Защита информации от внутренних угроз

Защита информации от внутренних угроз

02.02.2007 распечатать

2006 год отличился значительным ростом зафиксированных случаев утечки информации. Удивляет не только их количество, но и масштабы. Если сохранится наметившаяся тенденция, в скором будущем понятие конфиденциальности будет лишь условным атрибутом общедоступной информации.

Современные информационные системы позволяют защитить конфиденциальные данные компаний от внешних злоумышленников. Но, как правило, остается одно уязвимое место – собственный персонал, обладающий легитимным доступом к накопленным сведениям. Поскольку организации стараются скрыть инциденты с утечкой своих информационных ресурсов, составить достоверную картину о масштабах происшествий затруднительно. Но между тем, согласно исследованиям ФБР и Института компьютерной безопасности США, более 70 процентов от общего объема потерь компаний, возникающих в результате реализации ИТ-рисков, связаны именно с их персоналом.

На отечественном рынке труда, к сожалению, нормой стало то, что сотрудники организаций, увольняясь, безнаказанно переносят конфиденциальные сведения с одного места работы на другое. Успешных примеров проведения расследований по статье 183 Уголовного кодекса «Незаконное получение и разглашение коммерческой тайны» к настоящему моменту крайне мало. Поэтому инсайдеры и нелояльные сотрудники продолжают безбоязненно копировать и использовать сведения, составляющие коммерческую тайну предприятия, в котором они работают.

Даже среди организаций, специализирующихся на предоставлении услуг в области информационной безопасности, вряд ли найдется компания, которая никогда не сталкивалась с финансовыми потерями в результате утечки конфиденциальных сведений, не говоря уже о фирмах, основная деятельность которых не связана с защитой информации. Решение проблемы утечки информации

Многие предприятия предоставляют своим сотрудникам значительную свободу в выборе и использовании компьютерной техники и программного обеспечения, а также не уделяют должного внимания вопросу найма собственных IT-специалистов. Другая крайность проявляется в том, что топ-менеджеры некоторых компаний устанавливают режим тотальной секретности, отслеживая практически все перемещения информации, в том числе и не содержащей коммерческой тайны. В таких случаях часто неоправданно велики требования к ресурсам службы экономической безопасности предприятия. Поэтому очень важно добиться разумного компромисса между разумной управляемостью и жестким контролем.

На основе зарубежного и отечественного опыта решения задач защиты конфиденциальных сведений разработаны методологии построения системы управления информационной безопасностью (далее – СУИБ), например:

  • стандарты британского института ISO 27001 (ISO 17799);
  • требования акта Сарбанеса–Оксли (США) SOX;
  • стандарт Банка России СТО БР ИББС-1.0-2006;
  • отраслевые стандарты предприятий.

    Каждая методология включает рекомендации как по организационным, так и по техническим мерам обеспечения безопасности. Помимо выполнения внутренних проверок, предприятия заказывают такие услуги, как комплексный аудит информационной безопасности – «взгляд со стороны». В основе процессного подхода западных стандартов лежит также непрерывный контроль и совершенствование уже существующих мер. В российской действительности защиту конфиденциальных сведений следует начинать с введения в компании режима коммерческой тайны.

    Поскольку поток документов, обрабатываемых сотрудником, в большинстве случаев превышает то количество, с которым он одновременно может работать, возрастает необходимость в технических средствах автоматизированного выполнения следующих основных действий:

  • классификации информации (разделения на конфиденциальную и открытую);
  • разграничения доступа к сведениям, содержащим коммерческую тайну;
  • учета перемещений данных между сотрудниками;
  • регистрации исходящих сообщений. Технические меры
  • В настоящее время существуют совершенные средства защиты от внешних рисков – антивирусы, межсетевые экраны, антиспам и т. д. А вот рынок защитных устройств от внутренних угроз еще не настолько развит, чтобы можно было ограничиться неким «универсальным» средством для покрытия всех каналов утечки конфиденциальной информации.

    Попробуем разобраться в вариантах IT-решений по защите информации при различных сценариях поведения нарушителей. Так, если злоумышленник не является специалистом в шпионском оборудовании, то, скорее всего, он воспользуется одним из наиболее доступных способов передачи информации:

  • перепишет файлы на мобильный носитель (например, наладочный компьютер, сотовый телефон, записываемые диски, по IR- или BlueTooth-каналу на личный ноутбук);
  • отправит файлы по электронной почте;
  • перешлет через web-почту или выгрузит на внешний файловый сервер;
  • распечатает и унесет на бумажных носителях.

    В данном случае для защиты информации можно выбрать различные устройства, различающиеся как по используемым технологиям, так и по количеству покрываемых каналов утечки.

    1. Средства контроля мобильных носителей. На отечественном рынке распространены решения DeviceLock, которые позволяют управлять открытием и закрытием портов ввода-вывода информации в зависимости от привилегий пользователей и профилей устройств. Эти IT-решения чаще всего используются для целей контроля USB-носителей.

    Решение Net Monitor компании InfoWatch позволяет следить за перемещением информации на основе меток уровня конфиденциальности документов. Так, согласно политике безопасности, для определенной группы пользователей могут быть установлены запрет или разрешение на такие действия над документами, как открытие, модификация, сохранение, печать, копирование на носители.

    Особый тип в данной группе составляют IT-решения по защите мобильных компьютеров. Ведь именно кражи корпоративных ноутбуков, согласно последним данным статистики от компании InfoWatch, среди прочих внутренних угроз вызывают наибольшие потери. Помимо организационных мер, рекомендуется использовать криптографические средства, например шифрование дисков, одновременно с созданием нескольких виртуальных машин для разделения данных.

    2. Средства фильтрации почтового и web-трафика. Система «Дозор-Джет» защищает фирмы от нецелевого использования web-ресурсов и предотвращает утечку конфиденциальной информации по web-каналам и через корпоративную электронную почту. В основе технологии – программа-фильтр, которая проверяет входящие и исходящие сообщения по ключевым словам и по шаблонным выражениям, поэтому требуется ее предварительная настройка в соответствии с каталогом конфиденциальной информации.

    Решение Traffic Monitor компании InfoWatch также защищает предприятия от утечек информации через web-каналы, электронную почту и создает хранилище отправленных сообщений для оперативного разбора инцидентов. В зависимости от плана внедрения действия программы могут быть скрыты от пользователей для целей прозрачного контроля, а информация об их действиях, нарушающих безопасность, моментально доводится до сведения сотрудника службы безопасности. IT-решение основывается на морфологическом анализе исходящего текста, при котором учитываются словоформы русского языка и возможные подмены символов.

    Отдельно можно отметить западное решение SurfControl, уже достаточно известное и распространенное в России благодаря возможностям тонкой настройки контроля использования web-ресурсов. Технология фильтрации основана на перечне запрещенных слов, которые не должны покинуть пределы корпоративной информационной системы. Если в исходящем сообщении суммарный «вес» запрещенных слов превысит установленный уровень, то действия сотрудника будут блокированы. Как выбрать IT-решение

    На выбор IT-решения для защиты информации влияют несколько факторов.

    1. Цели внедрения технологического решения:

  • соответствие стандартам по информационной безопасности – в связи с вступлением в ВТО, а также для повышения инвестиционной привлекательности обязательным требованием к компаниям зачастую становится соответствие одному из отечественных или зарубежных стандартов (ФЗ РФ, СТО БР ИББС, ISO 27001/17799, SOX § 404);
  • выявление каналов утечки;
  • комплексная защита предприятия от утечек путем создания системы управления информационной безопасностью.

    2. Размер компании: в организациях, использующих более 300–500 рабочих станций, возрастают требования к консолидации управления информационной безопасностью. Можно выделить решение InfoWatch Enterprise Solution, которое предоставляет единый интерфейс контроля сразу нескольких каналов утечки.

    3. Унаследованная инфраструктура: промышленные гиганты борются за унификацию своей инфраструктуры, но многочисленные унаследованные приложения, которые используются для управления ресурсами предприятия, а также большие затраты по их интеграции ее затрудняют.

    4. Сертификация: ряд организаций, например министерства, предъявляют требования к компании-разработчику и к внедряемым программно-аппаратным комплексам по наличию у них сертификатов и лицензий ФСТЭК и ФСБ. В результате выбор может быть предопределен набором тех IT-решений, которые имеют требуемый сертификат. Цена защиты

    Объем инвестиций в комплексную защиту от утечек конфиденциальной информации определяется составляющими:

    1. Лицензионной – как правило, лицензирование программных комплексов привязывается к количеству контролируемых узлов (рабочих станций, серверов, почтовых ящиков). Следует учесть также и стоимость сопутствующего программного обеспечения (операционных систем, Oracle DataBase, MS SQL Server, MS ISA Server и т. д.).

    2. Аппаратной – каждое программно-техническое решение имеет свои требования к серверному и сетевому оборудованию, используемому для реализации проекта. Например, оперативный контроль над почтовым трафиком является чрезвычайно важным элементом бизнеса и может потребовать отдельного сервера для его фильтрации.

    3. Работами по внедрению – часть рассмотренных решений являются «коробочными» продуктами и настраиваются системными администраторами компании, однако другие требуют выполнения проектных работ с привлечением консультантов, лингвистов, технических специалистов. Объем работ может составлять от 30 до 100 процентов от лицензионной составляющей программного комплекса.

    4. Обслуживанием – после внедрения IT-системы компания несет затраты на ее техническое сопровождение (обычно от 10 до 30% от стоимости лицензии за один год).

    5. Работами по интеграции – дополнительные расходы могут быть связаны с настройкой межсистемных интерфейсов. Если СУИБ внедряется на основе решений нескольких поставщиков, то затраты на их интеграцию и сопровождение также возрастают и требуют учета.

    6. Занятостью персонала – на этапе внедрения системы и ее промышленной эксплуатации для изучения и сопровождения СУИБ необходимо привлекать технических специалистов и сотрудников службы безопасности. Требования к работникам зависят от достоверности и уровня автоматизированности основных действий по контролю над информационными ресурсами.

    Таким образом, внедрение СУИБ в компании – многофакторный процесс, а его успешная реализация позволяет значительно снизить риски организаций при использовании информационных ресурсов и иметь законную основу для защиты конфиденциальных сведений.

    Принципы построения СУИБ:
    1) анализ текущего состояния предприятия с точки зрения существующих уязвимых мест в информационной безопасности;
    2) оценка возможных рисков компании, связанных с использованием информационной инфраструктуры;
    3) разработка СУИБ организации на основе наложения рисков и уязвимых мест;
    4) внедрение СУИБ и осуществление соответствующих организационных мер.

    Введение в компании режима коммерческой тайны сопровождается:
    1) разработкой положения о коммерческой тайне компании;
    2) выпуском приказа по организации, утверждающего положение;
    3) подписанием с сотрудниками приложений к трудовому договору о неразглашении секретных сведений;
    4) включением раздела о конфиденциальности во все договора предприятия;
    5) физическим и техническим разграничением доступа к информации;
    6) организацией учета лиц, получающих доступ к коммерческой тайне;
    7) регистрацией всех исходящих документов, содержащих секретные сведения.

    Александр Чачава, президент LETA IT-Сompany

    • Составьте правильно и проверьте свой РСВ за 9 месяцев вместе с бератором.
    Регистрируйтесь бесплатно.
    Loading...