Противодействие угрозами информационной безопасности организации со стороны собственного персонала

Программно-технические способы и средства обеспечения информационной безопасности:

1) Средства защиты от несанкционированного доступа (НСД):

–   Средства авторизации;

–   Мандатное управление доступом;

–   Избирательное управление доступом;

–   Управление доступом на основе ролей;

–   Журналирование (так же называется Аудит).

2) Системы анализа и моделирования информационных потоков (CASE-системы).

3) Системы мониторинга сетей:

–   Системы обнаружения и предотвращения вторжений (IDS/IPS).

–   Системы предотвращения утечек конфиденциальной информации (DLP-системы).

4) Анализаторы протоколов.

5) Антивирусные средства.

6) Межсетевые экраны.

7) Криптографические средства:

–   Шифрование;

–   Цифровая подпись.

8) Системы резервного копирования.

9) Системы бесперебойного питания:

–   Источники бесперебойного питания;

–   Резервирование нагрузки;

–   Генераторы напряжения.

10) Системы аутентификации:

–   Пароль;

–   Сертификат;

–   Биометрия.

11) Средства предотвращения взлома корпусов и краж оборудования.

12) Средства контроля доступа в помещения.

Инструментальные средства анализа систем защиты:

Мониторинговый программный продукт.

Объективно категория «информационная безопасность» возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путём воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума.

Учитывая влияние на трансформацию идей информационной безопасности, в развитии средств информационных коммуникаций можно выделить несколько этапов:[4]

I этап – до 1816 года – характеризуется использованием естественно возникавших средств информационных коммуникаций. В этот период основная задача информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе, местонахождении и других данных, имеющих для человека лично или сообщества, к которому он принадлежал, жизненное значение.

II этап – начиная с 1816 года – связан с началом использования искусственно создаваемых технических средств электро- и радиосвязи. Для обеспечения скрытности и помехозащищенности радиосвязи необходимо было использовать опыт первого периода информационной безопасности на более высоком технологическом уровне, а именно применение помехоустойчивого кодирования сообщения (сигнала) с последующим декодированием принятого сообщения (сигнала).

III этап – начиная с 1935 года – связан с появлением радиолокационных и гидроакустических средств. Основным способом обеспечения информационной безопасности в этот период было сочетание организационных и технических мер, направленных на повышение защищенности радиолокационных средств от воздействия на их приемные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами.

IV этап – начиная с 1946 года – связан с изобретением и внедрением в практическую деятельность электронно-вычислительных машин (компьютеров). Задачи информационной безопасности решались, в основном, методами и способами ограничения физического доступа к оборудованию средств добывания, переработки и передачи информации.

V этап – начиная с 1965 года – обусловлен созданием и развитием локальных информационно-коммуникационных сетей. Задачи информационной безопасности также решались, в основном, методами и способами физической защиты средств добывания, переработки и передачи информации, объединённых в локальную сеть путём администрирования и управления доступом к сетевым ресурсам.

VI этап – начиная с 1973 года – связан с использованием сверхмобильных коммуникационных устройств с широким спектром задач. Угрозы информационной безопасности стали гораздо серьёзнее. Для обеспечения информационной безопасности в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев безопасности. Образовались сообщества людей – хакеров, ставящих своей целью нанесение ущерба информационной безопасности отдельных пользователей, организаций и целых стран. Информационный ресурс стал важнейшим ресурсом государства, а обеспечение его безопасности – важнейшей и обязательной составляющей национальной безопасности. Формируется информационное право – новая отрасль международной правовой системы.

VII этап – начиная с 1985 года – связан с созданием и развитием глобальных информационно-коммуникационных сетей с использованием космических средств обеспечения. Можно предположить что очередной этап развития информационной безопасности, очевидно, будет связан с широким использованием сверхмобильных коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно-коммуникационными системами. Для решения задач информационной безопасности на этом этапе необходимо создание макросистемы информационной безопасности человечества под эгидой ведущих международных форумов.

Предотвращение утечек (англ. Data Leak Prevention, DLP) – технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.

DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Используются также следующие термины, обозначающие приблизительно то же самое:

–   Data Leak Prevention (DLP),

–   Data Loss Prevention (DLP),

–   Information Protection and Control (IPC),

–   Information Leak Prevention (ILP),

–   Information Leak Protection (ILP),

–   Information Leak Detection & Prevention (ILDP),

–   Content Monitoring and Filtering (CMF),

–   Extrusion Prevention System (EPS).

Из этой группы пока не выделился один термин, который можно было бы назвать основным или самым распространённым.

Необходимость защиты от внутренних угроз была очевидна на всех этапах развития средств информационной безопасности. Однако первоначально внешние угрозы считались более опасными. В последние годы на внутренние угрозы стали обращать больше внимания, и популярность DLP-систем возросла. Необходимость их использования стала упоминаться в стандартах и нормативных документах (например, раздел «12.5.4 Утечка информации» в стандарте ГОСТ ISO/IEC 17799-2005). Специализированные технические средства для защиты от внутренних угроз стали массово выпускаться только после 2000 года.

Распознавание конфиденциальной информации в DLP-системах производится двумя способами: анализом формальных признаков (например, грифа документа, специально введённых меток, сравнением хэш-функции) и анализом контента. Первый способ позволяет избежать ложных срабатываний (ошибок второго рода), но зато требует предварительной классификации документов, внедрения меток, сбора сигнатур и т.д. Пропуски конфиденциальной информации (ошибки первого рода) при этом методе вполне вероятны, если конфиденциальный документ не подвергся предварительной классификации. Второй способ даёт ложные срабатывания, зато позволяет выявить пересылку конфиденциальной информации не только среди грифованных документов. В хороших DLP-системах оба способа сочетаются.

В состав DLP-систем входят компоненты (модули) сетевого уровня и компоненты уровня хоста. Сетевые компоненты контролируют трафик, пересекающий границы информационной системы. Обычно они стоят на прокси-серверах, серверах электронной почты, а также в виде отдельных серверов. Компоненты уровня хоста стоят обычно на персональных компьютерах работников и контролируют такие каналы, как запись информации на компакт-диски, флэш-накопители и т.п. Хостовые компоненты также стараются отслеживать изменение сетевых настроек, инсталляцию программ для туннелирования, стеганографии и другие возможные методы для обхода контроля. DLP-система должна иметь компоненты обоих указанных типов плюс модуль для централизованного управления.

Основной задачей DLP-систем, что очевидно, является предотвращение передачи конфиденциальной информации за пределы информационной системы. Такая передача (утечка) может быть намеренной или ненамеренной. Практика показывает, что большая часть ставших известными утечек (порядка 3/4) происходит не по злому умыслу, а из-за ошибок, невнимательности, безалаберности, небрежности работников. Выявлять подобные утечки проще. Остальная часть связана со злым умыслом операторов и пользователей информационных систем. Понятно, что инсайдеры, как правило, стараются преодолеть средства DLP-систем. Исход этой борьбы зависит от многих факторов. Гарантировать успех здесь невозможно.

Кроме основной перед DLP-системой могут стоять и вторичные (побочные) задачи. Они таковы:

–   архивирование пересылаемых сообщений на случай возможных в будущем расследований инцидентов;

–   предотвращение передачи вовне не только конфиденциальной, но и другой нежелательной информации (обидных выражений, спама, эротики, излишних объёмов данных и т.п.);

–   предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи вовнутрь информационной системы;

–   предотвращение использования работниками казённых информационных ресурсов в личных целях;

–   оптимизация загрузки каналов, экономия трафика;

–   контроль присутствия работников на рабочем месте;

–   отслеживание благонадёжности сотрудников, их политических взглядов, убеждений, сбор компромата.

Практически во всех странах охраняется законом право на тайну связи и право на тайну частной жизни (приватность, privacy). Использование DLP-систем может противоречить местным законам в некоторых режимах или требовать особого оформления отношений между работниками и работодателем. Поэтому при внедрении DLP-системы необходимо привлекать юриста на самом раннем этапе проектирования.

Информационная безопасность также описывается в ГОСТ, например, в ГОСТ 17799-2005

На сегодняшний день Интернет становится неотъемлемой частью ведения бизнеса, позволяющей работать с большими массивами информации и осуществлять мгновенную коммуникацию с географически разрозненными регионами. Глобальная сеть Интернет стала универсальным средством связи и общения. Вместе с тем, Интернет является очень трудно контролируемым каналом распространения информации, что приводит к тому, что средства World Wide Web нередко используются для получения несанкционированного доступа к конфиденциальной и закрытой коммерческой информации со стороны злоумышленников и различного рода мошенников.

Интернет играет существенную роль и в так называемой «конкурентной» разведке – сборе сведений о действиях и планах конкурирующих организаций с целью дальнейшего ослабления их рыночных позиций. Различного рода информационные угрозы для деятельности предприятия могут создаваться как единичными мошенниками или хулиганствующими непрофессиональными субъектами, так и мощными, высокопрофессиональными организациями, задействованными в многоуровневых стратегиях конкурентной борьбы.

Специфика бизнеса, человеческий фактор, несовершенство законодательства и технические недостатки современных информационных систем обуславливают повышенный риск корпоративных информационных сетей. К основным нарушениям информационной безопасности, приносящим материальный ущерб, относятся: коммерческий шпионаж, утечки и потери информации из-за халатности сотрудников, внутренние инциденты с персоналом, компьютерные вирусы, хакеры.

Ущерб легче предотвратить, чем лечить. Руководители предприятий это понимают, но, к сожалению, редко принимают адекватные меры до момента первого происшествия. Это особенно актуально в России, особенно на небольших предприятиях с ограниченным бюджетом в сфере информационной безопасности. При этом происшествие зачастую обнаруживается не сразу, так как, например, утечка информации может происходить скрытно в течение долгого времени.

На протяжении последних двух лет внимание специалистов в области ИТ-безопасности  к проблемами саботажа, шпионажа, халатности сотрудников с использованием компьютерной инфраструктуры многократно выросла. Тем не менее, с развитием информационных систем и средств их защиты одновременно эволюционируют и способы нападения со стороны злоумышленников. О реальности угрозы нарушения работы ИС (и, следовательно, функционирования организации в целом) из-за действий злоумышленников говорят данные регулярных исследований «CSI/FBI Computer Crime and Security Survey». Ежегодный отчет, в составлении которого принимают участие специалисты Института компьютерной безопасности США (Computer Security Institute, CSI) и ФБР (FBI), предоставляет информацию, одинаково интересную как для специалистов ЭБ, так и для руководителей всех уровней. Как правило, участниками данного исследования являются представители ведущих американских компаний и государственных организаций, финансовых институтов и учебных заведений.

По данным исследования, превалирующими по объему потерь преступлениями в информационной сфере за 2008 год являются:[5]

–   распространение вирусов (42,8 млн. долл.),

–   неавторизованный доступ (31,2 млн. долл.),

–   кража конфиденциальной информации (30,9 млн. долл.).