Компания InfoWatch
Опубликован: 11.04.2007 | Доступ: свободный | Студентов: 5866 / 2259 | Оценка: 4.25 / 4.02 | Длительность: 04:14:00
Лекция 3:

Основные направления защиты. Классификация внутренних нарушителей

< Лекция 2 || Лекция 3: 12 || Лекция 4 >
Аннотация: Данная лекция расскажет Вам об основных направлениях защиты конфиденциальной информации, таких как: защита документов, защита каналов утечки информации, а также мониторинг действий пользователей. Вторая часть лекции посвящена классификации внутренних нарушителей, здесь подробно описываются все типы нарушителей конфиденциальной информации

Основные направления защиты

Поскольку потенциальными похитителями информации являются все сотрудники, имеющие к ней доступ, методы защиты планируются таким образом, чтобы соблюсти баланс доступности информации для легального использования и защищенности ее от утечки. Традиционный выбор между доступностью и безопасностью каждой компанией делается в зависимости от уровня паранойи в корпорации.

Защита документов

Это самая разработанная область защиты электронной информации от внутренних угроз. За образец бизнес-процесса защиты электронного документа взяты методы работы с бумажными документами, описывающие, как создается документ, как изменяется, как хранится и как уничтожается. Часть функций контроля жизненного цикла электронного документа автоматизирована, часть осталась неизменной с прошлых веков. Также в этой области активно используется шифрование документов и использование специальных форматов файлов, запрещающих их сохранение в другом формате, редактирование и копирование содержимого файлов в буфер Windows, например, unsearchable PDF или новый формат MS Office 2007.

Защита каналов утечки

Этот вид защиты электронных документов также имеет аналог в прошлом. Во всяком случае, пока не научились копировать информацию непосредственно в мозг человека, контроль выноса с территории компании физических носителей остается одним из самых эффективных. Во многих компаниях уже нельзя входить на территорию с сотовыми телефонами и фотоаппаратами. Миниатюризация носителей информации и встраивание флэш-памяти в часы, плееры делают такой контроль все менее эффективным. Поэтому наиболее эффективная защита документов данным способом — контроль копируемой информации "до" того, как она будет скопирована.

Мониторинг (аудит) действий пользователей

Для внутренней безопасности важно не только то, кто получил доступ к документу, но и что этот пользователь делает с документом. Разные пользователи могут использовать один и тот же документ по-разному. Кто-то может редактировать документ, кто-то только читать и т.д. Для внутренней безопасности особенно важно контролировать те действия, которые могут привести к утечке. Это три группы действий – перемещение документа, как единого целого, копирование информации из него и его изменение с целью обмануть следящие системы. К первой группе относятся копирование файла на сменные носители, отправку по почте, публикацию в Интернет, печать. Ко второй – копирование информации из документа в буфер Windows, копирование временного файла Windows и т.п. К третьей группе – переименование файла или его расширения, сохранение файла под другим именем, сохранение в другом формате, архивирование, кодирование и шифрование.

Недопустимая для этого пользователя операция с конфиденциальным файлом в зависимости от метода контроля должна либо блокироваться, либо информация об этой операции должна поступать к офицеру безопасности. Во втором случае система внутренней безопасности может быть настроена либо так, чтобы пользователь или его руководитель узнавал о том, что он пытается совершить запрещенную операцию, либо, чтобы эта информация оставалась доступной только офицеру информационной безопасности.

Классификация внутренних нарушителей

Сотрудники, допускающие утечку конфиденциальной информации, будучи допущенными к ней, классифицируются по нескольким критериям — злонамеренные или халатные, ставящие цели себе сами или действующие по заказу, охотящиеся за конкретной информацией или выносящие все, к чему имеют доступ. Правильно классифицировав потенциального нарушителя, сотрудники подразделения информационной безопасности компании могут спрогнозировать поведение нарушителя при невозможности осуществления попытки передачи информации. Кроме того, рассматривая средства защиты, всегда надо иметь в виду, против каких нарушителей эти средства действенны, а против каких — нет.

Мы разделяем нарушителей на пять основных видов — неосторожные, манипулируемые, саботажники, нелояльные и мотивируемые извне. Рассмотрим каждый вид и их подвиды подробнее.

Экосистема внутренних нарушителей
Тип Умысел Корысть Постановка задачи Действия при невозможности
Халатный Нет Нет Нет Сообщение
Манипулируемый Нет Нет Нет Сообщение
Обиженный Да Нет Сам Отказ
Нелояльный Да Нет Сам Имитация
Подрабатывающий Да Да Сам\ Извне Отказ\ Имитация\ Взлом
Внедренный Да Да Сам\ Извне Взлом

Неосторожные

В других источниках также встречается название "халатные". Эти сотрудники создают незлонамеренные ненаправленные угрозы, то есть они нарушают правила хранения конфиденциальной информации, действуя из лучших побуждений. Самые частые инциденты с такими нарушителями — вынос информации из офиса для работы с ней дома, в командировке и т. д., с дальнейшей утерей носителя или доступом членов семьи к этой информации. Несмотря на добрые намерения, ущерб от таких утечек может быть ничуть не меньше, чем от промышленных шпионов. Столкнувшись с невозможностью осуществить копирование информации, этот тип нарушителей будет действовать по инструкции — обратится за помощью к коллегам или системному администратору, которые объяснят ему, что вынос этой информации за пределы офиса запрещен. Поэтому против таких нарушителей действенными являются простые технические средства предотвращения каналов утечек — контентная фильтрация исходящего трафика в сочетании с менеджерами устройств ввода- вывода.

Манипулируемые

Последние годы термин "социальная инженерия" чаще всего используется для описания различных типов мошенничества в Сети. Однако манипуляции используются не только для получения обманным путем персональной информации пользователей — паролей, персональных идентификационных номеров, реквизитов кредитных карт и адресов. Известный экс-хакер Кевин Митник считает, что именно социальная инженерия сегодня является "бичом" информационных систем. Примеры, которые приводит Митник в своей книге "Искусство обмана", показывают, например, что "добросовестная" секретарша может по просьбе злоумышленника "для надежности" продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик. Таким образом может быть осуществлена утечка. Другим примером манипулируемого сотрудника может служить сотрудник, начальник которого является злоумышленником и отдает этому сотруднику преступные приказы отправить в ненадлежащее место конфиденциальную информацию. И в том и в другом случае сотрудники, наткнувшись на невозможность совершить требуемое манипулятором, обратятся в службу поддержки.

Поскольку манипулируемые и неосторожные сотрудники действуют из своего понимания "блага" компании (оправдываясь тем, что иногда ради этого блага нужно нарушить дурацкие инструкции, которые только мешают эффективно работать), два этих типа нарушителей иногда объединяют в тип "незлонамеренных". Как уже говорилось выше, ущерб не зависит от намерений, зато от намерений зависит поведение нарушителя в случае невозможности осуществить свое действие. Как лояльные сотрудники, эти нарушители, столкнувшись с техническим блокированием их попыток нарушить регламенты хранения и движения информации, обратятся за помощью к коллегам, техническому персоналу или руководству, которые могут указать им на недопустимость планируемых действий.

Следующая группа нарушителей — злонамеренные, то есть в отличие от сотрудников, описанных выше, осознающие, что своими действиями они наносят вред компании, в которой работают. По мотивам враждебных действий, которые позволяют прогнозировать их поведение, они подразделяются на три типа — саботажники, нелояльные и мотивируемые извне.

< Лекция 2 || Лекция 3: 12 || Лекция 4 >
Мария Архипова
Мария Архипова
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989