22.01.2006

Информационная безопасность человеческих ресурсов

При разработке и внедрении защиты информационной безопасности автоматизированной системы организации большое внимание уделяется комплексу средств автоматизации деятельности человека, и гораздо меньше самому человеку. Но  информационная безопасность средств автоматизации настолько развита, что позволяет заимствовать такие технологии как: антивирусная защита, межсетевое экранирование, системы обнаружения атак, написание защищенного кода, контроль целостности, защиту от DoS атак персоналу организации, как компонентам автоматизированной системы.

При разработке и внедрении защиты информационной безопасности автоматизированной системы организации большое внимание уделяется комплексу средств автоматизации деятельности человека, и гораздо меньше самому человеку. Но  информационная безопасность средств автоматизации настолько развита, что позволяет заимствовать такие технологии как: антивирусная защита, межсетевое экранирование, системы обнаружения атак, написание защищенного кода, контроль целостности, защиту от DoS атак персоналу организации, как компонентам автоматизированной системы.

Ни для кого не секрет что сотрудники могут иметь уязвимости в понимании своих обязанностей, инструкций и важности информации с которой они работают. В определенный момент сотрудник может повести себя не так, как этого ожидает руководство. Иногда не правильно настроено взаимодействие между отделами. Таким образом, есть возможность проведения атаки на информацию через человека как компонента автоматизированной системы организации. Эксплуатация уязвимостей, распространение вредоносных V-программ, манипуляция действиями (считаем троянской программой) – все эти действия можно совершать над человеком. Например, распространение внутри организации информационного вируса с негативом о руководителе,  с мифом о скором закрытии организации, о плохих условиях работы по сравнению с конкурентами, с негативом о партнерах организации [1],[2],[3],[5]. 

Оценка рисков, выбор необходимых и адекватных мер защиты должны проводится организацией в каждом конкретном случае, я лишь опишу технологии для защиты.

1. Правила написания безопасного кода.
В нашем случае аналогией будет разработка четких, логичных, простых регламентирующих деятельность сотрудников документов. Инструкции разных подразделений не должны противоречить друг другу, а взаимодействие между ними должно быть хорошо отлажено. Необходимо проводить обязательное обучение при приемё на работу или изменении роли сотрудника, осуществлять плановую проверку усвоенных программ, а также выборочную анонимную проверку.

2. Межсетевое экранирование.
Я тут даже не буду говорить о важности системы контроля физического доступа, ограничение общения сотрудников из различных отделов, доступных звонков извне только телефоны горячей линии и приемной для посещения и корреспонденции. Эти средства защиты начали развиваться раньше, чем компьютерные сети. Но я напомню, что от защищенности самих средств экранирования, таких как СКУД, внутренняя АТС, операторов горячей линии телефона, приемной посетителей и входящей корреспонденции зависит защищенность всей автоматизированной системы. Также хорошей практикой будет использование дополнительной фильтрации взаимодействия сотрудников находящихся в доступной извне зоне и сотрудников, не имеющих внешних контактов, по аналогии с межсетевым экраном между ДМЗ и внутренней сетью.

3. Антивирусная защита.
В наше время психопрограммы,  информационные вирусы, подобные компьютерным вирусам, крайне распространены в человеческом обществе. Для организации бороться со всеми v-программами нет смысла. Гораздо важнее защитится от тех, которые представляют угрозу интересам организации, её партнеров или работоспособности сотрудников. Для этого мы можем анализировать информационные потоки, поступающие извне к человеку через личное общение, телефонную связь, обычную почту, электронную почту, Интернет, из локальной сети на экран монитора. Анализировать информацию воспринимаемую человеком мы можем, как с помощь средств автоматизации, так и с помощью антивирусной программы внедренной человеку. Определять информационные вирусы мы можем как по сигнатуре уже обнаруженного вируса, так и с помощью эвристического анализа информации.


4. Контроль целостности программ.
Со временем даже у лояльных сотрудников может поменяться понимание инструкций и оценка конфиденциальности обрабатываемой информации в связи с особенностями человеческой памяти. Кроме того, сотрудники в течении длительного времени находятся вне автоматизированной системы организации (16 часов в сутки плюс выходные и отпуска). За это время они могут потерять лояльность, подхватить вирусы или поддаться манипуляции. Поэтому при их возвращении в автоматизированную систему организации необходимо осуществлять контроль целостности основных программ, адекватности, лояльности, как это происходит с домашними компьютерами, которые подсоединяются по VPN во внутреннюю сеть. Эти процедуры могут осуществляться как опытным психологом, так и с помощью автоматизированных средств [4] в начале рабочего дня или при доступе к новой конфиденциальной информации. Кроме того, начальник подразделения должен контролировать нормальность состояния своих подчиненных во время рабочего дня.


5. Система обнаружения атак.
Мы можем анализировать информацию, циркулирующую по всем потокам в организации: общение, документооборот, электронный документооборот. И отслеживать случаи манипуляции, неправильного выполнения инструкций, случайных ошибок, и другого аномального поведения. Правда ещё остаётся возможность проведения атаки на человека вне автоматизированной системы. Для того чтобы быстрее локализовать данную угрозу можно ввести следующее правило: конфиденциальная информация, которую обрабатывают сотрудники, должна хоть немного отличаться у разных людей. Тогда в случае утечки мы всегда сможем определить, кто послужил её причиной.

6. Защита от DoS атак.
Вызвать отказ в обслуживании у человека ещё проще, чем у компьютера. Ведь можно считать, что человек однозадачен. То есть оператор может принять только один звонок, секретарь приемной может общаться одновременно только с одним человеком, обрабатывает по одному письму, водитель может везти только в одно место. Если атаки будут достаточно проработанными ещё не просто определить и заблокировать. В данном случае нужно подумать о резервировании ответственных сотрудников, взаимозаменяемости между отделами, своевременном выявлении атаки в обслуживании, резервировании каналов передачи информации – например, подключится к нескольким телефонным компаниям, заключить договор с несколькими курьерскими и почтовыми службами. 

 Я лишь показал какие “новые” технологии информационной безопасности возможны при защите человеческих ресурсов. Очевидно, что их нужно развивать и необходимо доработать в реальных условиях организации.

Литература.

  1. V-программы: информационные вирусы в человеческом обществе. http://www.humans.ru/humans/169920
  2.  Метод информационного вируса. http://content.mail.ru/arch/19949/924918.html
  3. Критическое мышление - прививка против социальных мифов и информационных вирусов. http://subscribe.ru/archive/people.psyportal/200401/12153538.html
  4. Инструментальные средства психоанализа. MindReader. http://www.psycor.ru/main.php?mr
  5. Unleashing the Ideavirus. http://www.sethgodin.com/ideavirus/

Борисов Сергей, УрГУ, Компьютерная безопасность.

comments powered by Disqus