Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю

Жанр: Информатика

Рейтинг:

Просмотров: 797

Глава 13

Организационные меры защиты

Проблема организационных мер

Собственно организационные меры

Психологические меры

Права локальных пользователей

Стандартизация ПО

Специфические решения

Работа с кадрами

Внутрикорпоративная нормативная база

Хранение физических носителей

Система мониторинга работы

с конфиденциальной информацией

Аутсорсинг хранения информации

Итоги

Чаоть ML Проблема утечки конфиденциальной

Подход к обеспечению ИТ-безопасности, как никакой другой процесс, характерщ зуется системностью и тесной связью с существующими бизнес-процессами. Раз нообразный арсенал для защиты конфиденциальной информации запросто можегі ввести в замешательство даже профессионала. Чему отдать предпочтение: тех* ническим средствам, организационным мерам или их комбинации?

Проблема организационных мер

В процессе внедрения системы контроля над конфиденциальной информацией и защиты от инсайдеров шекспировское «быть или не быть» часто перетекает в дис| куссию о преимуществах и недостатках технических средств и организационным мер. Аргументация апологетов той или иной позиции, включая дуалистическую^ стройна и убедительна. Придраться действительно не к чему.

Зачем нам оргмеры? Приняв их, мы просто спугнем нарушителя и упустим возможг ность воспользоваться мечом правосудия! Надо «втихую» ставить фильтры и отсле­живатьинсайдеров! Так считают приверженцы программно-аппаратных средств.

К чему тратить сотни тысяч долларов на всякие «железяки»? Я просто на всех ра­бочих станциях включу в области уведомлений «зелененькую штучку» и пущу roj компании слух, что все теперь под колпаком. А увольняющимся буду давать $100j чтобы они всем говорили, что их выследила «зелененькая штучка». Это реальное мнение сторонника организационных мер.

Дуалисты выглядят наиболее убедительными, считая, что необходим комплекс и технических и организационных мер — только так возможно эффективно про­тивостоять внутренним ИТ-угрозам в любом их проявлении.

В зависимости от цели выбирается и методика внедрения. Соответственно подыски­вается место и насыщенность организационными мерами. Например, для достижения

Источник: InfoWatch — 2006.

Сложно не согласиться с мнениями всех сторон. Ведь каждый из них решает свой задачи. И поэтому затруднительно признать единую истину — она лежит в каж­дой аргументации и отталкивается от конкретных целей внедрения (табл. 13.1).

счютветствия требованиям национальных и международных нормативных актов и стан­дартов (таким как стандарт Банка России по ИБ, Basel II, SOX, HIPAA, GLBA, Combined Code on Corporate Governance, ISO 27001 и пр.) степень применяемости орга­низационной меры определяется самим текстом. Причем всякий раз по-разному. Для [юшения проблемы сохранности информации оргмеры будут составлять один из основ­ных этапов внедрения. Иногда на их реализацию потребуется до 70 \% всего времени проекта. В случае с выявлением канала утечки процесс должен происходить как можно незаметнее, чтобы не спугнуть подозреваемых, и затраты на оргмеры минимизируются до оперативно-розыскных мероприятий. Наконец, в целях доказательства непричаст­ности компании к утечке информации необходимо внедрить столько организационных мер, сколько потребуется для достижения цели.

К чему все перечислять? В любом случае, у каждой компании будут возникать свои специфические цели и задачи. Вписать их в простую табличку — слишком самона­деянно. Универсального рецепта, так же как и идеальных условий, не бывает. Ком­паниям придется рассматривать необходимость и объем комплекса организацион­ных мер при внедрении системы защиты от внутренних ИТ-угроз отдельно для каждого конкретного случая.

Собственно организационные меры

Прежде всего, не воспринимайте перечисленный дальше комплекс организацион­ных мер как истину в последней инстанции. Надежда на универсальность рецепта может испортить проект сродни эффекту картонного бронежилета. Компании все равно необходимо самостоятельно принимать решение о выборе и интенсивности тех или иных мер. Вряд ли кто-то точнее может сказать, где болит у больного, кро­ме самого больного. К тому же перечисленные аспекты — это не полный список мер, а скорее наиболее распространенных.

Психологические меры

11е вдаваясь в психологические аспекты защиты подробно, выделим два способа вне­дрения систем: открытый и закрытый. Как внедрять систему — решает сам заказчик, причем на самом высоком уровне. Безусловно, полностью реорганизовать докумен­тооборот незаметно для пользователей невозможно, тем более что часть процесса вне­дрения — ознакомление пользователей с процедурами доступа. Однако, если ос­новная цель внедрения системы — выявление уже действующего канала утечки и определение всех его звеньев, причем не только исполнителей внутри компании, НО и ззказчиков информации вне ее, имеет смысл повременить с объявлением процедур и поставить в первую очередь мониторы активности пользователей и контемтную фильтрацию почты и веб-трафика. В случае оперативной разработки в отношении со-Iрудников компании по договоренности с производителем имеет смысл замаскиро­ван» программные агенты на рабочих станциях под программы, которые не вызовут подозрений,    антивирус или мониторы аудита программного обеспечения.

І'.сли же внедрять систему защиты от внутренних угроз открыто, то за счет психоло­видеонаблюдения для защиты периметра компании на некоторых направления! можно ставить неподключенные камеры, так как сам факт наличия видеокамера наблюдения уже останавливает большую часть нарушителей. Для этого камеры долЗ жны стоять на виду. Кроме того, такие меры, как организация новой системы хранен ния, ознакомление сотрудников с новыми регламентами, предание гласности инщ$ дентов с попыткой вынести запрещенную информацию за пределы компании! наверняка предотвратят хищения информации саботажниками и нелояльными сф трудниками.

Права локальных пользователей

Было бы неправильным считать, что, установив любое, пусть самое совершенное, про* граммное обеспечение, вы решите все проблемы, связанные с утечками. Даже когда оно будет установлено, его необходимо время от времени проверять на возможности преодоления защиты. Кроме постоянного тестирования системы безопасности, необн ходимо ограничить возможности потенциальных взломщиков. В первую очередь это достигается за счет лишения пользователей прав локального администратора на ш| рабочих местах. Такая, казалось бы, простая мера до сих пор не применена в большин­стве компаний. Иногда оправданием этого служит наличие в компании унаследована ного программного обеспечения, неспособного работать с операционными системами поддерживающими удаленное управление. Выходом из данной ситуации может был локализация рабочих мест с правами локального администратора для работы с уна« следованным приложением в отдельном сегменте сети, физическое или программное лишение рабочих мест устройств вывода и концентрация их в одном месте под кой^ тролем сотрудника, персонально ответственного за отсутствие утечек информации Однако необходимо понимать, что это решение является временным и стратегически необходимо стремиться как можно скорее перенести унаследованные приложенш в более современные операционные системы.

Стандартизация ПО

Редко увидишь в компаниях такой документ, как список программного обеспечения^ допустимого к установке на рабочих станциях, а там, где он есть, на его составление ответственных лиц подвигло не беспокойство за утечки конфиденциальной инфор1* мации, а скорее понимание того, что сотрудники могут использовать предоставлен­ный им для работы компьютер для развлечений. Иначе невозможно объяснить на* личие в этом списке, например, мощного файлового менеджера вроде FAR или Total Commander. Возможно, встроенный в операционную систему Windows Explore!1 действительно неудобен, но зато он не позволяет копировать временные файлы и много других низкоуровневых, но потенциально опасных с точки зрения сохран­ности конфиденциальной информации операций. Что выгоднее компании: заста­вить сотрудников пользоваться штатными средствами операционной системы или оставить мощный инструмент похищения данных? Ответ напрашивается сам собой, но большинство компаний, видимо, не ставят даже этот вопрос.

После составления списка программного обеспечения необходимо обеспечить его установку на все рабочие станции и ограничить запуск других программ Гичі участия администратора. Принцип «все, что не разрешено, — запрещено» в этом случае должен выполняться неукоснительно. Это избавит компанию от будущих проблем с утечками через злонамеренных нарушителей. Инсайдеры просто не смогут работать с программным обеспечением, которое можно использовать для обмана. Например, внутренние злоумышленники не смогут обмануть механизмы контентной фильтрации с помощью шифрования и стеганографии.

Специфические решения

І Іебольшими организационными мерами можно решить очень большие проблемы. Когда-нибудь решение следующей задачи будут изучать в университетах. Одно федеральное ведомство серьезно страдало от регулярных утечек своей базы дан­ных, которая имела устойчивый спрос на пиратских рынках. Контролировать все точки доступа к базе было технически очень сложно, и отдел информационной безопасности придумал следующий ход. Рассудив, что хищением информации за­нимается не больше десятка человек, причем вряд ли управляемых из одного цен­тра, они попросили администраторов базы ограничить объем ежедневных запро­сов до 20 Мбайт. Все, что больше, — по дополнительной заявке с обоснованием служебной необходимости. Вряд ли нарушители захотят проявить себя регуляр­ными просьбами об увеличении лимита. Поскольку вся база занимала несколько гигабайт, выкачать ее за месяц одному человеку не представлялось возможным. К тому же база меняется ежедневно, поэтому сшитые куски, скопированные в раз­ные дни, нарушали цельность базы. Через некоторое время базу перестали поку­пать, а потом, ввиду отсутствия спроса, — и похищать. Как видно, предотвратить утечки в данном случае удалось без дополнительных материальных затрат.

Работа с кадрами

И конечно, необходимо постоянно работать с пользователями. Обучение пользо-иателей, воспитание бдительности сотрудников, инструктаж новичков и времен­ных сотрудников во многом смогут предотвратить утечки через незлонамеренных пользователей. Любое копирование информации на сменный носитель должно вызывать вопросы коллег — ведь лояльные сотрудники пострадают вместе с ком­панией, а значит, они по одну сторону баррикад.

Высокая квалификация компьютерного пользователя не всегда является плюсом. И западной литературе встречается термин overqualified — приблизительно его можно перевести как «слишком квалифицированный» или «переквалифициро­ванный». Причем излишние навыки в работе с компьютером являются более се­рьезным недостатком, чем недостаточная квалификация. Ведь повысить квалифи­кацию можно всегда, а как заставить человека забыть уже имеющиеся навыки? Падайте себе вопрос: правильно ли, что сотрудник бухгалтерии обладает навыки* ми системного администратора, а оператор на атомной станции заочно учится ИМ жеиерта по компьютерной безопасности? Выявление «специалистои-дюбит/ШЙ* иозможио во время традиционной аттестации. Стоит добавить в опросник ионное! «Как сиять зависший процесс и Windows?* и провести разъясни тельную рйпоту

Ведь правильный ответ на этот вопрос для большинства пользователей — «Вы| звать системного администратора».

Внутрикорпоративная нормативная база

Трудно однозначно сказать, можно ли к организационным мерам отнести создаї ниє внутрикорпоративной нормативной базы. Решать вам, а мы на всякий случая рассмотрим и этот важный аспект.

Хаос в обращении конфиденциальной информации и ее строгий учет, контроля и аудит разделяют четкие положения, определяющие права и обязанности пользе» вателей и администраторов, регламенты обработки, хранения и обмена данным^ политику доступа. Некоторые из перечисленных пунктов уже были или будут pad! смотрены дальше. Поэтому мы остановимся на наиболее важных аспектах.

Прежде всего, необходимо выделить три основных уровня применения норматив ной базы в компании.

Уровень предприятия. Начиная с этого уровня, необходимо распространить орга низационную составляющую системы защиты конфиденциальной информации щ все остальные уровни. Как правило, здесь задействованы все ключевые отделу организации под постоянной, непосредственной протекцией и мотивацией высш^ го руководства. Практика показывает, что без выполнения последнего требованш любое самое благое начинание постепенно тонет в потоке повседневной текучки J спускается на тормозах. Вполне очевидно, что у ИТ-, HR-, ИБ-отделов всегда есті чем заняться и туманные угрозы со стороны инсайдеров их не очень сильно беспо| коят. Гораздо важнее выполнить план или освоить бюджет. Топ-менеджмент зачас тую понимает, какие последствия может вызвать всего лишь одна утечка, и имей, рычаги управления, дабы этого не произошло.

Самым важным нормативным актом уровня предприятия в процессе внедрения сищ темы защиты конфиденциальной информации является положение о конфиденщм альности электронной информации. Это высокоуровневый документ, описьіваюіщи корпоративную парадигму отношения к данным. Он опирается непосредственно щ классификацию информации, которая выделяет строго конфиденциальные, конфад денциальные и неконфиденциальные документы и данные. Наконец, неотъемлемой частью этого уровня являются трудовые соглашения и должностные инструкции описывающие права и обязанности сотрудников. Важный момент, который должей найти отражение в этих документах, состоит в отчуждении всей информации с рабо* чего места сотрудников в пользу компании. С одной стороны, это означает свободу действий организации в отношении просмотра, фильтрации, задержки и других кор­поративных данных, а также систематизацию ролей различных служащих, а с дру­гой — защиту компании от возможных встречных исков со стороны обнаружен­ных инсайдеров по обвинению в нарушении их конституционных прав на тайну переписки.

Уровень информационной системы. На этом уровне важно определить регламент пользования корпоративной информационной системой, регламент пользования приложениями и требования к системному ландшафту. Данные документы закрепля­ют состояние информационной системы, позволяют контролировать запуск потенци­ально опасных приложений и достичь соответствия корпоративной сети специфичес­ким требованиям для контроля и аудита конфиденциальной информации.

Уровень информационной безопасности. На данном уровне необходимо опреде­лить поведенческую модель нарушителя, политику доступа к информации и поли­гику работы с информацией. По сути, именно на этом уровне происходит непосред­ственная работа по контролю и аудиту действий пользователей. Между каждым пользователем, группами пользователей и каждым документом создаются отноше­ния прав, внедряются механизмы журнализации и предотвращения несанкциони­рованных действий. Наконец, на этом этапе компания узнает, с кем она борется, со­здавая портрет нарушителя.

Хранение физических носителей

Еще один канал утечки информации — физический вынос носителей с резервными копиями. Понятно, что после абсолютно легального резервного копирования ника­кое программное обеспечение не в силах остановить физический вынос злоумыш­ленником носителя, его копирование и внесение обратно. Поэтому сейчас исполь­зуется несколько способов защиты этого канала утечки. Первый — анонимизация носителей, то есть сотрудники, имеющие доступ к носителям, не знают, на каком носителе какая информация записана, они управляют только анонимными номера­ми носителей. Те сотрудники, которые знают, на каком носителе находится какая информация, в свою очередь, не должны иметь доступ к хранилищу носителей.

Второй способ — шифрование информации при резервном копировании, посколь­ку даже вынесенная и скопированная информация потребует некоторого времени и большой вычислительной мощности на расшифровку. Безусловно, здесь работают все технологии хранения ценных вещей — замки, открывающиеся только двумя клю­чами, находящимися у разных сотрудников, несколько уровней доступа и т. д. С раз­витием технологий RFID и GPS, возможно, появится решение, при котором внедрен­ные в каждый носитель радиометки будут сигнализировать о попытках вынести его за пределы хранилища и даже посылать сигналы об их местонахождении.

Система мониторинга работы

с конфиденциальной информацией

Развернув систему мониторинга работы с конфиденциальной информацией, кро­ме наращивания функционала и аналитических возможностей, можно развивать­ся еще в двух направлениях.

Первое направление — интеграция систем защиты от внутренних и внешних угроз. Инциденты последних лет показывают, что существует распределение ролей между внутренними и внешними злоумышленниками, позтому объединение инфор« мации из систем мониторинга внешних и внутренних угроз иозволиі обнаруживать факты таких комбинированных атак. Одной из точек соприкосновения внешней; и внутренней безопасности является управление правами доступа, особенно в кон­тексте симуляции нелояльными сотрудниками и саботажниками производствен­ной необходимости для увеличения прав. Любые заявки на получение доступа к ресурсам, не предусмотренным служебными обязанностями, должны немедлен­но приводить в действие механизм аудита работы с этой информацией. Еще безопас­нее решить вдруг возникшие задачи без открытия доступа к ресурсам.

Приведем пример из жизни. Системному администратору поступила заявка от на­чальника отдела маркетинга на открытие доступа к финансовой системе. В качестве обоснования заявки было приложено задание генерального директора на маркетин­говые исследования о процессах покупки товаров, производимых компанией. По­скольку финансовая система — один из самых охраняемых ресурсов и разрешение на доступ к нему дает генеральный директор, начальник отдела информационной безопасности на заявке написал альтернативное решение — доступа не давать, а вы­грузить в специальную базу для анализа обезличенные (без указания клиентов) дан­ные. В ответ на возражения главного маркетолога о том, что ему так работать неудоб­но, директор спросил в лоб: «Зачем тебе названия клиентов — слить базу хочешь?», после чего все пошли работать. Была ли это попытка организовать утечку информа­ции, мы никогда не узнаем, но, что бы это ни было, корпоративная финансовая сис­тема была защищена.

Другое направление развития системы мониторинга внутренних инцидентов с кон­фиденциальной информацией — построение системы предотвращения утечек. Ал­горитм работы такой системы тот же, что и в решениях по предотвращению втор­жений. Сначала строится модель нарушителя, по ней формируется «сигнатура нарушения», то есть последовательность действий нарушителя. Если несколько действий пользователя совпали с сигнатурой нарушения, прогнозируется следу­ющий шаг пользователя, если и он совпадает с сигнатурой — подается сигнал тре-' воги. Например, был открыт конфиденциальный документ, часть его была выде­лена и скопирована в буфер, затем был создан новый документ и в него было скопировано содержимое буфера. Система предполагает: если дальше новый доку­мент будет сохранен без метки «конфиденциально» — это попытка похищения. Еще не вставлен USB-диск, не сформировано письмо, а система информирует офицера информационной безопасности, который принимает решение: остановить сотрудни­ка или проследить, куда уйдет информация.

К слову, модели (в других источниках — профили) поведения нарушителя можно использовать не только с помощью сбора информации от программных агентов. Если анализировать характер запросов к базе данных, всегда можно выявить сотрудника, который рядом последовательных запросов к базе пытается получить срез конкрет­ной информации. Необходимо тут же проследить, что он делает с этими запросами, сохраняет ли их, подключает ли сменные носители информации и т. д.

Аутсорсинг хранения информации

Сейчас развивается рынок услуг по аутсорсингу информационных систем, ко­торые обеспечивают хранение информации в защищенном режиме, ее загрузку

и арендуемые приложения и выдачу по удаленному запросу. Датацентр — ядро компании, оказывающей такие услуги, изначально проектируется таким обра­зом, чтобы свести к минимуму вероятность утечек. Принципы анонимизации и шифрования данных — обязательное условие организации хранения и об­работки информации в датацентре, а удаленный доступ можно организовать по терминальному протоколу, не оставляя на компьютере, с которого посылается запрос, никакой информации. Причем упомянутые программные и органи­зационные решения для таких центров — средства производства и конкурент­ные преимущества, поэтому их цена является для них меньшим препятствием, чем для компаний, приобретающих эти решения для себя. Возможно, с разви­тием рынка этих услуг внутренняя безопасность информации трансформиру­ется в обеспечение безопасности датацентров.

Итоги

Глубина проработки темы борьбы с внутренними ИТ-угрозами зависит от уровня па­ранойи в компании. Предела совершенству нет — Большой Брат, придуманный Ору-;>ллом, стремится знать все обо всех. Главное, понимать, что владелец информации имеет право на ее защиту, и знать, что для этого доступны все средства — технические и организационные. И важно применить комплексную систему защиты информации против тех сотрудников, которые, прикрываясь разговорами о нарушении конститу­ционного права на невмешательство в личную жизнь, пытаются использовать данные им во исполнение служебных обязанностей ресурсы в собственных, неблаговидных целях. Перефразируя классика новейшей истории, в заключение резюмируем: «Толь­ко тот бизнес чего-либо стоит, который умеет защищаться».