита от внутренних угроз – как от действий инсайдеров, которые умышленно похищают информацию или наносят злонамеренный ущерб корпоративной информационной системе, так и от непреднамеренных действий сотрудников, приводящих к инцидентам в системе информационной безопасности. Например, подключение в сеть и работа на зараженных вирусами компьютерах. При этом внутренний пользователь обычно имеет широкие права в сети и разрешение на доступ к большому числу конфиденциальных корпоративных ресурсов и приложений, и в результате страдает вся корпоративная информационная система.

Многие компании, специализирующиеся на решениях защиты информационных систем, предлагают сегодня средства контроля и управления доступом в корпоративную сеть с автоматизированных рабочих мест сотрудников компании на основе решения Cisco Network Admission Control (СNAC). О возможностях применения таких решений для защиты от внутренних угроз информационной безопасности рассказывают эксперты компании TopS BI.

Как работают средства NAC, какие задачи они помогают решать?

Можно выделить несколько последовательных этапов в процессе контроля и управления доступом сотрудника в корпоративную сеть, которые автоматически выполняются средствами Cisco Network Admission Control.

Первое, это аутентификация пользователя – выполняется проверка, имеет ли пользователь права доступа в сеть. При парольной защите, наиболее распространенной сегодня, сотрудник вводит свои данные, и система контролирует существование такого пользователя, правильность его пароля и пр. – хорошо всем известная процедура, с которой начинают работу в информационной системе большинство сотрудников.
Вторая фаза – это проверка, имеет ли компьютер пользователя право доступа в сеть, соответствует ли автоматизированное рабочее место (АРМ) сотрудника корпоративной политике безопасности. Система автоматически проверяет, какие патчи приложений, какие антивирусы установлены на компьютере пользователя, актуальны ли антивирусные базы, установлено ли необходимое дополнительное программное обеспечение для защиты АРМ, в соответствии с принятой в компании политикой безопасности.

Если машина не соответствует политике безопасности, система отказывает пользователю в доступе к информационным ресурсам и приложениям компании, рабочая станция пользователя изолируется от сети и направляется в так называемый карантин. После этого на машину пользователя устанавливаются, вручную администратором или автоматически, необходимые обновления операционной системы, антивирусные базы и пр. И только после того как компьютер «вылечат», сотруднику предоставляется доступ в сеть. Таким образом, зараженный компьютер не может принести вреда ресурсам сети, и предприятие решает проблему защиты от подключения в сеть зараженных рабочих станций. Это очень важно для крупных организаций, в которых практикуется «мобильность» сотрудников, и менеджеры часто работают вне офиса, используя ноутбуки и подключаясь к сетям с низким уровнем доверия, где высок риск незаметного для пользователя заражения его компьютера.

Наконец, последняя фаза – инспекция. Фактически машина может заразиться каким-то неизвестным вирусом уже после того, как прошел этот цикл аутентификации, карантина, установки антивирусов и пр., и сотрудник начал работу в сети. Существует продукт Cisco Security Agent, который помогает обнаружить подозрительную активность на компьютере пользователя. На этой фазе решения Cisco NAC – дополнительный компонент корпоративной системы предотвращения вторжений, объединяющей установленные антивирусы, средства мониторинга сети, обнаружения вторжений, регистрации инцидентов, средства анализа активности в сети (например, продукт CS-MARS) и прочие.

Таким образом, повышается защита корпоративной сети, надежность ее работы, снижаются расходы на администрирование информационной системы и устранение последствий ее заражения вредоносным программным обеспечением.

Кроме того, эти решения помогают бороться с «хаосом» в компьютерной инфраструктуре компании, вовремя устанавливать на машины сотрудников необходимые обновления системного программного обеспечения и защитных систем. В этом смысле очень эффективным может быть использование решений Cisco по контролю доступа совместно с решениями по управлению АРМ. Например, мы в своих проектах успешно применяем решения Altiris, которые обеспечивают удаленное централизованное администрирование АРМ, автоматическое "распространение" на компьютеры сотрудников программного обеспечения (в том числе обновлений ПО), инвентаризацию аппаратного и программного обеспечения компьютеров, контроль использования сотрудниками программного обеспечения и другие функции управления АРМ.

Каким образом реализуется автоматизированная проверка компьютера сотрудника на соответствие политике безопасности? Нужно устанавливать на каждый компьютер специальные программные агенты? Как проверяется компьютер «гостя» - делового партнера, клиента, которому дается право на подключение к сети компании?

Основной компонент решения Cisco – это сервер политик Cisco Access Control Server (ACS) (или другой сервер, поддерживающий NAC), который «отвечает» за проверку состояния установленного на машине пользователя программного обеспечения, его соответствия политике безопасности и дальнейшее разрешение/запрещение доступа в сеть. ACS поддерживает записи локальных и внешних баз политик безопасности, используя атрибуты, определенные как поставщиком, так и типом приложения. Каждая база данных имеет одну или несколько политик, содержащих заданные администратором правила – параметры состояния компьютера пользователя, определяющие уровень соответствия политикам безопасности. ACS сервер обеспечивает передачу запросов к этим базам политик и ответов по состоянию компьютера пользователя, формируя так называемый системный символ состояния (system posture token SPT), на основании которого продолжается или прерывается цикл авторизации. При этом возможны различные варианты реализации проверки компьютера.

Первый вариант – когда компьютер принадлежит сотруднику компании, и на него заранее установлены программные агенты для автоматизированного контроля и удаленного управления АРМ. Это может быть программный агент Cisco Trust Agent, который при включении компьютера соберет и передаст в ACS информацию о наличии и версиях антивирусного программного обеспечения и другого контролируемого ПО. Сisco Trust Agent предоставляет также информацию о версии операционной системы и установленных обновлениях. Если решение NAC используется совместно с ПО Altiris, функции проверки компьютера могут исполнять «агенты» системы Altiris. После проверки компьютера сервер Cisco ACS определяет статус состояния этой машины, в соответствии с которым либо направляет компьютер в карантин для последующего «лечения», либо продолжает процесс авторизации.

Программные агенты Cisco и Altiris напрямую взаимодействуют с приложениями, установленными на компьютере, без участия пользователей.

Второй вариант – проверка компьютера, на котором не установлены программные агенты системы. Действительно, в отличие от сотрудников, которые обязаны следовать корпоративным правилам, деловые партнеры компании, заказчики и поставщики этим правилам не подчиняются, но им нередко предоставляется доступ к корпоративным приложениям, и их компьютеры могут представлять серьезную угрозу. В данном случае используется несколько другая реализация NAC. Пользователь подключается к определенной зоне корпоративной сети, где его компьютер инспектируется (либо сервером Altiris Security Expression, либо сервером аудита Cisco). Далее, в зависимости от результата, пользователю предоставляется доступ в сеть или предлагается возможность установить на компьютер необходимое недостающее ПО безопасности. Можно реализовать вариант, когда в случае несоответствия компьютера политике безопасности компании, гостю предложат возможность установить агент Altiris, который уже «самостоятельно», в автоматическом режиме установит необходимое ПО и доведет состояние компьютера до требуемого, согласно политикам доступа в сеть.

Для реализации процедур контроля и управления доступом достаточно решений Cisco. Какую роль здесь играет ПО Altiris? Зачем тратить усилия на интеграцию этих систем?

Конечно, для реализации решений Cisco NAC нет необходимости во внедрении системы Altiris. Мы предлагаем совместное использование этих решений организациям, которые уже применяют продукты Altiris для управления вычислительной инфраструктурой, и предприятиям, которые ставят цели построения централизованно управляемой и безопасной компьютерной сети. Здесь интеграция Cisco NAC и Altiris дает ряд дополнительных преимуществ.

Исторически продукты Altiris создавались для решения задач мониторинга и централизованного управления компьютерами пользователей. Программное обеспечение Altiris Client Management Suite позволяет автоматизировать типовые операции по обслуживанию АРМ: вести администрирование компьютеров сотрудников, устранять сбои, устанавливать обновления программного обеспечения в удаленном режиме; создать и поддерживать в актуальном состоянии учетную базу по наличию и использованию программно-аппаратных средств АРМ. Это дает возможность повысить оперативность и эффективность работы ИТ-службы, снизить стоимость обслуживания компьютерной инфраструктуры, стандартизировать аппаратные и программные средства и оптимизировать управление жизненным циклом оборудования и ПО. Наши заказчики из различных отраслей успешно используют эти решения для управления ИТ-инфраструктурой, вот некоторые примеры проектов: Евросеть , Джи Эм-АВТОВАЗ , Нижфарм , ИМПЭКСБАНК и другие .

Понятно, что продукты Altiris в сравнении с решениями Cisco NAC предоставляют более широкие возможности по управлению программным обеспечением, установленным на компьютере пользователя, и по автоматизированному «лечению» компьютера, поскольку удаленное распространение обновлений ПО – одна из «традиционных» функций Altiris. Cisco NAC такие возможности не предоставляет: пользователь должен обращаться в ИТ-службу или самостоятельно приводить свой компьютер в соответствие нормам, получив ссылку на ресурс, содержащий необходимое ПО, и указания по необходимым действиям. Кроме того, продукты Altiris существенно повышают управляемость инфраструктуры, делают ее «прозрачной» для администраторов.

Агенты Cisco и Altiris «работают» со всеми типами компьютеров, операционных систем, аудируют наличие антивирусного ПО любого производителя?

Установка Cisco Trust Agent доступна для компьютеров под управлением операционных систем Windows и Red Hat Linux и служит для проверки настольных компьютеров, ноутбуков и КПК. Агенты Altiris могут быть установлены на ПК под управлением ОС Windows (включая Windows Mobile), RedHat Linux, MacOS.

Проверка состояния приложения безопасности возможна в случае, если производитель этого приложения поддерживает технологии Cisco NAC (в настоящее время около 250 разработчиков внедряют механизмы NAC в свои продукты, включая ведущих производителей антивирусного программного обеспечения).

Защищает ли NAC от всех внутренних вторжений?

Решение Cisco NAC направлено, в первую очередь, на руководство действиями пользователей, которые подвергают опасности корпоративную информационную систему. Кроме того, Cisco предлагает решение Cisco Security Agent (CSA), которое полностью регулирует политику безопасности на рабочем месте и предотвращает несанкционированные действия. Например, обеспечивает защиту от получения инсайдерами доступа к ресурсам, работать с которыми они не имеют права. В системе CSA прописываются правила, на основе которых отслеживается активность действий сотрудника на его компьютере, и если фиксируется, например, незаконная попытка получения доступа к каким-то ресурсам, система определенным образом реагирует на эти действия, либо блокируя доступ в сеть, либо отсылая сообщение администратору по безопасности. Заметим, что некоторые функции CSA может взять на себя и сервер Altiris.

Использование Altiris и CSA увеличивает возможности защиты. Например, с помощью этих решений можно заблокировать копирование информации на флэш-карты и другие съемные носители.

Конечно, все действия злоумышленников система не предотвращает, как и любое техническое средство защиты. Тут необходимо помнить также о том, что помимо технических инструментов необходимо выстраивать эффективный комплекс организационных мер обеспечения безопасности, обучать сотрудников правилам обращения с паролями и конфиденциальной информацией, разрабатывать мероприятия по предотвращению действий инсайдеров и пр.

Какие программно-аппаратные средства необходимы для внедрения продуктов Cisco NAC, какова примерная стоимость решения?

Cisco предлагает два подхода внедрения NAC. Первый – создание комплексной NAC-архитектуры (NAC Framework) – предполагает построение всей сетевой инфраструктуры на базе решений Cisco, в том числе применение коммутаторов, маршрутизаторов и другого сетевого оборудования Cisco. Если предприятие изначально использует оборудование Cisco для построения корпоративной сетевой инфраструктуры, внедрение Cisco NAC не потребует больших вложений: клиент NAC-архитектуры Cisco Trust Agent – бесплатный, оплачивать приходится Access Control Server, который стоит порядка 8 тыс. долл., и работы по внедрению решения.

Если предприятию придется менять сетевое оборудование на продукты Cisco, затраты, естественно, многократно возрастут. Предлагается альтернативный подход – выделенное устройство NAC (NAC-Appliance), при котором нет специальных требований к сетевому оборудованию. Данное решение характеризуется тем, что устройство NAC-Appliance контролирует все стадии NAC. Этот же программно-аппаратный комплекс обеспечивает и организацию карантинной зоны. Сложность внедрения такого решения ниже по сравнению с использованием NAC-Framework.

Какие существуют конкурентные решения, какими преимуществами обладает решение от Cisco?

На сегодняшний день архитектура Cisco NAC занимает лидирующее положение на рынке подобных систем. Однако решение от Cisco далеко не единственное, более трех десятков различных поставщиков предлагают свои системы управления контролем доступа в сеть. В основном это крупные производители компонентов ИТ-инфраструктуры, такие как HP, Nortel, Juniper и др., а также целый ряд софтверных компаний, в том числе Microsoft с архитектурой Network Access Protection (NAP).

Основным конкурентом Cisco NAC является архитектура, разрабатываемая группой Trusted Network Connect (TNC) как открытый отраслевой стандарт защищенного доступа в сеть. Группа TNC объединила большое количество производителей NAC, не готовых мириться с доминирующим положением Cisco на этом рынке.

Отдельно нужно отметить инициативы компании Microsoft и ее архитектуру Network Access Protection. Первые элементы данной архитектуры были озвучены Microsoft в 2004 году с появлением Windows 2003 Server, с тех пор стандарт развивался и претерпел ряд изменений. Сегодня компоненты Microsoft NAP встраиваются в ОС Windows Vista. Среди основных недостатков NAP можно отметить жесткую привязку к ОС Windows, а также неприменение собственных возможностей сетевого оборудования в процессе управления доступом. Между компаниями Cisco и Microsoft достигнута договоренность о тесном сотрудничестве в создании интегрированного решения Cisco NAC/NAP. В то же время, не так давно была анонсирована интеграция NAP c открытой архитектурой TNC.

Cisco NAC имеет ряд уникальных возможностей, которые выгодно отличают его от конкурентов. Благодаря развитой партнерской программе Cisco, данное решение поддерживается и интегрируется с продуктами более 60 производителей. Кроме того, технология Cisco NAC позволяет организовать различные типы защищенного доступа в сеть: доступ в ЛВС через коммутатор, маршрутизатор, а также через беспроводную сеть.

Компаниям каких отраслей и сфер деятельности наиболее актуально внедрение Cisco NAC?

Тут, на наш взгляд, большее значение имеет даже не отрасль или сфера деятельности компании, а принятые в ней политики организации работы персонала и политики безопасности. Понятно, что при «жесткой» политике ИБ, запрещающей доступ в корпоративную систему с устройств, полностью не контролируемых администратором ИБ, решения Cisco NAC не будут актуальны. Вообще, решение интересно, прежде всего, крупным организациям, со сложной инфраструктурой, объединяющей сотни компьютеров сотрудников, и с политикой безопасности, предусматривающей работу в корпоративной сети «мобильных» пользователей. Например, есть организации, в которых у многих сотрудников вообще нет постоянного рабочего места в офисе: сотрудник работает большую часть времени «на выезде», а приезжая в офис, садится на любое свободное место и подключается к сети.

Информационные партнеры мастер-класса

/>

14.03.2008 Владимир Безмалый

Сегодня во всем мире ущерб, причиняемый атаками внутренних злоумышленников (инсайдеров), уже давно превышает ущерб от внешних атак. Поэтому защита от внутренних угроз уже стала необходимостью. Именно этой проблеме и посвящена данная статья.

Для начала приведем несколько фактов.

В США зарегистрирована одна из самых крупных утечек персональных данных. Один из инцидентов, с участием печально известной фирмы ACS, просто поражает масштабами: его жертвами стали почти 3 млн. человек. В аналитическом центре InfoWatch подсчитали, что ACS могла уже многократно окупить систему защиты от утечек. Но компания упорно не желает принимать меры даже после нового инцидента (http://www.infowatch.ru/threats?chapter=147151398&id=207732805 .)

Около 80% потерь, связанных с нарушением информационной безопасности, вызывается утечкой конфиденциальной информации из-за внутренних угроз: саботажа, хищения данных, неосторожных действий сотрудников («Защита конфиденциальности и целостности информации - ключ к эффективному развитию бизнеса» (http :// infowatch . ru / )).

243 тыс. детей, их родителей и опекунов Лос-Анджелеса находятся под угрозой кражи персональной информации. Виной тому - пропавший из Службы социальной помощи детям Los Angeles County Child Support Services ноутбук (http://www.infowatch.ru/about?chapter=150661442&id=207732792 ).

О подобных фактах мы узнаем практически ежедневно. Поэтому защита от внутренних угроз выходит на первое место. Для возможного анализа проблемы внутренних угроз, прежде всего, необходимо ответить на ряд базовых вопросов:

Почему вы хотите защищаться от внутренних угроз?

Как выглядит потенциальный нарушитель?

Какие ресурсы вы готовы потратить на защиту от внутренних угроз?

Ответ на вопрос «зачем внедрять систему защиты от внутренних угроз?» вовсе не так очевиден, как может показаться на первый взгляд. Рассмотрим возможные варианты ответов на этот вопрос, см. Таблицу 1.

Таблица 1. Цели и методы внедрения системы защиты от внутренних угроз

Цель	Внедрение
Соответствие требованиям нормативов и стандартов	Внедрение мер, которые обеспечат соответствие и проверяются при аудите
Сохранность информации	Открытое внедрение в сочетании с кадровой работой
Выявление канала утечки	Открытое внедрение в сочетании с оперативными мероприятиями
Подтверждение непричастности	Архивация движения данных и сетевых операций для доказательства того, что причина утечки - не внутри фирмы

Соответствие требованиям нормативных стандартов

Во многих странах в банковской сфере, биржах, финансовых институтах существуют очень жесткие законодательные требования, невыполнение которых может повлечь за собой отзыв лицензии. В основе большинства требований лежат принципы стандартов ISO, Базельских соглашений.

Для компаний, которые хотят торговать своими акциями на международных биржах, стоит учитывать дополнительные требования. Так, например, Нью-Йоркская фондовая биржа попадает под действие акта Сарбаниса-Оксли 2002 года, регламентирующего управление информационной системой компаний, выставляющих свои ценные бумаги на торги.

В России в последнее время особое значение приобрел Закон "О защите персональных данных", который требует принятия мер по неразглашению конфиденциальной частной информации граждан. Аналогичный закон готовится к принятию на Украине.

В разных странах за последнее время был принят целый ряд законодательных мер:

European Union Data Protection Directive - директива Евросоюза о защите данных;

Insurance Portability and Accountability Act (HIPAA) - закон о преемственности страхования и отчетности в области здравоохранения;

Sarbanes-Oxley Act of 2002 (SOX) - акт Сарбаниса-Оксли;

US Patriot Act ;

Gramm-Leach Bliley Act (GLBA) - закон Грэма-Лича-Блилей;

California SB 1386 - закон штата Калифорния SB 1386;

Basel II - Базельское соглашение по капиталу в странах OECD (Organization for Economic Co-operation and Development - организация экономического сотрудничества и развития).

Законодательные акты зарубежных стран в области внутренней безопасности

European Union Data Protection Directive

DPD (Data Protection Directive) - директива о защите данных, принятая в Евросоюзе в 1995 году. Данная директива предназначена для защиты персональной идентифицирующей информации Personal Identifiable Information (PII). Директива обязывает каждое государство, которое входит в Евросоюз, принять собственный закон о защите персональных данных, совместимый с рекомендациями Организации экономического сотрудничества и развития (OECD) от 1980 года (в состав OECD входит 30 стран: Австралия, Австрия, Бельгия, Канада, Чехия, Дания, Финляндия, Франция, Германия, Греция, Венгрия, Исландия, Ирландия, Италия, Япония, Корея, Люксембург, Мексика, Нидерланды, Новая Зеландия, Норвегия, Польша, Португалия, Словакия, Испания, Швеция, Швейцария, Турция, Великобритания, США; Украина и Россия не входят). Кроме того, данная директива вводит классификацию личных данных (медицинские, финансовые и т.д.). Каждая категория данных требует дополнительных мер безопасности.

Среди рекомендаций OECD необходимо отдельно отметить Security Safeguards Principle 11 (Принцип гарантированной безопасности №11), требующий, чтобы персональные данные были защищены разумными средствами безопасности от таких угроз, как утрата или неавторизованный доступ, разрушение, использование, модификация или разглашение.

Data Protection Directive значительно жестче соответствующих законодательных актов США. Например, данная директива требует защиты персональной идентифицирующей информации как клиентов компании, так и сотрудников, что не требуется в рамках законодательства США.

Нарушение этой директивы может привести к наступлению как гражданской, так и уголовной ответственности, включая большие штрафы, а в некоторых странах даже лишение свободы.

Basel II Accord

Базельское соглашение по капиталу Basel II Capital Accord вступило в силу с конца 2006 года в большинстве стран, входящих в состав OECD. Данное соглашение требует от финансовых институтов считать кредитные, производственные и рыночные риски для того, чтобы быть уверенным, что имеющихся сбережений хватит для покрытия этих рисков. Риски Basel II Accord включают и риски ИТ-безопасности.

Sarbanes-Oxley Act of 2002

Sarbanes-Oxley Act of 2002 (SOX) - акт Сарбаниса-Оксли. Этот акт принят в США в 2002 году в связи с корпоративными скандалами, которые имели место в таких компаниях как Enron и WorldCom. Акт возлагает ответственность на генеральных, исполнительных и финансовых директоров, CEO и CFO, которые обязаны провести сертификацию своих компаний на предмет полноты финансовой отчетности. Несовместимость с Актом может стоить до 5 млн. долларов для физических лиц и до 25 млн. - для юридических. Уголовная ответственность за несовместимость с этим актом в США - до 20 лет лишения свободы.

Широкое толкование этим актом термина «активы» включает и цифровые активы, то есть исходные коды, торговые соглашения, записи пациентов и любую другую информацию, разглашение которой может нанести ущерб стоимости акций компании. А, следовательно, оценка рисков является неотъемлемой частью акта Сарбаниса-Оксли.

HIPAA

Health Insurance Portability and Accountability Act, HIPAA - закон США о преемственности страхования и отчетности в области здравоохранения был принят в 1996 году. Данный закон преследует две основные цели:

Упростить осуществление транзакций в сфере здравоохранения путем использования стандартной кодовой классификации и уникальных медицинских идентификаторов (unique health identifiers);

Защитить конфиденциальность информации о здоровье пациента.

Раздел данного закона, относящийся к приватности HIPAA Privacy Rule, определяет административные, физические и технические меры, которые включают стандарты для сохранения приватности защищенной электронной медицинской информации, Electronic Protected Health Information (EPHI).

Положения HIPAA, касающиеся приватности, вступили в силу в апреле 2003 года. Крупные организации обязаны были обеспечить совместимость с ними до апреля 2005, а небольшие компании - до апреля 2006 года.

Понятно, что обеспечить выполнение всех требований закона без учета предотвращения утечек по каналам связи и на уровне рабочих мест практически невозможно.

Gramm-Leach Bliley Act

Gramm-Leach Bliley Act (GLBA) - закон Грэма-Лича-Блилей предназначен для защиты информации заказчика, полученной или используемой финансовыми организациями США, от кражи, неавторизованного доступа или злоупотребления.

Положения данного закона требуют от финансовых компаний разработать, внедрить и применять всестороннюю письменную политику ИТ-безопасности, которая подразумевает использование административных, технических и физических мер защиты непубличной информации. Таким образом, сюда относятся номера счетов, детали финансовых операций, номера кредитных карт и т.д.

Несовместимость с GLBA Safeguard Rule карается штрафами и лишением свободы на срок до 5 лет.

Другие

Другие регулятивные акты США (SEC 17A-4, US Patriot Act, Check 21, Government Paperwork Elimination Act) также во многих случаях требуют использования продуктов для предотвращения утечек и других средств обеспечения ИТ-безопасности, хотя и не так явно, как рассмотренные выше.

Исходя из сказанного выше, можно отметить, что модель защиты от внутренних ИТ-угроз уже заложена в международные стандарты и внедрять ее нужно таким образом, чтобы она могла пройти аудит на соответствие международным стандартам. В этом случае при разрешении конфликтной ситуации между эффективностью и соответствием стандартам выбор делается в пользу соответствия стандартам, в ущерб эффективности. Хотя на Украине ситуация пока обратная.

Вместе с тем стоит отметить, что ни один регулирующий документ не рекомендует не только конкретные продукты, а даже тип продуктов, обеспечивающих защиту. Кроме того, часть угроз допускается устранять не техническими, а организационными мерами.

Сохранение информации

Данная цель возникает чаще всего после случая утечки конфиденциальных данных. В данной ситуации руководство компании не связано определенными стандартами, а хочет построить защиту информационной системы, исходя из собственного понимания и имеющихся средств. В этом случае внедрение технических средств для усиления эффективности сопровождается организационными мероприятиями, направленными на работу с персоналом.

В таком случае в набор организационных мероприятий входят инструктажи и тренинги, адаптация к новым условиям, подписание трудовых соглашений, должностных инструкций и прочих документов, регламентирующих использование ресурсов информационной системы.

Стоит учесть, что в этом случае на защиту информации работает и психологический фактор. Ведь зная о контроле со стороны руководства, многие потенциальные внутренние нарушители политики безопасности откажутся от своих намерений.

Следовательно, внедрение подобной системы должно сопровождаться гласными мероприятиями, а реализация политики внутренней безопасности должна быть введена приказом за подписью первого лица в организации.

Вместе с тем стоит понимать, что конкретные технологические решения по защите информации лучше не афишировать, чтобы не спровоцировать атаки, направленные на противодействие конкретным решениям.

Выявление источников и каналов утечки информации

Данная цель становится приоритетной для руководства организации, если оно осведомлено о регулярных утечках конфиденциальной информации из системы. Если основной целью организации становится выявление источников и каналов утечки, то задачи будут совсем другими.

В данном случае внедрение необходимо проводить, используя противоположный предыдущему поход, то есть не открытый, с акцентом на сборе доказательств. Как правило, при этом установка программного обеспечения маскируется под обновление антивируса или другой системы безопасности.

Важной частью такого внедрения является сбор доказательств. Ведь выявить источник утечек - это только малая часть работы. Нужно собрать доказательства, чтобы иметь возможность наказать злоумышленника в рамках действующего законодательства. В каждой стране юридическая база процесса сбора доказательств своя. Однако общим является то, что сбор цифровых доказательств (журналы логов, копии писем и т.д.) строго регламентирован законом. Однако стоит понимать, что даже собрав доказательства, вы сможете доказать вину не конкретного человека, а его «цифровой копии» (почтовый ящик, IP-адрес, учетная запись). Доказать, что эти конкретные цифровые идентификаторы использовались в данный момент времени конкретным человеком - весьма сложно. Учитывая презумпцию невиновности, доказательство вины конкретного человека должен предоставить работодатель. Доказать вину человека и однозначно связать его с цифровой «копией» могут системы видеонаблюдения, биометрические системы аутентификации или системы строгой аутентификации на базе аппаратных ключей или смарт-карт.

Создание конкурентного преимущества

Чаще всего эта цель ставится предприятиями, которые получают информацию третьих компаний - аудиторскими компаниями, консультационными компаниями, call-центрами, компаниями, которые оказывают услуги перевода и т.д.

В данном случае внедрение производится открыто, однако средства контроля внедряются таким образом, чтобы в любой момент компания могла предоставить клиенту информацию обо всех действиях с его данными.

Комплекс технических средств и правил

После выбора цели проекта компания должна описать весь комплекс технических средств и правил, которые применяются в компании.

Права пользователей

Часто в компании, которая поставила цель создать технологическую инфраструктуру защиты от внутренних ИТ-угроз, отсутствует политика стандартизации процессов, которые происходят на рабочих местах пользователей. Кроме того, часть пользователей обладает правами локальных администраторов. Как правило, это пользователи операционных систем Windows 9x и владельцы ноутбуков. Это также означает, что на рабочих местах хранятся копии документов, содержащих конфиденциальную информацию.

Помимо этого, на рабочих местах может быть установлено потенциально опасное программное обеспечение, например программы синхронизации с мобильными устройствами, программы шифрования, файловые менеджеры, которые могут проводить операции с временными файлами Windows и т.д.

Квалификация пользователей

Стоит отметить, что с каждым годом пользователи становятся все более высококвалифицированными. Ведь имея дома компьютер с доступом в Internet, а то и локальную сеть, они могут приобрести потенциально опасные для информационной сети навыки. Как правило, сегодня обычный пользователь может инсталлировать программы, выходить в Internet по мобильному телефону, передавать информацию в зашифрованном виде, пользоваться мобильными устройствами хранения информации и т.д.

Средства защиты

Сегодня к мерам по защите информации от внутренних угроз компании относят использование технических средств контроля доступа к ресурсам (Internet, электронная почта, USB), а также сигнатурную контентную фильтрацию (как правило, это специальным образом настроенный антиспам-фильтр). Однако стоит понимать, что эти методы позволяют противодействовать либо неопытным, либо неосторожным пользователям.

Стоит помнить, что сигнатурная контентная фильтрация легко обходится либо удалением «опасных» слов, либо примитивным кодированием, т.е. заменой символов одной кодировки (западноевропейской) другой (кириллической). Легко заметить что слова «секретно» и «ce кpe тно » читаются одинаково, в то время как во втором слове выделенные буквы набраны в западноевропейской кодировке. Более того, кто или что может мешать заменить букву «о» на цифру «0» или букву «s» на цифру «5»? А сигнатурный анализатор просто пропустит это слово как нераспознанное.

Вместе с тем следует понимать, что принцип «запретить все» неприменим, так как сотрудникам необходимо продолжать работать.

То есть нужно учесть, что, с одной стороны, компании нуждаются в упорядочении системы хранения конфиденциальной информации, а с другой - во внедрении более эффективной системы защиты от внутренних угроз.

Положение о конфиденциальной информации в электронном виде

После определения цели защиты конфиденциальной информации, которая хранится в корпоративной сети в электронном виде, от внутренних угроз, важно понять, что именно мы собираемся защищать.

Таким образом, в компании необходимо принять документ (например, «Положение о конфиденциальной информации»), который позволит однозначно категорировать информацию по степени конфиденциальности. Вместе с тем необходимо провести категорирование групп пользователей по степени разрешенных действий с данной информацией. Скорее всего, такое положение о конфиденциальности у вас уже существует для бумажных документов. Теперь нужно адаптировать данное положение к электронным документам, т.е. дать определение жизненному циклу документа (определить, кем и при каких условиях создается документ, модифицируется и уничтожается), а также регламентировать работу с такими отсутствующими у бумажных документов понятиями, как копия документа, часть документа и т.д.

Контентное категорирование

В процессе разработки «Положения о конфиденциальной информации» (далее Положение) необходимо отметить виды информации, которые запрещено отправлять по электронной почте. Практически во всех компаниях существует стандартный набор документов, который запрещено отправлять по электронной почте.

При этом нужно учесть, что существует набор информации, которую одно подразделение может отправлять, а другое - нет. В качестве примера можно привести письма, в которых упоминаются первые лица компании. Такие письма может рассылать лишь служба по связям с общественностью, а письма с упоминанием банковских реквизитов - бухгалтерия и т.д. При этом стоит отметить, что в каждой компании будут свои нюансы.

В Положении необходимо предусмотреть регламент использования конфиденциальных документов, описание системы хранения подобных документов и организации доступа к ним.

Кроме того, следует предусмотреть ведение «журнала» работы с подобными документами, в котором требуется отражать основание для обращения к документу, цель использования и т.д. В данном случае ведение журнала облегчено тем, что многие операции могут производиться в автоматическом режиме. Подобный способ ведения журнала в разных источниках называется по-разному. Кроме термина «журналирование» можно встретить термин «логирование». Хотя фактически это один и тот же процесс.

В положении должно быть отмечено, что никакой администратор не может изменять информацию в журнале своей работы, чтобы предотвратить возможные противоправные действия.

Классификация информации по уровню конфиденциальности

Конфиденциальную информацию можно разнести по следующим категориям (пример):

«СТРОГО КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решением руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);

«КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему, как собственнику (уполномоченному собственником лицу) информации, правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ущерба его клиентам, корреспондентам, партнерам или сотрудникам);

«ОТКРЫТАЯ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

Иногда в компании вводят больше уровней конфиденциальности. Однако следует понимать, что чрезмерное увеличение числа категорий влечет за собой увеличение числа документов и усложнение системы защиты.

Однако надо учесть, что, так как в организации каждый день создается множество документов, без механизма их автоматической или полуавтоматической классификации реестр уже через некоторое время потеряет свою актуальность.

Метки документов

Необходимо обратить особое внимание на организацию процесса пометки конфиденциальных документов. Каждый конфиденциальный документ должен содержать метку, по содержанию которой контролирующие программы могли бы определить степень его конфиденциальности и категорию пользователей, которые могут проводить с ним потенциально опасные операции - публикацию в Internet, копирование на сменные носители, переименование, отправку по электронной почте и т.п. Технические и организационные методы установки меток выбирает заказчик. Если все защищаемые документы хранятся исключительно в формате программ Microsoft Office, то в качестве метки может использоваться запись "конфиденциально" в соответствующих полях свойств документов. Некоторые производители систем документооборота используют программные метки и специальные форматы файлов. Однако самый распространенный и простой способ присваивания меток - именование файлов по специальной маске. Например, первые 10 символов - тематическая группа, к которой относится документ (название клиента, рабочей группы, подразделения, отрасли и т.д.), затем знак подчеркивания, затем 20 символов для описания документа, снова знак подчеркивания и восьмизначная дата в формате YYYYMMDD.

Следует обратить внимание на то, что процесс внедрения процедуры именования файлов - не какая-то разовая акция, а постоянная работа по обучению персонала именовать файлы именно таким образом. Необходимо понимать, что, кроме организационных методов (закрепление приказом только такой формы именования, поддержка способа именования руководством и инструктаж новых сотрудников), надо привлечь и технические средства. Самый простой технический способ внедрения этой процедуры - разрешать выкладывать на файловый сервер, класть в корпоративное хранилище или публиковать в корпоративной сети только те файлы, которые именованы по заранее утвержденному шаблону. Со временем все файлы, которые прошли через электронную почту, файловые серверы, хранилище данных и корпоративную сеть, будут называться правильно.

После того, как все файлы документов будут названы по такой маске, документы будут автоматически попадать в поле зрения контролирующих систем и перехватываться при запрещенных действиях пользователя не только средствами контентной фильтрации, но и мониторами, действующими на основании политик. В отличие от контентной фильтрации, этот метод дает практически 100% гарантиии. Это удобно и при ведении визуального контроля, ведь даже в очереди на печать можно сразу увидеть конфиденциальные документы. К тому же не будет лишним еще раз напомнить пользователю при открытии файла, что документ конфиденциален.

Хранение информации

После того, как реестр конфиденциальных документов будет создан, можно приступить к организации их хранения. Во многих компаниях организационными и техническими методами запрещено хранить на рабочих станциях конфиденциальную информацию. Как правило, такие данные хранятся на специальных клиент-серверных или web-приложениях (корпоративных порталах, хранилищах документов, бизнес-приложениях, справочно-нормативных базах, системах документооборота, ERP и т.д.), которые позволяют разделить права пользователей и защитить информацию от попыток сохранить в несанкционированном месте. Несмотря на то, что защита таких данных является многоуровневой (уровни аппаратной платформы, СУБД, приложения), тем не менее, риски утечки такой информации с рабочих станций существуют.

Способы хранения конфиденциальной информации

Прежде всего, в организации необходимо обеспечить защиту от утечки информации следующих типов:

Сводная информация;

Конфиденциальные документы;

Интеллектуальная собственность.

Сводная информация

Структурированные данные в формате базы данных электронных таблиц могут быть отнесены к сводной информации. В качестве примера можно привести информацию о продукции, ценах, финансовую информацию и т.д., которая, безусловно, представляет ценность для конкурентов. Вместе с тем, сюда же можно отнести и персональную информацию, которую компания обязана защищать по закону. В случае хищения подобного типа информации злоумышленнику важно сохранить ее полноту, достоверность и структуру. В противном случае ее цена упадет. Отдельным случаем является «заказ» на хищение конкретных данных, а не всей информации. Однако такой вариант встречается гораздо реже, так как предполагает конкретного заказчика.

Интеллектуальная собственность

К интеллектуальной собственности может быть отнесена любая информация в электронном виде, обеспечивающая конкурентные преимущества компании, например шаблоны документов, должностные инструкции, описание бизнес-процессов компании, сведения об изобретениях и т.д. Эта информация может храниться в любом месте и в любом виде. Ценными являются не только сами документы, но и их фрагменты, черновики и т.д.

Неструктурированная информация

Хищение документов, содержащих неструктурированную информацию, также может привести к различным потерям. Защита от утечек подобной информации крайне затруднена.

Одним из вероятных путей утечки информации, с использованием санкционированного доступа, являются клиентские приложения. Большинство используемых рабочих станций - компьютеры на платформе Intel. Хранение информации в незашифрованных временных файлах, встроенная в операционную систему возможность копирования информации в буфер (операции Copy и PrintScreen), наличие многих каналов ввода-вывода (дискеты, CD-R, USB, Wi-Fi, Bluetooth и т. д.) делают рабочую станцию весьма опасным устройством для реализации внутренних ИТ-угроз. Таких угроз практически нет при использовании тонких клиентов.

Локальные копии

Еще одним потенциальным источником утечки информации являются копии информации на мобильных устройствах. Сегодня часть сотрудников проводит большую часть времени вне офиса. При этом для работы необходимы копии служебных документов, в том числе конфиденциальных. Следует помнить, что закрытие всех портов ввода-вывода на ноутбуках осуществить достаточно сложно технически, а кроме того это затруднит работу мобильным пользователям, ведь они должны использовать как сменные носители, так и коммуникационные порты.

Основные направления защиты

Так как внутренним нарушителем может быть любой сотрудник компании, который имеет доступ к информации, методы защиты необходимо планировать так, чтобы соблюсти баланс доступности для легального пользователя и в то же время обеспечить защиту от утечки.

Защита документов

Для защиты электронных документов применяются те же методы, что и для работы с бумажными. В этой области активно используется шифрование документов, применение специальных форматов файлов, которые запрещают сохранение в другом формате, редактирование и копирование содержимого в буфер Windows.

Защита каналов утечки

На сегодня самым эффективным средством является контроль выноса физических носителей с территории компании. Уже сегодня во многих компаниях запрещено вносить на территорию сотовые телефоны и фотоаппараты. Однако носители информации делаются все меньше, флэш-память встраивается в часы и плееры, так что такой контроль становится все менее эффективным. Следовательно, контролировать информацию необходимо до того, как она будет скопирована.

Мониторинг (аудит) действий пользователей

Для защиты от внутренних утечек информации крайне важно не только, кто получил доступ к файлу, но и что именно он делал с документом, ведь разные люди будут использовать документы по-разному. При этом для соблюдения правил внутренней безопасности в первую очередь важно контролировать те действия, которые могут привести к утечке. Это:

Перемещение документа, как единого целого;

Копирование информации из документа;

Изменение документа с целью обмана следящих систем.

К первой группе можно отнести копирование файла на сменные носители, отправку по почте, публикацию в Internet, печать.

Ко второй - копирование информации из документа в буфер Windows, копирование временного файла Windows и т.п.

К третьей группе - переименование файла или изменение его расширения, сохранение файла под другим именем, сохранение в другом формате, архивирование, кодирование и шифрование.

Операция с конфиденциальной информацией, которая недопустима для данного пользователя, должна либо блокироваться, либо сведения о такой операции должны поступать в службу безопасности. При этом система внутренней безопасности должна быть настроена так, чтобы пользователь (его руководитель) узнавали, что он пытается совершить запрещенную операцию, либо чтобы эта информация была доступна только сотруднику службы информационной безопасности.

Классификация внутренних нарушителей

Пользователи, которые допускают утечку конфиденциальной информации, будучи к ней официально допущенными, могут быть классифицированы по нескольким критериям:

Злоумышленники;

Проявляющие халатность;

Действующие по заказу;

Действующие в собственных интересах;

Охотники за конкретной информацией;

Ворующие все, что можно.

Для составления прогноза действий конкретного нарушителя его поведение нужно правильно классифицировать.

Внутренних нарушителей можно разделить на следующие категории (см. Таблицу 2):

Неосторожные;

Подвергшиеся манипуляции;

Саботажники;

Нелояльные;

Мотивируемые извне.

Таблица 2. Мотивы внутренних нарушителей

	Умысел	Корысть	Постановка задачи	Действия при невозможности
Халатный				Сообщение
Подвергшиеся манипуляции				Сообщение
Обиженный
Нелояльный				Имитация
Подрабатывающий			Сам Извне	Отказ Имитация Взлом
Внедренный			Сам Извне

Нарушители по типу могут быть подразделены на незлонамеренных и злонамеренных.

Незлонамеренные нарушители

В свою очередь незлонамеренные нарушители подразделяются на:

жертв манипуляции;

неосторожных.

Неосторожные (проявляющие халатность)

Такие пользователи нарушают правила из лучших побуждений. Чаще всего они выносят информацию для работы с ней дома, в командировке и т.д. Ущерб от таких утечек может быть не меньшим, чем от промышленных шпионов. Против таких нарушителей эффективны простые технические средства - фильтрация контента исходящего трафика и менеджеры устройств ввода-вывода.

Жертвы манипуляции

Все чаще для манипулирования сотрудниками используется «социальная инженерия». Например, добросовестный сотрудник по просьбе злоумышленника может "для надежности" продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик.

Другим примером манипуляции может служить сотрудник, начальник которого - злоумышленник, отдавший этому сотруднику преступный приказ.

Злонамеренные сотрудники

Отдельной группой являются злонамеренные сотрудники, осознающие, что они наносят вред компании, в которой работают. По мотивам действий их можно разделить на:

Саботажников;

Нелояльных;

Мотивируемых извне;

Саботажники (обиженные сотрудники)

Саботажники чаще всего стремятся нанести вред компании в силу личных мотивов. Чаще всего таким мотивом является недооценка их роли в компании. Ключевым в поведении таких нарушителей является то, что, во-первых, такие сотрудники не собираются покидать компанию, а во-вторых, целью саботажника является нанесение вреда, а не похищение информации. То есть такие люди стремятся к тому, чтобы руководство не узнало, что утечка произошла по их вине и, столкнувшись с технической невозможностью нанести вред, они направят свои усилия на уничтожение или фальсификацию иной информации.

Нелояльне сотрудники

Чаще всего нелояльные сотрудники стараются унести максимально возможное количество информации, зачастую даже не подозревая о ее истинной ценности.

Сюда же можно отнести и тех сотрудников, которые, решив сменить место работы, еще не сообщили об этом начальству. Чаще всего нелояльные сотрудники не скрывают факта хищения.

Однако максимальную опасность представляют не эти два типа нарушителей, а мотивированные извне. Ведь если потенциальный злоумышленник может заранее найти покупателя на информацию и тогда его дальнейшая работа, благосостояние, а иногда и жизнь напрямую зависят от полноты и актуальности похищенной информации.

Нарушители, мотивированные извне

Мотивированные извне - это сотрудники, цель которым определяет заказчик похищения информации. К этому типу сотрудников относят внедренных, то есть специально устроенных на работу для похищения информации, и завербованных, то есть сотрудников, изначально лояльных, но впоследствии подкупленных или запуганных. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети "работодатели" могут снабдить их соответствующими устройствами или программами для обхода защиты.

Другие типы нарушителей

В эту классификацию не включены сотрудники, передающие с целью выгоды внутреннюю корпоративную информацию, которая может повлиять на стоимость акций компании. В нашей стране этот вид нарушений пока не приобрел актуальность. Но только пока. Пресечь утечку такой информации техническими средствами невозможно.

Нетехнические меры защиты от внутренних угроз

Психологические меры

Если основная цель внедрения - выявить действующий канал утечки, то необходимо в первую очередь внедрять средства контентной фильтрации почты и мониторинга пользователей.

Если же система защиты от внутренних пользователей внедряется открыто, то ознакомление сотрудников с новыми регламентами, ознакомление с попытками выноса запрещенной информации за пределы компании поможет предотвратить хищение информации незлонамеренными сотрудниками.

Организационные меры

Права локальных пользователей

Не стоит думать, что самые совершенные программно-аппаратные решения могут решить все проблемы утечки информации. Время от времени будут предприниматься попытки обойти такое программное обеспечение, следовательно, необходимо максимально усложнить задачу взломщика. В первую очередь - лишить пользователей прав локальных администраторов на их рабочих местах. Однако эта простая мера до сих пор не реализована в большинстве компаний. Выходом может служить локализация рабочих мест, на которых нельзя забрать права локальных администраторов, и размещение их в отдельной подсети.

Однако необходимо понимать, что это временное решение и постепенно нужно отбирать у сотрудников права локальных администраторов.

Стандартизация программного обеспечения

Редко в какой компании существует список программного обеспечения, допущенного к установке на рабочие станции. Причем очень часто составляющие его специалисты не задумываются о том, что некоторое программное обеспечение из этого списка может быть использовано для противоправных действий.

После составления такого списка необходимо устанавливать (изменять) программное обеспечение на рабочих станциях (серверах) только в соответствии с утвержденными правилами.

Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов автоматизированных систем

Ввод в эксплуатацию новых рабочих мест и все изменения в конфигурации технических и программных средств имеющихся рабочих мест должны осуществляться только установленным порядком согласно "Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств ПК".

Эта инструкция призвана регламентировать функции и взаимодействие подразделений по обеспечению безопасности при проведении модификаций и обслуживании программного обеспечения и технических средств, и должна содержать следующие положения.

Все изменения конфигурации технических и программных средств защищенных рабочих станций (PC) и серверов (различных уровней защищенности в соответствии с "Положением о категорировании ресурсов автоматизированной системы (АС)") должны производиться только на основании заявок руководителей структурных подразделений организации либо заявок начальника ИТ, согласованных с начальником службы защиты информации.

Право внесения изменений в конфигурацию аппаратно-программных средств защищенных рабочих станций и серверов АС должно быть предоставлено уполномоченным сотрудникам (могут быть отданы соответствующими приказами) определенных подразделений:

В отношении системных и прикладных программных средств, а также в отношении аппаратных средств - уполномоченным сотрудникам отдела ИТ;

В отношении программно-аппаратных средств защиты - уполномоченным сотрудникам службы защиты информации;

В отношении программно-аппаратных средств телекоммуникации - уполномоченным сотрудникам службы (отдела) связи (телекоммуникации).

Изменение конфигурации аппаратно-программных средств защищенных рабочих станций и серверов кем-либо, кроме уполномоченных сотрудников перечисленных подразделений, должно быть ЗАПРЕЩЕНО.

Право внесения изменений в конфигурацию аппаратно-программных средств PC AC организации, не требующих защиты, может быть предоставлено как сотрудникам отдела ИТ (на основании заявок), так и сотрудникам подразделений, в которых они установлены, на основании распоряжений начальников данных подразделений.

После составления списка программного обеспечения необходимо гарантировать его установку на все рабочие станции и ограничить запуск других программ без участия администратора. Принцип "все, что не разрешено - запрещено" в этом случае должен соблюдаться неукоснительно. Это избавит компанию от проблем с утечками через злонамеренных нарушителей в будущем.

Специфические решения

К специфическим решениям можно отнести решения, принимаемые в каждом конкретном случае. Ведь предусмотреть все возможные утечки, а тем более способы защиты - невозможно.

Работа с кадрами

Необходимо постоянно работать с пользователями. Обучение сотрудников, инструктаж новичков и временных пользователей поможет предотвратить утечки. Любое копирование информации на сменный носитель должно вызывать вопросы коллег - ведь лояльные сотрудники пострадают вместе с компанией.

Стоит понимать, что высокая компьютерная квалификация пользователей не всегда является плюсом. В западной литературе встречается термин overqualified - приблизительно его можно перевести как "слишком квалифицированный". Излишняя квалификация в компьютерных навыках является более серьезным недостатком, чем квалификация недостаточная. Ведь научить недостающим навыкам можно всегда, а как заставить человека забыть уже имеющиеся?

Выявление "специалистов-любителей" возможно во время традиционной аттестации. Стоит добавить в опросник вопрос "Как снять зависший процесс в Windows?" и провести разъяснительную работу с теми, кто начнет ответ со слов: "Нажать одновременно клавиши Ctrl, Alt и Del". Ведь правильный ответ на этот вопрос для большинства пользователей - "Вызвать системного администратора" (если, конечно, пользователь и администратор находятся недалеко друг от друга).

Хранение физических носителей

В настоящее время еще одним каналом утечки информации является вынос носителей с резервными копиями с территории предприятия.

Сегодня используется несколько способов устранения этого канала утечки.

Первый из них - анонимизация носителей, т.е. сотрудники, имеющие физический доступ к носителям, не знают, какая информация на нем записана. Те же сотрудники, которые знают, какая информация записана, не имеют доступа к хранилищу носителей.

Второй способ - шифрование информации при резервном копировании, поскольку расшифровка вынесенной информации потребует некоторого времени и вычислительной мощности. Безусловно, здесь работают все технологии хранения ценных вещей - замки, открывающиеся только двумя ключами, находящимися у разных сотрудников, несколько уровней доступа и т. д. С развитием технологий радиоидентификации (RFID), возможно, появятся системы автоматического оповещения о попытках вынести за пределы хранилища носители, в которые для этой цели будут внедрены радиометки.

Уровни контроля информационных потоков

Системы контроля информационных потоков позволяют контролировать информационные потоки в трех режимах:

Режим архива;

Режим сигнализации;

Режим активной защиты.

Режим архива

В этом режиме система контроля лишь протоколирует действия пользователей, архивируя журналы операций с конфиденциальной информации и содержимое информационных потоков. Архивы анализируются на предмет наличия в них фактов о нарушении политики информационной безопасности, либо по регламенту (каждый вечер, каждую пятницу и т.д.), либо по запросу о расследовании инцидента.

Преимуществом этого режима контроля является нетребовательность к вычислительным ресурсам и управление временем сотрудника службы информационной безопасности. Сотрудник отдела информационной безопасности сам определяет время для анализа архива. Его рабочее время, занятое анализом архива, не превышает нескольких часов в месяц.

Недостатком этого режима является невозможность предотвращения утечки.

Режим сигнализации

Фактически мы имеем расширенный режим архива. В этом режиме перед сохранением информации в архив действие или сообщение проверяется на предмет соответствия политике информационной безопасности. В случае выявления запрещенного действия/сообщения, сотрудник отдела информационной безопасности получает на свое рабочее место сообщение. В зависимости от уровня нарушения политики информационной безопасности, сотрудник отдела информационной безопасности принимает решение реагировать немедленно, либо отложить принятие мер.

Преимуществом этого способа является возможность немедленно реагировать на события.

Недостатком этого режима является также невозможность предотвращения утечек, а для сотрудника службы ИБ - необходимость постоянно находиться в режиме on-line.

Этот режим нередко используется для тестовой эксплуатации системы перед переходом к режиму активной защиты.

Режим активной защиты

Этот режим позволяет активно вмешиваться в информационные процессы, блокировать опасные операции безвозвратно или до их разрешения сотрудником отдела информационной безопасности.

Преимуществом данного режима является возможность блокирования попыток нарушить политику информационной безопасности, предотвращение утечек.

Недостатком этого режима является необходимость постоянного присутствия сотрудника службы информационной безопасности для разбора спорных случаев и ложных срабатываний. На сегодня максимальная достоверность используемых технологий не превышает 90%, поэтому в режиме активной защиты на сотрудника службы ИБ ложится ответственность за оперативное решение спорных вопросов. Кроме того, недостатком такого режима является высокая требовательность к ресурсам, особенно при обработке on-line потоков. Приходится резервировать каналы и наращивать вычислительную мощность, чтобы обеспечить минимальную задержку писем и сообщений в Internet.

Заключение

По состоянию на сегодня внутренние нарушители представляют едва ли не большую опасность, чем внешние, ведь злоумышленником может быть любой сотрудник компании, от обычного пользователя до руководителя высшего ранга. И решение задачи защиты информации от несанкционированного воздействия внутренних пользователей невозможно только организационными, или только техническими методами защиты. Лишь комплексное применение этих методов способно принести результат.

Литература

Законодательные акты Европы и США в сфере ИТ-безопасности http://www.infowatch.ru/threats?chapter=150685169&id=170278262 .

Ни для кого не секрет, что в среднем 82 % угроз информационным ресурсам компаний исходят от действий собственных сотрудников, совершаемых ими либо по неосторожности, либо предумышленно. По прогнозам экспертов, опасность внутренних угроз имеет тенденцию к росту и является по-прежнему одной из самых злободневных проблем. В условиях жесткой конкурентной обстановки особенно актуальной является задача по сохранению конфиденциальности данных. Ошибочно отправленное электронное письмо, сообщение ICQ или выводимые на печать документы могут содержать конфиденциальные сведения, не предназначенные для посторонних лиц. Коммерческая или служебная тайна, персональные данные клиентов, партнеров или сотрудников, а также иные виды защищаемой информации могут попасть в руки к третьим лицам и нанести бизнесу непоправимый ущерб. Необходимо своевременно принять меры для предотвращения рисков, связанных с утечкой конфиденциальной информации.

Вашему бизнесу могут угрожать различные риски, в том числе:

• Финансовые риски
  Результатом утечки конфиденциальных данных может быть ситуация, когда коммерческая тайна становится известной третьим лицам. В случае попадания такой информации в руки конкурентов существует высокая вероятность финансовых потерь, нередко приводящих к банкротству компании.
• Правовые риски
  Бесконтрольный выход конфиденциального документа за пределы корпоративной сети может стать предметом пристального внимания со стороны регулирующих органов. Судебные иски и штрафные санкции за нарушение норм законодательства, регулирующих защиту персональных данных и иных видов конфиденциальной информации, не является редким явлением.
• Репутационные риски
  Утечка конфиденциальных данных может получить широкую огласку в СМИ и привести к разрушению имиджа компании в глазах ее клиентов и партнеров, став причиной серьезного финансового ущерба.

Для обеспечения защиты от утечек конфиденциальной информации в любой компании должна быть предусмотрена DLP-система.

DLP-системы (от англ. Data Loss Prevention) — программные или программно-аппаратные средства, предназначенные для защиты от утечек по сетевым и локальным каналам. Передаваемые данные анализируются на предмет их конфиденциальности и распределяются по определенным категориям (общедоступная информация, персональные данные, коммерческая тайна, интеллектуальная собственность и др.). Если в информационном потоке детектируются данные конфиденциального характера, DLP-система выполняет одно из следующих действий: разрешает их передачу, блокирует или отправляет на дополнительную проверку специалисту по безопасности в неоднозначных случаях. DLP-системы охватывают широкий комплекс коммуникационных каналов, позволяя отслеживать электронную почту, службы мгновенных сообщений и иной интернет-трафик, принтеры, Bluetooth-устройства, USB-устройства и другие внешние носители.

Существующие DLP-системы различаются набором функциональных возможностей. Во-первых, DLP-системы могут быть активными (обнаруживают и блокируют утечку данных) и пассивными (обнаруживают утечку данных и высылают оповещение об инциденте). В настоящее время акцентируется внимание на активных DLP-системах, основная задача которых — предотвращение утечки данных в режиме реального времени, а не выявление ее постфактум. Для таких DLP-систем можно при желании настроить режим мониторинга, позволяющий не вмешиваться в бизнес-процессы и направлять сообщение об инциденте специалисту по безопасности. Во-вторых, DLP-системы могут решать ряд дополнительных задач, связанных с контролем действий сотрудников, их рабочего времени и использования корпоративных ресурсов.

Весомый плюс DLP-систем заключается в том, что они позволяют сохранять непрерывность бизнес-процессов, практически не влияя на работу конечных пользователей. Благодаря всем вышеперечисленным возможностям DLP-системы в настоящий момент — одно из самых востребованных решений для обеспечения информационной безопасности бизнеса.

Правильное внедрение и настройка DLP-системы — отдельный сложный вопрос. Здесь невозможно обойтись без грамотного консалтинга. Высококвалифицированные специалисты компании «Инфозащита» помогут с выбором решения, соответствующего специфике Вашего предприятия.

Современный рынок DLP — один из самых быстрорастущих, что ярко демонстрирует высокий спрос на подобные системы защиты. Разработчики DLP-решений постоянно развивают и совершенствуют новые эффективные технологии для борьбы с утечками данных.

Компания «Инфозащита» готова предложить Вам широкий выбор передовых решений ведущих разработчиков для защиты от внутренних угроз.

«Защита от внутренних угроз на предприятиях связи»

Введение

1. Самые громкие инсайдерские инциденты в области телекоммуникаций
2. Внутренние нарушители
3. Законы в области защиты от внутренних угроз

3.1. Правовое и нормативное регулирование

3.2. Сертификация по международным стандартам

1. Статистические исследования
2. Методы предотвращения внутренних утечек

Заключение

Список использованной литературы

ВВЕДЕНИЕ

Актуальность темы обусловлена тем, что в связи с массовым характером предоставления услуг связи в базах данных телекоммуникационных компаний могут быть аккумулированы записи миллионов и десятков миллионов граждан. Именно они и нуждаются в наиболее серьезной защите. Как показала практика, в результате пренебрежения опасностью утечки бизнес рискует потратить сотни миллионов долларов на PR-кампании, судебные издержки и новые средства защиты персональной информации клиентов.

Специфика защиты информации в телекоммуникационных компаниях проявляется в характере тех данных, которые необходимо защищать. Вся информация хранится в базах данных, находящихся в IT-инфраструктуре оператора. Кража чревата сразу несколькими негативными последствиями. Во-первых, это может ударить по репутации компании, что проявляется в оттоке существующих клиентов и трудностях в привлечении новых. Во-вторых, фирма нарушает требования закона, что может привести к отзыву лицензии, судебным издержкам, дополнительному ущербу для имиджа.

Целью работы является изучение защиты от внутренних угроз на предприятиях связи.

Задачами работы являются:

– рассмотрение самых громких инсайдерских инцидентов в области телекоммуникаций;

– анализ внутренних нарушителей;

– изучение законов в области защиты от внутренних угроз: правовое и нормативное регулирование и сертификация по международным стандартам;

– изучение статистических исследований;

– рассмотрение методов предотвращения внутренних утечек.

Работа состоит из пяти глав.

В первой главе рассматриваются самые громкие инсайдерские инциденты в области телекоммуникаций, во второй главе рассматриваются внутренние нарушители, в третьей главе анализируются законодательная база в области защиты от внутренних угроз, в четвертой главе рассматриваются статистические исследования, в пятой главе приводятся методы предотвращения внутренних утечек.

В заключении содержатся выводы по проведенному исследованию.

1. Самые громкие инсайдерские инциденты в

области телекоммуникаций

Реальные инциденты являются наиболее наглядной иллюстрацией всей серьезности угрозы от инсайдеров. Пренебрежение этой опасностью в 2006 г. привело к крупному скандалу в США. Журналисты за $90 купили список входящих и исходящих вызовов бывшего кандидата в президенты США, генерала Уэсли Кларка, и американская общественность с удивлением обнаружила, что телефонные записи, во-первых, вообще не защищены законом, а, во-вторых, очень плохо защищены операторами мобильной связи.

В январе 2007г. информационные агентства сообщили об одной «неочевидной» утечке. В Интернете появилась база данных пользователей мобильной связи от «Корбина телеком»: фамилии, номера телефонов, гарантийные взносы почти 40 тыс. абонентов, в том числе нескольких топ-менеджеров компании. Комментарии «Корбины» в некоторой степени успокоили клиентов. Скорее всего, под видом новой базы, предлагалась информация 4-летней давности. Тогда программист-инсайдер действительно выложил в свободный доступ сведения об абонентах компании, и за это время информация почти полностью потеряла свою актуальность.

В десятку самых громких инсайдерских инцидентов вошла кража клиентской базы японского сотового оператора KDDI. Под угрозой раскрытия информации о крупной утечке данных инсайдеры требовали $90 тыс. у японской корпорации KDDI – второго по величине оператора сотовой связи в стране. Чтобы продемонстрировать обоснованность своих угроз, в мае 2006 г. шантажисты предъявили представителям KDDI компакт-диски и USB-флешки с приватными данными, подбросив их на проходную. Однако менеджмент компании проигнорировал требования преступников и обратился к правоохранительным органам. В течение двух недель полицейские контролировали переговоры шантажистов и KDDI, а потом арестовали подозреваемых. Расследование показало, что в руки шантажистов действительно попала база приватных сведений о 4 млн. клиентов KDDI. Каждая запись базы содержала имя, пол, дату рождения, телефоны, почтовые адреса каждого клиента. Все эти данные идеально подходят для осуществления кражи личности. Топ-менеджмент уверен, что один из служащих специально скопировал сведения и вынес их за пределы компании.

В целом, более 200 работников имели доступ к украденным данным.

Не менее громкий инцидент произошел ближе к России: утечка базы данных белорусского сотового оператора Velcom. Журналисты приобрели текстовый файл с информацией о номерах телефонов и ФИО 2 млн. его абонентов. При этом пресса отмечает, что базы данных Velcom регулярно становятся достоянием общественности: с 2002 г. вышло как минимум шесть вариантов, причем каждый раз информация дополнялась. Между тем базы данных МТС в белорусском Интернете по-прежнему отсутствуют. Столкнувшись с волной критики, Velcom заявила, что белорусские законы не защищают персональные данные граждан, а значит, никаких юридических претензий к Velcom быть не может. Оператор обвинил в утечке банк, которому была передана база данных клиентов «для возможности проверки работниками [банка] правильности указанных реквизитов при оплате услуг связи». После этого Velcom «рассматривает возможность предъявления иска о защите деловой репутации». К чему приведет разбирательство, покажет время, но пока инсайдеры слишком часто уходят от ответственности.

Октябрь 2006 г. Инсайдеры из индийского телекома Acme Tele Power украли результаты инновационных разработок и передали их фирме-конкуренту Lamda Private Limited. По оценкам Ernst & Young, прямые финансовые убытки Acme составили $116 млн. Любопытно, что интеллектуальная собственность «утекла» самым обычным способом – по электронной почте. После этого компания Acme Tele Power собирается вообще перенести свой бизнес из Индии в Австралию.

2. внутренние нарушители

Очень многие организации проводили исследования в сфере внутренних утечек. Наиболее крупные и известные – исследования Uncertainty of Data Breach Detection, проведенного Ponemon Institute ; исследования западных аналитиков: CSI/FBI Computer Crime and Security Survey . Таблица 1 иллюстрирует одно из таких исследований.

Табл. 1. Самые опасные угрозы ИБ по совокупному ущербу в долларах

Угрозы	Ущерб (в долларах)
Вирусы	$ 15 691 460
Неавторизованный доступ	$ 10 617 000
Кража ноутбуков	$ 6 642 560
Утечка информации	$ 6 034 000
Отказ в обслуживании	$ 2 992 010
Финансовое мошенничество	$ 2 556 900
Злоупотребление сетью или почтовыми инсайдерами	$ 1 849 810
Телеком-мошенничество	$ 1 262 410
Зомби-сети в организации	$ 923 700
Взлом системы извне	$ 758 000
Фишинг (от лица организации)	$ 647 510
Злоупотребление беспроводной сетью	$ 469 010
Злоупотребление интернет-пейджерами инсайдерами	$ 291 510
Злоупотребление публичными веб-приложениями	$ 269 500
Саботаж данных и сетей	$ 260 00

Можно добавить только, что в комментариях по объему ущерба аналитики FBI и Института компьютерной безопасности скептически относятся к тому, что респонденты смогли более или менее точно определить объем убытков в связи с утечкой персональных данных или коммерческих секретов. Такие инциденты имеют множество долгосрочных отрицательных последствий. Например, ухудшение общественного мнения, снижение репутации и сокращение клиентской базы. Все это происходит постепенно и занимает недели и месяцы. А для выявления убытков в виде недополученной вследствие утечки прибыли требуется как минимум год. Так что внутренняя структура финансовых потерь из-за угроз ИБ не поддается точному определению.

В целом защита информации в организациях включает в себя :

• совокупность компьютеров, связанных между собой в сеть;
• каналы связи, реализованные произвольными каналами передачи информации, через которые физически реализуется сеть логических связей;
• обмен конфиденциальной информацией внутри сети в строгом соответствии с допустимыми логическими связями
• интегрированная многоуровневая защита от несанкционированного доступа и внешнего воздействия
• жесткое централизованное задание структуры логических связей и разграничение доступа внутри сети
• независимость логической структуры сети от типов каналов передачи информации.

Большинство компаний уже давно построило защиту от внешних угроз, и теперь им требуется защитить тылы. Среди внутренних угроз можно выделить несколько наиболее распространенных способов нанесения ущерба:

• неавторизованный доступ в систему (ПК, сервер, БД);
• неавторизованный поиск/просмотр конфиденциальных данных;
• неавторизованное изменение, уничтожение, манипуляции или отказ доступа к информации, принадлежащей компьютерной системе;
• сохранение или обработка конфиденциальной информации в системе, не предназначенной для этого;
• попытки обойти или взломать систему безопасности или аудита без авторизации (кроме случаев тестирования системы безопасности или подобного исследования);
• другие нарушения правил и процедур внутренней безопасности сети.

Существует несколько путей утечки конфиденциальной информации:

• почтовый сервер (электронная почта);
• веб-сервер (открытые почтовые системы);
• принтер (печать документов);
• FDD, CD, USB drive (копирование на носители).

Прежде чем переходить к аналитическим выкладкам, необходимо ответить на вопрос, что же все-таки называется внутренней угрозой. Важность этого определения усиливается еще и тем, что саботаж - лишь часть внутренних угроз, следует различать саботажников и, например, инсайдеров, «сливающих» конфиденциальную информацию конкурентам.

Корпоративный саботаж - это вредительские по отношению к компании действия, совершенные инсайдерами в силу уязвленного самолюбия, желания отомстить, ярости и любых других эмоциональных причин. Заметим, что под емким термином «инсайдер» понимаются бывшие и нынешние сотрудники предприятия, а также служащие-контрактники.

Корпоративные диверсии всегда совершаются из эмоциональных, порой нерациональных побуждений. Саботажник никогда не руководствуется желанием заработать, не преследует финансовую выгоду. Этим, собственно, саботаж и отличается от других инсайдерских угроз.

Исследование Секретной службы США установило, что в 98% случаев диверсантом является мужчина. Однако эти мотивы представляют собой следствия более ранних событий, которые вывели служащего из равновесия (Табл. 2). По сведениям аналитиков, в большинстве случаев саботажу предшествует неприятный инцидент на работе или серия таких инцидентов.

Табл. 2 События, предшествующие саботажу

Источник СЕ RT

Многие саботажники на момент совершения диверсии являются уже бывшими сотрудниками компании-жертвы, сохранившими доступ к ее информационным ресурсам по каким-то причинам (вероятно, оплошности администратора). Заметим, это почти половина всех случаев.

Как показало исследование CERT, практически все корпоративные диверсанты являются специалистами, так или иначе связанными с информационными технологиями.

Табл. 3 Портрет типичного саботажника

Источник СЕ RT

Таким образом, из наиболее достоверных черт саботажника можно выделить всего две: это мужчина, сотрудник технического департамента. Девять из десяти диверсий совершаются людьми, так или иначе связанными с информационными технологиями. По мнению экспертов компании InfoWatch, разработчика систем защиты конфиденциальной информации от инсайдеров, причина такой профессиональной принадлежности кроется в психологических особенностях этих служащих. Подробнее разобраться в проблеме позволят два примера из жизни, наиболее ярко иллюстрирующие типичные черты характера IT-профессионалов.

«Я работал в средней по величине компании, занимающейся разработкой программного обеспечения. При доступе к основным серверам у меня были привилегии администратора. Только чтобы размять свой ум, я обдумывал, как можно использовать этот доступ злонамеренно, и разработал следующий план. Во-первых, взломать систему резервного копирования… Во-вторых, подождать год или дольше. В-третьих, стереть всю информацию на серверах, включая взломанное программное обеспечение для шифрования/дешифрования резервных данных. Таким образом, у предприятия останутся лишь зашифрованные резервные копии (без ключа). В-четвертых, предложить компании купить ключи, которые удалось получить еще на первом шаге. Если фирма откажется, то потеряет годы своей работы. Это, конечно, всего лишь гипотетический план. Я не пытался претворить его в жизнь, поэтому не знаю, сработал бы он или нет…», - Филиэс Купио (Filias Cupio). «Большинство специалистов по информационным технологиям, которых я знаю, даже еще начинающие ребята, сразу же при вступлении в должность первым делом устанавливают программу скрытого управления (rootkit) в корпоративную систему. Это рефлекс. Ребята не хотят никому навредить и не строят вредоносных планов, им просто нужен надежный доступ к системе, чтобы можно было спокойно работать из дома или колледжа», - Бен.

Глубокая психологическая подоплека акта саботажа часто приводит к тому, что рассерженный служащий угрожает начальству или сослуживцам. Иногда он даже делится своими мыслями с кем-то из коллег. Другими словами, информация о готовящейся диверсии есть не только у саботажника. Аналитики подсчитали, что в 31% случаев сведениями о планах диверсанта располагают другие люди. Из них 64% - коллеги, 21% - друзья, 14% - члены семьи, а еще 14% -сообщники.

В 47% случаев диверсанты совершают подготовительные действия (например крадут резервные копии конфиденциальных данных). В 27% - конструируют и проверяют механизм атаки (готовят логическую бомбу в корпоративной сети, дополнительные скрытые входы в систему и т. д). При этом в 37% случаев активность сотрудников можно заметить: из этого количества 67% подготовительных действий заметны в режиме online, 11% - offline, 22% - обоих сразу.

Следует также учесть, что подавляющее большинство атак производится саботажниками в нерабочее время и с помощью удаленного доступа к корпоративной сети.

3. Законы в области защиты от внутренних угроз

Правовое и нормативное регулирование

Специфика сектора телекоммуникаций (по сравнению с другими отраслями) проявляется и в вопросах нормативного регулирования. Во-первых, компании этой отрасли часто ориентированы на предоставление услуг физическим лицам, а потому аккумулируют в своей корпоративной сети огромные объемы персональных данных абонентов. Отсюда пристальное внимание руководства департаментов ИТ и ИБ к ФЗ «О персональных данных», который предъявляет целый ряд требований к безопасности приватных сведений граждан. Во-вторых, телеком не так давно обзавелся собственным стандартом под названием «Базовый уровень информационной безопасности операторов связи» . Он представляет собой минимальный набор рекомендаций, реализация которых должна гарантировать определенный уровень ИБ коммуникационных услуг, позволяя обеспечить баланс интересов операторов, пользователей и государства. Разработка этого норматива обусловлена развитием телекоммуникационной отрасли: операторы связи вынуждены объединять свои сети, чтобы предоставлять необходимый набор услуг, однако сами операторы не знают, с кем они имеют дело и кому они могут доверять, чтобы избежать угроз ИБ . Некоторые положения этого документа напрямую касаются внутренних рисков ИБ и проблем сохранения персональных данных. Например, оператору рекомендуется «обеспечивать конфиденциальность передаваемой и/или хранимой информации систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи, ставших известными операторам связи в силу исполнения договоров об оказании услуг связи». От компаний требуют вести журналы регистрации событий ИБ и хранить их согласно срокам исковой давности (в России – 3 года). Более того, «для фильтрации потока первичных событий рекомендуется применять технические средства корреляции событий, оптимизирующие записи в журналах инцидентов по информационной безопасности». Нельзя обойти вниманием пункт, который гласит: «Оператору, допустившему утрату баз данных абонентов (клиентов) других (взаимодействующих) операторов, рекомендуется информировать последних об этом в кратчайшие сроки». Таким образом, российский сектор телекоммуникаций постепенно приближается к передовому опыту – в США и ЕС компании уже давно несут ответственность за утечку приватных данных и по закону обязаны поставить пострадавших в известность об утечке. Со временем такая норма должна появиться и в России.

Правда, утверждать, что нормативное регулирование играет определяющую роль в секторе телекоммуникаций, пока нельзя. Тем не менее руководству уже сегодня следовало бы задуматься о соответствии ИТ и ИБ существующим стандартам и законам на тот случай, если надзорные органы начнут наконец действовать. Кроме того, крупные телекоммуникационные компании, чьи акции котируются на биржах, обязаны удовлетворять требованиям фондовых рынков. В России, например, это необязательный Кодекс корпоративного поведения ФСФР (Федеральная служба по финансовым рынкам), в Британии – Объединенный кодекс корпоративного управления (полуобязательный), а в США – закон SOX (Sarbanes-Oxley Act of 2002). ФЗ «О персональных данных» и «Базовый уровень…» представляют непосредственный интерес для российских телекоммуникационных компаний.

ФЗ «О связи» (ст. 46, п. 1) возлагает на оператора такие функции ИБ, как защита сооружений связи, средств связи и передаваемой по ним информации от несанкционированного доступа; обеспечение безопасности функционирования внутренней инфраструктуры оператора связи.

Требования эти необходимо реализовывать в системе функционирования сети связи, контролировать их работоспособность, сопровождать эксплуатацию, готовить и представлять в вышестоящие инстанции статистическую отчетность. Однако из-за отсутствия координирующих нормативных положений единого подхода к обеспечению безопасности информации не существует. Нет общего подхода и к составу подразделений ИТ и ИБ. Это, как правило, зависит от объема выполняемых оператором задач, а функциональные обязанности между ИТ и ИБ распределяются исходя из предыдущего опыта руководителей этих подразделений.

Сертификация по международным стандартам

Самая известная в мире сертификация – по требованиям стандарта ISO 27001:2005. В России на сегодняшний день официально сертифицировали свои системы управления информационной безопасностью (СУИБ) шесть компаний; четыре из них работают в сфере ИТ. Стандарт ISO/IEC27001:2005, выпущенный British Standards Institute в 2005 г., основан на лучших мировых практиках. Он четко определяет ключевые процессы, которыми необходимо управлять менеджеру, отвечающему за обеспечение ИБ в организации. Согласно этому стандарту, заключительный этап подтверждения эффективности системы ИБ – проведение независимой проверки аккредитованным органом по сертификации. Положительное заключение такого органа свидетельствует об эффективном и корректном обеспечении процессов управления ИБ, о позитивном имидже фирмы, а для ее руководства служит убедительным аргументом, что в ИС предприятия используются современные средства обеспечения ИБ с максимальным уровнем эффективности. Сам процесс проверки внешним органом по сертификации повышает степень доверия руководства к ИБ-подразделениям, являясь показателем качества и профессионализма сотрудников этой службы.

Решение о внедрении СУИБ в организации должно приниматься на самом высоком уровне управления, в идеале – генеральным директором. Без поддержки руководства такие проекты нередко обречены на провал, в лучшем случае – на неэффективное функционирование в условиях неприятия процессов работниками фирмы.

• В требованиях к политикам определена необходимость зафиксированной (утвержденной) внутренними процедурами предприятия связи политики безопасности, основанной на лучших практиках оценки и управления рисками, отвечающей нуждам деловой деятельности и соответствующей национальному законодательству. Политики безопасности должны быть опубликованы и доведены до сведения персонала оператора связи и внешних участников (клиентов, взаимодействующих операторов, других заинтересованных лиц).
• В требованиях к функциональности описаны требования только к имеющимся сертифицированным техническим средствам, описываются процедуры журналирования событий.
• В требованиях к взаимодействию описан порядок идентификации собственных клиентов и других операторов. В подразделе указывается на необходимость наличия круглосуточной службы реагирования на инциденты безопасности (или использования такой службы на правах аутсорсинга).

Существует также требование обеспечения конфиденциальности передаваемой и/или хранимой информации для систем управления и автоматизированных систем расчета за услуги связи (биллинга), сведений об абонентах (персональных данных физических лиц) и оказываемых им услугах связи. При этом оно должно соблюдаться и в том случае, если эта информация стала известна оператору связи в силу исполнения договоров об оказании услуг связи.

4. Статисти ческие исследования

Одной из самых масштабных и интересных работ в области защиты от внутренних угроз оказалось исследование 275 телекоммуникационных компаний, проведенное аналитическим центром InfoWatch. Согласно его результатам, инсайдерские риски превалируют над внешними угрозами в соотношении 6:4. Проанализируем структуру этих рисков и влияние на них различных факторов: используемых средств защиты информации, нормативного регулирования и др.

Список самых опасных внутренних угроз информационной безопасности (Табл. 4) возглавили нарушение конфиденциальности информации (85%) и искажение информации (64%). Обе эти угрозы можно обобщить понятием «утечка информации».

На третьей–четвертой позициях – мошенничество (49%) и саботаж (41%). Интересно, что в проводившемся общеотраслевом исследовании угроза саботажа почти на 15% опережает риск мошенничества. Видимо, в силу специфики предоставления услуг связи мошенничество признано одной из наиболее опасных угроз.

Табл. 4 Самые опасные угрозы ИБ

Нарушение конфиденциальности информации	85%
Искажение информации	64%
Мошенничество	49%
Саботаж	41%
Утрата информации	25%
Сбои в работе ИС	18%
Кража оборудования	11%
другое	7%

Оценивая негативные последствия утечки конфиденциальной информации, респонденты должны были указать две самые нежелательные, на их взгляд, позиции из предложенного списка (Табл.5). Оказалось, что больше всего они дорожат своей репутацией и общественным мнением (51%), а потеря клиентов (43%) для них страшнее прямых финансовых убытков (36%) – показателя, который лидировал в общеотраслевом исследовании.

Табл. 5 Негативные последствия утечки информации

Интересно, что лишь 2% респондентов опасаются, что утечка информации повлечет за собой юридические издержки и судебное преследование. Это однозначно свидетельствует о неразвитости правоприменительной практики в России. Напомним, что в феврале 2007 г. в России вступил в силу Федеральный закон «О персональных данных», позволяющий привлечь к ответственности компанию, допустившую их утечку. Однако эксперты InfoWatch сомневаются, что «правильный» закон положит конец незаконному распространению персональных данных. Для того чтобы это осуществилось на практике, должно появиться не одно судебное решение, наказывающее организации, виновные в утечке информации.

Табл. 6 Каналы утечки информации

Что касается наиболее распространенных каналов утечки информации (Табл.6), то здесь результаты исследования телекоммуникационного сектора почти полностью повторили общеотраслевые результаты исследования экономики.

Одним из самых важных стал вопрос о количестве утечек конфиденциальной информации, допущенных респондентами в 2006 г. (Табл.7). Как и в других отраслях, лидером оказалось безликое «Затрудняюсь ответить»: выяснилось, что почти никто из опрашиваемых не использует специализированные решения для выявления утечек. И все-таки положительные сдвиги есть: если в общеэкономическом исследовании затруднения с ответом возникли у 44,8% респондентов, то в секторе телекоммуникаций уже только у 38%. Вывод: представители телекома лучше осведомлены об утечках, чем компании других секторов, что свидетельствует о более серьезном отношении к проблемам ИБ .

Табл. 7 Количество утечек информации

Степень влияния законов на бизнес предприятий связи

Респондентам предлагалось оценить степень влияния закона на свой бизнес (Табл.8). Оказалось, что сегодня этот закон почти не работает(10): подавляющее большинство опрошенных (58%) определили его влияние как «несильное», а каждый четвертый (24%) заявил, что закон вообще ни на что не влияет. И лишь 18% организаций видят в этом документе серьезный фактор влияния на бизнес. Но в целом в отрасли бытует мнение, что ФЗ «О персональных данных» – беззубый норматив.

Табл. 8 Оценка влияния ФЗ «О персональных данных» на бизнес компании

По мнению экспертов InfoWatch, подавляющее большинство опрошенных операторов реально оценивают закон. Выдвигая общие требования, этот нормативный акт не определяет, как именно операторы обязаны обеспечить конфиденциальность приватных сведений – получается, по собственному разумению. Более того, в ФЗ в явном виде не предусмотрена ответственность за утечку информации для руководства или бизнеса.

И наконец, федеральный орган, уполномоченный следить за выполнением закона (ФСТЭК России), до сих пор не выпустил стандарт безопасности для персональных данных. Поэтому неясно, какие же меры по обеспечению конфиденциальности закон и регулирующие органы считают достаточными. Отсутствует в России и правоприменительная практика в сфере борьбы с утечками.

Стандарт «Базовый уровень информационной безопасности операторов связи» существует пока лишь в виде рекомендаций Международного союза электросвязи и российской Ассоциации документальной электросвязи. Следование им в каждой стране будет зависеть от требований государственного регулирования. Однако российские регуляторы, вероятно, смогут использовать эти рекомендации в качестве лицензионных условий, а некоторые операторы – в качестве условий присоединения к собственной сети связи. Более того, оператор может предоставлять телекоммуникационные услуги с уровнем безопасности, гарантируемым при выполнении «Базового уровня…», а услуги с повышенным уровнем безопасности – на возмездной основе. Другими словами, «Базовый уровень…» имеет все шансы стать драйвером развития ИБ в телекоммуникационном секторе. Это мнение разделяет и большинство респондентов исследования InfoWatch.

Интересны результаты углубленного опроса респондентов: все они слышали о «Базовом уровне…», но 30% признались, что недостаточно хорошо знакомы с его требованиями. Хотя «Базовый уровень…» уже сегодня рекомендует оповещать пострадавших об утечке информации, он все же не фокусирует внимание на внутренних угрозах ИБ. Опрашиваемым было предложено определить необходимость включения в «Базовый уровень…» требований к защите от внутренних угроз, таких, например, как утечка персональных и конфиденциальных данных (Рисунок 4.6). Разработчикам стандарта, вероятно, стоило бы выделить этот источник угроз ИБ для телекоммуникационных компаний.

Табл. 9 Включить ли в «Базовый уровень…» требования к защите от внутренних угроз?

Средства защиты

Наиболее популярными средствами ИБ в телекоммуникационных компаниях (Рисунок 4.7) оказались антивирусы (100%), межсетевые экраны (79%) и контроль доступа (68%).

В целом представители этого сектора используют больше различных продуктов и решений, чем российские компании из других секторов экономики. Между тем некоторые опасения вызывает малочисленность организаций, реализующих защиту от утечки данных, – всего 8%. В среднем по отраслям этот показатель равняется 10,5%.

Табл. 10 Используемые средства ИБ

Однако, по мнению аналитиков InfoWatch, даже 8% – неплохой показатель для такой новой области, как защита от внутренних угроз ИБ. Если вспомнить, что в 15% компаний вообще не зафиксировано ни одной утечки (Рисунок 4.4), то выходит, что как минимум 7% (15 – 8) из них не допустили утечек, хотя и не использовали никаких средств защиты. Но, скорее всего, такие организации просто не могут отследить, происходят у них утечки или нет.

Что же мешает компаниям внедрять системы защиты от утечек? Из предложенного списка (Рисунок 4.8) каждый респондент мог выбрать одну позицию. Почти каждый третий (30%) главной причиной считает отсутствие стандартов. Причем под стандартами здесь понимаются не только нормативные или рекомендательные акты, но и единое видение системы внутренней безопасности. Так, многие отмечали, что до сих пор не сформирован единый подход к решению проблемы внутренней ИБ. Поэтому компаниям сложно планировать бюджет и выбирать продукты для внедрения. Отсюда еще одна проблема – бюджетные ограничения (22%). Ведь не имея единого представления внутренней ИБ, компания не может планировать свои расходы и заранее выделять деньги на решение проблемы с инсайдерами.

Табл. 11 Препятствия на пути внедрения защиты от утечки

Можно сравнить эти результаты с общеотраслевыми. Там лидируют психологические препятствия (25,4%), а отсутствие стандартов (12,2%) лишь на пятом месте. Отсюда вывод: сектор телекоммуникаций подходит к проблеме внутренней ИБ более зрело по сравнению с другими отраслями. Судя по всему, представители сектора ИТ уже преодолели психологический барьер и отчетливо понимают необходимость унификации процесса защиты от внутренних угроз.

Табл. 12 Наиболее эффективные пути защиты от утечки

Следующий вопрос – наиболее эффективные способы защиты от утечек информации (Рисунок 4.9). Речь идет о мерах, которые представляются организациям наиболее адекватными и приемлемыми для решения проблемы внутренней ИБ, но по ряду причин не используются на практике. Безусловный лидер (49%) – комплексные информационные продукты. Эта мера доминирует уже на протяжении трех лет в общеотраслевом исследовании, поэтому можно смело утверждать, что именно в этом направлении будет происходить наибольший рост рынка внутренней ИБ в ближайшие годы.

Табл. 13 Планы по внедрению защиты от утечек информации

Базовым, по мнению экспертов InfoWatch, должно стать комплексное решение на основе ИТ, так как только с его помощью можно реализовать положения политики ИБ на рабочих местах. Вывод экспертов подтверждают планы внедрения средств защиты информации от утечек на ближайшие 2–3 года (Рисунок 4.10). Комплексные решения планирует внедрить 41% респондентов, т.е. почти на 10% больше, чем в других отраслях.

Главная озабоченность в проблеме внутренних нарушителей – отсутствие единого подхода к обеспечению внутренней безопасности. На практике это сильно затрудняет выбор конкретного решения: поставщиков много, каждый из них обладает какими-то плюсами, но, не имея четких критериев, мало в чем пересекается с конкурентами.

Итоги исследований

Исследование показало, что по сравнению с другими отраслями российские телекоммуникационные компании довольно зрело относятся к проблеме ИБ в целом и защите от внутренних угроз в частности, но и у них есть направления для совершенствования ИБ.

Во-первых, в телекоме все еще низок уровень использования эффективных средств защиты от утечек. Причем среди респондентов бытует мнение, что их компания вообще не допускает утечки, хотя никаких инструментов проверки не использует.

Во-вторых, операторам следует учитывать тенденции ужесточения нормативного регулирования: рекомендации «Базового уровня…» вскоре могут стать обязательными для исполнения. Кроме того, могут появиться новые требования к безопасности приватных сведений в рамках ФЗ «О персональных данных».Но и сейчас оператор нуждается в демонстрации своей способности предоставлять услуги связи, отвечающие установленным требованиям, и хочет продемонстрировать взаимодействующим с ним операторам способность совместно с ними противостоять угрозам ИБ. Поэтому добровольная сертификация довольно распространена уже сегодня.

5.Методы предотвращения внутренних утечек

Административная работа с персоналом

По мнению экспертов компании InfoWatch, наилучшее средство предотвращения корпоративного саботажа - профилактические меры. Прежде всего компаниям нужно проверять рекомендации и места предыдущей работы нанимаемых служащих. Еще один чрезвычайно эффективный метод - регулярные тренинги или семинары, на которых до персонала доводится информация об угрозах IT-безопасности и саботаже как таковом. При таком подходе руководство делает ставку на тех сотрудников, которые взаимодействуют с саботажником в офисе, видят его нервозное поведение, получают угрозы в свой адрес и т. п. О подобных инцидентах следует тут же извещать уполномоченных лиц.

Следующий метод предполагает использование принципа минимальных привилегий и четкого разделения функций. Административных полномочий у обычных офисных служащих быть не должно. Также понятно, что сотрудник, отвечающий за резервные копии, не должен иметь возможности удалить данные в оригинальном источнике. Вдобавок в обязанности этого работника следует вменить информирование начальства в случае, если на резервные копии покусится какой-то другой служащий. Вообще, проблема защиты резервных копий может быть решена созданием их дубликатов. В связи с тем, что в компании, как правило, не так много по-настоящему критических данных, создание нескольких резервных копий представляется целесообразным.

Чрезвычайно важен момент эффективного управления паролями и учетными записями.

Лучшей профилактической мерой можно назвать мониторинг, причем не только пассивный (журналы событий), но и активный (защита ценной информации). В этом случае нанести реальный ущерб компании сможет только топ-менеджер, поскольку у остальных работников, имеющих доступ к цифровым активам фирмы, просто не будет прав на удаление ценной информации. На рынке уже есть специализированные решения для защиты данных от внутренних угроз, в том числе и от корпоративного саботажа.

InfoWatch Enterprise Solution

Решение InfoWatch Enterprise Solution (IES) поставляется российской компанией InfoWatch, разработчиком систем защиты от инсайдеров. Оно позволяет обеспечить всесторонний контроль над всеми путями утечки конфиденциальных сведений: почтовым каналом и веб-трафиком, коммуникационными ресурсами рабочих станций и т. д. На сегодняшний день IES уже используется правительственными (Минэкономразвития, Таможенная служба), телекоммуникационными (ВымпелКом), финансовыми (Внешторгбанк) и топливно-энергетическими компаниями (ГидроОГК, Транснефть).

Архитектуру IES можно разделить на две части: мониторы, контролирующие сетевой трафик, и мониторы, контролирующие операции пользователя на уровне рабочих станций. Первые устанавливаются в корпоративной сети в качестве шлюзов и фильтруют электронные сообщения и веб-трафик, а вторые развертываются на персональных компьютерах и ноутбуках и отслеживают операции на уровне операционной системы. Сетевые мониторы IWM и IMM также могут быть реализованы в виде аппаратного устройства – InfoWatch Security Appliance. Таким образом, заказчику предлагается на выбор либо программное, либо аппаратное исполнение фильтров почты и веб-трафика. Преимущества такого подхода лучше всего проявляются при защите сложной вычислительной сети, охватывающей территориально распределенные филиалы.

К мониторам уровня рабочей станции относятся Info-Watch Net Monitor (INM) и InfoWatch Device Monitor (IDM). Модуль INM отслеживает операции с файлами (чтение, изменение, копирование, печать и др.), контролирует работу пользователя в Microsoft Office и Adobe Acrobat и тщательно протоколирует все действия с конфиденциальными документами.

Вся эта функциональность логично дополнена возможностями модуля IDM, который контролирует обращение к сменным накопителям, приводам, портам (COM, LPT, USB, FireWire), беспроводным сетям (Wi-Fi, Bluetooth, IrDA) и т. д.

Вдобавок, компоненты INM и IDM в состоянии работать на ноутбуках, при этом администратор безопасности имеет возможность задать специальные политики, действующие на период автономной работы сотрудника. Во время следующего подключения к корпоративной сети мониторы сразу же уведомят офицера безопасности, если пользователь попытался нарушить установленные правила во время удаленной работы.

Все мониторы, входящие в состав IES, способны блокировать утечку в режиме реального времени и сразу же оповещать об инциденте офицера безопасности. Управление решением осуществляется через центральную консоль, которая позволяет настраивать корпоративные политики. Также предусмотрено автоматизированное рабочее место офицера безопасности, с помощью которого специальный служащий может быстро и адекватно реагировать на инциденты. Таким образом, комплексное решение IES адресует все аспекты защиты конфиденциальной информации от инсайдеров.

Lumigent Entegra и Log Explorer

Продукты компании Lumigent Entegra и Log Explorer служат для пассивной защиты информации, хранящейся в базах данных. Они позволяют осуществлять аудит баз данных и восстанавливать информацию в них.

Продукт Entegra следит за действиями пользователей при работе с базами данных и осуществляет аудит самих баз. Он позволяет определить, кто, когда и как просматривал или изменял записи в базе данных, а также изменял, структуру или права пользователей для доступа к ней. Стоит заметить, что продукт не в состоянии предотвратить какое-либо вредоносное воздействие, он лишь может отправить информацию об этой операции для записи в журнал. Log Explorer ведет избыточный журнал всех произведенных с базой данных транзакций, что позволяет в случае каких-либо проблем произвести анализ и аудит совершенных операций и восстановить потерянные или измененные записи без использования резервной копии. Однако речь о восстановлении на самом деле не идет, Log Explorer позволяет осуществлять откат транзакций. Таким образом, этот модуль не в состоянии предотвратить утечку, но может снизить риски искажения записей.

PC Acme

Продукт PC Activity Monitor (Acme) позволяет осуществлять пассивный мониторинг операций пользователя на уровне рабочей станции. Решение состоит из двух частей: средства централизованного управления и многочисленные агенты, внедряемые в рабочие станции по всей организации. С помощью первой компоненты продукта можно централизованно распределить агенты по всей корпоративной сети, а потом управлять ими. Агенты представляют собой программные модули, которые очень глубоко внедряются в Windows 2000 или Windows XP. Разработчики сообщают, что агенты располагаются в ядре операционной системы, и пользователю практически нереально нелегально удалить их оттуда или отключить. Сами агенты тщательно протоколируют все действия пользователей: запуск приложений, нажатие клавиш и т. д. Можно сказать, что журнал событий, получающийся на выходе, по степени своей детализации напоминает результаты неусыпного видеонаблюдения за экраном компьютера. Однако получаемый журнал, естественно, представлен в текстовом виде. Центральная консоль управления позволяет собирать запротоколированные данные на один единственный компьютер и анализировать их там. Однако на этом этапе могут возникнуть сложности. Во-первых, офицеру безопасности приходится вручную анализировать сотни тысяч записей о тех или иных системных событиях, чтобы выделить те, которые являются нарушением политики ИТ-безопасности, привели к утечке и т. п. Но даже если офицеру безопасности удастся обнаружить факт утечки, то он все равно уже не сможет ее предотвратить. Таким образом, программа PC Acme подходит для пассивного мониторинга всех действий пользователя на уровне рабочей станции.

Proofpoint Messaging Security

Аппаратное решение компании Proofpoint позволяет обеспечить полный контроль над электронной почтой. С помощью этого устройства можно проверить сообщения на вирусы и спам, предотвратить нецелевое использование почтовых ресурсов и утечку конфиденциальной информации в электронных письмах. Защита от утечки конфиденциальных данных построена на базе механизма контентной фильтрации. Если в передаваемом сообщении находится конфиденциальная информация, то продукт способен заблокировать утечку. Решение Proofpoint является классическим примером продукта, предназначенного для защиты одного конкретного канала передачи данных – электронной почты. Такой продукт может быть использован в тех случаях, когда основной функциональностью является фильтрация спама и выявление вирусов, а предотвращение утечек - всего лишь приятное дополнение.

Как ловят инсайдеров

Пример победы над инсайдерами продемонстрировала в середине февраля 2006 г. российская компания LETA IT-company. Благодаря грамотному подходу к внутренней ИТ-безопасности, фирме удалось обезвредить инсайдера, уличенного в злоупотреблении служебным положением. Как показали результаты внутреннего расследования, один из менеджеров по работе с клиентами пытался проводить контракты на поставку программного обеспечения не через своего законного работодателя, а через им же созданную подставную компанию. Злоупотребление было оперативно и заблаговременно выявлено с помощью InfoWatch Mail Monitor.

ЗАКЛЮЧЕНИЕ

Таким образом, в США и ЕС компании уже давно несут ответственность за утечку приватных данных и по закону обязаны поставить пострадавших в известность об утечке. Надеемся, что со временем такая норма появится и в России. Уже можно отметить положительные тенденции. Число организаций, защитивших себя от утечек, непрерывно растет и еще будет увеличиваться.

Организации начинают хорошо осознавать опасность роста угроз, связанных с собственным персоналом, хотя мало предпринимают необходимых мер для защиты. В списки своих приоритетных задач не все включили обучение и повышение квалификации сотрудников в сфере ИБ, регулярную оценку работы своих поставщиков IT-услуг с целью контроля за соблюдением ими политики ИБ, полагаясь исключительно на доверие. Лишь немногие рассматривают сегодня ИБ как одну из приоритетных задач руководства.

По мере развития бизнес-моделей организаций в направлении децентрализации некоторые функции делегируются внешним подрядчикам, следовательно, все труднее становится контролировать защищенность своей информации и оценивать уровень рисков. Компании могут делегировать выполнение работы, но не должны делегировать ответственность за безопасность.

Недостаточное внимание со стороны высшего руководства, нерегулярное проведение оценки рисков, а также недостаток либо полное отсутствие инвестиций в работы по снижению рисков, связанных с человеческим фактором (некорректное поведение сотрудников, оплошность, нарушение установленных правил или стандартов). Основное внимание по-прежнему уделяется лишь таким внешним угрозам, как вирусы, а серьезность внутренних угроз недооценивается: есть готовность покупать технологические средства (межсетевые экраны, антивирусную защиту и т. п.), но нет желания решать кадровые проблемы безопасности.

Многие инциденты с участием сотрудников остаются не выявленными. По мнению авторов исследований, телекоммуникационные компании могут и должны изменить свой взгляд на ИБ только как на статью расходов на ведение бизнеса: относиться к ней как к одному из способов повышения конкурентоспособности и сохранения стоимостного потенциала компании.

Ряд крупных компаний подпадают под требования различных нормативных актов, которые обязывают защищать приватные сведения. В целом ожидается, что спрос на решения по защите от инсайдеров и утечек будет стабильно расти как минимум в течение ближайших пяти лет.

Список ИСПОЛЬЗОВАННОЙ литературы

1. Новости. Как непросто определить утечку – Корбина телеком. 2007 г.
2. Сбиба В.Ю, Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб: Питер, 2008.
3. “КНС ИНФОТЕКС” http://home.tula.net/insider/001b.htm.
4. Зенкин, Д. Инсайдеры в 75 раз опаснее хакеров. С-News. Аналитика. http://www.cnews.ru/reviews/index.shtml?2008/10/22/324142.
5. Доля, А. Инсайдеры наступают. http://citcity.ru/14874/
6. InfoWatch: Внутренние угрозы: перед лицом общей опасности. http://www.infowatch.ru/threats?chapter=147151398&id=153017335
7. Доля, А. Саботаж в корпоративной среде. http://www.directum-journal.ru/card.aspx?ContentID=1717301.
8. Базовый уровень информационной безопасности операторов связи. [В Интернете] http://www.ccin.ru/treb_baz_u.doc.
9. Доля А. Безопасность телекомов. http://citcity.ru/15562
10. Доля А.В. Внутренние угрозы ИБ в телекоммуникациях. 2007 г. http://www.iks-navigator.ru/vision/456848.html.
11. Костров, Д.В. Информационная безопасность в рекомендациях, требованиях, стандартах. 2008 г.

http://www.iks-navigator.ru/vision/2390062.html.

1. Вестник связи: Защита от инсайдеров в телекоммуникационных компаниях.

http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.39.

1. Чужой среди своих: протокол заседания круглого стола. Вестник связи. – №7. 2006 r. http://www.vestnik-sru/t/e107_plugins/content/content.php?content.59.

Валерий Андреев
Заместитель директора по науке и развитию ЗАО ИВК, к.ф.-м.н.

Информационные технологии сегодня развиваются столь стремительно, что уже трудно выделить сферу человеческой деятельности, в которой они не были бы востребованы. Любая организация, создающая инфокомму-никационную систему (ИКС) для обеспечения функционирования своих инфраструктурных подразделений, вовлекается в общий круг пользователей распределенных инфокоммуникационных услуг, в обязательном порядке использует открытые или закрытые глобальные коммуникации, имеет собственное виртуальное представительство, работает с современными средствами информационного обмена в рамках собственного документооборота, создает актуальные защищенные хранилища данных, упорядочивает работу своих сотрудников.

Однако сегодня приходит понимание того, что электронные средства хранения, обработки и передачи информации даже более уязвимы, чем обычные бумажные: цифровые данные можно не только скопировать или уничтожить, но и незаметно для владельца изменить или заблокировать. Вслед за этим пониманием приходит и вынужденный интерес к вопросам ИБ, ведь в докомпьютерное прошлое вернуться уже невозможно!

Внешние и внутренние угрозы

Построение любой системы защиты информации всегда опирается на так называемый "профиль угроз", индивидуальный для каждой организации. Если упростить, то всевозможные угрозы защищаемым ресурсам можно разделить на "внешние" и "внутренние".

По наблюдению экспертов рынка ИБ, внешние и внутренние угрозы на сегодняшний день соотносятся друг с другом как 20 к 80. То есть, по статистике, около 80% вторжений и атак производится либо изнутри контролируемой зоны объектов сотрудниками самой организации, либо извне с их ведома или при непосредственном участии. При этом, по оценкам специалистов, достоянием гласности становится лишь около 15% преступлений в области ИБ. Поэтому этические вопросы лояльности сотрудников руководителю предприятия приходится откладывать и принимать ответственность за ИБ на себя с минимальной экономической составляющей. И тогда вопросы ИБ вменяются в обязанности системному администратору, сотруднику компании или внешнему эксперту, что не только не решает проблему "внутреннего" нарушителя, но еще больше ее усугубляет. Так как именно этот сотрудник и становится чаще всего главным "внутренним" нарушителем (потенциальным, конечно же), то отразить такую угрозу практически невозможно. Поэтому администраторов должно быть все-таки двое, и работать они должны по принципу: "один знает что, но не знает где, а второй - наоборот". Тогда они будут контролировать друг друга, и фактор "внутренней угрозы" существенно снизится. Но даже тогда им нельзя пренебречь!

Интересно, что в зависимости от размера организации фокус интереса руководства к вопросам ИБ смещается. Наиболее понятным для руководителя малого предприятия является комплекс мер защиты от внешнего нарушителя, ведь он полностью доверяет своим сотрудникам, часто являющимися его близкими людьми. Поэтому в сегменте SMB для защиты от внешнего нарушителя нередко ограничиваются достаточно стандартным комплексом мер защиты периметра. Хотя возможность внешней угрозы несколько преувеличена, она реальна. Насыщение периметра любой организации различными средствами защиты информации совершенно необходимо: лучше ограничить несанкционированную деятельность всевозможных нарушителей на границе сети, чем допускать любую ненужную активность внутри самого объекта.

Средства защиты от несанкционированного доступа

В последнее время все большую популярность среди производителей средств защиты информации (СЗИ) приобретают программные и программно-аппаратные средства защиты от несанкционированного доступа (НСД) и копирования. Программные части систем защиты можно классифицировать по принципу действия на:

• системы, участвующие в вычислительном процессе и использующие сложные логические механизмы;
• системы, использующие шифрование защищаемых ресурсов;
• системы, хранящие в аппаратной части последовательность выполнения программного кода.

Под программно-аппаратными СЗИ часто понимаются средства, основанные на использовании так называемых аппаратных (электронных) ключей или замков. Также в качестве такого устройства могут использоваться смарт-карты и иные устройства.

Многие компании, специализирующиеся на решениях защиты информационных систем, предлагают сегодня средства контроля и управления доступом в корпоративную сеть с автоматизированных рабочих мест сотрудников организации. Здесь рассматривается комплекс вопросов, связанных с классификацией программных и программно-аппаратных СЗИ, их достоинствами и недостатками, критериями/условиями выбора данного типа средств.

Возможности применения средств для защиты от внутренних угроз представлены ниже, где дан сравнительный анализ СЗИ от внутренних угроз.

Комментарий экспертов

Дмитрий Никитин
Ведущий аналитик "ЕВРААС - Информационные технологии"

Сегодня вопрос применения в информационных системах средств защиты от НСД уже даже не является актуальным, а скорее, он перешел в разряд безальтернативных. Вопрос состоит, пожалуй, в том, какие именно средства необходимо использовать и как правильно построить и реализовать адекватную и эффективную политику управления доступом.
Простая аналогия: с чего вы начнете защиту своего жилища? Правильно, с установки хорошей металлической двери, серьезного замка и, скорее всего, не одного. Ключи - только у своих. И уже потом появляются злая собака, решетки на окнах, система охранной сигнализации и прочее.

Наиболее популярная в последнее время тема - обеспечение безопасности персональных данных - тоже связана с необходимостью исключения именно НСД к этим данным. При этом задача усложняется необходимостью сертификации средств защиты. Но регуляторы (ФСТЭК, ФСБ) в данном случае идут на уступки в отношении средств защиты от НСД, допуская в отдельных случаях использование несертифицированных средств.

Приоритет же инсайдерских угроз давно является догмой - упрямая статистика сделала свое дело. И суть проблемы проста. Возвращаясь к аналогии с квартирой, можно констатировать тот факт, что инсайдеры - это "свои", то есть ключи у них есть. Именно поэтому еще раз отмечаю, что исключить несанкционированный доступ - только полдела. Для организаций любых масштабов и форм собственности крайне важны вопросы предоставления, разграничения и контроля санкционированного доступа, то есть грамотного и эффективного управления им, о чем и говорится в статье.

И все же совершенно недостаточно в современных условиях обеспечить защищенность технических средств, на которых обрабатываются и хранятся конфиденциальные данные. Активное использование ИТ ведет к динамичному электронному документообороту как в границах корпоративной информационной системы, так и за ее пределами. И необходимо обеспечивать безопасность документов на уровне содержащихся в них данных.

Применение средств криптографической защиты не решает эту проблему, так как для прочтения документа его необходимо расшифровать, а после этого он становится уже совершенно беззащитным - в недоверенной среде к нему легко может быть получен несанкционированный доступ, он может быть полностью или частично скопирован и передан лицам, для которых он не был предназначен; статус легального пользователя документа со временем может измениться, и он потеряет право на работу с этим документом, но, владея прежним ключом шифрования или расшифровав документ ранее, доступа к нему он уже не потеряет!

Решить подобные проблемы с обеспечением конфиденциальности электронных документов при активной работе с ними позволяет применение технологий IRM (управление правами доступа к данным). Использование современных решений, реализующих эту технологию, дает множество дополнительных сервисных возможностей: контроль версионности документов, когда при появлении новых версий всем пользователям сразу автоматически закрывается доступ к прежним; детальный централизованный аудит; журналирование всех операций с защищенным документом и всеми его копиями и многие другие.

Михаил Башлыков
Руководитель направления информационной безопасности компании КРОК

По статистике, большинство утечек происходит по вине инсайдеров и халатных сотрудников. Это основная угроза. Большинство компаний, в первую очередь установивших внешнюю защиту сети, от внешних угроз себя обезопасили. Теперь пора наводить порядок и вводить соответствующие регламенты внутри. Тем более что в условиях кризиса угроза со стороны инсайдеров становится еще более явной: число недовольных сотрудников растет, а возможные кадровые изменения заставляют идти на подобные действия даже проверенных людей. Предотвратить инсайдерские атаки (умышленные или случайные) и повысить эффективность системы безопасности помогает комплексное решение, включающее технологии по предотвращению утечки информации во внешнюю среду, и решения по управлению доступом к информации на уровне контента, системы IRM (Information Right Management) и решения по контролю обработки (в том числе доступа) конфиденциальной информации. Также не нужно забывать и о правовых аспектах борьбы с инсайдерами. Без проработки этих вопросов любые технические средства и собранные факты могут обернуться против самой компании.

Угрозы, которые связаны с инсайдерами, можно разделить на коммерческие и репутационные, но и те и другие приводят к финансовым потерям. К первым относятся возможности получения информации конкурентами о клиентских базах, маркетинговых программах и т.д. Ко вторым - прямой урон репутации компании и потеря доверия со стороны клиентов.

Персональные данные - это одна из категорий конфиденциальной информации. Для многих бизнесов, ориентированных на конечных потребителей, например для банков или страховых компаний, персональные данные их клиентов - один из ключевых ресурсов. Без гарантий сохранности приватности такой информации работа на этих рынках невозможна. Поэтому решения класса Data Leak Prevention (предотвращение утечки данных) занимают центральное место в комплексе информационной безопасности компаний, работающих с персональными данными. Пристальное внимание в нашей стране к этому вопросу возникло на фоне появления Федерального закона "О персональных данных" и нормативных документов ФСТЭК, конкретизирующих требования по их защите, по которым с января 2010 г. наличие сертифицированной системы информационной безопасности станет обязательным.

Применение программных средств и программно-аппаратных комплексов в решении этого вопроса зависит от способа обработки персональных данных компанией: с использованием либо без использования средств автоматизации. Если данные обрабатываются с помощью средств автоматизации, перечень программных средств и программно-аппаратных комплексов (реализующих функционал подсистем защиты персональных данных) зависит от класса соответствующей информационной системы. Требования к подсистемам определены в руководящем документе ФСТЭК "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных". При этом программные средства и аппаратные комплексы должны быть сертифицированы. В случае обработки оператором персональных данных без средств автоматизации необходимо использование средств защиты от несанкционированного доступа, выбор которых остается за компанией, так как этот вопрос законодательством не регулируется.