Файл: Разработка методики расследования преднамеренных действий, связанных с несанкционированной распечаткой конфиденциальной информации.pdf

- нарушение регламентов документооборота со стороны сотрудников.

Система защиты от утечек подобного типа построена на следующих принципах:

- технологический принцип (использование средств гарантированного уничтожения данных с электронных носителей, а также устройств для уничтожения документов на бумажных носителях);

- организационный принцип (создание организационной структуры и нормативной базы, регламентирующей систему документооборота и правила защиты информации).

Для каждого канала утечки информации необходим физический путь от источника конфиденциальных данных к злоумышленнику, с применением которого производится перехват защищаемой информации. Для возникновения (образования, установления) канала утечки данных необходимо наличие определенных пространственных, энергетических и временных условий, а также соответствующих средств восприятия и фиксации полученных данных на стороне злоумышленника.

Проектирование системы защиты от утечек данных по техническим каналам также предполагает [10]:

- учет типа обрабатываемой конфиденциальной информации;

- особенности организации – оператора обработки данных, наличие специфических требований к защите информации в сфере деятельности предприятия;

- условия пользования офисным помещением (возможность или невозможность установки устройств определенного типа или прокладки коммуникаций).

Для каждого вида каналов утечки данных характерны свои специфические особенности.

Проектирование системы защиты от утечек по техническим каналам системный подход подразумевает:

- использование единой архитектуры при проектировании системы защиты;

- осуществление комплекса организационных мероприятий – назначение ответственных специалистов за контроль мероприятий по защите информации;

- документационное обеспечение: издание документов, определяющих порядок работ с системой защиты информации, ознакомление специалистов с данными регламентами, включение в должностные инструкции обязанностей по соблюдению мер конфиденциальности, а также ответственности за их нарушение;

- применение инженерно-технических решений, примеры которых разобраны выше;

- при возможности – интеграция системы защиты от утечек в информационную систему предприятия с возможностью управления ей специалистами организации.

---

2.Проблема контроля несанкционированной распечатки информации

В настоящее время все большая часть технологических процессов компаний автоматизирована с использованием программных продуктов различной сложности. В связи с этим остро встает проблема использования информационные ресурсов компании в неслужебных целях. В рамках данной работы рассматривается вопрос несанкционированного использования оргтехники. Можно определить следующие виды нецелевого использования оргтехники для распечатки конфиденциальной информации:

- деятельность специалистов компании, работающих на конкурирующие организации и использующие ресурсы оргтехники фирм для распечатки данных, содержащих элементы коммерческой тайны. Негативные последствия утечки информации таким способом могут быть связаны с утечками технологий, клиентских баз, финансовой информации, информации об участии компании в тендерах, что может привести к значительным убыткам компании;

- несанкционированная распечатка конфиденциальной информации может быть также связана с ошибочными действиями пользователей, работающих с автоматизированными системами, обрабатывающими конфиденциальную информацию. Пользователь может распечатать информацию ошибочно, создать лишнюю копию и забыть ее уничтожить. В таком случае негативные последствия могут быть связаны с повышением уязвимости системы защиты данных – к ошибочно распечатанному документу может получить доступ злоумышленник и использовать имеющуюся информацию в своих интересах;

- несанкционированная распечатка данных может быть также произведена специалистами по своему усмотрению в личных целях или целях своих знакомых (например, специалиста могут попросить знакомые дать адрес того или иного клиента, либо его паспортные данные). Такие действия могут подпадать под запрет согласно действующему законодательству, санкции могут быть наложены как на самого специалиста, допустившего утечку персональных данных, так и на саму организацию – оператора персональных данных.

В компаниях с небольшими коллективами вероятность нарушений подобного рода является невысокой, в силу того, что небольшие фирмы правило не имеют больших оборотов, в силу чего конкурирующим фирмам неэффективно применять такие меры, как вербовка сотрудников-инсайдеров. С ростом штатной численности вероятность появления нарушений подобного рода растет, так как в информационных системах таких компаний содержится большие объемы персональных данных и коммерчески значимой информации, снижается контроль за действием каждого из сотрудников, при этом информационная система компаний представляет больший интерес для конкурентов. Таким образом, задача контроля целевого использования техники, предназначенной для распечатки информации становится все более актуальной задачей.

---

3. Технические средства мониторинга использования техники для распечатки информации

Согласно ГОСТ Р ИСО/МЭК ТО 18044-2007 «Менеджмент инцидентов информационной безопасности», при использовании системы менеджмента инцидентов ИБ необходимо осуществить следующие процессы:

- обнаружение и оповещение о возникновении событий ИБ (человеком или автоматическими средствами);

- сбор информации, связанной с событиями ИБ, и оценка этой информации с целью определения, какие события можно отнести к категории инцидентов ИБ;

- реагирование на инциденты ИБ:

- немедленно, в реальном или почти реальном масштабе времени;

- если инциденты ИБ находятся под контролем, выполнить менее срочные действия (например, способствующие полному восстановлению после катастрофы);
- если инциденты ИБ не находятся под контролем, то выполнить "антикризисные" действия (например, вызвать пожарную команду/подразделение или инициировать выполнение плана непрерывности бизнеса);
- сообщить о наличии инцидентов ИБ и любые относящиеся к ним подробности персоналу своей организации, а также персоналу сторонних организаций (что может включить в себя, по мере необходимости, распространение подробностей инцидента с целью дальнейшей оценки и (или) принятия решений);

- правовую экспертизу;

- надлежащую регистрацию всех действий и решений для последующего анализа;

- разрешение проблемы инцидентов.

Обнаружение факта несанкционированной распечатки конфиденциальной информации возможно следующими способами:

- показания специалистов по факту обнаружения несанкционированной распечатки конфиденциальной информации;

- протоколирование распечатки информации с использованием технических средств;

- использование средств видеонаблюдения в помещениях, где может производиться распечатка конфиденциальной информации.

Первый способ не может гарантировать достоверного факта обнаружения инцидента, связанного с несанкционированной распечаткой конфиденциальной информации в силу специфики трудовых коллективов в РФ, но тем не менее при объяснении сотрудникам компании необходимости соблюдения условий конфиденциальности информации, введение систем стимулирования может приносить свои плоды.

---

Другим направлением защиты информации от несанкционированной распечатки является соответствующая настройка программных комплексов:

- ограничение времени входа в систему;

- ведение протоколов работы пользователей в системе и протоколов распечатанной информации на уровне прикладного программного обеспечения, в которые бы производилась запись информации о сформированных и распечатанных отчетах.

Указанная настройка программного имеется, например, в версиях ПО «1С:Битрикс». Администратор системы путем анализа протоколов действий пользователя может установить время и вид распечатанной информации и провести расследование по подозрительным инцидентам.

Но указанная настройка существует далеко не во всех программных продуктах. Кроме того, распечатываться может информация, например, из офисных приложений, где протоколирование не ведется.

Другим способом протоколирования несанкционированной распечатки данных является изучение истории печати, формируемой операционной системой.

Пример формирования протокола распечатки информации с использованием средств операционной системы показан на рисунке 1. Настройка, необходимая для ведения протокола печати в журнале операционной системы приведена на рисунке 2. На рисунке 3 приведен пример протокола печати, сформированного операционной системой.

Рисунок 1 – Формирование протокола распечатки информации

Рисунок 2 – Настройка для включения журнала печати

Рисунок 3 – Журнал печати

Рисунок 4 – Протокол печати информации

Таким образом, протокол печати, сформированный в журнале операционной системы, предоставляет информацию:

- о дате и времени печати;

- об имени файла, отправленного на печать;

- о пользователе, производящем печать документа.

При использовании данного способа обнаружения факта несанкционированной печати можно установить факт печати, но невозможно установить степень конфиденциальности распечатанной информации.

Для доказательства факта несанкционированной распечатки информации служит специальное программное обеспечение, позволяющее проводить теневое копирование рабочего стола пользователя.

Если администратор имеет информацию с рабочего стола пользователя и соответствующий этому времени факт использования принтера, то факт распечатки конфиденциальной информации будет считаться доказанным.

---

Примеры программного обеспечения для возможности записи скриншотов с рабочего стола пользователей:

- ACA Capture Pro;

- Bandicam;

- BB FlashBack Pro

-Broadcaster's StudioPRO

- BSR Screen Recorder

- CamStudio

- Gamecam game recorder

- Mirillis Action

- Camtasia Studio

- Snagit.

Для обнаружения специалиста, производившего несанкционированную распечатку данных необходима установка системы видеонаблюдения, при которой камеры направлены в область печатающих устройств.

При этом злоумышленники могут обойти указанные схемы протоколирования действий пользователя. Для повышения надежности системы системному администратору необходимо провести соответствующие настройки информационной системы. Возможные способы обхода системы протоколирования пользователей и меры противодействия им приведены в таблице 1.

Таблица 1. Возможные меры противодействия системам защиты и способы борьбы с ними

Вид противодействия системам защиты	Способ борьбы
Вход в систему под чужой учетной записью	Использование электронных ключей, усложненная система аутентификации, обеспечение сохранности парольной информации
Очистка системного журнала	Понижение прав доступа пользователей на рабочих станциях, копирование системного журнала на сервер
Отключение протокола сканирования рабочей станции	Понижение прав доступа пользователей на рабочих станциях, копирование системного журнала на сервер, использование специальных средств защиты, блокирующих подобные попытки
Использование неучтенных принтеров	Блокирование USB-портов, использование сетевых принтеров
Помехи в работе видеокамеры	Использование дублирующих видеокамер, использование системы сигнализации – защиты системы видеонаблюдения

4. Организация комиссии по расследованию инцидентов

Согласно ГОСТ Р ИСО/МЭК ТО 18044-2007 «Менеджмент инцидентов информационной безопасности», в качестве основы общей стратегии ИБ организации необходимо использовать структурный подход к менеджменту инцидентов ИБ. Целями такого подхода является обеспечение следующих условий:

- события ИБ должны быть обнаружены и эффективно обработаны, в частности, определены как относящиеся или не относящиеся к инцидентам ИБ;

---