Противодействие угрозами информационной безопасности организации со стороны собственного персонала

Применительно к Российской специфике говорить о подобного рода потерях еще рано, однако существующая общемировая тенденция и стремительное развитие информационных технологий в сфере корпоративного менеджмента позволяет прогнозировать увеличение доли угроз экономической безопасности именно в сегменте информационных технологий. При этом источником угроз могут быть как несовершенства технологии (различного рода «дыры» и уязвимости в программном обеспечении, веб-браузерах и почтовых клиентах), так и пресловутый «человеческий фактор», особенности психологии восприятия – ведь любая, даже самая совершенная информационная система требует участия оператора, т.е. человека.

Распространение телекоммуникационных технологий в сфере платежных систем увеличивает риски потери информации именно в звене «пользователь/оператор» - «информационная система». Если добавить к этому распространение мобильной связи и различного рода служб мгновенных сообщений, то получается весьма обширное поле для упражнений специалистов «социальной инженерии», ставящих задачей получение ценной конфиденциальной информации. И единственным средством борьбы с подобного рода рисками является увеличение ответственности и компетентности сотрудников, работающих с ИС.

Произошедшее за последнее время заметное снижение уровня потерь от DoS-атак и вирусов свидетельствует об эффективном противодействии эпидемиям интернет-червей и автоматизированным атакам, а так же о возникновении более тонких технологий воздействия на информационные системы. Широкий спектр средств информационной защиты и их постоянное совершенствование только стимулируют хакеров и вирусописателей на создание более сложных и изощренных способов доступа к конфиденциальной информации. Злоумышленники переходят на качественно новый уровень, предпочитая атаковать конкретные объектв не с целью разрушения или временного прекращения работоспособности, а для получения востребованной информации. На смену подросткам, ради забавы и самоутверждения распространяющим «интернет-червей», приходят профессиональные киберпреступники.

Результаты действий таких преступников обычно не становятся достоянием общественности, однако наносят гораздо больший ущерб, чем проделки подростков. Большая часть организаций в случае обнаружения инцидента предпочитает не разглашать сведения о нем из-за боязни повредить своей репутации и не потерять клиентов.

С киберпреступностью пытаются бороться во всем мире, в том числе и в России. Как известно, Уголовный кодекс РФ предусматривает уголовную ответственность за преступления в сфере информационной безопасности.[6] Так Ст.272 УК РФ предусматривает ответственность за неправомерный доступ информации в тех случаях, когда она запечатлена на машинном носителе, находится в системе или сети (магнитные диски, ленты, барабаны, память ЭВМ); Статья 273 определяет наказание за создание, использование и распространение вредоносных программ для ЭВМ. Однако до создания действенной модели борьбы с кражей конфиденциальной информации еще очень далеко – для того, чтобы убедиться в этом достаточно зайти на какую-нибудь «Горбушку», где практически без проблем можно купить пиратские диски с базами данных государственных служб и персональными данными абонентов сетей связи.

Возникающие в процессе деятельности предприятия (организации) угрозы разделяются по характеру источника на два базовых класса - внешние и внутренние. К первому относятся следующие виды угроз:

а) угрозы физического проникновения посторонних лиц с целью хищения критичной информации на различных носителях;

б) угрозы проникновения в корпоративную сеть с целью получения разового или постоянного доступа к критичной информации;

в) угрозы различных внешних воздействий на корпоративную сеть с целью дезорганизации ее работы, нанесения материального ущерба разнообразными способами;

г) угрозы внедрения в корпоративную сеть извне с целью использования ее ресурсов в личных целях;

д) угрозы снятия информации с работающих компьютеров путем визуального наблюдения и сканирования их электромагнитных или сонарных сигнатур.

Ко второму классу относятся следующие виды угроз:

а) угроза нелояльного поведения персонала по корыстным или личным мотивам, приводящего к утечке критичной информации или нарушениям режима обеспечения общей безопасности;

б) угрозы нарушения защиты от несанкционированного доступа к корпоративной сети вследствие халатности или низкого профессионального уровня персонала;

в) угрозы проведения прямых диверсионных действий или саботажа со стороны персонала, склоненного к сотрудничеству сторонними лицами или организациями;

г) угрозы появления (применения) в процессе увольнения (в особенности вследствие возникновения конфликта) персонала, имевшего отношение к обеспечению общей безопасности или защите корпоративной сети от несанкционированного доступа, устройств или программ, нарушающих режим обеспечения информационной безопасности;

д) угрозы использования персоналом ресурсов корпоративной сети и обрабатываемой в ней информации в личных целях;

е) угрозы нелегального физического подключения дополнительного рабочего места к кабельным линиям корпоративной сети с целью получения доступа к сети и циркулирующей по ней информации.

Рассмотрим методы противодействия внешним и внутренним угрозам информационной безопасности.

Сообразуясь с описанными видами угроз возможны следующие методы противодействия им:

- для видов 1а, 2в - обеспечение общего режима безопасности на территории и в помещениях предприятия (организации);

- для видов 1б, 1в, 1г, 2е - применение комплекса программно-технических и специальных режимных мероприятий по защите корпоративной сети и циркулирующей в ней информации, по результатам - проведение организационно-штатных мероприятий;

- для видов 1д, 2а, 2б - проведение необходимых организационно-штатных мероприятий, для вида 2б дополнительно - проведение разъяснительной и профилактической работы;

- для видов 2г, 2д - координированное проведение специальных режимных и технических мероприятий.

Таким образом, для решения проблемы в комплексе необходимо планировать проведение программно-технических мероприятий по защите сети и циркулирующей по ней информации от несанкционированного доступа, закупку соответствующего программного и аппаратного обеспечения, разработать мероприятия по обеспечению общего режима безопасности, а также специальные мероприятия по обеспечению особого режима использования критичной информации и доступа к ней.

1.3 Проблема противодействия угрозам информационной безопасности организации со стороны её персонала

Повышение стоимости и значимости информации и информационных технологий, возрастающие масштабы ущерба от воздействия негативных событий в информационной сфере предприятий, появление новых информационных технологий, высокий уровень внутренних рисков требуют от руководителей с должным вниманием подойти к проблеме управления информационными рисками. [7]

Изменения в информационной сфере предприятий требуют принятия адекватных мер противодействия информационным рискам. Важнейшими из них являются меры по повышению эффективности управления персоналом.

Сущность информационного риска заключается в том, что это случайное событие, приводящее к негативным последствиям в информационной системе. Воздействуя на информационную систему, в конечном итоге риски приводят к ущербу предприятия, в чем и заключается экономический смысл понятия «информационный риск».

Понятие «информационная система» включает в себя все ресурсы предприятия, которые используются для получения, хранения, обработки, передачи и применения информации, а также информационные ресурсы. В состав информационных систем входят следующие компоненты: компьютерные системы, системы передачи информации, оргтехника, базы данных и файлы компьютерных систем, документы в печатной форме, аудио - и видеоинформация на носителях различной физической природы. В качестве одного из основных ресурсов информационной системы рассматривается специалист, имеющий отношение к использованию или эксплуатации информационной системы.

Такой подход к пониманию сущности информационных рисков позволяет руководству предприятия рассматривать проблему противодействия рискам, как проблему системную.

В сфере управления персоналом основными направлениями решения этой проблемы являются:

- привлечение к управлению информационными рисками менеджеров всех уровней;

- выполнение комплекса мер для сокращения числа ошибочных действий персонала в информационных системах;

- совершенствование системы противодействия злоумышленным действиям персонала (борьба с инсайдом).

К управлению информационными рисками должны привлекаться менеджеры разных уровней. Только менеджеры, управляющие бизнес-процессами, могут оценить величину ущерба предприятия от реализации рискового события. Менеджеры высшего звена, кроме того, обязаны принимать непосредственное участие в разработке политики управления информационными рисками и создании системы управления информационными рисками.

Новые информационные технологии позволяют менеджерам повседневно непосредственно участвовать в процессах управления информационными рисками. В объеме своих компетенций менеджеры должны: [8]

- совместно со специалистами отделов информационных технологий и информационной безопасности принимать участие в допуске (лишении прав допуска) сотрудников предприятия к ресурсам информационной системы;

- осуществлять контроль за деятельностью подчиненных, требующий доступа к рабочей информации подчиненных, с которой они работают;

- принимать участие в мониторинге и аудите системы управления информационными рисками.

Осуществление этих функций допускает высокий уровень автоматизации и не станет обременительным для менеджеров. Для подтверждения этого можно рассмотреть действия менеджера по работе с персоналом при приеме нового сотрудника. После окончательного оформления нового сотрудника менеджер активизирует программу, которая передает соответствующему специалисту отдела информационной безопасности необходимые данные для допуска нового сотрудника к ресурсам информационной системы. Причем если сотрудник зачисляется на типовую должность, то менеджеру достаточно выбрать соответствующий данной должности профиль (стандартный набор) полномочий.

Эта программа разблокирует также программу специалиста отдела информационной безопасности на внесение изменений в систему разграничения доступа. После завершения работы специалистом отдела информационной безопасности в автоматическом режиме будет запущена программа менеджера, которая произведет сравнение заданных менеджером полномочий и результаты их реализации в системе разграничения доступа. Программные средства менеджера позволяют ему в автоматическом режиме отслеживать все попытки несанкционированного изменения полномочий доступа к ресурсам системы.

Ошибочные действия персонала при работе в информационной системе являются основным источником непреднамеренных информационных рисков. Для сокращения количества ошибок, кроме известных мер научной организации труда, необходимо использовать ряд организационно-технических механизмов информационных систем.

К таким механизмам относятся аппаратно-программные блокировки неправильных действий персонала, экспертные системы различного назначения, механизмы обеспечения эффективного взаимодействия пользователя и системы (удобный ввод и получение информации, системы меню, шаблонов, напоминания и т.п.). Ошибки персонала могут быть сокращены также путем применения эффективных механизмов обеспечения работоспособности подсистем, настройки и эксплуатации подсистемы защиты информации, восстановления системы после наступления рисковых событий.

В решении проблемы борьбы с инсайдерами, наряду с другими механизмами, большое значение занимают технологические механизмы противодействия внутренним злоумышленникам. Современные информационные технологии позволяют коренным образом решить наиболее сложную и актуальную проблему ограничения возможностей злоумышленных действий со стороны специалистов отделов информационных технологий и информационной безопасности.

Основная идея предлагаемых изменений заключается в максимальном приближении статуса специалистов отделов информационных технологий и информационной безопасности к статусу пользователя информационной системы, решающего специфические задачи управления безопасностью и качеством информации. Производственная деятельность специалистов этой категории должна строго регламентироваться и находиться под постоянным автоматическим и автоматизированным контролем менеджеров высшего звена.

Для этого функции и полномочия специалистов отделов информационных технологий и информационной безопасности должны быть существенно изменены. Эти изменения предлагается осуществить по следующим направлениям:

- устранить возможность несанкционированного доступа к рабочей информации предприятия;

- разграничить разработку и эксплуатацию программных средств;

- практически исключить возможности необнаруживаемого несанкционированного и недокументированного изменения программной и технической структур информационной системы предприятия.

Для персонала рассматриваемой категории отсутствует производственная необходимость в доступе к рабочей информации предприятия, поскольку задача контроля контента пользователя информационной системы возлагается на менеджеров, которым подчиняется пользователь. Современные технологии позволяют ввести реальное разграничение доступа специалистов отделов информационных технологий и информационной безопасности к ресурсам системы.