Юридическая клиника «Защита прав обманутых вкладчиков»
Защита от инсайдеров - проблема нетехническая
Дата: 16.02.2008Источник: CIO-world.ru
Автор: Михаил Емелянников
... тенденция такова, что чем меньше организация (или информационная система), тем чаще функции обеспечения информационной безопасности в ней выполняют специалисты ИT-подразделения, которые если и понимают значимость защитных мер, объективно гораздо больше озабочены такими составляющими безопасности, как целостность и доступность информации, чем ее конфиденциальностью. Очевидно, что эффективная система защиты информационных ресурсов всегда является результатом компромисса между требованиями оперативности доступа к ресурсам и их безопасности — ни один замок открывание двери никак не упрощает и не ускоряет. Поэтому требования обеспечения безопасности часто не задаются вообще, а если и задаются, то чисто формально, «чтобы были», а не для того чтобы ими руководствоваться в повседневной жизни.Вторая причина успеха инсайдерских усилий кроется в том, что созданная система управления доступом к ресурсам неэффективна и не решает поставленных перед ней задач. Процедура предоставления доступа к сведениям документально либо не определена, либо не выполняется, владельцы «чувствительных» ресурсов и/или ответственные за их использование не назначены, их администрирование обезличено, каждый администратор может под коллективным аккаунтом получить доступ к системе. В результате фактически любой сотрудник предприятия просто по телефонному звонку может получить доступ к любому ресурсу, а часто целая группа использует одну и ту же пару «логин – пароль» для работы с тем или иным приложением и хранилищем документов.
Третьей причиной, которую часто упускают из виду, может быть то, что работники организации просто не знают об ответственности за неправомерные действия с информацией, доступ к которой ограничен. А российское законодательство — уголовное, административное, трудовое, гражданское — определяет целый набор карательных механизмов, которые могут быть применены к нерадивому или «мотивированному» конкурентом пользователю системы — от 10 лет лишения свободы по ст. 183 Уголовного кодекса («Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну») до увольнения с работы по ст. 81 Трудового кодекса («Разглашение охраняемой законом тайны /государственной, коммерческой, служебной и иной/, ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника»). Там, где защите информации уделяется серьезное внимание, подобные меры работают. В 2006 г. по признакам преступлений, предусмотренным ст. 183 УК, в России было возбуждено 188 уголовных дел, из них 138 — доведено до суда.
Четвертая причина заключается в том, что персонал зачастую просто не обучен безопасной работе в информационных системах. Если какие-то требования или правила работники и прочитали, то они остались пустым звуком, поскольку никто не учил их правильно составлять свой пароль, чтобы его нельзя было подделать или угадать, ничего не рассказывалось о правилах «гигиены безопасности» — не оставлять компьютер включенным при выходе из комнаты, не записывать и никому не передавать логины и пароли, не оставлять без присмотра аппаратные средства аутентификации, самостоятельно не грузить с оптических дисков программное обеспечение или информационные материалы, не посещать сомнительных сайтов в Интернете и не открывать приложения к электронным письмам от неизвестных отправителей и т. д. Очень часто обучение работе в новой информационной системе, новом приложении, внедренных в деятельность предприятия, не предусматривает даже короткого раздела, касающегося мер безопасности. В странах с высоким уровнем информационных технологий повышение осведомленности персонала давно стало одной из популярных услуг на рынке информационной безопасности, у нас же убедить руководителя вложить средства в обучение конечных пользователей мерам безопасности обычно удается только после серьезного инцидента с печальными, а то и катастрофическими последствиями.
И, наконец, пятая, последняя причина — отсутствие на предприятии контроля над действиями работников или его бессистемное и беспорядочное ведение. Общее правило заключается в том, что даже самые хорошие правила не будут выполняться, если их реализация систематически не контролируется. Если человек допускает умышленные нарушения корпоративной политики безопасности, но за ними не следует никакой реакции, появляется ощущение полной безнаказанности, а сами правила воспринимаются как абстрактные, не имеющие никакого отношения к практической деятельности. Их постепенно перестает выполнять (или даже не начинает, если правила вводятся впервые) весь персонал.
Что делать?
После получения ответов на все предыдущие вопросы вполне резонно задать следующий: «И что же тогда делать?» Ответ опять-таки очевиден: четко сформулированным угрозам противопоставить простые и ясные меры противодействия.
Для четырех рассматриваемых угроз — четыре «противоядия»:
> корысти — материальная заинтересованность;
> ненависти — корпоративная политика лояльности;
> страху — правовая помощь работодателя и государственных органов;
> некомпетентности — обучение персонала и повышение его осведомленности.
Когда работнику невыгодно красть информацию, так как разовое вознаграждение за кражу существенно ниже доходов даже в среднесрочной перспективе, — скорее всего, похищать и продавать сведения он не станет.
Когда в организации присутствует корпоративная культура поведения, осуществляется мониторинг микроклимата в коллективе, а при его ухудшении и возникновении конфликтов идет поиск меры воздействия, от проблем работника не отмахиваются, а пытаются их решить, когда все видят перспективы роста (карьерного, материального, профессионального), даже расставание с ценным специалистом проходит безболезненно, без хлопанья дверью и поливания помоями уходящих или остающихся.
Когда работник знает, что в случае опасности он может обратиться за помощью в соответствующую службу работодателя (безопасности, кадровую, юридическую или др.) и его не оставят наедине с возникшими проблемами (иногда действительно очень серьезными), заставить его действовать под принуждением будет достаточно сложно.
Когда персонал периодически обучается, ни одно нововведение не становится катастрофой из-за неумения работать на новом оборудовании, с новой программой или системой, ошибок и случайностей будет гораздо меньше. Избежать полностью их нельзя, важно, чтобы количество ошибок и их последствия не были критичными для организации.
Чем поддержать?
Далее наступает очередь именно технических решений, которые должны поддержать описанные выше организационные. Поддержка должна осуществляться эффективной системой технических мер обеспечения информационной безопасности, а также регистрацией действий пользователей и контролем над соблюдением установленных правил.
В свою очередь, технические меры должны обеспечивать реализацию трех групп защитных механизмов:
> управление аутентификацией, доступом и правами;
> блокирование недопустимых действий пользователей;
> резервирование защищаемой информации.
Контроль должен максимально снизить возможность несанкционированных действий и в общем случае включает в себя контроль:
> следования установленным политикам;
> исполняемых программ;
> процедур;
> внешних связей пользователей;
> над электронными документами и электронными правами;
> над использованием внешних устройств ввода-вывода.
Для успешной реализации технических мер защиты в организации должны быть утвержденные политики (правила) безопасности, определяющие, какие меры и как должны реализовываться, внедрены программно-аппаратные и аппаратные средства защиты информации, обеспечивающие заложенный в политиках функционал, гарантированы доведение установленных правил до персонала организации и обучение как технических специалистов правилам эксплуатации средств безопасности, так и конечных пользователей — правилам безопасной работы в информационных системах.
Организация эффективного контроля над установленными правилами и действиями пользователей предполагает разработку специального регламента контроля, в котором будет четко установлено, кто конкретно (какое подразделение), что (какие средства и процедуры) и как контролирует. Ответ на вопрос «как?» подразумевает определение периодичности мониторинга, использование для его реализации специальных средств (программ), выполняющих контроль как в автоматическом, так и в ручном режимах, а также порядка принятия решений о проведении тех или иных контрольных мероприятий и их объектах.
Какой бы хороший регламент ни был создан, далее необходимо получить согласие пользователей на контентный анализ электронной переписки (фактически ее перлюстрацию). По этому поводу написано очень много, но по твердому убеждению автора, анализ содержимого без согласия пользователей противоречит российскому законодательству.
Следующий шаг — техническая реализация предусмотренных регламентом мер контроля (закупка, установка и запуск в эксплуатацию соответствующих средств). Затем организуются мониторинг результатов контроля, разбор выявленных инцидентов и нарушений, принятие мер по результатам разбора. Мониторинг без административного расследования, выявления и наказания виновных, реакции руководства на нарушения столь же бесполезен, как и принятие соответствующих правил без организации контроля их исполнения.
В заключение хотелось бы еще раз подчеркнуть, что бороться с инсайдерской угрозой надо в первую очередь в «головах» персонала, подкрепляя соответствующие организационные меры техническими средствами, обеспечивающими проверку выполнения...
| Добавить комментарий |
| Всего 0 комментариев |
