22.01.2006

»нформационна€ безопасность человеческих ресурсов

ѕри разработке и внедрении защиты информационной безопасности автоматизированной системы организации большое внимание удел€етс€ комплексу средств автоматизации де€тельности человека, и гораздо меньше самому человеку. Ќо  информационна€ безопасность средств автоматизации настолько развита, что позвол€ет заимствовать такие технологии как: антивирусна€ защита, межсетевое экранирование, системы обнаружени€ атак, написание защищенного кода, контроль целостности, защиту от DoS атак персоналу организации, как компонентам автоматизированной системы.

ѕри разработке и внедрении защиты информационной безопасности автоматизированной системы организации большое внимание удел€етс€ комплексу средств автоматизации де€тельности человека, и гораздо меньше самому человеку. Ќо  информационна€ безопасность средств автоматизации настолько развита, что позвол€ет заимствовать такие технологии как: антивирусна€ защита, межсетевое экранирование, системы обнаружени€ атак, написание защищенного кода, контроль целостности, защиту от DoS атак персоналу организации, как компонентам автоматизированной системы.

Ќи дл€ кого не секрет что сотрудники могут иметь у€звимости в понимании своих об€занностей, инструкций и важности информации с которой они работают. ¬ определенный момент сотрудник может повести себ€ не так, как этого ожидает руководство. »ногда не правильно настроено взаимодействие между отделами. “аким образом, есть возможность проведени€ атаки на информацию через человека как компонента автоматизированной системы организации. Ёксплуатаци€ у€звимостей, распространение вредоносных V-программ, манипул€ци€ действи€ми (считаем тро€нской программой) Ц все эти действи€ можно совершать над человеком. Ќапример, распространение внутри организации информационного вируса с негативом о руководителе,  с мифом о скором закрытии организации, о плохих услови€х работы по сравнению с конкурентами, с негативом о партнерах организации [1],[2],[3],[5]. 

ќценка рисков, выбор необходимых и адекватных мер защиты должны проводитс€ организацией в каждом конкретном случае, € лишь опишу технологии дл€ защиты.

1. ѕравила написани€ безопасного кода.
¬ нашем случае аналогией будет разработка четких, логичных, простых регламентирующих де€тельность сотрудников документов. »нструкции разных подразделений не должны противоречить друг другу, а взаимодействие между ними должно быть хорошо отлажено. Ќеобходимо проводить об€зательное обучение при приемЄ на работу или изменении роли сотрудника, осуществл€ть плановую проверку усвоенных программ, а также выборочную анонимную проверку.

2. ћежсетевое экранирование.
я тут даже не буду говорить о важности системы контрол€ физического доступа, ограничение общени€ сотрудников из различных отделов, доступных звонков извне только телефоны гор€чей линии и приемной дл€ посещени€ и корреспонденции. Ёти средства защиты начали развиватьс€ раньше, чем компьютерные сети. Ќо € напомню, что от защищенности самих средств экранировани€, таких как — ”ƒ, внутренн€€ ј“—, операторов гор€чей линии телефона, приемной посетителей и вход€щей корреспонденции зависит защищенность всей автоматизированной системы. “акже хорошей практикой будет использование дополнительной фильтрации взаимодействи€ сотрудников наход€щихс€ в доступной извне зоне и сотрудников, не имеющих внешних контактов, по аналогии с межсетевым экраном между ƒћ« и внутренней сетью.

3. јнтивирусна€ защита.
¬ наше врем€ психопрограммы,  информационные вирусы, подобные компьютерным вирусам, крайне распространены в человеческом обществе. ƒл€ организации боротьс€ со всеми v-программами нет смысла. √ораздо важнее защититс€ от тех, которые представл€ют угрозу интересам организации, еЄ партнеров или работоспособности сотрудников. ƒл€ этого мы можем анализировать информационные потоки, поступающие извне к человеку через личное общение, телефонную св€зь, обычную почту, электронную почту, »нтернет, из локальной сети на экран монитора. јнализировать информацию воспринимаемую человеком мы можем, как с помощь средств автоматизации, так и с помощью антивирусной программы внедренной человеку. ќпредел€ть информационные вирусы мы можем как по сигнатуре уже обнаруженного вируса, так и с помощью эвристического анализа информации.


4.  онтроль целостности программ.
—о временем даже у ло€льных сотрудников может помен€тьс€ понимание инструкций и оценка конфиденциальности обрабатываемой информации в св€зи с особенност€ми человеческой пам€ти.  роме того, сотрудники в течении длительного времени наход€тс€ вне автоматизированной системы организации (16 часов в сутки плюс выходные и отпуска). «а это врем€ они могут потер€ть ло€льность, подхватить вирусы или поддатьс€ манипул€ции. ѕоэтому при их возвращении в автоматизированную систему организации необходимо осуществл€ть контроль целостности основных программ, адекватности, ло€льности, как это происходит с домашними компьютерами, которые подсоедин€ютс€ по VPN во внутреннюю сеть. Ёти процедуры могут осуществл€тьс€ как опытным психологом, так и с помощью автоматизированных средств [4] в начале рабочего дн€ или при доступе к новой конфиденциальной информации.  роме того, начальник подразделени€ должен контролировать нормальность состо€ни€ своих подчиненных во врем€ рабочего дн€.


5. —истема обнаружени€ атак.
ћы можем анализировать информацию, циркулирующую по всем потокам в организации: общение, документооборот, электронный документооборот. » отслеживать случаи манипул€ции, неправильного выполнени€ инструкций, случайных ошибок, и другого аномального поведени€. ѕравда ещЄ остаЄтс€ возможность проведени€ атаки на человека вне автоматизированной системы. ƒл€ того чтобы быстрее локализовать данную угрозу можно ввести следующее правило: конфиденциальна€ информаци€, которую обрабатывают сотрудники, должна хоть немного отличатьс€ у разных людей. “огда в случае утечки мы всегда сможем определить, кто послужил еЄ причиной.

6. «ащита от DoS атак.
¬ызвать отказ в обслуживании у человека ещЄ проще, чем у компьютера. ¬едь можно считать, что человек однозадачен. “о есть оператор может прин€ть только один звонок, секретарь приемной может общатьс€ одновременно только с одним человеком, обрабатывает по одному письму, водитель может везти только в одно место. ≈сли атаки будут достаточно проработанными ещЄ не просто определить и заблокировать. ¬ данном случае нужно подумать о резервировании ответственных сотрудников, взаимозамен€емости между отделами, своевременном вы€влении атаки в обслуживании, резервировании каналов передачи информации Ц например, подключитс€ к нескольким телефонным компани€м, заключить договор с несколькими курьерскими и почтовыми службами. 

 я лишь показал какие УновыеФ технологии информационной безопасности возможны при защите человеческих ресурсов. ќчевидно, что их нужно развивать и необходимо доработать в реальных услови€х организации.

Ћитература.

  1. V-программы: информационные вирусы в человеческом обществе. http://www.humans.ru/humans/169920
  2.  ћетод информационного вируса. http://content.mail.ru/arch/19949/924918.html
  3.  ритическое мышление - прививка против социальных мифов и информационных вирусов. http://subscribe.ru/archive/people.psyportal/200401/12153538.html
  4. »нструментальные средства психоанализа. MindReader. http://www.psycor.ru/main.php?mr
  5. Unleashing the Ideavirus. http://www.sethgodin.com/ideavirus/

Ѕорисов —ергей, ”р√”,  омпьютерна€ безопасность.

или введите им€

CAPTCHA