информационная безопасность - Узнайте все об инсайдерской

________________________________________________________________________
ФАКУЛЬТЕТ
« ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ »
________________________________________________________________________
Реферат
на тему:
«Борьба с инсайдерами при помощи внутренней политики информационной
безопасности»
Исполнители:
студенты гр. Б9-02
Гнедков М.
Зензин И.
Сенчугов К.
Принял доц. каф. 41 Журин С.И.
________________________________________________________________________
Москва – 2008
____________________________________________________________________________________
Содержание
Введение…………………………………………………………………………………………………3
1 Цели и методика внедрения системы защиты против инсайдера…………………………………4
2 Строение безопасности в Cisco Systems……………………………………………………………7
3 Опыт и проблемы внедрения внутренней ИТ-угрозы…………………………………………….12
4 Строение политики внутренней информационной безопасности в
компании - разработчике «Адвантум»……………………………………………………………….22
5 Строение политики внутренней информационной безопасности компании «RusGPS»……….32
6 Собственное специфическое решение по противодействию утечки информации……………..34
7 Применение полиграфа в компаниях………………………………………………………………35
8 Политика ВИБ и ОИП в компании «Адвантум»…………………………………………………..45
9 Формирование общей политики безопасности……………………………………………………51
Заключение…………………………………………………………………………………………….53
Список использованных источников…………………………………………………………………55
2
Введение
Инсайдер - сотрудник организации, имеющий в силу своих должностных полномочий
доступ к конфиденциальным сведениям и жизненно важным ресурсам ее системы.
В данной работе рассмотрено и проанализированной несколько фирм, у которых
инсайдерская угроза стоит на первом месте. Описано, какими ресурсами готовы пожертвовать и
какие новшества внедрены во внутреннюю политику информационной безопасности. По словам
представителей компаний, если взглянуть на классификацию продуктов и услуг в области
информационной
безопасности, мы не
увидим там
ни
одного продукта,
способного
контролировать внутренние ИТ-угрозы, в частности утечку и искажение конфиденциальных
данных. Ни межсетевые экраны, ни антивирусные продукты, ни системы обнаружения вторжений
не могут предотвратить злоупотребления пользователей. Системы разделения доступа,
биометрические и другие системы идентификации, шифрование конфиденциальных данных также
не способны защитить информацию — у инсайдера есть все права доступа, пароли и ключи.
Миллиарды долларов, вложенные в эти системы безопасности, оказались бессильными против
рядового клерка с iPod-ом. Большинство электронных утечек в последние годы было раскрыто и
предотвращено не средствами информационной безопасности, а старыми добрыми оперативными
средствами — физическим слежением за сотрудниками, кадровой работой.
3
1 Цели и методика внедрения системы защиты против инсайдера
Таблица 1
Цель
Внедрение
Соответствие
требованиям Внедрение контролей, проверяемых при аудите
нормативных стандартов
Сохранность информации
Открытое внедрение в сочетании с кадровой работой
Выявление канала утечки
Скрытое внедрение
Доказательство непричастности Архивация
движения данных
и
сетевых
операций
для
доказательства того, что источник утечки не внутри фирмы
Модель системы защиты от внутренних ИТ-угроз заложена в стандарты и внедрять эту
систему нужно, прежде всего, таким образом, чтобы пройти аудит на соответствие описанным
стандартам. В этом случае при конфликте функционала системы между эффективностью и
соответствию стандартам выбор делается в ущерб эффективности. Следует также отметить, что ни
один регулирующий орган не рекомендует даже тип продуктов, которыми следует защищаться и
часть угроз допускается закрывать организационными средствами.
1.1 Сохранение информации.
Этот ответ чаще всего возникает после реального инцидента с утечкой конфиденциальной
информации. В этом случае заказчик не связан стандартами, а волен строить защиту своей
информационной системы исходя из собственного понимания и имеющихся средств. Тогда для
усиления эффективности защиты внедрение технических средств сопровождается работой с
персоналом. В эту работу входят как инструктажи и тренинги, так и адаптация под новые условия
и переподписание трудовых соглашений, должностных инструкций и регламентов использования
информационной системы.
Психологический фактор работает на защиту информации. Зная о том, что их действия
контролируются, многие потенциальные нарушители откажутся от намерений нарушить политику
безопасности.
Поэтому
внедрение
такой
системы
должно
сопровождаться
гласными
мероприятиями, политики внутренней безопасности должны быть внедрены приказом за
подписью первого лица. Однако конкретное технологическое решение лучше не афишировать,
чтобы злоумышленники не работали против конкретной системы.
1.2 Выявление источников и каналов утечки информации
Эта цель встает перед заказчиком, если он знает о регулярных случаях утечки информации
из своей информационной системы. Если компания концентрируется на этой цели, то перед ней
4
встают совершенно другие задачи. Этот тип внедрения противоположен предыдущему. Прежде
всего, упор делается на скрытом внедрении и сборе доказательств. Часто при скрытом внедрении
установка программного обеспечения маскируется под обновление другой системы безопасности,
например, антивируса.
Сбор доказательств – не менее важная часть такого внедрения. Ведь мало выявить источник
утечек, необходимо иметь возможность его наказать в рамках действующего законодательства. В
общих чертах ситуация следующая: сбор цифровых доказательств (журналов доступа, копий
писем и т.д.) строго регламентируется законодательством. Чаще всего для того, чтобы
доказательства
были
признаны
в
суде,
требуется
специальным
образом
опечатанный
спецслужбами сервер, к которому, кроме спецслужб, доступа никто не имеет. Но даже и в случае
признаний этих доказательств судом, они покажут не на человека, а на его цифровую "копию" почтовый ящик, учетную запись, IP-адрес и т.д. Доказать, что в момент нарушения за
компьютером находился конкретный человек достаточно сложно. Учитывая презумпцию
невиновности, бремя доказательства лежит на работодателе. Технические средства, которые могут
быть использованы для этого – биометрические ключи и видеонаблюдение.
1.3 Права пользователей.
Как обычно обстоят дела в информационной системе компании, офицеру информационной
безопасности которой поручено создать технологическую инфраструктуру по защите от
внутренних ИТ-угроз? Во-первых, отсутствует единая политика по стандартизации процессов,
происходящих на рабочих местах пользователя. Это означает, что часть пользователей обладает
правами локальных администраторов. Обычно это две группы пользователей – пользователи
устаревших операционных систем (MS Windows 98, например) и пользователи ноутбуков. Это
также означает, что копии конфиденциальных документов хранятся на рабочих местах. Кроме
того, на рабочих местах установлено потенциально опасное ПО – файловые менеджеры, которые
могут проводить операции с временными файлами Windows, программы синхронизации с
мобильными устройствами, программы шифрования и т.д.
1.4 Квалификация пользователей
Пользователи с каждым годом становятся все более квалифицированными. Имея дома
компьютер с доступом в Интернет, а то и локальную сеть, они приобретают навыки, которые
могут оказаться опасными для информационной безопасности предприятия. Рядовой пользователь
компьютера сегодня умеет устанавливать программы, снимать процессы, выходить в Интернет по
мобильному телефону, передавать информацию в зашифрованном виде и т.д.
5
1.5 Средства защиты
Нельзя сказать, что никакие меры по защите информации от внутренних угроз в типичной
компании не принимаются. Обычно заказчики относят к этому типу технические решения по
контролю доступа к ресурсам (Интернет, корпоративная почта и USB), а также сигнатурную
фильтрацию (обычно специальным образом настроенный антиспам-фильтр). Однако эти методы
действенны лишь против неосторожных либо неквалифицированных нарушителей. Запрещенный
доступ злонамеренные сотрудники обычно получают имитацией служебной необходимости – не
стоит забывать, что мы говорим о внутренней ИТ-безопасности, т.е. методы "запретить все"
неприменимы, так как приведут к остановке бизнеса.
Таким образом, компании имеют необходимость, с одной стороны, упорядочить систему
хранения конфиденциальной информации, с другой стороны, внедрить более совершенную
систему защиты от внутренних угроз.
6
2 Построение безопасности в Cisco Systems
Рассматривая и анализируя компанию Cisco Systems, стоит отметить несколько
основополагающих моментов. Один из них – это кодекс поведения сотрудников [1]. Каждый из
сотрудников в начале каждого года должен ознакомиться с этим документом и расписаться (в
электронном виде) об этом. Какой информацией должен владеть и к каким файлам имеет доступ, а
так же что в праве имеет делать сотрудник, а чего нет. Компания является многонациональной и
поэтому данный документ доступен практически на всех основных языках тех стран, где
встречаются
офисы
компаний,
чтобы
избежать
неправильного
понимания
сего
основополагающего документа. Второй аспект, это то, что компания трактует своих сотрудников
как
добропорядочных членов общества, т.е. существуют
доверительные отношения с
сотрудниками, об этом будет упомянуто позже. Конечно, сотрудник, ознакомившийся с кодексом
поведения, может принести ущерб компании, как в техническом плане, так и в гуманитарном, т.е.
неумышленно передать информацию третьим лицам. А также умышленное хищение важной
информации. И так, по словам Кадера Михаила Юрьевича можно сделать вывод о разделении
ущерба. Значит, разделяем ущерб на [3]:
1) непредумышленный с несоблюдением требований;
2) умышленный.
Второй вид ущерба - умышленный мы почти исключаем, т.к. Cisco Systems основывает
свою
внутреннюю
безопасность
информационной безопасности CS
сотрудникам,
на
доверии
сотрудников.
По
мнению
сотрудников
очень важно доверять работе персоналу, и верить
что не произойдет утечка данных в своих корыстных целях. Как выше было
сказано, умышленный ущерб мы почти исключаем. В своих экономических интересах, сотрудники
компании могут воспользоваться конфиденциальной информацией, находящейся под грифом
секретности 1Г и выше, в целях продать полезную информацию конкурентам компании, либо в
каких то своих корыстных целях, что и приносит убыток и вред CS. Поэтому и идет борьба с
коррупцией на предприятии. В случае хищения информации, в первую очередь оценивается
принесенный убыток. Известно, что безопасность – это управление рисками. И если убыток не
превышает затрат на обеспечения безопасности и выявления нарушителя, то эту утечку
информации берут на заметку и дальнейшее расследование.
Что касается непредумышленного
ущерба, борьба с таким нарушением следующая.
Компания проводит обязательный ежегодный тренинг по безопасности для всех сотрудников. Так
же раз в квартал инструктирование всех сотрудников Cisco Systems.
Стоит отметить и технические моменты, что способствует минимизировать ущерб
компании. Из технических средств используются:
7
1) На всех компьютерах компании стоит лицензионное и сертифицированное
программное обеспечение Cisco Security Agent, которое обеспечивает информационную
безопасность и борьбу с угрозами как извне, так и изнутри.
2) Так же используется Mail Security, это ПО используется для внутренней
информационной безопасности. Предназначено для следующих задач:
а) Антиспам;
б) Проверка приходящей почты на вирус;
в) Утечка через электронную почту.
Раз мы говорим об инсайдерах, то следует отметить используемую защиту в CS:
1) ПО для инвентаризация;
2) Установка ПО удаленно.
В компании существуют 3 категории классифицированных документов [1]:
1) Cisco Public – документы доступны без ограничений любому пользователю и
посторонним лицам.
2) Cisco Confidentional – это вид документов доступен партнерам компании и сотрудникам,
и не подлежит разглашению.
3) Internal Use Only – только для сотрудников и внутреннего пользования. Доступ к такому
виду документов имеют не все сотрудники CS, а только те, у кого есть допуск
секретности на предприятии. Вся информацию таких документов
к такой форме
разглашению не подлежит.
Очень важный момент, что все документы поделены на классы, прикрепленные к каждой
группе. В случае утечки одного из документов, такой метод разделения облегчит выявление
нарушителя.
Как уже было сказано, CS основывается на доверии сотрудников и не позволяет следить за
сотрудниками скрытно. После разговора с инженером – консультантом
Кадером Михаилом
Юрьевичем о скрытном слежении, т.е. вести мониторинг скрытно. Михаил Юрьевич ответил
кратко: « Конституция США не позволяет такой метод слежения, т.е. секретно. Политика
безопасности основывается полностью на конституции США»
В случае возникновения проблемы, обнаружения вируса или атаки, как со стороны
внешних угроз, так и внутренних, предпринимаются следующие меры:
1) Идентифицируется проблема;
2) Передается в компанию Infosec. Специалисты ИТ-компании анализируют проблему (что
именно послужило утечкой информации, либо проникновению вируса), и следом создается
тестовая площадка. Если тест прошел успешно, то создается пилотная зона. По результатам
8
пилотной зоны происходит внедрение, непосредственно в CS. Внедрение происходит не
глобальное, на все компьютеры компании, а только 10-15% всех компьютеров CS. Это в своем
роде происходит как бета-тестирование. Далее внедрение идет на все ПЭВМ, причем, как было
упомянуто, удаленно. Внедрение на все компьютеры компании происходил в максимально
короткие сроки, в течении 3 недель. (рис.2)
2.1 Схемы безопасности и внедрения в CS, в частности касается внедрения CSA (Cisco
Security Agent)
2.1.1 3 Кита безопасности Cisco.
Рисунок 1 – 3 кита безопасности
Для
эффективного
управления
рисками
в
IP-сетях
необходимо
внедрить
непрерывный, итерационный процесс:
- Проактивное применение политик, регулирующих поведение пользователей и защиту сети и
сервисов
- Активный мониторинг сетевого и
пользовательского поведения для проверки соответствия
политике и обнаружения событий, негативно влияющих на сервисы
9
- Быстрое реагирование на атаки, их отражение и предотвращение
вредоносного поведения
пользователей
2.1.2 4 составляющих стратегии
• физическая безопасность и безопасность рабочего пространства
• информационная безопасность
• безопасность продуктов
• продукты безопасности
2.2 Защита ПК и серверов:
Проблема
Отсутствие защиты персональных компьютеров, таких как ПК и КПК на уровне самого
узла повышает ущерб от вредоносных программ и снижения продуктивности, увеличивает
стоимость восстановления
Решение
Внедрение Cisco Security Agent на 37000 Windows ПК
Результаты
В апреле 2004 99.86% компьютеров отразили эпидемию вируса bagle.aa
Что дальше
Сделать политику более строгой и расширить сферу использования CSA
2.3 Cisco Security Agent для Cisco.
Рисунок 2 – Внедрение Cisco Security Agent
10
• 47.000 компьютеров
• Эффективная настройка политики безопасности
• Прозрачное внедрение без участия владельцев компьютеров
2.3.1 Отражение вируса bagle.aa
Вирус появился в апреле 2004.
Не было времени на установку патча или обновление антивируса.
Из 38,370 ПК защищенных Cisco Security Agent, около 600 было
скомпрометировано –
620 пользователей открыло зараженный файл.
Некоторые пользователи нажали “Yes” на вопрос:
«Подозрительное приложение пытается получить доступ к электронной
почте.
Разрешить?»
Существенное снижение времени и стоимости борьбы
А также обновление политики безопасности для снижения влияния «человеческого
фактора»
В заключение о компании, стоит отметить очень важный фактор, что все продукты
компании лицензионные и сертифицированные [2].
11
3 Опыт и проблемы внедрения внутренней ИТ-угрозы
Рассмотрим среднестатистическую компанию.
Два года назад
было опубликовано весьма актуальное и, на наш взгляд, очень
своевременное исследование Infowatch о внутренних ИТ-угрозах в России. Данное исследование
"Внутренние ИТ-угрозы в России 2004" показало, что не защищенность информации
современными системными средствами от санкционированных пользователей (инсайдеров) –
пользователей, допущенных к обработке конфиденциальных данных в процессе своей служебной
деятельности. Практически по единогласному мнению специалистов, переводит проблему
противодействия внутренним ИТ-угрозам (угрозам хищения информации инсайдерами) в разряд
ключевых проблем защиты информации, а возможность эффективного противодействия
внутренним ИТ-угрозам – в разряд доминирующих потребительских свойств средств защиты
информации.
Со своей стороны, также попытался
разобраться в этих вопросах, однако не в части
констатации сложившегося положения дел, а в части выявления причин сложившейся ситуации. В
результате исследования Infowatch, попытался предложить общие подходы и технические
решения, обеспечивающие эффективное противодействие внутренним ИТ-угрозам. В данной же
части работы попытался взглянуть на вновь проведенное специалистами Infowatch исследование
со своей позиции, используя знания, полученные во время обучения в сфере защиты информации
от внутренних ИТ-угроз.
3.1 Результаты исследований
Результаты исследований, проведенных специалистами Infowatch, в части анализа
критичности ИТ-угроз, представлены на рис.3 – рис.4 [5]. Представление результатов
проведенных исследований в полной мере характеризует и изменения, произошедшие за
последний год.
В порядке замечания хочется отметить, что объективность исследований подтверждается
специалистами Infowatch обоснованием выборки респондентов, а также снижением уровня
латентности и достижения наиболее правдоподобных результатов, за счет проведения опроса
специалистов на анонимной основе.
Что же можно сказать по результатам данных исследований, что за год ничего не
изменилось. По-прежнему кража информации с целью нарушения ее конфиденциальности
считается специалистами наиболее опасной ИТ-угрозой, а к наиболее вероятным способам
хищения информации опять же отнесены каналы утечки данных, которыми могут воспользоваться
инсайдеры. Заметим, что, если подобные выводы специалистами сделаны в большой мере
интуитивно, либо на основании собственного горького опыта, то мной
12
в предыдущей части
работы в частности компании Cisco Systems дано этому обоснование, заключающееся в том, что в
основе архитектуры защиты современных универсальных ОС лежит реализация принципа
«ПОЛНОГО ДОВЕРИЯ К ПОЛЬЗОВАТЕЛЮ».
Рисунок 3 – Самые опасные внутренние ИТ-угрозы
13
Рисунок 4 – Каналы утечки данных
Если же рассмотреть динамику изменений, произошедших за год, то можем заключить, что
она не значительна, и те процентные изменения, которые отражены на соответствующих
рисунках, скорее могут быть отнесены к допустимой погрешности исследований, нежели чем в
качестве подтверждения какого-либо изменения положения дел.
3.2 Слова расходятся с делом
Итак, исходя из исследований, проиллюстрированных на рис.3 – рис.4, сделали вывод, что
необходимость противодействия внутренним ИТ-угрозам, как ключевая задача защиты
информации сегодняшнего дня, специалистами осознана. По истечении года, можно было бы
предположить, что положение дел изменится. Посмотрим, как изменилась ситуация на рынке
средств защиты информации, резонно предположить, что самыми востребованными за
прошедший год стали решения, призванные противодействовать хищению информации
инсайдерами.
Результаты исследований, проведенных специалистами Infowatch, иллюстрирующих
популярность
средств
ИТ-безопасности,
представлены
на
рис.5.
Видно,
что
за
год
предпринимаемых мер ничего не изменилось. И что характерно, растет доля применения средств
14
защиты, но в большинстве своем, никак не связанных с утечкой данных. Таким образом, видно
явное противоречие, с одной стороны, понимание критичности внутренних ИТ-угроз и
обеспокоенность этим специалистов, с другой стороны, нежелание или невозможность этому
противодействовать (хотелось бы обратить внимание на то, что сектор иных средств защиты,
средств, ориентированных на повышения стабильности функционирования информационных
систем предприятия, достаточно динамично развивается, что иллюстрирует рис.5.
Какие видят потребители средств защиты пути противодействия утечке данных и какие
пути реализуют на практике, проиллюстрировано на рис.6.
Рисунок 5 – Популярные средства ИТ-безопасности
15
Рисунок 6 – Пути защиты от утечки данных
Здесь опять же видно, что слова расходятся с делом. Практически единодушно заявляя о
целесообразности внедрения комплексных решений на основе ИТ-технологии (другими словами,
понимая единственно правильный подход к решению задачи), большинство потребителей средств
защиты на практике не предпринимают никаких реальных действий по противодействию утечке
данных. Если же подобные действия и предпринимаются, то в основном они сводятся к
реализации организационным мер, что в данном случае просто бессмысленно. Причем интересен и
16
тот факт, что на фоне всего этого (понимания проблемы и непредпринятия каких-либо
практических шагов для ее решения), потребитель не желает отказываться в пользу безопасности
и от критичных сервисов, предоставляемых информационными технологиями (на рис.6 это
иллюстрирует позиция «Ограничение связи с внешними сетями»).
3.3 Сдерживающие факторы
Особый интерес вызывает то, как потребители средств защиты объясняют свою
бездейственность в решении задач, применительно к рассматриваемому сектору защиты
информации. Выявленные специалистами Infowatch препятствия для внедрения защиты от утечки
данных представлены на рис.7. Именно эта часть исследования должна ответить на вопросы:
какие существуют сдерживающие факторы, объясняющие сложившееся положение дел, и если
есть, то какие.
Рисунок 7 – Препятствия для внедрения защиты от утечки данных
Здесь видно кардинальное (практически в равных долях) изменение ситуации по трем
позициям: «Нехватка квалифицированного персонала», «Отсутствие стандартов», «Отсутствие
технологических решений».
17
Заметим, что задача обеспечения информационной безопасности – это крайне сложная
научно-техническая задача, требующая от специалистов, принимающих участие в ее решении,
обладания знаниями во многих областях, прежде всего, это вычислительная техника, средства
телекоммуникаций и т.д. Эти специалисты должны разбираться в принципах и архитектурных
особенностях
построения
современных
системных
средств
и
приложений,
обладать
необходимыми навыками программирования. Не стоит думать, что, обучившись навыкам
администрирования какого-либо средства защиты (либо нескольких средств), человек, не
имеющий хорошего базового образования в области вычислительной техники, сможет решать
задачи защиты информации
В порядке замечания хочется отметить, что ряд компаний разработчиков идет «на поводу»
у потребителя с его проблемами нехватки квалифицированного персонала. Хотя, на мой взгляд,
сам факт утверждения, что средство защиты отличается простотой администрирования, не имеет
право на существование (другое дело, что необходимо разрабатывать интерфейсы, максимально
упрощающие эту задачу). Следует не упрощать средство защиты, сводя его администрирование к
нажатию одной «красной кнопки», а повышать квалификацию лиц, обеспечивающих безопасность
на предприятии. Когда информация становится товаром, необходимо понимать, что эффективно
противодействовать ее хищению можно только обладая необходимой квалификацией. Хотелось
бы верить, что в общем случае не нежелание вкладывать дополнительные средства в защиту
информации
является
сдерживающим
фактором
при
решении
задачи
противодействия
внутренним ИТ-угрозам (к сожалению, это подтверждает исследование по позиции «Бюджетные
ограничения», см. рис.7).
Теперь хотелось бы рассмотреть две, на мой взгляд, взаимосвязанные позиции:
«Отсутствие стандартов» и «Отсутствие технологических решений», см. рис.7. Вот здесь
начинается самое интересное и непонятное. С одной стороны, специалисты кардинально
пересмотрели свою точку зрения, относительно отсутствия технологических решений (признав,
что подобные решения существуют), с другой стороны, пропорционально возросла доля
специалистов, отмечающих отсутствие стандартов, решения задачи противодействия хищению
данных инсайдерами.
3.4 Два вопроса, касающийся противостояния инсайдерам
Невольно возникает вопрос: о каких решениях, о которых осведомлены специалисты,
участвующие в опросе, тогда идет речь? Естественен и другой вопрос: неужели противодействие
хищению данных – это столь новая, вдруг неожиданно возникшая задача защиты информации, о
которой никто никогда и не задумывался, неужели лишь появление проблемы инсайдеров
18
заставило нас, наконец, задуматься о возможном хищении данных, как следствие, о
необходимости соответствующих стандартов?
3.4.1 Ответ на вопросы и нормативные документы
Для ответа на эти вопросы обратимся к двум основополагающим ныне действующим
нормативным документам в области защиты информации (трудно предположить, что лица,
выступающие в роли специалистов в области защиты информации, не знакомы с этими
документами):
документ
«Гостехкомиссия
России.
Руководящий
документ.
Средства
вычислительной техники. Защита от несанкционированного доступа к информации. Показатели
защищенности от НСД к информации» и документ «Гостехкомиссия России. Руководящий
документ.
Автоматизированные
системы.
Защита
от
несанкционированного
доступа
к
информации. Показатели защищенности от НСД к информации». Заметим, что первый из них
формализует требования к корректности реализации механизмов защиты и используется при
сертификации средств защиты, второй документ – требования к достаточности набора механизмов
защиты, применительно к условиям использования защищаемого объекта, и используется при
аттестации объектов информатизации. Таким образом, в совокупности эти документы
формализует и то, какой набор механизмов защиты должен иметь место на защищаемом
вычислительном средстве, и то, какими функциями должен обладать каждый из используемых
механизмов защиты (уточним, что при защите конфиденциальной информации речь идет о
требованиях к СВТ и АС класса 1Г).
3.4.2 Назначение документов
Назначение этих документов следует собственно из их названия (здесь двух мнений быть
не может) - защита от несанкционированного доступа к информации (под несанкционированным
доступом понимается доступ в обход заданной разграничительной политики, т.е. в обход того, что
не разрешается – в нашем случае, это запрещенная запись конфиденциальной информации на
мобильные накопители, запрещенная передача конфиденциальной информации по электронной
почте и т.д.). В первую очередь, данные документы, как раз, и определяют требования,
выполнение которых не позволит осуществить хищение данных, для этого они и предназначены.
Конечно, трудно найти стандарты, формализующие требования к решению задачи защиты
информации, если при этом не рассматривать базовые нормативные документы в области защиты
информации.
19
3.4.3 Корректность требований
А вот что касается корректности этих требований (изданных еще в 1992 году),
применительно к современным условиям, это уже вопрос актуальный и требует дополнительных
исследований. Подобные исследования, применительно к решению задачи противодействия
внутренним ИТ-угрозам, что
было мной сказано ранее. Как
показало исследование,
формализованные требования, сформулированные в соответствующих нормативных документах,
в полном объеме применимы, в части корректного решения рассматриваемой задачи защиты
конфиденциальной
информации
(единственно,
что
некоторые
их
позиции,
с
учетом
архитектурных особенностей построения современных системных средств, следовало бы уточнить
(заметим, не изменить), что было и сделано). Кроме того, было проведено исследование
некоторых архитектурных особенностей современных ОС, в результате которого было выявлено,
что механизмами защиты, встроенными в современные ОС, данные требования (как впрочем, и
ряд иных ключевых требований к защите конфиденциальной информации, не рассматриваемых в
работе) не выполняются, что видимо и объясняет причины их уязвимости.
Заметим,
что
требования,
формализуемые
рассмотренными
выше
нормативными
документами в области защиты информации, рассматривают задачу защиту информации в
комплексе, и именно такой подход, как обеспечение комплексной защиты информации
техническими средствами, а не использование отдельных частных решений (и уж тем более, не
реализацией организационных мер), и может обеспечить защиту данных, в том числе, и в части их
возможного хищения инсайдерами, что, кстати говоря, практически единогласно признают и
специалисты, принявшие участи в опросе, см. рис.6.
3.4.4 Отсутствие технологических решений
Теперь вернемся к обозначенной специалистами (и судя по результатам исследований,
остающейся актуальной, см. рис.7) проблеме отсутствия технологических решений. Здесь можем
отметить, что в соответствии с нормативными документами, любое средство защиты от
несанкционированного доступа (СЗИ НСД), позиционирующееся разработчиком, как средство,
обеспечивающее выполнение требований к СВТ, в принципе должно обеспечивать возможность
эффективного противодействия внутренним ИТ-угрозам (в том числе, и в части хищения данных
инсайдерами). Однако, как отмечал, некоторые требования нормативных документов требуют
уточнений, применительно к их использованию в современных условиях, т.е. сейчас существует
возможность их неоднозначного трактования, как разработчиками средств защиты, так и их
потребителями. Как следствие, существует и потенциальная опасность того, что какая-либо из
представленных на рынке средств защиты СЗИ НСД (на первый взгляд, в полном объеме
20
выполняющая требования соответствующих нормативных документов), не сможет обеспечить
эффективного решения рассматриваемых в работе задач. Здесь ведь надо понимать следующее –
оставьте не перекрытым лишь один «канал» НСД (например, буфер обмена), и применение
подобной СЗИ НСД будет просто бесполезным. При этом, чтобы оценить, следует ли
использовать ту или иную СЗИ НСД для решения рассматриваемых задач, потребителю
достаточно убедиться, что СЗИ НСД реализует сформулированные уточняющие требования.
21
4 Строение политики внутренней информационной безопасности в компании разработчике «Адвантум»
Компания Адвантум, основанная в 2001 году [7], оказывает консультационные услуги в
области IT, осуществляет разработку программного обеспечения и внедрение уникальных
информационных систем.
Компания «Адвантум», как и многие компании связанные с большой информационной
базой данных и информационной разработкой, испытывает проблемы с внутренними
нарушителями. По словам офицера ИБ «Адвантум» это одна из главных проблем стоящая перед
сотрудниками информационного отдела. И так, что применяется для преодоления утечек,
подробно изложил офицер ИБ компании «Адвантум».
4.1 Локализация задачи
Определив, для чего защищать конфиденциальную информацию, хранящуюся в
корпоративной информационной сети, важно понять, что конкретно собираемся защищать.
Прежде всего, в компании необходимо дать определение конфиденциальной информации и
установить разрешенные действия с ней для разных групп пользователей. В компании существует
«Положение о конфиденциальной информации», описывающее порядок работы с такими
данными, находящимися в бумажном виде. Необходимо адаптировать его к электронным
документам. В реальности эта процедура занимает несколько недель и сводится к регламентации
действий с такими отсутствующими в бумажных документах сущностями, как копия документа,
часть документа и т.п. Регламенты работы с конфиденциальной информацией в электронном виде
также с небольшими изменениями приходят из регламентов обращения с документами в
бумажном виде. То есть определяется цикл жизни документа — где он создается, как и кем
используется, кто и в каких условиях может вносить в него изменения, сколько он хранится и как
уничтожается [7].
4.1.1 Контентная категоризация
Из слов ОИБ нет никакой разницы, в каком виде хранятся документы, в бумажном или
электронном. Есть нюансы, касающиеся, например, переписки по электронной почте. Регламенты
обращения с электронной почтой, конечно, строго регулируют отправку документов, содержащих
конфиденциальную информацию. Однако в процессе адаптации «Положения о конфиденциальной
информации» к информации в электронном виде необходимо особо отметить виды информации,
которые запрещено отправлять по электронной почте. Существует стандартный набор
информации, которую может отправлять с корпоративной почты одно подразделение и не может
другое. Так, посылать письма, в которых содержатся упоминания первых лиц компании, может
22
лишь служба связей с общественностью, банковские реквизиты — бухгалтерия, цены на
продукцию — служба сбыта, тендерную документацию — отдел закупок и т. д.
Регламенты использования документов, содержащих конфиденциальную информацию,
должны включать описание системы хранения документов и организации доступа к ним. Здесь
тоже нет ничего принципиально нового — опыт работы с бумажными документами накоплен
огромный. Те же нехитрые правила — перед получением доступа к документам для чтения или
внесения изменений сотрудник указывает, на каком основании и для чего он собирается
обратиться к документу; что собирается с ним делать; когда он закончит работать с документом и
т. д. Этот «журнал» работы с документом в случае с электронными данными вести проще, так как
большая часть операций может идти в автоматическом режиме [7]. Также, в положении должно
быть отмечено, что никакой администратор не может изменять информацию в журнале своей
работы, чтобы возможность скрыть следы не подвигла его на неправомерные действия.
4.1.2 Классификация информации по уровню конфиденциальности
После того как построена документарная база, можно сказать и о классификации
имеющейся
информации.
Необходимо
определить,
какие
документы
являются
конфиденциальными, какие сотрудники имеют доступ какого уровня к каким документам. Отсюда
и создается так называемый реестр конфиденциальных документов, содержащий, описания
документов, прав доступа, правила внесения в него документов и правила их изъятия
(уничтожения). Поскольку в компании каждый день создается множество новых документов,
часть из них — конфиденциальные, то без создания механизма их автоматической или
полуавтоматической классификации реестр уже через несколько месяцев потеряет актуальность.
4.1.3 Метки документов
На организацию процесса пометки конфиденциальных документов, ОИБ компании обратил
особое внимание, и по личной просьбе рассказал более подробно. Каждый конфиденциальный
документ должен содержать метку, по которой контролирующие программы могли бы определить
степень его конфиденциальности и категорию пользователей, которые могут проводить с ним
потенциально опасные операции — публикацию в Интернет, копирование на сменные носители,
переименование,
отправку
по
электронной
почте
и
т.п.
Существует
технические
и
организационные методы установки меток. Если все защищаемые документы хранятся
исключительно в формате MS Office, то в качестве метки может использоваться запись
«конфиденциально» в соответствующих полях свойств документов. Самый распространенный и
простой способ присваивание меток в компании является — именование файлов по специальной
маске. Например, первые 10 символов — тематическая группа, к которой относится документ
(название клиента, рабочей группы, подразделения, отрасли и т.д.), затем знак подчеркивания,
23
затем 20 символов для описания документа, снова знак подчеркивания, и 8-значная дата в формате
YYYYMMDD.
Внедрение процедуры именования файлов — это постоянная работа по выработке
привычек персонала именовать файлы таким образом. Кроме организационных методов —
закрепление приказом только такой формы именования, поддержки способа именования всем топменеджментом и инструктажа новых сотрудников, можно привлечь на помощь и технические
средства. Самый простой технический способ внедрения этой процедуры — разрешать
выкладывать на файловый сервер, класть в корпоративное хранилище или публиковать в
Интранете файлы, поименованные по заранее утвержденному шаблону. Со временем все файлы,
которые прошли через электронную почту, файловые серверы, хранилище данных и Интранет,
будут называться правильным образом.
Документ, названный по такой маске, автоматически попадает в поле зрения
контролирующих систем и перехватывается при запрещенных с ним действиях пользователя не
только контентной фильтрацией, но и мониторами, действующими на основании политик. В
отличие от контентной фильтрации этот метод дает 100% гарантию. Это удобно и для визуального
контроля — даже в очереди на печать можно сразу увидеть конфиденциальные документы. К тому
же
нелишне
еще
раз
напомнить
пользователю
при
открытии
файла,
что
документ
конфиденциален.
4.1.4 Хранение информации
После создания реестра конфиденциальных документов надо подумать, как их хранить, но
и эта проблема легко решаема и реализуема. В компании организационными и техническими
мерами запрещается хранение конфиденциальной информации локально — на рабочих станциях.
Такие данные хранятся в специальных клиент-серверных или web-приложениях (корпоративных
интранет-порталах, документных хранилищах, бизнес-приложениях, справочно-нормативных
базах), которые разделяют права доступа пользователей и защищают информацию от сохранения в
несанкционированном месте. Хоть и используется такое разграничение документов и
продуманная защита от похищения документарной информации с рабочих станций, тем не менее,
риск утечки существует.
4.2 Способы хранения конфиденциальной информации
В компании ведется защита от утечки информации по трем основным типам сводную
информацию, конфиденциальные документы и интеллектуальную собственность.
24
4.2.1 Сводная информация
К сводной информации относят разнообразные структурированные данные в формате базы
данных или электронных таблиц. Это может быть не только информация о продуктах и ценах,
финансовая информация, которая представляет ценность для конкурентов, но и персональная
информация о клиентах, которую компания должна охранять по закону. При хищении
информации такого типа похитителю важно сохранить полноту, достоверность и структуру
информации — ценность неполной информации резко снижается. Иногда происходит хищение
информации конкретных данных, а не всей базы данных. При защите какой либо информации, к
компании рассматривается утечка данных такого объема, чтобы вынос их «в оперативной памяти
человеческого мозга» или «переписанными на бумажку» не представлялся возможным.
4.2.2 Интеллектуальная собственность
Интеллектуальная собственность — любая информация в электронном виде, которая
обеспечивает компании конкурентные преимущества. Это могут быть любые внутренние
материалы — шаблоны документов, должностные инструкции, описание бизнес-процессов,
справочно-нормативная информация, документы, содержащие сведения об изобретениях,
патентах, перспективных разработках и другие охраняемые законом [14]. Эта информация может
храниться в любом месте — в документном хранилище, базе данных, в специальных папках на
серверах, на локальных рабочих станциях. Форматы хранения — любые форматы приложений, в
том числе и отсканированные образы документов, чертежей. В отличие от свободной информации,
ценными являются не только сами документы, но и их фрагменты, черновики и т. п.
4.2.3 Неструктурированная информация
Все
остальные
документы,
содержащие
неструктурированную
конфиденциальную
информацию, можно отнести к оперативному документообороту. Это приказы по компании,
внутренняя электронная переписка. Информация, находящаяся в них, имеет оперативный интерес
для конкурентов и партнеров компании, и ее похищение также может привести к моральным и
материальным потерям.
4.3 Основные направления защиты
Поскольку потенциальными похитителями информации являются все сотрудники,
имеющие к ней доступ, методы защиты планируются таким образом, чтобы соблюсти баланс
доступности информации для легального использования и защищенности ее от утечки.
25
4.3.1 Защита документов
Это считается самая разработанная область защиты, не только в компании «Адвантум», но
и во многих других компаниях где инсайдреская угроза стоит на первых местах, электронной
информации от внутренних угроз. За образец бизнес-процесса защиты электронного документа
взяты методы работы с бумажными документами, описывающие, как создается документ, как
изменяется, как хранится и как уничтожается. Часть функций контроля жизненного цикла
электронного документа автоматизирована. Также в этой области активно используется
шифрование документов и использование специальных форматов файлов, запрещающих их
сохранение в другом формате, редактирование и копирование содержимого файлов в буфер
Windows, например, unsearchable PDF или новый формат MS Office 2007.
4.3.2 Мониторинг (аудит) действий пользователей
Вспомним, что в компании «Cisco Systems» было полное доверие к сотрудникам и нужды в
слежении не возникало, но в нашей исследуемой компании политика ВИБ весьма другая. Конечно,
как и многие компании хотят доверять своему личному персоналу, но не многие проверяют. Для
внутренней безопасности важно не только то, кто получил доступ к документу, но и что этот
пользователь делает с документом. Разные пользователи могут использовать один и тот же
документ по-разному. Кто-то может редактировать документ, кто-то только читать. Для
внутренней безопасности особенно важно контролировать те действия, которые могут привести к
утечке. Это три группы действий [1]:
1) перемещение документа, как единого целого;
2) копирование информации;
3) изменение с целью обмануть следящие системы.
К первой группе относятся копирование файла на сменные носители, отправку по почте,
публикацию в Интернет, печать. Ко второй — копирование информации из документа в буфер
Windows, копирование временного файла Windows. К третьей группе — переименование файла
или его расширения, сохранение файла под другим именем, сохранение в другом формате,
архивирование, кодирование и шифрование.
Недопустимая для пользователя операция с конфиденциальным файлом либо блокируется,
либо поступает к ОИБ. Еще один способ, не используемый в исследуемой компании, взятый из
других источников, система внутренней безопасности может быть настроена либо так, чтобы
пользователь или его руководитель узнавал о том, что он пытается совершить запрещенную
операцию, либо, чтобы эта информация оставалась доступной только офицеру информационной
безопасности.
26
4.4 Классификация внутренних нарушителей
Компания «Адватум» так же как и другие типичные компании, мало, чем отличаются по
уровню доверия к сотрудникам и классифицируют по нескольким критериям — злонамеренные
или халатные, ставящие цели себе сами или действующие по заказу, охотящиеся за конкретной
информацией или выносящие все, к чему имеют доступ. Правильно классифицировав
потенциального нарушителя, сотрудники подразделения информационной безопасности компании
могут спрогнозировать поведение нарушителя при невозможности осуществления попытки
передачи информации. По словам ОИБ, рассматривая средства защиты, всегда надо иметь в виду,
против каких нарушителей эти средства действенны, а против каких — нет.
Выделяется пять основных видов ВН [14]:
неосторожные;
манипулируемые;
саботажники;
нелояльные;
мотивируемые извне.
Рисунок 8 - Экосистема внутренних нарушителей
4.5. Нетехнические меры защиты
4.5.1. Психологические меры
Не вдаваясь в психологические аспекты защиты ОИБ выделяет два способа внедрения систем:
открытый;
закрытый.
Полностью реорганизовать документооборот незаметно для пользователей невозможно,
тем более, что часть процесса внедрения — ознакомление пользователей с процедурами доступа.
Однако если основная цель внедрения системы — выявление уже действующего канала утечки,
27
определение всех его звеньев, причем не только исполнителей внутри компании, но и заказчиков
информации вне ее, имеет смысл повременить с объявлением процедур и ставить, в первую
очередь, мониторы активности пользователей и контентную фильтрацию почты. В случае
оперативной разработки в отношении сотрудников компании имеет смысл замаскировать
программные агенты на рабочих станциях под программы, которые не вызовут подозрений, —
антивирус или мониторы аудита программного обеспечения.
Если же внедрять систему защиты от внутренних нарушителей открыто, то на таком
психологическом факторе можно даже и сэкономить. При внедрении систем видеонаблюдения,
даже если камеры не подключены, уже играет психологический фактор присутствия видеокамеры
наблюдения и останавливает большую часть нарушителей. Для этого камеры должны стоять на
виду. По аналогии, ознакомление сотрудников с новыми регламентами, появление и предание
гласности инцидентов с попыткой вынести запрещенную информацию за пределы компании
предотвращают хищение информации саботажниками и нелояльными сотрудниками.
4.5.2 Организационные меры
4.5.2.1 Права локальных пользователей
Было бы неправильным считать, что любое, даже самое совершенное программное
обеспечение может решить все проблемы с утечками. Даже при таком программном обеспечении,
время от времени оно проверяться сотрудниками ИБ на возможность преодоления защиты. Кроме
постоянного
тестирования
системы
безопасности,
необходимо
ограничить
возможности
взломщиков. Это реализуется за счет лишения пользователей прав локальных администраторов на
рабочих местах.
4.5.2.2 Работа с кадрами
Компания «Адвантум» стремиться к высококвалифицированному персоналу и поэтому
ведется постоянная работа с пользователями. Обучение пользователей, воспитание бдительности
сотрудников, инструктаж новичков и временных сотрудников во многом сможет предотвратить
утечки через незлонамеренных пользователей. Но и на этой стороне есть большой минус, ведь
высокая компьютерная квалификация пользователей не всегда является плюсом. Излишняя
квалификация
в
компьютерных
навыках
является
более
серьезным
недостатком,
чем
квалификация недостаточная. Чем квалифицированней пользователь, тем больше вероятность
похищения конфиденциальной информации [7]. Такой вопрос уже давно является проблемой всех
предприятий, все хотят иметь специалистов высокого уровня, но при этом их боятся.
28
4.5.2.3 Хранение физических носителей
Еще один канал утечки информации — физический вынос носителей с резервными
копиями. Понятно, что после абсолютно легального резервного копирования никакое
программное обеспечение не в силах остановить физический вынос злоумышленником носителя,
его копирование и занос обратно. Поэтому используется несколько способов защиты этого канала
утечки [7]:
Первый — анонимизация носителей, то есть сотрудники, имеющие доступ к носителям, не
знают, какая информация записана на каком носителе, они управляют только анонимными
номерами носителей. Те сотрудники, которые знают, на каком носителе находится какая
информация, в свою очередь, не должны иметь доступ к хранилищу носителей.
Второй способ — шифрование информации при резервном копировании, поскольку
расшифровка вынесенной информации потребует некоторого времени и дорогостоящей
вычислительной мощности. Безусловно, здесь работают все технологии хранения ценных
вещей — замки, открывающиеся только двумя ключами, находящимися у разных
сотрудников, несколько уровней доступа.
4.6 Уровни контроля информационных потоков
Традиционно системы контроля информационных потоков позволяют контролировать
информационные потоки в трех режимах [14]:
Режим архива;
Режим сигнализации;
Режим активной защиты.
4.6.1 Режим архива
Этот режим предполагает минимум вмешательства в деятельность информационной
системы. В этом режиме система контроля лишь протоколирует действия пользователей,
архивируя журналы операций с конфиденциальной информации и содержимое информационных
потоков. Архивы анализируются на предмет наличия в них фактов о нарушении политики
информационной безопасности либо по регламенту (каждый вечер, каждую пятницу и т.д.), либо
по запросу о расследовании инцидента.
Преимуществом этого режима контроля является нетребовательность к вычислительным
ресурсам и гибким управлением временем офицера информационной безопасности. Офицер
безопасности сам определяет время для анализа архива. Его рабочее время, занятое анализом
архива, не превышает нескольких часов в месяц [7].
Недостатком этого режима является невозможность предотвращения утечки.
29
4.6.2 Режим сигнализации
Этот режим представляет собой расширенный режим архива, однако перед укладыванием
информации в архив, действие или сообщение проверяется на предмет соответствия политике
информационной безопасности. В случае выявления запрещенного действия/сообщения, офицер
безопасности получает на свое рабочее место сообщение. В зависимости от уровня нарушения
политики ИБ, офицер безопасности принимает решение реагировать немедленно, либо отложить
реакцию.
Преимуществом этого способа является возможность немедленно реагировать на события.
Недостатком этого режима является также невозможность предотвращения утечек, а для
офицера ИБ недостатком является необходимость постоянно находиться в режиме on-line.
Этот режим нередко используется для тестовой эксплуатации системы перед переходом к
режиму активной защиты.
4.6.3 Режим активной защиты
Этот режим позволяет активно вмешиваться в информационные процессы, блокировать
опасные операции безвозвратно или до их разрешения офицером безопасности.
Преимуществом этого режима является возможность блокирования попыток нарушить
политику информационной безопасности, предотвращение утечек.
Недостатком этого режима является необходимость постоянного присутствия офицера
информационной безопасности для разбора спорных случаев и ложных срабатываний. На
сегодняшний день максимальная достоверность использующихся технологий не превышает 90%,
поэтому в режиме активной защиты на офицера ИБ ложится ответственность за оперативное
решение спорных вопросов. Также недостатком такого режима является высокая требовательность
к ресурсам, особенно при обработке on-line потоков. Приходится резервировать каналы и
наращивать вычислительную мощность, чтобы обеспечить минимальную задержку писем и
сообщений в Интернет [14].
4.7 Методика внедрения
Рассмотрим один из методов внедрения ПО, этот метод использовался изначально и
используется по сей день. Если брать пример многих крупных известных компаний, таких как
Газпром, Лукойл, Cisco Systems и многих других, то установка новшеств ПО происходит
постепенно, но как правило, в течение месяца. В этом случае используется весьма специфическое
решение - установка происходит глобально и повсеместно на все рабочие станции и по мнению
ОБ это намного удобнее, сразу можно выявить сбои системы на первоначальном уровне, а не
спустя время. В конце 2005 года, когда компания Адвантум укрепилась на информационном
30
рынке, появилась необходимость в мощном программном обеспечении по противодействию как от
внутренних угроз, так и внешних атак, а также в применении, как мощного оружия по
противодействию вирусных атак. Было разработано при помощи сторонней компании,
программное обеспечение, в дальнейшем называемое как «advantum security». Далее на графике
показано как происходило внедрение.
Рисунок 9 - Внедрение Advantum security
31
5 Строение политики внутренней информационной безопасности компании «RusGPS»
Компания RussGPS занимается интеграцией технологий позиционирования (Глонасс/GPS),
технологией беспроводной связи
и Интернет/Интранет-технологиями для создания системы
передачи информации о местонахождении объектов, которые позволяют государственным и
коммерческим структурам качественно повысить эффективность управления своими ресурсами, а
также предоставляют многообразные дополнительные услуги физическим лицам.
В исследуемой компании ПВИБ схожа с уже исследуемыми ранее компаниями. Стоит
только перечислить, что используется по противодействию утечки информации без подробного
описания. Во всех организациях, без исключения, в первую очередь ведется защита
конфиденциальных данных в виде документов, отсюда и пошла нужда в квалификации
документации. В компании существует следующие три категории классифицированных
документов [8]:
1) RussGPS Public – документы доступны без ограничений любому пользователю и
посторонним лицам.
2) RussGPS Confidentional – это вид документов доступен партнерам компании и
сотрудникам, и не подлежит разглашению.
3) RussGPS Use Only – только для сотрудников и внутреннего пользования. Доступ к
такому виду документов имеют не все сотрудники RussGPS, а только те, у кого есть допуск
к такой форме секретности на предприятии. Вся информацию таких документов
разглашению не подлежит.
Очень важный момент, что все документы поделены на классы, прикрепленные к каждой группе.
В случае утечки одного из документов, такой метод разделения облегчит выявление нарушителя.
Такой же метод классификации документов используется и в Cisco Systems. В основном политика
внутренней информационной безопасности во многом схожа с ранее исследуемой компанией CS.
Вспомним, что основной аспект формирования ПБ CS полностью основывается на доверии своих
сотрудников, и сотрудники трактовались, как добропорядочные члены общества. То же самое
переняли и ОИБ компании RussGPS, но как уже критиковалось мной, стоит придерживаться
пословицы «доверяй, но проверяй», т.е. вести мониторинг за сотрудниками, такому же правилу
придерживаются ОИБ.
По словам ОИБ каждую проблему стараются идентифицировать и анализировать и не
допускать подобных случаев утечки, даже если это будет убыточно, чего не скажешь про
компанию CS. Вкратце напомню, что происходило в CS, в случае хищения информации. В
компании сначала оценивался ущерб, принесенный компании, а потом уже устранялся
нарушитель и «закрывалась» утечка. И в случае, если затраты на установление и нейтрализацию
нарушителя и утечки информации превышали ущерб, то эту проблему резервируют и ставят на
32
заметку. Моя точка зрения по такой политике полностью совпадает с администратором и ОИБ
Ёжиковым Игорем Владимировичем, что нельзя относиться к проблеме безрассудно и “халатно”.
Это хищение может произойти повторно с причинением более значительных убытков, поэтому из
каждой потери информации (касается конфиденциальной информации) нужно делать выводы и
устранять утечку, даже если это будет убыточно [8].
Еще одно нововведение, которое мне встретилось только лишь в данной исследуемой
компании, это использование радиометок. С развитием технологий радиоидентификации (RFID),
появилась система автоматического оповещения о попытках вынести за пределы хранилища
носители, в которые для этой цели внедрены радиометки. С их помощью прослеживается цепочка
нарушителей и предотвращения утечки носителей информации.
33
6 Собственное специфическое решение по противодействию утечки информации
На наш взгляд, небольшими организационными мерами можно решить очень большие
проблемы. Предположим, что одно из федеральных ведомств серьезно страдает от регулярных
утечек своей базы данных, которая имеет спрос на пиратских рынках. Контролировать все точки
доступа к базе технически очень сложно, и вот какое решение предложено нами и, кстати, даже
одобрено компанией «Адвантум». Например, хищением информации занимается не больше
десятка человек, и они могут быть даже не из одного отдела. Просим администратора базы данных
ограничить объем ежедневных запросов до 20-30 Мбайт, этого вполне достаточно для ежедневной
работы. А все, что больше, — по дополнительной заявке с обоснованием служебной
необходимости. И вряд ли нарушитель захочет проявлять себя ежедневными просьбами об
увеличении лимита на запросы. Вся база занимает несколько терабайт, а выкачать ее за месяц
одному человеку не представляется возможным. Поскольку база меняется ежедневно, сшитые
куски, скопированные в разные дни, нарушают актуальность и значимость базы. А значит, следом
упадет спрос на такую неполную, кусочную базу данных и перестанут покупать, а потом, ввиду
отсутствия спроса и похищать.
Рисунок 10 - Специфическое решение
34
7 Применение полиграфа в компаниях
В данном разделе описано общее применение полиграфа, т.е. не рассмотрены
индивидуальные случаи применения какой либо одной компании или банка, где чаще всего
прибегают к ОИП.
Прежде чем говорить об опросе с использованием полиграфа, стоит сказать, что такое
полиграф. Полиграф (polygraph, от греч. πολύ — много и γράφω — писать, синонимы: детектор
лжи, лай-детектор) — техническое средство, используемое при проведении инструментальных
психофизиологических исследований для синхронной регистрации параметров дыхания,
сердечно-сосудистой активности, сопротивления кожи, а также, при наличии необходимости и
возможности, других физиологических параметров с последующим представлением результатов
регистрации этих параметров в аналоговом или цифровом виде, предназначенном для оценки
достоверности сообщённой информации.
7.1 История полиграфа
История инструментальной детекции лжи берёт своё начало с работ итальянского
физиолога Анджело Моссо, который в 1877 году при помощи плетизмографа (прибор для
измерения кровенаполнения сосудов и изменений пульса) установил, что предъявление
исследуемому образов, внушающих страх, отражается на частоте сердечных сокращений.
Первый практический опыт применения подобных инструментов в целях детекции лжи
принадлежит известному итальянскому криминалисту Чезаре Ломброзо. Уже в 1881 году при
проведении
допросов
подозреваемых
в
совершении
преступлений
он
использовал
гидросфигмограф — устройство, с помощью которого на диаграмму (граф) фиксировались
изменения кровяного давления обследуемого, что позволяло проводить в дальнейшем их
детальный анализ.
В 1895 году в своей книге «Преступный человек» Ч. Ломброзо описал положительный
практический опыт применения гидросфигмографа в ходе проверки фигуранта по уголовному
делу об ограблении. Проведя исследование, он не зафиксировал видимых изменений динамики
артериального давления в ответ на предъявление стимулов, связанных с расследуемым
ограблением, и в то же время обнаружил падение артериального давления в ответ на вопросы по
другому делу, связанному с хищением паспортов, что в дальнейшем нашло своё подтверждение.
В 1902 году Ч. Ломброзо был привлечён к расследованию уголовного дела об
изнасиловании и убийстве девочки и в ходе допроса подозреваемого вновь применил
гидроплетизиограф. Анализируя полученные данные, Ломброзо обнаружил незначительные
изменения в пульсе допрашиваемого, когда тот делал в уме различные математические
вычисления. Однако, когда подозреваемому предъявлялись изображения израненных детей,
35
регистрируемая запись пульса не показывала никаких внезапных изменений, в том числе и на
фотографию убитой девочки. Результаты последующего расследования убедительно доказали, что
данный подозреваемый был невиновен в этом преступлении.
А. Моссо, работая совместно с Ч. Ломброзо, также обнаружил, что в ответ на предъявление
различных стимулов меняется модель дыхания. В 1914 году профессор австрийского университета
в Граце итальянец Витторио Бенусси, изучающий проблемы психофизики, опубликовал данные
своих исследований динамики процесса дыхания, показывающие, что частота, глубина
дыхательных циклов и отношение продолжительности вдоха к продолжительности выдоха
меняется, когда обследуемый лжёт.
Первый прообраз современного полиграфа был сконструирован в 1921 году сотрудником
полиции штата Калифорния Джоном Ларсоном. Аппарат Ларсона одновременно регистрировал
изменения динамики артериального давления, пульса и дыхания, и систематически применялся им
при расследовании преступлений.
В 1933 году ученик Д. Ларсона Леонард Киллер, сотрудник лаборатории научных методов
раскрытия
преступлений
при
Северо-западном
Университете,
сконструировал
полевой
переносной полиграф, в конструкцию которого был добавлен канал измерения сопротивления
кожи. В дальнейшем Л. Киллер организовал серийный выпуск таких полиграфов.
Рисунок 11 - Современный компьютерный полиграф
36
7.2 Назначение полиграфа
В соответствии с определением, полиграф предназначен для записи физиологических
параметров, регистрируемых у объекта в процессе психофизиологического исследования.
Результат записи параметров на бумажном или электронном носителе называется полиграммой.
Общая структура полиграммы состоит из следующих компонентов:
 фон;
 реакция;
 восстановление;
 артефакт.
Рисунок 12 – Полиграмма
Фон — состояние физиологических процессов в организме человека, пребывающего в
условиях
покоя
(при
проведении
психофизиологического
исследования
под
покоем
подразумевается состояние спокойно сидящего человека, которому не задают вопросы). Фон
характеризуется относительной стабильностью протекающих процессов и представляет собой
некоторую физиологическую норму, свойственную конкретному человеку в отсутствие
дестабилизирующих воздействий.
Артефакт — заметное (по сравнению с фоном) изменение динамики контролируемого
физиологического процесса, непосредственно не связанное с предъявляемыми в ходе
37
психофизиологического исследования стимулами и обусловленное воздействием экзогенных
(внешних) и эндогенных (внутренних) дестабилизирующих факторов. К эндогенным факторам
относятся умышленные или неумышленные движения обследуемого, кашель, внезапные болевые
ощущения и т. п., к экзогенным — в основном, внешние шумовые помехи.
Реакция — это заметное (в условиях осуществляемого наблюдения) изменение динамики
регистрируемого физиологического процесса в ответ на стимул (вопрос, предмет или изображение
предмета), предъявляемый в ходе психофизиологического исследования. В зависимости от
индивидуальных особенностей организма человека при развитии реакции можно наблюдать
усиление, ослабление или стабилизацию динамики конкретной функции. У некоторых людей
реакции могут
иметь
комплексный характер:
вслед
за быстротекущими
изменениями
физиологического процесса (собственно реакцией на стимул) происходит последующее
продолжительное изменение его динамики, то есть так называемая реакция облегчения[10].
Физиологические
реакции,
регистрируемые
в
ходе
исследования,
не
обладают
специфичностью, то есть по их информативным признакам нельзя точно установить природу
вызвавшего их процесса (положительная или отрицательная эмоция, ложь, испуг, боль, какие-либо
ассоциации и т. д.). Единственная объективная характеристика физиологической реакции — её
устойчивая выраженность в ответ на предъявление ситуационно значимого стимула [11].
В настоящее время не существует статистически достоверных данных, однозначно
указывающих
на
какую-либо
универсальную
информационную
ценность
для
итогов
психофизиологического исследования какого-то одного физиологического процесса либо
отдельного его параметра[10].
7.3 Опросы с использованием Полиграфа
Опросы с использованием Полиграфа, часто именуемого, как «детектором лжи»
постепенно внедряются в ряде федеральных органов государственной власти в качестве системной
меры отбора и проверки кадров при допуске к оперативно-розыскной деятельности и работе со
сведениями, составляющими государственную тайну. Аналогичный процесс внедрения идет в
сфере отечественного частного предпринимательства, как при приеме на работу, так и по факту
хищения информации. С развитием рыночных отношений в России резко возрос спрос на
квалифицированные кадры, которые, помимо наличия профессиональных знаний и опыта работы
в современных условиях, должны удовлетворять высоким требованиям лояльности по отношению
к своему работодателю. Поэтому естественно, что в последние годы в Москве, Санкт-Петербурге
и ряде иных городов России растет число частных компаний, торговых фирм, охранных и иных
предприятий, которые в интересах обеспечения коммерческой и информационной безопасности
эпизодически или на регулярной основе используют Полиграф при отборе и проверке кадров. И,
38
как показывает статистика, ОИП — это эффективное средство оценки достоверности информации,
полученной ранее от человека, и позволяющее выявить скрываемые сведения, особенно в тех
случаях, когда их невозможно или затруднительно получить иными, традиционными путями. В
целях корпоративной безопасности, ОИП могут быть применены по трем направлениям:
 Первое — это скрининговые проверки (от англ. «screen» — просеивать, проверять на
благонадежность) на Полиграфе нанимаемого на службу персонала;
 Второе — профилактические (периодические и/или выборочные) ОИП работающего
персонала;
 Третье — ОИП в ходе служебных расследований.
Оформляя человека на работу, службы кадров и отделы внутренней безопасности
коммерческих предприятий отмечают, что многие факты из жизни практически любого кандидата
не могут быть вскрыты ни путем опроса его бывших работодателей, ни проверками по учетам, ни
во время проводимого собеседования:
1) бывший работодатель в лучшем случае может рассказать о работавшем у него служащем
лишь то, что было замечено за ним во время работы, но он ничего не сможет сказать о негативных
поступках своего бывшего сотрудника, если последний не был в них уличен;
2) органы охраны правопорядка не могут сказать, что конкретный человек не совершил
уголовных преступлений: их заключение «по учетам не проходит» означает лишь, что тот не был
задержан на месте преступления и не привлекался к судебной ответственности;
3) каким бы длительным ни было собеседование с глазу на глаз, представителю службы
безопасности никогда не удастся выяснить компрометирующие кандидата факты биографии, если
последний умело их скрывает. Единственный человек, кто знает о кандидате всё — это он сам.
Поэтому многие частные компании России, считают ОИП одним из главных методов
проверки нанимаемого на работу и работающего персонала. По мнению внутренних
информационных безопасников, проверка на Полиграфе — лучший способ дать кандидатам
понять, что фирма серьёзно настроена против каких-либо правонарушений, особенно хищению
информации. ОИП нанимаемого на работу персонала и периодические проверки работающих
сотрудников являются наиболее эффективным средством профилактики различных видов
хищений: практика показала, что уровень безопасности (в каких бы аспектах о безопасности не
шла бы речь) предприятия тем выше, чем безжалостнее отсев кадров.
Пользователи Полиграфа — хорошо знают, что ОИП существенно дополняет — а часто,
намного превосходит — остальные методы выяснения истины и является при этом весьма
рентабельным: проверки на Полиграфе занимают во много раз меньше времени и обходятся в
итоге значительно дешевле, чем длительные, рутинные кадровые проверки. Тут влияет и
психологический факт, даже если кандидат и прошел проверку на полиграфе, то у него останется в
39
подсознании, что он может подвергнуться ОИП и не станет рисковать своей будущей карьерой и
привлечением к уголовной ответственности. В целом, по оценкам специалистов, используя
Полиграф, предприниматель, как минимум, на 25% повышает вероятность того, что принятые на
работу сотрудники окажутся честными людьми.
7.4 Правовые аспекты применения полиграфа
У делового человека, заботящегося о благополучии и процветании своего бизнеса — могут
возникнуть, как минимум, три вопроса:
 не является ли применение Полиграфа при работе с кадрами нарушением прав человека?
 легитимно ли использование Полиграфа при отборе нанимаемых на работу кадров?
 допустимо ли применение ОИП при проверке работающего персонала?
Можно уверенно констатировать, что ни в одной из сфер прикладного применения
Полиграфа при найме на работу, или профилактических ОИП, или при проведении служебных
расследований, — права человека не нарушаются.
Статья 2 Конституции РФ гласит, что «человек, его права и свободы являются высшей
ценностью. Признание, соблюдение и защита прав и свобод человека и гражданина — обязанность
Государства». Вместе с тем, Основной Закон России утверждает, что «осуществление прав и
свобод человека и гражданина не должно нарушать права и свободы других лиц» (статья 17,
часть 3).
Указанные статьи Конституции фактически отражают положение о том, что общество
обязано строго соблюдать паритет между свободами и правами человека на неприкосновенность
его личной жизни, с одной стороны, и правами общества ограждать свои интересы и безопасность
от противоправных и преступных посягательств отдельных лиц, — с другой. Именно этот
принцип, будучи интернациональным, служит основой и является объяснением того, почему ОИП
применяются более чем в 60 государствах мира, стоящих на различных ступенях развития
демократии, и число стран-пользователей Полиграфа неуклонно растет.
7.4.1.Полиграф и Трудовое законодательство
Теперь рассмотрим аспект
— о легитимности применения Полиграфа при отборе
нанимаемого на работу персонала.
В «зону риска» входит деятельность крупного, среднего и малого бизнеса, который
заинтересован в защите своих коммерческих интересов, и, в частности, — коммерческой и
банковской тайны. Необходимость внимательного отбора кадров особенно актуальна в тех сферах
предпринимательства, где высок риск краж, подлога, обмана и хищения информации, имеются
большие материальные ценности и прочее. Очевидно, что любой предприниматель стремится
40
иметь в своем распоряжении квалифицированных, надежных сотрудников и не желает видеть
среди них тех, кто в будущем может создать угрозу его коммерческому предприятию.
Трудовой кодекс Российской Федерации предоставляет работодателю право осуществлять
отбор нанимаемого на работу персонала и прямо указывает, что «не являются дискриминацией
установление различий, исключений, предпочтений, а также ограничение прав работников,
которые определяются свойственными данному виду труда требованиями, установленными
федеральными законами» (статья 3, часть 3).
На необходимость проведения отбора работников указывает также пункт 11 части 1 статьи
81 ТК РФ, согласно которому Закон дает работодателю право расторгнуть Трудовой договор в
случае «предоставления работником работодателю подложных документов или заведомо ложных
сведений при заключении Трудового договора». Очевидно, что работодатель, чтобы не доводить
дело до конфликта и расторжения в последующем Трудового договора по указанной причине,
вправе применить любые, не противоречащие этическим нормам, доступные средства для
повышения качества отбора кадров, в том числе — ОИП.
Закон Российской Федерации «О государственной тайне» установил, что «допуск
должностных лиц и граждан к государственной тайне предусматривает: … письменное согласие
на проведение в отношении их полномочными органами проверочных мероприятий» (статья 21,
часть 3). При этом закон конкретизировал, что «объем проверочных мероприятий зависит от
степени секретности сведений, к которым будет допускаться оформляемое лицо», и «целью
проведения проверочных мероприятий является выявление оснований, предусмотренных статьей
22 настоящего Закона» (статья 21, часть 4), то есть оснований для отказа в допуске к
государственной тайне.
В частности, введя в действие «режим коммерческой тайны», этот Закон предоставил
обладателю информации, составляющей коммерческую тайну, право «определять порядок и
условия доступа к этой информации» (статья 7, часть 3), устанавливать систему «контроля за
соблюдением такого порядка» (статья 10, часть 1, пункт 2), и применять в этих целях при
необходимости любые, «не противоречащие законодательству Российской Федерации меры»
(статья 10, часть 4). При этом Федеральный закон «О коммерческой тайне» прямо указал, что «в
целях охраны конфиденциальной информации работник обязан выполнять установленный
работодателем режим коммерческой тайны» (статья 11, часть 3, пункт 1).
Таким образом, приведенные выше федеральные законы дали обширной группе
работодателей, имеющих дело с государственной или коммерческой тайной и представляющих
предприятия различных форм собственности, добротную правовую основу для внедрения ОИП в
систему мер повышения качества отбора нанимаемого на работу и работающего персонала.
41
7.5 Процесс внедрения
Для того чтобы добровольные ОИП могли осуществляться на предприятиях, подпадающих
под действие Федерального закона «О коммерческой тайне», необходимо выполнение ряда
условий:
 на предприятии должен быть введен режим коммерческой тайны;
 в локальном правовом нормативном акте предприятия должны быть зафиксированы
порядок и условия доступа к информации, составляющей коммерческую тайну и, в
частности, порядок применения ОИП при приёме на работу;
 служебные обязанности кандидата на работу, которому предстоит пройти ОИП, должны
быть связаны с доступом к информации, составляющей коммерческую тайну;
 трудовой договор должен содержать положения, согласно которым работник принимает
на себя обязанность проходить профилактические (периодические или выборочные) ОИП
и/или ОИП в ходе проведения служебных расследований, в основном это вследствие
хищения информации.
В течение ряда последних лет некоторые коммерческие организации (банки, холдинги,
частные охранные предприятия и проч.) применяют ОИП при отборе кадров в качестве составного
элемента системы психологического отбора. Интересно отметить, что целесообразность и
допустимость выполнение психологического отбора кадров при найме на работу в настоящее
время не вызывает возражений в обществе. Если подумать, какие задачи решают психологическое
тестирование и ОИП, и какую информацию в итоге этих процедур получают от человека, не
трудно заметить, что психологическое тестирование не в меньшей мере вторгается в личный мир
человека. Например, в ходе психологического тестирования обсуждение с конкретным человеком
вопросов, касающихся отношения к религии, к межнациональным отношениям, сексуальной
ориентации и прочее вполне допустимо, в то время как при выполнении ОИП — запрещено.
Однако, вне зависимости от того, приобретает применение Полиграфа обязательный или
добровольный для работодателя характер, последний должен включить в анкету, заполняемую
работником при поступлении на работу, положение следующего содержания: «работник обязан
при заполнении анкеты и заключении в последующем Трудового договора предоставить
работодателю подлинные документы и истинные сведения о себе и своей трудовой деятельности,
а также пройти опрос с использованием Полиграфа для подтверждения отсутствия оснований,
препятствующих заключению Трудового договора».
Это же положение может быть отражено в Трудовом договоре, заключаемом с работником.
На тех предприятиях, где сформировалась традиция заключения коллективных договоров,
представляется правильным продублировать данную правовую норму, например, в следующей
редакции: «работник при заключении трудового договора обязуется предоставлять работодателю
42
подлинные документы и истинные сведения и обязуется проходить опрос с использованием
полиграфа для подтверждения отсутствия оснований, препятствующих приёму на работу».
В целом, можно уверенно констатировать, что сегодня не существует каких-либо правовых
барьеров для широкого применения ОИП в интересах кадрового отбора. Это же положение в
полной мере относится к третьему из поставленных вопросов — применению ОИП в отношении
работающего персонала.
7.6 Заключение по классификации внутренних нарушителей
Как было сказано ранее, все компании, мало чем отличаются по уровню доверия к
сотрудникам и классифицируют по нескольким критериям — злонамеренные или халатные,
ставящие цели себе сами или действующие по заказу, охотящиеся за конкретной информацией
или выносящие все, к чему имеют доступ. Правильно классифицировав потенциального
нарушителя, сотрудники подразделения
информационной
безопасности
компании могут
спрогнозировать поведение нарушителя при невозможности осуществления попытки передачи
информации. По словам ОИБ, рассматривая средства защиты, всегда надо иметь в виду, против
каких нарушителей эти средства действенны, а против каких — нет.
Выделяется пять основных видов ВН:
неосторожные;
манипулируемые;
саботажники;
нелояльные;
мотивируемые извне.
При отборе кандидата на вакантную должность, работодатель должен знать, какого типа
нарушителя он берет себе в компанию, ведь первая сторона не может быть идеальной. Чаще ОИП
занимается хорошо обученный специалист в лице опытного психолога. Такой человек легко
может отличить с какими целями кандидат идет на эту работу, способен ли он к злоумышленному
действию приводящему к финансовым потерям или это просто халатный сотрудник.
Соответственно после анализа и заключения можно сделать вывод о будущем сотруднике. Как
уже было сказано, халатный работник особого риска не предоставляет и в случае необходимости
можно обучить и предупредить о ненужных действиях. С кандидатами типа внедренные, как
правило, прощаются навсегда и заносят в черный список кандидатов. Такую проверку проводят не
только при принятии на вакантную должность, но и в процессе трудовой деятельности, чаще всего
к ОИП попадают сотрудники, которые вызывают сомнение и подозрение у работодателя. Как
43
правило, рисковать своим финансовым благополучием никто не хочет. ОИП помогает выявить
нарушителей на 25% эффективнее, чем при долговременных разбирательствах сотрудниками
внутренней информационной безопасности, что, и показано на рисунке 3.
50% раскрываемости преступлений внутри предприятий - это то, что возможно и при стандартном
наборе мер внутренней информационной безопасности. 25% - колоссальная поддержка ВИБ при
помощи ОИП. И, к сожалению 25% хищения информации остается не раскрытыми [8].
Рисунок 12 - Статистика эффективности полиграфа
44
8 Политика ВИБ и ОИП в компании «Адвантум»
Ранее была тщательно рассмотрена политика внутренней информационной безопасности
компании
«Адвантум»,
но
и
при
таком
добросовестном
подходе
к
формированию
организационных и практических мер по ИБ, этого оказалось недостаточно. В июне 2008 года,
компания понесла огромные убытки, в результате хищения клиентской базы, банковских счетов и
сроках окончания контрактов. Известно, что такой информацией могут успешно воспользоваться
конкурирующие компании, что по истечении некоторого времени и было выявлено. В ходе
разбирательств и выяснения источника утечки информации никаких результатов добиться при
помощи тех мер, которые прописаны в документах «Кодекс поведения сотрудника» и
«Обеспечение информационной безопасности» не удалось. Как было написано в заключении,
информация была похищена изнутри, так как атак извне не было. Подозревать можно было кого
угодно, от рядового сотрудника до заместителя начальника, подозрение падало и на саму службу
информационной безопасности, но на руках был только факт хищения, факт продуманного и
умелого хищения. В итоге, с миллионными убытками пришлось смириться и тщательно заняться
доработкой по предотвращению подобной утечки в будущем. Ранее говорилось, что при любой
утечке, даже если убыток составлял малую часть затрат от предотвращения проблемы, служба ИБ
на это не закрывала глаза. А после такой атаки сотрудники долго ломали голову, как улучшить и
сделать надежнее систему ИБ. Было предложено использовать при подобных разбирательствах, а
также при рассмотрении кандидата на вакантную должность, опрос с использованием полиграфа.
По словам сотрудника отдела информационной безопасности, сочетание тех мер безопасности,
что используются в компании и ОИП будет отличным и успешным дуэтом [12].
8.1 Внедрение ОИП
С точки зрения практики применения полиграфа все многообразие преступных
посягательств на информацию или инфраструктуру предприятия можно разделить на два больших
класса:
 преступления, совершаемые посторонними лицами, не являющимися сотрудниками;
 преступления, которые не могут быть осуществлены без участия сотрудников.
При этом второй из классов включает в себя две группы:
а) преступления, совершаемые только сотрудниками (без участия посторонних лиц),
б) преступления, совершаемые при соучастии сотрудников предприятия.
К преступлениям первой группы относятся, например, различного рода хищения и
незаконное использование кассовой наличности и приравненных к ним средств, а также
преступные посягательства, связанные со злоупотреблением служебными полномочиями,
45
обусловленные коммерческим подкупом, когда субъектом преступления может быть только лицо,
выполняющее управленческие функции, либо реализуемые в сфере компьютерной безопасности.
В последнем случае, помимо посторонних лиц (хакеров или сотрудников предприятияконкурента), на преступный путь часто становятся самые квалифицированные, обладающие
максимальными знаниями в автоматизированных системах категории служащих, - системные
администраторы и информационные безопасники.
Ко второй группе преступлений, - совершаемых при соучастии сотрудников, - следует
отнести, например:
а) хищения денежных сумм с текущих и расчетных счетов, когда деньги переводятся на
другие счета по подложным платежным поручениям;
б) присвоение средств предприятия путем похищения расходных документов (денежных
чеков), находящихся в кассе: исполнителями таких хищений могут быть сам клиент либо
находящийся в сговоре с ним сотрудник организации;
в) незаконное завладение конфиденциальной информацией путем похищения документов
или
несанкционированного
доступа
к
средствам
вычислительной
техники
или
автоматизированным системам. [7]
К сожалению, приведенные перечни преступных посягательств не являются исчерпывающими.
Преступление, совершаемое сотрудниками или при их участии, можно констатировать, что
в среде работников образуется довольно обширная «группа риска». Это - сотрудники, которые по
собственной инициативе, в силу внешних обстоятельств или под воздействием недружественных
для компании структур, склоняются к преступным посягательствам.
В такую «группу риска», прежде всего, попадают:
 Лица, наделенные распорядительными функциями в отношении ценностей, имущества и
конфиденциальной информации, принимающие решения о проведении банковских операций и
сделок на финансовых рынках (руководители предприятия, главный бухгалтер).
 Лица, имеющие доступ к банковским операциям, связанным с переводами и выдачей
денежных средств.
 Лица, имеющие постоянный доступ к деньгам, ценностям и ценным бумагам.
 Лица, располагающие информацией, относящейся к коммерческой тайне, и иной
конфиденциальной информацией.
 Лица, обеспечивающие функционирование автоматизированных систем управления
(АСУ): операторы, программисты, инженеры и информационные безопасники.
Чтобы оценить ту помощь, которую может оказать внедрение полиграфа в дело защиты
коммерческих интересов компании, остановимся на основных принципах организации борьбы с
противоправными посягательствами на ее экономическую деятельность (в реализацию которых в
46
той или иной мере вовлечены сотрудники нашей компании) и сложившейся в настоящее время
системе мер обеспечения безопасности работы с кадрами.
Одной из важнейших составляющих системы защиты от преступных посягательств,
совершаемых сотрудниками или при их участии, является установление и строгое соблюдение мер
административного
контроля,
которые
жестко
регламентируют
служебные
обязанности
работников и порядок их выполнения. В случае выявления преступления, совершенного
работниками, или обнаружения признаков, указывающих на возможность такого преступления,
служба внутреннего контроля и служба безопасности осуществляют разбирательство по
указанному факту с целью установления нанесенного ущерба, локализации зоны преступного
посягательства или предупреждения возникшей угрозы.
Для получения информации, подтверждающей факт преступного посягательства, служба
ИБ стала использовать методы частного сыска и криминалистики. Вместе с тем, как указывалось
выше, часть преступлений остается невыявленной, что и произошло в июне этого года, а
служебные разбирательства по целому ряду видов преступлений сопряжены со значительными
трудностями и не всегда приводят к обнаружению злоумышленника.
Хорошо известно, что, совершая противоправное деяние, преступник, как правило,
уничтожает его следы, тем самым затрудняя или делая невозможным применение методов
частного сыска и криминалистики. В итоге служебное разбирательство затягивается на
длительный срок либо становится безуспешным.
Вместе с тем следы противоправных деяний неизбежно остаются. Ими являются так
называемые «идеальные следы» преступления, то есть образы событий (их обстоятельств,
признаков и прочее), хранящиеся в памяти человека, а опрос с использованием полиграфа служит
надежным средством установления (криминалистической диагностики) наличия или отсутствия в
памяти таких следов.
Мировая практика и накопленный отечественный опыт свидетельствуют о том, что опрос с
использованием полиграфа позволяет эффективно выявлять у лиц, подвергаемых этой процедуре,
скрываемую ими информацию.
По словам специалиста ИБ, опрос с использованием полиграфа является комплексной
психолого-психофизиологической процедурой и представляет собой нетравмирующую и
безвредную для жизни и здоровья, организованную по специальным методикам процедуру опроса
человека
с
использованием
контроля
и
оценки
физиологических
реакций,
которые
регистрируются с помощью датчиков, размещаемых на его теле. Целью ОИП является оценка
достоверности информации, полученной ранее от опрашиваемого человека, путем фиксации
физиологических реакций опрашиваемого на задаваемые вопросы [7].
47
8.2 Ситуации применения полиграфа
В настоящее время технология использования полиграфа в указанных целях разработана в
достаточной мере и дают право уверенно констатировать, что ОИП может быть успешно
применен в ходе служебных разбирательств в отношении любого из преступлений.
Особенно эффективно применение ОИП в трех классах ситуаций, которые, применительно
к практике проведения служебных разбирательств, осуществляемых службой безопасности,
можно охарактеризовать следующим образом.
 К первому классу относятся ситуации, в ходе которых у службы безопасности полностью
отсутствует возможность получить необходимую для раскрытия и расследования преступления
информацию, минуя конкретного человека.
 Второй класс составляют ситуации, при которых получение необходимой службе
безопасности
информации
возможно
традиционными
оперативными
средствами
или
криминалистическими методами, но это сопряжено с большими материальными и/или
временными затратами либо привлечением значительных оперативных сил. Применение ОИП
позволяет выбрать наиболее рациональный путь выхода из создавшейся ситуации, сэкономив при
этом упомянутые ресурсы.
 В третий класс входят ситуации, требующие срочного (в течение считанных часов или
одного - двух дней) получения информации, и никакой иной из традиционных путей или методов
не может обеспечить службе безопасности должного быстродействия. Такую задачу может решить
только ОИП, устанавливающий наличие (или отсутствие) в памяти конкретного человека
требуемой информации [13].
Если взять статистику для чего нужны ОИП, то это обусловлено тем, что работодатель
стремится использовать труд работников, которые, выполняя свои служебные обязанности, не
нанесли бы ему ущерба, вреда, а также не нарушали дисциплину. Для этого работодатель
устанавливал ряд требований квалификационного, социального и психологического характера,
которым должен был удовлетворять нанятый им на работу сотрудник.
8.3 Применение ОИП
По своей сути ОИП нацелены на повышение качества служебной деятельности путем
выявления лиц, которые скрыли наличие у них факторов риска, то есть наличия несоответствия
тем или иным требованиям, которые установил работодатель. Таким образом, применение
полиграфа обеспечивает профилактику правонарушений или преступлений, которые могли бы
быть совершены на рабочем месте (или связаны с выполнением служебных обязанностей) лицами
указанной категории. Поэтому появление ОИП в «Адвантум» облегчил задачу отбора сотрудников
отделу кадров. В данный момент полиграф используется в трех ситуациях:
48
а) при найме персонала на работу,
б) при периодических (плановых) проверках персонала,
в) при выборочных (внеплановых) проверках персонала.
Применение ОИП не так уж легко, отмечает информационный безопасник компании.
Формирование задач ОИП - то есть определение факторов риска - осуществляет работодатель
либо служба безопасности. Если перечень факторов риска окажется неполным или некорректно
составленным, цель ОИП не будет достигнута, и лица, скрывшие наличие отклонений от
требований работодателя, могут оказаться не выявленными.
В ходе выполнения ОИП в компании источниками информации для формирования перечня
факторов риска выступают служба кадров, служба внутреннего контроля и служба безопасности,
которые осуществляют соответствующие контрольные функции.
Применения полиграфа для решения изложенных задач осуществляется по нескольким
направлениям.
Во-первых, ОИП должен стать системной мерой, способствующей повышению качества
отбора лиц, принимаемых на работу компании. Применение ОИП, опирающееся на исследование
памяти конкретного человека, позволяет проверить важнейшие факты его биографии, выявить
утаиваемые им факторы риска и установить надежный заслон против внедрения в компанию
специальных сотрудников («кротов») на должности, позволяющие получать непосредственный
доступ к информации и документам, либо скрытно собирать конфиденциальную информацию в
процессе служебной (производственной) деятельности.
Во-вторых, применение ОИП оказалось весьма эффективным средством текущего контроля
деятельности работников. Прежде всего, периодическим проверкам на полиграфе должны
подвергаться сотрудники, которые утвердились в компании и работают долгое время. Помимо
того периодические ОИП - помимо прямого профилактического действия - оказывают заметное
дисциплинирующее воздействие на работающий персонал. Сотрудники осведомлены о
необходимости прохождения проверки на полиграфе, и все допущенные ими нарушения
установленных норм служебной деятельности будут неизбежно выявлены.
Применение полиграфа происходит по следующей, с одной стороны упрощенной, а с
другой эффективной схеме, что и показано на рисунке 4. Как уже говорилось раньше, теперь
кандидат на вакантную должность в обязательном порядке подвергается опросу с использованием
полиграфа. На опросе присутствуют минимум два сотрудника разных отделов, отдела кадров и
информационной безопасности. По результатам опроса составляется отчет и обсуждается
специалистами по подбору персонала, где и выносится решения о принятии первого на вакантную
должность. В случае разбирательства хищения информации персоналом, сначала (как и было без
ОИП) проверяется утечка техническими методами и если эти методы оказываются не
49
эффективными, то каждый сотрудник без исключения подвергается опросу с использованием
полиграфа.
Рисунок 13 - Схема использования ОИП
50
9 Формирование общей политики безопасности
Рассмотрев ряд компании и тщательно их проанализировав можно попробовать
сформировать
свои
идеи
по
противодействию
внутренних
нарушителей.
Политику
информационной безопасности постарался построить только из положительных, на мой взгляд,
моментов, присущих в рассмотренных компаниях. Основное направление защиты, без
исключения, является защита конфиденциальных данных, это происходит в виде классификации
документов:
1) Классификация документов. В любой компании от “маленькой” до “гигантов” ведется
разграничение документов по классу конфиденциальности, как правило, их три:
а) для общего пользования;
б) для сотрудников компании и их партнеров;
в) только для внутреннего пользования с ограниченным кругом лиц.
2) Одним из основополагающих моментов формирования служит доверие сотрудников во
всех исследуемых компания, но кто-то доверяет и проверяет при помощи мониторинга за
сотрудниками, а кто-то просто надеется на совесть и честность граждан.
3) Разграничение прав пользователя или политика стандартизации процессов. Многие, не
уважающие
себя
компании,
позволяют
пользователям
обладать
правами
локальных
администраторов. С таким отношением разграничения прав, можно смело утверждать о будущем
хищении информации и больших убытков.
4) Раз говорим о разграничении прав пользователя, то стоит отметить и контроль доступа к
ресурсам. Как правило, это является: Интернет, корпоративная почта, USB, приводы и т.д. В
крупных компаниях, где борьба с внутренними нарушителями стоит на первом месте запрещается
проносить ноутбуки, мобильные устройства, флеш-карты, а в некоторых даже и CD диски. В
случае нужды использования перечисленных устройств, пронос осуществляется только по
разрешению ОИБ.
5) Выше перечисленные методы являются больше техническими, но не стоит забывать об
использовании и гуманитарных методов противодействия утечки информации. Например, такие,
как ознакомление с “кодексом поведения сотрудников”, который должен присутствовать в каждой
уважающей себя компании. Каждый из сотрудников в начале каждого года должен ознакомиться с
этим документом и расписаться (в электронном виде) об этом. Какой информацией должен
владеть, и к каким файлам имеет доступ, а так же, что в праве имеет делать сотрудник, а чего нет.
Ежемесячное ведение инструктажей и обучение пользователей с целью повышения квалификации,
тем самым стараются уменьшить случайные утечки информации, но при этом подвергаются
сознательному хищению. Как я уже говорил, политика основывается на доверии, поэтому
стараемся фактор умышленного и сознательного хищения рассматривать крайне редко.
51
6) Классификация внутренних нарушителей. Правильно классифицировав потенциального
нарушителя, сотрудники подразделения информационной
безопасности
компании могут
спрогнозировать поведение нарушителя.
7) Психологические меры. Очень хороший способ устранения или даже “запугивания”
злостных нарушителей. Выделяют два способа, открытый и закрытый. Заключаются они в том,
что если сотрудник знает, что за ним ведется наблюдение, вряд ли он будет рисковать и похищать
информацию.
8) Уровни контроля информационных потоков. Выделяют три режима: режим архива,
режим сигнализации, режим активной защиты. Каждая компания сама выбирает какой из данных
режимов использовать, но, как правило, используются все режимы контроля потоков.
9) К положительным моментам формирования ВПИБ теперь можно отнести и ОИП. Сделав
вывод данной учебно-исследовательской работы – это, несомненно, положительный аспект,
помощь и дополнение к уже существующим.
52
Заключение
В ходе данной работы был проведен всесторонний анализ имеющейся информации по
тематике опыта реализации
задач борьбы с внутренними нарушителями
в системах
информационной безопасности предприятий. Были проанализированы несколько компании и на
основании имеющихся данных сделаны выводы и дана общая рекомендация формирования
внутренней политики информационной безопасности.
Одной из проанализированных компаний является RussGPS. Её политика ИБ во многом
схожа с политикой внутренней информационной безопасности компании Cisco Systems, но с
небольшими изменениями, с некоторыми доработками.
1) Политика во многих компаниях и предприятиях основывается на доверительных
отношениях, но в данном случае придерживаются пословицы “доверяй, но проверяй”, т.е. ведется
мониторинг за добропорядочными сотрудниками.
2) Второй аспект, в случае хищения информации, в компании сначала оценивается ущерб,
принесенный компании, а потом уже устраняется нарушитель и «закрывается» утечка. И в случае,
если затраты на установление и нейтрализацию нарушителя и утечки информации превышают
ущерб, то эту проблему все равно решают и нейтрализуют даже если это будет убыточно. Ведь
такое хищение может произойти повторно с причинением более значительных убытков, поэтому
по каждой потери информации (конфиденциальной) нужно делать выводы и устранять утечку.
3) В одной из немногих известных ИТ компаний используются радиометки. В случае
выноса носителя за пределы контролируемой зоны, срабатывает система автоматического
оповещения. С их помощью прослеживается цепочка нарушителей и предотвращения утечки
носителей информации.
Также в данной работе затронута тема исследования использования полиграфа для борьбы
с внутренним нарушителем. В ходе работы были проанализированы методы применения
полиграфа и ситуации, в которых каждый из них является наиболее целесообразным, а так же
подробно рассмотрены правовые аспекты. На основании полученных результатов была
выработана общая рекомендация по формированию политики внутренней информационной
безопасности. Несмотря на имеющиеся очевидные сложности, использование полиграфа в сфере
информационной безопасности дает ряд преимуществ отделу по информационной безопасности
компании. ОИП крайне полезен не только при проверках по факту утечки или хищения
информации, но и является безупречным помощником при найме на вакантную должность
будущих сотрудников. Большинство потенциальных случаев хищения пресекается на этапе
задумки противоправных действий, которые могут повлечь серьезные убытки компании. ОИП, по
приблизительным оценкам специалистов, помогает работать эффективнее на 25% .
53
После тщательного анализа систем внутренней информационной безопасности компаний,
рассмотренных в рамках данной работы, была выработана краткая рекомендация по
формированию политики, эффективно противостоящей инсайдеру:
1) Классификация документов;
2) Доверительные отношения;
3) Разграничение прав пользователя;
4) Контроль доступа к ресурсам;
5) Нетехнические (гуманитарные) методы противодействия утечки информации;
6) Классификация внутренних нарушителей;
7) Психологические меры;
8) Уровни контроля информационных потоков;
9) Применение полиграфа.
Представленный перечень является обязательным набором мер для обеспечения надежной
системы внутренней информационной безопасности любого предприятия. Однако в отдельно
взятых случаях не помешают дополнительные меры по противодействию инсайдерам, содержание
которых зависит от специфики конкретной организации.
54
Список использованных источников
1. Документ Cisco and Cisco Security;
2. http://www.cisco.com/web/RU/index.html;
3. Диалог с представителем Cisco Systems;
4. http://www.infosecurity.ru/;
5. http://daily.sec.ru/dailypblshow.cfm?rid=9&pid=14681&pos=5&stp=25;
6. проф. А.Ю.Щеглов, ЗАО "НПП "Информационные технологии в бизнесе";
7. Козлов Д. С. Политика информационной безопасности компании "Адвантум". - 2004 г. - 75 стр.;
8.Ежиков
И.
В.
Компания
"RussGPS".
Внутрикорпоративные
документы.
Защита
внутрикорпоративной информации. – 2005 г. – 83 стр.;
9. Государственные требования к минимуму содержания и уровню требований к специалистам для
получения дополнительной квалификации «Специалист по проведению инструментальных
психофизиологических опросов». М., 2001;
10. Холодный Ю. И. Краткая история становления психофизиологического аппаратурного метода
детекции лжи // Мир безопасности. — 2000;
11. Черноризов А. М., Исайчев С. А. "Детектор лжи" или Что такое практическая
психофизиология // Психологическая газета : интервью. — 2003. — № 4;
12. Холодный Ю. И. Анализ физиологических реакций, регистрируемых в процессе опроса с
использованием полиграфа: практическое пособие. — М.: 1999. — С. 6. — 52 с.;
13. Оглоблин С. И., Молчанов А. Ю. Инструментальная «детекция лжи»: академический курс. —
Ярославль: Нюанс, 2004. — 464 с.;
14. Рекомендации по устранению внутренних нарушителей компании InfoWatch [Электронный
ресурс] - Режим доступа к ресурсу: www.infowatch.ru.
55