Цель проекта и системный ландшафт

Цель проекта

Прежде, чем определить, какими продуктами необходимо защищаться от внутренних ИТ-угроз, необходимо, как и при внедрении любой системы безопасности, ответить на базовые вопросы – зачем от них нужно защищаться, каков портрет нарушителя и какие ресурсы компания готова потратить на защиту от внутренних угроз.

Ответ на вопрос "Зачем внедрять систему защиты от внутренних угроз?" и следующий из ответа на него вопрос "Как внедрять эту систему?" не столь очевиден, как это кажется на первый взгляд. Рассмотрим четыре возможных ответа на этот вопрос.

Требования регуляторов.

Действительно, в банковской сфере, страховании, биржах и других финансовых институтах во многих странах существует жесткое законодательство, неисполнение которого влечет за собой отзыв лицензии на право заниматься основной деятельностью. В основе большинства требований к информационным системам, хранящим финансовую информацию лежат требования стандартов ISO, Базельские соглашения, стандарт ЦБ РФ по информационной безопасности. Для компаний, торгующих своими акциями на международных биржах, существуют свои требования. Например, Нью-Йоркская фондовая биржа попадает под действие акта Сарбейнса-Оксли 2002 года, регламентирующего управление информационной системой компаний, выставляющих свои ценные бумаги на торги. В последнее время в России особое значение приобрел Закон "О защите персональных данных", требующий от операторов принятия мер по недопущению нарушения конфиденциальности частной информации граждан.

В различных странах есть другие акты: GLBA, HIPAA, локальные акты по защите персональных данных.

Таким образом, модель системы защиты от внутренних ИТ-угроз заложена в стандарты и внедрять эту систему нужно, прежде всего, таким образом, чтобы пройти аудит на соответствие описанным стандартам. В этом случае при конфликте функционала системы между эффективностью и соответствию стандартам выбор делается в ущерб эффективности. Следует также отметить, что ни один регулирующий орган не рекомендует даже тип продуктов, которыми следует защищаться и часть угроз допускается закрывать организационными средствами.

Сохранение информации.

Этот ответ чаще всего возникает после реального инцидента с утечкой конфиденциальной информации. В этом случае заказчик не связан стандартами, а волен строить защиту своей информационной системы исходя из собственного понимания и имеющихся средств. Тогда для усиления эффективности защиты внедрение технических средств сопровождается работой с персоналом. В эту работу входят как инструктажи и тренинги, так и адаптация под новые условия и переподписание трудовых соглашений, должностных инструкций и регламентов использования информационной системы.

Психологический фактор работает на защиту информации. Зная о том, что их действия контролируются, многие потенциальные нарушители откажутся от намерений нарушить политику безопасности. Поэтому внедрение такой системы должно сопровождаться гласными мероприятиями, политики внутренней безопасности должны быть внедрены приказом за подписью первого лица. Однако конкретное технологическое решение лучше не афишировать, чтобы злоумышленники не работали против конкретной системы.

Выявление источников и каналов утечки информации

Эта цель встает перед заказчиком, если он знает о регулярных случаях утечки информации из своей информационной системы. Если компания концентрируется на этой цели, то перед ней встают совершенно другие задачи. Этот тип внедрения противоположен предыдущему. Прежде всего, упор делается на скрытом внедрении и сборе доказательств. Часто при скрытом внедрении установка программного обеспечения маскируется под обновление другой системы безопасности, например, антивируса.

Сбор доказательств – не менее важная часть такого внедрения. Ведь мало выявить источник утечек, необходимо иметь возможность его наказать в рамках действующего законодательства. Предметом этого курса не является анализ юридической базы сбора доказательств. Тем более, что в каждой стране она своя. В общих чертах ситуация следующая: сбор цифровых доказательств (журналов доступа, копий писем и т.д.) строго регламентируется законодательством. Чаще всего для того, чтобы доказательства были признаны в суде, требуется специальным образом опечатанный спецслужбами сервер, к которому, кроме спецслужб, доступа никто не имеет. Но даже и в случае признаний этих доказательств судом, они покажут не на человека, а на его цифровую "копию" - почтовый ящик, учетную запись, IP-адрес и т.д. Доказать, что в момент нарушения за компьютером находился конкретный человек достаточно сложно. Учитывая презумпцию невиновности, бремя доказательства лежит на работодателе. Технические средства, которые могут быть использованы для этого – биометрические ключи и видеонаблюдение.

Создание конкурентного преимущества.

Эту цель ставят чаще всего те предприятия, которые берут информацию третьих компаний – дата-центры, ASP, аудиторские компании, центры обработки вызовов (call-центры), компании, оказывающие услуги перевода и т.п. В этом случае внедрение также производится открыто, но разница состоит только в том, что контроли внедряются таким образом, чтобы компания, оказывающая услуги, могла предоставить клиенту информацию о всех действиях с его данными.

Системный ландшафт

После того, как заказчик определился с целью проекта, необходимо описать системный ландшафт – комплекс технических средств и правил, имеющих место быть в компании.

Права пользователей

Как обычно обстоят дела в информационной системе компании, офицеру информационной безопасности которой поручено создать технологическую инфраструктуру по защите от внутренних ИТ-угроз? Во-первых, отсутствует единая политика по стандартизации процессов, происходящих на рабочих местах пользователя. Это означает, что часть пользователей обладает правами локальных администраторов. Обычно это две группы пользователей – пользователи устаревших операционных систем (MS Windows 98, например) и пользователи ноутбуков. Это также означает, что копии конфиденциальных документов хранятся на рабочих местах. Кроме того, на рабочих местах установлено потенциально опасное ПО – файловые менеджеры, которые могут проводить операции с временными файлами Windows, программы синхронизации с мобильными устройствами, программы шифрования и т.д.

Квалификация пользователей

Пользователи с каждым годом становятся все более квалифицированными. Имея дома компьютер с доступом в Интернет, а то и локальную сеть, они приобретают навыки, которые могут оказаться опасными для информационной безопасности предприятия. Рядовой пользователь компьютера сегодня умеет устанавливать программы, снимать процессы, выходить в Интернет по мобильному телефону, передавать информацию в зашифрованном виде и т.д.

Средства защиты

Нельзя сказать, что никакие меры по защите информации от внутренних угроз в типичной компании не принимаются. Обычно заказчики относят к этому типу технические решения по контролю доступа к ресурсам (Интернет, корпоративная почта и USB), а также сигнатурную контентную фильтрацию (обычно специальным образом настроенный антиспам-фильтр). Однако эти методы действенны лишь против неосторожных либо неквалифицированных нарушителей. Сигнатурная контентная фильтрация легко обходится либо примитивным удалением "опасных" слов, либо элементарным кодированием, не требующим запуска специальных программ шифрования – заменой символов одной части кодировки (например, западноевропейской) на похожие символы другой (например, кириллической), замена букв на цифры, транслитерирование и т.п. Запрещенный доступ злонамеренные сотрудники обычно получают имитацией служебной необходимости – не стоит забывать, что мы говорим о внутренней ИТ-безопасности, т.е. методы "запретить все" неприменимы, так как приведут к остановке бизнеса.

Таким образом, компании имеют необходимость, с одной стороны, упорядочить систему хранения конфиденциальной информации, с другой стороны, внедрить более совершенную систему защиты от внутренних угроз.