Файл: Методы и технологии противодействия угрозам кадровой безопасности (Распознавание источника проблем).pdf
Добавлен: 30.06.2023
Просмотров: 58
Скачиваний: 2
Вместе с тем стоит отметить, что ни один регулирующий документ не рекомендует не только конкретные продукты, а даже тип продуктов, обеспечивающих защиту. Кроме того, часть угроз допускается устранять не техническими, а организационными мерами.[16]
Глава 2. Технологии по сохранению информации
2.1 Распознавание источника проблем.
Этим вопросом задаются многие, но обычно это происходит после случая утечки конфиденциальных данных. В данной ситуации руководство компании не связано определенными стандартами, а хочет построить защиту информационной системы, исходя из собственного понимания и имеющихся средств. В этом случае внедрение технических средств для усиления эффективности сопровождается организационными мероприятиями, направленными на работу с персоналом.[17]
В таком случае в набор организационных мероприятий входят инструктажи и тренинги, адаптация к новым условиям, подписание трудовых соглашений, должностных инструкций и прочих документов, регламентирующих использование ресурсов информационной системы.
Стоит учесть, что в этом случае на защиту информации работает и психологический фактор. Ведь зная о контроле со стороны руководства, многие потенциальные внутренние нарушители политики безопасности откажутся от своих намерений.
Следовательно, внедрение подобной системы должно сопровождаться гласными мероприятиями, а реализация политики внутренней безопасности должна быть введена приказом за подписью первого лица в организации.
Вместе с тем стоит понимать, что конкретные технологические решения по защите информации лучше не афишировать, чтобы не спровоцировать атаки, направленные на противодействие конкретным решениям.[18]
Выявление источников и каналов утечки информации.
Данная цель становится приоритетной для руководства организации, если оно осведомлено о регулярных утечках конфиденциальной информации из системы. Если основной целью организации становится выявление источников и каналов утечки, то задачи будут совсем другими.[19]
В данном случае внедрение необходимо проводить, используя противоположный предыдущему поход, то есть не открытый, с акцентом на сборе доказательств. Как правило, при этом установка программного обеспечения маскируется под обновление антивируса или другой системы безопасности.
Важной частью такого внедрения является сбор доказательств. Ведь выявить источник утечек - это только малая часть работы. Нужно собрать доказательства, чтобы иметь возможность наказать злоумышленника в рамках действующего законодательства. А тут придется «попотеть». В каждой стране юридическая база процесса сбора доказательств своя. Однако общим является то, что сбор цифровых доказательств (журналы логов, копии писем и т.д.) строго регламентирован законом. Однако стоит понимать, что даже собрав доказательства, вы сможете доказать вину не конкретного человека, а его «цифровой копии» (почтовый ящик, IP-адрес, учетная запись). А это очень усложняет данную ситуацию. Доказать, что эти конкретные цифровые идентификаторы использовались в данный момент времени конкретным человеком - весьма сложно. Учитывая презумпцию невиновности, доказательство вины конкретного человека должен предоставить работодатель. Доказать вину человека и однозначно связать его с цифровой «копией» могут системы видеонаблюдения, биометрические системы аутентификации или системы строгой аутентификации на базе аппаратных ключей или смарт-карт.[20]
2.2 Методы решения проблем безопасности
Чаще всего эта цель ставится предприятиями, которые получают информацию третьих компаний - аудиторскими компаниями, консультационными компаниями, call-центрами, компаниями, которые оказывают услуги перевода и т.д.
В данном случае внедрение производится открыто, однако средства контроля внедряются таким образом, чтобы в любой момент компания могла предоставить клиенту информацию обо всех действиях с его данными.
Комплекс технических средств и правил.
После выбора цели проекта компания должна описать весь комплекс технических средств и правил, которые применяются в компании.
Часто в компании, которая поставила цель создать технологическую инфраструктуру защиты от внутренних ИТ-угроз, отсутствует политика стандартизации процессов, которые происходят на рабочих местах пользователей. Кроме того, часть пользователей обладает правами локальных администраторов. Как правило, это пользователи операционных систем Windows 9x и владельцы ноутбуков. Это также означает, что на рабочих местах хранятся копии документов, содержащих конфиденциальную информацию.[21]
Помимо этого, на рабочих местах может быть установлено потенциально опасное программное обеспечение, например программы синхронизации с мобильными устройствами, программы шифрования, файловые менеджеры, которые могут проводить операции с временными файлами Windows и т.д.[22]
Стоит отметить, что с каждым годом пользователи становятся все более высококвалифицированными. Ведь имея дома компьютер с доступом в Internet, а то и локальную сеть, они могут приобрести потенциально опасные для информационной сети навыки. Как правило, сегодня обычный пользователь может инсталлировать программы, выходить в Internet по мобильному телефону, передавать информацию в зашифрованном виде, пользоваться мобильными устройствами хранения информации и т.д.[23]
Сегодня к мерам по защите информации от внутренних угроз компании относят использование технических средств контроля доступа к ресурсам (Internet, электронная почта, USB), а также сигнатурную контентную фильтрацию (как правило, это специальным образом настроенный антиспам-фильтр). Однако стоит понимать, что эти методы позволяют противодействовать либо неопытным, либо неосторожным пользователям.[24]
Стоит помнить, что сигнатурная контентная фильтрация легко обходится либо удалением «опасных» слов, либо примитивным кодированием, т.е. заменой символов одной кодировки (западноевропейской) другой (кириллической). Легко заметить что слова «секретно» и «ceкpeтно» читаются одинаково, в то время как во втором слове выделенные буквы набраны в западноевропейской кодировке. Более того, кто или что может мешать заменить букву «о» на цифру «0» или букву «s» на цифру «5»? А сигнатурный анализатор просто пропустит это слово как нераспознанное.
Вместе с тем следует понимать, что принцип «запретить все» неприменим, так как сотрудникам необходимо продолжать работать.
То есть нужно учесть, что, с одной стороны, компании нуждаются в упорядочении системы хранения конфиденциальной информации, а с другой - во внедрении более эффективной системы защиты от внутренних угроз.[25]
После определения цели защиты конфиденциальной информации, которая хранится в корпоративной сети в электронном виде, от внутренних угроз, важно понять, что именно мы собираемся защищать.[26]
Таким образом, в компании необходимо принять документ (например, «Положение о конфиденциальной информации»), который позволит однозначно категорировать информацию по степени конфиденциальности. Вместе с тем необходимо провести категорирование групп пользователей по степени разрешенных действий с данной информацией. Скорее всего, такое положение о конфиденциальности у вас уже существует для бумажных документов. Теперь нужно адаптировать данное положение к электронным документам, т.е. дать определение жизненному циклу документа (определить, кем и при каких условиях создается документ, модифицируется и уничтожается), а также регламентировать работу с такими отсутствующими у бумажных документов понятиями, как копия документа, часть документа и т.д.[27]
В процессе разработки «Положения о конфиденциальной информации» (далее Положение) необходимо отметить виды информации, которые запрещено отправлять по электронной почте. Практически во всех компаниях существует стандартный набор документов, который запрещено отправлять по электронной почте.
При этом нужно учесть, что существует набор информации, которую одно подразделение может отправлять, а другое - нет. В качестве примера можно привести письма, в которых упоминаются первые лица компании. Такие письма может рассылать лишь служба по связям с общественностью, а письма с упоминанием банковских реквизитов - бухгалтерия и т.д. При этом стоит отметить, что в каждой компании будут свои нюансы.[28]
В Положении необходимо предусмотреть регламент использования конфиденциальных документов, описание системы хранения подобных документов и организации доступа к ним.
Кроме того, следует предусмотреть ведение «журнала» работы с подобными документами, в котором требуется отражать основание для обращения к документу, цель использования и т.д. В данном случае ведение журнала облегчено тем, что многие операции могут производиться в автоматическом режиме. Подобный способ ведения журнала в разных источниках называется по-разному. Кроме термина «журналирование» можно встретить термин «логирование». Хотя фактически это один и тот же процесс.[29]
В положении должно быть отмечено, что никакой администратор не может изменять информацию в журнале своей работы, чтобы предотвратить возможные противоправные действия.[30]
Классификация информации по уровню конфиденциальности
Конфиденциальную информацию можно разнести по следующим категориям (пример):
- «СТРОГО КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решением руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);
- «КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему, как собственнику (уполномоченному собственником лицу) информации, правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ущерба его клиентам, корреспондентам, партнерам или сотрудникам);
- «ОТКРЫТАЯ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.[31]
Иногда в компании вводят больше уровней конфиденциальности. Однако следует понимать, что чрезмерное увеличение числа категорий влечет за собой увеличение числа документов и усложнение системы защиты.
Однако надо учесть, что, так как в организации каждый день создается множество документов, без механизма их автоматической или полуавтоматической классификации реестр уже через некоторое время потеряет свою актуальность.[32]
Также следует категорировать информацию по критериям целостности и доступности.
Необходимо обратить особое внимание на организацию процесса пометки конфиденциальных документов. Каждый конфиденциальный документ должен содержать метку, по содержанию которой контролирующие программы могли бы определить степень его конфиденциальности и категорию пользователей, которые могут проводить с ним потенциально опасные операции - публикацию в Internet, копирование на сменные носители, переименование, отправку по электронной почте и т.п. Технические и организационные методы установки меток выбирает заказчик. Если все защищаемые документы хранятся исключительно в формате программ Microsoft Office, то в качестве метки может использоваться запись "конфиденциально" в соответствующих полях свойств документов. Некоторые производители систем документооборота используют программные метки и специальные форматы файлов. Однако самый распространенный и простой способ присваивания меток - именование файлов по специальной маске. Например, первые 10 символов - тематическая группа, к которой относится документ (название клиента, рабочей группы, подразделения, отрасли и т.д.), затем знак подчеркивания, затем 20 символов для описания документа, снова знак подчеркивания и восьмизначная дата в формате YYYYMMDD.[33]
Следует обратить внимание на то, что процесс внедрения процедуры именования файлов - не какая-то разовая акция, а постоянная работа по обучению персонала именовать файлы именно таким образом. Необходимо понимать, что, кроме организационных методов (закрепление приказом только такой формы именования, поддержка способа именования руководством и инструктаж новых сотрудников), надо привлечь и технические средства. Самый простой технический способ внедрения этой процедуры - разрешать выкладывать на файловый сервер, класть в корпоративное хранилище или публиковать в корпоративной сети только те файлы, которые именованы по заранее утвержденному шаблону. Со временем все файлы, которые прошли через электронную почту, файловые серверы, хранилище данных и корпоративную сеть, будут называться правильно.[34]