Борьба с инсайдерами при помощи внутренней политики информационной безопасности

Размещено на http://www.allbest.ru/

ФАКУЛЬТЕТ

« ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ »

Реферат

на тему:

«Борьба с инсайдерами при помощи внутренней политики информационной безопасности»

Исполнители:

студенты гр. Б9-02

Гнедков М.

Зензин И.

Сенчугов К.

Принял доц. каф. 41 Журин С.И.

Москва - 2008

Введение

Инсайдер - сотрудник организации, имеющий в силу своих должностных полномочий доступ к конфиденциальным сведениям и жизненно важным ресурсам ее системы.

В данной работе рассмотрено и проанализированной несколько фирм, у которых инсайдерская угроза стоит на первом месте. Описано, какими ресурсами готовы пожертвовать и какие новшества внедрены во внутреннюю политику информационной безопасности. По словам представителей компаний, если взглянуть на классификацию продуктов и услуг в области информационной безопасности, мы не увидим там ни одного продукта, способного контролировать внутренние ИТ-угрозы, в частности утечку и искажение конфиденциальных данных. Ни межсетевые экраны, ни антивирусные продукты, ни системы обнаружения вторжений не могут предотвратить злоупотребления пользователей. Системы разделения доступа, биометрические и другие системы идентификации, шифрование конфиденциальных данных также не способны защитить информацию -- у инсайдера есть все права доступа, пароли и ключи. Миллиарды долларов, вложенные в эти системы безопасности, оказались бессильными против рядового клерка с iPod-ом. Большинство электронных утечек в последние годы было раскрыто и предотвращено не средствами информационной безопасности, а старыми добрыми оперативными средствами -- физическим слежением за сотрудниками, кадровой работой.

1. Цели и методика внедрения системы защиты против инсайдера

Таблица 1

Цель	Внедрение
Соответствие требованиям нормативных стандартов	Внедрение контролей, проверяемых при аудите
Сохранность информации	Открытое внедрение в сочетании с кадровой работой
Выявление канала утечки	Скрытое внедрение
Доказательство непричастности	Архивация движения данных и сетевых операций для доказательства того, что источник утечки не внутри фирмы

Модель системы защиты от внутренних ИТ-угроз заложена в стандарты и внедрять эту систему нужно, прежде всего, таким образом, чтобы пройти аудит на соответствие описанным стандартам. В этом случае при конфликте функционала системы между эффективностью и соответствию стандартам выбор делается в ущерб эффективности. Следует также отметить, что ни один регулирующий орган не рекомендует даже тип продуктов, которыми следует защищаться и часть угроз допускается закрывать организационными средствами.

1.1 Сохранение информации

защита информационный безопасность инсайдер

Этот ответ чаще всего возникает после реального инцидента с утечкой конфиденциальной информации. В этом случае заказчик не связан стандартами, а волен строить защиту своей информационной системы исходя из собственного понимания и имеющихся средств. Тогда для усиления эффективности защиты внедрение технических средств сопровождается работой с персоналом. В эту работу входят как инструктажи и тренинги, так и адаптация под новые условия и переподписание трудовых соглашений, должностных инструкций и регламентов использования информационной системы.

Психологический фактор работает на защиту информации. Зная о том, что их действия контролируются, многие потенциальные нарушители откажутся от намерений нарушить политику безопасности. Поэтому внедрение такой системы должно сопровождаться гласными мероприятиями, политики внутренней безопасности должны быть внедрены приказом за подписью первого лица. Однако конкретное технологическое решение лучше не афишировать, чтобы злоумышленники не работали против конкретной системы.

1.2 Выявление источников и каналов утечки информации

Эта цель встает перед заказчиком, если он знает о регулярных случаях утечки информации из своей информационной системы. Если компания концентрируется на этой цели, то перед ней встают совершенно другие задачи. Этот тип внедрения противоположен предыдущему. Прежде всего, упор делается на скрытом внедрении и сборе доказательств. Часто при скрытом внедрении установка программного обеспечения маскируется под обновление другой системы безопасности, например, антивируса.

Сбор доказательств - не менее важная часть такого внедрения. Ведь мало выявить источник утечек, необходимо иметь возможность его наказать в рамках действующего законодательства. В общих чертах ситуация следующая: сбор цифровых доказательств (журналов доступа, копий писем и т.д.) строго регламентируется законодательством. Чаще всего для того, чтобы доказательства были признаны в суде, требуется специальным образом опечатанный спецслужбами сервер, к которому, кроме спецслужб, доступа никто не имеет. Но даже и в случае признаний этих доказательств судом, они покажут не на человека, а на его цифровую "копию" - почтовый ящик, учетную запись, IP-адрес и т.д. Доказать, что в момент нарушения за компьютером находился конкретный человек достаточно сложно. Учитывая презумпцию невиновности, бремя доказательства лежит на работодателе. Технические средства, которые могут быть использованы для этого - биометрические ключи и видеонаблюдение.

1.3 Права пользователей

Как обычно обстоят дела в информационной системе компании, офицеру информационной безопасности которой поручено создать технологическую инфраструктуру по защите от внутренних ИТ-угроз? Во-первых, отсутствует единая политика по стандартизации процессов, происходящих на рабочих местах пользователя. Это означает, что часть пользователей обладает правами локальных администраторов. Обычно это две группы пользователей - пользователи устаревших операционных систем (MS Windows 98, например) и пользователи ноутбуков. Это также означает, что копии конфиденциальных документов хранятся на рабочих местах. Кроме того, на рабочих местах установлено потенциально опасное ПО - файловые менеджеры, которые могут проводить операции с временными файлами Windows, программы синхронизации с мобильными устройствами, программы шифрования и т.д.

1.4 Квалификация пользователей

Пользователи с каждым годом становятся все более квалифицированными. Имея дома компьютер с доступом в Интернет, а то и локальную сеть, они приобретают навыки, которые могут оказаться опасными для информационной безопасности предприятия. Рядовой пользователь компьютера сегодня умеет устанавливать программы, снимать процессы, выходить в Интернет по мобильному телефону, передавать информацию в зашифрованном виде и т.д.

1.5 Средства защиты

Нельзя сказать, что никакие меры по защите информации от внутренних угроз в типичной компании не принимаются. Обычно заказчики относят к этому типу технические решения по контролю доступа к ресурсам (Интернет, корпоративная почта и USB), а также сигнатурную фильтрацию (обычно специальным образом настроенный антиспам-фильтр). Однако эти методы действенны лишь против неосторожных либо неквалифицированных нарушителей. Запрещенный доступ злонамеренные сотрудники обычно получают имитацией служебной необходимости - не стоит забывать, что мы говорим о внутренней ИТ-безопасности, т.е. методы "запретить все" неприменимы, так как приведут к остановке бизнеса.

Таким образом, компании имеют необходимость, с одной стороны, упорядочить систему хранения конфиденциальной информации, с другой стороны, внедрить более совершенную систему защиты от внутренних угроз.

2. Построение безопасности в Cisco Systems

Рассматривая и анализируя компанию Cisco Systems, стоит отметить несколько основополагающих моментов. Один из них - это кодекс поведения сотрудников [1]. Каждый из сотрудников в начале каждого года должен ознакомиться с этим документом и расписаться (в электронном виде) об этом. Какой информацией должен владеть и к каким файлам имеет доступ, а так же что в праве имеет делать сотрудник, а чего нет. Компания является многонациональной и поэтому данный документ доступен практически на всех основных языках тех стран, где встречаются офисы компаний, чтобы избежать неправильного понимания сего основополагающего документа. Второй аспект, это то, что компания трактует своих сотрудников как добропорядочных членов общества, т.е. существуют доверительные отношения с сотрудниками, об этом будет упомянуто позже. Конечно, сотрудник, ознакомившийся с кодексом поведения, может принести ущерб компании, как в техническом плане, так и в гуманитарном, т.е. неумышленно передать информацию третьим лицам. А также умышленное хищение важной информации. И так, по словам Кадера Михаила Юрьевича можно сделать вывод о разделении ущерба. Значит, разделяем ущерб на [3]:

1) непредумышленный с несоблюдением требований;

2) умышленный.

Второй вид ущерба - умышленный мы почти исключаем, т.к. Cisco Systems основывает свою внутреннюю безопасность на доверии сотрудников. По мнению сотрудников информационной безопасности CS очень важно доверять работе персоналу, и верить сотрудникам, что не произойдет утечка данных в своих корыстных целях. Как выше было сказано, умышленный ущерб мы почти исключаем. В своих экономических интересах, сотрудники компании могут воспользоваться конфиденциальной информацией, находящейся под грифом секретности 1Г и выше, в целях продать полезную информацию конкурентам компании, либо в каких то своих корыстных целях, что и приносит убыток и вред CS. Поэтому и идет борьба с коррупцией на предприятии. В случае хищения информации, в первую очередь оценивается принесенный убыток. Известно, что безопасность - это управление рисками. И если убыток не превышает затрат на обеспечения безопасности и выявления нарушителя, то эту утечку информации берут на заметку и дальнейшее расследование.

Что касается непредумышленного ущерба, борьба с таким нарушением следующая. Компания проводит обязательный ежегодный тренинг по безопасности для всех сотрудников. Так же раз в квартал инструктирование всех сотрудников Cisco Systems.

Стоит отметить и технические моменты, что способствует минимизировать ущерб компании. Из технических средств используются:

1) На всех компьютерах компании стоит лицензионное и сертифицированное программное обеспечение Cisco Security Agent, которое обеспечивает информационную безопасность и борьбу с угрозами как извне, так и изнутри.

2) Так же используется Mail Security, это ПО используется для внутренней информационной безопасности. Предназначено для следующих задач:

а) Антиспам;

б) Проверка приходящей почты на вирус;

в) Утечка через электронную почту.

Раз мы говорим об инсайдерах, то следует отметить используемую защиту в CS:

1) ПО для инвентаризация;

2) Установка ПО удаленно.

В компании существуют 3 категории классифицированных документов [1]:

1) Cisco Public - документы доступны без ограничений любому пользователю и посторонним лицам.

2) Cisco Confidentional - это вид документов доступен партнерам компании и сотрудникам, и не подлежит разглашению.

3) Internal Use Only - только для сотрудников и внутреннего пользования. Доступ к такому виду документов имеют не все сотрудники CS, а только те, у кого есть допуск к такой форме секретности на предприятии. Вся информацию таких документов разглашению не подлежит.

Очень важный момент, что все документы поделены на классы, прикрепленные к каждой группе. В случае утечки одного из документов, такой метод разделения облегчит выявление нарушителя.

Как уже было сказано, CS основывается на доверии сотрудников и не позволяет следить за сотрудниками скрытно. После разговора с инженером - консультантом Кадером Михаилом Юрьевичем о скрытном слежении, т.е. вести мониторинг скрытно. Михаил Юрьевич ответил кратко: « Конституция США не позволяет такой метод слежения, т.е. секретно. Политика безопасности основывается полностью на конституции США»

В случае возникновения проблемы, обнаружения вируса или атаки, как со стороны внешних угроз, так и внутренних, предпринимаются следующие меры:

1) Идентифицируется проблема;

2) Передается в компанию Infosec. Специалисты ИТ-компании анализируют проблему (что именно послужило утечкой информации, либо проникновению вируса), и следом создается тестовая площадка. Если тест прошел успешно, то создается пилотная зона. По результатам пилотной зоны происходит внедрение, непосредственно в CS. Внедрение происходит не глобальное, на все компьютеры компании, а только 10-15% всех компьютеров CS. Это в своем роде происходит как бета-тестирование. Далее внедрение идет на все ПЭВМ, причем, как было упомянуто, удаленно. Внедрение на все компьютеры компании происходил в максимально короткие сроки, в течении 3 недель. (рис.2)

2.1 Схемы безопасности и внедрения в CS, в частности касается внедрения CSA (Cisco Security Agent)

2.1.1 3 Кита безопасности Cisco

Рисунок 1 - 3 кита безопасности

Для эффективного управления рисками в IP-сетях необходимо внедрить непрерывный, итерационный процесс:

- Проактивное применение политик, регулирующих поведение пользователей и защиту сети и сервисов

- Активный мониторинг сетевого и пользовательского поведения для проверки соответствия политике и обнаружения событий, негативно влияющих на сервисы

- Быстрое реагирование на атаки, их отражение и предотвращение вредоносного поведения пользователей

2.1.2 4 составляющих стратегии

* физическая безопасность и безопасность рабочего пространства

* информационная безопасность

* безопасность продуктов

* продукты безопасности

2.2 Защита ПК и серверов

Проблема

Отсутствие защиты персональных компьютеров, таких как ПК и КПК на уровне самого узла повышает ущерб от вредоносных программ и снижения продуктивности, увеличивает стоимость восстановления

Решение

Внедрение Cisco Security Agent на 37000 Windows ПК

Результаты

В апреле 2004 99.86% компьютеров отразили эпидемию вируса bagle.aa

Что дальше

Сделать политику более строгой и расширить сферу использования CSA

2.3 Cisco Security Agent для Cisco

Рисунок 2 - Внедрение Cisco Security Agent

* 47.000 компьютеров

* Эффективная настройка политики безопасности

* Прозрачное внедрение без участия владельцев компьютеров

2.3.1 Отражение вируса bagle.aa

Вирус появился в апреле 2004.

Не было времени на установку патча или обновление антивируса.

Из 38,370 ПК защищенных Cisco Security Agent, около 600 было скомпрометировано - 620 пользователей открыло зараженный файл.

Некоторые пользователи нажали “Yes” на вопрос:

«Подозрительное приложение пытается получить доступ к электронной почте. Разрешить?»

Существенное снижение времени и стоимости борьбы

А также обновление политики безопасности для снижения влияния «человеческого фактора»

В заключение о компании, стоит отметить очень важный фактор, что все продукты компании лицензионные и сертифицированные [2].

3. Опыт и проблемы внедрения внутренней ИТ-угрозы

Рассмотрим среднестатистическую компанию.

Два года назад было опубликовано весьма актуальное и, на наш взгляд, очень своевременное исследование Infowatch о внутренних ИТ-угрозах в России. Данное исследование "Внутренние ИТ-угрозы в России 2004" показало, что не защищенность информации современными системными средствами от санкционированных пользователей (инсайдеров) - пользователей, допущенных к обработке конфиденциальных данных в процессе своей служебной деятельности. Практически по единогласному мнению специалистов, переводит проблему противодействия внутренним ИТ-угрозам (угрозам хищения информации инсайдерами) в разряд ключевых проблем защиты информации, а возможность эффективного противодействия внутренним ИТ-угрозам - в разряд доминирующих потребительских свойств средств защиты информации.

Со своей стороны, также попытался разобраться в этих вопросах, однако не в части констатации сложившегося положения дел, а в части выявления причин сложившейся ситуации. В результате исследования Infowatch, попытался предложить общие подходы и технические решения, обеспечивающие эффективное противодействие внутренним ИТ-угрозам. В данной же части работы попытался взглянуть на вновь проведенное специалистами Infowatch исследование со своей позиции, используя знания, полученные во время обучения в сфере защиты информации от внутренних ИТ-угроз.

3.1 Результаты исследований

Результаты исследований, проведенных специалистами Infowatch, в части анализа критичности ИТ-угроз, представлены на рис.3 - рис.4 [5]. Представление результатов проведенных исследований в полной мере характеризует и изменения, произошедшие за последний год.

В порядке замечания хочется отметить, что объективность исследований подтверждается специалистами Infowatch обоснованием выборки респондентов, а также снижением уровня латентности и достижения наиболее правдоподобных результатов, за счет проведения опроса специалистов на анонимной основе.

Что же можно сказать по результатам данных исследований, что за год ничего не изменилось. По-прежнему кража информации с целью нарушения ее конфиденциальности считается специалистами наиболее опасной ИТ-угрозой, а к наиболее вероятным способам хищения информации опять же отнесены каналы утечки данных, которыми могут воспользоваться инсайдеры. Заметим, что, если подобные выводы специалистами сделаны в большой мере интуитивно, либо на основании собственного горького опыта, то мной в предыдущей части работы в частности компании Cisco Systems дано этому обоснование, заключающееся в том, что в основе архитектуры защиты современных универсальных ОС лежит реализация принципа «ПОЛНОГО ДОВЕРИЯ К ПОЛЬЗОВАТЕЛЮ».



Рисунок 3 - Самые опасные внутренние ИТ-угрозы

Рисунок 4 - Каналы утечки данных

Если же рассмотреть динамику изменений, произошедших за год, то можем заключить, что она не значительна, и те процентные изменения, которые отражены на соответствующих рисунках, скорее могут быть отнесены к допустимой погрешности исследований, нежели чем в качестве подтверждения какого-либо изменения положения дел.

3.2 Слова расходятся с делом

Итак, исходя из исследований, проиллюстрированных на рис.3 - рис.4, сделали вывод, что необходимость противодействия внутренним ИТ-угрозам, как ключевая задача защиты информации сегодняшнего дня, специалистами осознана. По истечении года, можно было бы предположить, что положение дел изменится. Посмотрим, как изменилась ситуация на рынке средств защиты информации, резонно предположить, что самыми востребованными за прошедший год стали решения, призванные противодействовать хищению информации инсайдерами.

Результаты исследований, проведенных специалистами Infowatch, иллюстрирующих популярность средств ИТ-безопасности, представлены на рис.5. Видно, что за год предпринимаемых мер ничего не изменилось. И что характерно, растет доля применения средств защиты, но в большинстве своем, никак не связанных с утечкой данных. Таким образом, видно явное противоречие, с одной стороны, понимание критичности внутренних ИТ-угроз и обеспокоенность этим специалистов, с другой стороны, нежелание или невозможность этому противодействовать (хотелось бы обратить внимание на то, что сектор иных средств защиты, средств, ориентированных на повышения стабильности функционирования информационных систем предприятия, достаточно динамично развивается, что иллюстрирует рис.5.

Какие видят потребители средств защиты пути противодействия утечке данных и какие пути реализуют на практике, проиллюстрировано на рис.6.



Рисунок 5 - Популярные средства ИТ-безопасности



Рисунок 6 - Пути защиты от утечки данных

Здесь опять же видно, что слова расходятся с делом. Практически единодушно заявляя о целесообразности внедрения комплексных решений на основе ИТ-технологии (другими словами, понимая единственно правильный подход к решению задачи), большинство потребителей средств защиты на практике не предпринимают никаких реальных действий по противодействию утечке данных. Если же подобные действия и предпринимаются, то в основном они сводятся к реализации организационным мер, что в данном случае просто бессмысленно. Причем интересен и тот факт, что на фоне всего этого (понимания проблемы и непредпринятия каких-либо практических шагов для ее решения), потребитель не желает отказываться в пользу безопасности и от критичных сервисов, предоставляемых информационными технологиями (на рис.6 это иллюстрирует позиция «Ограничение связи с внешними сетями»).

3.3 Сдерживающие факторы

Особый интерес вызывает то, как потребители средств защиты объясняют свою бездейственность в решении задач, применительно к рассматриваемому сектору защиты информации. Выявленные специалистами Infowatch препятствия для внедрения защиты от утечки данных представлены на рис.7. Именно эта часть исследования должна ответить на вопросы: какие существуют сдерживающие факторы, объясняющие сложившееся положение дел, и если есть, то какие.



Рисунок 7 - Препятствия для внедрения защиты от утечки данных

Здесь видно кардинальное (практически в равных долях) изменение ситуации по трем позициям: «Нехватка квалифицированного персонала», «Отсутствие стандартов», «Отсутствие технологических решений».

Заметим, что задача обеспечения информационной безопасности - это крайне сложная научно-техническая задача, требующая от специалистов, принимающих участие в ее решении, обладания знаниями во многих областях, прежде всего, это вычислительная техника, средства телекоммуникаций и т.д. Эти специалисты должны разбираться в принципах и архитектурных особенностях построения современных системных средств и приложений, обладать необходимыми навыками программирования. Не стоит думать, что, обучившись навыкам администрирования какого-либо средства защиты (либо нескольких средств), человек, не имеющий хорошего базового образования в области вычислительной техники, сможет решать задачи защиты информации

В порядке замечания хочется отметить, что ряд компаний разработчиков идет «на поводу» у потребителя с его проблемами нехватки квалифицированного персонала. Хотя, на мой взгляд, сам факт утверждения, что средство защиты отличается простотой администрирования, не имеет право на существование (другое дело, что необходимо разрабатывать интерфейсы, максимально упрощающие эту задачу). Следует не упрощать средство защиты, сводя его администрирование к нажатию одной «красной кнопки», а повышать квалификацию лиц, обеспечивающих безопасность на предприятии. Когда информация становится товаром, необходимо понимать, что эффективно противодействовать ее хищению можно только обладая необходимой квалификацией. Хотелось бы верить, что в общем случае не нежелание вкладывать дополнительные средства в защиту информации является сдерживающим фактором при решении задачи противодействия внутренним ИТ-угрозам (к сожалению, это подтверждает исследование по позиции «Бюджетные ограничения», см. рис.7).

Теперь хотелось бы рассмотреть две, на мой взгляд, взаимосвязанные позиции: «Отсутствие стандартов» и «Отсутствие технологических решений», см. рис.7. Вот здесь начинается самое интересное и непонятное. С одной стороны, специалисты кардинально пересмотрели свою точку зрения, относительно отсутствия технологических решений (признав, что подобные решения существуют), с другой стороны, пропорционально возросла доля специалистов, отмечающих отсутствие стандартов, решения задачи противодействия хищению данных инсайдерами.

3.4 Два вопроса, касающийся противостояния инсайдерам

Невольно возникает вопрос: о каких решениях, о которых осведомлены специалисты, участвующие в опросе, тогда идет речь? Естественен и другой вопрос: неужели противодействие хищению данных - это столь новая, вдруг неожиданно возникшая задача защиты информации, о которой никто никогда и не задумывался, неужели лишь появление проблемы инсайдеров заставило нас, наконец, задуматься о возможном хищении данных, как следствие, о необходимости соответствующих стандартов?

3.4.1 Ответ на вопросы и нормативные документы

Для ответа на эти вопросы обратимся к двум основополагающим ныне действующим нормативным документам в области защиты информации (трудно предположить, что лица, выступающие в роли специалистов в области защиты информации, не знакомы с этими документами): документ «Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации» и документ «Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации». Заметим, что первый из них формализует требования к корректности реализации механизмов защиты и используется при сертификации средств защиты, второй документ - требования к достаточности набора механизмов защиты, применительно к условиям использования защищаемого объекта, и используется при аттестации объектов информатизации. Таким образом, в совокупности эти документы формализует и то, какой набор механизмов защиты должен иметь место на защищаемом вычислительном средстве, и то, какими функциями должен обладать каждый из используемых механизмов защиты (уточним, что при защите конфиденциальной информации речь идет о требованиях к СВТ и АС класса 1Г).

3.4.2 Назначение документов

Назначение этих документов следует собственно из их названия (здесь двух мнений быть не может) - защита от несанкционированного доступа к информации (под несанкционированным доступом понимается доступ в обход заданной разграничительной политики, т.е. в обход того, что не разрешается - в нашем случае, это запрещенная запись конфиденциальной информации на мобильные накопители, запрещенная передача конфиденциальной информации по электронной почте и т.д.). В первую очередь, данные документы, как раз, и определяют требования, выполнение которых не позволит осуществить хищение данных, для этого они и предназначены. Конечно, трудно найти стандарты, формализующие требования к решению задачи защиты информации, если при этом не рассматривать базовые нормативные документы в области защиты информации.

3.4.3 Корректность требований

А вот что касается корректности этих требований (изданных еще в 1992 году), применительно к современным условиям, это уже вопрос актуальный и требует дополнительных исследований. Подобные исследования, применительно к решению задачи противодействия внутренним ИТ-угрозам, что было мной сказано ранее. Как показало исследование, формализованные требования, сформулированные в соответствующих нормативных документах, в полном объеме применимы, в части корректного решения рассматриваемой задачи защиты конфиденциальной информации (единственно, что некоторые их позиции, с учетом архитектурных особенностей построения современных системных средств, следовало бы уточнить (заметим, не изменить), что было и сделано). Кроме того, было проведено исследование некоторых архитектурных особенностей современных ОС, в результате которого было выявлено, что механизмами защиты, встроенными в современные ОС, данные требования (как впрочем, и ряд иных ключевых требований к защите конфиденциальной информации, не рассматриваемых в работе) не выполняются, что видимо и объясняет причины их уязвимости.

Заметим, что требования, формализуемые рассмотренными выше нормативными документами в области защиты информации, рассматривают задачу защиту информации в комплексе, и именно такой подход, как обеспечение комплексной защиты информации техническими средствами, а не использование отдельных частных решений (и уж тем более, не реализацией организационных мер), и может обеспечить защиту данных, в том числе, и в части их возможного хищения инсайдерами, что, кстати говоря, практически единогласно признают и специалисты, принявшие участи в опросе, см. рис.6.

3.4.4 Отсутствие технологических решений

Теперь вернемся к обозначенной специалистами (и судя по результатам исследований, остающейся актуальной, см. рис.7) проблеме отсутствия технологических решений. Здесь можем отметить, что в соответствии с нормативными документами, любое средство защиты от несанкционированного доступа (СЗИ НСД), позиционирующееся разработчиком, как средство, обеспечивающее выполнение требований к СВТ, в принципе должно обеспечивать возможность эффективного противодействия внутренним ИТ-угрозам (в том числе, и в части хищения данных инсайдерами). Однако, как отмечал, некоторые требования нормативных документов требуют уточнений, применительно к их использованию в современных условиях, т.е. сейчас существует возможность их неоднозначного трактования, как разработчиками средств защиты, так и их потребителями. Как следствие, существует и потенциальная опасность того, что какая-либо из представленных на рынке средств защиты СЗИ НСД (на первый взгляд, в полном объеме выполняющая требования соответствующих нормативных документов), не сможет обеспечить эффективного решения рассматриваемых в работе задач. Здесь ведь надо понимать следующее - оставьте не перекрытым лишь один «канал» НСД (например, буфер обмена), и применение подобной СЗИ НСД будет просто бесполезным. При этом, чтобы оценить, следует ли использовать ту или иную СЗИ НСД для решения рассматриваемых задач, потребителю достаточно убедиться, что СЗИ НСД реализует сформулированные уточняющие требования.

4. Строение политики внутренней информационной безопасности в компании - разработчике «Адвантум»

Компания Адвантум, основанная в 2001 году [7], оказывает консультационные услуги в области IT, осуществляет разработку программного обеспечения и внедрение уникальных информационных систем.

Компания «Адвантум», как и многие компании связанные с большой информационной базой данных и информационной разработкой, испытывает проблемы с внутренними нарушителями. По словам офицера ИБ «Адвантум» это одна из главных проблем стоящая перед сотрудниками информационного отдела. И так, что применяется для преодоления утечек, подробно изложил офицер ИБ компании «Адвантум».

4.1 Локализация задачи

Определив, для чего защищать конфиденциальную информацию, хранящуюся в корпоративной информационной сети, важно понять, что конкретно собираемся защищать. Прежде всего, в компании необходимо дать определение конфиденциальной информации и установить разрешенные действия с ней для разных групп пользователей. В компании существует «Положение о конфиденциальной информации», описывающее порядок работы с такими данными, находящимися в бумажном виде. Необходимо адаптировать его к электронным документам. В реальности эта процедура занимает несколько недель и сводится к регламентации действий с такими отсутствующими в бумажных документах сущностями, как копия документа, часть документа и т.п. Регламенты работы с конфиденциальной информацией в электронном виде также с небольшими изменениями приходят из регламентов обращения с документами в бумажном виде. То есть определяется цикл жизни документа -- где он создается, как и кем используется, кто и в каких условиях может вносить в него изменения, сколько он хранится и как уничтожается [7].

4.1.1 Контентная категоризация

Из слов ОИБ нет никакой разницы, в каком виде хранятся документы, в бумажном или электронном. Есть нюансы, касающиеся, например, переписки по электронной почте. Регламенты обращения с электронной почтой, конечно, строго регулируют отправку документов, содержащих конфиденциальную информацию. Однако в процессе адаптации «Положения о конфиденциальной информации» к информации в электронном виде необходимо особо отметить виды информации, которые запрещено отправлять по электронной почте. Существует стандартный набор информации, которую может отправлять с корпоративной почты одно подразделение и не может другое. Так, посылать письма, в которых содержатся упоминания первых лиц компании, может лишь служба связей с общественностью, банковские реквизиты -- бухгалтерия, цены на продукцию -- служба сбыта, тендерную документацию -- отдел закупок и т. д.

Регламенты использования документов, содержащих конфиденциальную информацию, должны включать описание системы хранения документов и организации доступа к ним. Здесь тоже нет ничего принципиально нового -- опыт работы с бумажными документами накоплен огромный. Те же нехитрые правила -- перед получением доступа к документам для чтения или внесения изменений сотрудник указывает, на каком основании и для чего он собирается обратиться к документу; что собирается с ним делать; когда он закончит работать с документом и т. д. Этот «журнал» работы с документом в случае с электронными данными вести проще, так как большая часть операций может идти в автоматическом режиме [7]. Также, в положении должно быть отмечено, что никакой администратор не может изменять информацию в журнале своей работы, чтобы возможность скрыть следы не подвигла его на неправомерные действия.

4.1.2 Классификация информации по уровню конфиденциальности

После того как построена документарная база, можно сказать и о классификации имеющейся информации. Необходимо определить, какие документы являются конфиденциальными, какие сотрудники имеют доступ какого уровня к каким документам. Отсюда и создается так называемый реестр конфиденциальных документов, содержащий, описания документов, прав доступа, правила внесения в него документов и правила их изъятия (уничтожения). Поскольку в компании каждый день создается множество новых документов, часть из них -- конфиденциальные, то без создания механизма их автоматической или полуавтоматической классификации реестр уже через несколько месяцев потеряет актуальность.

4.1.3 Метки документов

На организацию процесса пометки конфиденциальных документов, ОИБ компании обратил особое внимание, и по личной просьбе рассказал более подробно. Каждый конфиденциальный документ должен содержать метку, по которой контролирующие программы могли бы определить степень его конфиденциальности и категорию пользователей, которые могут проводить с ним потенциально опасные операции -- публикацию в Интернет, копирование на сменные носители, переименование, отправку по электронной почте и т.п. Существует технические и организационные методы установки меток. Если все защищаемые документы хранятся исключительно в формате MS Office, то в качестве метки может использоваться запись «конфиденциально» в соответствующих полях свойств документов. Самый распространенный и простой способ присваивание меток в компании является -- именование файлов по специальной маске. Например, первые 10 символов -- тематическая группа, к которой относится документ (название клиента, рабочей группы, подразделения, отрасли и т.д.), затем знак подчеркивания, затем 20 символов для описания документа, снова знак подчеркивания, и 8-значная дата в формате YYYYMMDD.

Внедрение процедуры именования файлов -- это постоянная работа по выработке привычек персонала именовать файлы таким образом. Кроме организационных методов -- закрепление приказом только такой формы именования, поддержки способа именования всем топ-менеджментом и инструктажа новых сотрудников, можно привлечь на помощь и технические средства. Самый простой технический способ внедрения этой процедуры -- разрешать выкладывать на файловый сервер, класть в корпоративное хранилище или публиковать в Интранете файлы, поименованные по заранее утвержденному шаблону. Со временем все файлы, которые прошли через электронную почту, файловые серверы, хранилище данных и Интранет, будут называться правильным образом.

Документ, названный по такой маске, автоматически попадает в поле зрения контролирующих систем и перехватывается при запрещенных с ним действиях пользователя не только контентной фильтрацией, но и мониторами, действующими на основании политик. В отличие от контентной фильтрации этот метод дает 100% гарантию. Это удобно и для визуального контроля -- даже в очереди на печать можно сразу увидеть конфиденциальные документы. К тому же нелишне еще раз напомнить пользователю при открытии файла, что документ конфиденциален.

4.1.4 Хранение информации

После создания реестра конфиденциальных документов надо подумать, как их хранить, но и эта проблема легко решаема и реализуема. В компании организационными и техническими мерами запрещается хранение конфиденциальной информации локально -- на рабочих станциях. Такие данные хранятся в специальных клиент-серверных или web-приложениях (корпоративных интранет-порталах, документных хранилищах, бизнес-приложениях, справочно-нормативных базах), которые разделяют права доступа пользователей и защищают информацию от сохранения в несанкционированном месте. Хоть и используется такое разграничение документов и продуманная защита от похищения документарной информации с рабочих станций, тем не менее, риск утечки существует.

4.2 Способы хранения конфиденциальной информации

В компании ведется защита от утечки информации по трем основным типам сводную информацию, конфиденциальные документы и интеллектуальную собственность.

4.2.1 Сводная информация

К сводной информации относят разнообразные структурированные данные в формате базы данных или электронных таблиц. Это может быть не только информация о продуктах и ценах, финансовая информация, которая представляет ценность для конкурентов, но и персональная информация о клиентах, которую компания должна охранять по закону. При хищении информации такого типа похитителю важно сохранить полноту, достоверность и структуру информации -- ценность неполной информации резко снижается. Иногда происходит хищение информации конкретных данных, а не всей базы данных. При защите какой либо информации, к компании рассматривается утечка данных такого объема, чтобы вынос их «в оперативной памяти человеческого мозга» или «переписанными на бумажку» не представлялся возможным.

4.2.2 Интеллектуальная собственность

Интеллектуальная собственность -- любая информация в электронном виде, которая обеспечивает компании конкурентные преимущества. Это могут быть любые внутренние материалы -- шаблоны документов, должностные инструкции, описание бизнес-процессов, справочно-нормативная информация, документы, содержащие сведения об изобретениях, патентах, перспективных разработках и другие охраняемые законом [14]. Эта информация может храниться в любом месте -- в документном хранилище, базе данных, в специальных папках на серверах, на локальных рабочих станциях. Форматы хранения -- любые форматы приложений, в том числе и отсканированные образы документов, чертежей. В отличие от свободной информации, ценными являются не только сами документы, но и их фрагменты, черновики и т. п.

4.2.3 Неструктурированная информация

Все остальные документы, содержащие неструктурированную конфиденциальную информацию, можно отнести к оперативному документообороту. Это приказы по компании, внутренняя электронная переписка. Информация, находящаяся в них, имеет оперативный интерес для конкурентов и партнеров компании, и ее похищение также может привести к моральным и материальным потерям.

4.3 Основные направления защиты

Поскольку потенциальными похитителями информации являются все сотрудники, имеющие к ней доступ, методы защиты планируются таким образом, чтобы соблюсти баланс доступности информации для легального использования и защищенности ее от утечки.

4.3.1 Защита документов

Это считается самая разработанная область защиты, не только в компании «Адвантум», но и во многих других компаниях где инсайдреская угроза стоит на первых местах, электронной информации от внутренних угроз. За образец бизнес-процесса защиты электронного документа взяты методы работы с бумажными документами, описывающие, как создается документ, как изменяется, как хранится и как уничтожается. Часть функций контроля жизненного цикла электронного документа автоматизирована. Также в этой области активно используется шифрование документов и использование специальных форматов файлов, запрещающих их сохранение в другом формате, редактирование и копирование содержимого файлов в буфер Windows, например, unsearchable PDF или новый формат MS Office 2007.

4.3.2 Мониторинг (аудит) действий пользователей

Вспомним, что в компании «Cisco Systems» было полное доверие к сотрудникам и нужды в слежении не возникало, но в нашей исследуемой компании политика ВИБ весьма другая. Конечно, как и многие компании хотят доверять своему личному персоналу, но не многие проверяют. Для внутренней безопасности важно не только то, кто получил доступ к документу, но и что этот пользователь делает с документом. Разные пользователи могут использовать один и тот же документ по-разному. Кто-то может редактировать документ, кто-то только читать. Для внутренней безопасности особенно важно контролировать те действия, которые могут привести к утечке. Это три группы действий [1]:

1) перемещение документа, как единого целого;

2) копирование информации;

3) изменение с целью обмануть следящие системы.

К первой группе относятся копирование файла на сменные носители, отправку по почте, публикацию в Интернет, печать. Ко второй -- копирование информации из документа в буфер Windows, копирование временного файла Windows. К третьей группе -- переименование файла или его расширения, сохранение файла под другим именем, сохранение в другом формате, архивирование, кодирование и шифрование.

Недопустимая для пользователя операция с конфиденциальным файлом либо блокируется, либо поступает к ОИБ. Еще один способ, не используемый в исследуемой компании, взятый из других источников, система внутренней безопасности может быть настроена либо так, чтобы пользователь или его руководитель узнавал о том, что он пытается совершить запрещенную операцию, либо, чтобы эта информация оставалась доступной только офицеру информационной безопасности.

4.4 Классификация внутренних нарушителей

Компания «Адватум» так же как и другие типичные компании, мало, чем отличаются по уровню доверия к сотрудникам и классифицируют по нескольким критериям -- злонамеренные или халатные, ставящие цели себе сами или действующие по заказу, охотящиеся за конкретной информацией или выносящие все, к чему имеют доступ. Правильно классифицировав потенциального нарушителя, сотрудники подразделения информационной безопасности компании могут спрогнозировать поведение нарушителя при невозможности осуществления попытки передачи информации. По словам ОИБ, рассматривая средства защиты, всегда надо иметь в виду, против каких нарушителей эти средства действенны, а против каких -- нет.

Выделяется пять основных видов ВН [14]:

неосторожные;

манипулируемые;

саботажники;

нелояльные;

мотивируемые извне.

Рисунок 8 - Экосистема внутренних нарушителей

4.5 Нетехнические меры защиты

4.5.1 Психологические меры

Не вдаваясь в психологические аспекты защиты ОИБ выделяет два способа внедрения систем:

открытый;

закрытый.

Полностью реорганизовать документооборот незаметно для пользователей невозможно, тем более, что часть процесса внедрения -- ознакомление пользователей с процедурами доступа. Однако если основная цель внедрения системы -- выявление уже действующего канала утечки, определение всех его звеньев, причем не только исполнителей внутри компании, но и заказчиков информации вне ее, имеет смысл повременить с объявлением процедур и ставить, в первую очередь, мониторы активности пользователей и контентную фильтрацию почты. В случае оперативной разработки в отношении сотрудников компании имеет смысл замаскировать программные агенты на рабочих станциях под программы, которые не вызовут подозрений, -- антивирус или мониторы аудита программного обеспечения.

Если же внедрять систему защиты от внутренних нарушителей открыто, то на таком психологическом факторе можно даже и сэкономить. При внедрении систем видеонаблюдения, даже если камеры не подключены, уже играет психологический фактор присутствия видеокамеры наблюдения и останавливает большую часть нарушителей. Для этого камеры должны стоять на виду. По аналогии, ознакомление сотрудников с новыми регламентами, появление и предание гласности инцидентов с попыткой вынести запрещенную информацию за пределы компании предотвращают хищение информации саботажниками и нелояльными сотрудниками.

4.5.2 Организационные меры

4.5.2.1 Права локальных пользователей

Было бы неправильным считать, что любое, даже самое совершенное программное обеспечение может решить все проблемы с утечками. Даже при таком программном обеспечении, время от времени оно проверяться сотрудниками ИБ на возможность преодоления защиты. Кроме постоянного тестирования системы безопасности, необходимо ограничить возможности взломщиков. Это реализуется за счет лишения пользователей прав локальных администраторов на рабочих местах.

4.5.2.2 Работа с кадрами

Компания «Адвантум» стремиться к высококвалифицированному персоналу и поэтому ведется постоянная работа с пользователями. Обучение пользователей, воспитание бдительности сотрудников, инструктаж новичков и временных сотрудников во многом сможет предотвратить утечки через незлонамеренных пользователей. Но и на этой стороне есть большой минус, ведь высокая компьютерная квалификация пользователей не всегда является плюсом. Излишняя квалификация в компьютерных навыках является более серьезным недостатком, чем квалификация недостаточная. Чем квалифицированней пользователь, тем больше вероятность похищения конфиденциальной информации [7]. Такой вопрос уже давно является проблемой всех предприятий, все хотят иметь специалистов высокого уровня, но при этом их боятся.

4.5.2.3 Хранение физических носителей

Еще один канал утечки информации -- физический вынос носителей с резервными копиями. Понятно, что после абсолютно легального резервного копирования никакое программное обеспечение не в силах остановить физический вынос злоумышленником носителя, его копирование и занос обратно. Поэтому используется несколько способов защиты этого канала утечки [7]:

Первый -- анонимизация носителей, то есть сотрудники, имеющие доступ к носителям, не знают, какая информация записана на каком носителе, они управляют только анонимными номерами носителей. Те сотрудники, которые знают, на каком носителе находится какая информация, в свою очередь, не должны иметь доступ к хранилищу носителей.

Второй способ -- шифрование информации при резервном копировании, поскольку расшифровка вынесенной информации потребует некоторого времени и дорогостоящей вычислительной мощности. Безусловно, здесь работают все технологии хранения ценных вещей -- замки, открывающиеся только двумя ключами, находящимися у разных сотрудников, несколько уровней доступа.

4.6 Уровни контроля информационных потоков

Традиционно системы контроля информационных потоков позволяют контролировать информационные потоки в трех режимах [14]:

Режим архива;

Режим сигнализации;

Режим активной защиты.

4.6.1 Режим архива

Этот режим предполагает минимум вмешательства в деятельность информационной системы. В этом режиме система контроля лишь протоколирует действия пользователей, архивируя журналы операций с конфиденциальной информации и содержимое информационных потоков. Архивы анализируются на предмет наличия в них фактов о нарушении политики информационной безопасности либо по регламенту (каждый вечер, каждую пятницу и т.д.), либо по запросу о расследовании инцидента.

Преимуществом этого режима контроля является нетребовательность к вычислительным ресурсам и гибким управлением временем офицера информационной безопасности. Офицер безопасности сам определяет время для анализа архива. Его рабочее время, занятое анализом архива, не превышает нескольких часов в месяц [7].

Недостатком этого режима является невозможность предотвращения утечки.

4.6.2 Режим сигнализации

Этот режим представляет собой расширенный режим архива, однако перед укладыванием информации в архив, действие или сообщение проверяется на предмет соответствия политике информационной безопасности. В случае выявления запрещенного действия/сообщения, офицер безопасности получает на свое рабочее место сообщение. В зависимости от уровня нарушения политики ИБ, офицер безопасности принимает решение реагировать немедленно, либо отложить реакцию.

Преимуществом этого способа является возможность немедленно реагировать на события.

Недостатком этого режима является также невозможность предотвращения утечек, а для офицера ИБ недостатком является необходимость постоянно находиться в режиме on-line.

Этот режим нередко используется для тестовой эксплуатации системы перед переходом к режиму активной защиты.

4.6.3 Режим активной защиты

Этот режим позволяет активно вмешиваться в информационные процессы, блокировать опасные операции безвозвратно или до их разрешения офицером безопасности.

Преимуществом этого режима является возможность блокирования попыток нарушить политику информационной безопасности, предотвращение утечек.

Недостатком этого режима является необходимость постоянного присутствия офицера информационной безопасности для разбора спорных случаев и ложных срабатываний. На сегодняшний день максимальная достоверность использующихся технологий не превышает 90%, поэтому в режиме активной защиты на офицера ИБ ложится ответственность за оперативное решение спорных вопросов. Также недостатком такого режима является высокая требовательность к ресурсам, особенно при обработке on-line потоков. Приходится резервировать каналы и наращивать вычислительную мощность, чтобы обеспечить минимальную задержку писем и сообщений в Интернет [14].

4.7 Методика внедрения

Рассмотрим один из методов внедрения ПО, этот метод использовался изначально и используется по сей день. Если брать пример многих крупных известных компаний, таких как Газпром, Лукойл, Cisco Systems и многих других, то установка новшеств ПО происходит постепенно, но как правило, в течение месяца. В этом случае используется весьма специфическое решение - установка происходит глобально и повсеместно на все рабочие станции и по мнению ОБ это намного удобнее, сразу можно выявить сбои системы на первоначальном уровне, а не спустя время. В конце 2005 года, когда компания Адвантум укрепилась на информационном рынке, появилась необходимость в мощном программном обеспечении по противодействию как от внутренних угроз, так и внешних атак, а также в применении, как мощного оружия по противодействию вирусных атак. Было разработано при помощи сторонней компании, программное обеспечение, в дальнейшем называемое как «advantum security». Далее на графике показано как происходило внедрение.

Рисунок 9 - Внедрение Advantum security

5. Строение политики внутренней информационной безопасности компании «RusGPS»

Компания RussGPS занимается интеграцией технологий позиционирования (Глонасс/GPS), технологией беспроводной связи и Интернет/Интранет-технологиями для создания системы передачи информации о местонахождении объектов, которые позволяют государственным и коммерческим структурам качественно повысить эффективность управления своими ресурсами, а также предоставляют многообразные дополнительные услуги физическим лицам.

В исследуемой компании ПВИБ схожа с уже исследуемыми ранее компаниями. Стоит только перечислить, что используется по противодействию утечки информации без подробного описания. Во всех организациях, без исключения, в первую очередь ведется защита конфиденциальных данных в виде документов, отсюда и пошла нужда в квалификации документации. В компании существует следующие три категории классифицированных документов [8]: