Борьба с инсайдерами при помощи внутренней политики информационной безопасности
Цели и методика внедрения системы защиты против инсайдера. Строение безопасности в Cisco Systems. Опыт и проблемы внедрения внутренней ИТ-угрозы. Строение политики внутренней информационной безопасности в компании-разработчике "Адвантум" и в "RusGPS".
Рубрика | Программирование, компьютеры и кибернетика |
Вид | реферат |
Язык | русский |
Дата добавления | 13.11.2013 |
Размер файла | 2,6 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
1) RussGPS Public - документы доступны без ограничений любому пользователю и посторонним лицам.
2) RussGPS Confidentional - это вид документов доступен партнерам компании и сотрудникам, и не подлежит разглашению.
3) RussGPS Use Only - только для сотрудников и внутреннего пользования. Доступ к такому виду документов имеют не все сотрудники RussGPS, а только те, у кого есть допуск к такой форме секретности на предприятии. Вся информацию таких документов разглашению не подлежит.
Очень важный момент, что все документы поделены на классы, прикрепленные к каждой группе. В случае утечки одного из документов, такой метод разделения облегчит выявление нарушителя. Такой же метод классификации документов используется и в Cisco Systems. В основном политика внутренней информационной безопасности во многом схожа с ранее исследуемой компанией CS. Вспомним, что основной аспект формирования ПБ CS полностью основывается на доверии своих сотрудников, и сотрудники трактовались, как добропорядочные члены общества. То же самое переняли и ОИБ компании RussGPS, но как уже критиковалось мной, стоит придерживаться пословицы «доверяй, но проверяй», т.е. вести мониторинг за сотрудниками, такому же правилу придерживаются ОИБ.
По словам ОИБ каждую проблему стараются идентифицировать и анализировать и не допускать подобных случаев утечки, даже если это будет убыточно, чего не скажешь про компанию CS. Вкратце напомню, что происходило в CS, в случае хищения информации. В компании сначала оценивался ущерб, принесенный компании, а потом уже устранялся нарушитель и «закрывалась» утечка. И в случае, если затраты на установление и нейтрализацию нарушителя и утечки информации превышали ущерб, то эту проблему резервируют и ставят на заметку. Моя точка зрения по такой политике полностью совпадает с администратором и ОИБ Ёжиковым Игорем Владимировичем, что нельзя относиться к проблеме безрассудно и “халатно”. Это хищение может произойти повторно с причинением более значительных убытков, поэтому из каждой потери информации (касается конфиденциальной информации) нужно делать выводы и устранять утечку, даже если это будет убыточно [8].
Еще одно нововведение, которое мне встретилось только лишь в данной исследуемой компании, это использование радиометок. С развитием технологий радиоидентификации (RFID), появилась система автоматического оповещения о попытках вынести за пределы хранилища носители, в которые для этой цели внедрены радиометки. С их помощью прослеживается цепочка нарушителей и предотвращения утечки носителей информации.
6. Собственное специфическое решение по противодействию утечки информации
На наш взгляд, небольшими организационными мерами можно решить очень большие проблемы. Предположим, что одно из федеральных ведомств серьезно страдает от регулярных утечек своей базы данных, которая имеет спрос на пиратских рынках. Контролировать все точки доступа к базе технически очень сложно, и вот какое решение предложено нами и, кстати, даже одобрено компанией «Адвантум». Например, хищением информации занимается не больше десятка человек, и они могут быть даже не из одного отдела. Просим администратора базы данных ограничить объем ежедневных запросов до 20-30 Мбайт, этого вполне достаточно для ежедневной работы. А все, что больше, -- по дополнительной заявке с обоснованием служебной необходимости. И вряд ли нарушитель захочет проявлять себя ежедневными просьбами об увеличении лимита на запросы. Вся база занимает несколько терабайт, а выкачать ее за месяц одному человеку не представляется возможным. Поскольку база меняется ежедневно, сшитые куски, скопированные в разные дни, нарушают актуальность и значимость базы. А значит, следом упадет спрос на такую неполную, кусочную базу данных и перестанут покупать, а потом, ввиду отсутствия спроса и похищать.
Рисунок 10 - Специфическое решение
7. Применение полиграфа в компаниях
В данном разделе описано общее применение полиграфа, т.е. не рассмотрены индивидуальные случаи применения какой либо одной компании или банка, где чаще всего прибегают к ОИП.
Прежде чем говорить об опросе с использованием полиграфа, стоит сказать, что такое полиграф. Полиграф (polygraph, от греч. рплэ -- много и гсЬцщ -- писать, синонимы: детектор лжи, лай-детектор) -- техническое средство, используемое при проведении инструментальных психофизиологических исследований для синхронной регистрации параметров дыхания, сердечно-сосудистой активности, сопротивления кожи, а также, при наличии необходимости и возможности, других физиологических параметров с последующим представлением результатов регистрации этих параметров в аналоговом или цифровом виде, предназначенном для оценки достоверности сообщённой информации.
7.1 История полиграфа
История инструментальной детекции лжи берёт своё начало с работ итальянского физиолога Анджело Моссо, который в 1877 году при помощи плетизмографа (прибор для измерения кровенаполнения сосудов и изменений пульса) установил, что предъявление исследуемому образов, внушающих страх, отражается на частоте сердечных сокращений.
Первый практический опыт применения подобных инструментов в целях детекции лжи принадлежит известному итальянскому криминалисту Чезаре Ломброзо. Уже в 1881 году при проведении допросов подозреваемых в совершении преступлений он использовал гидросфигмограф -- устройство, с помощью которого на диаграмму (граф) фиксировались изменения кровяного давления обследуемого, что позволяло проводить в дальнейшем их детальный анализ.
В 1895 году в своей книге «Преступный человек» Ч. Ломброзо описал положительный практический опыт применения гидросфигмографа в ходе проверки фигуранта по уголовному делу об ограблении. Проведя исследование, он не зафиксировал видимых изменений динамики артериального давления в ответ на предъявление стимулов, связанных с расследуемым ограблением, и в то же время обнаружил падение артериального давления в ответ на вопросы по другому делу, связанному с хищением паспортов, что в дальнейшем нашло своё подтверждение.
В 1902 году Ч. Ломброзо был привлечён к расследованию уголовного дела об изнасиловании и убийстве девочки и в ходе допроса подозреваемого вновь применил гидроплетизиограф. Анализируя полученные данные, Ломброзо обнаружил незначительные изменения в пульсе допрашиваемого, когда тот делал в уме различные математические вычисления. Однако, когда подозреваемому предъявлялись изображения израненных детей, регистрируемая запись пульса не показывала никаких внезапных изменений, в том числе и на фотографию убитой девочки. Результаты последующего расследования убедительно доказали, что данный подозреваемый был невиновен в этом преступлении.
А. Моссо, работая совместно с Ч. Ломброзо, также обнаружил, что в ответ на предъявление различных стимулов меняется модель дыхания. В 1914 году профессор австрийского университета в Граце итальянец Витторио Бенусси, изучающий проблемы психофизики, опубликовал данные своих исследований динамики процесса дыхания, показывающие, что частота, глубина дыхательных циклов и отношение продолжительности вдоха к продолжительности выдоха меняется, когда обследуемый лжёт.
Первый прообраз современного полиграфа был сконструирован в 1921 году сотрудником полиции штата Калифорния Джоном Ларсоном. Аппарат Ларсона одновременно регистрировал изменения динамики артериального давления, пульса и дыхания, и систематически применялся им при расследовании преступлений.
В 1933 году ученик Д. Ларсона Леонард Киллер, сотрудник лаборатории научных методов раскрытия преступлений при Северо-западном Университете, сконструировал полевой переносной полиграф, в конструкцию которого был добавлен канал измерения сопротивления кожи. В дальнейшем Л. Киллер организовал серийный выпуск таких полиграфов.
Рисунок 11 - Современный компьютерный полиграф
7.2 Назначение полиграфа
В соответствии с определением, полиграф предназначен для записи физиологических параметров, регистрируемых у объекта в процессе психофизиологического исследования. Результат записи параметров на бумажном или электронном носителе называется полиграммой.
Общая структура полиграммы состоит из следующих компонентов:
фон;
реакция;
восстановление;
артефакт.
Рисунок 12 - Полиграмма
Фон -- состояние физиологических процессов в организме человека, пребывающего в условиях покоя (при проведении психофизиологического исследования под покоем подразумевается состояние спокойно сидящего человека, которому не задают вопросы). Фон характеризуется относительной стабильностью протекающих процессов и представляет собой некоторую физиологическую норму, свойственную конкретному человеку в отсутствие дестабилизирующих воздействий.
Артефакт -- заметное (по сравнению с фоном) изменение динамики контролируемого физиологического процесса, непосредственно не связанное с предъявляемыми в ходе психофизиологического исследования стимулами и обусловленное воздействием экзогенных (внешних) и эндогенных (внутренних) дестабилизирующих факторов. К эндогенным факторам относятся умышленные или неумышленные движения обследуемого, кашель, внезапные болевые ощущения и т. п., к экзогенным -- в основном, внешние шумовые помехи.
Реакция -- это заметное (в условиях осуществляемого наблюдения) изменение динамики регистрируемого физиологического процесса в ответ на стимул (вопрос, предмет или изображение предмета), предъявляемый в ходе психофизиологического исследования. В зависимости от индивидуальных особенностей организма человека при развитии реакции можно наблюдать усиление, ослабление или стабилизацию динамики конкретной функции. У некоторых людей реакции могут иметь комплексный характер: вслед за быстротекущими изменениями физиологического процесса (собственно реакцией на стимул) происходит последующее продолжительное изменение его динамики, то есть так называемая реакция облегчения[10].
Физиологические реакции, регистрируемые в ходе исследования, не обладают специфичностью, то есть по их информативным признакам нельзя точно установить природу вызвавшего их процесса (положительная или отрицательная эмоция, ложь, испуг, боль, какие-либо ассоциации и т. д.). Единственная объективная характеристика физиологической реакции -- её устойчивая выраженность в ответ на предъявление ситуационно значимого стимула [11].
В настоящее время не существует статистически достоверных данных, однозначно указывающих на какую-либо универсальную информационную ценность для итогов психофизиологического исследования какого-то одного физиологического процесса либо отдельного его параметра[10].
7.3 Опросы с использованием Полиграфа
Опросы с использованием Полиграфа, часто именуемого, как «детектором лжи» постепенно внедряются в ряде федеральных органов государственной власти в качестве системной меры отбора и проверки кадров при допуске к оперативно-розыскной деятельности и работе со сведениями, составляющими государственную тайну. Аналогичный процесс внедрения идет в сфере отечественного частного предпринимательства, как при приеме на работу, так и по факту хищения информации. С развитием рыночных отношений в России резко возрос спрос на квалифицированные кадры, которые, помимо наличия профессиональных знаний и опыта работы в современных условиях, должны удовлетворять высоким требованиям лояльности по отношению к своему работодателю. Поэтому естественно, что в последние годы в Москве, Санкт-Петербурге и ряде иных городов России растет число частных компаний, торговых фирм, охранных и иных предприятий, которые в интересах обеспечения коммерческой и информационной безопасности эпизодически или на регулярной основе используют Полиграф при отборе и проверке кадров. И, как показывает статистика, ОИП -- это эффективное средство оценки достоверности информации, полученной ранее от человека, и позволяющее выявить скрываемые сведения, особенно в тех случаях, когда их невозможно или затруднительно получить иными, традиционными путями. В целях корпоративной безопасности, ОИП могут быть применены по трем направлениям:
Первое -- это скрининговые проверки (от англ. «screen» -- просеивать, проверять на благонадежность) на Полиграфе нанимаемого на службу персонала;
Второе -- профилактические (периодические и/или выборочные) ОИП работающего персонала;
Третье -- ОИП в ходе служебных расследований.
Оформляя человека на работу, службы кадров и отделы внутренней безопасности коммерческих предприятий отмечают, что многие факты из жизни практически любого кандидата не могут быть вскрыты ни путем опроса его бывших работодателей, ни проверками по учетам, ни во время проводимого собеседования:
1) бывший работодатель в лучшем случае может рассказать о работавшем у него служащем лишь то, что было замечено за ним во время работы, но он ничего не сможет сказать о негативных поступках своего бывшего сотрудника, если последний не был в них уличен;
2) органы охраны правопорядка не могут сказать, что конкретный человек не совершил уголовных преступлений: их заключение «по учетам не проходит» означает лишь, что тот не был задержан на месте преступления и не привлекался к судебной ответственности;
3) каким бы длительным ни было собеседование с глазу на глаз, представителю службы безопасности никогда не удастся выяснить компрометирующие кандидата факты биографии, если последний умело их скрывает. Единственный человек, кто знает о кандидате всё -- это он сам.
Поэтому многие частные компании России, считают ОИП одним из главных методов проверки нанимаемого на работу и работающего персонала. По мнению внутренних информационных безопасников, проверка на Полиграфе -- лучший способ дать кандидатам понять, что фирма серьёзно настроена против каких-либо правонарушений, особенно хищению информации. ОИП нанимаемого на работу персонала и периодические проверки работающих сотрудников являются наиболее эффективным средством профилактики различных видов хищений: практика показала, что уровень безопасности (в каких бы аспектах о безопасности не шла бы речь) предприятия тем выше, чем безжалостнее отсев кадров.
Пользователи Полиграфа -- хорошо знают, что ОИП существенно дополняет -- а часто, намного превосходит -- остальные методы выяснения истины и является при этом весьма рентабельным: проверки на Полиграфе занимают во много раз меньше времени и обходятся в итоге значительно дешевле, чем длительные, рутинные кадровые проверки. Тут влияет и психологический факт, даже если кандидат и прошел проверку на полиграфе, то у него останется в подсознании, что он может подвергнуться ОИП и не станет рисковать своей будущей карьерой и привлечением к уголовной ответственности. В целом, по оценкам специалистов, используя Полиграф, предприниматель, как минимум, на 25% повышает вероятность того, что принятые на работу сотрудники окажутся честными людьми.
7.4 Правовые аспекты применения полиграфа
У делового человека, заботящегося о благополучии и процветании своего бизнеса -- могут возникнуть, как минимум, три вопроса:
не является ли применение Полиграфа при работе с кадрами нарушением прав человека?
легитимно ли использование Полиграфа при отборе нанимаемых на работу кадров?
допустимо ли применение ОИП при проверке работающего персонала?
Можно уверенно констатировать, что ни в одной из сфер прикладного применения Полиграфа при найме на работу, или профилактических ОИП, или при проведении служебных расследований, -- права человека не нарушаются.
Статья 2 Конституции РФ гласит, что «человек, его права и свободы являются высшей ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина -- обязанность Государства». Вместе с тем, Основной Закон России утверждает, что «осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц» (статья 17, часть 3).
Указанные статьи Конституции фактически отражают положение о том, что общество обязано строго соблюдать паритет между свободами и правами человека на неприкосновенность его личной жизни, с одной стороны, и правами общества ограждать свои интересы и безопасность от противоправных и преступных посягательств отдельных лиц, -- с другой. Именно этот принцип, будучи интернациональным, служит основой и является объяснением того, почему ОИП применяются более чем в 60 государствах мира, стоящих на различных ступенях развития демократии, и число стран-пользователей Полиграфа неуклонно растет.
7.4.1 Полиграф и Трудовое законодательство
Теперь рассмотрим аспект -- о легитимности применения Полиграфа при отборе нанимаемого на работу персонала.
В «зону риска» входит деятельность крупного, среднего и малого бизнеса, который заинтересован в защите своих коммерческих интересов, и, в частности, -- коммерческой и банковской тайны. Необходимость внимательного отбора кадров особенно актуальна в тех сферах предпринимательства, где высок риск краж, подлога, обмана и хищения информации, имеются большие материальные ценности и прочее. Очевидно, что любой предприниматель стремится иметь в своем распоряжении квалифицированных, надежных сотрудников и не желает видеть среди них тех, кто в будущем может создать угрозу его коммерческому предприятию.
Трудовой кодекс Российской Федерации предоставляет работодателю право осуществлять отбор нанимаемого на работу персонала и прямо указывает, что «не являются дискриминацией установление различий, исключений, предпочтений, а также ограничение прав работников, которые определяются свойственными данному виду труда требованиями, установленными федеральными законами» (статья 3, часть 3).
На необходимость проведения отбора работников указывает также пункт 11 части 1 статьи 81 ТК РФ, согласно которому Закон дает работодателю право расторгнуть Трудовой договор в случае «предоставления работником работодателю подложных документов или заведомо ложных сведений при заключении Трудового договора». Очевидно, что работодатель, чтобы не доводить дело до конфликта и расторжения в последующем Трудового договора по указанной причине, вправе применить любые, не противоречащие этическим нормам, доступные средства для повышения качества отбора кадров, в том числе -- ОИП.
Закон Российской Федерации «О государственной тайне» установил, что «допуск должностных лиц и граждан к государственной тайне предусматривает: … письменное согласие на проведение в отношении их полномочными органами проверочных мероприятий» (статья 21, часть 3). При этом закон конкретизировал, что «объем проверочных мероприятий зависит от степени секретности сведений, к которым будет допускаться оформляемое лицо», и «целью проведения проверочных мероприятий является выявление оснований, предусмотренных статьей 22 настоящего Закона» (статья 21, часть 4), то есть оснований для отказа в допуске к государственной тайне.
В частности, введя в действие «режим коммерческой тайны», этот Закон предоставил обладателю информации, составляющей коммерческую тайну, право «определять порядок и условия доступа к этой информации» (статья 7, часть 3), устанавливать систему «контроля за соблюдением такого порядка» (статья 10, часть 1, пункт 2), и применять в этих целях при необходимости любые, «не противоречащие законодательству Российской Федерации меры» (статья 10, часть 4). При этом Федеральный закон «О коммерческой тайне» прямо указал, что «в целях охраны конфиденциальной информации работник обязан выполнять установленный работодателем режим коммерческой тайны» (статья 11, часть 3, пункт 1).
Таким образом, приведенные выше федеральные законы дали обширной группе работодателей, имеющих дело с государственной или коммерческой тайной и представляющих предприятия различных форм собственности, добротную правовую основу для внедрения ОИП в систему мер повышения качества отбора нанимаемого на работу и работающего персонала.
7.5 Процесс внедрения
Для того чтобы добровольные ОИП могли осуществляться на предприятиях, подпадающих под действие Федерального закона «О коммерческой тайне», необходимо выполнение ряда условий:
на предприятии должен быть введен режим коммерческой тайны;
в локальном правовом нормативном акте предприятия должны быть зафиксированы порядок и условия доступа к информации, составляющей коммерческую тайну и, в частности, порядок применения ОИП при приёме на работу;
служебные обязанности кандидата на работу, которому предстоит пройти ОИП, должны быть связаны с доступом к информации, составляющей коммерческую тайну;
трудовой договор должен содержать положения, согласно которым работник принимает на себя обязанность проходить профилактические (периодические или выборочные) ОИП и/или ОИП в ходе проведения служебных расследований, в основном это вследствие хищения информации.
В течение ряда последних лет некоторые коммерческие организации (банки, холдинги, частные охранные предприятия и проч.) применяют ОИП при отборе кадров в качестве составного элемента системы психологического отбора. Интересно отметить, что целесообразность и допустимость выполнение психологического отбора кадров при найме на работу в настоящее время не вызывает возражений в обществе. Если подумать, какие задачи решают психологическое тестирование и ОИП, и какую информацию в итоге этих процедур получают от человека, не трудно заметить, что психологическое тестирование не в меньшей мере вторгается в личный мир человека. Например, в ходе психологического тестирования обсуждение с конкретным человеком вопросов, касающихся отношения к религии, к межнациональным отношениям, сексуальной ориентации и прочее вполне допустимо, в то время как при выполнении ОИП -- запрещено.
Однако, вне зависимости от того, приобретает применение Полиграфа обязательный или добровольный для работодателя характер, последний должен включить в анкету, заполняемую работником при поступлении на работу, положение следующего содержания: «работник обязан при заполнении анкеты и заключении в последующем Трудового договора предоставить работодателю подлинные документы и истинные сведения о себе и своей трудовой деятельности, а также пройти опрос с использованием Полиграфа для подтверждения отсутствия оснований, препятствующих заключению Трудового договора».
Это же положение может быть отражено в Трудовом договоре, заключаемом с работником. На тех предприятиях, где сформировалась традиция заключения коллективных договоров, представляется правильным продублировать данную правовую норму, например, в следующей редакции: «работник при заключении трудового договора обязуется предоставлять работодателю подлинные документы и истинные сведения и обязуется проходить опрос с использованием полиграфа для подтверждения отсутствия оснований, препятствующих приёму на работу».
В целом, можно уверенно констатировать, что сегодня не существует каких-либо правовых барьеров для широкого применения ОИП в интересах кадрового отбора. Это же положение в полной мере относится к третьему из поставленных вопросов -- применению ОИП в отношении работающего персонала.
7.6 Заключение по классификации внутренних нарушителей
Как было сказано ранее, все компании, мало чем отличаются по уровню доверия к сотрудникам и классифицируют по нескольким критериям -- злонамеренные или халатные, ставящие цели себе сами или действующие по заказу, охотящиеся за конкретной информацией или выносящие все, к чему имеют доступ. Правильно классифицировав потенциального нарушителя, сотрудники подразделения информационной безопасности компании могут спрогнозировать поведение нарушителя при невозможности осуществления попытки передачи информации. По словам ОИБ, рассматривая средства защиты, всегда надо иметь в виду, против каких нарушителей эти средства действенны, а против каких -- нет.
Выделяется пять основных видов ВН:
неосторожные;
манипулируемые;
саботажники;
нелояльные;
мотивируемые извне.
При отборе кандидата на вакантную должность, работодатель должен знать, какого типа нарушителя он берет себе в компанию, ведь первая сторона не может быть идеальной. Чаще ОИП занимается хорошо обученный специалист в лице опытного психолога. Такой человек легко может отличить с какими целями кандидат идет на эту работу, способен ли он к злоумышленному действию приводящему к финансовым потерям или это просто халатный сотрудник. Соответственно после анализа и заключения можно сделать вывод о будущем сотруднике. Как уже было сказано, халатный работник особого риска не предоставляет и в случае необходимости можно обучить и предупредить о ненужных действиях. С кандидатами типа внедренные, как правило, прощаются навсегда и заносят в черный список кандидатов. Такую проверку проводят не только при принятии на вакантную должность, но и в процессе трудовой деятельности, чаще всего к ОИП попадают сотрудники, которые вызывают сомнение и подозрение у работодателя. Как правило, рисковать своим финансовым благополучием никто не хочет. ОИП помогает выявить нарушителей на 25% эффективнее, чем при долговременных разбирательствах сотрудниками внутренней информационной безопасности, что, и показано на рисунке 3.
50% раскрываемости преступлений внутри предприятий - это то, что возможно и при стандартном наборе мер внутренней информационной безопасности. 25% - колоссальная поддержка ВИБ при помощи ОИП. И, к сожалению 25% хищения информации остается не раскрытыми [8].
Рисунок 12 - Статистика эффективности полиграфа
8. Политика ВИБ и ОИП в компании «Адвантум»
Ранее была тщательно рассмотрена политика внутренней информационной безопасности компании «Адвантум», но и при таком добросовестном подходе к формированию организационных и практических мер по ИБ, этого оказалось недостаточно. В июне 2008 года, компания понесла огромные убытки, в результате хищения клиентской базы, банковских счетов и сроках окончания контрактов. Известно, что такой информацией могут успешно воспользоваться конкурирующие компании, что по истечении некоторого времени и было выявлено. В ходе разбирательств и выяснения источника утечки информации никаких результатов добиться при помощи тех мер, которые прописаны в документах «Кодекс поведения сотрудника» и «Обеспечение информационной безопасности» не удалось. Как было написано в заключении, информация была похищена изнутри, так как атак извне не было. Подозревать можно было кого угодно, от рядового сотрудника до заместителя начальника, подозрение падало и на саму службу информационной безопасности, но на руках был только факт хищения, факт продуманного и умелого хищения. В итоге, с миллионными убытками пришлось смириться и тщательно заняться доработкой по предотвращению подобной утечки в будущем. Ранее говорилось, что при любой утечке, даже если убыток составлял малую часть затрат от предотвращения проблемы, служба ИБ на это не закрывала глаза. А после такой атаки сотрудники долго ломали голову, как улучшить и сделать надежнее систему ИБ. Было предложено использовать при подобных разбирательствах, а также при рассмотрении кандидата на вакантную должность, опрос с использованием полиграфа. По словам сотрудника отдела информационной безопасности, сочетание тех мер безопасности, что используются в компании и ОИП будет отличным и успешным дуэтом [12].
8.1 Внедрение ОИП
С точки зрения практики применения полиграфа все многообразие преступных посягательств на информацию или инфраструктуру предприятия можно разделить на два больших класса:
преступления, совершаемые посторонними лицами, не являющимися сотрудниками;
преступления, которые не могут быть осуществлены без участия сотрудников.
При этом второй из классов включает в себя две группы:
а) преступления, совершаемые только сотрудниками (без участия посторонних лиц),
б) преступления, совершаемые при соучастии сотрудников предприятия.
К преступлениям первой группы относятся, например, различного рода хищения и незаконное использование кассовой наличности и приравненных к ним средств, а также преступные посягательства, связанные со злоупотреблением служебными полномочиями, обусловленные коммерческим подкупом, когда субъектом преступления может быть только лицо, выполняющее управленческие функции, либо реализуемые в сфере компьютерной безопасности. В последнем случае, помимо посторонних лиц (хакеров или сотрудников предприятия-конкурента), на преступный путь часто становятся самые квалифицированные, обладающие максимальными знаниями в автоматизированных системах категории служащих, - системные администраторы и информационные безопасники.
Ко второй группе преступлений, - совершаемых при соучастии сотрудников, - следует отнести, например:
а) хищения денежных сумм с текущих и расчетных счетов, когда деньги переводятся на другие счета по подложным платежным поручениям;
б) присвоение средств предприятия путем похищения расходных документов (денежных чеков), находящихся в кассе: исполнителями таких хищений могут быть сам клиент либо находящийся в сговоре с ним сотрудник организации;
в) незаконное завладение конфиденциальной информацией путем похищения документов или несанкционированного доступа к средствам вычислительной техники или автоматизированным системам. [7]
К сожалению, приведенные перечни преступных посягательств не являются исчерпывающими.
Преступление, совершаемое сотрудниками или при их участии, можно констатировать, что в среде работников образуется довольно обширная «группа риска». Это - сотрудники, которые по собственной инициативе, в силу внешних обстоятельств или под воздействием недружественных для компании структур, склоняются к преступным посягательствам.
В такую «группу риска», прежде всего, попадают:
Лица, наделенные распорядительными функциями в отношении ценностей, имущества и конфиденциальной информации, принимающие решения о проведении банковских операций и сделок на финансовых рынках (руководители предприятия, главный бухгалтер).
Лица, имеющие доступ к банковским операциям, связанным с переводами и выдачей денежных средств.
Лица, имеющие постоянный доступ к деньгам, ценностям и ценным бумагам.
Лица, располагающие информацией, относящейся к коммерческой тайне, и иной конфиденциальной информацией.
Лица, обеспечивающие функционирование автоматизированных систем управления (АСУ): операторы, программисты, инженеры и информационные безопасники.
Чтобы оценить ту помощь, которую может оказать внедрение полиграфа в дело защиты коммерческих интересов компании, остановимся на основных принципах организации борьбы с противоправными посягательствами на ее экономическую деятельность (в реализацию которых в той или иной мере вовлечены сотрудники нашей компании) и сложившейся в настоящее время системе мер обеспечения безопасности работы с кадрами.
Одной из важнейших составляющих системы защиты от преступных посягательств, совершаемых сотрудниками или при их участии, является установление и строгое соблюдение мер административного контроля, которые жестко регламентируют служебные обязанности работников и порядок их выполнения. В случае выявления преступления, совершенного работниками, или обнаружения признаков, указывающих на возможность такого преступления, служба внутреннего контроля и служба безопасности осуществляют разбирательство по указанному факту с целью установления нанесенного ущерба, локализации зоны преступного посягательства или предупреждения возникшей угрозы.
Для получения информации, подтверждающей факт преступного посягательства, служба ИБ стала использовать методы частного сыска и криминалистики. Вместе с тем, как указывалось выше, часть преступлений остается невыявленной, что и произошло в июне этого года, а служебные разбирательства по целому ряду видов преступлений сопряжены со значительными трудностями и не всегда приводят к обнаружению злоумышленника.
Хорошо известно, что, совершая противоправное деяние, преступник, как правило, уничтожает его следы, тем самым затрудняя или делая невозможным применение методов частного сыска и криминалистики. В итоге служебное разбирательство затягивается на длительный срок либо становится безуспешным.
Вместе с тем следы противоправных деяний неизбежно остаются. Ими являются так называемые «идеальные следы» преступления, то есть образы событий (их обстоятельств, признаков и прочее), хранящиеся в памяти человека, а опрос с использованием полиграфа служит надежным средством установления (криминалистической диагностики) наличия или отсутствия в памяти таких следов.
Мировая практика и накопленный отечественный опыт свидетельствуют о том, что опрос с использованием полиграфа позволяет эффективно выявлять у лиц, подвергаемых этой процедуре, скрываемую ими информацию.
По словам специалиста ИБ, опрос с использованием полиграфа является комплексной психолого-психофизиологической процедурой и представляет собой нетравмирующую и безвредную для жизни и здоровья, организованную по специальным методикам процедуру опроса человека с использованием контроля и оценки физиологических реакций, которые регистрируются с помощью датчиков, размещаемых на его теле. Целью ОИП является оценка достоверности информации, полученной ранее от опрашиваемого человека, путем фиксации физиологических реакций опрашиваемого на задаваемые вопросы [7].
8.2 Ситуации применения полиграфа
В настоящее время технология использования полиграфа в указанных целях разработана в достаточной мере и дают право уверенно констатировать, что ОИП может быть успешно применен в ходе служебных разбирательств в отношении любого из преступлений.
Особенно эффективно применение ОИП в трех классах ситуаций, которые, применительно к практике проведения служебных разбирательств, осуществляемых службой безопасности, можно охарактеризовать следующим образом.
К первому классу относятся ситуации, в ходе которых у службы безопасности полностью отсутствует возможность получить необходимую для раскрытия и расследования преступления информацию, минуя конкретного человека.
Второй класс составляют ситуации, при которых получение необходимой службе безопасности информации возможно традиционными оперативными средствами или криминалистическими методами, но это сопряжено с большими материальными и/или временными затратами либо привлечением значительных оперативных сил. Применение ОИП позволяет выбрать наиболее рациональный путь выхода из создавшейся ситуации, сэкономив при этом упомянутые ресурсы.
В третий класс входят ситуации, требующие срочного (в течение считанных часов или одного - двух дней) получения информации, и никакой иной из традиционных путей или методов не может обеспечить службе безопасности должного быстродействия. Такую задачу может решить только ОИП, устанавливающий наличие (или отсутствие) в памяти конкретного человека требуемой информации [13].
Если взять статистику для чего нужны ОИП, то это обусловлено тем, что работодатель стремится использовать труд работников, которые, выполняя свои служебные обязанности, не нанесли бы ему ущерба, вреда, а также не нарушали дисциплину. Для этого работодатель устанавливал ряд требований квалификационного, социального и психологического характера, которым должен был удовлетворять нанятый им на работу сотрудник.
8.3 Применение ОИП
По своей сути ОИП нацелены на повышение качества служебной деятельности путем выявления лиц, которые скрыли наличие у них факторов риска, то есть наличия несоответствия тем или иным требованиям, которые установил работодатель. Таким образом, применение полиграфа обеспечивает профилактику правонарушений или преступлений, которые могли бы быть совершены на рабочем месте (или связаны с выполнением служебных обязанностей) лицами указанной категории. Поэтому появление ОИП в «Адвантум» облегчил задачу отбора сотрудников отделу кадров. В данный момент полиграф используется в трех ситуациях:
а) при найме персонала на работу,
б) при периодических (плановых) проверках персонала,
в) при выборочных (внеплановых) проверках персонала.
Применение ОИП не так уж легко, отмечает информационный безопасник компании. Формирование задач ОИП - то есть определение факторов риска - осуществляет работодатель либо служба безопасности. Если перечень факторов риска окажется неполным или некорректно составленным, цель ОИП не будет достигнута, и лица, скрывшие наличие отклонений от требований работодателя, могут оказаться не выявленными.
В ходе выполнения ОИП в компании источниками информации для формирования перечня факторов риска выступают служба кадров, служба внутреннего контроля и служба безопасности, которые осуществляют соответствующие контрольные функции.
Применения полиграфа для решения изложенных задач осуществляется по нескольким направлениям.
Во-первых, ОИП должен стать системной мерой, способствующей повышению качества отбора лиц, принимаемых на работу компании. Применение ОИП, опирающееся на исследование памяти конкретного человека, позволяет проверить важнейшие факты его биографии, выявить утаиваемые им факторы риска и установить надежный заслон против внедрения в компанию специальных сотрудников («кротов») на должности, позволяющие получать непосредственный доступ к информации и документам, либо скрытно собирать конфиденциальную информацию в процессе служебной (производственной) деятельности.
Во-вторых, применение ОИП оказалось весьма эффективным средством текущего контроля деятельности работников. Прежде всего, периодическим проверкам на полиграфе должны подвергаться сотрудники, которые утвердились в компании и работают долгое время. Помимо того периодические ОИП - помимо прямого профилактического действия - оказывают заметное дисциплинирующее воздействие на работающий персонал. Сотрудники осведомлены о необходимости прохождения проверки на полиграфе, и все допущенные ими нарушения установленных норм служебной деятельности будут неизбежно выявлены.
Применение полиграфа происходит по следующей, с одной стороны упрощенной, а с другой эффективной схеме, что и показано на рисунке 4. Как уже говорилось раньше, теперь кандидат на вакантную должность в обязательном порядке подвергается опросу с использованием полиграфа. На опросе присутствуют минимум два сотрудника разных отделов, отдела кадров и информационной безопасности. По результатам опроса составляется отчет и обсуждается специалистами по подбору персонала, где и выносится решения о принятии первого на вакантную должность. В случае разбирательства хищения информации персоналом, сначала (как и было без ОИП) проверяется утечка техническими методами и если эти методы оказываются не эффективными, то каждый сотрудник без исключения подвергается опросу с использованием полиграфа.
Рисунок 13 - Схема использования ОИП
9. Формирование общей политики безопасности
Рассмотрев ряд компании и тщательно их проанализировав можно попробовать сформировать свои идеи по противодействию внутренних нарушителей. Политику информационной безопасности постарался построить только из положительных, на мой взгляд, моментов, присущих в рассмотренных компаниях. Основное направление защиты, без исключения, является защита конфиденциальных данных, это происходит в виде классификации документов:
1) Классификация документов. В любой компании от “маленькой” до “гигантов” ведется разграничение документов по классу конфиденциальности, как правило, их три:
а) для общего пользования;
б) для сотрудников компании и их партнеров;
в) только для внутреннего пользования с ограниченным кругом лиц.
2) Одним из основополагающих моментов формирования служит доверие сотрудников во всех исследуемых компания, но кто-то доверяет и проверяет при помощи мониторинга за сотрудниками, а кто-то просто надеется на совесть и честность граждан.
3) Разграничение прав пользователя или политика стандартизации процессов. Многие, не уважающие себя компании, позволяют пользователям обладать правами локальных администраторов. С таким отношением разграничения прав, можно смело утверждать о будущем хищении информации и больших убытков.
4) Раз говорим о разграничении прав пользователя, то стоит отметить и контроль доступа к ресурсам. Как правило, это является: Интернет, корпоративная почта, USB, приводы и т.д. В крупных компаниях, где борьба с внутренними нарушителями стоит на первом месте запрещается проносить ноутбуки, мобильные устройства, флеш-карты, а в некоторых даже и CD диски. В случае нужды использования перечисленных устройств, пронос осуществляется только по разрешению ОИБ.
5) Выше перечисленные методы являются больше техническими, но не стоит забывать об использовании и гуманитарных методов противодействия утечки информации. Например, такие, как ознакомление с “кодексом поведения сотрудников”, который должен присутствовать в каждой уважающей себя компании. Каждый из сотрудников в начале каждого года должен ознакомиться с этим документом и расписаться (в электронном виде) об этом. Какой информацией должен владеть, и к каким файлам имеет доступ, а так же, что в праве имеет делать сотрудник, а чего нет. Ежемесячное ведение инструктажей и обучение пользователей с целью повышения квалификации, тем самым стараются уменьшить случайные утечки информации, но при этом подвергаются сознательному хищению. Как я уже говорил, политика основывается на доверии, поэтому стараемся фактор умышленного и сознательного хищения рассматривать крайне редко.
6) Классификация внутренних нарушителей. Правильно классифицировав потенциального нарушителя, сотрудники подразделения информационной безопасности компании могут спрогнозировать поведение нарушителя.
7) Психологические меры. Очень хороший способ устранения или даже “запугивания” злостных нарушителей. Выделяют два способа, открытый и закрытый. Заключаются они в том, что если сотрудник знает, что за ним ведется наблюдение, вряд ли он будет рисковать и похищать информацию.
8) Уровни контроля информационных потоков. Выделяют три режима: режим архива, режим сигнализации, режим активной защиты. Каждая компания сама выбирает какой из данных режимов использовать, но, как правило, используются все режимы контроля потоков.
9) К положительным моментам формирования ВПИБ теперь можно отнести и ОИП. Сделав вывод данной учебно-исследовательской работы - это, несомненно, положительный аспект, помощь и дополнение к уже существующим.
Заключение
В ходе данной работы был проведен всесторонний анализ имеющейся информации по тематике опыта реализации задач борьбы с внутренними нарушителями в системах информационной безопасности предприятий. Были проанализированы несколько компании и на основании имеющихся данных сделаны выводы и дана общая рекомендация формирования внутренней политики информационной безопасности.
Одной из проанализированных компаний является RussGPS. Её политика ИБ во многом схожа с политикой внутренней информационной безопасности компании Cisco Systems, но с небольшими изменениями, с некоторыми доработками.
1) Политика во многих компаниях и предприятиях основывается на доверительных отношениях, но в данном случае придерживаются пословицы “доверяй, но проверяй”, т.е. ведется мониторинг за добропорядочными сотрудниками.
2) Второй аспект, в случае хищения информации, в компании сначала оценивается ущерб, принесенный компании, а потом уже устраняется нарушитель и «закрывается» утечка. И в случае, если затраты на установление и нейтрализацию нарушителя и утечки информации превышают ущерб, то эту проблему все равно решают и нейтрализуют даже если это будет убыточно. Ведь такое хищение может произойти повторно с причинением более значительных убытков, поэтому по каждой потери информации (конфиденциальной) нужно делать выводы и устранять утечку.
3) В одной из немногих известных ИТ компаний используются радиометки. В случае выноса носителя за пределы контролируемой зоны, срабатывает система автоматического оповещения. С их помощью прослеживается цепочка нарушителей и предотвращения утечки носителей информации.
Также в данной работе затронута тема исследования использования полиграфа для борьбы с внутренним нарушителем. В ходе работы были проанализированы методы применения полиграфа и ситуации, в которых каждый из них является наиболее целесообразным, а так же подробно рассмотрены правовые аспекты. На основании полученных результатов была выработана общая рекомендация по формированию политики внутренней информационной безопасности. Несмотря на имеющиеся очевидные сложности, использование полиграфа в сфере информационной безопасности дает ряд преимуществ отделу по информационной безопасности компании. ОИП крайне полезен не только при проверках по факту утечки или хищения информации, но и является безупречным помощником при найме на вакантную должность будущих сотрудников. Большинство потенциальных случаев хищения пресекается на этапе задумки противоправных действий, которые могут повлечь серьезные убытки компании. ОИП, по приблизительным оценкам специалистов, помогает работать эффективнее на 25% .
После тщательного анализа систем внутренней информационной безопасности компаний, рассмотренных в рамках данной работы, была выработана краткая рекомендация по формированию политики, эффективно противостоящей инсайдеру:
1) Классификация документов;
2) Доверительные отношения;
3) Разграничение прав пользователя;
4) Контроль доступа к ресурсам;
5) Нетехнические (гуманитарные) методы противодействия утечки информации;
6) Классификация внутренних нарушителей;
7) Психологические меры;
8) Уровни контроля информационных потоков;
9) Применение полиграфа.
Представленный перечень является обязательным набором мер для обеспечения надежной системы внутренней информационной безопасности любого предприятия. Однако в отдельно взятых случаях не помешают дополнительные меры по противодействию инсайдерам, содержание которых зависит от специфики конкретной организации.
Список использованных источников
1. Документ Cisco and Cisco Security;
2. http://www.cisco.com/web/RU/index.html;
3. Диалог с представителем Cisco Systems;
4. http://www.infosecurity.ru/;
5. http://daily.sec.ru/dailypblshow.cfm?rid=9&pid=14681&pos=5&stp=25;
6. проф. А.Ю.Щеглов, ЗАО "НПП "Информационные технологии в бизнесе";
7. Козлов Д. С. Политика информационной безопасности компании "Адвантум". - 2004 г. - 75 стр.;
8.Ежиков И. В. Компания "RussGPS". Внутрикорпоративные документы. Защита внутрикорпоративной информации. - 2005 г. - 83 стр.;
9. Государственные требования к минимуму содержания и уровню требований к специалистам для получения дополнительной квалификации «Специалист по проведению инструментальных психофизиологических опросов». М., 2001;
10. Холодный Ю. И. Краткая история становления психофизиологического аппаратурного метода детекции лжи // Мир безопасности. -- 2000;
11. Черноризов А. М., Исайчев С. А. "Детектор лжи" или Что такое практическая психофизиология // Психологическая газета : интервью. -- 2003. -- № 4;
12. Холодный Ю. И. Анализ физиологических реакций, регистрируемых в процессе опроса с использованием полиграфа: практическое пособие. -- М.: 1999. -- С. 6. -- 52 с.;
13. Оглоблин С. И., Молчанов А. Ю. Инструментальная «детекция лжи»: академический курс. -- Ярославль: Нюанс, 2004. -- 464 с.;
14. Рекомендации по устранению внутренних нарушителей компании InfoWatch [Электронный ресурс] - Режим доступа к ресурсу: www.infowatch.ru.
Размещено на Allbest.ru
Подобные документы
Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья [15,9 K], добавлен 24.09.2010Анализ инфраструктуры ООО магазин "Стиль". Создание системы информационной безопасности отдела бухгалтерии предприятия на основе ее предпроектного обследования. Разработка концепции, политики информационной безопасности и выбор решений по ее обеспечению.
курсовая работа [2,2 M], добавлен 17.09.2010Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.
курсовая работа [30,4 K], добавлен 03.02.2011Основные принципы и условия обеспечения информационной безопасности. Защита информации от несанкционированного и преднамеренного воздействия, от утечки, разглашения и иностранной разведки. Цели, задачи и принципы системы ИБ. Понятие политики безопасности.
презентация [118,4 K], добавлен 19.01.2014Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Разработка политики безопасности компании в условиях информационной борьбы. Повышение информационной безопасности в системах обработки данных. Обеспечение устойчивости к противодействию диверсионной и технической разведке. Защита локальной сети.
курсовая работа [841,2 K], добавлен 13.06.2012