Обзор Защита информации и бизнеса от инсайдеров подготовлен
CNewsAnalytics

Организационные меры защиты конфиденциальной информации

Организационные меры защиты конфиденциальной информацииГлубина проработки темы борьбы с внутренними ИТ-угрозами зависит от уровня паранойи в компании. Важно понимать, что владелец информации имеет право на ее защиту, и знать, что для этого доступны все средства — технические и организационные.

В процессе внедрения системы контроля над конфиденциальной информацией и защиты от инсайдеров шекспировское “быть или не быть” часто перетекает в дискуссию о преимуществах и недостатках технических средств и организационных мер. Аргументация апологетов той или иной позиции, включая дуалистическую, стройна и убедительна. Придраться, действительно, не к чему. Зачем нам оргмеры? Мы просто спугнем нарушителя и упустим возможность воспользоваться мечом правосудия. Надо втихую ставить фильтры и отслеживать инсайдеров. Так считают приверженцы программно-аппаратных средств. К чему тратить сотни тысяч долларов на всякие «железки»? Можно на всех рабочих станциях включить в трее «зелененькую штучку» и пустить по компании слух, что все теперь под колпаком, а увольняющимся давать $100, чтобы они всем говорили, что их выследила «зелененькая штучка». Это утрированное мнение сторонника организационных мер. Дуалисты выглядят наиболее убедительными, считая, что необходим комплекс и технических и организационных мер — только так возможно эффективно противостоять внутренним ИТ-угрозам в любом их проявлении.

Сложно не согласиться с мнениями всех сторон. Ведь каждая из них решает свои задачи. И поэтому затруднительно признать единую истину — она присутствует в каждой аргументации и отталкивается от конкретных целей внедрения.

Цели и методика внедрения системы защиты против инсайдеров

Цели и методика внедрения системы защиты против инсайдеров

Источник: InfoWatch, 2006

В зависимости от выбранной цели выбирается и методика организационных мера. Например, для достижения соответствия требованиям национальных и международных нормативных актов и стандартов (таким, как стандарт ЦБ РФ, Basel II, Sarbanes-Oxley Act, HIPAA, GLBA, Combined Code on Corporate Governance, ISO27001 и пр.) уровень применяемости оргмер определяется самим текстом. Причем всякий раз по-разному. Для решения проблемы сохранности информации оргмеры будут составлять одну из основных частей внедрения. Иногда на их реализацию потребуется до 70% всего времени проекта. В случае с выявлением канала утечки процесс должен происходить как можно незаметнее, чтобы не спугнуть подозреваемых, и оргмеры минимизируются до оперативно-розыскных мероприятий. Наконец, в целях доказательства непричастности компании к утечке информации необходимо внедрить столько оргмер, сколько потребуется для достижения цели.

В любом случае, у каждой компании будут возникать свои специфические цели и задачи. Вписать их в простую табличку — слишком самонадеянно. Универсального рецепта, так же как и идеальных условий не бывает. Компаниям придется рассматривать необходимость использования комплекса организационных мер при решении проблемы защиты от внутренних ИТ-угроз, отдельно для каждого конкретного случая.

Не стоит воспринимать перечисленный ниже комплекс организационных мер как истину в последней инстанции. Надежда на универсальность рецепта может испортить проект сродни эффекту картонного бронежилета. Компании необходимо самостоятельно принимать решение о выборе и интенсивности тех или иных мер. Вряд ли кто-то точнее может сказать, где болит у больного, кроме самого больного. К тому же перечисленные аспекты — далеко не полный список, а, скорее, наиболее распространенные меры.

Пугать или не пугать

Не вдаваясь в психологические аспекты защиты подробно, выделим два способа внедрения систем — открытый и закрытый. Как внедрять такую систему — решает сам заказчик, причем на самом высоком уровне. Безусловно, полностью реорганизовать документооборот незаметно для пользователей невозможно, тем более что часть процесса внедрения — ознакомление пользователей с процедурами доступа. Однако, если основная цель внедрения системы — выявление уже действующего канала утечки, определение всех его звеньев, причем не только исполнителей внутри компании, но и заказчиков информации вне ее, имеет смысл повременить с объявлением процедур и ставить в первую очередь мониторы активности пользователей и контентную фильтрацию почты и веб-трафика. В случае оперативной разработки в отношении сотрудников компании по договоренности с производителем имеет смысл замаскировать программные агенты на рабочих станциях под программы, которые не вызовут подозрений — антивирус или мониторы аудита программного обеспечения.

Если же внедрять систему защиты от внутренних угроз открыто, то за счет психологического фактора можно даже сэкономить. Известно, что при внедрении систем видеонаблюдения для защиты периметра на некоторых направлениях можно ставить неподключенные камеры — уже сам факт наличия видеокамеры наблюдения — на виду - часто останавливает значительную часть нарушителей. По аналогии, организация новой системы хранения, ознакомление сотрудников с новыми регламентами, появление и предание гласности инцидентов с попыткой вынести запрещенную информацию за пределы компании наверняка предотвратит хищения информации саботажниками и нелояльными сотрудниками.

Пользователи «без прав»

Было бы неправильным считать, что любое, даже самое совершенное программное обеспечение может решить все проблемы с утечками. Установленное ПО такого рода все равно будет время от времени проверяться сотрудниками на возможность преодоления защиты. Кроме постоянного тестирования системы безопасности, необходимо ограничить возможности потенциальных взломщиков. В первую очередь это достигается за счет лишения пользователей прав локального администратора на их рабочих местах. Эта, казалось бы, простая мера до сих пор не применена в большинстве компаний. Иногда оправданием этого служит наличие в компании унаследованного программного обеспечения, неспособного работать с операционными системами, поддерживающими удаленное управление. Выходом из этого может быть локализация рабочих мест с правами локального администратора для работы с унаследованным приложением, в отдельном сегменте сети, физическое или программное лишение рабочих мест устройств вывода и концентрация их в одном месте под контролем сотрудника, персонально ответственного за отсутствие утечек информации. Однако нужно понимать, что это решение является временным, и стратегически необходимо стремиться как можно скорее перенести  унаследованные приложения в более современные операционные системы.

Программы только по списку

Редко приходится видеть в компаниях такой документ, как список программного обеспечения, допустимого к установке на рабочих станциях. А там где он есть, на его составление подвигает не столько беспокойство за утечки конфиденциальной информации, а, скорее, понимание того, что сотрудники могут использовать предоставленный им для работы компьютер для развлечений. Иначе невозможно объяснить наличие в этом списке, например, мощного файлового менеджера вроде FAR или Total Commander. Возможно, встроенный в операционную систему Windows Explorer действительно неудобен, но зато он не позволяет копировать временные файлы и много других низкоуровневых, но потенциально опасных операций с точки зрения сохранности конфиденциальной информации. Что выгоднее компании — заставить сотрудников пользоваться штатными средствами операционной системы или оставить мощный инструмент похищения данных? Ответ напрашивается сам собой, но большинство компаний, видимо, даже не ставит этот вопрос.

После составления списка программного обеспечения необходимо обеспечить его установку на все рабочие станции и ограничить запуск других программ без участия администратора.  Принцип «все, что не разрешено — запрещено» в этом случае должен выполняться неукоснительно. Это избавит компанию от будущих проблем с утечками через злонамеренных нарушителей. Они просто не смогут работать с программным обеспечением, которое может использоваться для обмана, например, механизмов контентной фильтрации — шифрование и стеганографию.

Не ищите сложных путей

Небольшими организационными мерами можно решить очень большие проблемы. Когда-нибудь решение следующей задачи будут изучать в университетах. Одно федеральное ведомство серьезно страдало от регулярных утечек своей базы данных, которая имела устойчивый спрос на пиратских рынках. Контролировать все точки доступа к базе было технически очень сложно, и отдел информационной безопасности придумал следующий ход. Рассудив, что хищением информации занимается не больше десятка человек, причем вряд ли управляемых из одного центра, они попросили администраторов базы ограничить объем ежедневных запросов 20 мегабайтами. Все что больше — по дополнительной заявке с обоснованием служебной необходимости. Вряд ли нарушители захотят проявить себя регулярными просьбами об увеличении лимита. Поскольку вся база занимала несколько гигабайт, выкачать ее за месяц одному человеку не представлялось возможным. Поскольку база меняется ежедневно, сшитые куски, скопированные в разные дни, нарушали актуальность базы. Через некоторое время базу перестали покупать, а потом, ввиду отсутствия спроса — и похищать. Предотвратить утечки в данном случае удалось без дополнительных материальных затрат.

Грамотный пользователь опасен

И, конечно, необходимо постоянно работать с пользователями. Обучение пользователей, воспитание бдительности сотрудников, инструктаж новичков и временных сотрудников во многом сможет предотвратить утечки через незлонамеренных пользователей. Любое копирование информации на сменный носитель должно вызывать вопросы коллег — ведь лояльные сотрудники пострадают вместе с компанией, а значит, находятся по одну сторону баррикад.

Высокая компьютерная квалификация пользователей не всегда является плюсом. В западной литературе встречается термин overqualified — что можно перевести как «слишком квалифицированный» или «переквалифицированный». Причем, излишняя квалификация в компьютерных навыках является более серьезным недостатком, чем квалификация недостаточная. Ведь научить недостающим навыкам можно всегда, а как заставить человека забыть уже имеющиеся навыки? Задайте себе вопрос, правильно ли, если сотрудник бухгалтерии обладает навыками системного администратора, а оператор на атомной станции заочно учится на эксперта по компьютерной безопасности? Выявление «специалистов-любителей» возможно во время традиционной аттестации.

Ограничить физические утечки

Еще один канал утечки информации — физический вынос носителей с резервными копиями. Понятно, что после абсолютно легального резервного копирования никакое программное обеспечение не в силах остановить физический вынос злоумышленником носителя. Поэтому сейчас используется несколько способов защиты этого канала утечки. Первый — анонимизация носителей, т.е. сотрудники, имеющие доступ к носителям не знают, какая информация записана на каком носителе, они управляют только анонимными номерами носителей. Те сотрудники, которые знают, на каком носителе находится какая информация, в свою очередь не должны иметь доступ к хранилищу носителей.

Второй способ — шифрование информации при резервном копировании, поскольку даже вынесенная и скопированная информация потребует некоторого времени и дорогостоящей вычислительной мощности на расшифровку. Безусловно, здесь работают все технологии хранения ценных вещей — замки, открывающиеся только двумя ключами, находящимися у разных сотрудников, несколько уровней доступа и т.д. С развитием технологий RFID и GPS, возможно, появится решение, при котором внедренные в каждый носитель радио-метки будут сигнализировать о попытках вынести его за пределы хранилища и даже посылать сигналы об их местонахождении.

Создать модель нарушителя

Развернув систему мониторинга действий с конфиденциальной информацией, кроме наращивания функционала и аналитических возможностей, можно развиваться еще в двух направлениях. Первое — интеграция систем защиты от внутренних и внешних угроз. Инциденты последних лет показывают, что существует распределение ролей между внутренними и внешними злоумышленниками и объединение информации из систем мониторинга внешних и внутренних угроз позволит обнаруживать факты таких комбинированных атак. Одной из точек соприкосновения внешней и внутренней безопасности является управление правами доступа, особенно в контексте симуляции производственной необходимости для увеличения прав нелояльными сотрудниками и саботажниками. Любые заявки на получение доступа к ресурсам, не предусмотренным служебными обязанностями, должны немедленно приводить в действие механизм аудита действий с этой информацией. Еще безопаснее решить вдруг возникшие задачи без открытия доступа к ресурсам.

Приведем пример из жизни. Системному администратору поступила заявка от начальника отдела маркетинга на открытие доступа к финансовой системе. В качестве обоснования заявки было приложено задание генерального директора на маркетинговые исследования о процессах покупки товаров, производимых компанией. Поскольку финансовая система — один из самых охраняемых ресурсов, и разрешение на доступ к нему дает генеральный директор, начальник отдела информационной безопасности на заявке написал альтернативное решение — доступа не давать, а выгрузить в специальную базу для анализа обезличенные (без указания клиентов) данные. В ответ на возражения главного маркетолога о том, что ему так работать неудобно, ему директором был задан вопрос «в лоб» - «Зачем тебе названия клиентов — слить базу хочешь?». Была ли это попытка организовать утечку информации, мы теперь уже никогда не узнаем, но как бы ни было, корпоративная финансовая система оказалась защищена. 

Предотвращение утечек на этапе подготовки

Другое направление развития системы мониторинга внутренних инцидентов с конфиденциальной информацией — построение системы предотвращения утечек. Алгоритм работы такой системы тот же, что и в решениях по предотвращению вторжений. Сначала строится модель нарушителя, по ней формируется «сигнатура нарушения», т.е. последовательность действий нарушителя. Если несколько действий пользователя совпали с сигнатурой нарушения, прогнозируется следующий шаг пользователя, если и он совпадает с сигнатурой — подается сигнал тревоги. Например, был открыт конфиденциальный документ, часть его была выделена и скопирована в буфер, затем был создан новый документ, и в него было скопировано содержимое буфера. Система предполагает, что если дальше новый документ будет сохранен без метки конфиденциально — это попытка похищения. Еще не вставлен USB-диск, не сформировано письмо, а система информирует офицера информационной безопасности, который принимает решение — остановить сотрудника или проследить, куда уйдет информация.

К слову, модели (в других источниках — «профили») поведения нарушителя можно использовать не только при помощи сбора информации с программных агентов. Если анализировать характер запросов к базе данных, всегда можно выявить сотрудника, который рядом последовательных запросов к базе пытается получить конкретный срез информации. Необходимо тут же проследить, что он делает с этими запросами, сохраняет ли их, подключает ли сменные носители информации и т.д.

Аутсорсинг снижает вероятность утечки

Сейчас развивается рынок услуг по аутсорсингу информационных систем, которые обеспечивают хранение информации в защищенном режиме, загрузку ее в арендуемые приложения и выдачу удаленно по запросам. Data-центр — ядро компании, оказывающей такие услуги - изначально проектируется таким образом, чтобы свести к минимуму вероятность утечек. Принципы анонимизации и шифрования данных для них - обязательное условие организации хранения и обработки, а удаленный доступ можно организовать по терминальному протоколу, не оставляя на компьютере, с которого организуется запрос, никакой информации. Причем упомянутые программные и организационные решения для таких центров — средства производства и конкурентные преимущества, поэтому цена является для них меньшим препятствием, чем для компаний, приобретающих эти решения для себя. Возможно, с развитием рынка этих услуг внутренняя безопасность информации трансформируется в обеспечение безопасности data-центров.

Внутрикорпоративная нормативная база

Трудно однозначно сказать, насколько под определение оргмер можно подвести создание внутрикорпоративной нормативной базы. Однако этот вопрос требует обязательного рассмотрения, пусть даже в части только наиболее важных моментов. Прежде всего, необходимо выделить три основных уровня применения нормативной базы в компании.

Первый — уровень предприятия. Это отправная точка, откуда должна распространяться организационная составляющая защиты конфиденциальной информации на все остальные уровни. Как правило, здесь задействуются все ключевые отделы организации под постоянной, непосредственной протекцией и мотивации высшего руководства. Практика показывает, что без выполнения последнего требования любое, самое благое начинание постепенно тонет в потоке повседневной текучки и спускается на тормозах. Вполне очевидно, что у ИТ, HR, ИБ-отделов  всегда есть, чем заняться, и туманные угрозы со стороны инсайдеров их не очень сильно беспокоят. Гораздо важнее выполнить план или освоить бюджет. Топ-менеджмент, зачастую, обладает пониманием последствий всего лишь одной утечки и имеет рычаги управления, дабы не дать процессу провалиться.

Самым важным нормативным актом уровня предприятия в процессе внедрения системы защиты конфиденциальной информации является Положение о конфиденциальности электронной информации. Это высокоуровневый документ, описывающий корпоративную парадигму отношения к данным. Он опирается непосредственно на классификацию информации, которая выделает строго конфиденциальные, конфиденциальные и неконфиденциальные документы и данные. Наконец, неотъемлемой частью этого уровня являются трудовые соглашения и должностные инструкции, описывающие права и обязанности сотрудников. Важный момент, который должен найти отражение в этих документах, состоит в отчуждении всей информации с рабочего места сотрудников в пользу компании. С одной стороны, это означает свободу действий организации в отношении просмотра, фильтрации, задержки и др. корпоративных данных, а также систематизацию ролей различных служащий. А с другой — защиту компании от возможных встречных исков со стороны обнаруженных инсайдеров по обвинению в нарушении их конституционных прав на тайну переписки.

На уровне информационной системы важно определить регламент пользования корпоративной информационной системой, регламент пользования приложениями и требования к системному ландшафту. Эти документы закрепляют состояние информационной системы, позволяют контролировать запуск потенциально опасных приложений и достичь соответствия корпоративной сети специфическим требованиям для контроля и аудита конфиденциальной информации.

Наконец, на самом нижнем, но, вместе с тем, ни чуть не менее важном уровне, требуется определить поведенческую модель нарушителя, политики доступа к информации и политики действий с информацией. По сути, именно здесь происходит непосредственная работа по контролю и аудиту действий пользователей. Между каждым пользователем, группами пользователей и каждым документом создаются отношения прав, внедряются механизмы журнализации и предотвращения несанкционированных действий. Наконец, на этом этапе компания узнает, с кем она борется, создавая портрет нарушителя.

Все средства хороши

Глубина проработки темы борьбы с внутренними ИТ-угрозами зависит от уровня паранойи в компании. Предела совершенству нет — Большой Брат, придуманный Оруэллом, стремится знать все обо всех. Важно понимать, что владелец информации имеет право на ее защиту, и знать, что для этого доступны все средства — технические и организационные. И важно противопоставить комплексную систему защиты информации тем сотрудникам, которые, прикрываясь разговорами о нарушении конституционного права на невмешательство в личную жизнь, пытаются использовать данные им во исполнение служебных обязанностей ресурсы в собственных неблаговидных целях. Перефразируя классика новейшей истории: «Только тот бизнес чего-либо стоит, который умеет защищаться».

Денис Зенкин

Вернуться на главную страницу обзора

Версия для печати

Toolbar | КПК-версия | Подписка на новости  | RSS