حفاظت از شرکت در برابر تهدیدات داخلی امنیت اطلاعات. امنیت شبکه محلی

SULAVKO A. E.، دانشجوی کارشناسی ارشد

آکادمی دولتی اتومبیل و بزرگراه سیبری،

فن‌آوری‌هایی برای حفاظت در برابر تهدیدات داخلی برای امنیت اطلاعات *

حاشیه نویسی. کاستی های ابزارهای حفاظتی موجود در برابر تهدیدات داخلی امنیت اطلاعات شناسایی شده است. رویکردهای شناسایی اطلاعات محرمانه در جریان اطلاعات و اثربخشی آنها و همچنین الزامات اساسی برای چنین سیستم هایی که در سیستم های امنیتی مدرن استفاده می شود، تشریح شده است. جهات احتمالی برای تحقیقات آینده برای بهبود اثربخشی ابزارهای مبارزه با تهدیدات داخلی مشخص شده است.

کلید واژه ها:امنیت اطلاعات، تهدیدات داخلی، تحلیل محتوا، فیلتر زمینه، حفاظت در برابر نشت اطلاعات محرمانه.

معرفی.امروزه بزرگترین تهدید برای امنیت اطلاعات (از این پس امنیت اطلاعات نامیده می شود) توسط مهاجمان داخلی ایجاد می شود. این تهدید هر سال در حال افزایش است. زمان هایی که مدیران تجاری از حملات هکرها و ویروس ها می ترسیدند، اکنون به گذشته تبدیل شده است. البته، این دسته از تهدیدات همچنان خطر بزرگی را به همراه دارد، اما شرکت ها بیشتر نگران از دست دادن و نشت اطلاعات شرکت ها و داده های شخصی هستند. این را نتایج تقریباً هر تحقیقی در زمینه امنیت اطلاعات انجام شده در چارچوب پروژه های مختلف نشان می دهد (شکل 1 و 2).

شکل 1. خطرناک ترین تهدیدات امنیت سایبری بر اساس پاسخ دهندگان

* کار در چارچوب برنامه "سالها پرسنل علمی و علمی - آموزشی روسیه مبتکر"، قرارداد شماره P215 مورخ 22 ژوئیه 2009 انجام شد.

با توجه به نتایج مطالعه "تهدیدهای داخلی در روسیه '09" (شکل 1) که توسط مرکز تحلیلی شرکت روسی Perimetrix انجام شده است، واضح است که تهدیدات ناشی از داخل شرکت، در مجموع، رتبه خطر بالاتری را ارائه می دهد. نه تهدیدهایی که از بیرون سرچشمه می گیرد.

شکل 2. نسبت خطر حوادث امنیت اطلاعات داخلی و خارجی

این وضعیت نه تنها در روسیه مشاهده می شود. بر اساس گزارش های فنی INFORMATION SECURITY BREACHS SURVEY 2006 و 2008، حوادث داخلی نیز بر حوادث خارجی غالب است. در سال‌های اخیر، ترس از حوادث داخلی در میان نمایندگان کسب‌وکارهای کوچک و متوسط افزایش چشمگیری داشته است (شکل 2). نشت ها نه تنها توسط نمایندگان تجاری، بلکه توسط سازمان های دولتی در سراسر جهان متحمل می شوند. این را نتایج مطالعه جهانی InfoWatch نشان می دهد (شکل 3).

شکل 3. توزیع حوادث بر اساس نوع سازمان

از مطالب ارائه شده مشخص می شود که امروزه موضوع مبارزه با تهدیدات داخلی بیش از موضوع مبارزه با تهدیدات خارجی است. لازم به ذکر است که امروزه خطرناک ترین تهدید، نشت داده های محرمانه است (شکل 1).

ابزارها و روش های مبارزه با تهدیدات داخلی.برای مقابله موثر با تهدیدات داخلی، شناسایی نواقص تدابیر امنیتی موجود در این زمینه ضروری است. انواع مختلفی از سیستم های امنیتی داخلی وجود دارد.

سیستم های نظارت و حسابرسیابزار خوبی برای بررسی حوادث هستند. سیستم های ممیزی مدرن به شما امکان می دهد تقریباً هر اقدام کاربر را ثبت کنید. نقطه ضعف این سیستم ها ناتوانی در جلوگیری از نشت است، زیرا این امر مستلزم سیستمی برای پاسخگویی به رویدادها و تصمیم گیری است که تشخیص دهد کدام توالی از اقدامات تهدید است و کدام یک تهدید نیست. پس از همه، اگر پاسخ به تخلف بلافاصله دنبال نشود، نمی توان از عواقب حادثه اجتناب کرد.

سیستم های احراز هویت قویبرای محافظت در برابر دسترسی غیرمجاز به داده ها عمل می کند. آنها بر اساس یک فرآیند احراز هویت دو یا سه عاملی هستند که در نتیجه می توان به کاربر اجازه دسترسی به منابع درخواستی را داد. چنین ابزارهایی می توانند اطلاعات را از یک کارمند "ناآشنا" محافظت کنند، اما نه از یک خودی که قبلاً به اطلاعات محافظت شده دسترسی دارد.

ابزارهای رمزگذاری رسانهاین دسته از برنامه ها در صورت گم شدن رسانه یا لپ تاپ در برابر نشت اطلاعات محافظت می کنند. اما اگر یک خودی رسانه را به همراه کلیدی که اطلاعات روی آن رمزگذاری شده است به طرف مقابل منتقل کند، این روش محافظت بی فایده خواهد بود.

سیستم های تشخیص و پیشگیری از نشت (داده ها نشتی جلوگیری, DLP ). این سیستم ها نیز نامیده می شوند سیستم هایی برای محافظت از داده های محرمانه در برابر تهدیدات داخلی(از این پس سیستم های حفاظت از نشت نامیده می شود). این سیستم ها کانال های نشت داده ها را در زمان واقعی نظارت می کنند. راه حل های پیچیده (پوشش بسیاری از کانال های نشتی) و هدفمند (پوشش یک کانال نشتی خاص) وجود دارد. این سیستم ها از فناوری های فعال استفاده می کنند که به لطف آنها نه تنها واقعیت نقض امنیت اطلاعات را ثبت می کنند، بلکه از نشت اطلاعات نیز جلوگیری می کنند. البته، کیفیت چنین کنترلی مستقیماً به توانایی سیستم در تشخیص اطلاعات محرمانه از اطلاعات غیرمحرمانه، یعنی به الگوریتم‌های فیلتر محتوا یا زمینه مورد استفاده بستگی دارد. اکثر سیستم های ضد نشت مدرن دارای عملکردهای رمزگذاری رسانه و فایل هستند (به این سیستم ها نیز گفته می شود حفاظت و کنترل اطلاعات (IPC)).آنها می توانند از ذخیره سازی امن داده، به ویژه کانتینرهای رمزنگاری استفاده کنند، که هنگام دسترسی به یک فایل، نه تنها کلید رمزگذاری، بلکه عوامل مختلفی مانند سطح دسترسی کاربر و غیره را نیز در نظر می گیرند.

امروزه سیستم‌های حفاظت از تهدیدات داخلی تنها راه‌حلی هستند که به شما امکان می‌دهند از نشت در زمان واقعی جلوگیری کنید، اقدامات کاربران و فرآیندهای انجام شده با فایل‌ها را کنترل کرده و اطلاعات محرمانه را در جریان اطلاعات شناسایی کنید. برای تعیین آسیب‌پذیری حفاظت ارائه شده توسط چنین سیستمی، لازم است نگاهی دقیق‌تر به عملکردها و قابلیت‌های اصلی آن‌ها و همچنین روش‌های استفاده شده توسط این سیستم‌ها برای پیاده‌سازی فیلتر محتوا/زمینه‌ای داشته باشیم.

تمام روش های موجود برای شناسایی اطلاعات محرمانه به طور جمعی بر اساس ترکیبی از چندین رویکرد اساسی متفاوت است.

جستجو برای امضاساده ترین روش فیلتر کردن محتوا، جستجو در جریان داده برای دنباله خاصی از کاراکترها است. گاهی اوقات یک توالی ممنوعه از کاراکترها "کلمه توقف" نامیده می شود. این تکنیک فقط برای تشخیص دقیق کار می کند و به سادگی با جایگزینی کاراکترها در متن تجزیه و تحلیل شده به راحتی انجام می شود.

جستجوی عبارات منظم (روش ماسک).با استفاده از زبان عبارت منظم، یک "ماسک" تعریف می شود، یک ساختار داده ای که محرمانه در نظر گرفته می شود. اغلب از این روش برای تعیین داده های شخصی (TIN، شماره حساب، اسناد و غیره) استفاده می شود. نقطه ضعف روش وجود تعداد زیادی از موارد مثبت کاذب است؛ همچنین این روش برای تجزیه و تحلیل اطلاعات بدون ساختار کاملاً غیر قابل استفاده است.

روش انگشت نگاری دیجیتالیک "اثر انگشت" از اطلاعات مرجع با استفاده از یک تابع هش گرفته می شود. در مرحله بعد، اثر انگشت با قطعاتی از اطلاعات تجزیه و تحلیل شده مقایسه می شود. نقطه ضعف این است که هنگام استفاده از یک تابع هش، این فناوری فقط برای مطابقت دقیق کار می کند. الگوریتم هایی وجود دارند که تغییرات جزئی در اطلاعات تجزیه و تحلیل شده در مقایسه با مرجع (بیش از 20٪ -30٪) اجازه می دهند. این الگوریتم ها توسط توسعه دهندگان سیستم های حفاظت از نشت بسته می شوند.

سیستم های حفاظتی در برابر تهدیدات داخلی نیز با رعایت تعدادی از الزامات اضافی (معیارهای تعلق به سیستم های حفاظت از نشت) مشخص می شوند. الزامات اصلی برای این دسته از سیستم های حفاظتی توسط آژانس تحقیقاتی Forrester Research ارائه شده است:

 چند کاناله(قابلیت نظارت بر کانال های نشت داده های متعدد)؛

 مدیریت یکپارچه(در دسترس بودن ابزارهای مدیریت سیاست امنیت اطلاعات یکپارچه، توانایی تجزیه و تحلیل رویدادها در تمام کانال های نظارتی با ایجاد گزارش های دقیق).

 حفاظت فعال(سیستم نه تنها باید نقض امنیت اطلاعات را شناسایی کند، بلکه از آن جلوگیری کند).

 ترکیبی از محتوا و تحلیل زمینه(در این مورد، تجزیه و تحلیل زمینه، علاوه بر برچسب ها، باید شامل تجزیه و تحلیل فعالیت کاربر و برنامه باشد).

همانطور که می بینید، الزامات ارائه شده شامل بررسی اینکه دقیقا چه کسی در یک لحظه خاص تحت حساب جاری کار می کند، نیست.

امروزه سیستم های حفاظت از نشت بسیار زیادی وجود دارد و محصولاتی مشابه عملکرد آنها وجود دارد. ویژگی ها و عملکردهای اصلی برخی از راه حل ها (تصمیم گرفته شد 10 مورد از محبوب ترین ها را انتخاب کنیم) در جدول 1 ارائه شده است.

سیستم‌های حفاظت از نشت موجود در بازار توانایی شناسایی کاربر را با استفاده از "پرتره معمولی کار در سیستم" ندارند. راه‌حل‌های موجود به شما اجازه نمی‌دهند تعیین کنید چه کسی واقعاً در رایانه است. برای این کار باید به نظارت تصویری متوسل شد که در عمل همیشه امکان پذیر نیست.

اولین سیستم های حفاظت از نشت عمدتاً از روش های فیلتر محتوا استفاده می کردند. اما اثربخشی آنها کم بود، زیرا در عمل چنین روش هایی درصد نسبتا زیادی از خطاهای نوع اول و دوم را ایجاد می کنند. طبق گزارش گارتنر، در گزارش Hype Cycle of Information Security برای سال 2007، حداکثر قابلیت اطمینان هر روش فیلتر محتوای موجود 80٪ است و در سال های اخیر هیچ تغییر قابل توجهی در جهت افزایش اثربخشی چنین الگوریتم هایی ایجاد نشده است. بدین ترتیب، حداکثر احتمال تشخیص صحیح اطلاعات محرمانه با استفاده از الگوریتم های فیلتر محتوا در یک جریان اطلاعات (سند، فایل، ترافیک و غیره) امروزه از 0.8 تجاوز نمی کند.. و این احتمال را می توان با استفاده از تمام رویکردهای فهرست شده برای تحلیل محتوا (عبارات منظم، امضا، روش های زبانی و غیره) به دست آورد. این شاخص پایین است (بسیار کمتر از ویژگی های اعلام شده توسط توسعه دهنده) و الزامات امنیت اطلاعات را برآورده نمی کند.

جدول 1 - وظایف اصلی سیستم های حفاظتی در برابر تهدیدات داخلی

نام تولید - محصول	محتوا فیلتر کردن	متنی فیلتر کردن (به معنای ظرف- تجزیه و تحلیل ملی)		رمزگذاری	شاخص کانال سازی، اتحاد رفت مدیریت، فعال حفاظت،
مانیتور ترافیک +	امضاها، مرفولوژی			حفاظت شده ظروف
	مرفولوژی، دیجیتال چاپ می کند		هستی شناسی ها	ظروف
	دیجیتال چاپ می کند
	امضاها، دیجیتال چاپ می کند			یکپارچه رمزگذاری
	امضاها، دیجیتال چاپ می کند			یکپارچه رمزگذاری
	امضاها، دیجیتال چاپ می کند			یکپارچه رمزگذاری
سیستم های اطلاعاتی SMAP و SKVT ساعت جت	امضاها، منظم اصطلاحات

سیستم های حفاظت از نشت نسل دوم از تجزیه و تحلیل کانتینر استفاده می کنند. این رویکرد مستلزم شناسایی بدون ابهام اطلاعات محرمانه در یک جریان توسط یک ویژگی فایل (برچسب) است. اما با وجود جبر ظاهری، چنین سیستمی به شرط دسته بندی صحیح داده ها که قبلاً با استفاده از روش های موجود انجام داده است، تصمیم درستی خواهد گرفت. اما تمامی روش های طبقه بندی موجود (احتمالی، زبانی و ...) نیز بر اساس روش های فیلترینگ محتوا (تحلیل محتوا) است که همانطور که در بالا ذکر شد، بسیار دور از ایده آل هستند. لازم است رویه‌هایی برای قرار دادن برچسب‌ها بر روی اسناد جدید و دریافتی و همچنین سیستمی برای مقابله با انتقال اطلاعات از یک ظرف علامت‌گذاری شده به یک ظرف علامت‌گذاری نشده و برای قرار دادن برچسب هنگام ایجاد فایل‌ها از ابتدا تهیه و توسعه داده شود. همه اینها یک کار بسیار پیچیده است و همچنین به وظیفه تحلیل محتوا بستگی دارد. همانطور که می بینید، مفهوم فیلتر قطعی را نمی توان جدا از فیلتر محتوا استفاده کرد و روش های فیلتر محتوا را نمی توان حتی به صورت نظری حذف کرد.

نسل جدید سیستم‌های حفاظت از نشت (IAS RSKD، سیستم‌های اطلاعاتی و تحلیلی برای محرمانه بودن داده‌های محرمانه) نوید خلاص شدن از کاستی‌های محتوا و روش‌های متنی را می‌دهد و از هر یک از آنها در مواردی که بیشترین تأثیر را دارد استفاده می‌کند. اما ترکیب دو فناوری ناقص و وابسته نمی تواند پیشرفت قابل توجهی ایجاد کند.

نتیجه.با جمع بندی اطلاعات فوق می توان نتیجه گرفت که علیرغم تعداد زیاد الگوریتم های موجود برای شناسایی اطلاعات محرمانه، همه آنها کارایی ندارند. بالفعل شدن معضل تهدیدات داخلی ناشی از آسیب پذیری سازمان ها در برابر آنها و فقدان راه حل موثر برای مقابله با آنهاست. تقریباً همه شرکت‌ها از نرم‌افزار و/یا ابزارهای حفاظتی سخت‌افزاری استفاده می‌کنند که برای مبارزه با تهدیدات خارجی (آنتی ویروس‌ها، فایروال‌ها، IDS و غیره) طراحی شده‌اند و به طور کاملاً مؤثری با آنها مبارزه می‌کنند. در مورد وسایل حفاظتی در برابر تهدیدات داخلی (سیستم های حفاظت از نشت)، تنها بخش بسیار کمی از شرکت ها از آنها استفاده می کنند (شکل 4)، اگرچه نیاز به این وسایل به طور عینی وجود دارد. بازار امنیت اطلاعات هنوز نمی تواند راه حل کاملی برای حفاظت موثر از اطلاعات شرکت ارائه دهد و راه حل های موجود سطح حفاظت کافی را ارائه نمی دهند و هزینه آنها بالاست (مجوز 1000 کامپیوتر تقریباً 100 تا 500 هزار دلار هزینه دارد).

شکل 4. محبوب ترین ابزار امنیت اطلاعات

بهبود فن آوری های فیلتر محتوا، توسعه روش های جدید برای شناسایی اطلاعات محرمانه، تغییر مفهومی رویکردها برای شناسایی آن ضروری است. توصیه می شود نه تنها محتوای معنایی متن، بلکه نویسنده آن را نیز تشخیص دهید. با شناسایی نویسنده متن (زمانی که این متن از محیط سازمان عبور می کند) که توسط کاربر تایپ شده و حاوی اطلاعات محرمانه است، شناسایی مهاجم امکان پذیر می شود. این رویکرد را می توان با استفاده از روش های تحلیل محتوا در ارتباط با روش های بیومتریک برای شناسایی کاربر با دست خط صفحه کلید پیاده سازی کرد. با در نظر گرفتن نه تنها ویژگی های ایستا متن (معنا)، بلکه پویایی ورودی متن، شناسایی نویسنده متن با احتمال زیاد امکان پذیر می شود.

اطلاعات شخصی مشتریان و کارمندان، اسرار تجاری، مکاتبات و بسیاری موارد دیگر مهمترین اطلاعات برای یک تجارت هستند که دسترسی و استفاده از آنها باید به شدت در داخل شرکت تنظیم شود. متأسفانه هیچکس از تقلب، تبانی، استفاده از امکانات تولید برای مقاصد شخصی و جاسوسی صنعتی مصون نیست. مسائل مربوط به حفاظت از اطلاعات داخلی باید شامل توسعه اسناد، رویه های نظارتی و اجرای ابزارهای فنی حفاظت باشد. این برنامه که توسط InfoWatch توسعه یافته است، دانش آموزان را با زمینه های اصلی فعالیت برای اطمینان از حفاظت اطلاعات شرکت در برابر تهدیدات داخلی، چارچوب نظارتی حاکم بر این فعالیت، وظایف حفاظت از اطلاعات، ابزارها، فناوری ها و روش های استفاده از آنها برای دستیابی به این اهداف آشنا می کند. . این برنامه با استفاده از فناوری های این شرکت در آزمایشگاه مجهز به این منظور انجام می شود.

حالت درسکلاس روزهای دوشنبه (19:00 الی 22:00) و چهارشنبه ها (19:00 الی 22:00)
سند صادر شدهگواهی آموزش پیشرفته
اجرای تقسیم
جهت آموزش
محل کلاسمسکو، خ. Tallinskaya 34 و دفتر InfoWatch

پذیرش

گروه هدف

مدارک برای پذیرش

اصل و کپی پاسپورت یا مدرک جایگزین آن

اصل و کپی مدرک تحصیلی و صلاحیت یا گواهی آموزش برای افرادی که تحصیلات عالی می گیرند

اصل و کپی سند تغییر نام خانوادگی، نام، نام خانوادگی (در صورت لزوم)

1. مبانی نظری حفاظت شرکت در برابر تهدیدات داخلی. اطلاعات و جریان اطلاعات. تهدیدات داخلی و خارجی امنیت اطلاعات مدل های تهدید امنیت اطلاعات طبقه بندی ناقضان امنیت اطلاعات شرکت ها ویژگی های ارزیابی خسارت

2. جنبه های نظارتی و قانونی حفاظت شرکت در برابر تهدیدات داخلی.سیستم های DLP و الزامات امنیت اطلاعات طبقه بندی اطلاعات در فدراسیون روسیه. مسائل حقوقی استفاده از سیستم های DLP: اسرار شخصی و خانوادگی. راز ارتباط؛ وسایل فنی خاص اقداماتی برای اطمینان از اعتبار قانونی DLP (Pre-DLP). بررسی عملکرد حق استفاده در بررسی حوادث مربوط به نقض رژیم امنیت اطلاعات داخلی (Post-DLP).

3. جنبه های اداری و سازمانی حفاظت شرکت در برابر تهدیدات داخلی.شکل‌گیری فرآیندها و رویه‌های حسابرسی IS. بررسی سیستم های اطلاعات شرکت ها وضعیت اطلاعات شرکت ابزارها و فن‌آوری‌هایی برای ارائه حفاظت شرکت در برابر تهدیدات داخلی. معیارهای اثربخشی یک پروژه برای اطمینان از حفاظت شرکت در برابر تهدیدات داخلی. موانع اجرای پروژه ها برای اطمینان از حفاظت شرکت در برابر تهدیدات داخلی.

4. حفاظت از اطلاعات شرکت با استفاده از سیستم کنترل جریان اطلاعات خودکار. هدف از سیستم نظارت بر ترافیک IW (IW TM). کانال های انتقال داده کنترل شده معماری محصول IW TM. فن آوری برای تجزیه و تحلیل اشیاء شناسایی شده. وظایف و اصول عملکرد ماژول های اضافی مانیتور دستگاه IW (IW DM) و سیستم خزنده IW.

معلمان

آندری زاروبین

رئیس بخش آموزش و کنترل کیفیت خدمات InfoWatch JSC, MBA, SixSigma Black Belt.

بر کسی پوشیده نیست که به طور متوسط 82 درصد از تهدیدات علیه منابع اطلاعاتی شرکت ها از اقدامات کارمندان خود آنها ناشی می شود که از روی سهل انگاری یا عمدی انجام شده است. به گفته کارشناسان، خطر تهدیدات داخلی روند صعودی دارد و همچنان یکی از مبرم ترین مشکلات است. در یک محیط بسیار رقابتی، وظیفه حفظ محرمانه بودن داده ها به ویژه ضروری است. ایمیل، پیام ICQ یا سند چاپ شده به اشتباه ارسال شده ممکن است حاوی اطلاعات محرمانه ای باشد که برای افراد غیرمجاز در نظر گرفته نشده است. اسرار تجاری یا رسمی، داده های شخصی مشتریان، شرکا یا کارمندان، و همچنین انواع دیگر اطلاعات محافظت شده ممکن است به دست اشخاص ثالث بیفتد و خسارت جبران ناپذیری به کسب و کار وارد کند. لازم است اقدامات به موقع برای جلوگیری از خطرات ناشی از نشت اطلاعات محرمانه انجام شود.

کسب و کار شما ممکن است در معرض خطرات مختلفی قرار گیرد، از جمله:

ریسک های مالی
نتیجه نشت داده های محرمانه ممکن است وضعیتی باشد که یک اسرار تجاری برای اشخاص ثالث شناخته شود. اگر چنین اطلاعاتی به دست رقبا بیفتد، احتمال زیان مالی زیادی وجود دارد که اغلب منجر به ورشکستگی شرکت می شود.
خطرات قانونی
انتشار کنترل نشده یک سند محرمانه در خارج از شبکه شرکتی ممکن است موضوع توجه دقیق مقامات نظارتی باشد. شکایت و مجازات برای نقض قوانین مربوط به حفاظت از داده های شخصی و انواع دیگر اطلاعات محرمانه غیر معمول نیست.
خطرات شهرت
درز اطلاعات محرمانه می تواند پوشش رسانه ای گسترده ای داشته باشد و منجر به تخریب وجهه شرکت در چشم مشتریان و شرکا شود و خسارات مالی جدی به بار آورد.

برای اطمینان از محافظت در برابر نشت اطلاعات محرمانه، هر شرکتی باید یک سیستم DLP داشته باشد.

سیستم‌های DLP (از انگلیسی Data Loss Prevention) نرم‌افزار یا سخت‌افزار و نرم‌افزاری هستند که برای محافظت در برابر نشت در شبکه و کانال‌های محلی طراحی شده‌اند. داده های ارسال شده برای محرمانه بودن تجزیه و تحلیل می شوند و در دسته بندی های خاصی (اطلاعات عمومی، داده های شخصی، اسرار تجاری، مالکیت معنوی و غیره) توزیع می شوند. اگر داده های محرمانه در جریان اطلاعات شناسایی شود، سیستم DLP یکی از اقدامات زیر را انجام می دهد: انتقال آن را مجاز می کند، آن را مسدود می کند، یا در موارد مبهم برای تأیید بیشتر به یک متخصص امنیتی ارسال می کند. سیستم‌های DLP طیف وسیعی از کانال‌های ارتباطی را پوشش می‌دهند و به شما امکان می‌دهند ایمیل، خدمات پیام‌رسانی فوری و سایر ترافیک اینترنت، چاپگرها، دستگاه‌های بلوتوث، دستگاه‌های USB و سایر رسانه‌های خارجی را نظارت کنید.

سیستم های DLP موجود از نظر عملکرد متفاوت هستند. اولاً، سیستم‌های DLP می‌توانند فعال (تشخیص و مسدود کردن نشت داده‌ها) یا غیرفعال (تشخیص نشت داده و ارسال هشدار در مورد حادثه) باشند. در حال حاضر تمرکز بر روی سیستم های فعال DLP است که وظیفه اصلی آن جلوگیری از نشت داده ها در زمان واقعی است و نه تشخیص آن پس از واقعیت. برای چنین سیستم‌های DLP، می‌توانید به صورت اختیاری یک حالت نظارت را پیکربندی کنید که به شما امکان می‌دهد در فرآیندهای تجاری تداخل نداشته باشید و پیامی در مورد حادثه به یک متخصص امنیتی ارسال کنید. در مرحله دوم، سیستم های DLP می توانند تعدادی از وظایف اضافی مربوط به نظارت بر اقدامات کارکنان، زمان کار آنها و استفاده از منابع شرکت را حل کنند.

مزیت قابل توجه سیستم های DLP این است که به شما امکان می دهند تداوم فرآیندهای تجاری را بدون هیچ تاثیری بر کار کاربران نهایی حفظ کنید. به لطف تمامی قابلیت های فوق، سیستم های DLP در حال حاضر یکی از محبوب ترین راه حل ها برای تضمین امنیت اطلاعات کسب و کار هستند.

پیاده سازی و پیکربندی صحیح یک سیستم DLP یک موضوع پیچیده جداگانه است. انجام این کار بدون مشاوره صالح غیرممکن است. متخصصان مجرب شرکت Infozashchita به شما کمک می کنند تا راه حلی را انتخاب کنید که متناسب با ویژگی های شرکت شما باشد.

بازار مدرن DLP یکی از سریعترین بازارهای رو به رشد است که به وضوح تقاضای بالای چنین سیستم های حفاظتی را نشان می دهد. توسعه دهندگان راه حل های DLP به طور مداوم در حال توسعه و بهبود فناوری های جدید موثر برای مبارزه با نشت داده ها هستند.

شرکت Infozashchita آماده است تا مجموعه گسترده ای از راه حل های پیشرفته را از توسعه دهندگان برجسته برای محافظت در برابر تهدیدات داخلی به شما ارائه دهد.

حفاظت در برابر تهدیدات داخلی در شرکت های ارتباطی

معرفی

1. بدنام ترین حوادث داخلی در حوزه مخابرات

2. خودی ها

3. قوانین در زمینه حفاظت در برابر تهدیدات داخلی

3.1. مقررات قانونی و نظارتی

3.2.گواهینامه بر اساس استانداردهای بین المللی

4.تحقیقات آماری

5. روش های جلوگیری از نشت داخلی

نتیجه

فهرست ادبیات استفاده شده

معرفی

ارتباط موضوع به این دلیل است که به دلیل ماهیت گسترده ارائه خدمات ارتباطی، سوابق میلیون ها و ده ها میلیون شهروند را می توان در پایگاه های اطلاعاتی شرکت های مخابراتی جمع آوری کرد. آنها کسانی هستند که به جدی ترین محافظت نیاز دارند. همانطور که عمل نشان داده است، در نتیجه نادیده گرفتن خطر نشت، کسب و کارها در معرض خطر هزینه صدها میلیون دلاری برای کمپین های روابط عمومی، هزینه های قانونی و ابزارهای جدید محافظت از اطلاعات شخصی مشتریان هستند.

ویژگی حفاظت از اطلاعات در شرکت های مخابراتی در ماهیت داده هایی که نیاز به محافظت دارند آشکار می شود. تمام اطلاعات در پایگاه های داده واقع در زیرساخت فناوری اطلاعات اپراتور ذخیره می شود. دزدی مملو از چندین پیامد منفی به طور همزمان است. اولاً، این می تواند به اعتبار شرکت آسیب برساند که خود را در خروج مشتریان فعلی و مشکلات در جذب مشتریان جدید نشان می دهد. ثانیاً، شرکت الزامات قانون را نقض می کند که می تواند منجر به لغو مجوز، هزینه های قانونی و آسیب اضافی به تصویر شود.

هدف از این کار بررسی حفاظت در برابر تهدیدات داخلی در شرکت های ارتباطی است.

اهداف کار عبارتند از:

بررسی پرحاشیه ترین حوادث داخلی در حوزه مخابرات؛

تحلیل متخلفان داخلی؛

بررسی قوانین در زمینه حفاظت در برابر تهدیدات داخلی: مقررات قانونی و نظارتی و صدور گواهینامه بر اساس استانداردهای بین المللی.

مطالعه تحقیقات آماری;

روش هایی را برای جلوگیری از نشت داخلی در نظر بگیرید.

اثر شامل پنج فصل است.

فصل اول به بررسی مخوف ترین حوادث داخلی در حوزه مخابرات، فصل دوم به بررسی متخلفان داخلی، فصل سوم به تحلیل چارچوب قانونی در زمینه حفاظت در برابر تهدیدات داخلی، فصل چهارم به بررسی تحقیقات آماری و فصل پنجم ارائه شده است. روش های جلوگیری از نشت داخلی

نتیجه گیری شامل نتیجه گیری از مطالعه است.

1. بدنام ترین حوادث داخلی در

حوزه مخابرات

حوادث زندگی واقعی واضح ترین تصویری از جدی بودن تهدید داخلی را ارائه می دهند. غفلت از این خطر در سال 2006 منجر به رسوایی بزرگی در ایالات متحده شد. روزنامه‌نگاران به قیمت 90 دلار فهرستی از تماس‌های ورودی و خروجی ژنرال وسلی کلارک، نامزد سابق ریاست‌جمهوری آمریکا را خریدند و عموم مردم آمریکا از دریافت این نکته متعجب شدند که اولاً سوابق تلفنی اصلاً توسط قانون محافظت نمی‌شوند و ثانیاً بسیار ضعیف هستند. توسط ارتباطات اپراتورهای تلفن همراه محافظت می شود.

در ژانویه 2007 خبرگزاری ها از یک نشت "غیر آشکار" خبر دادند. پایگاه داده ای از کاربران ارتباطات سیار از Corbina Telecom در اینترنت ظاهر شده است: نام، شماره تلفن، هزینه تضمین تقریباً 40 هزار مشترک، از جمله چندین مدیر ارشد شرکت. نظرات کوربینا تا حدودی به مشتریان اطمینان داد. به احتمال زیاد تحت عنوان یک پایگاه داده جدید، اطلاعات 4 سال پیش ارائه شده است. سپس برنامه نویس خودی در واقع اطلاعات مربوط به مشترکین شرکت را در دسترس عموم قرار داد و در این مدت اطلاعات تقریباً به طور کامل ارتباط خود را از دست داد.

ده حادثه پرمخاطب داخلی شامل سرقت پایگاه مشتریان اپراتور تلفن همراه ژاپنی KDDI است. تحت تهدید افشای اطلاعات در مورد نشت اطلاعات بزرگ، خودی ها 90 هزار دلار از شرکت ژاپنی KDDI، دومین اپراتور بزرگ تلفن همراه در کشور، خواستند. برای نشان دادن صحت تهدیدهای خود، در ماه مه 2006، باج گیران به نمایندگان KDDI سی دی و درایوهای فلش USB حاوی اطلاعات خصوصی را ارائه کردند و آنها را در ایست بازرسی قرار دادند. اما مدیریت این شرکت به خواسته مجرمان توجهی نکرد و به نهادهای انتظامی مراجعه کرد. پلیس به مدت دو هفته مذاکرات بین باج گیران و KDDI را زیر نظر داشت و سپس مظنونان را دستگیر کرد. تحقیقات نشان داد که پایگاه داده ای از اطلاعات خصوصی در مورد 4 میلیون مشتری KDDI در واقع به دست باج گیران افتاده است. هر رکورد پایگاه داده شامل نام، جنسیت، تاریخ تولد، شماره تلفن و آدرس پستی هر مشتری بود. همه این داده ها برای سرقت هویت ایده آل هستند. مدیریت ارشد اطمینان دارد که یکی از کارکنان عمداً اطلاعات را کپی کرده و به خارج از شرکت برده است.

در مجموع، بیش از 200 کارمند به اطلاعات سرقت شده دسترسی داشتند.

یک حادثه به همان اندازه پرمخاطب نزدیک به روسیه رخ داد: نشت پایگاه داده اپراتور تلفن همراه بلاروسی Velcom. روزنامه نگاران یک فایل متنی با اطلاعات شماره تلفن و نام 2 میلیون نفر از مشترکان آن خریداری کردند. در همان زمان، مطبوعات خاطرنشان می کنند که پایگاه های اطلاعاتی Velcom به طور مرتب به اطلاع عموم می رسد: از سال 2002، حداقل شش نسخه منتشر شده است، و هر بار اطلاعات تکمیل شده است. در همین حال، پایگاه داده های MTS هنوز در اینترنت بلاروس وجود ندارد. در مواجهه با موجی از انتقادات، Velcom اظهار داشت که قوانین بلاروس از اطلاعات شخصی شهروندان محافظت نمی کند، به این معنی که هیچ ادعای قانونی علیه Velcom وجود ندارد. اپراتور این نشت را به گردن بانکی می‌اندازد که پایگاه داده مشتریان به آن منتقل شده است تا «کارمندان [بانک] بتوانند صحت جزئیات مشخص‌شده را هنگام پرداخت هزینه خدمات ارتباطی بررسی کنند». پس از این، Velcom "در حال بررسی امکان ثبت یک ادعا برای محافظت از شهرت تجاری خود است." زمان نشان خواهد داد که این روند به چه چیزی منجر خواهد شد، اما تا کنون خودی ها اغلب از مسئولیت اجتناب می کنند.

اکتبر 2006 خودی های شرکت مخابراتی هندی AcmeTelePower نتایج پیشرفت های نوآورانه را به سرقت بردند و آنها را به رقیب LamdaPrivateLimited منتقل کردند. طبق برآورد ارنست و یانگ، زیان مالی مستقیم Acme بالغ بر 116 میلیون دلار بوده است. پس از این، AcmeTelePower قصد دارد تجارت خود را از هند به استرالیا منتقل کند.

2. متخلفان داخلی

بسیاری از سازمان ها تحقیقاتی در زمینه نشت داخلی انجام داده اند. بزرگترین و مشهورترین آنها مطالعات عدم قطعیت تشخیص نقض داده است که توسط موسسه Ponemon انجام شده است. تحقیق توسط تحلیلگران غربی: CSI/FBIComputerCrimeandSecuritySurvey. جدول 1 یکی از این مطالعات را نشان می دهد.

جدول 1. خطرناک ترین تهدیدات امنیت سایبری با کل خسارت به دلار

تهدیدها	خسارت (به دلار)
ویروس ها	$ 15 691 460
دسترسی غیرمجاز	$ 10 617 000
دزدی لپ تاپ	$ 6 642 560
نشت اطلاعات	$ 6 034 000
خود داری از خدمات	$ 2 992 010
کلاهبرداری مالی	$ 2 556 900
سوء استفاده از شبکه یا ایمیل های داخلی	$ 1 849 810
کلاهبرداری مخابراتی	$ 1 262 410
شبکه های زامبی در سازمان	$ 923 700
هک کردن سیستم از بیرون	$ 758 000
فیشینگ (از طرف یک سازمان)	$ 647 510
سوء استفاده از شبکه بی سیم	$ 469 010
سوء استفاده از پیام رسان های اینترنتی توسط خودی ها	$ 291 510
سوء استفاده از برنامه های کاربردی وب عمومی	$ 269 500
خرابکاری داده ها و شبکه ها	$ 260 00

تنها می‌توانیم اضافه کنیم که در اظهارنظرهای خود در مورد میزان خسارت، تحلیلگران FBI و مؤسسه امنیت رایانه‌ای تردید دارند که پاسخ‌دهندگان بتوانند میزان خسارت ناشی از درز اطلاعات شخصی یا اسرار تجاری را کم و بیش دقیق تعیین کنند. چنین حوادثی پیامدهای منفی درازمدت زیادی دارد. به عنوان مثال، زوال افکار عمومی، کاهش شهرت و کاهش پایگاه مشتریان. همه اینها به تدریج اتفاق می افتد و هفته ها و ماه ها طول می کشد. و شناسایی زیان در قالب سود از دست رفته ناشی از نشتی حداقل یک سال طول می کشد. بنابراین ساختار داخلی زیان های مالی ناشی از تهدیدات امنیت اطلاعات را نمی توان به طور دقیق تعیین کرد.

به طور کلی حفاظت از اطلاعات در سازمان ها شامل موارد زیر است:

· مجموعه ای از رایانه های متصل به یکدیگر در یک شبکه.

· کانال های ارتباطی پیاده سازی شده توسط کانال های انتقال اطلاعات دلخواه که از طریق آنها شبکه ای از اتصالات منطقی به صورت فیزیکی پیاده سازی می شود.

· تبادل اطلاعات محرمانه در داخل شبکه مطابق دقیق با اتصالات منطقی مجاز

· حفاظت چند سطحی یکپارچه در برابر دسترسی غیرمجاز و نفوذ خارجی

· تنظیم متمرکز دقیق ساختار اتصالات منطقی و کنترل دسترسی در شبکه

· استقلال ساختار منطقی شبکه از انواع کانال های انتقال اطلاعات.

اکثر شرکت‌ها مدت‌هاست که محافظت در برابر تهدیدات خارجی ایجاد کرده‌اند و اکنون باید از پشت خود محافظت کنند. در میان تهدیدات داخلی، چند روش رایج برای ایجاد آسیب وجود دارد:

· ذخیره یا پردازش اطلاعات محرمانه در سیستمی که برای این منظور در نظر گرفته نشده است.

· تلاش برای دور زدن یا نقض سیستم های امنیتی یا ممیزی بدون مجوز (به جز در زمینه آزمایش های امنیتی یا تحقیقات مشابه).

· سایر موارد نقض قوانین و رویه های امنیت شبکه داخلی.

چندین راه برای افشای اطلاعات محرمانه وجود دارد:

o سرور پست الکترونیکی (ایمیل)؛

o وب سرور (سیستم های پست باز)؛

o چاپگر (چاپ اسناد)؛

o FDD، CD، درایو USB (کپی کردن در رسانه).

قبل از اینکه به محاسبات تحلیلی بپردازیم، لازم است به این سوال پاسخ دهیم که چه چیزی تهدید داخلی نامیده می شود. اهمیت این تعریف با این واقعیت بیشتر می شود که خرابکاری تنها بخشی از تهدیدات داخلی است؛ باید بین خرابکاران و برای مثال، خودی هایی که اطلاعات محرمانه را به رقبا «نشت می کنند» تمایز قائل شد.

خرابکاری شرکتی اقدامات مضر برای شرکت است که توسط افراد داخلی به دلیل غرور زخمی، تمایل به انتقام، خشم و هر دلیل احساسی دیگر انجام می شود. توجه داشته باشید که اصطلاح "خودی" به کارکنان سابق و فعلی شرکت و همچنین کارکنان قراردادی اشاره دارد.

خرابکاری شرکتی همیشه به دلایل احساسی و گاهی غیرمنطقی انجام می شود. یک خرابکار هرگز با تمایل به پول درآوردن یا به دنبال سود مالی هدایت نمی شود. در واقع این همان چیزی است که خرابکاری را از سایر تهدیدات داخلی متمایز می کند.

یک مطالعه سرویس مخفی ایالات متحده نشان داد که در 98٪ موارد خرابکار یک مرد است، اما این انگیزه ها پیامدهای رویدادهای قبلی است که کارمند را ناآرام کرده است (جدول 2). به گفته تحلیلگران، در بیشتر موارد خرابکاری قبل از وقوع یک حادثه ناخوشایند در محل کار یا مجموعه ای از این گونه حوادث رخ می دهد.

جدول 2 رویدادهای قبل از خرابکاری

منبع CE RT

بسیاری از خرابکاران در زمان خرابکاری قبلاً کارمندان سابق شرکت قربانی بودند که به دلایلی (احتمالاً نادیده گرفتن مدیر) به منابع اطلاعاتی آن دسترسی داشتند. توجه داشته باشید که این تقریباً نیمی از موارد است.

همانطور که مطالعه CERT نشان داد، تقریباً همه خرابکاران شرکت‌ها متخصصانی هستند که به نوعی با فناوری اطلاعات مرتبط هستند.

جدول 3 پرتره یک خرابکار معمولی

منبع CE RT

بنابراین، از قابل اعتمادترین ویژگی های یک خرابکار، تنها دو مورد را می توان شناسایی کرد: او یک مرد، کارمند بخش فنی است. از هر ده خرابکاری 9 نفر توسط افرادی انجام می شود که به هر طریقی با فناوری اطلاعات مرتبط هستند. به گفته کارشناسان InfoWatch، توسعه دهنده سیستم هایی برای محافظت از اطلاعات محرمانه از خودی ها، دلیل این وابستگی حرفه ای در ویژگی های روانی این کارمندان است. دو مثال از زندگی به ما این امکان را می دهد که مشکل را با جزئیات بیشتری درک کنیم، که به وضوح ویژگی های شخصیتی معمولی متخصصان فناوری اطلاعات را نشان می دهد.

من برای یک شرکت نرم افزاری متوسط کار می کردم. من در هنگام دسترسی به سرورهای اصلی از حقوق مدیر برخوردار بودم. فقط برای اینکه ذهنم را بیشتر کنم، به این فکر کردم که چگونه می توان از این دسترسی به طور مخرب استفاده کرد و طرح زیر را ارائه کردم. اول سیستم پشتیبان را هک کنید... دوم یک سال یا بیشتر صبر کنید. سوم، تمام اطلاعات روی سرورها، از جمله نرم افزارهای هک شده برای رمزگذاری/رمزگشایی داده های پشتیبان را پاک کنید. بنابراین، شرکت فقط نسخه های پشتیبان رمزگذاری شده (بدون کلید) خواهد داشت. رابعاً پیشنهاد خرید کلیدهایی که در مرحله اول به دست آمده را به شرکت بدهید. اگر شرکت امتناع کند، سالها کار خود را از دست می دهد. البته این فقط یک طرح فرضی است. من سعی نکردم آن را اجرا کنم، بنابراین نمی دانم که آیا کار می کرد یا نه...» - Filias Cupio. «بیشتر متخصصان فناوری اطلاعات که می شناسم، حتی جوانان، به محض شروع کار، یک روت کیت را در سیستم شرکت نصب می کنند. این یک رفلکس است. آن‌ها نمی‌خواهند به کسی آسیب برسانند و برنامه‌های مخربی انجام نمی‌دهند، آنها فقط می‌خواهند به سیستم دسترسی داشته باشند تا بتوانند با خیال راحت از خانه یا دانشگاه کار کنند.

ماهیت عمیق روانشناختی عمل خرابکاری اغلب یک کارمند ناراضی را به تهدید مافوق یا همکاران خود سوق می دهد، حتی گاهی اوقات او افکار خود را با یکی از همکارانش در میان می گذارد. به عبارت دیگر، نه تنها خرابکار اطلاعاتی در مورد خرابکاری قریب الوقوع دارد. تحلیلگران محاسبه کرده اند که در 31 درصد موارد افراد دیگر اطلاعاتی در مورد نقشه های خرابکار دارند. از این تعداد 64 درصد همکار، 21 درصد دوست، 14 درصد اعضای خانواده و 14 درصد دیگر همدست هستند.

در 47٪ موارد، خرابکاران اقدامات مقدماتی را انجام می دهند (به عنوان مثال، سرقت نسخه های پشتیبان از داده های محرمانه). در 27٪، آنها مکانیزم حمله (تهیه یک بمب منطقی در شبکه شرکت، لاگین های مخفی اضافی و غیره) را طراحی و آزمایش می کنند. در عین حال، در 37٪ موارد، فعالیت کارمندان قابل توجه است: از این تعداد، 67٪ اقدامات مقدماتی آنلاین، 11٪ - آفلاین، 22٪ - هر دو به طور همزمان قابل توجه است.

همچنین باید در نظر داشت که اکثریت قریب به اتفاق حملات توسط خرابکاران در ساعات غیر کاری و با استفاده از دسترسی از راه دور به شبکه شرکت انجام می شود.

3. قوانین در زمینه حفاظت در برابر تهدیدات داخلی

مقررات قانونی و نظارتی

ویژگی های بخش مخابرات (در مقایسه با سایر صنایع) در مسائل نظارتی نیز منعکس شده است. اولاً، شرکت‌های این صنعت اغلب بر ارائه خدمات به افراد متمرکز هستند و بنابراین مقادیر زیادی از داده‌های شخصی مشترکین را در شبکه شرکتی خود جمع می‌کنند. از این رو توجه دقیق مدیریت بخش های فناوری اطلاعات و امنیت اطلاعات به قانون فدرال "در مورد داده های شخصی" که تعدادی از الزامات را برای امنیت اطلاعات خصوصی شهروندان تحمیل می کند . ثانیاً، مخابرات اخیراً استاندارد خود را به نام "سطح پایه امنیت اطلاعات برای اپراتورهای مخابراتی" به دست آورده است. این حداقل مجموعه ای از توصیه ها را نشان می دهد که اجرای آنها باید سطح معینی از امنیت اطلاعات خدمات ارتباطی را تضمین کند و امکان ایجاد تعادل بین منافع اپراتورها، کاربران و دولت را فراهم کند. توسعه این استاندارد به دلیل توسعه صنعت ارتباطات از راه دور است: اپراتورهای مخابراتی مجبور هستند شبکه های خود را برای ارائه مجموعه خدمات لازم ترکیب کنند، اما خود اپراتورها نمی دانند با چه کسی سروکار دارند و به چه کسی می توانند اعتماد کنند. به منظور جلوگیری از تهدیدات امنیت سایبری برخی از مفاد این سند مستقیماً به خطرات امنیت اطلاعات داخلی و مشکلات ذخیره سازی داده های شخصی مربوط می شود. به عنوان مثال، به اپراتور توصیه می شود "اطمینان از محرمانه بودن اطلاعات ارسال شده و/یا ذخیره شده از سیستم های کنترل و سیستم های پرداخت خودکار برای خدمات ارتباطی (صورتحساب)، اطلاعات مربوط به مشترکین (داده های شخصی افراد) و خدمات ارتباطی ارائه شده به آنها، که به دلیل اجرای قراردادهای ارائه خدمات ارتباطی برای اپراتورهای مخابراتی شناخته شده است.» شرکت ها موظفند گزارش رویدادهای امنیت اطلاعات را نگه دارند و آنها را مطابق با قانون محدودیت (در روسیه - 3 سال) ذخیره کنند. علاوه بر این، "برای فیلتر کردن جریان رویدادهای اولیه، توصیه می شود از ابزارهای فنی همبستگی رویداد استفاده کنید که ورودی ها را در گزارش حوادث امنیت اطلاعات بهینه می کند." نمی‌توان این نکته را نادیده گرفت که می‌گوید: «به اپراتوری که اجازه داده است پایگاه‌های اطلاعاتی مشترکین (مشتریان) اپراتورهای دیگر (در حال تعامل) از بین برود، توصیه می‌شود در اسرع وقت این موضوع را به اپراتور اطلاع دهند.» بنابراین، بخش مخابرات روسیه به تدریج به بهترین شیوه‌ها نزدیک می‌شود - در ایالات متحده و اتحادیه اروپا، شرکت‌ها مدت‌هاست که مسئول نشت داده‌های خصوصی هستند و طبق قانون موظف هستند قربانیان را از نشت مطلع کنند. با گذشت زمان، چنین هنجاری باید در روسیه ظاهر شود.

درست است، هنوز نمی توان گفت که مقررات نظارتی نقش تعیین کننده ای در بخش مخابرات ایفا می کند. با این وجود، مدیریت امروز باید به فکر انطباق فناوری اطلاعات و امنیت اطلاعات با استانداردها و قوانین موجود باشد تا در نهایت مقامات نظارتی شروع به فعالیت کنند. علاوه بر این، شرکت های بزرگ مخابراتی که سهام آنها در بورس اوراق بهادار پذیرفته شده است، ملزم به تامین نیازهای بازارهای سهام هستند. به عنوان مثال، در روسیه، این قانون اختیاری رفتار شرکتی FFMS (سرویس فدرال برای بازارهای مالی)، در بریتانیا - قانون مشترک حاکمیت شرکتی (نیمه اجباری)، و در ایالات متحده آمریکا - قانون SOX (ساربانز) است. -قانون Oxley 2002). قانون فدرال "در مورد داده های شخصی" و "سطح پایه ..." مورد توجه مستقیم شرکت های مخابراتی روسیه است.

قانون فدرال "در مورد ارتباطات" (ماده 46، بند 1) وظایف امنیت اطلاعات مانند حفاظت از امکانات ارتباطی، امکانات ارتباطی و اطلاعاتی که از طریق آنها از دسترسی غیرمجاز منتقل می شود را به اپراتور اختصاص می دهد. اطمینان از عملکرد ایمن زیرساخت داخلی اپراتور مخابراتی.

این الزامات باید در سیستم عملکرد شبکه ارتباطی پیاده سازی شود، عملکرد آنها نظارت شود، عملکرد آنها پشتیبانی شود، گزارش های آماری تهیه و به مقامات بالاتر ارائه شود. با این حال، به دلیل عدم وجود مقررات هماهنگ، رویکرد واحدی برای امنیت اطلاعات وجود ندارد. هیچ رویکرد مشترکی برای ترکیب بخش‌های فناوری اطلاعات و امنیت اطلاعات وجود ندارد. این، به عنوان یک قاعده، به حجم وظایف انجام شده توسط اپراتور بستگی دارد و مسئولیت های عملکردی بین IT و IS بر اساس تجربه قبلی روسای این بخش ها توزیع می شود.

صدور گواهینامه بر اساس استانداردهای بین المللی

معروف ترین گواهینامه در جهان مطابق با الزامات استاندارد ISO 27001:2005 است. در روسیه، تا به امروز، شش شرکت به طور رسمی سیستم های مدیریت امنیت اطلاعات خود (ISMS) را تایید کرده اند. چهار نفر از آنها در بخش IT کار می کنند. ISO/IEC27001:2005 که توسط موسسه استاندارد بریتانیا در سال 2005 منتشر شد، بر اساس بهترین عملکرد جهانی است. به وضوح فرآیندهای کلیدی را که باید توسط مدیر مسئول تامین امنیت اطلاعات در سازمان مدیریت شود، تعریف می کند. بر اساس این استاندارد، مرحله نهایی تایید اثربخشی سیستم امنیت اطلاعات، ممیزی مستقل توسط یک مرجع معتبر صدور گواهینامه است. نتیجه گیری مثبت از چنین بدنه ای نشان دهنده ارائه مؤثر و صحیح فرآیندهای مدیریت امنیت اطلاعات، تصویر مثبت از شرکت است و به عنوان یک استدلال قانع کننده برای مدیریت آن عمل می کند که سیستم اطلاعاتی شرکت از ابزارهای مدرن امنیت اطلاعات با حداکثر سطح استفاده می کند. بهره وری. خود فرآیند تأیید توسط یک مرجع صدور گواهینامه خارجی، درجه اعتماد مدیریت را به بخش های امنیت اطلاعات افزایش می دهد و نشانگر کیفیت و حرفه ای بودن کارکنان این سرویس است.

تصمیم برای پیاده سازی ISMS در یک سازمان باید در بالاترین سطح مدیریتی، به طور ایده آل توسط مدیرعامل گرفته شود. بدون پشتیبانی مدیریت، چنین پروژه هایی اغلب محکوم به شکست یا در بهترین حالت، عملکرد ناکارآمد در شرایط عدم پذیرش فرآیندها توسط کارکنان شرکت هستند.

1) الزامات خط‌مشی‌ها نیاز به یک خط‌مشی امنیتی ثبت شده (تأیید شده) توسط رویه‌های داخلی شرکت ارتباطات را بر اساس بهترین شیوه‌ها در ارزیابی و مدیریت ریسک، برآورده کردن نیازهای فعالیت‌های تجاری و مطابقت با قوانین ملی تعریف می‌کند. خط‌مشی‌های امنیتی باید منتشر و به پرسنل شرکت حمل‌ونقل و ذینفعان خارجی (مشتریان، شرکت‌های متقابل، سایر طرف‌های ذینفع) ابلاغ شود.

2) الزامات عملکردی الزامات را فقط برای ابزارهای فنی تأیید شده موجود توصیف می کند و روش های ثبت رویداد را توصیف می کند.

3) الزامات تعامل، روش شناسایی مشتریان خود و سایر اپراتورها را توصیف می کند. بخش فرعی نیاز به یک سرویس پاسخگویی به حوادث امنیتی 24 ساعته (یا استفاده از چنین سرویسی بر اساس برون سپاری) را نشان می دهد.

همچنین الزامی برای اطمینان از محرمانه بودن اطلاعات ارسال شده و/یا ذخیره شده برای سیستم های مدیریت و سیستم های پرداخت خودکار برای خدمات ارتباطی (صورتحساب)، اطلاعات مربوط به مشترکین (داده های شخصی افراد) و خدمات ارتباطی ارائه شده به آنها وجود دارد. در عین حال، حتی اگر این اطلاعات به دلیل اجرای قراردادهای ارائه خدمات ارتباطی برای اپراتور مخابراتی شناخته شود، باید رعایت شود.

4. آمار تحقیق علمی

یکی از بزرگ‌ترین و جالب‌ترین کارهایی که در زمینه حفاظت در برابر تهدیدات داخلی انجام شد، مطالعه ۲۷۵ شرکت مخابراتی بود که توسط مرکز تحلیلی InfoWatch انجام شد. بر اساس نتایج آن، ریسک های خودی بر تهدیدهای خارجی به نسبت 6:4 غلبه دارند. اجازه دهید ساختار این خطرات و تأثیر عوامل مختلف بر آنها را تجزیه و تحلیل کنیم: ابزارهای امنیت اطلاعات مورد استفاده، مقررات نظارتی و غیره.

فهرست خطرناک ترین تهدیدات داخلی برای امنیت اطلاعات (جدول 4) با نقض محرمانه بودن اطلاعات (85٪) و تحریف اطلاعات (64٪) در صدر قرار دارد. هر دوی این تهدیدها را می توان با مفهوم "نشت اطلاعات" خلاصه کرد.

در رده های سوم و چهارم تقلب (49 درصد) و خرابکاری (41 درصد) قرار دارند. جالب توجه است، در یک مطالعه گسترده در صنعت، خطر خرابکاری تقریباً 15٪ از خطر تقلب پیشی گرفت. ظاهراً با توجه به ویژگی های ارائه خدمات ارتباطی، کلاهبرداری به عنوان یکی از خطرناک ترین تهدیدها شناخته می شود.

جدول 4 خطرناک ترین تهدیدات امنیت سایبری

کار اداری با پرسنل

به گفته کارشناسان InfoWatch، بهترین راه برای جلوگیری از خرابکاری شرکت ها، اقدامات پیشگیرانه است. اول از همه، شرکت ها باید مراجع و مکان های قبلی کار کارکنان استخدام شده را بررسی کنند.یکی دیگر از روش های بسیار موثر، آموزش ها یا سمینارهای منظم است که در آن اطلاعاتی در مورد تهدیدات امنیتی IT و خرابکاری به عنوان مثال به کارکنان ارائه می شود. با این رویکرد، مدیریت به آن دسته از کارکنانی تکیه می کند که با خرابکار در اداره تعامل دارند، رفتار عصبی او را مشاهده می کنند، علیه آنها تهدید می شوند و غیره.

روش بعدی شامل استفاده از اصل حداقل امتیاز و تفکیک واضح توابع است. کارمندان اداری عادی نباید دارای اختیارات اداری باشند. همچنین واضح است که مسئول پشتیبان گیری نباید قادر به حذف داده های منبع اصلی باشد. علاوه بر این، این کارمند باید مسئول اطلاع رسانی به مافوق خود در صورت تجاوز به نسخه های پشتیبان باشد. به طور کلی، مشکل محافظت از نسخه های پشتیبان را می توان با ایجاد نسخه های تکراری از آنها حل کرد. با توجه به این واقعیت که یک شرکت، به عنوان یک قاعده، داده های واقعاً حیاتی زیادی ندارد، ایجاد چندین نسخه پشتیبان توصیه می شود.

مدیریت رمز عبور و حساب کاربری بسیار مهم است.

بهترین اقدام پیشگیرانه را می توان نظارت نامید، نه تنها غیرفعال (گزارش های رویداد)، بلکه فعال (حفاظت از اطلاعات ارزشمند). در این صورت، تنها مدیر ارشد می تواند آسیب واقعی به شرکت وارد کند، زیرا سایر کارمندان با دسترسی به دارایی های دیجیتال شرکت به سادگی حق حذف اطلاعات ارزشمند را نخواهند داشت. در حال حاضر راه حل های تخصصی در بازار برای محافظت از داده ها در برابر تهدیدات داخلی، از جمله خرابکاری شرکت ها وجود دارد.

راه حل سازمانی InfoWatch

InfoWatch Enterprise Solution (IES) توسط شرکت روسی InfoWatch، توسعه دهنده سیستم های حفاظتی ضد خودی عرضه می شود. این امکان را به شما می دهد تا کنترل جامعی بر تمام راه های درز اطلاعات محرمانه ارائه دهید: کانال پست الکترونیکی و ترافیک وب، منابع ارتباطی ایستگاه های کاری و غیره. امروزه IES قبلاً توسط دولت (وزارت توسعه اقتصادی، خدمات گمرکی)، مخابرات (VimpelCom) استفاده می شود. ، مالی (Vneshtorgbank) و شرکت های سوخت و انرژی (HydroOGK، Transneft).

معماری IES را می توان به دو بخش تقسیم کرد: مانیتورهایی که ترافیک شبکه را نظارت می کنند و مانیتورهایی که عملیات کاربر را در سطح ایستگاه کاری نظارت می کنند. اولی روی یک شبکه شرکتی به عنوان دروازه‌ها نصب می‌شوند و ایمیل و ترافیک وب را فیلتر می‌کنند، در حالی که دومی روی رایانه‌های شخصی و لپ‌تاپ‌ها و نظارت بر عملیات در سطح سیستم‌عامل مستقر می‌شوند. مانیتورهای شبکه IWM و IMM همچنین می توانند به عنوان یک دستگاه سخت افزاری - InfoWatch Security Appliance - پیاده سازی شوند. بنابراین، به مشتری امکان انتخاب نرم‌افزار یا سخت‌افزار فیلترهای ترافیک ایمیل و وب به مشتری داده می‌شود. مزایای این رویکرد هنگام محافظت از یک شبکه کامپیوتری پیچیده که شاخه های توزیع شده جغرافیایی را پوشش می دهد، به بهترین وجه نشان داده می شود.

مانیتورهای سطح ایستگاه کاری عبارتند از Info-Watch Net Monitor (INM) و InfoWatch Device Monitor (IDM). ماژول INM عملیات فایل (خواندن، تغییر، کپی، چاپ و غیره) را نظارت می کند، کار کاربر را در Microsoft Office و Adobe Acrobat کنترل می کند و با دقت تمام اقدامات را با اسناد محرمانه ضبط می کند.

همه این قابلیت ها به طور منطقی با قابلیت های ماژول IDM تکمیل می شود که دسترسی به درایوهای قابل جابجایی، درایوها، پورت ها (COM، LPT، USB، FireWire)، شبکه های بی سیم (Wi-Fi، Bluetooth، IrDA) و غیره را کنترل می کند.

علاوه بر این، اجزای INM و IDM قادر به اجرا بر روی لپ‌تاپ‌ها هستند و مدیر امنیتی این امکان را دارد که سیاست‌های خاصی را تنظیم کند که برای دوره کار آفلاین کارمند اعمال می‌شود. دفعه بعد که به شبکه شرکتی متصل می‌شوید، در صورتی که کاربر هنگام کار از راه دور سعی در نقض قوانین تعیین‌شده داشته باشد، مانیتورها بلافاصله به افسر امنیتی اطلاع می‌دهند.

تمام مانیتورهای موجود در IES قادر به جلوگیری از نشت در زمان واقعی هستند و بلافاصله یک افسر امنیتی را از حادثه مطلع می کنند. راه حل از طریق یک کنسول مرکزی مدیریت می شود که به شما امکان می دهد سیاست های شرکت را پیکربندی کنید. یک ایستگاه کاری افسر امنیتی خودکار نیز ارائه شده است که با کمک آن یک کارمند ویژه می تواند به سرعت و به اندازه کافی به حوادث پاسخ دهد. بنابراین، یک راه حل جامع IES به تمام جنبه های حفاظت از اطلاعات محرمانه از خودی ها می پردازد.

Lumigent Entegra و LogExplorer

محصولات Entegra و Log Explorer Lumigent حفاظت غیر فعال از اطلاعات ذخیره شده در پایگاه های داده را ارائه می دهند. آنها به شما اجازه ممیزی پایگاه داده و بازیابی اطلاعات در آنها را می دهند.

محصول Entegra فعالیت کاربران را هنگام کار با پایگاه‌های اطلاعاتی نظارت می‌کند و خود پایگاه‌های اطلاعاتی را ممیزی می‌کند. این به شما امکان می دهد تعیین کنید چه کسی، چه زمانی و چگونه رکوردهای موجود در پایگاه داده را مشاهده یا اصلاح کرده است، همچنین ساختار یا حقوق کاربر برای دسترسی به آن را تغییر دهید. شایان ذکر است که محصول قادر به جلوگیری از هرگونه تأثیر مخرب نیست، فقط می تواند اطلاعات مربوط به این عملیات را برای ورود به سیستم ارسال کند. Log Explorer یک گزارش اضافی از تمام تراکنش‌های انجام‌شده با پایگاه داده نگهداری می‌کند، که در صورت بروز هرگونه مشکل، امکان تجزیه و تحلیل و بررسی تراکنش‌های انجام‌شده و بازیابی رکوردهای از دست رفته یا تغییر یافته را بدون استفاده از نسخه پشتیبان فراهم می‌کند. با این حال، ما واقعاً در مورد بازیابی صحبت نمی کنیم؛ Log Explorer به شما امکان می دهد تراکنش ها را به عقب برگردانید. بنابراین، این ماژول قادر به جلوگیری از نشت نیست، اما می تواند خطرات سوابق خراب را کاهش دهد.

PC Acme

PC Activity Monitor (Acme) امکان نظارت غیرفعال فعالیت کاربر را در سطح ایستگاه کاری فراهم می کند. راه حل شامل دو بخش است: یک ابزار مدیریت متمرکز و چندین عامل مستقر در ایستگاه های کاری در سراسر سازمان. با استفاده از اولین جزء محصول، می توانید نمایندگان را به صورت متمرکز در سراسر شبکه شرکت توزیع کنید و سپس آنها را مدیریت کنید. Agent ها ماژول های نرم افزاری هستند که بسیار عمیق در ویندوز 2000 یا ویندوز XP تعبیه شده اند. توسعه دهندگان گزارش می دهند که عوامل در هسته سیستم عامل قرار دارند و تقریبا غیرممکن است که کاربر به طور غیرقانونی آنها را از آنجا حذف کند یا آنها را غیرفعال کند. خود نمایندگان با دقت تمام اقدامات کاربر را ثبت می کنند: راه اندازی برنامه ها، فشار دادن کلیدها و غیره. می توان گفت که گزارش رویداد حاصل از نظر سطح جزئیات، شبیه نتایج نظارت تصویری هوشیار از صفحه رایانه است. با این حال، گزارش حاصل به طور طبیعی به صورت متن ارائه می شود. کنسول مدیریت مرکزی به شما این امکان را می دهد که داده های ثبت شده را روی یک رایانه جمع آوری کرده و در آنجا تجزیه و تحلیل کنید. با این حال، ممکن است در این مرحله مشکلاتی ایجاد شود. اولاً، یک افسر امنیتی باید به صورت دستی صدها هزار رکورد از رویدادهای سیستم خاص را تجزیه و تحلیل کند تا مواردی را که نقض خط مشی امنیت فناوری اطلاعات هستند، منجر به نشت و غیره می شوند، شناسایی کند. اما حتی اگر افسر امنیتی موفق به کشف واقعیت شود. از یک نشت، پس او به هر حال نمی تواند از آن جلوگیری کند. بنابراین، PC Acme برای نظارت غیرفعال تمام اقدامات کاربر در سطح ایستگاه کاری مناسب است.

امنیت پیام‌رسانی Proofpoint

راه حل سخت افزاری Proofpoint به شما امکان می دهد کنترل کاملی بر ایمیل خود داشته باشید. با استفاده از این دستگاه می توانید پیام ها را از نظر ویروس ها و هرزنامه ها بررسی کنید، از سوء استفاده از منابع ایمیل و نشت اطلاعات محرمانه در ایمیل ها جلوگیری کنید. حفاظت در برابر نشت داده های محرمانه مبتنی بر مکانیزم فیلتر محتوا است. اگر پیام ارسال شده حاوی اطلاعات محرمانه باشد، محصول می تواند نشت را مسدود کند. Proofpoint یک نمونه کلاسیک از محصولی است که برای محافظت از یک کانال ارتباطی خاص طراحی شده است: ایمیل. چنین محصولی را می توان در مواردی استفاده کرد که عملکرد اصلی فیلتر هرزنامه و شناسایی ویروس است و جلوگیری از نشت فقط یک افزودنی خوب است.

چگونه خودی ها گرفتار می شوند

نمونه ای از پیروزی بر خودی ها در اواسط فوریه 2006 توسط شرکت روسی LETA IT نشان داده شد. به لطف یک رویکرد شایسته برای امنیت داخلی فناوری اطلاعات، این شرکت توانست یک فرد داخلی را که به دلیل سوء استفاده از موقعیت رسمی محکوم شده بود، خنثی کند. یک بررسی داخلی نشان داد که یکی از مدیران حساب تلاش کرده است تا قراردادهایی را برای تامین نرم افزار نه از طریق کارفرمای قانونی خود، بلکه از طریق یک شرکت پوسته ایجاد شده توسط او مذاکره کند. با استفاده از InfoWatch Mail Monitor، سوء استفاده به سرعت و زود شناسایی شد.

نتیجه

بنابراین، در ایالات متحده و اتحادیه اروپا، مدت‌هاست که شرکت‌ها مسئول درز اطلاعات خصوصی هستند و طبق قانون موظفند قربانیان را از درز اطلاعات مطلع کنند. امیدواریم با گذشت زمان چنین هنجاری در روسیه ظاهر شود. روندهای مثبت قبلاً قابل ذکر است. تعداد سازمان هایی که خود را از نشت محافظت کرده اند به طور مداوم در حال افزایش است و همچنان افزایش خواهد یافت.

سازمان‌ها به طور فزاینده‌ای از تهدید فزاینده برای کارکنان خود آگاه می‌شوند، با این حال اقدامات کمی برای محافظت از خود انجام می‌دهند. همه در لیست وظایف اولویت دار خود آموزش و آموزش پیشرفته کارکنان در زمینه امنیت اطلاعات، ارزیابی منظم از کار ارائه دهندگان خدمات فناوری اطلاعات خود را به منظور نظارت بر انطباق آنها با سیاست های امنیت اطلاعات، تنها با تکیه بر اعتماد، شامل نمی شوند. امروزه افراد کمی امنیت اطلاعات را به عنوان یک اولویت مدیریتی می بینند.

همانطور که مدل های کسب و کار سازمان ها به سمت تمرکززدایی تکامل می یابند، برخی از وظایف به پیمانکاران خارجی واگذار می شود، بنابراین، کنترل امنیت اطلاعات آنها و ارزیابی سطح خطرات به طور فزاینده ای دشوار می شود. شرکت ها می توانند کار را محول کنند، اما نباید مسئولیت ایمنی را محول کنند.

توجه ناکافی مدیریت ارشد، ارزیابی نامنظم ریسک، و همچنین عدم سرمایه گذاری کافی یا کامل در تلاش برای کاهش ریسک های مرتبط با عامل انسانی (رفتار نامناسب کارکنان، نظارت، نقض قوانین یا استانداردهای تعیین شده). توجه اصلی هنوز فقط به تهدیدات خارجی مانند ویروس ها معطوف می شود و جدیت تهدیدات داخلی دست کم گرفته می شود: تمایل به خرید ابزارهای فناوری (دیوارهای آتش، حفاظت ضد ویروس و غیره) وجود دارد، اما تمایلی برای حل وجود ندارد. مشکلات امنیتی پرسنل

بسیاری از حوادث مربوط به کارکنان ناشناخته باقی می مانند. به گفته نویسندگان این مطالعات، شرکت های مخابراتی می توانند و باید دیدگاه خود را نسبت به امنیت اطلاعات تنها به عنوان یک آیتم هزینه برای انجام تجارت تغییر دهند: آن را به عنوان یکی از راه های افزایش رقابت و حفظ پتانسیل هزینه شرکت در نظر بگیرند.

تعدادی از شرکت های بزرگ مشمول مقررات مختلفی هستند که آنها را ملزم به حفاظت از اطلاعات خصوصی می کند. به طور کلی، انتظار می رود تقاضا برای راه حل های داخلی و حفاظت از نشت حداقل تا پنج سال آینده به طور پیوسته افزایش یابد.

فهرست ادبیات مورد استفاده

1. InfoWatch. اخبار. شناسایی نشت چقدر دشوار است - Corbina Telecom. 2007

2. Sbiba V.Yu، Kurbatov V.A. راهنمای محافظت در برابر تهدیدات داخلی برای امنیت اطلاعات. سن پترزبورگ: پیتر، 2008.

3. "KNS INFOTEKS" http://home.tula.net/insider/001b.htm.

4. Zenkin, D. اینسایدرها 75 برابر خطرناکتر از هکرها هستند. سی نیوز. تجزیه و تحلیل. http://www.cnews.ru/reviews/index.shtml?2008/10/22/324142.

5. اشتراک گذاری، A. CitCity. خودی ها می آیند. http://citcity.ru/14874/

6. InfoWatch: تهدیدات داخلی: در مواجهه با خطر مشترک. http://www.infowatch.ru/threats?chapter=147151398&id=153017335

7. اشتراک گذاری، الف. خرابکاری در محیط شرکت. http://www.directum-journal.ru/card.aspx?ContentID=1717301.

8. سطح پایه امنیت اطلاعات اپراتورهای مخابراتی. [در اینترنت] http://www.ccin.ru/treb_baz_u.doc.

9. A. امنیت مخابرات را به اشتراک بگذارید. http://citcity.ru/15562

10. A.V. تهدیدات امنیت اطلاعات داخلی در مخابرات 2007. http://www.iks-navigator.ru/vision/456848.html.

11. کوستروف، دی.و. امنیت اطلاعات در توصیه ها، الزامات، استانداردها. 2008

http://www.iks-navigator.ru/vision/2390062.html.

12. بولتن ارتباطات: حفاظت از خودی ها در شرکت های مخابراتی.

http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.39.

13. یک غریبه در میان خود: صورتجلسه میزگرد. بولتن ارتباطات. - شماره 7. 2006 http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.59.

بسیاری از سازمان ها تحقیقاتی در زمینه نشت داخلی انجام داده اند. بزرگترین و مشهورترین آنها مطالعات عدم قطعیت تشخیص نقض داده است که توسط موسسه Ponemon انجام شده است. تحقیق توسط تحلیلگران غربی: CSI/FBI Crime Crime and Security Survey. جدول 1 یکی از این مطالعات را نشان می دهد.

جدول 1. خطرناک ترین تهدیدات امنیت سایبری با کل خسارت به دلار

تهدیدها	خسارت (به دلار)


دزدی لپ تاپ
نشت اطلاعات
خود داری از خدمات
کلاهبرداری مالی
سوء استفاده از شبکه یا ایمیل های داخلی
کلاهبرداری مخابراتی
شبکه های زامبی در سازمان
هک کردن سیستم از بیرون
فیشینگ (از طرف یک سازمان)
سوء استفاده از شبکه بی سیم
سوء استفاده از پیام رسان های اینترنتی توسط خودی ها
سوء استفاده از برنامه های کاربردی وب عمومی
خرابکاری داده ها و شبکه ها

به طور کلی حفاظت از اطلاعات در سازمان ها شامل موارد زیر است:

· مجموعه ای از رایانه های متصل به یکدیگر در یک شبکه.

· تبادل اطلاعات محرمانه در داخل شبکه مطابق دقیق با اتصالات منطقی مجاز

· حفاظت چند سطحی یکپارچه در برابر دسترسی غیرمجاز و نفوذ خارجی

· تنظیم متمرکز دقیق ساختار اتصالات منطقی و کنترل دسترسی در شبکه

· استقلال ساختار منطقی شبکه از انواع کانال های انتقال اطلاعات.

· ذخیره یا پردازش اطلاعات محرمانه در سیستمی که برای این منظور در نظر گرفته نشده است.

· سایر موارد نقض قوانین و رویه های امنیت شبکه داخلی.

چندین راه برای افشای اطلاعات محرمانه وجود دارد:

o سرور پست الکترونیکی (ایمیل)؛

o وب سرور (سیستم های پست باز)؛

o چاپگر (چاپ اسناد)؛

o FDD، CD، درایو USB (کپی کردن در رسانه).

قبل از اینکه به محاسبات تحلیلی بپردازیم، لازم است به این سوال پاسخ دهیم که چه چیزی تهدید داخلی نامیده می شود. اهمیت این تعریف با این واقعیت افزایش می یابد که خرابکاری تنها بخشی از تهدیدات داخلی است؛ باید بین خرابکاران و برای مثال، خودی هایی که اطلاعات محرمانه را به رقبا "نشت" می کنند، تمایز قائل شد.

یک مطالعه سرویس مخفی ایالات متحده نشان داد که در 98٪ موارد خرابکار یک مرد است. با این حال، این انگیزه ها پیامدهای رویدادهای قبلی هستند که باعث عدم تعادل در کارمند شده است (جدول 2). به گفته تحلیلگران، در بیشتر موارد خرابکاری قبل از وقوع یک حادثه ناخوشایند در محل کار یا مجموعه ای از این گونه حوادث رخ می دهد.

جدول 2 رویدادهای قبل از خرابکاری

منبع CERT

جدول 3 پرتره یک خرابکار معمولی

منبع CERT

من برای یک شرکت نرم افزاری متوسط کار می کردم. من در هنگام دسترسی به سرورهای اصلی از حقوق مدیر برخوردار بودم. فقط برای اینکه ذهنم را بیشتر کنم، به این فکر کردم که چگونه می توان از این دسترسی به طور مخرب استفاده کرد و طرح زیر را ارائه کردم. اول سیستم پشتیبان را هک کنید... دوم یک سال یا بیشتر صبر کنید. سوم، تمام اطلاعات روی سرورها، از جمله نرم افزارهای هک شده برای رمزگذاری/رمزگشایی داده های پشتیبان را پاک کنید. بنابراین، شرکت فقط نسخه های پشتیبان رمزگذاری شده (بدون کلید) خواهد داشت. رابعاً پیشنهاد خرید کلیدهایی که در مرحله اول به دست آمده را به شرکت بدهید. اگر شرکت امتناع کند، سالها کار خود را از دست می دهد. البته این فقط یک طرح فرضی است. من سعی نکردم آن را عملی کنم، بنابراین نمی دانم که نتیجه می داد یا نه...» - فیلیاس کوپیو. «بیشتر متخصصان فناوری اطلاعات که می شناسم، حتی جوانان، به محض شروع کار، یک روت کیت را در سیستم شرکت نصب می کنند. این یک رفلکس است. بچه ها نمی خواهند به کسی آسیب برسانند و برنامه های مخربی انجام نمی دهند، آنها فقط می خواهند به سیستم دسترسی مطمئن داشته باشند تا بتوانند با خیال راحت از خانه یا دانشگاه کار کنند.

ماهیت عمیق روانی عمل خرابکاری اغلب منجر به تهدید یک کارمند ناراضی مافوق یا همکارانش می شود. حتی گاهی اوقات افکار خود را با یکی از همکارانش در میان می گذارد. به عبارت دیگر، نه تنها خرابکار اطلاعاتی در مورد خرابکاری قریب الوقوع دارد. تحلیلگران محاسبه کرده اند که در 31 درصد موارد افراد دیگر اطلاعاتی در مورد نقشه های خرابکار دارند. از این تعداد 64 درصد همکار، 21 درصد دوست، 14 درصد اعضای خانواده و 14 درصد دیگر همدست هستند.

حفاظت از شرکت در برابر تهدیدات داخلی امنیت اطلاعات. امنیت شبکه محلی

شکل 2. نسبت خطر حوادث امنیت اطلاعات داخلی و خارجی

شکل 3. توزیع حوادث بر اساس نوع سازمان

شکل 4. محبوب ترین ابزار امنیت اطلاعات