«Б орьба с инсайдерами при помощи внутренней политики информационной безопасности»
Скачать 0.65 Mb.
|
________________________________________________________________________ |
| Цель | Внедрение |
| Соответствие требованиям нормативных стандартов | Внедрение контролей, проверяемых при аудите |
| Сохранность информации | Открытое внедрение в сочетании с кадровой работой |
| Выявление канала утечки | Скрытое внедрение |
| Доказательство непричастности | Архивация движения данных и сетевых операций для доказательства того, что источник утечки не внутри фирмы |
Модель системы защиты от внутренних ИТ-угроз заложена в стандарты и внедрять эту систему нужно, прежде всего, таким образом, чтобы пройти аудит на соответствие описанным стандартам. В этом случае при конфликте функционала системы между эффективностью и соответствию стандартам выбор делается в ущерб эффективности. Следует также отметить, что ни один регулирующий орган не рекомендует даже тип продуктов, которыми следует защищаться и часть угроз допускается закрывать организационными средствами.
1.1 Сохранение информации.
Этот ответ чаще всего возникает после реального инцидента с утечкой конфиденциальной информации. В этом случае заказчик не связан стандартами, а волен строить защиту своей информационной системы исходя из собственного понимания и имеющихся средств. Тогда для усиления эффективности защиты внедрение технических средств сопровождается работой с персоналом. В эту работу входят как инструктажи и тренинги, так и адаптация под новые условия и переподписание трудовых соглашений, должностных инструкций и регламентов использования информационной системы.
Психологический фактор работает на защиту информации. Зная о том, что их действия контролируются, многие потенциальные нарушители откажутся от намерений нарушить политику безопасности. Поэтому внедрение такой системы должно сопровождаться гласными мероприятиями, политики внутренней безопасности должны быть внедрены приказом за подписью первого лица. Однако конкретное технологическое решение лучше не афишировать, чтобы злоумышленники не работали против конкретной системы.
1.2 Выявление источников и каналов утечки информации
Эта цель встает перед заказчиком, если он знает о регулярных случаях утечки информации из своей информационной системы. Если компания концентрируется на этой цели, то перед ней встают совершенно другие задачи. Этот тип внедрения противоположен предыдущему. Прежде всего, упор делается на скрытом внедрении и сборе доказательств. Часто при скрытом внедрении установка программного обеспечения маскируется под обновление другой системы безопасности, например, антивируса.
Сбор доказательств – не менее важная часть такого внедрения. Ведь мало выявить источник утечек, необходимо иметь возможность его наказать в рамках действующего законодательства. В общих чертах ситуация следующая: сбор цифровых доказательств (журналов доступа, копий писем и т.д.) строго регламентируется законодательством. Чаще всего для того, чтобы доказательства были признаны в суде, требуется специальным образом опечатанный спецслужбами сервер, к которому, кроме спецслужб, доступа никто не имеет. Но даже и в случае признаний этих доказательств судом, они покажут не на человека, а на его цифровую "копию" - почтовый ящик, учетную запись, IP-адрес и т.д. Доказать, что в момент нарушения за компьютером находился конкретный человек достаточно сложно. Учитывая презумпцию невиновности, бремя доказательства лежит на работодателе. Технические средства, которые могут быть использованы для этого – биометрические ключи и видеонаблюдение.
1.3 Права пользователей.
Как обычно обстоят дела в информационной системе компании, офицеру информационной безопасности которой поручено создать технологическую инфраструктуру по защите от внутренних ИТ-угроз? Во-первых, отсутствует единая политика по стандартизации процессов, происходящих на рабочих местах пользователя. Это означает, что часть пользователей обладает правами локальных администраторов. Обычно это две группы пользователей – пользователи устаревших операционных систем (MS Windows 98, например) и пользователи ноутбуков. Это также означает, что копии конфиденциальных документов хранятся на рабочих местах. Кроме того, на рабочих местах установлено потенциально опасное ПО – файловые менеджеры, которые могут проводить операции с временными файлами Windows, программы синхронизации с мобильными устройствами, программы шифрования и т.д.
1.4 Квалификация пользователей
Пользователи с каждым годом становятся все более квалифицированными. Имея дома компьютер с доступом в Интернет, а то и локальную сеть, они приобретают навыки, которые могут оказаться опасными для информационной безопасности предприятия. Рядовой пользователь компьютера сегодня умеет устанавливать программы, снимать процессы, выходить в Интернет по мобильному телефону, передавать информацию в зашифрованном виде и т.д.
1.5 Средства защиты
Нельзя сказать, что никакие меры по защите информации от внутренних угроз в типичной компании не принимаются. Обычно заказчики относят к этому типу технические решения по контролю доступа к ресурсам (Интернет, корпоративная почта и USB), а также сигнатурную фильтрацию (обычно специальным образом настроенный антиспам-фильтр). Однако эти методы действенны лишь против неосторожных либо неквалифицированных нарушителей. Запрещенный доступ злонамеренные сотрудники обычно получают имитацией служебной необходимости – не стоит забывать, что мы говорим о внутренней ИТ-безопасности, т.е. методы "запретить все" неприменимы, так как приведут к остановке бизнеса.
Таким образом, компании имеют необходимость, с одной стороны, упорядочить систему хранения конфиденциальной информации, с другой стороны, внедрить более совершенную систему защиты от внутренних угроз.
2 Построение безопасности в Cisco Systems
Рассматривая и анализируя компанию Cisco Systems, стоит отметить несколько основополагающих моментов. Один из них – это кодекс поведения сотрудников [1]. Каждый из сотрудников в начале каждого года должен ознакомиться с этим документом и расписаться (в электронном виде) об этом. Какой информацией должен владеть и к каким файлам имеет доступ, а так же что в праве имеет делать сотрудник, а чего нет. Компания является многонациональной и поэтому данный документ доступен практически на всех основных языках тех стран, где встречаются офисы компаний, чтобы избежать неправильного понимания сего основополагающего документа. Второй аспект, это то, что компания трактует своих сотрудников как добропорядочных членов общества, т.е. существуют доверительные отношения с сотрудниками, об этом будет упомянуто позже. Конечно, сотрудник, ознакомившийся с кодексом поведения, может принести ущерб компании, как в техническом плане, так и в гуманитарном, т.е. неумышленно передать информацию третьим лицам. А также умышленное хищение важной информации. И так, по словам Кадера Михаила Юрьевича можно сделать вывод о разделении ущерба. Значит, разделяем ущерб на [3]:
1) непредумышленный с несоблюдением требований;
2) умышленный.
Второй вид ущерба - умышленный мы почти исключаем, т.к. Cisco Systems основывает свою внутреннюю безопасность на доверии сотрудников. По мнению сотрудников информационной безопасности CS очень важно доверять работе персоналу, и верить сотрудникам, что не произойдет утечка данных в своих корыстных целях. Как выше было сказано, умышленный ущерб мы почти исключаем. В своих экономических интересах, сотрудники компании могут воспользоваться конфиденциальной информацией, находящейся под грифом секретности 1Г и выше, в целях продать полезную информацию конкурентам компании, либо в каких то своих корыстных целях, что и приносит убыток и вред CS. Поэтому и идет борьба с коррупцией на предприятии. В случае хищения информации, в первую очередь оценивается принесенный убыток. Известно, что безопасность – это управление рисками. И если убыток не превышает затрат на обеспечения безопасности и выявления нарушителя, то эту утечку информации берут на заметку и дальнейшее расследование.
Что касается непредумышленного ущерба, борьба с таким нарушением следующая. Компания проводит обязательный ежегодный тренинг по безопасности для всех сотрудников. Так же раз в квартал инструктирование всех сотрудников Cisco Systems.
Стоит отметить и технические моменты, что способствует минимизировать ущерб компании. Из технических средств используются:
1) На всех компьютерах компании стоит лицензионное и сертифицированное программное обеспечение Cisco Security Agent, которое обеспечивает информационную безопасность и борьбу с угрозами как извне, так и изнутри.
2) Так же используется Mail Security, это ПО используется для внутренней информационной безопасности. Предназначено для следующих задач:
а) Антиспам;
б) Проверка приходящей почты на вирус;
в) Утечка через электронную почту.
Раз мы говорим об инсайдерах, то следует отметить используемую защиту в CS:
ПО для инвентаризация;
Установка ПО удаленно.
В компании существуют 3 категории классифицированных документов [1]:
1) Cisco Public – документы доступны без ограничений любому пользователю и посторонним лицам.
2) Cisco Confidentional – это вид документов доступен партнерам компании и сотрудникам, и не подлежит разглашению.
3) Internal Use Only – только для сотрудников и внутреннего пользования. Доступ к такому виду документов имеют не все сотрудники CS, а только те, у кого есть допуск к такой форме секретности на предприятии. Вся информацию таких документов разглашению не подлежит.
Очень важный момент, что все документы поделены на классы, прикрепленные к каждой группе. В случае утечки одного из документов, такой метод разделения облегчит выявление нарушителя.
Как уже было сказано, CS основывается на доверии сотрудников и не позволяет следить за сотрудниками скрытно. После разговора с инженером – консультантом Кадером Михаилом Юрьевичем о скрытном слежении, т.е. вести мониторинг скрытно. Михаил Юрьевич ответил кратко: « Конституция США не позволяет такой метод слежения, т.е. секретно. Политика безопасности основывается полностью на конституции США»
В случае возникновения проблемы, обнаружения вируса или атаки, как со стороны внешних угроз, так и внутренних, предпринимаются следующие меры:
1) Идентифицируется проблема;
2) Передается в компанию Infosec. Специалисты ИТ-компании анализируют проблему (что именно послужило утечкой информации, либо проникновению вируса), и следом создается тестовая площадка. Если тест прошел успешно, то создается пилотная зона. По результатам пилотной зоны происходит внедрение, непосредственно в CS. Внедрение происходит не глобальное, на все компьютеры компании, а только 10-15% всех компьютеров CS. Это в своем роде происходит как бета-тестирование. Далее внедрение идет на все ПЭВМ, причем, как было упомянуто, удаленно. Внедрение на все компьютеры компании происходил в максимально короткие сроки, в течении 3 недель. (рис.2)
2.1 Схемы безопасности и внедрения в CS, в частности касается внедрения CSA (Cisco Security Agent)
2.1.1 3 Кита безопасности Cisco.
Рисунок 1 – 3 кита безопасности
Для эффективного управления рисками в IP-сетях необходимо внедрить непрерывный, итерационный процесс:
- Проактивное применение политик, регулирующих поведение пользователей и защиту сети и сервисов
- Активный мониторинг сетевого и пользовательского поведения для проверки соответствия политике и обнаружения событий, негативно влияющих на сервисы
- Быстрое реагирование на атаки, их отражение и предотвращение вредоносного поведения пользователей
2.1.2 4 составляющих стратегии
• физическая безопасность и безопасность рабочего пространства
• информационная безопасность
• безопасность продуктов
• продукты безопасности
2.2 Защита ПК и серверов:
Проблема
Отсутствие защиты персональных компьютеров, таких как ПК и КПК на уровне самого узла повышает ущерб от вредоносных программ и снижения продуктивности, увеличивает стоимость восстановления
Добавить документ в свой блог или на сайт
Похожие:
 | Классификация угроз. Формализация подхода к обеспечению информационной... ... | | Инструкция по обеспечению информационной безопасности при использовании Об утверждении инструкции по обеспечению информационной безопасности при использовании экзаменационных материалов и результатов единого... |
| Приказ №2451, в целях соблюдения требований информационной безопасности... Об обеспечении информационной безопасности при получении, учете, хранении, доставке и приемке/ передаче экзаменационных материалов... | | Информационное сообщение о проведении конкурса департамент внутренней... Губернатора области – начальника департамента внутренней и кадровой политики области |
| Тема: «Формирование профессиональных компетенций студентов средних... Рмации повышается зависимость общества от степени безопасности используемых им информационных технологий, от которых порой зависит... | | Рабочая учебная программа дисциплины пс рупд рабочая Учебная программа дисциплины Целью изучения дисциплины «Основы информационной безопасности» является освоение основ информационной безопасности, необходимых специалисту... |
| Правила оказания первой доврачебной помощи при характерных травмах... Для учащихся по мерам безопасности при занятиях игровыми видами спорта (баскетбол, волейбол, гандбол) 34 |  | Инструкция по обеспечению информационной безопасности при проведении... Об утверждении Инструкции по обеспечению информационной безопасности при проведении единого государственного экзамена в Ярославской... |
| Учебно-методический комплекс для студентов специальности «Документоведение... Целью дисциплины является ознакомление студентов с содержательной стороной проблемы информационной безопасности как основной составляющей... | | Утверждаю Директор школы №22 Сми и других средствах массовой коммуникации. В целях реализации мероприятий информационной безопасности обучающихся на базе мбоу... |
| Методические рекомендации по вопросам информационной безопасности... Проблема обеспечения информационной безопасности детей в информационно-телекоммуникационных сетях становится все более актуальной... | | Темы вашего учебного проекта ИБ; программно-технические способы и средства обеспечения информационной безопасности; экономические угрозы или риск принятия решений... |
| Программа дисциплины «Организационно-правовые аспекты информационной безопасности» Программа предназначена для преподавателей, ведущих данную дисциплину, учебных ассистентов и студентов направления подготовки специальности... | | Личностные детерминанты информационно-психологической безопасности студентов Работа выполнена на кафедре психологии и безопасности жизнедеятельности факультета информационной безопасности |
| План работы конференции 24 апреля 2014: Пленарное заседание «Актуальные... Направления: экономическая безопасность; автоматизированные системы управления технологическими процессами; системный подход к обеспечению... | | Разработка методики регулирования рисков и обеспечения информационной... |
