Įmonės apsauga nuo vidinių grėsmių informacijos saugumui. Vietinio tinklo saugumas

SULAVKO A. E., magistrantas

Sibiro valstybinė automobilių ir greitkelių akademija,

TECHNOLOGIJOS APSAUGOS NUO VIDAUS GRĖSIŲ INFORMACIJOS SAUGUMUI *

Anotacija. Nustatyti esamų apsaugos nuo vidinių grėsmių informacijos saugumui priemonių trūkumai. Aprašomi šiuolaikinėse apsaugos sistemose taikomi konfidencialios informacijos atpažinimo informacijos sraute būdai ir jų efektyvumas bei pagrindiniai tokioms sistemoms keliami reikalavimai. Nubrėžiamos galimos ateities tyrimų kryptys, siekiant pagerinti kovos su vidaus grėsmėmis priemonių efektyvumą.

Raktiniai žodžiai: informacijos saugumas, vidinės grėsmės, turinio analizė, konteksto filtravimas, apsauga nuo konfidencialios informacijos nutekėjimo.

Įvadas.Šiandien didžiausią grėsmę informacijos saugumui (toliau – informacijos saugumas) kelia vidiniai užpuolikai. Ši grėsmė kasmet didėja. Laikai, kai įmonių vadovai bijojo įsilaužėlių ir virusų atakų, jau praeitis. Žinoma, šios klasės grėsmės vis dar kelia didelį pavojų, tačiau įmonės labiausiai nerimauja dėl įmonės informacijos ir asmens duomenų praradimo ir nutekėjimo. Tai liudija beveik visų informacijos saugumo srities tyrimų, atliekamų pagal įvairius projektus, rezultatai (1, 2 pav.).

1 pav. Pavojingiausios kibernetinio saugumo grėsmės respondentų nuomone

* Darbas atliktas pagal programą „Inovatyvios Rusijos mokslinis ir mokslinis-pedagoginis personalas metų metus“, 2009 m. liepos 22 d. sutarties Nr. P215.

Remiantis Rusijos bendrovės „Perimetrix“ analitikos centro atlikto tyrimo „VIDIAI GRĖSMĖS RUSIJA '09“ (1 pav.) rezultatais, akivaizdu, kad grėsmės, kylančios iš įmonės vidaus, iš viso suteikia aukštesnį pavojingumo įvertinimą. nei iš išorės sklindančios grėsmės.

2 pav. Vidaus ir išorės informacijos saugumo incidentų pavojaus santykis

Tokia situacija pastebima ne tik Rusijoje. Pagal technines ataskaitas INFORMACIJOS SAUGUMO PAŽEIDIMŲ TYRIMAS 2006 ir 2008 m., vidiniai incidentai taip pat vyrauja prieš išorinius. Pastaraisiais metais labai išaugo smulkaus ir vidutinio verslo atstovų vidinių incidentų baimė (2 pav.). Dėl nutekėjimų kenčia ne tik verslo atstovai, bet ir vyriausybinės agentūros visame pasaulyje. Tai liudija pasaulinio InfoWatch tyrimo rezultatai (3 pav.).

3 pav. Incidentų pasiskirstymas pagal organizacijos tipus

Iš pateiktos medžiagos matyti, kad šiandien kovos su vidinėmis grėsmėmis klausimas yra aktualesnis nei kovos su išorinėmis grėsmėmis. Pažymėtina, kad šiandien pati pavojingiausia grėsmė yra konfidencialių duomenų nutekėjimas (1 pav.).

Kovos su vidinėmis grėsmėmis priemonės ir metodai. Norint efektyviai kovoti su viešai neatskleista grėsme, būtina nustatyti esamų saugumo priemonių trūkumus šioje srityje. Yra keletas vidaus apsaugos sistemų tipų.

Stebėsenos ir audito sistemos yra gera priemonė tiriant incidentus. Šiuolaikinės audito sistemos leidžia fiksuoti beveik bet kokius vartotojo veiksmus. Šių sistemų trūkumas yra nesugebėjimas išvengti nutekėjimo, nes tam reikalinga reagavimo į įvykius ir sprendimų priėmimo sistema, kuri atpažįsta, kuri veiksmų seka kelia grėsmę, o kuri ne. Juk jei į pažeidimą nereaguojama iš karto, įvykio pasekmių išvengti nepavyks.

Stiprios autentifikavimo sistemos apsaugoti nuo neteisėtos prieigos prie duomenų. Jie yra pagrįsti dviejų ar trijų veiksnių autentifikavimo procesu, dėl kurio vartotojui gali būti suteikta prieiga prie prašomų išteklių. Tokios priemonės gali apsaugoti informaciją nuo „nesupratusio“ darbuotojo, bet ne nuo viešai neatskleisto asmens, kuris jau turi prieigą prie saugomos informacijos.

Medijos šifravimo įrankiai.Šios klasės programos apsaugos nuo informacijos nutekėjimo pametus laikmeną ar nešiojamąjį kompiuterį. Tačiau jei viešai neatskleista informacija perduoda laikmeną kartu su raktu, kuriuo informacija yra užšifruota, kitai šaliai, šis apsaugos būdas bus nenaudingas.

Nuotėkio aptikimo ir prevencijos sistemos (Duomenys Nuotėkis Prevencija, DLP ). Šios sistemos taip pat vadinamos sistemos, skirtos apsaugoti konfidencialius duomenis nuo vidinių grėsmių(toliau – apsaugos nuo nuotėkio sistemos). Šios sistemos realiu laiku stebi duomenų nutekėjimo kanalus. Egzistuoja kompleksiniai (apimanti daug nuotėkio kanalų) ir tiksliniai (apimanti konkretų nuotėkio kanalą) sprendimai. Šios sistemos naudoja aktyvias technologijas, kurių dėka ne tik registruoja informacijos saugumo pažeidimo faktą, bet ir užkerta kelią pačiam informacijos nutekėjimui. Žinoma, tokios kontrolės kokybė tiesiogiai priklauso nuo sistemos gebėjimo atskirti konfidencialią informaciją nuo nekonfidencialios, t.y. nuo naudojamų turinio ar konteksto filtravimo algoritmų. Dauguma šiuolaikinių apsaugos nuo nutekėjimo sistemų turi laikmenų ir failų šifravimo funkcijas (tokios sistemos taip pat vadinamos Informacijos apsauga ir kontrolė (IPC)). Jie gali naudoti saugią duomenų saugyklą, ypač kriptovaliutų talpyklas, kurios, kai pasiekiate failą, atsižvelgia ne tik į šifravimo raktą, bet ir į įvairius veiksnius, tokius kaip vartotojo prieigos lygis ir kt.

Vidinės grėsmių apsaugos sistemos šiandien yra vienintelis sprendimas, leidžiantis išvengti nutekėjimų realiu laiku, kontroliuojant vartotojų veiksmus ir su failais atliekamus procesus bei gebant atpažinti konfidencialią informaciją informacijos sraute. Norint nustatyti tokios sistemos teikiamos apsaugos pažeidžiamumą, reikia atidžiau pasidomėti jų pagrindinėmis funkcijomis ir galimybėmis, taip pat šių sistemų naudojamais turinio/konteksto filtravimo diegimo metodais.

Visi esami konfidencialios informacijos atpažinimo metodai yra bendrai pagrįsti kelių iš esmės skirtingų požiūrių sinteze.

Ieškokite parašų. Paprasčiausias turinio filtravimo būdas – duomenų sraute ieškoti tam tikros simbolių sekos. Kartais draudžiama simbolių seka vadinama „stabdymo žodžiu“. Ši technika tinka tik tiksliam aptikimui ir yra lengvai pasiekiama tiesiog pakeičiant simbolius analizuojamame tekste.

Ieškokite reguliarių reiškinių (maskavimo metodas). Naudojant tam tikrą įprastų posakių kalbą, apibrėžiama „kaukė“ – duomenų struktūra, kuri laikoma konfidencialia. Dažniausiai šis metodas naudojamas asmens duomenims (TIN, sąskaitų numeriams, dokumentams ir kt.) nustatyti. Metodo trūkumas yra tai, kad yra daug klaidingų teigiamų rezultatų; metodas taip pat visiškai netaikomas nestruktūruotos informacijos analizei.

Skaitmeninis pirštų atspaudų ėmimo metodas.„Piršto atspaudas“ paimamas iš nuorodos informacijos naudojant maišos funkciją. Toliau piršto atspaudas lyginamas su analizuojamos informacijos fragmentais. Trūkumas yra tas, kad naudojant maišos funkciją, technologija veikia tik tikslioms atitiktims. Egzistuoja algoritmai, leidžiantys nedidelius analizuojamos informacijos pakeitimus, lyginant su nuoroda (ne daugiau 20%-30%). Šiuos algoritmus uždaro apsaugos nuo nuotėkio sistemų kūrėjai.

Apsaugos nuo vidinių grėsmių sistemoms taip pat būdinga daugybė papildomų reikalavimų (priklausomybės apsaugos nuo nuotėkio sistemoms kriterijų). Pagrindinius šios klasės apsaugos sistemų reikalavimus iškėlė tyrimų agentūra „Forrester Research“:

 daugiakanalis(galimybė stebėti kelis duomenų nutekėjimo kanalus);

 vieningą valdymą(vieningų informacijos saugumo politikos valdymo įrankių prieinamumas, galimybė analizuoti įvykius visuose stebėjimo kanaluose, kuriant detalias ataskaitas);

 aktyvi apsauga(sistema turi ne tik aptikti, bet ir užkirsti kelią informacijos saugumo pažeidimams);

 turinio ir kontekstinės analizės derinys(šiuo atveju kontekstinė analizė, be žymų, turėtų apimti vartotojo ir programos veiklos analizę).

Kaip matote, pateikti reikalavimai neapima tikrinimo, kas konkrečiu momentu dirba einamojoje sąskaitoje.

Šiandien yra gana daug apsaugos nuo nuotėkio sistemų ir gaminių, panašių į jas. Kai kurių sprendimų (nutarta paimti 10 populiariausių) pagrindinės charakteristikos ir funkcijos pateiktos 1 lentelėje.

Rinkoje esančios apsaugos nuo nuotėkio sistemos neturi galimybės identifikuoti vartotojo pagal „įprastą darbo sistemoje portretą“. Esami sprendimai neleidžia nustatyti, kas iš tikrųjų yra prie kompiuterio. Norėdami tai padaryti, būtina naudoti vaizdo stebėjimą, o tai ne visada įmanoma praktiškai.

Pirmosiose apsaugos nuo nuotėkio sistemose daugiausia buvo naudojami turinio filtravimo metodai. Tačiau jų efektyvumas pasirodė mažas, nes praktiškai tokie metodai sukuria gana didelę pirmojo ir antrojo tipų klaidų procentą. „Gartner“ teigimu, 2007 m. Hype Cycle of Information Security ataskaitoje maksimalus bet kokių esamų turinio filtravimo metodų patikimumas siekia 80 proc., o pastaraisiais metais tokių algoritmų efektyvumo didinimo krypties reikšmingų pokyčių nebuvo. Taigi, maksimali teisingo konfidencialios informacijos atpažinimo tikimybė naudojant turinio filtravimo algoritmus informacijos sraute (dokumente, faile, sraute ir pan.) šiandien neviršija 0,8. Ir šią tikimybę galima pasiekti naudojant visus išvardintus turinio analizės metodus (reguliariuosius posakius, parašus, kalbinius metodus ir kt.). Šis rodiklis yra žemas (daug žemesnis už kūrėjo deklaruojamas charakteristikas) ir neatitinka informacijos saugumo reikalavimų.

1 lentelė. Pagrindinės apsaugos nuo vidinių grėsmių sistemų funkcijos

vardas produktas	turinys filtravimas	kontekstinis filtravimas (tai reiškia konteineris - galutinė analizė)		Šifravimas	Kriterijai kanalizacija, suvienijimas kraustėsi valdymas, aktyvus apsauga,
Eismo monitorius +	parašai, morfologija			apsaugotas konteineriai
	morfologija, skaitmeninis spaudiniai		ontologijos	konteineriai
	skaitmeninis spaudiniai
	parašai, skaitmeninis spaudiniai			integruotas šifravimas
	parašai, skaitmeninis spaudiniai			integruotas šifravimas
	parašai, skaitmeninis spaudiniai			integruotas šifravimas
Informacinės sistemos SMAP ir SKVT Reaktyvinis laikrodis	parašai, reguliarus posakius

Antros kartos apsaugos nuo nuotėkio sistemose naudojama konteinerių analizė. Šis metodas reiškia nedviprasmišką konfidencialios informacijos identifikavimą sraute pagal failo atributą (etiketę). Tačiau, nepaisant akivaizdaus determinizmo, tokia sistema priims teisingą sprendimą, jei ji teisingai suskirstys duomenis į kategorijas, ką ji anksčiau atliko naudodama esamus metodus. Bet visi egzistuojantys kategorizavimo metodai (tikimybiniai, kalbiniai ir kt.) taip pat yra pagrįsti turinio filtravimo (turinio analizės) metodais, kurie, kaip minėta aukščiau, toli gražu nėra tobuli. Būtina numatyti ir plėtoti etikečių klijavimo ant naujų ir gaunamų dokumentų procedūras, taip pat informacijos perkėlimo iš pažymėto konteinerio į nežymėtą sistemą ir etikečių klijavimo sistemą kuriant failus nuo nulio. Visa tai yra labai sudėtinga užduotis, taip pat priklauso nuo turinio analizės užduoties. Kaip matote, deterministinio filtravimo sąvoka negali būti naudojama atskirai nuo turinio filtravimo, o turinio filtravimo metodai negali būti pašalinti net teoriškai.

Naujos kartos apsaugos nuo nuotėkio sistemos (IAS RSKD, informacinės ir analitinės sistemos, skirtos konfidencialių duomenų paslapčiai) žada atsikratyti turinio ir kontekstinių metodų trūkumų, kiekvieną iš jų naudojant tuo atveju, kai tai yra efektyviausia. Tačiau dviejų netobulų ir priklausomų technologijų derinys negali pasiekti reikšmingo patobulinimo.

Išvada. Apibendrinant aukščiau pateiktą informaciją, galime daryti išvadą, kad nepaisant daugybės turimų konfidencialios informacijos identifikavimo algoritmų, visi jie nėra veiksmingi. Vidinių grėsmių problemos aktualizavimą lemia organizacijų pažeidžiamumas joms ir efektyvaus kovos su jomis sprendimo nebuvimas. Beveik visos įmonės naudoja programinės ir/ar techninės įrangos apsaugos priemones, skirtas kovoti su išorinėmis grėsmėmis (antivirusais, ugniasienėmis, IDS ir kt.) ir gana efektyviai su jomis kovoti. Kalbant apie apsaugos nuo vidinių grėsmių priemones (apsaugos nuo nuotėkio sistemas), jomis naudojasi tik labai maža dalis įmonių (4 pav.), nors šių priemonių poreikis objektyviai egzistuoja. Informacijos saugumo rinka dar negali pasiūlyti pilno sprendimo efektyviai įmonės informacijos apsaugai, o esami sprendimai neužtikrina pakankamo apsaugos lygio, o jų kaina yra didelė (1000 kompiuterių licencija kainuoja maždaug 100 – 500 tūkst. USD).

4 pav. Populiariausios informacijos saugos priemonės

Būtina tobulinti turinio filtravimo technologijas, kuriant naujus konfidencialios informacijos identifikavimo metodus, konceptualiai keičiant jos atpažinimo metodus. Patartina atpažinti ne tik semantinį teksto turinį, bet ir jo autorystę. Nustačius teksto autorių (kai šis tekstas kerta organizacijos perimetrą), kurį įvedė vartotojas ir kuriame yra konfidencialios informacijos, atsiranda galimybė identifikuoti užpuoliką. Šis metodas gali būti įgyvendintas naudojant turinio analizės metodus kartu su biometriniais metodais, skirtais vartotojo identifikavimui pagal klaviatūros rašyseną. Atsižvelgus ne tik į statines teksto charakteristikas (prasmę), bet ir į teksto įvedimo dinamiką, atsiranda galimybė su didele tikimybe identifikuoti teksto autorių.

Klientų ir darbuotojų asmens duomenys, komercinės paslaptys, susirašinėjimas ir daug daugiau yra verslui svarbiausia informacija, kurios prieiga ir naudojimas turi būti griežtai reglamentuotas įmonės viduje. Deja, niekas nėra apsaugotas nuo sukčiavimo, slaptų susitarimų, gamybos įrenginių naudojimo asmeniniais tikslais ir pramoninio šnipinėjimo. Su vidaus informacijos apsauga susiję klausimai turėtų apimti tiek dokumentacijos, reguliavimo procedūrų kūrimą, tiek techninių apsaugos priemonių įgyvendinimą. Ši InfoWatch sukurta programa supažindins studentus su pagrindinėmis veiklos sritimis, užtikrinančiomis įmonės informacijos apsaugą nuo vidinių grėsmių, šią veiklą reglamentuojančią norminę bazę, informacijos apsaugos uždavinius, priemones, technologijas ir jų panaudojimo būdus šiems tikslams pasiekti. . Programa vykdoma naudojant įmonės technologijas tam įrengtoje laboratorijoje.

Pamokos režimas Užsiėmimai pirmadieniais (19:00-22:00) ir trečiadieniais (19:00-22:00)
Išduotas dokumentas Pažangaus mokymo pažymėjimas
Įgyvendinimo padalinys
Treniruočių kryptis
Klasės vieta Maskva, Šv. Tallinskaya 34 ir InfoWatch biuras

Priėmimas

Tikslinė grupė

Priėmimo dokumentai

Paso arba jį pakeičiančio dokumento originalas ir kopija

Išsilavinimą ir kvalifikaciją patvirtinančio dokumento arba išsilavinimą įgijusiems asmenims pažymėjimo originalas ir kopija

Dokumento apie pavardės, vardo, patronimo pakeitimą originalas ir kopija (jei reikia)

1. Įmonių apsaugos nuo vidinių grėsmių teoriniai pagrindai. Informacija ir informacijos srautai. Vidinės ir išorinės informacijos saugumo grėsmės. Informacijos saugumo grėsmių modeliai. Įmonės informacijos saugumo pažeidėjų klasifikacija. Žalos vertinimo ypatumai.

2. Įmonių apsaugos nuo vidinių grėsmių reguliavimo ir teisiniai aspektai. DLP sistemos ir informacijos saugumo reikalavimai. Informacijos skirstymas į kategorijas Rusijos Federacijoje. DLP sistemų naudojimo teisiniai klausimai: asmeninės ir šeimos paslaptys; bendravimo paslaptis; specialios techninės priemonės. Priemonės, užtikrinančios DLP teisinį galiojimą (Pre-DLP). Teisės naudojimo praktikos, tiriant incidentus, susijusius su vidinės informacijos saugumo režimo (Post-DLP) pažeidimais, apžvalga.

3. Administraciniai ir organizaciniai įmonių apsaugos nuo vidinių grėsmių aspektai. IS audito procesų ir procedūrų formavimas. Įmonės informacinių sistemų tyrimas. Įmonės informacijos būklė. Įrankiai ir technologijos, užtikrinančios įmonės apsaugą nuo vidinių grėsmių. Projekto efektyvumo kriterijai, užtikrinantys įmonės apsaugą nuo vidinių grėsmių. Kliūtys įgyvendinant projektus, užtikrinančius įmonės apsaugą nuo vidinių grėsmių.

4. Įmonės informacijos apsauga naudojant automatizuotą informacijos srautų valdymo sistemą. IW Traffic monitoriaus (IW TM) sistemos paskirtis. Valdomi duomenų perdavimo kanalai. IW TM produkto architektūra. Aptiktų objektų analizės technologijos. IW Device monitor (IW DM) ir IW Crawler sistemos papildomų modulių užduotys ir veikimo principai.

Mokytojai

Andrejus Zarubinas

InfoWatch JSC, MBA, SixSigma Black Belt mokymo ir paslaugų kokybės kontrolės skyriaus vadovas.

Ne paslaptis, kad vidutiniškai 82% grėsmių įmonių informaciniams ištekliams kyla dėl pačių darbuotojų veiksmų, padarytų dėl neatsargumo arba tyčia. Ekspertų teigimu, vidinių grėsmių pavojus auga ir vis dar yra viena iš opiausių problemų. Didelės konkurencijos sąlygomis duomenų konfidencialumo užtikrinimas yra ypač aktualus. Klaidingai išsiųstame el. laiške, ICQ žinutėje ar išspausdintame dokumente gali būti konfidencialios informacijos, kuri nėra skirta pašaliniams asmenims. Komercinės ar tarnybos paslaptys, klientų, partnerių ar darbuotojų asmens duomenys, taip pat kitokio pobūdžio saugoma informacija gali patekti į trečiųjų asmenų rankas ir padaryti nepataisomą žalą verslui. Būtina laiku imtis priemonių, kad būtų išvengta rizikos, susijusios su konfidencialios informacijos nutekėjimu.

Jūsų verslui gali kilti įvairių pavojų, įskaitant:

Finansinė rizika
Konfidencialių duomenų nutekėjimo pasekmė gali būti situacija, kai komercinė paslaptis tampa žinoma trečiosioms šalims. Tokiai informacijai patekus į konkurentų rankas, yra didelė finansinių nuostolių tikimybė, dažnai privedanti prie įmonės bankroto.
Teisinė rizika
Nekontroliuojamas konfidencialaus dokumento išleidimas už įmonės tinklo ribų gali būti reguliavimo institucijų dėmesio objektas. Ieškiniai ir baudos už asmens duomenų ir kitokio pobūdžio konfidencialios informacijos apsaugą reglamentuojančių įstatymų pažeidimus nėra neįprasti.
Reputacijos rizika
Konfidencialių duomenų nutekėjimas gali sulaukti plataus žiniasklaidos dėmesio ir sugriauti įmonės įvaizdį jos klientų ir partnerių akyse, o tai padaryti rimtą finansinę žalą.

Siekiant užtikrinti apsaugą nuo konfidencialios informacijos nutekėjimo, bet kuri įmonė turi turėti DLP sistemą.

DLP sistemos (iš anglų kalbos duomenų praradimo prevencijos) yra programinė įranga arba aparatinė įranga ir programinė įranga, skirta apsaugoti nuo nutekėjimo per tinklą ir vietinius kanalus. Perduoti duomenys yra analizuojami dėl jų konfidencialumo ir paskirstomi į tam tikras kategorijas (viešoji informacija, asmens duomenys, komercinės paslaptys, intelektinė nuosavybė ir kt.). Jei informacijos sraute aptinkami konfidencialūs duomenys, DLP sistema atlieka vieną iš šių veiksmų: leidžia juos perduoti, blokuoja arba dviprasmiškais atvejais siunčia papildomai patikrinti saugos specialistui. DLP sistemos apima platų ryšio kanalų spektrą, leidžiantį stebėti el. paštą, momentinių pranešimų paslaugas ir kitą interneto srautą, spausdintuvus, Bluetooth įrenginius, USB įrenginius ir kitas išorines laikmenas.

Esamos DLP sistemos skiriasi savo funkcionalumu. Pirma, DLP sistemos gali būti aktyvios (aptikti ir blokuoti duomenų nutekėjimą) arba pasyvios (aptikti duomenų nutekėjimą ir siųsti įspėjimą apie incidentą). Šiuo metu daugiausia dėmesio skiriama aktyvioms DLP sistemoms, kurių pagrindinė užduotis yra užkirsti kelią duomenų nutekėjimui realiu laiku, o ne aptikti jį po to. Tokioms DLP sistemoms galima pasirinktinai sukonfigūruoti stebėjimo režimą, leidžiantį netrukdyti verslo procesams ir nusiųsti pranešimą apie incidentą saugos specialistui. Antra, DLP sistemos gali išspręsti daugybę papildomų užduočių, susijusių su darbuotojų veiksmų, jų darbo laiko ir įmonės išteklių naudojimo stebėjimu.

Reikšmingas DLP sistemų pranašumas yra tas, kad jos leidžia išlaikyti verslo procesų tęstinumą, praktiškai nedarant įtakos galutinių vartotojų darbui. Visų aukščiau išvardintų galimybių dėka DLP sistemos šiuo metu yra vienas populiariausių sprendimų, užtikrinančių verslo informacijos saugumą.

Teisingas DLP sistemos įdiegimas ir konfigūravimas yra atskira sudėtinga problema. Be kompetentingų konsultacijų to padaryti neįmanoma. Įmonės „Infozashchita“ aukštos kvalifikacijos specialistai padės išsirinkti sprendimą, atitinkantį jūsų įmonės specifiką.

Šiuolaikinė DLP rinka yra viena sparčiausiai augančių, o tai akivaizdžiai rodo didelę tokių apsaugos sistemų paklausą. DLP sprendimų kūrėjai nuolat kuria ir tobulina naujas efektyvias technologijas kovai su duomenų nutekėjimu.

„Infozashchita“ įmonė yra pasirengusi pasiūlyti jums platų pažangių sprendimų pasirinkimą iš pirmaujančių kūrėjų, skirtų apsisaugoti nuo vidinių grėsmių.

„Apsauga nuo vidinių grėsmių ryšių įmonėse“

Įvadas

1. Labiausiai žinomi incidentai telekomunikacijų srityje

2. Insaideriai

3. Įstatymai apsaugos nuo vidinių grėsmių srityje

3.1.Teisinis ir norminis reguliavimas

3.2.Sertifikavimas pagal tarptautinius standartus

4.Statistinis tyrimas

5. Vidinio nuotėkio prevencijos metodai

Išvada

Naudotos literatūros sąrašas

ĮVADAS

Temos aktualumą lemia tai, kad dėl masinio ryšio paslaugų teikimo pobūdžio telekomunikacijų įmonių duomenų bazėse gali būti kaupiami milijonų ir dešimčių milijonų piliečių įrašai. Būtent jiems reikia rimčiausios apsaugos. Kaip parodė praktika, nepaisydamos nutekėjimo pavojaus, įmonės rizikuoja išleisti šimtus milijonų dolerių viešųjų ryšių kampanijoms, teisinėms išlaidoms ir naujoms klientų asmeninės informacijos apsaugos priemonėms.

Informacijos apsaugos specifika telekomunikacijų įmonėse pasireiškia saugotinų duomenų pobūdžiu. Visa informacija saugoma duomenų bazėse, esančiose operatoriaus IT infrastruktūroje. Vagystė vienu metu kupina kelių neigiamų pasekmių. Pirma, tai gali pakenkti įmonės reputacijai, kuri pasireiškia esamų klientų nutekėjimu ir sunkumais pritraukiant naujų. Antra, įmonė pažeidžia įstatymų reikalavimus, dėl ko gali būti panaikinta licencija, teisinės išlaidos, papildoma žala įvaizdžiui.

Darbo tikslas – ištirti apsaugą nuo vidinių grėsmių ryšių įmonėse.

Darbo tikslai yra šie:

Labiausiai žinomų viešai neatskleistų incidentų telekomunikacijų srityje svarstymas;

Vidinių pažeidėjų analizė;

Apsaugos nuo vidinių grėsmių srities įstatymų studijos: teisinis ir norminis reguliavimas bei sertifikavimas pagal tarptautinius standartus;

Statistinių tyrimų studijos;

Apsvarstykite būdus, kaip išvengti vidinio nuotėkio.

Darbas susideda iš penkių skyrių.

Pirmame skyriuje nagrinėjami žinomiausi telekomunikacijų srities incidentai su viešai neatskleista informacija, antrajame – vidiniai pažeidėjai, trečiame – teisinė bazė apsaugos nuo vidinių grėsmių srityje, ketvirtame – statistiniai tyrimai, o penktajame – vidiniai pažeidėjai. vidinių nuotėkių prevencijos metodai.

Išvadoje pateikiamos tyrimo išvados.

1. Žinomiausi viešai neatskleista informacija

telekomunikacijų srityje

Realūs incidentai aiškiausiai parodo viešai neatskleistos grėsmės rimtumą. Šio pavojaus nepaisymas 2006 metais sukėlė didelį skandalą Jungtinėse Valstijose. Žurnalistai už 90 USD įsigijo buvusio kandidato į JAV prezidentus generolo Wesley Clarko įeinančių ir išeinančių skambučių sąrašą, o Amerikos visuomenė nustebo sužinojusi, kad telefonų įrašai, pirma, visiškai nesaugomi įstatymų ir, antra, yra labai prastai. apsaugotas mobiliojo ryšio operatorių ryšių.

2007 m. sausio mėn naujienų agentūros pranešė apie vieną „neakivaizdų“ nutekėjimą. Internete pasirodė „Corbina Telecom“ mobiliojo ryšio vartotojų duomenų bazė: beveik 40 tūkstančių abonentų vardai, telefonų numeriai, garantiniai mokesčiai, įskaitant kelis aukščiausius įmonės vadovus. Corbinos komentarai klientus tam tikru mastu nuramino. Greičiausiai, prisidengiant nauja duomenų baze, buvo pasiūlyta 4 metų senumo informacija. Tada viešai neatskleistas programuotojas iš tikrųjų paskelbė informaciją apie įmonės abonentus viešai, ir per tą laiką informacija beveik visiškai prarado savo aktualumą.

Į dešimtuką daugiausia dėmesio sulaukusių incidentų buvo Japonijos mobiliojo ryšio operatoriaus KDDI klientų bazės vagystės. Grasindami atskleisti informaciją apie didelį duomenų nutekėjimą, viešai neatskleista informacija iš Japonijos korporacijos KDDI, antros pagal dydį korinio ryšio operatoriaus šalyje, pareikalavo 90 tūkst. Norėdami įrodyti savo grasinimų pagrįstumą, 2006 metų gegužę šantažuotojai KDDI atstovams įteikė kompaktinių diskų ir USB atmintinių su privačiais duomenimis, pasodindami juos į patikros punktą. Tačiau įmonės vadovybė nusikaltėlių reikalavimus ignoravo ir kreipėsi į teisėsaugos institucijas. Dvi savaites policija stebėjo šantažuotojų ir KDDI derybas, o vėliau įtariamuosius sulaikė. Tyrimas parodė, kad privačios informacijos apie 4 milijonus KDDI klientų duomenų bazė iš tikrųjų pateko į šantažuotojų rankas. Kiekviename duomenų bazės įraše buvo kiekvieno kliento vardas, pavardė, lytis, gimimo data, telefono numeriai ir pašto adresai. Visi šie duomenys idealiai tinka tapatybės vagystei. Aukščiausia vadovybė įsitikinusi, kad vienas iš darbuotojų sąmoningai nukopijavo informaciją ir išnešė ją už įmonės ribų.

Iš viso prie pavogtų duomenų turėjo prieigą daugiau nei 200 darbuotojų.

Ne mažiau didelio atgarsio sulaukęs incidentas įvyko arčiau Rusijos: Baltarusijos mobiliojo ryšio operatoriaus „Velcom“ duomenų bazės nutekėjimas. Žurnalistai įsigijo tekstinį failą su informacija apie 2 milijonų jo prenumeratorių telefonų numerius ir vardus. Kartu spauda pažymi, kad „Velcom“ duomenų bazės nuolat tampa viešai žinomos: nuo 2002 m. buvo išleistos mažiausiai šešios versijos, kiekvieną kartą informacija buvo papildoma. Tuo tarpu Baltarusijos internete vis dar trūksta MTS duomenų bazių. Susidūręs su kritikos banga, „Velcom“ pareiškė, kad Baltarusijos įstatymai neapsaugo piliečių asmens duomenų, o tai reiškia, kad „Velcom“ negali būti jokių teisinių pretenzijų. Dėl nutekėjimo operatorius kaltino banką, į kurį buvo perkelta klientų duomenų bazė, „kad [banko] darbuotojai galėtų patikrinti nurodytų duomenų teisingumą atsiskaitydami už ryšio paslaugas“. Po to „Velcom“ „svarsto galimybę pateikti ieškinį, kad apsaugotų savo verslo reputaciją“. Laikas parodys, prie ko baigsis procesas, tačiau kol kas viešai neatskleista informacija pernelyg dažnai vengia atsakomybės.

2006 m. spalio mėn. Indijos telekomunikacijų bendrovės „AcmeTelePower“ viešai neatskleista informacija pavogė naujoviškų patobulinimų rezultatus ir perdavė juos konkurentui „LamdaPrivateLimited“. „Ernst & Young“ skaičiavimais, „Acme“ tiesioginiai finansiniai nuostoliai siekė 116 mln. Po to „AcmeTelePower“ planuoja savo verslą iš Indijos perkelti į Australiją.

2. vidaus pažeidėjai

Daugelis organizacijų atliko tyrimus vidinių nutekėjimų srityje. Didžiausi ir žinomiausi yra Ponemon instituto atlikti duomenų pažeidimo aptikimo neapibrėžtumo tyrimai; Vakarų analitikų tyrimai: CSI/FBIComputerCrimeandSecuritySurvey. 1 lentelėje parodytas vienas toks tyrimas.

Lentelė 1. Pavojingiausios kibernetinio saugumo grėsmės pagal bendrą žalą doleriais

Grasinimai	Žala (doleriais)
Virusai	$ 15 691 460
Nepatvirtintas prisijungimas	$ 10 617 000
Nešiojamojo kompiuterio vagystė	$ 6 642 560
Informacijos nutekėjimas	$ 6 034 000
Paslaugų atsisakymas	$ 2 992 010
Finansinis sukčiavimas	$ 2 556 900
Piktnaudžiavimas tinklu arba el. paštu viešai neatskleista informacija	$ 1 849 810
Telekomunikacijų sukčiavimas	$ 1 262 410
Zombių tinklai organizacijoje	$ 923 700
Įsilaužimas į sistemą iš išorės	$ 758 000
Sukčiavimas (organizacijos vardu)	$ 647 510
Piktnaudžiavimas belaidžiu tinklu	$ 469 010
Viešai neatskleista asmenų piktnaudžiavimas interneto pasiuntiniais	$ 291 510
Piktnaudžiavimas viešosiomis žiniatinklio programomis	$ 269 500
Duomenų ir tinklų sabotažas	$ 260 00

Belieka tik pridurti, kad FTB ir Kompiuterių saugumo instituto analitikai savo komentaruose dėl žalos dydžio skeptiškai vertina tai, kad respondentams pavyko daugiau ar mažiau tiksliai nustatyti žalos dydį dėl asmens duomenų ar komercinių paslapčių nutekėjimo. Tokie incidentai turi daug ilgalaikių neigiamų pasekmių. Pavyzdžiui, visuomenės nuomonės pablogėjimas, reputacijos smukimas ir klientų bazės sumažėjimas. Visa tai vyksta palaipsniui ir trunka savaites ir mėnesius. O nuostoliams nustatyti dėl nutekėjimo prarasto pelno forma prireikia mažiausiai metų. Taigi vidinė finansinių nuostolių dėl informacijos saugumo grėsmių struktūra negali būti tiksliai nustatyta.

Apskritai informacijos apsauga organizacijose apima:

· kompiuterių, sujungtų tarpusavyje tinkle, rinkinys;

· ryšių kanalai, realizuoti savavališkais informacijos perdavimo kanalais, kuriais fiziškai realizuojamas loginių ryšių tinklas;

· keitimasis konfidencialia informacija tinkle griežtai laikantis leistinų loginių ryšių

· integruota kelių lygių apsauga nuo neteisėtos prieigos ir išorinio poveikio

· griežtas centralizuotas loginių jungčių struktūros ir prieigos kontrolės nustatymas tinkle

· tinklo loginės struktūros nepriklausomumas nuo informacijos perdavimo kanalų tipų.

Daugelis įmonių jau seniai sukūrė apsaugą nuo išorinių grėsmių, o dabar joms reikia apsaugoti savo užpakalį. Tarp vidinių grėsmių yra keli dažniausiai pasitaikantys žalos padarymo būdai:

· konfidencialios informacijos saugojimas ar apdorojimas tam neskirtoje sistemoje;

· bandymai be leidimo apeiti ar pažeisti saugumo ar audito sistemas (išskyrus saugumo testavimo ar panašių tyrimų kontekstą);

· kiti vidaus tinklo saugumo taisyklių ir procedūrų pažeidimai.

Yra keletas būdų, kaip nutekėti konfidencialią informaciją:

o pašto serveris (el. paštas);

o žiniatinklio serveris (atviros pašto sistemos);

o spausdintuvas (spausdinant dokumentus);

o FDD, CD, USB diskas (kopijavimas į laikmeną).

Prieš pereinant prie analitinių skaičiavimų, būtina atsakyti į klausimą, kas vadinama vidine grėsme. Šio apibrėžimo svarbą dar labiau padidina tai, kad sabotažas yra tik dalis vidinių grėsmių, reikėtų atskirti diversantus ir, pavyzdžiui, viešai neatskleistus asmenis, kurie „nutekina“ konfidencialią informaciją konkurentams.

Korporatyvinis sabotažas – tai žalingi įmonei veiksmai, kuriuos daro viešai neatskleista informacija dėl sužeisto išdidumo, keršto troškimo, įniršio ir kitų emocinių priežasčių. Atkreipkite dėmesį, kad talpi sąvoka „saviškiai“ reiškia buvusius ir esamus įmonės darbuotojus, taip pat samdomus darbuotojus.

Įmonių sabotažas visada vykdomas dėl emocinių, kartais neracionalių priežasčių. Sabotuotojo niekada nevairuoja noras užsidirbti pinigų ar siekti finansinės naudos. Tiesą sakant, tuo sabotažas skiriasi nuo kitų viešai neatskleistų grėsmių.

JAV slaptosios tarnybos tyrimas atskleidė, kad 98% atvejų diversantas yra vyras, tačiau šie motyvai yra ankstesnių įvykių, sukėlusių nerimą darbuotoją, pasekmės (2 lentelė). Anot analitikų, daugeliu atvejų prieš sabotažą įvyksta nemalonus incidentas darbe arba tokių incidentų serija.

Lentelė 2 Įvykiai prieš sabotažą

Šaltinis CE RT

Daugelis diversantų sabotažo metu jau yra buvę nukentėjusios įmonės darbuotojai, dėl tam tikrų priežasčių (greičiausiai administratoriaus neapsižiūrėjimo) pasilikę prieigą prie jos informacinių išteklių. Atminkite, kad tai yra beveik pusė visų atvejų.

Kaip parodė CERT tyrimas, beveik visi įmonių diversantai yra vienaip ar kitaip su informacinėmis technologijomis susiję specialistai.

Lentelė 3 Tipiško diversanto portretas

Šaltinis CE RT

Taigi iš patikimiausių diversanto požymių galima išskirti tik du: tai vyras, technikos skyriaus darbuotojas. Devynis iš dešimties sabotažų įvykdo vienaip ar kitaip su informacinėmis technologijomis susiję žmonės. Konfidencialios informacijos nuo viešai neatskleistų asmenų apsaugos sistemų kūrėjo „InfoWatch“ ekspertų teigimu, šios profesinės priklausomybės priežastis slypi psichologinėse šių darbuotojų savybėse. Du pavyzdžiai iš gyvenimo leis mums išsamiau suprasti problemą, aiškiausiai iliustruodami tipines IT specialistų charakterio savybes.

„Dirbau vidutinio dydžio programinės įrangos įmonėje. Turėjau administratoriaus teises prisijungdamas prie pagrindinių serverių. Norėdamas pralenkti mintis, pagalvojau, kaip šią prieigą būtų galima panaudoti piktybiškai, ir sugalvojau tokį planą. Pirma, nulaužkite atsarginę sistemą... Antra, palaukite metus ar ilgiau. Trečia, ištrinkite visą informaciją iš serverių, įskaitant įsilaužtą programinę įrangą, skirtą atsarginių duomenų šifravimui / iššifravimui. Taigi įmonė turės tik užšifruotas atsargines kopijas (be rakto). Ketvirta, pasiūlykite įmonei įsigyti raktus, kurie buvo gauti pirmuoju žingsniu. Jei įmonė atsisakys, ji praras savo darbo metus. Tai, žinoma, tik hipotetinis planas. Nebandžiau to įgyvendinti, tad nežinau, ar būtų pavykę, ar ne...“ – Filias Cupio. „Dauguma IT specialistų, kuriuos pažįstu, net ir jaunesnieji, vos pradėję dirbti, įdiegia rootkit į įmonės sistemą. Tai refleksas. Vaikinai nenori niekam pakenkti ir nekuria piktų planų, tiesiog nori patikimos prieigos prie sistemos, kad galėtų saugiai dirbti namuose ar koledže“, – Benas.

Gilus psichologinis sabotažo pobūdis dažnai priverčia nepatenkintą darbuotoją grasinti savo viršininkams ar bendradarbiams, o kartais net dalijasi mintimis su vienu iš savo kolegų. Kitaip tariant, informacijos apie artėjantį diversiją turi ne tik diversantas. Analitikai paskaičiavo, kad 31% atvejų kiti žmonės turi informacijos apie diversantų planus. Iš jų 64 % yra kolegos, 21 % – draugai, 14 % – šeimos nariai, dar 14 % – bendrininkai.

47% atvejų diversantai atlieka parengiamuosius veiksmus (pavyzdžiui, vagia atsargines konfidencialių duomenų kopijas). 27% jie suprojektuoja ir išbando atakos mechanizmą (loginės bombos paruošimas įmonės tinkle, papildomi paslėpti prisijungimai ir kt.). Tuo pačiu metu 37% atvejų galima pastebėti darbuotojų aktyvumą: iš šio skaičiaus 67% parengiamųjų veiksmų pastebimi internete, 11% – neprisijungus, 22% – abu iš karto.

Taip pat reikėtų atsižvelgti į tai, kad didžiąją daugumą atakų diversantai įvykdo ne darbo valandomis ir naudodamiesi nuotoline prieiga prie įmonės tinklo.

3. Įstatymai apsaugos nuo viešai neatskleistos grėsmės srityje

Teisinis ir norminis reguliavimas

Telekomunikacijų sektoriaus specifika (lyginant su kitomis pramonės šakomis) atsispindi ir reguliavimo klausimais. Pirma, šios pramonės įmonės dažnai yra orientuotos į paslaugų teikimą asmenims, todėl savo įmonių tinkle kaupia didžiulius abonentų asmeninių duomenų kiekius. Todėl IT ir informacijos saugumo departamentų vadovybė daug dėmesio skiria federaliniam įstatymui „Dėl asmens duomenų“, kuris nustato daugybę piliečių privačios informacijos saugumo reikalavimų. . Antra, telekomunikacijos neseniai įsigijo savo standartą, pavadintą „Pagrindinis informacijos saugumo lygis telekomunikacijų operatoriams“. Tai minimalus rekomendacijų rinkinys, kurio įgyvendinimas turėtų garantuoti tam tikrą ryšių paslaugų informacijos saugumo lygį, leidžiantį išlaikyti operatorių, vartotojų ir valstybės interesų pusiausvyrą. Šis standartas sukurtas dėl telekomunikacijų pramonės plėtros: telekomunikacijų operatoriai yra priversti sujungti savo tinklus, kad galėtų teikti reikiamą paslaugų rinkinį, tačiau patys operatoriai nežino, su kuo jie turi reikalų ir kuo gali pasitikėti. siekiant išvengti kibernetinio saugumo grėsmių. Kai kurios šio dokumento nuostatos yra tiesiogiai susijusios su vidine informacijos saugumo rizika ir asmens duomenų saugojimo problemomis. Pavyzdžiui, operatoriui rekomenduojama „užtikrinti ryšio paslaugų (sąskaitų išrašymo) valdymo sistemų ir automatizuotų mokėjimo sistemų perduodamos ir (ar) saugomos informacijos, informacijos apie abonentus (asmenų asmens duomenis) ir jiems teikiamų ryšio paslaugų konfidencialumą, kurie tapo žinomi telekomunikacijų operatoriams dėl ryšių paslaugų teikimo sutarčių vykdymo“. Įmonės privalo vesti informacijos saugumo įvykių žurnalus ir saugoti juos laikantis senaties (Rusijoje – 3 metų). Be to, norint filtruoti pirminių įvykių srautą, rekomenduojama naudoti technines įvykių koreliacijos priemones, kurios optimizuoja įrašus informacijos saugos incidentų žurnaluose. Negalime ignoruoti punkto, kuriame rašoma: „Operatoriui, leidusiam prarasti kitų (sąveikaujančių) operatorių abonentų (klientų) duomenų bazes, rekomenduojama kuo skubiau informuoti pastarąjį apie tai. Taigi Rusijos telekomunikacijų sektorius pamažu artėja prie geriausios praktikos – JAV ir ES įmonės jau seniai laikomos atsakingomis už privačių duomenų nutekėjimą ir pagal įstatymą privalo informuoti apie nutekėjimą nukentėjusiems asmenims. Laikui bėgant tokia norma turėtų atsirasti Rusijoje.

Tiesa, teigti, kad telekomunikacijų sektoriuje lemiamą vaidmenį vaidina reguliavimo reguliavimas, dar negalima. Nepaisant to, vadovybė šiandien turėtų pagalvoti apie IT ir informacijos saugumo atitiktį esamiems standartams ir įstatymams, jei priežiūros institucijos pagaliau pradėtų veikti. Be to, didelės telekomunikacijų bendrovės, kurių akcijos kotiruojamos biržose, privalo tenkinti akcijų rinkų reikalavimus. Pavyzdžiui, Rusijoje tai yra neprivalomas FFMS (Federalinė finansų rinkų tarnyba) įmonių elgesio kodeksas, Didžiojoje Britanijoje - Jungtinis įmonių valdymo kodeksas (pusiau privalomas), o JAV - SOX įstatymas (Sarbanesas). – 2002 m. Okslio aktas). Federalinis įstatymas „Dėl asmens duomenų“ ir „Pagrindinis lygis...“ tiesiogiai domina Rusijos telekomunikacijų bendroves.

Federalinis įstatymas „Dėl ryšių“ (46 straipsnio 1 dalis) operatoriui paveda tokias informacijos saugos funkcijas kaip ryšių priemonių, ryšių priemonių ir per jas perduodamos informacijos apsauga nuo neteisėtos prieigos; užtikrinti saugų telekomunikacijų operatoriaus vidinės infrastruktūros darbą.

Šie reikalavimai turi būti diegiami ryšių tinklo funkcionavimo sistemoje, stebėti jų veikimą, palaikyti jų veiklą, rengti ir teikti statistines ataskaitas aukštesnėms institucijoms. Tačiau dėl koordinuojančių reglamentų trūkumo nėra vienodo požiūrio į informacijos saugumą. Nėra bendro požiūrio į IT ir informacijos saugumo skyrių sudėtį. Tai, kaip taisyklė, priklauso nuo operatoriaus atliekamų užduočių apimties, o funkcinės atsakomybės tarp IT ir IS paskirstomos remiantis ankstesne šių padalinių vadovų patirtimi.

Sertifikavimas pagal tarptautinius standartus

Garsiausias pasaulyje sertifikatas yra pagal ISO 27001:2005 standarto reikalavimus. Rusijoje iki šiol šešios įmonės oficialiai sertifikavo savo informacijos saugumo valdymo sistemas (ISMS); keturi iš jų dirba IT sektoriuje. ISO/IEC27001:2005, kurį 2005 m. išleido Britanijos standartų institutas, yra pagrįsta geriausia pasauline praktika. Jame aiškiai apibrėžiami pagrindiniai procesai, kuriuos turi valdyti vadovas, atsakingas už informacijos saugumo užtikrinimą organizacijoje. Pagal šį standartą galutinis informacijos saugos sistemos efektyvumo patvirtinimo etapas yra nepriklausomas auditas, kurį atlieka akredituota sertifikavimo įstaiga. Teigiama tokio organo išvada rodo efektyvų ir teisingą informacijos saugos valdymo procesų užtikrinimą, teigiamą įmonės įvaizdį ir yra įtikinamas argumentas jos vadovybei, kad įmonės informacinėje sistemoje naudojamos modernios informacijos saugumo priemonės maksimaliu lygiu. efektyvumą. Pats patikrinimo procesas, kurį atlieka išorinė sertifikavimo įstaiga, didina vadovybės pasitikėjimą informacijos saugumo departamentais, o tai yra šios tarnybos darbuotojų kokybės ir profesionalumo rodiklis.

Sprendimas diegti ISMS organizacijoje turėtų būti priimtas aukščiausio lygio vadovybėje, geriausia – generalinio direktoriaus. Be vadovybės palaikymo tokie projektai dažnai yra pasmerkti žlugti, o geriausiu atveju – neefektyviam funkcionavimui, kai įmonės darbuotojai nepriima procesų.

1) Polisų reikalavimai apibrėžia ryšių įmonės vidaus procedūromis užfiksuotos (patvirtintos) saugumo politikos poreikį, pagrįstą geriausia rizikos vertinimo ir valdymo praktika, tenkinant verslo veiklos poreikius ir laikantis nacionalinės teisės aktų reikalavimų. Saugumo taisyklės turi būti paskelbtos ir perduotos vežėjų personalui bei išorės suinteresuotosioms šalims (klientams, sąveikaujantiems vežėjams, kitoms suinteresuotoms šalims).

2) Funkcionalumo reikalavimai apibūdina tik esamų sertifikuotų techninių priemonių reikalavimus ir aprašo įvykių registravimo procedūras.

3) Sąveikos reikalavimai apibūdina savo klientų ir kitų operatorių identifikavimo tvarką. Poskyryje nurodomas 24 valandų reagavimo į saugumo incidentus paslaugos poreikis (arba tokios paslaugos naudojimas užsakomųjų paslaugų pagrindu).

Taip pat nustatytas reikalavimas užtikrinti perduodamos ir (ar) saugomos informacijos valdymo sistemoms ir automatizuotoms mokėjimo sistemoms už ryšio paslaugas (atsiskaitymą), informacijos apie abonentus (fizinių asmenų asmens duomenis) ir jiems teikiamas ryšio paslaugas konfidencialumą. Tuo pačiu to reikia laikytis ir tuo atveju, jei ši informacija telekomunikacijų operatoriui tapo žinoma dėl ryšių paslaugų teikimo sutarčių vykdymo.

4. Statistika moksliniai tyrimai

Vienas didžiausių ir įdomiausių darbų apsaugos nuo vidinių grėsmių srityje buvo „InfoWatch“ analitikos centro atliktas 275 telekomunikacijų įmonių tyrimas. Remiantis jo rezultatais, viešai neatskleista rizika vyrauja prieš išorines grėsmes santykiu 6:4. Išanalizuokime šių rizikų struktūrą ir įvairių veiksnių įtaką joms: naudojamas informacijos saugos priemones, reguliavimo reguliavimą ir kt.

Pavojingiausių vidinių grėsmių informacijos saugumui sąraše (4 lentelė) pirmauja informacijos konfidencialumo pažeidimas (85 proc.) ir informacijos iškraipymas (64 proc.). Abi šias grėsmes galima apibendrinti „informacijos nutekėjimo“ sąvoka.

Trečioje ir ketvirtoje pozicijose yra sukčiavimas (49%) ir sabotažas (41%). Įdomu tai, kad visoje pramonės šakoje atliktame tyrime sabotažo grėsmė sukčiavimo riziką viršijo beveik 15%. Matyt, dėl ryšio paslaugų teikimo specifikos sukčiavimas pripažįstamas viena pavojingiausių grėsmių.

Lentelė 4 Pavojingiausios kibernetinio saugumo grėsmės

Administracinis darbas su personalu

„InfoWatch“ ekspertų teigimu, geriausias būdas išvengti įmonių sabotažo yra prevencinės priemonės. Pirmiausia įmonės turi pasitikrinti samdomų darbuotojų rekomendacijas ir ankstesnes darbo vietas.Kitas itin efektyvus būdas – reguliarūs mokymai ar seminarai, kurių metu darbuotojams pateikiama informacija apie IT saugumo grėsmes ir kaip tokį sabotažą. Taikant šį metodą, vadovybė pasikliauja tais darbuotojais, kurie bendrauja su diversantu biure, mato jo nervingą elgesį, sulaukia jiems grasinimų ir pan. Apie tokius incidentus reikia nedelsiant informuoti įgaliotus asmenis.

Kitas metodas apima mažiausios privilegijos principo naudojimą ir aiškų funkcijų atskyrimą. Nuolatiniai biuro darbuotojai neturėtų turėti administracinių įgaliojimų. Taip pat aišku, kad už atsargines kopijas atsakingas asmuo neturėtų turėti galimybės ištrinti pradiniame šaltinyje esančių duomenų. Be to, šis darbuotojas turėtų būti atsakingas už savo vadovų informavimą, jei kitas darbuotojas kėsinasi į atsargines kopijas. Apskritai atsarginių kopijų apsaugos problemą galima išspręsti sukuriant jų dublikatus. Atsižvelgiant į tai, kad įmonė, kaip taisyklė, neturi daug tikrai svarbių duomenų, patartina sukurti keletą atsarginių kopijų.

Efektyvus slaptažodžio ir paskyros valdymas yra labai svarbus.

Geriausia prevencine priemone galima vadinti stebėjimą, ne tik pasyvią (įvykių žurnalai), bet ir aktyvią (sauganti vertingą informaciją). Tokiu atveju realią žalą įmonei galės padaryti tik aukščiausio lygio vadovas, nes kiti darbuotojai, turintys prieigą prie įmonės skaitmeninio turto, tiesiog neturės teisės ištrinti vertingos informacijos. Rinkoje jau yra specializuotų sprendimų, skirtų duomenų apsaugai nuo vidinių grėsmių, įskaitant įmonių sabotažą.

„InfoWatch Enterprise Solution“.

„InfoWatch Enterprise Solution“ (IES) tiekia Rusijos įmonė „InfoWatch“, kuri yra apsaugos nuo viešai neatskleista sistemos kūrėja. Tai leidžia visapusiškai kontroliuoti visus konfidencialios informacijos nutekinimo būdus: pašto kanalą ir interneto srautą, darbo stočių komunikacijos išteklius ir kt. Šiandien IES jau naudojasi vyriausybės (Ekonominės plėtros ministerija, Muitinės tarnyba), telekomunikacijų (VimpelCom) , finansų (Vneshtorgbank ) ir kuro bei energetikos įmonių (HydroOGK, Transneft).

IES architektūrą galima suskirstyti į dvi dalis: monitorius, kurie stebi tinklo srautą, ir monitorius, kurie stebi vartotojo operacijas darbo vietos lygiu. Pirmieji yra įdiegti įmonės tinkle kaip šliuzai ir filtruoja el. pašto bei žiniatinklio srautą, o antrieji yra įdiegti asmeniniuose ir nešiojamuosiuose kompiuteriuose ir stebi operacijas operacinės sistemos lygiu. Tinklo monitoriai IWM ir IMM gali būti įdiegti ir kaip aparatinis įrenginys – InfoWatch Security Appliance. Taigi klientui siūloma pasirinkti programinę arba aparatinę pašto ir interneto srauto filtrų diegimą. Šio metodo pranašumai geriausiai parodomi apsaugant sudėtingą kompiuterių tinklą, apimantį geografiškai paskirstytas šakas.

Darbo stoties lygio monitoriai apima Info-Watch Net Monitor (INM) ir InfoWatch Device Monitor (IDM). INM modulis stebi failų operacijas (skaitymą, keitimą, kopijavimą, spausdinimą ir kt.), kontroliuoja vartotojo darbą Microsoft Office ir Adobe Acrobat programose bei kruopščiai fiksuoja visus veiksmus su konfidencialiais dokumentais.

Visas šis funkcionalumas logiškai papildytas IDM modulio galimybėmis, valdančiomis prieigą prie išimamų diskų, diskų, prievadų (COM, LPT, USB, FireWire), belaidžių tinklų (Wi-Fi, Bluetooth, IrDA) ir kt.

Be to, INM ir IDM komponentai gali veikti nešiojamuosiuose kompiuteriuose, o saugos administratorius turi galimybę nustatyti specialias strategijas, taikomas darbuotojo darbo neprisijungus laikotarpiui. Kai kitą kartą prisijungsite prie įmonės tinklo, monitoriai nedelsdami praneš apsaugos pareigūnui, jei vartotojas, dirbdamas nuotoliniu būdu, bandė pažeisti nustatytas taisykles.

Visi monitoriai, įtraukti į IES, gali blokuoti nuotėkį realiu laiku ir nedelsiant pranešti apie incidentą apsaugos pareigūnui. Sprendimas valdomas per centrinę konsolę, kuri leidžia konfigūruoti įmonės politiką. Taip pat numatyta automatizuota apsaugos pareigūno darbo vieta, kurios pagalba specialus darbuotojas gali greitai ir adekvačiai reaguoti į incidentus. Taigi, visapusiškas IES sprendimas apima visus konfidencialios informacijos apsaugos nuo viešai neatskleistų asmenų aspektus.

Lumigent Entegra ir LogExplorer

Lumigent Entegra ir Log Explorer produktai užtikrina pasyvią duomenų bazėse saugomos informacijos apsaugą. Jie leidžia atlikti duomenų bazių auditą ir atkurti jose esančią informaciją.

„Entegra“ produktas stebi vartotojų aktyvumą dirbant su duomenų bazėmis ir audituoja pačias duomenų bazes. Tai leidžia nustatyti, kas, kada ir kaip peržiūrėjo ar modifikavo duomenų bazės įrašus, taip pat pakeitė struktūrą ar vartotojo teises prie jos prieiti. Verta paminėti, kad produktas negali apsisaugoti nuo kenksmingo poveikio, jis gali tik siųsti informaciją apie šią operaciją registravimui. Log Explorer tvarko perteklinį visų su duomenų baze atliktų operacijų žurnalą, kuris leidžia, iškilus problemoms, analizuoti ir audituoti atliktas operacijas bei atkurti prarastus ar pakeistus įrašus nenaudojant atsarginės kopijos. Tačiau mes tikrai nekalbame apie atkūrimą; „Log Explorer“ leidžia atšaukti operacijas. Taigi šis modulis negali išvengti nutekėjimo, tačiau gali sumažinti sugadintų įrašų riziką.

PC Acme

PC Activity Monitor (Acme) leidžia pasyviai stebėti vartotojo veiklą darbo vietos lygiu. Sprendimas susideda iš dviejų dalių: centralizuoto valdymo įrankio ir kelių agentų, įdiegtų visos organizacijos darbo vietose. Naudodami pirmąjį produkto komponentą, galite centralizuotai paskirstyti agentus visame įmonės tinkle ir tada juos valdyti. Agentai yra programinės įrangos moduliai, labai giliai įterpti į Windows 2000 arba Windows XP. Kūrėjai praneša, kad agentai yra operacinės sistemos branduolyje ir vartotojui beveik neįmanoma jų neteisėtai iš ten pašalinti ar išjungti. Patys agentai kruopščiai registruoja visus vartotojo veiksmus: programų paleidimą, klavišų paspaudimą ir pan. Galima sakyti, kad gautas įvykių žurnalas savo detalumo lygiu primena akylos kompiuterio ekrano vaizdo stebėjimo rezultatus. Tačiau gautas žurnalas natūraliai pateikiamas teksto forma. Centrinė valdymo konsolė leidžia rinkti registruojamus duomenis viename kompiuteryje ir juos ten analizuoti. Tačiau šiame etape gali kilti sunkumų. Pirma, saugos pareigūnas turi rankiniu būdu išanalizuoti šimtus tūkstančių tam tikrų sistemos įvykių įrašų, kad nustatytų tuos, kurie pažeidžia IT saugumo politiką, paskatino nutekėjimą ir pan. Tačiau net jei apsaugos pareigūnui pavyksta aptikti šį faktą. nuotėkio, tada jis vis tiek negalės to išvengti. Taigi, PC Acme tinka pasyviai stebėti visus vartotojo veiksmus darbo vietos lygiu.

„Proofpoint“ pranešimų apsauga

„Proofpoint“ aparatinės įrangos sprendimas leidžia visiškai valdyti el. Naudodami šį įrenginį galite patikrinti, ar pranešimuose nėra virusų ir šiukšlių, užkirsti kelią piktnaudžiavimui el. pašto resursais ir konfidencialios informacijos nutekėjimu el. laiškuose. Apsauga nuo konfidencialių duomenų nutekėjimo pagrįsta turinio filtravimo mechanizmu. Jei perduotame pranešime yra konfidencialios informacijos, gaminys gali blokuoti nuotėkį. Proofpoint yra klasikinis produkto, skirto apsaugoti vieną konkrečią komunikacijos kanalą: el. Toks produktas gali būti naudojamas tais atvejais, kai pagrindinė funkcija yra šiukšlių filtravimas ir virusų aptikimas, o nutekėjimo prevencija yra tik gražus papildymas.

Kaip pagaunami saviškiai

Pergalės prieš saviškius pavyzdį 2006 m. vasario viduryje pademonstravo Rusijos įmonė LETA IT-company. Kompetentingo požiūrio į vidinį IT saugumą bendrovė sugebėjo neutralizuoti viešai neatskleistą asmenį, nuteistą už piktnaudžiavimą tarnybine padėtimi. Vidinis tyrimas parodė, kad vienas iš sąskaitų tvarkytojų bandė derėtis dėl programinės įrangos tiekimo sutarčių ne per savo teisėtą darbdavį, o per jo sukurtą fiktyvią įmonę. Piktnaudžiavimas buvo greitai ir anksti nustatytas naudojant InfoWatch Mail Monitor.

IŠVADA

Taigi JAV ir ES įmonės jau seniai laikomos atsakingomis už privačių duomenų nutekėjimą ir pagal įstatymus privalo pranešti nukentėjusiesiems apie nutekėjimą. Tikimės, kad laikui bėgant tokia norma atsiras Rusijoje. Jau dabar galima pastebėti teigiamas tendencijas. Nuo nutekėjimų apsisaugojusių organizacijų skaičius nuolat auga ir didės.

Organizacijos vis labiau suvokia didėjančią grėsmę savo darbo jėgai, tačiau imasi kelių žingsnių, kad apsisaugotų. Ne visi į savo prioritetinių užduočių sąrašus įtraukė darbuotojų mokymus ir kvalifikacijos kėlimą informacijos saugos srityje, nuolatinį savo IT paslaugų teikėjų darbo vertinimą, siekiant stebėti, kaip jie laikosi informacijos saugumo politikos, pasikliaujant vien pasitikėjimu. Nedaug žmonių šiandien laiko informacijos saugumą kaip valdymo prioritetą.

Organizacijų verslo modeliams tobulėjant link decentralizacijos, kai kurios funkcijos yra deleguojamos išorės rangovams, todėl kontroliuoti jų informacijos saugumą ir įvertinti rizikos lygį tampa vis sunkiau. Įmonės gali deleguoti darbą, bet neturėtų perleisti atsakomybės už saugą.

Nepakankamas vyresniosios vadovybės dėmesys, nereguliarus rizikos vertinimas, taip pat nepakankamas arba visiškas investicijų trūkumas į pastangas sumažinti su žmogiškuoju faktoriumi susijusią riziką (neadekvatus darbuotojų elgesys, apsirikimas, nustatytų taisyklių ar standartų pažeidimas). Pagrindinis dėmesys vis dar skiriamas tik išorinėms grėsmėms, tokioms kaip virusai, o vidinių grėsmių rimtumas neįvertinamas: norima pirkti technologines priemones (ugniasienės, antivirusinė apsauga ir kt.), tačiau nenorima spręsti. personalo saugumo problemos.

Daugelis incidentų, susijusių su darbuotojais, lieka nepastebėti. Tyrimų autorių teigimu, telekomunikacijų įmonės gali ir turėtų keisti požiūrį į informacijos saugumą tik kaip į kaštų elementą verslui: traktuoti tai kaip vieną iš būdų didinti konkurencingumą ir išlaikyti įmonės kaštų potencialą.

Nemažai didelių įmonių galioja įvairūs reglamentai, įpareigojantys saugoti privačią informaciją. Apskritai tikimasi, kad vidaus ir nuotėkio apsaugos sprendimų paklausa stabiliai augs bent jau ateinančius penkerius metus.

NAUDOTOS literatūros sąrašas

1. InfoWatch. Žinios. Kaip sunku nustatyti nutekėjimą - Corbina Telecom. 2007 m

2. Sbiba V.Yu, Kurbatovas V.A. Apsaugos nuo viešai neatskleistų grėsmių informacijos saugumui vadovas. Sankt Peterburgas: Petras, 2008 m.

3. „KNS INFOTEKS“ http://home.tula.net/insider/001b.htm.

4. Zenkin, D. Insiders yra 75 kartus pavojingesni už programišius. C-Naujienos. Analizė. http://www.cnews.ru/reviews/index.shtml?2008/10/22/324142.

5. Pasidalinkite, A. „CitCity“. Ateina saviškiai. http://citcity.ru/14874/

6. InfoWatch: vidinės grėsmės: bendro pavojaus akivaizdoje. http://www.infowatch.ru/threats?chapter=147151398&id=153017335

7. Dalintis, A. Sabotažas korporacinėje aplinkoje. http://www.directum-journal.ru/card.aspx?ContentID=1717301.

8. Pagrindinis telekomunikacijų operatorių informacijos saugumo lygis. [Internete] http://www.ccin.ru/treb_baz_u.doc.

9. Dalintis A. Telecom apsauga. http://citcity.ru/15562

10. Dalintis A.V. Vidinės informacijos saugumo grėsmės telekomunikacijų srityje. 2007. http://www.iks-navigator.ru/vision/456848.html.

11. Kostrovas, D.V. Informacijos saugumas rekomendacijose, reikalavimuose, standartuose. 2008 m

http://www.iks-navigator.ru/vision/2390062.html.

12. Ryšių biuletenis: Apsauga nuo viešai neatskleistų asmenų telekomunikacijų įmonėse.

http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.39.

13. Svetimas tarp savų: apskritojo stalo posėdžio protokolas. Komunikacijos biuletenis. - Nr.7. 2006 m http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.59.

Daugelis organizacijų atliko tyrimus vidinių nutekėjimų srityje. Didžiausi ir žinomiausi yra Ponemon instituto atlikti duomenų pažeidimo aptikimo neapibrėžtumo tyrimai; Vakarų analitikų tyrimas: CSI/FTB Computer Crime and Security Survey. 1 lentelėje parodytas vienas toks tyrimas.

Lentelė 1. Pavojingiausios kibernetinio saugumo grėsmės pagal bendrą žalą doleriais

Grasinimai	Žala (doleriais)


Nešiojamojo kompiuterio vagystė
Informacijos nutekėjimas
Paslaugų atsisakymas
Finansinis sukčiavimas
Piktnaudžiavimas tinklu arba el. paštu viešai neatskleista informacija
Telekomunikacijų sukčiavimas
Zombių tinklai organizacijoje
Įsilaužimas į sistemą iš išorės
Sukčiavimas (organizacijos vardu)
Piktnaudžiavimas belaidžiu tinklu
Viešai neatskleista asmenų piktnaudžiavimas interneto pasiuntiniais
Piktnaudžiavimas viešosiomis žiniatinklio programomis
Duomenų ir tinklų sabotažas