Останавливаем?

Останавливаем?

В разных системах информационной безопасности реализован разный подход к реакции на информацию, определённой системой, как конфиденциальная. Вкратце они сводятся к «останавливать» и «не останавливать».
Рассмотрим достоинства и недостатки каждого из подхода (как мы определили, что информация конфиденциальная – в данном случае неважно, допустим, параметры определения одинаковы).
Кабинет Мюллера. Совещание. Входит Штирлиц, ставит на стол вазу с апельсинами, вскрывает сейф, фотографирует важный документ, закрывает сейф, забирает вазу с апельсинами и уходит.
- Мюллер, кто это был?
- Это русский разведчик Штирлиц.
- А почему Вы его не остановили?
- А смысл? Скажет, апельсины приносил, никто не захотел, вот он и забрал.
В известной книге Юлиана Семёнова очень хорошо показаны как достоинства, так и недостатки обоих методик.
Методика с остановкой обладает одним несомненным преимуществом. Она останавливает. Именно вот здесь, сейчас и по этому каналу. На этом её преимущества заканчиваются. Она не гарантирует, что инсайдер не повторит попытку (а у него будет время минимум до реакции СБ) по другому каналу, который может оказаться не перекрытым. Она, как правило, сигнализирует шпиону «тебя засекли». Единственное, пожалуй, исключение, когда инсайдер настолько глуп, что пытается применить для слива корпоративную почту. Она позволяет «выжившему» инсайдеру накапливать опыт. «Ага, Иванов пытался слить по этому каналу и попался, я пойду другим путём». О ложных срабатываниях, которые останавливают действия пользователя, выполняющего свои прямые должностные обязанности – мы даже говорить не будем… А ведь сотрудник, имеющий полномочия отменить остановку – не всегда под рукой и не всегда свободен (особенно при вале подобных обращений).
У методики без остановки – всё с точностью до наоборот. Если информация ушла – она ушла. И это плохо. Наверное, плохо. Информация никогда не уходит сразу вся. Она либо копится в некоей промежуточной точке, либо сбрасывается поэтапно. В обоих случаях служба информационной безопасности имеет время на принятие мер. Любых. Начиная от ограничения сотруднику доступа к информации, заканчивая подменой истинных документов – откровенной дезой. И всё это время инсайдер, уже фактически находящийся под колпаком – упивается свободой и безнаказанностью. А когда остаётся у разбитого корыта с информацией, суммарная стоимость которой хорошо, если нулевая, а не отрицательная – даже не знает толком – где, когда и на чём прокололся. Опыт – также равен нулю.
Администратор системы с остановкой подобен директору тюрьмы. Он расставил посты, раздал охранникам инструкции и почивает на лаврах, иногда кидая в карцер узников, попавшихся на мелочах. И когда (именно когда, а не если, потому что тюрем, из которых не сбегали – в истории пока не было) инцидент всё же случится, он сможет с чистой совестью сказать «Это не я, это плохая система виновата».
Администратор же системы без остановки подобен оперативнику, который позволяет мелкому воришке вынести кусок сукна со склада, прослеживает всю цепочку до заказчика и перекрывает канал так, что от следующего воришки заказчики сами шарахаться будут. Но следует признать, что в этом случае его должность отнюдь не является синекурой, да и требования к квалификации явно повыше. 
Александр Ерощев
специалист по информационной безопасности компании SearchInform
Alt text

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.