Bilgi güvenliğine yönelik iç tehditlere karşı kurumsal koruma. Yerel ağ güvenliği

SULAVKO A.E., yüksek lisans öğrencisi

Sibirya Devlet Otomobil ve Karayolu Akademisi,

BİLGİ GÜVENLİĞİNE YÖNELİK İÇ TEHDİTLERE KARŞI KORUMA TEKNOLOJİLERİ *

Dipnot. Bilgi güvenliğine yönelik iç tehditlere karşı mevcut koruma araçlarının eksiklikleri tespit edilmiştir. Modern güvenlik sistemlerinde kullanılan, bilgi akışında gizli bilgilerin tanınmasına yönelik yaklaşımlar ve bunların etkinliğinin yanı sıra bu tür sistemler için temel gereksinimler anlatılmaktadır. İç tehditlerle mücadele araçlarının etkinliğini artırmak amacıyla gelecekteki araştırmalar için olası yönlendirmeler özetlenmiştir.

Anahtar Kelimeler: bilgi güvenliği, iç tehditler, içerik analizi, içerik filtreleme, gizli bilgilerin sızmasına karşı koruma.

Giriiş. Günümüzde bilgi güvenliğine (bundan sonra bilgi güvenliği olarak anılacaktır) yönelik en büyük tehdidi şirket içi saldırganlar oluşturmaktadır. Bu tehdit her geçen yıl artıyor. Şirket yöneticilerinin bilgisayar korsanlarından ve virüslerden gelebilecek saldırılardan korktuğu zamanlar artık geçmişte kaldı. Elbette bu tür tehditler hala büyük bir tehlike oluşturmaya devam ediyor ancak şirketler en çok kurumsal bilgilerin ve kişisel verilerin kaybolması ve sızmasından endişe duyuyor. Bu, bilgi güvenliği alanında çeşitli projeler çerçevesinde yürütülen hemen hemen her araştırmanın sonuçlarıyla kanıtlanmaktadır (Şekil 1, 2).

Şekil 1. Katılımcılara göre en tehlikeli siber güvenlik tehditleri

* Çalışma, 22 Temmuz 2009 tarihli P215 numaralı sözleşme olan “Yıllardır yenilikçi Rusya'nın bilimsel ve bilimsel-pedagojik personeli” programı çerçevesinde gerçekleştirildi.

Rus şirketi Perimetrix'in analitik merkezi tarafından gerçekleştirilen “RUSYA'DA İÇERİDEN TEHDİTLER '09” (Şekil 1) araştırmasının sonuçlarına göre, şirket içinden kaynaklanan tehditlerin toplamda daha yüksek bir tehlike derecesi verdiği açıktır. Dışarıdan gelen tehditlerden daha

Şekil 2. İç ve dış bilgi güvenliği olaylarının tehlikesinin oranı

Bu durum sadece Rusya'da görülmüyor. BİLGİ GÜVENLİĞİ İHLALLERİ ANKETİ 2006 ve 2008 teknik raporlarına göre, iç olaylar da dış olaylara üstün geliyor. Son yıllarda küçük ve orta ölçekli işletme temsilcileri arasında iç olay korkusu önemli ölçüde arttı (Şekil 2). Sızıntılardan yalnızca iş dünyasının temsilcileri değil, aynı zamanda dünya çapındaki devlet kurumları da zarar görüyor. Bu, küresel InfoWatch çalışmasının sonuçlarıyla kanıtlanmaktadır (Şekil 3).

Şekil 3. Olayların organizasyon türüne göre dağılımı

Sunulan materyallerden, bugün iç tehditlerle mücadele konusunun dış tehditlerle mücadele konusundan daha acil olduğu açıktır. Günümüzde en tehlikeli tehdidin gizli verilerin sızması olduğunu belirtmek gerekir (Şekil 1).

İç tehditlerle mücadele araçları ve yöntemleri.İçeriden gelen tehditlerle etkili bir şekilde mücadele etmek için bu alandaki mevcut güvenlik önlemlerinin eksikliklerinin belirlenmesi gerekmektedir. Birkaç tür iç güvenlik sistemi vardır.

İzleme ve denetim sistemleri olayları araştırırken iyi bir araçtır. Modern denetim sistemleri neredeyse tüm kullanıcı eylemlerini kaydetmenize olanak tanır. Bu sistemlerin dezavantajı sızıntıyı önleyememesidir, çünkü bu, olaylara yanıt vermek ve hangi eylem dizisinin tehdit oluşturduğunu ve hangilerinin oluşturmadığını tanıyan kararlar almak için bir sistem gerektirir. Sonuçta, bir ihlale hemen müdahale edilmezse, olayın sonuçlarından kaçınılamaz.

Güçlü kimlik doğrulama sistemleri verilere yetkisiz erişime karşı koruma sağlamaya hizmet eder. Bunlar, kullanıcıya istenen kaynaklara erişim izni verilebilmesinin bir sonucu olarak iki veya üç faktörlü bir kimlik doğrulama sürecine dayanır. Bu tür araçlar, bilgileri "tecrübesiz" bir çalışandan koruyabilir, ancak zaten korunan bilgilere erişimi olan içeriden bir kişiden koruyamaz.

Medya şifreleme araçları. Bu program sınıfı, medyanın veya dizüstü bilgisayarın kaybolması durumunda bilgi sızıntısına karşı koruma sağlayacaktır. Ancak içeriden birinin, bilginin şifrelendiği anahtarla birlikte medyayı karşı tarafa aktarması durumunda bu koruma yöntemi işe yaramaz olacaktır.

Sızıntı tespit ve önleme sistemleri (Veri Sızıntı Önleme, Veri Kaybını Önleme ). Bu sistemlere aynı zamanda denir. Gizli verileri iç tehditlerden korumaya yönelik sistemler(bundan sonra sızıntı koruma sistemleri olarak anılacaktır). Bu sistemler veri sızıntısı kanallarını gerçek zamanlı olarak izler. Karmaşık (birçok sızıntı kanalını kapsayan) ve hedefe yönelik (belirli bir sızıntı kanalını kapsayan) çözümler mevcuttur. Bu sistemler, yalnızca bilgi güvenliği ihlali gerçeğini kaydetmekle kalmayıp aynı zamanda bilgi sızıntısının kendisini de önleyen proaktif teknolojiler kullanır. Elbette bu tür bir kontrolün kalitesi doğrudan sistemin gizli bilgileri gizli olmayan bilgilerden ayırt etme yeteneğine, yani kullanılan içerik veya bağlam filtreleme algoritmalarına bağlıdır. Çoğu modern sızıntı önleyici sistem, medya ve dosya şifreleme işlevlerine sahiptir (bu tür sistemlere ayrıca Bilgi Koruma ve Kontrol (IPC)). Güvenli veri depolamayı, özellikle bir dosyaya erişirken yalnızca şifreleme anahtarını değil aynı zamanda kullanıcı erişim düzeyi vb. gibi çeşitli faktörleri de dikkate alan kripto kaplarını kullanabilirler.

Günümüzde dahili tehdit koruma sistemleri, sızıntıları gerçek zamanlı olarak önlemenizi, kullanıcıların eylemlerini ve dosyalarla gerçekleştirilen işlemleri kontrol edebilmenizi ve bilgi akışındaki gizli bilgileri tanıyabilmenizi sağlayan tek çözümdür. Böyle bir sistemin sağladığı korumanın güvenlik açığını belirlemek için, bu sistemlerin ana işlevlerine ve yeteneklerine ve ayrıca bu sistemlerin içerik/bağlamsal filtrelemeyi uygulamak için kullandığı yöntemlere daha yakından bakmak gerekir.

Gizli bilgilerin tanınmasına yönelik mevcut tüm yöntemler, toplu olarak, temelde farklı birkaç yaklaşımın sentezine dayanmaktadır.

İmzaları arayın.İçerik filtrelemenin en basit yöntemi, belirli bir karakter dizisi için bir veri akışında arama yapmaktır. Bazen yasaklanmış bir karakter dizisine "durdurma sözcüğü" adı verilir. Bu teknik yalnızca doğru tespitler için işe yarar ve analiz edilen metindeki karakterlerin değiştirilmesiyle kolayca gerçekleştirilir.

Normal ifadeleri arayın (maske yöntemi). Bazı düzenli ifade dilleri kullanılarak, gizli kabul edilen bir veri yapısı olan bir “maske” tanımlanır. Çoğu zaman, bu yöntem kişisel verileri (TIN, hesap numaraları, belgeler vb.) belirlemek için kullanılır. Yöntemin dezavantajı çok sayıda yanlış pozitifin varlığıdır; yöntem aynı zamanda yapılandırılmamış bilgilerin analizine de tamamen uygulanamaz.

Dijital parmak izi yöntemi. Bir karma işlevi kullanılarak referans bilgilerinden bir “parmak izi” alınır. Daha sonra parmak izi, analiz edilen bilgilerin parçalarıyla karşılaştırılır. Dezavantajı, karma işlevi kullanıldığında teknolojinin yalnızca tam eşleşmeler için çalışmasıdır. Analiz edilen bilgilerde referansa göre küçük değişikliklere (%20-%30'u geçmeyecek şekilde) izin veren algoritmalar bulunmaktadır. Bu algoritmalar sızıntı koruma sistemlerinin geliştiricileri tarafından kapatılmıştır.

İç tehditlere karşı koruma sistemleri aynı zamanda bir dizi ek gereksinime (sızıntı koruma sistemlerine ait olma kriterleri) uygunlukla da karakterize edilir. Bu koruma sistemleri sınıfı için temel gereksinimler araştırma ajansı Forrester Research tarafından ortaya konmuştur:

 çok kanallı(birden fazla veri sızıntısı kanalını izleme yeteneği);

 birleşik yönetim(birleşik bilgi güvenliği politikası yönetim araçlarının mevcudiyeti, ayrıntılı raporların oluşturulmasıyla tüm izleme kanallarındaki olayları analiz etme yeteneği);

 aktif koruma(Sistemin bilgi güvenliği ihlallerini yalnızca tespit etmesi değil aynı zamanda önlemesi de gerekir);

 içerik ve bağlamsal analizin birleşimi(bu durumda bağlamsal analiz, etiketlere ek olarak kullanıcı ve uygulama etkinliğinin analizini de içermelidir).

Gördüğünüz gibi sunulan gereksinimler, belirli bir anda cari hesap altında tam olarak kimin çalıştığının kontrol edilmesini içermiyor.

Günümüzde oldukça fazla sayıda sızıntı koruma sistemi ve işlevsellik açısından bunlara benzer ürünler bulunmaktadır. Bazı çözümlerin temel özellikleri ve işlevleri (en popüler 10 tanesinin alınmasına karar verildi) Tablo 1'de sunulmaktadır.

Piyasadaki sızıntı koruma sistemleri, bir kullanıcıyı "sistemde çalışmanın tipik bir portresini" kullanarak tanımlama yeteneğine sahip değildir. Mevcut çözümler bilgisayarda gerçekte kimin olduğunu belirlemenize izin vermez. Bunu yapmak için pratikte her zaman mümkün olmayan video gözetimine başvurmak gerekir.

İlk sızıntı koruma sistemleri esas olarak içerik filtreleme yöntemlerini kullanıyordu. Ancak bunların etkinliğinin düşük olduğu ortaya çıktı, çünkü pratikte bu tür yöntemler birinci ve ikinci türden oldukça büyük bir hata yüzdesi üretiyor. Gartner'a göre 2007 Hype Cycle of Information Security raporunda mevcut içerik filtreleme yöntemlerinin maksimum güvenilirliği %80'dir ve son yıllarda bu tür algoritmaların etkinliğini artırma yönünde önemli bir değişiklik olmamıştır. Böylece, Bugün bir bilgi akışında (belge, dosya, trafik vb.) içerik filtreleme algoritmaları kullanılarak gizli bilgilerin doğru şekilde tanınmasının maksimum olasılığı 0,8'i geçmiyor. Ve bu olasılığa, içerik analizine yönelik listelenen tüm yaklaşımlar (düzenli ifadeler, imzalar, dilsel yöntemler vb.) kullanılarak ulaşılabilir. Bu gösterge düşüktür (geliştirici tarafından beyan edilen özelliklerden çok daha düşüktür) ve bilgi güvenliği gereksinimlerini karşılamamaktadır.

Tablo 1 – İç tehditlere karşı koruma sistemlerinin ana işlevleri

İsim ürün	içerik filtreleme	bağlamsal filtreleme (ima ediyor konteyner- son analiz)		Şifreleme	Kriterler kanallık, birleşme Gezinti yönetmek, aktif koruma,
Trafik Monitörü +	imzalar, morfoloji			korumalı konteynerler
	morfoloji, dijital baskılar		ontolojiler	konteynerler
	dijital baskılar
	imzalar, dijital baskılar			Birleşik şifreleme
	imzalar, dijital baskılar			Birleşik şifreleme
	imzalar, dijital baskılar			Birleşik şifreleme
Bilgi sistemi SMAP ve SKVT Jet İzle	imzalar, düzenli ifade

İkinci nesil sızıntı koruma sistemleri konteyner analizini kullanır. Bu yaklaşım, bir akıştaki gizli bilgilerin bir dosya özniteliği (etiket) aracılığıyla açık bir şekilde tanımlanmasını ima eder. Ancak böyle bir sistem, görünürdeki determinizme rağmen, daha önce mevcut yöntemlerle yaptığı verileri doğru bir şekilde kategorize ettiği takdirde doğru kararı verecektir. Ancak mevcut tüm sınıflandırma yöntemleri (olasılıksal, dilsel vb.) aynı zamanda yukarıda da belirtildiği gibi mükemmel olmaktan uzak olan içerik filtreleme (içerik analizi) yöntemlerine de dayanmaktadır. Yeni ve gelen belgelere etiket yerleştirme prosedürlerinin yanı sıra, işaretli bir kaptan işaretsiz olana bilgi aktarımını engellemek ve dosyaları sıfırdan oluştururken etiketleri yerleştirmek için bir sistem sağlamak ve geliştirmek gereklidir. Bütün bunlar çok karmaşık bir görevdir ve aynı zamanda içerik analizi görevine de bağlıdır. Gördüğünüz gibi deterministik filtreleme kavramı içerik filtrelemeden ayrı olarak kullanılamaz ve içerik filtreleme yöntemleri teorik olarak bile ortadan kaldırılamaz.

Yeni nesil sızıntı koruma sistemleri (IAS RSKD, gizli veri gizliliği için bilgi ve analitik sistemler), her birini en etkili olduğu durumda kullanarak içerik ve bağlamsal yöntemlerin eksikliklerinden kurtulmayı vaat ediyor. Ancak iki kusurlu ve bağımlı teknolojinin birleşimi önemli bir gelişme sağlayamaz.

Çözüm. Yukarıdaki bilgileri özetleyerek, gizli bilgilerin tanımlanmasına yönelik mevcut çok sayıda algoritmaya rağmen bunların hepsinin etkili olmadığı sonucuna varabiliriz. İç tehditler sorununun gerçekleşmesi, kuruluşların bunlara karşı savunmasız kalmasından ve bunlarla mücadele edecek etkili bir çözümün bulunmamasından kaynaklanmaktadır. Hemen hemen tüm işletmeler, dış tehditlerle (antivirüsler, güvenlik duvarları, IDS vb.) mücadele etmek ve bunlarla oldukça etkili bir şekilde mücadele etmek için tasarlanmış yazılım ve/veya donanım koruma araçlarını kullanır. İç tehditlere karşı korunma araçlarına (sızıntı koruma sistemleri) gelince, şirketlerin yalnızca çok küçük bir kısmı bunları kullanıyor (Şekil 4), ancak bu araçlara duyulan ihtiyaç objektif olarak mevcut. Bilgi güvenliği pazarı, kurumsal bilgilerin etkin bir şekilde korunması konusunda henüz tam bir çözüm sunamıyor ve mevcut çözümler yeterli düzeyde koruma sağlayamıyor ve maliyetleri de yüksek (1000 bilgisayarlık lisansın maliyeti yaklaşık 100 - 500 bin dolar arasında).

Şekil 4. En popüler bilgi güvenliği araçları

İçerik filtreleme teknolojilerinin iyileştirilmesi, gizli bilgilerin tanımlanması için yeni yöntemlerin geliştirilmesi, tanınmasına yönelik yaklaşımların kavramsal olarak değiştirilmesi gerekmektedir. Yalnızca metnin anlamsal içeriğini değil aynı zamanda yazarlığını da tanımanız önerilir. Kullanıcı tarafından yazılan ve gizli bilgiler içeren metnin yazarını tanımlayarak (bu metin kuruluşun çevresini aştığında) saldırganın kimliğini belirlemek mümkün hale gelir. Bu yaklaşım, bir kullanıcının klavye el yazısı ile tanımlanmasına yönelik biyometrik yöntemlerle birlikte içerik analizi yöntemleri kullanılarak uygulanabilir. Yalnızca metnin statik özellikleri (anlam) değil, aynı zamanda metin girdisinin dinamikleri de dikkate alındığında, metnin yazarını yüksek olasılıkla belirlemek mümkün hale gelir.

Müşterilerin ve çalışanların kişisel verileri, ticari sırlar, yazışmalar ve çok daha fazlası, bir işletme için erişimi ve kullanımı şirket içinde sıkı bir şekilde düzenlenmesi gereken en önemli bilgilerdir. Ne yazık ki hiç kimse dolandırıcılıktan, gizli anlaşmalardan, üretim tesislerinin kişisel amaçlarla kullanılmasından ve endüstriyel casusluktan muaf değildir. Dahili bilgilerin korunmasına ilişkin konular, hem dokümantasyonun geliştirilmesini, düzenleyici prosedürleri hem de teknik koruma araçlarının uygulanmasını içermelidir. InfoWatch tarafından geliştirilen bu program, öğrencilere kurumsal bilgilerin iç tehditlere karşı korunmasını sağlamak için ana faaliyet alanlarını, bu faaliyeti düzenleyen düzenleyici çerçeveyi, bilgiyi koruma görevlerini, araçları, teknolojileri ve bu hedeflere ulaşmak için bunların kullanım yöntemlerini tanıtacaktır. . Program, bu amaç için donatılmış bir laboratuvarda şirketin teknolojileri kullanılarak yürütülmektedir.

Ders modu Dersler Pazartesi (19:00-22:00) ve Çarşamba (19:00-22:00)
Verilen belgeİleri düzey eğitim sertifikası
Uygulama bölümü
Eğitim yönü
Sınıf konumu Moskova, st. Tallinskaya 34 ve InfoWatch ofisi

Giriş

Hedef kitle

Kabul için belgeler

Pasaportun veya onun yerine geçen belgenin aslı ve fotokopisi

Yüksek öğrenim görenler için eğitim ve yeterlilik belgesinin veya eğitim belgesinin aslı ve kopyası

Soyadı, adı, soyadının (gerekirse) değiştirilmesine ilişkin belgenin aslı ve kopyası

1. İç tehditlere karşı kurumsal korumanın teorik temelleri. Bilgi ve bilgi akışı. İç ve dış bilgi güvenliği tehditleri. Bilgi güvenliği tehdit modelleri. Kurumsal bilgi güvenliği ihlalcilerinin sınıflandırılması. Hasar değerlendirmesinin özellikleri.

2. İç tehditlere karşı kurumsal korumanın düzenleyici ve yasal yönleri. DLP sistemleri ve bilgi güvenliği gereksinimleri. Rusya Federasyonu'nda bilgilerin sınıflandırılması. DLP sistemlerini kullanmanın yasal sorunları: kişisel ve aile sırları; iletişimin sırrı; özel teknik araçlar. DLP'nin (Pre-DLP) hukuki geçerliliğini sağlamaya yönelik tedbirler. Dahili bilgi güvenliği rejiminin (Post-DLP) ihlalleriyle ilgili olayların soruşturulmasında kullanım hakkı uygulamasının gözden geçirilmesi.

3. İç tehditlere karşı kurumsal korumanın idari ve organizasyonel yönleri. BS denetim süreç ve prosedürlerinin oluşturulması. Kurumsal bilgi sistemlerinin incelenmesi. Kurumsal bilgilerin durumu. İç tehditlere karşı kurumsal koruma sağlamaya yönelik araçlar ve teknolojiler. İç tehditlere karşı kurumsal korumayı sağlamaya yönelik bir projenin etkinliğine ilişkin kriterler. İç tehditlere karşı kurumsal korumayı sağlamaya yönelik projelerin uygulanmasının önündeki engeller.

4. Otomatik bilgi akışı kontrol sistemi kullanılarak kurumsal bilgilerin korunması. IW Trafik izleme (IW TM) sisteminin amacı. Kontrollü veri iletim kanalları. IWTM ürün mimarisi. Tespit edilen nesnelerin analizine yönelik teknolojiler. IW Cihaz monitörünün (IW DM) ve IW Paletli sisteminin ek modüllerinin görevleri ve çalışma prensipleri.

Öğretmenler

Andrey Zarubin

InfoWatch JSC, MBA, SixSigma Kara Kuşak'ın eğitim ve hizmet kalitesi kontrol departmanı başkanı.

Şirketlerin bilgi kaynaklarına yönelik tehditlerin ortalama %82'sinin, ihmal yoluyla veya kasıtlı olarak kendi çalışanlarının eylemlerinden kaynaklandığı bir sır değil. Uzmanlara göre iç tehdit tehlikesi giderek artıyor ve hâlâ en acil sorunlardan biri olmaya devam ediyor. Oldukça rekabetçi bir ortamda, veri gizliliğini koruma görevi özellikle acildir. Yanlışlıkla gönderilen bir e-posta, ICQ mesajı veya basılı belge, yetkisiz kişilere yönelik olmayan gizli bilgiler içerebilir. Ticari veya resmi sırlar, müşterilerin, ortakların veya çalışanların kişisel verileri ve diğer türdeki korunan bilgiler üçüncü tarafların eline geçebilir ve işletmeye onarılamaz zararlar verebilir. Gizli bilgilerin sızmasıyla ilgili riskleri önlemek için zamanında önlem almak gerekir.

İşletmeniz aşağıdakiler de dahil olmak üzere çeşitli risklere maruz kalabilir:

Finansal riskler
Gizli veri sızıntısının sonucu, ticari sırrın üçüncü şahıslar tarafından öğrenilmesi durumu olabilir. Bu tür bilgilerin rakiplerin eline geçmesi durumunda, mali kayıp olasılığı yüksektir ve bu da genellikle şirketin iflasına yol açar.
Yasal riskler
Gizli bir belgenin kurumsal ağ dışına kontrolsüz bir şekilde yayınlanması, düzenleyici otoritelerin yakın ilgi konusu olabilir. Kişisel verilerin ve diğer gizli bilgilerin korunmasını düzenleyen yasaların ihlaline ilişkin davalar ve cezalar nadir değildir.
İtibar riskleri
Gizli verilerin sızması medyada geniş yer alabilir ve şirketin müşterilerinin ve ortaklarının gözündeki imajının zedelenmesine ve ciddi mali zarara yol açabilir.

Gizli bilgilerin sızmasına karşı koruma sağlamak için her şirketin bir DLP sistemine sahip olması gerekir.

DLP sistemleri (İngilizce Veri Kaybını Önleme'den), ağ ve yerel kanallar üzerinden sızıntılara karşı koruma sağlamak üzere tasarlanmış yazılım veya donanım ve yazılımdır. İletilen veriler gizlilik açısından analiz edilir ve belirli kategorilere (kamuya açık bilgiler, kişisel veriler, ticari sırlar, fikri mülkiyet vb.) dağıtılır. Bilgi akışında gizli veriler tespit edilirse, DLP sistemi aşağıdaki eylemlerden birini gerçekleştirir: iletilmesine izin verir, engeller veya belirsiz durumlarda ek doğrulama için bir güvenlik uzmanına gönderir. DLP sistemleri çok çeşitli iletişim kanallarını kapsayarak e-postayı, anlık mesajlaşma servislerini ve diğer İnternet trafiğini, yazıcıları, Bluetooth aygıtlarını, USB aygıtlarını ve diğer harici ortamları izlemenize olanak tanır.

Mevcut DLP sistemlerinin işlevleri farklılık göstermektedir. Öncelikle DLP sistemleri aktif (veri sızıntılarını tespit edip engelleyebilir) ve pasif (veri sızıntılarını tespit edip olay hakkında uyarı gönderebilir) olabilir. Şu anda odak noktası, asıl görevi veri sızıntısını gerçek zamanlı olarak önlemek ve olaydan sonra tespit etmek değil, aktif DLP sistemleridir. Bu tür DLP sistemleri için isteğe bağlı olarak iş süreçlerine müdahale etmemenizi ve olayla ilgili bir güvenlik uzmanına mesaj göndermenizi sağlayacak bir izleme modu yapılandırabilirsiniz. İkincisi, DLP sistemleri çalışanların eylemlerinin, çalışma sürelerinin ve kurumsal kaynakların kullanımının izlenmesiyle ilgili bir dizi ek görevi çözebilir.

DLP sistemlerinin önemli bir avantajı, son kullanıcıların çalışmalarını neredeyse hiç etkilemeden iş süreçlerinin sürekliliğini korumanıza olanak sağlamasıdır. Yukarıdaki tüm yetenekleri sayesinde DLP sistemleri şu anda işletme bilgi güvenliğinin sağlanmasında en popüler çözümlerden biridir.

Bir DLP sisteminin doğru şekilde uygulanması ve yapılandırılması ayrı bir karmaşık konudur. Yetkili danışmanlık olmadan bunu yapmak imkansızdır. Infozashchita şirketinin yüksek nitelikli uzmanları, işletmenizin özelliklerine uygun bir çözüm seçmenize yardımcı olacaktır.

Modern DLP pazarı en hızlı büyüyen pazarlardan biridir ve bu da bu tür koruma sistemlerine olan yüksek talebi açıkça göstermektedir. DLP çözümlerinin geliştiricileri, veri sızıntılarıyla mücadele etmek için sürekli olarak yeni etkili teknolojiler geliştiriyor ve geliştiriyor.

Infozashchita şirketi, iç tehditlere karşı koruma için size önde gelen geliştiricilerden geniş bir gelişmiş çözüm yelpazesi sunmaya hazırdır.

“İletişim işletmelerinde iç tehditlere karşı koruma”

giriiş

1.Telekomünikasyon alanında yaşanan en kötü şöhretli içeriden olaylar

2. İçeriden öğrenenler

3. İç tehditlere karşı koruma alanındaki kanunlar

3.1.Yasal ve düzenleyici düzenleme

3.2.Uluslararası standartlara göre sertifikasyon

4.İstatistiksel araştırma

5.İç sızıntıyı önleme yöntemleri

Çözüm

Kullanılmış literatür listesi

GİRİİŞ

Konunun alaka düzeyi, iletişim hizmetlerinin sağlanmasının devasa doğası nedeniyle, milyonlarca ve on milyonlarca vatandaşın kayıtlarının telekomünikasyon şirketlerinin veritabanlarında toplanabileceği gerçeğinden kaynaklanmaktadır. En ciddi korumaya ihtiyaç duyanlar onlardır. Uygulamanın gösterdiği gibi, sızıntı tehlikesinin göz ardı edilmesinin bir sonucu olarak işletmeler, halkla ilişkiler kampanyalarına, yasal maliyetlere ve müşterilerin kişisel bilgilerini korumaya yönelik yeni araçlara yüz milyonlarca dolar harcama riskiyle karşı karşıyadır.

Telekomünikasyon şirketlerinde bilgi korumasının özgüllüğü, korunması gereken verilerin doğasında kendini gösterir. Tüm bilgiler operatörün BT altyapısında bulunan veritabanlarında saklanır. Hırsızlık aynı anda birçok olumsuz sonuçla doludur. Öncelikle bu, mevcut müşterilerin çıkışında ve yeni müşterilerin çekilmesinde zorluklarla kendini gösteren şirketin itibarına zarar verebilir. İkinci olarak, şirket yasanın gerekliliklerini ihlal ediyor ve bu da lisansın iptal edilmesine, yasal masraflara ve görüntüde ek hasara yol açabilir.

Çalışmanın amacı iletişim işletmelerinde iç tehditlere karşı korumayı incelemektir.

Çalışmanın amaçları şunlardır:

Telekomünikasyon alanında en yüksek profilli içeriden öğrenilen olayların değerlendirilmesi;

İç ihlalcilerin analizi;

İç tehditlere karşı koruma alanındaki yasaların incelenmesi: uluslararası standartlara göre yasal ve düzenleyici düzenleme ve sertifikasyon;

İstatistiksel araştırmaların incelenmesi;

İç sızıntıları önleme yöntemlerini düşünün.

Çalışma beş bölümden oluşmaktadır.

Birinci bölüm telekomünikasyon alanındaki en kötü şöhretli içeriden olaylarını inceliyor, ikinci bölüm iç ihlalleri inceliyor, üçüncü bölüm iç tehditlere karşı koruma alanındaki yasal çerçeveyi analiz ediyor, dördüncü bölüm istatistiksel araştırmaları inceliyor ve beşinci bölüm ise bu konu hakkında bilgi veriyor. İç sızıntıları önleme yöntemleri.

Sonuç bölümünde çalışmadan elde edilen sonuçlar yer almaktadır.

1. Türkiye'nin en meşhur iç olayları

telekomünikasyon alanı

Gerçek hayattaki olaylar, içeriden gelen tehdidin ciddiyetinin en açık örneğini sağlıyor. Bu tehlikenin göz ardı edilmesi 2006 yılında ABD'de büyük bir skandala yol açmıştı. Gazeteciler eski ABD başkan adayı General Wesley Clark'ın gelen ve giden aramalarının bir listesini 90 dolara satın aldılar ve Amerikan halkı, öncelikle telefon kayıtlarının yasalarca hiç korunmadığını ve ikinci olarak çok zayıf bir şekilde korunduğunu keşfettiğinde şaşırdı. mobil operatörlerin iletişimleri tarafından korunmaktadır.

Ocak 2007'de haber ajansları "açık olmayan" bir sızıntı bildirdi. İnternette Corbina Telecom'un mobil iletişim kullanıcılarının bir veri tabanı ortaya çıktı: isimler, telefon numaraları, şirketin birkaç üst düzey yöneticisi de dahil olmak üzere yaklaşık 40 bin abonenin garanti ücretleri. Corbina'nın yorumları müşterilere bir ölçüde güven verdi. Büyük olasılıkla, yeni bir veri tabanı kisvesi altında 4 yıl önceki bilgiler sunuldu. Daha sonra içeriden programcı, şirketin aboneleri hakkındaki bilgileri kamuya açık hale getirdi ve bu süre zarfında bilgiler neredeyse tamamen geçerliliğini yitirdi.

İçeriden öğrenilen en yüksek profilli ilk on olay arasında Japon cep telefonu operatörü KDDI'nin müşteri tabanının çalınması yer aldı. Büyük bir veri sızıntısıyla ilgili bilgilerin ifşa edilmesi tehdidi altında, içeriden kişiler, ülkenin en büyük ikinci cep telefonu operatörü olan Japon şirketi KDDI'dan 90 bin dolar talep etti. Tehditlerinin doğruluğunu kanıtlamak için, Mayıs 2006'da şantajcılar KDDI temsilcilerine özel veriler içeren CD'ler ve USB flash sürücüler sunarak bunları kontrol noktasına yerleştirdiler. Ancak şirket yönetimi suçluların taleplerini görmezden gelerek kolluk kuvvetlerine başvurdu. Polis, şantajcılarla KDDI arasındaki görüşmeleri iki hafta boyunca izledi ve ardından şüphelileri tutukladı. Soruşturma, 4 milyon KDDI müşterisine ilişkin özel bilgilerin yer aldığı bir veritabanının aslında şantajcıların eline geçtiğini gösterdi. Her veritabanı kaydı, her müşterinin adını, cinsiyetini, doğum tarihini, telefon numaralarını ve posta adreslerini içeriyordu. Tüm bu veriler kimlik hırsızlığı için idealdir. Üst yönetim, çalışanlardan birinin bilgileri kasıtlı olarak kopyalayıp şirket dışına çıkardığından emin.

Toplamda 200'den fazla çalışanın çalınan verilere erişimi vardı.

Aynı derecede yüksek profilli bir olay Rusya'ya yakın bir yerde meydana geldi: Belarus mobil operatörü Velcom'un veri tabanının sızması. Gazeteciler, 2 milyon abonesinin telefon numaraları ve isimleri hakkında bilgi içeren bir metin dosyası satın aldı. Aynı zamanda basın, Velcom veritabanlarının düzenli olarak kamuya açık hale geldiğini belirtiyor: 2002'den bu yana en az altı sürüm yayınlandı ve her seferinde bilgiler eklendi. Bu arada, Belarus İnternet'te MTS veritabanları hâlâ eksik. Bir eleştiri dalgasıyla karşı karşıya kalan Velcom, Belarus yasalarının vatandaşların kişisel verilerini korumadığını, bunun da Velcom'a karşı herhangi bir hukuki iddianın olamayacağı anlamına geldiğini belirtti. Operatör, sızıntının sorumlusu olarak müşteri veri tabanının "[banka] çalışanlarının iletişim hizmetleri için ödeme yaparken belirtilen ayrıntıların doğruluğunu kontrol etmelerini sağlamak için" aktarıldığı bankayı suçladı. Bundan sonra Velcom "ticari itibarını korumak için dava açma olasılığını değerlendiriyor." Sürecin nereye varacağını zaman gösterecek ancak şu ana kadar içeridekiler çoğunlukla sorumluluktan kaçıyor.

Ekim 2006 Hint telekomünikasyon şirketi AcmeTelePower'ın içindekiler, yenilikçi gelişmelerin sonuçlarını çaldı ve bunları rakip LamdaPrivateLimited'a aktardı. Ernst & Young tahminlerine göre Acme'nin doğrudan mali kayıpları 116 milyon dolardı.Fikri mülkiyetin en yaygın şekilde e-posta yoluyla "sızdırılması" ilginçtir. Bundan sonra AcmeTelePower, işini tamamen Hindistan'dan Avustralya'ya taşımayı planlıyor.

2. dahili suçlular

Birçok kuruluş iç sızıntılar alanında araştırmalar yürütmüştür. Bunların en büyüğü ve en ünlüsü, Ponemon Enstitüsü tarafından yürütülen Veri İhlali Tespitinde Belirsizlik çalışmalarıdır; Batılı analistlerin araştırması: CSI/FBIComputerCrimeandSecuritySurvey. Tablo 1 böyle bir çalışmayı göstermektedir.

Masa 1. Dolar cinsinden toplam hasara göre en tehlikeli siber güvenlik tehditleri

Tehditler	Hasar (dolar cinsinden)
Virüsler	$ 15 691 460
Yetkisiz Erişim	$ 10 617 000
Dizüstü bilgisayar hırsızlığı	$ 6 642 560
Bilgi sızıntısı	$ 6 034 000
Hizmet reddi	$ 2 992 010
Finansal dolandırıcılık	$ 2 556 900
Ağın veya e-posta içerisindeki kişilerin kötüye kullanılması	$ 1 849 810
Telekom dolandırıcılığı	$ 1 262 410
Organizasyondaki zombi ağları	$ 923 700
Sistemi dışarıdan hacklemek	$ 758 000
Kimlik avı (bir kuruluş adına)	$ 647 510
Kablosuz Ağın Kötüye Kullanılması	$ 469 010
İnternet mesajlaşma programlarının içeriden kişiler tarafından kötüye kullanılması	$ 291 510
Herkese açık web uygulamalarının kötüye kullanılması	$ 269 500
Verilerin ve ağların sabote edilmesi	$ 260 00

FBI ve Bilgisayar Güvenliği Enstitüsü'nden analistlerin, hasar miktarına ilişkin yorumlarında, katılımcıların kişisel verilerin veya ticari sırların sızması nedeniyle hasar miktarını az çok doğru bir şekilde belirleyebildikleri konusunda şüpheci olduklarını ekleyebiliriz. Bu tür olayların uzun vadeli birçok olumsuz sonucu vardır. Örneğin kamuoyunun bozulması, itibarın azalması ve müşteri tabanının azalması. Bütün bunlar yavaş yavaş gerçekleşir ve haftalar, aylar sürer. Kaçak nedeniyle kar kaybı şeklindeki kayıpların tespit edilmesi ise en az bir yıl alıyor. Dolayısıyla bilgi güvenliği tehditlerinden kaynaklanan mali kayıpların iç yapısı kesin olarak belirlenememektedir.

Genel olarak kuruluşlarda bilgilerin korunması şunları içerir:

· bir ağda birbirine bağlı bir dizi bilgisayar;

· mantıksal bağlantılar ağının fiziksel olarak uygulandığı keyfi bilgi iletim kanalları tarafından uygulanan iletişim kanalları;

· izin verilen mantıksal bağlantılara sıkı sıkıya bağlı olarak ağ içinde gizli bilgi alışverişi

Yetkisiz erişime ve dış etkilere karşı entegre çok seviyeli koruma

· ağ içindeki mantıksal bağlantıların ve erişim kontrolünün yapısının katı merkezi ayarı

· Ağın mantıksal yapısının bilgi iletim kanalı türlerinden bağımsızlığı.

Çoğu şirket uzun süredir dış tehditlere karşı koruma sağlıyor ve artık arkalarını da korumaları gerekiyor. İç tehditler arasında hasara yol açmanın en yaygın birkaç yolu vardır:

· gizli bilgilerin bu amaç için tasarlanmamış bir sistemde saklanması veya işlenmesi;

· izinsiz olarak güvenlik veya denetim sistemlerini atlatmaya veya ihlal etmeye teşebbüs etmek (güvenlik testi veya benzeri araştırma bağlamı hariç);

· dahili ağ güvenliği kurallarının ve prosedürlerinin diğer ihlalleri.

Gizli bilgileri sızdırmanın birkaç yolu vardır:

o posta sunucusu (e-posta);

o web sunucusu (açık posta sistemleri);

o yazıcı (belgelerin yazdırılması);

o FDD, CD, USB sürücüsü (ortama kopyalama).

Analitik hesaplamalara geçmeden önce iç tehdit nedir sorusunun yanıtını vermek gerekiyor. Bu tanımın önemi, sabotajın yalnızca iç tehditlerin bir parçası olduğu gerçeğiyle daha da artmaktadır; sabotajcılar ile örneğin gizli bilgileri rakiplere "sızdıran" içeriden kişiler arasında ayrım yapılması gerekir.

Kurumsal sabotaj, içerdekilerin gururunun zedelenmesi, intikam alma arzusu, öfke ve diğer duygusal nedenlerle şirkete zarar veren eylemlerdir. Kapsamlı "içeriden öğrenen" teriminin, işletmenin eski ve mevcut çalışanlarının yanı sıra sözleşmeli çalışanları da ifade ettiğini unutmayın.

Kurumsal sabotaj her zaman duygusal, bazen de mantıksız nedenlerle yapılır. Bir sabotajcı asla para kazanma ya da finansal kazanç peşinde koşma arzusuyla hareket etmez. Aslında sabotajı diğer iç tehditlerden ayıran şey de budur.

ABD Gizli Servisi'nin yaptığı bir araştırma, vakaların %98'inde sabotajcının erkek olduğunu ortaya çıkardı, ancak bu saikler, çalışanı rahatsız eden daha önceki olayların sonuçlarıydı (Tablo 2). Analistlere göre çoğu durumda sabotajın öncesinde iş yerinde hoş olmayan bir olay veya buna benzer bir dizi olay geliyor.

Masa 2 Sabotajdan önceki olaylar

Kaynak CE RT

Sabotaj sırasındaki pek çok sabotajcı, zaten mağdur şirketin eski çalışanlarıdır ve bazı nedenlerden dolayı (muhtemelen yöneticinin gözetimi nedeniyle) bilgi kaynaklarına erişimi elinde tutmuştur. Bunun tüm vakaların neredeyse yarısı olduğunu unutmayın.

CERT çalışmasının gösterdiği gibi, neredeyse tüm kurumsal sabotajcılar şu veya bu şekilde bilgi teknolojisiyle bağlantılı uzmanlardır.

Masa 3 Tipik bir sabotajcının portresi

Kaynak CE RT

Dolayısıyla bir sabotajcının en güvenilir özelliklerinden yalnızca ikisi tanımlanabilir: o bir erkektir, teknik departmanın bir çalışanıdır. On sabotajdan dokuzu şu ya da bu şekilde bilgi teknolojisiyle bağlantılı kişiler tarafından gerçekleştiriliyor. Gizli bilgilerin içeriden korunmasına yönelik sistemlerin geliştiricisi InfoWatch'taki uzmanlara göre, bu profesyonel bağlılığın nedeni, bu çalışanların psikolojik özelliklerinde yatıyor. Hayattan iki örnek, sorunu daha ayrıntılı olarak anlamamıza olanak tanıyacak ve BT profesyonellerinin tipik karakter özelliklerini en açık şekilde gösterecektir.

“Orta ölçekli bir yazılım şirketinde çalışıyordum. Ana sunuculara erişirken yönetici ayrıcalıklarına sahiptim. Biraz kafamı dağıtmak için bu erişimin kötü niyetli olarak nasıl kullanılabileceğini düşündüm ve şöyle bir plan hazırladım. İlk önce yedekleme sistemini hackleyin... İkincisi, bir yıl veya daha uzun süre bekleyin. Üçüncüsü, yedekleme verilerini şifrelemek/şifresini çözmek için saldırıya uğramış yazılımlar da dahil olmak üzere sunuculardaki tüm bilgileri silin. Böylece kuruluş yalnızca şifrelenmiş yedek kopyalara (anahtarsız) sahip olacaktır. Dördüncüsü, şirkete ilk adımda elde edilen anahtarları satın almasını teklif edin. Eğer şirket bunu reddederse, yıllarca süren emeğini kaybedecek. Elbette bu sadece varsayımsal bir plan. Bunu uygulamaya çalışmadım, bu yüzden işe yarayıp yaramayacağını bilmiyorum...” - Filias Cupio. “Tanıdığım çoğu BT uzmanı, hatta genç yaştakiler bile, çalışmaya başlar başlamaz kurumsal sisteme bir rootkit kuruyor. Bu bir refleks. Adamlar kimseye zarar vermek istemiyor ve kötü niyetli planlar yapmıyorlar; sadece evden veya üniversiteden güvenli bir şekilde çalışabilmek için sisteme güvenilir erişim istiyorlar," Ben.

Sabotaj eyleminin derin psikolojik doğası, çoğu zaman hoşnutsuz bir çalışanın üstlerini veya iş arkadaşlarını tehdit etmesine yol açar, hatta bazen düşüncelerini meslektaşlarından biriyle paylaşır. Başka bir deyişle, yaklaşan sabotaj hakkında bilgi sahibi olan yalnızca sabotajcı değildir. Analistler, vakaların %31'inde diğer kişilerin sabotajcının planları hakkında bilgi sahibi olduğunu hesapladı. Bunların yüzde 64'ü iş arkadaşı, yüzde 21'i arkadaş, yüzde 14'ü aile üyesi ve yüzde 14'ü de suç ortağı.

Vakaların %47'sinde sabotajcılar hazırlık eylemleri gerçekleştiriyor (örneğin, gizli verilerin yedek kopyalarını çalmak). %27'sinde bir saldırı mekanizması tasarlıyor ve test ediyorlar (kurumsal ağda bir mantık bombası hazırlamak, ek gizli girişler vb.). Aynı zamanda, vakaların% 37'sinde çalışanların faaliyetleri fark edilebilir: bu sayıdan, hazırlık eylemlerinin% 67'si çevrimiçi,% 11'i çevrimdışı,% 22'si aynı anda fark edilebilir.

Saldırıların büyük çoğunluğunun sabotajcılar tarafından mesai saatleri dışında ve kurumsal ağa uzaktan erişim kullanılarak gerçekleştirildiği de dikkate alınmalıdır.

3. İçeriden gelen tehditlere karşı koruma alanındaki yasalar

Yasal ve düzenleyici düzenleme

Telekomünikasyon sektörünün özellikleri (diğer sektörlerle karşılaştırıldığında) düzenleme konularına da yansımaktadır. İlk olarak, bu sektördeki şirketler genellikle bireylere hizmet sağlamaya odaklanıyor ve bu nedenle kurumsal ağlarında büyük miktarda abone kişisel verisi biriktiriyor. Bu nedenle, BT ve bilgi güvenliği departmanlarının yönetiminin, vatandaşların özel bilgilerinin güvenliğine yönelik bir dizi gereklilik getiren "Kişisel Verilere İlişkin" Federal Yasaya olan yakın ilgisi . İkincisi, telekomünikasyon yakın zamanda “Telekom operatörleri için temel bilgi güvenliği düzeyi” adı verilen kendi standardını edindi. Operatörlerin, kullanıcıların ve devletin çıkarları arasında bir denge kurulmasına izin vererek, uygulanması iletişim hizmetlerinin belirli bir düzeyde bilgi güvenliğini garanti etmesi gereken asgari bir dizi öneriyi temsil eder. Bu standardın gelişimi telekomünikasyon endüstrisinin gelişmesinden kaynaklanmaktadır: telekomünikasyon operatörleri gerekli hizmetleri sağlamak için ağlarını birleştirmeye zorlanırlar, ancak operatörlerin kendileri kiminle uğraştıklarını ve kime güvenebileceklerini bilmezler. Siber güvenlik tehditlerinden kaçınmak için. Bu belgenin bazı hükümleri doğrudan iç bilgi güvenliği riskleri ve kişisel verilerin saklanmasına ilişkin sorunlarla ilgilidir. Örneğin, operatörün “iletişim hizmetleri (faturalandırma) için kontrol sistemlerinden ve otomatik ödeme sistemlerinden iletilen ve/veya saklanan bilgilerin, abonelere ilişkin bilgilerin (bireylerin kişisel verileri) ve onlara sağlanan iletişim hizmetlerinin gizliliğini sağlaması, iletişim hizmetlerinin sağlanmasına ilişkin sözleşmelerin imzalanması nedeniyle telekom operatörleri tarafından biliniyor." Şirketlerin bilgi güvenliği olaylarının kayıtlarını tutmaları ve bunları zamanaşımına uygun olarak (Rusya'da - 3 yıl) saklamaları gerekmektedir. Ayrıca, "birincil olayların akışını filtrelemek için, bilgi güvenliği olay günlüklerindeki girişleri optimize eden olay korelasyonunun teknik araçlarının kullanılması tavsiye edilir." Şu noktayı göz ardı edemeyiz: “Diğer (etkileşimli) operatörlerin abonelerine (istemcilerine) ait veri tabanlarının kaybına izin veren bir operatörün, bu durumu en kısa sürede diğer operatörlere bildirmesi tavsiye edilir.” Bu nedenle, Rus telekomünikasyon sektörü yavaş yavaş en iyi uygulamalara yaklaşıyor; ABD ve AB'de şirketler uzun süredir özel verilerin sızdırılmasından sorumlu tutuluyor ve yasa gereği mağdurlara sızıntıyı bildirmeleri gerekiyor. Zamanla Rusya'da böyle bir norm ortaya çıkmalı.

Doğru, telekomünikasyon sektöründe düzenleyici düzenlemelerin belirleyici bir rol oynadığını söylemek henüz mümkün değil. Bununla birlikte, bugün yönetim, denetleyici otoritelerin nihayet harekete geçmeye başlaması durumunda BT ve bilgi güvenliğinin mevcut standartlar ve yasalarla uyumluluğunu düşünmelidir. Ayrıca hisseleri borsalarda işlem gören büyük telekomünikasyon şirketlerinin de borsaların ihtiyaçlarını karşılaması gerekiyor. Örneğin Rusya'da bu, FFMS'nin (Finansal Piyasalar Federal Servisi) isteğe bağlı Kurumsal Davranış Kuralları, Britanya'da - Kurumsal Yönetim Ortak Kuralları (yarı zorunlu) ve ABD'de - SOX yasasıdır (Sarbanes). -Oxley Yasası 2002). “Kişisel Verilere İlişkin” Federal Kanun ve “Temel Düzey...” Rus telekomünikasyon şirketlerini doğrudan ilgilendirmektedir.

Federal “İletişim” Yasası (Madde 46, fıkra 1), operatöre iletişim tesislerini, iletişim tesislerini ve bunlar aracılığıyla iletilen bilgileri yetkisiz erişime karşı korumak gibi bilgi güvenliği işlevlerini atar; Telekom operatörünün iç altyapısının güvenli çalışmasının sağlanması.

Bu gerekliliklerin iletişim ağı işleyiş sisteminde hayata geçirilmesi, performanslarının izlenmesi, işleyişinin desteklenmesi, istatistiksel raporların hazırlanıp üst makamlara sunulması gerekmektedir. Ancak koordine edici düzenlemelerin bulunmaması nedeniyle bilgi güvenliğine yönelik tek tip bir yaklaşım mevcut değildir. BT ve bilgi güvenliği departmanlarının oluşumu konusunda ortak bir yaklaşım bulunmamaktadır. Bu, kural olarak, operatör tarafından gerçekleştirilen görevlerin hacmine bağlıdır ve BT ile IS arasındaki işlevsel sorumluluklar, bu departman başkanlarının önceki deneyimlerine göre dağıtılır.

Uluslararası standartlara göre sertifikasyon

Dünyanın en ünlü sertifikasyonu ISO 27001:2005 standardının gereklerine uygundur. Rusya'da bugüne kadar altı şirket bilgi güvenliği yönetim sistemlerini (ISMS) resmi olarak sertifikalandırdı; dördü bilişim sektöründe çalışıyor. İngiliz Standartlar Enstitüsü tarafından 2005 yılında yayımlanan ISO/IEC27001:2005, küresel en iyi uygulamaları temel almaktadır. Organizasyonda bilgi güvenliğinin sağlanmasından sorumlu yönetici tarafından yönetilmesi gereken anahtar süreçleri açıkça tanımlar. Bu standarda göre bilgi güvenliği sisteminin etkinliğinin teyit edilmesinin son aşaması akredite bir belgelendirme kuruluşu tarafından yapılan bağımsız denetimdir. Böyle bir organdan alınan olumlu bir sonuç, bilgi güvenliği yönetim süreçlerinin etkin ve doğru bir şekilde sağlandığını, şirketin olumlu bir imajını gösterir ve işletmenin bilgi sisteminin maksimum düzeyde modern bilgi güvenliği araçlarını kullandığı konusunda yönetimi için ikna edici bir argüman görevi görür. yeterlik. Dış bir sertifikasyon kuruluşu tarafından yapılan doğrulama sürecinin kendisi, yönetimin bilgi güvenliği departmanlarına olan güven derecesini arttırır ve bu hizmet çalışanlarının kalitesinin ve profesyonelliğinin bir göstergesi olur.

Bir kuruluşta BGYS uygulama kararı en üst düzey yönetim kademesinde, ideal olarak CEO tarafından verilmelidir. Yönetim desteği olmadan, bu tür projeler genellikle başarısızlığa veya en iyi ihtimalle süreçlerin şirket çalışanları tarafından kabul edilmemesi koşullarında etkisiz çalışmaya mahkumdur.

1) Politika gereklilikleri, iletişim kuruluşunun iç prosedürleri tarafından kaydedilen (onaylanan), risk değerlendirmesi ve yönetimindeki en iyi uygulamalara dayanan, ticari faaliyetlerin ihtiyaçlarını karşılayan ve ulusal mevzuata uygun bir güvenlik politikasına olan ihtiyacı tanımlar. Güvenlik politikaları yayınlanmalı ve taşıyıcı personele ve dış paydaşlara (müşteriler, etkileşimde bulunan taşıyıcılar, diğer ilgili taraflar) iletilmelidir.

2) İşlevsellik gereksinimleri, yalnızca mevcut sertifikalı teknik araçlara ilişkin gereksinimleri açıklar ve olay günlüğe kaydetme prosedürlerini açıklar.

3) Etkileşim gereksinimleri, kişinin kendi müşterilerini ve diğer operatörleri tanımlama prosedürünü tanımlar. Alt bölüm, 24 saat güvenlik olay müdahale hizmetine (veya böyle bir hizmetin dış kaynak kullanımı esasına göre kullanımına) duyulan ihtiyacı belirtir.

Ayrıca, iletişim hizmetleri (faturalandırma) için yönetim sistemleri ve otomatik ödeme sistemleri için iletilen ve/veya saklanan bilgilerin, abonelere ilişkin bilgilerin (bireylerin kişisel verileri) ve onlara sağlanan iletişim hizmetlerinin gizliliğinin sağlanmasına yönelik bir gereklilik bulunmaktadır. Aynı zamanda, iletişim hizmetlerinin sağlanmasına ilişkin sözleşmelerin yürütülmesi nedeniyle bu bilgiler telekom operatörü tarafından öğrenilse bile buna uyulmalıdır.

4. İstatistik bilimsel araştırma

İç tehditlere karşı koruma alanındaki en büyük ve en ilginç çalışmalardan biri, InfoWatch analitik merkezi tarafından 275 telekomünikasyon şirketi üzerinde yürütülen bir çalışmaydı. Sonuçlara göre içeriden gelen riskler dış tehditlere 6:4 oranında üstün geliyor. Bu risklerin yapısını ve çeşitli faktörlerin bunlar üzerindeki etkisini analiz edelim: kullanılan bilgi güvenliği araçları, düzenleyici düzenlemeler vb.

Bilgi güvenliğine yönelik en tehlikeli iç tehditlerin başında (Tablo 4) bilgi gizliliğinin ihlali (%85) ve bilginin çarpıtılması (%64) gelmektedir. Bu tehditlerin her ikisi de “bilgi sızıntısı” kavramıyla özetlenebilir.

Üçüncü ve dördüncü sırada dolandırıcılık (%49) ve sabotaj (%41) yer alıyor. İlginç bir şekilde sektör çapında yapılan bir araştırmada sabotaj tehdidinin dolandırıcılık riskini neredeyse %15 oranında geride bıraktığı görüldü. Görünüşe göre, iletişim hizmetleri sağlamanın özellikleri nedeniyle dolandırıcılık en tehlikeli tehditlerden biri olarak kabul edilmektedir.

Masa 4 En tehlikeli siber güvenlik tehditleri

Personel ile idari işler

InfoWatch uzmanlarına göre kurumsal sabotajları önlemenin en iyi yolu önleyici tedbirler. Öncelikle şirketlerin işe aldıkları çalışanların referanslarını ve önceki çalışma yerlerini kontrol etmeleri gerekiyor.Son derece etkili bir diğer yöntem ise düzenli olarak personele BT güvenlik tehditleri ve sabotaj gibi konularda bilgi aktarılan eğitimler veya seminerlerdir. Bu yaklaşımla yönetim, sabotajcıyla ofiste etkileşime giren, onun sinirli davranışlarını gören, kendisine yönelik tehditler alan vb. çalışanlara güvenmektedir. Yetkili kişilerin bu tür olaylardan derhal haberdar edilmesi gerekmektedir.

Bir sonraki yöntem, en az ayrıcalık ilkesinin ve işlevlerin açık bir şekilde ayrılmasının kullanılmasını içerir. Normal ofis çalışanlarının idari yetkileri olmamalıdır. Yedeklemelerden sorumlu kişinin orijinal kaynaktaki verileri silemez olması gerektiği de açıktır. Ayrıca bu çalışan, başka bir çalışanın yedek kopyalara tecavüz etmesi durumunda amirlerini bilgilendirmekle sorumlu olmalıdır. Genel olarak yedek kopyaları koruma sorunu, bunların kopyaları oluşturularak çözülebilir. Bir şirketin kural olarak çok fazla kritik veriye sahip olmaması nedeniyle, birkaç yedek kopya oluşturulması tavsiye edilir.

Etkili şifre ve hesap yönetimi son derece önemlidir.

En iyi önleyici tedbir, yalnızca pasif (olay kayıtları) değil, aynı zamanda aktif (değerli bilgilerin korunması) izleme olarak adlandırılabilir. Bu durumda, şirketin dijital varlıklarına erişimi olan diğer çalışanlar değerli bilgileri silme hakkına sahip olmayacağından, yalnızca üst düzey yönetici şirkete gerçek zarar verebilecektir. Verileri kurumsal sabotaj da dahil olmak üzere iç tehditlerden korumak için piyasada halihazırda özel çözümler bulunmaktadır.

InfoWatch Kurumsal Çözüm

InfoWatch Kurumsal Çözümü (IES), içeriden öğrenenlere karşı koruma sistemleri geliştiricisi olan Rus şirketi InfoWatch tarafından sağlanmaktadır. Gizli bilgileri sızdırmanın tüm yolları üzerinde kapsamlı kontrol sağlamanıza olanak tanır: posta kanalı ve web trafiği, iş istasyonlarının iletişim kaynakları vb. Bugün, IES halihazırda hükümet (Ekonomik Kalkınma Bakanlığı, Gümrük Servisi), telekomünikasyon (VimpelCom) tarafından kullanılmaktadır. , finans (Vneshtorgbank ) ve yakıt ve enerji şirketleri (HydroOGK, Transneft).

IES mimarisi iki bölüme ayrılabilir: ağ trafiğini izleyen monitörler ve iş istasyonu düzeyinde kullanıcı işlemlerini izleyen monitörler. İlki, ağ geçitleri olarak kurumsal bir ağa kurulur ve e-posta ve web trafiğini filtreler; ikincisi ise kişisel bilgisayarlara ve dizüstü bilgisayarlara dağıtılır ve işletim sistemi düzeyinde işlemleri izler. Ağ monitörleri IWM ve IMM, InfoWatch Security Appliance adlı bir donanım cihazı olarak da uygulanabilir. Böylece müşteriye, posta ve web trafiği filtrelerinin yazılım veya donanım uygulaması seçeneği sunulur. Bu yaklaşımın faydaları en iyi şekilde coğrafi olarak dağıtılmış şubeleri kapsayan karmaşık bir bilgisayar ağının korunması sırasında ortaya çıkar.

İş istasyonu düzeyindeki monitörler arasında Info-Watch Net Monitor (INM) ve InfoWatch Device Monitor (IDM) bulunur. INM modülü dosya işlemlerini (okuma, değiştirme, kopyalama, yazdırma vb.) izler, kullanıcının Microsoft Office ve Adobe Acrobat'taki çalışmasını kontrol eder ve tüm eylemleri gizli belgelerle dikkatlice kaydeder.

Tüm bu işlevsellik, çıkarılabilir sürücülere, sürücülere, bağlantı noktalarına (COM, LPT, USB, FireWire), kablosuz ağlara (Wi-Fi, Bluetooth, IrDA) vb. erişimi kontrol eden IDM modülünün yetenekleriyle mantıksal olarak tamamlanmaktadır.

Ayrıca INM ve IDM bileşenleri dizüstü bilgisayarlarda çalışabilmekte ve güvenlik yöneticisi, çalışanın çevrimdışı çalışma süresi için geçerli olan özel politikalar belirleme olanağına sahiptir. Kurumsal ağa bir sonraki bağlanışınızda, kullanıcının uzaktan çalışırken belirlenen kuralları ihlal etmeye çalışması durumunda monitörler derhal güvenlik görevlisine bilgi verecektir.

IES'e dahil olan tüm monitörler, sızıntıları gerçek zamanlı olarak engelleme ve olayı anında bir güvenlik görevlisine bildirme yeteneğine sahiptir. Çözüm, kurumsal politikaları yapılandırmanıza olanak tanıyan merkezi bir konsol aracılığıyla yönetilir. Özel bir çalışanın olaylara hızlı ve yeterli bir şekilde müdahale edebileceği otomatik bir güvenlik görevlisi iş istasyonu da sağlanmaktadır. Bu nedenle kapsamlı bir IES çözümü, gizli bilgilerin içerdeki kişilerden korunmasına ilişkin tüm hususları ele alır.

Lumigent Entegra ve LogExplorer

Lumigent'in Entegra ve Log Explorer ürünleri, veritabanlarında saklanan bilgilerin pasif korunmasını sağlar. Veritabanlarını denetlemenize ve içindeki bilgileri geri yüklemenize olanak tanır.

Entegra ürünü, veritabanlarıyla çalışırken kullanıcı etkinliğini izler ve veritabanlarının kendisini denetler. Veritabanındaki kayıtları kimin, ne zaman ve nasıl görüntülediğini veya değiştirdiğini belirlemenin yanı sıra, veritabanına erişim için yapıyı veya kullanıcı haklarını değiştirdiğini belirlemenize olanak tanır. Ürünün herhangi bir kötü niyetli etkiyi engelleyemediğini, yalnızca loglama amacıyla bu işleme ilişkin bilgileri gönderebildiğini belirtmekte fayda var. Log Explorer, veritabanında yapılan tüm işlemlerin yedek bir kaydını tutar; bu, herhangi bir sorun olması durumunda, gerçekleştirilen işlemlerin analiz edilmesine, denetlenmesine ve yedek kopya kullanmadan kaybolan veya değiştirilen kayıtların geri yüklenmesine olanak tanır. Ancak aslında kurtarmadan bahsetmiyoruz; Log Explorer işlemleri geri almanıza olanak tanır. Dolayısıyla bu modül sızıntıyı engelleyemese de kayıtların bozulma riskini azaltabilir.

PC Erişimi

PC Activity Monitor (Acme), kullanıcı etkinliğinin iş istasyonu düzeyinde pasif olarak izlenmesine olanak tanır. Çözüm iki bölümden oluşuyor: merkezi bir yönetim aracı ve kuruluş çapındaki iş istasyonlarına dağıtılan birden fazla aracı. Ürünün ilk bileşenini kullanarak aracıları kurumsal ağ boyunca merkezi olarak dağıtabilir ve ardından onları yönetebilirsiniz. Aracılar, Windows 2000 veya Windows XP'ye çok derinlemesine yerleştirilmiş yazılım modülleridir. Geliştiriciler, aracıların işletim sisteminin çekirdeğinde bulunduğunu ve kullanıcının bunları yasa dışı olarak oradan kaldırmasının veya devre dışı bırakmasının neredeyse imkansız olduğunu bildiriyor. Aracıların kendisi tüm kullanıcı eylemlerini dikkatlice günlüğe kaydeder: uygulamaların başlatılması, tuşlara basılması vb. Ortaya çıkan olay günlüğünün, ayrıntı düzeyi açısından, bir bilgisayar ekranının dikkatli video gözetiminin sonuçlarına benzediği söylenebilir. Ancak ortaya çıkan günlük doğal olarak metin biçiminde sunulur. Merkezi yönetim konsolu, kayıtlı verileri tek bir bilgisayarda toplamanıza ve orada analiz etmenize olanak tanır. Ancak bu aşamada zorluklar ortaya çıkabilir. İlk olarak, bir güvenlik görevlisinin, BT güvenlik politikasını ihlal eden, sızıntıya yol açan vb. olayları tespit etmek için belirli sistem olaylarına ait yüz binlerce kaydı manuel olarak analiz etmesi gerekir. Ancak güvenlik görevlisi gerçeği tespit etmeyi başarsa bile bir sızıntı olursa zaten engelleyemeyecektir. Bu nedenle PC Acme, iş istasyonu düzeyinde tüm kullanıcı eylemlerinin pasif olarak izlenmesi için uygundur.

Proofpoint Mesajlaşma Güvenliği

Proofpoint'in donanım çözümü, e-postanız üzerinde tam kontrol sağlamanıza olanak tanır. Bu cihazı kullanarak mesajlarda virüs ve spam olup olmadığını kontrol edebilir, e-posta kaynaklarının kötüye kullanılmasını ve gizli bilgilerin e-postalara sızmasını önleyebilirsiniz. Gizli veri sızıntısına karşı koruma, bir içerik filtreleme mekanizmasına dayanır. İletilen mesaj gizli bilgiler içeriyorsa ürün sızıntıyı engelleyebilir. Proofpoint, belirli bir iletişim kanalını korumak için tasarlanmış klasik bir ürün örneğidir: e-posta. Böyle bir ürün, ana işlevin spam filtreleme ve virüs tespiti olduğu ve sızıntı önlemenin sadece hoş bir eklenti olduğu durumlarda kullanılabilir.

İçeridekiler nasıl yakalanıyor

İçeridekilere karşı kazanılan zaferin bir örneği, Şubat 2006'nın ortalarında Rus LETA IT şirketi tarafından gösterildi. Şirket içi BT güvenliğine yönelik yetkin yaklaşımı sayesinde şirket, resmi görevi kötüye kullanmaktan suçlu bulunan içeriden bir kişiyi etkisiz hale getirmeyi başardı. Dahili bir soruşturma, hesap yöneticilerinden birinin, yazılım tedariği için sözleşmeleri meşru işvereni aracılığıyla değil, kendisi tarafından oluşturulan bir paravan şirket aracılığıyla müzakere etmeye çalıştığını gösterdi. Kötüye kullanım, InfoWatch Mail Monitor kullanılarak hızlı ve erken bir şekilde tespit edildi.

ÇÖZÜM

Bu nedenle, ABD ve AB'de şirketler uzun süredir özel verilerin sızdırılmasından sorumlu tutuluyor ve yasa gereği mağdurlara sızıntı konusunda bilgi vermeleri gerekiyor. Zamanla Rusya'da böyle bir normun ortaya çıkacağını umuyoruz. Olumlu eğilimler zaten not edilebilir. Kendilerini sızıntılardan koruyan kuruluşların sayısı sürekli artıyor ve artmaya devam edecek.

Kuruluşlar, kendi işgücüne yönelik büyüyen tehdidin giderek daha fazla farkına varıyor ancak kendilerini korumak için çok az adım atıyorlar. Herkes öncelikli görevler listesine dahil edilmemiş, çalışanların bilgi güvenliği alanında eğitimi ve ileri eğitimi, bilgi güvenliği politikalarına uyumlarını izlemek için BT hizmet sağlayıcılarının çalışmalarının düzenli olarak değerlendirilmesi, yalnızca güvene dayalıdır. Bugün çok az kişi bilgi güvenliğini bir yönetim önceliği olarak görüyor.

Organizasyonların iş modelleri merkezileşmeye doğru evrildikçe, bazı işlevler dış yüklenicilere devredilmekte, dolayısıyla onların bilgilerinin güvenliğini kontrol etmek ve risk düzeyini değerlendirmek giderek zorlaşmaktadır. Şirketler iş devredebilir ancak güvenlik sorumluluğunu devretmemelidir.

Üst yönetimin yeterince ilgi göstermemesi, risk değerlendirmelerinin düzensiz olması ve insan faktörüyle ilişkili riskleri azaltmaya yönelik çabalara (çalışanların uygunsuz davranışları, gözetim, yerleşik kural veya standartların ihlali) yetersiz veya tam yatırım yapılmaması. Ana dikkat hala yalnızca virüsler gibi dış tehditlere veriliyor ve iç tehditlerin ciddiyeti hafife alınıyor: teknolojik araçlar (güvenlik duvarları, antivirüs koruması vb.) satın alma isteği var, ancak çözme arzusu yok Personel güvenliği sorunları.

Çalışanları ilgilendiren birçok olay tespit edilemiyor. Çalışmaların yazarlarına göre telekomünikasyon şirketleri bilgi güvenliğine bakış açılarını yalnızca iş yapmanın bir maliyet kalemi olarak değiştirebilir ve değiştirmelidir: bunu rekabet gücünü artırmanın ve şirketin maliyet potansiyelini korumanın yollarından biri olarak değerlendirin.

Bir dizi büyük şirket, kendilerini özel bilgilerin korunmasıyla yükümlü kılan çeşitli düzenlemelere tabidir. Genel olarak, içeriden bilgi ve sızıntı koruma çözümlerine olan talebin en az önümüzdeki beş yıl boyunca istikrarlı bir şekilde artması bekleniyor.

KULLANILAN literatürün listesi

1. InfoWatch. Haberler. Bir sızıntıyı tespit etmek ne kadar zor - Corbina Telecom. 2007

2. Sbiba V.Yu, Kurbatov V.A. Bilgi güvenliğine yönelik içeriden gelen tehditlere karşı koruma kılavuzu. St.Petersburg: Peter, 2008.

3. “KNS INFOTEKS” http://home.tula.net/insider/001b.htm.

4. Zenkin, D. İçeriden öğrenenler bilgisayar korsanlarından 75 kat daha tehlikelidir. C-Haber. Analitik. http://www.cnews.ru/reviews/index.shtml?2008/10/22/324142.

5. Paylaş, A. CitCity. İçeriden bilgi geliyor. http://citcity.ru/14874/

6. InfoWatch: İç tehditler: ortak tehlike karşısında. http://www.infowatch.ru/threats?chapter=147151398&id=153017335

7. Paylaş, A. Kurumsal ortamda sabotaj. http://www.directum-journal.ru/card.aspx?ContentID=1717301.

8. Telekom operatörlerinin temel bilgi güvenliği düzeyi. [İnternette] http://www.ccin.ru/treb_baz_u.doc.

9. A. Telekom güvenliğini paylaşın. http://citcity.ru/15562

10. A.V.'yi paylaşın Telekomünikasyonda iç bilgi güvenliği tehditleri. 2007. http://www.iks-navigator.ru/vision/456848.html.

11. Kostrov, D.V. Önerilerde, gereksinimlerde, standartlarda bilgi güvenliği. 2008

http://www.iks-navigator.ru/vision/2390062.html.

12. İletişim Bülteni: Telekomünikasyon şirketlerindeki içeriden kişilere karşı koruma.

http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.39.

13. Kendi arasında bir yabancı: yuvarlak masa toplantısı tutanakları. İletişim Bülteni. - 7 numara. 2006 http://www.vestnik-sviazy.ru/t/e107_plugins/content/content.php?content.59.

Birçok kuruluş iç sızıntılar alanında araştırmalar yürütmüştür. Bunların en büyüğü ve en ünlüsü, Ponemon Enstitüsü tarafından yürütülen Veri İhlali Tespitinde Belirsizlik çalışmalarıdır; Batılı analistlerin araştırması: CSI/FBI Bilgisayar Suçları ve Güvenlik Araştırması. Tablo 1 böyle bir çalışmayı göstermektedir.

Masa 1. Dolar cinsinden toplam hasara göre en tehlikeli siber güvenlik tehditleri

Tehditler	Hasar (dolar cinsinden)


Dizüstü bilgisayar hırsızlığı
Bilgi sızıntısı
Hizmet reddi
Finansal dolandırıcılık
Ağın veya e-posta içerisindeki kişilerin kötüye kullanılması
Telekom dolandırıcılığı
Organizasyondaki zombi ağları
Sistemi dışarıdan hacklemek
Kimlik avı (bir kuruluş adına)
Kablosuz Ağın Kötüye Kullanılması
İnternet mesajlaşma programlarının içeriden kişiler tarafından kötüye kullanılması
Herkese açık web uygulamalarının kötüye kullanılması
Verilerin ve ağların sabote edilmesi