07.12.2009

Основные направления защиты

Так как внутренним нарушителем может быть любой сотрудник компании, который имеет доступ к информации, то методы защиты необходимо планировать так, чтобы соблюсти баланс доступности для легального пользователя и в то же время обеспечить защиту от утечки.

Безмалый В.Ф.
MVP Consumer Security
Microsoft Security Trusted Adviser

 

Так как внутренним нарушителем может быть любой сотрудник компании, который имеет доступ к информации, то методы защиты необходимо планировать так, чтобы соблюсти баланс доступности для легального пользователя и в то же время обеспечить защиту от утечки.

Защита документов

Для защиты электронных документов применяются те же методы, что и для работы с бумажными. В этой области активно используется шифрование документов, использование специальных форматов файлов, которые запрещают сохранение в другом формате, редактирование и копирование содержимого в буфер Windows.

Защита каналов утечки

На сегодняшний день самым эффективным средством является контроль выноса физических носителей с территории компании. Уже сегодня во многих компаниях запрещено вносить на территорию сотовые телефоны и фотоаппараты. Однако процесс миниатюризации носителей информации и встраивание флэш-памяти в часы и плееры делают такой контроль все менее эффективным. Следовательно, контролировать информацию необходимо до того, как она будет скопирована.

Мониторинг (аудит) действий пользователей

Для процесса защиты от внутренних утечек информации крайне важно не только то, кто получил доступ к файлу, но и то, что он делал с документом, ведь разные пользователи будут использовать документы по-разному. При этом для соблюдения правил внутренней безопасности в первую очередь важно контролировать те действия, которые могут привести к утечке. Это такие как:

  • перемещение документа, как единого целого;
  • копирование информации из документа;
  • изменение документа с целью обмана следящих систем.

К первой группе можно отнести копирование файла на сменные носители, отправку по почте, публикацию в Интернет, печать.
Ко второй – копирование информации из документа в буфер Windows, копирование временного файла Windows и т.п.
К третьей группе – переименование файла или его расширения, сохранение файла под другим именем, сохранение в другом формате, архивирование, кодирование и шифрование.

Операция с конфиденциальной информацией, которая недопустима для данного пользователя, должна либо блокироваться, либо сведения о такой операции должны поступать к офицеру безопасности. При этом система внутренней безопасности должна быть настроена так, чтобы пользователь (его руководитель) узнавали, что он пытается совершить запрещенную операцию, либо чтобы эта информация была доступна только офицеру информационной безопасности.

Классификация внутренних нарушителей

Пользователи, которые допускают утечку конфиденциальной информации, будучи к ней официально допущенными, могут быть классифицированы по нескольким критериям:

  • Злонамеренные;
  • Халатные;
  • Действующие по заказу;
  • Ставящие себе цели сами;
  • Охотники за конкретной информацией;
  • Ворующие все, что смогут.

Для составления прогноза действий конкретного нарушителя его поведение нужно правильно классифицировать.
Внутренних нарушителей можно разделить на следующие категории:

  • Неосторожные;
  • Манипулируемые;
  • Саботажники;
  • Нелояльные;

Мотивируемые извне.

Таблица2.

Мотивы внутренних нарушителей.

Тип

Умысел

Корысть

Постановка задачи

Действия при невозможности

Халатный

Нет

Нет

Нет

Сообщение

Манипулируемый

Нет

Нет

Нет

Сообщение

Обиженный

Да

Нет

Сам

Отказ

Нелояльный

Да

Нет

Сам

Имитация

Подрабатывающий

Да

Да

Сам\ Извне

Отказ\ Имитация\ Взлом

Внедренный

Да

Да

Сам\ Извне

Взлом

Нарушители по типу могут быть подразделены на незлонамеренных и злонамеренных.

Незлонамеренные нарушители

В свою очередь незлонамеренные нарушители подразделяются на:

  1. Манипулируемых;
  2. Неосторожных.

Неосторожные (халатные)

Данные пользователи нарушают правила исходя из лучших побуждений. Чаще всего они выносят информацию для работы с ней дома, в командировке и т.д. Ущерб от таких утечек может быть не меньшим, чем от промышленных шпионов. Против таких нарушителей эффективны простые технические средства - фильтрация контента исходящего трафика и менеджеры устройств ввода-вывода.

Манипулируемые

Все чаще для манипулирования сотрудниками используется «социальная инженерия». Например, добросовестный сотрудник по просьбе злоумышленника может "для надежности" продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик.

Другим способом манипуляции может служить сотрудник, начальник которого - злоумышленник, отдавший этому сотруднику преступный приказ.

Злонамеренные сотрудники

Отдельной группой являются злонамеренные сотрудники, осознающие, что они наносят вред компании, в которой работают. По мотивам злонамеренных действий их можно разделить на:

  • Саботажники;
  • Нелояльные;
  • Мотивируемые извне;
  • Другие.

Саботажники (обиженные сотрудники)

Саботажники чаще всего стремятся нанести вред компании из-за личных мотивов. Чаще всего таким мотивом является недооценка их роли в компании. Ключевым в поведении таких нарушителей является то, что, во-первых, такие сотрудники не собираются покидать компанию, а во-вторых, целью саботажника является нанести вред, а не похитить информацию. То есть такие люди стремятся к тому, чтобы руководство не узнало, что утечка произошла по их вине и, столкнувшись с технической невозможностью нанести вред, они направят свои усилия на уничтожение или фальсификацию иной информации.

Нелояльне сотрудники

Чаще всего нелояльные сотрудники стараются унести максимально возможное количество информации, зачастую даже не подозревая о ее истинной ценности.

Сюда же можно отнести и тех сотрудников, которые, решив сменить место работы, еще не сообщили об этом начальству. Чаще всего нелояльные сотрудники не скрывают факта хищения.

Однако максимальную опасность представляют не эти два типа нарушителей, а мотивированные извне. Ведь если потенциальный злоумышленник может заранее найти покупателя на информацию и тогда его дальнейшая работа, благосостояние, а иногда жизнь и здоровье напрямую зависят от полноты и актуальности похищенной информации.

Нарушители, мотивированные извне

Мотивированные извне – это сотрудники, цель которым определяет заказчик похищения информации. К этому типу сотрудников относят внедренных, то есть специально устроенных на работу для похищения информации, и завербованных, то есть сотрудников, изначально лояльных, но впоследствии подкупленных или запуганных. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети "работодатели" могут снабдить их соответствующими устройствами или программами для обхода защиты.

Другие типы нарушителей

В эту классификацию не включены сотрудники, передающие с целью выгоды внутреннюю корпоративную информацию, которая может повлиять на стоимость акций (В нашей стране этот вид нарушений пока не приобрел актуальность. Но только пока).

Пресечь утечку такой информации техническими средствами невозможно.

Нетехнические меры защиты от внутренних угроз Психологические меры

Если основная цель внедрения – выявить действующий канал утечки, то необходимо в первую очередь внедрять средства контентной фильтрации почты и мониторинга пользователей.

Если же система защиты от внутренних пользователей внедряется открыто, то ознакомление сотрудников с новыми егламентами, ознакомление с попытками выноса запрещенной информации за пределы компании поможет предотвратить хищение информации незлонамеренными сотрудниками.

Организационные меры

Права локальных пользователей

Не стоит думать, что самые совершенные программно-аппаратные решения могут решить все проблемы утечки информации. Время от времени будут предприниматься попытки обойти такое программное обеспечение, следовательно, необходимо максимально усложнить проведение взлома. В первую очередь – лишить пользователей прав локальных администраторов на своих рабочих местах. Однако эта простая мера до сих пор не решена в большинстве компаний. Выходом может служить локализация рабочих мест, на которых нельзя забрать права локальных администраторов и размещение их в отдельной подсети.
Однако необходимо понимать, что это временное решение и постепенно нужно отбирать права локальных администраторов у сотрудников.

Стандартизация ПО

Редко в какой компании существует список программного обеспечения, допущенного к установке на рабочие станции. Причем очень часто составляющие его специалисты не задумываются о том, что некоторое ПО из этого списка может быть использовано для противоправных действий.

После составления такого списка необходимо устанавливать (изменять) программное обеспечение на рабочих станциях (серверах) только в соответствии с утвержденными правилами.

Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов автоматизированных систем

Ввод в эксплуатацию новых рабочих мест и все изменения в конфигурации технических и программных средств существующих рабочих мест должны осуществляться только установленным порядком согласно "Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств PC".

Эта инструкция призвана регламентировать функции и взаимодействия подразделений по обеспечению безопасности при проведении модификаций и обслуживании программного обеспечения и технических средств, и должна содержать следующие положения.

Все изменения конфигурации технических и программных средств защищенных рабочих станций (PC) и серверов (различных уровней защищенности в соответствии с "Положением о категорировании ресурсов АС") должны производиться только на основании заявок начальников структурных подразделений организации либо заявок начальника IT, согласованных с руководителем службы защиты информации.

Право внесения изменений в конфигурацию аппаратно-программных средств защищенных рабочих станций и серверов АС должно быть предоставлено уполномоченным сотрудникам (могут быть отданы соответствующими приказами) определенных подразделений:

  • в отношении системных и прикладных программных средств, а также в отношении аппаратных средств - уполномоченным сотрудникам отдела IT;
  • в отношении программно-аппаратных средств защиты уполномоченным сотрудникам службы защиты информации;
  • в отношении программно-аппаратных средств телекоммуникации -уполномоченным сотрудникам службы (отдела) связи (телекоммуникации).

Изменение конфигурации аппаратно-программных средств защищенных рабочих станций и серверов кем-либо, кроме уполномоченных сотрудников перечисленных подразделений, должно быть ЗАПРЕЩЕНО.

Право внесения изменений в конфигурацию аппаратно-программных средств PC AC организации, не требующих защиты, может быть предоставлено как сотрудникам отдела IT (на основании заявок), так и сотрудникам подразделений, в которых они установлены, на основании распоряжений начальников данных подразделений.

После составления списка программного обеспечения необходимо гарантировать его установку на все рабочие станции и ограничить запуск других программ без участия администратора. Принцип "все, что не разрешено - запрещено" в этом случае должен выполняться неукоснительно. Это избавит компанию от будущих проблем с утечками через злонамеренных нарушителей.

Специфические решения

К специфическим решениям можно отнести решения, принимаемые в каждом конкретном случае. Ведь предусмотреть все возможные утечки, а тем более способы защиты - невозможно.

Работа с кадрами

Необходимо постоянно работать с пользователями. Обучение пользователей, воспитание бдительности сотрудников, инструктаж новичков и временных сотрудников во многом сможет предотвратить утечки через незлонамеренных пользователей. Любое копирование информации на сменный носитель должно вызывать вопросы коллег – ведь лояльные сотрудники пострадают вместе с компанией.

Стоит понимать, что высокая компьютерная квалификация пользователей не всегда является плюсом. В западной литературе встречается термин overqualified – приблизительно его можно перевести как "слишком квалифицированный" или "переквалифицированный". Излишняя квалификация в компьютерных навыках является более серьезным недостатком, чем квалификация недостаточная. Ведь научить недостающим навыкам можно всегда, а как заставить человека забыть уже имеющиеся навыки?

Выявление "специалистов-любителей" возможно во время традиционной аттестации. Стоит добавить в опросник вопрос "Как снять зависший процесс в Windows?" и провести разъяснительную работу с теми, кто начнет ответ со слов: "Нажать дновременно клавиши Ctrl, Alt и Del". Ведь правильный ответ на этот вопрос для большинства пользователей – "Вызвать специалиста технической поддержки".

Хранение физических носителей

В настоящее время еще одним каналом утечки информации является вынос носителей с резервными копиями с территории предприятия.

Сегодня используется несколько способов защиты этого канала утечки.

Первый из них это анонимизация носителей, т.е. сотрудники, имеющие физический доступ к носителям, не знают, какая информация на нем записана. Те же сотрудники, которые знают, какая информация записана, не имеют доступа к хранилищу носителей.

Второй способ – шифрование информации при резервном копировании, поскольку расшифровка вынесенной информации потребует некоторого времени и дорогостоящей вычислительной мощности. Безусловно, здесь работают все технологии хранения ценных вещей – замки, открывающиеся только двумя ключами, находящимися у разных сотрудников, несколько уровней доступа и т. д. С развитием технологий радиоидентификации (RFID), возможно, появятся системы автоматического оповещения о попытках вынести за пределы хранилища носители, в которые для этой цели будут внедрены радиометки.

Уровни контроля информационных потоков

Системы контроля информационных потоков позволяют контролировать информационные потоки в трех режимах:

  • Режим архива;
  • Режим сигнализации;
  • Режим активной защиты.

Режим архива

В этом режиме система контроля лишь протоколирует действия пользователей, архивируя журналы операций с конфиденциальной информации и содержимое информационных потоков. Архивы анализируются на предмет наличия в них фактов о нарушении политики информационной безопасности, либо по регламенту (каждый вечер, каждую пятницу и т.д.), либо по запросу о расследовании инцидента.

Преимуществом этого режима контроля является нетребовательность к вычислительным ресурсам и гибким управлением временем офицера информационной безопасности. Офицер безопасности сам определяет время для анализа архива. Его рабочее время, занятое анализом архива, не превышает нескольких часов в месяц.

Недостатком этого режима является невозможность предотвращения утечки.

Режим сигнализации

Фактически мы имеем расширенный режим архива. В этом режиме перед укладыванием информации в архив, действие или сообщение проверяется на предмет соответствия политике информационной безопасности. В случае выявления запрещенного действия/сообщения, офицер безопасности получает на свое рабочее место сообщение. В зависимости от уровня нарушения политики ИБ, офицер безопасности принимает решение реагировать немедленно, либо отложить реакцию.

Преимуществом этого способа является возможность немедленно реагировать на события.

Недостатком этого режима является также невозможность предотвращения утечек, а для офицера ИБ недостатком является необходимость постоянно находиться в режиме on-line.

Этот режим нередко используется для тестовой эксплуатации системы перед переходом к режиму активной защиты.

Режим активной защиты

Этот режим позволяет активно вмешиваться в информационные процессы, блокировать опасные операции безвозвратно или до их разрешения офицером безопасности.

Преимуществом этого режима является возможность блокирования попыток нарушить политику информационной безопасности, предотвращение утечек.

Недостатком этого режима является необходимость постоянного присутствия офицера информационной безопасности для разбора спорных случаев и ложных срабатываний. На сегодняшний день максимальная достоверность использующихся технологий не превышает 90%, поэтому в режиме активной защиты на офицера ИБ ложится ответственность за оперативное решение спорных вопросов. Также недостатком такого режима является высокая требовательность к ресурсам, особенно при обработке on-line потоков. Приходится резервировать каналы и наращивать вычислительную мощность, чтобы обеспечить минимальную задержку писем и сообщений в Интернет.

Заключение

По состоянию на сегодня внутренние нарушители представляют едва ли не большую опасность, чем внешние, ведь злоумышленником может быть любой сотрудник компании, от рядового пользователя до руководителя высшего ранга. И решение задачи защиты информации от несанкционированного воздействия внутренних пользователей невозможно только организационными, или только техническими методами защиты. Лишь комплексное применение этих методов способно принести результат.

Литература

1. Законодательные акты Европы и США в сфере IT-безопасности
http://www.infowatch.ru/threats?chapter=150685169&id=170278262.

или введите имя

CAPTCHA
Страницы: 1  2  3  4  
Евгений Ваганович
07-12-2009 14:15:05
Что то как то вяло, все размазано, сути не выделено, практической пользы почти нет, многое написано чисто теоретически - и применить на практике невозможно. Такое впечатление, что тов. Безмалый пишет статьи "чтобы было"
0 |
40111
07-12-2009 14:35:18
Хорошая статья, будет полезна начинающим системным администраторам.
0 |
07-12-2009 15:10:11
Начинающим системным администраторам это пользу вряд-ли принесет. Начинающие админят маленькие децентрализованные сетки, где контроль за утечкой информации невозможен, поскольку невозможен сам контроль за информацией. В статье основная мысль - должен быть порядок, который не должен нарушаться, это для начинающих будет полезным (чтобы не было бардака). Оффтопик - не буфер, а буфер обмена.
0 |
Евгений Ваганович
07-12-2009 15:13:53
Хорошая статья, будет полезна начинающим системным администраторамтов. Безмалый, пжлуста, залогинтесь!
0 |
13-12-2009 17:45:54
Статья и сайт в целом больше ориентированы на упомянутых "офицеров безопасности". Системным администраторам данный ресурс полезен постольку поскольку. В статье нового ничего нет, простое перепечатывание уже неоднократно высказанных мыслей.
0 |
76767
07-12-2009 15:25:54
в теоретической части копипаст старых отчетов IDC и инфовотч - а их модели инсайдеров трудно применимы в формализованной политике. Попробуйте, например, встроить поведенческую или мотивационную табличку во ФСТЭКовскую модель угроз ПДн. В целом ощущение, что материал понадерган откуда попало.
0 |
Mode
07-12-2009 21:26:20
Унылые рассуждения на тему безопасности, не подкрепленные практическим материалом
0 |
07-12-2009 21:35:16
Почитал, возникло стойкое дежавю. Я это уже где-то видел!
0 |
Страницы: 1  2  3  4